2014-2015年网络信息安全技术服务项目需求书说明书中国移动通信集团广东公司汕头分公司2014年3月 目录一、项目工作内容41、网络安全咨询42、网络维护支持服务43、信息安全支持服务54、IDC业务运维服务5二、项目范围5三、工作要求6（一）网络安全咨询61、协助需求方建立网络和信息安全方面的组织架构及制度62、协助需求方进行网络和信息安全方面的规划设计，并制定安全规划实施计划：63、协助需求方进行安全审计7（二）网络维护支持服务71、数据网络和业务平台设备维护支持72、IT监控系统建设及日常安全监控、巡检73、信息资产档案建设84、配合开展本地网应急演练85、网络技术和信息安全知识培训96、项目建设的安全监理及随工97、安全故障现场支持108、其它网络技术服务相关工作及项目应急服务10（三）信息安全支持服务101、信息系统和网站配置指导及入网安全测试102、信息系统和网站定期风险评估和安全加固103、定期安全监控、安全检查和安全审计114、安全事件响应及应急支持通告115、对业务网站进行渗透测试126、信息安全支撑线安全考核工作配合127、其它信息安全相关技术服务工作及项目应急服务13（四）IDC业务运维服务131、机房管理维护服务142、资源管理143、业务投诉与故障处理服务144、业务拓展支撑服务145、网络安全保障服务156、数据管理服务157、备份、日志、割接158、服务工具要求159、杂项服务16（五）项目总结验收要求16（六）工作环境的保护17（七）安全生产17四、人员要求18五、报告文档规定191、上月工作总结和本月工作计划。192、分析报告193、报告格式19六、项目考核19七、项目时间20附件一：汕头移动网络信息安全技术服务项目考核管理办法20 2014-2015年网络信息安全技术服务项目需求说明书2014-2015年网络信息安全技术服务项目需求说明书从项目的工作内容、项目范围、工作要求、人员要求、报告文档规定、项目考核、项目时间等7方面作相关规定和要求。一、项目工作内容为了进一步提高需求方业务支持中心网络安全管理水平，需求方准备选择高水平的、专业的网络和信息安全服务公司作为合作伙伴，为需求方公司业务支持中心提供网络安全咨询、安全维护及服务支持及安全规划等全方位的网络安全服务。结合上一年度项目开展工作经验和省公司新一年信息安全考核办法要求，继续贯彻安全工作从源头管理的理念，使安全工作贯穿于项目建设的规划、设计、施工及验收各个阶段，彻底改变以往“救火式”的安全管理方式。通过本次项目选型，达到以下目标：1、网络安全咨询（1）协助需求方建立网络和信息安全方面的组织架构及制度（2）协助需求方进行网络和信息安全方面的规划设计，并制定安全规划实施计划（3）协助需求方进行安全审计2、网络维护支持服务（1）数据网络和业务平台设备维护支持（2）IT监控系统建设及日常安全监控、巡检（3）信息资产档案建设（4）配合开展本地网应急演练（5）网络技术和信息安全知识培训（6）项目建设的安全监理及随工（7）安全故障现场支持（8）其它网络技术服务相关工作及项目应急服务3、信息安全支持服务（1）信息系统和网站配置指导及入网安全测试（2）信息系统和网站定期风险评估和安全加固（3）定期安全监控、安全检查和安全审计（4）安全事件响应及应急支持通告（5）对业务网站进行渗透测试（6）信息安全支撑线安全考核工作配合（7）其它信息安全相关技术服务工作及项目应急服务4、IDC业务运维服务（1）机房管理维护服务（2）资源管理（3）业务投诉与故障处理服务（4）业务拓展支撑服务（5）网络安全保障服务（6）数据管理服务（7）备份、日志、割接（8）杂项服务二、项目范围项目范围包括需求方所有由业务支持中心维护的网络、系统及设备，具体包括：MDCN、BOSS、客服网络、服务厅等内部网络平台，和IAP、UAP、电视会议、IDC、SRC/SOC及其它本地系统、其他相关业务支撑系统。各系统平台范围、规模如下：1、数据网络指的是MDCN网络和IDC机房网络，包括：OA网、BOSS网、客服网、服务厅等移动内部网络平台，和信息大楼11楼IDC机房网络平台。