【正文】 用系統(tǒng)”的專有信息成為公眾信息之日止，我公司對專有信息始終負(fù)有保密責(zé)任。并有對參與本項(xiàng)目服務(wù)人員進(jìn)行教育、宣傳的責(zé)任。. 我公司承諾對我公司的服務(wù)人員負(fù)有連帶責(zé)任，并對本承諾書中約定的保密責(zé)任的任何違反將構(gòu)成違約，我公司愿意承擔(dān)由此引起的違約責(zé)任，彌補(bǔ)北京市財政局因此遭受的全部損失，還應(yīng)向北京市財政局支付合同總價款的違約金。. 名詞解釋本承諾書所稱“北京市財政局應(yīng)用系統(tǒng)”是指：根據(jù)北京市財政局提出的具體工作要求，由各供應(yīng)商派遣的員工來進(jìn)行開發(fā)或維護(hù)的應(yīng)用系統(tǒng)。本承諾書所稱的“專有信息”是指：北京市財政局應(yīng)用系統(tǒng)建設(shè)過程中，所有涉及的商業(yè)秘密、技術(shù)秘密、通信或與該產(chǎn)品相關(guān)的其他信息，無論是書面的、口頭的、圖形的、電磁的或其它任何形式的信息，包括（但不限于）數(shù)據(jù)、模型、樣品、草案、技術(shù)、方法、儀器設(shè)備和其它信息。. 本承諾書自合同簽訂之日起生效，至專有信息成為公眾信息之日起失效。乙方（簽字，蓋公章）： 年 月 日附件二 北京市財政局服務(wù)人員保密承諾書為保證北京市財政局的信息安全不受侵害，作為參加北京市財政局信息化建設(shè)的工作人員，我自愿簽訂本承諾書，接受本承諾書的約束。. 我承諾在參與“北京市財政局信息系統(tǒng)”的建設(shè)、使用、維護(hù)過程中及建設(shè)、使用、維護(hù)工作完畢后，未經(jīng)北京市財政局書面許可，我個人不會將信息系統(tǒng)或該系統(tǒng)的任何“專有信息”帶出允許范圍之外，并且不會在允許范圍之外任何場合運(yùn)行該系統(tǒng)或使用該系統(tǒng)的任何“專有信息”。. 我承諾對“北京市財政局信息系統(tǒng)”的相關(guān)專有信息資料負(fù)有保密責(zé)任。未經(jīng)北京市財政局書面許可，不向任何第三方提供專有信息或由專有信息衍生的信息。. 我承諾自本保密承諾書生效日期起至“北京市財政信息系統(tǒng)”的專有信息成為公眾信息之日止，我對專有信息始終負(fù)有保密責(zé)任。. 我承諾對本承諾書中約定的保密責(zé)任的任何違反將構(gòu)成違約，我愿意承擔(dān)由此引起的違約責(zé)任，彌補(bǔ)北京市財政局因此遭受的全部損失，并支付人民幣拾萬元（小寫：￥，元）的違約金。. 名詞解釋本承諾書所稱“北京市財政局信息系統(tǒng)”是指：根據(jù)北京市財政局提出的具體工作要求，由各供應(yīng)商派遣的員工來進(jìn)行開發(fā)或維護(hù)的計算機(jī)系統(tǒng)（包括軟件系統(tǒng)和硬件系統(tǒng)及北京市財政局為保障“北京市財政局信息系統(tǒng)”正常工作而提供的其它軟、硬件系統(tǒng)）。本承諾書所稱的“專有信息”是指：北京市財政局信息系統(tǒng)建設(shè)過程中，所有涉及的商業(yè)秘密、技術(shù)秘密、通信或與該產(chǎn)品相關(guān)的其他信息，無論是書面的、口頭的、圖形的、電磁的或其它任何形式的信息，包括（但不限于）數(shù)據(jù)、模型、樣品、草案、技術(shù)、方法、儀器設(shè)備和其它信息。. 本承諾書自合同簽訂之日起生效，至專有信息成為公眾信息之日起失效。 乙方（簽字）： 年 月 日附件三 被考核運(yùn)維服務(wù)商一覽表由北京市財政局信息中心統(tǒng)籌、管理，公司協(xié)助北京市財政局開展安全績效考核工作，服務(wù)范圍主要覆蓋目前為北京市財政局提供信息化運(yùn)維服務(wù)的家運(yùn)維服務(wù)商，主要運(yùn)維服務(wù)商列表如下：序號公司名稱。附件四 安全考核內(nèi)容目錄對考核范圍內(nèi)的系統(tǒng)、設(shè)備從賬號管理、登錄限制、日志管理等方面開展績效考核工作，具體考核內(nèi)容參見《考核內(nèi)容表》。附件五 乙方服務(wù)人員序號服務(wù)人姓名學(xué)歷專業(yè)負(fù)責(zé)工作內(nèi)容從事相關(guān)工作年限專家團(tuán)隊(duì):序號服務(wù)人姓名學(xué)歷專業(yè)負(fù)責(zé)工作內(nèi)容從事相關(guān)工作年限乙方項(xiàng)目負(fù)責(zé)人： 電話： 乙方商務(wù)負(fù)責(zé)人： 電話： 乙方（簽字，蓋公章）：年 月 日附件六 項(xiàng)目工作說明書簽訂合同時，甲乙雙方擬定。