項目需求和技術(shù)方案要求

項目需求和技術(shù)方案要求A包：一、項目概況本項目采購第三方安全服務(wù)，項目服務(wù)對象為山東省大數(shù)據(jù)中心統(tǒng)建系統(tǒng)及大數(shù)據(jù)中心業(yè)務(wù)終端網(wǎng)絡(luò)的安全，涉及的系統(tǒng)包括但不限于：序號項目名稱1山東省省級政務(wù)服務(wù)平臺2山東省統(tǒng)一用戶管理及身份認證平臺3“愛山東”政務(wù)服務(wù)平臺移動端4山東省電子印章系統(tǒng)5山東省電子政務(wù)外網(wǎng)數(shù)字證書注冊系統(tǒng)6“愛山東”政務(wù)服務(wù)中臺7山東省視頻監(jiān)控共享平臺8山東省電子政務(wù)外網(wǎng)邊界接入平臺9省統(tǒng)建系統(tǒng)密碼中心10山東省居民碼系統(tǒng)按照《中華人民共和國網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級保護制度等有關(guān)要求，開展山東省大數(shù)據(jù)中心安全資產(chǎn)管理及維護服務(wù)、安全漏洞管理服務(wù)、信息系統(tǒng)生命周期節(jié)點安全管理與控制服務(wù)、網(wǎng)絡(luò)安全監(jiān)測服務(wù)、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)及重保服務(wù)、網(wǎng)絡(luò)安全專項檢查服務(wù)、安全咨詢服務(wù)、網(wǎng)絡(luò)安全綜合管理服務(wù)、個人信息安全合規(guī)評估服務(wù)、滲透測試服務(wù)、風(fēng)險評估服務(wù)、安全加固服務(wù)、代碼審計服務(wù)等服務(wù)，保障省大數(shù)據(jù)中心政務(wù)外網(wǎng)統(tǒng)建信息系統(tǒng)安全，規(guī)范安全管理，解決突發(fā)安全事件，降低系統(tǒng)安全風(fēng)險，提升信息系統(tǒng)安全防護水平。二、服務(wù)需求序號服務(wù)內(nèi)容服務(wù)對象頻次及數(shù)量要求交付物1安全資產(chǎn)管理及維護服務(wù)中心統(tǒng)建系統(tǒng)服務(wù)期12個月資產(chǎn)臺賬、信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)及安全防護情況記錄、資產(chǎn)探測記錄、信息資產(chǎn)網(wǎng)絡(luò)安全配置庫2安全漏洞管理服務(wù)中心統(tǒng)建系統(tǒng)服務(wù)期12個月漏洞掃描報告、《變更資產(chǎn)漏洞掃描報告》、《熱點漏洞掃描報告》、漏洞管理記錄3信息系統(tǒng)生命周期節(jié)點安全管理與控制服務(wù)新上線及變更的指定系統(tǒng)服務(wù)期12個月應(yīng)用系統(tǒng)安全設(shè)計方案評審記錄、信息系統(tǒng)開發(fā)安全培訓(xùn)記錄、《信息系統(tǒng)安全基線》、《信息系統(tǒng)上線前檢查報告》、《信息系統(tǒng)變更安全檢查報告》4網(wǎng)絡(luò)安全監(jiān)測服務(wù)提供互聯(lián)網(wǎng)側(cè)web服務(wù)的中心統(tǒng)建系統(tǒng)服務(wù)期12個月終端安全管理記錄、互聯(lián)網(wǎng)側(cè)網(wǎng)絡(luò)安全監(jiān)測記錄、網(wǎng)絡(luò)安全知識庫、《網(wǎng)絡(luò)安全預(yù)警報告》5網(wǎng)絡(luò)安全應(yīng)急響應(yīng)及重保服務(wù)中心統(tǒng)建系統(tǒng)服務(wù)期12個月《重大活動網(wǎng)絡(luò)安全保障方案》、《重大活動網(wǎng)絡(luò)安全保障總結(jié)報告》、《每日安全監(jiān)測報告》6網(wǎng)絡(luò)安全專項檢查服務(wù)抽查指定系統(tǒng)服務(wù)期12個月網(wǎng)絡(luò)安全專項檢查方案、網(wǎng)絡(luò)安全專項檢查報告7安全咨詢服務(wù)中心統(tǒng)建系統(tǒng)服務(wù)期12個月網(wǎng)絡(luò)安全規(guī)劃方案、安全專家咨詢8網(wǎng)絡(luò)安全綜合管理服務(wù)中心統(tǒng)建系統(tǒng)服務(wù)期12個月安全配置操作日志、資產(chǎn)漏洞跟蹤記錄表、安全事件跟蹤記錄表、安全制度體系運行響應(yīng)記錄、安全整改響應(yīng)記錄表、消息通知記錄表、定期（周、月、季、年）安全服務(wù)數(shù)據(jù)統(tǒng)計報表9個人信息安全合規(guī)評估服務(wù)抽查指定系統(tǒng)一年兩次個人信息安全合規(guī)評估報告10滲透測試服務(wù)中心統(tǒng)建系統(tǒng)對涉及的系統(tǒng)每半年開展一次滲透測試報告11風(fēng)險評估服務(wù)中心統(tǒng)建系統(tǒng)對涉及的系統(tǒng)開展一次風(fēng)險評估報告12安全加固服務(wù)省大數(shù)據(jù)中心業(yè)務(wù)終端及網(wǎng)絡(luò)環(huán)境服務(wù)期12個月運行日志13代碼審計服務(wù)抽查至少2個指定系統(tǒng)服務(wù)期12個月代碼審計報告1.