***
中国海洋石油集团有限公司
****专有化协议
技术要求书
编制:
审核:
批准:
商务要求
*.营业执照要求
详见公告。
*、业绩要求
详见公告。
技术要求
*、项目概况及总体要求
为应对网络安全威胁,严守网络安全底线,中国海油各级单位计划开展新建系统上线前安全检查、网络安全渗透演练、软件测试服务、信息系统渗透测试、工控系统风险评估、局域网络风险评估、信息科技风险评估、关键基础设施风险评估等工作,深入排查网络安全隐患、检验公司事件监测、安全防护与应急处置、快速协同、应急处突的能力。通过测试和演练,了解公司信息系统面临的安全威胁和各类攻击,发现潜在的问题并及时加以整改修复和加固,提高系统的安全性,加强对安全事件的应对和处置能力,提升公司的安全防御水平,保护敏感信息和重要资产,从而保障公司业务的连续性。
*、服务内容和范围
*.新建系统上线前安全检查
根据公司网络安全工作相关要求,为中国海油各级单位投资的新建信息系统以及有重大变更的信息系统,进行上线前安全检查,编写检查报告,对发现的问题提出整改意见,通过信息系统上线前信息安全检查服务,增强对新上线系统安全性的控制,对新上线系统的安全性进行质量控制,提出安全问题的严重程度、威胁描述、整改建议等,促进信息系统责任单位完成的安全问题整改后再上线,保证新建系统不带病上岗,做好上线前安全检查,保障业务的连续性。
*.*服务内容
检查的内容至少包括:漏洞扫描、配置检查、渗透测试。对发现的问题提出整改意见并进行复测(复测不限次数,直至通过测试)。通过信息系统上线前信息安全检查服务,提高新上线系统安全性。
具体安全检查工作内容包括如下:
(*)漏洞扫描:
使用公司规定的扫描器对新上线的系统进行漏洞扫描,并出具扫描报告,扫描报告包括脆弱性的等级、修复建议等内容,对于误报的漏洞问题,人工核查验证,协助进行系统上线前的安全整改;
(*)配置检查:
对新上线系统进行上线前的配置检查,包括新上线系统涉及的网络设备、操作系统、数据库、中间件等,检查配置项涉及账号口令设置、认证授权策略、网络与服务、文件系统权限、补丁管理、审计配置等,并提交配置检查报告,便于相关不安全配置的整改;
(*)渗透测试:
技术人员模拟黑客的攻击手法,按照渗透测试标准,对新上线系统进行渗透测试,渗透测试的内容涉及系统安全的各个方面,包括但不限于:跨站脚本攻击、越权访问、敏感信息泄露、任意文件上传、***注入、远程执行代码、命令执行、密码暴力破解、框架组件漏洞等相关安全问题。测试完毕后,出具相关渗透测试报告,报告内容包含安全问题的严重程度、威胁描述、整改建议等,在修复漏洞过程中如有修复不了的漏洞,可根据具体服务器环境配置,提供更完善的修改建议,保证漏洞彻底修复完毕。
(*)双因素认证
对部署在***区的新建信息系统进行包括令牌、手机短信密码、******、混合型令牌(******+动态口令)等的双因素认证,加强账号登录的安全性。
(*)协助编制上线前安全检查流程规范
规范包括检查范围、检查形式、检查内容、检查程序、检查规范等。
*.*服务要求
(*)服务单位及检查人员要有至高的职业道德,不得将检查结果用于商业行为,不得向任何第*方公布发现的漏洞、隐患等。
(*)不得改变系统的任何配置和程序,包括修改代码、植入木马、设置后门等危害性操作。
(*)检查结果为系统上线前状态,如上级单位发现并通报系统存在的安全问题为上线前遗留的问题,投标单位应承当相应的责任(具体惩罚措施将在服务合同中体现);
(*)系统安全检查需在中国海油内网进行,原则上不允许通过外网开展漏洞扫描、配置核查。
*.*服务要求
(*)具备*年以上网络安全项目经验,至少具备*年渗透测试项目经验,从事渗透测试工作期间,每年渗透测试工作时间不得少于**个月;
(*)具有网络安全攻防实战经验或信息安全相关认证资质,如****、*****、****安全方向认证;
(*)有丰富的操作系统及应用系统安全知识,熟悉*******、*****及****操作系统;
(*)具备操作系统、中间件、数据库、应用系统、***系统等各类型漏洞渗透测试、分析和处置经验,具备扎实的安全技术能力;
(*)熟悉防火墙、***/***、***等主流安全产品,熟悉各类主流的攻击手法及对应的防御手段,对网络及网络设备有*定的了解和技术功底;
(*)根据渗透测试的漏洞提出对应的解决建议,跟进漏洞修复处理。
(*)具有网络安全项目管理经验,有较强的沟通能力,沟通需求,组织协调能力,协调资源,反馈问题,协助问题处置,定期汇报,以及方案文档等的编写能力。
(*)为了最大程度提升新建信息系统安全性,相关渗透测试工作需按招标方要求进行多人次重复测试或交叉测试,然后提交综合渗透测试结果,最大限度挖掘系统漏洞,降低系统风险。
*.网络安全渗透演练
为应对国家重大活动网络安全保障工作,加强中国海油的信息系统安全工作,保障和促进中国海油的信息化健康发展,根据网络安全相关要求,负责为其开展网络安全渗透演练工作,并根据渗透演练结果持续改进、优化网络安全整体建设及防御水平。
*.*服务内容
(*)提供详细的渗透演练工作实施说明,包括描述渗透演练组织机构及职责,阐述演练范围,编写渗透演练规则及评分规则,编写应急演练预案,在演练总结阶段,对演练成果进行梳理,编写演练总结报告和安全分析报告。
(*)完整梳理出中国海油各级单位内网信息资产,以及互联网网站和应用,开展渗透演练。
(*)渗透演练中应对操作系统、数据库、应用系统、中间件等进行深度测试,漏洞挖掘,编写验证及利用工具;根据前期信息收集的成果,进行社工攻击、漏洞利用、入侵系统,获取相关权限,后渗透攻击等。根据渗透攻击结果,对发现的问题,漏洞分析以及修复方式等进行总结。在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:***应用),此阶段如果成功的话,可能获得普通权限。
(*)渗透人员可能用到的渗透手段有:扫描分析、溢出测试、口令爆破、社会工程学攻击(利用邮件、微信、**等方式开展钓鱼攻击)、招标方端攻击、中间人攻击等。在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。*旦成功控制*台或多台服务器后,渗透人员将利用这些被控制的服务器作为跳板,绕过防火墙或****安全设备的防护,从而对内网****服务器和招标方端进行进*步的渗透。此过程将循环进行,直到测试完成。最后由渗透人员清除中间数据。
