数据安全管理平台采购需求.docx

《数据安全管理平台采购需求.docx》由会员分享，可在线阅读，更多相关《数据安全管理平台采购需求.docx（43页珍藏版）》请在课桌文档上搜索。

1、数据安全管理平台采购需求一、项目概况1 .项目背景当前，我国电子政务建设逐步迈入“集约整合、全面互联、协同共治、共享开放、安全可信”的新阶段，云计算、大数据、区块链等新技术、新理念与国家治理体系和治理能力现代化交汇融合，如何创新发展模式、全面提升应用效能成为新时期电子政务建设的重要命题。2015年，国务院促进大数据发展行动纲要指出，我国在大数据发展和应用方面存在政府数据开放共享不足、产业基础薄弱、缺乏顶层设计和统筹规划、法律法规建设滞后、创新应用领域不广等问题，亟待解决。提出加强顶层设计和统筹规划，明确各部门数据共享的范围边界和使用方式，厘清各部门数据管理及共享的义务和权利。2016年，十三五

2、规划纲要提出，要实施国家大数据战略，把大数据作为基础性战略资源。2017年，政务信息系统整合共享实施方案明确提出建设“大平台、大数据、大系统”，形成全面覆盖、统筹利用、统一接入的数据共享大平台。2020年3月4口，中共中央政治局常务委员会召开会议提出，“加快5G网络、数据中心等新型基础设施建设进度。注重调动民间投资积极性:2021年12月，XX市出台了XX市人民政府关于印发XX市数据要素市场化配置改革行动方案的通知，希望充分发挥数据治理在“数字政府”建设中的关键作用。数据安全建设是国家“十四五”规划的重点内容。国家“十四五”规划重点强调要全面加强网络安全保障体系和能力建设、保障国家数据安全，加

3、强个人信息保护以及建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用。与此同时,我国近几年相继出台了大量的法规，对个人、企业和国家重要数据进行保护。主要包括：中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法。尤其2021年个人信息保护法和数据安全法两项法律正式施行，为我国的关键数据安全和个人信息安全指明了方向，并提出了明确的要求。当前XX区初步完成大数据平台的基础设施建设，归集了全区业务部门数据约61亿条。然而尚有大量业务系统数据未接入共享平台进行共享，且当前数据治理存在诸多问题，制度上存在数据孤岛现象，存在数据质量问题；业

4、务上存在平台功能与实际业务不配套，制约了使用的范围；区各业务部门对数据中心建设有迫切的诉求。XX区需统筹规划，通过数据中心建设整合全区数据资源，改造并优化数据管理流程，监督数据管理运营。数据安全治理主要针对数据安全管控展开，数据安全管控是一套以数据安全治理相关组织和人员为核心的，涵盖数据安全治理制度、技术、运营各方面的执行保障机制，其本质是通过高质量的人才队伍和严明的制度体系、技术防护措施来确保数据安全战略被正确落实。因此数据安全管控是开展数据安全治理的重要基础性保障。在数据安全治理过程中，数据安全团队重点针对数据安全管控的方式方法、原则思路、落地步骤等提供设计建议、技术防护，为XX市XX区提

5、供专业、可执行的数据安全建设方案。2 .项目目标通过本项目建设，系统梳理和评估XX市XX区数据安全现状情况，建立配套的数据安全管理制度体系，构建数据安全管理平台，加强覆盖数据生命周期的防护能力，以及建设实战化的数据安全运营体系。最终，将全面提升XX市XX区数据安全防御能力，降低数据安全风险，为XX市XX区信息化业务发展及信息化建设提供坚实可靠的数据安全保障。3 .项目周期1、项目合同履行期限36个月；2、合同签订后6个月内完成软硬件产品到货安装、部署和调试，达到合同约定的功能及性能要求后进行项目初步验收。通过项目初步验收后进入产品三年质保期；3、本项目安全服务的服务期为合同签订后起24个月，达

6、到合同要求后开展项目最终验收。按第二章采购需求服务技术要求内容履行。二、项目服务内容1 .采购需求一览表序号建设项服务/设备名称服务内容/规格参数数量单位1数据安全合规服务数据安全顶层规划咨询服务派遣数据安全咨询专家开展XX区数据安全总体规划设计，采取现场访谈、调研、查阅组织级战略规划文件等方式，深入了解组织数据安全现状、挑战及业务需求，根据实际调研结果针对性设计数据安全总体架构、功能定位及建设目标。一、数据安全总体架构需覆盖数据安全管理体系、数据安全技术体系、数据安全运营体系三大体系，并详细规划每个体系的组成部分、功能定位及建设目标；二、查阅组织最新的战略规划文件、业务发展规划等相关资料，确

