采购需求

一、项目概况：

 “★”号条款
《用户需求书》中标注有“★”号的条款必须实质性响应，负偏离（不满足要求）将导致投标无效。

1. 项目概况
1.1. 基本信息
1.1.1. 项目名称
项目全称：省数字政府网络安全第三方服务（2024年）项目之安全审计服务
1.1.2. 采购人及用户单位
广东省政务服务和数据管理局。
1.1.3. 项目总体目标
通过本项目的实施，加强检查和评价省数字政府政务云平台及省数据资源“一网共享”平台的网络安全战略规划建设、网络安全管理、运行保障、技术措施、运营过程、管理过程的各项活动的完备性、有效性、合理性及时发现各种不合规的异常操作行为，确保网络战略规划建设、安全管理、运行保障、技术措施、运营过程、数据管理活动符合法律法规和管理制度的要求，在安全可控的网络环境下使得省政数局负责的政务信息化平台在建设运营、数据管理、安全审计三方的制衡下得到有效的安全保障，从而保证数字政府政务信息在使用的过程中均得到合理的安全保护、敏感数据不被泄漏、数据管理符合有关的法律法规的要求，提升安全体系和能力。
1.1.4. 服务地点
广东省政务服务和数据管理局指定地点。
1.2. 项目背景
根据广东省人民政府关于印发广东省数字政府改革建设“十四五”规划的设计，本项目的实施满足了第三节“加强安全管理运营”中的“强化网络安全合规管控”和“强化整体性安全监管”的要求。安全审计服务根据国家、广东省有关网络安全政策文件规定，落实网络安全法、网络安全等级保护、关键信息基础设施网络安全保护等合规性要求，通过监督检查和评价，进一步完善网络安全管理办法，健全相关机制，增强网络安全管理统筹能力。强化合规性检查及指导，加强各级各部门重要系统安全建设和整改指导，定期开展网络安全合规能力建设情况检查；满足了“强化整体性安全监管”加强对参与数字政府改革建设人员的背景调查和安全保密管理，建立行之有效和及时响应的合规管理机制。建立健全“事前、事中、事后”全程安全监管联动机制，提高网络安全突发公共事件处置能力。完善数字政府网络安全指数评价机制，利用攻防实战演练检验各地各部门网络安全防护能力，促进各地各部门不断完善网络安全防御体系。建立完善数字政府安全责任考核指标和考核制度，借助第三方安全机构的技术力量监督服务质量，强化评价和考核结果应用等相关要求的内容。
通过本项目所采购的省数字政府安全审计服务，借助第三方机构的技术力量，对省数据资源“一网共享”平台的网络安全管理和技术措施以及数据建设运营方、数据管理方的日常业务活动、数据运营与安全技术保障、数据安全管理体系、数据生命周期关键控制环节和控制点等进行审计和稽核，在安全可控的网络环境下让整个数字政府的政务数据在数据建设运营、数据管理、安全监管三方的制衡下得到有效的安全保障，防范和控制数据泄露风险。从而保证所有政务数据在使用的过程中均得到合理的安全保护、敏感数据不被泄漏、数据管理符合有关的法律法规的要求，提升安全体系和能力。
2. 项目预算
本项目总预算为442.40万元。
3. 服务期限（以最终合同签订为准）
本项目服务期限12个月，服务起始时间自采购人确认的服务启动报审备案之日起。
4. 服务内容
本项目主要包括常态化安全审计服务、专项安全审计服务、优化审计机制服务、安全日志审计服务等4项服务。
4.1. 常态化安全审计服务
投标人中标后需为采购人提供常态化安全审计服务，主要针对网络安全和数据安全开展审计活动，按照月度、季度、半年度、年度等时间阶段为省级数字政府提供安全审计服务，其中包括安全治理及战略规划审计、安全管理体系管控审计、安全建设管控审计、安全运营管控审计、安全应急管控审计、安全资源管控审计、历史问题复审等内容。具体服务需求如下表所示：

4.1.1. 月度安全审计服务
投标人应以月度为周期为采购人提供服务，并在项目服务期内完成以下内容：
（1）对政务云平台系统、省数据资源“一网共享”平台的网络安全利益相关者、网络安全战略需求评估、数据安全利益相关者、数据安全战略需求评估等方面开展审计工作。以网络安全策略、数据安全策略为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全管控策略设置情况、网络资源权限合理分配情况、数据安全管控策略设置情况、数据资源权限合理分配情况等方面开展审计工作。以合规建设的网络安全等级保护建设为重点，对政务云平台系统、省数据资源“一网共享”平台的安全保护等级确定情况、定期等级测评情况、重大变更或级别变化的等级测评情况等方面开展审计工作。以资产登记标识、系统性能、系统接口安全为重点，对资产清单、资产和介质的登记、资产归还、信息分类与标识、资产和介质的标识、系统性能与容量的监控与规划、系统性能提升与扩容、系统接口标准管控、接口/转换控制，接口权限控制及错误处理机制等等方面开展审计工作。以应急工作原则为重点，对政务云平台系统、省数据资源“一网共享”平台的安全应急管控工作原则制定情况、安全应急管控工作原则检查情况等方面开展审计工作。以终端安全为重点，对政务云平台系统、省数据资源“一网共享”平台的终端安全管理、身份鉴别、访问控制、安全审计、威胁与脆弱性、恶意代码防范、网络安全配置与策略、数据防泄漏等方面开展审计工作。以及对政务云平台系统、省数据资源“一网共享”平台在过往常态化审计中发现的问题进行复核的审计工作。