(*)渗透演练完成后提供相关检查报告;针对渗透测试发现的问题提供整改建议并协助整改,以便发现深层次的漏洞,及时整改,提升系统安全水平。
*.*服务要求
(*)应采用“黑衣人制度”对梳理出的网站、信息系统等内网资产进行渗透攻击,并在权限许可的前提下提取系统权限和抓取数据,最大可能挖掘内外网安全漏洞,加强甲方的信息系统安全工作,保障和促进甲方的信息化健康发展。
(*)按甲方要求组织开展渗透演练,乙方组织攻击队数量需符合甲方要求。
*.*人员要求
(*)精通常见的渗透手法,并具备独立挖掘脚本漏洞的能力;
(*)具有集团级攻防渗透演练经验,相关技术人员从事网络安全工作**年以上,至少具备*年以上渗透测试项目经验,从事渗透测试工作期间,每年渗透测试工作时间不得少于**个月;
(*)熟悉主流安全技术及安全厂商产品如漏扫***、***、***、***、***、防火墙等的部署和使用,熟悉各类攻击特征,具备日志安全分析的能力;
(*)具备独立的安全巡检、安全事件检查、应急分析与响应、安全设备运营经验;
(*)具备良好的沟通和协调能力,能够有效与****团队成员和外部安全专家进行合作和沟通。
(*)具备撰写网络安全渗透演练总结分析报告经验,能够全面详细介绍渗透演练组织实施过程,对关键渗透成果进行总结,分析渗透测试数据,挖掘潜在网络安全风险隐患,提出应对措施和整改建议。
*.软件测试服务
随着信息化的不断深入,信息技术在网络化、数字化和智能化方面的优势增强了企业的综合实力,推进了各个公司之间的合作关系,支撑着企业的稳定发展。经过几年的建设,通过对中海油各级单位系统进行上线前测试,全面评估系统能力,确认需求的完整性,在系统开发早期发现问题,减少后期修复成本,并且在性能测试以及功能自动化测试方面已积累了*定的经验。
功能自动化测试方面,当前实施的***系统及电商物流系统的变更仍在不断进行,自动化测试脚本需随其变更不断地进行维护,满足系统自动化功能测试需求。性能测试方面,配合公司应用系统上线前检查,测试系统的各项性能指标是否符合需求和海油性能测试规范的规定,确认是否软件性能指标满足系统长期运行要求;多用户并发使用时系统响应状态是否良好。
*.*服务范围
为了能够满足项目的更高需求,降低风险、推进规范化、提高管理水平和技术能力,并补充测试平台自身性能测试、自动化测试人员和知识结构的不足,服务范围如下:
(*)提供大型信息系统性能测试项目的技术支持服务;
(*)提供自动化测试脚本编写服务。
*.*服务内容
(*)软件功能测试
为了满足中国海油***系统自动化测试的需求,协助完成对***系统自动化测试实施。其主要内容包括:编写***系统自动化测试脚本,项目实施中的***系统自动化测试执行及回归测试,更新***系统自动化测试相关手册和文档。
具体内容如下:
*)根据自动化测试需求分析、理解需要编写成自动化测试脚本的业务流程,根据***系统自动化测试需求使用****、***等工具编写并提供自动化测试脚本,设置检查点,使自动化测试脚本可以达到测试要求,满足自动化测试的需求,分析测试执行结果,出具测试报告;
*)根据***系统自动化测试需求,完成***系统自动化测试脚本优化,使其具有无人值守运行能力;
*)完成自动化测试执行及回归测试;
*)更新自动化测试脚本相关操作手册和文档,做好手册和文档备份。
(*)软件性能测试
满足软件及信息系统等公司大型信息系统对性能测试的需求,使用************作为应用系统性能测试工具,对公司的大型信息系统性能测试项目提供性能测试,并根据甲方要求提供高级性能测试工程师的驻场技术支持服务工作。
根据系统《需求规格说明书》的要求,性能测试主要检测被测系统所处的性能水平,验证其性能是否可以满足应用需求,验证被测系统的业务功能在正常预期工作量和峰值工作量下的性能。其中性能测试包括如下几个方面:
*)执行效率测试
主要测试在特定应用的业务逻辑、用户界面、功能下系统的响应时间,包括服务器处理平均响应时间、每秒请求数等指标考察系统在各种情况下的性能表现。
*)并发性测试
主要验证系统可以承载的最大业务并发用户数。*般情况下,随着用户的增加,响应时间通常是越来越长。根据《需求规格说明书》中的要求来进行测试。
*)容量测试
通过测试预先分析出反映软件系统应用特征的某项指标的极限值(如最大并发用户数、数据库记录数等),使程序经受大容量数据的检验,系统在其极限值状态下还能保持主要功能正常运行。容量测试还应确定测试对象在给定时间内能够持续处理的最大负载或工作量。
*)强度测试
很短时间间隔内达到数据或操作的数量峰值,找出资源不足或资源争用而导致的错误,以核实测试对象能够在不同强度条件下正常运行,不会出现任何错误。并确定测试对象在给定时间内能够持续处理的最大负载或工作量。以最大压力峰值的**%进行*天强度测试,确保系统在持续压力下稳定运行*天,内存等指标累积增幅在可控范围,对系统总体运行的稳定性和可靠性进行测试。
*)稳定性测试
验证系统在持续压力下是否存在性能缺陷;
*)性能瓶颈分析
根据压力测试、容量测试和强度测试的结果,结合系统性能指标,进行原因分析,找到对应的前端应用到数据库各个层级间的峰值瓶颈及最佳值,具体测定指标至少包括并发数、每秒事务处理数、平均响应时间、数据库连接数、***、内存、磁盘、网络占用情况等。
分析系统在特定负载和配置环境下,程序的响应时间和吞吐量,软件运行时所消耗的系统资源,如***的利用率、内存占有率、监控服务器资源占用情况,测试功能的效率及资源消耗率。根据初次测定结果进行系统程序的优化调整后,应当进行复测。
服务标准如下:
*)能够了解业务需求,根据服务需求了解系统业务场景,根据需求可以在系统上熟练操作业务步骤,能够理解服务需求点。
*)能熟练使用自动化测试工具(****、***等),能根据测试需求设计脚本,并分析业务系统,设计和实现需求,制定脚本编写策略,录制和调整脚本满足业务需求。
