序号

项目名称

预算金额（元）

标的提供时间

1

“阳江市“一网共享”数据安全服务（2024-2026年）项目

1,894,682.88

合同签订生效之日起3个月内完成本项目涉及的工具（系统）部署，工具（系统）满足运营使用要求后，申请开始提供36个月的运行维护和运营服务。

序号

分项名称

主要内容

1

数据安全管理制度体系建设服务

根据省数据安全考核要求及阳江政数局管理需求，建设数据安全管理相关制度、组织、要求、策略等，并开展数据安全培训服务；

2

数据安全体系培训

针对广东省数据资源“一网共享”平台阳江分点的所有用户开展数据安全及个人信息保护、数据安全的基本常识、数据安全的重要性以及个人对信息安全应负的责任。由1名讲师，2名辅助人员，每年培训1次，3年共3次。含培训材料的撰写，需根据省要求每年更新培训材料。

3

数据安全专项运营服务

开展数据安全监管基础运营服务、数据安全风险评估服务、数据安全分类分级实施服务、数据加密实施服务、数据脱敏实施服务及数据安全审计服务。

4

数据安全常态化运营服务

提供2名工程师配合服务采购人开展日常数据安全运营工作

5

服务质量考核体系

制定服务标准、考核评估办法、评估实施、结果评价、服务质量考核制度

标的提供的时间

合同签订生效之日起3个月内完成本项目涉及的工具（系统）部署，工具（系统）满足运营使用要求后，申请开始提供36个月的运行维护和运营服务。

标的提供的地点

采购人指定地点。

付款方式

1期：支付比例40%,签订合同后15个工作日内，中标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票，经评审符合采购人评定条件后，启动支付流程，支付合同总金额的40%。

2期：支付比例20%,项目完成第一年运维运营后的15个工作日内，中标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票，经核准符合采购人评定条件后，启动支付流程，支付合同总金额的20%

3期：支付比例20%,完成第二年运维运营后的15个工作日内，中标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票，经核准符合采购人评定条件后，启动支付流程，支付合同总金额的20%。

4期：支付比例20%,完成第三年运维运营并完成终验后的15个工作日内，中标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票，经核准符合采购人评定条件后，启动支付流程，支付合同总金额的20%。

如项目发生合同融资，采购人应当将合同款项支付到合同约定收款账户。

验收要求

1期：投标人提供的所有服务，其质量、技术等特征必须符合《广东省“数字政府 ” 政务云平台建设规范》（GDZW 0005-2019）、《阳江市人民政府办公室关于印发阳江市政务信息化项目管理办法的通知》（阳府办〔2023〕5 号）等相关标准及用户需求，并按服务要求提交相关服务文档或报告。 投标人应针对本次运营服务需求内容，完成相关的运营工作，整理好相关运营文档，与电子文档一并提交，通过采购人组织的运营服务验收评审会，并共同出具《项目验收报告》。

履约保证金

不收取

其他

参数性质

编号

内容明细

内容说明

1

投标报价要求

本项目投标报价最高限价为人民币 1894682.88元，超出上限的投标报价将被作为无效投标处理，投标价必须包括完成项目全部内容所需的所有费用。投标报价包括：项目服务费、税费、安装调试费、验收、培训以及运维等一切费用，采购人不再支付任何费用。 投标报价以投标总价报价方式，不管投标供应商是否在报价表中单列，均视为报价总价中已包括全部费用。

