第一篇：【學習心得】市社保局綜合處學習心得體會

干部作風教育實踐活動心得體會

2012年確定為基層組織建設年，是黨中央作出的重要部署。旨在把創先爭優活動和基層組織建設年融為一體，以創先爭優為動力加強基層組織建設，以基層組織建設年為抓手深化創先爭優。保持純潔性是增強黨的創造力、凝聚力、戰斗力的關鍵所在和現實需要，也是引深反腐倡廉的重要任務。為認真貫徹落實胡錦濤總書記在十七屆中央紀委七次全會上的重要講話精神，我處按照市社保局的統一安排部署，認真開展了“基層組織建設年”和保持黨的純潔性學習教育活動，全處工作人員通過第一階段時間的學習和討論，受到了極大的觸動和感悟，深刻地體會到作為一名共產黨員應從以下方面保持黨先進性純潔性：

一是要堅持堅定的共產主義理想信念。黨的先進性純潔性體現在思想上，就是要求各級黨組織和廣大黨員、黨的領導干部必須堅持把馬克思主義及其中國化的理論成果作為指導思想，堅持把為社會主義、共產主義奮斗作為理想信念，堅持馬克思主義實事求是的思想路線，堅決抵制各種反馬克思主義思想的侵蝕，堅決同各種違背馬克思主義的錯誤思想作斗爭。

二是要堅持堅決執行黨的路線方針政策。黨的先進性純潔性體現在政治上，就是要求各級黨組織和廣大黨員、黨的領導干部必須堅決執行黨的綱領、章程和路線方針政策，在社會主義初級階段必須堅持以經濟建設為中心、堅持四項基本原則、堅持改革 開放的基本路線，堅決抵制和反對一切違背黨的基本路線的錯誤政治傾向。

三是要堅持嚴格執行黨的各項紀律。黨的先進性純潔性體現在組織上，就是要求各級黨組織和廣大黨員、黨的領導干部必須堅持貫徹黨的民主集中制原則和遵守黨的組織紀律的要求，自覺維護黨的團結統一，堅決反對一切危害和分裂黨的行為，嚴格堅持黨章所規定的共產黨員標準和領導干部條件，堅決把背離黨綱黨章、危害黨的事業、已經喪失共產黨員資格的蛻化變質分子和腐敗分子清除出黨。

四是要堅持發揚黨的優良傳統和作風。黨的先進性純潔性體現在作風上，就是要求各級黨組織和廣大黨員、黨的領導干部必須堅持發揚黨的理論聯系實際、密切聯系群眾、批評和自我批評以及謙虛謹慎、不驕不躁、艱苦奮斗等優良作風，堅持貫徹黨的從群眾中來到群眾中去的工作路線和調查研究的工作方法，堅決反對主觀主義、官僚主義、形式主義、以權謀私、弄虛作假和個人專斷、追求奢華等不正之風。

五是要結合本職工作提升形象和水平。通過認真學習黨的先進性純潔性，使我們更加清醒地認識到社保服務于民，民生所向的工作，關系到每個社會成員的切身利益，因此，我們要樹立我處良好的干部隊伍形象，急群眾所急，踏實工作，努力進取，為參保群眾提供優質、高效、快捷的服務，不斷改進和完善工作作風，加強調查研究，及時掌握群眾最關心的、最迫切的社會保險 問題，把黨的先進性純潔性貫穿于工作的始終，真正成為群眾值得信賴和滿意的社保干部。

二O一二年七月十八日

第二篇：社保局實習心得體會

社保局實習心得體會

此次在**鎮社保局實習，讓我學到了很多課堂上根本學不到的東西，仿佛自己一下子成熟了，懂得了做人做事的道理，也懂得了學習的意義，時間的寶貴，人生的真諦。領悟到了“紙上得來終覺淺，絕知此事要躬行”的道理，任何事情都必須付出我們的實際行動，才會得到真正的收獲。或許工作中會遇到煩悶的事情，但是我們還是必須得堅持，因為我們在工作，可能一個小小的失誤，就會付出沉重的代價。走入社會就是這個道理，必須時時刻刻對自己的工作高度負責。在實習中，雖然我們做的是一些細小的像整理檔案、錄入數據的事情，但這正是是考驗我們細心，耐心的品質，以及對工作負責的態度。

在實習中，我也知道了基層工作的辛苦，我被基層干部吃苦耐勞的精神所感動，正是因為他們，農民的生活才得到了保障，權益才得到了維護，雖然有那么一個別的沒有責任感的工作人員在當中攪混水。我相信如果基層人員都能為老百姓著想，我們的生活將會越過越好，但是只有一部分的力量是不夠的，需要千千萬萬的基層人員行動起來，為老百姓服務。作為大學生的我也要多參加像“三下鄉”那樣的社會實踐活動，到基層去宣講我們的“中國夢”，關愛留守兒童、孤寡老人，用我們的知識豐富農村的業余生活。此次實習只是一個開始，更多的實踐活動還需要我們大學生的參加，我也將義不容辭。

我知道工作是一項熱情的事業，并且要持之以恒的品質精神和吃苦耐勞的品質。我覺得重要的是在這段實習期間里，我第一次真正的融入了社會，在實踐中了解了社會掌握了一些與人交往的技能，并且在此次實習期間，我注意觀察了前輩是怎樣與上級交往，怎樣處理人他們之間的關系。利用這次難得的機會，也打開了視野，增長了見識，為我以后進一步走向社會打下了堅實的基礎。

實習期間，我從末出現無故缺勤。我勤奮好學。謙虛謹慎，認真聽取前輩的指導，對于別人提出的工作建議虛心聽取。并能夠仔細觀察、切身體驗、獨立思考、綜合分析，并努力把在學校學到的應用到實際工作中，盡力把工作做到理論和實際相結合的最佳狀態，培養了我執著的敬業精神和勤奮踏實的工作作風，也培養了我品質耐心和敬業的素質。能夠做到服從指揮，與同事友好相處，尊重領導，工作認真負責，責任心強，能保質保量完成工作任務。并始終堅持一條原則：要么不做，要做就要做最好。

短短一個月的實習就要結束了，實習之中也有很多不如人意的地方，總結經驗是工作經驗太少吧。感謝蔡玲姐、胡主任、庹老師這一個月對我們的教誨和照顧，讓我們的實習變得快樂豐富多彩。

第三篇：市人力資源和社保局年工作總結

市人力資源和社保局年工作總結

市人力資源和社會保障局年工作總結

2013年，面對嚴峻復雜的經濟形勢，XX市人社局堅決貫徹市委、市政府的決策部署，扎實推進各項工作并取得了積極成效。全年全市城鎮新增就業14.8萬人，完成目標的140.8%；城鎮登記失業率2.12%，為全省最低。扶持自主創業11594人，實現帶動就業人數76117人；全市養老、醫療、失業、工傷、生育“五大保險”凈增繳費人數分別為7.59萬人、13.46萬人、16.21萬人、5.83萬人、16.92萬人；引進各類人才10萬人；新增高技能人才2.99萬人，均完成或超額完成目標任務。四項基本現代化指標中，城鄉基本養老、醫療、失業三項保險覆蓋率預計分別為98.2%、98%、98.7%，已提前達到基本現代化目標要求值；全市每萬勞動力高技能人才數達到583人，已達到目標值的97.2%。國家人社部尹蔚民部長親臨無錫考察，對我市人社工作取得的成績給予了充分肯定；市人社局獲得“國家技能人才培育突出貢獻獎”，成為全國人社系統優質服務窗口單位。

2013年，面對嚴峻復雜的經濟形勢，XX市人社局堅決貫徹市委、市政府的決策部署，扎實推進各項工作并取得了積極成效。全年全市城鎮新增就業14.8萬人，完成目標的140.8%；城鎮登記失業率2.12%，為全省最低。扶持自主創業11594人，實現帶動就業人數76117人；全市養老、醫療、失業、工傷、生育“五大保險”凈增繳費人數分別為7.59萬人、13.46萬人、16.21萬人、5.83萬人、16.92萬人；引進各類人才10萬人；新增高技能人才2.99萬人，均完成或超額完成目標任務。四項基本現代化指標中，城鄉基本養老、醫療、失業三項保險覆蓋率預計分別為98.2%、98%、98.7%，已提前達到基本現代化目標要求值；全市每萬勞動力高技能人才數達到583人，已達到目標值的97.2%。國家人社部尹蔚民部長親臨無錫考察，對我市人社工作取得的成績給予了充分肯定；市人社局獲得“國家技能人才培育突出貢獻獎”，成為全國人社系統優質服務窗口單位。

（一）奮力創先爭優，常規工作繼續保持在全省第一方陣

一是千方百計確保就業局勢穩定。針對階段性“招工難”問題，組織赴XX、XX、XX、XX、XX等地開展勞務對接，累計幫助重點企業招工近20萬人。繼續實施失業保險降低費率政策，全年惠及4萬多家企業，為企業和個人共減負5.4億元，有效穩定了就業崗位。大力扶持困難群體就業，“就業援助月”、“春風行動”期間，共舉辦了356場公益性招聘活動，提供崗位信息51.85萬個。實施促進高校畢業生就業創業八項實事，推進大學生實名制管理，落實大學生租房補貼政策，赴清華大學等重點高校延攬人才。我市積極服務企業用工和吸引大學生就業創業的做法，得到央視關注。

二是社會保障體系進一步完善。調整居民養老保險繳費水平和政府補貼標準，提高最低檔次到300元（原100元），增設1500元的最高繳費檔次。調整2013市區居民養老保險待遇標準，居民基礎養老金每人每月增加40元，為省內地市級城市最高。及時落實2013企業退休人員養老金調整工作，市區調整后平均水平為2033元/月（全市為1921.4元/月）。調整和提高醫保待遇水平，職工醫保和居民醫保政策范圍內住院費用基金支付比例分別達84%和72%。實施我市工傷康復管理辦法，實行新的康復費用結算辦法。