7、保数据安全规划与组织战略相契合；三、明确规划阶段所需的具体任务，并按照其可行性、紧迫性、实用性和回报率等结合现状需求进行优先级排序，归类总结出组织数据安全建设路径；四、编制数据安全体系规划报告和数据安全体系实施路线图，以清晰阐述数据安全规划的设计思路和实施方案，并以图形化方式展示数据安全建设的路径和关键任务。1项2数据安全管理制度建设依据数据安全管理体系规划框架，制定符合组织级数据安全管理体系制度、要求、流程、规范等。通过文档审阅及现场访谈的方式，了解目前XX区数据安全管理制度体系合理性、适用性和有效性，安全管理制度规程和技术措施的实行情况等。应全面1项序号建设项服务/设备名称服务内容/规格参

8、数数量单位服务了解XX区数据安全管理现状，结合管理情况协助局内负责人编制或更新不少于9份规范性文件。选定1个试点范围（场景/部门），开展1次制度试运行工作，并且组织规范文件试行研讨会，了解试行结果，进行相应的优化工作。输出物包括但不限于：数据安全管理办法、XX区数据合作方安全管理规范、数据安全采集管理规范、数据安全传输管理规范、数据安全存储管理规范、数据处理阶段管控规范、数据安全交换管理规范、数据安全销毁管理规范、数据共享规范等。3数据安全风险评估服务依据网络数据安全风险评估实施指引规范，对大数据平台、视频汇聚平台、地理信息系统每年开展1次数据安全风险评估工作。明确数据安全检查指标和检查方案，

9、从合规视角和风险检测视角综合分析，最终形成评估报告及整改建议。输出物：数据安全风险评估服务实施方案、数据安全调研记录、资产调研表清单、数据库资产清单、数据安全漏洞威胁赋值表、核心数据库敏感字段清单、用户及用户权限清单、数据库漏洞检测报告、已有安全措施列表、数据安全风险汇总表、数据安全风险评估报告。1项4数据安全数据安全运营流程为保障数据安全运营的持续化建设工作顺利开展，服务方需协助建立区政数局数据安全运营流程规范，包括建立数据安全运营体系管理规范及数据安全运营团队架构，为数据安全运营提供保障。输出1项序号建设项服务/设备名称服务内容/规格参数数量单位运营服务建设服务物：数据安全运营管理流程、数

10、据安全运营工作指南、数据安全运营团队架构图等。5数据安全应急响应服务提供数据安全应急响应、应急演练等服务。当组织单位发生突发安全事件时提供应急响应处置支撑服务(大数据科)，输出相应的应急预案，在紧急情况下能正确、有效的处理各类信息系统在运行故障；另一方面，通过桌面应急演练作为检验，评价和维持组织单位大数据科应急能力，检验应急预案体系的完整性。输出物：数据安全应急预案、应急演练记录等，含四次应急处置支撑，协助完善数据安全应急预案；并提供2次数据安全应急演练服务。1项6数据安全培训服务服务方派遣数据安全理论、技术专家，针对组织单位(含各委办局单位)全体人员开展各主题数据安全培训工作，提升组织单位全

11、员数据安全意识，掌握数据安全发展趋势，了解新型风险和攻防新技术，掌握数据安全设备软硬件技能，贯彻数据安全管理制度，提高数据安全防护能力。通过定期组织数据安全法律法规政策及管理制度培训1、数据安全意识培训I、数据安全基础知识培训、数据安全管理运营能力提升等主题培训，全面增强全体员工数据安全防护意识和数据安全防护能力。培训课件围绕如下核心课题展开，包括但不限于：(1)数据安全法律法规政策及管理制度培训(2)数据安全意识培训4次序号建设项服务/设备名称服务内容/规格参数数量单位（3）数据安全基础知识培训（4）数据安全管理运营能力提升（5）其他课题输出物：数据安全培训PPT、数据安全培训考题、培训签到

12、表、培训评价表、培训总结等。7数据安全驻场运营服务1、数据安全效能评估依据国家法律法规政策规范，制定数据安全效能评估检查指标，每年针对XX区各单位开展抽查式的数据安全效能评估工作，明确数据安全检查指标和检查方案，从合规视角和风险检测视角综合分析；逐步提升数据安全管理能力，逐步趋向数据安全检查指标要求，满足基础的数据安全合规性要求，最终形成评估报告及整改建议。服务周期内提供全区区直单位及24个镇街的数据安全效能评估并输出相应评估报告数据安全效能评估报告。2年82、数据安全风险监测在运营阶段，数据安全运营驻场人员承担协助XX区政务服务和数据管理局完成数据安全事件监测及预警工作；需定期通过相应的安全