*)提供能够证明业务能力的业务流程用例,业务流程用例要包含业务场景描述、测试数据、业务步骤(包含业务流程步骤、交易代码、输入数据、输出结果等内容)、测试结论等内容,并分析业务系统,设计和实现需求,制定脚本编写策略,录制和调整脚本满足业务需求。**模块、**模块、**模块、**模块各提供*个测试用例文档。
*)熟练使用****工具,熟练使用***语言,可以编写****公用函数,提供****脚本界面*个流程用例,涉及**模块、**模块、**模块、**模块。
*)能熟练使用***自动化测试工具,提供***自动化脚本*个流程用例,涉及**模块、**模块、**模块、**模块。
*)能够完成日常脚本的优化和完善,根据业务场景的变化,不断调整脚本代码和参数,以满足业务需要。
*)能够根据业务需求编写完脚本后,测试运行脚本,检查测试执行结果是否满足业务需求,是否满足服务需求。
*)能够根据服务需求执行脚本,检查并记录执行结果,将脚本执行结果反馈给需求方,总结脚本执行情况。
*)招标人有权在中标后*个工作日内,要求投标人按照招标人要求的时间和地点对投标时承诺的服务能力、工具、平台进行测试,对人员要求中描述的技术人员进行面试,面试通过后未经招标人允许不得更换技术人员。
*.*人员要求
(*)功能测试工程师
*)投标人应具备至少*名*年以上***软件功能测试工作经验的技术人员,上岗人员需通过现场工具使用和脚本编写测试;
*)可以根据需求规格说明,利用等价类划分法、边界值分析法、错误推测法、因果图法、组合分析法等,编制测试用例、用例流;
*)能独立核实业务流程及功能,实现在使用有效数据时得到预期的结果,在使用无效数据时显示相应的错误消息或警告消息,使各业务规则都能得到正确的应用。
(*)性能测试工程师
*)应具备*年以上性能测试工作经验;
*)能编写自动化测试脚本或框架;
*)具备系统分析能力,能够分析测试数据、定位性能瓶颈,具备系统调优能力。
*)可以执行效率测试、并发性测试、容量测试、强度测试、稳定性测试,可以完成性能瓶颈分析;
*)完成过***端网页、移动端***、******、*********等多种协议的性能测试工作。
*.*测试实施要求
(*)测试计划要求
针对大型信息系统开发项目情况,制定整体测试工作计划,测试计划中需规定被测试的对象、明确测试需求、被测试项目的特性、应完成的测试任务、人员职责及风险等,确定要完成的测试活动,评估完成活动所需要的时间和资源,设计测试组织和岗位职权,进行活动安排和资源分配。
(*)测试用例要求
根据大型信息系统开发项目测试范围设计科学合理有效的测试用例及测试脚本,并对测试用例和脚本统*管理,要求测试用例具有可重复性、有组织性、可回溯性和可操作性。
(*)缺陷管理要求
测试过程中,对发现的测试问题划分问题类别和问题级别,对测试过程中发现的问题进行分析汇总,提交开发方进行问题确认。开发方根据处理意见对软件进行更改,测试方对更改后的软件完成更改确认和回归测试。
(*)测试执行及评估要求
将获得的运行结果与预期结果进行比较和分析,记录、跟踪和管理系统缺陷,测试后对测试过程进行分析评估,对各系统的缺陷进行分析评估并提出改进意见,最终提交测试报告。
(*)测试报告要求
测试报告和测试结果应包含但不局限于测试结果描述。按实际工作需要,编写提交测试总结报告。
测试报告的内容包括:
*)测试过程
*)首轮及回归测试内容
*)测试结果
*)测试结论
(*)测试验收要求
投标人应根据整体工作计划和安排完成软件测试成果的验收工作,测试验收包含但不限于以下要求:
*)完成所有测试工作;
*)项目交付物齐全,符合项目要求及有关标准的规定;
*)测试报告详实、客观,为大型信息系统上线和验收提供准确指导,使系统达到使用和验收要求。
(*)测试管理要求
在对被测系统进行测试的过程中,为确保系统的顺利有效进行,需要对测试过程中的工作进行有效管理,其内容包括但不限于以下方面:
*)项目实施管理计划;
*)进度管理计划;
*)项目质量管理;
*)测试过程的质量控制;
*)测试项目变更管理;
*)测试项目文档管理;
*)测试项目风险管理。
(*)项目交付物要求
投标人应严格按照系统需求,客观、公正、严谨开展测试工作,并在测试过程中和测试结束后根据各个受测项目分类,提供相关测试文档,具体包含(但不限于)以下文档:
*)测试方案
*)测试用例
*)测试数据或测试脚本
*)软件问题报告
*)测试报告
(*)实施过程管理要求
*)服从甲方的组织、协调和管理,甲方有权对乙方的工作及服务质量进行评估;
*)根据项目进展情况及时向甲方汇报并提交项目材料;
*)服务期间保证各测试工具软件的正常运行;
*)提供电话、邮件的支持,技术支持及保障,每周*×**小时的服务;
*)测试人员应做好维护工作记录,包括监控、备份、系统调整、问题解答等工作的记录等。
(**)培训要求
乙方应根据本项目的实际情况以及甲方的相关需求,为甲方提供相对应的培训,培训方案作为技术方案的*部分。培训的内容可以包括但不限于测试基础原理、测试用例编写、测试方案分析、测试项目管理、测试文档管理和测试报告利用。培训方案应包括培训内容、培训方式、培训范围和培训时间。
*.信息系统渗透测试
*.*服务范围:
负责对中国海油各级单位的在建信息系统和存量信息系统开展渗透测试服务。
*.*服务内容
通过多种接入点模拟攻击路径进行渗透测试。包含:检测漏洞,***注入、代码执行、命令执行、越权提权、目录提取、文件读取下载、远程命令执行、弱口令、上传编辑器漏洞、暴力破解以及针对上述测试内容及测试结果形成的报告呈现。
通过真实模拟黑客使用的工具、分析方法来对网站进行模拟攻击,并结合智能工具扫描结果,由技术人员进行深入的手工测试和分析,识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及****专项内容测试与分析。整体测试完成后,输出系统评估报告,同时对各单位业务系统提供技术指导,协助开展技术整改和技术复测。
*.*渗透测试方式
白盒测试:以内部违规、越权、欺诈视角进行预授权或部分授权进行测试;
黑盒测试:完全以外部攻击者视角对指定系统进行模拟攻击测试;
*知识/隐秘测试:完全以攻击对抗视角对*定范围内**开展攻击性测试。
*.*渗透测试流程
渗透测试服务分*个阶段,包括测试前期准备阶段、测试阶段实施、复测阶段实施以及成果汇报阶段。
