某司法局信息化系统运维服务项目实施方案（IT 运行维护招标方案）

本项目信息化系统运维服务项目工作主要包括六大板块：初始化服务、现货产品运维服务、软件运维服务、安全运维服务、等级保护测评服务、密码应用测评服务。运维范围包含市纪委监委驻市司法局纪检监察组的全部软、硬件，供应商还应提供驻场维保及重大活动节假日现场保障工作。

初始化服务。全面深入了解重庆市司法局各设备系统情况，对其使用状况和运行情况进行初始化分析，形成初始化报告。
现货产品运维服务。主要包括机房及设备运维、网络及线路运维、终端运维、会议运维等现货信息化产品的运行维护服务。
软件运维服务。主要是对市局正在运行的软件系统进行数据维护、系统优化、运行监测及故障排除、完成应用涉及的数据资源编目、归集、治理和共享等服务。
安全运维服务。渗透测试、漏洞扫描、漏洞修复、网站实时安全监测、安全事件应急响应、安全加固、安全巡检、规则库及软件版本升级、安全意识培训、APP 安全测试、安全问题通报及解决等服务。
等级保护测评服务。为落实《网络安全法》和符合相应网络安全等级保护标准，持续完善技术防护措施、安全管理制度及网络安全防护体系，通过对指定的信息系统进行网络安全等级保护测评，找出问题，针对性的制定整改措施。针对服务中发现的的安全问题，供应商需通过专业的技术手段进行合理分析，正确评估风险，协助完成整改工作，确保被测系统达到安全保护相应能力的要求，最终出具符合性等级保护测评报告。
密码应用测评服务。商用密码应用安全性评估的目的是通过信息系统在密码技术应用要求、密钥管理及安全管理等方面的测评，对这些信息系统的密码应用情况与其相应级别的密码应用要求进行差距分析和测评，深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，测评结果作为进一步完善系统密码应用及安全保障的依据，最终出具密码应用测评报告。

本文摘取自该项目之公开招标文件，项目服务期限为一年，金额 128 万元。分享在此仅供学习交流！

1. 信息系统运维初始化

全面深入了解 xx 司法局各设备系统情况（包含本篇“1.2 主要现货产品清单和 1.3 主要软件清单”），对设备系统的使用状况和运行情况进行初始化分析，形成初始化报告，需采购人签字认可。初始化报告至少包含以下内容：

对运维清单内的设备进行梳理，并登记造册，标明设备名称、型号规格、编号、制造厂家、出厂日期、安装位置、安装方式、接口信息、使用部门、设备维护保管员、CPU 初始利用率、内存初始利用率、硬盘初始利用率、IP 地址等基础信息，以便后期运维快速定位设备。
对运维清单内的软件进行梳理，并登记造册，标明软件名称、软件功能、使用部门、使用范围、维护保管员、CPU 初始利用率、内存初始利用率、硬盘初始利用率、IP 地址等基础信息。
对运维清单内所有安全设备进行梳理，检查安全策略设置以及日志。
主要硬件设备的重要性能、关键技术指标及技术资料。
对司法局的整体网络架构进行梳理，形成网络拓扑图，以便后期运维快速定位问题所在。
设备和线缆的明确标识。
设备和线缆的平面布置图、连线图、管道图、功能图、系统图等。
硬件设备和软件的操作规程、维护规程、故障诊断和处置流程图等。
编制《XXX 司法局运维工单》、《XXX 司法局设备巡检报告》、《XXX 司法局机房巡检报告》、《XXX 司法局机房进出登记表》、《XXX 司法局视频会议登记表》等模板。供应商应在合同签订后 3 个日历日内提供初始化报告，需采购人签字认可。

2. 信息系统现货产品运维

现货产品运维服务主要包括机房及设备运维、网络及线路运维、终端运维、视频会议运维等，运维具体内容如下：

运维范围包括司法局机关大楼中心机房、网络机房、大会议室设备间、小会议室设备间、指挥中心设备间、五楼三号会议室设备间、四号楼机房、UPS 机房、土星办公区机房、水土市局相关机房等：

供应商应在服务期间每周提供 1 次机房及设备现场巡检服务，包括：巡检门禁系统、 UPS 系统、消防系统、空调系统、机房所有网络设备运行状态及参数，填写巡检记录表，如发现问题及时上报。
供应商负责服务期间中心机房精密空调和 UPS 机房 UPS 系统所有零部件的更换，维修。并定期清理机房环境卫生清洁。保障 XXX 司法局机房运行安全稳定。
供应商应在服务期间随时与水土机房保持联系，监测机房设备运行状态，实时报告故障，并提供每月 1 次水土机房现场巡检服务。
完成该项工作后交付《XXX 司法局机房巡检报告》、《XXX 司法局机房进出登记表》。