2、业务支撑网：主要是本地BOSS网络，包括本地决策分析系统、辅助BOSS系统等应用系统的服务器、接口机等设备以及接入BOSS网络的服务厅生产终端；3、管理信息网：主要是MDCN汕头节点和企业信息网络，包括接入企业信息网的办公终端。4、业务平台、IT应用系统指的是IAP平台（约55台服务器，40个应用）、UAP平台（约80台服务器、50个应用）、DUAP平台（即是DMZ平台，有约25台服务器、15个应用）及SRC资源中心平台（约160台服务器）、SOC安全操作中心等各业务支持平台和在平台上部署的各种应用系统。5、另外：需求方可以让现场服务人员协助进行其它对外支撑服务的信息安全服务。三、工作要求（一）网络安全咨询1、协助需求方建立网络和信息安全方面的组织架构及制度（1）协助需求方制定和完善网络和信息安全的规章制度、工作流程，保障需求方的各项安全工作有章可循，有法可依；同时吸取安全服务公司在其他行业领域建章立制方面的成功经验，作为完善需求方规章制度的参考。（2）协助需求方网络安全各级组织机构开展安全管理工作，包括安全制度的制定及审核、安全事件的响应处理、安全维护工作的组织管理、项目建设的安全审核等；（3）在省公司指导意见的基础上给予参考意见，协助需求方制定和完善《广东移动汕头分公司网络安全管理办法》；（4）协助编写适合移动自身网络特点的安全应急预案及配合实施安全应急演练：1). 针对每个系统的特点编写符合本系统实际情况的安全应急预案；2). 配合系统维护人员定期对本系统进行安全应急演练。2、协助需求方进行网络和信息安全方面的规划设计，并制定安全规划实施计划：（1）根据需求方的业务发展趋势和2014年统一安全部署要求，协助需求方制定2014年度的网络和信息安全规划设计书；根据需求方安全工作的阶段性需求，协助制定需求方阶段性的安全工作计划；（2）根据需求方的网络现状，协助制定年度的网络安全建设计划，为年度申报安全项目投资计划提供参考依据。（3）对每个新入网系统，就网络架构及配置给出合理、具体的规划：1). 对每个新入网系统选用的网络产品、安全产品给出建议；2). 对每个新入网系统采用的系统架构给出安全方面的规划方案（包括内部网络）；3). 配合厂家完成系统内部及与之相连的系统结构图和组网图。3、协助需求方进行安全审计协助需求方定期开展网络安全审计工作，发现其中涉及到的安全问题并总结经验，在下一阶段进行改进。同时，也为需求方的网络安全水平的整体评价提供基础的分析依据。可利用需求方现有日志系统、入侵检测系统等技术手段进行相关的审计工作（二）网络维护支持服务1、数据网络和业务平台设备维护支持需求方业务支持中心网络和业务平台设备维护工作范围广、设备多，涵盖MDCN、BOSS网、客服网、服务厅等多个内部网络平台，和UAP、IDC机房网络平台以及各平台上部署的系统、设备。同时，要求维护工作细致，许多检查工作要求每天进行并有相应记录。根据省公司近年的考核办法要求和需求方的实际需求，服务公司提供的数据网络和业务平台设备维护支持服务工作主要包含以下方面：（1）协助需求方制定各种安全维护作业计划；（2）根据作业计划安排，对各种设备、系统及网络进行维护作业，完成各项日、周、月报表；（3）设备、系统及网络故障处理，解决发现的问题，确保设备、系统及网络工作正常；（4）网络参数优化配置，发现影响网络性能的瓶颈，通过优化网络设备配置参数、关闭一些不必要的协议、采用性能更高效的网络协议，提升网络吞吐能力。在不更换网络设备的前提下，提升网络的处理能力。（5）系统优化配置，发现影响业务系统处理能力的瓶颈，通过优化系统的配置参数，关闭一些不必要的服务及进程，提高系统资源的利用效率，提升系统的处理能力。