2

合同签订要求

采购合同由中标人与采购人双方签订，签订时间为《中标通知书》发出之日起30个日历日内。

3

项目组织及人员要求

（1）组织机构 为使工程按质、按量、按时及有序实施，中标人对本项目必须建立一个完善和稳定的管理组织机构。 （2）核心人员要求 在项目人员方面，投标人必须承诺项目建设期间至少提供一名专职负责的项目经理负责现场处理问题或交流情况的整体协调工作。本项目拟派的项目经理需具有本科以上学历且具备2年或以上的项目管理经验，提供与信息系统相关的资质证书。 （3）调整原则 本项目的项目经理必须具体负责项目的实施，在系统建设期内，投标人承诺的项目经理和开发实施的主要人员未经用户同意不得调整；投标人如中途更换项目经理和主要开发技术人员，必须征得用户同意。 必须提供以上人员相关证明资料复印件并加盖公章，并提供以上人员在本公司任职的有效外部证明材料（如加盖政府有关部门印章的《投保单》或《社会保险参保人员证明》，或单位代缴个人所得税税单等，事业法人的相关人员应提供该单位的相关证明）复印件。 （4）技术人员要求 本项目拟投入技术人员需满足资质情况：一、拟投入本项目的技术负责人一名（项目经理除外）提供人社部门认可的以下证书：1.网络规划设计师证书；2.网络工程师证书；3.信息安全工程师证书。二、项目技术团队人员（不含项目经理、项目技术负责人）提供人社部门认可的以下证书： 1.通信工程师证书； 2.数据库系统工程师证书； 3.软件设计师证书。（一人有多证按一个证书计算）。

4

质量保证要求

为了保证本项目能按时高质地顺利完成，规避项目风险或将风险降至最低程度，应采取如下质量保证措施: (1)建立强有力的项目领导小组和实施小组。 (2)认真做好各阶段实施计划。 (3)确保数据的正确性与全面性。 (4)强化成果审查、测试工作。对运营服务产生的成果严格进行校审，严把各阶段质量关。 (5)做好用户培训工作。系统用户培训工作的好坏关系到运营服务质量与效率，培训教师、培训工作量、受训人员、培训考核等都应具有较高质量和水平。

5

安装部署及测试联调要求

（一）安装部署、测试环境： 投标人必须向采购人提供本项目工具（系统）适配、安装等全部内容，进行安装调试，搭建测试环境，并在需要的时候配合采购人完成整个工具（系统）的测试联调工作。若本项目工具（系统）的配置或要求中出现不合理或不完整的问题时，投标人有责任和义务在投标文件中提出补充修改方案并征得采购人同意后付诸实施。 （二）安装要求： 工具（系统）安装的主要目标不仅是使工具（系统）能够在相应平台上正常运行，而且必须具有对工具（系统）运行的监控测试手段，以证明系统正常运行。投标人有责任且必须承诺所提供的工具（系统）满足运营使用要求。 （三）工具（系统）测试： 工具（系统）安装完成后，按项目运营使用需要提供系统测试报告。

6

质保及售后服务要求

 （一）质保期 本项目工具（系统）要求由中标人为项目提供三年系统运行维护服务，包括现场运维人数为2人及5名远程运维人员提供保障服务。提供定期巡检维护、日常维护、响应支持、故障处理、系统迭代发布、系统运行分析、重要时刻保障与应急预案服务等运维内容。 （二）售后服务 （1）所有保修服务方式为中标人远程线上或上门保修，上门保修由中标人派员到采购人使用现场维护，由此产生的一切费用均由中标人承担。 （2）自项目投入正式运行和在服务期内，系统出现故障时，供应商7×24小时服务响应，运维工程师应在接到报障后1个小时内响应并处理应用系统出现的故障，及时做出故障原因报告并提出有效措施加以解决。 （3）在项目验收后的服务期内，如因需要增加系统功能而产生的费用，双方另议；如果是软件设计漏洞或偏差，供应商必须修正。 （4）项目服务期满后，供应商必须承诺在法定工作时间内，可以提供技术指导和咨询。

7

保密要求

1.投标人应签订保密协议，对其因身份、职务、职业或技术关系而知悉的采购人商业秘密和党政机关保密信息应严格保守，保证不被披露或使用，包括意外或过失。 2.投标人不得以竞争为目的、或出于私利、或为第三人谋利而擅自保存、披露、使用采购人商业秘密和党政机关保密信息;不得直接或间接地向无关人员泄露采购人的商业秘密和党政机关保密信息;不得向不承担保密义务的任何第三人披露采购人的商业秘密和党政机关保密信息。中标人在从事政府项目时，不得擅自记录、复制、拍摄、摘抄、收藏在工作中涉及的保密信息，严禁将涉及政府项目的任何资料、数据透露或以其他方式提供给项目以外的其他方或中标人内部与该项目无关的任何人员。 3.投标人对于工作期间知悉采购人的商业秘密和党政机关保密信息（包括业务信息在内）或工作过程中接触到的政府机关文件（包括内部发文、各类通知及 会议记录等）的内容，同样承担保密责任，严禁将政府机关内部会议、谈话内容泄露给无关人员;不得翻阅与工作无关的文件和资料。 4.严禁泄露在工作中接触到的政府机关科技研究、发明、装备器材及其技术资料和政府工作信息。