2.1 机房及设备运维工作

2.2 网络及线路运维工作

供应商应在服务期间做好 XXX 司法行政网络规划、调整和优化工作，指导并帮助重庆区县司法局网络规划建设工作，以及保障市司法局机关互联网（含 WIFI）、电子政务外网、电子政务内网网络畅通。
根据网络系统的重要性，提供工作日上班时间的技术驻场服务，特殊保障时期，提供 7*24 小时级别的不间断技术服务，使网络系统的可用性不小于 99.9%。服务内容包括网络设备巡检、网络配置调整与优化、网络故障处理等服务。定期巡检的周期是每月至少 1 次，每月对所运维的网络设备进行一次全面巡检，并在每月运行维护月报中提交巡检报告。
供应商应提供小规模的布线服务，布线相关的所有工具和材料由供应商自行提供。
完成该项工作后交付《XXX 司法局设备巡检报告》；

2.3 终端运维工作

供应商应在服务期间提供 XXX 司法局办公终端设备维修及技术支持服务，保障终端设备的安全稳定。终端硬件维护包括：计算机硬件设备的维护、安装、故障检测及排除；终端平板以及平板上系统及软件；电话安装及故障排除；打印机、复印机、传真机的安装调试及维修；指挥中心视频点名设备维护；机关大楼无纸化会议保障；机关大楼及车库监控设备的维护和故障处理。终端软件及技术支持维护：按照需求，对操作系统及相关的应用软件和业务系统进行安装、调试、管理、更新、升级、故障检测及排除，保证终端设备正常运行。
供应商对 XXX 司法局办公网络中终端防病毒软件、操作系统、办公软件等进行安全运维工作，发现终端设备存在的安全隐患，通过策略加固、补丁修复、病毒处理、终端安全检查等措施，保障 XXX 司法局办公网络中用户终端设备的安全稳定运行。
供应商应根据正版化和国产化相关通知要求，对 XXX 司法局办公电脑开展软件正版化和国产替代化检查，配合做好迎接软件正版化和国产替代化检查工作，定期对全局办公电脑进行软件正版化和国产替代化巡检工作，并编写与更新台帐，便于 XXX 司法局及时掌握软件使用和设备国产化的详细情况。
完成该项工作后交付《XXX 司法局运维工单》。

2.4 视频会议运维工作

供应商应在服务期内安排专人对 XXX 司法局召开、参与的视频会议和无纸化会议进行全程保障，并按要求对视频会议过程录音、录像。
供应商应定期对视频会议设备和无纸化会议设备进行巡检，形成巡检记录，发现故障应及时提出解决方案，并在最短时间内修复，不能影响视频会议的召开。
完成该项工作后交付《XXX 司法局视频会议登记表》、《XXX 司法局设备巡检报告》。

3. 信息系统软件运维服务

供应商在服务期间应做好 XXX 司法局所有在用业务系统的运维工作，包括但不限于以下：

供应商在服务期间协助做好 XXX 司法局内部业务（公共法律服务）平台相关系统的故障处理工作，并与对应的开发公司做好沟通协调工作，具体包括：司法法治宣传管理、司法鉴定管理、法律援助信息管理、律师业务管理、人民调解、远程探视、公证业务管理、法律职业资格考试、基层法律服务、规范性文件工作、行政复议工作和重庆法网门户网站等子系统或功能板块，协助实现法律援助、律师管理、公证、基层法律服务、司法鉴定、人民调解、行政审批、远程探视等业务网上咨询、办理，网上找律师、办公证、求法援、寻鉴定、要调解等功能，推动公共法律服务标准化、精准化、快捷化。以服务民众为原则，充分运用数据分析和互联网技术，有效整合司法行政各项法律服务资源，对接渝快办等政务平台，规范公共法律服务业务，促进行为规范、程序严密、运行公开、结果公正、监督有力，以标准化、便捷化、平台化、协同化公共法律服务提升群众满意度。
供应商在服务期间协助做好 XXX 司法局内部综合管理平台相关系统的故障处理工作，并与对应的开发公司做好沟通协调工作，具体包括：执法监督管理与信息服务、智慧立法平台、法治政府决策支持、法治政府评价体系、行政执法人员信息管理、法治政府基础数据管理、政务外网工作门户、互联网执法监督门户、法律法规检索、社区矫正管理、学法考试，办公自动化、信访管理信息、车辆管理、档案管理，应急指挥、司法行政监控视频联网、短信平台、基础支撑平台、数据管理、大数据分析等子系统或功能板块，具有各类信息展示、发布及管理，待办任务及通知在工作台统一处理，相关系统数据概览，通讯工具，可进行私人和多人聊天、文件传送，待办任务提醒，数字机关业务办理，提供应用统一入口等功能。实现行政立法、行政执法协调监督等业务网上咨询、案件受理、业务办理等基础功能，为法治政府建设提供决策支持服务等。
供应商在服务期间应做好 XXX 司法局其他在用软件系统的运维工作，做到数据维护、系统优化、系统运行监测及故障排除，包括但不限于：司法部视频点名系统、DNS 服务、FTP 服务、即时通讯服务等。
供应商在服务期间应做好重庆司法局内部业务（公共法律服务）平台、XXX 司法局内部综合管理平台两个已建成应用的相关维护，包括负责应用所涉及的城市体征指标、事件接入三级治理中心等，确保应用持续稳定运行，运行质效达到数字重庆建设有关要求，完成应用涉及的数据资源编目、归集、治理和共享有关工作。
供应商在服务期间应做好重庆司法局新建系统的相关技术支持工作，主要是做好新建应用所涉及的有关技术支持事项。
完成该项工作后交付《XXX 司法局运维工单》。