服務(wù)內(nèi)容1.1安全資產(chǎn)管理及維護服務(wù)1.1.1服務(wù)內(nèi)容1.1.1.1建立安全資產(chǎn)臺賬針對山東省大數(shù)據(jù)中心指定的信息系統(tǒng)進行全面安全資產(chǎn)梳理，建立安全資產(chǎn)臺賬。（1）基本信息梳理信息系統(tǒng)定級備案情況、應(yīng)用系統(tǒng)業(yè)務(wù)主管部門、應(yīng)用系統(tǒng)維護單位、部署位置、業(yè)務(wù)類型等基本信息。基本信息表示例如下：序號應(yīng)用系統(tǒng)名稱子系統(tǒng)名稱定級備案情況應(yīng)用系統(tǒng)業(yè)務(wù)主管部門業(yè)務(wù)主管部門責(zé)任人應(yīng)用系統(tǒng)維護單位應(yīng)用系統(tǒng)維護單位責(zé)任人部署位置業(yè)務(wù)類型安全保護等級備案編號（2）系統(tǒng)信息梳理應(yīng)用系統(tǒng)（含子系統(tǒng)）名稱、開發(fā)單位、IP地址、操作系統(tǒng)名稱和版本號、中間件名稱和版本、密碼技術(shù)應(yīng)用情況等信息系統(tǒng)信息表示例如下：系統(tǒng)信息表服務(wù)器及系統(tǒng)軟件使用情況密碼技術(shù)應(yīng)用情況序號應(yīng)用系統(tǒng)開發(fā)單位IP地址操作系統(tǒng)名稱及版本數(shù)據(jù)庫名稱及版本中間件名稱及版本身份認證數(shù)字簽名數(shù)據(jù)加密（3）運維情況梳理應(yīng)用系統(tǒng)（含子系統(tǒng)）名稱、業(yè)務(wù)描述（主要功能）、開發(fā)商、應(yīng)用模式（用戶端或瀏覽器）、用戶數(shù)量、用戶分布范圍、主要用戶角色、業(yè)務(wù)應(yīng)用高峰期等信息。業(yè)務(wù)應(yīng)用與運維情況表示例如下：業(yè)務(wù)應(yīng)用與運維情況序號應(yīng)用系統(tǒng)名稱業(yè)務(wù)描述及主要功能開發(fā)商C/S或B/S模式運維賬戶數(shù)量運維賬戶保護情況用戶數(shù)量用戶分布范圍應(yīng)用高峰期運維賬戶名身份驗證方式持有人允許登錄的網(wǎng)絡(luò)地址1（4）業(yè)務(wù)信息（數(shù)據(jù)）情況梳理應(yīng)用系統(tǒng)處理業(yè)務(wù)的信息（數(shù)據(jù)）名稱、個人信息、信息（數(shù)據(jù)）量大小、信息（數(shù)據(jù)）備份情況（備份方式、備份周期、保存期限、保存地點）等信息點。業(yè)務(wù)信息（數(shù)據(jù)）情況示例如下：序號應(yīng)用系統(tǒng)名稱業(yè)務(wù)信息（數(shù)據(jù)）情況業(yè)務(wù)處理信息（數(shù)據(jù)）名稱個人信息信息（數(shù)據(jù)）量大小信息（數(shù)據(jù)）備份情況是否涉及個人信息個人信息類型總量日增量備份方式備份周期保存期限存放地點本地異地1.1.1.2信息系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀梳理針對山東省大數(shù)據(jù)中心統(tǒng)建信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)及安全防護情況進行梳理。1.1.1.3資產(chǎn)探測對資產(chǎn)進行周期性資產(chǎn)探測，當(dāng)資產(chǎn)發(fā)生變化時（如：IP新增、端口開放或關(guān)閉、指紋信息變更、服務(wù)協(xié)議變化等），對變化內(nèi)容進行變更標記，一旦確認資產(chǎn)變化非山東省大數(shù)據(jù)中心主動調(diào)整，將第一時間進行預(yù)警通告，如果是主動調(diào)整，納入資產(chǎn)臺賬。服務(wù)流程1.1.1.4資產(chǎn)信息維護根據(jù)資產(chǎn)梳理情況，結(jié)合山東省大數(shù)據(jù)中心的網(wǎng)絡(luò)安全保障機制，構(gòu)建可維護的信息資產(chǎn)網(wǎng)絡(luò)安全配置庫，管理并反映IT基礎(chǔ)架構(gòu)相關(guān)的信息資產(chǎn)安全狀態(tài)，提供開展網(wǎng)絡(luò)安全工作所必須的狀態(tài)信息查詢服務(wù)，提供網(wǎng)絡(luò)安全配置庫持續(xù)更新和變更服務(wù)。