（2）对政务云平台系统、省数据资源“一网共享”平台的网络安全管理原则和目标、网络安全规划范围、网络安全管理模型和建设方法、当前网络安全管理存在的主要差距、数据安全管理原则和目标、数据安全规划范围、数据安全管理模型和建设方法、当前数据安全管理存在的主要差距等方面开展审计工作；以网络安全管理制度、数据安全制度为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全管理制度体系建立、网络安全管理制度实施、网络安全管理制度维护和持续改进、数据安全管理制度体系建立、数据安全管理制度实施、数据安全管理制度维护和持续改进等方面开展审计工作；以合规建设的密码应用建设为重点，对政务云平台系统、省数据资源“一网共享”平台的商用密码应用安全评估工作开展情况、密码管理过程情况、密码监督检查情况等方面开展审计工作；以资产管理过程的资产使用、资产变更为重点，对政务云平台系统、省数据资源“一网共享”平台的设备启动/停止、加电/断电等操作规范、资产外带审批机制、清理屏幕和桌面策略、信息分级、资产变更机制建设、执行和改进等方面开展审计工作；以安全事件为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全事件分级规则制定情况、不同网络安全事件的分级情况、网络安全事件分级规则审查等方面开展审计工作；以通信网络安全为重点，对政务云平台系统、省数据资源“一网共享”平台的网络承载能力、网络区域划分、网络安全技术隔离手段、网络设备硬件冗余、通信完整性与保密性、数据加密传输、CDN服务解析、CDN域名安全防护措施、域名服务器安全、域名系统版本控制、域名服务冗余备份等方面开展审计工作。以及对政务云平台系统、省数据资源“一网共享”平台在过往常态化审计中发现的问题进行复核的审计工作。
（3）对政务云平台系统、省数据资源“一网共享”平台的网络安全战略发布、网络安全战略修订、数据安全战略发布、数据安全战略修订等方面开展审计工作。以网络安全技术标准、数据安全技术标准为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全技术标准本地化编制、网络安全技术标准变更情况、数据安全技术标准本地化编制、数据安全技术标准变更情况等方面开展审计工作。以合规建设的数据安全保护建设为重点，对政务云平台系统、省数据资源“一网共享”平台的政务信息共享、数据出境、数据公开等方面开展审计工作。以资产管理过程的资产维护、资产报废为重点，对政务云平台系统、省数据资源“一网共享”平台的资产清单维护更新、设备维护、介质存储、介质销毁、资产报废等方面开展审计工作。以应急组织机构与职责为重点，对政务云平台系统、省数据资源“一网共享”平台的应急管控领导机构、办事机构、各部门的职责的明确情况、应急组织机构的人员指派情况、应急组织机构职责的检查情况等方面开展审计工作。以区域边界安全为重点，对政务云平台系统、省数据资源“一网共享”平台的边界策略、端口管理、边界安全设备、流量监控、区域边界恶意代码防范、区域边界安全审计等方面开展审计工作。以及对政务云平台系统、省数据资源“一网共享”平台在过往常态化审计中发现的问题进行复核的审计工作。
（4）对政务云平台系统、省数据资源“一网共享”平台的网络安全战略评估准则、网络安全战略现状评估、网络安全战略评估差距、数据安全战略评估准则、数据安全战略现状评估、数据安全战略评估差距等方面开展审计工作。以网络安全组织规划、数据安全组织规划为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全人员背景调查、网络安全岗位设立情况、数据安全人员背景调查、数据安全岗位设立情况等方面开展审计工作。以合规建设的个人信息保护建设为重点，对政务云平台系统、省数据资源“一网共享”平台的个人信息保护制度建立和落实情况、个人信息处理合规审计情况等方面开展审计工作。以安全配置与策略管理的配置与策略建立、执行为重点，对政务云平台系统、省数据资源“一网共享”平台的配置管理的范围、配置库、配置的权限变更控制、配置与策略执行计划、配置与策略执行人员配备、配置与策略执行情况等方面开展审计工作。以网络安全日常管理工作为重点，对政务云平台系统、省数据资源“一网共享”平台的日常网络安全检查、隐患排查、风险评估、容灾备份、信息通报、沟通联动等方面开展审计工作。以环境安全、数据库安全为重点，对环境门禁与监控、环境出入管理、环境设备维保、环境人员管控、环境安全测评、环境安全巡检、数据库密钥安全、数据库安全保护组件、数据库TSF保护等方面开展审计工作。以及对政务云平台系统、省数据资源“一网共享”平台在过往常态化审计中发现的问题进行复核的审计工作。
（5）对政务云平台系统、省数据资源“一网共享”平台的网络安全战略实施路径、网络安全战略保障计划、数据安全战略实施路径、数据安全战略保障计划等方面开展审计工作。以网络安全岗位职责设计、数据安全岗位职责设计为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全不可兼任岗位和共同管理岗位设立情况、网络安全职责分离、数据安全不可兼任岗位和共同管理岗位设立情况、数据安全职责分离等方面开展审计工作。以合规建设的关键信息基础设施保护建设为重点，对政务云平台系统、省数据资源“一网共享”平台的关键信息基础设施保护建设情况、运营情况、检查情况、总结及改进情况等方面开展审计工作。以安全配置与策略管理的配置与策略变更、机制优化与完善为重点，对政务云平台系统、省数据资源“一网共享”平台的配置与策略变更机制建设、对配置库的检查情况、配置的权限变更控制的检查情况、配置与策略建立的总结和改进等方面开展审计工作。