数据安全管理平台采购需求.docx

数据安全管理平台采购需求一、项目概况1 .项目背景当前，我国电子政务建设逐步迈入“集约整合、全面互联、协同共治、共享开放、安全可信”的新阶段，云计算、大数据、区块链等新技术、新理念与国家治理体系和治理能力现代化交汇融合，如何创新发展模式、全面提升应用效能成为新时期电子政务建设的重要命题。2015年，国务院促进大数据发展行动纲要指出，我国在大数据发展和应用方面存在政府数据开放共享不足、产业基础薄弱、缺乏顶层设计和统筹规划、法律法规建设滞后、创新应用领域不广等问题，亟待解决。提出加强顶层设计和统筹规划，明确各部门数据共享的范围边界和使用方式，厘清各部门数据管理及共享的义务和权利。2016年，十三五规划纲要提出，要实施国家大数据战略，把大数据作为基础性战略资源。2017年，政务信息系统整合共享实施方案明确提出建设“大平台、大数据、大系统”，形成全面覆盖、统筹利用、统一接入的数据共享大平台。2020年3月4口，中共中央政治局常务委员会召开会议提出，“加快5G网络、数据中心等新型基础设施建设进度。注重调动民间投资积极性:2021年12月，XX市出台了XX市人民政府关于印发XX市数据要素市场化配置改革行动方案的通知，希望充分发挥数据治理在“数字政府”建设中的关键作用。数据安全建设是国家“十四五”规划的重点内容。国家“十四五”规划重点强调要全面加强网络安全保障体系和能力建设、保障国家数据安全，加强个人信息保护以及建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用。与此同时,我国近几年相继出台了大量的法规，对个人、企业和国家重要数据进行保护。主要包括：中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法。尤其2021年个人信息保护法和数据安全法两项法律正式施行，为我国的关键数据安全和个人信息安全指明了方向，并提出了明确的要求。当前XX区初步完成大数据平台的基础设施建设，归集了全区业务部门数据约61亿条。然而尚有大量业务系统数据未接入共享平台进行共享，且当前数据治理存在诸多问题，制度上存在数据孤岛现象，存在数据质量问题；业务上存在平台功能与实际业务不配套，制约了使用的范围；区各业务部门对数据中心建设有迫切的诉求。XX区需统筹规划，通过数据中心建设整合全区数据资源，改造并优化数据管理流程，监督数据管理运营。数据安全治理主要针对数据安全管控展开，数据安全管控是一套以数据安全治理相关组织和人员为核心的，涵盖数据安全治理制度、技术、运营各方面的执行保障机制，其本质是通过高质量的人才队伍和严明的制度体系、技术防护措施来确保数据安全战略被正确落实。因此数据安全管控是开展数据安全治理的重要基础性保障。在数据安全治理过程中，数据安全团队重点针对数据安全管控的方式方法、原则思路、落地步骤等提供设计建议、技术防护，为XX市XX区提供专业、可执行的数据安全建设方案。2 .项目目标通过本项目建设，系统梳理和评估XX市XX区数据安全现状情况，建立配套的数据安全管理制度体系，构建数据安全管理平台，加强覆盖数据生命周期的防护能力，以及建设实战化的数据安全运营体系。最终，将全面提升XX市XX区数据安全防御能力，降低数据安全风险，为XX市XX区信息化业务发展及信息化建设提供坚实可靠的数据安全保障。3 .项目周期1、项目合同履行期限36个月；2、合同签订后6个月内完成软硬件产品到货安装、部署和调试，达到合同约定的功能及性能要求后进行项目初步验收。通过项目初步验收后进入产品三年质保期；3、本项目安全服务的服务期为合同签订后起24个月，达到合同要求后开展项目最终验收。