招标文件
采购需求
一、项目概况:
项目属性:服务类
(一) 项目背景
按照数据安全相关法律法规以及数据安全主管部门要求,市直各单位进行数据活动,需在采集、传输、存储、处理、共享、销毁等数据全生命周期采取相应的安全保障措施。建立完善数据安全事前审核、事中留痕、事后追溯机制,有效预防、发现、处置各类数据安全风险隐患,确保数据安全事件可定责、可追溯。本项目通过数据安全管理制度服务、数据安全全生命周期安全管理服务、数据安全应急服务、数据安全培训服务提升广州市人力资源和社会保障数据服务中心数据安全技术支撑能力,提高数据安全管理水平,保障人社数据安全。
(二) 信息系统现状
(1) 公共服务平台之数据中心应用
公共服务平台之数据中心应用通过数据基础平台和应用集成平台,提供对社保、就业培训、劳动关系、职业教育板块的核心业务系统应用的支持。数据交换平台为纵向与人社部,省级业务单位的交换业务提供支持,同时也为横向的金融类业务提供安全性及可靠性的技术保障,充分利用市政务数据共享平台,实现横向和兄弟单位的数据共享等业务。
公共服务平台数据中心应用技术架构图
1. 数据中心应用技术路线:SOA技术
面向服务的体系结构(Service-Oriented Architecture,SOA) 是一种 IT 体系结构样式,支持将您的业务作为链接服务或可重复业务任务进行集成,可在需要时通过网络访问这些服务和任务。这个网络可能分散于各地且采用不同的技术,通过对来各地的服务进行组合,可让最终用户感觉似乎这些服务就安装在本地桌面上一样。需要时,这些服务可以将自己组装为按需应用程序——即相互连接的服务提供者和使用者集合,彼此结合以完成特定业务任务,使您的业务能够适应不断变化的情况和需求(在有些情况下,甚至不需要人工干预)。
这些服务是自包含的,具有定义良好的接口,允许这些服务的用户——称为客户机或使用者——了解如何与其进行交互。从技术角度而言,SOA 带来了“松散耦合”的应用程序组件,在此类组件中,代码不一定绑定到某个特定的数据库(甚至不一定绑定到特定的基础设施)。正是得益于这个松散耦合特性,才使得能够将服务组合为各种应用程序。这样还大幅度提高了代码重用率,可以在增加功能的同时减少工作量。由于服务和访问服务的客户机并未彼此绑定,因此可以完全替换用于处理订单的服务,下订单的客户机-服务将永远不会知道这个更改。所有交互都是基于“服务契约”进行的;服务契约用于定义服务提供者和客户机之间的交互。通常,您将通过创建“基于消息的”系统来实现此目标。
从业务的角度来说,面向服务的体系结构的重点在于开发能帮助业务任务的技术。
通过实现SOA,主要可以带来以下几个方面的好处:
1) 更高的业务和 IT 一致性
2) 基于组件的系统
3) 松散耦合的组件和系统
4) 基于网络的基础设施,允许分散于各地且采用不同技术的资源协同工作
5) 动态构建的按需应用程序
6) 更高的代码重用率
7) 更好地标准化整个流程
8) 更易于集中控制
要实现SOA就要解决如下几个问题:
流程服务,如何进行业务级建模和模拟,如何优化和监控业务流程。这是SOA倡导的理念,业务级的建模。
连通性,能够连接所有的资产(也就是程序包,或者服务),通用转换,事务处理,可伸缩性和性能,7*24运营,复杂事件处理。业务应用程序服务,服务就是构成系统的核心业务,这种应用程序服务就是来容纳这些服务,它要有可伸缩性和性能,可用性,安全性,事务协调,企业视图。
SOA是一个构建企业应用和集成企业已有系统的指导方法和思想。它将企业应用系统看作一个分布式系统,由很多独立的,提供一定业务功能的服务组成。服务彼此通过标准的接口协议相互调用,可以方便地将多个服务编排组成一个新的业务流程。当出现新的业务需求时,不需要从零开始实现,只需将已有的服务进行编排装配来实现新业务。快捷地实现新业务需求是企业保持竞争力,在未来高度竞争,服务专业化,定制化的环境下生存发展的关键所在。在设计上,SOA需要一个方法论来指导如何把一个系统划分为粒度合适,高可复用性的服务集合;在技术上,SOA同样要解决异构服务接口之间的互联互通问题,兼容各种已有的数据和接口标准,来连接各种已有软件和系统。为此SOA需要做的工作有:
1) 定义统一的服务接口描述,接口规范,接口访问策略。
2) 支持多种服务接口通信方式和通信协议。
3) 支持多种服务流程逻辑实现方式,BPEL 、 java、 C++ 。
4) 支持多种已有组件技术,Web Service、 EJB、COM、CORBA等。可以通过服务接口调用组件功能,也可以通过组件接口调用服务功能。
5) 定义统一的数据类型和数据格式。定义数据对象模型。
6) 提供统一的数据访问接口,支持多种类型的数据,关系数据库记录,EJB Entity Bean 。可以使用标准服务接口访问不同类型的数据。
7) 提供业务建模工具,定义企业资源,组织结构,业务流程。
数据中心应用开发厂商为东软,采用的数据库为oracle。公共服务平台之数据中心应用是对数据中心单位基本信息、个人基本信息公有数据进行管理,提供查询接口(包含单位基本信息、个人基本信息)以供各业务系统查询使用。
(1) 人事人才综合统计分析系统
人事人才综合统计分析系统是以事业单位人员管理系统、事业单位管理人员培训管理系统、专业技术人员管理系统、专业技术人员继续教育管理系统、社保信息、市组织部信息系统等现有的数据信息为基础,通过系统的自动采集和人工录入缺少的数据信息为补充,建立完成人事人才综合统计分析数据库,按照国家、省市的统计政策相关要求配置好相关信息项的统计要求,实现至下而上的数据统计自动化和人工审核功能,生成《参照公务员法管理的事业单位工作人员统计表》、《参照公务员法管理的群团机关工作人员统计表》、《事业单位管理人才、专业技术人才统计表》、《公有经济企业经营管理人才、专业技术人才统计表》和《事业单位工作人员工资统计表》等报表,从而提高人事人才统计的工作效率,把复杂统计工作变得简单化、规范化和系统化,也可通过该系统提供到实时的信息统计,更好地为领导决策提供服务。
人事人才综合统计分析系统是通过系统导入或人工录入的两种方式进行基础数据的采集,建立完成人事人才综合统计分析数据库,按照国家、省市的统计政策相关要求配置好相关信息项的统计要求,实现至下而上的数据统计自动化和人工审核功能,生成《公有经济企业经营管理人才、专业技术人才增加、减少情况统计表》、《各类型公有经济企业经营管理人才基本情况》、《公有经济企业分行业经营管理人才基本情况》、《公有经济企业专业技术人才基本情况》、《公有经济企业特殊专业技术人才基本情况》、《公有经济企业专业技术人才分行业情况》、《公有经济企业分行业专业技术人才基本情况》、《公有经济企业经营管理人才、专业技术人才参加培训情况》、《公有经济企业工人分行业情况》、《公有经济企业经营管理人才、专业技术人才、工勤技能人员分地区情况(中央单位填报)》等报表,从而提高人事人才统计的工作效率,把复杂统计工作变得简单化、规范化和系统化,也可通过该系统提供到实时的信息统计,更好地为领导决策提供服务。
人事人才综合统计分析系统技术路线:本系统以人事人才电子政务基础平台为整个业务应用系统提供基础技术支撑,实现系统各业务逻辑的管理和控制,包括流程、协作、安全、存取、授权等方面的控制。人事人才综合统计分析系统是电子政务基础平台其中一个子系统,在应用平台的设计中,充分考虑该技术框架的先进性、成熟性、稳定性和扩展性,采用.net framework 、Hibernate技术框架,Sql Server数据库,兼容满足业务需求。
(2) 资源共享平台
