市白云湖水利工程管理处
来源:监理师 发布时间:2020-11-05 点击:
广州留学人员服务中心
0 2020 年等级保护和信息安全运维项目
招标需求
项目编号:
编制单位:
广州留学人员 和高层次人才 服务中心
二○ 二○ 一九 年八月
II 目录
第一章
项目概述
................................ ................................ ................................ ....................
5 54 4
1.
项目名称 .......................................................................................................................... 54
2.
项目承担单位及负责人 .................................................................................................... 54
3.
项目规模、模式 ............................................................................................................... 54
4.
项目目标及绩效 ............................................................................................................... 65
5.
项目周期 .......................................................................................................................... 65
6.
项目运维内容一览表 ........................................................................................................ 65
7.
项目总投资及来源 ............................................................................................................ 76
第二章
现状及需求分析
................................ ................................ ................................ .........
8 87 7
1.
信息化现状 ....................................................................................................................... 87
1.1 信息化现状概述 ......................................................................................................... 87
1.2 信息化资源清单 ......................................................................................................... 87
2.
存在主要问题 ............................................................................................................... 1110
3.
需求分析 ...................................................................................................................... 1211
3.1 信息安全服务 ......................................................................................................... 1211
3.2 信息系统等级保护 ................................................................................................. 1312
第三章
运维服务主要内容
................................ ................................ ............................... ..
14 13
1.
运维整体概况 ............................................................................................................... 1413
1.1 整体服务内容及任务 .............................................................................................. 1413
1.2 服务方式 ................................................................................................................ 1413
1.3 服务原则 ................................................................................................................ 1514
2.
基础设施维护 ............................................................................................................... 1514
3.
软件及数据资源维护 .................................................................................................... 1615
4.
驻场运维人力服务 ........................................................................................................ 1615
4.1 人力服务需求概况 ................................................................................................. 1615
4.2 单位运维人力服务 ................................................................................................. 1615
4.3 技术服务人员配备 ................................................................................................. 1716
4.4 人员资质要求 ......................................................................................................... 1716
4.5 技术服务人员需求 ................................................................................................. 1716
5.
业务系统云平台迁移 .................................................................................................... 1817
6.
信息安全服务 ............................................................................................................... 1918
6.1 安全巡检 ................................................................................................................ 1918
6.2 漏洞扫描 ................................................................................................................ 2019
6.3 安全加固 ................................................................................................................ 2120
6.4 安全通告 ................................................................................................................ 2221
域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改
II 6.5 应急响应 ................................................................................................................ 2423
7
相关服务 ....................................................................................................................... 2524
7.1 信息系统等级保护 ................................................................................................. 2524
7.2 安全测评 ................................................................................................................ 2625
7.3 第三方验收测评 ..................................................................................................... 2625
第四章
运维服务时限
................................ ................................ ................................ .........
27 26
第五章
项目管理
................................ ................................ ................................ ................
28 27
1.
项目周期管理 ............................................................................................................... 2827
2.
风险分析 ...................................................................................................................... 2928
第六章
项目总投资概算
................................ ................................ ...........
错误!未定义书签。
29
1.
总投资概算 ......................................................................................... 错误! ! 未定义书签。29
2.
基础设施维护的资金概算 ................................................................... 错误! ! 未定义书签。29
3.
软件及数据资源维护的资金概算 ........................................................ 错误! ! 未定义书签。29
4.
驻场运维人力服务的资金概算 ............................................................ 错误! ! 未定义书签。29
5.
业务系统云平台迁移的资金概算 ........................................................ 错误! ! 未定义书签。29
6.
信息安全服务的资金概算 ................................................................... 错误! ! 未定义书签。30
7.
配套费用的资金概算 .......................................................................... 错误! ! 未定义书签。30
8.
资金来源与落实情况 .......................................................................... 错误! ! 未定义书签。30
第七章
本单位信息系统运行的保障机制
................................ ...................
错误!未定义书签。
31
1.
运维管理机制 ..................................................................................... 错误! ! 未定义书签。31
1.1 项目管理内容 ............................................................................... 错误! ! 未定义书签。31
1.2 项目验收 ...................................................................................... 错误! ! 未定义书签。31
2.