按第二章采购需求服务技术要求内容履行。二、项目服务内容1 .采购需求一览表序号建设项服务/设备名称服务内容/规格参数数量单位1数据安全合规服务数据安全顶层规划咨询服务派遣数据安全咨询专家开展XX区数据安全总体规划设计，采取现场访谈、调研、查阅组织级战略规划文件等方式，深入了解组织数据安全现状、挑战及业务需求，根据实际调研结果针对性设计数据安全总体架构、功能定位及建设目标。一、数据安全总体架构需覆盖数据安全管理体系、数据安全技术体系、数据安全运营体系三大体系，并详细规划每个体系的组成部分、功能定位及建设目标；二、查阅组织最新的战略规划文件、业务发展规划等相关资料，确保数据安全规划与组织战略相契合；三、明确规划阶段所需的具体任务，并按照其可行性、紧迫性、实用性和回报率等结合现状需求进行优先级排序，归类总结出组织数据安全建设路径；四、编制数据安全体系规划报告和数据安全体系实施路线图，以清晰阐述数据安全规划的设计思路和实施方案，并以图形化方式展示数据安全建设的路径和关键任务。1项2数据安全管理制度建设依据数据安全管理体系规划框架，制定符合组织级数据安全管理体系制度、要求、流程、规范等。通过文档审阅及现场访谈的方式，了解目前XX区数据安全管理制度体系合理性、适用性和有效性，安全管理制度规程和技术措施的实行情况等。应全面1项序号建设项服务/设备名称服务内容/规格参数数量单位服务了解XX区数据安全管理现状，结合管理情况协助局内负责人编制或更新不少于9份规范性文件。选定1个试点范围（场景/部门），开展1次制度试运行工作，并且组织规范文件试行研讨会，了解试行结果，进行相应的优化工作。输出物包括但不限于：数据安全管理办法、XX区数据合作方安全管理规范、数据安全采集管理规范、数据安全传输管理规范、数据安全存储管理规范、数据处理阶段管控规范、数据安全交换管理规范、数据安全销毁管理规范、数据共享规范等。3数据安全风险评估服务依据网络数据安全风险评估实施指引规范，对大数据平台、视频汇聚平台、地理信息系统每年开展1次数据安全风险评估工作。明确数据安全检查指标和检查方案，从合规视角和风险检测视角综合分析，最终形成评估报告及整改建议。输出物：数据安全风险评估服务实施方案、数据安全调研记录、资产调研表清单、数据库资产清单、数据安全漏洞威胁赋值表、核心数据库敏感字段清单、用户及用户权限清单、数据库漏洞检测报告、已有安全措施列表、数据安全风险汇总表、数据安全风险评估报告。1项4数据安全数据安全运营流程为保障数据安全运营的持续化建设工作顺利开展，服务方需协助建立区政数局数据安全运营流程规范，包括建立数据安全运营体系管理规范及数据安全运营团队架构，为数据安全运营提供保障。输出1项序号建设项服务/设备名称服务内容/规格参数数量单位运营服务建设服务物：数据安全运营管理流程、数据安全运营工作指南、数据安全运营团队架构图等。5数据安全应急响应服务提供数据安全应急响应、应急演练等服务。当组织单位发生突发安全事件时提供应急响应处置支撑服务(大数据科)，输出相应的应急预案，在紧急情况下能正确、有效的处理各类信息系统在运行故障；另一方面，通过桌面应急演练作为检验，评价和维持组织单位大数据科应急能力，检验应急预案体系的完整性。输出物：数据安全应急预案、应急演练记录等，含四次应急处置支撑，协助完善数据安全应急预案；并提供2次数据安全应急演练服务。1项6数据安全培训服务服务方派遣数据安全理论、技术专家，针对组织单位(含各委办局单位)全体人员开展各主题数据安全培训工作，提升组织单位全员数据安全意识，掌握数据安全发展趋势，了解新型风险和攻防新技术，掌握数据安全设备软硬件技能，贯彻数据安全管理制度，提高数据安全防护能力。