通过人社资源共享平台,实现对人社数据共享共用。充分利用云平台优势,解决人社业务繁杂,涉及多个业务系统,各系统独立建设比较分散,在接口统一管理上就会存在服务存在重复访问、重复使用的情况,并缺少统一标准和直观有效可视化的监控监管机制的问题。实现人社内部部门业务之间的数据共享;实现人社部门与外部部门之间的数据共享。从而真正实现政府部门之间数据贯通互用,更好的服务于人民群众。
资源共享平台系统功能包含:可视化监控Dashboard、用户中心、消费端管理、应用管理、服务管理、插件管理等。
资源管理平台架构
(一) 网络安全现状
广州市人力资源和社会保障数据服务中心已建立一套完善的安全体系,在安全组织方面:数据服务中心组织构架明晰,工作制度健全。一是中心成立了专门的网络和信息安全日常防护工作小组,小组组长为中心主任刘峻,带头抓网络和信息安全工作,重要网络和信息安全工作亲自部署、重要事项亲自过问、重大事件亲自处置;二是网络安全管理、机房安全管理、数据安全管理、固定资产管理、数据导出安全管理、机房值班人员管理、网站管理办法等均已建立较为健全的管理制度,规范各方面的安全管理工作;三是按照“谁主管谁负责,谁运营谁负责,谁使用谁负责”的原则,落实日常信息安全的部门工作责任意识;四是落实网站、信息系统和终端安全,定期数据备份和完善系统动态更新机制;五是严格保密制度,落实加强服务外包单位和人员的管理,并签订保密协议;六是外单位人员进入局机房实施操作须运维人员全程陪同;七是建立网络安全三级联络员机制,落实对信息安全突发事件和应急预案的管理,及时处理网络信息安全事件;八是在信息系统建设和网络安全中明确要求“同步规划、同步建设、同步运行”的三同步原则,在信息系统规划阶段已将信息安全纳入其中,并在建设方案中有所体现。
在技术防护方面:构建了包括日常预防、主动检测、实时监控、紧急恢复等措施在内的深度技术安全防御体系。一是通过部署防火墙控制访问行为,对用户进行统一授权管理,避免未授权访问情况的发生;二是部署态势感知大数据智能安全监控分析平台,对网络环境进行统一监控,及时发现存在风险的资产清单,提升安全威胁感知能力;三是进行常规性漏洞扫描和安全检查工作,定期对安全设备特征库进行升级;四是加强无线网络安全管理,所有新增无线接入均需申请授权,无授权有密码也访问不了;五是开展年度网络信息系统风险评估工作,将网络系统安全风险控制在低风险范围内。
(二) 数据安全现状
广州市人力资源和社会保障数据服务中心在数据安全管理方面,目前已成立了数据安全领导小组,建立了数据安全三级责任人机制,制定了数据共享安全、数据处理安全、数据安全管理规范等制度。数据安全防护方面,主要通过采购数据安全服务加强了任务数据全生命周期各环节的数据安全管控,主要包括数据安全风险评估、个人信息保护影响评估、数据访问权限控制、数据安全态势监控与事件处理,数据安全审计等。
(五)项目预算情况
项目总预算为140.72万元。其中2024年预算42.216万元,2025年84.432万元,2026年14.072万元。
二、项目采购清单
项目采购清单
|
序号 |
服务项目 |
服务要求 |
数量 |
|
一、信息系统运维服务 |
|||
|
1 |
公共服务平台之数据中心应用 |
实现数据层的系统整合,它主要是针对一些需要进行数据共享和跨部门利用的业务系统,可以通过数据中心系统将业务数据存储于数据中心,通过数据中心完成数据的共享,从而通过数据将相关的系统联接成为一个网络体系,实现数据的互通互换和互用。 |
1项 |
|
2 |
人事人才综合统计分析系统 |
实现了人事人才统计基础数据的自动采集、数据查询、统计分析和统计报表的生成、汇总、逐层上报、审核等工作的全流程网上办理。 |
1项 |
|
3 |
资源共享平台系统系统 |
对资源共享平台系统实现应用系统日常维护、基础环境故障检测及排除、安全优化由由等保二级提高为等保三级。 |
1项 |
|
二、数据安全服务 |
|||
|
1 |
数据安全风险评估服务 |
通过对人社业务系统开展数据安全评估服务,形成当前人社数据安全评估报告,为后续人社数据安全优化提供整改依据。 |
1项 |
|
2 |
数据脱敏服务 |
由于人社业务系统在数据开发、数据测试、数据分析、数据外发、业务使用等使用场景,需要定期通过人工及借助相关工具提供数据脱敏服务。对人社业务系统重要敏感数据及其使用场景进行识别梳理,根据业务场景需求配置敏感数据脱敏规则并借助相关工具进行数据脱敏服务。 |
1项 |
|
3 |
API安全监测服务 |
识别API接口敏感数据异常流转行为,防范因API接口引起的业务中断、账号盗用、数据泄露等风险,及时处置API接口风险项。需要定期通过人工服务对业务系统中API接口进行识别与梳理。提供相关服务工具,持续提供业务API接口敏感数据监控。 |
1项 |
|
4 |
数据加密服务 |
对人社业务系统的加密内容进行梳理、核实,核实哪些业务场景与敏感数据需要加密,同时提供测试加密服务,通过表空间的加密方式,完成重要数据的加密测试工作,验证测试环境中业务数据加解密后数据的可用性,为人社敏感数据加密改造升级提供合理的参考和依据。 |
1项 |
|
5 |
数据溯源服务 |
通过人工服务梳理数据分发数据共享使用场景,定期对相关场景进行核实,确保人社数据分发符合要求规范。结合人工,利用数据水印工具,在数据分发、数据共享场景下,将水印标记嵌入到原始数据中,实现数据进行分发数据共享后对泄露数据溯源。提供相关服务工具,持续提供数据溯源服务 |
1项 |
|
6 |
身份认证及权限管控服务 |
通过人工服务进行定期梳理相关业务系统的权限分配,核实相关权限与实际使用情况,结合数据安全日常支撑服务综合分析敏感访问操作行为、权限最小化是否符合用户管理制度要求。建立运维行为流程审批和建立敏感数据动态防护机制服务。提供相关服务工具,在日常身份验证和权限控制下持续提供使用及服务。 |
1项 |
|
7 |
数据安全审计服务 |
通过人工服务来审查各项管理制度是否落实、存在风险是否整改以及相应的监测告警是否处理,针对数据使用过程是否合法合规、管理制度是否落实,并对实施中出现的问题进行整改,监督,完成数据安全的管理闭环。 |
1项 |
|
8 |
数据安全应急响应及应急演练服务 |
提供7*24小时数据安全时间应急响应,提供应急演练服务,提供每年重大节假日及活动的数据安全应急保障现场服务,协助解决数据安全事件。 |
1项 |
三、服务内容及要求
一、 运维服务期限:
|
序号 |
系统运维服务 |
服务期间 |
时长 |
备注 |
|
1 |
公共服务平台之数据中心应用 |
2024年10月-2025年10月 |
12个月 |
|
|
2 |
人事人才综合统计分析系统 |
2024年12月-2025年10月 |
10个月 |
|
|
3 |
资源共享平台系统 |
2024年11月-2025年10月 |
11个月 |
|
|
4 |
数据安全服务 |
2024年11月-2025年11月 |
12个月 |
|
二、 提供整体项目解决方案
投标人根据广州人社信息化现状,对本项目整体服务内容全面理解、准确,并提出整体项目解决方案。整体项目解决方案能同时包括信息系统运维背景、信息系统建设现状、信息系统需求理解、数据安全建设背景、数据安全现状、数据安全需求理解
3.1.信息系统运维要求
(一)信息系统运维目标
围绕广州公共服务平台之数据中心应用、人事人才综合统计分析系统、资源共享平台系统系统维护相关功能,建立统一规范的系统运维管理服务、应急机制以及延续信息化系统维护和调优服务。在项目过程中依照采购人需求和政策规范,对广州公共服务平台之数据中心应用、人事人才综合统计分析系统、资源共享平台系统进行运维管理,解决系统在运行过程中遇到的故障和问题,完善和补充系统功能,优化系统性能,为采购人提供业务和技术支持,保证软件系统安全、稳定、高效的运行,确保各项业务的正常经办和管理。
