江北区文化旅游委2025年信息系统等保测评及安全服务项目

技术测评：

（ 1）安全物理环境测评（物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护）；

（ 2XX络架构、通信传输、可信验证）；

（ 3）安全区域边界测评（边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证）；

（ 4）安全计算环境测评（身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完X性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护）；

（ 5）X测评（系统管理、审计管理、安全管理、集中管控）。

管理测评：

（ 1）安全管理制度测评（安全策略、管理制度、制定和发布、评审和修订）；

（ 2）安全管理机构测评（岗位设置、人员配备、授权和审批、沟通和合作、审核和检查）；

（ 3）安全管理人员测评（人员录用、人员离岗、安全意识教育和培训、外部人员访问管理）；

（ 4）安全建设管理测评（定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软X实施、测试验收、系统支付、等级测评、服务供应商选择）；

（ 5）安全运维管理测评（环境管理、资产管理、介质管理、设备维护管理、漏X络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理）。

云计算扩展测评：

（ 1）安全物理环境测评（基础设施位置）；

（ 2XX络架构）；

（ 3）安全区域边界测评（访问控制、入侵防范、安全审计）；

（ 4）安全计算环境测评（身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完X性和保密性、数据备份恢复、剩余信息保护）；

（ 5）X测评（集中管控）；

（ 6 ）安全建设管理测评（云服务商选择、供应链管理）；

（ 7 ）安全运维管理测评（云计算环境管理）。

移动互联扩展测评：

（ 1）安全物理环境测评（无线接入点的物理位置）；

（ 2 ）安全区域边界测评（边界防护、访问控制、入侵防范）；

（ 3 ）安全计算环境测评（移动终端管控、移动应用管控）；

（ 4 ）安全建设管理测评（移动应用软件采购、移动应用软件开发）；

（ 5 ）安全运维管理测评（配置管理）。

X扩展测评：

（ 1）安全物理环境测评（感知节点设备物理防护）；

（ 2 ）安全区域边界测评（接入控制、入侵防范）；

（ 3 ）安全计算环境测评（感知X关节点设备安全、抗数据重放、数据融合处理）；

（ 4 ）安全运维管理测评（感知节点管理）。

工业控制系统扩展测评：

（ 1）安全物理环境测评（室外控制设备物理防护）；

（ 2XX络架构、通信传输）

（ 3 ）安全区域边界测评（访问控制、拨号使用控制、无线使用控制）；

（ 4 ）安全计算环境测评（控制设备安全）；

（ 5 ）安全建设管理测评（产品采购和使用、外包软件开发）。

2、应急演练（桌面演练）服务要求

根据实际需求，协助江北 区 文 化 旅 游X络安全应急演练工作，达到以下目的：

（ 1）检验预案。通过开展应急演练，查找应急预案中存在的问题，进而完善应急预案，提高应急预案的实用性和可操作性。

（ 2）完善准备。通过开展应急X络安全事件所需应急队X、物资、装备、技术等方面的准备情况，发现不足及时予以调X补充，做好应急准备工作。

（ 3）锻炼队X。通过开展应急演练，增强演练组织单位、参与单位和人员等对应急预案的熟悉程序，加强配合，提高其应急处置能力。

（ 4）磨合机制。通过开展应急演练，进一步明确相关单位和人员的职责任务，理顺工作关系，完善各关联方之间X离、阻隔、配套应急X络安全风险传导。

（ 5）宣传教育。通过开展应急演练，普及应急X络安全管理的专业化X络安全风险防范意识。

以桌面演练的方式开展应急演练，参演人员针对预设突发事件情景及其后续的发展情景，通过 ppt宣讲、圆桌会议讨论的形式，推演安全事件发生、报送、处理、系统恢复、总结等应急处理步骤，完成应急响应的过程，从而X络安全事件应急处置的能力。