运维执行机制 ..................................................................................... 错误! ! 未定义书签。32
2.1 运维体系的实施保障 .................................................................... 错误! ! 未定义书签。32
2.2 项目运行维护机构 ....................................................................... 错误! ! 未定义书签。35
2.3 运维人才队伍的培养 .................................................................... 错误! ! 未定义书签。35
第八章
附录和附件
................................ ................................ ..................
错误!未定义书签。
38
第一章
项目概述
................................ ................................ ................................ ....................
5 53 3
1.
项目名称 ........................................................................................................................... 53 2.
项目规模、模式 ................................................................................................................ 53 3.
项目目标及绩效 ................................................................................................................ 63 4.
项目周期 ........................................................................................................................... 64 5.
项目运维内容一览表 ......................................................................................................... 64 6.
项目总投资及来源 ............................................................................................................. 74 第二章
现状及需求分析
................................ ................................ ................................ .........
8 85 5
域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改域 代 码 已 更 改
II 1.
信息化现状 ........................................................................................................................ 85 1.1 信息化现状概述 .......................................................................................................... 85 1.2 信息化资源清单 .......................................................................................................... 85 2.
存在主要问题 .................................................................................................................. 118 3.
需求分析 ......................................................................................................................... 129 3.1 信息安全服务 ............................................................................................................ 129 3.2 信息系统等级保护 .................................................................................................. 1310 第三章
运维服务主要内容
................................ ................................ ............................... ..
14 11
1.
运维整体概况 ................................................................................................................ 1411 1.1 整体服务内容及任务 ............................................................................................... 1411 1.2 服务方式 ................................................................................................................. 1411 1.3 服务原则 ................................................................................................................. 1512 2.
基础设施维护 ................................................................................................................ 1512 3.
软件及数据资源维护 ..................................................................................................... 1613 4.
驻场运维人力服务 ......................................................................................................... 1613 4.1 人力服务需求概况 .................................................................................................. 1613 4.2 单位运维人力服务 .................................................................................................. 1613 4.3 技术服务人员配备 .................................................................................................. 1714 4.4 人员资质要求 .......................................................................................................... 1714 4.5 技术服务人员需求 .................................................................................................. 1714 5.
业务系统云平台迁移 ..................................................................................................... 1815 6.
信息安全服务 ................................................................................................................ 1916 6.1 安全巡检 ................................................................................................................. 1916 6.2 漏洞扫描 ................................................................................................................. 2017 6.3 安全加固 ................................................................................................................. 2118 6.4 安全通告 ................................................................................................................. 2219 6.5 应急响应 ................................................................................................................. 2421 7
相关服务 ........................................................................................................................ 2522 7.1 信息系统等级保护 .................................................................................................. 2522 7.2 安全测评 ................................................................................................................. 2623 7.3 第三方验收测评 ...................................................................................................... 2623 第四章
运维服务时 限
................................ ................................ ................................ .........
27 24
第五章
项目管理
................................ ................................ ................................ ................
28 25
1.
项目周期管理 ................................................................................................................ 2825 2.