第四章 服務(wù)內(nèi)容及要求目 錄一、項(xiàng)目概述 （一）項(xiàng)目背景 （二）項(xiàng)目原則 （三）項(xiàng)目依據(jù) 二、項(xiàng)目需求 （一）北京市財政局網(wǎng)絡(luò)安全績效考核 （二）北京市各區(qū)財政局網(wǎng)絡(luò)安全技術(shù)檢查 三、項(xiàng)目服務(wù)內(nèi)容 （一）北京市財政局網(wǎng)絡(luò)安全績效考核 （二）北京市各區(qū)財政局網(wǎng)絡(luò)安全技術(shù)檢查 四、項(xiàng)目驗(yàn)收 五、項(xiàng)目管理 六、保密管理 七、項(xiàng)目服務(wù)期  一、項(xiàng)目概述（一）項(xiàng)目背景隨著電子政務(wù)工程的深入快速發(fā)展，我國各級政府紛紛以網(wǎng)絡(luò)為平臺實(shí)現(xiàn)業(yè)務(wù)自動化辦理，然而信息化在提高工作效率的同時也帶來了嚴(yán)重的安全隱患，近年來政府機(jī)關(guān)重大信息安全事件層出不窮，給信息系統(tǒng)使用單位帶來了不可估量的經(jīng)濟(jì)損失和負(fù)面影響。因此，作為負(fù)責(zé)北京市財政收支、財稅政策、財政監(jiān)督、行政事業(yè)單位國有資產(chǎn)管理工作的市政府組成部門，有必要進(jìn)一步提高北京市財政系統(tǒng)信息安全保障水平。北京市財政局高度重視信息安全工作，在信息化發(fā)展的同時，貫徹落實(shí)國家及北京市各項(xiàng)信息安全法規(guī)要求，建立健全網(wǎng)絡(luò)安全保障體系。根據(jù)《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》（ ）、《北京市財政局信息化管理辦法》（京財信息〔〕號）、《北京市財政局信息化運(yùn)維績效考核管理辦法》（京財信息內(nèi)第號）、《北京市財政局運(yùn)維服務(wù)安全績效考核管理規(guī)程》（京財信息內(nèi)第號），開展北京市財政局安全績效考核工作，檢查各運(yùn)維服務(wù)商負(fù)責(zé)的相關(guān)系統(tǒng)、設(shè)備存在的安全問題，督促各運(yùn)維服務(wù)商的安全自查和整改工作，確保各項(xiàng)信息安全措施得到落實(shí)，提高北京市財政局網(wǎng)絡(luò)安全保護(hù)能力。按照財政系統(tǒng)網(wǎng)絡(luò)安全檢查工作要求，通過對北京市各區(qū)財政局開展網(wǎng)絡(luò)安全技術(shù)檢查工作，全面深入查找安全隱患，提高北京市各區(qū)財政局的網(wǎng)絡(luò)安全管理水平和技術(shù)防護(hù)能力，保障北京市財政系統(tǒng)安全、穩(wěn)定、可持續(xù)發(fā)展。（二）項(xiàng)目原則項(xiàng)目實(shí)施應(yīng)滿足以下原則：1. 符合性原則：符合中辦發(fā)[]號文指出的“積極防御、綜合防范”的方針和等級保護(hù)的原則。2. 標(biāo)準(zhǔn)性原則：項(xiàng)目設(shè)計與實(shí)施應(yīng)依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進(jìn)行。3. 規(guī)范性原則：項(xiàng)目實(shí)施中的過程和文檔，應(yīng)具有很好的規(guī)范性，便于項(xiàng)目的跟蹤和控制。4. 可控性原則：實(shí)施方法和過程需要在雙方認(rèn)可的范圍之內(nèi)，項(xiàng)目進(jìn)度要嚴(yán)格按照項(xiàng)目工作計劃執(zhí)行，保證北京市財政局對工作的可控性。5. 保密原則：對項(xiàng)目實(shí)施中產(chǎn)生的數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進(jìn)行任何侵害北京市財政局的行為。（三）項(xiàng)目依據(jù).關(guān)于轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》的通知（中辦[]號）.《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》 .《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評要求》 .《信息安全事件分類分級指南》 －.《北京市財政局信息化管理辦法》京財信息〔〕號.