江北区文化旅游委2025年信息系统等保测评及安全服务项目竞采公告（服务类）

技术测评：

（ 1）安全物理环境测评（物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护）；

（ 2）安全通信网络测评（网络架构、通信传输、可信验证）；

（ 3）安全区域边界测评（边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证）；

（ 4）安全计算环境测评（身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护）；

（ 5****中心测评（系统管理、审计管理、安全管理、集中管控）。

管理测评：

（ 1）安全管理制度测评（安全策略、管理制度、制定和发布、评审和修订）；

（ 2）安全管理机构测评（岗位设置、人员配备、授权和审批、沟通和**、审核和检查）；

（ 3）安全管理人员测评（人员录用、人员离岗、安全意识教育和培训、外部人员访问管理）；

（ 4）安全建设管理测评（定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统支付、等级测评、服务供应商选择）；

（ 5）安全运维管理测评（环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理）。

云计算扩展测评：

（ 1）安全物理环境测评（基础设施位置）；

（ 2）安全通信网络测评（网络架构）；

（ 3）安全区域边界测评（访问控制、入侵防范、安全审计）；

（ 4）安全计算环境测评（身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护）；

（ 5****中心测评（集中管控）；

（6 ）安全建设管理测评（云服务商选择、供应链管理）；

（7 ）安全运维管理测评（云计算环境管理）。

移动互联扩展测评：

（ 1）安全物理环境测评（无线接入点的物理位置）；

（2 ）安全区域边界测评（边界防护、访问控制、入侵防范）；

（3 ）安全计算环境测评（移动终端管控、移动应用管控）；

（4 ）安全建设管理测评（移动应用软件采购、移动应用软件开发）；

（5 ）安全运维管理测评（配置管理）。

物联网扩展测评：

（ 1）安全物理环境测评（感知节点设备物理防护）；

（2 ）安全区域边界测评（接入控制、入侵防范）；

（3 ）安全计算环境测评（感知节点设备安全、网关节点设备安全、抗数据重放、数据融合处理）；

（4 ）安全运维管理测评（感知节点管理）。

工业控制系统扩展测评：

（ 1）安全物理环境测评（室外控制设备物理防护）；

（ 2）安全通信网络（网络架构、通信传输）

（3 ）安全区域边界测评（访问控制、拨号使用控制、无线使用控制）；

（4 ）安全计算环境测评（控制设备安全）；

（5 ）安全建设管理测评（产品采购和使用、外包软件开发）。

2、应急演练（桌面演练）服务要求

根据实际需求，协助** 区 文 化 旅 游 委定期开展网络安全应急演练工作，达到以下目的：

（ 1）检验预案。通过开展应急演练，查找应急预案中存在的问题，进而完善应急预案，提高应急预案的实用性和可操作性。

（ 2）完善准备。通过开展应急演练，检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况，发现不足及时予以调整补充，做好应急准备工作。

（ 3）锻炼队伍。通过开展应急演练，增强演练组织单位、参与单位和人员等对应急预案的熟悉程序，加强配合，提高其应急处置能力。

（ 4）磨合机制。通过开展应急演练，进一步明确相关单位和人员的职责任务，理顺工作关系，完善各关联方之间分离、阻隔、配套应急联动机制，防范网络安全风险传导。

（ 5）宣传教育。通过开展应急演练，普及应急知识，不断增强网络安全管理的专业化程度，提高全员网络安全风险防范意识。

以桌面演练的方式开展应急演练，参演人员针对预设突发事件情景及其后续的发展情景，通过 ppt宣讲、圆桌会议讨论的形式，推演安全事件发生、报送、处理、系统恢复、总结等应急处理步骤，完成应急响应的过程，从而达到检验和加强网络安全事件应急处置的能力。

