项目名称
深圳市大数据资源管理中心2020-2021年度网络与信息安全服务项目 
采购类型
服务类 
采购人名称
深圳市大数据资源管理中心 
采购方式
公开招标 
财政预算限额（元）
4500000 
项目背景
深圳市大数据资源管理中心（以下简称“采购人”）作为深圳市电子政务公共资源的建设和运营单位，负责建设、管理和运行维护全市机关网络平台（含统一互联网出口）、数据中心、政务信息资源目录体系与交换体系、数据备份中心、安全支撑平台等电子政务基础设施；负责建设、管理和运行维护政务信息资源交换平台、人口法人基础库和其他市级公共政务信息资源；负责建设、管理和运行维护内外网门户网站技术平台和电子政务公共应用平台，包括网站生成平台、政务邮件系统、政务短信平台和其他应用支撑平台；承担全市电子政务建设的相关研究和咨询评估工作；协助市级党政机关按照全市统一规划开展电子政务建设，向委托单位派驻人员提供技术指导和支持。
为贯彻落实《中华人民共和国网络安全法》、网络安全等级保护制度2.0标准等相关法律法规和国家标准，以及公安部开展“护网行动”专项工作的要求，构建采购人网络和信息系统及平台实战化、体系化、常态化的网络安全保护体系，特别是提高采购人关键信息基础设施安全防护水平，采购人立项采购“2020-2021年度网络与信息安全服务项目”。
本项目服务内容主要包括安全通用服务和数据安全治理专项服务。安全通用服务从安全管理、安全技术、安全运维三个方面开展安全建设，打造运营服务化、管理一体化、事件可预警、事故可追溯、安全可闭环的网络安全运行体系。
采购人运维所涉及各类IT资产约2500余台/套，包括各类服务器、网络设备、安全设备以及虚拟机等2300余台/套，数据库系统及中间件200余套，涉及华为、华三、甲骨文等众多国内外主流品牌。采购人建设、管理和运行维护的平台和系统40多个，其中互联网网站系统5个，等保备案系统12个（等保三级系统4个、等保二级系统8个，被列入关键信息基础设施候选名录4个）。
 
 
投标人资质要求
（一）具备《中华人民共和国政府采购法》第二十二条规定的条件：
1、具有独立承担民事责任的能力；
2、具有良好的商业信誉和健全的财务会计制度；
3、具有履行合同所必须的设备和专业技术能力；
4、具有依法缴纳税收和社会保障资金的良好记录；
5、参加本次政府采购活动前三年内，在经营活动中没有重大违法记录；（由供应商须在《政府采购投标及履约承诺函》中作出声明）
6、法律、行政法规规定的其他条件。
（二）不接受联合体参与本项目采购活动。 
 
服务类清单

序号	采购计划编号	需求内容	数量	单位	备注	财政预算限额(元)
1	PLAN-2020-0102031002-01023	深圳市大数据资源管理中心2020-2021年度网络与信息安全服务项目	1.0	项		4500000.0

具体技术要求
本项目拟采购的服务内容主要分为安全通用服务（包括安全管理、安全技术、安全运维）、数据安全治理服务等两个方面，服务清单列表见下表，具体技术要求及服务要求见附件。
一、安全通用服务一览表

序号	服务类别	服务子项
安全管理服务-安全制度建设服务
1	安全管理制度	M1：网络与信息安全工作责任制
2		M2：安全审查管理办法
3		M3：网络与信息安全应急预案
4	安全管理机构	M4：安全管理机构
5	安全管理人员	M5：安全管理人员
6	安全建设管理	M6：等保定级备案管理
7		M7：安全建设管理
8	安全运维管理	M8：安全事件管理
9		M9：安全管理三员特权权限管理
10		M10：安全配置变更管理
11		M11：风险和漏洞管理
12		M12：安全审计管理
13		M13：安全基线管理
安全管理服务-安全咨询培训服务
1	安全咨询类	C1：安全咨询服务
2		C2：密码应用方案设计咨询服务
3	安全培训类	C3：安全管理与意识培训
4		C4：网络安全专业技术培训
5		C5：定制化培训
安全技术服务-安全技术防护服务
1	安全监测审计类	T1：网站安全监测服务
2		T2：日志审计服务
3		T3：风险和漏洞管理服务
4		T4：网络自动扫描探测服务
5		T5：网络恶意代码防范服务
6		T6：主机防护和恶意代码防范服务
安全运维服务-安全日常运维服务
1	日常运维类	D1：安全检查服务
2		D2：等级保护测评支持服务
3		D3：漏洞扫描服务
4		D4：基线核查服务
5		D5：安全技术支撑服务
6		D6：日常运维服务
7		D7：运维审计服务
8	安全情报类	D8：威胁情报服务
安全运维服务-安全专项运维服务
1	应急保障类	P1：应急响应服务
2		P2：重大保障服务
3	安全专项类	P3：渗透测试服务
4		P4：应急演练服务
5		P5：风险评估服务
6		P6：代码审计服务

 
二、数据安全治理专项服务一览表

数据安全治理服务
序号	服务类别	服务项
1	数据安全管理类	B1-1：数据安全管理：组织架构
2		B1-2：数据安全管理：规章制度
3		B1-3：数据安全管理：流程规范
4	数据安全治理类	B2：数据库特权帐号管理服务
5		B3：数据分类分级
6	数据安全技术类	B4：数据库安全运维管理服务

 
 
商务需求
一、服务期限
合同签订后提供服务，服务期为2020年10月1日到2021年12月31日。
 
二、付款方式
1、项目合同签订后采购人支付安全服务费总额的30%。中标人须在合同签订后15个工作日内提供合同总款项10%的银行履约保函及服务承诺函，项目验收后15个工作日内退还。
2、进场验收合格后采购人支付合同总款项的70%。
三、验收要求
1、进场验收：验收内容包括服务驻场人员数量核查、资质审核、背景审查、能力考核，专业技术支撑队伍资料审核，工具数量和资质审核等内容。其中服务驻场人员数量必须不少于4人，相关资质证书满足招投标文件要求，无犯罪记录，并通过采购人组织面试、笔试等形式的能力测试；核查提供专业技术支撑队伍人员名单，且需要满足招投标文件要求的人数、工作经验年限以及资质要求；核查到场自备工具数量是否满足招投标要求，检查自备工具到场数量、品牌、型号以及相关厂商授权。
2、期中验收：中标人提交期中验收报告，通过由采购人指定的第三方运维服务质量评估机构检查，服务评分在85分及以上且通过采购人审核，完成期中验收。如服务评分未达到85分，则扣除安全服务费总额5%予以扣除作为服务补偿。服务评分指标项见安全管理、技术、运维服务的服务SLA。
3、项目终验：中标人提交项目终验报告并且交接（包括工具割接）完成后，通过由采购人指定的第三方运维服务质量评估机构检查，并通过采购人或采购人指定的验收评审（若评审涉及评估费、专家费等，由中标人承担），且服务评分在85分及以上，完成项目验收。如服务评分未达到85分，则扣除安全服务费总额5%予以扣除作为服务补偿。服务评分指标项见安全管理、技术、运维服务的服务SLA。
4、关键服务考核要求：
（1）中标人在服务期内发生被通报的中高危漏洞累计数不应超过10个，如在服务期内累计超过10个中高危漏洞（中危漏洞为可利用漏洞），则安全服务费总额5%予以扣除。
（2）中标人在服务期内应避免发生同样漏洞问题被重复通报，加强漏洞发现、监测、处置、修复检测等全生命周期的闭环管理，若中标人未完成闭环管理，造成漏洞问题被重复通报，扣除安全服务费总额3%。
（3）中标人在获得最新漏洞情报，应该立即开展风险检查，并与相关系统管理员进行确认，根据检查及确认结果，协助完成漏洞处理，如存在因中标人未及时开展风险检查，导致发生被通报3次及以上，则安全服务费总额3%予以扣除。
（4）中标人开展漏洞扫描工作时，因工具配置不当、使用不熟练以及其他严重工作失误等人为原因，导致明显的高危风险或漏洞（如空口令）未被检测发现，则安全服务费总额3%予以扣除。
（5）中标人应制定详细的安全服务计划方案，协助采购人顺利通过年度安全联合检查，确保不发生绩效评分项扣分情况，若发生绩效评分项扣分的情况，则安全服务费总额3%予以扣除。
（6）中标人应协助采购人做好等级保护年度测评及整改，中标人应根据实际情况提供整改建议，且必要时须临时提供可能缺失的安全产品/设备/工具，确保所有等保系统通过测评，若由于中标人没有提供整改建议或未能临时提供相关安全产品/设备/工具，发生等保系统未通过测评的情况，则安全服务费总额3%予以扣除。
（7）中标人进行漏扫、渗透、风险评估等安全服务工作时，应避免对生产系统或网络环境造成故障，如导致系统宕机、重启等情况，应立即启动应急预案。因中标人问题，而导致生产系统或网络环境发生了故障，将根据影响严重情况，则安全服务费总额3%予以扣除。
（8）中标人应制定详细的应急响应以及重保方案，发生安全事件时，因中标人响应不及时、技术支撑不到位、处置不当等原因，造成安全事件未妥善处置而导致发生不良影响，则安全服务费总额5%予以扣除。
（9）上述漏洞通报的主要来源为我市或上级网信、网监、通信管理、安全测评等网络安全监测和监管机构。漏洞通报的主要覆盖范围为操作系统、网络与安全设备、数据库、中间件以及web网站等，但不包括终端。
5、上述服务评分和考核产生的服务补偿费用扣除，经双方协商同意，且中标人以等价服务补偿的，可不扣除补偿费用。
 