(二)信息系统运维内容
1. 公共服务平台之数据中心应用运维
现有应用系统维护工作需要将待解决问题和需求以及在本项目服务期内提出问题和需求予以全部解决,保障系统正常高效、稳定运行,充分发挥系统作用。主要包括以下内容:
服务期间:2024年10月-2025年10月
|
序号 |
工作类型 |
工作内容 |
|
1 |
日常维护服务 |
|
|
1.1 |
应用系统日常维护 |
1、 按要求对系统状态进行监控,做好运行监控记录及时反馈运维问题,保障系统安全、稳定、高效运行。 2、 提供健康巡检,包括对可用性,完整性检查以及系统性能评估。对系统错误日志进行检查与分析,并根据报错信息,分析系统潜在问题,采取措施,排除故障隐患和安全漏洞。按要求提交检查报告和相关的改进建议。 3、 对数据交换进行监控管理,检查并监控数据交换的运行状况,按要求提交运维报告 4、 针对用户在系统使用过程遇到的问题进行解答,按要求完善运维制度与运行维护手册。 5、系统备份服务:提供数据备份服务,根据系统情况制定备份策略,并检查备份情况; 6、系统安全保障服务:保障系统安全,预防信息安全和安全保密事故的发生 7、系统故障检测及排除:应用系统出现故障时,立即响应,运维人员2小时内到场,24 小时内及对问题进行诊断、分析,并解决问题。必要时提供系统重部署及调试服务。如果不能解决问题,需将问题升级到原厂技术支持中心,对系统情况进行分析,直至解决问题。 8、驻场要求 驻场人员数量:2人,负责系统日常维护工作,大学专科或专科以上学历。 驻场时间:8*5小时,驻场时间累计共19个月 |
|
1.2 |
基础环境故障检测及排除 |
1. 基础环境故障检测及排除:主要包括中间件,数据库等系统运行基础环境出现故障时,立即响应,运维人员2小时内到场,24 小时内及对问题进行诊断、分析,并解决问题。 2. 必要时提供系统重部署及调试服务。如果不能解决问题,需将问题升级到原厂技术支持中心,对系统情况进行分析,直至解决问题。 |
2. 人事人才综合统计分析系统软件运维需求表
服务期间:2024年12月-2025年10月
|
序号 |
工作类型 |
|
|
1 |
日常维护服务 |
|
|
1.1 |
应用系统日常维护 |
1.预防性检查:定期对系统状态和性能进行监控,对系统所涉及的程序功能及数据进行巡检,内容包括系统功能、系统典型操作响应时间、口令安全情况、对外应用接口、数据库、系统日志、备份文件等的检查,并进行系统日志审计、分析和应用软件的漏洞、缺陷排查 2.常规作业:版本升级、日志清理、增加或删除用户账号、更新系统或用户密码、作业提交、软件备份、漏洞、缺陷修复、功能升级、完善 3.报表文书的维护,维护文档管理; 4.信息系统数据整理和分析服务; 5.数据维护:数据录入、更新、处理、备份、数据迁移; 6.系统操作技术指导支持:针对用户在系统使用过程遇到的问题进行引导支持,对业务系统制订运行维护手册并实施等工作内容; 7.系统使用培训与应用推广 8.数据备份服务:提供数据备份服务,根据系统情况制定备份策略,并检查备份情况; 9.系统安全保障服务:保障系统安全,预防信息安全和安全保密事故的发生 10.系统故障检测及排除:应用系统出现故障时,立即响应,运维人员2小时内到场,24 小时内及对问题进行诊断、分析,并解决问题。必要时提供系统重部署及调试服务。如果不能解决问题,需将问题升级到原厂技术支持中心,对系统情况进行分析,直至解决问题。 11.提供例行操作服务:包括系统巡检、修改密码、新增账号、注销账号、调整账号所在机构、调整账号权限、修改流程、业务退回等 12.驻场要求 驻场人员数量:1人,负责系统日常维护工作,大学专科或专科以上学历。 驻场时间:8*5小时,驻场时间累计共9.5个月 |
|
1.2 |
基础环境故障检测及排除 |
1. 提供操作系统、数据库、中间件日常运维、例行检查、监控等运维工作 2. 提供操作系统、数据库、中间件优化、应急处理等运维工作 |
3. 资源共享平台系统运维服务需求表
服务期间:2024年11月-2025年10月
|
序号 |
工作类型 |
工作内容 |
|
1 |
日常维护服务 |
|
|
1.1 |
应用系统日常维护 |
1、系统日常巡检:对设备、应用系统及数据库进行性能测试和效能分析。对系统错误日志进行检查与分析,并根据报错信息,分析系统潜在问题,采取措施,排除故障隐患和安全漏洞。按要求提交检查报告和相关的改进建议。 2、 针对用户在系统使用过程遇到的问题进行解答,按要求完善运维制度与运行维护手册。 3、按要求对系统状态进行监控,做好运行监控记录,及时反馈运维问题,保障系统安全、稳定、高效运行。 4、数据处理、维护、统计、日志清理等 5、安装漏洞补丁、升级软件版本或安全整改 6、项目资源协调管理、跟踪调整项目的进度,与各方进行沟通协调,推进项目进展 7、系统备份服务:提供数据备份服务,根据系统情况制定备份策略,并检查备份情况; 8、系统故障检测及排除:应用系统出现故障时,立即响应,运维人员2小时内到场,24 小时内及对问题进行诊断、分析,并解决问题。必要时提供系统重部署及调试服务。如果不能解决问题,需将问题升级到原厂技术支持中心,对系统情况进行分析,直至解决问题。 9.系统安全保障服务:保障系统安全,预防信息安全和安全保密事故的发生。 10.驻场要求 驻场人员数量:1人,负责系统日常维护工作,大学专科或专科以上学历。 驻场时间:8*5小时,驻场时间累计共10个月 |
|
1.2 |
基础环境故障检测及排除 |
1.提供基础环境故障检测及排除:主要包括中间件,数据库等系统运行基础环境出现故障时,立即响应,运维人员2小时内到场,24 小时内及对问题进行诊断、分析,并解决问题。 2.必要时提供系统重部署及调试服务。如果不能解决问题,需将问题升级到原厂技术支持中心,对系统情况进行分析,直至解决问题。 |
|
2 |
系统优化和迁移服务 |
|
|
2.1 |
安全优化 |
1. 资源共享平台系统计划由等保二级提高为等保三级,需按照等保2.0的相关建设规范和技术要求以及等保测评中发现的问题,对系统安全计算环境技术要求的身份鉴别、访问控制、安全审计、数据完整性、数据备份恢复、个人信息保护等安全控制点开展安全优化。 2. 完成系统相应的安全问题整改和加固,降低安全风险,确保系统通过等保测评。 |
(三)信息系统运维人员要求
(一)人员配置要求
1、需要建立二级运维人员架构,包括一线运维人员团队和二线专家团队,共同保障各项运维工作顺利开展。
2、为使工程按质、按量、按时及有序实施,投标人对本项目必须有一个完善的
管理组织机构及项目负责人,投标人投标时应提交该组织机构的详细资料,包括职员姓名、职务、职称、主要资历、经验及承担过的项目。
(二)人员到岗要求
中标人项目团队成员,一般在项目合同签订后7日内必须到岗。如需根据项目实际推进情况分阶段投入的项目团队人员,需明确人员到岗计划并获得采购人的同意,原则上需在人员负责的主要工作开启7日前到岗。
(三)团队管理要求
1、中标人必须保证开发团队的稳定性,未经采购人书面同意,不得单方面更换项目团队成员。
2、接替人员不得低于被替换人员的资质(或资历)。
3、由于中标人原因导致项目团队不稳定,因而影响到项目服务的质量和进度,采购人有权根据合同相关条款要求中标人承担违约责任。
(四)人员考勤要求
中标人的项目如有驻场人员则必须遵守采购人的项目驻场人员日常管理制度。
