采购需求 

 

一、项目概况：

“★”号条款

《用户需求书》中标注有“★”号的条款必须实质性响应，负偏离（不满足要求）将导致投标无效。

1.        项目概况

1.1.        项目名称

省数据资源“一网共享”平台数据安全第三方评估与测评服务（2023年）项目。

1.2.        采购人

广东省政务服务数据管理局。

1.3.        用户单位

广东省政务服务数据管理局。

1.4.        项目总体目标

全面贯彻落实《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》、《广东省人民政府关于印发广东省国民经济和社会发展第十四个五年规划和2035年远景目标纲要的通知》、《广东省人民政府关于印发广东省 数字政府改革建设“十四五”规划》、《广东省人民政府关于印发广东省数据要素市场化配置改革行动方案的通知》、《建立健 全政务数据共享协调机制加快推进数据有序共享的实施方案》等文件中有关“加强公共数据开放共享”、“建立健全数据要素市 场规则”、“推动公共数据开发利用”、“强化数据资源整合和安全保护”、“加快推进数据要素市场化配置改革”等要求，完善省 市一体化政务大数据中心支撑能力，加强数据共享、数据治理、数据管理、数据分析等公共支撑能力建设，为各地各部门数据应用提供产品化、标准化的统一能力支撑。提升政务大数据中心用户体验，为各地各部门及相关开发者提供专业、易用、可信赖的平台产品和服务。升级完善“开放广东”平台，优化平台功能，加强平台运营管理。强化应用和数据安全保护。加强政务信 息系统的数据资产梳理，定期开展数据安全风险评估，全面深入探查数据安全底数。探索通过多方计算、同态加密等技术，解决数据共享中的隐私保护问题，实现数据“可用不可见”。强化数据安全监管，建立健全数据安全治理体系，提高数据安全保障 能力。加快推进数据要素市场化配置改革，提高数据要素市场配置效率，建设“全省一盘棋”数据要素市场体系。

按照国家、省委省政府工作部署，全面深化“数字政府2.0”建设，全力推动实现“四个提升”，即由数字政府建设向全面数字化 发展提升，由数字化向智慧化提升，由侧重政务服务向治理与服务并重提升，由数据资源管理向数据资产开发利用提升，在全国实现政务服务水平、省域治理能力、政府运行效能、数据要素市场、基础支撑能力“五个领先”，将我省打造成为全国数字政 府建设标杆，数字中国创新发展高地。

本项目结合采购人确认的省数据资源“一网共享”平台的实际情况，通过采购专业数据安全第三方评估与常态化检查服务，对服务对象开展定期、持续的测试评估，及时发现安全风险，提出整改建议，消除安全隐患，预防和减少网络安全、数据安全事件，保障数据安全，保障系统安全稳定运行。

1.5.        服务地点

采购人指定的服务地点。

1.6.        项目背景

网络安全是党和国家的战略需要，《广东省数字政府改革建设“十四五”规划》要求，“完善安全管理制度建设，提高安全运营 服务水平，满足当前和长期的安全业务发展需求，全力保障数字政府安全运行”。

省数据资源“一网共享”平台，即省政务大数据中心，是指在数字政府改革模式下，集约建设的省市一体化的政务大数据中心， 分为省级节点和地级以上市分节点，是承载数据汇聚、共享、分析等功能的载体。

省数据资源“一网共享”平台已完成定级备案或拟定级备案的系统开展等级保护测评。目前省数据资源“一网共享”平台安全测试工作的开展形式主要有安全主管部门安排的每年一次的安全检查以及项目验收前开展的功能、性能、安全测试。这些测试存在一定局限性，主要体现在执行频度低、覆盖范围有限、测试深度不足等方面。目前尚无服务项目满足政务基础设施常态化网络安全测试评估需求。