以网络安全宣传工作、数据安全宣传工作为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全事件的法律、法规和政策宣传工作开展情况、网络安全基本知识和技能的宣传工作开展情况、数据安全事件的法律、法规和政策宣传工作开展情况、数据安全基本知识和技能的宣传工作开展情况等方面开展审计工作。以应用系统安全管理为重点，对政务云平台系统、省数据资源“一网共享”平台的应用系统用户口令复杂度配置策略、应用系统多因子鉴别、应用系统登陆失败处理功能、应用系统超时自动退出功能、应用系统远程管理等方面开展审计工作。以及对政务云平台系统、省数据资源“一网共享”平台在过往常态化审计中发现的问题进行复核的审计工作。
（6）对政务云平台系统、省数据资源“一网共享”平台的网络安全系统管理员、审计管理员和安全管理员配备情况、数据安全关键岗位人员配备情况等方面开展审计工作。以政务合规建设为重点，对政务云平台系统、省数据资源“一网共享”平台的政务数据开放共享情况、政务网站系统安全建设情况、基于云计算的电子政务公共平台建设情况等方面开展审计工作。以内容安全管控、数据跨境安全、数据交易安全为重点，对内容安全要求的制度建立情况、信息网络发布和传播的内容审核情况、信息发布功能、内容安全工作的检查和改进情况、跨境上报、数据权力明确、数据中转安全、境外主体对数据加工权限管控等方面开展审计工作。以网络安全培训工作、数据安全培训工作为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全知识培训工作、网络安全意识教育工作、数据安全知识培训工作、数据安全意识教育工作、应急培训工作等方面开展审计工作。以WEB访问安全、API接口安全为重点，对政务云平台系统、省数据资源“一网共享”平台的境外访问、管理终端限制、代码审计、信息泄露管控、接口访问控制、接口加密传输、传输内容控制、调用和传输日志等方面开展审计。以及对政务云平台系统、省数据资源“一网共享”平台在过往常态化审计中发现的问题进行复核的审计工作。
（7）对政务云平台系统、省数据资源“一网共享”平台的网络安全战略任务效益评估模型建立情况、网络安全投资模型建立情况、数据安全战略任务效益评估模型建立情况、数据安全投资模型建立情况等方面开展审计工作。以人员任用前为重点，对政务云平台系统、省数据资源“一网共享”平台的人员审查、网络安全人员技能考核、数据安全人员技能考核、保密协议、网络安全安全责任、数据安全安全责任等方面开展审计工作。以安全建设规划为重点，对政务云平台系统、省数据资源“一网共享”平台的三同步原则落实情况、根据安全保护等级选择基本安全措施情况、安全整体规划和安全方案设计情况等方面开展审计工作。以日常安全运维的设备安全运行、网络安全运行为重点，对政务云平台系统、省数据资源“一网共享”平台的设备操作规程、设备外带审批、无人值守设备保护、网络运行规程、网络维护、网络容量、网络运行环境、网络日志、网络系统控制等方面开展审计工作。以重要活动期间的预防措施为重点，对政务云平台系统、省数据资源“一网共享”平台在重要活动期间的网络安全事件防范和应急响应工作的开展情况、网络安全监测和分析研判工作的开展情况、数据安全事件防范和应急响应工作的开展情况、数据安全监测和分析研判工作的开展情况等方面开展审计工作。以特定业务场景的系统安全、其它应用安全为重点，对政务云平台系统、省数据资源“一网共享”平台的支付业务场景、推送业务场景、广告业务场景、即时通信业务场景、云盘账号管理、云盘访问控制、云盘版本控制等方面开展审计工作。以及对政务云平台系统、省数据资源“一网共享”平台在过往常态化审计中发现的问题进行复核的审计工作。
（8）对政务云平台系统、省数据资源“一网共享”平台的网络安全用例模型、项目计划、初始风险评估和项目描述建立情况，数据安全用例模型、项目计划、初始风险评估和项目描述建立情况等方面开展审计工作。以人员任用中为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全培训及考核、数据安全培训及考核、技能培训及考核、保密培训及考核、网络安全违规惩戒措施、网络安全权限分配、数据安全违规惩戒措施、数据安全权限分配等方面开展审计工作。以安全建设产品采购、安全建设产品使用为重点，对政务云平台系统、省数据资源“一网共享”平台的审定和更新候选产品名单情况、网络产品和安全产品的合规性、密码产品与服务的采购和使用情况等方面开展审计工作。以日常安全运维的系统安全运行、应用系统安全运行为重点，对政务云平台系统、省数据资源“一网共享”平台的账户管理、角色的责任和权限划分、变更性运维、操作日志记录等方面开展审计工作。以应急保障机构和人员为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全应急工作机制建立情况、网络安全应急工作机制的检查情况、网络安全事件管理和应急响应的岗位和人员设立情况、数据安全应急工作机制建立情况、数据安全应急工作机制的检查情况、数据安全事件管理和应急响应的岗位和人员设立情况等方面开展审计工作。以数据库安全管理为重点，对政务云平台系统、省数据资源“一网共享”平台的数据库账号管理、数据库访问控制、数据库角色划分、数据库远程管理、数据加密存储、数据库日志审计、数据库漏洞修复等方面开展审计工作。以及对政务云平台系统、省数据资源“一网共享”平台在过往常态化审计中发现的问题进行复核的审计工作。