(五)方案需求
投标人应根据广州人社信息化现状,对本项目信息系统运维理解全面、准确,并提出信息系统运维方案。信息系统运维方案能同时包括公共服务平台之数据中心应用、人事人才综合统计分析系统、资源共享平台三个系统的信息系统平台架构、技术线路、系统安全保障方案、系统性能日常维护、基础环境故障检测及排除、实施计划安排和测试方案
3.2.数据安全服务要求
服务期间:2024年11月-2025年11月
(一) 数据安全服务目标
通过数据安全风险评估服务、数据安全应急响应及应急演练服务、数据安全审计服务、身份认证及权限管控服务、数据脱敏服务、数据加密服务、数据溯源服务、API安全监测服务,提升广州市人力资源和社会保障数据服务中心数据安全管理技术支撑能力,提高数据安全管理水平,保障人社数据安全。
(二) 数据安全服务内容
数据安全服务列表
服务周期:12个月
|
序号 |
安全服务内容 |
服务要求 |
数量 |
服务频次 |
服务工具及成果输出 |
|
1 |
数据安全风险评估服务 |
一、 服务内容 通过对人社业务系统开展数据安全评估服务,形成当前人社数据安全评估报告,为后续人社数据安全优化提供整改依据。数据安全评估服务通过人工现场调研和技术检查相结合的方式收集业务应用场景,基于业务场景的风险暴露面(即自身脆弱性)、安全威胁主体、安全威胁,结合行业监管标准规范的安全防护要求,提供管理制度规范、操作规范流程和技术防护工具三个维度的数据安全风险评估策略服务。提供发现可能存在业务应用场景的高风险问题和威胁行为,形成数据安全风险评估报告。 对系统运行现状开展全面数据安全风险评估服务,开展数据安全合规性评估服务,包括但不限于在数据安全组织架构和人员、数据安全制度体系建设情况、数据分类分级情况、数据安全事件应急响应水平情况、数据合规处理情况、数据安全保障措施配备和有效性情况、合作方管理情况等。 二、 服务范围 人社应用系统。 |
1 |
4 |
《数据安全风险评估报告》 |
|
2 |
数据脱敏服务 |
一、 服务内容 由于人社业务系统在数据开发、数据测试、数据分析、数据外发、业务使用等使用场景,需要定期通过人工及借助相关工具提供数据脱敏服务。对人社业务系统重要敏感数据及其使用场景进行识别梳理,根据业务场景需求配置敏感数据脱敏规则并借助相关工具进行数据脱敏服务。提供数据静态脱敏服务,API动态脱敏工具在应用数据的API 中流动的敏感数据,并对敏感数据按需脱敏等处理,结合实时应用场景提供实时动态脱敏数据服务。 二、 服务范围 人社应用系统数据库。 |
1 |
2 |
《数据脱敏情况报告》 |
|
3 |
API安全监测服务 |
一、 服务内容 由于人社业务系统在数据使用、数据共享场景下频繁调用业务API接口,需要识别API接口敏感数据异常流转行为,防范因API接口引起的业务中断、账号盗用、数据泄露等风险,及时处置API接口风险项。需要定期通过人工服务对业务系统中API接口进行识别与梳理(例如登录接口、敏感数据接口、服务接口、数据库操作接口、人机接口、文件上传/下载接口进行分类),通过API安全监测工具开展持续对API接口进行监测并进行安全规则配置,完善接口管理及监控接口本身风险(如弱口令、接口未鉴权、接口明文传输等)。 API安全监测工具提供对业务API接口数据进行全流程安全监测跟踪服务,如敏感信息发现、敏感接口梳理、接口自动分类、行为检索、访问分析、敏感资产分类分级、应用账号发现、解析规则、风险监测、制定风险规则等场景下持续使用。 二、 提供服务工具 持续提供业务API接口敏感数据监控,API接口本身安全监控,API接口进行识别与梳理等API安全监测服务。 三、 服务范围 人社重要应用系统 |
1 |
12 |
《API接口清单及风险报告》、API监测工具 |
|
4 |
数据加密服务 |
一、 服务内容 针对人社测试数据库中的的敏感数据、个人信息在数据库中明文存储的安全风险进行调研梳理。对人社业务系统的加密内容进行梳理、核实,核实哪些业务场景与敏感数据需要加密,同时提供测试加密服务,通过表空间的加密方式,完成重要数据的加密测试工作,验证测试环境中业务数据加解密后数据的可用性,为人社敏感数据加密改造升级提供合理的参考和依据。 二、 服务范围 测试数据库、选定重要的系统。 |
1 |
1 |
《数据加密场景调研报告》 |
|
5 |
数据溯源服务 |
一、 服务内容 人社业务应用系统涉及多个部门及不同单位的数据分发和共享,为保障数据分发和共享数据在发生泄漏时可以进行溯源追踪,需要通过人工服务梳理数据分发数据共享使用场景,同时定期对相关场景进行核实,确保人社数据分发符合要求规范。结合人工,利用数据水印工具,在数据分发、数据共享场景下,将水印标记嵌入到原始数据中,实现数据进行分发数据共享后对泄露数据溯源。 数据水印工具为辅助发现敏感数据完成外发数据梳理提供服务,可以对原数据添加伪行、伪列等方式进行水印处理,保证分发数据正常使用。水印数据具有高可用性、高透明无感、高隐蔽性不易被外部发现破解。一旦信息泄露第一时间从泄露的数据中提取水印标识,通过读取水印标识,追溯数据流转过程,精准定位泄露单位及责任人,实现数据溯源追责。 对数据分类分级,通过对数据资产的摸底,形成数据资产清单,全局掌握数据资产情况,清晰了解重要数据库的访问情况及风险情况。结合不同行业分级标准(行业没有分类分级标准的将参考国家法律法规和行业监管要求进行数据安全分类分级标准指南的编制),针对数据资产进行分类分级的标准制定和打标。 二、 提供服务工具 持续提供数据溯源服务。工具提供嵌入水印以及溯源作业。 三、 服务范围 重要数据库系统。 |
1 |
12 |
《数据分发安全溯源报告》、《数据分类分级资产清单》、数据水印工具 |
|
6 |
身份认证及权限管控服务 |
一、 服务内容 人社业务应用系统复杂繁多,涉及人员广,数据运维风险高,运维人员针对数据的运维行为不受管控,缺乏有效技术手段来加强内部人员、软件开发人员、运维人员、外包人员对数据库操作的管控,尤其对一些重要数据表的高危操作、误操作、敏感数据脱敏的控制。为保障数据访问的身份认证及权限管控,通过人工服务进行定期梳理相关业务系统的权限分配,核实相关权限与实际使用情况,结合数据安全日常支撑服务综合分析敏感访问操作行为、权限最小化是否符合用户管理制度要求。同时,提供建立运维行为流程审批和建立敏感数据动态防护机制服务。 结合人工,在数据进行日常身份认证及权限控制场景下,通过数据运维安全工具对数据运维安全系统进行规则配置,实现数据权限最小化,降低数据越权访问和违规使用概率,身份认证后实现数据库准入和数据库操作行为防控,对数据库的访问路径进行访问模型建模,实现会话阻断和拦截语句,进行敏感访问操作行为防护。数据运维安全工具需要在日常身份验证和权限控制下持续提供使用及服务。 二、 提供服务工具的要求 持续提供针对运维人员在数据操作权限管控及统一的安全监督管理机制服务。保障用户在对数据存储的数据库操作登陆、数据访问及管理合规安全可控,强化身份认证、权限管理和操作审计,防止数据泄漏、未授权访问、恶意删除等安全风险,及时发现和处置数据运维风险,形成数据敏感操作和数据安全审计规范。 三、 服务范围 人社重要系统关联数据库。 |
1 |
12 |
《数据库权限管控报告》、数据运维管控工具 |
|
7 |
数据安全审计服务 |
一、 服务内容 人社业务数据管理工作涉及部门多,管理任务重,在数据管理任务中,针对建设的数据安全管理制度、依据数据安全风险评估结果以及数据安全工具的监测及告警情况,需要通过人工服务来审查各项管理制度是否落实、存在风险是否整改以及相应的监测告警是否处理,针对数据使用过程是否合法合规、管理制度是否落实,并对实施中出现的问题进行整改,监督,完成数据安全的管理闭环。 二、 服务范围 人社重要系统。 |
