深圳市人力资源和社会保障局.doc-得力文库

资源描述

《深圳市人力资源和社会保障局.doc》由会员分享，可在线阅读，更多相关《深圳市人力资源和社会保障局.doc（21页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、深圳市人力资源和社会保障局信息安全服务项目招标书深圳市人力资源和社会保障局深圳市人力资源和社会保障局20172017 年年 4 4 月月本文档版权归深圳市人力资源和社会保障局所有，未经深圳市人力资源和社会保障局书面批准，本文档中的任何内容都不允许被宣传、传播和发布。根据工作需要，我局决定就深圳市人力资源和社会保障局信息安全服务项目进行招标，有关事项说明如下：一、招标内容一、招标内容（一）项目背景（一）项目背景为确保深圳市人力资源和社会保障局信息系统的稳定、安全运行，结合 2017 年深圳市党政机关信息安全联合检查和绩效评估要求，特对“深圳市人力资源和社会保障局 2017 年信息安全服务”项目

2、进行公开招标。依据国家、深圳市信息安全相关法规和指引文件，针对深圳市人力资源和社会保障局信息系统进行信息安全风险评估、信息安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、信息技术产品和服务国产化情况、安全教育培训情况、责任追究情况、安全隐患排查及整改情况等信息安全联合检查安全服务和绩效评估信息安全顾问服务，对安全服务过程中发现的脆弱点和问题提出科学、可行、有效的修复加固计划和建议，建立符合国家标准和深圳市电子政务要求的信息安全管理体系，并在服务期内，使系统长期保持在较安全的运行状态下。（二）（二）投标人要求投标人要求 1、投标人必须为市政府采购中心注册供应商； 2、投标人须为独

3、立法人机构；3、本服务项目不允许联合体形式投标；4、具有中国信息安全测评中心颁发的信息安全服务资质认证证书或广东省公安厅颁发的广东省计算机信息系统安全服务等级证；5、供应商须提供近三年内（即至少从 2014 年 4 月开始起算，供应商成立不足三年的可从成立之日起算）无行贿犯罪记录承诺；6、投标价格不高于人民币投标价格不高于人民币 4444 万元万元。（三）服务内容（三）服务内容见深圳市人力资源和社会保障局信息安全服务项目需求说明书(见附件)。二、投标文件编制有关要求二、投标文件编制有关要求贵公司如接受邀请决定参加投标，请按以下要求编制投标文件 1 式 3 份，其中正本 1 份，副本 2 份（

4、投标文件的正本及所有副本的封面均须加盖投标人法人公章并加盖骑缝法人公章），内容包括但不限于：（一）贵单位简介，加盖公章的营业执照、相关资质复印件。（二）本次服务的工作方案。（三）本次服务报价（以人民币为计量单位）。三、投标文件的递交三、投标文件的递交（一）投标文件的密封和标记（一）投标文件的密封和标记1、投标人应将投标文件正本及副本分开各用两个封套装好密封，且在封套上标明“正本” “副本”字样。封套的封口处须加盖投标人法人公章。2封套应注明：“收件人：深圳市人力资源和社会保障局信息安全服务项目”投标文件北京时间 2017 年 6 月 2 日 14:30 时之前不得启封”的字样。3如果封套未

5、按投标人须知要求密封和加写标记，招标人对误投或过早启封概不负责。（二）投标截止时间（二）投标截止时间1、投标文件递交开始时间：北京时间 2017 年 6 月 2 日 9:00。2、投标文件递交截止时间：北京时间 2017 年 6 月 2 日 14:30。3、投标人务必于截止时间前，将有关文件按要求送达深圳市深南大道8005 号深圳人才园 1069。4、在推迟了投标截止时间的情况下，招标人和投标人受投标截止时间制约的所有权利和义务均应延长至新的投标截止时间。5、招标人将拒绝并原封退回在规定的投标截止时刻后收到的任何投标文件。6、截至开标时，如不够三家投标人，本招标工作无效。无论投标结果如何，投标