（9）对政务云平台系统、省数据资源“一网共享”平台的网络安全保障的业务价值、经济效益等成效评估和数据安全保障的业务价值、经济效益等成效评估等方面开展审计工作。以人员任用中止和变更为重点，对政务云平台系统、省数据资源“一网共享”平台的信息系统权限回收、软硬件设备权限回收、数据操作权限回收、相关方通知等方面开展审计工作。以安全建设工程实施为重点，对政务云平台系统、省数据资源“一网共享”平台的安全工程实施方案建立情况、工程实施过程管理的人员配备情况、第三方工程监理控制项目的实施过程情况等方面开展审计工作。以日常安全运维的数据、镜像和快照的备份与恢复为重点，对政务云平台系统、省数据资源“一网共享”平台的备份策略，本地/同城/异地备份情况，备份资产掌握情况、备份完整性和保密性校验、备份时间一致性、备份异常告警、存储空间达到阈值告警、规定时间恢复情况、恢复异常告警等方面开展审计工作。以应急保障技术支撑队伍为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全应急技术支撑队伍的建立情况、网络安全应急技术支撑队伍工作的工具配备情况、数据安全应急技术支撑队伍的建立情况、数据安全应急技术支撑队伍工作的工具配备情况等方面开展审计工作。以中间件安全管理为重点，对政务云平台系统、省数据资源“一网共享”平台的中间件访问控制、中间件远程管理、中间件日志审计、中间件版本控制等方面开展审计工作。以及对政务云平台系统、省数据资源“一网共享”平台在过往常态化审计中发现的问题进行复核的审计工作。
（10）对政务云平台系统、省数据资源“一网共享”平台的网络安全治理组织、岗位设置、团队建设、归口管理、绩效评价体系建立情况和数据安全治理组织、岗位设置、团队建设、归口管理、绩效评价体系建立情况等方面开展审计工作。以外包人员管理为重点，对政务云平台系统、省数据资源“一网共享”平台的外包人员物理、网络及数据访问权限书面申请、外包人员保密责任、外包人员离岗权限回收等方面开展审计工作。以安全建设测试验收为重点，对政务云平台系统、省数据资源“一网共享”平台的上线前的安全性测试开展情况、测试验收工作的开展情况等方面开展审计工作。以安全检查为重点，对政务云平台系统、省数据资源“一网共享”平台的常规安全检查情况、飞行安全检查情况、安全检查记录等方面开展审计工作。以应急保障专家队伍、应急保障社会资源为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全应急专家组的建立情况、数据安全应急专家组的建立情况等方面开展审计工作。以云平台安全、其他软件安全为重点，对政务云平台系统、省数据资源“一网共享”平台的云平台物理环境、云平台区域划分、云租户资源隔离、云平台身份验证和访问控制、云平台远程管理、云平台第三方服务商管理、云平台迁入迁出管理、云平台运维管理等方面开展审计工作。以及对政务云平台系统、省数据资源“一网共享”平台在过往常态化审计中发现的问题进行复核的审计工作。
（11）对政务云平台系统、省数据资源“一网共享”平台的网络安全需求分析文件建立情况、网络安全需求分析评审情况和数据安全需求分析文件建立情况、数据安全需求分析评审情况等方面开展审计工作。以网络资产管理、数据资产管理为重点，对政务云平台系统、省数据资源“一网共享”平台的网络资产清单、网络资产所属关系、网络资产使用规则、网络资产维护规则、数据资产清单、数据资产所属关系、数据资产使用规则、数据资产维护规则等方面开展审计工作。以安全建设系统交付为重点，对政务云平台系统、省数据资源“一网共享”平台的系统交付工作的开展情况、交付前对负责运行维护的技术人员进行相应的技能培训情况、建设过程文档和运行维护文档提供情况等方面开展审计工作。以系统保护的漏洞管理为重点，对政务云平台系统、省数据资源“一网共享”平台的漏洞库更新，漏扫频率和漏扫资产范围、漏洞分级分类、漏洞修复等方面开展审计工作。以应急保障基础平台、应急保障物资保障为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全应急基础平台和管理平台的建立情况、网络安全应急装备、工具的储备情况、数据安全应急装备、工具的储备情况等方面开展审计工作。以主机安全为重点，对政务云平台系统、省数据资源“一网共享”平台的系统软件安装、系统版本控制、系统补丁管理、主机加固、主机身份鉴别、主机访问控制、主机安全审计、主机漏洞扫描、主机恶意代码防范、主机配置与策略等方面开展审计工作。以及对政务云平台系统、省数据资源“一网共享”平台在过往常态化审计中发现的问题进行复核的审计工作。