13、扫描、安全审计和安全监测等活动，对XX区政务服务和数据管理局内部数据资产面临的风险和外部的威胁情况进行持续安全监控，确保能够准确地发现异常行为和事件，能够了解其潜在影响，并及时验证保护措施的有效性，提供预警信息和建议，协助采取应对措施，确保数据安全风险事件处置的及时率。2年序号建设项服务/设备名称服务内容/规格参数数量单位风险监测时期工作内容包括：全面监控、实时预警、风险分析、监测报告；负责全局数据安全监测数据的统计、维护及管理；负责协助组织单位开展其他日常监测工作等。93、数据安全分析研判本项目数据安全运营驻场人员通过运用专业技术手段，对XX区政务服务和数据管理局的数据安全事件进行深入、全面

14、的调查和分析，细化事件本质、原因和影响，并提供针对性的防护建议和策略。同时，协助本单位制定决策和处置方案，确保数据安全风险事件得到及时、有效的处理，为政务服务的数据安全提供有力保障。分析研判时期工作内容包括：事件分析（发生的数据安全事件或其他告警事件）；威胁情报收集，及时预警并提供应对策略；定期对组织单位的数据资产进行风险评估，采取渗透测试、漏洞扫描等检测手段，识别潜在的安全漏洞和脆弱点，并提出针对性的防护建议；形成专业的研判报告，总结分析研判结果，为组织单位提供决策支持，指导本单位加强数据安全防护工作；基于分析研判结果，为组织单位提供数据安全策略建议，协助本单位完善安全管理或技术体系，提升整

15、体安全防护能力；协助组织单位开展其他日常分析研判工作，确保其数据安全工作的连续性和有效性。2年序号建设项服务/设备名称服务内容/规格参数数量单位104、API安全监测审计建立对敏感数据的识别规则和持续风险监测能力，以敏感数据作为数据安全风险监测目标，既可监测应用接口交互的信息中是否有和用户身份以及用户信息相关的敏感参数和外部越权攻击、盗取敏感信息的行为，也可监测内部人员非法访问和下载，或非法将数据上传至服务器，以供外网下载的内部数据安全问题。2年115、数据库运维审计传统的数据授权方式是针对数据库账号的授权，由于数据库自身的限制，不能实现针对数据的细粒度授权，数据的规范使用和越权访问无法有效控

16、制。而后台的运维人员均为特权账号人员，建设基于数据的权控系统，不但能够实现数据权限最小化，大大降低数据越权访问和违规使用的概率。本服务主要通过数据库防火墙工具提供“哨兵式”的安全看护服务，及时发现并有效控制安全风险和威胁，做到早发现、早处置，避免发生重大安全事件；提供“顾问式”的运维安全风险统计和运维安全风险管理服务，为网络安全技术防护策略持续改进提供有效性安全建议。通过数据库审计工具实时监控数据库中数据使用、数据访问、数据操作、用户登录、数据导入导出等行为，追踪危险事件和不安全操作。2年126、数据安全事件处置数据安全运营驻场人员负责XX区政务服务和数据2年序号建设项服务/设备名称服务内容/

17、规格参数数量单位管理局全部数据安全事件监测预警事件的处理工作，采取快速响应、调查分析、处置和恢复等工作；确保XX区政务服务和数据管理局在面临数据安全事件时能够迅速、有效地进行响应和处置。事件处理时期工作内容包括：快速响应、确定影响、总结汇报、处置措施、恢复工作、总结反馈、持续跟踪、协助组织单位完善事件处理流程和应急预案等。137、数据安全分类分级工具及支撑服务数据安全运营驻场人员需严格遵循XX区政务服务和数据管理局的指示与要求，提供数据安全分类分级工具和Al大模型工具用于数据的分类分级工作，并全面协助并指导数据分类分级工作的顺利实施。依托数据安全资源池，将推动数据分级系统的全区共享，并通过培训