6、者自行承担投标发生的所有费用。（三）投标人在递交投标文件后，投标人不得对其投标文件做任何修改，亦（三）投标人在递交投标文件后，投标人不得对其投标文件做任何修改，亦不得撤回其投标文件。不得撤回其投标文件。四、开标与评标四、开标与评标（一）开标（一）开标1、开标时间：北京时间 2017 年 6 月 2 日 14:30 时2、开标地点：深圳市深南大道 8005 号深圳人才园 1071（二）评标小组（二）评标小组本次招标组建评标小组，评标小组由 3 人组成。本次招标组建监督小组，监督小组由 2 人组成。（三）（三）评标原则和方法评标原则和方法1、评分明细及标准序号评分项权重1价格20 评标方法：

7、综合评分法平均价格下浮比例： 5% 评标方法说明：价格分计算方法可分两种：方法一：价格分=1-（投标报价-最低价）/最低价20100;当价格分0 时，取 0。方法二：价格分= 1-A投标报价Z 20100 Z-即本次招标的最佳报价，即对所有通过资格性检查和符合性检查且报价不超过预算控制金额的有效投标报价取算术平均值，并对算术平均值下浮 10%作为本次招标最佳报价。 -价格调整系数，当投标报价低于本次招标最佳报价时,A=0.5;当投标报价高于本次招标最佳报价时,取 A=1。说明：投标供应商数量若不少于 7 家,采用方法二；否则，采用方法一。2技术服务50 序号评分因素权重评分方式评

8、分准则1服务方案设计12专家打分考察内容：服务方案设计是否合理可行；项目进度安排是否合理；对招标文件的各项需求和要求及实现是否给予响应，是否实现本项目的各项需求；每项横向比较，分档评分：评价为优得 80%-100%分数；评价为良得 60%-80%分数；评价为中得 30%-60%分数；评价为差不得分。2拟安排的项目经理情况6专家打分项目经理如具有信息系统项目管理师（仅限工信部或人社部颁发）或 PMP 证书或 CISSP 注册信息系统安全专业人员认证资质或 ITIL 认证资质的，每项证书得 2 分，最高得 6 分；都不具备，得 0 分。要求提供该人员近 3 个月社保资料（网页截图或窗口

9、打印资料或社保部门出具的证明均可）扫描件（原件备查）作为评标依据。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。3拟安排的项目团队成员情况6专家打分1 名驻场项目团队成员工程师如同时具备“CISP 注册信息安全专业人员”和 “CISAW 信息安全保障人员认证”认证资质，得 6 分；只提供其中一种认证证书，得 3 分；否则，得 0 分。要求提供项目团队人员近 3 个月的社保资料（网页截图或窗口打印资料或社保部门出具的证明均可）扫描件（原件备查）作为评标依据。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分

10、处理。4自主研发安全产品6专家打分1、投标人提供的网站在线安全实时监控产品为自主研发且具有计算机软件著作权登记证书，得 4 分；否则，得 0 分。 2、投标人提供的网站监控产品提供相关的产品专利技术证明，得 2 分；否则，得 0 分。以上两项证明提供扫描件（原件备查），评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。5自备安全扫描设备10专家打分为保障安全扫描服务质量，投标人须自备绿盟极光硬件漏洞扫描系统（版本不低于 V5.0，型号不低于 RSAS-S）与安恒明鉴扫描设备（版本不低于 V6.0 型号不低于 DAS-WS00-0）各一台。

11、两项都符合得 10 分，否则得 0 分。投标人须提供具备上述设备的书面承诺。6安全监控及预警能力10专家打分提供不少于 3 个城市 IDC 机房（每个城市均应包括移动、联通和电信运营商）部署监控探头证明文件，得 4 分，没有不得分；为政府部门监管大规模政府网站提供安全监控服务的经验，并提供相关方案及监控截图等证明文件得 3 分，没有不得分；投标方须建立网站安全监控室及监控展示平台，提供 724 人工监控服务。须提供文字图片、办公地址、24 小时值班电话等证明材料。满足得 3 分，没有不得分。 3综合实力25 序号评分因素权重评分方式评分准则1投标人资质情况20专家打