（12）对政务云平台系统、省数据资源“一网共享”平台的网络安全内部控制的监督机制建立情况、内部控制机构的设置、职责与权限情况和数据安全内部控制的监督机制建立情况、内部控制机构的设置、职责与权限情况等方面开展审计工作。以元数据管理为重点，对政务云平台系统、省数据资源“一网共享”平台的元数据语义规范和管理规则建立情况、元数据访问控制策略和审计机制建立情况、元数据管理岗位人员配备情况等方面开展审计工作。以安全开发规划为重点，对政务云平台系统、省数据资源“一网共享”平台的安全开发方案建立情况、软件开发管理制度的建立情况、安全开发规划的计划等方面开展审计工作。以系统保护的恶意代码管理为重点，对政务云平台系统、省数据资源“一网共享”平台的恶意代码库的升级，恶意代码识别情况，恶意代码识别场景、恶意代码查杀情况等方面开展审计工作。以应急经费保障、责任与奖惩为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全事件应急处置的资金保障情况、网络安全事件应急处置工作责任追究制的建立情况、数据安全事件应急处置的资金保障情况、数据安全事件应急处置工作责任追究制的建立情况等方面开展审计工作。以网络及安全设备为重点，对政务云平台系统、省数据资源“一网共享”平台的网络及安全设备身份鉴别、网络及安全设备访问控制、网络及安全设备远程管理、网络及安全设备日志审计、网络及安全设备基线核查、网络及安全设备安全配置、网络及安全设备备份恢复、特殊设备管理等方面开展审计工作。以及对政务云平台系统、省数据资源“一网共享”平台在过往常态化审计中发现的问题进行复核的审计工作。
4.1.2. 季度安全审计服务
投标人应以季度为周期为采购人提供服务，并在项目服务期内完成以下内容：
（1）对政务云平台系统、省数据资源“一网共享”平台的网络安全风险管理目标和策略明确情况、网络安全风险管理原则、网络安全风险管理流程、网络安全风险偏好及风险容忍程度明确情况和数据安全风险管理目标和策略明确情况、数据安全风险管理原则、数据安全风险管理流程、数据安全风险偏好及风险容忍程度明确情况等方面开展审计工作。以合规管理为重点，对政务云平台系统、省数据资源“一网共享”平台的外部合规要求清单建立情况、外部合规要求清单更新情况、网络安全合规检查情况、数据安全合规检查情况等方面开展审计工作。以安全开发要求分析为重点，对政务云平台系统、省数据资源“一网共享”平台的开发人员编写代码规范情况、关于脱敏、去标识、加密等需求场景安全开发要求分析情况、代码编写安全的检查情况等方面开展审计工作。以系统日志保护、安全巡检、安全审查为重点，对日志采集设施的安全管控、日志字段识别情况、日志控件缺省生成情况、日志信息的保护、日志记录情况、日志分析情况、网络安全巡检计划编制情况、网络安全巡检人员和工具配备情况、数据安全巡检计划编制情况、数据安全巡检人员和工具配备情况、巡检问题整改情况等方面开展审计工作。以预案管理为重点，对政务云平台系统、省数据资源“一网共享”平台的应急预案框架、不同事件应急预案、应急预案定期审查和更新情况、应急预案演练情况、应急预案培训情况等方面开展审计工作。以安全管理中心为重点，对政务云平台系统、省数据资源“一网共享”平台的系统管理员身份鉴别、系统管理员对系统的资源和运行的配置、控制和管理情况、审计管理员身份鉴别、审计管理员对审计记录的分析情况、安全管理员身份鉴别、安全管理员对安全策略的配置情况、安全事项集中管理情况、运行状况集中监测情况等方面开展审计工作。
（2）对政务云平台系统、省数据资源“一网共享”平台的网络安全授权与审批控制情况、网络安全控制活动记录与报告情况、数据安全授权与审批控制情况、数据安全控制活动记录与报告情况等方面开展审计工作。以网络安全风险评估、数据安全风险评估为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全风险评估开展情况、网络安全风险评估整改跟进情况、数据安全风险评估开展情况、数据安全风险评估整改跟进情况等方面开展审计工作。以安全开发设计为重点，对政务云平台系统、省数据资源“一网共享”平台的安全体系结构设计、各功能块间的处理流程、与其他功能的关系、安全协议设计、安全接口设计等方面开展审计工作。以安全编排与联动为重点，对编排策略设计、系统接口调用、标准能力调度、协同响应等方面开展审计工作。以网络安全监测与预警、数据安全监测与预警为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全预警分级、网络安全预警监测、网络安全预警研判和发布、数据安全预警分级、数据安全预警监测、数据安全预警研判和发布等方面开展审计工作。以数据采集安全为重点，对政务云平台系统、省数据资源“一网共享”平台的数据分级分类、数据安全管控措施、数据采集安全管理、数据源鉴别及记录、数据备份数据质量管理等方面开展审计工作。
（3）对政务云平台系统、省数据资源“一网共享”平台的内外部网络安全风险的控制监督、自我评估及整改情况和内外部数据安全风险的控制监督、自我评估及整改情况等方面开展审计工作。以网络供应链管理、数据供应链管理为重点，对政务云平台系统、省数据资源“一网共享”平台的网络供应商关系、网络供应商交付管理、数据供应商关系、数据供应商交付管理等方面开展审计工作。以安全开发编码为重点，对政务云平台系统、省数据资源“一网共享”平台的代码仓库管控情况、安全编程情况、Web应用安全编程情况、数据安全编程等方面开展审计工作。以安全监控与安全态势的资源监测、攻击监测为重点，对政务云平台系统、省数据资源“一网共享”平台的监测服务器和设备性能、存储空间使用情况，服务启动情况、攻击监测人员和工具，攻击分析告警，攻击处置等方面开展审计工作。以预警响应、预警解除为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全预警响应、网络安全预警解除、数据安全预警响应、数据安全预警解除等方面开展审计工作。以数据传输加密、网络可用性管理为重点，对政务云平台系统、省数据资源“一网共享”平台的数据传输加密、数据传输完整性检查、网络传输链路和网络设备节点冗余情况、网络可用性及数据泄漏风险防范情况等方面开展审计工作。