三是人才隊伍建設繼續加強。積極開展技能振興專項活動，研究制訂關于加強職業培訓促進就業的實施意見。先后在上海、深圳、香港舉辦“東方硅谷”人才政策宣傳推介會，新增國際國內頂尖人才、社會事業和中介服務領軍人才2人、33人、7人。新增國家級博士后科研工作站10家，列全省第一；省創新實踐基地8家，超額完成全年建站任務；全年共招收博士后31人。

四是人事管理服務更加規范。圍繞打造公務員招錄“陽光”品牌，抓好招錄計劃編制、政策制定公布、工作責任落實、面試工作組織四個環節，圓滿完成公務員招錄任務。組織事業單位申報參公管理工作如期上報。推進和深化事業單位人員聘用、崗位設置管理和公開招聘三項制度建設。軍轉安置工作圓滿完成。

五是勞資關系保持和諧穩定。密切關注宏觀經濟形勢對企業的影響，扎實做好10多家重點經營困難企業的勞資關系處理工作。積極學習貫徹新法新規，穩妥推進勞務派遣行政許可工作。鞏固勞動人事爭議處理“三方機制”和“五位一體”調解聯席會議機制。推進企業工資集體協商工作，及時出臺最低工資標準調整方案。全年全市12333咨詢服務電話來電總量229萬個（其中市本級214萬個），市權益服務中心全年受理各類來訪來電來信1.94萬件。

（二）致力創新突破，重點難點工作有力推進

一是大力吸引扶持大學生創業。制定出臺推進大學生創業園建設促進大學生創業的意見，新政策將扶持對象從原來的畢業2年內的大學生擴大到在校大學生和畢業5年內的大學生，從資金、場地、能力、服務四個方面予以優惠政策支持。以江南大學大學生創業園為依托，會同江南大學、廣電集團、XX區政府，推進創建國家級大學生創業園，經努力，創業園已成功被省廳評估認定為省級大學生創業園。二是全面實施城鄉居民大病保險制度。制定實施城鄉居民大病保險制度，在全省率先采取向商業保險機構購買大病保險方式，對參保人員個人負擔超過上一城鎮居民年人均可支配收入50%以上的部分（1.7萬元）給予保障，有效降低群眾大病費用負擔。

三是舉辦首屆無錫技能技工大賽。這是我市首次舉辦的全市性、綜合性的職業技能大賽，52個代表隊、500多名選手角逐14個職業（工種）“技能狀元”，其中9人摘得“無錫職工技能狀元”并享受市勞模待遇，14人摘得“無錫學生技能狀元”。期間同時開展技能成果展示、大師絕活表演、校企合作對接、高層論壇等活動，直接參與人數超過1萬人，在全社會營造了“崇尚技能、人才強企、創新發展”的良好氛圍。四是研究推進人力資源服務業發展。在廣泛調研的基礎上，研究制訂“關于大力發展人力資源服務業的意見”。利用市級公共人力資源服務機構的集聚效應，積極籌劃在XX區開展人力資源服務產業園建設，目前，規劃論證和招商引資工作正有序進行。

五是進一步規范事業單位公開招聘。經過科學論證、認真準備，首次集中組織市屬事業單位進行統一筆試和集中面試，招聘的規范性、公平性進一步得到保障，受到了社會各界的認可。

六是完成“兩場整合”歷史性任務。在沒有現成的成功樣本可以參照的情況下，以“科學整合資源、方便服務對象”為出發點，在合理確定職能定位的基礎上，將市人才市場和市職介中心合并，成立新的“市人力資源市場”，并對人力資源市場大樓進行重新劃分和改建，全力打造專業化、綜合性的一站式服務格局。目前，市場已實現機構、人員、場地“三到位”，這項工作在全省全國走在了前列。此外，還實現了原市勞動保障信息中心與人才信息中心的整合。

（三）著力追求人民滿意，“三個建設”得到全面加強

一是干部隊伍建設得到加強。進一步規范了市局干部人事管理制度。組織實施了市局25名機關干部和27名事業單位領導班子、中層干部調整工作。調整后，研究生以上學歷、碩士以上學位人員占機關中層干部的36.6%，新提任干部中94%具有基層工作經歷或多崗位鍛煉經歷。二是作風建設得到加強。以省市在九個部門開展“六位一體”民主評議政風行風和推進公共服務標準化工作為契機，全面查找人社部門在改善民生、服務市民方面存在的薄弱環節，并切實加以改進，促進了全系統作風轉變和效能提升，綜合評議成績位列全市第一，其中9個市（縣）區人社局中4個獲得第1名，2個獲得第2名，我市成為全省人社系統僅有的兩個獲得第一名的省轄市之一。

三是廉政建設得到加強。認真貫徹中央八項規定和省市委十項規定，落實黨風廉政建設責任制。協助市委巡察組做好各項組織協調工作，按期完成了各項工作任務。

與此同時，各市（縣）區人社工作創新發展、亮點紛呈。XX市凈增參保2.17萬人，以“五步五庫法”推進高校畢業生實名制就業管理，得到尹蔚民部長高度肯定；XX市“金保工程”順利上線運行，首次舉辦了綜合性的全市職業技能大賽；XX區新增博士后科研工作站2家，啟動實施了“1+10”服務制度，為重點企業提供專項服務600余次；XX區在9個部門試點機關人員績效考核考評管理系統，成立了勞動保障權益服務中心；XX區走進高校大力宣傳就業創業扶持政策，全面啟動五星級人力資源市場改造工程；XX區累計創建創業孵化基地、實訓基地已達58家，對優秀高技能人才、有培養貢獻的企業給予津貼資助；XX區城鎮失業人員再就業17641人，完成率294%，扎實推進公務員教育培訓，開辦“古運河大講堂”專題講座7期；XX區431名就業困難人員實現“宅就業”，57人實現“微創業”，同時開發社區靈活就業崗位3842個，幫助困難群體就業；新區新引進培育國家“千人計劃”人才14名，獲批省級人力資源服務產業園。

第四篇：市社保局行政事業單位內部控制制度工作報告（僅供學習）

市社保局行政事業單位內部控制制度工作報告(僅供學習)

根據市社保局《關于轉發省社保中心〈開展社會保險經辦機構內部控制工作檢查評估的通知〉的通知》(贛市社險字23號)文件要求，我局高度重視，抽調精干人員組成檢查評估小組，認真自查評估，現就自查有關情況匯報如下：

一、自查情況

加強社會保險經辦機構內部控制工作，是確保社會保險基金安全的本質要求，也是規范經辦機構各種行為，實施自動防錯、查錯和糾錯，實現自我約束、自我控制的重要手段，為切實做好這項工作，我局從社會保險工作制度化、規范化、科學化出發，形成了一套事事有復核、人人有監督，行之有效、科學規范的社保工作內控制度和業務流程，建立對社保基金事前、事中、事后全過程的監督機制。

1、合理設置崗位，明確責任分工，建立內部制衡機制根據工作需要，按照不相容崗位不能一人兼任的原則，設置了財務、業務、稽核和待遇審批等部門。在各部門內部再進行崗位細分，財務部門要求會計與出納分設，業務部門要求設立業務受理、復核、系統管理員等崗位，待遇審批部門要求設立受理、復核崗位，建立崗位責任制度，形成責任明確，相互制約的內部制衡機制，突出加強對資金結算過程的監督。一是靠財務部門內部的監督，出納經手的每一筆資金收付業務必須經另一財務人員復核，每天下班前，另一財務人員對出納當天收繳的社會保險費存入開戶銀行的情況要再次進行復核;二是靠對賬制度來約束，每天、每月、全年都要進行對賬，業務部門每天開出的票據與財務部門實際收到的資金核對一致，不一致的查明原因及時解決，月份、終了，財務和業務部門分別由不同的人員核對月份和發生額，確保月發生額與當期日發生額累計數核對一致;三是靠內部稽核來監督，充分發揮稽核部門職能作用，采取定期檢查和不定期抽查的方式，對社保基金的運行進行稽核，提出稽核意見和改進建議，促進內控制度的不斷完善。形成了對社保基金全方位、全過程的監督。

2、工作程序化、規范化，建立組織嚴密、可操作性強的工作流程和業務規范按照既高效、便捷又安全、嚴密的原則，建立涵蓋社保基金從進口到出口，涉及財務、業務、待遇、稽核等各部門的。要求加大復核、審核、稽核作用，強化內部控制功能，最終達到一個人不能辦理社保業務的要求。

參保單位到業務部門辦理繳費基數調整、社保待遇調整等業務，受理人審核后，必須經復核人復核，并經稽核部門稽核后，方能辦理;業務經辦人每月都要對社會保險待遇本月發放情況與上月發放情況進行對比分析，并經復核人、業務負責人、財務負責人復核，稽核部門稽核，局領導審核后轉財務部門辦理支付。財務部門出納收取社會保險費、撥付社保待遇必須經另一財務人員復核;財務專用章和個人名章由兩人分開管理;安排專人從源頭抓好社會保險費專用收款票據的管理;每月與開戶銀行和財政部門對賬，財務負責人對對賬情況進行復核。待遇審批部門應建立檔案聯合審查制度，審批社保待遇必須經四人審核小組共同審查檔案，經稽核部門稽核后，報局領導召開辦公會審批。