3、安全监测服务要求

为确保江北区文 化 旅 游 委下属事业单位的信息系统安全性和内容合规性，现计划对 “江北X”及下属事业单位图书馆X站”、“江北区图书馆智能化系统”，文化馆X站”，“江北区文化馆数字馆微信小程序”等5个系统进行 实时 安全监测。X站内容安全、技术漏洞及潜在威胁展开，恶意链接检测：通过自动化工具和人工审核相结合的X站中可能存在的恶意链接X站、恶意软件下载页面或其他潜在风险的链接。敏感词监测：利用敏感词库和智X站内容进行全面筛查，确保不存在违反法律法规或社会公序良俗的敏感信息，保障内容的合法性和合规性。 WEB漏洞扫描：X站进行深度扫描，检测是否存在SQL注入、跨站脚本攻击（XSS）、文件包含漏洞、目录遍历等常见WEBX站代码的健壮性和安全性。系X站运行的服务器、中间件及相关依赖组件进行全面漏洞扫描，识别可能存在的系统漏洞或配置缺陷，及时发现并修复潜X站木马检查：通过静态X析和动态监测相结X站文件是否存在被植入木马或恶意脚X站X站钓鱼检测：利用智能算法和X站是否存在被仿冒或钓鱼攻击的风险，及时发现并处理可能的钓鱼页面或域名。监测工作将定期开展，每半年完成一次全面的安全检测，并根据监测结果出具详细的安全监测报告。报告内容将涵盖监测范围、发现的问题、风险评估及X改建议，为江北区文旅委及其下属单位提供科学、系统的安全保障X的稳定运行和内容安全。

4、安全培训要求

对江北区文 化 旅 游 委X络安全培训。

5、安全扫描要求

为提升江北区文 化 旅 游 委及其下属事业单位的信息系统安X的稳定运行和数据安全，现计划对江北区文旅委 “江北区应急广播信息系统”及下属事业单位图书馆X站”、“江北区图书馆智能化系统”，文化馆X站”，“江北区文化馆数字馆微信小程序”等5个系统进行全面的安全检测与评估。本次检测将采用专业的主机漏洞扫描工具，对上述X络安全检查。具体检测内容包括：敏感端口和服务检测：识别系统中可能存在的开放端口及服务，排查是否存在未授权访问或潜在的安全风险。敏感中间件检测：检查系统中使用的中间件版本是否存在已知漏洞或安全隐患，确保中间件的安全性和X站X站进行全面的漏洞扫描，包括SQL注入、跨站脚本攻击（XSS）、文件上传漏洞等常见WEB安全问题的检测。弱口令检查：对系统登录接口进行弱口令检测，确保用户账户和管理员账户的密码强度符合安全标准，防止因弱口令导致的账号被破解风险。检测工作将定期开展，每半年完成一次全面扫描，并根据扫描结果出具详细的安全扫描报告。报告内容将涵盖检测范围、发现的漏洞详情、风险等级评估以及相应的修复建议，为江北区文旅委及其下属单位提供系统性、科学化的安全保障支持。

6、 实施要求：

（ 1 ）供应商在项目服务周期内，需提供相关的安全咨询服务。为采购人提供信息安全规划、方针、策略和管理制度体系咨询服务 ,配合对被检测系统安全加固提供技术指导。

（ 2 ）在服务实施过程中 ,对项目进行规范化管理，确保项目服务质量可控和过程文档完X。

（ 3 ）供应商应加强本项目资料的保密管控，必须针对本项目建立项目纸质、声音、影像、图像、电子等各种形态资料及其载体的保密管控措施，记录资料由生成到销毁X个生命周期内的使用日志，并根据实际工作情况及时对制度进行调X。供应商应加强本项目在用户工作场所使用设备，特别是笔记本电脑、移动存储介质等便携设备使用的保密X络内使用的设备，必须遵守该系统关于终端安全管理、移动存储介质管理等要求。

（ 4 ） 针对服务中发现的的安全问题，供应商需通过专业的技术手段进行合理X析，正确评估风险，协助甲方完成X改工作。

（ 5 X络安全等级保护测评机构管理办法》相关规定： “属于异地测评项目的，测评机构应从项目管理系统中生成测评项目基本情况表，并于测评项目实施前报X络备案公安机关”。属于异地测评项目的,成交供应商应在合同签订前提交审核通过的《测评项目基本情况表》。 如出现不能按时提交或备案不通过的，视为成交供应商不具备签订合同的基本条件，采购人有权按评审排名依序顺延。

（ 6）保障现场迎检工作

供应商应随时保障配合重庆市公安及江北区X络安全和信息化委员会X络安全和信息化委员会办公室等相关单位的现场检查。供X络与信息安全信息通报机制成X络与信息安全X支X通 [X]X络与信息安全信息通报工作规范》之要求，X络安全事件应急处置X络安全应急处置通报工作。（提供证明文件）