军工二级，如果无涉密信息系统，运维机构职能可以由信息化管理部门兼任代替吗？

点击联系发帖人 时间：2022-09-28 04:48

信息系统运维工作流程

益政办发〔2022〕22号

关于印发《益阳市政府投资信息化建设项目管理办法》的通知

各区县（市）人民政府，益阳高新区管委会，大通湖区管委会，市直各单位：

《益阳市政府投资信息化建设项目管理办法》已经市人民政府2022年第15次常务会议审议通过，现印发给你们，请遵照执行。

益阳市政府投资信息化建设项目管理办法

为进一步规范我市政府投资信息化建设项目管理，避免无序建设、重复投资、低效应用，推动跨部门跨层级数据共享和业务协同，根据《中华人民共和国政府采购法》《中华人民共和国招标投标法》《政府投资条例》《国家政务信息化项目建设管理办法》《国务院关于加强数字政府建设的指导意见》《湖南省省直单位政务信息系统项目建设管理办法》《湖南省“十四五”数字政府建设实施方案》等有关规定，结合我市实际，制定本办法。

第二条本办法所称政府投资信息化建设项目（以下简称“信息化项目”），是指市本级各相关单位运用信息技术履行管理和服务职能，由政府投资建设、政府和社会企业联合建设、政府向社会购买服务或需要政府运行维护的各类信息化项目，主要包括信息化基础设施建设（物理机房、网络、计算、存储、安全、信息化传感及控制设备，以及基础建设工程项目中的信息化部分等）、软件开发、系统运维及运营服务等。

第三条政府投资信息化建设项目建设遵循统筹规划、集约建设、共建共享、高效应用、安全可靠的原则。

第四条市新型智慧城市建设领导小组负责审定政府投资信息化建设项目相关规划计划，研究协调重大问题、重大事项等。

市发展改革委负责指导协调市政务管理服务局编制政府投资信息化建设项目年度计划，负责下达可行性研究报告批复。

市政务管理服务局承担政府投资信息化建设项目的监督管理和统筹调度职责，负责制定相关政策、制度、标准和规范，负责拟订政府投资信息化建设项目规划计划，牵头组织项目验收及运行后评价。

市财政局负责政府投资信息化建设项目投资评审和2000万元以下项目结（决）算评审；与市政务管理服务局共同拟定项目建设年度计划；组织项目财政性资金支付和管理；负责财政性投资项目资金绩效目标跟踪监控；对政府采购活动进行监督管理；监督项目建设单位按照资产管理制度进行资产登记和管理。

市审计局负责对政府投资信息化建设项目进行审计监督。投资额在2000万元以上的项目纳入年度审计项目计划，投资额在2000万元以下的项目按一定比例抽审。

市委网信办负责政府投资信息化建设项目的网络安全审查，依法开展网络安全监督。

市国家保密局负责对涉密项目分级保护方案进行审查论证；负责组织涉密信息系统测评，以及投入使用前的审查工作。

市国家密码管理局负责对国产密码应用工作进行监督指导。

市智慧城市和大数据中心负责对政府投资信息化建设项目进行前置技术审查，组织开展项目评审；指导政府投资信息化建设项目的方案编制、实施交付、运行维护工作；负责建设跨部门、跨业务、多用户单位场景的基础性、支撑性、公共性政府投资信息化建设项目。

承担政府投资信息化建设项目建设任务的单位（以下简称建设单位）负责项目的设计、建设、管理等工作。市直机关各单位、市属国有企业应对下属二级机构的项目进行统筹管理。

第二章计划和资金管理

第五条政府投资信息化建设项目实行年度计划管理。每年9月30日前，建设单位自行编制或委托专业机构编制项目建议书，经本单位党组审议通过后向市政务管理服务局申报下一年度项目计划，并提交项目概要、投资概算、建设资金来源、分年度投资计划及相关依据资料。市智慧城市和大数据中心负责对项目开展前置技术审查，审查通过后出具前置技术审查意见，作为项目申报下一年度计划的依据。

第六条市政务管理服务局会同市发展改革委、市财政局编制形成政府投资信息化建设项目年度计划，经市新型智慧城市建设领导小组审定，并提请市人民政府常务会议审议通过后下达。

第七条纳入政府投资信息化建设项目年度计划是项目审批、安排运行维护资金的前提和依据。对未纳入年度计划而根据国家、省要求急需建设的项目，按照“一事一议、特事快办”原则，由市政务管理服务局组织市发展改革委、市财政局开展联合审查，出具联合审查意见，经市新型智慧城市建设领导小组审定，报市人民政府批准后列入年度增补计划。

第八条总投资50万元以下的政府投资信息化建设项目不列入项目年度计划，无需办理审批，由建设单位自行组织实施，但须在合同签订后报市政务管理服务局备案。

第九条市财政局每年根据经市人民政府常务会议审定的政府投资信息化建设项目年度计划、以前年度批准建设项目年度付款计划、当年综合财力等情况，在重点项目预算支出内安排一定的智慧城市建设专项资金。

智慧城市建设专项资金的管理和使用应符合国家、省、市财政预算管理的有关规定，按照“量入为出、勤俭节约、统筹兼顾、注重绩效、公正公开”的原则，确保项目资金使用规范、安全、高效。