1.1.2服務(wù)隊伍一線現(xiàn)場工程師，二線安全服務(wù)工程師。1.1.3交付物資產(chǎn)臺賬信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)及安全防護情況記錄資產(chǎn)探測記錄信息資產(chǎn)網(wǎng)絡(luò)安全配置庫1.2安全漏洞管理服務(wù)1.2.1服務(wù)內(nèi)容1.2.1.1漏洞發(fā)現(xiàn)跟蹤服務(wù)定期對資產(chǎn)管理服務(wù)涉及的信息系統(tǒng)在網(wǎng)絡(luò)內(nèi)部（公共服務(wù)域）和互聯(lián)網(wǎng)進行漏洞掃描，并協(xié)助對漏洞、隱患進行整改指導(dǎo)和復(fù)測。漏洞掃描包括web應(yīng)用漏洞掃描和主機漏洞掃描，應(yīng)用漏洞掃描應(yīng)包含OWASPTOP10等主流安全漏洞，如：SQL注入、Cookie注入、Base64注入、XSS跨站腳本、框架注入、鏈接注入、隱藏字段、CSRF跨站偽造請求、命令注入、命令執(zhí)行、代碼注入、遍歷目錄、弱口令、表單繞過、文件包含、管理后臺泄露、敏感信息泄漏、第三方組件、其他各類CGI漏洞等各種類型。主機漏洞掃描有效發(fā)現(xiàn)操作系統(tǒng)和應(yīng)用軟件在用戶賬號、口令，安全漏洞、服務(wù)配置等方面存在的安全風(fēng)險、漏洞。服務(wù)流程：服務(wù)頻次：每月一次1.2.1.2資產(chǎn)變更產(chǎn)生的漏洞監(jiān)測服務(wù)當(dāng)資產(chǎn)管理服務(wù)涉及的信息系統(tǒng)資產(chǎn)發(fā)生變更時，進行漏洞掃描，及時發(fā)現(xiàn)變更資產(chǎn)的安全漏洞，與山東省大數(shù)據(jù)中心溝通修復(fù)計劃，提供漏洞處置指導(dǎo)方案。1.2.1.3熱點漏洞管理服務(wù)提供熱點漏洞應(yīng)急管理服務(wù)，定期匯集最新熱點漏洞情報如ms17-010、struts2遠程命令執(zhí)行漏洞等，利用專用熱點漏洞掃描工具，對山東省大數(shù)據(jù)中心資產(chǎn)開展熱點漏洞定位，提供漏洞處置指導(dǎo)方案。獲取熱點漏洞后第一時間對山東省大數(shù)據(jù)中心系統(tǒng)開展漏洞驗證，及時評估影響，幫助山東省大數(shù)據(jù)中心迅速定位受影響業(yè)務(wù)系統(tǒng)，并提供安全加固建議。1.2.1.4漏洞生命周期管理服務(wù)提供漏洞生命周期管理服務(wù),通過對指定系統(tǒng)的漏洞分析，實現(xiàn)漏洞發(fā)現(xiàn)、評估、分析、處置、驗證、歸檔的全生命周期漏洞運營與管理。從漏洞掃描器、網(wǎng)絡(luò)安全綜合管理平臺等工具獲取、聚合和處理漏洞，資產(chǎn)數(shù)據(jù)，并進行統(tǒng)一的數(shù)據(jù)融合與分析。結(jié)合互聯(lián)網(wǎng)漏洞情報大數(shù)據(jù)以及通過對本地IT資產(chǎn)的預(yù)先梳理和持續(xù)監(jiān)控，實現(xiàn)對重大漏洞爆發(fā)的快速預(yù)警響應(yīng)，自動定位影響面，為山東省大數(shù)據(jù)中心提供智能化漏洞修補及解決方案，協(xié)助對漏洞進行修復(fù)，并跟蹤漏洞修復(fù)情況。1.2.2服務(wù)隊伍一線現(xiàn)場工程師，二線三線滲透測試工程師及網(wǎng)絡(luò)安全專家。1.2.3交付物漏洞掃描報告《變更資產(chǎn)漏洞掃描報告》《熱點漏洞掃描報告》漏洞管理記錄1.3信息系統(tǒng)生命周期節(jié)點安全管理與控制服務(wù)1.3.1服務(wù)內(nèi)容提供信息系統(tǒng)全生命周期網(wǎng)絡(luò)安全跟蹤管理服務(wù)，涉及信息系統(tǒng)立項、設(shè)計開發(fā)、上線檢測、運行變更、系統(tǒng)下線等環(huán)節(jié)。具體要求如下：1.3.1.1規(guī)劃立項階段遵循“三同步”原則——同步規(guī)劃、同步建設(shè)、同步運行，在信息系統(tǒng)規(guī)劃立項階段，配合山東省大數(shù)據(jù)中心對新建或改建系統(tǒng)基于網(wǎng)絡(luò)安全等級保護要求進行方案評審。參與應(yīng)用系統(tǒng)安全設(shè)計以及整體系統(tǒng)框架和結(jié)構(gòu)規(guī)劃，在規(guī)劃立項、需求分析、設(shè)計開發(fā)等階段考慮網(wǎng)絡(luò)安全，強化網(wǎng)絡(luò)安全與應(yīng)用系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用的工作要求。