2011年信息安全風(fēng)險評估項目征求意見公告

天津市地方稅務(wù)局2011年信息安全風(fēng)險評估項目征求意見函
受采購人委托，天津市政府采購中心將對天津市地方稅務(wù)局2011年信息安全風(fēng)險評估項目實(shí)施政府采購。
為了保證政府采購當(dāng)事人合法權(quán)益，確保政府采購程序公開、公平、公正，現(xiàn)廣泛征求各方意見，我中心現(xiàn)將采購人需求原文轉(zhuǎn)發(fā)（詳細(xì)技術(shù)需求見附件——項目需求書），誠請相關(guān)供應(yīng)商就存在問題進(jìn)行反饋。征求意見截止時間為2011年8月19日，本中心將對各方提出的意見進(jìn)行匯總，并轉(zhuǎn)交采購人根據(jù)實(shí)際情況修改技術(shù)需求。本中心將以修改后的項目需求實(shí)施本項目采購。
請您盡快將貴單位反饋意見加蓋公章送至我中心，非常感謝您的參與。
聯(lián)系電話***

附：項目需求書
一、商務(wù)需求
1、實(shí)質(zhì)性商務(wù)需求

序號	需求條款	原因說明
1	營業(yè)執(zhí)照副本復(fù)印件	保證項目順利實(shí)施
2	ISCCC信息安全風(fēng)險評估服務(wù)一級資質(zhì)	保證項目順利實(shí)施
3	國家信息安全認(rèn)證信息安全服務(wù)安全工程類二級資質(zhì)	保證項目順利實(shí)施
4	計算機(jī)信息系統(tǒng)集成資質(zhì)	保證項目順利實(shí)施
5	質(zhì)量管理體系ISO 9001認(rèn)證	保證項目順利實(shí)施
6	信息安全管理體系ISO 27001認(rèn)證	保證項目順利實(shí)施

2、一般商務(wù)需求

序號	需求條款
1	提供相應(yīng)的資信文件
2	付款方式為30%-60%-10%
3	信息安全風(fēng)險評估服務(wù)起止日期2011年9月1日－2012年8月31日
4	提供售后服務(wù)內(nèi)容
5	近3年內(nèi)具有至少3個金融行業(yè)、政府機(jī)關(guān)或企事業(yè)單位同類項目成功案例（合同金額100萬元以上），提供案例合同復(fù)印件

二、技術(shù)需求

1、實(shí)質(zhì)性技術(shù)需求

序號	采購項名稱	數(shù)量	實(shí)質(zhì)性需求條款	原因說明
1	信息安全風(fēng)險評估	1	在2010年度信息安全風(fēng)險評估工作的基礎(chǔ)上，按照國家、財政部及國家稅務(wù)總局信息安全技術(shù)標(biāo)準(zhǔn)及管理規(guī)定，結(jié)合本單位實(shí)際情況開展2011年度信息安全風(fēng)險評估工作，主要包括安全評估、安全加固、應(yīng)急響應(yīng)、安全咨詢、安全事件通告、安全巡檢、安全值守、安全培訓(xùn)、應(yīng)急演練服務(wù)等九項內(nèi)容。具體要求見附件。	工作需要