8

知识产权要求

1.该项目不会引起任何已申请、登记的知识产权所有权的转移。 2.采购人基于本项目约定委托中标人提供的产品、程序、服务等成果的知识产权归采购人、中标人共同所有，中标人应按采购人书面要求交付该共有部分的源代码。中标人在共有部分的基础上进行二次开发的及对二次开发形成的产品、程序等财产进行处置的，需经采购人事先书面同意，二次开发所形成的产品、程序、服务等的知识产权归开发者所有，共有部分仍归采购人、中标人共同所有。 对于知识产权共有部分，经采购人同意，中标人利用项目成果申请的商标、专利或输出的图片、视频等受知识产权保护的成果物，采购人有权无条件永久使用。 3.中标人负责提供运营服务，中标人为履行合同义务所形成的所有服务成果的知识产权归采购人单独所有。

说明

 打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标（响应）无效。
打“▲”号条款为重要参数（如有），若有部分“▲”条款未响应或不满足，将根据评审要求影响其得分，但不作为无效投标（响应）条款。

序号

品目名称

标的名称

单位

数量

分项预算单价（元）

分项预算总价（元）

所属行业

技术要求

1

其他数据处理服务

阳江市“一网共享”数据安全服务（2024-2026年）项目

项

1.00

1,894,682.88

1,894,682.88

软件和信息技术服务业

详见附表一

参数性质

序号

具体技术(参数)要求

1

注：
(1)本项目技术要求中带“▲”的为重要技术参数，未响应或不满足，每条扣2分。
(2)本项目技术要求中非“▲”的为一般技术参数，未响应或不满足，每条扣0.5分，扣完为止。
(3)下述所列的技术参数和技术要求中要求提供证明材料的，供应商应当根据实际情况提供并审慎标记应答部分所在位置，标记内容清晰且完整，否则将自行承担不利后果。

一、总体技术要求

阳江市“一网共享”数据安全服务项目实施充分利用现有先进、成熟技术，坚持需求主导、深化应用的原则，统一规划、统一布局、统一设计、规范标准、突出重点、分步实施，在规划、设计中遵循以下实施原则：

（一）标准和规范化原则

坚持“统一领导，统一规划，统一标准”的原则全面推进项目实施。通过集中采购、统一实施的方式，提高全省信息化基础设施建设水平，保证全省关键网络设备和主要业务系统的互联互通。

严格遵循国家、省电子政务有关法律法规和技术规范的要求，从业务、技术、运行管理等方面对项目的整体建设和实施进行设计，充分体现标准化和规范化。

（二）功能适用原则

体现“以服务为中心、以人为本”的实施主导思想，系统所有功能需要考虑到以用户为中心，通用功能应通过服务模式开放给其他功能使用。

系统提供的应用模块，用户可以有选择地运用，每个软件之间相互独立，模块接口开放、明确，任何一个应用模块的损坏和更换不能硬性规定其他软件模块的应用。

（三）架构稳定性原则

基于现有的先进技术，采用微服务体系架构，基于公开标准的建设，技术上具备一定的前瞻性。可以快速便捷的升级相关技术，确保系统能够在技术不断发展的过程中跟上发展趋势，确保信息化技术发展具有明显的稳定性。

（四）可扩展性原则

系统的设计和实施要充分考虑网络、硬件的扩展需要、应用系统二次开发的需要、以及支持未来可能出现的组织调整的需要。系统应采用开放的可扩充模块结构，保证以后可以方便地升级和不断增加新功能、增加容量、以及在同一平台上扩充其他业务应用功能。

（五）数据共享原则

确保数据安全为前提，打破原有各地、各行业烟囱式建设模式，连通一个一个“信息孤岛”，让数据多跑路，让百姓少跑腿。

（六）安全和易用性原则

能够采用先进的安全保密技术进行用户身份认证。将系统级身份认证和应用级身份认证统一灵活应用于各应用系统的登录、流转等功能模块中，操作方式应简单快捷。应具备完善的日志管理等功能，能够追踪记录每次操作情况，并对非法操作进行告警。