（4）对政务云平台系统、省数据资源“一网共享”平台的网络安全项目准备、项目实施、项目整体变更及收尾和数据项目准备、项目实施、项目整体变更及收尾等方面开展审计工作。以变更管理为重点，对政务云平台系统、省数据资源“一网共享”平台的变更控制的申报和审批机制建立情况、变更方案制定情况、变更前备份情况、变更失败恢复机制、重要数据流向变更控制等方面开展审计工作。以开发过程安全、支持过程安全为重点，对政务云平台系统、省数据资源“一网共享”平台的数据有效性检验功能、开发人员和开发活动管控情况、开发、测试和运行环境分离情况、软件开发过程中安全性测试、程序资源库的修改、更新、发布的授权和批准情况等方面开展审计工作。以安全监控与安全态势的威胁情报为重点，对政务云平台系统、省数据资源“一网共享”平台的情报源管理、威胁情报监控和通报、情报评估、情报人员技能等方面开展审计工作。以网络安全应急处置、数据安全应急处置为重点，对政务云平台系统、省数据资源“一网共享”平台的网络安全事件报告、网络安全应急响应、网络安全应急结束、数据安全事件报告、数据安全应急响应、数据安全应急结束等方面开展审计工作。以数据存储安全为重点，对政务云平台系统、省数据资源“一网共享”平台的获取存储媒体的流程、存储媒体资产标识、存储媒体访问和使用行为记录与审计、数据存储系统安全配置、数据存储系统安全扫描、敏感数据加密存储、多用户数据存储安全隔离情况等方面开展审计工作。
4.1.3. 半年度安全审计服务
投标人应为采购人提供1次半年度安全审计服务，对政务云平台系统、省数据资源“一网共享”平台的上半年运营保障工作开展审计，完成以下内容：
（1）对网络安全文档管理、网络安全培训管理、网络安全配置管理、数据安全文档管理、数据安全培训管理、数据安全配置管理等方面开展审计工作。以审批管理、安全协同为重点，对授权审批事项、审批部门和批准人情况、审批记录留存情况、重要活动逐级审批情况、各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通情况、外联单位联系列表建立情况、配合执法机关执法情况、上报安全管理数据情况等方面开展审计工作。以安全开发测试、测试数据安全保护为重点，对功能测试情况、自动化测试情况、安全测试情况和性能测试情况、测试数据选择、保护和控制情况、测试应用系统与生产环境应用系统控制规程的一致性情况、运行信息被拷贝到测试环境的授权审批情况、运行信息被拷贝到测试环境的清除情况、运行信息的拷贝和使用日志的记录情况等方面开展审计工作。以域名安全管理、安全监控与安全态势的信息泄露、态势监管为重点，对泄露信息机制建设、泄露信息监控、泄露信息告警、泄露信息通报处置、态势源管理、风控规则建设、态势分析、监管整改、域名系统建设、使用和管理的合规情况、域名信息备案、域名及解析地址变更情况等方面开展审计工作。以安全应急调查与评估、网络安全应急改进、数据安全应急改进为重点，对安全应急证据获取、安全应急总结学习、安全应急总结上报、网络安全分析与管理改进、网络安全状态改进、网络安全方案及其他改进、数据安全分析与管理改进、数据安全状态改进、数据安全方案及其他改进等方面开展审计工作。以数据处理安全、数据交换安全为重点，对数据脱敏方案、数据脱敏操作记录、隐私保护方案、数据分析技术措施、数据访问控制机制、数据使用过程日志记录、数据处理环境安全措施、数据导入导出安全控制、数据共享安全评估机制、数据对外提供安全措施、数据共享过程监审、数据公开安全措施、数据接口安全措施、数据接口审计等方面开展审计工作。

4.1.4. 年度安全审计服务
投标人应为采购人提供1次年度安全审计服务，对政务云平台系统、省数据资源“一网共享”平台的下半年运营保障工作开展审计，完成以下内容：
对政务云平台系统、省数据资源“一网共享”平台的网络安全沟通路径、沟通计划、沟通执行、问题协商机制、建立沟通渠道、制定培训宣贯计划、培训开展和数据安全沟通路径、沟通计划、沟通执行、问题协商机制、建立沟通渠道、制定培训宣贯计划、培训开展等方面开展审计工作。以安全绩效评价为重点，对政务云平台系统、省数据资源“一网共享”平台的监视、测量、分析和评价情况、内部审核情况、管理评审情况等方面开展审计工作。以安全开发维护为重点，对政务云平台系统、省数据资源“一网共享”平台的安全管理培训、安全运行管理、管理流程检查、应用系统安全检查、日志审查等方面开展审计工作。以关键行为管控为重点，对政务云平台系统、省数据资源“一网共享”平台的关键行为明确、关键行为管控措施设计、关键行为留痕、关键行为操作审核、违规情况通报等方面开展审计工作。以安全应急协同为重点，对政务云平台系统、省数据资源“一网共享”平台的应急安全协同要求的制度建立情况、应急安全协同工作的开展情况、外部安全通告整改工作的检查情况、应急安全协同的总结和改进情况等方面开展审计工作。以数据销毁安全为重点，对政务云平台系统、省数据资源“一网共享”平台的数据销毁流程和审批机制、销毁方法和技术、数据销毁形式与监控机制等方面开展审计工作。
4.2. 专项安全审计服务
投标人中标后需为采购人提供专项安全审计服务，对某一特定事项进行专项安全审计服务，其中包括但不限于重要保障时期、业务安全审计服务等特定事项内容。
（1）重要保障时期专项审计服务