四、人员要求
1、专家团队要求
为了获得更好的安全专家技术支撑服务，中标人应组建有不少于10人的网络与信息专业技术支撑队伍，相关安全服务专家团队成员网络与信息安全工作经验不少于5年；专家团队专业技术能力应能覆盖应急响应、渗透测试、风险评估、安全审计、代码审计、漏洞管理、安全工程、计算机网络、操作系统、数据库等各方面，熟悉等保标准2.0，具有网络与信息安全工程、系统集成、安全服务、咨询设计等项目经验。中标人在投标文件中须提供专业技术支撑队伍人员名单、简历及承诺函（格式自拟）。
2、驻场人员要求
（1）为了保障安全服务质量，中标人需安排项目经理1名、安全服务工程师1名、安全技术支持工程师1名、安全体系建设和审计工程师1名，共计4名，提供5*8小时驻场服务，以及重大或紧急情况时，根据采购人要求提供7*24小时服务。
（2）提供的驻场人员专业技术能力应能覆盖信息安全、网络技术、计算机系统、数据库、安全审计、项目管理等各方面，并具有优秀的文档、技术方案撰写水平。驻场服务人员至少有3人具有注册信息安全专业人员CISP证书或信息安全保障人员CISAW证书或注册信息系统安全认证专家CISSP证书或者软考信息安全工程师证书其中任一项。中标人在投标文件中须提供驻场服务人员名单、简历、资质证书及承诺函。
（3）项目经理主要承担整个驻场运维服务的项目管理和技术协调角色，负责驻场人员管理、工作安排、工作汇报、文档材料审核和归档、技术协调等项目管理工作；要求具备5年以上网络安全工作经验，熟悉《网络安全等级保护基本要求GB/T 22239—2019》标准与要求，熟悉网络与信息安全相关法律法规；有较强的协调、管理、沟通能力，具有全面的技术知识结构，熟悉管理体系。
（4）安全服务工程师主要承担安全日常运维、等保测评支持、漏洞扫描、安全检查、威胁情报、安全工具维护以及报告输出等安全服务；要求具备2年及以上安全运维、工程及服务领域经验，熟悉各类网络安全设备及工具的配置和维护。
（5）安全技术支持工程师主要承担安全技术支撑、基线核查、应急响应、重大时期保障、应急演练、风险评估等安全支持服务；要求具备5年及以上安全运维、工程及服务领域经验，熟悉数据库系统（Oracle/MySQL等）、操作系统（Windows/Linux等）、路由交换等技术。
（6）安全体系建设和审计工程师主要承担安全管理制度建设、运维审计、日志审计、网站安全监测、报告撰写等服务；要求具备2年及以上安全运维、工程及服务领域经验，熟悉安全体系建设以及安全审计工作与流程，具备良好的沟通能力，具备优秀的文字表达能力和文案能力。
（7）在安全服务人员保障方面，中标人须至少提供2名备份技术人员，按中心要求（包括但不限于项目进场、安全检查、重大保障等期间）提供现场服务。
（8）中标人派驻本项目驻场服务的网络安全专业技术人员应符合采购人专业技术水平、安全保密等工作要求（需签订《网络与信息安全责任书》、《保密承诺函》），无法满足采购人对服务能力要求的驻场人员，采购人有权要求中标人更换具备服务能力的驻场人员，人员更新不得影响运维服务工作质量和效果。
（9）中标人应确保派驻本项目的专业网络安全技术团队人员的稳定性，原则上中标人派驻本项目驻场的人员应按采购人管理要求进行管理，中标人派驻在本项目的人员如需变动，中标人须经过采购人同意且做好工作支撑准备后方可更换，采购人有权拒绝中标人的人员变更要求的权利。
（10）采购人将对中标人派驻本项目的驻场人员和为本项目提供服务的人员进行人员安全审查，未通过审查的人员不能为本项目网络安全服务。
（11）所有驻场服务的人员，需严格遵守并服从采购人的相关管理规定和工作安排，面对问题时，能够第一时间发现问题的原因，给出合理的解决方案，并协调相关的人员对问题进行处理；工作期间不得擅自离开采购人的工作场所，若确需离开的，中标人应提前通知并征得采购人同意，中标人同时暂派其他支撑服务人员顶替工作；未经采购人同意情况下，中标人不得以任何理由抽调所派的现场服务的人员从事与本项目无关的其它工作；所有现场服务的人员能根据采购人工作需要进行加班，应急保障等特殊情况，现场服务的人员的订餐、用餐费用由中标人完全承担；所有现场服务的人员如在非工作时间内进入采购人的办公场所，需事先征得采购人同意。
（12）中标人须与派驻现场的维护服务人员签订劳动合同并负责所有现场服务的人员的工资、奖金、福利待遇及其他一切费用；中标人必须为其购买社会保险，并定期提供人员健康检查服务；关注服务人员的身心健康，做好安全教育工作，如现场的服务人员发生人身安全事故，由中标人负责，与采购人无关。
 
五、实质性条款

序号	具体内容
1	投标人须完全响应本项目服务期限要求、验收要求、人员要求以及拟采购的安全服务内容，即《附件1安全管理服务》（包括《附件1-1 安全制度建设服务》《附件1-2 安全咨询培训服务》）、《附件2 安全技术服务》、《附件3 安全运维服务》（包括《附件3-1 安全日常运维服务》《附件3-2 安全专项运维服务》）、《附件4 数据安全治理服务》中所有服务子项的服务对象、服务描述以及服务SLA。（投标文件中提供人员名单、简历、资质证书及承诺文件）
2	投标人为采购人提供《附件2 安全技术服务》《附件3-1 安全日常运维服务》《附件4 数据安全治理服务》中所列日志审计服务、网络恶意代码防范服务、主机防护和恶意代码防范服务、漏洞扫描服务、数据库安全运维管理服务5个服务子项的服务内容时，按要求所自备的安全专用产品（组件/工具/平台）须具有公安部颁发的计算机信息系统安全专用产品销售许可证。（投标文件中提供证书扫描件或公安部计算机信息系统安全专用产品销售许可证查询平台真实的系统查询截图）

 
六、知识产权
所有的交付成果及其附件的知识产权属于采购人，采购人在中华人民共和国境内使用投标人提供的货物及服务时免受第三方提出的侵犯其专利权或其它知识产权的起诉。如果第三方提出侵权指控，中标人应承担由此而引起的一切法律责任和费用。
 
七、报价
报价范围：本项目报价以人民币报价。投标报价为综合报价，报价包含人员成本、差旅、税金、管理费、专家评审费、合理利润等所有费用。投标人只能有一套报价方案。
 
八、违约责任
1、中标人必须严格按照相关法律法规做好招标文件的保密工作，不得向任何公司和个人泄露相关项目的招标资料及文件内容。如发生资料泄露事件，将依法追究相关责任。
2、中标人应提供优质服务，确保交付成果达到采购人要求，如因中标人原因导致未能通过采购人项目验收，采购人有权将中标人履约情况上报深圳市政府采购主管部门，作为供应商履约评价。
3、违约责任：采购人逾期退还履约保证金的，除应当退还履约保证金本金外，还应当每日按合同总价的3‰向中标人偿付违约金，但因中标人自身原因导致无法及时退还的除外。
4、中标人违反合同及其附件约定的任何义务，采购人有权在履约保证金中直接扣除中标人应向采购人支付的违约金或损失赔偿额，如有不足的，中标人应对超过的部分予以赔偿。
 
九、其它
1、为获得更好的服务质量，中标人提供日志审计服务、风险和漏洞管理服务、网络自动扫描探测服务、网络恶意代码防范服务、主机防护和恶意代码防范服务、漏洞扫描服务、基线核查服务、数据库安全运维管理服务服务子项的服务内容时，按要求自备的工具/组件/平台，须在合同签订时提供满足服务期限和要求的原厂售后服务承诺函原件。
2、其他未尽事宜由供需双方在采购合同中详细约定。
 
 
评标信息
评标方法：综合评分法（新价格分算法）
综合评分法，是指投标文件满足招标文件全部实质性要求，且按照评审因素的量化指标评审得分最高的投标人为中标候选人的评标方法。
价格分计算方法：
采用低价优先法计算，即满足招标文件要求且投标价格最低的投标报价为评标基准价，其价格分为满分。其他投标人的价格分统一按照下列公式计算：
投标报价得分=(评标基准价／投标报价)×100
评标总得分＝F1×A1＋F2×A2＋……＋Fn×An
F1、F2……Fn分别为各项评审因素的得分；
A1、A2、……An 分别为各项评审因素所占的权重(A1＋A2＋……＋An＝1)。
评标过程中，不得去掉报价中的最高报价和最低报价。
 