针对现有测评工作的局限性，本项目通过采购专业数据安全第三方评估与常态化检查服务，结合架构设计、部署形式、传输方式、业务特点、安全需求等方面，实现对省数据资源“一网共享”平台整体、系统、全面、持续的安全评估，发现安全风险，提出整改建议，及时消除安全隐患，预防和减少网络安全、数据安全事件，保障省数据资源“一网共享”平台及与之相关的政务信息系统的安全稳定运行。

2.        项目预算

本项目总预算454.31万元。

序号	服务名称	服务内容	金额（万元）
1	数据安全第三方评估与常态化检查服务	1.  数据安全能力成熟度模型评估； 2.  数据安全风险评估； 3.  数据安全体系培训； 4.  协助安全审计； 5.    前置机常态化安全专家检查服务； 6.  数据接口常态化安全检查服务； 7.  重点数据接口常态化安全专家检查服务； 8.    核心服务器常态化安全检查服务； 9.  网络安全重点设施常态化安全专家检查服务； 10.   应用系统常态化安全检查服务； 11.     风险评估服务； 12.专项渗透测试服务； 13.代码安全审计服务。	223.91
2	网络安全等级保护测评服务	根据GB/T  22239-2019《信息安全技术网络安全等级保护基本要求》等相关标准，完成网络安全的定级、备案、测评、整改与监督检查等工作并 形成安全测评报告。针对省“一网共享”平台需要开展网络安全等级保护评 估的各业务系统，提供不少于已备案或者待备案的16个系统测评服务，包  括但不限于省数据资源“一网共享”平台门户、省视频数据共享管理系统、 粤政图、省电子证照系统、省个人数字空间、省法人数字空间、省隐私计 算平台等。具体被测系统的名称和数量以采购人确认的实际情况为准，每个系统执行一次。	96
3	商用密码应用安全性评估服务	根据GM/T 0054-2018《信息系统密码应用基本要求》等相关标准，对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合  规性、正确性、有效性进行评估，并定期进行复评。评估报告应对指标的  不适用、不符合的情况作出说明，注明评估时间、人员、方法、过程并出  具评估结论。省数据资源“一网共享”平台需要开展商用密码应用安全性评  估的各业务系统，提供不少于16个业务系统测评服务，包括但不限于包括  省数据资源“一网共享”平台门户、省视频数据共享管理系统、粤政图、省  电子证照系统、省个人数字空间、省法人数字空间、省隐私计算平台等16   个系统，具体被测系统的名称和数量以采购人确认的实际情况为准，每个 系统执行一次。	134.4

3.        服务期限

（1）       数据安全第三方评估与常态化检查服务的服务期限为：服务期限12个月，服务起始时间为采购人确认的服务启动报审备案之日。

（2）       网络安全等级保护测评服务的服务期限为：以采购人确认的服务启动报审备案时间为服务起始时间，截至本项目通过采购人最终验收止。

（3）       商用密码应用安全性评估服务的服务期限为：以采购人确认的服务启动报审备案时间为服务起始时间，截至本项目通过采购人最终验收止。

4.        服务内容

本项目服务内容包括：

4.1.        数据安全第三方评估与常态化检查服务

4.1.1.        数据安全能力成熟度模型评估

4.1.1.1.        服务内容

根据GB/T 37988-2019《信息安全技术数据安全能力成熟度模型》，制定年度数据安全风险控制点自查流程和评估计划，根据数据安全能力成熟度模型以及相应的成熟度等级完成评估工作，涵盖策略与规程、数据与系统资产、组织和人员管理、业务

规划与管理、数据供应链管理、合规性管理、数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全等多个安全领域，对整体数据安全能力成熟度进行综合评价，确定能力成熟度的级别与改进方向。

4.1.1.2.        交付物

不少于1份数据安全能力成熟度评估报告。

4.1.2.        数据安全风险评估

4.1.2.1.        服务内容

依据《数据安全法》、《网络数据安全保护条例》、《广东省公共数据管理办法》等要求，每年度开展一次数据安全评估。基于数据资产、数据应用场景、数据威胁、脆弱性、安全措施五个基本要素，根据各个要素的特性和权重建立数据安全风险评估