系统统一各服务的界面风格，统一用户操作流程，统一用户体验。

（七）易于管理和可维护性原则

必须保证整个系统的可管理性，以降低管理、维护成本。系统的服务器平台、网络平台、系统软件都应提供方便、灵活的维护手段，方便应用人员的维护和管理。

二、服务内容

（一）数据安全管理制度体系建设服务

  1.数据安全管理规划

协助阳江政数局数据安全管理部门完成数据安全政策和标准的规划，明确对数据安全的要求和措施；形成数据安全风险评估要求。

完成对系统权限和访问控制的管控设计，建立定期的安全审计和监控机制，及时发现和应对数据安全问题，确保数据的完整性、保密性和可用性。

2.数据安全体系细则构建服务

以国家相关法律法规为指导，结合《阳江市数据安全管理办法》，制定相应的数据安全管理规范和细则，构建完善的数据安全管理体系框架。从管理视角出发，制定数据安全管理、人员安全管理、审计和应急制度。从指导具体工作实施角度，针对数据收集、存储、使用、加工、传输、提供、公开、销毁生命周期过程建设操作规定及流程，梳理分类分级方案，理清数据确权职责，建立相应的数据安全管理细则、操作指引。

在数据安全体系建设工作中，根据当前数据安全保障体系的实施现状，结合最新的政策要求，为适应新时期的发展需求，重新审视已编制规范的执行和运行情况，并根据实际的操作反馈，持续补充完善编制工作。

结合广东省数字政府网络安全指数指标体系中对数据安全管理的要求，完善相关管理制度。针对数据安全工作进行管理细则的新增或修改补全，即有效地保护数据安全，同时确保数据安全的持续发展。

3.交付物

《数据安全管理办法》，1份；

《数据安全管理相关细则》，1套；

（二）数据安全体系培训服务

  1.培训目的

数据安全体系培训是针对广东省数据资源“一网共享”平台阳江分点的所有用户进行的，目的是使其了解数据安全及个人信息保护、信息安全的基本常识、信息安全的重要性以及个人对信息安全应负的责任，确保其在工作中自觉地遵守相关安全制度，维护信息系统安全。

2.培训计划安排

根据建设单位实际需求安排培训计划，采用线下、线上或组合方式进行，被培训方提供场地、投影仪、白板及其它必要的设施，由单位安排具体培训，可将课堂布置成便于交流与讨论的形式。

为了保障培训效果，建议每场最高不超过40人，本次项目培训总人数预计80 人。一场培训为3课时，每个课时约50分钟。

3.培训人员组成

每场培训配备3位培训人员，分别是1位讲师和2位辅助人员。培训讲师具备业务培训服务技能，熟悉信息安全的业务，培训经验丰富，具有良好的培训技巧，能够进行各类的安全培训。辅助人员熟悉授课内容，能辅助培训讲师编制培训材料，完成培训任务，组织签到，解答培训现场的疑问，具有良好的表达沟通能力。

4.培训对象及内容

针对广东省数据资源“一网共享”平台阳江分节点数据工作内容、岗位职责、组织建设，制定化提供对应数据安全培训方案，为广东省数据资源“一网共享”平台阳江分节点的数据管理人员和业务相关人员开展2次数据安全培训，包括技术技能、安全意识以及经验分享、行业先进经验学习等。主要内容包括：

（1）政策法规类

政策法规类课程主要提供近年国家、省、市出台的一系列数据安全及个人信息保护领域重要的政策法规，如《数据安全法》《个人信息保护法》《关键信息 基础设施安全保护条例》等的解读和分析，提升安全意识。

（2）标准规范类

标准规范类课程主要提供数据安全及个人信息保护领域的标准和规范的解读和分析，如GB/T37988-2019《信息安全技术 数据安全能力成熟度模型》标准解析、GBT36073-2018《数据管理能力成熟度评估模型》标准解析、GB/T35273-2020《信息安全技术个人信息安全规范》规范解析等，提升安全意识。

（3）技术实践类

技术实践类课程主要提供数据安全和个人信息保护技术基础、数据安全和个人信息保护相关检测评估技术和实施方法、流程、数据安全加固、数据安全事件应急响应等内容，为具体技术工作提供指引。

