【正文】 1 應(yīng)急預(yù)案制定和修訂 根據(jù)我局信息系統(tǒng)的安全狀況、完善和修訂安全事件應(yīng)急預(yù)案，使之更適合指導(dǎo)突發(fā)事件的處置流程。 根據(jù)我方需求 2 商密檢查 對涉及商用密碼應(yīng)用系統(tǒng)進行檢查。 1 次 4 現(xiàn)有控制措施有有效性 結(jié)合資產(chǎn)、威脅和脆弱性分析結(jié)果，對現(xiàn)有的預(yù)防性安全措施和保護性安全措施進行有效性測試、評 估。 （三）項目依據(jù) 1)國家信息化領(lǐng)導(dǎo)小組《關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2020]27 號） 2)《政府信息系統(tǒng)安全檢查辦法》（國辦發(fā) [2020]28 號） 3)《深圳市人民政府信息系統(tǒng)安全檢查辦法》（深府辦 [2020]138 號） 4)國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組《關(guān)于開展信息安全風(fēng)險評估工作的意見》（國信辦 [2020]5 號） 5)《信息安全等級保護管理辦法》 (公通字 [2020]43 號 ) 6)深圳市關(guān)于 開展信息安全風(fēng)險評估工作的實施意見（深科信 [2020]268 號） 7)信息安全風(fēng)險評估規(guī)范（ GB/T209842020） 8)深圳市信息安全風(fēng)險評估實施指南 9)檢查機構(gòu)運作的一般規(guī)則（ ISOIEC 170202020） 10)關(guān)于印發(fā)《 2020 年深圳市黨政機關(guān)信息安全聯(lián)合檢查工作方案》的通知（深辦字 [2020]24 號） （四）項目服務(wù)內(nèi)容 根據(jù)《 2020 年深圳市黨政機關(guān)信息安全聯(lián)合檢查工作方案》、《 2020 年深圳市黨政機關(guān)信息安全聯(lián)合檢查現(xiàn)場抽查表及評分標(biāo)準(zhǔn)》和《政府績效評估信息安全指標(biāo)監(jiān)控方案》 等相關(guān)文件要求，幫助我局實施信息安全檢查和加固優(yōu)化工作，并在規(guī)定的時間通過深圳市黨政機關(guān)信息安全聯(lián)合檢查工作平臺報送結(jié)果，完成年度信息安全聯(lián)合檢查各項指標(biāo)工作。 對安全服務(wù)過程中發(fā)現(xiàn)的脆弱點和問題提出科學(xué)、可行的修復(fù)加固計劃和建議，建立符合國家標(biāo)準(zhǔn)和深圳市電子政務(wù)要求的信息安全管理體系。 1 次 2 信息安全管理體系落地 a）建立適合我方實際的信息安全管理體系框架； b）評估和識別關(guān)鍵的業(yè)務(wù)處理流程、資產(chǎn)和崗位設(shè)置等； c) 實現(xiàn)安全體系文檔化，管理流程化、績效控制可量 化和安全意識普及； 1 次 3 外包服務(wù)管理 a)對外包開發(fā)軟件在投入使用前進行了全面的安全檢測； 不低于 4次 信息安全風(fēng)險評估 按照《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》（ GB/T209842020）、《信息系統(tǒng)安全保護等級基本要求》（ GB/T 222392020）等相關(guān)標(biāo)準(zhǔn)，對我局信息系統(tǒng)和 IT 基礎(chǔ)設(shè)施進行安全風(fēng)險評估，包括明確風(fēng)險評估范圍、識別重要資產(chǎn)、識別脆弱性和威脅、現(xiàn)有安全控制措施、應(yīng)用系統(tǒng)漏洞掃描、分析和計算風(fēng)險狀況、制定不可接受風(fēng)險處置方案和風(fēng)險評估報告和總結(jié)。 1 次 7 風(fēng)險結(jié)果 通過層面匯總分析和綜合分析等過程找出信息系統(tǒng)的安全風(fēng)險，識別影響系統(tǒng)安全保護能力的安全隱患，形成評估結(jié)論報告。 2 網(wǎng)絡(luò)安全審計 每季度對網(wǎng)絡(luò)安全審計設(shè)備運行狀況、日志連續(xù)性進行巡檢，并在需要的時候協(xié)助檢查違規(guī)上網(wǎng)行為。 根據(jù)國家《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》標(biāo)準(zhǔn)實施。 5）證據(jù)收集，對由于安全故障造成的入侵記錄、破壞情況、直接損失情況收集證據(jù)。 1 次 2 安全意識培訓(xùn) 主要講辦公電腦、平板、智能設(shè)備、移動存儲設(shè)備等終端設(shè)備在使用互聯(lián)網(wǎng)、內(nèi)網(wǎng)網(wǎng)絡(luò)的安全、保密意識和安全常識。 序號 服務(wù)項目 內(nèi)容 全年服務(wù) 次數(shù) 1 滲透測試自查 模擬黑客入侵的方式，使用專業(yè)工具和人工測試相結(jié)合的方法，通過收 集信息、制定滲透策略、漏洞測試、漏洞驗證、提升權(quán)限、深度滲透等步驟，對目標(biāo)信息系統(tǒng)進行可１次 控的模擬攻擊測試，獲取目標(biāo)系統(tǒng)控制權(quán)限。每日工作完成后都必須有相應(yīng)的工作附件與之呼應(yīng)； （ 8） 項目實施中對信息系統(tǒng)采用的任何技術(shù)檢測（本地核查、網(wǎng)絡(luò)掃描、安全分析、設(shè)備調(diào)研）手段和方法，必須事先提交詳細(xì)的實施（檢測）方案，明確檢測內(nèi)容、方法、使用的規(guī)則（策略）、可能引發(fā)的后果、以及后果的處理等內(nèi)容，經(jīng)確認(rèn)通過后方可進行實施； （ 9） 所有對數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)的技術(shù)測試必須預(yù)選制定 數(shù)據(jù)備份和恢復(fù) 方案，并提交相關(guān)崗位工程