XX市“一网共享”数据安全服务项目需求说明.docx

《XX市“一网共享”数据安全服务项目需求说明.docx》由会员分享，可在线阅读，更多相关《XX市“一网共享”数据安全服务项目需求说明.docx（14页珍藏版）》请在优知文库上搜索。

1、XX市“一网共享”数据安全服务项目需求说明一、项目概况1 .项目背景近年来，国家陆续出台相关法律政策,统筹发展和安全,推动数据安全建设。2021年数据安全法个人信息保护法出台，与国家安全法网络安全法密码法民法典形成“五法一典”安全制度合规体系。在此基础上，2022年7月国家互联网信息办公室正式发布数据出境安全评估办法，开启数据出境监管新篇章，这是继网络安全法数据安全法个人信息保护法颁布实施的又一项重要的法律文件，标志着我国在依法治网方面取得了新的成效。同年“十四五”数字经济发展规划和网络安全审查办法颁布，要求提升重要设施设备安全可靠水平，增强重点行业数据安全保障能力，维护国家安全。我国数据安全

2、法制化建设不断推进，监管体系不断完善，安全由“或有”变“刚需”。结合顶层设计、法律法规，数据安全新监管同时体现对过程和结果的合规要求。根据中华人民共和国数据安全法的要求，维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。2022年10月14日，XX省人民政府为贯彻落实国务院关于加强数字政府建设的指导意见（国发2022）14号）工作部署,进一步推动全省数字政府基础能力均衡化发展,深化数字政府改革建设,促进XX经济社会高质量发展,根据XX省数字政府改革建设“十四五规划要求,发布XX省数字政府基础

3、能力均衡化发展实施方案。同年12月7日，XX省政务服务数据管理局发布XX省数字政府基础能力均衡化发展指标任务执行标准明确了均衡化发展指标要求、分值权重与具体执行标准。该执行标准明确了1个工作域（健全一体化安全保障体系）、3类工作重点（政务云基础安全保障、商用密码应用、数据安全保障）、4项建设指标要求。按照该项标准的要求，各地市需对照第39项指标一一加强数据安全保障，确保数据资源“一网共享”分节点安全可靠运行，具体要求为各地市“一网共享”平台需全面具备数据加密、数据脱敏和数据审计能力。2 .项目目标按照XX省数据资源“一网共享”平台数据资源分类分级指南，针对数字资源“一网共享”平台XX分节点的数

4、据进行数据安全运营实施工作。对“一网共享平台XX分节点，安装部署加密、脱敏和数据库审计软硬件设备，依据数据分类分级成果和敏感数据清单，设置数据加密、脱敏策略，通过“一网共享”数据安全监管工具统一管理数据安全防护策略，实现数据加密、脱敏、数据库安全审计信息统管，加强数据全生命周期安全保护能力，夯实安全基础。3 .建设内容本项目开展系列数据安全服务，确保XX省数据资源“一网共享”平台XX分节点全面具备数据加密、数据脱敏与数据审计等技术保障能力；建立数据安全保障体系，强化数据安全运营，保证XX省数据资源“一网共享”平台XX分节点持续安全可靠运行。“一网共享”数据安全服务项目服务采购内容序号分项名称主

5、要内容1数据安全管理制度体系建设服务根据省数据安全考核要求及XX政数局管理需求，建设数据安全管理相关制度、组织、要求、策略等，并开展数据安全培训服务；2数据安全体系培训针对XX省数据资源“一网共享”平台XX分点的所有用户开展数据安全及个人信息保护、数据安全的基本常识、数据安全的重要性以及个人对信息安全应负的责任。由1名讲师，2名辅助人员，每年培训1次，3年共3次。含培训材料的撰写，需根据省要求每年更新培训材料。3数据安全专项运营服务开展数据安全监管基础运营服务、数据安全风险评估服务、数据安全分类分级实施服务、数据加密实施服务、数据脱敏实施服务及数据安全审计服务。4数据安全常态化运营服务提供2名