指标体系开展数据安全评估。省数据资源“一网共享”平台需要开展数据安全评估的各业务系统，包括省数据资源“一网共享”平

台门户、省视频数据共享管理系统、粤政图、省电子证照系统、省个人数字空间、省法人数字空间、省物联感知数据共享管理系统选取不少于4个系统，以实际的系统名称和数量为准。

4.1.2.2.        交付物

不少于1份数据安全风险评估计划、4份系统数据安全评估报告。

4.1.3.        数据安全体系培训

4.1.3.1.        服务内容

面向省厅和各地市单位，针对数据处理活动以及开展信息系统建设、维护工作中，需要注意数据安全保护相关的政策法规、标

 

准规范、行业实践，制定化提供对应数据安全培训方案，组织开展针对数据管理相关人员的培训和考试，计划提供不少于3次培训工作，其中，省级单位不少于1次，地市不少2次，对应出具1份数据安全培训计划和2套数据安全培训材料（分别对应省 级和地市）。

主要内容包括：

1.        政策法规类

针对相关政府单位、信息化从业人员、数据安全及个人信息保护业务人员等开设的课程，课程主要提供近年国家、省、市出台的一系列数据安全及个人信息保护领域重要的政策法规，如《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等的解读和分析，提升安全意识。

2.        标准规范类

针对相关政府单位、信息化从业人员、数据安全及个人信息保护行业人员等开设的课程，课程主要提供数据安全及个人信息保护领域的标准和规范的解读和分析，如GB/T 37988-2019 《信息安全技术数据安全能力成熟度模型》标准解析、GBT

36073-2018 《数据管理能力成熟度评估模型》标准解析、GB/T 35273-2020 《信息安全技术个人信息安全规范》。

3.        行业实践类

针对政府信息化系统设计、开发、集成、测试、运维等人员，以及信息化从业人员、数据安全及个人信息保护行业人员等开设的课程，课程主要提供政务行业数据安全和个人信息保护等内容，给具体实践工作做指引。

4.1.3.2.        交付物

不少于1份数据安全培训计划、2套数据安全培训材料（对应省级和地市），3场数据安全培训（省级1场、地市2场）。

4.1.4.        协助安全审计

4.1.4.1.        服务内容

作为省数据资源“一网共享”平台相关方，按需配合进行安全审计工作，完成人员访谈以及提供证明材料，根据不同单位出具的 审计报告，为省数据资源“一网共享”平台提供解决方案咨询服务，整改建议不少于12次。

4.1.4.2.        交付物

不少于12份安全审计解决方案报告（含整改建议）。

4.1.5.        省数据资源“一网共享”平台前置机常态化安全专家检查服务

4.1.5.1.        服务内容

服务范围：对省数据资源“一网共享”平台对接数据的前置机进行专家检查，前置机总数量约240台，以采购人确认的实际情况 为准。

服务频率：每月度执行1次，共执行12次。每次检查省数据资源“一网共享”平台服务范围中约20台前置机，服务期内覆盖服 务范围中的全部对象，共检查约240台次，以采购人确认的实际情况为准。

服务内容：对前置机操作系统、数据库系统及数据交换相关的应用组件进行配置核查，排查可能存在的安全隐患；利用漏洞扫描评估工具扫描前置机操作系统、数据库系统及数据交换相关的应用组件，识别可能被入侵者用来非法进入网络或者非法获取数据的漏洞；检查与前置机相关的运维管理制度及日志记录，发现可能存在的管理缺失；根据发现的安全隐患和问题，编写分析报告，指导相关方进行整改修复工作。