組織網(wǎng)絡(luò)安全專家，對系統(tǒng)安全設(shè)計方案提供咨詢建議。1.3.1.2設(shè)計開發(fā)階段在信息系統(tǒng)設(shè)計開發(fā)（或改建）前，配合山東省大數(shù)據(jù)中心對系統(tǒng)開發(fā)商相關(guān)人員進行網(wǎng)絡(luò)安全相關(guān)培訓(xùn)，包括開發(fā)規(guī)范、漏洞原理和風(fēng)險危害知識等，幫助山東省大數(shù)據(jù)中心提高相關(guān)業(yè)務(wù)系統(tǒng)開發(fā)商代碼編寫規(guī)范，減少開發(fā)過程中因編碼缺陷導(dǎo)致的漏洞利用和黑客攻擊。在意識上提高應(yīng)用系統(tǒng)開發(fā)、測試人員對應(yīng)用安全漏洞的敏感性，從技術(shù)上提高相關(guān)應(yīng)用安全漏洞的發(fā)現(xiàn)和防范水準，從而整體提升開發(fā)產(chǎn)品的應(yīng)用安全水平。1.3.1.3上線階段在新建或改建系統(tǒng)正式上線前提供上線前檢查服務(wù)，配合山東省大數(shù)據(jù)中心核查安全基線配置，排查高風(fēng)險漏洞、弱密碼，清理測試賬號和系統(tǒng)缺省賬號等，通過檢查降低系統(tǒng)安全風(fēng)險?；€檢查，利用專業(yè)的配置核查工具或者人工檢查方式，基于等級保護基本要求作為基線開展技術(shù)檢測，具體檢查包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范等內(nèi)容。高風(fēng)險漏洞排查，采用專業(yè)漏洞掃描工具對系統(tǒng)各軟、硬件設(shè)備可能存在的安全漏洞進行全面掃描，并驗證所發(fā)現(xiàn)的web應(yīng)用漏洞、主機操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、邏輯缺陷、弱口令、信息泄露及配置不當(dāng)?shù)嚷┒磫栴}，出具詳細的漏洞掃描報告及建議，配合山東省大數(shù)據(jù)中心及時對高風(fēng)險漏洞進行處置。1.3.1.4版本升級和重大變更階段在信息系統(tǒng)進行版本升級和重大變更后提供安全檢查服務(wù)，配合山東省大數(shù)據(jù)中心核查安全基線配置，排查高風(fēng)險漏洞、弱密碼，清理測試賬號和系統(tǒng)缺省賬號等，通過檢查降低系統(tǒng)安全風(fēng)險。1.3.1.5生命周期控制節(jié)點信息記錄和追溯涉及應(yīng)用上線、應(yīng)用下線、重大系統(tǒng)升級運維、一般性系統(tǒng)升級運維、部署環(huán)境調(diào)整運維、軟件生命周期流程配置、軟件生命周期事務(wù)管理、流程信息及流程跟蹤等環(huán)節(jié)，各項環(huán)節(jié)信息均記錄在系統(tǒng)中，對信息系統(tǒng)的當(dāng)前及歷史狀態(tài)進行統(tǒng)一管理。1.3.2服務(wù)隊伍二線滲透測試工程師及安全服務(wù)工程師。1.3.3交付物應(yīng)用系統(tǒng)安全設(shè)計方案評審記錄信息系統(tǒng)開發(fā)安全培訓(xùn)記錄《信息系統(tǒng)安全基線》《信息系統(tǒng)上線前檢查報告》《信息系統(tǒng)變更安全檢查報告》1.4網(wǎng)絡(luò)安全監(jiān)測服務(wù)1.4.1服務(wù)內(nèi)容1.4.1.1業(yè)務(wù)終端安全管理服務(wù)為山東省大數(shù)據(jù)中心的業(yè)務(wù)終端（含政務(wù)外網(wǎng)公共服務(wù)域和行政服務(wù)域）提供防病毒、漏洞與補丁管理、資產(chǎn)管理、桌面管控、終端審計、移動存儲管理等服務(wù)，進行安全排查，實現(xiàn)終端的病毒查殺、文檔管控，解決終端日常安全問題。1.4.1.2互聯(lián)網(wǎng)側(cè)網(wǎng)絡(luò)安全監(jiān)測服務(wù)針對大數(shù)據(jù)中心指定的信息系統(tǒng)提供互聯(lián)網(wǎng)側(cè)安全性監(jiān)測服務(wù)，監(jiān)測頻率不低于10分鐘/次，監(jiān)測內(nèi)容包括：掛馬監(jiān)測、暗鏈監(jiān)測、頁面篡改監(jiān)測、敏感內(nèi)容監(jiān)測等，當(dāng)信息系統(tǒng)出現(xiàn)安全風(fēng)險告警時，第一時間向山東省大數(shù)據(jù)中心進行預(yù)警通告。