序号	评分项			权重
1	价格			20
2	技术			36
	行号	内容	权重	评分准则
	1	项目实施计划方案以及项目重点难点分析、应对措施及相关的合理化建议	15	根据国家法律法规和标准，考察投标人安全服务方案编制的科学性、严谨性、全面性、美观性。目标理解准确，任务分解得当，工作安排合理，从实际出发分析采购人网络安全建设的重点、难点，如需求分析、项目难点分析、应急措施、解决办法等。 根据投标文件响应情况进行评分： 1、项目实施计划方案应包括项目背景、需求理解和掌握、总体服务能力、总体服务框架等内容以及安全通用服务（须从安全管理、安全技术、安全运维等维度进行详细说明）、数据安全治理服务等分项服务方案。 （1）方案完整，包括上述内容； （2）内容充实、材料丰富、论据充足； （3）对采购人安全服务需求理解准确； （4）关键考核指标分析透彻，完全贴合项目情况。 以上4小项要求，满足1项得10分，最多可得40分。 2、项目实施计划方案应包括重点保障、应急响应等内容，且表述准确，完全贴合项目情况。 （1）方案完整，包括上述内容； （2）内容表述准确，完全贴合项目情况。 以上2小项要求，满足1项得10分，最多可得20分。 3、项目实施计划方案对安全服务过程中的可能出现的各类问题分析透彻、描述清晰，提出的应对措施及相关建议合理、准确。 （1）可能出现的各类问题分析透彻、描述清晰； （2）提出的应对措施及相关建议合理、准确。 以上2小项要求，满足1项得10分，最多可得20分。 4、项目实施计划方案对采购人安全服务工作任务应分解得当，且实施计划安排、进度控制合理，得10分，最多可得10分。 5、项目实施计划方案对组织架构、角色分工、人员安排、资源调度合理，得10分，最多可得10分。 以上5大项合计，最多可得100分。
	2	质量（完成时间、安全、环保）保障措施及方案	10	考察投标方案对项目的质量管理认识，如项目管理维度、项目管理方法论、项目风险管理等。根据投标文件响应情况进行评分： 1、为保证采购人安全服务工作的质量，提出质量保障措施及方案可行、合理，采取的质量管理方法全面、准确、得当； 2、投标人具备成熟完善的项目质量管控制度及项目质量管控工具或系统，可对项目整体质量进行跟踪、追溯、投诉、反馈、统计； 3、针对本项目安全服务关键考核指标，提出的补偿措施完整、清晰、合理，符合采购人业务实际需求。 满足以上3项标准的得100分，满足2项标准的得60分，满足1项标准的得30分，其它不得分。
	3	投标服务自备工具重点服务要求	8	（一）评分内容： 考察投标人在本项目须自备工具/组件/平台（以下简称“工具”）的日志审计服务、风险和漏洞管理服务、网络自动扫描探测服务、网络恶意代码防范服务、主机防护和恶意代码防范服务、漏洞扫描服务、基线核查服务、数据库安全运维管理服务8个服务子项的服务要求的满足情况。 1、上述8个服务子项，每1个服务子项设置分值12.5分，8个服务子项合计最多100分。 2、投标人未能完全响应1个服务子项的一条非标记“▲”的服务要求，则扣除1.25分，该服务子项分值扣完为止。 3、投标人未能完全响应1个服务子项的一条标记“▲”的服务要求，则扣除3.75分，该服务子项分值扣完为止。 （一）评分依据： 1、根据投标人应标情况，由专家打分。上述每类服务的服务要求项，投标人均提供服务要求完全响应文件和承诺文件，其中标记“▲”的服务要求，投标人必须提供能满足服务要求的详细佐证材料，佐证材料包括：真实系统截图以及说明材料，或第三方专业机构测试报告等。不提供或提供不完善、不准确的视为不满足（不完善不准确包括：证明材料不清晰、不完整、不匹配、不合理等，完善与准确的标准由专家判定）。 2、评分中出现专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。 3、服务要求全部符合视为完全满足；服务要求部分满足或大部分满足视为不满足。
	4	违约承诺	3	根据投标文件响应情况进行评分： 1、投标人对采购人提出的安全服务过程中质量保证、售后服务、验收条件、考核要求、服务交接等内容作出全面违约承诺； 2、投标人违约承诺可行性高，包括具体的违约条款和违约责任。 满足以上两项标准的得100分，满足一项标准的得50分，其它不得分。
3	综合实力			32
	行号	内容	权重	评分准则
	1	投标人通过相关认证情况	5	（一）评分内容： 1、具有中国信息安全测评中心颁发的信息安全服务(安全工程类)二级及以上资质或中国网络安全审查技术与认证中心颁发的 二级及以上资质得20分；具有中国信息安全测评中心颁发的信息安全服务(安全工程类)一级或中国网络安全审查技术与认证中心颁发的信息系统安全集成服务三级资质得10分；其他不得分。 2、投标人具有经认监委批准的认证机构颁发的ISO27001信息安全管理体系认证，得20分。 3、投标人具有经认监委批准的认证机构颁发的GB/T19001-ISO9001质量管理体系认证，得20分。 4、投标人应有良好的IT服务运行维护能力，具有ITSS信息技术服务标准认证的信息技术服务运行维护标准符合性证书或具有ISO20000信息技术服务管理体系认证证书，得20分。 5、投标人应有良好的资信，具备AAA级或以上资信等级证书，提供证书扫描件，得20分。 （二）评分依据： 1.要求提供有效的认证证书（管理体系认证证书还需提供国家认证认可监督管理委员会官方网站（www.cnca.gov.cn）或相关网站查询截图）作为得分依据。 2.以上资料均要求提供扫描件（或官方网站截图）。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。
	2	投标人同类项目业绩情况	3	（一）评分内容： 投标人近3年（自2017年1月1日以来，以合同签订之间为准）具有以下项目经验： 1、承担过副省级城市（含省部级）及以上政府机构或央企集团总部机构网络与信息安全等级保护服务类项目的，得50分； 2、承担过副省级城市（含省部级）及以上政府机构或央企集团总部机构系统或安全运维服务项目的，得50分。 以上2项，合计最高得100分。 （二）评分依据： 1.要求同时提供合同关键信息作为得分依据，通过合同关键信息无法判断是否得分的，还须同时提供能证明得分的其它证明资料，如项目报告或合同甲方出具的证明文件等。以上资料均要求提供扫描件。 2.如服务甲方单位是央企集团或其他不能轻易判断是否符合要求的单位，需提供国家部委官网的央企名录截图或工商登记信息等能有效证明的佐证材料，作为得分依据。 评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。
	3	拟组建的网络与信息安全专业技术支撑专家队伍（不少于10人）	3	（一）评分内容：  投标人须提供不少于10人的网络与信息专业技术支撑专家队伍人员名单以及资质证书： 1、具有漏洞挖掘与研究方面技术专家，具有CISP/CISAW（注册信息安全专业人员/信息安全保障人员认证）、系统分析师，提交过至少2个或以上国家信息安全漏洞库（CNNVD）或国家安全漏洞共享平台（CNVD）通用型原创漏洞，得40分； 2、具有注册信息安全专业人员-应急响应工程师认证CISP-IRE或信息安全应急响应工程师CSERE或网络与信息安全应急人员认证CCSRP证书其中任一项，得15分； 3、具有注册云安全专家认证CCSP或云计算安全知识认证CCSK证书其中任一项，得15分； 4、具有H3C网络安全高级工程师H3CSE-Security或华为安全专家HCIE-Security证书其中任一项，得15分； 5、具有Oracle数据库认证专家OCP资质证书，得15分。 以上5项，合计最多可得100分。10人专家团队的成员，每人至少持有以上其中1项证书，否则扣除100分，该评分项得分扣完为止。 （二）评分依据： 1.要求提供投标人相关证明资料作为得分依据。 2.以上资料均要求提供扫描件（或官方网站截图）。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。 3.如涉及考察人员工作经验，要求提供项目合同关键信息作为得分依据，通过合同关键信息无法判断是否得分的，还须同时提供合同甲方出具的证明文件。
	4	拟安排的项目经理情况（仅限一人）	3	（一）评分内容： 资质要求： 1、具有软考系统集成项目管理工程师或信息系统项目管理师或项目管理专业人士PMP资质证书其中任一项得30分； 2、熟悉计算机网络等技术，具有华为HCNP/HCIP或华三H3CSE或思科CCNP或软考网络工程师或以上的其中一项资质证书得30分； 3、承担过副省级城市（含省部级）及以上政府机构或央企集团总部机构网络与信息安全工程集成或服务类项目经验得40分。 以上3项合计，最多可得100分。 （二）评分依据： 1.要求提供人员相关资质证书扫描件。 2. 要求提供人员负责过相关网络与信息安全工程集成或服务类项目的有效证明文件，如项目合同，以及投标文件或项目方案或往来函件或验收材料或甲方证明等含有项目人员信息的有效证明文件作为得分依据。以上资料均要求提供扫描件（或官方网站截图）。如服务甲方单位是央企集团或其他不能轻易判断是否符合要求的单位，需提供国家部委官网的央企名录截图或工商登记信息等能有效证明的佐证材料，作为得分依据。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。
	5	拟安排的项目驻场服务团队成员情况（除项目经理之外的其他3人）	12	（一）评分内容： 资质要求： 1、熟悉计算机网络等技术，具有华为HCNA/HCIA或华三H3CNE或思科CCNA或软考网络管理员的其中一项资质证书，提供1人得10分，最多可得10分；具有华为HCNP/HCIP或华三H3CSE或思科CCNP或软考网络工程师或以上的其中一项资质证书，提供1人证书得30分，最多可得30分。 2、熟悉操作系统（Windows/Linux等）或数据库，具有红帽认证系统管理员RHCSA或红帽认证工程师RHCE认证证书或具有ORACEL数据库OCP认证证书，提供1人证书得20分。 3、具有信息系统审计师ISA或者国家注册信息系统审计师CISP-A或者注册信息系统审计师认证CISA证书或者具有注册数据安全治理专业人员（CISP-DSG）认证证书其中任一项，提供1人证书得50分，最多可得50分。 以上三项，合计最多可得100分。驻场服务团队成员，每人至少持有以上其中1项证书，不重复得分。 （二）评分依据： 要求提供人员相关资质证书扫描件。
	6	自主知识产权产品（创新、设计）情况	3	（一）评分内容： 考察投标人提供日志审计服务、风险和漏洞管理服务、网络自动扫描探测服务、网络恶意代码防范服务、主机防护和恶意代码防范服务、漏洞扫描服务、基线核查服务、数据库安全运维管理服务服务子项的服务内容时，按要求自备的工具/组件/平台（以下简称“工具”）的自主知识产权情况。 1、自备工具具有自主知识产权的，每提供1类工具的自主知识产权证明材料，得20分，最多可得100分。同1类工具，提供多份的，仅计算1次。 （二）评分依据： 1.要求提供有效的产权（专利）证书、软件著作权登记证书等证明材料作为得分依据。 2.以上资料均要求提供扫描件（或官方网站截图）。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。
	7	环保执行情况	1	要求投标人就是否受过环保主管部门行政处罚作为得分依据；以投标人在投标文件中提供的承诺作为依据；若隐瞒情况虚假应标将导致投标无效并报主管部门处理。采取客观化评分；受过行政处罚不得分。
	8	服务网点	2	深圳企业或非深圳企业，但在深圳市有合法注册的分公司或办事处等机构的，得满分（须在投标文件中就设立的机构类型进行说明，并提供机构营业执照扫描件或办事处房屋租赁合同扫描件）；否则不得分。
4	疫情防控			5
	序号	评分因素	权重	评分准则
	1	疫情防控重点保障企业	3	纳入全国性名单或地方性名单的疫情防控重点保障企业（以下简称“重点保障企业”），直接参与我市政府采购投标的，提供至少一项自身属于重点保障企业的证明材料（名单查询网页链接、名单网页截图、政府部门出具的文件或者企业享受重点保障企业优惠政策的其他证明文件均可），即可获得评审得分。
	2	稳岗企业	2	未裁员或裁员率低于20%的企业，即投标前一个月实际参加社会保险（至少包括养老保险）的员工人数（含免缴或延期缴纳社会保险人数）不低于 2019 年 12 月同口径人数 80%（含）的企业，视为稳岗企业，提供自身符合稳岗企业条件的承诺函即可获得评审得分。 投标人提供虚假承诺的，将做无效投标处理，涉嫌存在违法违规行为的，依法报主管部门处理处罚。
5	诚信情况			7
	序号	评分因素	权重	评分准则
	1	市财政局诚信管理情况	5	根据《深圳市财政委员会关于加强招投标评审环节诚信管理的通知》（深财购[2013]27号）相关规定，投标人在参与政府采购活动中出现诚信相关问题且在相关主管部门处理措施实施期限内的本项不得分，否则得满分。投标人无需提供任何证明材料，由工作人员向评审委员会提供相关信息。
	2	市政府采购中心履约评价情况	2	近三年（以投标截止日期为准）在市政府采购中心有履约评价为差的记录，本项不得分，否则，得满分。投标人无需提供任何证明材料，由代理机构工作人员向评审委员会提供相关信息。