4.1.5.2.        交付物

每月度出具1份《省“一网共享”平台前置机常态化安全检查报告》，共12份。

4.1.6.        省数据资源“一网共享”平台数据接口常态化安全检查服务

4.1.6.1.        服务内容

服务范围：省数据资源“一网共享”平台的各类数据调用接口，总数量约6300个。除去和重点数据接口常态化安全专家检查服 务中重复的300个接口，服务范围约为6000个接口，以采购人确认的实际情况为准。

服务频率：每季度执行1次，共执行4次。每次检查服务范围中的1500个接口，服务期内覆盖服务范围中的全部对象，共测试 数量约为6000个次，以采购人确认的实际情况为准。

 

服务内容：使用漏洞扫描工具对省数据资源“一网共享”平台的各类数据调用接口进行漏洞检测，重点关注危害程度高、影响范围广及最新公布的各类漏洞，并在不影响接口正常功能的条件下人工验证检测结果；充分收集漏洞信息，根据暴露位置、利用

方式、危险等级、流行程度、已有控制措施等因素综合分析，形成漏洞修复紧急度指示，编写漏洞扫描分析报告，指导相关方进行漏洞整改修复工作。

4.1.6.2.        交付物

每季度出具1份《省“一网共享”平台数据接口常态化安全检查报告》，共4份。

4.1.7.        省数据资源“一网共享”平台重点数据接口常态化安全专家检查服务

4.1.7.1.        服务内容

服务范围：省数据资源“一网共享”平台对外提供的各类数据调用接口中，承载重要业务的重点接口，总数量约300个，以采购 人确认的实际情况为准。

服务频率：每季度执行1次，共执行4次。每次检查服务范围中约75个接口，服务期内覆盖服务范围中的全部对象，共检查约

300个次，以采购人确认的实际情况为准。

服务内容：从接口设计入手，采用关键人员访谈、工具测试等手段，由安全专家对省数据资源“一网共享”平台的重点数据接口进行分析，针对其在双向认证、身份鉴别、访问控制、权限管理、安全审计、攻击防范、数据加密等方面的情况，发现存在的

安全隐患和缺陷，编写分析报告，指导相关方进行整改修复工作。

4.1.7.2.        交付物

每季度出具1份《省“一网共享”平台重点数据接口常态化安全专家检查报告》，共4份。

4.1.8.        省数据资源“一网共享”平台核心服务器常态化安全检查服务

4.1.8.1.        服务内容

服务范围：省数据资源“一网共享”平台核心服务器，总数量约600台，以采购人确认的实际情况为准。 服务频率：每月度执行1次，共执行12次。每次检查服务范围中的全部对象。

服务内容：使用漏洞扫描工具对省数据资源“一网共享”平台核心服务器进行安全漏洞扫描，人工分析、验证扫描结果，最大限度发现操作系统、数据库系统、管理组件、中间件及其它已开启的服务组件的版本缺陷、补丁缺陷、错误配置等脆弱性，编写

漏洞扫描分析报告，指导相关方进行漏洞整改修复工作。

4.1.8.2.        交付物

每月度出具1份《省“一网共享”平台核心服务器常态化安全检查报告》，共12份。

4.1.9.        省数据资源“一网共享”平台网络安全重点设施常态化安全专家检查服务

4.1.9.1.        服务内容

服务范围：省数据资源“一网共享”平台日常运维涉及的各类网络安全重点设施，包括VPN、堡垒机、跳板机、运维终端、审计系统、监控系统、防火墙、资产管理系统、加密系统等，总数量不少于60台，以采购人确认的实际情况为准。

服务频率：每季度执行1次，共执行4次。每次检查服务范围中的全部对象，服务期内共检查不少于240台次。

服务内容：由安全专家对省数据资源“一网共享”平台日常运维涉及的各类VPN、堡垒机、跳板机、运维终端、审计系统、监 控系统、防火墙、资产管理系统、加密系统等网络安全重点设施进行配置核查和漏洞扫描，并检查相关日志记录情况，排查可

