*、采购项目需要落实的政府采购政策:(根据采购项目特点选择)
(*)强制采购:列入财政部、国家发展改革委发布的最新一期《节能产品政府采购清单》且属于应当强制采购的节能产品 R
(*)优先采购:政府采购鼓励采购节能环保产品、政府采购支持两型产品R
(*)价格评审优惠:政府采购促进中小企业发展(包括政府采购支持监狱企业发展、政府采购促进残疾人就业)R
*、采购进口产品:本项目拒绝进口产品投标。
二、相关标准:符合国家和地方相关规定要求。
一、项目概况
*、项目背景
*.*数据安全成为国家安全战略
在“十四五”规划中,关于国家安全战略层面,“坚持总体国家安全观,实施国家安全战略,维护和塑造国家安全,统筹传统安全和非传统安全,把安全发展贯穿国家发展各领域和全过程,防范和化解影响我国现代化进程的各种风险,筑牢国家安全屏障。”
作为国民经济和社会发展的风向标,在《“十四五”规划和****年远景目标纲要》里,数据安全建设融入到各个篇章中,对建设数字化中国和打造网络安全强国做出了重要部署。其中第十七章“提高数字政府建设水平”,建立健全国家公共数据资源体系,确保公共数据安全,推进数据跨部门、跨层级、跨地区汇聚融合和深度利用;第十八章“营造良好数字生态”,加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护。完善适用于大数据环境下的数据分类分级保护制度。加强数据安全评估,推动数据跨境安全有序流动。
结合《网络安全法》、《数据安全法》、《个人信息保护法》、《民法典》《网络数据安全管理条例》等一系列重磅新法均在年内正式施行,国家层面对于数据安全治理的实践蓬勃开展,数据安全行业和市场正式步入“有法可依、有法必依”全新历史阶段。
*.*数据安全发展成为必然趋势
随着数据安全相关法律法规的相继实施,对数据资产进行全生命周期的安全管控已成为未来可持续发展的必然要求。数据资产安全合规是可持续发展的首要条件,在数据资产的产生、存储、传输、交换、使用等全生命周期的各重要环节如何做到数据资产防泄漏、防篡改、防滥用是数据资产所有者当前及今后面临的数据资产安全管控的永恒命题。
以加密技术为基础,以人工智能、大数据分析等技术为手段构建的数据安全管控平台,以数据资产安全视角对数据资产进行实时动态监测,为数据安全治理和风险管控提供精准依据和量化支撑。通过数据资产梳理规划、分类分级,完成数据资产类目构建与数据敏感信息归集等工作,不断提升数据资产管理规范和管理能力。通过智能化检测模型分析对敏感数据资产的访问行为,实现对敏感数据资产访问的异常检测以及告警功能,全面提升数据资产风险预判和规避能力。
*.*现阶段数据安全形势
目前在全球数字化、大数据蓬勃发展以及数据要素运营的推动下,数据已成为国家重要战略性资源。随着互联网、大数据、云计算、人工智能等新兴技术的兴起,构建人机协同的数字化、网络化、智能化的集成应用系统,以数据共享和流程再造来实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务。在数据安全方面,数据泄露事件层出不穷,近年来有上升趋势,建立有效的数据安全防护体系是当务之急。
*、建设目标
本项目的建设遵循坚持数据安全与数据资源共同发展的理念,以保障数据安全为核心,建立有效支撑大数据服务业务的技术体系架构;建设覆盖数据资产全生命周期与业务场景深度融合的数据安全统一管理平台,提升风险核查能力、数据资产梳理能力、数据保护能力以及数据威胁监控预警能力等四大核心技术能力,实现针对数据安全合法合规性的全面、统一、监测、响应与管控,以满足国家与行业数据安全合法合规性要求,并在此基础上实现数据安全检测与管控技术能力的不断扩展、细化、强化,满足长期、连续性数据安全合规性与防护需求。
*、建设规模
本期项目针对望城区大数据平台提供数据安全治理和数据安全分级服务,对鲲鹏云上全域数据的全生命周期进行安全防护,为其提供灵活、可靠、安全的数据治安全理服务、数据安全基础能力支撑、数据安全运维服务。
二、项目建设内容
本期建设内容主要包括数据安全治理服务建设、数据安全基础能力建设(含数据安全统一管理平台)、数据安全运维能力建设三大部分。
*、建立完善数据安全治理体系
通过数据资产梳理、数据安全分级等手段,针对数据资产、脆弱性、威胁等方面进行系统化的测评分析,建立各类配套数据安全管理制度、数据安全标准规范、各类数据安全策略、建立完善数据安全组织架构以及配套建设数据分级平台,综合形成能够符合等级保护建设要求并充分保障业务安全的规范体系。
*、构建数据安全基础防护能力体系
从数据全生命周期角度出发建设数据安全技术体系,通过数据库防火墙、数据库加密、数据脱敏、API监控系统等数据安全原子能力以及数据安全统一管理平台,全面提升望城区数据安全纵深防御能力,全面保障望城区大数据平台安全。
*、打造数据安全治理运维体系
以人、技术和流程为核心,通过从驻场运维、应急响应支撑等运维服务,形成一整套持续化运维和应急响应机制,达到威胁快速定位,事件快速处理,再根据成效评估进行改进,保证整个项目的正常实施和持续性建设。
三、项目建设标准及要求
*、项目执行标准
目前国家、省、市,以及大数据行业内已有一系列相关标准规范,望城区作为区级行政管理单位,数据安全治理和数据安全防护应遵循相关标准规范,本项目参考标准规范如下:
*.*国家现行标准规范
序号 |
要求标准 |
相关标准、规范及文件 |
* |
网络安全法 |
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; 第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。 第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。 |
* |
等保*.* |
*、《GBT*****-****信息安全技术网络安全等级保护基本要求》“安全通用要求-安全计算环境-安全审计”: a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; d)应对审计进程进行保护,防止未经授权的中断。 *、《GBT*****-****信息安全技术网络安全等级保护基本要求》中“安全管理机构-授权和审批”: a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度; c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。 *、《GBT*****-****信息安全技术网络安全等级保护基本要求》中“安全运维管理-网络和系统安全管理”要求如下: g)应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库; h)应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据; i)应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道; *、《GBT*****-****信息安全技术网络安全等级保护基本要求》中个人信息保护: b)应禁止未授权访问和非法使用用户个人信息。 *、《GBT*****-****信息安全技术网络安全等级保护基本要求》中外部人员访问管理: d)获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。 |
* | ||
* |
数据安全法 |