1 |
4 |
《数据安全审计报告》 |
|
8 |
数据安全应急响应及应急演练服务 |
一、 服务内容 为应对用户出现的数据安全突发事件,能够进行快速响应和准确诊断安全事件,如重要业务数据泄露,敏感数据越权访问,重要数据恶意篡改等,提供数据安全应急响应服务,从而确保信息系统正常使用,减少数据安全事件导致的损失。提供7*24小时数据安全时间应急响应,提供应急演练服务,提供每年重大节假日及活动的数据安全应急保障现场服务,协助解决数据安全事件。具体内容如下: 1. 安全事件响应计划制定:根据企业的业务特点和安全风险特征,帮助企业制定安全事件响应计划,并对该计划进行定期更新和完善。 2. 安全事件监测和预警:将安全事件监测和预警机制与企业内的系统进行对接,并为企业提供针对性的安全预警和报告。 3. 安全事件处置:在发生安全事件时,快速响应并利用优秀的技术资源在合适的时间解决事件。 4. 应急响应流程和机制测试:根据企业的实际情况进行应急响应流程和机制测试,分析这些流程和机制功能的效果和存在的问题,以便未来的改进。 5. 应急培训和演练:针对用户相关人员,进行数据安全的培训和有关应急响应的演练,提高员工对安全事件的认识和应对能力,保障企业在安全事件发生时的高效应对。 6. 安全事件报告和分析:对用户发生的安全事件进行分析和总结,以改善现有的安全措施,并预防类似事件再次发生。 二、 服务范围 用户数据安全事件影响范围。 |
1 |
4 |
《应急响应分析报告》(按需)、《应急演练培训计划》、《应急演练培训签到表》 |
(三) 数据安全服务工具要求
本次项目需要提供如下三个数据安全服务工具:
1、 API安全监测工具
2、 数据运维管控工具
3、 数据水印工具
★投标人需承诺:针对API安全监测工具、数据运维管控工具、数据水印工具,检测工具软件的响应内容为真实有效,并提供承诺函,格式自拟。
一、 API安全监测工具要求:
1) 基本配置:API安全监测系统支持流量接收峰值3Gbps; 纯HTTP流量:不低于300M/S、每秒数据包数峰值(pps):不低于10W、日志存储:不低于5亿条,支持10个应用系统API接口。
2) 支持网络协议:IPV4、IPV6;解析协议:HTTP、HTTPs、HTTP2、TLS、Dubbo;接口协议类型:HTTP、Soap、gRPC、GraphQL、Jsonp、Json-RPC、OAuth、Restful API、Maxcompute、ES等;请求类型:POST,GET,PUT,DELETE,HEAD,CONNECT,OPTIONS,TRACE;资源类型:HTML,JSON,XML,TXT,PDF,DOC,DOCX,XLS,XLSX,CSV,PPT,PPTX,ZIP,RAR,7z,TAR,GZ,WPS,ET,DPS,RTF,OFD。
3) 应用画像:支持以应用视角查看指定应用的资产信息、包含哪些敏感数据、涉敏访问趋势、存在哪些高发风险、敏感数据分布,以树形结构展现当前应用下的所有接口,哪些接口存在风险及弱点。
4) 应用接口自动分类:对识别出来的应用接口进行自动分类,接口类型包含敏感接口、普通接口、登录接口、越权接口、伪脱敏接口等,工具界面中应有应用接口分类后的列表。
5) 敏感数据:发现支持敏感信息的自动发现能力,能对姓名、地址、电话、身份证、统一信用代码、银行卡号、日期、email等敏感信息自动识别并形成数据资产台账。支持100种以上敏感数据类型的识别。
6) 接口脆弱性管理:能够通过检测发现接口的弱点,例如接口未鉴权、接口参数可遍历,明文密码传输、伪脱敏、弱密码、接口可执行系统命令、接口可执行SQL语句等。
7) 全景数据看板:支持通过资产、数据、风险、访问等维度查看关键信息。查看访问和风险的总量和新增量、资产及涉敏资产的数量、数据特征占比、风险弱点排名、应用访问排名及新发现资产。
8) 支持针对返回内容的行数进行解析和识别统计,实现行数解析。(提供产品功能截图证明)
9) 运营报表:能够自动化生成周期性数据安全风险运营报表,例如周报、月报,能基于不同维度出具相应的报表,例如账号行为、应用脆弱性、高危接口等,界面中具有各维度的报表。(提供产品功能截图证明)
10) ▲专项报表:支持提供专项报表,涉及:敏感数据暴露面、应用风险、弱点综合分析、数据安全合规统计、涉敏资产梳理、接口生命周期、资产梳理、数据出境综合分析等多种报表;支持对报表加入定时任务进行周期推送。(提供产品功能截图证明)
11) ▲场景化分析:支持基于数据类型选择,进行全局联动分析,基于应用、API、账户、客户端ip、风险、弱点、会话等维度进行关联分析实现秒级响应;以会话维度的访问轨迹追溯;支持数据出境场景、敏感信息泄露场景、账号共用场景、数据异动场景等场景的快速分析并形成检索报告。(提供产品功能截图证明)
12) ▲多维度行为基线:支持建立自动行为学习基线,进行API风险监测;支持自定义基线学习起止时间;支持细粒度的基线学习筛选,可指定应用、账号、接口进行细粒度的基线学习;可以指定行为基线和行为基线自然周维度进行基线学习指标选择(提供产品功能截图证明)
二、 数据运维管控工具要求:
1) 数据运维管控工具持续提供针对运维人员在数据操作权限管控及统一的安全监督管理机制服务。保障用户在对数据存储的数据库操作登陆、数据访问及管理合规安全可控,强化身份认证、权限管理和操作审计,防止数据泄漏、未授权访问、恶意删除等安全风险,及时发现和处置数据运维风险,形成数据敏感操作和数据安全审计规范。
2) 基本参数配置:纯数据库流量不低于50Mbps、SQL峰值吞吐量:6000条/秒、在线会话不少于2000个,数据运维安全系统标配支持5-10个数据库的管控。
3) 运维身份认证:支持WEB认证、UKEY、证书认证、密码代填四种身份认证方式;身份认证后,通过与运维管理系统设置的防护规则联动,实现数据库准入和数据库操作行为防控。
4) 密码代填:基于系统内运维自然人身份关联数据库账号,使每一个运维人员都具有专属的运维账号密码,实现数据库账号及密码对运维人员保密的前提下开展数据库运维和管理工作。且不需要进行软件安装部署。
5) 运维申请审批:运维人员提交运维申请并审批通过后,系统会发送给运维人员特定的审批码,运维人员必须凭借审批码登录,方可执行运维动作。(提供产品功能截图证明)
6) ▲运维流程审计:支持对运维人员的申请类型、申请内容、申请时间、审批人、审批状态进行查看。支持将申请审批信息与执行语句进行关联分析。(提供产品功能截图证明)
7) ▲防护规则管理:结果集审计支持按全局开启,也可以按照单库和具体规则进行开启。(提供产品功能截图证明)
8) ▲脱敏规则管理:对核实完成的敏感数据类型,可一键新建敏感规则或加入到原有敏感数据脱敏,并根据敏感数据类型自动匹配最优的脱敏算法。(提供产品功能截图证明)
9) ▲数据包的会话处理识别:支持从数据库流量中的会话信息中访问数据库使用的用户名、访问数据库所使用的客户端工具的名称以及访问数据库的客户端的网络地址等内容;判断执行的数据库操作的性质,区分是运维访问还是应用访问所导致的问题的能力。(提供证明材料)
三、 数据水印工具要求:
1) 基本要求:数据水印系统标配支持数据源10个(数据库源+文件源),水印生成速度>1000单元格/s,水印溯源速度>2000单元格/s。
2) 协议支持:支持多种数据源,包括:Oracle、MySQL、DB2、SQLServer、PostgreSQL数据库。