4. 信息系统安全运维服务

安全运维服务工作包括渗透测试、漏洞扫描、漏洞修复、网站实时安全监测、安全事件应急响应、安全加固、日常巡检、规则库及软件版本升级、安全意识培训、APP 安全测试、安全问题通报及解决等项安全运维服务，具体要求如下：

渗透测试：服务期内对所有在建和已建系统进行渗透测试，发现安全漏洞，提出整改建议；在用户的授权和监督下，利用已掌握的漏洞信息，针对核心业务系统开展非破坏性的模拟黑客攻击测试，发现漏洞不进行破坏，并协助用户进行修复，修复后进行复测，以确认漏洞是否被完全修复。
完成该项工作后交付：《XXX 司法局渗透测试报告》；频率：每年 4 次。
漏洞扫描：服务期内对全网主机及安全设备进行全面的漏洞扫描，及时发现安全隐患；主机扫描目标系统；关注端口、服务开启情况，补丁更新情况；应用系统扫描+验证：现场工具扫描，第三方扫描平台远程扫描，关注应用系统漏洞，SQL 注入、任意文件上传、敏感信息泄露等。
每季度交付：《XXX 司法局漏洞扫描报告》；频率：每季度 1 次。
漏洞修复：根据漏洞扫描情况，结合主机实际情况，评估修复必要性经用户确认后 24 小时内进行修复。
网站实时安全监测：服务期内对互联网的 XXX 公共法律服务网网站进行实时监测，流量分析、应用防护、横向发现，策略是否有效，运行状态是否正常；对电子政务外网的市司法局门户网站进行定期安全检查，每半年 1 次。
完成该项工作后交付：《XXX 司法局网站监测报告》。
安全事件应急响应：针对安全事件提供应急响应服务；在用户发生确切的安全事件时，应急响应实施人员及时采取行动限制事件扩散和影响的范围，限制潜在的损失与破坏服务基础上，实施人员协助客户检查所有受影响的系统，在准确判断安全事件原因的基础上，提出基于安全事件整体安全解决方案，排除系统安全风险并协助追查事件来源、提出解决方案、协助后续处置。
完成该项工作后交付：《XXX 司法局应急响应报告》。
安全加固：服务期内不定期根据安全服务情况提供主机安全加固服务，对新增主机系统提供安全加固服务。
日常巡检：提供安全设备、主机系统的日常巡检工作，频率不低于每周 1 次。
规则库及软件版本升级：提供现有安全设备的规则库及软件版本升级（产品需在服务期内）。
安全意识培训：服务期内培训采购人 4 名人员通过工业和信息化部人才交流中心 UOS 系列工程师认证中级或以上，并获得认证证书。
完成该项工作后交付：认证证书。
APP 安全测试：APP 安全评估主要针对 APP 客户端漏洞和对应的 APP 服务端进行安全测试。其中客户端的安全测试包括手机 APP 自身出现的漏洞和手机 APP 所调用的系统组件漏洞。服务端的安全测试包括传输安全测试和服务端应用安全测试。该项工作后交付：《XXX 司法局 APP 安全测试报告》；频率：每年 1 次，当 APP 有大版本更新时，更新 1 次测试 1 次。
安全问题通报：定期以邮件或当面沟通形式向用户通告业内安全态势、重大舆情信息、重要系统漏洞及补丁信息等；对于紧急重大类漏洞信息，以最快时间通过邮件或电话向客户告知漏洞危害、影响范围及应对方案等（完成工作后交付《XXX 司法局漏洞通报》）。
供应商应每月一次对安全服务对象进行巡检，主要对网络和安全状态及防护措施是否合规、到位，安全设施是否有效进行检查、验证并提出巡检报告和改进措施。
供应商应使用专业检测工具和分析技术对关键网络设备、安全设备及服务器进行漏洞扫描，发现设备存在的脆弱点及服务器操作系统等存在的漏洞，扫描结束后汇总分析，评估漏洞风险程度，形成安全扫描报告。
供应商应针对服务器、网络设备及安全设备，采用工具扫描和手工检查相结合的方式对配置缺陷、漏洞等进行检查，以发现在主机、应用等层面存在的安全隐患，通过专业化的技术分析，帮助用户了解自身信息系统的脆弱性，并以脆弱性检测和漏洞扫描结果为依据，针对服务器操作系统、网络及安全设备层面等进行安全策略调整和优化，提高网络安全防护能力。
供应商应对关键网络和安全设备授权记录访问及设备本身产生的日志信息，定期登录查看并导出设备日志，发现潜在威胁和未知入侵行为，帮助信息化主管部门掌握系统和设备运行状态，了解相关安全情况。
供应商应该根据用户实际需求进行相关虚拟资源的申请，删除及配置变更工作，涉及虚拟机创建、删除、网络、安全设备提供策略配置、安全性配置的技术支持。
供应商应在主管单位、XXX 网信办、公安局等单位进行安全检查时，提供检查技术支持服务，并配合编写相关材料和提供必要咨询服务，以推进信息安全检查工作的顺利开展。
供应商应依据国家和 XXX 相关安全检查要求，开展网络安全自查、参与网络攻防演练，并配合做好信息安全制度、安全防护工作、应急响应机制建设、安全教育开展情况等工作。
供应商应依据国家和 XXX 相关安全检查要求，开展网络安全自查、参与网络攻防演练，并配合做好信息安全制度、安全防护工作、应急响应机制建设、安全教育开展情况等工作。
供应商应保障态势安全感知平台的可用性，提供本次运维期间原厂对态势安全感知平台的升级服务，并提供该平台原厂商售后服务承诺函；完成时间：签订合同后 10 个工作日内完成升级服务的采购。