12、分1、深圳市网络与信息安全突发事件应急处置专业技术队伍成员得 4 分，无得 0 分；2、具有中国信息安全认证中心颁发的信息安全风险评估服务一级资质的得6 分，二级资质的得 3 分，其他得 0 分；3、具有国家信息安全认证中心授权的信息安全应急处理一级服务资质得 6 分，二级服务资质得 3 分，其他得 0 分； 4、具有国家信息安全测评中心授权的注册信息安全员与注册信息安全专业人员的培训资质得 4 分，无得 0 分。以上各项均须提供相关证明文件。2投标人业绩情况5专家打分投标人所签约的信息安全服务单位近三年（2014 年至 2016 年）在深圳市党政机关信息安全联合检查情况通报文件

13、中有被通报表扬的情况，每提供一个得 1 分，最高得 5 分。证明文件： 1、须提供在深圳市党政机关信息安全联合检查情况通报文件以及投标人服务合同关键页复印件加盖投标人公章, 原件备查； 2、没提供有效证明的，不得分。 4公司诚信5 序号评分因素权重评分方式评分准则1公司诚信5专家打分由供应商提供查询时间为本项目招标公告发布日之后的完整的企业信用信息资料截图证明或扫描件（以深圳信用网“信息打印”栏目中企业信用信息资料为准）；政府采购行政处罚记录查询情况由本项目评标委员会在评标时通过深圳市政府采购网系统查询。根据深圳信用网() 和政府采购行政处罚记录查询情况，投标人没有“

14、警示信息”的得 5 分，有“警示信息”的得 0 分。未提供深圳信用网企业信用信息资料的，或提供的内容不完整或不符合要求的得 0 分。2、由我局自行组织有关人员组成采购评标小组（以下简称“评标小组”）按有关规定进行评标。3、评定方法(1)采用综合评标法，由采购评标小组确定中标单位，综合评估分最高的为中标候选人。(2)综合评估分：综合评估分（精确到小数点后两位)= 价格得分+技术服务得分+综合实力得分+公司诚信得分。 (3)将综合评估分从高到低排序，得分相同的，按投标报价由低到高顺序排列。得分且投标报价相同的，按技术得分高低顺序排列。（4）如合格投标人不够三家，本招标工作无效。（四）中标价格

15、（四）中标价格中标人的报价即为中标价格。（五）招标人的权利（五）招标人的权利招标人确定中标人后，无义务向未中标的投标人解释其未中标的原因。五、纪律与相关事项五、纪律与相关事项1.除投标人被要求对投标文件进行澄清外，从开标之时起至被授予合约书期间，投标人不得就其投标文件有关的事项主动与评标小组、招标人联系。2.从开标之时起至授予合约书期间，投标人试图在投标文件审查、比较和评价时对评标小组和招标人施加任何影响或对招标人的授标决定进行影响，都可能导致其投标资格被取消。3.投标人不得串通作弊，以不正当的手段妨碍、排挤其他投标人，破坏公平竞争原则。4.投标人获取的邀请函不得用作本次投标以外的任何用途。5

16、.投标人应保证其提交给招标人的资料和数据是真实的，并承担相应的法律责任。6.投标人自行承担可能因资料遗漏、缺失等造成工作量估计不足的风险。7.投标人应承担所有与编写和提交资格文件、投标文件有关的费用，不论投标的结果如何，招标人在任何情况下均无义务和责任承担这些费用。六、有关本次招标之相关事宜，可以向招标人查询六、有关本次招标之相关事宜，可以向招标人查询招标人：深圳市人力资源和社会保障局联系人：李剑电话：0755-88123717深圳市人力资源和社会保障局2017 年 5 月 18 日附件：附件：深圳市人力资源和社会保障局信息安全服务项目需求说明书1 1、本次招标的本次招标的“信息安全信息