2、一般技術(shù)需求

序號	采購項名稱	數(shù)量	需求條款
1	無	無	無

附件：
2011年度信息安全風(fēng)險評估需求書
一、項目背景
多年來，天津市財政局（地方稅務(wù)局）在加快信息化建設(shè)和信息系統(tǒng)開發(fā)應(yīng)用的同時，高度重視信息安全工作，采取了很多防范措施，取得了較好的工作效果，但同新形勢、新任務(wù)的要求相比，還存在有許多不相適應(yīng)的地方；與此同時，隨著信息技術(shù)的不斷發(fā)展和財稅各項業(yè)務(wù)信息化程度的日趨擴(kuò)大深化，信息安全保障和安全風(fēng)險防范工作已逐步形成動態(tài)化、深入化、常態(tài)化和規(guī)范化的發(fā)展趨勢。
為此，天津市財政局（地方稅務(wù)局）在對現(xiàn)有信息安全資源進(jìn)行整合、整改的同時，在2010年已開展信息安全風(fēng)險評估工作的基礎(chǔ)上，按照國家、財政部及國家稅務(wù)總局信息安全管理規(guī)定，結(jié)合本單位實(shí)際情況繼續(xù)實(shí)施信息安全風(fēng)險評估工作。信息安全風(fēng)險評估包括安全評估、安全加固、應(yīng)急響應(yīng)、安全咨詢、安全事件通告、安全巡檢、安全值守、安全培訓(xùn)、應(yīng)急演練服務(wù)等九項工作內(nèi)容。
二、項目目標(biāo)
在2010－2011年度信息安全風(fēng)險評估工作的基礎(chǔ)上, 搭建完成符合我局信息系統(tǒng)建設(shè)發(fā)展需要的信息安全管理體系及技術(shù)標(biāo)準(zhǔn)；進(jìn)一步建立、健全信息安全管理制度及安全管理策略，實(shí)現(xiàn)安全風(fēng)險的可知、可控和可管理；實(shí)現(xiàn)財稅系統(tǒng)信息安全風(fēng)險的動態(tài)跟蹤分析，為財稅系統(tǒng)信息安全整體規(guī)劃提供科學(xué)的決策依據(jù)；進(jìn)一步加強(qiáng)財稅內(nèi)部網(wǎng)絡(luò)的整體安全防護(hù)能力，全面提升我局信息系統(tǒng)整體安全防范能力，提高財稅系統(tǒng)網(wǎng)絡(luò)與信息安全管理水平；通過深入挖掘網(wǎng)絡(luò)與信息系統(tǒng)存在的脆弱點(diǎn)，并以業(yè)務(wù)系統(tǒng)為關(guān)鍵要素，對現(xiàn)有的信息安全管理制度和技術(shù)措施的有效性進(jìn)行評估，不斷增強(qiáng)系統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)抵御風(fēng)險安全風(fēng)險能力，促進(jìn)我局安全管理水平的提高，增強(qiáng)信息安全風(fēng)險管理意識，培養(yǎng)信息安全專業(yè)人才，為財稅系統(tǒng)各項業(yè)務(wù)提供安全可靠的支撐平臺。
三、項目需求
（一）服務(wù)要求
1、基本要求
“安全風(fēng)險評估服務(wù)”全過程要求有據(jù)可依，產(chǎn)品使用有據(jù)可查，并保持項目之后的持續(xù)改進(jìn)。針對用戶網(wǎng)絡(luò)中的信息化設(shè)備及應(yīng)用軟件，需要有軟件產(chǎn)品識別所有設(shè)備及其安全配置，或以其他方式收集、保存設(shè)備明細(xì)及安全配置，進(jìn)行資產(chǎn)收集作為建立信息安全體系的基礎(chǔ)。安全評估的過程及結(jié)果要求通過軟件或其他形式進(jìn)行展示。對于風(fēng)險的處理包括：協(xié)助用戶制定安全加固方案、在工程建設(shè)及日常運(yùn)維中提供安全值守、咨詢及支持服務(wù)，通過安全產(chǎn)品解決已知的安全風(fēng)險。在日常安全管理方面提供安全支持服務(wù)，并根據(jù)國家及行業(yè)標(biāo)準(zhǔn)制定信息安全管理體系，針對安全管理員提供安全培訓(xùn)，遇有可能的安全事件發(fā)生時，提供應(yīng)急的安全分析、緊急響應(yīng)服務(wù)。
2、安全評估
評估的范圍應(yīng)全面，涉及到網(wǎng)絡(luò)信息系統(tǒng)的各個方面，包括物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、服務(wù)器及網(wǎng)絡(luò)安全設(shè)備的安全性、安全產(chǎn)品和技術(shù)的應(yīng)用狀況以及管理體系是否完善等等；同時對管理風(fēng)險、綜合安全風(fēng)險以及應(yīng)用系統(tǒng)安全性進(jìn)行評估；
為與國家稅務(wù)總局信息安全風(fēng)險評估工作保持一致，我局信息安全風(fēng)險評估工作所使用的工具必須采用國家稅務(wù)總局指定的專業(yè)掃描工具，通過工具掃描、人工評估、滲透測試三種相結(jié)合的方式，對各種操作系統(tǒng)進(jìn)行評估，包括：帳戶與口令安全、網(wǎng)絡(luò)服務(wù)安全、內(nèi)核參數(shù)安全、文件系統(tǒng)安全、日志安全等；從應(yīng)用系統(tǒng)相關(guān)硬件、軟件和數(shù)據(jù)等方面來審核應(yīng)用所處環(huán)境下存在哪些威脅，根據(jù)應(yīng)用系統(tǒng)所存在的威脅，來確定需要達(dá)到哪些系統(tǒng)安全目標(biāo)才能保證應(yīng)用系統(tǒng)能夠抵擋預(yù)期的安全威脅。其他評估內(nèi)容應(yīng)至少包括以下幾方面： 