6、工程师配合服务采购人开展日常数据安全运营工作5服务质量考核体系制定服务标准、考核评估办法、评估实施、结果评价、服务质量考核制度二、总体技术要求XX市“一网共享”数据安全服务项目实施充分利用现有先进、成熟技术，坚持需求主导、深化应用的原则，统一规划、统一布局、统一设计、规范标准、突出重点、分步实施，在规划、设计中遵循以下实施原则：（一）标准和规范化原则坚持“统一领导，统一规划，统一标准”的原则全面推进项目实施。通过集中采购、统一实施的方式，提高全省信息化基础设施建设水平，保证全省关键网络设备和主要业务系统的互联互通。严格遵循国家、省电子政务有关法律法规和技术规范的要求，从业务、技术、运行管理等方

7、面对项目的整体建设和实施进行设计，充分体现标准化和规范化。（二）功能适用原则体现“以服务为中心、以人为本”的实施主导思想，系统所有功能需要考虑到以用户为中心，通用功能应通过服务模式开放给其他功能使用。系统提供的应用模块，用户可以有选择地运用，每个软件之间相互独立，模块接口开放、明确，任何一个应用模块的损坏和更换不能硬性规定其他软件模块的应用。（三）架构稳定性原则基于现有的先进技术，采用微服务体系架构，基于公开标准的建设，技术上具备一定的前瞻性。可以快速便捷的升级相关技术，确保系统能够在技术不断发展的过程中跟上发展趋势，确保信息化技术发展具有明显的稳定性。（四）可扩展性原则系统的设计和实施要充分

8、考虑网络、硬件的扩展需要、应用系统二次开发的需要、以及支持未来可能出现的组织调整的需要。系统应采用开放的可扩充模块结构，保证以后可以方便地升级和不断增加新功能、增加容量、以及在同一平台上扩充其他业务应用功能。（五）数据共享原则确保数据安全为前提，打破原有各地、各行业烟囱式建设模式，连通一个一个“信息孤岛”，让数据多跑路，让百姓少跑腿。（六）安全和易用性原则能够采用先进的安全保密技术进行用户身份认证。将系统级身份认证和应用级身份认证统一灵活应用于各应用系统的登录、流转等功能模块中，操作方式应简单快捷。应具备完善的日志管理等功能，能够追踪记录每次操作情况，并对非法操作进行告警。系统统一各服务的界面

9、风格，统一用户操作流程，统一用户体验。（七）易于管理和可维护性原则必须保证整个系统的可管理性，以降低管理、维护成本。系统的服务器平台、网络平台、系统软件都应提供方便、灵活的维护手段，方便应用人员的维护和管理。三、服务内容（一）数据安全管理制度体系建设服务L数据安全管理规划协助XX政数局数据安全管理部门完成数据安全政策和标准的规划，明确对数据安全的要求和措施；形成数据安全风险评估要求。完成对系统权限和访问控制的管控设计，建立定期的安全审计和监控机制，及时发现和应对数据安全问题，确保数据的完整性、保密性和可用性。2 .数据安全体系细则构建服务以国家相关法律法规为指导，结合XX市数据安全管理办法，制

10、定相应的数据安全管理规范和细则，构建完善的数据安全管理体系框架。从管理视角出发，制定数据安全管理、人员安全管理、审计和应急制度。从指导具体工作实施角度，针对数据收集、存储、使用、加工、传输、提供、公开、销毁生命周期过程建设操作规定及流程，梳理分类分级方案，理清数据确权职责，建立相应的数据安全管理细则、操作指引。在数据安全体系建设工作中，根据当前数据安全保障体系的实施现状，结合最新的政策要求，为适应新时期的发展需求，重新审视已编制规范的执行和运行情况，并根据实际的操作反馈，持续补充完善编制工作。结合XX省数字政府网络安全指数指标体系中对数据安全管理的要求，完善相关管理制度。针对数据安全工作进行管