17、安全服务项目服务项目”主要内容主要内容1.根据深圳市信息安全风险评估指南和本年度信息化工作要求对深圳市人力资源和社会保障局包括业务系统、服务器、网络设备、安全设备等所有信息系统资产在内的信息系统进行信息安全风险评估；2.对深圳市人力资源和社会保障局信息系统进行全面梳理，协助深圳市人力资源和社会保障局依据信息系统的现状开展等级保护工作。3.根据2017 年深圳市政府绩效评估信息安全指标考评标准操作规程要求，定期提供业务系统服务器漏洞扫描、对外服务网站应用层漏洞扫描、网页防篡改状态检查、互联网安全保护技术状态检查、业务系统服务器恶意代码防范工具状态检查、个人终端漏洞扫描测试，并协助深圳市人力资源和

18、社会保障局对发现的问题和漏洞进行修复。4.对深圳市人力资源和社会保障局提供安全防范技术措施落实情况核查与优化、应急预案建设与演练、公众服务系统安全检测、安全培训等安全服务。5.完成2017 年深圳市党政机关信息安全联合检查工作方案规定的相关工作。2 2、信息安全服务内容信息安全服务内容明细明细及要求及要求（一）安全服务内容（一）安全服务内容序号大类描述子类工作内容全年次数序号大类描述子类工作内容全年次数资产分析分析所有信息资产（包括硬件、软件、文档和数据、人力、业务应用、物理环境、组织管理等）的稳定性、可靠性、保密性、可用性、完整性等安全属性，对涉及安全的关键资产进

19、行确认和划控。1威胁分析对资产（包括硬件、业务应用、物理环境、组织管理等）面临哪些潜在威胁，导致威胁的问题所在，威胁发生的可能性有多大等问题进行分析。1弱点分析从管理、技术两方面，全面分析系统存在的各种脆弱性，分析弱点被利用的可能性1现有措施分析分析已有的安全措施对安全风险的控制作用1风险分析计算并得出当前系统仍存在的风险，并给出相应控制和管理风险的建议1评估报告编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的风险评估报告11信息安全风险评估以信息资产为主线，分析信息系统可能面临的威胁，当前存在的弱点，以及弱点被袭击或带来破坏的可能性及影响，

20、以此为基础对当前信息系统的安全风险进行分析和定义。根据联合检查要求完成本年度的风险评估工作。评估总结编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的评估总结12017 年度信息安全联合检查整改完善并落实 2017 年度信息安全联合检查的整改工作12017 年度信息安全风险评估不可接受风险整改完善并落实 2017 年度信息安全风险评估的不可接受风险整改工作12信息系统加固修复对在上年度联合联合检查中发现的问题进行加固修复，包含但不限于联合检查整改、风评结论整改等。管理加固对现有信息安全管理体系中存在的问题进行优12序号大类描

21、述子类工作内容全年次数化和完善，并协助甲方完成相关文档的编写和宣传服务器加固对全网的服务器进行漏洞扫描，并针对漏洞扫描结果给出修复建议，协助甲方完成系统加固并进行加固复核。12网络加固对全网的网络设备和安全设备进行漏洞扫描，并针对漏洞扫描结果给出修复建议，协助甲方完成系统加固并进行加固复核。12应用系统和数据库系统加固为所有 B/S 和 C/S 架构的应用系统提供修复加固技术支持和优化服务。不限次数安全策略加固协助甲方对主机操作系统、应用系统的安全策略进行优化加固。12安全设备加固协助甲方对安全设备中的配置、策略进行加固修复12信息安全制度自查查找现有

22、信息安全管理制度与联合检查要求之间的差距.3信息安全制度自查与优化建立与完善信息安全管理体系信息安全管理体系建设服务建立与完善深圳市人力资源和社会保障局的信息安全管理机构、信息安全管理制度，建立符合我单位信息系统现状的信息安全管理体系。1外包软件安全检测对我单位使用的相关外包开发软件进行安全检测。涉密检查协助我单位对非涉密存储介质进行检查。检查内容包括：非涉密设备存储、处理、传输涉密信息、非法外联、物理隔离、移动存储介质的混用、监控软件状态等不限次数4安全防范措施自查与优化检查现有信息系统中安全防范措施的落实情况，对不符合检查要求的现

