工会网络信息安全服务外包需求工作方案.docx

工会网络信息安全服务外包需求工作方案 一、项目背景 近年来互联网快速发展，网络安全威胁也不断升级，来自外部的网络攻击持续增加，原有“XX市机关联合检查咨询安全咨询服务”无法满足合规和风险管理要求，为更好保障和服务工会信息化网络安全工作，需重新采购“网络安全服务+联合检查咨询服务”的整体服务包，对XX市总工会网络信息安全包年服务、XX市总工会智慧工会2022年度线上活动程序安全服务及相关线上项目信息安全保障等工作内容进行服务外包，现诚邀有意向的信息安全服务公司报价。 二、总体要求 （一）服务目标 依据国家、XX市信息安全相关政策法规和指引文件，针对市总2022年度智慧工会相关线上项目的包年信息安全保障和机关联合检查工作，进行信息安全风险评估、信息安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、信息技术产品和服务国产化情况、安全教育培训情况、责任追究情况、安全隐患排查及整改情况、对安全服务过程中发现的脆弱点和问题提出科学、可行的修复加固建议，建立符合国家标准和市总信息 安全管理体系，使市总系统的信息安全状况得以长期保持。 （二）服务内容 1. 根据XX市信息安全风险评估指南和本年度信息化工作要求对市总业务系统及所涉及的所有服务器、网络设备、安全设备等所有信息系统资产在内的信息系统进行信息安全风险评估；并主导实施及完成风险整改、对风险整改过程进行跟踪，分析风险处置结果，不断消除系统风险。 2. 在市总信息化建设和运维过程中，对于安全产品、安全技术、管理制度、国家法规、行业政策、对市总单位信息安全管理等问题，提供安全咨询建议和方案。如：新建/改造系统安全咨询、等级保护测评咨询、安全管理规范咨询、安全事件取证咨询等。 3. 负责市总信息系统安全日常巡查检测、协助修补加固工作；对网站和重要对外应用系统漏洞检测和协助修复加固；对重要应用系统、服务器和数据库等的配置进行漏洞检测、协助修复加固；对重要网络设备、安全设备进行安全审计分析。 4. 协助完成2022年XX市机关信息安全联合检查工作及市委网信办相关考核工作。 5. 全年为市总提供专业的信息安全培训，培训需满足延续性、可操作性、专业性等要求。 6. 对市总提供应急响应及这方面培训等安全服务，提高市总信息主管部门专业人员安全技能及处理突发事件的能力。协助完成上级部门部署、要求市总加强信息安全工作的事项。 7. 被选定的报价单位须将市总列为重点服务单位，保证加强技术力量投入，保质、保量、按时完成工作任务。协调相关信息安全设备厂商向市总提供防火墙、WAF等信息安全相关设备等进行应急服务支持，保证市总信息安全工作。 （三）服务期限 服务期限：本次项目涉及的安全服务周期为一年。 服务地点：XX市总工会。 三、商务要求 （一）资格证明 报价单位须包含以下资质： 1. 报价单位须是在中华人民共和国境内注册并合法运作的独立法人机构，具有相关经营范围。须提供工商行政管理部门颁发的《营业执照》副本或事业单位登记管理局颁发的事业单位法人证书副本复印件（复印件盖公章，原件备查）； 2. 本项目不接受联合体报价，不允许分包； 3. 近三年内（即至少从2018年2月开始起算，供应商成立不足三年的可从成立之日起算）无行贿犯罪记录。 （二）报价 1. 本项目服务费用采用包干制，包括人工、设备、项目管理、服务费、利润、税金、政策性文件规定及招标文件、合同包含的所有风险、责任等各项应有的费用； 2. 报价单位应根据本企业的成本自行决定报价，但不得以低于其企业成本的报价； 3. 报价单位的报价，应是本项目需求范围和需求文件及合同条款上所列的各项内容中所述的全部，不得以任何理由予以重复，并以报价单位在报价文件中提出的单价或总价为依据； 4. 除非XX市总工会通过修改本需求文件予以更正，否则报价单位应毫无例外地按本需求文件所列的清单中项目和数量填报综合单价和合价。报价单位未填综合单价或合价的项目，在实施后将不得以支付，并视作该项费用已包括在其它有价款的综合单价或合价内； 5. 报价单位对每项服务的报价必须是唯一的。