风险分析 ....................................................................................................................... 2926
II 第一章 项目概述 1. 项目名称 项目名称:广州留学人员服务中心 2020 年等级保护和信息安全运维项目 2. 项目承担单位及负责人 项目承担单位:广州留学人员服务中心 项目负责人:
汪宏飞 单位概况:
广州留学人员服务中心作为落实广州市留学人员和高层次人才优惠政策的服务窗口,经过多年的发展和探索,有效整合了教育部、人社部、国家留学基金委相关资源及广州留学回国服务职能,先后建立了留学人员和高层次人才“一站式”服务平台,实现“一站式受理、一次性告知、一条龙服务”的链条式服务,累计为超过 11 万名留学人员、高层次人才提供了综合服务和帮助。
2018 年,广州留学人员服务中心对标十九大工作要求,顺应形势发展需要努力建设“一窗口两平台一体系”,进一步加强窗口建设,完善留学人员、高层次人才两个服务平台,努力构建留学回国人员就业创业服务体系,为广州实施人才强市战略、打造人才高地提供坚强有力的人才支撑。
23. 项目规模、模式 项目规模:
本期项目维护的内容包括两部分,如下:
信息安全服务 信息系统等级保护
II 项目模式:
考虑我单位人力资源有限,本项目按完全外包运维模式开展。
43. 项目目标及绩效 本单位运维建设的总体目标是在原有维护体系的基础上,进一步完善和提升信息化运维的手段和内容,维护广州留学人员服务中心各项业务相关软硬件设施上的正常运行,本项目需要实现以下目标:
对我单位留学人员人事电子档案服务系统开展等级保护服务。
在本项目服务周期内对广州留学人员服务中心网络及信息化软硬件提供信息安全服务。
通过促进广州留学人员服务中心信息化运维工作更加规范化、专业化和高效化,从而建立起以主动服务为主导思想的信息化管理及安全服务体系,提升整体信息化支持能力,为我单位的信息化建设提供规范、高效、稳定的整体支撑环境,保障各项日常工作及业务的稳定开展,更好的提升我单位的业务管理服务能力和服务效率。
54. 项目周期 本项目维护服务周期为 1 年。
65. 项目运维内容一览表 本期项目内容如下:
序号
运维内容
备注
1 信息系统等级保护 对留学人员人事电子档案服务系统开展二级等保服务 2 信息安全服务 安全巡检、漏洞扫描、安全加固、加固和策略配置优化、安全保密技术检查、安全评估和应急响应 3 第三方验收测评
II 序号
运维内容
备注
4 安全测评
76. 项目总投资及来源 广州留学人员服务中心 2020 年等级保护和信息安全运维项目总投资为人民币 4 10.4 万元,资金来源为广州市财政资金。
II 第二章 现状及需求分析 1. 信息化现状 1.1 信息化现状概述 述 本项目涉及运维的硬件设备 132 台套,其中服务器 2 台、网络与安全设备 3台套、电脑等终端设备 127 台,以及应用系统、工具软件等。
1.2 信息化资源清单 我单位信息化软硬件资产如下:
1 1 )
硬件部分
序号
设备名称
设备型号
单位
采购时间
到保时间
数量
采购原价
( ( 万 元) )
备注
一
服务器
1 浪潮服务器 浪潮(ISTI)机架式 台 2011-12-30 2014-12-30 1 1.65 档案管理系统 2 服务器 DELL PowerEdge R320 台 2017-1-20 2020-1-20 1 0.94 中控服务器 服务器 资产总额合计 2.59
二 网络与安全设备
3 交换机 华为 S5700-28P-PWR-LI(AC) 台 2017-1-20 2018-1-20 2 1.5
4 安 全 监 控系统 视频安全监控系统 套 2017-1-20 2018-1-20 1 3.73 新视频监控系
II 序号
设备名称
设备型号
单位
采购时间
到保时间
数量
采购原价
( ( 万 元) )
备注
统,包括视频工作站 1台、网络录像机 1台、16个摄像枪 5 网 络 存 储设备 爱数易享云设备
2018-07-31 2021-07-31 1 8.6
网络与安全设备 资产总额合计 13.83