5.服务频率

每年至少完成1次培训，有紧急情况需要则增加培训次数。

6.交付物

《数据安全培训材料》，1套。

（三）数据安全专项运营服务

  1.数据安全监管基础运营服务

  根据阳江政数局数据安全管理现状，结合广东省均衡化考核要求，提供数据资产梳理、数据资产转型管理、数据安全组件集成、数据安全策略制定、数据安全时间管理、数据安全运营报表数据归集、数据安全基础配置实施等服务。

  数据资产梳理服务需要满足阳江政数局所有数据库、文件系统、大数据组件的适配，根据提供的IP地址和端口定期、定时搜索发现网络内数据库或大数据组件或文件系统，建立全局的数据资源目录，开展数据资产发现和识别工作。要求配置实施不低于40种的敏感特征库，根据敏感数据的定义，使用内容识别手段（关键字、正则表达式、内容指纹、字典等），对于数据进行内容识别和检测。

  ▲数据资产专项管理服务需定期、定时完成一网共享平台数据架构扫描；对数据库的账户进行扫描，获取其账号、账号权限等相关权限信息（提供证明材料并加盖投标人公章）；维护数据类别标签及数据风险等级，开展自定义数据类别标签及数据风险等级梳理、配置；形成敏感数据资产可视化和数据分布管理清单；根据数据资产的多维度，如（字段名/文件名、字段备注、表/文件备注、存储位置、文件大小、敏感特征等）配置标记组合规则，对数据库账户进行手动标记；提供数据资产台账查看、检索、导出服务；提供数据分类分级看板服务。

  ▲数据安全组件集成服务需集成数据库审计、数据脱敏、数据库加密工具。实现策略下发，同时对安全组件的运行状态、设备启用状态、持续时间、资源使用率、防护数据库数量、数据库类型分布、数据库访问日志统计、风险日志统计等进行实时监控，帮助运维管理人员及时掌握全网设备安全状况，实现对敏感信息的监管和风险预警，一旦出现安全风险及时通知管理员（提供证明材料并加盖投标人公章）。

  数据安全策略需制定服务数据安全策略是基于数据安全监管工具对数据特征及关系实现精准识别，发现敏感数据并对其进行分级分类分权精细化的管理，形成数据安全策略矩阵，▲下发给各组件系统。实现数据识别，风险评估联动各场景安全产品的体系化防护方案。包含审计防护策略、数据脱敏策略、透明加密策略、安全事件策略等（提供证明材料并加盖投标人公章）。

  数据安全事件管理服务需对安全事件的处置状态进行统计和分析，对事件的处置流转状态进行跟踪；完成数据安全事件数据归集。

  数据安全运营报表数据归集服务对数据库的结构分布、分类分级、敏感分布、资产分布、访问行为、风险分布、等信息生成多种报表，供云网数安平台使用。

  ▲数据安全基础配置实施服务需对系统的业务应用管理，分类标签、分级标签、扫描规则、数据源分组等功能进行统一管理，主要包括：业务应用管理，分类标签管理、分级标签管理、数据字典管理、敏感特征管理、特征库管理、数据源分组管理、自定义函数管理以及文件模板管理（提供证明材料并加盖投标人公章）。

  2.数据安全风险评估服务

  根据国家、省、市相关规范，评估阳江市现有的政务数据管理系统、共享平台和相关工具，从数据分类分级技术、数据权限管控、数据脱敏、数据加密、安全审计、数据防泄漏及数据全链路监控等方面开展数据基础风险评估、数据全生命周期风险评估工作，找出存在的安全隐患，为后续数据安全优化提供指导。切实保障数据采集/产生、数据传输、数据存储、数据处理、数据交换等环节全生命周期安全，为数据安全防护的总体目标提供优化建议。

  每年开展1次评估，评估结束后交付《数据安全评估报告》1份。

  3.数据分类分级实施服务

  根据数据分类分级细则，结合据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。

  根据《广东省数据资源“一网共享”平台数据资源分类分级指南》，开展数据分类分级工作，依据指南对阳江市政务数据资源“一网共享”平台开展对标分析，输出数据分类分级差异分析报告。指导建立数据资产台账并确认需要加密、脱敏的数据，制定加密脱敏工作计划。

