序号

项目名称

服务内容

数量/期限

*

安全基础梳理和摸底★

*、主要以管理和技术的手段，通过调研、上机查验等方式，摸清集团在管理制度和安全防护方面的现状、问题，并进行*次漏洞问题排查。

*、出具《重咨集团网络信息和数据安全管理制度清单》《重咨集团制度运行问题及差距清单》；《重咨集团信息化资产清单》《重咨集团应用系统清单》《重咨集团安全防护策略问题清单》；《漏洞扫描报告》、《基线核查报告》、《渗透测试报告》。

*次/年

*

网络与信息安全风险评估★

*、根据《中华人民共和国网络安全法》、等级保护制度要求，以及《信息安全技术 信息安全风险评估方法》（**/* *****-****）等评估标准，对重咨集团进行包括物理安全、人员安全、管理安全、建设安全、运维安全、应用安全等的综合性安全风险评估，以识别集团自身在网络与信息安全管理、建设、运维、运营过程中的脆弱性及面临的风险，对风险进行定级并提出风险处理建议，协助重咨集团建立整改流程、跟踪机制，清晰掌握系统安全整改进度、效果、总体情况。

*、输出《重咨集团网络与信息安全风险评估问题单》、《重咨集团网络与信息安全风险评估报告》。

*次/年

*

数据安全风险评估★

*、根据《中华人民共和国数据安全法》、《****市数据条例》等法律法规和文件要求，对重咨集团本部的数据资产梳理以及重要信息系统进行数据安全风险评估，协助集团对数据资产分类分级管理、全生命周期安全防护等方面的完善，包括但不限于数据安全管理制度完善、数据资产梳理、数据分类分级、数据处理活动分析、数据全生命周期安全性防护分析。

*、输出《重咨集团数据资产清单及分类分级目录》、《重咨集团**系统数据安全风险评估报告》。

*次/年

*

安全加固★

对在安全评估梳理、定期扫描、渗透测试、等保测评、安全检查中发现的漏洞进行安全加固，指导管理员，协助系统建设单位完成加固，并对加固完成情况进行验证把关。输出《重咨集团安全加固报告》。

*次/年

*

定期扫描服务★

*、对重咨集团基础网络单元、安全设备和主要信息系统，每月进行安全扫描。针对发现的安全问题提供整改建议，出具《重咨集团网络安全漏扫报告》。

*、针对扫描发现的安全隐患，协助重咨集团建立整改跟踪机制，规范整改行为，协助整改安全隐患，让集团能清晰掌握系统安全整改进度、效果、总体情况，按季度输出漏扫分析报告《重咨集团**季度漏洞扫描分析报告》。

*次/月，共**次

*

定期渗透服务★

*、按约定周期开展渗透测试服务，对重咨集团重要信息系统，定期进行安全渗透测试。针对发现的安全问题提供整改建议，出具《重咨集团**系统渗透测试报告》。

*、针对渗透发现的安全隐患，协助重咨集团建立整改跟踪机制，规范整改行为，协助整改安全隐患，让重咨集团能清晰掌握系统安全整改进度、效果、总体情况。服务完输出渗透分析报告《重咨集团渗透测试分析报告》。

*次/季度，共*次

*

安全策略优化★

对重要的网络安全设备进行策略核查，根据应用系统的环境对策略进行优化调整，输出《重咨集团策略优化报告》。

*次/年

*

安全监控服务★

*、*年***天*×**小时，至少每隔**分钟*次对重咨集团网站群的网站以及咨采平台网站页面进行安全性、可用性持续监控；有效反馈被监控系统的安全状态，及时发现系统被篡改、被植入恶意代码等、网络故障、服务宕机等安全事件；通过电话实时进行安全事件告警。

*、每半年输出*次监测分析报告《重咨集团网站安全监测分析报告》。

*年

*

安全培训★

*、在服务有效期内提供不少于*次安全培训，并提供培训课件。

*、针对重咨集团全体员工进行网络安全意识培训，提升集团全员网络与信息安全防范意识，不少于*学时。

*、针对重咨集团的技术人员开展进行网络安全涉及的法律法规、政策规定、网络安全防护基础，安全事件处置、安全基线达标、漏洞扫描及渗透测试等方面的培训。培训后运维人员能够掌握基本信息安全知识和工具使用方法，提升运维人员的安全技能，不少于*学时。

*、输出《重咨集团安全培训课件》、《安全培训记录》、《安全培训考查记录》。

*次/年

**

应急预案及演练★

*、协助完善重咨集团的安全应急预案。

*、根据重咨集团要求，制定演练计划，编写网络安全应急演练方案，搭建演练环境，安排技术人员到集团开展现场应急演练，对应急演练存在的不足提出优化建议，协助集团提升应对突发网络安全事件的监控能力和处置能力。

*、输出《重咨集团网络与信息安全应急预案》、《重咨集团网络信息与数据安全总体应急预案框架》、《重咨集团***事件应急演练方案》、《重咨集团应急演练总结》。

*次/年

**

应急响应★

针对外部黑客入侵、数据泄露、木马病毒等突发安全事件时，进行应急响应处理，避免事态恶化。遇到遭遇攻击或网页被篡改等恶性事件，要求*小时内到达现场，实施有效的紧急救援及恢复补救方案。应急响应服务工作完成后，针对此次事件的问题现象、发生原因以及处理过程，预防措施与建议进行总结报告。出具《重咨集团网络安全应急响应报告》。

不限次

**

安全检查服务★

在接受网络安全主管部门检查或上级部门开展网络安全检查期间的自查、差距分析、整改及陪同检查服务、相关工作配合服务。

不限次

**

网络与信息安全专业人员驻场服务★

派遣*位具有多年网络与信息安全行业工作经历的安全服务工程师驻场服务，协助重咨集团开展网络安全、数据安全等相关工作。驻场服务人员需全日制本科及以上学历，安全或计算机相关专业，相关行业工作*年以上，具有网络信息安全相关证书（****或*****或*****），具有相关工作能力。能对集团现有网信数安和商用密码安全性等相关管理制度文件进行修订、完善，并建立*套合规、全面并且符合集团组织机构的安全管理制度体系文件。能结合集团现有业务系统、网络架构、网络和安全策略以及日志进行分析和评估，能找出安全薄弱点，提出符合重咨集团安全需求的网络策略优化建议，并推进网络设备厂商或运维方优化实施。驻场人员工作时间按采购人正常上班时间执行，如遇特殊重大保障，按采购人安排开展工作。根据采购人安排完成相关工作。在服务期内未经采购人同意，驻场人员不得从事与采购人要求的服务内容无关的其他工作或比选申请人随意更换驻场人员。

*人/年