 
 
 
其他
网络与信息安全服务项目安全服务内容
一、安全通用服务一览表

序号	服务类别	服务子项
安全管理服务-安全制度建设服务
1	安全管理制度	M1：网络与信息安全工作责任制
2		M2：安全审查管理办法
3		M3：网络与信息安全应急预案
4	安全管理机构	M4：安全管理机构
5	安全管理人员	M5：安全管理人员
6	安全建设管理	M6：等保定级备案管理
7		M7：安全建设管理
8	安全运维管理	M8：安全事件管理
9		M9：安全管理三员特权权限管理
10		M10：安全配置变更管理
11		M11：风险和漏洞管理
12		M12：安全审计管理
13		M13：安全基线管理
安全管理服务-安全咨询培训服务
1	安全咨询类	C1：安全咨询服务
2		C2：密码应用方案设计咨询服务
3	安全培训类	C3：安全管理与意识培训
4		C4：网络安全专业技术培训
5		C5：定制化培训
安全技术服务-安全技术防护服务
1	安全监测审计类	T1：网站安全监测服务
2		T2：日志审计服务
3		T3：风险和漏洞管理服务
4		T4：网络自动扫描探测服务
5		T5：网络恶意代码防范服务
6		T6：主机防护和恶意代码防范服务
安全运维服务-安全日常运维服务
1	日常运维类	D1：安全检查服务
2		D2：等级保护测评支持服务
3		D3：漏洞扫描服务
4		D4：基线核查服务
5		D5：安全技术支撑服务
6		D6：日常运维服务
7		D7：运维审计服务
8	安全情报类	D8：威胁情报服务
安全运维服务-安全专项运维服务
1	应急保障类	P1：应急响应服务
2		P2：重大保障服务
3	安全专项类	P3：渗透测试服务
4		P4：应急演练服务
5		P5：风险评估服务
6		P6：代码审计服务

二、数据安全治理服务一览表

数据安全治理服务
序号	服务类别	服务子项
1	数据安全管理类	B1-1：数据安全管理：组织架构
2		B1-2：数据安全管理：规章制度
3		B1-3：数据安全管理：流程规范
4	数据安全治理类	B2：数据库特权帐号管理服务
5		B3：数据分类分级
6	数据安全技术类	B4：数据库安全运维管理服务

附件1 安全管理服务
附件1-1 安全制度建设服务

安全管理服务-安全制度建设服务
服务说明：调研目前的网络与信息安全管理现状，审阅的网络与信息安全总体策略、规范、手册等制度文档，依据的网络与信息安全方针和策略总纲，对的现有网络与信息安全管理体系文件（包括但不限于策略、制度、规范、作业手册等），提出完善和修订建议，不断优化管理制度体系，进行有效推行和实施，提升和强化管理效力，保证制度体系的合规性、可行性、可操作性。
序号	服务类别	服务子项	服务对象	服务描述		服务SLA
1	安全管理制度	M1:网络与信息安全工作责任制	网络与信息安全建设纲领性文件	根据网信行政管理部门检查和考核要求，协助制定和印发网络安全工作责任制实施办法或细则，明确责任制实施要求，建立健全网络与信息安全总体方针和安全策略制度文件，陈述网络与信息安全总体目标、适用范围、指导原则、管理意图和安全框架，指导的网络与信息安全建设工作，建立健全网络与信息安全工作整体情况汇报和重大事项议定的相关流程规范和机制等。	专家支持及驻场服务，年度一次	1. 输出编制和修订的制度、流程规范和手册，并经通过审批发布。 2. 所有体系文件条款应满足国家法律法规和安全等保制度要求。 3. 应急预案等制度符合实际以及满足主管部门监管要求，且能落地实施。
2	安全管理制度	M2:网络安全审查管理办法	相关管理制度、流程、手册	以国家《网络安全审查办法》等相关法规与标准要求为依据，制定网络安全审查管理办法，确保关键信息基础设施供应链安全，保障网络和信息系统及平台的安全，审查制度应包括：安全设备审查流程、安全检查要求（密码应用安全性、双因素认证、日志存储和管理等），重点审查网络产品和服务的安全性（是否存在中高危漏洞）、可控性等。	驻场服务，年度一次
3	安全管理制度	M3:网络与信息安全应急预案	相关应急管理制度、流程、手册	根据网信行政管理部门检查检查和考核要求，协助建立网络与信息安全应急工作机制，优化完善网络与信息安全专项应急总体预案，结合安全风险，针对重要系统制定和完善专项应急预案，包括制定统一的应急预案框架，如启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容；制定重要事件的应急预案，如应急处理流程、系统恢复流程等内容。	专家支持及驻场服务，年度一次
4	安全管理机构	M4：安全管理机构	相关管理制度、流程、手册	根据网信行政管理部门检查检查和考核要求，梳理网络与信息安全管理现状，协助优化完善网络与信息安全管理机构，完善各岗位职责；调研安全运维流程和用户权责分配情况，帮助优化授权审批制度；协助建立网络与信息安全三员管理岗位，明确岗位职责，使各项安全工作有章可循、按章办事，保证各项安全活动处在可控状态下运作，避免职责不明、权限不清的现象；协助制定网络与信息安全应急合作机制，搭建与外部专业机构的合作渠道，建立与网络安全职能部门、业界专家、安全厂商等外联单位联系列表，实现信息共享，形成有效的联动协调和应急处置机制。	驻场服务，年度一次	4. 输出编制和修订的制度、流程规范和手册，并经通过审批发布。 5. 所有体系文件条款应满足国家法律法规和安全等保制度要求。
5	安全管理人员	M5：安全管理人员	相关管理制度、流程、手册	梳理网络与信息安全管理现状，根据等保制度以及个人网络安全规范等法律法规，协助建立健全系统管理、安全管理、审计管理等三员以及数据运维人员的录用和离岗制度，包括对人员身份背景审查、专业技能考核等要求；协助制定第三方人员安全管理制度，对外部人员的访问区域、访问授权审批、离场等提出安全要求。	驻场服务，年度一次
6	安全建设管理	M6：等保定级备案管理	相关管理制度、流程、手册	协助优化完善等保系统定级备案制度以及流程规范。	驻场服务，年度一次	1. 输出编制和修订的制度、流程规范和手册，并经通过审批发布。 2. 所有体系文件条款应满足国家法律法规和安全等保制度要求。
7	安全建设管理	M7：安全建设管理	相关管理制度、流程、手册	协助建立健全信息化项目中网络与信息安全同步规划、同步建设、同步运行的制度和基本原则，明确安全方案设计、产品采购和使用、软件开发、工程实施、测试验收、系统交付、等保测评、服务供应商选择等过程中相关安全管理部门和业务部门职责和边界，定义工作制度流程。	专家支持及驻场服务，年度一次
8	安全运维管理	M8：安全事件管理	相关管理制度、流程、手册	协助优化完善安全事件处置管理制度、流程以及安全事件报告模板，包括但不限于明确安全事件管理中安全与运维责任划分，定义安全事件分级分类，明确安全事件现场处理、报告和后期恢复等过程中相关责任部门和职责等内容。	驻场服务，年度一次	1. 输出编制和修订的制度、流程规范和手册，并经通过审批发布。 2. 所有体系文件条款应满足国家法律法规和安全等保制度要求。
9	安全运维管理	M9：安全管理三员特权权限管理	相关管理制度、流程、手册	协助优化完善网络与信息安全三员（系统管理员、安全管理员、审计管理员）特权权限管理相关规范流程，包括但不限于定义账号、口令和权限管理的不同保障级别，明确各系统建立三员账号以及权限设置的要求，确定权限分析和管理的基本原则和规范，编制流程中需要的各种表格等内容。	驻场服务，年度一次
10	安全运维管理	M10：安全配置变更管理	相关管理制度、流程、手册	协助建立健全安全配置管理制度和安全变更管理制度，结合IT资产，优化完善安全配置管理规范和手册，从修订变更范围、变更申请、变更方案、变更风险评估、回退机制等环节优化完善安全变更管理流程，明确变更的提出、评审、认可等控制程序和方法，以达到控制和削减在一定条件下产生的变更对网络与信息安全的不良影响。	驻场服务，年度一次
11	安全运维管理	M11：风险和漏洞管理	相关管理制度、流程、手册	结合安全需求，建立健全风险和漏洞管理制度和流程，定义从资产发现、漏洞监测、漏洞识别、漏洞处置、漏洞修复检测的全生命周期闭环管理规范和流程，定义漏洞通报方式，确定漏洞应急处理工作内容、流程，通过风险和漏洞管理制度和流程来指导和规范风险和漏洞管理，提高漏洞发现和处置能力。	驻场服务，年度一次
12	安全运维管理	M12：安全审计管理	相关管理制度、流程、手册	建立健全网络与信息安全审计制度和流程，明确网络与信息安全工作（包括但不限于漏洞扫描、修复，安全配置基线，安全日志审计，日常维护等）审计对象、流程规范、技术手段，确保安全审计管理制度有效执行。	驻场服务，年度一次
13	安全运维管理	M13：安全基线管理	相关管理制度、流程、手册	调研和梳理设备及系统（包括但不限于网络设备、安全设备、主机操作系统、数据库系统、应用系统、中间件）的类型、版本等信息，建立设备维护手册和操作指南，指导信息系统运行维护过程中的具体安全操作，如各类安全技术指南，各类安全检查表要求等；建立相关安全基线规范和实际配置范例，定期进行修订。	专家支持及驻场服务，年度一次