*、数据安全制度建设: 数据分类分级制度 重要数据保护目录 数据安全风险评估、上报、预警监测 数据安全应急预案,建立数据安全应急组织、应急响应流程、上报机制、应急工具、报告 数据安全审查制度数据出境管理制度 *、数据安全保护义务: 数据全生命周期安全管理,采集、传输、存储、处理、交换、共享 建立数据安全管理制度,定岗定责,定规范定流程,上产品,做培训 确定重要数据,需要数据分类分级并对敏感数据重点保护 开展风险监测,通告、上报 加强风险补救措施,修复漏洞、数据加密、数据脱敏,定期风险评估、评估方向,数据采集必须合法、正当,数据来源必须合法、可信,身份鉴别、数据审计 *、政务数据安全与共享 建立制度、定岗定责 对数据存储、加工和共享活动进行数据保护,委托他人责任主体不变 政务机构的政务数据开放平台,需要进行数据安全管控 |
* |
个人信息保护法 |
*、个人信息收集 (*)合法性 *.是否以欺诈、诱骗、误导的方式收集个人信息 是否隐瞒产品或服务所具有的收集个人信息的功能 是否从非法渠道获取个人信息 (*)最小必要 *.收集的个人信息的类型是否与实现产品或服务的业务功能有直接关联 *.自动采集个人信息的频率是否实现产品或服务的业务功能所必需的最低频率 *.间接获取个人信息的数量是否实现产品或服务的业务功能所必需的最少数量 (*)个人信息保护政策 *.个人信息保护政策的内容是否包括:个人信息控制者的基本情况,收集、使用个人信息的业务功能,个人信息收集方式、存储期限、涉及数据出境情况等个人信息处理规则,提供个人信息后可能存在的安全风险等。 *、个人信息存储 敏感信息的传输和存储 传输和存储个人敏感信息时,是否采用加密等安全措施。 *、个人信息使用 (*)访问控制措施 *.对被授权访问个人信息的人员,是否建立了最小授权的访问控制策略,只能访问职责所需的最小必要的个人信息。 *.是否对个人信息的重要操作设置内部审批流程施。 (*)用户画像的使用限制 *.在业务运营或对外业务合作中使用用户画像时,是否侵害公民的合法权益,危害国家安全。 *.使用个人信息时,是否消除明确身份指向性,避免精确定位到特定个人。 *、组织的个人信息安全管理 (*)个人信息处理活动记录 个人信息控制者是否建立、维护和更新所收集、使用的个人信息处理活动记录 (*)数据安全能力 个人信息控制者是否建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改。 |
*.*省、市现行标准规范
包括但不限于如下:
(*)《政务大数据中心数据交换规范》(DB**/T****-****);
(*)《关于印发湖南省建立建全政务数据共享协调机制加快推进数据有序共享实施方案的通知》(湘政办发〔****〕**号);
(*)《湖南省“十四五”数字政府建设实施方案》;《湖南省电子政务外网安全管理暂行办法》;
(*)《湖南省网络安全和信息化条例》;
(*)《长沙市政务数据资源归集与目录编制管理规范》;《长沙市政务信息资源目录编制指南》;
(*)《长沙市政务数据资源目录编制指南》;《长沙市政务数据安全管理规范》;
(*)《长沙市政务数据分类分级规范》。
本项目原则上遵循国家、省、市,以及大数据行业内已有一系列相关标准规范和管理办法,无需新增相关标准规范。
*、项目建设要求
*.* 数据安全治理建设
*.*.* 数据安全治理服务
(*)按照“项目建设、标准先行”原则,基于数据安全分类分级相关标准规范开展数据安全治理服务,规范全量政务数据资源安全探查及目录编制,指导数据分类分级保护措施制定。
(*)政务数据资源全量发现,完成鲲鹏云大数据平台及相关数据库表梳理工作。
(*)数据资源安全治理,基于政务数据资源全量发现成果,结合数据安全中对数据元编制要求,完成政务数据资产清单梳理编制工作,为数据分类分级保护工作提供依据。
(*)根据大数据分类分级标准、指南等,完成数据安全分级治理工作,结合大数据平台数据分类资产,形成《数据安全分级清单》并在此基础上定义数据全生命周期管理措施,为全区政务数据安全分类分级保护工作奠定基础。
(*)数据安全策略与保护,依据《数据安全分级清单》分类分级结果开展数据安全策略配置和保护。
(*)应用场景用数管理,统一梳理、展现应用场景的用数情况,展现应用场景对应数据需求的分类分级情况。
(*)进一步完善基础数据资源治理工作,围绕业务战略,组织需要充分调研和分析当前的数据管理现状及存在问题,以规划确定数据安全治理目标及数据安全治理实施路线,保障数据治理工作有序开展。通过调查问卷、人员访谈、高层领导访谈等方式对组织的数据治理实施范围及目标进行调研,从技术、业务、管理视角理解组织数据治理问题、痛点和核心需求。结合调研,确定数据治理的实施活动,制定分步实施的数据治理策略。
(*)结合数据安全治理策略,围绕数据架构、元数据、数据标准、数据质量、主数据、数据应用、数据安全、数据生存周期等开展具体治理实施活动。包括识别并确定元数据及管理范围、制定数据标准并应用相关标准规范数据的描述、识别主数据进行主数据清洗,以及按照数据质量规范检查数据质量,及时发现、定位、检测、跟踪、解决各类数据质量问题。
(*)参照省、市数据资源分类分级指南等要求,利用相关工具对望城区大数据平台上的数据进行数据安全分级。通过机器学习、关键字识别、正则表达式、文件指纹识别等技术经过反复的样本训练与模型修正,在数据安全分级平台内置分级规则和算法,实现对数据自动、精准的分级。
*.*.* 数据安全治理策略
在本项目中,数据治理策略的制定是一个系统性且关键的过程,旨在确保数据的准确性、完整性、一致性和安全性,但总体上遵循现有大数据平台的治理策略原则,具体如下:
(*)明确目标与需求
识别关键数据资产:对望城区大数据平台内的数据进行全面梳理,包括数据类型、数据来源、数据处理方式等,了解数据全生命周期的流程和风险点。
确定数据安全目标:根据业务需求、法律法规和行业标准,明确数据安全治理的目标,如保障数据完整性、可用性、机密性等。
(*)风险评估
进行数据安全风险评估:识别潜在的数据安全威胁和漏洞,包括内部和外部的风险因素。
评估数据治理现状:了解当前大数据平台数据治理的成熟度,识别存在的问题和不足之处。
(*)制定策略与标准
制定数据治理策略:基于风险评估结果和业务需求,制定明确的数据治理策略,包括数据所有权、使用权、管理权等,确保数据使用和管理有序进行。
建立数据标准:建立统一的数据标准、遵循的标准规范等,包括数据格式、命名规范、质量要求等,确保数据的准确性和一致性。
制定数据安全政策:明确数据的使用、访问、存储、传输等方面的安全要求,制定详细的数据安全管理规定,规范数据的处理、保护、审计等流程。
(*)实施与监控
建立组织架构:成立专门的数据治理团队,负责数据治理策略的制定、实施和监督。
实施数据治理措施:根据制定的策略和标准,实施具体的数据治理措施,如数据加密、访问控制、安全审计等。
建立监控机制:建立安全审计和监测机制,定期对系统和数据安全进行安全审计和监测,及时发现和应对潜在的安全问题或漏洞。
(*)持续优化与改进
定期评估:定期评估数据治理策略的有效性,检查是否达到了既定目标,并根据评估结果进行调整和优化。
培训与意识提升:加强运维人员数据安全培训,提升全员数据安全意识和合规意识。
引入新技术:关注数据安全领域的新技术和新方法,适时引入以提升数据治理水平。
(*)法律法规遵循
关注法律法规:密切关注国内外以及长沙市等主管部门对数据安全的相关法律法规的更新和变化,确保业务活动符合法律要求。
合规性评估:定期进行合规性评估,确保数据安全治理措施与法律法规保持一致。
*.*.* 数据安全分类分级