除市委、市人民政府研究决定的政府投资信息化建设项目外，其他部门、单位的项目建设资金，由各单位通过立项争资、盘活存量资金、统筹自有资金等方式筹集，项目建成后，市财政给予一定的奖补。

政府投资信息化建设跨年度项目，资金实行“一次申请，分年按进度安排”，凡是当年不能形成支出的，当年不予安排预算。

第十条经市人民政府批准同意的政府投资信息化建设项目，由建设单位组织编制初步设计方案。总投资500万元以上的项目初步设计方案应依法委托专业机构编制。总投资1000万元以上的项目须编制可行性研究报告提交市发展改革委批复。

第十一条初步设计方案编制完成后，应报市智慧城市和大数据中心进行方案评审，总投资200万元以上的项目应组织有关单位和专家召开评审会，方案评审通过后出具评审意见书。方案评审主要对项目建设目标、规划选址、功能设计、技术思路、数据共享方案、系统架构和设备选型及投资概算等进行评审。

第十二条市智慧城市和大数据中心建立、更新全市政府投资信息化建设项目评审专家库，技术评审会、项目验收会专家原则上从专家库中抽取。专家对论证审查意见的科学性负责。

第十三条政府投资信息化建设项目通过方案评审后，由建设单位提交市政务管理服务局审批。市政务管理服务局将方案评审意见作为审批的依据，原则上不再另行组织评审。

第十四条相关审批部门要严格遵守审批时限，并履行一次性告知义务。自受理之日起，项目审批不超过10个工作日（不包括技术评审和建设单位资料整改时间）。

第十五条政府投资信息化建设项目自审批流程完成之日起6个月内启动实施，逾期未实施的项目须重新报批。

第十六条严禁任何单位将应按规定程序进行审批的政府投资信息化建设项目，以化整为零等方式规避审批。

第十七条政府投资信息化建设项目完成审批后，由市财政局组织开展项目预算评审。

第十八条建设单位要严格执行招标投标、政府采购等制度。市、县一体化建设的政府投资信息化建设项目，由市本级统筹建设，实行统采分签，经费分级负担。招标采购涉密信息系统的，还应当执行保密有关法律法规规定。

第十九条规范政府投资信息化建设项目合同履约管理。预留合同款的15%作为建设尾款，竣工验收1年后，后评价合格且问题整改到位的支付合同款的5%，竣工验收2年后考核合格支付合同款的5%，竣工验收3年后考核合格支付合同款的5%。

第二十条建设单位签订项目采购合同时，应明确项目终止机制。项目建设实施过程中有下列情况之一的，建设单位依法终止项目实施，并形成书面说明提交市政务管理服务局：

（一）由于不可抗力因素，造成项目无法完成的；

（二）项目实施不力，无法继续进行或预期目标不能实现的；

（三）承建单位不按批复方案或合同执行，拒不接受整改的。

第二十一条政府投资信息化建设项目约定建设后的运维期一般不少于3年，法律法规规章和上级政策另有规定的除外；约定运维期结束后，按照相关规定和程序确定后续运维费用。

第二十二条项目建设单位必须严格按照批复的初步设计方案和投资概算实施项目建设。政府投资信息化建设项目在建设过程中，确需对建设内容等进行变更的，应依法依规办理变更手续。

第二十三条建设单位应建立健全政府投资信息化建设项目管理制度，严格执行法人负责制，对承建和监理单位进行监督管理，按合同把控项目建设质量和进度，及时发现并处理项目风险，保证项目按时完工。

第二十四条项目实行工程监理制，建设单位应当按照信息系统工程监理有关规定，委托工程监理单位对项目建设进行工程监理。

第二十五条项目在采购或招投标完成后，建设单位须将采购（招投标）文件和合同向市政务管理服务局报备。市政务管理服务局负责对政府投资信息化建设项目进行统筹调度，不定期抽查和通报项目建设情况。

第五章验收和绩效管理

第二十六条政府投资信息化建设项目应通过竣工验收才能投入使用。

（一）总投资200万元以下的项目，由建设单位组织竣工验收，并将验收报告报市政务管理服务局。

（二）总投资200万元以上的项目，建设单位组织对项目进行初步验收。初验合格并试运行3个月后，向市政务管理服务局提出竣工验收申请，由市政务管理服务局组织专家进行验收，自受理之日起验收不超过10个工作日（不包括建设单位整改时间）。

（三）未按要求实现数据共享开放的项目，原则上不能组织验收，认定为验收不合格。

（四）按要求需进行软件测评、涉密信息系统测评、信息安全等级保护测评和商用密码应用安全性评估的项目，建设单位须在验收前委托第三方测评机构进行测评和评估。未通过的原则上不能组织验收，认定为验收不合格。

第二十七条有国家、省级资金支持且有市级财政资金配套投入的信息化建设项目，建设单位在向国家相关部委、省直相关部门提出验收申请前，须报市政务管理服务局进行预验收。国家相关部委、省直相关部门组织验收后，市相关部门认可验收结果。

第二十八条未能通过验收的项目，建设单位须督促承建单位限期整改，整改后应重新开展竣工验收工作；对拒不整改或整改后仍达不到验收标准的，财政部门不予支付项目相关剩余款项。

