朝阳区政务服务管理局网络安全运维服务项目比选要求

一年

1.提供有效****事业单位法人证副本复印件并加盖公章。

2.申请人的资格要求（须同时满足）

（1）满足《****政府采购法》第二十二条规定；

（2）未被信用中国网站（www.****.cn）、中国政府采购网（www.****.cn）列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。

3.应具备ISO20000信息技术管理体系认证、ISO27001信息安全管理体系认证等资质。

非必填。如需对服务金额进行补充说明的可填写。

非必填，项目单位根据项目情况对该项目进行具体说明。

非必填。该项目是否存在需要中介机构回避的情况，若有回避情况填写回避单位的名称即可；若不涉及具体情况说明，可填写“无”。

（一）项目目标

根据国家信息安全法律法规及政策标准，加强信息安全基线设置，结合当前已有的安全技术和设备，通过开展安全运维工作，形成完善的安全防护体系，构建信息系统稳定的安全环境，确保信息系统能够安全、高效、稳定、健康地运行。

（二）项目范围

本项目的服务对象包括服务器操作系统、数据库、中间件以及安全设备。

（三）服务要求

1.脆弱性检测

服务内容：针对信息系统服务器操作系统、数据库、中间件及安全设备等，采用工具扫描和手工检查相结合的方式对配置缺陷进行检查，以发现在网络、主机、应用等层面存在的安全隐患，通过专业化的技术分析，及时了解信息系统的脆弱性。

服务频率：在服务期内开展2次。

2.漏洞扫描

服务内容：使用专业检测工具和分析技术对信息系统漏洞进行扫描，发现信息系统服务器操作系统、数据库、中间件及安全设备等存在的漏洞，分析漏洞情况，并评估漏洞风险程度。

服务频率：在服务期内开展2次。

3.安全加固

服务内容：根据脆弱性检测、漏洞扫描等工作结果，结合信息系统业务需求，通过技术手段对信息系统相关的操作系统、数据库、中间件与安全设备进行安全策略加强、调优，加强网络、系统和设备抵御攻击和威胁的能力，整体提高网络安全防护水平。

服务频率：在服务期内开展2次。

4.日志分析服务

服务内容：通过人工或工具等方式收集信息系统服务器操作系统、数据库、中间件、网络及安全设备等的日志信息，并对收集到的日志信息进行分析、审查，发现潜在风险，并出具分析报告。

服务频率：在服务期内开展2次。

5.应急响应

服务内容：信息系统发生安全事件时及时响应，执行应急响应流程，通过专家级技术支持和快速响应，及时抑制和消除信息系统安全事件，减少损失和负面影响，提高信息系统业务连续性。

服务频率：在服务期内开展3次。

6.特殊时期现场值守

服务内容：在两会、五一、国庆等重要时期派遣安全服务人员进行现场值守，以保障信息系统安全运行为主要目标，及时发现安全隐患并协助处置、排除信息系统安全隐患，提高信息安全事件发生和处置能力，提高信息安全水平。

服务频率：在服务期内开展10天。

7.升级服务

服务内容：提供网络安全审计系统1年URL库、规则库和应用安全规则库升级服务。

一年

1.提供有效****事业单位法人证副本复印件并加盖公章。

2.申请人的资格要求（须同时满足）

（1）满足《****政府采购法》第二十二条规定；

（2）未被信用中国网站（www.****.cn）、中国政府采购网（www.****.cn）列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。

3.应具备ISO20000信息技术管理体系认证、ISO27001信息安全管理体系认证等资质。

非必填。如需对服务金额进行补充说明的可填写。

非必填，项目单位根据项目情况对该项目进行具体说明。

非必填。该项目是否存在需要中介机构回避的情况，若有回避情况填写回避单位的名称即可；若不涉及具体情况说明，可填写“无”。

（一）项目目标

根据国家信息安全法律法规及政策标准，加强信息安全基线设置，结合当前已有的安全技术和设备，通过开展安全运维工作，形成完善的安全防护体系，构建信息系统稳定的安全环境，确保信息系统能够安全、高效、稳定、健康地运行。

（二）项目范围

本项目的服务对象包括服务器操作系统、数据库、中间件以及安全设备。

（三）服务要求

1.脆弱性检测

服务内容：针对信息系统服务器操作系统、数据库、中间件及安全设备等，采用工具扫描和手工检查相结合的方式对配置缺陷进行检查，以发现在网络、主机、应用等层面存在的安全隐患，通过专业化的技术分析，及时了解信息系统的脆弱性。

服务频率：在服务期内开展2次。

2.漏洞扫描

服务内容：使用专业检测工具和分析技术对信息系统漏洞进行扫描，发现信息系统服务器操作系统、数据库、中间件及安全设备等存在的漏洞，分析漏洞情况，并评估漏洞风险程度。

服务频率：在服务期内开展2次。

3.安全加固

服务内容：根据脆弱性检测、漏洞扫描等工作结果，结合信息系统业务需求，通过技术手段对信息系统相关的操作系统、数据库、中间件与安全设备进行安全策略加强、调优，加强网络、系统和设备抵御攻击和威胁的能力，整体提高网络安全防护水平。

服务频率：在服务期内开展2次。

4.日志分析服务

服务内容：通过人工或工具等方式收集信息系统服务器操作系统、数据库、中间件、网络及安全设备等的日志信息，并对收集到的日志信息进行分析、审查，发现潜在风险，并出具分析报告。

服务频率：在服务期内开展2次。

5.应急响应

服务内容：信息系统发生安全事件时及时响应，执行应急响应流程，通过专家级技术支持和快速响应，及时抑制和消除信息系统安全事件，减少损失和负面影响，提高信息系统业务连续性。

服务频率：在服务期内开展3次。

6.特殊时期现场值守

服务内容：在两会、五一、国庆等重要时期派遣安全服务人员进行现场值守，以保障信息系统安全运行为主要目标，及时发现安全隐患并协助处置、排除信息系统安全隐患，提高信息安全事件发生和处置能力，提高信息安全水平。

服务频率：在服务期内开展10天。

7.升级服务

服务内容：提供网络安全审计系统1年URL库、规则库和应用安全规则库升级服务。