能存在的不合规账号、不合规权限、配置缺陷及安全漏洞，防止安全控制措施失效的情况发生。根据发现的安全隐患和问题， 编写分析报告，指导相关方进行整改修复工作。

4.1.9.2.        交付物

每季度出具1份《省“一网共享”平台网络安全重点设施常态化安全专家检查服务》，共4份。

4.1.10.        省数据资源“一网共享”平台应用系统常态化安全检查服务

4.1.10.1.        服务内容

服务范围：省数据资源“一网共享”平台的各类业务系统、WEB应用，总数量不少于15个，具体数量以采购人确认的实施情况 为准。

 

服务频率：每季度执行1次，共执行4次。每次检查服务范围中的全部对象，共检查不少于60个次。

服务内容：使用漏洞扫描工具对省数据资源“一网共享”平台的各类业务应用系统、WEB应用进行非入侵式的漏洞检测，重点

关注危害程度高、影响范围广及最新公布的各类漏洞，并在不影响系统正常运行的条件下验证检测结果；充分收集漏洞信息， 根据暴露位置、利用方式、危险等级、流行程度、已有控制措施等因素综合分析，形成漏洞修复紧急度指示，编写漏洞扫描分析报告，指导相关方进行漏洞整改修复工作。

4.1.10.2.        交付物

每季度出具1份《省“一网共享”平台应用系统常态化安全检查服务》，共4份。

4.1.11.        省数据资源“一网共享”平台风险评估服务

4.1.11.1.        服务内容

服务范围：根据实际需要指定的省数据资源“一网共享”平台已建成的业务系统、WEB应用。服务频率：对于每个指定的业务系统、WEB应用执行1次，按需提供，执行不少于25次。

服务内容：对已建成的大数据业务系统、Web应用进行全面的安全风险评估。安全风险评估综合运用配置核查、漏洞扫描、 人员访谈等方法，对应用系统运行环境（服务器操作系统、数据库系统、中间件系统等方面）及应用系统自身（应用系统安全

相关功能、业务逻辑）情况进行评估，发现安全风险，提出整改建议，指导相关方进行整改修复工作，从而预防和减少网络安全事件，保障省数据资源“一网共享”平台安全稳定运行。

评估方法与内容

评估内容		评估方法
		配置核查	漏洞扫描	人员访谈
应用系统运行环境	操作系统	√	√	√
	数据库系统	√	√	√
	中间件系统	√	√	√
应用系统自身	安全相关功能	√	√	√
	业务逻辑	√		√

4.1.11.2.        交付物

出具不少于25份应用系统风险评估报告。

4.1.12.        省数据资源“一网共享”平台专项渗透测试服务

4.1.12.1.        服务内容

服务范围：根据实际需要指定的省数据资源“一网共享”平台的业务系统、WEB应用。服务频率：对于每个指定的业务系统、WEB应用执行1次，执行不少于10次。

服务内容：以模拟黑客攻击的方式，综合运用注入攻击、跨站攻击、远程溢出、木马攻击、密码破解、嗅探、ARP欺骗、社工等多种方式，以互联网、电子政务外网及省数据资源“一网共享”平台内部网络等不同访问方式，对指定的大数据业务系统、Web应用进行评估测试，发现安全漏洞，及时给出整改修复意见和建议，并协助指导相关方进行安全漏洞整改，促进持续提 升大数据应用系统的安全防护能力。

渗透测试主要内容包括但不限于以下内容：

1.        常规漏洞测评，包括目录遍历、SQL注入、反射型XSS、跨站伪造请求（CSRF）、代码注入、LDAP注入、XML注入、意外文件格式上传、登出会话遗留和任意文件下载等。

 

2.        中间件漏洞测试，包括Tomcat未授权访问、Weblogic漏洞、Struts2漏洞、JBoss漏洞、WebSphere漏洞、IIS漏洞、php-fpm未授权访问漏洞、Redis未授权访问、Memcache未授权访问、MongoDB未授权访问、Phpmyadmin测试和中间 件弱口令等。