3) 敏感数据自动发现:系统应支持敏感信息的自动发现能力,系统应具有内置敏感数据特征库,能对姓名、地址、电话、身份证、统一信用代码、银行卡号、日期、email等敏感信息自动识别。
4) 系统能读取数据库内容,根据内容和内置敏感数据特征规则发现敏感数据。
5) ▲水印方案:支持自定义水印方案,用户可选择不同的水印算法,并根据水印算法进行字段规则的选择,制定水印方案,水印方案制定后,可被重复利用。(提供相关证明材料)
6) 水印算法:在关系型数据中对数据库表增加非真实数据列,即增加的列数据是伪造出来的并与原始数据有相关性的数据。在增加的数据列中嵌入可提取的水印规则信息;在关系型数据中对数据库表增加非真实数据行,即增加的行数据是伪造出来的和原始数据很像的数据。在增加的数据行中嵌入可提取的水印规则信息。
7) 数据溯源:对泄露数据进行水印信息的提取,并根据提取的水印标识查询到数据的分发源、分发对象、分发日期等相关信息。
8) 数据安全性:系统提供对水印处理人员的授权管理,并对分发对象单位的使用人员进行授权密钥使用管理;并提供审计报告,包括用户信息、水印配置信息、任务信息等。
(四) 演示要求
针对API安全监测工具功能演示:
1) 数据展示:能够从数据视图角度采用图形方式查看数据分布、数据类型及敏感数据的占比情况。应用接口展示:可通过应用/接口联动,展示外网应用、内网应用、脆弱应用、风险应用、外网接口、内网接口、脆弱接口、风险接口等敏感数据访问情况。敏感数据统计:以应用或接口的维度对数据进行统计和展示,可展示数据出现的位置、所属应用、数据分类、敏感级别、数据量。。
2) API接口识别与梳理:能够识对别出来的API接口进行自动分类,如:登录接口、风险接口、涉敏接口、弱点接口、失活接口、文件接口;API接口统计:支持根据接口标签、访问域、接口类型等维度对API接口进行分组统计,如接口类型的统计维度中,可统计普通接口中有多少个API接口、文件下载接口中有多少个API接口、敏感接口中有多少个API接口。可展示接口的中访问数量、弱点数量、风险数量、总流量、涉敏访问量等不同类型情况。
3) 风险识别:可从网络流量中识别出数据安全风险,包括:账号爆破、异地登录、账号常用IP发生变化、撞库、账号共用、境外IP访问敏感数据、账号超量访问、账号每日获取大量敏感数据等,同时可记录与展示风险等级、风险捕获时间等关键内容。脆弱性识别:通过检测可发现接口的弱点,包括弱密码、弱密码加密、URL中包含密码、返回内容包含明文密码、明文密码传输等,可记录与展示弱点所属应用、接口地址、弱点类型、严重性等关键内容。同时可对弱点详情进行查看操作,包含弱点特征、弱点描述、弱点修复建议、证据样例详情、接口测试、行为轨迹查看。关联分析:支持通过对风险事件和弱点事件进行关联分析,找出风险事件和弱点事件关联性,判断风险事件的危害程度,找到高优先级需要处理的风险、弱点事件。
4) 行为分析:可基于访问量、涉敏访问量对访问行为进行分析,可展示应用TOP5的访问量和涉敏访问量,接口TOP5的访问量和涉敏访问量,账号TOP5的访问量和涉敏访问量,并展示访问量、涉敏访问量的周期趋势详情,以及展示所属应用、接口地址、客户端IP、账号、行数等关键信息,并从详情中可了解和分析对应的执行耗时、请求头、响应头、行为轨迹等内容。
5) 溯源取证:支持取证溯源,可根据请求敏感类型(身份证号码、手机号等)、响应敏感类型(身份证号码、手机号等)、账号、IP、接口地址、关键字等条件创建溯源任务,溯源任务支持定时溯源任务、及时溯源任务。
(五) 数据安全服务人员要求
|
序号 |
岗位 名称 |
人员级别 |
岗位职责 |
岗位要求 |
服务时间 |
|
|
数据安全服务人员
|
高级工程师1名 |
负责数据安全风险评估服务、数据安全审计服务、数据安全应急响应及应急演练等服务 |
本科或本科以上学历,5年以上信息安全管理经验,具备信息安全服务能力。 |
|
|
|
中级工程师2名 |
负责数据脱敏、API安全监测服务、数据溯源服务、数据加密服务、身份认证及权限管控等服务。 |
本科或本科以上学历,3年以上信息安全管理经验,具备信息安全服务能力。 |
按数据安全服务内容规定的服务频次提供服务 |
(一) 方案要求
1) 提供数据安全服务方案
投标人根据广州人社信息化现状,对本项目数据安全服务的理解全面、准确,根据本项目服务需求提出数据安全服务方案。数据安全服务方案能同时包括数据安全服务方案能力体系和管理策略、数据安全服务组织架构、数据安全服务保障方案、数据安全服务延续方案。
2) 提供数据安全实施方案
投标人根据广州人社信息化现状,对本项目提出全面、准确的数据安全实施内容方案。提供的数据安全实施方案能同时包括实施计划、项目组织结构、服务工具部署、数据安全培训服务内容
3) 提供服务支撑方案
投标人根据广州人社信息化现状,对本项目提出日常服务保障内容,支撑广州人社日常服务支撑。服务支撑方案包含的日常服务保障工作流程及操作规范、数据安全运维体系、数据安全保障安排
3.3.其他要求
(一) 项目管理人员要求
|
序号 |
岗位 名称 |
人员级别 |
岗位职责 |
岗位要求 |
服务时间 |
|
1 |
项目经理人员要求 |
中级工程师 |
负责统筹项目,负责项目协调、规划、执行、监控和完成项目。 |
1、 项目经理具有本科或以上学历证书。3年以上信息安全管理经验,具备信息安全规划能力。 2.项目经理具有软考的信息系统项目管理师资质。 |
按数据安全服务内容规定的服务频次提供服务 |
(二) 质量要求
中标人必须承诺:提供不低于原开发商/原运维商的运维服务,包括并不限于响应速度、响应质量及服务满意度方面。对于包括但不限于政策变化、业务变更等紧急情况下的运维单中标人必须及时响应并满足业务单位的要求。需要原开发商/原运维商提供帮助或服务产生的费用由中标人承担。投标人必须针对各系统细化运维要求、运维内容、服务级别等相关工作。
1.运维质量标准:
中标人的运维服务需参照ITSS及ITIL的相关流程标准,包括但不限于:
(1)事件管理;(2)问题管理;(3)配置管理;(4)变更管理;(5)发布管理;(6)备件库管理;(7)知识库管理;(8)信息安全管理
工作要求:
1、风险管控
中标人需在项目启动阶段安排专业人员认真分析建设方案、招标文件运维要求,提前识别潜在需求等风险,做好应对方案,特别注意SLA的定义和执行,以及用户服务体验。在项目的执行过程不断监控项目风险,调整应对策略。风险管理计划需要在项目实施方案中体现。
2、日常巡检类工作要求
现场至少为用户提供5×8小时服务.对所有运维系统开展日常巡检和监测,掌握系统运行状况,及时预警。要制定巡检工作手册和标准,同时巡检记录需要采购人项目经办人的签字确认。
电话技术支持服务级别:7×24小时;
应急服务级别:7×24小时。
系统发生故障时,分三种处理级别:
1级故障-关键业务中断:立即响应,1小时内到场,2小时内恢复中断的业
务,24小时内排除故障。
2级故障-非关键功能失效或性能下降,但不至于中断业务:10分钟内响应,2小时内到场,72小时内排除故障。
3级故障-系统可以运行,但出现系统报错:双方协商排除故障时间。
投标人须承诺系统发生故障时,二线支持人员按照故障处理级别时限要求处理故障。
3、会议要求
项目经理需要亲自参加关键节点性质的会议,如项目启动会、项目验收会等项目协调会议。同时项目会议上中标人参会成员需认真做好己方的项目问题的记录,不能完全依赖监理方的会议纪要。
4、其他
根据采购人要求,协助协调、督办、管理各系统建设及运维人员关系;协助处理12345工单。
(三) 项目验收要求