前期准备阶段:在实施渗透测试工作前,技术人员需跟甲方对渗透测试服务相关的技术细节进行详细沟通。由此确认渗透测试的方案,方案内容主要包括确认的渗透测试范围、最终对象、测试方式、测试要求的时间等内容。同时乙方签署渗透测试授权书。
测试阶段实施:在测试实施过程中,测试人员首先使用自动化的安全扫描工具,完成初步的信息收集、服务判断、版本判断、补丁判断等工作;然后由人工的方式对安全扫描的结果进行人工的确认和分析。并且根据收集的各类信息进行人工的进*步深入渗透测试;结合自动化测试和人工测试*方的结果,测试人员需整理渗透测试服务的输出结果并编制渗透测试报告,最终提交甲方和对报告内容进行沟通。
复测阶段实施
在经过第*次渗透测试报告提交和沟通后,甲方对渗透测试发现的问题进行整改或加固,经过整改或加固后,测试人员进行复测,复测结束后提交甲方复测报告和对复测结果进行沟通。
成果汇报阶段:根据第*次渗透测试和复测结果,整理并提交渗透测试服务报告。
*.*服务要求
为保障甲方系统在渗透测试过程中稳定、安全的运转,需要提供以下多种方式进行风险规避。
(*)时间控制
测试人员将尽量避免在数据高峰时进行测试,以此来减小测试工作对被测试系统带来的压力。另外,测试人员在每次测试前也将通过电话、邮件等方式告知相关人员,以防止测试过程中出现意外情况。
(*)工具使用
在使用工具测试的过程中,测试人员会通过设置线程、插件数量等参数来减少其对系统的压力,同时还会去除任何可能对目标系统带来危害的插件,如远程溢出攻击类插件、拒绝服务攻击类插件等等。
(*)技术手段
渗透测试人员需具有丰富的经验和技能,在每*步测试前都会预估可能带来的后果,对于可能产生影响的测试将被记录并跳过,并在随后与甲方协商决定是否进行测试及测试方法。
(*)监控措施
针对每*系统进行测试前,测试人员都会告知被测系统管理员,并且在测试过程中会随时关注目标系统的负荷等信息,*旦出现任何异常,将会停止测试。
(*)操作记录
测试人员会再测试过程中形成操作记录文档,以便出现意外后进行追溯。
(*)沟通
测试过程中,确定测试人员和甲方配合人员的联系方式,便于及时沟通并解决过程中遇到的问题等。
*.工控系统风险评估
根据公司对工控系统安全风险评估与检查工作要求,完成对指定的工控系统开展风险评估工作。作为组织从事信息安全检查、信息系统等级保护测评、信息安全建设等信息安全管理工作的重要参考内容,重点排查生产单位网络安全隐患,提升安全防护水平,预防和减少网络安全事件的发生,切实保障生产单位平稳、有序发展。
*.*服务内容
根据工业控制系统信息安全防护能力评估方法,对工控系统开展风险评估与检查工作,包括安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案、资产安全、数据安全、供应链管理、落实责任管理**个方面的评估内容。通过评估人员与被评估对象的相关人员进行交谈和问询,了解系统管理和安全管理方面的*些基本信息,并对*些评估内容及其文档审核的内容进行核实。通过检查表、人员访谈、人工核查、文档查阅等手段,了解安全管理弱点,对被评估企业的安全管理体系、运维过程等方面进行评估,便于公司进行相关问题的修复,提升工业控制系统安全生产水平。
*.*服务要求
(*)工控系统进行风险评估与检查依据
按照“工业控制系统信息安全防护能力评估工作实施标准”的内容,对工控系统进行风险评估与检查。
(*)提供风险评估调研表,调研表内容覆盖工控系统风险评估的安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护等**个方面。
(*)提供详细的工作依据、工作方法,其中,工作方法中需要参照工业和信息化部下发的《工业控制系统信息安全防护能力评估方法》,对工控系统的至少*大方面进行量化评估。
(*)乙方具有风险评估能力,按照工控防护能力评估开展相关工作,具体包括如下:
*)人员访谈
对相关人员进行访谈,核实已落实防护措施情况,与被评估对象的相关人员进行交谈和问询,网络安全、信息安全相关法律法规、政策文件工作落实情况,了解系统管理和安全管理方面的*些基本信息。
*)文档查阅
查阅已落实防护措施形成的相关文档等证明材料,包括但不限于:企业的网络拓扑及网络设备清单及网络设备配置文件、被测系统介绍、系统架构、开发设计等,系统资产清单等。
*)人工核查
通过手动方式核查部分已落实防护措施情况,包括但不限于:主机类设备配置况、网络设备配置情况、安全设备配置情况、工业控制设备/系统配置情况、物理环境安全措施等。
*.局域网络风险评估
根据中国海油各级单位网络安全工作相关要求,参照国际标准******、********、国家标准《信息安全技术信息安全风险评估规范》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估工作。
*.*服务范围
负责对中国海油各级单位的办公局域网的网络与信息系统安全风险评估。
*.*服务内容
采用服务人员现场评估的服务方式,通过资产识别、漏洞扫描、配置核查、渗透测试、网络架构分析以及工具检查等手段,对办公局域网络的机房物理环境、网络设备、安全设备、服务器、操作系统及数据库系统、办公终端、无线网络检查和管理制度等进行脆弱性识别,并进行风险计算与分析。对服务过程中发现的脆弱性问题或风险,给出专业的修复整改建议,便于进行相关问题的修复,提升办公区域的安全水平。同时为加强管理,编制相应网络安全管理制度,并对已有制度进行优化。
本次风险评估工作共分为*个阶段:即启动阶段、准备阶段、评估阶段、风险分析总结阶段、问题复测阶段、数据清理阶段、规划验收阶段。
(*)启动阶段:展开项目启动会,项目实施方案确定、明确项目系统信息、人员入场时间安排等;
(*)准备阶段:前期系统调研、资产调研、管理制度调研、制定评估方案、准备评估工具等;
(*)评估阶段:主要完成大量的现场风险评估及识别工作,主要有资产识别、威胁识别、脆弱性识别、渗透测试;
(*)风险分析总结阶段:在识别的基础上进行大量整理并分析,得出风险评估各要素的风险状况,具体有资产影响分析、威胁分析、脆弱性分析、综合风险分析,进行风险计算,并编写风险评估报告;
(*)问题复测阶段:对综合风险进行梳理分析,制定风险控制规划,协助落实风险管控措施,并在整改完毕后进行问题复测,并编写风险复测报告;