数据的分类分级工作是数据安全保障工作的根本,几乎所有的数据安全管理工作都会围绕数据的分类分级进行展开,本项目根据建设需要,由望城区数据资源中心协调各业务部门配合,采购第三方数据安全的分级服务(平台系统+人工服务),制定数据分类分级的指南,明确数据安全分类分级原则和方法。基于GBT*****-****《数据安全技术数据分类分级规则》以及长沙市大数据平台数据分类分级规范等文件要求,在分类方法上根据数据权属、来源等属性或特征,按照一定的原则和方法进行区分和归类,以便更好地管理和使用数据。在分级方法上按照内容敏感程度等分级原则对分类后的数据进行定级,从而为数据共享开放的安全策略制定提供支撑。
*.*.* 成果物输出
本项目数据分类分级服务以人工治理服务为主,产品辅助的服务方式。
主要交付物包括但不限于数据安全治理服务、数据安全分级服务、《数据安全分级清单》等。且在项目服务期内,中标服务商要求按望城区数据资源中心对数据资源管理的要求以及大数据平台上数据更新的频率,持续性对交付物进行更新,(具体更新要求以实施为准);并在项目服务期内提供*名数据安全治理专业人员进行驻场服务,提供****h的响应服务,***h的驻场服务。
(*)数据安全治理服务
以应用需求为导向编制,对望城区大数据平台上的数据进行数据安全治
理,将组织内的所有数据进行汇总,构建出一张全局的数据地图,清晰地展现出组织拥有的数据内容、数据量、数据价值、数据存储位置以及数据归属和责任人,帮助组织掌握其拥有的所有数据及数据价值,为组织进行数据管理、数据价值挖掘以及数据保护提供指导依据。
包括但不限于如下内容:
基础性梳理:业务系统基础梳理、数据基础信息、数据生命周期防护手段、数据使用人员。
数据流向:输入、输出、控制三个方面。
元数据列表、分类和属性,如数据库中的元数据列表、分类和属性;文件/文件夹中的元数据列表、分类和属性表。
数据资源盘点统计,如数据的整体情况,数据明细统计等。
(*)《数据安全分级清单》
在数据资产清单的基础上,根据大数据分级分类要求,制定数据分级具体策略,并结合工具对大数据平台的数据资产进行扫描、自动识别敏感数据、初步数据安全分级、审核校对等操作,最终形成政务数据分级清单,包含:
*.数据集名称:描述库表名称。
*.数据项:描述具体有哪些字段。*.数据项分析:分析数据分级。
*.数据项级别:根据数据分级明确数据敏感级别。
*.根据数据共享开放与安全级别对应关系,明确数据共享开放安全策略。
(*)数据安全分级实施服务
基于工具+服务的方式,遵循《数据安全技术数据分类分级规则》GB-T*****-****和长沙市大数据平台分级分类规范等要求,提供数据安全分级定义、识别规则、任务配置与管理、结果维护、统计分析,实现对望城区大数据中心的数据资产做全面梳理和识别、敏感数据分布、监控、数据安全分级等,以实现数据安全保障和安全防护成本的平衡,并在服务期内提供数据安全分级的持续性更新和实施服务。
根据数据影响程度进行数据安全分级治理。影响程度从高到低可分为特别严重危害、严重危害、一般危害。对不同影响对象进行影响程度判断时,采取的基准不同。如果影响对象是国家安全、经济运行、社会秩序或公共利益,则以国家、社会或行业领域的整体利益作为判断影响程度的基准。如果影响对象仅是组织或个人权益,则以组织或公民个人的权益作为判断影响程度的基准。开展数据影响分析和数据安全级别定义时,应按照《数据安全技术数据分类分级规则》GB-T*****-****和长沙市大数据平台分级分类规范要求确定影响程度。
*.*.* 数据安全管理体系建设
(*)安全管理组织
要求中标服务商配合望城区数据资源中心,落实和完善数据安全管理组织,按照决策层、管理层、执行层和监督层的设计原则,组建数据安全领导小组、数据安全管理小组、数据安全执行小组和数据安全审计小组。
(*)安全管理制度建设
要求中标服务商制定望城区数据安全管理制度,范围应覆盖数据的全生命周期,根据湖南省、长沙市的数据安全保障法规、顶层设计以及标准规范等,同时满足长沙市网络数据安全专项检查的要求,从而建立望城区数据资源中心内部制度规范去约束和规范相关人员开展日常工作,并赋予管理人员监督管理职责。
(*)安全管理权限
明确系统使用、运维方等各级权限,分离信息系统运维权限和经办业务角色,对不同角色设置不同权限。根据经办业务人员职责区分设置业务操作和数据查询范围。按照网络安全等级保护*.*制度要求,结合实际设置安全保密管理员、安全审计员和系统管理员等岗位。加强信息系统运维人员和经办业务人员权限管理,落实岗位安全职责。
*.* 大数据平台升级改造服务
本项目为保障数据治理规范、数据质量高效、数据安全可管,根据长沙市大数据平台建设要求以及GBT*****-****《数据安全技术数据分类分级规则》等相关规范,按需对现有大数据平台进行优化完善。据前期需求调研和对比市面上主流的大数据平台,横向综合考虑各区委办局对“用数”的需求,纵向考虑省市平台对接需求和数据监管要求等进行综合分析,主要包括以下几个方面:
(*)政务数据目录(数据资源目录)改造要求:根据长沙市大数据平台建设要求和集成对接规范、数据资源目录对接级联要求,数据资源和政务数据目录的完善,增加相应的字段和属性。如在数据目录里,通过增加属性字段,对目录进行描述。增加“敏感度”属性,对数据目录的敏感程度(高、中、低)进行说明。
(*)政务数据目录编码改造要求:对现有的政务目录编码参照长沙市政务数据目录编码进行改造升级,能满足市级数据目录的编码规则。如通过映射对照方式把望城区目录编码与市级数据目录编码进行映射关系对照。
(*)目录元数据改造要求:完善字段类型。按照后续数据安全要求规范,对目录元数据的字段进行完善和补充。
(*)接口开发对接需求:开发标准API接口,包括但不限于与本期项目数据安全平台进行对接;与长沙市大数据平台数据目录进行对接,实现目录级联;与长沙市数据直达系统进行对接等。
*.* 数据安全建设
根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法规政策,根据《信息安全技术个人信息安全规范》(GB/T*****-****)、《信息安全技术数据安全能力成熟度模型》(GB/T*****-****),结合国家网络安全等级保护制度、《关键信息基础设施安全保护条例(征求意见稿)》等要求,立足数据生命周期安全管控,形成统一规范的数据安全保障体系,为数据采集、传输、存储、处理、交换等提供有效的安全保障。
为保障数据采集、传输、存储、共享使用、销毁等数据全生命周期的安全,建立数据安全技术体系和管理体系,其中数据安全技术体系主要包括数据安全监控平台建设和数据安全基础能力建设两部分的内容,通过将数据库运维访问控制、数据加密、数据脱敏、数据水印等数据安全能力服务化,构建统一的数据安全资源池,为望城大数据平台及鲲鹏云环境里多租户和多业务系统数据提供弹性、灵活的数据安全服务。且本项目充分利用现有鲲鹏云资源能力,要求采购的各项数据安全能力产品及平台能支持国产化部署环境,适应鲲鹏云资源环境部署要求。
*.* 数据安全运营服务
数据安全运营服务工作是对数据生命周期活动过程的保障支撑,是开展服务业务的重要保障,安全运营服务体系的作用是支撑、连通技术体系和管理体系,使之真正发挥效能。通过加强区域内组织的有效沟通,建立协同防御的安全机制,发挥已有的基础安全能力,加强安全监测与通报预警能力建设,确保数据共享交换以及大数据服务业务在可管理、可监视、可预见的状态下运行。