对服务内容中“数据网络和业务平台设备维护支持”工作除现场服务工程师外，每年必须另派专业网络和安全技术人员进行协助，具体工作由需求方根据实际情况安排，选派安全技术人员必须具备CCIE资质认证，承诺为汕头服务不少于5天/人，2、IT监控系统建设及日常安全监控、巡检通过引进有效的监控手段，结合需求方网管系统及入侵检测、审计等技术手段，提供有效的测试参数，协助需求方建立安全事件监控体系，监控系统维护内容包括并不局限于北塔网管系统、分布式监控系统、接入层管控系统等，主要要求：（1）协助需求方业务支持中心制定IT监控系统维护管理计划，IT监控系统包括IT综合管理平台、接入层自防御平台、分布式监控系统、SOC日志系统和其他各种安全平台。（2）按照IT监控系统维护管理计划执行日常安全监控、巡检。（3）提出合理IT监控系统维护、更新、建设建议，至少每季度提出一项创新建议； （4）发现问题及时报告并跟进处理，及时进行安全响应及故障处理，定期进行事件分析、跟踪解决。包括：?设备异常发包监控；?关键网络设备CPU、内存使用监控；?异常流量监控?重要业务应用情况监控?安全事件监控及预测?定期对安全监控系统情况进行总结报告（5）完成每工作日监控记录登记。3、信息资产档案建设对需求方现有信息资产建立信息安全档案，以保证安全维护工作的连续性和知识积累，为今后的网络维护过程中解决安全问题提供有依据的原始资料。信息资产范围涉及网络设备、系统服务器、办公终端三个大类。档案内容至少包括：（1）设备的基础信息，包括设备所属系统、设备型号、硬件配置、安装的软件信息、设备的安全等级、设备网络连接情况等；（2）新系统的安全基线，记录新系统中的所有设备在接入现有网络时的安全基础状况。包括漏洞存在情况、设备的端口、服务和进程的使用情况等；在系统安全基线发生变化时，也要记录相应的变化；（3）设备的漏洞及修补记录，包括漏洞的发现时间、漏洞的风险级别及修补记录等；（4）设备的配置备份管理，设备配置更新记录登记，设备上架、下架、搬迁记录登记。4、配合开展本地网应急演练根据需求方需求，协助进行本地网络应急演练工作，配合需求方实施网络优化、调整工作。应急演练频率不低于每季度一次，具体演练内容由需求方进行安排。确定演练科目后，安全服务公司协助进行演练方案编写、演练过程记录、演练材料整理。应急演练包括网络核心设备，频率不低于每季度一次。5、网络技术和信息安全知识培训按照需求方相关人员不同知识层次的划分，建立网络和信息安全进阶培训体系：初级、中级、高级；固化一些类型的培训，定期给新员工作岗前培训；根据培训需求拟定专题培训内容，制定具体的培训提纲，协助需求方建设网络和安全相关知识库和考试题库；协助需求方逐步建立一支素质强的网络和安全维护队伍，为提高需求方公司的网络和安全管理水平提供有力的保障。1). 编写网络和安全培训资料，充实知识库, 针对不同个体编写不同类型的培训内容，包括安全事件影响，网络技术、信息安全知识等等内容；2).每季度为需求方公司开展一次现场专业网络技术或信息安全知识培训，培训内容可包括网络安全基础技术、网站信息安全技术、安全管理体系建设、安全规划、项目的安全建设以及日常维护操作等方面；培训需由乙方选派非常现场服务人员，较为专业的培训讲师，培训讲师必须具备相关安全认证资质认证（比如ISO2000 LA、ISO27002 LA、CISP、CISA、CISSP、CCIE等），培训课程根据需求方要求协调安排。3).免费提供专业培训机构网络或信息安全相关资质培训2人次，如CISP/CISSP/CIW/CCNA/CCNP或27001内审员审核员培训；培训时间及课程由需求方自行选择及安排，食宿可由移动公司自行提供。6、项目建设的安全监理及随工为了保证安全建设与项目建设的同步，解决安全建设滞后于项目建设所带来的各种问题，在引入安全服务之后，对于需求方服务范围内的建设项目，增加以下安全控制环节：（1）项目规划阶段的安全规划：在项目规划阶段就考虑项目的网络安全、信息安全规划，确保安全规划工作与项目规划的同步进行。（2）项目设计阶段的安全设计：结合前期的项目规划，由专业的安全服务公司协助需求方进行网络安全、信息安全的设计工作，确保安全设计工作与项目设计的同步进行。