网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

人员安全管理评估工作：对供应链厂商及人员开展背景审查；建立网络安全责任人制度，对供应商的网络安全组织架构及制度等进行审查；对供应商人员的安全培训以及人员考核进行检查，考核包括但不限于技能考核、网络安全意识考核、保密常识等方面的内容；审查供应商的应急响应机制，包括应急预案以及供应商应急演练记录等。

开发建设管理评估工作：对供应商软件开发场所进行审查，确保开发场所安全可控可信；对供应商开发环境进行管理评估，评估内容包括开发测试环境安全可信、开发工具等终端以及移动存储介质检查；对供应链厂商的产品和服务管理进行评估，核查供应链产品清单；对供应链厂商进行第三方组建管理，包括组织供应链厂商开展代码安全评估、代码管理安全评估等。

供应商数据安全管理评估工作：对供应商提供用于测试的税务数据进行脱敏检查；对于生产数据核查其权限管理落实情况；对供应链厂商的数据安全管理活动开展评估，核查数据留存情况是否符合要求。

（3）报告编制阶段

测评报告编制：汇总供应链厂商及人员安全管理评估结果、开发建设管理评估结果、供应商数据安全管理评估结果，形成供应链产品清单、供应链安全评估报告。

（4）安全服务要求

投标人应依据供应商评估具体要求和指标，结合我局对于信息系统供应链厂商安全要求开展评估工作：测评机构应保守在测评活动中知悉的国家秘密、工作秘密、数据和个人隐私，对所出具的评估报告负责。

3.5数据安全风险评估服务

依据（TSZBA 001—2023）《数据安全合规评估方法》，GB/T 20984-2022《信息安全技术 信息安全风险评估方法》，围绕数据安全需求，从以下方面开展风险评估：基于黑盒的漏洞扫描和渗透测试；基于白盒的源代码安全审计、源代码成分分析、源代码第三方组件漏洞分析(省自行开发部分)；基于灰盒的接口访问安全和数据安全评估；数据资源外泄监控评估（数据权限安全、数据加密安全、数据脱敏安全等)；系统和数据权限管理评估；围绕全流程税务数据安全开展评估工作，包括数据的收集安全、存储安全、使用安全、加工安全、传输安全、提供安全、公开安全、删除安全，根据数据的重要性和敏感性，从证书认证、通道加密、内容加密、数据水印、数据防泄漏、数据防篡改、数据备份、数据脱敏、数据抗抵赖、数据运维和管理等方面进行综合评估。

3.5.1 数据安全风险评估准备

在对被评估的数据资产进行充分调研的基础上，确定数据安全评估范围、评估方式和依据，并配合采购人组织相关人员、并召开项目启动会，制定数据安全评估方案。

3.5.2 数据安全风险识别阶段

资产识别分析：调研分析，进行资产分类、资产赋值（保密性赋值、完整性赋值、可用性赋值、资产重要性等级）。

威胁识别分析：依据资产确定威胁识别对象，进行威胁分类、威胁赋值。

脆弱性识别分析：针对税务相关业务系统，利用人员访谈、资料核查、技术手段核查、系统测评等方法，围绕数据全生命周期安全，进行脆弱性识别内容确定、脆弱性赋值。通过文档查阅、漏洞扫描、人工核查等对各资产进行检查和测试，分为技术和管理两个方面进行脆弱性识别分析。脆弱性识别是风险评估过程中最重要的环节。

根据分析情况出具资产调研报告、资产识别报告、威胁识别报告、脆弱性识别报告。

3.5.3 数据安全风险分析与评价阶段

在识别脆弱性的同时，对已采取的安全措施的有效性进行确认，并评估其有效性，并出具安全措施确认报告。中标供应商须从脆弱性评估开始，对被评估系统不可接受风险的资产残余进行再评估，在对照安全措施前后的脆弱性状况后，再次计算风险值，对于残余风险仍处于不可接受的范围内，中标供应商须继续提供相应安全措施，直至不可接受风险的资产处于可接受的范围内。

3.5.4 报告编制与评审

评估后形成漏洞扫描和渗透测试报告、源代码安全审计报告、第三方组件使用清单，以及第三方组件安全分析报告。汇总数据安全评估结果，编制数据安全风险评估报告。

3.5.5 安全服务要求

投标人应依据风险评估方法，结合我局对于数据安全需求开展评估工作：测评机构应保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，对所出具的风险评估报告负责。

4.技术支持服务要求

4.1 服务期限要求