第二十九条建设单位应加强政府投资信息化建设项目相关档案资料管理，并积极探索应用电子档案。项目竣工验收完成后，将相关资料报市政务管理服务局备案。

第三十条建设单位应当落实国家密码管理有关法律法规和标准规范要求，同步规划、同步建设、同步运行密码保障系统，并定期评估。

第三十一条市政务管理服务局对政府投资信息化建设项目进行后评价，对重点项目的运行情况、使用效果等进行评价，评价结果与相关单位后续项目审批挂钩。

第三十二条建设单位应当按照《中华人民共和国网络安全法》等法律法规以及党政机关网络安全管理有关规定，建立网络安全管理制度，采取技术措施，加强政务信息系统与信息资源的安全保密设施建设，定期开展网络安全检测与风险评估，保障信息系统安全稳定运行。

第六章数据资源资产管理

第三十三条市政务管理服务局对政府投资信息化建设项目建设中产生的数据进行统筹管理。建设单位应当在职责范围内，按照国家标准、行业标准、地方标准优先级设计生产数据，并按要求做好数据采集治理、资源编目、共享开放、开发应用和安全管理等工作。

第三十四条建设单位应当建立数据共享长效机制和共享数据使用情况反馈机制，确保数据资源共享，不得将应当普遍共享的数据仅向特定企业、社会组织开放。信息资源共享的范围、程度以及网络安全情况是确定项目建设投资、运行维护经费和验收的重要依据。

第三十五条加强政府投资信息化建设项目建设投资和运行维护经费协同联动，坚持“联网通办是原则、孤网是例外”。对于未按要求共享数据资源或者重复采集数据的政务信息系统，不予安排运行维护经费，且项目建设单位不得新建、改建、扩建政务信息系统。根据有关要求不能进行信息共享，且确有必要新建、改建、扩建的政府投资信息化建设项目，由市政务管理服务局会同有关部门进行审批后方可实施。

第三十六条建设单位对已经没有使用价值的系统应及时停用。系统停用前应做好数据的评估工作，对不同性质的数据进行备份、迁移或销毁等工作，并向市政务管理服务局报备。

第三十七条建设单位与产权单位不一致的，建设单位要及时将项目相关资产和资料移交给产权单位，并办理相关手续。

第七章统筹集约建设管理

第三十八条政府投资信息化建设项目遵循“上云为原则、不上云为例外”。市直各单位的政府投资信息化建设项目原则上依托市政务云和电子政务网络部署，不再单独新建机房、网络、存储资源、计算资源等基础设施；涉密系统、单位内部使用设备（包括局域网设备、内部视频监控、会议终端、大屏显示系统及配套设备机房等）或国家、省另有规定的系统除外。

第三十九条统筹建立全市政务数据资源目录和数据共享开放体系，健全人口、法人、空间地理、房产房屋、城市部件、电子证照、经济运行等基础库，通过市数据资源共享交换平台供全市各级各部门共用复用。

第四十条依托智慧益阳时空大数据与云平台建设成果，统筹构建数字底座“一张图”。各级各部门在此基础上打造多样化业务应用场景，原则上不再单独购买商业电子地图数据。

第四十一条市“互联网+政务服务”一体化平台为全市政务服务和公共服务统一办理平台，各级各部门个性化业务需求须依托其建设，已建审批业务系统需与其实现对接，原则上不得新建政务服务平台。“益办事”市民服务平台为全市移动政务服务和公共服务事项受办理的唯一入口，各级各部门个性化需求依托其建设，原则上不得新建移动服务平台，已建的按要求逐步关停整合。

第四十二条依托“雪亮工程”构建全市统一的视频共享交换平台和视频云平台，逐步满足各类视频需求，各级各部门建设的视频基础设施原则上应接入该平台。

第四十三条凡不涉及国家安全和国家秘密，法律、法规未禁止公开的政府投资信息化建设项目，应当按照政府信息公开的有关规定，将项目相关信息向社会公开，并接受社会各界监督。

第四十四条有关行政管理部门有下列行为之一的，根据具体情况依法依规进行责任追究：

（一）违反国家相关规定和基本建设程序进行批复的；

（二）违法干预招标投标活动的；

（三）审查或监督结论严重失实或弄虚作假的；

（四）其他违反相关法律、法规以及本办法的行为。

第四十五条建设单位存在未经批准擅自建设、未按规定实行政府采购、未按规定验收或验收不合格即交付使用等情况的，根据具体情况采取暂停或终止项目建设活动，暂停、终止拨付资金或者收回已拨付资金等措施；造成严重后果的，依法依规追究相关责任单位和责任人员责任。

第四十六条承担政府投资信息化建设项目相关业务的设计单位、承建单位、代理机构、监理单位、测评机构及相关人员进行违规操作、弄虚作假的，出具的成果报告或审查结论严重失实的，或造成项目质量低劣的，根据情节轻重，依法依规将其不良行为记入信用档案或列入黑名单予以公布；造成经济损失的，依法承担赔偿责任；涉嫌犯罪的，依法移送有权机关处理。