3、加強內部稽核，確保各項規范和流程得到貫徹落實有了好的規范和流程是做好工作的基礎，但把規范和流程貫徹落實好則是關鍵所在。根據社會保險政策法規，對照《內部社會保險業務規范和流程》，采取定期檢查和不定期抽查的方法，對財務部門、業務部門、待遇審批部門執行社保政策和工作流程情況進行稽核。稽核完畢后，向單位領導匯報、分析稽核發現的問題，并提出改進意見，向被稽核部門反饋稽核情況，促進社會保險管理水平的不斷提高。

一、我國行政事業單位內部控制存在的問題

1.內部控制意識不強，執行力不夠

良好的內控意識是確保內控制度得以健全和實施的重要保證。

一些單位的領導缺乏內部會計控制理念，對建立健全單位內部控制的重要性和現實意義認識不夠，不重視內部會計控制制度系統的建設，而簡單地將財政的部門預算控制等同于內部控制。有的單位雖建立了內控系統但不盡合理，生搬硬套，沒有從自身實際情況出發。還有些單位雖然建有較為完善的內部會計控制制度，但卻流于形式，弱于執行。

2.對內部會計控制的監控力度不夠

部分單位沒有設立內部審計機構，內部會計控制的執行情況由內部會計控制執行部門自行監督檢查，導致監控力度不夠，影響了內部會計控制作用的發揮。有些單位雖然設立了內部審計機構，但對內部審計工作沒有給予足夠的重視和支持，不能正確審計和鑒定會計資料和其他有關資料的正確性和真實性，主要原因在于內部審計人員不能認真履行內部審計的職責和權限，不能堅持內部審計的準則和原則，不能遵循內部審計的基本程序，不能正確運用審計方法，沒有如實、公正地編寫審計報告。

3.國有資產使用效率低下，流失比較嚴重

單位內部部門之間對國有資產管理相互脫節，部分單位財務部門未建立固定資產明細賬，每年只管經費收支，不管家底多少;后勤部門只管發放而不清楚資產價值和實物分布情況;使用部門只用不管。長此以往，造成國有資產管理與財務管理嚴重脫節，致使存量不實，賬實不符，責任不清。部分單位之間互相攀比，盲目、重復購置資產，加之資產的購建、使用、占用、處置權均在單位，跨部門、跨單位無法進行資產配置，致使部分資產閑置浪費，發揮不了應有的作用。

二、加強我國行政事業單位內部控制的策略

1.增強內控意識，強化單位負責人的會計與內控責任單位負責人在單位內部控制體系中居于主導地位。按照《會計法》和《內部會計控制基本規范》的規定，單位負責人是單位財務與會計工作的第一責任主體，對本單位財務會計報告的真實性、完整性以及內部控制制度的合理性、有效性負主要責任。但要真正確立起單位負責人對財務會計工作和內部控制制度建設的“第一責任主體”意識，還必須強化對行政事業單位主要負責人及一些相關領導在內部控制方面的培訓學習。

2.建立健全內控制度

《會計法》第二十七條規定“國家機關、社會團體和企事業單位必須建立健全內部控制制度，以確保會計信息的真實可靠，國家財產安全穩定”。不能用一般財經法規替代內控制度。要找準失控環節，明確自控重點，重視倫理道德規范建設，建立良好的單位文化氛圍。對于預算管理、資金撥付與費用支出管理、報銷審批程序以及對錯誤核算與錯誤支出的糾正等等經濟活動等方面，確定單位自控的重點和目標，設立合理的組織結構，確認相關的管理職能和關系，為每個組織劃分責任權限，明確建立授權和分配責任的方法，因事設人，視能授權，責任到位，且責權對等，以增加組織的控制意識。

3.加強行政事業單位內部審計監督

重視內部審計控制，真正落實責任制，以保證內部會計控制制度的順利、有效運行。內部審計控制是對內部會計控制的再控制。內審部門應將會計控制制度作為審計評審對象，通過對內部會計控制執行情況的定期檢查和監督，及時發現內部會計控制中的漏洞和隱患，尤其是要針對發展中財務及會計核算上出現的新問題、新情況，認真研究，不斷發現和改正問題，可以把風險消滅在萌芽狀態，防止經濟違規;把審計結果與日常考核結合起來，真正落實責任制，加強監督與獎懲制度，這是對單位內控制度執行情況的再監督，也是保護員工的主要措施。有條件的單位均應建立內部審計機制，保證內部會計控制制度的順利、有效運行。

4.提高人員素質

行政事業單位內部控制的成敗關鍵在于公務員素質的高低程度，其素質控制的目的在于保證工作人員具有愛崗敬業的品質和勤奮、有效的工作能力，從而保證內部控制有效實施。它對財會人員的素質有更高要求，不僅要求專業技術性、政策性、法制性強，并且還需要有一定的職業道德水準。

5.建立財務狀況預警機制，加強財務風險預測

各行政事業單位可以借鑒國際先進經驗并運用現代科技手段，逐步建立風險監控、評價和預警系統。通過一系列指標的橫向和縱向數據比較，對財務運作中潛在風險預警預報，提出控制措施，將可能萌發的財務風險予以化解。

內部控制是一項不斷推陳出新、任重而道遠的工作，隨著時代的不斷變化，內部控制制度也要跟著不斷的修改，以達到其有效性，切實控制各種漏洞的發生。行政事業單位是一個特殊的單位，不同于企業，有它自身的特點，特別是在社會主義市場經濟大發展的情況下，行政事業單位的建設也面臨著新的挑戰，因此內部控制制度的健全也顯得猶為重要。

第五篇：XX市社保局2015安全服務項目實施方案

XX市社保局2015信息安全服務項目

實施計劃

目 錄一、二、項目概述...............................................................................................................................3 項目服務內容.......................................................................................................................4 2.1.風險評估...................................................................................................................4 2.2.設備安全加固...........................................................................................................5 2.3.安全管理體系建設...................................................................................................6 2.4.等級保護測評.........................................................................................................14 2.5.安全技術運維.........................................................................................................17 2.6.安全咨詢、宣傳培訓及安全專家服務..................................................................20 2.7.上級部門交辦的安全自查與整改工作資金概算..................................................20 2.8.通過部署安全配置審計、身份驗證令牌等手段，加強系統安全基線審計錯誤！未定義書簽。

2.9.安全證書服務.........................................................................錯誤！未定義書簽。2.10.建立安全運維體系..............................................................................................21 2.11.信息安全實時監控服務..........................................................錯誤！未定義書簽。2.12.網站和網辦安全服務..........................................................................................22 項目實施時間及成果文檔.................................................................................................34

三、

一、項目概述

經過多年建設XX社保中心已經初步建成完善的信息系統，為XX社保中心重要業務系統的有效開展提供了強有力的支撐。同時，信息系統的安全可靠運行是確保XX社保中心主營業務正常開展的必要條件。

在信息科技發展的同時，各種黑客手段、病毒技術、木馬技術也在飛速發展，信息安全問題在信息化的過程中也日益突出，XX社保中心的信息系統建設必須面對日益嚴峻的信息安全問題。盡管XX社保中心近幾年來通過持續的安全建設，形成了初步的單純依靠安全設備的安全防護體系。但從目前的國內外安全環境以及法律法規的角度來看，僅是單單依靠安全設備，是無法解決XX社保中心的整體信息安全防護需求的。必須引入綜合安全服務，結合專業的信息安全服務團隊，解決諸多安全設備無法直接解決的安全問題，共同形成確保業務系統安全、穩定運營的綜合安全保障措施。

因此，根據目前實際情況，XX社保中心需要引入以安全風險識別、安全風險控制、安全體系完善、日常安全運維、安全宣傳、安全培訓、網站安全監控、等級保護測評等主要內容的綜合信息安全服務保障，切實提高XX社保中心的信息安全保障能力。

二、項目服務內容

綜合安全服務要求包含風險評估、設備安全加固、安全管理體系建設、等級保護測評、安全技術運維、安全咨詢及宣傳培訓、上級部門交辦的安全自查和整改、通過部署安全配置審計身份驗證令牌等技術手段加強技術控制、安全服務證書、建立安全運維體系、信息安全實時監控服務、網站和網辦安全服務等內容，具體要求如下。2.1.風險評估

針對社保的物理機房環境、網絡結構、網絡服務、主機系統、中間件、數據庫系統、容災系統及數據存儲安全、應用系統、應用代碼、安全系統、安全相關人員、處理流程、安全管理制度、安全策略等對象進行評估，包括采用漏洞掃描、人工安全審計、滲透測試、代碼安全審計、客戶端測試等方法，深入且全面的掌握社保中心的安全現狀，為后續的持續安全改進提供科學、詳細的依據。主要內容包括：

? 建立安全風險模型：評估前建立安全風險模型，該模型必須包含但不限于以下要素：資產、影響、威脅、漏洞、安全控制、安全需求、安全風險，投標人應詳細描述其風險模型的各個要素及之間的關系，并包括對威脅、漏洞、風險的等級劃分標準。安全評估必須按照分層的原則，包括但不限于以下對象：物理環境、網絡結構、網絡服務、主機系統、數據、應用系統、安全系統、安全相關人員、處理流程、安全管理制度、安全策略等。? 信息資產評估：收集社保中心所有信息資產，包括所有的有形資產和無形資產，如服務器、網絡設備、存儲設備、應用軟件、數據、人員、管理等。并對所有資產根據關鍵安全要素進行賦值，為評估階段的風險計算和安全優化階段的風險控制提供依據。

? 安全審計：對社保中心的服務器和網絡設備進行安全審計。其中，服務器的安全審計包括操作系統安全（WINDOWS、LINUX、Solaris、AIX）審計和應用軟件（如數據庫、IIS、APACHE、TOMCAT、WEBLOGIC）的安全審計。安全審計的每臺被審計設備也必須體現CIA三要素包含的安全性、完整性、可用性。