18、和指导的方式，协助各单位首席数据官有效推进数据分类分级工作。在实施过程中，坚持“接入一条数据、定级一条数据”的原则，综合运用数据分类分级工具和人工评估方法，引导系统主管部门业务人员逐条确定数据安全级别，确保数据分类分级工作的全面、准确开展。最终，形成相应的规范文件数据安全分类分级指南。所涉及的具体工作包括：D数据分类分级工具部署，数据分类分级工具的核心功能是通过网络嗅探技术对指定范围内的数据源进行扫描，动态发现数据资产，防止出现对数据的管理盲区；通过抽取样例数据结合内置识别模2年序号建设项服务/设备名称服务内容/规格参数数量单位型和规则分析，自动完成敏感数据识别和数据分类分级；根据服务需求，在

19、XX区政务服务和数据管理局部署一套数据安全分级工具，便于后续开展相关支撑工作。2）依托数据安全资源池，将数据分级系统共享全区各单位使用，并由数据安全运营驻场人员以培训、指导的方式协助各单位首席数据官顺利推进数据分类分级的实施。3）本项目数据安全运营驻场人员遵循“接入一条数据、定级一条数据”原则，提供协助指导XX区政务服务和数据管理局完成对一网共享平台的数据分类分级工作。通过利用数据分类分级工具和人工评估结合方式，通过专业的数据安全技术引导系统主管部门业务人员逐条确定数据安全级别，协助开展数据分类分级工作，形成区政数局数据分类分级清单。148、数据安全策略配置优化通过定期检查的方式，对已有的数据

20、安全分级策略及数据分级结果进行内部调研确认，结合业务情况及实际需求开展数据安全策略配置优化工作。优化数据安全运营策略，应基于业务层面和数据层面为不同角色分配不同权限，包括标签策略管理，提供多维度展现和完善的数据安全策略管理，主要包括标签分级管理和标签分类管理；访问控制策略管理；脱敏策略管理，依据指南，结合脱敏系统内置自动脱敏规则和手动脱敏手段，对数据进行脱敏；2年序号建设项服务/设备名称服务内容/规格参数数量单位放泄露策略管理，发现并监控敏感重要数据，确保敏感重要数据的合规使用。159、常态化漏洞跟踪数据安全运营驻场人员需根据实际需求，定期、全面地对XX区政务服务和数据管理局指定的系统进行漏洞

21、扫描，并提供修复建议和优先级。对已检测或评估系统漏洞的修复和事件整改过程监督及情况跟踪，确保修复措施得到有效执行，并及时验证修复结果。2年1610、其他服务工作服务方根据单位需求，定期安排项目专人到单位现场，在服务期间，承担XX区政务服务和数据管理局数据安全后台的技术支撑，协助本单位完成数据安全建设相关工作，完成XX区政务服务和数据管理局交付的其他工作。如根据实际情况定期更新完善规章制度、安全指导、配合监管单位的检查与材料梳理等。根据区政数局工作时间，全年工作日驻场。区政数局2人（支撑数据安全运营工作），服务周期两年。2年17数据安全能力建数据安全资源池底座硬件规格要求：政务外网区和互联网区各

22、一台单台配置要求为：标准2U机箱，CPUN2颗*12核24线程，内存三384GB,千兆电口26个，24个万兆SFP口（含模块），系统盘三2个480GB固态SSD,数据盘三6个8T标准SATA,包含超融合虚拟化软件授权。交付形式：硬件2台序号建设项服务/设备名称服务内容/规格参数数量单位设使用期限：长期服务期限及服务内容：3年，服务内容包括系统及规则库升级服务、技术支持服务。18数据库防火墙性能要求：政务外网区和互联网区各一套单套性能要求为：数据库实例三32个，吞吐三4Gbps,并发连接数三8000,每秒查询率QPSN60000交付形式：数据安全资源池提供数据库防火墙软件。设备功能：为数据库攻击

23、提供全面检测和针对外部风险的防御。使用期限：长期服务期限及服务内容：3年，服务内容包括系统及规则库升级服务、技术支持服务。2套19API安全监测系统性能要求：政务外网区和互联网区各一套，单套性能要求为：应用层流量数据安全检测能力三600Mbps交付形式:数据安全资源池提供APl安全监测软件。设备功能：提供接口梳理和安全监测服务，可自动检测API上存在的脆弱性并监测敏感数据流动风险。使用期限：长期服务期限及服务内容：3年，服务内容包括系统及规则库升级服务、技术支持服务。2套序号建设项服务/设备名称服务内容/规格参数数量单位20数据静态脱敏系统性能要求：政务外网区和互联网区各一套，数据库实例三32