本单位不接受有任何选择的报价； 6. 报价单位应承担服务期限内人工工资、物价上涨等因素对服务价格造成的影响和由此产生的风险，除工作内容增加外，在合同期内不得以任何理由要求本单位增加任何费用； 7. 报价单位应充分了解本需求文件的所有内容.如需进行现 场踏勘，请自行与本单位联系； 8. 报价单位不得期望通过索赔等方式获取补偿，否则，除可能遭到拒绝外，还可能将被作为不良行为记录在案，并可能影响其以后参加招标项目投标。各报价单位在报价时，应充分考虑报价的风险； 9. 本项目预算金额为人民币元整（¥XXX元），报价超出上述预算金额的将作无效报价处理。 （三）服务期限及服务地点要求 1. 服务期限：本次项目涉及的安全服务周期为一年（自合同签订之日起一年整）； 2. 服务地点：XX市总工会。 （四）付款方法和条件 合同签订并执行一个月后，10个工作日内支付60%首款；合同服务期限完成后，10个工作日内支付剩余款项。 四、市总信息安全需求 （一）服务要求： 序号 类 服务项 服务子项 内容描述 1 系统上线 安全检测 类 系统上线安全 检测 风险评估 在甲方的授权下，基于GB/T20984 标准，通过远程及现场的方式，通过工具检测及人工分析相结合的方式，对承载甲方线上活动的程序前后端进行风险识别及评估，找出系统及程序中存在的风险和安全隐患，生成风险评估报告并提供风险处理意见。评估对象包括：网络架构、安全防护架构、系统架构、APP小程序和数据安全等。 2 数据安全安全 检测 渗透测试 在甲方的授权下 针对本年度线上活动所涉及到的用户数据的采集、存储，处理、传输、交换、销毁等流程，对标国内相关法律法规，进行合规安全评估分析，找到系统调用的公民用户信息及数据过程可能存在的风险，生成检测报告并提供整改意见。 在本年度期间，在甲方活动程序上线前，采用模拟黑客攻击行为进行测试，攻击方式不包括且不限病毒、木马、拒绝服务、预留webshell等方式。发现活动程序存在的安全隐患及弱点。 3 4 信息安全保障 安全运维 安全事件应急 响应 结合渗透测试、风险评估、数据安全检测结果与活动的特点，为甲方提供系统风险及数据调用合规安全的加固指导咨询，协助并推动甲方及时完成安全整改工作。对部署系统安全防护设备每月审查，分析运行日志和安全态势，及时发现存在风险及隐患。 在甲方本年度开展的活动期间，提供7*24小时应急响应服务，1小时内现场及远程应急支持服务，当检测甲方活动程序及系统出现异常，快速响应，协助甲方运维人员处理异常问题。 5 6 信息安全咨询 安全合规咨询 在本年度期间，在甲方开展线上活动期间，针对甲方本次活动相关系统及程序提供安全合规性建议，推动合规性风险整改，保障本次活动在合法合规的前提下顺利进行。 7 联合检查 及专项检 查咨询服 务 安全管理 人员管理 提供信息安全关键岗位（安全管理员、系统管理员、网络管理员、安全审计员、信息审查员和机房管理员）人才管理咨询服务。 8 结合市总工会的实际情况，组织开展相关的信息安全意识培训，邀请行业内专家进行授课培训，通过培训，提升全体员工的网络安全意识，了解信息安全法律法规，建立网络安全自我保护意识，降低企业存在的安全隐患。 9 建设信息安全服务外包管理制度及相关的外包人员保密协议，定期对外包人员进行管理。 文件规定，编写安全管理制度包含但不仅限于以下制度或内容: 1. 网络安全 2. 用户安全 10 制度管理 3. 机房和服务期安全 4. 设备和资产管理 5. 安全审计 6. 安全运维 7. 应急预案 8. 个人信息与重要数据保护制度 11 合规性管理 12 依据GBT 22239-2019—信 息安全技术网络安全等级保护基本要求，对市总工会的安全物理环境、安全通讯网络、安全区域边界、安全计算环境和安全管理中心进行差距分析，对整体网络防御进行渗透测试，找出差距点和风险点，协助客户整改建设。 提供单位对个人信息和重要数据使用咨询服务，该咨询服务按照《中华人民共和国网络安全法》《信息安全技术个人信息安全规范》《XX市政务服务数据管理局关于重视和加强个人信息保护的通知》的规定，加强个人信息和重要数据保护措施的落实情况。