? 漏洞掃描：漏洞掃描針社保中心的主要IT設備（服務器，網絡設備，安全設備）得自身脆弱性進行安全評估。掃描內容包括端口掃描、系統掃描、漏洞掃描、數據庫等應用軟件掃描等，服務完成后應提供掃描報告，解決方案并對發現漏洞給予解決。

? 數據安全威脅分析：通過入侵檢測系統對社保中心信息安全所面臨的威脅進行細致分析，并給出報告。報告必須包括網絡事件協議類型統計及對比餅圖、事件危險級別統計及對比

餅圖、事件攻擊類型統計及對比餅圖、信息安全性綜合分析等。

? 網絡結構安全分析：為降低社保中心整體網絡安全風險、增強IT內控的實效性、更清晰的評價和監控現有安全狀況，需要對網絡結構進行分析，并結合業務情況進行安全域的規劃設計。安全域設計需要對社保中心現有網絡按照等級分為域、區、單元三個級別，描述安全域劃分步驟及邊界防護原則，對現有網絡結構的每項不足之處提出可執行的措施，并在安全優化階段實施。

? 滲透測試服務：對所有業務應用系統進行滲透測試。

? 源代碼審核：針對用戶應用系統的白盒測試，主要目的是發現系統代碼層的安全問題，并提出解決方案。源代碼審核需要包括以下內容，且服務方需要形成源代碼審核模型圖：（1）審核業務流程中是否存在可被繞開的漏洞；（2）審核業務系統源代碼中是否有一般性的漏洞類型；

（3）審核業務系統源代碼中因需要開放給管理員或用戶而可能導致的隱蔽漏洞；（4）給出加固解決方案；

（5）對代碼中不符合安全規范的部分進行規范；（6）對今后代碼編寫的安全措施給出指導意見。（7）檢查出代碼中存在的安全漏洞。

? 綜合風險分析：在對社保中心信息體系的各個層次進行技術安全評估基礎上，綜合分析社保中心信息系統面臨的各方面威脅，依靠定量計算和定性分析結合的方式，計算出社保中心各方面的風險級別，并提出解決措施。

? 月度動態安全評估。結合每月的安全運維工作，隨時獲取信息系統安全要素的最新安全情況，監控社保中心信息系統的最新安全動態情況，并根據需要調整安全策略，確保應對最新的安全威脅。? 數據安全保護

對業務數據、數據庫系統提供實施保護技術服務，協助用戶對數據設計及數據庫漏洞進行分析整改，對敏感數據進行過濾規劃，對測試數據提供脫敏服務。

2.2.設備安全加固

安全整改加固工作對通過安全配置核查、漏洞掃描、滲透測試、策略分析等工作中發現的安全漏洞、安全弱點、安全風險，通過多方面的安全加固措施進行修補。特別對問題源頭進行整改與加固，以最大限度的降低風險。包括：

? 配置核查結果的服務器安全加固 ? 漏洞掃描的服務器安全加固 ? 網絡及安全設備的安全加固 ? 邊界安全策略的安全加固 ? 滲透測試安全核查結果的安全整改 ? 等級保護差距測評結果的安全整改加固 ? 等級保護驗收測評結果的安全整改加固 ? 代碼審計結果的協助性加固 ? 病毒庫升級

? 其它技術測試、評估發現問題的安全整改加固。

2.3.安全管理體系建設

根據各類安全標準要求，包括等級保護要求、社保行業要求，以及勞動保障信息中心內部信息系統運行對安全管理的需求，完善中心的安全管理體系。形成并落實信息安全策略、信息安全管理制度、信息安全操作規范等，提高中心安全運營的管理水平。具體制度要求如下：

五個方面包含的主要內容如下：

（1）安全管理機構：

? 設立信息安全管理工作的職能部門，設立安全主管人、安全管理各個方面的負責人，定義各負責人的職責；

? 設立系統管理人員、網絡管理人員、安全管理人員崗位，定義各個工作崗位的職責； ? 成立指導和管理信息安全工作的委員會或領導小組，其最高領導應由單位主管領導委任或授權；

? 制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。? 配備一定數量的系統管理人員、網絡管理人員和安全管理人員等； ? 配備專職安全管理人員，不可兼任；

? 關鍵區域或部位的安全管理人員應按照機要人員條件配備； ? 關鍵崗位應定期輪崗； ? 關鍵事務應配備多人共同管理；

? 授權審批部門及批準人，對關鍵活動進行審批；

? 列表說明須審批的事項、審批部門和可批準人；

? 建立各審批事項的審批程序，按照審批程序執行審批過程； ? 建立關鍵活動的雙重審批制度； ? 不再適用的權限應及時取消授權； ? 定期審查、更新需授權和審批的項目； ? 記錄授權過程并保存授權文檔；

? 加強各類管理人員和組織內部機構之間的合作與溝通，定期或不定期召開協調會議，共同協助處理信息安全問題；

? 信息安全職能部門應定期或不定期召集相關部門和人員召開安全工作會議，協調安全工作的實施；

? 信息安全領導小組或者安全管理委員會定期召開例會，對信息安全工作進行指導、決策；

? 加強與兄弟單位、公安機關、電信公司的合作與溝通，以便在發生安全事件時能夠得到及時的支持；

? 加強與供應商、業界專家、專業的安全公司、安全組織的合作與溝通，獲取信息安全的最新發展動態，當發生緊急事件的時候能夠及時得到支持和幫助； ? 文件說明外聯單位、合作內容和聯系方式；

? 聘請信息安全專家，作為常年的安全顧問，指導信息安全建設，參與安全規劃和安全評審等；

? 由安全管理人員定期進行安全檢查，檢查內容包括用戶賬號情況、系統漏洞情況、系統審計情況等；

? 由安全管理部門組織相關人員定期進行全面安全檢查，檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等； ? 由安全管理部門組織相關人員定期分析、評審異常行為的審計記錄，發現可疑行為,形成審計分析報告，并采取必要的應對措施；

? 制定安全檢查表格實施安全檢查，匯總安全檢查數據，形成安全檢查報告，并對安全檢查結果進行通報；

? 制定安全審核和安全檢查制度規范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。

（2）安全管理制度：

? 制定信息安全工作的總體方針、政策性文件和安全策略等，說明機構安全工作的總體目標、范圍、方針、原則、責任等；

? 對安全管理活動中的各類管理內容建立安全管理制度，以規范安全管理活動，約束人員的行為方式；

? 對要求管理人員或操作人員執行的日常管理操作，建立操作規程，以規范操作行為，防止操作失誤；

? 形成由安全政策、安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系；

? 由安全管理職能部門定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。在信息安全領導小組的負責下，組織相關人員制定； ? 保證安全管理制度具有統一的格式風格，并進行版本控制； ? 組織相關人員對制定的安全管理進行論證和審定；

? 安全管理制度應經過管理層簽發后按照一定的程序以文件形式發布； ? 安全管理制度應注明發布范圍，并對收發文進行登記； ? 安全管理制度應注明密級，進行密級管理；

? 定期對安全管理制度進行評審和修訂，對存在不足或需要改進的安全管理制度進行修訂；

? 當發生重大安全事故、出現新的安全漏洞以及技術基礎結構發生變更時，應對安全管理制度進行檢查、審定和修訂；

? 每個制度文檔應有相應負責人或負責部門，負責對明確需要修訂的制度文檔的維護； ? 評審和修訂的操作范圍應考慮安全管理制度的相應密級。

（3）人員安全管理：

? 保證被錄用人具備基本的專業技術水平和安全管理知識； ? 對被錄用人聲明的身份、背景、專業資格和資質等進行審查； ? 對被錄用人所具備的技術技能進行考核； ? 對被錄用人說明其角色和職責； ? 簽署保密協議；

? 對從事關鍵崗位的人員應從內部人員選拔，并定期進行信用審查； ? 對從事關鍵崗位的人員應簽署崗位安全協議；

? 立即終止由于各種原因即將離崗的員工的所有訪問權限； ? 取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備；

? 經機構人事部門辦理嚴格的調離手續，并承諾調離后的保密義務后方可離開； ? 關鍵崗位的人員調離應按照機要人員的有關管理辦法進行； ? 對所有人員實施全面、嚴格的安全審查；

? 定期對各個崗位的人員進行安全技能及安全認知的考核； ? 對考核結果進行記錄并保存；

? 對違背安全策略和規定的人員進行懲戒； ? 對各類人員進行安全意識教育； ? 告知人員相關的安全責任和懲戒措施；

? 制定安全教育和培訓計劃，對信息安全基礎知識、崗位操作規程等進行培訓； ? 針對不同崗位制定不同培訓計劃；

? 對安全教育和培訓的情況和結果進行記錄并歸檔保存。

（4）系統運維管理：

系統定級-? 應明確信息系統劃分的方法； ? 應確定信息系統的安全保護等級；

? 應以書面的形式定義確定了安全保護等級的信息系統的屬性，包括使命、業務、網絡、硬件、軟件、數據、邊界、人員等； ? 應確保信息系統的定級結果經過相關部門的批準。安全方案設計-? 根據系統的安全級別選擇基本安全措施，依據風險評估的結果補充和調整安全措施； ? 以書面的形式描述對系統的安全保護要求和策略、安全措施等內容，形成系統的安全方案；

? 對安全方案進行細化，形成能指導安全系統建設和安全產品采購的詳細設計方案； ? 組織相關部門和有關安全技術專家對安全設計方案的合理性和正確性進行論證和審定；

? 確保安全設計方案必須經過批準，才能正式實施。產品采購-? 確保安全產品的使用符合國家的有關規定； ? 確保密碼產品的使用符合國家密碼主管部門的要求； ? 指定或授權專門的部門負責產品的采購； 自行軟件開發-