(*)数据清理阶段:对于项目服务过程中,涉及到的甲方敏感数据信息进行数据清理,签署相关保密协议,服务人员离场;
(*)规划验收阶段:完成项目交付文档,提交文档并进行讨论汇报,完成项目验收。
*.*服务要求
乙方具有风险评估能力,依照**/******-****《信息安全技术信息安全风险评估办法》,结合信息安全等级保护管理方法要求,开展相关风险评估工作。办公局域网络的风险评估工作包括但不限于以下:
(*)安全评估:基于等级保护*级标准,对中国海油选定的办公区域的基础设施进行安全评估,对于存在的脆弱性,提出修复建议;
(*)漏洞扫描:使用扫描器在办公区域进行漏洞扫描,并出具扫描报告,扫描报告包括脆弱性的等级、修复建议等内容,协助中国海油进行系统上线前的安全整改;
(*)配置检查:对中国海油部分办公区域配置检查,包括网络设备、操作系统、数据库、中间件等,检查配置项涉及账号口令设置、认证授权策略、网络与服务、文件系统权限、补丁管理、审计配置等,并提交配置检查报告;
(*)渗透测试:模拟黑客的手法,对于中国海油办公区域,进行渗透测试,渗透测试的内容涉及系统安全的各个方面,包括:跨站脚本、越权访问、越权使用、***注入、****.***远程执行代码、跨站请求伪造漏洞、密码暴力破解、用户名密码明文传输等相关问题,测试后须给出安全问题的严重程度、威胁描述、整改建议等;
(*)网络架构分析:对中国海油相关办公区域进行网络架构的相关信息进行安全性分析,包括:网络层次设计、区域划分、设备的命名规范、网络设备的***、****划分等,同时给出安全整改建议。
*.*人员要求
(*)具有*年以上的风险评估的实施经验,具备扎实的风险评估项目实施能力,熟悉风险评估规范和标准;
(*)具有信息安全相关认证资质,如****、*****、****安全方向认证;
(*)具有丰富的资产探测及信息收集能力,能够通过电话、邮件、现场等方式完成资产调研工作;
(*)具有丰富的威胁识别及脆弱性识别能力,能够依据最新风险评估标准分析系统存在的风险;
(*)具有丰富的操作系统及应用系统安全知识,熟悉*******、*****及****操作系统,能够根据系统现状制定系统安全加固方案;
(*)具有丰富问题收集,分析整理及标准解读能力,能够编制规范的风险评估报告。
*.信息科技风险评估
信息科技风险评估是对重要信息系统面临的威胁、存在的风险、造成的影响、现有规避措施,以及综合作用而带来风险的可能性评估,是银保监局《信息科技风险指引》中重要的要求。
近几年来,公司逐步深入应用核心业务系统,公司的信息化带动了资金业务的快速发展。伴随着信息化进程的推进,信息系统中的许多风险因素越来越暴露出来,且已经威胁到公司许多业务的正常开展,并容易给公司造成*定的资金风险。因此,为了响应监管要求,急需对运行中的核心业务系统进行*次全面的信息科技风险评估。通过评估可以全面了解当前核心业务系统的风险状况,针对信息科技治理,是否建立信息科技管理委员会,是否按照监管的管理要求从制度上完善管理职责,信息科技审计体系的执行情况,分析系统所面临的各种风险,根据评估结果发现存在的科技风险,以便公司后续开展对严重的风险进行相应的策略整改加以控制。
*.*服务范围
为公司提供信息科技风险评估服务,主要采用业务调研、技术测试、访谈分析、配置检查、漏洞扫描、业务评估等方式,对公司信息科技治理、信息科技风险管理、信息安全管理、信息系统开发和测试、信息科技运行、业务连续性管理、外包管理、审计等方面进行全面性、重要性、制衡性、适应性和成本效益性评估服务,得出和监管要求及同业优秀实践差距分析,在公司后续健全信息科技体系工作中提供建议等辅导工作,对公司健全信息科技体系阶段性工作进行全面评估,并出具评估报告。整个流程按照前期准备、现场评估、分析整理、报告编写、汇报验收*个阶段开展工作。
*.*服务内容
(*)在信息科技治理方面
检查信息科技治理体系是否完善;信息科技规划是否完善,在满足业务规划同时也符合监管要求;组织架构设置是否合理,信息科技人才配备是否合理完善;科技人员绩效管理,岗位晋升设置是否合理;信息科技风险管理及审计管理是否设置与执行合理,是否可识别、计量、检测和控制信息科技风险的,达到监管要求。
(*)在信息科技风险管理方面
检查点包括但不限于:
*)风险管理总体要求:
信息科技风险管理组织架构、信息科技风险管理策略、信息科技风险管理制度、信息科技风险管理职责落实等。
*)风险识别评估:
风险识别评估方法和标准、信息科技全面风险评估尤其外包管理风险评估和业务连续性风险评估等。
*)风险应对控制:
风险应对策略、控制实施和整改跟踪等。风险监测与报告:关键风险指标体系、风险监测机制、风险监测和定期报告、风险防范等。
*)风险持续改进:
持续改进机制、风险监测指标维护、制度更新与优化等。
*)风险信息沟通:
风险信息管理、风险事件总结、风险沟通报告机制等。
(*)在信息安全管理方面
检查点包括但不限于:
*)信息安全管理体系:
信息安全管理组织架构、信息安全策略、信息安全制度体系、安全事件报告机制等。
*)资产安全:
资产管理制度、资产识别与评估、资产退役管理流程等。
*)人员安全:人员录用安全管理、人员调离岗安全管理、人员安全教育培训、权限管控等。
*)物理访问安全:
机房监控管理、机房出入管理、机房区域和环境管理、机房设备管理等。
*)网络安全:
网络架构安全、网络安全隔离、网络漏洞管理、网络访问控制等。
*)系统安全:
系统安全防护、系统漏洞扫描、恶意代码防护、用户权限管理等。
*)应用安全:
应用访问控制、应用日志审计、身份鉴别机制、资源控制、通信保密等。
*)数据安全:
数据安全管理制度、数据全生命周期安全管理等。
*)运维操作安全:
身份鉴别、访问控制、操作审计等。
**)终端安全:
密码管理、权限管理、防病毒管理等等。
(*)在系统建设及测试方面
*)深入检查信息系统建设在规划、分析、设计、实施、维护评价是否完备及合理;
*)项目管理立项、招采、实施、验收、绩效评价是否合理完善;
*)系统开发方法、配置管理、变更管理、基础设施管理是否完善;
*)信息系统输入、存储、处理、输出、控制等功能是否完善、信息系统应用控制及流程是否设置与执行,是否具备应用控制与*般控制要求,能否准确处理数据以及有效应对潜在风险;