为保障本项目持续性发挥数据安全价值,要求中标服务商从项目验收后提供的数据安全运营服务,包括不少于*名数据安全工程师驻点运维,服务期为*年,提供常态化的运营服务,除了对数据安全平台软、硬件的系统运维之外,还应提供专业的数据安全运营服务,服务内容包括但不限于:数据安全风险评估、数据安全风险监测、数据安全应急处置、数据安全应急响应预案、供需协调沟通、安全策略评审讨论等。同时根据国家、省市、区县标准以及客户实际业务需求,定期更新数据安全运营服务的成果交付物。
*.* 个人信息保护设计
个人信息的范围非常广泛,不仅包含了个人形象的基础信息如:性别、年龄、身高、体重等,还包括住址、工作单位、联系方式、财产信息、活动区域、兴趣爱好、社会关系等。个人信息具有一定的关联性,同时也有相对的独立性。通常一个人的信息可以关联其家庭、同事、亲朋等多方面的信息,信息安全不再局限于个人信息安全的保护,而是面向更加复杂的信息环境进行保护。在当前信息时代与大数据环境下,个人信息已经成为一种被用来窃取买卖的“商品”,为此在人类社会活动中,个人信息安全的保护不仅需要先进的技术进行保护,还需要制定相应的规范制度进行维护,以确保个人信息得到安全保护,维护社会的稳定发展。
*.* 接口概要设计
本项目涉及到的接口主要体现在大数据平台与数据安全平台之间的对接,共同实现云上数据的安全防护。
*.*.* 接口类型需求
(*)政务数据目录接口:用于与省级、市级政务数据目录平台对接,含数据资源目录、编码、元数据。
(*)数据分类分级接口:大数据平台开发数据接口,用于与数据安全平台进行对接,推送数据资产分级分类成果。
(*)湖南省政务数据共享数据直达接口规范所涉及的接口类型。
*.*.* 安全对接需求
(*)加密传输:使用HTTPS协议或其他加密技术,确保数据在传输过程中不被窃取或篡改。
(*)身份认证:在数据传输前,对双方进行身份认证,确保数据传输的合法性。
(*)数据脱敏:对敏感数据进行脱敏处理,确保数据在传输和使用过程中不泄露敏感信息。
(*)标准化接口:使用标准化的API接口,确保大数据平台和数据安全平台之间的兼容性和可扩展性。
(*)合规要求:确保接口设计和数据传输符合相关法律法规的要求。
*.* 网络系统建设
本项目部署架构遵循望城区鲲鹏云部署架构要求,主要集中部署在鲲鹏云的安全管理区内,与网络安全管理区进行逻辑隔离。通过在数据安全管理区部署数据安全管理平台,平台提供数据资产统一管理、内容管控、行为分析、安全事件的监测、分析和预警等业务功能,通过部署在不同端点的安全服务,形成一个以数据为中心的纵深防御及感知平台,不涉及新增网络安全域。
*.* 安全体系建设
在充分利用鲲鹏云现有安全能力及安全服务的基础上,按照等保三级的要求进行数据安全建设,本项目主要建设数据安全治理能力建设、数据安全基础能力建设、数据安全运维能力建设三大部分。详见“数据安全治理建设、大数据平台升级改造服务、数据安全建设、数据安全运维服务”建设内容。
*.* 国密应用设计
*.*.* 物理和环境安全设计
在物理和环境安全方面,经查询技术文档和勘查现场实际情况,望城区鲲鹏云机房部署有电子门禁系统和视频监控系统,正在进行国密改造,拟采用国产密码技术对进出机房人员进行身份鉴别,拟采用国产密码技术对电子门禁记录数据、视频监控记录数据进行完整性保护。且重要区域出入口配备专人**小时值守并进行登记,采用实时视频监控系统进行实时监控。
*.*.* 网络和通信安全设计
在网络和通信安全设计方面,应综合考虑多个方面考虑国密的安全应用,以确保数据在传输过程中的机密性、完整性、真实性和不可否认性。
*.*.设备和计算安全设计
在设备和计算安全方面,本项目涉及国产密码设备服务器密码机和SSLVPN(安全接入网关)、数据库服务器、堡垒机等设备。
本项目依托望城区鲲鹏云的云服务器密码机和SSLVPN(安全接入网关)的安全防护能力,基本满足设备和计算安全要求,不需要新增或改造国产密码软硬产品。
*.*.* 应用和数据安全设计
在应用和数据安全方面,需从应用系统开发和接口对接层面,以及数据全生命周期角度考虑国密的应用,确保应用和数据的安全可靠。
*.** 备份系统建设
本项目充分利用鲲鹏云现有备份体系能力,现有鲲鹏云容灾备份资源能力能满足本项目数据安全建设需求。
*.** 运行维护体系建设
*.**.*运行维护原则
(*)以业务为中心的可行性原则
运行维护服务应以满足采购方的业务需求为首要目标,要保证采购的设备、产品正常运行。
(*)重在措施的可靠性原则
注重预防,运维方应在传统的被动式服务的基础上提供主动式的服务,和客户一起做好系统的运行维护工作。采取以预防为主的策略,把故障隐患消灭在萌芽中。通过预防性维护方式、定期巡检等保证系统的可靠运行。
(*)安全性及保密性原则
必须保证信息的安全,有较好的数据安全措施,系统运维方在维护过程中将对数据备份和系统恢复提供及时的建议。充分考虑数据的保密措施,维护服务过程中处理的数据信息必须严格控制,接受用户方监督。
(*)适应性原则
系统运维方应提供切实为从用户出发的维护方案,维护过程中应尊重客户的要求、接受客户的各方面的监督、积极与用户交流沟通。
(*)标准性原则
建立完善的服务体系,采用统一维护服务管理信息数据项、信息分类编码标准、数据及文件格式、各种维护资料。遵守有关国家标准、专业标准、软件文档规范。
(*)统一服务接口
提供统一报障电话,统一报障、统一维修接口,业主可以通过统一的报障电话申请服务、查询服务处理进程,跟踪处理进度,确保服务时效、服务质量、调查用户满意度。
服务台在服务支持中扮演着一个极其重要的角色。完整意义上的服务台可以理解为系统运维部门和服务流程的“前台”,它可以在不需要联系特定技术人员的情况下处理大量的客户请求。对用户而言,服务台是他们与系统运维部门的唯一连接点,确保他们找到帮助其解决问题和请求的相关人员。
服务台不仅负责处理事故、问题和客户的询问,同时还为其它活动和流程提供接口。
这些活动和流程包括客户变更请求、维护合同、服务级别管理、配置管理、可用性管理和持续性管理等,服务台还负责事件快速响应,使用已知问题、已知事件知识库对终端用户的突发事件予以快速恢复或规避事故发生。
(*)运维文档管理
文档管理的目标是通过对运维服务过程中使用的文档进行统一管理,达到充分利用文档提升服务质量的目的,确保运维资源符合运维服务的要求。文档资源包括运维体系文档、项目(软硬件)文档资料、服务质量管理文档以及服务报告文档等。
文档资源管理包括对以下五类文档进行管理并制定相应的编号规则:
*、运维文档:指运维体系文档,包括运维手册、程序文件、相关支持文件及表单格式等。
*、项目文档:指交付运维的软硬件系统相关的文档。
*、质量管理文档。
*、服务报告文档。
*、其他文件资料:指文件、传真、外来资料等。
运维文档由系统运维方负责组织编写,经业主信息主管部门批准后颁布执行。所有运维文档经批准后,由系统运维方统一归入《文件目录清单》中。
《文件目录清单》的内容包括文档类型、文档名称、编号、版本号、发布时间、内容说明、保管位置、保存期限等。
运维文档需要更改时,由文件更改提出人填写《文件更改申请单》,说明更改原因和更改内容。经业主信息主管部门批准后,由系统运维方组织人员进行文档的更改,并记录更改过程、更改内容、更改结果等。更改结果确认后更新《文件目录清单》。
若需删除运维文档,则需由相关人员填写《报废申请单》,说明删除内容、删除原因等,经业主信息主管部门批准后由运维服务商在《文件目录清单》中将该文档删除。
*.**.*运行维护范围
本项目的运维服务包括对建设数据治理与安全体系所涉及到的所有硬件、网络、第三方软件、应用软件等的维护、维修、更换故障设备和产品升级。
*.**.* 运维服务内容