l       信息探測類	l       網(wǎng)絡(luò)設(shè)備與防火墻
l       RPC服務(wù)	l       Web服務(wù)
l       CGI問題	l       文件服務(wù)
l       域名服務(wù)	l       Mail服務(wù)
l       Windows遠(yuǎn)程訪問	l       數(shù)據(jù)庫問題
l       SQL 注入	l       跨站腳本攻擊
l       后門程序	l       其他服務(wù)
l       網(wǎng)絡(luò)拒絕服務(wù)(DOS)	l       其他問題

 安全風(fēng)險評估工作范圍為天津市財稅系統(tǒng)，同時要求評估單位協(xié)助用戶完成項目周期內(nèi)財政部、國家總局及市委市政府等部門組織的信息安全專項檢查工作，并協(xié)助用戶完成針對各基層單位的安全檢查。
3、安全加固
每次對用戶網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行全面評估后應(yīng)立即制定安全加固方案，另外如用戶有緊急需求時可隨時安排制定安全加固方案。安全加固方案應(yīng)覆蓋用戶單位信息系統(tǒng)中所有服務(wù)器和網(wǎng)絡(luò)設(shè)備，以及不同類別的操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)。
安全加固方案不能影響用戶各項業(yè)務(wù)的正常進(jìn)行，如果加固過程需要暫時中斷業(yè)務(wù)，須設(shè)計具體的解決方案。
同時，隨著信息技術(shù)的發(fā)展，當(dāng)新的漏洞出現(xiàn)時，評估單位有責(zé)任和義務(wù)告知用戶，并配合用戶判定是否進(jìn)行相應(yīng)的加固工作；
4、緊急響應(yīng)
當(dāng)用戶信息系統(tǒng)出現(xiàn)安全事件后，用戶可立即啟動緊急響應(yīng)服務(wù)，服務(wù)應(yīng)包括遠(yuǎn)程緊急響應(yīng)和現(xiàn)場緊急響應(yīng)；緊急響應(yīng)均要求7×24小時提供。
緊急響應(yīng)要求在響應(yīng)請求發(fā)出2小時內(nèi)由工程師到達(dá)事故現(xiàn)場，協(xié)助用戶進(jìn)行處理；
響應(yīng)服務(wù)完成后評估單位需整理詳細(xì)的事故處理報告，內(nèi)容至少包括事故原因分析、已造成的影響、處理辦法、處理結(jié)果、預(yù)防和改進(jìn)建議；
5、安全咨詢
評估單位應(yīng)遵循ISO 27000、信息系統(tǒng)等級保護(hù)等國家標(biāo)準(zhǔn)以及財政部、國家稅務(wù)總局行業(yè)標(biāo)準(zhǔn)，在上一年度風(fēng)險評估工作以及本次風(fēng)險評估項目實(shí)施的基礎(chǔ)上，結(jié)合用戶信息系統(tǒng)實(shí)際特點(diǎn)，協(xié)助用戶完成財稅系統(tǒng)信息安全體系建設(shè)，包括安全管理體系及技術(shù)體系的規(guī)劃及制定。評估單位需在投標(biāo)文件中附詳細(xì)的信息安全體系建設(shè)方案（內(nèi)容包括計劃目標(biāo)、建設(shè)內(nèi)容、實(shí)施周期等）。
對于用戶新建信息化項目，評估單位應(yīng)從需求分析、規(guī)劃設(shè)計、部署實(shí)施、測試驗收等全周期提供技術(shù)服務(wù)。
6、安全事件通告
評估單位應(yīng)具備專門的安全研究人員以跟蹤最新安全技術(shù)發(fā)展、收集業(yè)界發(fā)布的最新安全信息及時通告用戶單位最新的安全動態(tài)、安全技術(shù)的發(fā)展趨勢，以及時效性很強(qiáng)的漏洞、攻擊手法、病毒碼的預(yù)先通知；