1.4.1.3預(yù)警通報服務(wù)及時報告網(wǎng)絡(luò)安全事件、安全漏洞、安全威脅等特殊或突發(fā)情況，每月提報網(wǎng)絡(luò)安全預(yù)警報告，結(jié)合山東省大數(shù)據(jù)中心實際情況，制定應(yīng)急處置方案并協(xié)助實施。1.4.1.4網(wǎng)絡(luò)安全知識庫構(gòu)建和維護服務(wù)協(xié)助山東省大數(shù)據(jù)中心建立網(wǎng)絡(luò)安全知識庫，將網(wǎng)絡(luò)安全保障工作中所用到的技術(shù)資料、過程記錄進行存檔和歸類，提高問題定位和事件處置的效率，為后續(xù)的網(wǎng)絡(luò)安全工作提供支撐。1.4.2服務(wù)隊伍一線現(xiàn)場工程師，二線三線安全服務(wù)工程師、滲透測試工程師及網(wǎng)絡(luò)安全專家。1.4.3交付物終端安全管理記錄互聯(lián)網(wǎng)側(cè)網(wǎng)絡(luò)安全監(jiān)測記錄網(wǎng)絡(luò)安全知識庫網(wǎng)絡(luò)安全預(yù)警報告1.5網(wǎng)絡(luò)安全應(yīng)急響應(yīng)及重保服務(wù)1.5.1網(wǎng)絡(luò)安全應(yīng)急響應(yīng)1.5.1.1服務(wù)內(nèi)容提供7*24小時網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)。對發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件提供應(yīng)急響應(yīng)服務(wù)，接到山東省大數(shù)據(jù)中心通知后，網(wǎng)絡(luò)安全專家必須在10分鐘內(nèi)快速響應(yīng)，安全工程師2小時內(nèi)到達現(xiàn)場并協(xié)調(diào)后備資源，協(xié)助山東省大數(shù)據(jù)中心進行網(wǎng)絡(luò)封堵、分析、溯源取證等工作，及時消除安全事件不良后果。2日內(nèi)總結(jié)安全事件的原因，提交書面的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)處置報告（包括事故原因、過程描述、入侵來源、證據(jù)報告、解決方案、安全建議、處理結(jié)果等）。1.5.1.2服務(wù)流程應(yīng)急服務(wù)流程包括：啟動應(yīng)急預(yù)案，事件發(fā)現(xiàn)和確認，事件定級和報告，確定應(yīng)急處理方式，應(yīng)急抑制，應(yīng)急恢復(fù)，事后分析，提供應(yīng)急響應(yīng)事件分析報告等。1.5.1.3服務(wù)隊伍一線現(xiàn)場工程師，二線三線應(yīng)急響應(yīng)工程師及網(wǎng)絡(luò)安全專家。1.5.1.4交付物《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)處置報告》1.5.2重保服務(wù)1.5.2.1服務(wù)內(nèi)容國家和省市重大活動期間，提供網(wǎng)絡(luò)安全保障服務(wù)，工程師現(xiàn)場值守，提供技術(shù)支持，每日報告安全監(jiān)測情況。攻防演練期間，協(xié)助山東省大數(shù)據(jù)中心開展網(wǎng)絡(luò)安全防守工作。1.5.2.2服務(wù)隊伍一線現(xiàn)場工程師，二線三線應(yīng)急響應(yīng)工程師、安全服務(wù)工程師、滲透測試工程師及網(wǎng)絡(luò)安全專家。1.5.2.3交付物《重大活動網(wǎng)絡(luò)安全保障方案》《重大活動網(wǎng)絡(luò)安全保障總結(jié)報告》每日安全監(jiān)測報告1.6網(wǎng)絡(luò)安全專項檢查服務(wù)1.6.1服務(wù)內(nèi)容提供網(wǎng)絡(luò)安全檢查服務(wù)，協(xié)助山東省大數(shù)據(jù)中心每年開展至少1次網(wǎng)絡(luò)安全檢查工作，會同山東省大數(shù)據(jù)中心對指定系統(tǒng)進行專項檢查，提供網(wǎng)絡(luò)安全檢測數(shù)據(jù)分析服務(wù)，協(xié)助山東省大數(shù)據(jù)中心開展安全問題監(jiān)督整改并進行復(fù)測，出具安全檢查報告。1.6.2服務(wù)隊伍安全服務(wù)工程師、滲透測試工程師及網(wǎng)絡(luò)安全專家。1.6.3服務(wù)交付物網(wǎng)絡(luò)安全專項檢查方案網(wǎng)絡(luò)安全專項檢查報告1.7安全咨詢服務(wù)1.7.1服務(wù)內(nèi)容1.7.1.1網(wǎng)絡(luò)安全規(guī)劃服務(wù)協(xié)助山東省大數(shù)據(jù)中心制定網(wǎng)絡(luò)安全規(guī)劃，基于頂層設(shè)計和新興技術(shù)發(fā)展方向，識別網(wǎng)絡(luò)安全建設(shè)任務(wù)，協(xié)助制定未來2年網(wǎng)絡(luò)安全規(guī)劃，細化安全目標和任務(wù)，梳理工作路線，制定分段建設(shè)計劃，提供咨詢建議。