? 開發環境與實際運行環境物理分開；

? 系統開發文檔由專人負責保管，系統開發文檔的使用受到控制； ? 提供軟件設計的相關文檔和使用指南； 外包軟件開發-? 與軟件開發單位簽訂協議，明確知識產權的歸屬和安全方面的要求； ? 根據協議的要求檢測軟件質量；

? 在軟件安裝之前檢測軟件包中可能存在的惡意代碼； ? 要求開發單位提供軟件設計的相關文檔和使用指南； 工程實施-? 與工程實施單位簽訂與安全相關的協議，約束工程實施單位的行為； ? 指定或授權專門的人員或部門負責工程實施過程的管理； ? 制定詳細的工程實施方案控制實施過程； 測試驗收-? 對系統進行安全性測試驗收；

? 在測試驗收前根據設計方案或合同要求等制訂測試驗收方案，測試驗收過程中詳細記錄測試驗收結果，形成測試驗收報告；

? 組織相關部門和相關人員對系統測試驗收報告進行審定，沒有疑問后由雙方簽字。系統交付-? 明確系統的交接手續，并按照交接手續完成交接工作； ? 由系統建設方完成對委托建設方的運維技術人員的培訓；

? 由系統建設方提交系統建設過程中的文檔和指導用戶進行系統運行維護的文檔； ? 由系統建設方進行服務承諾，并提交服務承諾書，確保對系統運行維護的支持；

（5）安全運維管理：

環境管理-? 對機房供配電、空調、溫濕度控制等設施指定專人或專門的部門定期進行維護管理； ? 配備機房安全管理人員，對機房的出入、服務器的開機或關機等工作進行管理； ? 建立機房安全管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環境安全等方面的管理作出規定；

? 應對機房來訪人員實行登記、備案管理，同時限制來訪人員的活動范圍；

? 加強對辦公環境的保密性管理，包括如工作人員調離辦公室應立即交還該辦公室鑰匙和不在辦公區接待來訪人員等；

資產管理-? 建立資產安全管理制度，規定信息系統資產管理的責任人員或責任部門；

? 編制并保存與信息系統相關的資產、資產所屬關系、安全級別和所處位置等信息的資產清單；

? 根據資產的重要程度對資產進行定性賦值和標識管理，根據資產的價值選擇相應的管理措施。

介質管理-? 確保介質存放在安全的環境中，并對各類介質進行控制和保護，以防止被盜、被毀、被未授權的修改以及信息的非法泄漏；

? 介質的存儲、歸檔、登記和查詢記錄，并根據備份及存檔介質的目錄清單定期盤點； ? 對于需要送出維修或銷毀的介質，應首先清除介質中的敏感數據，防止信息的非法泄漏；

? 根據所承載數據和軟件的重要程度對介質進行分類和標識管理，并實行存儲環境專人管理。

設備管理-? 對信息系統相關的各種設備、線路等指定專人或專門的部門定期進行維護管理； ? 對信息系統的各種軟硬件設備的選型、采購、發放或領用等過程建立基于申報、審批和專人負責的管理規定；

? 對終端計算機、工作站、便攜機、系統和網絡等設備的操作和使用建進行規范化管理；

? 對帶離機房或辦公地點的信息處理設備進行控制；

? 按操作規程實現服務器的啟動/停止、加電/斷電等操作，加強對服務器操作的日志文件管理和監控管理，并對其定期進行檢查；

監控管理-? 進行主機運行監視，包括監視主機的CPU、硬盤、內存、網絡等資源的使用情況； 網絡安全管理-? 指定專人對網絡進行管理，負責運行日志、網絡監控記錄的日常維護和報警信息分析和處理工作；

? 根據廠家提供的軟件升級版本對網絡設備進行更新，并在更新前對現有的重要文件進行備份；

? 進行網絡系統漏洞掃描，對發現的網絡系統安全漏洞進行及時的修補；

? 保證所有與外部系統的連接均應得到授權和批準；

? 建立網絡安全管理制度，對網絡安全配置、網絡用戶以及日志等方面作出規定； ? 對網絡設備的安全策略、授權訪問、最小服務、升級與打補丁、維護記錄、日志以及配置文件的生成、備份、變更審批、符合性檢查等方面做出具體要求； ? 規定網絡審計日志的保存時間以便為可能的安全事件調查提供支持； 系統安全管理-? 指定專人對系統進行管理，刪除或者禁用不使用的系統缺省賬戶；

? 制定系統安全管理制度，對系統安全配置、系統賬戶以及審計日志等方面作出規定； ? 對能夠使用系統工具的人員及數量進行限制和控制；

? 定期安裝系統的最新補丁程序，并根據廠家提供的可能危害計算機的漏洞進行及時修補，并在安裝系統補丁前對現有的重要文件進行備份；

? 根據業務需求和系統安全分析確定系統的訪問控制策略，系統訪問控制策略用于控制分配信息系統、文件及服務的訪問權限；

? 對系統賬戶進行分類管理，權限設定應當遵循最小授權要求；

? 對系統的安全策略、授權訪問、最小服務、升級與打補丁、維護記錄、日志以及配置文件的生成、備份、變更審批、符合性檢查等方面做出具體要求； ? 規定系統審計日志的保存時間以便為可能的安全事件調查提供支持； ? 進行系統漏洞掃描，對發現的系統安全漏洞進行及時的修補； 惡意代碼防范管理-? 提高所用用戶的防病毒意識，告知及時升級防病毒軟件；

? 在讀取移動存儲設備（如軟盤、移動硬盤、光盤）上的數據以及網絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網絡系統之前也要進行病毒檢查；

? 指定專人對網絡和主機的進行惡意代碼檢測并保存檢測記錄；

? 對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確管理規定； 密碼管理-? 密碼算法和密鑰的使用應符合國家密碼管理規定。變更管理-? 確認系統中要發生的變更，并制定變更方案；

? 建立變更管理制度，重要系統變更前，管理人員應向主管領導申請，變更和變更方案經過評審、審批后方可實施變更；

? 系統變更情況應向所有相關人員通告； 備份與恢復管理-? 識別需要定期備份的重要業務信息、系統數據及軟件系統等；

? 規定備份信息的備份方式（如增量備份或全備份等）、備份頻度（如每日或每周等）、存儲介質、保存期等；

? 根據數據的重要性和數據對系統運行的影響，制定數據的備份策略和恢復策略，備份策略應指明備份數據的放置場所、文件命名規則、介質替換頻率和將數據離站運輸的方法；

? 指定相應的負責人定期維護和檢查備份及冗余設備的狀況，確保需要接入系統時能夠正常運行；

? 根據備份方式，規定相應設備的安裝、配置和啟動的流程； 安全事件處置-? 所有用戶均有責任報告自己發現的安全弱點和可疑事件，但任何情況下用戶均不應嘗試驗證弱點；

? 制定安全事件報告和處置管理制度，規定安全事件的現場處理、事件報告和后期恢復的管理職責；

? 分析信息系統的類型、網絡連接特點和信息系統用戶特點，了解本系統和同類系統已發生的安全事件，識別本系統需要防止發生的安全事件，事件可能來自攻擊、錯誤、故障、事故或災難；

? 根據國家相關管理部門對計算機安全事件等級劃分方法，根據安全事件在本系統產生的影響，將本系統計算機安全事件進行等級劃分；

? 記錄并保存所有報告的安全弱點和可疑事件，分析事件原因，監督事態發展，采取措施避免安全事件發生；

應急預案管理-? 在統一的應急預案框架下制定不同事件的應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程和事后教育和培訓等內容；

? 對系統相關的人員進行培訓使之了解如何及何時使用應急預案中的控制手段及恢復策略，對應急預案的培訓至少每年舉辦一次；

2.4.等級保護測評

1、根據相關要求，對于等級保護2級和3級系統，一年進行一次差距評估，通過差距評估，獲取最新的安全薄弱環節，并通過后續工作進行安全整改建設；

2、對于未定級的系統，需進行定級備案，差距測評，安全整改等相關工作。根據等級保護標準以及廣東公安廳發文要求，等級保護主要建設流程如下：

? 等級保護建設目標

? 等級保護建設框架

信息系統等級保護建設整體流程框架圖如下:

等級保護評估是在信息系統定級以后,根據信息系統等保級別進行風險評估,找出與等保標準的差距,進行安全規劃設計,即完成等級保護整改方案。

? 等級保護評估流程

? 評估指標選擇

根據信息系統的安全等級，從等級保護基本要求的指標中選擇和組合評估用的安全指標，形成一套信息系統的評估指標，作為評估的依據；將具體評估對象和評估指標進行結合，形成評估使用的評估方案。

? 等級保護基本要求

《信息系統安全等級保護基本要求》規定了信息系統安全等級保護的基本要求，包括基本技術要求和基本管理要求，適用于不同安全等級的信息系統的安全保護。

技術類安全要求通常與信息系統提供的技術安全機制有關，通過在信息系統中部署軟硬件并正確的配置其安全功能來實現；管理類安全要求通常與信息系統中各種角色參與的活動有關，主要是通過控制各種角色的活動，從政策、制度、規范、流程以及記錄等方面做出規定來實現。不同安全等級的信息系統，其對業務信息的安全性要求和業務服務的連續性要求是有差異的；即使相同安全等級的信息系統，其對業務信息的安全性要求和業務服務的連續性要求也有差異。因此，對某一個定級后的信息系統的保護要求可以有多種組合。