第四十七条政府投资信息化建设项目中包含土建工程，且土建部分投资超过400万元，或土建部分投资超过200万元并占总投资40%以上，须将土建部分与信息化部分分别进行审批；政府投资土建工程中包含信息化项目的，且信息化项目投资超过50万元，须将信息化部分与土建部分分别进行审批。其中，土建部分按照政府投资项目管理办法进行审批和管理，信息化部分按照本办法进行审批和管理。

第四十八条涉密政府投资信息化建设项目在计划申报和项目审批方面参照本办法执行。

第四十九条各区县（市）人民政府（管委会）投资信息化建设项目建设管理参照本办法执行，也可参照本办法制定相应的管理制度。

第五十条本办法配套的标准规范、实施细则等，由市政务管理服务局组织制定。

第五十一条本办法自公布之日起施行。原《益阳市新型智慧城市和电子政务项目建设及资金管理办法（试行）》（益智建发〔2020〕2号）同时废止。

抄送：市委各部门，益阳军分区。

市人大常委会办公室，市政协办公室，市监委，市法院，市检察院。

}

（一）服务受理时间：7×24小时，服务期限一年。

（二）响应时间：对于在正常工作时间内收到的报障信息，驻场工程师应在15-30分钟内做出响应，在现场了解故障状态以作进一步采取措施。

（1）对于非硬件损坏所引起的故障，驻场工程师须在抵达现场后2个小时内重新调试好并恢复到正常使用状态。

（2）对于硬件损坏所引起的故障，驻场工程师须在抵达现场后1个小时内向用户告知原因和解决方法。

（3）涉及到需要进行硬件设备更换或维修（该设备处于质保期内），维护单位应协助用户联系原设备供应商，督促其尽快进行设备更换或维修。如该设备已经过了质保期，维护单位应及时告知，并向提供相应解决方案（包括替代产品的型号、价格、参数等）供福田区人民法院参考。

（四）对于非工作时间，驻场工程师应保持电话24小时畅通，在接到报障信息后，工程师应该30分钟内进行响应。并在接到故障处理信息后4小时内抵达现场。维护单位应确保在24小时内解决该问题或者提供出能够解决该问题的解决方案。

（五）本维护项目所包含内容不限于我院现有的系统及设备，如在维护期内增加需要维护的系统或设备，在维护费不变的情况下，其维护服务自动增加至本服务项目内容。

（一）现场驻点服务人员要求。

派驻信息安全服务工程师1人维护团队常驻福田区人民法院；另需常备1名机动工程师，定期参加设备巡检、相关培训等工作，以便于在紧急情况或工作量较大时，可随时抽调熟悉相关环境的工程师进行补充，且未经过福田区人民法院的同意，不得随意更换维护工程师；具体要求如下：

信息安全服务工程师具体要求：

计算机相关专业毕业，专科及以上学历，5年及以上工作经验。对于国内主流安全厂家产品十分熟悉，具备中国信息安全测评中心颁发的 CISP-PTE 渗透测试工程师证书。

（二）驻场人员管理要求

（1）派驻的人员必须严格按服务人员相关要求进行安排，试用期为3个月，福田区人民法院有权进行合理选择；派驻人员必须服从统一安排，严格遵守招福田区人民法院的各项规章制度和保密制度；

（2）派驻人员应严格遵守福田区人民法院的工作时间。工作期间不得从事其它活动。需统一加班时，派驻人员也必须安排人员加班，做好运维保障工作；

（3）驻点人员参照福田区人民法院聘用制人员的休假制度。需填写‘休假单’并获得相关负责人批准后方可休假，休假期间维护单位需补充相关能力的人员；

（4）驻点人员发生变动更换时必须提交人员变更申请给福田区人民法院审批，经批准同意后方可更换；

（5）对驻点工程师进行季度考核，奖励优秀驻点工程师，两次考核不达标的辞退；

（6）服务期内福田区人民法院将不定期对派驻人员进行技术、能力、品德、服务态度、出勤率、投诉率等方面的综合考核，对考核不合格者有权提出人员更换要求，服务单位应及时做出相应人员更换，对造成不良影响的，追究投标人有关经济责任。

（三）驻点服务时间安排

信息安全服务工程师于合同签订之日进驻至合同结束，为期一年。

基于国内外相关安全法律法规和风险评估指南，通过人工访谈、问卷调研、资料查阅、现场访谈等方式并结合技术手段，全面识别并了解客户现状安全状况，包括但不限于物理层、网络层、系统层、数据安全、IT运维流程、业务连续性等层面安全风险，梳理安全风险及整改建议，并协助客户对后续风险评估进行整改。同时，根据联合检查要求完成本年度的风险评估工作。

对在上年度联合联合检查及上级单位网络安全检查中发现的问题进行加固，包含但不限于联合检查整改、风评结论整改等。含服务器加固、客户端安全加固、应用系统加固、网络加固、管理加固、安全策略加固、安全设备加固、风险评估的整改。

3、信息安全制度自查与优化，建立与完善信息安全管理体系。

4、安全防范措施自查与优化

检查现有信息系统中安全防范措施的落实情况，对不符合检查要求的现状和措施进行优化和整改。

5、应急体系建设与演练

建立符合信息系统现状的科学有效的应急预案，并制定演练计划进行预案演练和验证，含应急计划制定、演练和修订。

为福田区人民法院信息系统提供例行全面的专业信息安全服务。

7、协助完成安全自查及对内安全检查

对内部组织开展信息安全检查工作，协助福田区人民法院对内部的信息安全按绩效评估内容进行检测与检查，采用自查与抽查相结合方式进行检查，并对信息安全检查结果通报，指导相关科室完成信息安全整改工作。

