欢迎来到天天文库
浏览记录
ID:24460977
大小:153.00 KB
页数:21页
时间:2018-11-14
《附件(投标文件参考格式)》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、深圳市住房保障署信息安全项目招标书深圳市住房保障署2017年8月“深圳市住房保障署信息安全”项目招标书一、项目背景为了进一步加强深圳市住房保障署网络信息安全的管理工作,保障各个信息系统安全稳定运行,预防重大网络安全事件的发生,落实年度信息安全联合检查工作和信息系统信息安全等级保护测评工作,现决定引入专业机构协同开展信息安全项目。二、服务需求本次招标项目:深圳市住房保障署信息安全项目2.1项目概况:为了规范深圳市住房保障署信息安全管理体系框架,落实各项网络安全工作,提高深圳市住房保障署单位人员信息安全意识,加强基础信息网络和重要信息系统的
2、安全防护能力和水平,保障网络和信息系统安全、稳定地运行,依据我国信息安全等级保护制度的相关规定,结合上级单位关于深圳市党政机关信息安全联合检查要求,组织开展安全制度落实、技术防护和安全保障的等各项工作,认真查找安全隐患和漏洞,完善各项防护措施,全面提高深圳市住房保障署信息安全风险管理水平。 2.2项目目标和范围:21依据我国信息安全等级保护标准、上级单位关于深圳市党政机关信息安全联合检查要求,对采购方开展信息安全风险评估、安全管理制度落实、各项安全防护措施落实情况检查、应急响应机制建设、安全隐患排查及整改、信息安全教育培训、网站实时安全
3、监控、信息安全等级保护测评以及重要信息系统的漏洞扫描、安全核查、渗透测试和安全加固等工作,落实和完成采购方的的信息安全指标,持续保障采购方信息系统和网络安全稳定运行,防止重大安全事件的发生。本次项目涉及基础网络架构、重要信息系统、存储设施、安全防护设施和终端设备等IT资产。2.3项目实施依据:1、《2017年深圳市党政机关信息安全联合检查工作方案》2、《深圳市人民政府信息系统安全检查办法》(深府办[2009]138号)3、《信息安全等级保护管理办法》(公通字[2007]43号)4、《信息系统安全等级保护基本要求》(GB/T22239-2
4、008)5、《政府信息系统安全检查办法》(国办发[2009]28号)6、《信息安全风险评估规范》(GB/T20984-2007)7、《深圳市信息安全风险评估实施指南》8、深圳市关于开展信息安全风险评估工作的实施意见(深科信[2006]268号)9、《关于党政机关内网安全管理有关问题的通知》(深办[2008]55号)2110、《深圳市政府网站建设和管理规范》(SZDB/Z50—2011)2.4项目服务内容:为了从各个方面加强信息安全保障,全面提高采购方整体信息安全水平,本次项目的内容主要包括信息安全检查和运维保障、网站系统实时安全监控和信
5、息安全等级保护测评等服务工作。2.4.1信息安全检查和运维保障服务信息安全检查和运维保障服务根据国家信息安全相关法规、标准的要求,结合采购方的实际安全需求,主要包括信息安全风险评估、安全防护措施落实、安全加固与优化、信息安全管理制度梳理、应急响应机制建设、信息安全培训教育和信息安全咨询服务等七大模块的服务,具体要求如下所述:序号分类描述服务项目服务内容服务次数1信息安全风险评估根据《信息安全技术信息安全风险评估规范》(GB/T20984-2007)、《信息系统安全保护等级基本要求》(GB/T资产识别根据资产、业务流程的特性和重要程度对资
6、产进行科学的分类(数据、服务、声誉、硬件和软件、通讯、程序界面、物理资产、支持设施、人员和访问控制措施等有形和无形资产),并参考CIA(保密性、完整性和可用性)进行价值分级和定量,以识别关键的信息资产。1次/年2122239-2008)等相关标准,对采购方信息系统和IT基础设施进行安全风险评估,包括明确风险评估范围、识别重要资产、识别脆弱性和威胁、现有安全控制措施、应用系统漏洞扫描、分析和计算风险状况、制定不可接受风险处置方案和风险评估报告和总结。威胁识别通过安全策略检查、文档查看、业务流程分析、网络拓扑分析、人员访谈、入侵检测系统收集
7、的信息和人工分析等手段对可能潜在的威胁进行分类、分析和定性。1次/年脆弱性识别以资产为核心,针对每一项需要保护的资产、识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估,分析出有可能被潜在威胁源利用的系统缺陷或脆弱性列表,并对其进行分级。1次/年现有控制措施有有效性结合资产、威胁和脆弱性分析结果,对现有的预防性安全措施和保护性安全措施进行有效性测试、评估。1次/年风险分析资产-威胁-脆弱性映射关系以及控制措施效果,分析存在的安全风险发生的可能性和影响。1次/年风险计算以关键业务系统为关联要素,通过资产的价值、资产面临的威胁和存在的脆
8、弱性三个方面的内容进行量化,统计分析风险值,评定业务系统所属的风险范围和等级。1次/年风险结果与总结通过层面汇总分析和综合分析等过程找出信息系统的安全风险,识别影响系统安全保护能力的安全隐患,形成评估结论报
此文档下载收益归作者所有