24、个，单表单任务脱敏速率N50MBs交付形式：数据安全资源池提供数据静态脱敏软件。设备功能：基于主流脱敏算法，结合数据安全相关标准、管理制度要求、策略规则，实现对政务重要数据脱敏使用。使用期限：长期服务期限及服务内容：3年，服务内容包括系统及规则库升级服务、技术支持服务。2套21数据备份系统硬件规格要求:CPU2颗2.4G10核，内存N64GB,硬盘22个SSD240GB,硬盘28个HDD8T,千兆电口三2个，万兆光口三4个（配置三4个多模光模块）。性能要求：3台备份一体机合计提供有效裸容量三120TB,含备份系统容量授权。交付形式：硬件系统功能：数据备份为XX政数局提供基于应用系统、文件、数据

25、库、业务主机等多种业务类型的定期数据备份。使用期限：长期服务期限及服务内容：3年，服务内容包括系统及规则库升级服务、技术支持服务。3台序号建设项服务/设备名称服务内容/规格参数数量单位22数据安全管控平台硬件规格要求：标准2U机架式设备，双电源，CPU22*24核，内存三256G,硬盘三6T*6,千兆电口三4个，万兆光口三2个(配置多模光模块三2)。交付形式：硬件系统功能：提供数据安全管控平台基础应用系统，包括态势感知、数据资产管理、监测预警、应急响应、综合防控、安全模型、用户管理等模块。使用期限：长期服务期限及服务内容：3年，服务内容包括系统及规则库升级服务、技术支持服务。1台23消磁机性能

26、要求：单次消磁时间W60秒，单次消磁硬盘数量三2块，有效消磁区低场强NlOOOO(GS)交付形式：硬件设备功能：通过消磁方式销毁硬盘等磁性存储介质。使用期限：长期服务期限及服务内容：3年，服务内容包括设备维保服务。1台2 .服务技术要求2.1 数据安全顶层规划咨询服务2.1.1 服务内容当前，数据安全已跃升为数字经济时代的核心安全议题，关乎国家安全与竞争力。随着促进大数据发展行动纲要(2015)、科学数据管理办法(2018)及“十四五”规划(2021)等政策的相继出台，保障数据安全被置于前所未有的重要位置。面对日益严峻的数据安全威胁，本组织亟需提升数据安全治理能力。为此，本单位拟采购数据安全顶

27、层规划咨询服务，旨在全面分析数据安全风险、治理现状，并结合国内法律法规、方法论及组织数字化转型战略，从政策、监管、业务、数据、流程等方面构建出一套综合型、体系化的解决方案，形成符合组织实际的数据安全建设路径，确保数据安全与业务发展同频共振。数据安全顶层规划咨询服务需针对XX区政务服务和数据管理局实际情况，剖析数据安全在合规层面、业务层面和风险层面所面临的挑战，并结合组织在数据安全目标和远景，融合业务、管理、技术、运营等方面的需求后，以数据为核心，聚焦数据安全生命周期，规划设计全局化和开放性的数据安全体系，提升数据安全管理融合能力，夯实数据安全技术底盘，构建数据安全运营场景落地，实现组织数据资产

28、可视、数据可溯、数据风险可控、数据威胁可管。服务方需明确阶段性所需的具体目标，并按照其可行性、紧迫性、实用性和回报率等结合现状需求进行优先级排序，归类总结出符合本组织的数据安全建设路径。该规划咨询流程包括现状评估、需求分析、规划设计、建设路线等，具体要求如下：1 .现状评估：对数据资产梳理、数据分类分级和数据安全风险评估等结果进行综合现状评估，罗列出数据安全问题风险；2 .需求分析：依据现状评估阶段发现的数据安全问题风险，识别本组织单位数据安全需求并进行分析推导；3 .规划设计：规划设计阶段内容包含制定数据安全体系目标、数据安全管理体系设计、数据安全技术体系设计、数据安全运营体系设计以及总结关

29、键举措，形成工作任务（依据现状、需求分析结论对标整体框架图和分析管理、技术、运营体系差距）；4 .建设路线：建设路线阶段工作旨在根据工作任务的安全成效、实施难度进行分阶段实施，建设思路应遵循一是立足基础、阶段演进；二是专项实施、统筹建设；三是深度融合、预留扩展，继而进一步细化过渡到数据安全细分领域子项目建设。1.1.2 服务要求服务方需派遣数据安全咨询专家开展XX区数据安全总体规划设计，采取现场访谈、调研、查阅组织级战略规划文件等方式，深入了解组织数据安全现状、挑战及业务需求，根据实际调研结果针对性设计数据安全总体架构、功能定位及建设目标，为本单位提供完备且成熟的项目总体规划思路，并最终形成全