3.        业务安全测试，包括弱口令、平行/垂直越权、密码重置漏洞、会话超时检测、登录错误限制、验证码测试和重放攻击等。

4.        通信安全测试，包括HTTP测试、HTTPS证书校验错误、不安全的SSL/TLS和URL携带敏感信息等。

5.        服务器安全测试，包括端口检测、FTP弱口令匿名访问、操作系统漏洞、数据库漏洞和远程登录漏洞等。

6.        信息泄露测试，包括管理后台泄露、错误信息泄露、配置文件泄露和源码泄露等。

4.1.12.2.        交付物

出具不少于10份渗透测试报告。

4.1.13.        省数据资源“一网共享”平台代码安全审计服务

4.1.13.1.        服务内容

服务范围：根据实际需要指定的省数据资源“一网共享”平台业务系统或功能模块（一般为新增功能）。 服务频率：每个指定的省数据资源“一网共享”平台业务系统或功能模块执行1次，总体执行不少于5次。

服务内容：对指定的省数据资源“一网共享”平台业务系统或功能模块开展源代码审计，发现软件源代码中的缺陷和错误，并提供整改加固建议方案，指导相关方进行整改修复，提高系统代码安全性，降低后期系统上线运营过程中的安全风险和安全运维

资源投入。源代码审计服务内容包括但不限于如下内容：

1.        前后台分离的运行架构；

2.        WEB服务的目录权限分类； 3.认证会话与应用平台的结合； 4.数据库的配置规范；

5.        SQL语句的编写规范；

6.        WEB服务的权限配置；

7.        对抗爬虫引擎的处理措施；

8.        异常信息的管理。

4.1.13.2.        交付物

出具不少于5份代码安全审计报告。

4.2.        网络安全等级保护测评服务

4.2.1.1.        服务内容

网络安全等级保护测评服务是指根据GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》等相关标准，完成网络安全的定级、备案、测评、整改与监督检查等工作并形成安全测评报告。省“一网共享”平台需要开展网络安全等级保护评估的 各业务系统，提供不少于已备案或者待备案的16个系统测评服务，包括但不限于省数据资源“一网共享”平台门户、省视频数 据共享管理系统、粤政图、省电子证照系统、省个人数字空间、省法人数字空间、省隐私计算平台等，具体被测系统的名称和数量以采购人确认的实际情况为准，每个系统执行一次。

4.2.1.2.        交付物

出具不少于16份系统等级测评报告。

4.3.        商用密码应用安全性评估服务

4.3.1.1.        服务内容

商用密码应用安全性评估服务是指根据GM/T 0054-2018《信息系统密码应用基本要求》等相关标准，对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估，并定期进行复评。评估报告应对指标的不适用、不符合的情况作出说明，注明评估时间、人员、方法、过程并出具评估结论。包括商用密码方案评估、商用密码应用安全性评估与复评工作。 

省数据资源“一网共享”平台需要开展商用密码应用安全性评估的各业务系统，提供不少于16个业务系统测评服务，包括但不 限于省数据资源“一网共享”平台门户、省视频数据共享管理系统、粤政图、省电子证照系统、省个人数字空间、省法人数字空 间、省隐私计算平台，具体被测系统的名称和数量以采购人确认的实际情况为准，每个系统执行一次。