附件1-2 安全咨询培训服务

安全管理服务-安全咨询培训服务
序号	服务类别	服务子项	服务对象	服务描述	服务SLA
1	安全咨询类	C1：安全咨询服务	信息化项目	针对新建信息化项目以及系统升级改造、检查整改等方面，提供网络与信息安全咨询服务。主要内容包括： 1、新建以及升级改造信息化项目的安全方案设计、产品采购和使用、软件开发、工程实施、测试验收、系统交付、等保测评、服务供应商选择等过程，提供网络与信息安全设计与咨询服务； 2、对于在各类检查和审计中发现网络与信息安全风险和问题，提供安全咨询服务，并撰写整改建议，并协助开展系统整改； 3、就网络与信息安全领域新的技术、体系等，开展技术交流、咨询及分享。	1. 输出咨询报告。 2. 输出整改建议，并协助整改。 3. 输出会议纪要。
2	安全咨询类	C2：密码应用方案设计咨询服务	密码应用	依据《中华人民共和国密码法》以及国标《信息系统密码应用基本要求》、《信息安全技术 网络安全等级保护基本要求》等国家法律法规和标准，结合实际情况，开展调查研究，撰写密码应用升级改造建设方案，并通过具有密码评测资质机构及密码行政主管机关的专家评审。	1.输出密码应用改造项目建议书并通过评审
3	安全培训类	C3：安全管理与意识培训	全员	主要服务内容包括： 1、从安全办公、个人信息安全、帐户安全等方面普及安全常识，对常见的信息安全隐患进行分析，讲解，使员工提高信息安全意识，告诉员工哪些网络行为不可为，如果实施了违法行为就要承担法律责任，构成犯罪的还承担刑事责任。 2、开展《中华人民共和国网络安全法》、《等级保护系列标准》、《数据安全管理办法》、《密码法》等国家法律法规和标准培训。 3、开展网络与信息安全管理制度、流程培训，使全员人员了解相关安全制度和流程内容，更好的支撑信息安全相关工作。	1. 输出培训计划、记录。 2. 全员培训时间不少于4小时/人。
4	安全培训类	C4：网络安全专业技术培训	网络安全管理与技术人员	主要涉及渗透测试、风险评估、等级保护、数据安全、系统审计等方面内容，理论结合实际，通过案例分析，使得培训人员充分了解漏洞分析、利用、挖掘，数据安全，风险评估，系统审计等内容。	1. 输出培训计划、记录。 2. 培训时间不少于8小时/人。
5	安全培训类	C5：定制化培训	网络安全管理与技术人员	根据要求提供CISP、CCSRP、CISAW、H3CSE-Security、HCIE-Security、CISA、项目管理等各类网络安全专业资质培训及考试认证服务，共计不少于6人次。	提供培训及考试认证

附件2 安全技术服务

安全技术服务
序号	服务类别	服务子项	服务对象	服务描述和服务要求	服务SLA
1	安全监测审计服务	T1：网站安全监测服务	所有对互联网提供服务的网站及接口	服务描述 对所有对互联网提供服务的网站及接口提供安全监测服务，监控内容包括但不限于可用性、死链、挂马、暗链、篡改和敏感词。 针对指定的互联网网站及接口，提供7*24小时安全监测服务，提供网站监测平台，包括但不限于以下内容：域名可用性（每分钟）、网站首页和二级页面可用性（每分钟）、网站首页和二级页面敏感字监测（每分钟）、网站首页和二级页面错链扫描（每分钟）、网站首页和二级页面网页篡改（每分钟）、指定API接口的可用性（每小时）、指定三个文件下载的可用性（每小时）、网页挂马（每周）等内容，并实时提供短信、邮件安全告警功能。 发现安全问题后，须在5分钟内以微信、短信、电话和邮件等多种方式告知用户。	1.对网络和主机环境不产生影响。 2.提供持续监测服务，按要求每周（月）输出安全监测报告。
2	安全监测审计服务	T2：日志审计服务	指定等保系统，不多于12个系统	一、服务描述 针对指定等保系统的主机设备、安全设备、网络设备、操作系统、数据库、中间件等产生的系统运行日志、应用服务日志、操作日志等进行过滤筛选和审计分析，以监督不当使用和非法行为，并对发生的非法操作行为进行责任追查。 1、重点审计和分析： （1）操作系统可疑和攻击行为，包括增删账户、重启、口令爆破等； （2）Web应用攻击行为，包括XSS攻击、SQL注入攻击等，组件的攻击行为等； （3）网络可疑行为，包括设备配置变更、设备工作异常等； （4）安全设备监控告警行为，包括攻击行为、可疑操作、事件类型分布、事件发展趋势、事件频率等。 2、自备日志审计工具不少于1台/套，日志须留存6个月及以上。 二、服务要求 ▲1、对指定服务对象开展操作日志、审计日志、流量日志、威胁日志、主机日志等各类日志收集、存储、查询、统计分析等。 2、对指定服务对象按照日志属性、日志类型、时间范围进行数据备份。 3、通过各种手段，实时不间断地采集指定服务对象中各种不同厂商的安全设备、网络设备、操作系统等产生的海量日志信息，并通过Syslog、SNMP Trap、NetFlow、ODBC/JDBC、私有TCP/ UDP 等网络协议进行日志采集。 ▲4、根据指定服务对象的设备类型、日志类型、日志等级等开展实时监控，并对各种不同厂商安全设备、网络设备、操作系统、应用日志开展适配分析。 5、对存储的日志，按照指定的检索要求（如开始时间、结束时间、动作类型、设备名称、日志等级、用户名、源IP、目的IP、协议）进行原始日志内容全文检索和查询匹配。 6、按照指定的统计维度、统计方式（柱状图、饼状图、折线图、表格）的生成日志报告，并对指定的检索字段和条件格式（如变色、色阶）突出标记。	1. 每季度输出《日志审计分析报告》。
3	安全监测审计服务	T3：风险和漏洞管理服务	所有设备和系统，涉及IP数不少于2000个	一、服务描述 提供风险和漏洞管理服务，包括但不限于IT资产（包括应用系统、操作系统和安全设备以及IP地址、MAC地址、域名、软件名称、软件版本、开放端口等）全面普查和梳理、风险和漏洞管理、风险和漏洞分析、统计分析、报表统计、资产台账等服务，支持快速识别风险和漏洞，提供漏洞的全生命周期管理服务，形成漏洞发现、漏洞监测、工单派发、漏洞处置、漏洞复测等全过程漏洞闭环管理，定期输出风险与漏洞报告，实现快速识别漏洞危害，迅速定位漏洞的影响范围、威胁性；解决内部漏洞整改确认环节，定位误报错报、由漏洞整改环节完成加固方案的统一性、并归档管理漏洞，保持长久性；建立内部建立漏洞白名单功能，规避安全检查中的不合理性；解决“不想改，不能改，不敢改，不会改”的问题，推进网络安全监管工作的开展；建立具备自身业务系统特点的内部漏洞知识库、案例库。 二、服务要求 ▲1、提供指定服务对象的资产管理服务：按照互联网、设备、网站、域名、网段、业务等资产实体进行分类管理，通过控制显示的表格列，并将过滤器的列保存成自定义视图与筛选条件的条目，资产视图查看资产的信息，以及关联的漏洞，事件，能通过工单实现无责任人资产的流程确认和闭环确认，按照人工去进行资产的属性更新校对，资产数据通过人工根据模板批量导入及按需导出；与“网络自动扫描探测工具”进行直接对接与导入。 ▲2、提供指定服务对象的漏洞管理服务：根据多源问题聚合的问题管理机制，开展第三方漏洞报告的导入，对情报库的手动添加，漏洞库要包含多个漏洞库，并以工单的方式进行处置。通过工单系统实现漏洞的闭环管理，管理员以指派方式将漏洞分派给相关责任人并设置提醒，直至漏洞闭环。 3、对指定服务对象的资产IT属性进行管理（如IP、端口、版本号、操作系统、数据库、中间件等），按资产IT属性及管理属性开展自定义；按照分系统管理资产；对资产进行分用户、角色、权限管理。 4、告警管理服务：按照资产和问题综合条件进行告警，对资产属性为筛选条件，进行事件抑制，丢弃不需要的事件，对告警进行归并，防止风暴。 5、任务管理服务：按需或时间维度进行资产信息抽取，通过一键搜索目前漏补系统内“协议/端口/服务”资产的数据，开展账户的批量安全设置（复杂度、长度、锁定阈值、锁定时间等）、最大会话限制，主动对探针盒子、主机加固系统或客户CMDB系统中抽取资产数据，在不能满足现有需求情况下，通过插件化进行定制开发。 6、知识库管理服务：通过工具的 CVE，CNNVD等多方情报知识库和服务器安全管理系统的漏洞知识库获得知识库管理服务，按需对第三方漏洞库进行重写。	1. 至少每月提交一次漏洞报告，包括但不限于各类资产风险情况（应用系统、中间件、数据库、服务器、网络设备、安全设备）、对外开放资产漏洞情况、新增中高危漏洞及整改情况、安全通报漏洞情况、漏洞来源情况等。
4	安全监测审计服务	T4：网络自动扫描探测服务	所有设备和系统	一、服务描述 1、遵循“探测—扫描—定性—处置—审核”的安全体系构建方法论，综合运用资产探测技术，能够全面发现网络资产IT信息，准确定性资产属性，快速发现资产IT信息。 2、自备网络自动扫描探测工具1台/套，并及时升级更新。 二、服务要求 1、提供全域监控服务，对网络设备、安全设备、服务器、虚拟资源、应用资源等进行统一管理，真正实现在一个管理平台上对异构的IT资源的统一管理，消除数据信息孤岛，提升运维管理效益。 ▲2、根据主动探查方式进行资产扫描发现，按照资产扫描方式（如TCP、UDP、ICMP扫描，指定端口扫描），获取资产识别信息（如目标主机端口信息、版本信息、网络服务、操作系统、硬件特性等属性）。 ▲3、按照资产清单进可视化展示全网设备数量、IP、资产名称、设备类型、操作系统、首次发现时间、更新时间；资产详细信息包括：IP地址、设备类型、设备名、FQDN、操作系统、操作系统详情、MAC地址、厂商与型号、服务信息、设备开放的端口、服务协议；网站清单界面展示全网网站数量、网站名称、URL、系统版本，通过资产的新增、属性的发生变化感知网络内资产风险，实时产生资产变动告警。 4、在网络管理方面，对接口配置IPv4地址及路由开展配置管理。 5、对帐号与密码进行安全管理，根据密码有效期、密码长度、密码复杂度、登录安全策略、登录失败次数锁定、登录失败间隔、账号有效期等进行系统管理，并定期开展系统与指纹库升级。 6、对登录日志、运行日志、运行操作日志和REST API日志进行本地查询与显示。	1. 自动扫描与探测资产IT信息采集正确率不低于95%。
5	安全技术防护类	T5：网络恶意代码防范服务	网络边界	一、服务描述 网络恶意代码防范服务能满足等保2.0关于在安全区域边界进行恶意代码防范的要求：对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。根据业务需求，部署在互联网网络边界，覆盖所有等保及重要系统。 二、服务要求 ▲1、提供专业的防病毒过滤网关与专用网络安全硬件平台（非UTM或防病毒模块）进行网络恶意代码防范服务；提供透明串接、旁路监听接入模式、即插即用等方式或透明串接/旁路监听的混合部署接入中心网络环境，而无需修改现有网络结构和配置。  2、提供IPv4/IPv6双栈网络环境网络的网络恶意代码防范服务；网络恶意代码防范服务防止单点故障，提供管理界面进行BYPASS操作，方便排查网络故障等。 3、提供链路可靠性保障，对串行部署模式下的连接状态进行传递和自动BYPASS，按需用于全互联环境或HA环境下的链路切换状态传递。 4、提供多种病毒类型（如执行病毒、勒索病毒、挖矿病毒、宏病毒、木马、蠕虫、间谍软件、恶意脚本等混合型病毒文件）的过滤服务；提供多种压缩格式（如7z、cab、chm、nsis、rar、tar、zip、arj、bzip2、cpio、gzip、lzh、rpm、Z等格式）病毒过滤。 5、提供对HTTP/FTP/SMTP/POP3/IMAP/SMB等多项协议的病毒双向过滤服务，对协议非标准端口的自动过滤，无需单独设定端口。 ▲6、提供病毒文件处理服务，对协议层病毒文件开展放行、告警、破坏、隔离、阻断等处理，并对每项协议病毒过滤策略进行单独设定，且不影响其他协议过滤策略；提供丰富（如一千万以上数量）的恶意代码库，且每次更新可看到库数量的变化。对恶意代码库的旧版本提供，对三个版本以上进行回滚。对活动阶段的恶意代码（勒索病毒攻击、蠕虫攻击传播、活动木马、僵尸网络、邮件蠕虫病毒、网络共享病毒等）攻击进行防御。	1. 计算机病毒、恶意代码的识别率、查杀率不低于95%。 1. 对原网络环境不产生影响。
6	安全技术防护类	T6：主机防护和恶意代码防范服务	资源中心所有等保系统，涉及IP数不少于200个	一、服务描述 主机防护和恶意代码防范服务能满足等保2.0关于在安全计算环境进行恶意代码防范的要求：应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。提供Windows、Linux、Unix等主流操作系统各类版本的主机防护和恶意代码防范服务。 二、服务要求 ▲1、通过管理中心实时显示客户端的状态及终端基本信息，如客户端连接状态、服务状态，终端机器名称、客户端版本、病毒库版本、IP地址、MAC地址、操作系统版本、高危及功能漏洞、主板信息、显卡信息、内存大小、当前版本信息和物理位置等信息；并按需导出终端信息。 2、通过管理中心实现对客户端的远程运维；通过虚拟沙盒的本地反病毒引擎开展本地查杀；对全网补丁情况进行展示（如补丁类型、修复状态等），按需进行补丁忽略。 ▲3、对勒索病毒开展诱捕，设置诱饵文件并实时监控，当勒索病毒对该文件进行加密操作时进行拦截；提供对webshell后门进行扫描检测服务。 4、对系统关键位置进行防护，阻止无文本攻击、流氓、广告程序对系统的恶意篡改等行为。按照系统文件保护、病毒免疫、进程保护、注册表保护、危险动作拦截、执行防护等多个维度对系统进行防护；对终端对外攻击检测，根据自定义SYN、UDP、ICMP数据包的检测阈值，进行自动阻止并记录攻击行为。 5、对客户端上报的威胁日志进行统计分析，（如终端/部门/责任人危险排行统计、防御类型分布统计、病毒类型分布统计、病毒排行统计、病毒趋势统计、部门补丁排行统计、操作系统补丁排行统计、移动存储事件排行等），以图表进行汇总展示； 6、对报表名称、标题、公司、内容、周期、发送等设置，内容设定模板包括病毒趋势、病毒名称排行、威胁终端排行、病毒类型排行、安全事件排行、部门危险占比、攻击IP排行、被攻击主机排行、移动存储事件排行等统计情景；周期设定日、周、月，定时生成报表；通过邮件的方式推送相关接收报表人员。	2. 计算机病毒、恶意代码的识别率、查杀率不低于95%。 3. 对原主机或终端环境不产生影响。