运维服务内容包括日常运作、服务咨询、软硬件巡检保养、主动监测、故障修复、特殊保障和升级优化等内容。
*、硬件设备和软件配置清单
*.* 成品软件清单
序号 |
系统名称 |
技术参数 |
备注 |
* |
数据安全统一管理平台 |
*、综合安全态势展示:大屏展示纳管安全设备的概览信息。包括但不限于数据库审计设备的流量信息、资产分布信息,脱敏设备的脱敏统计信息、应用审计的应用风险信息等。设备运行态势、运行状态信息、资产分布态势以及区间时间内最大上行网络流量、最大下行网络流量、最小上行网络流量、最小下行网络流量等。 |
|
* |
数据库加密系统 |
针对数据库中所存储的重要数据,采取符合国家密码法要求的加密算法进行加密,提供独立于数据库的访问授权机制,解决敏感数据明文存储引起的数据泄密、内部高权限用户的数据窃取等问题。提供数据库授权(IP+PORT):含鲲鹏云上全量数据库实例个数及使用场景,最大加密列数:不低于**列,最大加密能力:不低于*****行/秒,支持数据库类型:Oracle、MySQL、SQLServer、人大金仓、达梦等望城区鲲鹏云上各类数据库。 |
|
* |
API监控系统 |
面向应用API接口,针对HTTP/HTTPS流量,提供旁路捕获网络数据进行协议还原、过滤,对接口数据流转环节进行关联分析,实现数据敏感信息传输、数据过度暴露或违规风险、异常行为进行监测。支持应用API接口数量:包含鲲鹏云上全量API接口数及API使用场景,流量处理能力不低于*Gbps。 |
|
* |
数据静态脱敏系统 |
*、能够对Oracle、MySQL、SQLServer、人大金仓、达梦等望城区鲲鹏云上各类数据库进行脱敏,支持文件csv、txt、excel、xml、dmp文件等。 |
|
* |
数据动态脱敏系统 |
*、提供资产管理、敏感数据的发现、脱敏规则配置、脱敏算法的管理、敏感数据特征等功能模块;提供统计数据库、敏感表、敏感列、数据库类型等信息;统计终端访问、脱敏字段、资产访问等信息; |
|
* |
数据水印系统 |
*、要求以Oracle、MySQL、SQLServer、人大金仓、达梦等望城区鲲鹏云上各类数据库作为源和目标。提供数据库授权(IP+PORT):含鲲鹏云上全量数据库实例个数及使用场景,动态脱敏能力:不低于*****单元格/秒。 |
|
* |
数据库防勒索系统 |
|
|
* |
数据库运维访问控制系统 |
*、要求对Oracle、MySQL、SQLServer、人大金仓、达梦等望城区鲲鹏云上各类数据库进行访问控制。提供数据库授权(IP+PORT):含鲲鹏云上全量数据库实例个数及使用场景,SQL峰值处理能力:不低于*****条/秒,最大并发连接数:不低于*****。 |
|
* |
数据安全分级平台 |
结合目前大数据平台已有的数据采集功能、数据治理功能等,为进一步保障云上数据的高质量和安全可靠性,本项目新增数据安全分级功能,包括但不限于如下功能模块。 |
*.* 硬件设备清单
序号 |
系统名称 |
技术参数 |
备注 |
* |
数据库防火墙 |
*、硬件配置要求:机架式*U硬件设备,含交流冗余电源,配置≥*个千兆电口,≥*个千兆光口,≥**G内存,≥*TSATA硬盘; |
*.* 建设期服务清单
序号 |
服务模块 |
服务项 |
服务内容描述 |
备注 |
一、数据安全管理制度 | ||||
* |
数据安全管理制度 |
数据安全管理制度 |
制定望城区数据安全管理制度,范围应覆盖数据的全生命周期,根据湖南省、长沙市的数据安全保障法规、顶层设计以及相关标准规范等,同时满足长沙市网络数据安全专项检查的要求,从而建立望城区数据资源中心内部制度规范去约束和规范相关人员开展日常工作,包括但不限于安全管理组织建设、数据脱敏规范要求、审计日志要求、数据合作方管理要求、数据传输安全要求、数据存储安全要求、数据使用安全要求、数据共享安全要求、数据销毁安全要求、数据安全风险评估等。并在服务期内根据管理实际要求,对相关制度进行动态更新。 |
|
二、数据安全驻场实施服务 | ||||
* |
数据安全治理服务 |
数据安全治理 |
对望城区数据安全治理现状进行摸排调研,根据相关行业标准和国家、省、市数据安全最新要求,规划数据安全治理的目标和实施策略。围绕数据架构、元数据、数据标准、数据质量、主数据、数据应用、数据安全、数据生存周期等开展具体数据安全治理实施活动。 |
|
* |
数据资产分级清单 |
完成系统清单、库表、数据项信息获取,根据数据分级相关标准,完成望城区《数据安全分级清单》编制工作,并在此基础上定义数据全生命周期管理措施,为全区政务数据安全分级保护工作奠定基础。 |
||
* |
数据安全驻场运维服务 |
数据安全分级持续实施服务 |
基于工具+服务的方式,提供数据安全分级定义、识别规则、任务配置与管理、结果维护、统计分析,实现对望城区大数据中心的数据资产做全面梳理和识别、敏感数据分布、监控、数据安全分级等,以实现数据安全保障和安全防护成本的平衡,并在服务期内提供数据安全分级的持续性更新和实施服务。 |
|
* |
数据安全风险评估服务 |
参照信息安全风险评估方法,结合业内在数据安全风险评估领域的工作实践,依据法律法规、行业标准规范等要求,以数据资产为评估对象,数据处理活动中所面临的风险为评估内容,提供常态化的数据安全风险评估服务。主要包括:合法合规性识别、资产价值识别、处理活动要素识别、威胁识别、脆弱性识别、残余风险分析、安全风险评估报告等。 |
||
* |
数据安全风险监测与分析服务 |
对业务访问数据库或大数据平台的流量接口进行流量镜像或分流的方式实现数据访问流量的监控与审计,实时监控数据库运维和应用程序对数据库及大数据平台的访问操作,监控记录可用于事后的追溯、审计和检查,同时结合数据安全通过管控平台定期输出数据安全风险分析报告。 |
||
* |
数据安全优化服务 |
*、数据应急处置服务:制定合理的数据应急处置方案,并每年更新一次。确保当数据安全威胁事件发生后,迅速采取措施和行动,以最快速恢复系统数据的保密性、完整性和可用性,阻止和降低数据安全威胁事件带来的严重性影响,恢复业务数据到正常服务状态;调查安全事件发生的原因,避免同类数据安全事件再次发生。 *、数据管理体系优化服务:对数据管理体系咨询服务过程中的流程及制度进行持续优化和建议,包括从数据管理组织的分工、权责、保障措施等方面,确保数据的相关流程制度进一步完善,确保数据管理体系咨询的相关成果在运维过程中进行落地,做到数据安全运维的规范性及流程化。 *、数据安全培训服务:提供较为全面的数据安全培训服务,全面提升望城区政府信息化管理人员、运维人员以及数据服务团队等的数据安全意识,保障数据安全的最有效手段是不断提升系统运维及使用人员的数据安全防范意识和安全防范技能。使之能够符合相关信息安全工作岗位的能力要求,降低由于人为原因引发的安全风险,从而全面提高数据安全管理水平,项目验收后每年组织*次。 |
||
*.* 大数据平台升级改造清单
序号 |
子模块 |
数据功能项名称 |
功能点计数项 |
类别 |
UFP |
重用程度 |
修改类型 |
US |
备注 |
* |
数据资源-基本信息项完善 |
政务数据目录属性信息管理 |
政务数据目录属性信息 |
ILF |
** |
高 |
新增 |
*.** |
|
* |
新增政务数据目录属性 |
EI |
* |
高 |
新增 |
*.** |
|||
* |
修改政务数据目录属性 |
EI |
* |
高 |
新增 |
*.** |
|||
* |
删除政务数据目录属性 |
EI |
* |
高 |
新增 |
*.** |
|||