*)能够发现问题、排查隐患、及时预警风险。从而提高信息系统建设及运维水平。
(*)在信息科技运行方面
检查点包括但不限于咨询机构根据监管部门对非银机构科技运行的监管要点,输出日常检查标准库,并根据检查标准库指导我司完善信息科技运行建设(包括流程、制度、模板),实现我司信息科技运行符合监管要求及风险自主可控。
(*)在业务连续性管理方面
检查点包括但不限于:业务连续性体系建设、组织架构及职责、管理目标、预警体系、资源建设、计划与培训、应急演练、应急处置、灾难恢复、应急保障、持续改进等。
(*)在外包管理方面
*)检查信息科技外包及其风险管理体系是否完善;
*)外包管理办法是否完善,在满足公司资源规划的同时也符合监管要求;
*)外包合同报备监管部门的界限如何衡量;
*)尽职调查报告、服务质量考核评价约定、外包风险检查报告等是否合理。
(*)在内外审计方面
检查点包括但不限于信息科技审计管理体系,审计职责及落实情况,审计流程规范,内外部审计活动管理(全面审计、业务连续性审计、外包管理审计、重大项目与重要系统审计)、审计整改跟踪等。
*.*服务要求
(*)信息科技风险评估公司需具有以下体系认证:
*)具有信息技术服务管理体系认证证书***/********;
*)具有信息安全管理体系认证证书***/********;
*)具有业务连续性管理体系认证证书********。
(*)信息科技风险评估公司需具有以下案例要求:
*)满足公司行业同类信息科技风险评估或审计项目案例数量不少于*个
*)提供本次符合监管要求非银机构业务连续性及网络与数据安全风险管理能力提升项目案例不少于*个;
注:需提供合同关键页复印件加盖公章作为证明材料。
(*)信息科技风险评估项目在技术层面需满足以下要求:
*)技术测试
由技术专家对重要信息系统进行技术测试,采用漏洞扫描,模拟黑客的真实攻击方法进行非破坏性质的攻击性测试,以及基本线核查。
*)技术要求
技术专家熟悉公司监管评级办法,公司管理办法,熟悉《非银机构业务连续性及网络与数据安全风险管理评估评价指引(****)》,《中国银监会关于印发商业银行业务连续性监管指引的通知》,能提供完整的信息科技风险评估项目调阅清单,包含科技治理、科技风险、信息安全、开发测试及维护、科技运行、科技外包、业务连续性、信息资产、数据中心等内容。并提供载图证明。
*)知识转移
提供公司行业制度模版,并提供截图证明:
*.业务连续性计划;
*.信息科技风险管理办法;
*.信息科技数据安全治理制度;
*.信息科技运行维护管理制度;
*.信息科技事件管理制度;
*.信息科技配置管理制度;
*.信息科技战略规划;
*.**外包应急预案;
*.**服务管理体系配置管理办法;
*.容量管理办法;
*.关键信息基础设施风险评估
为保障公司关键基础设施网络安全,将依据国家《关键信息基础设施安全保护要求》规定相关要求,对公司上报的关键信息基础设施开展风险评估,及时整改问题并向保护工作部门报送情况。理清网络安全保护现状与国家相关要求的差距,以逐步提升中国海油关键信息基础设施的防护能力和管理水平。
*.*服务内容
按照《中华人民共和国网络安全法》《关键信息基础设施安全保护要求》,对关键信息基础设施进行风险评估。针对关键信息基础设施安全要求,采用服务人员现场评估的服务方式,通过访谈、核查、测试等评估方法对云平台和炼化***分布式控制系统*个关键信息基础设施进行风险评估。
(*)被测对象
包括网络结构、通信网络、物理机房、网络设备、安全设备、密码产品、服务器或存储设备、终端或现场设备、系统管理软件或平台、关键数据、服务供应商、关键岗位人员、安全管理文档**类。
(*)评估指标
包括基础指标和增强指标,其中基础指标不少于***项,增强指标不少于***项。
(*)评估内容:
关键信息基础设施风险评估内容包括单元测评、关联测评、风险分析和评价和整体评估。
*)单元测评:
针对关键信息基础设施保护要求中各条要求项开展测评实施,获取相应测评证据。
*)关联测评
关联测评在单元测评基础上,结合关键信息基础设施安全保护制度要求、行业要求、已知的和潜在的风险集等对单个控制点进行安全分析,并结合关键信息基础设施的业务场景、所属领域已知安全事件、可能面临的威胁等,通过设计测试案例、分析攻击路径、渗透测试等对关键信息基础设施实施综合性安全测试,发现关键信息基础设施整体性的安全问题,分析安全事件发生的可能性以及*旦发生对关键信息基础设施业务可能带来的后果。
*)风险分析和评价
针对发现的所有安全问题进行风险分析和评价。
*)整体评估
对关键信息基础设施的安全防护水平及其运营者的网络安全管控能力进行评估。
(*)检查工作
检查评估工作由合规检查、技术检测和分析评估*个主要方法组成,以及进行系统优化:
合规检查:通过*定的手段验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规定的强制要求,输出是否合规的结论,对不合规的具体项目进行说明,采取的方法包括现场资料核实、人员访谈、配置核查等形式。
技术检测:分为主动方式和被动方式,主动方式是采用专业安全工具,配合专业安全人员,选取合适的技术检测接入点,通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段,采取远程检测和现场检测相结合的方式,发现其安全性和可能存在的风险隐患,也可参考****安全检测资料和报告,对技术检测结果进行验证。被动方式是辅助监测分析手段,通过选取合适的监测接入点,部署相应的监测工具,实时监测并分析检查评估对象的安全状况,发现其存在的安全漏洞、安全隐患。*种技术检测方式最终输出技术检测结果。
分析评估:围绕关键信息基础设施承载业务特点,对关键信息基础设施的关键属性进行识别和分析,依据技术检测发现的安全隐患和问题,参考风险评估方法,对关键属性面临的风险进行风险分析,进而对关键信息基础设施的整体安全状况进行评估。
体系优化:开展合规分析,优化公司网络安全内控制度,编制网络安全应急管理体系。
(*)风险评估阶段
风险评估工作共分为*个阶段:即信息收集与调研、方案编制、现场评估、风险评价与报告编制。