30、面、实际、可持续的数据安全总体规划设计。1.1.3 服务交付该服务输出成果包括数据安全体系规划报告和数据安全体系实施路线图等。2.2 数据安全管理制度建设服务2.2.1 月艮务内容协助XX区政务服务和数据管理局建立配套的数据安全管理制度体系，以支撑本组织单位的数据安全管理工作。服务方应依据国家出台的数据安全法及GB/T37988-2019信息安全技术数据安全能力成熟度模型等数据安全相关法律法规及相关规范，以XX市XX区原有组织级的合规遵循基线作为指引，有序开展组织单位数据安全管理制度建设服务。根据数据安全管理体系规划框架，制定符合组织级数据安全管理体系制度、要求、流程、规范等。包括但不限于数据

31、安全管理办法、XX区数据合作方安全管理规范、数据安全全生命周期管理规范等内容。通过文档审阅及现场访谈的方式，从业务安全需求、数据安全风险防范、数据安全合规等方面出发，了解目前XX区数据安全管理制度体系合理性、适用性和有效性，安全管理制度规程和技术措施的实行情况。通过全面了解XX区数据安全管理现状，结合管理情况协助局内负责人编制或更新不少于9份规范性文件。文档审阅重点包括但不限于审查与组织架构、安全策略、管理制度的建立和实行情况；而现场访谈主要与安全管理相关领导、部门负责人及骨干运维员工进行沟通交流，了解日常的安全制度的执行情况，相关技术措施的有效性，日常的运维管理安全措施，安全事件处置手段等。

32、2.2.2 服务要求按照区政务服务和数据管理局要求规范数据安全管理制度体系建设，协助局内负责人编制或更新不少于9份规范性文件，选定试点范围（场景/部门），开展制度试运行工作，并组织文件试行结果宣贯会，了解制度试行结果，及时优化规范性文件。2.2.3 服务交付该服务输出成果包括数据安全管理办法、XX区数据合作方安全管理规范、数据安全采集管理规范、数据安全传输管理规范、数据安全存储管理规范、数据处理阶段管控规范、数据安全交换管理规范、数据安全销毁管理规范、数据共享规范等。2.3 数据安全风险评估服务2.3.1 服务内容针对大数据平台、视频汇聚平台、地理信息系统每年开展一次基于业务场景的数据安全风险

33、评估服务，依据XX区政务数据管理局数据安全现状，通过问卷调查、人员访谈、文档查验、配置核查、工具测试、旁站验证等评估办法，站在数据全生命周期的分析角度上，对标数据安全法、个人信息保护法以及具体行业相关标准所制定行业数据安全检查评估要求，针对大数据平台、视频汇聚平台和地理信息系统评估其数据安全现状与检查合规点要求之间的差距，通过工具监测、人工核查、渗透测试、文档查阅等手段，分别分析管理以及技术层面在数据安全管理、系统运维管理、数据库、数据应用各模块具体内容的数据安全脆弱性节点，明确数据安全脆弱性分布，并提出相应改进建议。数据安全风险评估应做到预防为主、主动发现、积极防范，对本单位数据处理者数据安

34、全保护和数据处理活动进行风险评估，旨在掌握数据安全总体状况,发现数据安全隐患，提出数据安全管理和技术防护措施建议，提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。围绕数据和数据处理活动，聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。首先通过调研识别的方式，针对本单位数据处理部门、业务和系统平台、数据资产、数据处理活动、安全措施等相关要素，从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患，最后梳理问题清单,分析数据安全风险、明确数据安全脆弱性分布，并提供针对性的整改建议。服务方需根据XX区政务服务和数据管理局实际需求及现状，提供数据安全风险

35、评估服务，具体阶段内容包含编制数据安全风险评估服务实施方案、数据安全风险评估前期调研、数据安全风险评估准备工作、数据安全风险评估服务实施等。2.3.2 服务要求服务期内每年开展1次针对区政务服务和数据管理局的大数据平台、视频汇聚平台、地理信息系统提供数据安全风险评估服务，明确数据安全检查指标和检查方案，从合规视角和风险检测视角综合分析，最终形成评估报告及整改建议。2.3.3 服务交付该服务输出成果包括数据安全风险评估服务实施方案、数据安全调研记录、资产调研表清单、数据库资产清单、数据安全漏洞威胁赋值表、核心数据库敏感字段清单、用户及用户权限清单、数据库漏洞检测报告、已有安全措施列表、数据安全风