投标人需为采购人提供重要保障时间专项审计服务，对重要保障时期安全运营团队在事前、事中、事后的各项安全保障工作开展审计，完成专项审计问题复审和编制专项审计报告。帮助采购人评价安全运营团队在重点时期保障准备前的制度规范、工作计划、值守计划等准备工作，重点时期保障实施过程中的安全监测、应急处置等实施工作，重点时期后期的工作总结、安全整改等复盘工作是否达到相关法律法规、行业标准、政策和特别要求。通过评价重点时期保障工作合规性，为采购人提升网络安全保障能力提供有力支撑。
（2）业务安全专项审计服务
投标人需为采购人提供业务安全专项审计服务，对系统业务运营工作中的业务流程与节点安全、信息安全、权限安全、支撑安全、合规与管理、安全运营、安全治理等相关环节开展安全专项审计工作，并对审计所发现的问题进行复审，编制业务安全专项审计报告编制开展专项审计活动，为采购人提升业务过程安全保障提供有力支撑。
具体服务需求如下表所示：

4.3. 优化审计服务
投标人中标后需为采购人提供优化审计机制服务，主要是优化安全审计制度和体系，其中包括：安全审计组织建设，优化安全审计制度、管理办法、审计程序、审计底稿、审计改进报告模板等一系列管理制度文档。
具体服务需求如下表所示：

4.4. 安全日志审计服务
投标人中标后需为采购人提供安全日志监测、日志溯源等安全日志审计服务。
（1）投标人中标后需为采购人提供安全日志监测服务，利用自带工具系统或设备对基础异常日志告警进行研判，核查告警日志来源和类型，确认告警的真实性，并将确认的告警信息通知给数据运营单位，跟进告警处置的结果。同时将告警的事件记录下来，形成监测日志，统一报告给采购人。
（2）投标人中标后应根据采购人的要求，利用自带工具系统或设备对所获取的日志或流量进行溯源，对事件发生的部位、发生的原因等进行分析，确定异常日志的前因后果的证据链，改进现有安全管理和技术措施，为提升整体数据安全保障功能提供帮助。
具体服务需求如下表所示：

5. 服务要求
5.1. 技术要求
投标人应根据本项目服务目标和内容，结合本采购文件“5.4.1.标准规范要求”等相关技术标准和行业最佳实践，在投标书中阐明所采用的服务方法体系和拟定的服务过程。
5.2. 管理要求
5.2.1. 服务人员
投标人须书面承诺，如在项目实际执行过程中发生项目经理不能按采购文件要求胜任相关工作的，采购人有权要求更换项目经理，投标人必须在两周内调整为符合采购文件要求且能胜任相关工作的项目经理并到位开展工作，否则采购人有权终止合同并报相关管理部门进行处理。
投标人应指派固定的团队为本项目提供专业服务，服务团队不少于7人，其中，投标人拟提供的项目经理具有计算机或信息管理相关专业本科或以上学历，具有工信部和人社部共同颁发的信息系统项目管理师，具有CISP或CISAW或信息安全工程师证书；投标人拟提供服务团队成员（不含项目经理）中应具备CISP或CISAW或信息安全工程师证书，具备信息系统审计师证书，具备由计算机技术专业中级或以上工程师（或资格）证书。
如须调整服务团队成员，须书面向采购人提出申请，说明申请理由，经采购人书面同意方可调整团队人员，调入人员的资历和从业经验不低于调出人员，否则视为违约行为，采购人有权终止服务合同。
5.2.2. 进度要求
投标人中标后应于服务启动报审备案时间后12个月完成服务内容。
5.2.3. 组织实施要求
为使项目按质、按量、按时及有序实施，投标人应建立完善、稳定的项目团队、内部组织管理方式及管理机构、协调机制、技术基础，支撑保障要求及其他相关要求。在项目日常管理和条件保障方面，从行政组织、后勤保障和支撑条件各方面创造良好的服务环境，确保项目的顺利实施。
5.2.4. 文档管理要求
投标人中标后应在项目完成时，将本项目所有文档、资料汇集成册交付给采购人，所有文件要求用中文书写或有完整的中文注释。验收后，中标人按国家、省以及采购人档案管理要求，向采购人提供装订成册的纸质文档至少 1 套，电子文档 1 套。
5.2.5. 质量保证要求
为保证本项目能按时高质的顺利完成，规避项目风险或将风险降至最低程度，投标人应建立项目质量管理体系，包括但不限于质量目标、质量指标、岗位责任、问题处理计划、质量评价、整改完善等内容，并建立奖惩制度。
5.2.6. 其他要求
★投标人必须承诺，合同签订后无条件接受采购人方采购人委托的第三方专业机构针对本项目服务内容执行情况的审查，一经发现存在转包、违规分包等问题，采购人有权按相关规定执行单方面解除合同、罚款、扣除未支付款项、上报政府采购监管部门等反制手段。
★本项目不允许转包、分包。投标人必须承诺中标后不得进行转包、分包，一经发现，采购人有权按合同规定执行单方面解除合同、罚款、扣除未支付款项、上报政府采购监管部门等反制手段。
★投标人必须保证，如中标（成交），投标（响应）文件所提供的材料，如果有效期（包括需要年审、继续教育等完成后才能执业的行政许可、人员证书等情形）未能覆盖项目（包组）合同履行期的，将提前按规定办理延期手续，确保合同顺利履行。（投标时提交承诺函，格式可参考附件）

5.3. 验收标准
项目验收按照采购人项目验收的有关规定执行。项目验收的具体组织工作由项目采购人承担。
本项目的验收应符合采购人相关验收管理办法的要求，同时应遵循下列标准：
（1）.实现合同和根据招标文件所编写的投标文件中列举的全部内容。
（2）.项目验收包括按照合同和根据招标文件所编写的投标文件中相关的技术文档、培训教材、使用说明书及采购人项目相关验收管理办法所要求的全部文档。
5.4. 其他要求
5.4.1. 标准规范要求
服务实施过程中应参照以下（但不限于）国内外相关安全标准规范要求，对安全运营和保障工作开展审计工作：