*)信息收集与调研:下发关基调研表;梳理反馈调研表组织开展调研会议;完成性对完善的调研表单;
*)方案编制:编制关基评估方案,确定评估指标、对象、内容和方法;
*)现场评估:进行现场评估工作;
*)风险评价与报告编制:开展问题分析,风险评价,整体评价,编制风险评估报告,内部评审通过后提交。
进度计划安排如下,具体以实际实施时间为准。
| 序号 |
阶段 |
工作项 |
服务时长(工作日) |
| * |
信息收集与调研 |
下发关基调研表 |
** |
| * |
信息收集与调研 |
梳理反馈调研表,组织开展调研会议 |
** |
| * |
信息收集与调研 |
完成调研表单 |
** |
| * |
方案编制 |
编制评估方案,确定评估指标、对象、内容和方法 |
** |
| * |
方案编制 |
内部评审 |
** |
| * |
方案编制 |
中国海油评审 |
** |
| * |
现场评估 |
现场评估 |
** |
| * |
风险评价与报告编制 |
问题分析 |
** |
| * |
风险评价与报告编制 |
风险评价 |
** |
| ** |
风险评价与报告编制 |
整体评价 |
** |
| ** |
风险评价与报告编制 |
报告编制 |
** |
| ** |
风险评价与报告编制 |
内部评审提交 |
** |
*.*服务要求
(*)提供详细的关键信息基础设施实施工作说明,应包括项目概述、被测对象(不少于**类)、评估指标(基础指标不少于***项、增强指标不少于***项)、评估方法、单元测试内容、关联测试、整体评估和配合资源需求进行描述。
(*)提供关基测评中涉及到的分析识别、安全防护(管理)、安全防护(技术)、检测评估、监测预警、主动防御、事件处置中至少*类测评内容说明(提供测评表或测评内容截图),测评内容需是关基测评内容,每类测评包含不少于*个控制点,每个控制点包含不少于*个测评项,对每个测评项需有相应的测评说明、测评要求、测评实施描述以及预期结果描述。
*、工作量清单
| 序号 |
服务名称 |
单位 |
数量 |
| * |
新建系统上线前安全检查 |
人天 |
**** |
| * |
网络安全渗透演练 |
人天 |
**** |
| * |
软件测试服务(功能测试) |
人天 |
**** |
| * |
软件测试服务(性能测试) |
人天 |
*** |
| * |
信息系统渗透测试 |
人天 |
**** |
| * |
工控系统风险评估 |
系统 |
** |
| * |
局域网络风险评估 |
人天 |
**** |
| * |
信息科技风险评估 |
次 |
* |
| * |
关键信息基础设施风险评估 |
个 |
* |
*、执行标准/规范
(*)**/******.**-****《系统与软件工程系统与软件质量要求和评价(******)第**部分:就绪可用软件产品(****)的质量要求和测试细则》;
(*)**/******.**-****《系统与软件工程系统与软件质量要求和评价(******)第**部分:系统与软件质量模型》;
(*)**/*****-****《计算机软件产品开发文件编制指南》;
(*)**/******.*-****《软件工程产品质量第*部分:质量模型》;
(*)**/******.*-****《软件工程产品质量第*部分:外部度量》;
(*)**/******-****计算机软件测试规范;
(*)******-****计算机软件测试文档编制规范;
(*)被测系统相关开发设计技术文档。
*、服务要求
项目服务人员须认真履行职责,积极主动地为项目出谋划策,并以严格的技术标准和谨慎的职业态度推动项目开展,为项目整体和项目涉及相关工作提供优良服务。
*.提供自动化安全检查系统/工具。
*.项目服务人员须在项目开展过程中加强与被服务方及项目所涉人员的交流协调,合理分配服务所需资源。
*.项目服务人员应自行保障在服务提供过程中须使用的工具等材料。
*.项目服务人员的操作和行为,不得干扰原信息系统的正常运行。
*.项目服务人员须在被服务方负责人员或信息系统管理员的指导和要求下对相应信息系统进行研究和测试,不得擅自对信息系统,特别是正在运行的或用于生产经营的系统,进行操作或配置。对系统和设备的任何操作或配置,应有详细的记录。
*.项目服务人员应在项目进展中根据项目实际情况及以往工作经验,向被服务方及时提出合理化建议和意见。
*.项目相关服务提供过程中,不论发生任何管理和技术分歧,项目服务人员应以项目工作顺利完成为重,不得以任何理由停止或延滞服务工作,影响项目整体进度。如遇有分歧或阻力,应第*时间与被服务方负责人员联系沟通,由被服务方负责协调各方解决问题。被服务方将保留追究延误项目进度相关责任方的权力。
*.服务期内,针对项目范围内实施过加固的系统,被上级机构通报的次数不多于*次,包括各种上级管理机构、网监机构、行业机构等。
*.投标方需按招标方指定的时间和地点提供上述服务,产生相关费用由投标方承担。
另外,本项目包含了渗透演练保密措施,具体如下:
乙方承诺,任何工作和交付的工作成果符合本需求、法律法规、行业规范、标准和良好的行业惯例的要求,不存在任何缺陷。
如果乙方在渗透演练期间导致甲方重要数据泄露,甲方应及时通知乙方协助进行处置,如泄露数据导致重保工作失利,依法追求相关责任。
若乙方不遵守海油保密协议,接受*年内不参加中国海油渗透演练及投标中国海油****信息安全项目。
若乙方故意隐瞒渗透演练期间发现的中国海油漏洞,并利用漏洞在专项行动期间攻击中国海油,情节严重,造成海油专项行动中重大失分或威胁海油信息系统,甲方有权终止合同,乙方按照损失情况,赔偿甲方损失,并追究其法律责任。
*、项目服务期限
自协议签订之日起**个月。
*、配备资源要求
*.乙方于项目初始明确服务人员,未经甲方同意不更换服务人员。
*.提供所有安全服务人员简历。
*.在服务人天总数不变的情况下,甲方有权根据实际需要,调剂单项服务内容的人天使用。
*.在安全事件响应过程中增加必要的支持人员。
*、服务及验收标准
*.验收形式
按照每次采购的订单要求*次性验收;验收的时间、地点、方式由招标方决定。
*.提交成果
*.*系统上线前安全检查
(*)项目周报、项目月报及阶段性报告等;
