【正文】 用系統(tǒng)”的專有信息成為公眾信息之日止，我公司對(duì)專有信息始終負(fù)有保密責(zé)任。并有對(duì)參與本項(xiàng)目服務(wù)人員進(jìn)行教育、宣傳的責(zé)任。. 我公司承諾對(duì)我公司的服務(wù)人員負(fù)有連帶責(zé)任，并對(duì)本承諾書(shū)中約定的保密責(zé)任的任何違反將構(gòu)成違約，我公司愿意承擔(dān)由此引起的違約責(zé)任，彌補(bǔ)北京市財(cái)政局因此遭受的全部損失，還應(yīng)向北京市財(cái)政局支付合同總價(jià)款的違約金。. 名詞解釋本承諾書(shū)所稱“北京市財(cái)政局應(yīng)用系統(tǒng)”是指：根據(jù)北京市財(cái)政局提出的具體工作要求，由各供應(yīng)商派遣的員工來(lái)進(jìn)行開(kāi)發(fā)或維護(hù)的應(yīng)用系統(tǒng)。本承諾書(shū)所稱的“專有信息”是指：北京市財(cái)政局應(yīng)用系統(tǒng)建設(shè)過(guò)程中，所有涉及的商業(yè)秘密、技術(shù)秘密、通信或與該產(chǎn)品相關(guān)的其他信息，無(wú)論是書(shū)面的、口頭的、圖形的、電磁的或其它任何形式的信息，包括（但不限于）數(shù)據(jù)、模型、樣品、草案、技術(shù)、方法、儀器設(shè)備和其它信息。. 本承諾書(shū)自合同簽訂之日起生效，至專有信息成為公眾信息之日起失效。乙方（簽字，蓋公章）： 年 月 日附件二 北京市財(cái)政局服務(wù)人員保密承諾書(shū)為保證北京市財(cái)政局的信息安全不受侵害，作為參加北京市財(cái)政局信息化建設(shè)的工作人員，我自愿簽訂本承諾書(shū)，接受本承諾書(shū)的約束。. 我承諾在參與“北京市財(cái)政局信息系統(tǒng)”的建設(shè)、使用、維護(hù)過(guò)程中及建設(shè)、使用、維護(hù)工作完畢后，未經(jīng)北京市財(cái)政局書(shū)面許可，我個(gè)人不會(huì)將信息系統(tǒng)或該系統(tǒng)的任何“專有信息”帶出允許范圍之外，并且不會(huì)在允許范圍之外任何場(chǎng)合運(yùn)行該系統(tǒng)或使用該系統(tǒng)的任何“專有信息”。. 我承諾對(duì)“北京市財(cái)政局信息系統(tǒng)”的相關(guān)專有信息資料負(fù)有保密責(zé)任。未經(jīng)北京市財(cái)政局書(shū)面許可，不向任何第三方提供專有信息或由專有信息衍生的信息。. 我承諾自本保密承諾書(shū)生效日期起至“北京市財(cái)政信息系統(tǒng)”的專有信息成為公眾信息之日止，我對(duì)專有信息始終負(fù)有保密責(zé)任。. 我承諾對(duì)本承諾書(shū)中約定的保密責(zé)任的任何違反將構(gòu)成違約，我愿意承擔(dān)由此引起的違約責(zé)任，彌補(bǔ)北京市財(cái)政局因此遭受的全部損失，并支付人民幣拾萬(wàn)元（小寫(xiě)：￥，元）的違約金。. 名詞解釋本承諾書(shū)所稱“北京市財(cái)政局信息系統(tǒng)”是指：根據(jù)北京市財(cái)政局提出的具體工作要求，由各供應(yīng)商派遣的員工來(lái)進(jìn)行開(kāi)發(fā)或維護(hù)的計(jì)算機(jī)系統(tǒng)（包括軟件系統(tǒng)和硬件系統(tǒng)及北京市財(cái)政局為保障“北京市財(cái)政局信息系統(tǒng)”正常工作而提供的其它軟、硬件系統(tǒng)）。本承諾書(shū)所稱的“專有信息”是指：北京市財(cái)政局信息系統(tǒng)建設(shè)過(guò)程中，所有涉及的商業(yè)秘密、技術(shù)秘密、通信或與該產(chǎn)品相關(guān)的其他信息，無(wú)論是書(shū)面的、口頭的、圖形的、電磁的或其它任何形式的信息，包括（但不限于）數(shù)據(jù)、模型、樣品、草案、技術(shù)、方法、儀器設(shè)備和其它信息。. 本承諾書(shū)自合同簽訂之日起生效，至專有信息成為公眾信息之日起失效。 