對基本要求進行選擇的過程：基本要求的選擇由信息系統的安全等級確定，基本要求包括技術

要求和管理要求。二級系統應該選擇

建議。

整改建議包括針對每項安全弱點的有效建議措施，以及從整個系統角度科學的、統籌安排改進措施，確保最小的投入達到整改目標。

2.5.安全技術運維

通過安全技術運維服務工作，充分發揮各類安全設備的價值，并通過專業技術人員的服務工作，完善整個安全技術保障工作。安全技術運維服務工作包括每周的安全設備日志分析與處理，針對所有IT設備每月的漏洞掃描工作，針對網上辦事大廳業務、網站業務、醫保業務、社保業務、勞動就業業務等業務系統每季度的滲透測試工作，針對新業務系統、新系統模塊或新IT設備的上線安全評估工作、針對信息系統的7*24小時應急響應服務工作、針對信息安全預案的修編及演練工作、針對設備自身脆弱性的定期安全修補工作等。

安全技術運維過程中，需要用到相關的安全工具。為保證安全工具的先進性，以及避免因為工具的使用而生產法律糾紛等，中標人需要承諾安全服務過程中提供符合要求的安全工具，產權仍屬于中標人。

★安全服務過程中提供使用的所有工具必須是國產產品。本項目使用的安全工具具體要求如下：

1、對招標人所有服務器操作系統、客戶端和網絡及安全設備進行安全漏洞掃描，采用的漏洞掃描工具應滿足以下要求：

(1)“綜合安全服務”實施團隊應具備多年的漏洞研究經驗，具備獨立漏洞發掘的能力；(2)可掃描的漏洞應不小于3600；

(3)★漏洞掃描工具支持對各種Web應用系統的掃描，支持檢測SQL注入漏洞、XSS攻擊漏洞、CGI漏洞、網頁掛馬、關鍵字檢測、網站備案信息、敏感信息泄露等。提供產品截圖證明。

(4)★漏洞掃描工具支持對主流數據庫的識別與掃描，包括：Oracle、Sybase、SQL Server、DB2、MySQL等，能夠掃描的數據庫漏洞掃描方法不小于580種。提供產品截圖證明。(5)掃描報告中的漏洞應具備統一的CVSS國際標準評分，以準確衡量漏洞的危險級別，為漏洞修補工作的優先級提供指導；

(6)產品具有中華人民共和國公安部頒發的《計算機信息系統安全專用產品銷售許可證》，要求為增強型，投標時提供證書復印件；

(7)★投標人必須承諾供貨時提供該產品針對本項目的原廠授權證明函（需加蓋原廠商公

章）。

2、對招標人IT機房設備的

別合法終端，并基于此設定無線準入策略，通過射頻信號阻止非法AP、終端的接入。(7)無線入侵防御：支持無線掃描、欺騙、DoS、破解等常見無線網絡攻擊行為的檢測、告警、阻斷功能，同時支持多種類型流氓AP的檢測與阻斷。提供產品截圖證明。(8)支持無線網絡拓撲識別和呈現。提供產品截圖證明。

(9)應滿足自身安全性需求，設備對外不可見，且不能介入用戶業務流程。

(10)★投標人必須承諾供貨時提供該產品針對本項目的原廠授權證明函（需加蓋原廠商公章）

4、對招標人四個機房及網絡系統進行實時安全監控，并結合安全威脅與安全脆弱性對全局安全風險進行預警，便于信息安全專家迅速在安全事件的萌芽狀態進行處理，消除安全隱患，確保網絡安全、平穩運行。安全態勢監控及預警平臺須至少滿足以下要求：

(1)具有《中國信息安全測評中心信息技術產品安全測評證書》— EAL3，需提供證書復印件

(2)具有《計算機軟件著作權登記證書》，需提供證書復印件；(3)采用業界主流的B/S方式，不需要安裝客戶端；

(4)采用基于瀏覽器的用戶界面，至少支持IE與FireFox。為了適應不同用途，用戶可以對界面顏色進行選擇調整；

(5)具備很強的擴展性，能夠方便的支持現有及未來的各類設備；對新設備的定制支持時間小于5個工作日；

(6)事件處理性能可以達到平均每秒15000條事件；

(7)簡單部署，無需安裝任何其他軟件和組件，用戶只需要安裝管理中心即可實現對全網資源的安全管理；

(8)在綜合展示界面中能夠顯示系統的基本管理信息，包括當前告警狀態、最近告警信息、資產告警排行、事件趨勢、監控對象概要信息等。提供產品截圖證明。；

(9)系統提供基于資產的拓撲視圖，可以顯示資產之間的邏輯連接關系。在資產拓撲上選擇每個資產節點，可查看每個資產的事件信息、告警信息、漏洞信息、風險信息，并且支持向下鉆取，直接進入事件列表、關聯告警列表。提供產品截圖證明；(10)支持多事件關聯，對不同來源的安全事件進行復雜的相關性分析；

(11)★投標人必須承諾供貨時提供該產品針對本項目的原廠授權證明函（需加蓋原廠商公章）。

5、針對招標人面臨的復雜安全局勢，避免當前基于特征匹配檢測技術的局限性，需要加強技

術手段檢測基于未知漏洞或可逃過檢測的已知漏洞觸發的攻擊、檢測未知木馬的行為、發現不可信的加密信道、APT攻擊等。提供的惡意代碼檢測系統至少滿足以下要求：

(1)系統硬件尺寸：2U上架設備。(2)千兆捕包電口（GE）≥ 6個。

(3)旁路部署。設備支持通過流量鏡像方式旁路部署的能力。

(4)0day攻擊檢測。可以對0day攻擊進行檢測，并在產品界面中中明確表明該攻擊是0day攻擊還是Nday攻擊。提供產品截圖證明。

(5)未知惡意代碼檢測。具備對未知惡意代碼具備檢測能力，漏報率不高于10%(6)基于行為的攻擊檢測。具備通過分析攻擊行為對攻擊進行檢測的能力。

(7)支持APT攻擊行為記錄。支持對APT攻擊關鍵步驟的具體攻擊行為進行記錄的能力。提供產品截圖證明。

(8)可區分0day攻擊與Nday攻擊。可以明確區分出0day攻擊與Nday攻擊，并在報警界面中進行展示。提供產品截圖證明。

(9)★產品具有中華人民共和國公安部頒發的《計算機信息系統安全專用產品銷售許可證》，投標時提供證書復印件。

(10)★投標人必須承諾供貨時提供該產品針對本項目的原廠授權證明函（需加蓋原廠商公章）。

2.6.安全咨詢、宣傳培訓及安全專家服務

1、通過各種安全咨詢服務，協助中心工作人員加強信息安全建設，提高整個信息系統運維過程中的安全可控性，協調各信息安全項目按質按量實施，確保中心信息安全建設不斷積累、逐步完善、達到更高的安全保障能力;

2、針對普通工作人員，進行安全宣傳。包括制作信息安全宣傳的FLASH屏幕保護等;

3、針對IT工作人員，提供安全培訓。包括安全管理體系的設計、安全管理的執行，安全意識、安全知識等。針對普通工作人員，提供安全意識培訓。

4、提供2名安全專家5*8小時駐場服務（節假日除外）。2.7.上級部門交辦的安全自查與整改工作資金概算

根據上級部門具體安全要求，落實信息安全專項檢查整改，并提交相關安全整改報告。

? 單位上級部門交辦安全自查與整改

根據廣東省社會保險基金管理局、中華人民共和國人力資源和社會保障部等上級部門的安全要

求，落實信息安全專項檢查工作，包括重要業務系統安全檢測工作、重要業務系統安全掃描工作、重要業務系統基線檢查工作、重要業務系統應用安全檢查工作等，并針對各項檢查工作中發現的問題進行整改，提交相關安全整改報告等工作。

? 行業監管部門交辦安全自查與整改

根據行業監管部門的安全要求，落實各項信息安全防護工作。依據行業安全標準相關要求，及時進行各項安全自查與整改工作。如安全檢測工作、風險評估、安全管理體系評估等，并針對各項安全自查工作中發現的問題進行整改等。

? 其它監管部門交辦安全自查與整改

參照網監等監管部門的安全要求，依據信息系統等級保護等標準要求和電子政務安全要求，及時進行中心各項核心業務系統的安全自查與整改工作。如信息系統等級保護定級、信息系統等級保護測評、信息系統等級保護安全建設等工作的開展實施。2.8.建立安全運維體系

社保中心負責整個業務系統的運作，包括開發、實施、維護等，涉及的因素多、對象廣、流程復雜，對信息安全管理的要求較高，需要建立較為完善的信息安全管理體系并執行，才能發揮安全技術措施的效果，確保持續的整體安全保障能力。通過安全管理體系建設，在滿足等級保護三級安全管理的基礎上，實現以下層次化、體系化的安全管理建設內容。為社保中心建立四階文件組成的安全管理文件體系。

? 如果任何潛在的危險字符必須被作為輸入，需要確保執行了額外的控制。例如：輸出編碼、特定的安全 API等。部分常見的危險字符包括：<> “ ' %()& + ' ”。? 如果使用的標準驗證規則無法驗證下面的輸入，那么它們需要被單獨驗證：

? ? ? 驗證空字節(%00)；

驗證換行符(%0d, %0a, r, n)；

驗證路徑替代字符“點-點-斜杠”（../或..）。如果支持 UTF-8 擴展字符集編碼，驗證替代字符： %c0%ae%c0%ae/(使用規范化驗證雙編碼或其他類型的編碼攻擊)。

輸出編碼

? 在可信系統（例如：服務器）上執行所有的編碼。

? 為每一種輸出編碼方法采用一個標準的、已通過測試的規則。通過語義輸出編碼方式，對所有返回到客戶端并來自于應用程序信任邊界之外的數據進行編碼。? 針對 SQL、XML 和 LDAP 查詢，語義凈化所有不可信數據的輸出。? 對于操作系統命令，凈化所有不可信數據輸出。