三 终端设备
6 惠普台式计算机 HP 288 Pro G2 MT Business PC 台 2017-10-12 2020-10-12 20 12 办公电脑 7 台式计算机 HP 280 Pro G2 台 2017-7-13 2020-7-13 6 3 办公电脑 8 一体式台式计算机 HP ProOne 400 G2
台 2017-7-13 2020-7-13 4 2 办公电脑 9 联想台式计算机 联想启天 台 2018-11-30 2021-11-30 10 5.99 办公电脑 10 联想台式机 启天M610-D428 台 2019-7-31 2021-7-31 20 10.34 办公电脑 11 笔记本电脑/便携式计算机 DELL V3350 台 2011-12-25 2014-12-25 2 1.1 办公电脑 12 宏基便携式计算机
2017-09-29 2020-09-29 2 0.9976 办公电脑 13 HP 348 G3-01015002014 台 2017-9-20 2020-9-20 7 3.12 办公电脑
II 序号
设备名称
设备型号
单位
采购时间
到保时间
数量
采购原价
( ( 万 元) )
备注
14 清华同方 T45PRO-GAR-21066
台 2017-09-20 2020-09-20 10 5.543 办公电脑 15 联想便携式计算机联想 昭阳K32-80043 台 2018-09-28 2021-09-28 15 8.9925 办公电脑 16 华为便携式计算机 台 2019-07-04 2022-07-04 10 5.999 办公电脑 17 传真机 松下 KX-FL328CN 台 2016-9-7 2017-9-7 1 0.16
18 打印机 惠普 台 2011-12-18 2014-12-18 1 0.34
19 打印机 爱普生 台 2009-04-30 2012-04-30 1 0.31
20 速拍仪 紫图CK310 速拍仪 台 2015-11-22 2016-11-22 2 0.52
21 富可视投影仪 富可视投影仪 台 2016-08-14 2019-08-14 1 0.61
22 A4 自动馈纸式扫描仪 fuJitsu(富士通)
台 2018-07-31 2021-07-31 6 1.79
23 黑白 A4 打印一体机 HP(惠普)
台 2018-07-31 2021-07-31 4 1.18
24 A3 彩色多功能复合机 柯尼卡美能达 bizhub 台 2019-05-27 2022-05-27 1 4.48
II 序号
设备名称
设备型号
单位
采购时间
到保时间
数量
采购原价
( ( 万 元) )
备注
C308 25 固定资产条码打印机 斑马 GT810 台 2019-03-31 2022-03-31 1 0.4
26 排队叫号系统 快优排队机 KY-17、触摸式取号机 LED窗口屏通讯控制器 套 2013-12-30 2014-12-30 2 6.86 排队取号 终端设备 资产总额合计 75.73
2 2 )应用系统部分 序号
应用系统名称
系统功能描述
)
建设金额(元)
系统上线 时间
1 办公自动化系统 实现了中心人员公文管理、会议室管理、日程管理、公共信息、事务管理、来文公告、文档管理、个人办公、系统管理等功能 95000 2016.9
2. 存在主要问题 一、运维队伍的人员数量少,运维工作量压力较大 信息化运维工作需要一定数量的、有专业技术、有一定的业务知识的运维人才来支持和保障。基于我单位信息化人员编制有限,因人员少、工作重、后续培训少、工作环境艰苦等种种原因导致运维队伍不稳定、技术实力较弱等问题。由于配员不充裕,使现有运维人员身兼数职,工作压力较大,没有时间及精力研究和解决运维过程中的管理、技术以及业务等问题,使运维工作只能忙于表面,深
II 层问题得不到有效地解决,运维工作的质量和效率大打折扣。
为此,必须采用科学化、集约化的运维工作模式与方法,逐步完善我单位信息系统运维服务管理工作,实现信息化保障支撑管理从被动式无序管理向主动式流程管理转变,更好地满足业务工作的需要。