評估單位至少每月提供一次匯總的安全通告信息，當(dāng)廠商或安全組織發(fā)布緊急安全通告后評估單位應(yīng)在三天之內(nèi)提供給人保相關(guān)通告信息；
及時提供最新的設(shè)備補(bǔ)丁，隨時根據(jù)用戶需求，提供相應(yīng)安全漏洞與響應(yīng)的安全系統(tǒng)升級代碼；及時向招標(biāo)人提供國家頒發(fā)的最新安全制度與法規(guī)。
7、安全巡檢
包括不限于以人工方式檢查主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的日志信息、安全配置以及審計信息等，提出安全策略建議；如發(fā)現(xiàn)異常現(xiàn)象或安全問題，及時向用戶單位反饋，并提供后續(xù)技術(shù)支持，配合問題的查處和解決。要求每月對安全防護(hù)產(chǎn)品進(jìn)行一次巡檢服務(wù)，并生成巡檢報告；每季度對所有主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)、安全產(chǎn)品進(jìn)行一次全面巡檢，并生成巡檢報告。
8、安全值守服務(wù)
要求評估單位在重大節(jié)假日及特殊時期安排技術(shù)人員提供安全值守服務(wù)（包含在用戶單位值守及遠(yuǎn)程值守）。
9、安全培訓(xùn)服務(wù)
要求每年安排兩次信息安全管理及技術(shù)培訓(xùn)（培訓(xùn)只負(fù)責(zé)提供師資及培訓(xùn)教材，培訓(xùn)教材可為電子版），同時，要求提供四人次專業(yè)技術(shù)認(rèn)證培訓(xùn)（含食宿交通）。
10、應(yīng)急演練服務(wù)
要求配合用戶制定信息系統(tǒng)風(fēng)險應(yīng)急演練方案，每年至少開展一次信息系統(tǒng)風(fēng)險應(yīng)急演練。
（二）服務(wù)原則
為保障安全風(fēng)險評估工作的有序進(jìn)行，特提出以下原則：
1.保密性原則
要求評估單位與用戶簽訂保密協(xié)議，在進(jìn)行信息安全風(fēng)險評估的過程中，嚴(yán)格遵循保密原則，評估過程中采取嚴(yán)格的管理措施，確保所涉及到的任何用戶保密信息，不會泄露給第三方單位或個人，不得利用這些信息損害用戶利益。
2.最小影響原則
要求從項目管理和技術(shù)應(yīng)用的層面，在風(fēng)險評估工作實(shí)施過程對我局現(xiàn)有信息系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行所可能的影響降到最低程度；要求制定風(fēng)險評估過程中的風(fēng)險規(guī)避方案及應(yīng)急措施。
3.規(guī)范性原則
要求評估機(jī)構(gòu)在充分總結(jié)多年開展信息系統(tǒng)安全風(fēng)險評估實(shí)踐經(jīng)驗的基礎(chǔ)上，確定規(guī)范的方案；在此次信息安全風(fēng)險評估任務(wù)執(zhí)行過程中，通過規(guī)范的項目管理，在人員、項目實(shí)施環(huán)節(jié)、質(zhì)量保障和時間進(jìn)度等方面進(jìn)行嚴(yán)格管控。
4.標(biāo)準(zhǔn)化原則
風(fēng)險評估工作要求嚴(yán)格遵守國家和行業(yè)的相關(guān)法規(guī)、標(biāo)準(zhǔn)，并參考國際的標(biāo)準(zhǔn)來實(shí)施。
5.完整性原則
完整性原則包含以下兩個層次的內(nèi)容：
評估內(nèi)容的完整性——要求在風(fēng)險評估工作中，要綜合考慮所評估信息系統(tǒng)的技術(shù)措施、人員、業(yè)務(wù)及運(yùn)行維護(hù)等方面，含蓋信息安全風(fēng)險評估合同要求。