1、验收标准按国家、省部及广州市信息化主管单位的验收制度执行,接受采购人和项目监理公司的监督、检查和验收,并通过专家组的评审。
2、完成全部服务内容,服务指标满足项目SLA(服务等级协议)要求,用户及客户对服务满意度认可,服务满意度评价要求在合同或实施阶段制定。
3、验收范围涉及招标文件里提及的所有工作。
4、验收涉及到的文档模板在合同签订后,由中标人按采购人和监理方要求提供并确认。采购人和项目监理审核确认项目验收材料后,组织项目验收专家评审。如验收不通过,再次组织验收涉及的专家费及会务费,由中标人支付。
(四) 项目变更要求
项目建设内容由于客观原因需要进行变更的,一般由中标人提出变更申请(说明变更原因),同时附上工作量及费用评估依据,最终由采购人和项目监理评估变更影响,审核变更申请。涉及合同费用支付调整的,需按财政局相关规定,签署补充协议并报备。
(五) 培训要求
1、培训范围:涉及业务操作、维护管理等。
2、培训模式:远程方式和现场的方式,采取集中授课。
3、培训人次数或培训的场次数要求:不少两次培训。
4、培训材料:教材(中文)、培训计划、培训签到表等。
5、培训费用:包含在项目报价中。
(六) 服务过渡期要求
1.信息系统运维管理服务期及数据安全服务要求
信息系统软件运维及数据安全服务服务时间详见服务内容和要求,具体以合同约定时间为准。
入场交接:项目工期开始之日起,中标人应确保所有项目参与人员到位,并在1个月之内完成运维管理培训和相关运维交接工作,交接期间适当参与部分运维服务工作,和旧运维服务商做好运维服务的IT资产(含软、硬件)的清点、核查和交接,建立项目单位纳入运维服务范围的IT资产清单台账,并交采购人进行审查。
进入项目工期第二个月,中标人应完全承担起本项目所有项目工作内容。
过渡支持期:中标人同意从项目运维管理服务期满之日起,在新运维服务商到位前继续提供14日免费的系统基础运维支持服务,同时提供与新运维服务商的免费交接工作服务,期限为14日。
退场交接:运维期管理服务期结束之日起,中标人应在1个月之内完成运维相关工作交接,和新运维服务商做好运维服务的IT资产(含软、硬件)的清点、核查和交接。
2.项目进度跟踪和反馈
项目具体工作进度可能或已经影响到了项目里程碑的实现,需提早及时在正式报告中提出,并在项目例会上与各方沟通协调。
3.项目延期
项目因客观原因导致的延期,需由中标人提交项目延期申请并附佐证材料。中标人需要妥善收集和保留延期的各种记录和证据,有责任和义务为将来由于客观原因导致延期提供自证材料。如无法提供自证材料或自证材料不充分,采购人有权依据合同相关条款追究中标人的违约责任。
(七) 文档要求
(一)技术文档要求
项目运维类文档,包括但不限于以下文档:
1、项目实施方案
2、周报、月报、年报
3、年度总结报告
4、运维单(故障单)
5、培训教材、培训方案/计划、培训签到表等
6、对于运维过程中所产生的程序代码及数据库结构的变化情况,中标人需提交最新的程序代码、详细设计及数据库结构等文档。
项目技术文档以采购人和项目监理审核确认的文档清单为准。
(二)项目文档要求
1、验收项目文档清单以广州市信息化主管部门制定的标准为依据,具体以采购人和项目监理审核确认的项目文档清单为准。
2、中标人需将项目文档提交时间计划提交给采购人和项目监理,项目监理在计划时间点进行跟进督办,在项目例会时进行情况反馈,重要文档提交情况实时进行反馈。如发生延后提交,给出具体原因,在采购人和项目监理允许的情况下,修订新的计划时间点并跟进检查。
3、文档审核时发现的问题,第二次检查时发现没有整改或没有按要求整改,根据问题严重程度,项目监理出具监理联系单或督办意见。如果出现第三次检查时发现没有整改或没有按要求整改的情况,项目监理经采购人同意签发监理通知书给中标人要求整改。
4、项目进行过程中中标人要及时收集保存故障单、巡检记录、培训记录、处室签章等各种运维过程记录文档。
5、对于以上出现的项目文档质量和时效问题,采购人有权依据合同相关条款追究中标人的违约责任。"
(三)项目文档及技术成果移交
项目验收材料包括项目文档纸质和电子光盘各一份。在项目通过终验后,由中标人移交给采购人,同时采购人、项目监理、中标人签字确认。如有材料需要移交给新的运维商的需要列明,完成交接手续并签字确认。
(八) 信息安全和实施安全要求
1、信息安全要求。中标人需做好完整、可行的信息系统安全管理。
2、中标人要做好内部的安全控制方案,做好运维人员的相关权限分配。尽力采取SOD(职权分离)的方式分配工作。同时保留各种运维操作记录,做到有据可查溯源到人。
3、实施安全要求。中标人在进行强电/弱点施工工作时提前制定相关工作计划,操作人员须要具有相关专业资质,现场实施时要做好完备的安全防护。由于中标人的原因导致人员伤亡、财产损失由中标人自己承担一切法律责任和赔偿责任。
4、对于关键信息基础设施要求可容许服务中断的时间(RTO)为4小时。
(九) 知识产权要求
1、本项目项目成果及其技术文档等所有权、知识产权由采购人享有,与项目相关的文档等资料未经采购人许可,中标人不得将与采购人相关资料提供给任何第三方或自行使用;
2、投标报价应包含所有应向所有权人、知识产权人等权利人支付的专利权、商标权或其它知识产权的一切相关费用。
3、运维涉及的系统软件、通用软件必须是具有在中国境内的合法使用权或版权的正版软件,涉及到第三方提出侵权或知识产权的纠纷及支付版税等费用由投标人承担所有责任及费用。
(十) 保密要求
中标人(及其工作人员)应采取必要、合理的措施,维护其于项目实施期间知悉或者持有的任何属于采购人或者虽属于第三方但采购人承诺有保密义务的相关信息(包括但不限于信息数据、技术信息、项目有关信息等采购人认为应该成为保密信息的信息)。
(十一) 项目考核评价
本项目考核评价基于月度考核评价,每月对项目承建单位的工作质量进行一次月度考核评价。考核评价结果与项目合同款支付挂钩。
投标文件提供的绩效考核方案可作为采购人对服务绩效评估补充或参考,作为招标评分依据之一。最终考核内容和评分标准以采购人最新发布的绩效考核标准作为依据。
项目阶段平均考核评价得分 = 项目各运维阶段的月度考核评价得分之和/该运维阶段的考核月数量,项目运维各月度考核评价得分定义如下:
|
考核内容 |
考核细项 |
|
维护方面(60分) |
是否按要求定时监控系统运行情况并做好登记,能及时发现系统故障,满足系统可用率高于99%,满足系统运行稳定率高于99%。(基准分:10分) |
|
是否按要求定时进行巡检并做好登记,满足巡检完成率高于95%(基准分:10分) |
|
|
是否能按承诺服务请求时间内排除系统故障,避免采购人业务系统中断运行;满足故障响应率高于95%,满足故障处理成功率高于95%(基准分:10分) |
|
|
是否遵守系统更新管理规范,是否按更新流程处理,更新方案是否按标准提交。(基准分:6分) |
|
|
是否已根据项目情况制定应急方案,并当无法在规定的时限内完成系统的修复时,能够积极采取有效的应急措施,恢复系统正常运行,基础软件故障处理成功率高于95%(基准分:8分) |
|
|
运维文档是否按时完成和按时提交,文档清晰可查,结构合理完整基准分:8分) |
|
|
是否及时妥善处理用户投诉,服务态度和用户满意度是否良好,满意率高于95%(基准分:8分) |
|
|
组织管理方面(30分) |
公司高层是否对项目给予足够的重视,项目组人员是否按投标要求和项目计划要求到位、是否经常迟到或早退、是否存在不履行职责或者不胜任工作的人员,是否能够及时按照要求更换不称职人员;迟到1人次扣0.5分,缺勤1人次扣2分,缺少相应资质人员1人扣6分(基准分:12分) |