36、险汇总表、数据安全风险评估报告等。2.4 数据安全运营流程建设服务2.4.1 服务内容数据安全运营流程是对数据安全持续建设的有效支撑，是开展数据安全服务的重要保障，服务方应在安全运营工作中，加强基于数据层面的安全运维、监测与通报预警能力。本数据安全运营体系建设需贴合XX区政务服务和数据管理局内部业务特性,制定适宜性的运营工作流程规范、以ISO/IEC20000等系列标准、ITIL,网络安全等级保护系列标准、上级单位及监管单位要求、业界安全建设最佳实践为参考，形成运营体系。从检查与数据安全自评估、实时数据安全风险检测、深度数据安全事件分析等领域开展标准化、常态化、一体化、实战化数据安全运营工作,

37、持续度量、迭代优化数据安全运营保障能力，构建整体联动的动态、主动、积极、整体的数据安全体系，将数据安全风险控制在可接受的范围内，最终达到持续提升数据安全能力、保障业务及数据安全发展的最终目标。数据安全运营的核心为定岗定责，责任到人，可验证、可追溯。为了确保数据安全运营的顺利进行，服务方需协助XX区政务服务和数据管理局建立一套完整、严密的数据安全运营体系管理制度及团队架构，为数据安全运营提供坚实保障，确保数据的机密性、完整性和可用性。为保障数据安全运营体系的持续化建设工作顺利开展，需要建立区政数局数据安全运营体系，包括数据安全运营管理流程、数据安全运营组织设计。1）数据安全运营管理流程：编制数据

38、安全运营管理流程，明确数据安全职责分工，规范化数据安全运营作业流程，包括但不限于自动化策略控制流程、通报预警流程、应急处置流程等，为指导数据安全运营管理奠定基础。2）数据安全运营组织设计：制定完整的数据安全运营组织架构，在组织建设部分可分为:数据安全运营领导小组、数据安全运维小组、数据安全监测小组、数据安全应急小组、数据安全治理小组、数据安全分析小组等多支队伍，明确各小组责任人和工作职责范围。2.4.2 服务要求为保障数据安全运营的持续化建设工作顺利开展，服务方需对区政数局数据安全管理相关运营情况进行调研，包括组织架构和部门职责、部门间的协作、部门内的分工、人员职责等。对数据安全运营流程汇总形

39、成流程材料，将各项流程进行梳理整理形成运营组织架构、责任说明、运营流程图、运营流程说明、运营指导手册等材料。最终对建立的运营流程进行试运行，检验流程有效性，修订错误、简化复杂流程等。2.4.3 服务交付该服务输出成果包括数据安全运营管理流程、数据安全运营工作指南、数据安全运营团队架构图等。2.5 数据安全应急响应服务2.5.1 服务内容随着网络信息化建设的不断深入，国家信息化建设进程的加速，计算机信息系统和网络已经成为重要的基础设施，各种数据安全事件与日俱增，所面临的数据安全问题越来越复杂，安全威胁正在飞速增长。加强网络安全与数据安全等方面应对应急事件的处理能力将是一项重要任务。为确保XX区政

40、务数据管理局数据安全，应对突发的数据安全事件如：发生数据泄露、数据加密勒索攻击、网络入侵事件等；通过安全专家采取远程、现场等方式协助查明安全事件原因，确定数据安全事件的威胁和破坏的严重程度。安全专家通过事件分析、原因查找、事件处置、证据保留、及事件溯源等方式，快速解决安全事件及问题，及时恢复业务及系统的安全运行，并确保所有数据安全事件应急处置过程得到有效控制和记录。为建立健全XX区政务服务和数据管理局的数据安全应急响应体系，提高应对数据安全事件的组织指挥能力和应急处置能力，预防和减少数据安全事件造成的损失和危害，确保各平台安全平稳运行，根据国家相关法律法规和监管有关规定，结合本组织实际情况，服

41、务方需按本项目要求提供相应的数据安全应急响应服务。当组织单位发生突发安全事件时,提供应急响应处置支撑服务（大数据科），一年周期内的7*24小时随时响应；并且协助制定专项应急预案，明确各类安全事件导致紧急情况下正确、有效的处理各类信息系统运行问题的方法策略；同时,通过桌面应急演练作为检验，评价和维持组织单位大数据科应急能力，检验应急预案体系的完整性。应急响应服务方式采取远程与现场支撑相结合的方式，当远程支持无法解决问题时，应派遣专业的紧急响应安全专家在第一时间到达组织单位所在地提供现场支持服务，服务期间保证在任何时候都能及时找到响应处置的相关专业技术人员。当发生紧急安全事件，需征得组织单位许可，