二、信息网络安全越来越重要 近年来,国家加大了对信息网络安全的重视,为保障我单位信息系统安全、高效、稳定运行,要求提供 IT 运维管理体系完善服务、漏洞扫描服务、安全加固服务、网站监控服务等信息安全服务。
三、服务要求越来越高 随着我单位各部门各项工作要求的不断提高,服务意识的不断增强,业务范围的不断拓展,目前正在使用的各应用系统也需要随着这种变化扩展和完善相关功能。如果不适应这种需求的变化及时对各应用系统进行升级完善,这些应用系统将在很短的时间内失去作用,各项工作也就会难以开展。
如果运维管理方面存在问题如不及时解决,可能会影响到我单位各项工作的正常开展,也势必将会制约我单位信息化管理水平的提高,因此,加强信息化运维管理建设很有必要。
3. 需求分析 3.1 信息安全服务 信息安全服务内容包括每季度对我单位网络及信息系统进行一次漏洞扫描,预防和发现安全漏洞,以便进一步采取应对措施;根据扫描的漏洞信息,进行响应的安全加固,提升系统安全性;实时对我单位信息系统进行安全监控,保障网站安全可用;定期发送安全公告信息,实时掌握安全漏洞及风险信息,实现提前预防安全威胁;配合我单位进行信息安全保密技术检查,防止关键信息被窃取或泄露;在出现重大突发事件时,及时进行应急事件处置,将可能导致的影响降低到可接受的程序。
II 3.2 信息系统等级保护 本项目需要对我单位 1 个系统开展信息系统等级保护(二级)服务,主要有以下工作内容:
1) 信息系统等级保护备案; 2) 信息系统等级保护差距测评服务; 3) 信息系统等级保护整改服务; 4) 信息系统等级保护验收测评服务。
II 第三章 运维服务主要内容 1. 运维整体概况 1.1 整体服务内容及任务 对我单位开展信息化资产清查,规范资产管理,清晰设备情况,提高设备使用率,降低维护费用。完善制定我单位资产管理制度,设备使用管理制度、设备管理组织职责体系。
建立完善的设备维护维修流程体系,加强服务时间及服务水平承诺管理,提供相应技术支持,提高事件解决以及维修速度。
开展服务体系建设,帮助我单位完善运维服务管理体系,建立维护管理制度,规范服务流程。
组建专业服务团队,定期对我单位信息化系统及网络开展信息安全服务,包括但不限于对服务器、网站、系统、网络等开展漏洞扫描、安全检测、安全巡检、安全加固等信息安全服务。
对我单位信息系统所发生的紧急安全事件,提供及时有效的应急响应服务,消除事件带来的负面影响。
对我单位留学人员人事电子档案服务系统开展等级保护服务,包括系统备案、测评验收等服务。
1.2 服务方式 7 7× ×4 24 小时电话咨询
提供应急响应值班人员,在 7×24 小时内设置由专人职守的热线电话,接受我单位的电话咨询服务请求。
II 7 7× ×4 24 小时应急服务
提供应急响应值班人员,在 7×24 小时时间内设置由专人职守的热线电话,接受我单位的应急响应服务请求。
派遣专业技术人员 2 小时内赶赴事故现场,进行现场服务。
1.3 服务原则 本项目提供的服务需遵循如下原则:
一、服务设计的合理性 服务设计要建立在对我单位需求的深入分析和全面了解,要能够为我单位信息系统发展目标和战略规划服务。服务设计的合理性体现在人员配置的合理性和服务管理的合理性。
二、服务设计的针对性 服务设计应基于我单位需求进行,应围绕我单位网络安全域内的网络设备、安全设备、主机设备和信息系统等展开。
三、服务设计的可操作性 服务体系应切实有效可行,服务设计要紧密结合我单位信息系统现状,要能够满足我单位的实际需求。
四、服务管理的规范性 对服务项目和运维服务人员的管理和规范科学,要借鉴国内外先进的 IT 服务管理经验和 ITSM 理念。
2. 基础设施维护 本期项目无基础设施维护服务。
II 3. 软件及数据资源维护 本期项目无软件及数据资源维护服务。
4. 驻场运维人力服务 4.1 人力服务需求概况 考虑到我单位目前现状,结合近两年的 IT 运维情况,为保证我单位各项信息化维护工作的顺利进行,运维过程中需组织项目管理团队和项目执行团队。
项目管理团队由我单位负责信息化管理相关人员组成,项目管理团队负责把控整体项目和项目执行团队的指导与管理;项目执行团队由运维服务商指派人员组成,项目执行团队分为一线服务团队和二线技术支持服务团队,一线服务团队将指派一名人员提供上门服务,二线技术支持服务团队由安全专家、服务咨询顾问、项目质量管理等组成。