（1）.GB/T 34960.4-2017《信息技术 服务治理第 4 部分审计导则》；
（2）.GB 17859-1999《计算机信息系统安全保护等级划分准则》；
（3）.GB/T 22081-2008《信息技术 安全技术 信息安全管理实用规则》；
（4）.GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》；
（5）.GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》；
（6）.GB/T 28449-2018《网络安全等级保护测评过程指南》；
（7）.GB/T 22080-2016《信息安全管理体系要求》；
（8）.GB/T 20984-2022《信息安全技术 信息安全风险评估方法》；
（9）.GB/Z 24364-2009《信息安全技术 信息安全风险管理指南》；
（10）.GB/T 20271-2006《信息安全技术 信息系统安全通用技术要求》；
（11）.GB/T 20272-2019《信息安全技术 操作系统安全技术要求》；
（12）.GB/T 20273-2019《信息安全技术 数据库管理系统安全技术要求》；
（13）.GB/T 35273-2020《信息安全技术 个人信息安全规范》；
（14）.GB/T 33132-2016《信息安全技术 信息安全风险处理实施指南》。
5.4.2. 服务响应要求
★投标人应在采购人的监督、指导下展开工作，并承诺在服务期间项目团队成员能够在工作时间2小时内提供现场服务。（投标时提交承诺函，格式可参考附件）
5.4.3. 资产权属
1.本项目不会引起任何已申请、登记的知识产权所有权的转移。
2.投标人、采购人双方一致同意，本合同所涉服务成果的知识产权归属按下列第（1）种方式处理：
（1）投标人为履行本合同义务所形成的服务成果的知识产权归采购人所有。
（2）采购人基于本合同约定委托投标人提供的产品、程序、服务等的知识产权归采购人、投标人（含投标人合作商）共同所有，投标人应按采购人书面要求交付该共有部分的源代码；投标人（含投标人合作商）在共有部分的基础上进行二次开发的及对二次开发形成的产品、程序等财产进行处置的，需经采购人书面同意，二次开发所形成的产品、程序、服务等的知识产权归开发者所有，共有部分仍归采购人、投标人（含投标人合作商）共同所有。
3..本项目所涉及的数据所有权归政府所有。投标人只能用于履行本合同之义务。
4..投标人提供的相关软件应是自行开发的产品或具备合法、合规授权，满足知识产权、安全等保三级等方面的有关规定和要求。
5.投标人保证向采购人提供的服务成果是其独立实施完成，不存在任何侵犯第三方专利权、商标权、著作权等合法权益。如因投标人提供的服务成果侵犯任何第三方的合法权益，导致该第三方追究采购人责任的，投标人应负责解决并赔偿因此给采购人造成的全部损失
5.4.4. 保密要求
1.投标人应签订保密协议，对其因身份、职务、职业或技术关系而知悉的采购人商业秘密和党政机关保密信息应严格保守，保证不被披露或使用，包括意外或过失。
2.投标人不得以竞争为目的、或出于私利、或为第三人谋利而擅自保存、披露、使用采购人商业秘密和党政机关保密信息；不得直接或间接地向无关人员泄露采购人的商业秘密和党政机关保密信息；不得向不承担保密义务的任何第三人披露采购人的商业秘密和党政机关保密信息。投标人在从事政府项目时，不得擅自记录、复制、拍摄、摘抄、收藏在工作中涉及的保密信息，严禁将涉及政府项目的任何资料、数据透露或以其他方式提供给项目以外的其他方或投标人内部与该项目无关的任何人员。
3.投标人对于工作期间知悉采购人的商业秘密和党政机关保密信息（包括业务信息在内）或工作过程中接触到的政府机关文件（包括内部发文、各类通知及会议记录等）的内容，同样承担保密责任，严禁将政府机关内部会议、谈话内容泄露给无关人员；不得翻阅与工作无关的文件和资料。
4.严禁泄露在工作中接触到的政府机关科技研究、发明、装备器材及其技术资料和政府工作信息。
5.4.5. 监理要求
★投标人须承诺，在项目开展过程中接受采购人指定的咨询监理机构的监理。（投标时提交承诺函，格式可参考附件）
6. 付款方式（以最终合同签订为准）
本项目计划分3期支付，具体支付方式和时间如下：
1.首期款：签订合同后，中标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票10个工作日内，采购人支付约占合同总金额的40%。
2.进度款：经采购人确认阶段性成果后，中标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票，采购人确认后启动尾款支付流程，约占合同总金额的40%。
3.尾款：项目经采购人最终验收后15个工作日内，中标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票，采购人确认后启动尾款支付流程，约占合同总金额的剩余款项。
项目实际支付总金额按采购成交总金额计算，项目支付计划按合同约定执行，对于满足合同约定支付条件的，采购人应当自收到发票后10个工作日内将资金支付到合同约定的中标人账户，不得以机构变动、人员更替、政策调整等为由延迟付款，不得将采购文件和合同中未规定的义务作为向中标人付款的条件。

采购包1（子包1）1.主要商务要求

2.技术标准与要求

附表一：安全审计服务