通过定期组织数据安全法律法规政策及管理制度培训1、数据安全意识培训I、数据安全基础知识培训、数据安全管理运营能力提升等主题培训，全面增强全体员工数据安全防护意识和数据安全防护能力。培训课件围绕如下核心课题展开，包括但不限于：(1)数据安全法律法规政策及管理制度培训(2)数据安全意识培训4次序号建设项服务/设备名称服务内容/规格参数数量单位（3）数据安全基础知识培训（4）数据安全管理运营能力提升（5）其他课题输出物：数据安全培训PPT、数据安全培训考题、培训签到表、培训评价表、培训总结等。7数据安全驻场运营服务1、数据安全效能评估依据国家法律法规政策规范，制定数据安全效能评估检查指标，每年针对XX区各单位开展抽查式的数据安全效能评估工作，明确数据安全检查指标和检查方案，从合规视角和风险检测视角综合分析；逐步提升数据安全管理能力，逐步趋向数据安全检查指标要求，满足基础的数据安全合规性要求，最终形成评估报告及整改建议。服务周期内提供全区区直单位及24个镇街的数据安全效能评估并输出相应评估报告数据安全效能评估报告。2年82、数据安全风险监测在运营阶段，数据安全运营驻场人员承担协助XX区政务服务和数据管理局完成数据安全事件监测及预警工作；需定期通过相应的安全扫描、安全审计和安全监测等活动，对XX区政务服务和数据管理局内部数据资产面临的风险和外部的威胁情况进行持续安全监控，确保能够准确地发现异常行为和事件，能够了解其潜在影响，并及时验证保护措施的有效性，提供预警信息和建议，协助采取应对措施，确保数据安全风险事件处置的及时率。2年序号建设项服务/设备名称服务内容/规格参数数量单位风险监测时期工作内容包括：全面监控、实时预警、风险分析、监测报告；负责全局数据安全监测数据的统计、维护及管理；负责协助组织单位开展其他日常监测工作等。93、数据安全分析研判本项目数据安全运营驻场人员通过运用专业技术手段，对XX区政务服务和数据管理局的数据安全事件进行深入、全面的调查和分析，细化事件本质、原因和影响，并提供针对性的防护建议和策略。同时，协助本单位制定决策和处置方案，确保数据安全风险事件得到及时、有效的处理，为政务服务的数据安全提供有力保障。分析研判时期工作内容包括：事件分析（发生的数据安全事件或其他告警事件）；威胁情报收集，及时预警并提供应对策略；定期对组织单位的数据资产进行风险评估，采取渗透测试、漏洞扫描等检测手段，识别潜在的安全漏洞和脆弱点，并提出针对性的防护建议；形成专业的研判报告，总结分析研判结果，为组织单位提供决策支持，指导本单位加强数据安全防护工作；基于分析研判结果，为组织单位提供数据安全策略建议，协助本单位完善安全管理或技术体系，提升整体安全防护能力；协助组织单位开展其他日常分析研判工作，确保其数据安全工作的连续性和有效性。2年序号建设项服务/设备名称服务内容/规格参数数量单位104、API安全监测审计建立对敏感数据的识别规则和持续风险监测能力，以敏感数据作为数据安全风险监测目标，既可监测应用接口交互的信息中是否有和用户身份以及用户信息相关的敏感参数和外部越权攻击、盗取敏感信息的行为，也可监测内部人员非法访问和下载，或非法将数据上传至服务器，以供外网下载的内部数据安全问题。2年115、数据库运维审计传统的数据授权方式是针对数据库账号的授权，由于数据库自身的限制，不能实现针对数据的细粒度授权，数据的规范使用和越权访问无法有效控制。而后台的运维人员均为特权账号人员，建设基于数据的权控系统，不但能够实现数据权限最小化，大大降低数据越权访问和违规使用的概率。本服务主要通过数据库防火墙工具提供“哨兵式”的安全看护服务，及时发现并有效控制安