《北京市財政局信息化運(yùn)維績效考核管理辦法》京財信息內(nèi)第號.《北京市財政局運(yùn)維服務(wù)安全績效考核管理規(guī)程》京財信息內(nèi)第號.《關(guān)于開展財政系統(tǒng)網(wǎng)絡(luò)安全和保密檢查工作的通知》財網(wǎng)信辦〔〕號二、項(xiàng)目需求本項(xiàng)目包括北京市財政局網(wǎng)絡(luò)安全績效考核和北京市各區(qū)財政局網(wǎng)絡(luò)安全技術(shù)檢查兩部分內(nèi)容。（一）北京市財政局網(wǎng)絡(luò)安全績效考核北京市財政局相關(guān)業(yè)務(wù)系統(tǒng)數(shù)量多，用戶數(shù)量龐大，涉及運(yùn)維服務(wù)商數(shù)量眾多，安全管理工作任務(wù)重。對于網(wǎng)絡(luò)安全保護(hù)工作要求較高，需要對各運(yùn)維服務(wù)商的運(yùn)維安全工作進(jìn)行常態(tài)化的跟蹤檢查，通過執(zhí)行績效考核制度，精細(xì)化管理各運(yùn)維服務(wù)廠商，進(jìn)一步提升北京市財政局信息安全管理水平。（二）北京市各區(qū)財政局網(wǎng)絡(luò)安全技術(shù)檢查為建立健全北京市財政系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系，還需提高北京市各區(qū)財政局的網(wǎng)絡(luò)安全技術(shù)防護(hù)水平，保障北京市財政系統(tǒng)安全、穩(wěn)定運(yùn)行。需要以網(wǎng)絡(luò)安全技術(shù)檢查為突破點(diǎn)，監(jiān)督指導(dǎo)各區(qū)財政局推進(jìn)網(wǎng)絡(luò)安全工作，做到“以查促管、以查促建、以查促改”，形成長效機(jī)制，不斷提高整體網(wǎng)絡(luò)安全管理水平和技術(shù)防護(hù)能力。通過對北京市各區(qū)財政局開展網(wǎng)絡(luò)安全技術(shù)檢查工作，為北京市財政局指導(dǎo)北京市各區(qū)財政局開展相關(guān)工作提供依據(jù)。三、項(xiàng)目服務(wù)內(nèi)容（一）北京市財政局網(wǎng)絡(luò)安全績效考核成交商應(yīng)參照北京市財政局現(xiàn)有相關(guān)制度標(biāo)準(zhǔn)，嚴(yán)格按照采購人要求開展網(wǎng)絡(luò)安全績效考核工作。.服務(wù)內(nèi)容成交商應(yīng)針對北京市財政局以及托管在政務(wù)云平臺的系統(tǒng)、設(shè)備，從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、中間件安全、數(shù)據(jù)安全及備份恢復(fù)等方面每月開展安全績效考核工作。具體考核內(nèi)容參見表：北京市財政局網(wǎng)絡(luò)安全績效考核內(nèi)容表。表：北京市財政局網(wǎng)絡(luò)安全績效考核內(nèi)容表類型考核內(nèi)容指標(biāo)項(xiàng)指標(biāo)描述考核頻率網(wǎng)絡(luò)安全賬號管理口令復(fù)雜度口令是否滿足位以上含大寫字母、數(shù)字和特殊字符次年登陸失敗設(shè)置是否有登陸失敗處理功能，設(shè)置鎖定次數(shù)次且鎖定時間分鐘以上次年口令更換周期口令更換周期策略設(shè)置是否滿足三個月內(nèi)換次次年設(shè)置超時退出是否設(shè)置分鐘內(nèi)超時退出次年登陸限制登陸地址限制是否有登陸地址限制次年登陸方式限制是否有登陸方式限制（等）次年日志管理日志記錄功能是否開啟日志記錄功能次年保存周期保存周期是否滿足天以上次年日志內(nèi)容是否完整是否包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果次年日志防護(hù)是否避免審計日志未授權(quán)的刪除、修改或覆蓋次年設(shè)備時鐘(時鐘)服務(wù)器是否建立(時鐘)服務(wù)器次年(時鐘)服務(wù)是否開啟(時鐘)服務(wù)次年訪問控制訪問控制列表是否設(shè)置（訪問控制列表）次年端口是否關(guān)閉默認(rèn)端口和不使用的端口次年非法登陸警告是否設(shè)置設(shè)備的登陸提示信息次年網(wǎng)絡(luò)設(shè)備防護(hù)設(shè)備管理通信協(xié)議設(shè)備管理是否采用加密通信協(xié)議，如、等次年網(wǎng)絡(luò)安全特征庫是否對網(wǎng)絡(luò)安全特征庫進(jìn)行升級（病毒庫，惡意代碼庫等）次年關(guān)閉不使用的網(wǎng)絡(luò)服務(wù)是否關(guān)閉不使用的網(wǎng)絡(luò)服務(wù)，如、等次年備 