8、信息安全绩效监测综合服务

服务器、网站、终端安全防护的服务。

9、联合检查自查及迎检服务

严格按照年信息安全联合检查要求的，准时、优质的完成各项服务。

对内网业务系统提供日常安全运维服务，包括系统安全监控、系统信息安全维护、向系统开发商提供安全运维方案。

对外网业务系统进行网站安全维护、提供网站规范部署咨询服务。

1. 信息安全风险评估服务

1、建立福田区人民法院风险评估各个环节的负责人并职责明确具体；制定年度风险评估计划，内容完整，并按计划执行；制定风险自评估实施方案，内容完整；形成风险自评估报告和总结。

2、风险评估过程中，对福田区人民法院的重要资产识别无遗漏，风险评估报告和总结需要符合福田区人民法院实际情况，无错漏和前后矛盾。

3、服务器、安全网络设备均进行主机层面漏洞扫描，信息系统（C/S架构除外）需要进行应用层漏洞扫描。

4、截止到检查日期，上期不可接受风险整改落实情况，全部整改完；制定本期不可接受风险整改计划。

5、评估次数：1次/服务期。

6、风险评估范围：福田区人民法院所有信息化资产。

7、风险评估资质：维护单位如具备中国网络安全审查技术与认证中心颁发的信息安全风险评估服务二级及以上资质，可予以加分（详见评分表）。

8、具体服务要求如下：

1）服务器主机和设备安全评估

检查服务器物理安全、操作系统的用户、权限、口令的安全性、防病毒部署、系统漏洞以及相关的运维管理等，对于发现的风险提出整改建议。1次/服务期。

2）客户端软件和硬件安全评估

客户端的操作系统配置和补丁、办公应用程序、客户应用程序合法有效性、杀病毒软件部署和更新情况等，对于发现的风险提出整改建议。1次/服务期。

3）应用系统软件安全评估

应用系统口令、审计日志、应用系统软件漏洞、SQL注入攻击，对于发现的风险提出整改建议。1次/服务期。

4）数据库软件和数据介质安全评估

数据库软件帐号、补丁、数据保密性、数据完整性和备份存储介质，对于发现的风险提出整改建议。1次/服务期。

网络设备配置和部署不当，导致网络存在风险，局域网到互联网边界；局域网到专网边界；对于发现的风险提出整改建议。1次/服务期。

6）服务提供商管理评估

服务提供商是否能达到安全要求，对于发现的风险提出整改建议。1次/服务期。

人员配置、责任分配、人员备份等问题设置不当，造成安全风险，对于发现的风险提出整改建议。1次/服务期。

评估已有的安全防范措施对安全风险的控制作用。1次/服务期。

统计并得出当前系统仍存在的风险，并给出相应控制和管理风险的建议。1次/服务期。

基于整体的评估结果，编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的风险评估报告。1次/服务期。

根据整体的评估结果，编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的评估总结。

2. 信息系统加固修复服务

本次信息系统加固服务，基于风险评估的结果开展系统加固服务。

从网络层次的角度来看，系统加固服务涉及如下三个层面的安全问题。

1、系统层安全：该层的安全问题来自网络运行的操作系统：UNIX系列、Linux系列、Windows系列以及专用操作系统等。安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。

访问控制：注册表 HKEY_LOCAL_MACHINE 普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录等

安全配置问题：部分SMB用户存在薄弱口令，试图使用SSH登录进入远程系统等

2、网络层安全：该层的安全问题主要指网络信息的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性、远程接入、域名系统、路由系统的安全，入侵检测的手段等。

网络资源的访问控制：检测到无线访问点。

域名系统：资源记录无效过期时间拒绝服务攻击漏洞，Microsoft Windows DNS拒绝服务攻击。

路由器：路由设备没有设置口令。

3、应用层安全：该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性，包括：数据库软件、Web服务、电子邮件系统、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。

防火墙及应用网管系统：防火墙拒绝服务漏洞等。

其它网络服务系统：部分系统的命令远程溢出漏洞，Linux系统LPRng远程格式化串漏洞等。

4、具体服务要求如下：

对全网的服务器进行漏洞扫描，并针对漏洞扫描结果给出修复建议，协助区法院完成系统加固并进行加固复核。4次/服务期。

基于客户端的风险评估结果，提供客户端修复加固和优化服务。4次/服务期。

为所有B/S架构的应用系统提供修复加固技术支持和优化咨询服务。4次/服务期。

对全网的网络设备和安全设备进行漏洞扫描，并针对漏洞扫描结果给出修复建议，协助区法院完成系统加固并进行加固复核。2次/服务期。

对现有信息安全管理体系中存在的问题进行优化和完善，并协助区法院完成相关文档的编写和宣传。2次/服务期。

协助区法院对主机操作系统、应用系统的安全策略进行优化加固。2次/服务期。

协助区法院对安全设备中的配置、策略进行加固修复。4次/服务期。

8）2020年度信息安全联合检查整改

完善并落实2020年度信息安全联合检查的整改工作。1次/服务期。

9）2020年度信息安全风险评估不可接受风险整改

完善并落实2020年度信息安全风险评估的不可接受风险整改工作。1次/服务期。

3. 信息安全制度自查与优化

1、按照联合检查相关指标要求并结合福田区人民法院实际情况，服务方需要协助福田区人民法院建立信息安全管理职能部门，编制各项信息安全制度及信息安全制度的相关执行记录。