  数据分类分级矩阵制定需明确数据定级的颗粒度（如数据项、数据项集合等）。对于结构化数据资源，数据安全等级划分以数据项集合（库表、接口等）为单位，结合字段的含义和数据项集合的业务应用场景进行综合判定实施定级。

  数据资产确认服务需数据资产进行全面梳理，主要包括以物理或电子形式记录的数据库表、数据项、数据文件等结构化和非结构化数据资产，同时判断数据资产是否准确，需覆盖一网共享平台中阳江管辖的数据资产。

  数据资产扫描服务需通过数据分类分级与风险评估系统对数据资产进行扫描，形成原始目录清单

  数据分类分级实施服务需针对原始目录清单、样例数据表，实施人员根据数据特性进行人工打标，提取数据规则后，将数据规则导入平台并扫描形成数据分类分级扫描报告。

  数据分类分级管控服务根据《广东省数据资源“一网共享”平台数据资源分类分级指南》中“广东省主题信息分类类目表完成数据分级目录”形成数据分级分类目录。

  要求输出：

  《数据分类分级矩阵》

  《数据资产目录》

  《数据分类分级矩阵》

  《数据分类分级管理规范》

  《数据分类分级扫描报告》

  《数据分类分级服务总结报告》

  4.数据加密实施服务

  数据加密是对数据最直接，最有效的防护。通常情况下，数据库中的数据是以明文形式进行存储和使用的，一旦数据文件或备份磁带丢失，可能引发严重的数据泄露问题；而在拖库攻击中，很多成熟的数据库文件解析软件，均可对明文存储的数据文件进行直接分析，并输出清晰的、结构化的数据，从而导致泄密。开展数据加密运营服务，通过部署数据库加密设备可对数据库中存储的数据在存储层进行加密，有效避免了因数据文件被拖库而造成数据泄露的问题，从根本上保证数据的安全。

  数据加密工具部署服务需服务售卖人自带工具，并在一网共享阳江节点部署加密工具，完成工具在本地环境的适配，并保证工具在服务期满后仍能使用。

  国密算法接入服务需加密工具适配国密算法。同时，对加密工具的密钥管理需要符合国密要求，▲采用多级（至少三级）密钥管理（提供证明材料并加盖投标人公章）。

  数据静态加密实施需根据数据安全管理要求，完成数据的静态加密，并提供持续的数据库数据加密、解密服务。

  数据加密持续运营服务需开展持续的加密运营，包括服务扩容配置、加密服务状态监控、透明加密服务审计、加密策略管理、日志审计等。

  数据加密运营报告服务需形成上一季度的加密运营情况。

  数据加密实施持续开展；数据加密运营报告，每季度开展一次。输出季度《数据加密运营服务报告》，每年4份。

  5.数据脱敏实施服务

  结合阳江市政数局当前数据管理及业务现状，当前主要采用数据库静态脱敏工具进行数据安全防护，辅助动态脱敏工具进行数据安全防护。

  数据脱敏又称为数据漂白、数据去标识化或数据变形，是指从原始环境向目标环境进行敏感数据交换的过程中，通过一定方法消除原始环境数据中的敏感信息，并保留目标环境业务所需的数据特征或内容的数据处理过程。

  将数据脱敏流程分解为敏感数据发现、敏感数据梳理、脱敏方案制定、脱敏任务执行四大步骤，结合完善的敏感数据字典管理、数据发现算法管理、脱敏算法管理模块，实现全面的敏感数据管理

  开展数据脱敏运营服务，通过部署数据脱敏设备，实现敏感数据发现、敏感数据梳理、脱敏策略配置、脱敏策略执行等功能，解决运维人员、业务人员及第三方人员访问时权限管控与数据脱敏的问题，根据访问用户的权限提供不同的脱敏后的数据展示，保证了用户身份的可信和访问内容的可控。

  数据脱敏运营服务流程主要包括敏感数据发现、敏感数据梳理、脱敏策略配置、脱敏策略执行、脱敏运营报告输出。

  脱敏策略制定需根据实用性与场景不同的不同表现，为敏感数据配置不同的策略。在非生产环境，采用静态脱敏技术。执行的脱敏策略包括遮蔽脱敏、保留格式脱敏、保留数据特征脱敏、泛化脱敏、数据一致性脱敏、可逆性脱敏等。