乙方（簽字）： 年 月 日附件三 被考核運(yùn)維服務(wù)商一覽表由北京市財(cái)政局信息中心統(tǒng)籌、管理，公司協(xié)助北京市財(cái)政局開(kāi)展安全績(jī)效考核工作，服務(wù)范圍主要覆蓋目前為北京市財(cái)政局提供信息化運(yùn)維服務(wù)的家運(yùn)維服務(wù)商，主要運(yùn)維服務(wù)商列表如下：序號(hào)公司名稱。附件四 安全考核內(nèi)容目錄對(duì)考核范圍內(nèi)的系統(tǒng)、設(shè)備從賬號(hào)管理、登錄限制、日志管理等方面開(kāi)展績(jī)效考核工作，具體考核內(nèi)容參見(jiàn)《考核內(nèi)容表》。附件五 乙方服務(wù)人員序號(hào)服務(wù)人姓名學(xué)歷專業(yè)負(fù)責(zé)工作內(nèi)容從事相關(guān)工作年限專家團(tuán)隊(duì):序號(hào)服務(wù)人姓名學(xué)歷專業(yè)負(fù)責(zé)工作內(nèi)容從事相關(guān)工作年限乙方項(xiàng)目負(fù)責(zé)人： 電話： 乙方商務(wù)負(fù)責(zé)人： 電話： 乙方（簽字，蓋公章）：年 月 日附件六 項(xiàng)目工作說(shuō)明書(shū)簽訂合同時(shí)，甲乙雙方擬定。第四章 服務(wù)內(nèi)容及要求目 錄一、項(xiàng)目概述 （一）項(xiàng)目背景 （二）項(xiàng)目原則 （三）項(xiàng)目依據(jù) 二、項(xiàng)目需求 （一）北京市財(cái)政局網(wǎng)絡(luò)安全績(jī)效考核 （二）北京市各區(qū)財(cái)政局網(wǎng)絡(luò)安全技術(shù)檢查 三、項(xiàng)目服務(wù)內(nèi)容 （一）北京市財(cái)政局網(wǎng)絡(luò)安全績(jī)效考核 （二）北京市各區(qū)財(cái)政局網(wǎng)絡(luò)安全技術(shù)檢查 四、項(xiàng)目驗(yàn)收 五、項(xiàng)目管理 六、保密管理 七、項(xiàng)目服務(wù)期  一、項(xiàng)目概述（一）項(xiàng)目背景隨著電子政務(wù)工程的深入快速發(fā)展，我國(guó)各級(jí)政府紛紛以網(wǎng)絡(luò)為平臺(tái)實(shí)現(xiàn)業(yè)務(wù)自動(dòng)化辦理，然而信息化在提高工作效率的同時(shí)也帶來(lái)了嚴(yán)重的安全隱患，近年來(lái)政府機(jī)關(guān)重大信息安全事件層出不窮，給信息系統(tǒng)使用單位帶來(lái)了不可估量的經(jīng)濟(jì)損失和負(fù)面影響。因此，作為負(fù)責(zé)北京市財(cái)政收支、財(cái)稅政策、財(cái)政監(jiān)督、行政事業(yè)單位國(guó)有資產(chǎn)管理工作的市政府組成部門，有必要進(jìn)一步提高北京市財(cái)政系統(tǒng)信息安全保障水平。北京市財(cái)政局高度重視信息安全工作，在信息化發(fā)展的同時(shí)，貫徹落實(shí)國(guó)家及北京市各項(xiàng)信息安全法規(guī)要求，建立健全網(wǎng)絡(luò)安全保障體系。根據(jù)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（ ）、《北京市財(cái)政局信息化管理辦法》（京財(cái)信息〔〕號(hào)）、《北京市財(cái)政局信息化運(yùn)維績(jī)效考核管理辦法》（京財(cái)信息內(nèi)第號(hào)）、《北京市財(cái)政局運(yùn)維服務(wù)安全績(jī)效考核管理規(guī)程》（京財(cái)信息內(nèi)第號(hào)），開(kāi)展北京市財(cái)政局安全績(jī)效考核工作，檢查各運(yùn)維服務(wù)商負(fù)責(zé)的相關(guān)系統(tǒng)、設(shè)備存在的安全問(wèn)題，督促各運(yùn)維服務(wù)商的安全自查和整改工作，確保各項(xiàng)信息安全措施得到落實(shí)，提高北京市財(cái)政局網(wǎng)絡(luò)安全保護(hù)能力。