2、制定和完善信息安全制度，包括但不限于以下方面的制度：

《计算机房及服务器安全管理制度》

《设备和资产管理安全管理制度》

《安全事件报告和处置管理制度》

3、按信息安全制度要求保存相关执行纪录。

4、具体服务内容如下：

评估现有信息安全管理制度，发现与联合检查要求之间的差距。1次/服务期。

2）信息安全管理体系建设服务

完善福田区人民法院的信息安全管理机构、信息安全管理制度，完善符合法院信息系统现状的信息安全管理体系。1次/服务期。

4. 安全防范措施自查与优化

信息系统上线前安全检测服务要求

1、福田区人民法院的新业务系统上线之前，需要对其系统网络层面、主机系统软件、安全配置、应用程序漏洞等进行安全评估，以确保系统上线后得到安全保障。并提交审计报告和整改方案。

2、对福田区人民法院的网络环境、主机环境等多个层面对系统整体进行安全检测，使用网络层扫描工具、应用层扫描工具进行交叉扫描，从整体上发现系统可能存在的安全弱点，从不同层面对系统进行评估和改进，保障系统上线后能够安全稳定运行。

3、需要专用的源代码安全缺陷分析系统用于新系统上线前的代码审计及重要在用应用系统的代码审计；最大支持4个并发任务；支持对C、C++、C#、Java、PHP、JSP、ASPX、Objective-C、JavaScript语言的源代码进行缺陷检测。

4、具体服务内容如下：

1）软件的代码审计服务

a．使用专业源代码安全缺陷分析系统，配合人工专家审计对应用系统进行白盒安全检测。通过对系统开发框架、应用程序、客户端程序、接口及第三方组件和应用配置这五个方面进行安全分析，挖掘当前源代码中存在的安全缺陷以及规范性缺陷，从而让开发人员了解其开发的应用系统可能会面临的威胁，并指导开发人员正确修复程序缺陷。1次/服务期。

b．为保证源代码审计服务质量，源代码审计设备为硬件平台（2U上架设备，CPU E5-2630*2，内存128G，存储4TB），管理控制中心软件一套，1次/服务期。

d．支持C/C++、Java编程语言开发的软件源代码的合规检测。支持US CERT C/C++、US CERT Java标准和企业自定义合规模板的检测。1次/服务期。

协助区法院对非涉密存储介质进行检查。检查内容包括：非涉密设备存储、处理、传输涉密信息、非法外联、物理隔离、移动存储介质的混用、监控软件状态等。2次/服务期。

3）计算机资产统计服务

收集统计采购人在使用的计算机资产下列信息，1次/服务期，包含：

c．计算机MAC地址；

d．计算机使用人或责任人；

e．责任人身份证号码；

g．计算机的物理位置；

h．服务器的内外网IP对应。

4）安全防范技术措施有效性检查

定期排查福田区人民法院关键信息系统的防范措施的有效性，对于发现的无效防范措施及时进行整改。全年不限次数。

5. 应急体系建设与演练服务

1、维护单位要为福田区人民法院制定及修订应急预案。

2、维护单位协助福田区人民法院完成至少1个指定信息系统的应急演练，并记录其演练过程。

3、为福田区人民法院指定信息系统的应急演练的应急演练报告。

4、省、市监管单位进行年度应急演练时，需要配合用户组建应急团队，配合完成应急演练。

5、应急资质：维护单位如具有中国网络安全审查技术与认证中心授权的信息安全应急处理二级及以上服务资质，可予以加分（详见评分表）。

a．应急预案建设：对区法院所有等保二级及以上信息系统和对公众服务的信息系统制定科学、有效的应急预案。

b．应急技术支援队伍的建设及培训：针应急预案的特点，建立合理、高效的应急技术支援队伍。

a．演练计划制定：对区法院所有等保二级及以上信息系统和对公众服务的信息系统制定科学、合理地的应急演练计划

b．演练预案培训：就应急预案内容对信息化相关岗位人员进行培训。

c．应急演练实施：对应急预案进行演练，验证其可行性，并对发现的问题进行修正。

结合应急预案演练情况对预案进行修订和完善。

6. 其他信息安全服务

1、信息系统等级保护测评服务要求（2020年）

（1）依据2019年5月13日发布的《信息安全技术网络安全等级保护基本要求》2.0版本等文件中明确提出的各项安全控制要求，对信息系统的情况进行调查，全面掌握信息系统数量、分布、业务类型、应用或服务范围、系统结构等基本情况，协助福田区人民法院对外网指定系统定级并备案（含在规划、设计阶段的信息系统的及承担行政审批功能的信息系统）。

（2）对福田区人民法院需要进行等保测评的等保二级系统进行差距分析，提交测评中不符合项目的整改方案，对完成整改工作提供技术指导，监督整改进展，协助福田区人民法院按信息安全主管部门要求完成等级保护其它相关工作，进行等保测评的系统符合国家等级保护标准要求。