（3）项目设计会审阶段的安全审核：在进行项目设计方案会审时，安全服务公司参加项目方案安全审核，确保安全审核与项目会审同步进行。（4）项目实施过程中的安全监理：在项目建设阶段，由安全服务公司对项目建设进行安全监理，确保项目建设过程中的安全的可控性。（5）根据项目需要由需求方安排安全服务公司现场服务人员进行工程随工。（6）项目验收阶段的安全验收：项目验收时，安全服务公司协助需求方完成项目的安全入网检测和验收，以保证项目建设的完整性。7、安全故障现场支持根据需求方发生安全故障情况，提供现场支持解决，并在故障解决后提供相关解决报告。8、其它网络技术服务相关工作及项目应急服务根据安全服务公司能力及经验，提供项目需求书未列明的项目内网络或系统相关服务。包含突击安全检查整改等，可能需提供人员或者其它人员远程协助。（三）信息安全支持服务1、信息系统和网站配置指导及入网安全测试根据需求方需要，提供项目范围之内各信息系统、网络设备和网站的配置指导，结合省公司信息系统部最新的基线配置要求，协助需求方实施配置调整、优化和分析工作。对新入网设备进行安全评估，安全测试，提出安全整改建议并跟进；做好设备、系统入网安全检查记录登记，形成入网安全检查文档资料备查。2、信息系统和网站定期风险评估和安全加固通过安全弱点评估，逐步完善需求方MDCN承载网络内数据类资产的安全信息库，以实现对需求方IP承载网络内所有数据类资产安全状况的全盘掌握。通过软件扫描和安全专家的专业判断，按照省公司最新安全评估报告模板，给出各信息系统和网站的安全评估报告。出具安全加固建议，安全加固方法测试和回退方案。并在此基础上，协助需求方逐步建立安全信息库。（1）定期进行系统层和应用层的风险评估和安全加固。检查工具为绿盟基线扫描系统、绿盟极光扫描系统、启明星辰天镜扫描系统，以上三个扫描软件可由需求方提供，同时技术服务公司需提供绿盟基线扫描设备备机，在扫描任务繁重时，供需求方使用。扫描完成后，由服务公司提供安全漏洞扫描报告，安全加固建议，安全加固方法测试和回退方案。后续安全加固工作，基线和系统层的安全加固由现场安全服务人员实施，应用层的安全加固由现场安全服务人员出检查报告和安全加固建议，由应用系统的开发人员和维护人员进行安全加固。（2）定期进行WEB安全漏洞扫描和安全加固。检查工具IBM Rational AppScan，项目服务期间由技术服务公司提供该扫描系统正版软件为需求方开展WEB安全漏洞扫描。WEB的安全加固由现场安全服务人员出具检查报告和安全加固建议，由应用系统的开发人员和维护人员进行安全加固。（3）其他紧急风险评估和安全加固任务配合协助。3、定期安全监控、安全检查和安全审计（1）、定期安全监控，建立安全预警机制，防患于未然；每天对需求方互联网站点进行安全监控，包括对外部漏洞通报平台定时观察，发现问题实时反应。（2）、根据需求方业务支持中心要求，对中心内部各室各项日常信息安全相关工作进行检查和安全审计（模拟外部安全检查审计及省公司安全巡检方式，对业支中心各室需定期检查项目进行审查）。在评审完毕，应提供《业务支持中心安全检查审计报告》，该报告必需对审计内容情况进行汇报，包括审查结果，建议落实解决情况等。检查内容根据检查要求按不同时间段进行，如：机房日常安全检查（环境、标识、布线）/每天现场服务合作伙伴现场办公环境检查/每天对外服务网站、公网出口互联/每月日常相关制度流程检查/每月SOC常规安全控制业务测试/每周各项安全保密协议签订情况审查/每月帐号密码相关执行情况抽查/每月人员离职相关情况检查/每季度4、安全事件响应及应急支持通告安全事件是指生产网和办公网的计算机或网络设备系统的硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏造成系统不能正常运行，或已经发现的有可能造成上述现象的安全隐患；或是集团、省公司通报的网站、系统安全漏洞隐患。?事件处理响应时间：?安全事故：10分钟?严重安全事件：10分钟?一般安全事件：30分钟?事件处理到场时间：?安全事故：1小时?