* |
查询政务数据目录属性信息详情 |
EQ |
* |
高 |
新增 |
*.** |
|||
* |
属性字段值域信息管理 |
属性字段值域信息 |
ILF |
** |
高 |
新增 |
*.** |
||
* |
新增属性字段值域 |
EI |
* |
高 |
新增 |
*.** |
|||
* |
修改属性字段值域 |
EI |
* |
高 |
新增 |
*.** |
|||
* |
删除属性字段值域 |
EI |
* |
高 |
新增 |
*.** |
|||
** |
查询属性字段值域信息详情 |
EQ |
* |
高 |
新增 |
*.** |
|||
** |
政务数据目录完善 |
政务数据目录信息管理 |
政务数据目录信息 |
ILF |
** |
高 |
修改 |
*.** |
|
** |
新增政务数据目录 |
EI |
* |
高 |
修改 |
*.** |
|||
** |
修改政务数据目录 |
EI |
* |
高 |
修改 |
*.** |
|||
** |
删除政务数据目录 |
EI |
* |
高 |
修改 |
*.** |
|||
** |
查询政务数据目录信息详情 |
EQ |
* |
高 |
修改 |
*.** |
|||
** |
关联原有数据资源 |
EI |
* |
高 |
新增 |
*.** |
|||
** |
政务数据目录编码 |
政务数据目录关系映射信息管理 |
政务数据目录关系映射信息 |
ILF |
** |
高 |
新增 |
*.** |
|
** |
新增政务数据目录关系映射 |
EI |
* |
高 |
新增 |
*.** |
|||
** |
修改政务数据目录关系映射 |
EI |
* |
高 |
新增 |
*.** |
|||
** |
删除政务数据目录关系映射 |
EI |
* |
高 |
新增 |
*.** |
|||
** |
查询政务数据目录关系映射信息详情 |
EQ |
* |
高 |
新增 |
*.** |
|||
** |
政务数据目录元数据 |
核心元数据信息管理 |
核心元数据信息 |
ILF |
** |
高 |
修改 |
*.** |
|
** |
新增核心元数据 |
EI |
* |
高 |
修改 |
*.** |
|||
** |
修改核心元数据 |
EI |
* |
高 |
修改 |
*.** |
|||
** |
删除核心元数据 |
EI |
* |
高 |
修改 |
*.** |
|||
** |
查询核心元数据信息详情 |
EQ |
* |
高 |
修改 |
*.** |
|||
** |
数据分类分级 |
分类分级规则 |
分类分级规则信息 |
ILF |
** |
高 |
新增 |
*.** |
|
** |
新增分类分级规则 |
EI |
* |
高 |
新增 |
*.** |
|||
** |
修改分类分级规则 |
EI |
* |
高 |
新增 |
*.** |
|||
** |
删除分类分级规则 |
EI |
* |
高 |
新增 |
*.** |
|||
** |
查询分类分级规则信息详情 |
EQ |
* |
高 |
新增 |
*.** |
|||
** |
分类分级任务管理 |
分类分级任务信息 |
ILF |
** |
高 |
新增 |
*.** |
||
** |
新增分类分级任务 |
EI |
* |
高 |
新增 |
*.** |
|||
** |
修改分类分级任务 |
EI |
* |
高 |
新增 |
*.** |
|||
** |
删除分类分级任务 |
EI |
* |
高 |
新增 |
*.** |
|||
** |
查询分类分级任务详情 |
EQ |
* |
高 |
新增 |
*.** |
|||
** |
分类分级查询 |
分类分级结果信息 |
EIF |
* |
高 |
新增 |
*.** |
||
** |
查询分类分级结果 |
EQ |
* |
高 |
新增 |
*.** |
|||
** |
与省、市政务数据目录平台对接 |
长沙市政务数据目录平台数据资源目录 |
接入长沙市政务数据目录平台数据资源目录 |
EIF |
* |
中 |
新增 |
*.** |
|
** |
长沙市政务数据目录平台数据资源目录详情 |
EQ |
* |
中 |
新增 |
*.** |
|||
** |
与省、市政务数据目录平台对接 |
长沙市政务数据目录平台数据资源编码 |
接入长沙市政务数据目录平台数据资源编码 |
EIF |
* |
中 |
新增 |
*.** |
|
** |
长沙市政务数据目录平台数据资源编码详情 |
EQ |
* |
中 |
新增 |
*.** |
|||
** |
与省、市政务数据目录平台对接 |
长沙市政务数据目录平台元数据 |
接入长沙市政务数据目录平台元数据 |
EIF |
* |
中 |
新增 |
*.** |
|
** |
长沙市政务数据目录平台元数据详情 |
EQ |
* |
中 |
新增 |
*.** |
|||
** |
与数据安全平台对接 |
数据安全平台提供数据资产探查 |
接入数据安全平台提供数据资产探查 |
EIF |
* |
中 |
新增 |
*.** |
|
** |
数据安全平台提供数据资产探查详情 |
EQ |
* |
中 |
新增 |
*.** |
|||
** |
与数据安全平台对接 |
数据安全平台提供分类分级资产清单 |
接入数据安全平台提供分类分级资产清单 |
EIF |
* |
中 |
新增 |
*.** |
|
** |
数据安全平台提供分类分级资产清单详情 |
EQ |
* |
中 |
新增 |
*.** |
|||
** |
与数据直达系统对接改造 |
与数据直达系统对接改造 |
接入与数据直达系统对接改造 |
EIF |
* |
中 |
修改 |
*.** |
|
** |
与数据直达系统对接改造详情 |
EQ |
* |
中 |
修改 |
*.** |
*.* 集成服务
对项目所需的设备、系统进行部署、调试、集成。
*、环保、消防、职业安全与卫生设计
*.*环境影响分析
依据GB/T*****-****idtISO*****:****环境管理标准,建立环境管理体系,制定环境方针、环境目标和环境指标,配备相应的资源,遵守法规,预防污染,节能减废,力争达到工程与环境的和谐。设计选用环保的设备材料,工程竣工验收要通过有资质单位的环保检测,并将重点控制对水污染、噪音污染、废弃物管理和自然资源的合理使用等。在制定控制措施时,考虑对环境影响的范围、影响程度、发生频次、社区关注程度、法规符合性、资源消耗等。
本项目不会对环境造成明显影响,但在施工中也会有设备包装等固体废弃物、工作人员的生活垃圾和污水,设备运行所产生的噪音等对环境产生轻微影响。
*.*环保措施
鉴于本项目建设本身对环境影响非常小,只需采用常规的环保措施即可,其费用计入工程建设费,拟采取的环保措施如下表所示:
*、环保措施表
污染物 |
拟采取的防治措施 |
预期治理效果 |
安装废料 |
尽量采用环保材料,废料全部运至指定地点填埋。 |
对环境影响较小 |
扬尘 |
由于是建筑内部施工,只需做好封闭工作即可。 |
对环境基本没影响 |
噪声 |
严格执行相关建设施工环境噪声管理法规,合理安排施工时间,避免扰民。 |
对环境基本没影响 |
针对信息系统运行期间可能产生的影响环境的因素,按《电子信息产品污染控制管理办法》(信息产业部令第**号)要求,本项目建设期间应考虑优先选择采用符合环保标准的电子产品、可回收可降解的耗材等,同时应采用高效防菌材料,提高能源利用率,降低原材料消耗,尽量减少废物的产生。