  脱敏策略执行需对生产环境，通过动态脱技术实现对数值和文本类型的数据脱敏。提供多种脱敏技术的实施服务，包括不可逆加密、区间随机、掩码替换等。提供脱敏规则管理、脱敏任务管理、脱敏分发、业务脱敏、运维脱敏、接口调用脱敏、白名单、脱敏算法及细颗粒度脱敏规则制定等服务。

  数据脱敏报告需利用数据脱敏设备输出的结果，▲对脱敏的过程和结果进行详细记录，包含脱敏的表、字段、数据、脱敏前与脱敏后结果对比量等（提供证明材料并加盖投标人公章），结合人工核查结果，形成最终的数据脱敏运营服务报告，方便用户随时了解脱敏任务执行情况，一季度一份。输出《数据脱敏规则》，1份。

  数据脱敏工具部署服务需售卖人自带静态脱敏工具，并完成工具在本地环境的适配，需保证工具在服务期满后仍能使用。服务售卖人自带动态脱敏工具，并完成工具在本地环境的适配，需保证工具在服务期满后仍能使用。

  6.数据安全审计服务

  从组织自身安全的角度出发，针对绕过安全管理办法、安全策略的数据安全违规行为，外部网络攻击入侵窃取数据或破坏数据的行为，需要建立数据安全审计手段，主动监测数据库审计发现数据安全异常行为，最大限度降低数据泄露等风险。

  数据审计工作每半年开展一次。

  全面审计需根据5W原则——Who、Where、When、hoW、What。全面对数据库服务器的连接情况、会话相关的各种信息和原始SQL语句进行审计

  本地审计需对数据库与应用在同一服务器、直接在数据库本地进行的操作进行审计。

  双向审计需对应用服务器对数据库服务器的访问流量、数据库服务器对应用服务器的返回结果进行审计

  三层审计需完成从数据库访问SQL语句、到中间件之前的用户、中间件之前的访问的细节的关联。

  自身审计需对自身的操作记录日志进行审计。对涉及的不同的角色的人员的增删、改、启停、维护等动作进行记录，提供对这些记录的日志的条件检索和维护服务。

  业务全过程监控需提供实时的事前+事中+事后的连接监控服务，能够实时的监控所有到数据库的连接情况。监控信息包括连接建立时间、IP、用户名、非法操作（越权访问等）次数统计。

  及时告警需对不同的风险设置不同的风险告警方案。可以针对不同风险、新SQL、访问规则违规、数据库服务器状态异常、审计系统服务器状态异常、缓冲区溢出攻击、SQL注入攻击等告警，告警方式有：短信、邮件、FTP、SYSLOG、SNMP、等告警方式。

  ▲数据遮蔽需在审计过程中，用其它内容代替检索结果以及报表中的敏感信息，在结果中会显示遮蔽后的内容（提供证明材料并加盖投标人公章）。

  威胁监控需对系统造成威胁的行为，如SQL注入操作，缓冲区溢出，连续登陆失败等，设置风险等级，当相应危险操作发生时进行告警。

  有效分权管理需数据库管理员（DBA）具有超级权限，由于这样的账户基本上对数据库的所有操作都是没有任何限制的，超出了自身对敏感数据的权限。提供系统管理员、安全管理员、审计管理员相互监督服务能力。通过多种数据获取机制保障对所有用户的全程监控，审计日志信息独立于数据库存储，不可被直接修改和删除，从而有效限制DBA的权限。

  数据报表需提供审计查询条件和细致的统计服务，为云网数安平台的多样化的关联查询分析提供数据支持。

  数据库状态监控需对Oracle、MSSQLServer、MySql进行监控。根据数据库不同，监控内容存在区别。

  ▲数据库风险扫描需包括提供口令检测、风险扫描、SQL注入检测三个服务。全扫描包括三类内容：用户相关类、管理相关类、软件相关类，可以检测出数据库系统中管理中的问题、系统设计和开发中的问题、针对用户活动的问题（提供证明材料并加盖投标人公章）。