严重安全事件：2小时?一般安全事件：必要时到场?事件初步处理时间（指受影响的通信或者业务恢复网络通信的状态，不包括系统或数据受到损坏需要从备份介质恢复的工作和时间）?安全事故：3小时?严重安全事件：6小时?一般安全事件：一个工作日?事件最终处理时间：?安全事故：24小时?严重安全事件：24小时?一般安全事件：三个工作日发生严重安全事件，需求方有权要求服务公司提供非现场服务人员提供应急支持服务。服务公司提供的人员必须为具备较高资质的安全专家。?安全支持与通告?主要为对网络流行病毒、MDCN网段出现安全情况进行OA通报?主要网站信息安全情况OA通报。?在对需求方的系统网络结构有较全面的了解后，应发布安全通告时应有针对性地给出具体系统需要注意防攻击、防病毒或需要补丁装载的建议。?重点加强8834.st.gmcc.net网站中安全公告板块的维护，每周提供一份防病毒预警和一份安全宣贯资料。定期在上面更新安全事件，发布网络流行病毒预警相关信息。5、对业务网站进行渗透测试协助需求方开展对外服务网站或者内外网互联网络及服务器渗透测试，要求每季度1次。渗透测试技术服务需要另外选派高级工程师开展工作，渗透测试总时间不低于15天/人。6、信息安全支撑线安全考核工作配合协助需求方开展省公司信息系统部及业务支持中心下发的《信息支撑线考核办法V3.0》相关要求的日常信息安全相关配合工作。协助需求方开展省信息安全保障部下发的新版考核办法中，信息安全部分内容的配合。协助需求方开展互联网接口、对外服务网站等整改的相关工作配合，配合要求包括并不局限如下内容：?按照相关考核办法要求执行检查、扫描、渗透测试、加固、入网安全测试等内容配合?按照相关要求定期提供相关上报报表配合?按照相关要求进行信息安全资料整理7、其它信息安全相关技术服务工作及项目应急服务（1）制定安全事件紧急预案并定期协助需求方公司的网络管理人员进行演习，以提高需求方公司应对安全紧急事故的能力；（2）根据安全服务公司能力及经验，提供项目需求书未列明的项目内信息安全相关服务。包含突击安全检查整改等，可能需远程服务人员或者其它人员远程协助。（四）IDC业务运维服务主要包括以下设备主要设备包括：数量IDC机房列头柜共22个，最多扩展到34个核心出口路由器 Cisco 76092台NIDS 2000B(神州绿盟)2台防火墙 H3C S7503E-S2台核心交换机 Cisco N70102台Cisco VIP接入交换机6台Cisco 普通业务接入交换机18台防火墙H3C F10002台惠普 服务器1台华为接入交换机4台Cisco 运维管理交换机10台KVM2台备件一批用户托管设备（在其他，未上架到IDC机柜）10台左右Cisco3550交换机2台客户服务器25台左右1、机房管理维护服务（1）IDC机房业务管理：1）机房现场人员、物品进出管理； 2）每周现场巡检工作，包括机房环境（温湿度、卫生、物品）、机房设备巡检，形成月底巡检报告；3）7×24小时监视范围内的网络运行情况，主动发现实时监控和设备巡视中的告警，处理故障。（2）网络维护、网络设备维护、客户设备维护：网络、交换机、客户设备的配置及测试，相关故障处理。（3）相关系统维护：系统配置，账号权限管理，系统流程规范。主要是IDC业务管理平台的规范运作。2、资源管理（1）IP地址资源管理：规划记录IP地址使用情况、为客户分配IP地址、规范IP地址的使用。（2）机房资源管理：登记更新硬件设备信息、定期根据机房资源的情况提出扩容建议、做好机柜资源分配、做好综合布线工作。（3）网络资源管理：形成《网络设备明细表》、划分IDC VLAN、IDC端口的分配及管理。（4）IDC资源动态管理：包括动态资源的建设、使用、维护、退网等。（5）备品备件管理：备品备件的进用存登记及定期盘点工作。3、业务投诉与故障处理服务（1） 负责客户7×24小时问题咨询、投诉接单，客户故障处理、为客户提供远程服务等；（2） 及时响应故障、指定时间完成故障处理；（3） 故障处理后的故障监控和观察等；（4） 对于重大报障,15分钟内均能到达现场处理（5） 针对各故障处理提供完善的处理报告文档。