3、安全监测服务要求

为确保**区文 化 旅 游 ****事业单位的信息系统安全性和内容合规性，现计划对 “**区文化旅游服务平台”****图书馆“****图书馆网站”、“****图书馆智能化系统”，文化馆“****文化馆网站”，“****文化馆数字馆微信小程序”等5个系统进行 实时 安全监测。本次监测将围绕网站内容安全、技术漏洞及潜在威胁展开，恶意链接检测：通过自动化工具和人工审核相结合的方式，全面排查网站中可能存在的恶意链接，包括指向钓鱼网站、恶意软件下载页面或其他潜在风险的链接。敏感词监测：利用敏感词库和智能分析技术，对网站内容进行全面筛查，确保不存在违反法律法规或社会公序良俗的敏感信息，保障内容的合法性和合规性。 WEB漏洞扫描：使用专业工具对网站进行深度扫描，检测是否存在SQL注入、跨站脚本攻击（XSS）、文件包含漏洞、目录遍历等常见WEB安全问题，确保网站代码的健壮性和安全性。系统漏洞扫描：对网站运行的服务器、中间件及相关依赖组件进行全面漏洞扫描，识别可能存在的系统漏洞或配置缺陷，及时发现并修复潜在的安全隐患。网站木马检查：通过静态分析和动态监测相结合的方式，检查网站文件是否存在被植入木马或恶意脚本的情况，确保网站未被黑客利用。网站钓鱼检测：利用智能算法和人工审核，监测网站是否存在被仿冒或钓鱼攻击的风险，及时发现并处理可能的钓鱼页面或域名。监测工作将定期开展，每半年完成一次全面的安全检测，并根据监测结果出具详细的安全监测报告。报告内容将涵盖监测范围、发现的问题、风险评估及整改建议，为**区文旅委及其下属单位提供科学、系统的安全保障支持，确保相关平台的稳定运行和内容安全。

4、安全培训要求

对**区文 化 旅 游 委及下属单位进行网络安全培训。

5、安全扫描要求

为提升**区文 化 旅 游 ****事业单位的信息系统安全性，确保相关平台的稳定运行和数据安全，现计划对**区文旅委 “**区应急广播信息系统”****图书馆“****图书馆网站”、“****图书馆智能化系统”，文化馆“****文化馆网站”，“****文化馆数字馆微信小程序”等5个系统进行全面的安全检测与评估。本次检测将采用专业的主机漏洞扫描工具，对上述系统进行全面的网络安全检查。具体检测内容包括：敏感端口和服务检测：识别系统中可能存在的开放端口及服务，排查是否存在未授权访问或潜在的安全风险。敏感中间件检测：检查系统中使用的中间件版本是否存在已知漏洞或安全隐患，确保中间件的安全性和稳定性。WEB网站脆弱性检查：对网站进行全面的漏洞扫描，包括SQL注入、跨站脚本攻击（XSS）、文件上传漏洞等常见WEB安全问题的检测。弱口令检查：对系统登录接口进行弱口令检测，确保用户账户和管理员账户的密码强度符合安全标准，防止因弱口令导致的账号被破解风险。检测工作将定期开展，每半年完成一次全面扫描，并根据扫描结果出具详细的安全扫描报告。报告内容将涵盖检测范围、发现的漏洞详情、风险等级评估以及相应的修复建议，为**区文旅委及其下属单位提供系统性、科学化的安全保障支持。

6、 实施要求：

（1 ）供应商在项目服务周期内，需提供相关的安全咨询服务。为采购人提供信息安全规划、方针、策略和管理制度体系咨询服务 ,配合对被检测系统安全加固提供技术指导。

（2 ）在服务实施过程中 ,对项目进行规范化管理，确保项目服务质量可控和过程文档完整。

（3 ）供应商应加强本项目资料的保密管控，必须针对本项目建立项目纸质、声音、影像、图像、电子等各种形态资料及其载体的保密管控措施，记录资料由生成到销毁整个生命周期内的使用日志，并根据实际工作情况及时对制度进行调整。供应商应加强本项目在用户工作场所使用设备，特别是笔记本电脑、移动存储介质等便携设备使用的保密管理。接入系统网络内使用的设备，必须遵守该系统关于终端安全管理、移动存储介质管理等要求。

（ 4 ） 针对服务中发现的的安全问题，供应商需通过专业的技术手段进行合理分析，正确评估风险，协助甲方完成整改工作。

（ 5 ） 依据《网络安全等级保护测评机构管理办法》相关规定： “属于异地测评项目的，测评机构应从项目管理系统中生成测评项目基本情况表，并于测评项目实施前报送或传至被****机关”。属于异地测评项目的,成交供应商应在合同签订前提交审核通过的《测评项目基本情况表》。 如出现不能按时提交或备案不通过的，视为成交供应商不具备签订合同的基本条件，采购人有权按评审排名依序顺延。

（ 6）保障现场迎检工作

供应商应随时保障配合**市**及**区**、**市委****委员会办公室、**区****委员会办公室等相关单位的现场检查。供应商应为**市网络与信息安全信息通报机制成员单位或**市网络与****中心支撑单位，依照渝网通 [2016]11号文《**市网络与信息安全信息通报工作规范》之要求，协助采购人进行网络安全事件应急处置机制建设工作和网络安全应急处置通报工作。（提供证明文件）

本次报价为人民币报价，包含：货物费、运输费、安装调试费、装卸费、培训费、保险费、税费（含关税）等所有费用。

（三）付款方式:/div>