（3）协助福田区人民法院完成需要进行等保测评的信息系统通过等保二级测评，并向公安部门提交《等级测评报告》；有等保二级及以上信息系统未通过测评，向公安部门提交《等级测评报告》，并制定整改方案。

（4）维护单位提供专业技术人员驻场服务指导，建立等级保护相关管理体系、制度体系、技术体系，对福田区人民法院进行等保实施相关培训及技术指导。

2、系统渗透测试、漏洞扫描服务要求（2020年）

1）根据《互联网安全保护技术措施规定》、《信息系统安全保护等级基本要求)) CGB/T)以及《全国人民代表大会常务委工作内容员会关于加强网络信息保护的决定》等相关标准规范的要求，对信息系统所属的服务器、中间件、数据库等进行漏洞扫描、渗透测试以及相关的补丁更新、漏洞通告。对福田区人民法院官方门户网站等系统所涉及的服务器、中间件、数据库等，进行漏洞扫描及渗透测试，并编制漏洞检测和渗透测试报告，如发现问题及时通知并协助整改。1次/服务期。

2）对重要业务系统使用的主机、网络设备、应用中间件系统和数据库系统进行漏洞扫描和分析研判，出具相关的安全检测结果报告。1次/服务期。

3）每季度对外网提供公众服务的站点进行应用层安全漏洞扫描，分析和研判误报，出具相关安全检测结果报告。

4）模拟黑客攻击手段，对外网站点进行可控的渗透测试，获取系统权限或找出系统的安全缺陷，以评估站点系统的安全性。1次/服务期

3、信息安全通报服务要求

安全预警通告内容详细，通常包括：安全通告（概述）、事件描述、风险等级、影响范围、处置建议、技术分析等详细内容；针对重大安全事件或漏洞，还会及时跟进、提供多份通告；

通告服务的方式主要有：email、及时通信、电话等。安全通告的详细细节将通过Email方式发送给登记的邮件地址；被标注为紧急级别的安全漏洞，通过电话等通知方式，直接通知到相关维护人员。

4、安全培训（2020年）

（1）为福田区人民法院制订本年度信息安全相关人员（含服务外包人员）的信息安全专业技能培训计划并收集培训凭证。

（2）至少开展2次对福田区人民法院全体工作人员的信息安全知识培训，制订培训计划（包括培训时间、地点、参与人员、数量以及培训内容等），并提交培训记录（培训记录必须包括培训时间、地点、参加培训人员签到表、应培训人数、参加培训人数、职位、培训内容、参加培训最高领导等信息）。

7. 协助完成安全自查及对内信息安全检查

（1）协助福田区人民法院成立安全检查工作组，并下发安全检查相关文件；召开安全检查专题会议；制订安全检查方案，并对自查工作进行过督导；采用自查与抽查相结合方式进行检查。

（2）协助福田区人民法院督导信息系统自行建设和维护的各部门开展信息安全工作，提供漏洞分析及风险整改技术指导。

（3）此服务为2次/服务期。

8. 联合检查自查及迎检服务

1、协助福田区人民法院按照上级文件要求开展信息安全相关自查工作，收集相关工作文档，及时汇总自查结果并上报至工作平台；协助福田区人民法院根据自查情况开展整改，对完成整改工作提供技术指导，并监督发现问题的整改进展。

2、按照本服务期间为福田区人民法院完成的联合检查及绩效评估相关指标的实际情况，编制并装订福田区人民法院联合检查现场检查资料汇编，协助福田区人民法院完成上级监管单位的联合检查现场检查工作。

（二）业务系统维护服务

1. 内网业务系统日常安全运维服务

对福田法院内网业务系统（电子档案管理系统、协同办公系统、腾讯通系统等）提供日常安全运维服务，包括系统安全监控、系统信息安全维护、向系统开发商提供安全运维方案等。

2. 外网业务系统日常运维服务

对福田法院外网业务系统提供日常运维服务，包括网站安全维护、提供网站规范部署咨询服务等，详细服务内容如下：

服务器系统加固：针对本院网站安全评估、渗透测试结果诊断出应用的配置缺陷和漏洞，并对各类网络应用服务平台进行安全策略完善、安全设置、权限划分、访问控制等安全加固和修复。

网站应用平台加固：针对本院网站安全评估、渗透测试结果诊断出应用的配置缺陷和漏洞，并对各类网络应用服务平台中间件进行安全策略完善、安全设置、权限划分、访问控制等安全加固和修复。