4、业务拓展支撑服务（1）负责IDC业务技术方案制定、个性化需求评估、业务开通支持等，支撑业务部门市场开拓；（2）新设备的上架支持与旧设备的下架支持工作。5、网络安全保障服务（1）设备安全：负责设备安全策略配置；（2）网络安全：网络安全评估及优化，做渗透测试、脆弱性评估、安全评估、防病毒、防入侵、防火墙等；（3）应急保障：执行IDC应急保障体系等；应急预案、应急演练、节假日应急保障。6、数据管理服务（1）数据收集，网络信息报送：《网络信息定期报送汇总表》。（2）数据分析处理：1）网络流量质量监控与分析，分析异常数据；2）通过对日常数据的分析，为IDC提供运营分析建议。7、备份、日志、割接（1）对网络数据及日常工作数据备份，日常数据包括操作日志、巡检记录、作业计划、工程文档、设备资料、程序代码等。形成《备份记录登记表》。（2）定期对路由器、交换机、防火墙的告警日志、操作日志进行审计。日志审计的内容包括对重要用户行为、重要系统命令的使用、对用户信息等敏感数据的访问行为进行审计，告警日志的告警信息含义及是否及时处理等。（3）割接是指由于工程施工、业务调整、网络优化、日常维护等原因，对现有网络线路、设备、软件等进行的更换、调整、扩容、搬迁、改造、升版、检修等的专项工作。8、服务工具要求（1）IDC业务运维服务作为需求方接下来重点开展业务，考虑到IDC业务的重要性和运维服务的质量保障要求，技术服务公司须提供信息化运维平台工具，部署在需求方IDC网络平台，用于日常运维服务工作中，确保IDC业务安全稳定运行。（2）技术服务公司在服务期内免费提供下列服务工具部署在IDC网络平台中给需求方使用，服务工具无产权要求，但必须有原厂服务支持；服务期过后，运维平台的数据需保留给需求方，硬件系统可返还给技术服务公司。工具包括：A: 安全扫描工具：漏洞库大于2500种；可扫描的漏洞不小于 30000个；检测范围包括WEB-CGI、FTP、SMTP、RPC、NIS、FINGER等服务攻击检测，SNMP协议漏洞检测，数据库攻击检测，组文件检测，口令文件检测，用户网络配置文件检测，文件修改检测，操作系统补丁版本检测，WEB服务，FTP服务，电子邮件服务，其它网络服务，强力攻击检测，缓冲区溢出检测，路由器配置检测，拒绝服务攻击检测，端口扫描等；支持漏洞验证功能，能够描述漏洞利用过程和风险；漏洞库与CVE、CNCVE和BUGTRAQ标准兼容；支持在线升级功能。B：安全运维管理系统：登记录入功能，能实现资产的登记录入，支持条形码扫描录入；查询功能，能按用户、IP地址、设备名称、厂家等进行组合查询；统计报表功能，能对资产的故障情况、故障率等，按设备名称、厂家、部门等进行统计分析，并自动形成报表；事件登记、分配，能对运维事件进行登记、记录，并分配给具体的现场运维服务人员；事件的分类、查询和统计，事件可按未分配、在处理、已完成等进行状态分类，并提供查询、统计功能。支持知识库管理，对各事件的解决方法和经验可形成知识库，为以后新事件的处理提供参考；能与需求方现有的信息化运维平台工具联动。C：帐号集中管理与审计系统：支持双机热备功能，自动同步账号、审计记录等全部重要数据；支持设备分组管理，部门镶嵌等管理；支持用户自动登录到设备，用户可不必知道设备密码，从而简化管理，提高安全性和保密程度；支持ssh、rdp等加密协议的审计，支持单点登录（SSO）；支持外部认证，支持常见的通用方式，如radius、ldap，windows AD域，支持动态令牌等多种方式。9、杂项服务相关运维杂项服务，包括：（1）客户参观IDC机房的陪同及介绍；（2）各项IDC工作检查准备。（3）提供项目需求书未列明的项目内IDC相关服务。包含突击安全检查整改等，可能需提供人员或者其它人员远程协助。（4）、其他工作要求参考省公司下发的IDC机房、IDC运维相关管理办法、规定执行。