組織行業(yè)專家對規(guī)劃方案進行論證評審，并根據(jù)論證評審意見完善規(guī)劃方案。分析山東省大數(shù)據(jù)中心網(wǎng)絡(luò)安全現(xiàn)狀與目標之間的差距，確定網(wǎng)絡(luò)安全建設(shè)內(nèi)容，參照等級保護2.0、密碼應(yīng)用安全等要求，設(shè)計網(wǎng)絡(luò)安全總體框架。對網(wǎng)絡(luò)安全建設(shè)目標和任務(wù)進行階段劃分，制定分段的建設(shè)計劃，明確當(dāng)前階段重點建設(shè)內(nèi)容，急需解決的安全問題以及需要具備的網(wǎng)絡(luò)安全能力，設(shè)計對應(yīng)的解決方案。1.7.1.2安全專家咨詢服務(wù)提供關(guān)于安全管理制度體系建設(shè)、安全事件、漏洞詳情分析、攻防核心技術(shù)、前沿領(lǐng)域安全技術(shù)、交叉領(lǐng)域安全技術(shù)等咨詢服務(wù)。1.7.2服務(wù)隊伍網(wǎng)絡(luò)安全專家及咨詢顧問。1.7.3交付物山東省大數(shù)據(jù)中心網(wǎng)絡(luò)安全規(guī)劃方案安全專家咨詢記錄1.8網(wǎng)絡(luò)安全綜合管理服務(wù)1.8.1服務(wù)內(nèi)容通過技術(shù)工具（平臺）對大數(shù)據(jù)中心網(wǎng)絡(luò)安全工作涉及的制度、資產(chǎn)、漏洞、補丁、預(yù)警、情報、事件、知識等提供歸檔、分類整理、統(tǒng)計、分析、報表、展示、消息通知等服務(wù)。將制定的安全管理制度進行統(tǒng)一匯總管理，標記該文件的版本、印發(fā)時間、適用范圍等信息，并將該制度對應(yīng)的內(nèi)部檢查或風(fēng)險評估中發(fā)現(xiàn)的情況進行關(guān)聯(lián)記錄。對網(wǎng)絡(luò)安全資產(chǎn)全生命周期跟蹤管理，能夠展示資產(chǎn)相關(guān)信息，包括硬件資產(chǎn)、軟件資產(chǎn)等信息，與技術(shù)工具輸出的資產(chǎn)發(fā)現(xiàn)、漏洞掃描結(jié)果和配置核查管理結(jié)果關(guān)聯(lián)起來記錄和跟蹤變化，把資產(chǎn)管理和脆弱性管理結(jié)合起來，以安全管理視角了解安全資產(chǎn)情況，控制安全風(fēng)險。通過識別和定義資產(chǎn)之間的關(guān)系，并與大數(shù)據(jù)中心的組織管理、業(yè)務(wù)情況相結(jié)合，從而實現(xiàn)基于組織和業(yè)務(wù)的宏觀管理和分析，能夠在網(wǎng)絡(luò)空間內(nèi)精確定位到資產(chǎn)，并能夠落實到資產(chǎn)管理的人員。觸發(fā)安全事件或日常作業(yè)變更時可以輸出受影響的資產(chǎn)范圍和風(fēng)險說明并以消息通知相關(guān)責(zé)任人。匯總分析漏洞檢測和風(fēng)險評估的漏洞數(shù)據(jù)，并對漏洞狀態(tài)進行持續(xù)跟蹤，對已經(jīng)修復(fù)的漏洞進行確認。提高漏洞檢測、漏洞數(shù)據(jù)管理、漏洞運維各個環(huán)節(jié)的自動化程度，提高漏洞管理和運維工作效率，降低工作難度和成本。記錄安全配置操作，包括建立安全資產(chǎn)及資產(chǎn)的安全配置狀態(tài)變化，建立操作日志。建立安全知識庫，對不同類型的安全知識進行分類，將問題和事件的分析處置過程全部納入知識庫，提高問題研判和事件處置效率。業(yè)務(wù)上線、上級或監(jiān)管通報的安全風(fēng)險進行及時的消息通知，對整改過程和結(jié)果進行跟蹤和確認，并記錄相關(guān)信息，為軟件開發(fā)商及服務(wù)商的安全能力評價提供數(shù)據(jù)依據(jù)。對于資產(chǎn)變化、漏洞、安全事件，上級通報等信息，應(yīng)及時有效的通知相關(guān)的責(zé)任人，通知方式應(yīng)包括但不限于書面現(xiàn)場通知、電話、郵件、短信、微信等。1.8.2服務(wù)隊伍一線現(xiàn)場工程師，二線三線應(yīng)安全服務(wù)工程師、網(wǎng)絡(luò)安全專家及咨詢顧問。1.8.3交付物包括但不限于如下：安全配置操作日志資產(chǎn)漏洞跟蹤記錄表安全事件跟蹤記錄表安全制度體系運行響應(yīng)記錄安全整改響應(yīng)記錄表消息通知記錄表定期（周、月、季、年）安全服務(wù)數(shù)據(jù)統(tǒng)計報表1.9個人信息安全合規(guī)評估服務(wù)1.9.1服務(wù)內(nèi)容開展山東省大數(shù)據(jù)中心統(tǒng)建信息系統(tǒng)（含APP）的個人信息安全合規(guī)評估服務(wù)，保護個人信息安全。