評估流程的完整性——要求信息安全評估過程應(yīng)遵循科學(xué)性、規(guī)范性、嚴(yán)謹(jǐn)性原則。
6.互動性原則
在進(jìn)行信息安全風(fēng)險評估過程中，要求必須有用戶單位人員參與，雙方共同組成項目實(shí)施部門，進(jìn)行項目實(shí)施，從而保證項目執(zhí)行的效果并提高受我局的整體安全技能和安全意識。
（三）評估內(nèi)容
1.信息系統(tǒng)安全管理狀況檢查
評估各種安全制度的建立情況，包括：對終端計算機(jī)訪問互聯(lián)網(wǎng)的相關(guān)制度；對終端計算機(jī)接入內(nèi)網(wǎng)的相關(guān)制度；使用移動存儲介質(zhì)的制度；系統(tǒng)的業(yè)務(wù)應(yīng)用人員、系統(tǒng)的開發(fā)、維護(hù)、管理人員、系統(tǒng)開發(fā)、維護(hù)人員相關(guān)安全管理制度等。
2.網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)安全設(shè)備
評估范圍包括：市局及基層單位業(yè)務(wù)辦公內(nèi)網(wǎng)、業(yè)務(wù)外網(wǎng)、辦公外網(wǎng)、外部單位聯(lián)網(wǎng)等；分析網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否清晰劃分網(wǎng)絡(luò)邊界；評估網(wǎng)絡(luò)的安全區(qū)域劃分以及訪問控制措施。
3.對資產(chǎn)自身存在的脆弱性進(jìn)行收集和整理
物理環(huán)境， 包括 UPS、變電設(shè)備、空調(diào)、門禁等。
交換機(jī)，包括核心交換機(jī)、接入交換機(jī)。檢查安全漏洞和補(bǔ)丁的升級情況，各VLAN間的訪問控制策略；口令設(shè)置和管理，口令文件的安全存儲形式；配置文件的備份。
路由器，包括核心路由器、接入路由器。檢查操作系統(tǒng)是否存在安全漏洞；配置方面，檢測端口開放、管理員口令設(shè)置與管理、口令文件安全存儲形式、訪問控制表；是否能對配置文件進(jìn)行備份和導(dǎo)出；關(guān)鍵位置路由器是否有冗余配置。
安全設(shè)備，包括防火墻、入侵檢測系統(tǒng)、網(wǎng)閘、防病毒、桌面管理、審計、加密機(jī)、身份鑒別等。查看安全設(shè)備的部署情況。查看安全設(shè)備的配置策略；查看安全的日志記錄；通過漏洞掃描系統(tǒng)對安全進(jìn)行掃描。通過滲透性測試檢安全配置的有效性。
4.重要服務(wù)器的安全配置
小型機(jī)約60臺、服務(wù)器約200臺。登錄安全檢測；用戶及口令安全檢測；共享資源安全檢測；系統(tǒng)服務(wù)安全檢測；系統(tǒng)安全補(bǔ)丁檢測；日志記錄審計檢測；木馬檢測。
5.核心業(yè)務(wù)系統(tǒng)的安全性
對我局核心業(yè)務(wù)信息系統(tǒng)，在需求分析和設(shè)計階段是否充分識別安全需求；是否能確保系統(tǒng)文件的安全；是否能采取措施保護(hù)應(yīng)用系統(tǒng)開發(fā)和維護(hù)過程中的信息安全。核查重要業(yè)務(wù)系統(tǒng)數(shù)據(jù)訪問控制情況，敏感文檔資料、服務(wù)器、用戶終端、數(shù)據(jù)庫等數(shù)據(jù)加密保護(hù)能力。對門戶網(wǎng)站進(jìn)行滲透性測試；對網(wǎng)上報稅等核心業(yè)務(wù)系統(tǒng)進(jìn)行滲透性測試；對網(wǎng)絡(luò)邊界進(jìn)行滲透性測試；對內(nèi)網(wǎng)進(jìn)行滲透性測試。
（四）評估的應(yīng)用系統(tǒng)
對已進(jìn)行信息安全等級保護(hù)定級備案的系統(tǒng)進(jìn)行評估，其中包括5個三級、7個二級系統(tǒng)。

