第四章服务需求书

第四章服务需求书
一、项目概述
随着博物馆信息化工作不断深入、信息化网络基础设施建设的不断完善，信息化已经成为首都博物馆履行职能、提高服务水平、增强执政能力不可或缺的重要手段。

首都博物馆信息化系统包括办公自动化系统、多媒体影像采集与存储系统、文化遗产管理系统、网站后台管理系统等业务应用系统10余个、硬件设备约150台套、第三方支撑软件10余套，馆内网络终端数量达500余个。

近年来网络安全被提高到国家安全层面，作为市政府重要的文化接待场所、市民休闲中心，首都博物馆的网络和系统安全稳定运行十分重要，这不但需要专业的运维技术手段来保障，更需要专业的服务管理来支撑。

因此，为了保障首都博物馆网络信息资源与系统安全稳定运行，通过安全合规性检查及渗透测试等技术手段来发现首都博物馆信息系统中存在的不确定性风险并及时进行修正，不断巩固、完善和提升系统的可用性和安全性。

二、采购内容
信息部通过技术外包服务项目的开展，将有效地挖掘信息化工作中潜在的安全风险，防范信息安全事件发生，为下一步工作的制定、开展提供合理、准确的数据信息。

开展安全合规性检查及渗透测试服务项目需参照国内相关标准以及国际先进的技术服务，结合信息部的实际情况，完善具有首都博物馆特色的技术服务管理体系；为逐步达到此目的，拟从如下几个方面开展工作：
(一)主机漏洞扫描，通过已知安全漏洞对首都博物馆信息系统所涉及的主机系统、应用系统及数据库系统漏洞进行比对分析，发现操作系统、中间件、数据库、网络系统等存在的漏洞风险，形成漏洞排查报告并提供相应解决方案，保障主机安全稳定运行；(二)安全合规性检查，按照国家网络安全法及等级保护标准要求，结合首都博物馆信息系统现状建立、完善信息系统安全基线，以安全基线为基础对首都博物馆信息系统中的物理环境安全、网络安全、数据安全、信息资产分级化管理、信息安全事件管理、第三方安全管理进行合规性检查，检查结果将记录在首都博物
馆信息系统隐患排查库中，同时给出隐患处置建议及解决方案，为后继采取安全控制措施提供有效
决策依据；协助首都博物馆团队进行后续整改；
（三）渗透测试服务，对首都博物馆业务系统开展一次完整的渗透测试工作，全面挖掘首都博物馆应用系统中存在的潜在风险，发现应用系统最脆弱环节。

提供完善的安全解决方案，并指导研发团队进行整改，协助首都博物馆提升抵御非法攻击的能力，保障应用的安全稳定运行；
（四）建设、完善安全应急管理体系，在现有管理制度体系下协助首都博物馆建立、完善安全事件应急管理体系，应急事件管理流程、完善应急响应预案等，协助首都博物馆完成以此应急演练工作，保障首都博物馆在处理应急事件时能够及时有效采取防护措施；
（五）安全隐患库建设，根据首都博物馆现有整体系统情况制定安全隐患库，建立安全隐患排险机制，加强首都博物馆信息系统安全风险预警能力，对已知隐患做出及时采取应对措施。

（六）软硬件及信息系统安全巡检服务，根据首都博物馆信息系统整体安全状态,服务周期内协助首都博物馆团队完成每季度一次的安全巡检服务工作，加强首都博物馆信息系统安全防控能力，并提交季度、年度安全巡检报告。

三、项目交付
1 .对首都博物馆网络安全开展漏洞扫描后，形成漏洞分析报告。

2 .参照二级或三级等级保护标准、风险评估标准等，建立首都博物馆信息系统安全基线基础。

对首
都博物馆实际使用场景完成安全合规性检查后，形成合规性检查报告。

3 .根据渗透测试结果，形式渗漏测试报告。

4 .协助首都博物馆建立应急事件处置预案、完成应急演练，并形成一套完整的应急处理预案文档。

5 .建立首都博物馆信息系统安全隐患库（电子版）。

6 .每季度执行一次安全巡检，并编制安全巡检报告，年度出具安全巡检总体报告。

7 .工作清单参考附表一。

四、验收与交付方式:
（一）验收方式：专家评审会
（二）项目可交付成果验收标准：
1、本项目验收报告所涉及范围需涵盖合同范围内容全部设备;
2、报告需遵循国家相关要求及标准；
3、文档格式及检查内容需符合等级保护标准要求。

五、服务期：从合同签订日起一年内完成项目工作。