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《個人信息保護法》、《GB/T35273-2020-信息安全技術(shù)個人信息安全規(guī)范》等法律法規(guī)，對信息系統(tǒng)、移動應(yīng)用程序及使用的第三方SDK進行收集使用個人信息行為的合規(guī)評估。序號排查項檢測要點一、隱私政策文本1評估項1:隱私政策的獨立性、易讀性是否有隱私政策2是否有兒童個人信息保護規(guī)則3隱私政策是否單獨成文4隱私政策是否易于訪問5隱私政策是否易于閱讀6評估項2:清晰說明各項業(yè)務(wù)功能及所收集個人信息類型是否明示收集個人信息的業(yè)務(wù)功能7業(yè)務(wù)功能與所收集的個人信息類型是否一一對應(yīng)8是否明示各項業(yè)務(wù)功能所收集的個人信息類型9是否以改善功能、優(yōu)化體驗等為由收集個人信息10是否顯著標識個人敏感信息類型11評估項3:清晰說明個人信息處理規(guī)則及用戶權(quán)益保障信息系統(tǒng)運營者的基本情況12個人信息存儲和超期處理方式13強制定向推送信息14顯著區(qū)分定向推送服務(wù)15個人信息出境情況16個人信息安全保護措施和能力17對外共享、轉(zhuǎn)讓、公開披露個人信息規(guī)則18用戶權(quán)利保障機制19征得授權(quán)同意的例外20個人信息的展示限制21用戶申訴渠道和反饋機制22隱私政策時效23隱私政策更新24評估項4:不應(yīng)在隱私政策等文件中設(shè)置不合理條款隱私政策等文件是否存在免責(zé)等不合理條款二、收集使用個人信息行為25評估項5:收集個人信息應(yīng)明示收集目的、方式、范圍是否同步告知申請打開個人信息權(quán)限目的26是否同步告知申請?zhí)峁﹤€人敏感信息的目的27若使用Cookie及其同類技術(shù)收集個人信息，是否向用戶明示28若存在嵌入第三方代碼插件收集個人信息的功能，是否向用戶明示29是否欺騙誤導(dǎo)用戶下載APP30應(yīng)用分發(fā)平臺上的APP信息是否明示不到位31應(yīng)用分發(fā)平臺管理責(zé)任落實不到位32評估項6:收集使用個人信息應(yīng)經(jīng)用戶自主選擇同意，不應(yīng)存在強制捆綁授權(quán)行為以默認選擇同意隱私政策等非明示方式征求用戶同意33征得用戶同意前就開始收集個人信息或打開可收集個人信息的權(quán)限34是否存在將多項業(yè)務(wù)功能和權(quán)限打包，要求用戶一攬子接受的情況。35是否存在過度聲明權(quán)限的情形36前臺收集個人信息的頻度等超出業(yè)務(wù)功能實際需要37后臺收集個人信息的頻度等超出業(yè)務(wù)功能實際需要38是否未征得用戶同意讀取剪切板39是否存在不給權(quán)限不讓用40APP頻繁自啟動和關(guān)聯(lián)啟動41私自截留第三方應(yīng)用收集的個人信息42是否以不正當(dāng)方式誤導(dǎo)用戶同意收集個人信息43廣告關(guān)閉選項找不到、關(guān)不掉44評估項7:收集個人信息應(yīng)滿足必要性要求實際收集的個人信息類型是否超出隱私政策所述范圍45收集與業(yè)務(wù)功能有關(guān)的非必要信息，是否經(jīng)用戶自主選擇同意46是否在用戶明確對于用戶明確拒絕后繼續(xù)索要權(quán)限、打擾用戶47是否拒絕提供非服務(wù)所必需的個人信息時，影響用戶使用48是否收集與業(yè)務(wù)功能無關(guān)的個人信息49App更新是否更改系統(tǒng)權(quán)限設(shè)置三、運營者對用戶權(quán)利的保障50評估項8:支持用戶注銷賬號、更正或刪除個人信息是否支持用戶注銷賬號51是否支持用戶查詢、更正或刪除個人信息52評估項9:及時反饋用戶申訴是否及時反饋用戶申訴1.9.2服務(wù)對象抽查指定系統(tǒng)。1.9.3服務(wù)頻次每年開展兩次個人信息安全合規(guī)評估服務(wù)。1.9.4服務(wù)隊伍二線三線滲透工程師及網(wǎng)絡(luò)安全專家。1.9.5交付物個人信息安全合規(guī)評估報告1.10滲透測試服務(wù)1.10.1服務(wù)內(nèi)容開展?jié)B透測試服務(wù)，模擬黑客的攻擊手法，以人工滲透為主，輔助以攻擊工具的使用，利用目標系統(tǒng)的安全弱點，對目標系統(tǒng)進行非破壞性質(zhì)的攻擊性測試，發(fā)現(xiàn)并驗證目標系統(tǒng)存在的安全問題。