4.3.1.2.        交付物

出具不少于16份系统密码应用方案评估报告、16份系统密码应用安全性评估报告（含整改建议）。

5.        服务要求

5.1.        技术要求

5.1.1.        评估依据

本项目实施过程中参照以下标准规范：

(1)        《中华人民共和国网络安全法》

(2)        《中华人民共和国密码法》

(3)        《信息安全等级保护管理办法》（公通字〔2007〕43 号）

(4)        《商用密码管理条例》（中华人民共和国国务院令〔第273号〕）

(5)        GB/T 22239-2019 《信息安全技术网络安全等级保护基本要求》

(6)        GB/T 28448-2019 《信息安全技术网络安全等级保护测评要求》

(7)        GB/T 37988-2019 《信息安全技术数据安全能力成熟度模型》

(8)        GB/T 35273-2020 《信息安全技术个人信息安全规范》

(9)        GB/T 20984-2007 《信息安全技术信息安全风险评估规范》

(10)        GB/T 39786-2021 《信息安全技术信息系统密码应用基本要求》

(11)        T/ISEAA 002-2021 《信息安全技术网络安全等级保护大数据基本要求》

(12)        GB/T 39477-2020 《信息安全技术政务信息共享数据安全技术要求》

5.1.2.        评估对象

1.        数据安全第三方评估与常态化检查服务

本项目的评估对象是省数据资源“一网共享”平台服务器、网络安全设备设施、前置机、数据接口、各类业务系统、Web应 用，政务外网核心网络设备、网络安全重点设施、运营平台服务器和应用系统。具体服务对象由采购人指定。

2.        网络安全等级保护测评服务

省数据资源“一网共享”平台需要开展网络安全等级保护评估的各业务系统，提供不少于已备案或者待备案的16个系统测评服 务，包括但不限于省数据资源“一网共享”平台门户、省视频数据共享管理系统、粤政图、省电子证照系统、省个人数字空间、 省法人数字空间、省隐私计算平台等，具体被测系统的数量和名称以采购人确认的实际情况为准。

3.        商用密码应用安全性评估服务

省数据资源“一网共享”平台需要开展商用密码应用安全性评估的各业务系统，提供不少于16个业务系统测评服务，包括但不 限于省数据资源“一网共享”平台门户、省视频数据共享管理系统、粤政图、省电子证照系统、省个人数字空间、省法人数字空 间、省隐私计算平台等，具体被测系统的数量和名称以采购人确认的实际情况为准。

5.1.3.        服务范围和服务频率

1.        数据安全第三方评估与常态化检查服务

具体各项服务的服务对象范围和服务频次要求见下表：

序号

服务类型

服务名称

对象范围

频率

1		数据安全能力成熟度模型评估	根据数据安全能力成熟度模型以及相应的成熟度等级完成评估工作，涵盖策略与规程、数据与系统资产、组织和人员管理、业务规划与管理、数据供应链管理、合规性管理、数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全等多个安全领域，对整体数据安全能力成熟度进行综合评价。	服务启动后11个月内完成问题分析、给出整改建议 、形成评估报告，提供不少于数据安全能力成熟度评估报告1份。
2		数据安全风险评估	省数据资源“一网共享”平台需要开展数据安全评估的各业务系统，包括省数据资源“一网共享”平台门户、省视频数据共享管理系统、粤政图、省电子证照系统、省个人数字空间、省法人数字空间、省物联感知数据共享管理系统，从中选取4个系统。	服务启动后11个月内完成不少于4个系统的数据安全评估及报告编制工作，提供不少于4个系统的数据安全评估报告各1份。
3		数据安全体系培训	针对数据处理活动以及开展信息系统建设、维护工作中，需要注意数据安全保护相关的政策法规 、标准规范、行业实践，制定化提供对应数据安全培训方案，组织开展针对数据管理相关人员的 培训和考试。	提供不少于3次培训工作， 其中，省级单位不少于1次 ，地市不少2次。
4		协助安全审计	根据不同单位出具的审计报告， 为省数据资源“一网共享”平台提供解决方案咨询服务。	按需配合定期和不定期的安全审计工作，根据安全审计需求，提供解决方案咨询，提供不少于12次整改建议。
5		省数据资源“ 一网共享”平台前置机常态化安全专家检查	前置机总数量约240台，以采购人确认的实际情况为准。	每月度执行1次，共执行1 2次。每次检查省数据资源“一网共享”平台服务范围中约20台前置机，服务期内覆盖服务范围中的全部 对象，共检查约240台次 ，以采购人确认的实际情 况为准。

具体见招标文件