23、状和措施进行优化和整改计算机资产统计收集统计我单位在使用的计算机资产下列信息，包含：a）计算机主机名；1序号大类描述子类工作内容全年次数b）计算机 IP 地址；c）计算机 MAC 地址；d）计算机使用人或责任人；e）计算机所属部门；f）计算机的物理位置；g）服务器的内外网 IP 对应。安全防范技术措施有效性检查检查我单位信息系统现有安全防范技术措施的有效性。不限次数应急预案建设对我单位所有等保二级及以上信息系统和对公众服务的信息系统制定科学、有效的应急预案应急预案制定应急技术支援队伍的建设针应急预案的特点，建立合理、高效的应急技术支援队伍演练计划制定对我单

24、位所有等保二级及以上信息系统和对公众服务的信息系统制定科学、合理地的应急演练计划演练预案培训就应急预案内容对信息化相关岗位人员进行培训应急预案演练应急演练实施对应急预案进行演练，验证其可行性，并对发现的问题进行修正5应急体系建设与演练建立符合信息系统现状的科学有效的应急预案，并制定演练计划进行预案演练和验证应急预案修订结合应急预案演练情况对预案进行修订和完善16信息安全服务为我单位信息系统提供例行全面的专业信息安全服务顾问咨询对系统改造、扩建，新系统的上线等提供技术论技术方案咨询：就新应用系统上线或网络结构改造、扩容等提供技术方案设计不

25、限次序号大类描述子类工作内容全年次数技术论证咨询：对新的安全体系的技术特点、功能进行论证证和安全咨询技术交流咨询：就信息安全领域新的技术、体系与客户分享行业动态通报：对信息安全领域的动态进行通报安全漏洞通报：对新出现的安全漏洞进行通报安全通报定期通报安全行业动态、系统漏洞和病毒预警信息病毒安全通报：对新出现的较严重病毒进行通报不限次数7协助完成安全自查及对直属单位信息安全检查对直属单位组织开展信息安全检查工作协助深圳市人力资源和社会保障局对直属单位的信息安全按绩效评估内容进行检测与检查，采用自查与抽查相结合方式进行检查，并对信

26、息安全检查结果通报，指导相关单位完成信息安全整改工作1服务器安全防护每季度对单位服务器进行一次漏洞扫描，并协助对发现的漏洞进行整改。4网站安全防护每季度对单位门户网站提供一次应用层漏洞扫描，并协助对发现的漏洞协助整改。48信息安全绩效监测综合服务终端安全防护每季度对配置 IP 地址的设备漏洞扫描，如发现问题，对发现的漏洞协助整改。4序号大类描述子类工作内容全年次数9联合检查相关服务未在上述逐一列举的 2017 年信息安全联合检查的其它服务严格按照 2017 年信息安全联合检查要求的，准时、优质的完成各项服务不限次数（二）安全服务要求1.漏洞扫描服务要

27、求（1）每季度第一个月 15 日前，投标方需要制定深圳市人力资源和社会保障局本季度的信息系统及主机扫描计划（包含扫描时间、扫描设备信息、负责人等），通过部署在内网的深圳市党政机关信息安全联合工作平台（以下简称“工作平台”）报送评估单位，并严格按照扫描计划开展信息系统及主机漏洞扫描工作。（2）投标方在扫描开始前须对使用的扫描设备进行升级操作，确保扫描设备处于最新更新状态；进行扫描操作时，扫描设备与被扫描设备不能有防火墙隔离。（3）在每季度末月份 30 日前通过工作平台报送当季度的服务器漏洞扫描报告。（4）风险评估脆弱性识别过程中，投标方需要对深圳市人力资源和社会保障局风评范围内设备、系统进行漏洞