11、理细则的新增或修改补全，即有效地保护数据安全，同时确保数据安全的持续发展。3 .交付物数据安全管理办法，1份；数据安全管理相关细则，1套；（二）数据安全体系培训服务1 .培训目的数据安全体系培训是针对XX省数据资源“一网共享”平台XX分点的所有用户进行的，目的是使其了解数据安全及个人信息保护、信息安全的基本常识、信息安全的重要性以及个人对信息安全应负的责任，确保其在工作中自觉地遵守相关安全制度，维护信息系统安全。2 .培训计划安排根据建设单位实际需求安排培训计划，采用线下、线上或组合方式进行，被培训方提供场地、投影仪、白板及其它必要的设施，由单位安排具体培训，可将课堂布置成便于交流与讨论的形式

12、。为了保障培训效果，建议每场最高不超过40人，本次项目培训总人数预计80人。一场培训为3课时，每个课时约50分钟。3 .培训人员组成每场培训配备3位培训人员，分别是1位讲师和2位辅助人员。培训讲师具备业务培训服务技能，熟悉信息安全的业务，培训经验丰富，具有良好的培训技巧，能够进行各类的安全培训。辅助人员熟悉授课内容，能辅助培训讲师编制培训材料，完成培训任务，组织签到，解答培训现场的疑问，具有良好的表达沟通能力。4 ,培训对象及内容针对XX省数据资源“一网共享”平台XX分节点数据工作内容、岗位职责、组织建设，制定化提供对应数据安全培训方案，为XX省数据资源“一网共享”平台XX分节点的数据管理人员

13、和业务相关人员开展2次数据安全培训，包括技术技能、安全意识以及经验分享、行业先进经验学习等。主要内容包括：(1)政策法规类政策法规类课程主要提供近年国家、省、市出台的一系列数据安全及个人信息保护领域重要的政策法规，如数据安全法个人信息保护法关键信息基础设施安全保护条例等的解读和分析，提升安全意识。(2)标准规范类标准规范类课程主要提供数据安全及个人信息保护领域的标准和规范的解读和分析，如GB/T37988-2019信息安全技术数据安全能力成熟度模型标准解析、GBT36073-2018数据管理能力成熟度评估模型标准解析、GB/T35273-2020信息安全技术个人信息安全规范规范解析等，提升安全

14、意识。(3)技术实践类技术实践类课程主要提供数据安全和个人信息保护技术基础、数据安全和个人信息保护相关检测评估技术和实施方法、流程、数据安全加固、数据安全事件应急响应等内容，为具体技术工作提供指引。5 .服务频率每年至少完成1次培训，有紧急情况需要则增加培训次数。6 .交付物数据安全培训材料，1套。（三）数据安全专项运营服务L数据安全监管基础运营服务根据XX政数局数据安全管理现状，结合XX省均衡化考核要求，提供数据资产梳理、数据资产转型管理、数据安全组件集成、数据安全策略制定、数据安全时间管理、数据安全运营报表数据归集、数据安全基础配置实施等服务。数据资产梳理服务需要满足XX政数局所有数据库、

15、文件系统、大数据组件的适配，根据提供的IP地址和端口定期、定时搜索发现网络内数据库或大数据组件或文件系统，建立全局的数据资源目录，开展数据资产发现和识别工作。要求配置实施不低于40种的敏感特征库，根据敏感数据的定义，使用内容识别手段（关键字、正则表达式、内容指纹、字典等），对于数据进行内容识别和检测。数据资产专项管理服务需定期、定时完成一网共享平台数据架构扫描；对数据库的账户进行扫描，获取其账号、账号权限等相关权限信息；维护数据类别标签及数据风险等级，开展自定义数据类别标签及数据风险等级梳理、配置；形成敏感数据资产可视化和数据分布管理清单；根据数据资产的多维度，如（字段名/文件名、字段备注、表/文件备注、存储位置、文件大小、敏感特征等）配置标记组合规则，对数据库账户进行手动标记；提供数据资产台账查看、检索、导出服务；提供数据分类分级看板服务。数据安全组件集成服务需集成数据库审计、数据脱敏、数据库加密工具。实现策略下发，同时对安全组件的运行状态、设备启用状态、持续时间、资源使用率、防护数据库数量、数据库类型分布、数据库访问日志统计、风险日志统计等进行实时监控，帮助运维管理人员及时掌握全网设备安全状况，实现对敏感信息的监管和风险预警，一旦出现安全风险及时通知管理员。数据安全策略需制定服务数据