 
附件3 安全运维服务
附件3-1 安全日常运维服务

安全运维服务-安全日常运维服务
序号	服务类别	服务子项	服务对象	服务描述和服务要求	服务SLA
1	日常运维类	D1：安全检查服务	所有IT资产	服务描述 根据网络与信息安全联合检查或者其他专项安全检查要求，按需协助开展网络与信息安全检查，包括但不限于以下主要服务内容： 1、检查是否存在违规存储、处理、传输涉密信息的情况； 2、检查是否安装防病毒系统及病毒特征库是否及时更新； 3、检查Windows操作系统补丁更新是否及时； 4、检查终端是否存在未开启防火墙、弱口令、未使用锁屏功能、未删除不必要的用户、开启默认共享、开启远程桌面等安全隐患； 5、检查违规上互联网监控软件的安装及记录情况； 6、检查政务办公网是否存在使用移动存储介质痕迹； 7、检查电子邮箱、微信、QQ等通讯工具是否存在违规处理涉密文件、内部文件的情况； 8、提供咨询服务，并协助准备联合检查材料，材料必须准确、完整。	1. 自查结果与现场抽查结果务必相符。 2. 输出安全检查记录和报告。
2	日常运维类	D2：等级保护测评支持服务	所有等保系统	服务描述 结合等级保护2.0相关标准要求，对所有等保系统提供等保咨询服务，提升整体合规能力，协助开展等保测评，主要包括以下内容： 1、协助开展定级备案，召开等保定级专家评审会议，负责不多于3个系统的专家评审费用； 2、协助开展等保测评自查工作，如提供文档编制、技术支持等服务； 3、协助开展等保测评以及整改工作，采取必要的安全技术措施（如临时搭建安全管理中心），确保通过等保测评。	1. 输出等保定级备案相关材料。 2. 输出等保测评自查相关材料。 3. 协助完成等保测评工作，并通过测评。
3	日常运维类	D3：漏洞扫描服务	所有设备和系统，涉及IP数不少于2000个	一、服务描述 协助制定漏洞扫描计划和漏洞扫描服务方案，并通过智能遍历规则库和多种扫描选项组合的手段，深入准确的检测出系统和网站中存在的漏洞和弱点，最后根据扫描结果，提供测试用例来辅助验证漏洞的准确性，并提供整改建议。 1、例行漏扫 （1）每季度对所有相关信息系统使用的主机、终端、数据库系统、网络设备、安全设备、系统应用以及弱口令等进行漏洞扫描，如存在中高危漏洞则通知相关部门进行漏洞修复，并进行复测，出具漏扫和复测报告。 （2）每周对政务数据开放平台等不多于6个指定系统主机、终端、数据库系统、网络设备、安全设备、系统应用等进行漏洞扫描，如存在中高危漏洞则通知相关部门进行漏洞修复，并进行复测，出具漏扫和复测报告。 2、专项漏扫 按需开展风险评估、设备入网、系统上线、等保测评自查、安全检查、重保时期、护网行动等漏洞扫描工作，如存在中高危漏洞则知相关部门进行漏洞修复，并进行复测，出具漏扫和复测报告。 3、自备国内外主流的漏洞扫描工具/组件不少于3台/套（其中主机漏扫工具2台/套、应用扫描1台/套，主机漏扫工具应为不同厂商产品），并及时升级更新漏洞特征库。 二、服务要求 ▲1、通过风险告警和风险闭环处理，对集中告警平台开展告警内容、告警方式、告警资产范围设置等； ▲2、通过对数据库进行帐户口令认证登陆，登陆到主流的数据库（如Oracle、Mysql、MSSQL、DB2、Informix、Sybase、达梦等多种数据库类型）中对特定应用进行深入扫描； 3、对扫描过程中人工指定（如SMB、SSH、Telnet、SNMP等）常见协议的登陆口令，登陆到相应的系统中对特定应用进行深入扫描；主机漏洞知识库兼容国内外主流标准（CVE、CNCVE、CNNVD、CNVD、Bugtraq等）；4、通过主动扫描和被动扫描两种模式，解决在复杂的Web业务逻辑中，避免主动扫描导致漏报问题，按需启用被动扫描模式遍历所有的URL，达到全面检测漏洞的目的； 5、运用登录IP限制，限制用户只能在指定某些IP的主机上登录使用，并限制用户可允许的扫描IP范围； 6、通过任务锁定与解锁，对任务进行锁定，防止其他用户对其任务进行操作，如果要对任务操作必须输入正解密码进行解锁。	1. Web漏洞、系统漏洞、数据库漏洞以及弱口令等低危漏洞的识别率不低于95%，中高危漏洞识别率不低于99.9%，且须达到相关安全监测和监管机构的安全检测能力。 2. 根据漏扫服务要求定期输出漏洞统计和分析报告，漏洞扫描实施前必须提供漏洞扫描服务方案。 3. 对网络和系统环境不能产生影响。
4	日常运维类	D4：基线核查服务	所有等保系统	一、服务描述 采用人工检测、工具核查等方式对用户的主机设备、网络设备、安全设备、数据库、中间件等设备和系统进行安全配置基线检查。 1、根据用户安全基线规范和实际配置范例开展安全配置基线核查。 2、根据用户安全基线规范和实际配置范例制定安全配置基线核查脚本。 3、每年对用户所有等保系统开展一次例行安全配置基线核查。 4、按需（如风险评估、设备入网、系统上线、等保测评自查、安全检查、重保时期、护网行动）开展专项安全配置基线核查。 5、自备自动化安全基线配置核查工具/组件不少于1台/套。 二、服务要求 1、通过常见的设备和应用（如操作系统、网络设备（路由器和交换机）、防火墙、应用中间件、WLAN设备、虚拟化设备）的配置检查。 2、提供对主流操作系统（如Windows、Linux、AIX、HP-UX、Suse等）进行配置核查服务。 3、提供主流数据库（如Oracle、DB2、Informix、MySQL、SQL server、Sybase等）进行配置核查服务。 4、提供对应用中间件（如Apache、BIND、Jboss、Tomcat、TongWeb、Weblogic、Websphere、Nginx、Resin、HIS等）配置核查服务。 5、提供对网络设备（如华三、华为、思科、Juniper、中兴等主流厂商）配置核查服务。 6、提供对主流防火墙设备（如华三、华为、华赛、深信服、启明星辰等主流厂商）配置核查服务。 7、提供对主流WLAN设备（如华三、华为、中兴等主流厂商））配置核查服务。 8、提供虚拟化设备配置彻查服务，包括Hyper-V、VMWare ESXi、VMWare vCenter、XEN、XenServer配置核查服务。 9、通过指定方式（如立即执行、定时执行、周期执行）开展配置核查，按照自定义高级执行策略日*点*分、每*月第*个星期*的*点*分。 10、通过时间段设置，提供在指定时间段内执行任务，未完成任务在下一时间段自动继续执行。	1. 基线核查准确率不低于90%。 2. 根据服务要求定期输出基线核查统计和分析报告，并给相关建议。 3. 对网络和系统环境不能产生影响。
5	日常运维类	D5：安全技术支撑服务	所有系统	服务描述 对安全监测、漏洞扫描、渗透测试、威胁情报、安全通报等各类渠道发现的安全漏洞，协助开发维护人员进行整改，提供第三方技术支持与专家咨询服务，提高系统的安全性和抗攻击能力，以期将整个系统的安全状况维持在较高的水平，减少安全事件发生的可能性。主要服务内容包括： 1、协助提供漏洞修复建议和补丁下载链接； 2、针对存疑的风险、漏洞进行验证，并提供报告； 3、在现有条件无法正常更新补丁情况下，提供技术支持与专家咨询，提出修复建议与安全补偿措施； 4、提供主流操作系统、网络设备、安全设备、数据库系统等设备和系统安全加固技术支持； 5、协助分析安全加固过程中风险以及提出应对措施建议。	1.输出漏洞修复建议、存疑漏洞验证、安全补偿措施等相关文档。
6	日常运维类	D6：日常运维服务	安全管理部门指定日常运维服务	服务描述 提供网络与信息安全日常运维支持服务，主要包括： 1、巡查时钟同步服务器：每周对时间同步服务器进行巡查，保障时间同步服务器的准确性； 2、协助撰写安全工作总结、专项检查报告； 3、协助开展数字证书制作； 4、协助开展IP地址查询和确认工作。	1. 按要求定期输出巡检报告。 2. 输出数字证书制作及IP地址查询台账。 3. 输出相关工作报告和纪要。
7	日常运维类	D7：运维审计服务	运维审计系统	服务描述 参照网络与信息安全审计制度和流程，协助安全审计员每季度开展用户行为运维审计和数据分析，出具审计报告。主要内容包括： 1、提供运维审计系统（堡垒机）巡检和运维服务，协助进行版本更新，保障运维审计系统安全； 2、对运维审计系统日志进行分析，每季度开展1次，输出运维审计报告； 3、协助采购人通过对运维审计记录的分析，对违规运维操作过程进行重现，为查明违规原因和决策处理提供依据。	1.每季度输出运维审计报告。