  审计报告需分析数据库使用日志，分析使用情况，输出审计报告

  数据库安全审计工具需部署实施服务售卖人自带工具，在一网共享阳江分节点部署数据库审计工具，并完成工具在本地环境的适配，需保证工具在服务期满后仍能使用。

（四）数据安全常态化运营服务

  数据安全运营运维服务数据常态化运营工作，工作内容包括：针对一网共享平台所辖业务系统以及三年运营期内陆续纳入监管范围的业务系统，通过工具平台结合人工方式进行日常的安全事件威胁分析；安全事件追溯分析；安全策略优化管理；定期安全检查管理；安全告警确认分析等常态化监管，并定期出具分析报告，如日常业务数据在收集、传输、共享发布等阶段的涉敏资产发现服务，数据在存储中的扫描服务、加密存储服务，数据在使用过程中的文件分发等作业安全的分析、总结，并定期形成周报、月报、年报等。

  日常安全事件威胁分析需针对有非法访问信息泄露、丢失、网络传输过程，破坏数据，拒绝服务攻击等行为进行全系数据追溯，包括数据对象、时间、关联的设备、系统等提供翔实、完整的证据链，在事件应急过程进行判断、分析，配合明确安全事故的相关人、追责和去责，纳入定期报告当中；

  安全事件追溯分析需根据数据安全事件响应流程，开展相关工作。包括迅速隔离受影响的系统或数据、留存相关证据、分析系统日志、网络日志和数据，检测恶意代码，审计用户行为，评估系统漏洞，重构事件时间线，并最终撰写和分享事件报告。整个流程旨在快速控制数据安全事件的扩散，深入调查和分析事件的根源，以及提出改进措施，以促进组织数据安全的持续改进和提升。

  定期安全策略优化需通过日常观察网络流量是否正常、监控日志异常、观测流量数据等方式定期配置管理数据防护策略，确保数据安全。

  定期安全检查管理需定期配合用户对数据安全防范意识对各单位进行培训（每季度一次），每个月配合用户对办公设备进行安全检查，包括密码明文存储、政务数据相关文件留存等进行协助处理。

  增量服务运营需对后续纳入一网共享平台的业务系统，按照数据安全管理制度对数据进行分类、分级、安全审计、数据防泄漏等管控操作，并将其配置至相关监管平台当中，进行日常管理。

▲数据安全生命周期防护需针对数据采集、存储、传输、处理、共享开放、销毁等全生命周期的防护，针对不同阶段的特点，指导、制定并实施相应的防护措施（提供证明材料并加盖投标人公章）。

  安全告警常态化监管需建立数据安全风险监测机制，及时发现并报告数据安全风险，制定并实施应急预案，确保在紧急情况下能够迅速响应。通过机制及时发现、评估并应对可能出现的数据安全风险，确保政务数据得以有效保护。

  数据安全常态化运营保障需在数据安全运营持续性方面，建立数据安全运营持续性计划，▲定期进行数据安全运营的评估和改进，保持数据安全防护措施的及时性和有效性（提供证明材料并加盖投标人公章）。

  日常总结报告需定期总结数据安全工作的成果和挑战，并提出改进建议，根据需要，定期编写和发布数据安全周报、月报和年报，向管理层和相关部门报告数据安全工作的进展和成果。

（五）服务质量考核体系
建立服务标准，包括：管理制度体系建设服务标准、数据安全体系培训服务标准、数据安全专项运营服务标准、数据安全常态化运营服务标准、数据安全服务配套工具服务标准。
考核评估办法需包括审阅文件、面谈、观察、抽查等方法。审阅文件至少包括检查机构有关书面政策、程序、各项服务质量标准等文件；面谈至少应包括与服务对象的单独面谈或小组座谈；观察至少应包含对机构、服务站点工作的实际探访；抽查至少应包含调查问卷、对机构计划、工作记录的随机调阅。
考核评估的实施需开展项目的前期评估、中期评估和期末评估。
考核结果评价需制定考核评估分值比例，采用百分制，对专业服务标准、服务成果标准、服务质量标准、服务项目管理标准进行考核评估，需对服务项目的综合考核评估结果划分评估等次，评估结果可接受申诉和复核，需对评估结果实行奖惩制度。
服务质量考核制度需包含运营支撑和服务相应两个类别。

说明

 打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。
打“▲”号条款为重要技术参数，若有部分“▲”条款未响应或不满足，将导致其响应性评审加重扣分，但不作为无效投标条款。