按照財(cái)政系統(tǒng)網(wǎng)絡(luò)安全檢查工作要求，通過(guò)對(duì)北京市各區(qū)財(cái)政局開(kāi)展網(wǎng)絡(luò)安全技術(shù)檢查工作，全面深入查找安全隱患，提高北京市各區(qū)財(cái)政局的網(wǎng)絡(luò)安全管理水平和技術(shù)防護(hù)能力，保障北京市財(cái)政系統(tǒng)安全、穩(wěn)定、可持續(xù)發(fā)展。（二）項(xiàng)目原則項(xiàng)目實(shí)施應(yīng)滿足以下原則：1. 符合性原則：符合中辦發(fā)[]號(hào)文指出的“積極防御、綜合防范”的方針和等級(jí)保護(hù)的原則。2. 標(biāo)準(zhǔn)性原則：項(xiàng)目設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)內(nèi)或國(guó)際的相關(guān)標(biāo)準(zhǔn)進(jìn)行。3. 規(guī)范性原則：項(xiàng)目實(shí)施中的過(guò)程和文檔，應(yīng)具有很好的規(guī)范性，便于項(xiàng)目的跟蹤和控制。4. 可控性原則：實(shí)施方法和過(guò)程需要在雙方認(rèn)可的范圍之內(nèi)，項(xiàng)目進(jìn)度要嚴(yán)格按照項(xiàng)目工作計(jì)劃執(zhí)行，保證北京市財(cái)政局對(duì)工作的可控性。5. 保密原則：對(duì)項(xiàng)目實(shí)施中產(chǎn)生的數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害北京市財(cái)政局的行為。（三）項(xiàng)目依據(jù).關(guān)于轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》的通知（中辦[]號(hào)）.《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 .《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 .《信息安全事件分類分級(jí)指南》 －.《北京市財(cái)政局信息化管理辦法》京財(cái)信息〔〕號(hào).《北京市財(cái)政局信息化運(yùn)維績(jī)效考核管理辦法》京財(cái)信息內(nèi)第號(hào).《北京市財(cái)政局運(yùn)維服務(wù)安全績(jī)效考核管理規(guī)程》京財(cái)信息內(nèi)第號(hào).《關(guān)于開(kāi)展財(cái)政系統(tǒng)網(wǎng)絡(luò)安全和保密檢查工作的通知》財(cái)網(wǎng)信辦〔〕號(hào)二、項(xiàng)目需求本項(xiàng)目包括北京市財(cái)政局網(wǎng)絡(luò)安全績(jī)效考核和北京市各區(qū)財(cái)政局網(wǎng)絡(luò)安全技術(shù)檢查兩部分內(nèi)容。（一）北京市財(cái)政局網(wǎng)絡(luò)安全績(jī)效考核北京市財(cái)政局相關(guān)業(yè)務(wù)系統(tǒng)數(shù)量多，用戶數(shù)量龐大，涉及運(yùn)維服務(wù)商數(shù)量眾多，安全管理工作任務(wù)重。對(duì)于網(wǎng)絡(luò)安全保護(hù)工作要求較高，需要對(duì)各運(yùn)維服務(wù)商的運(yùn)維安全工作進(jìn)行常態(tài)化的跟蹤檢查，通過(guò)執(zhí)行績(jī)效考核制度，精細(xì)化管理各運(yùn)維服務(wù)廠商，進(jìn)一步提升北京市財(cái)政局信息安全管理水平。（二）北京市各區(qū)財(cái)政局網(wǎng)絡(luò)安全技術(shù)檢查為建立健全北京市財(cái)政系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系，還需提高北京市各區(qū)財(cái)政局的網(wǎng)絡(luò)安全技術(shù)防護(hù)水平，保障北京市財(cái)政系統(tǒng)安全、穩(wěn)定運(yùn)行。需要以網(wǎng)絡(luò)安全技術(shù)檢查為突破點(diǎn)，監(jiān)督指導(dǎo)各區(qū)財(cái)政局推進(jìn)網(wǎng)絡(luò)安全工作，做到“以查促管、以查促建、以查促改”，形成長(zhǎng)效機(jī)制，不斷提高整體網(wǎng)絡(luò)安全管理水平和技術(shù)防護(hù)能力。