8	安全监测类	D8：威胁情报及处置服务	所有IT信息	服务描述 定期提供提供威胁情报及处置服务，具体服务如下： 1、提供战略情报，包括政务领域安全总览、攻击趋势等比较宏观的报告。 2、提供事件情报，对国内外黑客组织最近针对我国政务领域的攻击事件形成分析报告，并评估可能对用户的影响。 3、提供技术和漏洞情报，包括新发的安全漏洞和特定恶意软件的指标（域名、hash、IP）等。 4、在获得最新漏洞情报，应该立即开展风险检查，并与相关系统管理员进行确认，根据检查及确认结果，协助完成漏洞处理，形成闭环管理。	1.按季提供战略情报。 2.按月提供事件情报。 3.重大威胁、漏洞或事件24小时内提供情报。 4.杜绝发生重大威胁、漏洞预警后，因不及时处置导致被通报，按关键考核要求条款处理。

附件3-2 安全专项运维服务

安全运维服务-安全专项运维服务
序号	服务类别	服务子项	服务对象	服务描述	服务SLA
1	应急保障类	P1：应急响应服务	所有系统	服务描述 根据市委网信办发布的《深圳市网络安全事件应急预案》有关要求，协助建立常设的专业技术支撑队伍；发生突发事件时，按照市网安应急办的指令，开展应急救援。 1、提供本地化的网络与信息安全事件应急响应支持服务，建立专业技术支撑队伍，建立网络安全事件应急处置咨询机制，为网络安全事件的预防和处置提供技术咨询和决策建议。 2、专业技术支撑队伍成员应24小时保持电话畅通，按需提供7*24小时现场或远程网络与信息安全事件应急响应安全技术专家服务，针对突发各类网络与信息安全事件等进行诊断、分析并协助解决，以及协助开展事后分析、取证并输出分析报告。 3、根据《深圳市网络安全事件应急预案》以及用户《信息安全事件管理程序》《服务中断分级管理》等程序文件相关要求，接到用户通知时，应即时响应，并按照网络安全事件级别在用户指定时间内（最长不超过45分钟）指派专业技术支撑队伍成员到达现场协助用户开展应急处置工作。 4、协助撰写网络安全事件报告，将网络安全事件详细情况在1小时内上报市网安应急办。网络安全事件报告内容包括：事件发生时间和地点、发生事件的基础网络与信息系统名称、事件原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。	1. 输出安全应急响应服务方案。 2. 安全事件处理完毕后三个工作日内提交《安全事件处理和分析报告》，并提出可行的改进建议。
2	应急保障类	P2：重大保障服务	所有系统	服务描述 在重要节日、重大活动、护网行动等重保时期，加强驻场和人力保障，做好网络与信息安全隐患排查、安全防护、预警监测等安全保障技术支撑服务，确保业务系统安全运行，避免敏感事件或影响业务的安全事件发生。 1、根据年度重保工作要求，制定重保网络安全工作方案，做好重保漏洞扫描、配置核查、终端检查、邮箱检查等网络安全自查，协助做好整改以及总结等相关工作。 2、重保期间，充分利用现有安全检测与防御手段，结合安全监测与分析经验，协助开展检测与分析攻击行为，快速响应及处置，抑制攻击事件，顺利完成重保。 3、重保期间，按需提供7*24小时安全服务工程师驻场服务。 4、重保期间，按需提供7*24小时现场或远程安全技术专家服务，针对重保时期各类突发事件等进行诊断、分析并协助解决。	1. 输出重保服务方案。 2. 输出重大保障服务总结报告。
3	安全专项类	P3：渗透测试服务	所有系统	服务描述 以人工黑盒的方式，采用信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web脚本渗透、B/S或C/S应用程序测试等测试方法，对系统和网络进行非破坏性质的攻击性测试，并将渗透过程和细节产生报告给客户，由此证实用户系统所存在的安全威胁和风险，并能及时提醒安全管理员完善安全策略。 1、需提供完整的渗透测试方案，渗透测试应结合黑盒测试、外网测试等多种模式进行，可采用远程渗透、现场渗透等多种方式。 2、应详细分析渗透测试所带来的次生风险，主动规避渗透测试中的次生风险，确保不因渗透测试带来新的业务连续性风险问题。 3、对于互联网信息系统，渗透测试应包含API与业务逻辑渗透测试。 4、测试完成后，需出具全面的渗透测试报告，包括有效、可行的解决方案，并提供完整的攻击过程屏幕截图。 5、需指派工程师指导协助系统开发人员对测试中发现的漏洞进行修复，并在修复后检查是否已经规避了渗透测试发现的风险，并提供复测报告。 6、提供年度渗透服务，渗透测试对象应包括但不局限于主机操作系统渗透、数据库系统渗透、应用系统渗透、网络设备渗透、终端渗透等所有方面。 7、按需提供单个系统专项渗透服务不少于10次。	1. 每年度针对所有系统的渗透测试不少于1次，等保重要系统不少于2次。 2. 两次年度开展渗透测试服务的工程师不能为同一团队人员。 3. 根据渗透测试服务要求输出渗透测试统计和分析报告。
4	安全专项类	P4：应急演练服务	等保系统	服务描述 根据实际情况，结合应急预案，制定详细的年度综合性网络与信息安全应急演练方案，并协助开展应急演练，通过应急演练加强安全应急预案的可执行性： 1、应急演练方案至少包括2种不同类型的应急事件； 2、应急演练联动部门不少于4个； 3、应急演练前，组织全体参演人员学习演练脚本并解说注意事项； 4、对应急演练过程进行分析总结，并提交应急演练总结报告。	1. 输出《网络与信息安全应急演练方案》。 2. 输出《网络与信息安全应急演练总结报告》。
5	安全专项类	P5：风险评估服务	整体网络与信息安全	服务描述 参照国标《信息安全技术 信息安全风险评估规范（GB/T 20984-2007）》，开展一次年度整体网络与信息安全风险评估服务，对整体的网络与信息安全状态开展风险排查、摸清风险状况，形成风险评估报告。 1、组织成立风险评估小组，明确资产识别、脆弱性识别、威胁识别、风险分析及风险处理等环节的责任人，明确责任人的职责范围。 2、风险评估的范围为整体网络与信息安全。 3、对所有信息资产进行赋值，完整识别出所有重要资产，编制重要资产清单，对单位所有主机、网络、数据库、应用系统进行漏洞扫描，全面识别出资产的脆弱性和威胁，对信息系统中存在的技术型漏洞（弱点）进行评估。 4、结合资产的脆弱性和威胁进行风险识别，编制不可接受风险清单，制定不可接受风险整改计划，最终完成风险自评估报告和风险自评估总结。 5、对不可接受风险的整改计划落实进行跟踪，编制已整改及未整改的风险清单，并说明情况。	1.提供不少于1人的安全专家现场服务。 2.输出风险评估方案。 3.输出风险评估分析和总结报告。
6	安全专项类	P6：代码审计服务	指定系统	服务描述 对指定系统，采用自动化静态分析技术和人工漏洞核验方式，提供代码审计服务，从安全性方面检查其脆弱性和缺陷。主要服务包括： 1、安全技术专家使用代码审计工具对应用系统进行白盒安全检测。通过对系统开发框架、应用程序、客户端程序、接口及第三方组件和应用配置这五个方面进行深入的安全分析，充分挖掘当前源代码中存在的安全缺陷以及规范性缺陷，从而让开发人员了解其开发的应用系统可能会面临的威胁，并指导开发人员正确修复程序缺陷。从源代码层面来减少和降低开发过程中的安全缺陷和安全漏洞。 2、源代码审计服务的主要对象是PHP、JAVA、ASP、.NET、Python等与Web相关的计算机代码。 3、全文本的跨函数分析，缺陷结果展示跨函数的多步成因。 4、使用文件/文件夹白名单，可以对多个文件或文件夹进行过滤，不统计该文件和文件夹下检测的问题结果，提高检测精准性。 5、支持缺陷知识库在线查看，能够根据缺陷类型、关键词、威胁等级等条件进行搜索，分语言和类型显示该缺陷的等级、详细信息、修复建议和参考信息内容 6、展示多种项目度量的数据，包括但不限于项目代码行、圈复杂度，能够提供函数级别的度量数据Api。 7、根据实际需求，提供不多于5万行代码的审计服务。 提供安全编码咨询与修复建议。	1.输出《代码审计报告》和《代码复查报告》以及整改意见。