为了确保运维服务响应的及时,因此要求 1 名技术人员进行现场服务,服务周期为一年。
该名技术人员主要开展系统等级保护服务;同时,提供信息安全服务。
一线技术人员提供现场技术支持服务和电话咨询服务; 一线技术人员按照我单位的临时性特殊要求,提供 7*24 应急响应服务; 遵循我单位日常运维规范进行日常性维护工作,并定期进行工作汇报。
4.2 单位运维人力服务 我单位运维管理主要依托信息化管理部门进行,信息化管理部门负责运维管理的主要人员有 1 名,重点是开展运维项目辅助管理,考核项目运维完成情况及绩效,做好本单位运维项目立项、招标、验收、归档工作。
II
单位运维人员统计表 序号 姓名 职务/岗位 工作职责 1 郭美红 系统管理员 负责信息化各项管理工作
4.3 技术服务人员配备 (1)项目经理 项目经理负责整个 IT 服务支撑团队的日常管理和整体运作,协调和处理团队内部的工作安排,负责同我单位信息化能力部门人员沟通和汇报,负责重大事项和问题的跟进和解决。负责所有 IT 服务支撑团队成员在服务过程中的质量控制,对整个团队的事件处理进行跟进和侧面评价,并周期性的进行用户的回访和满意度调查工作,同时输出相关测评报告、统计报表。
(2)一线服务工程师:2 名,负责系统等级保护工作开展及网络状况的评估和分析、故障处理、安装、调测等信息安全服务工作。
4.4 人员资质要求 本项目技术人员资质要求如下:
人员
专业经 验能力
专业技术能力
学习能力及学历
项目经理 五年以上专业工作经验 至少五个同类项目实施及管理经验 相当高级工程师认证 项目经理认证 本科以上 一线服务工程师 三个同类项目实施及管理经验 相当工程师认证
计算机大专或本科以上
4.5 技术服务人员需求 本期项目技术人员需求如下:
II 序号
技术人员
服务内容
人数
备注
1 项目经理 统筹项目总体工作开展 1 定期上门服务 2 一线技术服务人员 系统等级保护开展及网络及系统安全服务 2 定期上门服务
驻场运维人员需求统计 序号 工作内容 技术人员档次 工作时间 工作量(人/月)
依据 1 项目实施管理(项目经理)
第三档 7×24 小时 0.5 定期上门服务
2 技术服务工作(一线技术服务人员)
第一档 7×24 小时 11 定期上门服务
技术人员费用标准 级别 费用(万元/人·月)
备注 第一档 1.0 普通工程师 第二档 1.4 第三档 1.7 第四档 2.1 经验丰富的中级工程师 第五档 2.4 第六档 2.8 第七档 3.1 高级工程师、专家
5. 业务系统云平台迁移 本期项目无业务系统云平台迁移服务。
II 6. 信息安全服务 6.1 安全巡检 工作的必要性 我单位缺乏相关信息安全技术人员; 我单位缺乏相关信息安全检测技术和工具; 预期目标 通过及时发现存在的安全隐患,并根据运维现状提出合理的安全建议和措施。以降低我单位IT环境的安全风险以及符合等级保护要求。
工作范围 该项工作需包含我单位信息系统和办公自动化系统,以及其系统相关的服务器和相关主要设备、网络和信息安全设备、业务系统。
工作内容 每季度对用户的重要服务器、应用系统、网络设备、安全设备等信息资产进行安全检查,及时发现各类系统存在的安全漏洞,提供安全漏洞的详细描述和修复方案,并对漏洞进行修复。
服务对象
服务分解
服务说明
服务 要求
信息化软硬资产及网络 基线审计 对服务器、安全设备和网络系统进行专业检查和分析,对系统警告、异常情况、错误信息进行分析,发现可能存在的隐患,做到事前预防 人员 要求:由中级工程师(第四级)执行; 执行 频率:要求每季度进行一次,工作完成后策略优化 根据分析结果对安全策略进行调整和优化,对服务器和网络系统提出安全加固
II 与整改建议 5 天内提交巡检报告。
工作量 :单次 4人/日,合计 12人/日。
服务报告 提交巡检服务报告
6.2 漏洞扫描 工作的必要性 我单位缺乏相关信息安全技术人员; 我单位缺乏相关信息安全检测技术和工具; 预期目标 利用安全检测工具,对我单位的系统、主机、网络设备进行脆弱性和配置的合规性进行检测,及时发现问题,以降低因信息资产本身的脆弱性和不合规的配置带来的安全风险。
