广西壮族自治区体育局关于2022年网络安全检查服务的询价函

 1

2022年网络安全检查服务

1项

一、总的要求

依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）等相关标准的要求，协助广西体育局开展“2022年网络安全检查服务项目”相关工作。

二、主要工作内容

（一）检查的对象

自治区体育局及直属单位（共5家），自建运行和维护管理以及委托其他机构运行和维护管理的办公系统、重要业务系统、网站系统。涉及国家秘密的信息系统，按照国家相关规定执行，不纳入本次检查范围。

（二）检查的内容

协助自治区体育局进行网络安全检查工作的前期准备，出具安全检查明细方案，明确检查各项内容和具体技术指标，针对向被选取的抽查单位提供必要的安全服务检查，并提供咨询服务。包括如下两方面：

1. 安全管理制度检查

通过访谈、材料核查等方式检查党委（党组）网络安全工作责任制工作指标落实的相关情况，主要包括建立网络安全工作责任制、完善网络安全管理制度、当前网络安全状况、外包系统管理情况、网络安全宣传教育培训、网络安全事件、应急演练、供应链安全等。

2.安全技术措施检查

（1）漏洞检查：使用漏洞扫描工具对服务器、终端、网络设备、安全设备的操作系统、数据库管理系统、应用系统中间件等进行扫描，发现其存在的高危风险漏洞，必要时进行手工验证。（2）

配置检查：对服务器、网络设备、安全设备等关键设备每种类型选取1~2台进行技术检查。

（3）技术防护措施检查：检查是否采取技术措施防范计算机病毒和网络攻击、网络侵入、攻击电子邮箱等危害网络安全行为；是否有技术措施监测、记录网络运行状态、网络安全事件，网络日志留存是否少于六个月；是否采取数据分类、重要数据备份和加密认证等措施。

（4）渗透测试：检查期间，从外部网络和内部网络对抽取的信息系统进行渗透测试，以攻击者的角度对信息系统的安全性进行测试等。

（5）木马和勒索病毒检测：使用木马、勒索病毒检测工具，对终端计算机、服务器等进行安全检测，检查系统中是否存在被木马和勒索病毒感染的情况。

（6）入侵痕迹检查：对服务器、网络设备、安全设备、应用系统的日志进行抽样检查和关联分析，检查应用系统的关键文件，检查系统是否存在被入侵的痕迹。抽样检查工作电子邮箱和连接互联网的办公计算机。

（三）检查的方法

1. 资料查阅。对被抽查单位的信息系统相关文档资料进行查阅， 对重要数据进行分析和记录。

2. 人员访谈。与被抽查单位相关管理和技术人员进行交流，了解掌握有关情况。

3. 实地查看。对被抽查单位的信息系统部署和使用环境进行实地勘察，深入了解被抽查单位的网络安全现状。

4. 技术检测。使用主机漏洞扫描器、数据库漏洞扫描器、Wb 应用扫描器、数据抓包分析软件等自动化工具以及手工渗透测试的方式进行综合检测和分析，发现存在的安全问题，分析安全保护措施是否得当。

（四）、人员要求

安排至少4名具有CISP（注册信息安全专业人员）或CCSC (网络安全能力认证）的安服人员组成技术组配合自治区体育局完成2022年网络安全现场检查抽查工作。(抽查大概需要1周时间，检查5家单位，以具体时间安排为准。）

三、成果要求

1. 提供检查报告：根据现场检查和外部检测的结果，汇总出具被抽查单位的安全检查报告，具体包括：《基本情况检查表》、《安全管理情况检查表》、《设备配置核查表》、《安全区域边界和网络安全通信检查表》、《安全管理中心检查表》、《数据安全检查表》、《漏洞扫描报告》、《木马和勒索病毒检测情况》、《渗透测试报告》记录表和《XX单位2022年网络安全检查报告》。

2. 提供咨询服务：通过上述检查在报告中要求体现针对被检单位实际情况，分析面临的安全威胁和安全风险防护水平给出相关的检查报告并提供相关的咨询服务。