（五）项目总结验收要求1、每月应提供安全项目总结报告，报告应对本月开展工作、安全分析、安全建议等安全档案资料的汇总报告，报告需要实际量化数据以及每月运维情况、每月安全情况。2、在安全技术服务项目开展最后一个月，必须对项目进行总结验收，验收报告应包括：项目开展前、后的网络现状调查报告，相关管理文档、巡检记录及分析报表、用户反馈及分析报表，要有前后对比数据、阶段性对比数据等等，更好地量化项目进度、体现项目的效果。（报告内容应符合移动公司要求）（六）工作环境的保护1、对日常维护进行记录的工作文本在固定的地方进行存放，每天将其整理整齐，使工作文本完好整洁。2、保持工作台和办公椅子的整洁，每天离开前对其进行整理摆放，每周星期一对工作台和工作终端进行一次彻底的清洁。3、不得在生产场所进食，进出机房按照规定更换拖鞋。4、安全技术服务公司现场现场服务维护人员在进行维护工作过程中必须遵守需求方相关规定（外来人员管理规定），在日常维护工作中涉及同需求方相关人员协调时一定要保持良好形象、文明用语。 （七）安全生产1、在日常操作维护的工作中，避免对正常运转的设备造成的不良的影响，在执行对网络性能有影响的操作命令时必须经过需求方相关人员的允许, 若由于安全技术服务公司现场服务维护人员的人为原因发生重大生产事故从而对需求方公司造成重大损失的，则事故所发生的一切后果由技术服务公司承担。需求方有权要求技术服务公司赔偿相应的经济损失，并终止合同。2、没经允许不得将内部相关资料外传、拷贝，网络设备的相关参数、性能、指标不得对外泄漏。3、合理操作终端，安全使用设备电源，严禁违反安全用电条例。4、如果发生特殊事故，要完全服从安排、积极配合。5、技术服务人员不能随便进行具有危险性的操作，在操作执行前，必须清楚执行结果并预先了解应急方法。6、在日常维护或者故障处理中发现异常问题一定要及时先上报需求方相关人员。7、在没有需求方相关人员同意下不能随便查询客户资料等相关资料。若需求方相关人员要求协助查一定要做好记录并上报需求方的本项目负责人。四、人员要求1、现场服务：本项目要求配置至少4名（包含4名）专业技术人员，其中1人专职开展IDC运维服务工作；如果遇到突发或紧急工作，需求方有权利要求技术服务公司临时增派人手支援，技术服务公司必须予以配合，最少于两个工作日内到位。2、专业资质：提供的安全技术人员必须具有大学本科以上学历，具备网络及信息安全方面的资质认证（比如CIW、CISP、CCISP、CCNP认证，或更高等级认证），有两年以上网络或信息安全相关工作经历。3、素质要求：具备网络方面（尤其是网络安全）的专业知识，工作能力强，踏实认真。（要求技术服务公司提供具备要求资质人员7人以上，由需求方在提供人员中进行相关考评合格后，选4人为现场服务人员）。如在使用过程中，需求方对现场服务人员不满意，可要求技术服务公司更换相关人员，技术服务公司在收函后10个工作日内必须根据需求方要求做出相应调整。如技术服务公司未能在规定时间内更换人员或者一年内因考核不合格更换人员次数超过2次的，将视为技术服务公司无法满足需求方要求，需求方有权解除合同。4、学历要求：大学本科或以上。5、技术服务公司必须保持人员的稳定性，在合同生效期间，原则上不允许更换现场现场服务人员。由于某些特殊原因确实需要更换人员，技术服务公司必须提前一个月征得需求方书面同意。需求方在收到技术服务公司人员变更申请函后10个工作日内组织对替换人员进行考核；接任现场服务人员在考核通过后至少安排10个工作日进行工作交接，需求方不支付替换人员产生的额外工作量，直至替换人员正常接手现场服务工作并达到需求方要求为止。否则需求方将根据项目考核办法采取相应的处罚措施。6、需求方将采用不定期且无需事先通知技术服务公司考试的方法，针对安全技术服务公司技术人员各方面的实际操作以及相关理论进行考试，被测人数由需求方指定，同一被测人员不能连续2次参加考试，考试成绩与考核挂钩。7、新员工不能执行引起风险的操作，必须经过需求方初步考核通过后才能执行操作简单的指令。同时要求安全技术服务公司技术人员严格带教，经过需求方考试通过以后才能安排正常上班。