通過(guò)對(duì)北京市各區(qū)財(cái)政局開(kāi)展網(wǎng)絡(luò)安全技術(shù)檢查工作，為北京市財(cái)政局指導(dǎo)北京市各區(qū)財(cái)政局開(kāi)展相關(guān)工作提供依據(jù)。三、項(xiàng)目服務(wù)內(nèi)容（一）北京市財(cái)政局網(wǎng)絡(luò)安全績(jī)效考核成交商應(yīng)參照北京市財(cái)政局現(xiàn)有相關(guān)制度標(biāo)準(zhǔn)，嚴(yán)格按照采購(gòu)人要求開(kāi)展網(wǎng)絡(luò)安全績(jī)效考核工作。.服務(wù)內(nèi)容成交商應(yīng)針對(duì)北京市財(cái)政局以及托管在政務(wù)云平臺(tái)的系統(tǒng)、設(shè)備，從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、中間件安全、數(shù)據(jù)安全及備份恢復(fù)等方面每月開(kāi)展安全績(jī)效考核工作。具體考核內(nèi)容參見(jiàn)表：北京市財(cái)政局網(wǎng)絡(luò)安全績(jī)效考核內(nèi)容表。表：北京市財(cái)政局網(wǎng)絡(luò)安全績(jī)效考核內(nèi)容表類型考核內(nèi)容指標(biāo)項(xiàng)指標(biāo)描述考核頻率網(wǎng)絡(luò)安全賬號(hào)管理口令復(fù)雜度口令是否滿足位以上含大寫(xiě)字母、數(shù)字和特殊字符次年登陸失敗設(shè)置是否有登陸失敗處理功能，設(shè)置鎖定次數(shù)次且鎖定時(shí)間分鐘以上次年口令更換周期口令更換周期策略設(shè)置是否滿足三個(gè)月內(nèi)換次次年設(shè)置超時(shí)退出是否設(shè)置分鐘內(nèi)超時(shí)退出次年登陸限制登陸地址限制是否有登陸地址限制次年登陸方式限制是否有登陸方式限制（等）次年日志管理日志記錄功能是否開(kāi)啟日志記錄功能次年保存周期保存周期是否滿足天以上次年日志內(nèi)容是否完整是否包括事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果次年日志防護(hù)是否避免審計(jì)日志未授權(quán)的刪除、修改或覆蓋次年設(shè)備時(shí)鐘(時(shí)鐘)服務(wù)器是否建立(時(shí)鐘)服務(wù)器次年(時(shí)鐘)服務(wù)是否開(kāi)啟(時(shí)鐘)服務(wù)次年訪問(wèn)控制訪問(wèn)控制列表是否設(shè)置（訪問(wèn)控制列表）次年端口是否關(guān)閉默認(rèn)端口和不使用的端口次年非法登陸警告是否設(shè)置設(shè)備的登陸提示信息次年網(wǎng)絡(luò)設(shè)備防護(hù)設(shè)備管理通信協(xié)議設(shè)備管理是否采用加密通信協(xié)議，如、等次年網(wǎng)絡(luò)安全特征庫(kù)是否對(duì)網(wǎng)絡(luò)安全特征庫(kù)進(jìn)行升級(jí)（病毒庫(kù)，惡意代碼庫(kù)等）次年關(guān)閉不使用的網(wǎng)絡(luò)服務(wù)是否關(guān)閉不使用的網(wǎng)絡(luò)服務(wù)，如、等次年備 份配置策略備份是否對(duì)網(wǎng)絡(luò)安全設(shè)備配置策略進(jìn)行備份次年網(wǎng)絡(luò)安全管理協(xié)議配置簡(jiǎn)單網(wǎng)絡(luò)安全協(xié)議是否對(duì)進(jìn)行安全設(shè)置次年主機(jī)安全賬號(hào)管理口令復(fù)雜度口令策略設(shè)置是否滿足位以上含大寫(xiě)字母、數(shù)字和特殊字符次年無(wú)關(guān)賬號(hào)是否刪除或鎖定無(wú)關(guān)賬號(hào)次年缺省賬戶名稱是否使用缺省賬戶名稱次年登陸失敗設(shè)置是否有登陸失敗處理功能，設(shè)置鎖定次數(shù)次且鎖定時(shí)間分鐘以上次年是否配置登陸連接超時(shí)自動(dòng)退出措施次年口令更換周期口令更換周期策略設(shè)置