工作范围 该项工作需包含我单位信息系统和办公自动化系统,以及其系统相关的服务器设备操作系统、中间件、数据库系统。
工作内容 服务对象
服务分解
服务说明
服务 要求
信息化软硬资产及网络 资产识别 包括资产识别以及客户授权、实施工作计划等 人员要求:普通工程师(第一主机系统安全扫描 利用漏洞扫描系统对服务器的操作系统、网络设备、安全设备的各类安全问题测试,测
II 试内容包括共享目录、账户信息、账户口令、系统漏洞等系统基本信息进行扫描。
级)和中级工程师(第四级)执行; 执行频率:要求每季度进行一次,工作完成后 5 天内提交扫描报告。
数据库漏洞扫描 利用漏洞扫描系统对服务器运行的数据库系统进行安全测试,测试内容包括数据库帐户安全、漏洞测试等。
应用安全扫描 利用漏洞扫描系统针对服务器运行的基本应用服务(WEB 、DNS、FTP)进行安全测试,测试内容包括帐户安全、应用脚本安全测试。
安全扫描报告 根据扫描结果,组织综合关联分析,并提交扫描报告 安全加固方案 根据扫描报告提出安全加固方案及建议 6.3 安全加固 工作的必要性 我单位缺乏相关信息安全技术人员; 利用安全加固服务,可杜绝普遍存在的漏洞被不法人员所利用; 预期目标 通过对信息系统的漏洞跟踪及配置缺陷情况,提供各层次的专业加固服务,全面提升信息系统的安全保障能力。
提高主机与系统运行的安全性、可靠性。
工作范围 该项工作需包含我单位信息系统和办公自动化系统,以及其系统相关的服务器设备操作系统、中间件、数据库系统。
II 工作内容 服务对象
服务分解
服务说明
服务 要求
信息化软硬资产及网络 确定加固范围 根据需要进行安全加固的系统的实际需要,划定加固范围。要综合考虑相关联的系统,不能在加固过程中对其他系统产生任何不良影响 人员要求:中级工程师(第四级)执行; 执行频率:要求每季度进行一次,工作完成后 5 天内提交加固报告。
状况评估 对加固范围内的目标进行状况采集,包括取得系统的各种设计文档、使用手册、维护手册、系统日志,并与系统管理员进行交流,获得第一手的系统运行情况。
加固建议实施 在实际的系统中实施加固之前,先要建立能够模拟真实系统的环境,在此环境中进行加固实施,通过后按照加固实施计划对实际的系统实施加固。
加固记录 加固实施过程中,详细记录每一个步骤的工作内容和结果。
加固报告 根据加固结果编写加固报告 跟进监督 加固实施过程中,详细记录每一个步骤的工作内容和结果,并持续跟进 6.4 安全通告 工作的必要性 及时掌握最新安全动态,可提高我单位信息化管理人员了解现今信息安全的发展水平,提高其对现今信息安全风险的认识,有助于我单位信息安全管理工作
II 以及未来的规划工作。
预期目标 通过不断跟踪安全技术的发展和新漏洞的出现,结合我单位信息系统的信息资产情况提供相应的安全信息通告。
工作范围 主流厂商的中文安全通告、其他应用系统和安全组织的安全通告、操作系统、数据库、常规应用系统补丁升级、网络安全漏洞、杀毒软件最新补丁包的更新信息、新病毒信息、新黑客技术、国际信息系统安全最新技术、安全技术的最新发展情况通告、最新公布漏洞及解决方法安全通告、最新的病毒动态及防治。
工作内容 服务对象
服务分解
服务说明
服务 要求
信息化软硬资产及网络 安全资讯收集 通过各安全平台收集最新漏洞、病毒以及安全资讯信息,包括:主流厂商的中文安全通告、其他应用系统和安全组织的安全通告、操作系统、数据库、常规应用系统补丁升级、网络安全漏洞、杀毒软件最新补丁包的更新信息、新病毒信息、新黑客技术、国际信息系统安全最新技术、安全技术的最新发展情况通告、最新公布漏洞及解决方法安全通告、最新的病毒动态及防治、对于影响力大的计算机病毒 24 小时内提供具体的检测和修复办法、安全产品推荐。
人员要求:
:普通工程师(第一级)和中级工程师(第四级)执行; 执行:
频率:要求每月提供一次服务,出具安全公告。
信息关联分析 组织安全团队根据安全资讯信息进行关联分析
II 安全公告 编写安全公告并发布
6.5 应急响应 工作的必要性 为突发安全事件提供现场支援和技术支持服务; 在事件发生后及时响应我所信息系统的安全紧急事件,保证事件的损失降到最小,并快速恢复计算服务。解决人员少、处理经验不足、应急资源少的问题,成为应对风险的最后一道屏障。