身份驗證和密碼管理

? 除了特定設為“公開”的內容以外，對所有的網頁和資源均要求身份驗證。? 所有的身份驗證過程必須在可信系統（例如：服務器）上執行。? 在任何可能的情況下，建立并使用標準的、已通過測試的身份驗證服務。? 為所有身份驗證控制使用一個集中實現的方法。

? 將身份驗證邏輯從被請求的資源中隔離開，并重定向到集中的身份驗證控制。

? 所有的身份驗證控制應當安全的處理未成功的身份驗證。所有的權限管理功能至少應當具有和主要身份驗證機制一樣的安全性。

? 如果應用程序管理的憑證被存儲，應當保證只保存通過使用強加密單向 salted 哈希算法得到的密碼，并且只有應用程序具有對保存密碼和密鑰的表/文件的寫權限（禁止使用 MD5 算法，該算法不夠安全）。

? 密碼哈希必須在可信系統（例如：服務器）上執行。

? 只有當所有的數據輸入以后，才開始對身份驗證數據進行驗證，特別是對連續身份驗證機制。

? 身份驗證的失敗提示信息應當避免過于明確。例如：可以使用“用戶名和/或密碼錯誤”，而不要使用“用戶名錯誤”或者“密碼錯誤”。錯誤提示信息在顯示和源代碼中應保持一致。? 涉及敏感信息或功能的外部系統連接需要使用身份驗證。

? 用于訪問應用程序以外服務的身份驗證憑據信息應當加密，并存儲在一個可信系統（例如：服務器）中受到保護的地方。

? 只使用 Http Post 請求傳輸身份驗證的憑據信息。? 非臨時密碼只在加密連接中發送或作為加密的數據

? 通過規則加強密碼復雜度的要求（例如：要求使用字母、數字和/或特殊符號）。? 通過規則加強密碼長度要求。常用使用 8-16 個字符長度。? 輸入的密碼應當在用戶的屏幕上非明文顯示。

? 當連續多次登錄失敗后（例如：通常情況下是 5 次），應強制鎖定賬戶。賬戶鎖定的時間必須足夠長，以阻止暴力攻擊猜測登錄信息，但不能長到允許執行拒絕服務攻擊。? 密碼重設和更改操作需要類似于賬戶創建和身份驗證的同樣安全控制等級。

? 密碼重設問題應當支持盡可能隨機的提問（通過注冊賬號環節收集用戶填寫的提問信息）。? 如果使用基于郵件的密碼重設，只將臨時鏈接或密碼發送到預先注冊的郵件地址。? 臨時密碼和鏈接應當有一個短暫的有效期。? 當再次使用臨時密碼時，強制修改臨時密碼。? 阻止密碼重復使用。

? 密碼在被更改前應當至少使用了一天，以阻止密碼重用攻擊。

? 強制定期更改密碼。重要系統或賬號需要更頻繁的更改。更改時間周期必須進行明確。? 為密碼填寫框禁用“記住密碼”功能。

? 用戶賬號的上一次使用信息（成功或失敗）應當在下一次成功登錄時向用戶報告。

? 執行監控以捕獲針對使用相同密碼的多用戶帳戶攻擊（例如：暴力破解）。當用戶名可以被攻擊者得到或被猜到時，該攻擊模式可以繞開標準的鎖死功能。? 更改所有廠商提供的默認用戶用戶名和密碼，或者禁用相關帳號。? 在執行關鍵操作以前，對用戶再次進行身份驗證。? 為高度敏感或重要的賬戶使用多因子身份驗證機制。

? 如果使用了

? 在身份驗證的時候，如果連接從 HTTP 變為 HTTPS，則生成一個新的會話標識符。在應用程序中，推薦持續使用 HTTPS，而非在 HTTP 和 HTTPS 之間轉換。

? 為服務器端的操作執行標準的會話管理。例如，通過在每個會話中使用強隨機令牌或參數來管理賬戶。該方法可以用來防止跨站點請求偽造攻擊。

? 通過在每個請求或每個會話中使用強隨機令牌或參數，為高度敏感或關鍵的操作提供標準的會話管理。

? 為在 TLS 連接上傳輸的 cookie 設置“安全”屬性。將 cookie 設置為 HttpOnly 屬性，除非在應用程序中明確要求了客戶端腳本程序讀取或者設置cookie 的值。

訪問控制

? 只使用可信系統對象（例如：服務器端會話對象）以做出訪問授權的控制。? 使用一個單獨的全站點功能組件以檢查訪問授權。

? 安全的處理訪問控制失敗的操作。如果應用程序無法訪問其安全配置信息，則拒絕所有的訪問。

? 在每個請求中加強授權控制。包括：服務器端腳本產生的請求、“includes”、來自AJAX 及FLASH 等客戶端技術的請求。

? 將有特權的邏輯從其他應用程序代碼中隔離開。

? 限制只有授權的用戶才能訪問文件或其他資源，包括那些應用程序外部的直接控制。? 限制只有授權的用戶才能訪問受保護的 URL。? 限制只有授權的用戶才能訪問受保護的功能。? 限制只有授權的用戶才能訪問直接對象引用。? 限制只有授權的用戶才能訪問服務。? 限制只有授權的用戶才能訪問應用程序數據。

? 限制通過使用訪問控制來訪問用戶、數據屬性和策略信息。? 限制只有授權的用戶才能訪問與安全相關的配置信息。

? 服務器端執行的訪問控制規則和表示層實施的訪問控制規則必須匹配。

? 如果狀態數據必須存儲在客戶端，使用加密算法，并在服務器端檢查完整性以捕獲狀態的

改變。

? 強制應用程序邏輯流程遵照業務規則。

? 限制單一用戶或設備在一段時間內可以執行的事務數量，以預防自動化攻擊。

? 僅使用“referer”頭作為補償性質的檢查，但不能通過“referer”頭單獨用來進行身份驗證檢查，防止被偽造。

? 如果長時間的身份驗證會話被允許，周期性的重新驗證用戶的身份，以確保他們的權限沒有改變。如果發生改變，注銷該用戶，并強制他們重新執行身份驗證。

? 執行帳戶審計，并將沒有使用的帳號強制失效（例如：在用戶密碼過期后的 30 天以內）。? 應用程序必須支持帳戶失效，并在帳戶停止使用時終止會話（例如：角色、職務狀況、業務處理的改變等）。

? 服務帳戶，或連接到或來自外部系統的帳號，應當只有盡可能小的權限。

? 建立一個“訪問控制策略”以明確一個應用程序的業務規則、數據類型和身份驗證的標準或處理流程，確保訪問可以被恰當的提供和控制。這包括了為數據和系統資源確定訪問需求。

加密規范

? 所有用于保護來自應用程序用戶秘密信息的加密功能都必須在一個可信系統（例如：服務器）上執行。

? 保護主要秘密信息免受未授權的訪問。? 安全的處理加密模塊失敗的操作。

? 為防范對隨機數據的猜測攻擊，應當使用加密模塊中已驗證的隨機數生成器生成所有的隨機數、隨機文件名、隨機 GUID 和隨機字符串等。

? 建立并使用相關的政策和流程以實現加、解密的密鑰管理。

錯誤處理和日志

? 不要在錯誤響應中泄露敏感信息，包括：系統的詳細信息、會話標識符或帳號信息等。使用錯誤處理以避免顯示調試或系統跟蹤信息。

? 使用通用的錯誤消息并使用定制的錯誤頁面。

? 應用程序應當處理應用程序錯誤，并且不依賴服務器配置。? 當錯誤條件發生時，適當的清空分配的內存。

? 在默認情況下，應當拒絕訪問與安全控制相關聯的錯誤處理邏輯。? 所有的日志記錄控制應當在可信系統（例如：服務器）上執行。? 日志記錄控制應當支持記錄特定安全事件的成功及失敗操作。? 確保日志記錄包含了重要的日志事件數據。

? 確保日志記錄中包含的不可信數據，不會在查看界面或者軟件時以代碼的形式被執行。? 限制只有授權的用戶才能訪問日志。

? 不要在日志中保存敏感信息。包括：不必要的系統詳細信息、會話標識符或密碼。? 確保一個執行日志查詢分析機制的存在。? 記錄所有失敗的輸入驗證。

? 記錄所有的身份驗證嘗試，特別是失敗的驗證。? 記錄所有失敗的訪問控制。

? 記錄明顯的修改事件，包括對于狀態數據非期待的修改。? 記錄連接無效或者已過期的會話令牌嘗試。? 記錄所有的系統例外信息。

? 記錄所有的管理功能行為，包括對于安全配置設置的更改。? 記錄所有失敗的后端 TLS 鏈接。? 記錄加密模塊的錯誤。

? 使用加密哈希功能以驗證日志記錄的完整性。

數據保護

? 授予最低權限，以限制用戶只能訪問為完成任務所需要的功能、數據和系統信息。? 保護所有存放在服務器上緩存的或臨時拷貝的敏感數據，以避免非授權的訪問，并在上述數據不再需要時被盡快清除。

? 需要加密存儲的高度機密信息。例如，身份驗證的驗證數據。? 保護服務器端的源代碼不被用戶下載。

? 不要在客戶端上以明文形式或其它非加密模式保存密碼、連接字符串或其他敏感信息。這包括嵌入在不安全的環境中：如Adobe flash 或者已編譯的代碼。? 刪除用戶可訪問頁面中的注釋，以防止泄露后臺系統或者其它敏感信息。? 刪除不需要的應用程序和系統文檔，這些可能向攻擊者泄露有用的信息。? 不要在 HTTP GET 請求參數中包含敏感信息。