28、扫描。（5）投标方需要对深圳市人力资源和社会保障局的设备（已设置网络地址的服务器、终端、网络设备、打印机、一体机等）进行弱口令扫描。（5）扫描结束后，编制主机信息系统漏洞扫描报告，提交至深圳市人力资源和社会保障局，督促并协助其对主机信息系统的漏洞进行修复。（7）扫描频次：每月 1 次。（8）为保障安全扫描服务质量，投标人须为采购人提供绿盟极光硬件漏洞扫描系统与安恒明鉴扫描设备一年免费使用。设备名称及型号配置数量绿盟远程安全评估系统版本不低于 V5.0型号不低于 RSAS-S1 台安恒明鉴 Web 应用弱点扫描器版本不低于 V6.0型号不低于 DAS-WS00-01 台2.系统渗透测试服务要求（

29、1）投标方需要定期对深圳市人力资源和社会保障局信息系统、终端、服务器、网络设备及数据库进行安全检测并编制漏洞检测报告，如发现问题及时通知并协助整改。（2）投标方需要定期为深圳市人力资源和社会保障局及直属单位门户网站进行渗透测试工作，并制定信息系统网站渗透测试报告，如发现问题及时通知并协助整改。（3）渗透频次：每季度 1 次（4）渗透范围：深圳市人力资源和社会保障局（含直属单位）所有信息系统（含网站）和 IP 地址。3.信息安全制度建设落实服务要求（1）按照联合检查相关指标要求并结合深圳市人力资源和社会保障局实际情况，投标方需要协助深圳市人力资源和社会保障局建立信息安全管理职能部门，编制各项信息

30、安全制度及信息安全制度的相关执行记录。（2）需要制定和完善信息安全制度，包括但不限于以下方面的制度：机房安全管理制度用户安全管理制度网络安全管理制度计算机房及服务器安全管理制度设备和资产管理安全管理制度备份与恢复管理制度密码管理制度安全审计管理制度安全事件报告和处置管理制度信息发布、审查、登记、保存、清除和备份制度系统管理员工作制度（3）需要按信息安全制度要求保存相关执行纪录。4、信息系统等级保护服务要求（1）投标方需要协助深圳市人力资源和社会保障局对所有信息系统定级并备案（含在规划、设计阶段的信息系统的及承担行政审批功能的信息系统）。（2）投标方需要对 5 个等级保护二级级信息系统进行差距测

31、评，提交测评中不符合项目的整改方案，对完成整改工作提供技术指导，监督整改进展，协助深圳市人力资源和社会保障局按信息安全主管部门要求完成等级保护其它相关工作，确保等级保护测评工作顺利通过。（3）投标方需要协助深圳市人力资源和社会保障局协助 5 个等保二级及以上信息系统已通过测评，并向公安部门提交等级测评报告；有等保二级及以上信息系统未通过测评，向公安部门提交了等级测评报告，并制定了整改方案。（4）投标方需要提供一年专业技术人员驻场服务指导，建立等级保护相关管理体系、制度体系、技术体系，对深圳市人力资源和社会保障局进行等保实施相关培训及技术指导。（5）等级保护范围：人力资源信息系统、社保系统，公职

32、人员综合管理系统，局办文系统、社保办文系统。5、信息安全风险评估服务要求（1）投标方需要设立深圳市人力资源和社会保障局风险评估各个环节的负责人并职责明确具体；制定年度风险评估计划，内容完整，并按计划执行；制定风险自评估实施方案，内容完整；形成风险自评估报告和总结。（2）风险评估过程中，对深圳市人力资源和社会保障局的重要资产识别无遗漏，威胁识别全面，风险评估报告和总结需要符合深圳市人力资源和社会保障局实际情况，无错漏和前后矛盾。（3）服务器、安全网络设备均进行主机层面漏洞扫描，信息系统（C/S 架构除外）需要进行应用层漏洞扫描。（4）截止到检查日期，上期不可接受风险整改落实情况，全部整改完；制定

33、本期不可接受风险整改计划。（5）评估次数：全年 1 次。（6）风险评估范围：深圳市人力资源和社会保障局所有信息化资产。（7）风险评估资质：服务厂商需具备中国信息安全认证中心颁发的信息安全风险评估服务二级及以上资质。6、信息系统上线前安全检测服务要求（1）投标方需要在深圳市人力资源和社会保障局的新业务系统上线之前，对其系统网络层面、主机系统软件、安全配置、应用程序漏洞等进行安全评估，以确保系统上线后得到安全保障。（2）投标方需要对深圳市人力资源和社会保障局的网络环境、主机环境等多个层面对系统整体进行安全检测，使用网络层扫描工具、应用层扫描工具进行交叉扫描，从整体上发现系统可能存在的安全弱点，从不