份配置策略備份是否對網(wǎng)絡(luò)安全設(shè)備配置策略進(jìn)行備份次年網(wǎng)絡(luò)安全管理協(xié)議配置簡單網(wǎng)絡(luò)安全協(xié)議是否對進(jìn)行安全設(shè)置次年主機(jī)安全賬號管理口令復(fù)雜度口令策略設(shè)置是否滿足位以上含大寫字母、數(shù)字和特殊字符次年無關(guān)賬號是否刪除或鎖定無關(guān)賬號次年缺省賬戶名稱是否使用缺省賬戶名稱次年登陸失敗設(shè)置是否有登陸失敗處理功能，設(shè)置鎖定次數(shù)次且鎖定時間分鐘以上次年是否配置登陸連接超時自動退出措施次年口令更換周期口令更換周期策略設(shè)置是否滿足三個月內(nèi)換次次年訪問控制權(quán)限管理操作系統(tǒng)和數(shù)據(jù)庫管理員用戶是否實(shí)現(xiàn)權(quán)限分離次年日志管理日志記錄功能是否開啟日志記錄功能次年日志內(nèi)容是否完整是否包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果次年保存周期保存周期是否滿足天以上次年日志防護(hù)是否避免審計日志未授權(quán)的刪除、修改或覆蓋次年病毒防護(hù)及時更新病毒庫是否至少在病毒庫發(fā)布的日內(nèi)及時更新病毒庫次年補(bǔ)丁更新及時更新操作系統(tǒng)補(bǔ)丁是否及時更新操作系統(tǒng)補(bǔ)丁；重要補(bǔ)丁更新前是否進(jìn)行測試，并提供回退方案次年網(wǎng)絡(luò)與服務(wù)系統(tǒng)開放端口是否存在不使用的系統(tǒng)開放端口次年默認(rèn)共享是否關(guān)閉默認(rèn)共享次年啟動服務(wù)列表啟動服務(wù)列表中是否存在不使用的列表信息次年資源管理登錄地址限制是否對登錄主機(jī)的用戶設(shè)置了管理員登錄地址，限制非法用戶的登錄次年應(yīng)用安全賬號管理三員分立是否設(shè)置三員分立（包括系統(tǒng)管理員、安全員和審計員，且權(quán)限不重疊）次年口令復(fù)雜度系統(tǒng)是否配置密碼復(fù)雜度策略，且口令滿足位以上含大寫字母、數(shù)字和特殊字符次年唯一性賬號是否唯一次年口令更換周期口令更換周期策略設(shè)置是否滿足三個月內(nèi)換次次年首次登錄強(qiáng)制修改口令是否設(shè)置強(qiáng)制用戶首次登錄時修改初始口令次年登陸失敗處理是否有登陸失敗處理功能，設(shè)置鎖定次數(shù)次且鎖定時間分鐘以上次年日志管理日志記錄是否開啟日志記錄功能次年保存周期保存周期是否滿足天以上次年日志內(nèi)容是否完整是否包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果次年日志防護(hù)是否避免審計日志未授權(quán)的刪除、修改或覆蓋次年訪問控制訪問控制是否授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限次年是否及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在次年資源控制限制最大并發(fā)會話連接數(shù)是否根據(jù)業(yè)務(wù)需求，合理限制系統(tǒng)的最大并發(fā)會話連接數(shù)次年單用戶多重并發(fā)控制是否限制單個用戶的多重并發(fā)會話次年自動結(jié)束會話通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方是否能自動結(jié)束會話次年數(shù)據(jù)安全及備份恢復(fù)賬號管理無關(guān)賬號是否刪除或鎖定無關(guān)賬號次年缺省賬戶名稱是否禁止使用缺省賬戶名稱次年口令復(fù)雜度口令是否滿足位以上含大寫字母、數(shù)字和特殊字符次年賬號管理是否禁止數(shù)據(jù)庫服務(wù)器使用操作系統(tǒng)認(rèn)證以管理員賬號不輸入密碼情況下登錄次年登陸失敗處理是否有登陸失敗處理功能，設(shè)置鎖定次數(shù)次且鎖定時間分鐘以上次年禁止遠(yuǎn)程登錄是否通過相關(guān)操作軟件進(jìn)行遠(yuǎn)程登錄數(shù)據(jù)庫次年日志防護(hù)是否避免審計日志未授權(quán)的刪除、修改或覆蓋次年日志管理日志記錄是否開啟日志記錄功能次年保存周期保存周期是否滿足天以上次年監(jiān)聽端口