 
附件4 数据安全治理服务

数据安全治理服务
序号	服务类别	服务子项	服务对象	服务描述和服务要求		服务SLA
1	数据安全管理类	B1-1:组织架构	所有部门、人员	服务描述 从合规要求，结合实际情况，对各部门充分调研，业务以及数据流动的深度理解，从数据生命周期安全管理角度，对数据安全能力建设和风险控制等；建议数据安全组织架构（如决策、管理、执行），人员配备与组成、岗位设置（如数据管理、数据开发、数据运维、数据审计）、职责划分，人员能力要求等。	1人*2个月驻场+专家支撑	1、输出满足合规要求并符合实际情况的数据安全组织架构的具体职责建议；2、数据安全意识培训； 3、人员组成与配备合理，可以覆盖数据生命周期安全管理。
2	数据安全管理类	B1-2:规章制度	所有部门、人员	服务描述 根据合规要求，对各部门的业务、管理现状充分调研，为保障数据安全落地以及风险控制，制定完善的数据安全管理制度，建议数据安全规章制度包含且不限政策方针、制度规范条例、执行明细和模板等方面。 政策方针：明确数据安全工作的总体方针和纲要，确定开展数据安全工作的目标和基本原则。 制度规范条例：基于总体政策方针框架，形成如数据安全管理规范（通用规范）、数据共享管理规范、数据资产管理规范等规范。 执行明细和模板：具体的执行文件，如脱敏规范、审批流程、日志审计规范等，以指导技术落地，并由此形成数据权限、数据脱敏等申请模板。		输出满足合规要求并符合实际情况的规章制度。
3	数据安全管理类	B1-3:流程规范	所有部门、人员	服务描述 根据合规要求，对各部门的业务、管理充分现状调研，除了制度的指导与约束外，结合实际管理流程，制定基于数据生命周期安全管理流程规范，保障数据安全组织架构能高效运行，建议流程规范包含且不限如下： （1）数据分类分级审核流程、数据类别、级别变更流程； （2）数据访问申请审批流程； （3）数据共享交换申请审批流程； （4）数据销毁申请审批流程。		输出满足合规要求并符合实际情况的流程规范。
4	数据治理类	B2：数据库特权帐号管理服务	所有部门、人员	服务描述 数据特权账号管理服务是来指导和帮助安全团队核查和消除账号安全风险，抵御和防范来自于内外部的试图通过风险账号发起的攻击，满足各类安全规范对账号密码安全管理方面的要求。 巡检内容包括：弱密码账号、僵尸账号、幽灵账号、三个月无改密账号、提权账号等。	现场服务	服务满足合规要求并符合数据库特权帐号管理。
5	数据治理类	B3：数据分类分级	所有数据	服务描述 根据合规要求以及各个部门业务、管理现状，建立数据资产分类分级标准，并输出数据资产分类分级报告。实现对32个数据库实例、数据量约25T的分类分级，详细要求如下： 1、数据分类 （1）分类要求：根据来源、用途、内容、业务以及管理对政务数据进行分类； （2）分类维度：数据主题分类、数据形态分类、数据特征分类、数据应用分类、数据部署地点分类、数据生成时间分类等。 2、数据分级 （1）分级要求：根据数据价值、重要性、敏感度以及影响范围不同对政务数据进行分级； （2）分级原则：a.依从性原则，即数据资产安全等级划分应满足监管要求；b.流程差别化原则，即采用不同的安全策略和管理流程，差别对待不同安全等级的数据资产。 （3）分级维度 a.一级：低敏感级，可以对外部公开的数据，安全处理策略可自行确定。 b.二级：较敏感级，不能对外公开，但是经过一定审批流程，可在内部各部门和系统共享的数据。需要要采取一定的技术手段，保障数据存储、数据传输、数据交换、数据使用的安全需求。 c.三级：敏感级，内核心重要数据，只允许在主管部门内部使用的数据，需要要采取严格的技术手段，保障数据存储、数据传输、数据交换、数据使用的特殊安全需求。 d.四级：极敏感级，本级数据与秘密级、机密级和绝密级国家秘密相对应，其泄露会使国家安全和利益遭受不同程度的损害。	专家服务，1次/年	1、输出符合合规要求以及满足各个部门业务、管理方面的数据资产分类分级标准规范； 2、根据分类分级标准，对盘点的数据资产进行分类分级，并输出数据资产分类分级报告。
6	数据安全技术服务	B4：数据库安全运维管理服务	所有重要数据库	一、服务描述 从数据库登陆、访问控制、运维脱敏、数据防篡改、工单系统、运维审计等方面全方位支持数据库安全运维管理，提供不少于32个数据库实例以及支持AIX\HPUX\Linux\Windows等市场主流操作系统的运维管理服务。 二、服务要求 1、提供分权管理服务：将核心数据进行分类分级，将同类数据进行归类，形成资产集合，再将资产集合的访问授权分配给不同角色的人员；同时，为避免运维过程中涉及的敏感数据泄露，数据库中的特权账户（DBA运维人员）避免接触敏感数据，并与敏感数据相隔离。 2、通过工具登陆进行控制，达到未受认证运维工具拒绝登陆数据库，而受认证运维工具允许登陆数据库；运维脱敏：根据脱敏策略开展用户身份、敏感数据对象以及脱敏规则实施脱敏。 ▲3、通过DML语句控制命令类型、表格或用户、响应行为等进行访问控制；对DDL/DCL操作访问控制数据库系统权限、数据库对象权限、数据库代码，防止被删库等。 ▲4、通过数据库运维工具免密登录，当数据库管理人员通过Toad或sql developer等工具登录运维数据库时，通过数据库账号与数字证书的绑定，数据库管理员需要在运维PC端插入持有数字证书的U-key或安装软证书，并通过登陆数据库运维管理系统的安全客户端进行口令及证书认证，让数据库运维管理员在使用数据库运维工具中无需输入数据库用户名密码即可登录已授权访问的数据库，避免运维数据库用户和密码泄露，保障账号安全。 5、通过在数据库服务器上安装安全代理插件，对于通过SQL管理工具直连数据库的违规连接行为进行准入控制，防止非法人员绕过安全系统，直接对数据库进行访问。 6、提供识别真实应用及SQL管理工具md5特征，防止假冒应用及假冒SQL管理工具违规访问数据库。	现场服务，7*24小时	1、根据合规要求、数据安全管理需求，从源头上对人员、角色、工具、操作和数据资产等进行精细化的识别、认证和管控； 2、实时检测并阻断高危操作； 3、对于临时的非授权操作，采用工单流的方式进行审批和管控。

 
 
 
附件
2020-2021年度网络与信息安全服务项目服务申报书V20200904.docx