(*)信息系统上线前安全检查的制度和流程
包括但不限于:新建系统的定义、重大变更系统的定义、上线前安全检查的申请审批工作流程、上线前安全检查的规范和注意事项等。
(*)渗透测试标准
提交渗透测试标准,技术人员按照渗透测试标准对新上线系统进行渗透测试。
(*)《信息系统安全评估报告及整改方案》
系统上线前安全评估与检查工作完成后,*周内出具《信息系统安全评估报告及整改方案》,报告中包括但不限于以下内容:漏洞扫描发现的问题、配置核查发现的问题、渗透测试发现的问题以及整改方案等;
(*)《信息系统安全评估复测报告》
用户整改完毕后,提交复测,*周内完成复测,并提交《信息系统安全评估复测报告》。
(*)《信息系统安全评估综合分析总结报告》
综合分析总结报告内容包括但不限于:信息系统存在的共性问题、个性问题、*直以来无法解决的问题、需要甲方如何进行优化、如何补充专业能力等方面给出解决建议等。
*.*网络安全渗透演练
《渗透演练总结报告》
《信息系统漏洞扫描报告》
《互联网应用渗透测试报告》
*.*软件测试服务
(*)项目周报、项目月报及阶段性报告等
(*)测试方案
(*)测试用例
(*)测试数据或测试脚本
(*)软件问题报告
(*)测试报告
*.*信息系统渗透测试
(*)项目周报、项目月报及阶段性报告等
(*)《系统渗透测试报告》
系统渗透测试报告包括但不限于测试范围、过程、使用的技术手段以及获得的成果,根据具体威胁内容编写解决方案和相关的安全建议,为甲方整改和加固提供参考。
*.*工控系统风险评估
拟于所有评估检查结束后**天内完成安全评估报告。
提交的文件应包括但不限于以下:
(*)项目双周报、月报及阶段性汇报
(*)《工控系统风险评估方案》
(*)《工控系统安全评估报告》
针对工控系统安全评估报告分析,包括基本情况介绍、工控安全评估流程、网络攻击威胁分析、安全措施有效性分析、受影响设备分析、功能安全有效性分析、事件后果及影响范围分析、工控安全事件路径分析、整改措施建议等内容。
根据现场核查结果,结合等保定级报告、***安全分析报告等内容,进行网络攻击威胁分析、安全措施有效性分析、受影响设备分析、功能安全有效性分析、事件后果及影响范围分析、工控安全事件路径分析,梳理归纳主要问题,从制度及技术*个维度进行分析,提供整改措施及建议。
(*)《综合分析总结报告》
综合分析总结报告内容包括但不限于:工控系统风险评估与检查中存在的共性问题、个性问题、*直以来无法解决的问题、甲方如何进行优化、如何补充专业能力等方面给出解决建议等。
*.*局域网络风险评估
(*)项目管理工作提交项目双周报、项目月报及阶段性报告等
(*)风险评估成果,提交的文件包括但不限于以下
*)《信息系统安全风险评估报告》,根据风险评估模板填写相关内容,并提交风险评估报告。
*)《信息系统安全风险评估问题及安全加固方案》,其中安全加固方案中对在项目服务过程中发现的安全问题进行分析,并提出相关整改建议,包括但不限于网络架构问题、服务器问题、终端问题、业务应用系统漏洞问题、弱口令问题等。
*.网络架构问题:对被测网络区域规划是否清晰、合理,资产是否直观、全面,是否有安全设备进行终端防护等问题进行分析,并提出整改建议;
*.服务器问题:对于*******、*****服务器、********、*****、******数据库进行基线核查,并对暴露出来的账户口令、认证授权、协议安全、访问控制等;
*.终端问题:对于被测终端配置问题进行分析,包括但不限于:是否禁止****用户远程登录、是否配置帐户锁定阈值、是否开启屏幕保护程序、是否开启了默认共享功能、是否安装终端安全管理软件、是否开启自动播放功能、是否开启可远程访问的注册表路径和子路径、是否关闭不必要的服务如**********、是否限制远程登录**范围;
*.业务应用系统漏洞问题:对被测业务系统安全问题进行分析,主要包括是否存在会影响业务流程的通用安全漏洞,包括但不限于:弱口令、明文传输、未授权访问漏洞、***注入、目录泄露、敏感信息泄露、任意文件上传、任意文件下载、弱口令、越权漏洞、文件包含漏洞、***敏感信息泄露等。
*)《信息系统安全风险评估问题复测报告》,对在《信息系统安全风险评估问题及安全加固方案》中暴露出的安全问题,在甲方整改完毕后,*周内完成问题复测,并提出复测结论,形成并提交《信息系统安全风险评估问题复测报告》。
*)综合分析总结报告
综合分析总结报告内容包括但不限于:办公局域网络风险评估中存在的共性问题、个性问题、*直以来无法解决的问题、甲方如何进行优化、如何补充专业能力等方面给出解决建议等。
*.*信息科技风险评估
《风险评估报告》及整改建议。
*.*关键信息基础设施风险评估
(*)提交项目双周报、项目月报及阶段性报告等
(*)《关键信息基础设施风险评估方案》
项目实施前,提交风险评估方案,包括但不限于被测对象、被测资产信息、评估指标、评估范围和方法、单元评测、关联评测、整体评估等内容。
(*)《关键信息基础设施风险评估报告》
关键信息基础设施风险评估工作完成后,出具风险评估报告,包括但不限于被测资产的类型及范围,测评的安全问题,针对发现的所有安全问题进行的风险分析和评价,责任单位的整改建议等。
(*)《综合分析总结报告》
分析报告的内容包括但不限于:分析安全问题的共性程度;分析该安全问题涉及的资产类型及范围;分析存在的安全问题对被测关键信息基础设施安全目标实现带来的影响程度;判断存在的安全问题的严重程度等。
*、质量保证
*.违约责任要求
乙方不履行义务或者履行义务不符合约定的,甲方有权要求乙方承担继续履行、采取补救措施、赔偿损失或支付违约金等违约责任。
*、****要求
*.技术联系人
联系人:****
联系方式:***********
*.付款方式要求
银行电汇
*.付款周期要求
验收完成,接到发票**天内付款。
*结算方式:
乙方完成本协议项下单次采购订单要求的工作、提交完工报告,并经甲方验收合格后,乙方于*(*)日内向甲方提交订单总额的***%的有效增值税专用发票以及相关支持文件,甲方自验收合格之日起***(**)日内向乙方支付。
功能介绍
换一批
潜在投标单位
放大
缩小
公告内容:
您当前为:
招标采购
询价订单
分包项目
直采订单
拟在建项目
业主委托