34、同层面对系统进行评估和改进，保障系统上线后能够安全稳定运行。7、信息系统应急响应及演练要求（1）投标方需要为深圳市人力资源和社会保障局制定及修订应急预案。（2）协助深圳市人力资源和社会保障局完成至少 1 个网站信息系统的数据库备份及恢复演练，并记录其演练过程。（3）为深圳市人力资源和社会保障局制定局网站信息系统的数据库备份及恢复演练的应急演练报告。（4）应急资质：服务厂商需具有国家信息安全认证中心授权的信息安全应急处理二级及以上服务资质。8、安全教育培训要求（1）投标方需要为深圳市人力资源和社会保障局制订本年度信息安全相关人员（含服务外包人员）的信息安全专业技能培训计划并收集培训凭证。（2）至

35、少开展 1 次对深圳市人力资源和社会保障局全体工作人员的信息安全知识培训，制订培训计划（包括培训时间、地点、参与人员、数量以及培训内容等），并提交培训记录（培训记录必须包括培训时间、地点、参加培训人员签到表、应培训人数、参加培训人数、职位、培训内容、参加培训最高领导等信息）。（3）协助深圳市人力资源和社会保障局组织开展 4 次信息安全专题培训，并根据培训计划组织培训并做好记录（培训时间、参与人员、培训主题等信息）。（4）教育培训资质：服务厂商需具有国家信息安全测评中心授权的注册信息安全员与注册信息安全专业人员的培训资质。9、直属机构信息安全检查服务要求（1）投标方需要协助深圳市人力资源和社会保

36、障局成立安全检查工作组，并下发安全检查相关文件；召开安全检查专题会议；制订安全检查方案，并对自查工作进行过督导；采用自查与抽查相结合方式进行检查。（2）协助深圳市人力资源和社会保障局督导信息系统自行建设和维护的直属单位开展信息安全工作，对直属单位提供漏洞分析及风险整改技术指导。10、联合检查自查及迎检服务要求（1）需要协助深圳市人力资源和社会保障局按照政府部门信息安全检查操作指南开展信息安全相关自查工作，收集相关工作文档，及时汇总自查结果并上报至工作平台，在 8 月 30 日前完成；协助深圳市人力资源和社会保障局根据自查情况开展整改，对完成整改工作提供技术指导，并监督发现问题的整改进展。（2）

37、按照本年度为深圳市人力资源和社会保障局完成的联合检查及绩效评估相关指标的实际情况，编制并装订深圳市人力资源和社会保障局联合检查现场检查资料汇编，协助深圳市人力资源和社会保障局完成上级监管单位的联合检查现场检查工作。11、网站及重要系统实时监控服务要求（1）网站可用性监控要求：域名劫持监控要求：动态解析域名所对应的 IP 地址，一旦发现所解析出来的 IP 地址与预先设定的值不相符则发出告警。网站可用性监控要求：实时监控HTTP/HTTPS 网站域名可访问情况发现问题实时预警，所监控的异常类型包括DNS 解析异常、协议错误、URL 不合法、无路由器跳转到主机、socket 连接请求被拒绝等 12

38、种类型。全网性能分析要求：通过多点探头，对网站的 DNS 解析、建立链接、服务器计算、内容下载等性能指标进行分析。全网可用性监控要求：通过在不同地区、不同运营商（电信、联通、移动）的网络中部署监控探头，来发现不同网络出口的访问状况，如 DNS 解析地域差异、多链路出口差异等问题，发现问题实时预警。监控频率要求：不超过 10 分钟间隔。预警方式要求：能够通过短信、邮件、电话等方式预警。（2）网站安全性监控要求：网页挂马监控要求：利用丰富的挂马特征库对网页中存在的木马、病毒、恶意脚本等恶意代码进行定性分析和预警。违规文字审查要求：对网站文字进行自动化提取分析，通过比对非法文字特征库，对满足特征的