8、技术服务服务公司应加大对现场服务人员的技术支持力度，并根据需求方需要增派人员协助现场服务人员开展项目工作。9、技术服务公司必须为本项目设立服务总监（姓名： ，身份证号码：）（非现场服务人员），负责项目相关协调、解决、厂家后台支持工作。服务总监每月将现场服务人员报告审核后发送需求方项目负责人。服务总监应至少每季度1次以上参与项目总结会，沟通项目开展情况，协调存在问题及困难。10、技术服务公司需与选派现场服务人员签订的劳动合同复印件提供到需求方人力资源部备案。现场服务人员必须与技术服务公司签订安全保密协议，对日常接触需求方涉及保密信息附带保密相关责任。技术服务公司与需求方签订合作伙伴信息安全承诺书，并制定现场服务人员管理方案。五、报告文档规定1、上月工作总结和本月工作计划。（1）每月在规定的日期以电子文档的形式上报需求方相关专业室。（2）每月支持工作报告具体总结上个月的网络安全工作的开展情况，总结本月的工作完成情况和制定下月的工作计划。（3）《信息支撑线考核办法》《中国移动通信集团广东有限公司2013年安全管理工作考核办法》中信息安全部分相关报表要求。2、分析报告专题分析报告和问题点分析报告内容由需求方相关管理部门规定。3、报告格式计划、总结、分析报告的具体格式按照需求方相关管理部门要求进行编写。六、项目考核1、双方签订网络安全技术服务项目协议的同时，技术服务公司必须与需求方签订《廉政合同》，技术服务公司必须严格遵守需求方的廉政相关规定。若技术服务公司违反《廉政合同》的要求，需求方有权单方面解除技术服务协议，并以书面形式通知技术服务公司解除协议。2、双方签订技术服务协议的同时，技术服务公司必须向需求方出具《安全生产承诺书》，并严格按照需求方的安全规范和流程开展工作，承担相应的安全责任。若技术服务公司违反《安全生产承诺书》，发生安全事故(安全事故包括以下情形：在技术服务工作中发生人员伤亡，需求方的重要资料和信息泄密等)，造成需求方财产损失；经需求方确认后，需求方将根据事故的严重程度对技术服务公司进行惩罚，直至需求方单方面解除技术服务协议。3、若由于技术服务公司人员的人为原因发生重大生产事故，对需求方造成重大损失；需求方有权根据事故造成的所有影响进行评估，并测算、确认经济损失。需求方有权要求技术服务公司赔偿需求方所确认的经济损失。需求方有权单方面解除服务协议，并以书面形式通知技术服务公司解除协议。4、网络信息安全技术服务项目的考核和管理，由需求方每季度进行考核，将每季度技术服务费用的30%作为考核费用，按照季度考核得分情况计算各季度安全服务考核费用：季度安全服务考核费用=考核得分/100×季度考核款。各考核款必须在全部项目工作完成之后，再按照各季度考核结果，一次性进行结算。5、若由于技术服务公司的工作质量问题而影响需求方当月各项KPI考核指标，则技术服务公司当季度的考核分数不得高于70分。需求方有权根据问题影响的程度对技术服务公司进行惩罚，直至解除服务协议。6、为提升现场服务人员的积极性，保证人员的连续性及稳定性，提升现场服务人员对服务的创新精神，要求技术服务公司在原有现场服务人员工资待遇的基础上，拟由技术服务提取项目合同费用3％作为项目现场服务人员创新及突出贡献奖金，现场服务人员奖金分配由需求方根据现场服务人员贡献及创新情况，每半年进行评定分配奖金金额，然后技术服务根据需求方评定结果以项目奖金方式分发给现场服务人员。如果现场服务人员未到奖金分发日期离开者，该现场服务人员将无法分配到本部分项目半年贡献及创新奖金及年终贡献及创新奖金。如果现场服务人员在服务期间无提出创新建议并实施，将无法获取该部分创新奖金。（分配方案将由需求方与技术服务公司现场现场服务团队协商后制定）。具体的考核内容和标准将按照本项目考核管理办法执行。7、双方签订服务协议的同时，技术服务公司必须与需求方签订《安全保密协议》。七、项目时间项目时间初定为：合同正式签订生效起1年。本文的最终解释权归需求方及需求方省公司的最新规定进行项目工作要求的调整。