是否滿足三個(gè)月內(nèi)換次次年訪問(wèn)控制權(quán)限管理操作系統(tǒng)和數(shù)據(jù)庫(kù)管理員用戶是否實(shí)現(xiàn)權(quán)限分離次年日志管理日志記錄功能是否開(kāi)啟日志記錄功能次年日志內(nèi)容是否完整是否包括事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果次年保存周期保存周期是否滿足天以上次年日志防護(hù)是否避免審計(jì)日志未授權(quán)的刪除、修改或覆蓋次年病毒防護(hù)及時(shí)更新病毒庫(kù)是否至少在病毒庫(kù)發(fā)布的日內(nèi)及時(shí)更新病毒庫(kù)次年補(bǔ)丁更新及時(shí)更新操作系統(tǒng)補(bǔ)丁是否及時(shí)更新操作系統(tǒng)補(bǔ)丁；重要補(bǔ)丁更新前是否進(jìn)行測(cè)試，并提供回退方案次年網(wǎng)絡(luò)與服務(wù)系統(tǒng)開(kāi)放端口是否存在不使用的系統(tǒng)開(kāi)放端口次年默認(rèn)共享是否關(guān)閉默認(rèn)共享次年啟動(dòng)服務(wù)列表啟動(dòng)服務(wù)列表中是否存在不使用的列表信息次年資源管理登錄地址限制是否對(duì)登錄主機(jī)的用戶設(shè)置了管理員登錄地址，限制非法用戶的登錄次年應(yīng)用安全賬號(hào)管理三員分立是否設(shè)置三員分立（包括系統(tǒng)管理員、安全員和審計(jì)員，且權(quán)限不重疊）次年口令復(fù)雜度系統(tǒng)是否配置密碼復(fù)雜度策略，且口令滿足位以上含大寫(xiě)字母、數(shù)字和特殊字符次年唯一性賬號(hào)是否唯一次年口令更換周期口令更換周期策略設(shè)置是否滿足三個(gè)月內(nèi)換次次年首次登錄強(qiáng)制修改口令是否設(shè)置強(qiáng)制用戶首次登錄時(shí)修改初始口令次年登陸失敗處理是否有登陸失敗處理功能，設(shè)置鎖定次數(shù)次且鎖定時(shí)間分鐘以上次年日志管理日志記錄是否開(kāi)啟日志記錄功能次年保存周期保存周期是否滿足天以上次年日志內(nèi)容是否完整是否包括事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果次年日志防護(hù)是否避免審計(jì)日志未授權(quán)的刪除、修改或覆蓋次年訪問(wèn)控制訪問(wèn)控制是否授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限次年是否及時(shí)刪除或停用多余的、過(guò)期的賬戶，避免共享賬戶的存在次年資源控制限制最大并發(fā)會(huì)話連接數(shù)是否根據(jù)業(yè)務(wù)需求，合理限制系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)次年單用戶多重并發(fā)控制是否限制單個(gè)用戶的多重并發(fā)會(huì)話次年自動(dòng)結(jié)束會(huì)話通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方是否能自動(dòng)結(jié)束會(huì)話次年數(shù)據(jù)安全及備份恢復(fù)賬號(hào)管理無(wú)關(guān)賬號(hào)是否刪除或鎖定無(wú)關(guān)賬號(hào)次年缺省賬戶名稱是否禁止使用缺省賬戶名稱次年口令復(fù)雜度口令是否滿足位以上含大寫(xiě)字母、數(shù)字和特殊字符次年賬號(hào)管理是否禁止數(shù)據(jù)庫(kù)服務(wù)器使用操作系統(tǒng)認(rèn)證以管理員賬號(hào)不輸入密碼情況下登錄次年登陸失敗處理是否有登陸失敗處理功能，設(shè)置鎖定次數(shù)次且鎖定時(shí)間分鐘以上次年禁止遠(yuǎn)程登錄是否通過(guò)相關(guān)操作軟件進(jìn)行遠(yuǎn)程登錄數(shù)據(jù)庫(kù)次年日志防護(hù)是否避免審計(jì)日志未授權(quán)的刪除、修改或覆蓋次年日志管理日志記錄是否開(kāi)啟日志記錄功能次年保存周期保存周期是否滿足天以上次年監(jiān)聽(tīng)端口