39、文字（反动、分裂、暴力、色情等）进行定性分析预警。关键栏目变动审计：对网站首页内容变动情况进行审计，包括新增、删除链接。监控频率要求：不超过 60 分钟间隔。预警方式要求：能够通过短信、邮件、电话等方式预警。网站资源监控要求：利用搜索引擎技术，通过所配置的频率对网页进行循环扫描，将网站页面抓取到监控系统进行增量式存储，对网站静态页面（html、htm 等）、脚本（包括css、javascript、vbscript 等）、图片、可执行文件（如 EXE 文件、activeX控件等）及网站其他资源进行统计分析。监控范围包括网站内部资源（本域名下的资源）和网站外部资源（非本域名下的外链）。（3）网站监

40、控服务要求：建立 724 小时人工值班团队：投标方需建立网站安全监控室及大屏监控展示平台，组建 724 人工值守团队，提供专家全天候实时分析服务。（网站安全监控室可现场核查）。有自主知识产权的网站监控服务产品：网站监控产品需有独立自主知识产权，需提供相关的产品登记登记证明。在全国主要城市IDC 部署监控探头：全国主要城市部署探头，解决“南北互通”问题，实现全网模拟，提供不少于 3 个在主要城市 IDC 机房部署监控探头证明文件；具有为政府单位服务过的经验：为政府部门网站提供安全监控服务的经验，并提供相关方案及监控截图等证明文件。（4）网站安全范围要求：直属单位 5 个站点，深圳市人力资源和社会

41、保障局约 8 个站点，全年总计应不超过 14 个站点。14.配合完成 IT 运维系统信息安全管理功能模块建设结合深圳市政府绩效评估信息安全指标和党政机关信息安全联合检查工作要求，为规范化、标准化招标人信息安全管理工作的开展，投标人需配合深圳市人力资源和社会保障局完成 IT 运维系统信息安全管理功能模块建设工作，主要包括协助提供建设需求、配合测试系统，使用本系统完善信息安全工作。12、项目技术团队要求项目技术团队包括驻场服务团队及后台专家至少 7 人，具体包括：1 名项目经理、1 名开发工程师、2 名信息系统渗透工程师、4 名安全服务工程师（其中 2 名安全服务工程师常驻甲方现场，遇紧急任务时

42、可临时加派人员）。项目团队成员需提供证书及社保证明材料。3 3、技术响应要求技术响应要求招标技术响应要求包括但不限于： 1.投标文件技术响应不能与事实不符或虚假投标； 2.投标人不能复制招标文件的技术规格相关部分内容作为其投标文件的一部分； 3.技术规格偏离表不能填写不明或不实； 4.不能够将一个包中的内容拆开投标； 5.不能出现明显不符合技术规格、技术标准要求的内容；4 4、项目组织实施要求项目组织实施要求（一）项目管理和实施要求（一）项目管理和实施要求1 项目人员要求中标方必须根据本项目的特点，组建一支技术经验丰富、人员相对稳定的运维团队（不少于 7 人）为项目服务。其中专职驻场运维人员

43、不少于 2 名。项目执行过程中，采购方有权对运维团队人员进行考核和评价，不符合条件人员，采购方有权要求中标方及时更换。2 投标人必须在投标文件中明确项目运维计划。（二）工期要求（二）工期要求本项目要求乙方必须在合同约定日期开始提供满足所有需求的服务，服务期为一年。如不能按时提供，采购方有权提前终止合同。（三）培训要求（三）培训要求投标人应制定明确的培训计划和安排。（四）服务时间要求（四）服务时间要求服务期为 1 年。合同服务期满后，采购单位可根据中标供应商履约情况和服务质量确定合同期限是否延长，但最长不超过 3 年。（五）（五）验收条件验收条件1.验收依据：招标文件、投标文件及国家有关的质量、服务标准规定，均为验收依据。；2.项目验收：根据招标人要求进行验收。

展开阅读全文