? 禁止表單中的自動填充功能。表單中可能包含敏感信息，包括身份驗證信息。? 禁止客戶端緩存網頁，網頁中可能包含敏感信息。

? 應用程序應當支持，當數據不再需要的時候，刪除敏感信息。

? 為存儲在服務器中的敏感信息提供恰當的訪問控制。這包括緩存的數據、臨時文件以及只允許特定系統用戶訪問的數據。

通信安全

? 為所有敏感信息采用加密傳輸。其中應該包括使用 TLS 對連接的保護，以及支持對敏感文件或非基于 HTTP 連接的不連續加密。

? TLS 證書應當是有效的，有正確且未過期的域名，并且在需要時，可以和中間證書一起安裝。

? 沒有成功的 TLS 連接不應當后退成為一個不安全的連接。

? 為所有要求身份驗證的訪問內容和其它所有的敏感信息提供 TLS 連接。? 為包含敏感信息或功能、且連接到外部系統的連接使用 TLS。? 使用配置合理的單一標準 TLS 連接。? 為所有的連接明確字符編碼。

? 當鏈接到外部站點時，過濾來自 HTTP referer 中包含敏感信息的參數。

系統配置

? 確保服務器、框架和系統部件采用了最新版本。

? 確保服務器、框架和系統部件安裝了當前使用版本的所有補丁。? 關閉目錄列表功能。

? 將 Web 服務器、進程和服務的賬戶限制為盡可能低的權限。? 當例外發生時，安全的進行錯誤處理。? 移除所有不需要的功能和文件。

? 在部署前，移除測試代碼和產品不需要的功能。

? 將不進行對外檢索的路徑目錄放在一個隔離的父目錄里，以防止目錄結構在 robots.txt 文檔中暴露。在 robots.txt 文檔中“禁止”整個父目錄，而不是對每個單獨目錄的“禁止”。? 明確應用程序采用哪種 HTTP 方法：GET 或 POST，以及是否需要在應用程序不同網頁中以不同的方式進行處理。

? 禁用不需要的 HTTP 方法，例如 WebDAV 擴展。如果需要使用一個擴展的 HTTP 方法以支持文件處理，則使用經過驗證的身份驗證機制。

? 如果 Web 服務器支持 HTTP1.0 和 1.1，確保以相似的方式對它們進行配置，或者確保明確它們之間可能存在差異（例如：處理擴展的 HTTP 方法）。

? 移除在 HTTP 相應報頭中有關 OS、Web 服務版本和應用程序框架的相關信息。? 應用程序存儲的安全配置信息應當可以以可讀的形式輸出，以支持審計。? 將開發環境從生產網絡隔離開，僅提供給授權的開發和測試團隊訪問。? 使用一個軟件變更管理系統，以管理和記錄在開發和測試中代碼的主要變更。

數據庫安全

? 使用強類型的參數化查詢方法。

? 使用輸入驗證和輸出編碼，并確保處理了元字符。如果失敗，則不執行數據庫命令。? 確保變量是強類型的。

? 當應用程序訪問數據庫時，應使用盡可能最低的權限。? 為數據庫訪問使用安全憑證。

? 連接字符串不應當在應用程序中硬編碼。連接字符串應當存儲在一個可信服務器的獨立配置文件中，并且應當被加密。

? 使用存儲過程以實現抽象訪問數據，并允許對數據庫中表的刪除權限。? 盡可能地快速關閉數據庫連接。

? 刪除或者修改所有默認的數據庫管理員密碼。使用強密碼或者使用多因子身份驗證。? 關閉所有不必要的數據庫功能（例如：不必要的存儲過程或服務、應用程序包、僅最小化安裝需要的功能和選項等）。

? 刪除廠商提供的不必要的默認信息（例如：數據庫模式示例）。? 禁用任何不業務不需要的默認帳戶。

? 應用程序應當以不同的憑證為每個信任的角色（例如：用戶、只讀用戶、訪問用戶、管理員）連接數據庫

文件管理

? 不要把用戶提交的數據直接傳送給任何動態調用功能。? 在允許上傳文檔之前進行身份驗證。? 只允許上傳滿足業務需要的相關文檔類型。

? 通過檢查文件報頭信息，驗證上傳文檔是否是所期待的類型。只驗證文件類型擴展是不夠安全的。

? 不要把文件保存在與應用程序相同的 Web 環境中。文件應當保存在內容服務器或者數據庫中。

? 防止或限制上傳任意可能被 Web 服務器解析的文件。? 關閉在文件上傳目錄的運行權限。

? 當引用已有文件時，使用一個白名單記錄允許的文件名和類型。驗證傳遞的參數值，如果與預期的值不匹配，則拒絕使用，或者使用默認的硬編碼文件值代替。

? 不要將用戶提交的數據傳遞到動態重定向中。如果必須允許使用，那么重定向應當只接受通過驗證的相對路徑 URL。

? 不要傳遞目錄或文件路徑，使用預先設置路徑列表中的匹配索引值。? 禁止將絕對文件路徑傳遞給客戶。? 確保應用程序文件和資源是只讀的。

? 對用戶上傳的文件執行安全檢查。例如：采取病毒掃描等措施。

內存管理

? 對不可信數據進行輸入和輸出控制。

? 重復確認緩存空間的大小是否和指定的大小一樣。

? 當使用允許多字節拷貝的函數時，如果目的緩存容量和源緩存容量相等，需要留意字符串沒有 NULL 終止。如果在循環中調用函數時，檢查緩存大小，以確保不會出現超出分配空間大小的危險。

? 在將輸入字符串傳遞給拷貝和連接函數前，將所有輸入的字符串縮短到合理的長度。? 關閉資源時需要注意，不要依賴垃圾回收機制（例如：連接對象、文檔處理等）。? 在可能的情況下，使用不可執行的堆棧。? 避免使用已知有漏洞的函數。

? 當方法結束時和在所有的退出節點時，正確地清空所分配的內存。

通用編碼規范

? 為常用的任務使用已測試且已認可的托管代碼，而非創建新的非托管代碼。

? 使用特定任務的內置 API 以執行操作系統的任務。不允許應用程序直接將代碼發送給操作系統，特別是通過使用應用程序初始的命令 shell。

? 使用校驗和或哈希值驗證編譯后的代碼、庫文件、可執行文件和配置文件的完整性。? 使用死鎖來防止多個同時發送的請求，或使用一個同步機制防止競態條件。? 在同時發生不恰當的訪問時，保護共享的變量和資源。

? 在聲明時或在

后盡快關閉所提升的權限。

? 通過了解使用的編程語言的底層表達式以及它們是如何進行數學計算，從而避免計算錯誤。密切注意字節大小依賴、精確度、有無符合、截尾操作、轉換、字節之間的組合，以及對于編程語言底層表達式如何處理非常大或者非常小的數。? 不要將用戶提供的數據傳遞給任何動態運行的功能。? 限制用戶生成新代碼或更改現有代碼。

? 審核所有從屬的應用程序、三、項目實施時間及成果文檔

風險評估工作計劃2015年10月—2016年3月進行，通過風險評估服務，形成以下成果文檔：

? 信息資產評估報告 ? 安全審計報報告 ? 漏洞掃描報告 ? 安全威脅分析報告 ? 網絡安全整改設計方案 ? 滲透測試報告 ? 源代碼安全審核報告 ? 綜合風險評估報告 ? 月度動態安全評估報告 ? 數據安全保護報告

安全設備加固工作計劃2015年5月—2016年2月進行，通過設備安全加固服務，將形成以下成果文檔：

? 安全加固方案 ? 服務器安全加固報告 ? 網絡及安全設備安全加固報告 ? 邊界安全策略安全加固報告 ? 滲透測試安全整改報告 ? 等級保護安全整改加固報告 ? 代碼審計協助性加固報告 ? 病毒庫升級報告

? 其它技術測試、評估發現問題的安全整改加固報告。

安全制度建設服務計劃2015年6月—2016年3月進行，通過安全制度建設服務，形成一套信息安全管理體系文件：

等級保護測評工作計劃2016年2月—2016年3月進行，完成等級保護測評后，形成以下主要成果文檔：

? 信息系統等級保護定級報告、備案證 ? 等級保護測評方案 ? 等級保護測評報告 ? 等級保護安全整改方案

安全技術運維服務計劃2015年5月—2016年3月，完成安全技術運維服務后，形成以下主要成果文檔：

? 安全設備日志分析與處理報告（每周一份）? 漏洞掃描報告（每月一份）? 滲透測試報告（每季度一份）? 無線網絡安全檢測報告（每周一份）? 上線安全評估報告（按需提供）? 應急響應服務（按需提供）

? 信息安全預案、信息安全預案演練報告 ? 安全修補方案、安全修補報告

安全宣傳工作計劃計劃2015年11月—2016年3月進行，完成安全咨詢、宣傳培訓及安全專家服務后，形成以下主要成果文檔： ? 安全咨詢方案（按需提供）

? 安全宣傳材料

上級部門交辦的安全自查與整改工作時間，按需提供。完成上級部門交辦的安全自查與整改工作服務后，形成以下主要成果文檔： ? 信息安全自查報告（按需提供）? 信息安全整改報告（按需提供）

建立安全運維體系工作，計劃2015年11月—2016年3月進行。通過建立安全運維體系服務后，形成以下主要成果文檔： ? 總體安全策略、方針

? 安全管理機構管理制度、檢查表、記錄表單（按需提供）? 安全管理制度管理制度、檢查表、記錄表單（按需提供）? 人員安全管理管理制度、檢查表、記錄表單（按需提供）? 系統建設管理管理制度、檢查表、記錄表單（按需提供）? 系統運維管理管理制度、檢查表、記錄表單（按需提供）

網站和網辦服務，計劃2015年11月—2016年1月進行，通過網站和網辦安全服務后，形成以下主要成果文檔： ? 源代碼安全審計報告（每個三級系統一份）