42、立即启动应急预案进行远程修复，必要时通过强制措施保护组织单位数据、资料安全。具体服务内容如下：安全事件响应分析：在系统出现数据泄露、数据加密勒索攻击、网络入侵事件及其他各类安全事件时，在规定的安全应急响应时间内，应急响应人员对安全事件进行分析和处理。安全灾难恢复：当系统由于出现安全事故，造成系统无法正常对外提供服务时，在服务要求中规定的安全应急响应时间内应急响应人员协助完成包括但不限于：系统安全恢复，应用服务安全恢复，数据安全恢复，网络性能安全恢复，网络病毒灾难恢复等在内的灾难恢复工作。安全事件入侵追踪和取证：在系统出现各类型安全事件后，对数据安全事件进行分析，开展事件入侵追踪和取证、事后安全

43、分析和处置服务。数据安全应急预案制定：协助制定专项应急预案，明确各类安全事件导致紧急情况下正确、有效的处理各类信息系统运行问题的方法策略。应急预案演练：为检验应急预案的有效性，同时使组织单位相关人员了解信息安全应急预案的目标和流程，熟悉应急响应的操作规程，将组织相关人员进行应急预案的测试和演练，以验证应急预案的有效性。2.5.2 服务要求服务期内按需提供应急响应服务，协助完善数据安全应急预案；并提供2次数据安全应急演练服务（每年一次），服务周期两年。2.5.3 服务交付该服务输出成果包括数据安全应急处置报告（按需）、数据安全应急预案、应急演练记录等。2.6 数据安全培训服务2.6.1 服务内容

44、数据安全培训服务旨在通过系统化的培训，全面提升组织单位（含各委办局单位）全体人员对数据安全的认识和知识水平，帮助员工深入理解数据安全的重要性，并掌握相关的最佳实践和技能。为确保培训内容的全面性和实用性，数据安全培训内容主题应包含数据安全法律法规政策及管理制度培训I、数据安全意识培训、数据安全基础知识培训、数据安全管理运营能力提升等内容，服务对象面向为组织单位全体人员。服务方派遣数据安全理论、技术专家，针对组织单位（含各委办局单位）全体人员开展各主题数据安全培训工作，提升组织单位全员数据安全意识，掌握数据安全发展趋势，了解新型风险和攻防新技术，掌握数据安全设备软硬件技能，熟悉数据安全管理制度，提

45、高数据安全防护能力。通过定期组织数据安全法律法规政策及管理制度培训、数据安全意识培训、数据安全基础知识培训、数据安全管理运营能力提升等主题培训L全面增强全体员工数据安全防护意识和数据安全防护能力。培训课程完成后，有关教材将为XX区政务服务和数据管理局所有，以便日后自行对其他人员进行辅助性培训之用，所有教材文件均以中文书写。从合规视角出发，根据数据安全培训政策指导，针对XX区及政务服务和数据管理局内部管理人员以及第三方建设运营单位等相关人员数据安全意识薄弱，数据保护意识不强等方面问题进行加强和学习，促进数据安全管理落实，辅助用户履行数据保护义务。将针对数据安全法和个人信息保护法进行详细的解读，分

46、析当前数据安全的形势和重要性，运用生动鲜活的数据泄露案例，从数据安全风险分析、数据安全防护措施等方面，剖析了数据安全事件发生的原因、危害，详解多种数据安全防护手段和日常工作守护数据安全注意事项，增强各单位全体干部职工的数据安全防护意识和技能，将学习到的知识运用到实际工作中，做好数据安全防护工作。本数据安全培训主要目标原则包含：制定针对性数据安全教育培训计划，定期组织开展数据安全宣传和培训工作,建立对数据安全的正确认识、增强相关人员自身的数据安全防范意识，增强人员的安全意识和良好的习惯，继而提升在数据安全方面的管理、运营和合规能力。贯彻数据安全管理制度，确保数据安全工作的有序开展。提高全体人员的数据安全意识，形成全员参与数据安全的良好氛围。使人员掌握数据安全基础知识和最新技术，能够识别并应对数据安全风险。提高组织单位的数据安全防护能力，保障数据资产的安全。2.6.2 服务要求服务方派遣数据安全理论、技术专家，针对组织单位（含各委办局单位）全体人员开展各主题数据安全培训工作，提升组织单位全员数据安全意识，掌握数据安全发展趋势，了解新型风险和攻防新技术，掌握数据安全设备软硬件技能，熟悉数据安全管理制度，提高数据安全防护能力。本培训