序號	等級保護(hù)定級系統(tǒng)	定級級別
1	e財預(yù)算管理信息系統(tǒng)	三級
2	國庫集中支付系統(tǒng)	三級
3	非稅收入收繳管理系統(tǒng)	三級
4	天津地稅管理信息系統(tǒng)	三級
5	因特網(wǎng)申報納稅(網(wǎng)站)	三級
6	財稅關(guān)庫行橫向聯(lián)網(wǎng)	二級
7	公文處理系統(tǒng)	二級
8	會計考試系統(tǒng)	二級
9	稅收管理員工作平臺	二級
10	公路、內(nèi)河貨物運(yùn)輸業(yè)發(fā)票稅控系統(tǒng)	二級
11	12366納稅服務(wù)系統(tǒng)	二級
12	稅務(wù)廣域網(wǎng)系統(tǒng)	二級

 （五）質(zhì)量控制
為保證信息安全風(fēng)險評估項目質(zhì)量，要求在風(fēng)險評估過程中就風(fēng)險評估過程控制、風(fēng)險評估過程監(jiān)督、風(fēng)險評估結(jié)果的驗證等方面嚴(yán)格相關(guān)標(biāo)準(zhǔn)。
四、服務(wù)周期
信息安全風(fēng)險評估服務(wù)自2011年9月1日－2012年8月31日。
五、服務(wù)資質(zhì)要求
1、評估機(jī)構(gòu)應(yīng)具備以下資質(zhì)（提供證明材料）：

資質(zhì)類別	最高認(rèn)證級別
ISCCC信息安全風(fēng)險評估服務(wù)資質(zhì)認(rèn)證	一級
國家信息安全認(rèn)證信息安全服務(wù)資質(zhì)證書	安全工程類二級

 2、對評估單位的其他要求
評估單位近3年內(nèi)具有3個以上金融行業(yè)或政府、企業(yè)（合同金額100萬元以上）同類項目經(jīng)驗，并提供相關(guān)案例的合同復(fù)印件作為證明資料。
評估單位應(yīng)具備以下資質(zhì)（提供證書復(fù)印件）：
l 計算機(jī)信息系統(tǒng)集成資質(zhì)證書
l 質(zhì)量管理體系ISO 9001認(rèn)證證書
l 信息安全管理體系ISO 27001認(rèn)證證書
評估單位需提供詳細(xì)的項目實(shí)施計劃，對供貨、安裝、調(diào)試、維護(hù)、驗收等各個環(huán)節(jié)進(jìn)行詳細(xì)描述和合理的時間安排。
評估單位需提供詳細(xì)的項目技術(shù)人員配備計劃，對項目技術(shù)人員的技術(shù)水平狀況以及所參加過類似項目的實(shí)施經(jīng)驗進(jìn)行說明。