5. 信息系统等保测评服务

测评目标：为落实《网络安全法》和符合相应网络安全等级保护标准，持续完善技术防护措施、安全管理制度及网络安全防护体系，因此通过对指定的信息系统进行网络安全等级保护测评，找出问题，针对性的制定整改措施。针对服务中发现的的安全问题，供应商需通过专业的技术手段进行合理分析，正确评估风险，协助完成整改工作，确保被测系统达到安全保护相应能力的要求，最终出具符合性等级保护测评报告。

测评依据：《中华人民共和国网络安全法》、《GB/T 17859-1999 计算机信息系统安全保护等级划分准则》、《信息安全等级保护管理办法》（公通字[2007]43 号）、《GB/T 22240-2020 信息安全技术信息系统安全等级保护定级指南》、《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》、《GB/T 28448-2019 信息安全技术网络安全等级保护测评要求》、《GB/T 28449-2018 信息安全技术网络安全等级保护测评过程指南》

测评内容：根据《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》和《GB/T 28448-2019 信息安全技术网络安全等级保护测评要求》等相关文件及标准要求，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等十个方面进行测评，在服务实施过程中,对项目进行规范化管理，确保项目服务质量可控和过程文档完整，对本次中存在问题需为采购人提供信息安全规划、方针、策略和管理制度体系咨询服务,配合对被检测系统安全加固提供技术指导。

等保测评内容需包括技术和管理测评两个层面：

5.1 技术测评

安全物理环境测评（物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护）；
安全通信网络测评（网络架构、通信传输、可信验证）；
安全区域边界测评（边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证）；
安全计算环境测评（身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护）；
安全管理中心测评（系统管理、审计管理、安全管理、集中管控）。

5.2 管理测评

安全管理制度测评（安全策略、管理制度、制定和发布、评审和修订）；
安全管理机构测评（岗位设置、人员配备、授权和审批、沟通和合作、审核和检查）；
安全管理人员测评（人员录用、人员离岗、安全意识教育和培训、外部人员访问管理）；
安全建设管理测评（定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统支付、等级测评、服务供应商选择）；
安全运维管理测评（环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理）。

5.3 服务承诺

供应商应提供与具备网络安全等级保护测评资质的单位签署的合作协议及服务承诺函，格式自拟并加盖资质单位公章，应提供资质单位的《网络安全服务认证证书等级保护测评服务认证》复印件加盖资质单位公章。

完成该项工作后交付：《网络安全等级保护测评报告》；完成时间：签订合同后 6 个月内完成。

6. 信息系统应用密码评测

测评目标：商用密码应用安全性评估的目的是通过信息系统在密码技术应用要求、密钥管理及安全管理等方面的测评，对这些信息系统的密码应用情况与其相应级别的密码应用要求进行差距分析和测评，深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，测评结果作为进一步完善系统密码应用及安全保障的依据。

测评依据：GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》、GB/T 43206-2023《信息安全技术信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》、《商用密码应用安全性评估量化评估规则》、《信息系统密码应用高风险判定指引》等国家标准和规范。

测评内容：商用密码应用安全性评估评估内容包括但不限于以下内容：