本项目对环境影响非常小,采用了上述环保措施后,项目实施对环境的影响几乎可以忽略不计,项目的建设从环保角度来度量是完全可行的。
*.*职业安全与卫生措施
长期在计算机房工作人员,如果计算机环境不好,可能会出现眼炎、呼吸系统和心血管疾病、头痛等,其中部分原因是由空调、增湿、通风、人工采光等所造成。在本项目建设中,职业安全和卫生措施如下所示:
*、职业安全和卫生措施表
职业安全和卫生措施 |
预期效果 |
选择安全的电源开关、插座,避免计算机电源裸露 |
防止被电源开关、插座、裸露处电击等 |
计算机房装修充分考虑信息系统运行时人员活动中可能的伤害,并加以避免 |
防止人员绊倒、滑倒;防止手指轧在抽屉、公文柜或房门中;防止被物品坠落砸伤;防止被锐物扎伤 |
采购符合人机工程学的办公设备 |
防止人员长时间操作键盘引起慢性的肩、颈、背的疲劳 |
降低空调、电风扇、通风设备、复印机的噪声;增加自然光 |
防止人员精神不振、情绪低落、暴躁 |
与机房相关的职业安全和卫生措施要求:
*.机房内设备布置有足够的空间和间距,人流、物流的疏散均通畅。
*.机房配备空调设施,以改善工作条件和环境。
*.机房装修设计按照有关规定和要求,严格保证所有电器设备的漏电保护,以免造成触电事故。
*.为确保人身安全,所有用电设备的金属外壳、配电箱(盘)、操作箱(盘)、配线槽、保护钢管和接线盒与保护线(PE线)可靠连接,以确保安全。为保证安全,机房设置防静电地面并设置防静电接地和工作接地。
*.机房设有更衣室、换鞋室,以保证环境清洁和网络运行环境文明,确保信息设备安全可靠。
*.机房区域内设有火灾自动报警系统、门禁系统及电视监控系统。
*.通道、出入口设有应急照明和疏散方向标志,保证人员在紧急情况下能安全疏散。
*、节能设计
*.*用能标准及节能设计规范
本项目相关的节能设计规范有:
*.《中华人民共和国节约能源法》;
*.《中华人民共和国可再生能源法》;
*.《中华人民共和国电力法》;
*.《中华人民共和国建筑法》;
*.《中华人民共和国清洁生产促进法》;
*.《能源效率标识管理办法》国家发展改革委国家质量监督检验检疫总局令(****年)第**号;
*.《公共建筑节能设计标准》GB*****-****;
*.《绿色建筑评价标准》GB/T*****-****;
*.《绿色建筑技术导则》(建科〔****〕***号);
**.《采暖通风与空调设计规范》。
*.*节能措施
该项目主要的能耗为生产、生活用电。按照建设方案,本项目新增的设备所耗电量也不大,对当地能源消费和电力使用影响很小。
四、交付时间和地点:*、服务期限:
(*)项目建设周期:自合同签订之日起算,***天内需完成项目整体建设;
(*)安全运营服务周期:自合同签订且正常运维之日起算,服务周期为三年。
*、服务地点:采购人指定地点。
*、履行方式:中标人应根据采购人要求,完成项目的整体建设及运营服务,直至项目验收合格。
五、服务标准:一、人员配置计与培训
*、人员配置计划
*.*项目服务采购技术人员配置
本项目属于信息化工程,需要配备专业技术人员进行项目的服务采购管理、设计、施工及研发工作。
服务采购管理工作主要由采购人的专业技术人员组成,规划及设计工作主要由中标单位的相关专业技术人员组成,研发工作主要由中标的软硬件集成服务商的相关专业技术人员组成。本项目要求中标单位选派具有丰富信息化及云计算工程经验的项目经理和精深专业技术的工程师,提出较详细的项目实施计划,制订软硬件系统需求调研、系统分析和开发、实施、试运行、正式运行、验收等各项规范。
*.*项目运维技术人员配置
本项目运行维护管理人员主要依靠服务提供商相关技术人员,同时采购人需配备部分运行维护管理人员对平台的运行维护进行管理,负责领导和安排运行维护工作。
中心机房硬件维护主要包括机房、服务器设备、存储设备、电源空调设备等。平台服务的运行维护包括系统平台日常报表处理、应急事件的处理、平台安全监控等。数据服务运行维护包括数据分析、数据库备份等。应用系统运行维护包括应用系统的日常操作、应答、安全防护等。管理和运保障维护包括资源调度、系统稳定性分析等。
*.* 项目驻场服务人员要求
本项目运营服务期为*年,中标人须提供*名数据安全治理专业人员驻场服务,提供*名数据安全运维工程师驻场服务(*名CISP或同等资质专业人员,*名软件工程类的中级工程师及以上),驻场服务时间自项目验收后开始计取。★
*、人员培训方案
*.*培训目标
通过培训,使得参加的培训人员达到以下目标:
(*)了解本项目建设的总体情况,熟悉信息系统项目建设情况。
(*)通过学习本项目的整体规划、应用手册等内容,使用人员了解系统具备的功能、掌握本系统的技术特点。
(*)通过学习本项目的业务操作流程和方法,使得操作员能够掌握该系统的操作方法和技巧,并能够进行简单的日常维护与管理,具备培训其他操作人员的能力。
*.*培训要求
(*)系统的使用培训,所有培训以中文进行。该培训将教会学员在日常和紧急情况下如何操作系统。
(*)培训授课人员对所提供的系统和产品具有五年以上的操作和维护经验。培训授课人员都是经过厂家认证的工程师、技术员等。
(*)在系统完工测试之前进行现场培训,培训包括正常操作程序和如何处理紧急情况。提供所有中文培训资料,包括中文操作手册,要求受训人员能够了解系统的基本结构、工作原理及操作程序,能进行实际操作。
*.*培训范围
本项目的培训范围包括:所有使用本项目所提供服务能力的业务人员,按照人员使用系统的方式,可分为管理人员、业务人员、高级工程技术人员。
(*)管理人员培训
针对管理人员工作时间分散的特殊情况。培训人员会根据管理人员的时间安排,对管理人员进行一对一的培训。
(*)高级工程技术人员培训
通过对应用系统的操作人员进行“分批集中”授课的方式,为操作人员进行应用系统操作辅导。
(*)业务人员培训
培训系统的日常使用操作,使业务人员能够快速使用本系统开展工作。
*.*培训形式
根据培训计划对用户方核心人员进行培训,在项目的建设初期和项目的进行中对相关人员进行培训,安装调试前会对专业技术人员进行培训,在系统升级和其他改动较大的情况下均要进行相关的培训。
本项目可以采用多样的培训形式,除了线下集中培训外,还可通过网络环境,建立电子化的多媒体教材、知识库等方式,提供网络培训环境,使用户可依赖网络培训环境进行自主学习和互动式的在线培训。
*.*培训课程
在培训方面采用的是中文授课的教学方式,根据各种岗位人员的不同需要,分别进行理论基础培训、具体操作培训和实践技能培训。培训内容包括技术培训、业务培训和操作培训,针对不同角色分设初级、中级、高级三个层次。
二、质量保证
*、安装调试要求
(*)中标人须加强施工的组织管理,所有施工人员须遵守文明安全施工的有关规章制度,持证上岗。
(*)中标人负责其派出的施工人员的人身意外保险。
(*)中标人负责产品免费送货上门,免费安装、调试,由此所产生的一切材料费、工具费、人工费、手续费、差旅费、食宿费和加班费等,均由中标人承担。安装调试期间所发现一切安全和质量事故及费用,均由中标人承担;
(*)安装调试所需辅助材料和专用工具与设施,由中标人提供。
(*)安装调试完毕,中标人自行检测合格后,方可申请采购人进行验收。
(*)项目完成后,中标人应将项目有关的全部资料,包括产品资料、技术文档、施工图纸等,移交使用单位。
*、服务保障
(*)中标人提供的产品应是原厂生产的未经使用正品。符合国家质量检测标准,具有出厂合格证或国家鉴定合格证。