网站漏洞加固：当有新的网站漏洞发布时，先核查本网站是否存在该漏洞，如果存在漏洞，并对漏洞进行修补。

配合安全扫描加固：针对本院网站安全防护扫描诊断出新的漏洞和安全问题，并对系统、网站平台、网站内容进行漏洞修复及加固。





1.掌握现状进行调查； 2.分析发展现状及趋势； 3.结合实际情况，给出项目开展的原则方法； 4.详细阐述投标方在项目开展过程中所采用的工作流程、工作方法与手段。以上内容在方案中全部体现的得100分，每缺少一项扣25分，扣完为止。
项目重点难点分析、应对措施及相关的合理化建议	1.详细阐述本项目存在的重难点问题； 2.根据项目重难点，详细阐述对应的应对措施； 3.提出初步的研究思路及解决方案； 4.向采购人提出项目实施及与其他建设项目协调的具体建议。以上内容在方案中全部体现的得100分，每缺少一项扣25分，扣完为止。
质量（完成时间、安全、环保）保障措施及方案	1.给出分阶段项目时间安排、工作进度与阶段性成果； 2.详细阐述项目时间管理制度与措施； 3.详细阐述项目质量管理制度与措施； 4.详细阐述项目资料、成果安全性保障制度与措施。以上内容在方案中全部体现的得100分，每缺少一项扣25分，扣完为止。
项目完成（服务期满）后的服务承诺	1.提供项目完成后服务负责人信息与联系方式； 2.给出明确的服务年限；3.详细阐述服务制度与响应时间； 4.详细阐述项目完成后服务内容。以上内容在方案中全部体现的得100分，每缺少一项扣25分，扣完为止。
1.承诺满足招标文件要求；2.保证措施合理且有针对性3.有具体的违约责任承诺的；以上内容在方案中全部体现的得100分，每缺少一项扣50分，扣完为止。


投标人通过相关认证情况	1.投标人具备CCRC信息安全服务资质认证证书（信息系统安全运维一级），提供有效的证书扫描件或复印件，得40分，否则不得分； 2.投标人为中国互联网安全研究中心应用安全联盟成员（web安全方向），提供官网截图证明（官网链接：http://www.seczone.org/?p=96）和有效证书扫描件得40分，未提供不得分； 3.投标人具备ISO27001和ISO20000认证证书，每提供一份有效证书扫描件或复印件得10分，本项最多得20分，未提供不得分； 1.要求提供有效的认证证书作为得分依据。 2.以上资料均要求提供扫描件，原件备查。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。
投标人同类项目业绩情况	投标人具备同类信息安全服务类（非硬件采购类）项目的成功案例，能够提供五个或以上信息安全服务服务类（非硬件采购类）项目成功案例得100分，提供三个得60分，提供一个得30分，未提供不得分； 1.要求同时提供合同关键信息或中标通知书作为得分依据。 2.通过合同关键信息无法判断是否得分的，也可以提供能证明得分的其它证明资料，如项目报告或合同甲方出具的证明文件等。 3.以上资料均要求提供扫描件，原件备查。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。 4.上述项目开展时间必须在近两年以内（即2017年11月1日起至投标截止日期），以项目验收日期为准。
1.投标人近三年获得中国信息安全测评中心颁发的CNNVD年度最佳支撑单位证书，每提供一份证书得50分，未提供证书不得分； 1.要求提供证书等证明材料作为得分依据。 2.以上资料均要求提供扫描件，原件备查。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。 3.上述奖项获得时间必须在近三年以内（即2016年11月1日起至投标截止日期），以证明材料颁发时间为准。
拟安排的项目负责人情况（仅限一人）	项目负责人具备CISP证书、PMP证书、信息系统集成及服务项目管理人员（高级项目经理）证书、国家重要信息系统保护人员培训证书、公安部第一研究所信息安全等级保护测评中心颁发的“信息安全等级保护工作业务培训”证书，以上证书全部提供得100分，每缺少一份扣25分，扣完为止； 1.要求提供通过投标人购买的项目负责人2019年3月至9月的社保证明、相关证书作为得分依据。 2.以上资料均要求提供扫描件，原件备查。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。 3.社保证明资料应当至少包含医疗保险，证明资料可为社保收缴部门盖章证明资料、社保窗口打印资料或社保官网截图。
拟安排的项目主要团队成员（主要技术人员）情况（项目负责人除外）	1.投标人为本次项目安排的1位高级咨询顾问具备PMP证书、CISP证书、国家注册ISMS咨询师培训证书、ITILversion3认证证书，以上证书全部提供得40分，每缺少一份扣10分，扣完为止； 2.投标人为本次项目安排不少于2位安全服务技术实施人员，安全服务技术实施人员具备中国信息安全测评中心颁发的注册渗透测试专家证书（CISP-PTS），提供两份证书得60分，每缺少一份扣30分，扣完为止； 1.要求提供通过投标人购买的项目主要团队成员（主要技术人员）2019年03月至09月的社保证明、相关证书作为得分依据。 2.以上资料均要求提供扫描件，原件备查。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。 3.社保证明资料应当至少包含医疗保险，证明资料可为社保收缴部门盖章证明资料、社保窗口打印资料或社保官网截图。
投标人自主知识产权产品（创新、设计）情况	1.具备源代码安全缺陷分析系统计算机软件著作权登记证书； 2.具备源代码溯源分析系统计算机软件著作权登记证书； 3.具备源代码合规分析系统计算机软件著作权登记证书； 4.具备代码安全保障系统计算机软件著作权登记证书；以上证书能够全部提供得100分，每缺少一个扣25分，扣完为止； 1.要求提供有效的证书等证明材料作为得分依据。 2.以上资料均要求提供扫描件，原件备查。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。
服务提供商为深圳市注册成立的合法供应商或在深圳具备售后服务机构的供应商，须提供营业执照复印件，得100分，否则不得分。

}

淘宝游戏网