|
是否具有完善的项目管理方案及规范性文件,是否按照规范流程进行问题沟通、工程变更、系统发布,并及时提交项目文档(基准分:6分) |
|
|
按时召开或参加项目例会等会议、既定的领导和项目组人员到会情况,及会议事项落实情况(基准分:6分) |
|
|
能否与其他项目的运维单位进行很好的配合,按要求协助完成有关项目工作(基准分:6分) |
|
|
其他方面(10分) |
对采购人或监理发出的通知书等项目文件的响应及处理情况(基准分:10分) |
1. 故障响应率=故障响应次数/故障次数*100%
2. 巡检完成率=巡检完成次数/应巡检次数
3. 系统运行稳定率=系统稳定运行时间/系统总运行时间*100%
4. 系统故障处理成功率=处理成功故障数量/故障总数量*100%
5. 满意率=满意系统累计数/参加调查问卷的系统累计数*100%(注:原则上对外办理业务的系统参与调查问卷)
6. 基础软件故障处理成功率 =基础软件故障处理成功次数÷故障次数×100%
7. 系统可用率= 系统可用时间/系统总运行时间*100%
项目阶段考核评价支付系数基于项目阶段平均考核评价得分,定义如下:
|
支付系数取值 |
考核评分范围 |
|
1 |
项目阶段考核评价得分大于等于95分 |
|
0.9 |
项目阶段考核评价得分在90分~94分之间(包含) |
|
0.8 |
项目阶段考核评价得分在80分~89分之间(包含) |
|
0 |
项目阶段考核评价得分小于等于79分 |
项目运维期每阶段的实付款 = 项目运维期每阶段的应付款 × (项目阶段考核评价支付系数)-违约金。
(十二) 运维服务采购清单及报价
投标人在《开标一览表》中报出总价,并按下表格式列出各项金额。
★单项最高限价及总价均不得超过单项最高限价及总价限价,否则投标无效。
|
序号 |
应用信息系统 |
运维周期 |
最高限价(万元) |
|
一 |
公共服务平台之数据中心应用 |
12个月 |
20 |
|
二 |
人事人才综合统计分析系统 |
10个月 |
10 |
|
三 |
资源共享平台系统 |
11个月 |
13.1 |
|
四 |
数据安全服务 |
12个月 |
97.62 |
|
合计: |
140.72 |
||
(十三) 付款方式
双方签订合同后,项目合同款分五笔支付
|
进度 |
款项 |
支付时间 |
|
第一笔款 |
合同金额的30% |
合同签订之后五个工作日内办理政府集中支付申请手续 |
|
第二笔款 |
(合同金额的20%)×(服务开始第1至第3月项目阶段考核评价支付系数)-违约金 |
服务期满3个月,采购人中标人完成第一季度运维服务质量评估表后的五个工作日内办理政府集中支付申请手续 |
|
第三笔款 |
(合同金额的20%)×(服务开始第4至第6月项目阶段考核评价支付系数)-违约金 |
服务期满6个月,采购人中标人双方完成第二季度运维服务质量评估表后的五个工作日内办理政府集中支付申请手续 |
|
第四笔款 |
(合同金额的20%)×(服务开始第7至第9月项目阶段考核评价支付系数)-违约金 |
服务期满9个月,采购人中标人双方完成第三季度运维服务质量评估表后的五个工作日内办理政府集中支付申请手续 |
|
第五笔款 |
(合同金额的10%)×(服务开始第10月至项目服务期结束项目阶段考核评价支付系数) |
项目服务期结束,中标人在退场前须提供运维服务的IT资产(含软、硬件)清单供采购方审查确认,项目通过合同验收,采购人中标人双方完成第四季度运维服务质量评估表后的五个工作日内办理政府集中支付申请手续. |
本服务项目为政府采购项目,合同款项的支付时间以财政下达资金为前提,如有达到支付条件但财政资金未到位的情形,则支付时间顺延;如下达财政资金不足以全额支付已达支付条件的合同进度款,可在财政资金额度内支付部分合同进度款,余下部分待资金到位后再支付,以上情况采购方并不因此承担违约责任,中标方不得据此迟延或拒绝履行本合同义务。
采购方在办理支付手续前5个工作日,中标方应向采购方提供等额合法有效发票,逾期提供或提供的发票不符合规定的,采购方有权顺延办理支付手续。
采购方向中标方账户汇出款项后,即视为已履行付款义务,在汇款过程中,因中标方账户的原因(包括但不限于账号被注销、被冻结等)导致其无法收取款项的,由中标方承担相应后果。采购方有权直接在应付款项中扣除中标方应承担违约金或赔偿金等。
(十四) API安全监测工具功能原型演示要求
本项目要求在评审过程中进行产品原型演示,建议供应商在投标文件解密时间截止后1小时内到达广州市政府采购中心等候。产品原型演示开始时间由评标委员会确定,如供应商未在评审委员会规定的时间内到达产品演示地点进行产品原型演示,评审委员会有权视其放弃产品原型演示。等候地点:广州市天河区天润路445号广州市政府采购中心(太阳广场)四楼。
(一)本项目由有效投标人于评标过程中进行产品原型演示,请投标人自行准备相关文件。
(二)授权委托代理人须凭身份证原件参加产品原型演示,参加人数不超过3人(含授权委托代理人在内)。
(三)如产品原型演示过程中需要用到电脑等设备(设备不能共用),请投标人自带,评标现场仅提供电源和投影设备。
(四)产品原型演示时间约15分钟。
(五)演示内容:
API安全监测工具功能演示:
1) 数据展示:能够从数据视图角度采用图形方式查看数据分布、数据类型及敏感数据的占比情况。应用接口展示:可通过应用/接口联动,展示外网应用、内网应用、脆弱应用、风险应用、外网接口、内网接口、脆弱接口、风险接口等敏感数据访问情况。敏感数据统计:以应用或接口的维度对数据进行统计和展示,可展示数据出现的位置、所属应用、数据分类、敏感级别、数据量。。
2) API接口识别与梳理:能够识对别出来的API接口进行自动分类,如:登录接口、风险接口、涉敏接口、弱点接口、失活接口、文件接口;API接口统计:支持根据接口标签、访问域、接口类型等维度对API接口进行分组统计,如接口类型的统计维度中,可统计普通接口中有多少个API接口、文件下载接口中有多少个API接口、敏感接口中有多少个API接口。可展示接口的中访问数量、弱点数量、风险数量、总流量、涉敏访问量等不同类型情况。
3) 风险识别:可从网络流量中识别出全部数据安全风险,包括:账号爆破、异地登录、账号常用IP发生变化、撞库、账号共用、境外IP访问敏感数据、账号超量访问、账号每日获取大量敏感数据等,同时可记录与展示风险等级、风险捕获时间等关键内容。脆弱性识别:通过检测可发现接口的弱点,包括弱密码、弱密码加密、URL中包含密码、返回内容包含明文密码、明文密码传输等,可记录与展示弱点所属应用、接口地址、弱点类型、严重性等关键内容。同时可对弱点详情进行查看操作,包含弱点特征、弱点描述、弱点修复建议、证据样例详情、接口测试、行为轨迹查看。关联分析:支持通过对风险事件和弱点事件进行关联分析,找出风险事件和弱点事件关联性,判断风险事件的危害程度,找到高优先级需要处理的风险、弱点事件。
4) 行为分析:可基于访问量、涉敏访问量对访问行为进行分析,可展示应用TOP5的访问量和涉敏访问量,接口TOP5的访问量和涉敏访问量,账号TOP5的访问量和涉敏访问量,并展示访问量、涉敏访问量的周期趋势详情,以及展示所属应用、接口地址、客户端IP、账号、行数等关键信息,并从详情中可了解和分析对应的执行耗时、请求头、响应头、行为轨迹等内容。
5) 溯源取证:支持取证溯源,可根据请求敏感类型(身份证号码、手机号等)、响应敏感类型(身份证号码、手机号等)、账号、IP、接口地址、关键字等条件创建溯源任务,溯源任务支持定时溯源任务、及时溯源任务。
收藏