(*)本项目整体质保期叁年,自验收合格并之日起算。质保期内所有软件免费更新、升级、维护(不包含每年数据更新费用),免费提供所有软硬件设备的维修服务,由此产生的费用均不再收取。超出厂家正常保修范围的,中标人需向厂家购买;未在投标报价表中单列其费用的,视为免费提供。中标人应配合采购人完成本项目国产化适配的实施和第三方测评工作。
(*)质保期从验收合格后开始计算。质保期内所有设备维护等要求免费上门服务。
(*)验收时中标人须提供系统的中文说明书及相关硬件结构图等技术资料。
(*)本项目所有相关数据的保密性及安全性由中标人全权负责(中标后,中标人应与采购人将签订保密及安全协议)。
*、售后服务
(*)系统维护。要求提交以下内容:
*)定期维护计划。
*)对采购人不定期维护要求的响应措施。
*)对用户修改设计要求的响应措施。
(*)故障响应
*)日常响应
*)提供*×**小时的故障服务受理与技术咨询服务。
*)敏感时期、重大节假日提供技术人员值守服务。
*、应急响应
*)提供*×**小时的应急服务受理。接到应急处理通知后,半小时内响应,一般应急服务应在*小时内排除;
*)重大应急服务应在**小时内响应并提出解决方案,需在**小时内解决排除。
(*)质保期内出现任何质量问题(人为破坏或自然灾害等不可抗力除外),由中标人负责全免费(免全部工时费、材料费、管理费、财务费等等)更换或维修。质保期满后,无论采购人是否另行选择维保供应商,成交人应及时优惠提供所需的备品备件。
*、培训
*)中标人必须结合采购人实际应用情况,考虑本地区实际,制定合理的培训计划,并认真组织落实,确保培训效果。
*)培训人员数量:不少于*人。
*)培训文档应包括但不限于:
《安装维护手册》:系统安装工作的指南,包括安装及准备步骤、维护步骤(预防及修理措施)。
《用户使用手册》:结合详细实例,说明每一个系统的内容和实际功能。
《系统操作视频》:将针对提交的软件及相关成果,录制系统安装、操作视频,供用户学习使用,便于用户更加方便直观的掌握系统的安装和使用。
《用户意见反馈书》:由用户填写,反馈给中标人,是系统不断完善、中标方不断进步的宝贵财富。
*)应用系统改动或应用系统更新升级时,应及时提供相关内容文档,有必要的情况下组织现场培训。
*、产权保护
*)中标人在项目实施过程中获悉的包括但不限于国家秘密、商业秘密等,应当予以保密。因中标人原因造成泄密的,依法追究中标人责任,并赔偿造成的损失。同时,采购人有权终止合同。
*)中标人应负责其工作人员的包括但不限于社会保险、意外伤害保险等所有保险购买及手续办理,如在项目实施过程中出现人员伤亡等安全事故,均由中标人承担相关责任和费用,不得以任何理由向采购人提出索赔要求。
*、产权归属
本项目所有成果及资料、数据库、软件开发平台、成品软件所有权最终归属于采购人。
六、验收标准:*、乙方应当根据项目实施计划、进度和系统实际运行的需要,制定培训计划,及时给甲方技术人员、业务人员提供数据安全培训服务,培训目标为望城区政府信息化管理人员、运维人员以及数据服务团队,在项目验收后,乙方每年应免费提供不少于*次的数据安全培训服务。
*、乙方培训时应提供设备、系统操作说明和日常维护等技术资料。如未能达到培训目标的,乙方应当按照甲方的需要提供多次免费的再培训。
*、项目自竣工验收之日起免费运维服务*年,本项目运营服务期为*年,中标人须提供*名数据安全治理专业人员驻场服务,提供*名数据安全运维工程师驻场服务(*名CISP或同等资质专业人员,*名软件工程类的中级工程师及以上),驻场服务时间自项目验收后开始计取。质保期间,甲方按项目质量考核管理办法对乙方进行考核,质保期满后,甲方另有相关服务需求,乙方须积极配合甲方,并及时优惠提供所需的服务。
*、免费保修和维护期间,乙方提供*x**小时技术支持服务,快速响应、处理系统发生的各类紧急故障,及时使系统恢复正常。
*、在免费维保期间,乙方应进行日常的巡检、日常数据备份等工作,及时解决项目运行过程中发生的各类涉及乙方提供的产品及服务的故障及漏洞,优化、完善、补齐系统业务支撑能力,保证系统的正常运行。
*、如因乙方的产品问题,给甲方带来直接经济损失的,相关损失由乙方赔偿。
*、项目其它售后服务及保障服务要求以乙方投标文件《售后服务方案》载明内容为准。
*、按照《关于加强长沙市政府采购项目履约验收工作的通知》(长财采购[****]*号)的规定进行验收,项目验收程序标准与结算须符合长沙市、望城区电子政务系统相关的验收标准及有关结算相关标准和流程等要求。
*、项目验收国家有强制性规定的,按国家规定执行,验收费用由中标人承担,验收报告作为申请付款的凭证之一。
**、验收的标准和依据:包括本采购项目的招标文件、中标人的投标文件、政府采购合同和有关国家标准与行业规范;
**、按照《关于加强长沙市政府采购项目履约验收工作的通知》(长财采购[****]*号)的规定进行验收;在验收实施过程中,允许对产品进行使用性测试,及破损性实验。测试过程中因产品质量问题造成的损失由中标人承担,并返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由中标人承担。
**、如验收不合格,中标人须更换合格货物、辅材或重新进行安装与调试,直至验收合格。如两次验收不合格,采购人有权终止与中标人签订的政府采购合同,另行选择供应商承担本采购项目的供货和相关服务。中标人须承担因验收不合格而返工造成的自身的一切损失和因此给采购人造成的一切损失。
**、如验收过程中发生纠纷,将委托国家质量技术监督管理部门或其认定的机构进行检测鉴定。如为中标人原因,一切费用由中标人承担。否则,由采购人承担。
**、通过第三方软件测评、等保安全测评以及国家规定的其他要求。竣工验收:
**、竣工验收完成后,项目即进入正常运维阶段,开始提供正式的运维服务。
七、其他要求:一、结算方式
*、付款人:长沙市望城区数据资源中心(通过国库集中支付)。
*、付款方式:本项目合同款分五次支付:第一次预付款:在合同签订后十个工作日内,支付合同金额的**%;第二次履约验收款:在项目实施完成验收合格后的十个工作日内,支付合同金额的**%;第三次首年运维款:在项目系统正常运行,驻场服务期满一年后的十个工作日内,结合考核结果并经双方结算确认后,支付合同金额的**%;第四次次年运维款:在项目系统正常运行,驻场服务期满两年后的十个工作日内,结合考核结果并经双方结算确认后,支付合同金额的**%;第五次尾款:在项目系统正常运行,驻场服务期满后(无质量问题、售后服务纠纷,以及其他经济法律纠纷等问题)后的十个工作日内,结合考核结果并经双方结算确认后,付清剩余**%合同结算尾款。采购人在支付每笔合同款项前,中标人应向采购人提供合法有效的发票,否则,采购人有权不予付款并不承担违约责任。付款前,甲方有权扣除乙方依据法律规定及合同约定应承担但未支付的违约金、赔偿金、维修费等费用。
二、其他要求
*、本项目采用费用包干方式建设,投标人应根据项目要求和现场情况,详细列明项目所需的设备(软件开发、接口费以及使用第三方软件的版权费、第三方测评费)及材料购置,以及产品运输保险保管、项目安装调试、试运行测试通过验收、培训、质保期免费保修维护等所有人工、管理、财务等所有费用。如中标后,在项目实施中出现任何遗漏或产生纠纷均由中标人承担,采购人不再支付任何费用。
*、采购人不组织现场踏勘,投标人可在投标前进行现场踏勘,以便充分了解项目的现状、地理位置、道路环境及任何其他足以影响承报价的情况,任何因忽视或误解工地情况而导致的索赔或工期延长等责任采购人不予承担,踏勘费用、责任和风险自理。
备注:对于上述项目要求,投标人应在投标文件中进行回应,作出承诺及说明。
采购需求仅供参考,相关内容以采购文件为准。
