根据国家、省、市的网络安全相关文件精神和相关工作规定，为保障我局门户网站和各信息系统正常运行，做好网络安全监测等安全服务工作，我局计划按单位内控、财务制度采取购买服务的方式委托第三方专业机构开展昆明市水务局网络与信息安全服务工作，按要求编制购买计划如下：

一、预算资金： 12万元以内。

二、预算资金来源：所需经费从2023年部门预算中的水务科技发展经费中支出。

三、工作内容：

通过购买服务方式选聘第三方网络安全服务机构，配合完成市水务局网络安全相关工作，包含网站与信息系统日常安全监测服务、APP安全检测、人员支撑服务、漏洞扫描服务、计算机终端安全检查、网络安全抽查、安全培训、重大活动保障、应急演练及应急处置服务等。安全服务期结束时，对服务期的网络与信息安全服务情况进行总结，编制总结报告，提交相关服务资料。具体购买服务要求如下：

(一)日常网络安全服务

1、网站与信息系统日常监测和网络舆情监测服务

要求网络安全服务机构具备安全运营中心或服务工具；安全运营中心提供SaaS化服务，可实时监测网站及信息系统网络安全问题，包括网页篡改、严重漏洞发现、高风险攻击等监测能力，提供高、中危漏洞详情及整改建议，互联网网络舆情监测等。

服务频率：服务期间实时监测

服务成果：每月1次输出《昆明市水务局网站与信息系统安全监测服务报告》

2、APP安全检测服务

对市水务局（移动河长制APP等）进行漏洞检测，包括权限信息、行为信息、病毒扫描、SDK检测等自身检测；源程序文件安全检测；本地数据存储安全检测；通信数据传输安全检测；身份认证安全检测；内部数据交互安全等。服务单位需具备APP安全检测工具。

服务频率：2次（服务期间）

服务成果：《XX-Android应用安全测评报告》

3、人员支撑服务

配合水务局完成日常网络安全检查过程中的技术支撑及人员配合工作；协助完成网络安全宣传周的宣传布展等工作。负责水务局日常网络安全、数据安全、个人信息、密码保密等相关咨询服务工作。

服务频率：按需。

服务成果：宣传布展、咨询服务、日常人员派驻等资料、记录、台账。

（二）专项网络安全检查服务

1、漏洞扫描服务

按照国家网络安全的相关规定和规范，结合业务系统实际情况，在用户授权允许的前提下，对水务局机关及下属单位的业务系统进行漏洞检查，检查业务系统是否存在安全漏洞，不必要开放的账号、服务、端口、其他相关安全加固建议等。在报告中提出专家级漏洞修复建议，引导并帮助用户修复漏洞。服务报告还包括详细修复情况报告。

服务频率：2次。

服务成果：《XX系统漏扫报告》

2、计算机终端安全检查服务

负责对水务局机关及指定的局属单位所有Windows和国产计算机终端进行文件涉密情况及非法存储等情况进行检查。检查在运行中是否发生违规操作及不符合保密要求的操作行为，并对其检查的终端提出安全改进意见。提供每台终端的检查报告，并进行整改。采用的计算机终端检查工具必须为计算机终端保密检测合格产品名录中的产品。

服务频率：2次。

服务成果：提供实际终端数量的《计算机终端安全检查报告》及检查记录台账等。

3、配合完成水务系统网络安全抽查服务

配合市水务局完成对指定的局属单位或县区水务部门网络安全抽查工作，包括网络安全责任制落实情况，计算机终端安全情况、日常网络安全防护情况及漏洞情况等进行抽查。

服务频率：2次（服务期间）。

服务成果：出具检查报告、协助整改查出的问题、整理相关检查记录台账等。

（三）信息安全培训服务

安排专业技术人员对水务系统干部职工及系统技术人员进行网络与信息安全培训，提高干部职工安全意识和业务水平，加强安全管理。

服务频率：2次（服务期间）。

服务成果：培训相关资料及台账。

（四）重大活动保障服务

提供国家法定节假、全国、省、市两会等重要时事、重要事件等期间进行安全保障服务，提前形成针对重点专项安全保障的完整解决方案，保障信息系统在重要时事期间、重要时间节点安全稳定运行，保障服务结束后提供服务总结等相关材料。

服务频率：按需开展。

服务成果：《XX重保服务方案》《重保服务总结报告》

（五）应急演练服务

1、网络安全应急演练

配合昆明市水务局完成网络与信息安全应急预案的修订完善。根据用户场景、用户关注方向开展应急演练工作，包含制定演练脚本和工作方案。在不影响业务系统正常运行情况下开展年度应急演练工作。

服务频率：2次（服务期间）。

服务成果：《网络安全应急演练总结报告》。

2、网络安全应急处置服务

提供安全事件应急处置服务，全天候紧急响应网络与信息安全事件，包括但不限于病毒爆发、黑客入侵、服务中断或其他影响业务正常运行的网络与信息安全事件，在最短的时间内协助分析事故原因，使系统恢复正常工作。事后提交完整的事故分析报告，提供相关的网络安全建议和配置服务。输出应急响应报告，报告应该包括但不限于事件发生的时间、响应时间、事故原因、影响范围、处理办法、后期加固建议等。（备注：按实际情况开展此项服务，未发生则无需提供）

服务频率：按需开展。

服务效果：《应急响应处置报告》

（六）电子政务外网风险监测服务

通过在线监测平台能够快速发现单位电子政务外网潜在的安全风险和威胁情况，如资产暴露面、漏洞和违规外联等风险，以便采取相应的应对措施，降低安全事件对系统和数据的损害，帮助阻止潜在攻击者的入侵，减少安全事件的发生。服务内容包括：

1.资产暴露面监测：监测接入电子政务外网的资产暴露面情况，包括可访问的系统、应用服务和端口等。

2.漏洞监测：监测接入电子政务外网中的漏洞情况，包括已公开的漏洞、零日漏洞等。

3.弱口令监测：监测接入电子政务外网中的弱口令情况

4.终端安全监测：采集终端管理系统的终端运行数据，包括终端安全体检分数、终端在线情况、病毒库版本情况等；

5.违规外联监测：采集接入电子政务外网的违规外联行为，包括未经授权的访问、通信等。

服务频率：按需提供。

服务成果：按需提供《昆明市水务局电子政务外网综合风险分析报告》

四、服务时间：2023年9月-2024年12月

五、承接标准

（一）承接供应商必须是具有中华人民共和国境内注册的工商营业执照、有效的税务登记证或三证合一的工商营业执照（经营内容符合项目要求的独立法人）。

（二）供应商必须符合《中华人民共和国政府采购法》第二十二条之规定的条件。

（三）具有健全的财务会计制度，提供近两年的财务审计报告，供应商成立时间不足一年的，提供本单位财务报表。

（四）供应商企业信用良好，自行登陆“信用中国”网站（www.creditchina.gov.cn）及中国政府采购网上进行查询，并打印相关信息页面。供应商不得为“信用中国”网站（www.creditchina.gov.cn）中列入失信被执行人和重大税收违法案件当事人名单的供应商，不得为中国政府采购网（www.ccgp.gov.cn）政府采购严重违法失信行为记录名单中被财政部门禁止参加政府采购活动的供应商（处罚决定规定的时间和地域内）。

（五）供应商具有履行合同所必需的设施设备和专业技术能力。

（六）提供网络安全服务方案。

（七）本项目不接受联合体申请。

六、注意事项

请有意承接此项工作的单位于2023年8月4日前提供相关材料到市水务局，公示时间为2023年7月28日-8月3日，联系人及电话：李老师 ********。

昆明市水务局

2023年7月28日