预期目标 当紧急事件发生时,在2小时内能由相关处理能力的服务人员到达现场,并将紧急事件控制在4小时内恢复。
工作范围 我单位信息系统及网络发生的重大安全事件。
工作内容 服务对象
服务分解
服务说明
服务 要求
信息化软硬资产及网络 应急准备 包括建立应急响应组织、制定应急响应制度、划分应急事件级别以及预案管理等等 人员要求:中级工程师(第四级)执行; 执行频率:按需提供服务,全年不超过 2次,工作完成事件研判 事件等级判定、应急方案制定 应急处置 发生应急事件进行排查诊断、处理恢复,事件升级以及事件关闭工作。
II 总结改进 应急工作总结及改进 后 1 天内提交应急处置报告。
7 相关服务 7.1 信息系统等级保护 7 7 .1.1 服务内 容概述
本项目需要对我单位 1 个系统开展信息系统等级保护(二级)服务,主要有以下工作内容:
1) 信息系统安全等级保护备案; 2) 信息系统安全等级保护差距测评服务; 3) 信息系统安全等级保护整改服务; 4) 信息系统安全等级保护验收测评服务。
7.1. .2 2
差距测评
对信息化系统本身及涉及的相关环境进行测评,包括如下方面的测评工作:
1) 物理安全 2) 网络安全 3) 主机安全 4) 应用安全 5) 数据安全及备份恢复 6) 安全管理制度 7) 安全管理机构
II 8) 人员安全管理 9) 系统建设管理 10) 系统运维管理 7.1. .3 3
整改服务
根据差距测评报告,按照二级等保相关要求开展整改工作,以最终达到二级等保相关要求。
7 7. .1 1. .4 4
验收测评
主要由公安局认可的广东省具备等级验收测评资质的公司(6 家)按照二级等保要求进行验收测评工作,并出具验收测评报告,提交公安网监部门归档。
7.2 安全测评 本期项目,按广州市财政投资信息化项目要求,开展安全测评。
7.3 第三方验收测评 本期项目,按广州市财政投资信息化项目要求,开展第三方验收测评。
II 第四章 运维服务时限 本项目,运维服务时限要求如下:
上班驻场时间的服务按照我单位(9:00 至 17:00)要求;10 分钟内到达现场,2 小时内解决并完成服务需求;遇到紧急、特殊的服务要求应当立即提供服务至解决问题为止(具体服务以我单位实际要求为准)。
周末、节假日的服务时间,设立 7*24 小时故障受理电话,在接到故障受理时,应当 2 小时内到达现场,4 小时内解决并完成服务需求,紧急、特殊的服务要求应 1 小时内到达现场,在 2 小时内提供服务至解决问题为止。
II 第五章 项目管理 1. 项目周期管理 我单位将组织建立项目周期管理体系,健全管理制度,采用适当的方法和手段与相关各方进行有效沟通与协调。如下:
第一阶段:
1)知识库建立 完成时间:实施开始第一个月 内容与目的:自入场开始,运维公司服务人员将承担各类技术服务请求,这些信息,将被完整的录入我单位维护知识库。
2)技术文档和驱动程序库的建立 完成时间:实施开始第二个月 内容与目的:技术文档和驱动程序库包括了用户应用设备及软件系统的软硬件兼容性列表;操作系统的备份;全部所需驱动程序以及配套补丁;用户病毒防护列表以及预防性解决方案。
3)整理《IT 基础架构服务工作指南》 完成时间:入场后第六个月 内容与目的:全面形成《IT 基础架构服务工作指南》,确保服务质量的持续稳定。
第二个阶段:
在本项目的前 6 个月服务期内,总体服务目标是建立完善的服务管理体系,确保服务的标准化和客户满意度的持续提升。
在本项目的前 9 个月服务期内,总体服务目标是在继续保证服务质量提升的基础上,对服务所获得的丰富信息进一步分析增值,使之起到辅助决策的重要作用。
II 第三个阶段:
在服务期结束前一个月开始,全面整理整个服务项目内完成的各项文档、数据,进行必要的资源移交工作,形成下一期服务的整体规划方案。为服务项目的延续做好充分准备。
2. 风险分析 本项目中,风险主要分为以下几类:
管理类风险:项目管理没有遵循项目管理的制度、时间、岗位的要求。出现项目的风险; 资源类风险:由于人力资源、设备环境等原因产生; 业务类风险:业务风险主要表现在业务需求不清晰,变动频繁; 技术类风险:技术风险主要体现在技术架构不合理,各个子系统、服务渠道无法进行整合。
推荐访问:管理处 湖水 工程