滲透測試內(nèi)容包括但不限于端口掃描、SQL注入、口令獲取、遠程命令執(zhí)行、邏輯缺陷、越權(quán)漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、任意文件操作、Web腳本及應(yīng)用測試、中間件漏洞等。1.10.2服務(wù)頻次每半年開展一次滲透測試服務(wù)，共2次。1.10.3服務(wù)隊伍二線三線滲透工程師及網(wǎng)絡(luò)安全專家。1.10.4交付物滲透測試報告1.11風(fēng)險評估服務(wù)1.11.1服務(wù)內(nèi)容依據(jù)GB/T20984-2022《信息安全風(fēng)險評估規(guī)范》等標準要求，從管理和技術(shù)兩個層面進行深入詳細的信息安全風(fēng)險評估，識別支撐信息系統(tǒng)和關(guān)鍵活動的重要資產(chǎn)以及重要資產(chǎn)面臨的外部威脅和自身存在的安全脆弱性，結(jié)合已有安全措施進行風(fēng)險分析，計算出安全事件發(fā)生后對整體信息安全影響的風(fēng)險等級，并對風(fēng)險評估過程中發(fā)現(xiàn)的安全問題提出合理的安全建議，使大數(shù)據(jù)中心全面了解目前的安全現(xiàn)狀和面臨的安全風(fēng)險，為大數(shù)據(jù)中心下一步的信息化安全建設(shè)提供指導(dǎo)。1.11.2服務(wù)頻次服務(wù)期內(nèi)開展一次風(fēng)險評估服務(wù)。1.11.3服務(wù)隊伍二線三線安全服務(wù)工程師及網(wǎng)絡(luò)安全專家。1.11.4交付物風(fēng)險評估報告1.12安全加固服務(wù)1.12.1服務(wù)內(nèi)容當(dāng)前省大數(shù)據(jù)中心的業(yè)務(wù)終端分布在多處地點，例如位于泉城路工作區(qū)的業(yè)務(wù)終端連接政務(wù)外網(wǎng)公共服務(wù)域和行政服務(wù)域，其中行政服務(wù)域要求與其他網(wǎng)絡(luò)區(qū)域物理隔離，因此須對這兩類網(wǎng)絡(luò)環(huán)境分別進行安全加固，提供相應(yīng)安全服務(wù)：加強省大數(shù)據(jù)中心業(yè)務(wù)終端網(wǎng)絡(luò)環(huán)境的安全防護，強化邊界管控和防護能力，提供訪問控制、防病毒、入侵防御、日志審計以及其他為保障系統(tǒng)安全運行所需的服務(wù)。1.12.2服務(wù)隊伍一線現(xiàn)場工程師和二線、三線網(wǎng)絡(luò)工程師及網(wǎng)絡(luò)安全專家。1.12.3交付物運行日志1.13代碼審計服務(wù)1.13.1服務(wù)內(nèi)容采用自動化工具和人工審查相結(jié)合的方式，對信息系統(tǒng)軟件源代碼進行檢查和分析，發(fā)現(xiàn)代碼中存在的安全問題和缺陷等編碼不規(guī)范的地方，提供問題整改措施和建議，提高信息系統(tǒng)代碼編寫質(zhì)量和安全性。代碼安全審計報告應(yīng)針對每個問題分別提出明確的整改建議，在整改完成后進行復(fù)測并出具報告。1.13.2服務(wù)對象對省大數(shù)據(jù)中心統(tǒng)建的、含軟件開發(fā)的重要信息系統(tǒng)開展代碼審計服務(wù)，審計的系統(tǒng)數(shù)量不少于2個。1.13.3服務(wù)隊伍二線三線代碼審計工程師及網(wǎng)絡(luò)安全專家。1.13.4交付物代碼審計報告2.服務(wù)要求本項目服務(wù)期為12個月，服務(wù)地點濟南（包括省大數(shù)據(jù)中心和相關(guān)機房），服務(wù)方式為現(xiàn)場及遠程服務(wù)，駐場工程師不少于2人，一線、二線、三線工程師共同參與。2.1總體要求建立完善的管理制度，確定人員的崗位職責(zé)，對服務(wù)工作進行跟蹤及質(zhì)量監(jiān)督。每月對服務(wù)商的服務(wù)定期進行評估，因提供不合格服務(wù)累計多次的，采購人有權(quán)終止本項目的合同,所造成的經(jīng)濟損失及責(zé)任由服務(wù)商承擔(dān)。具體不合格服務(wù)原因包括但不僅限于以下內(nèi)容：（1）服務(wù)不及時、服務(wù)質(zhì)量不佳或態(tài)度不好等原因被用戶投訴；（2）未按時提交本項目明確要求提供的文檔或文檔不滿足大數(shù)據(jù)中心的要求；（3）在較大影響的工作實施前未提供詳細的實施方案或?qū)嵤┓桨覆粷M足大數(shù)據(jù)中心要求；（4）同一問題引發(fā)的故障發(fā)生兩次以上；（5）值班期間，值班人員未在位在崗。2.2服務(wù)響應(yīng)要求提供7*24小時的電話服務(wù)，電話支持不能解決問題的須到現(xiàn)場解決。提供每周5*8小時（上午8:00-12:00，下午13:00-17:00）現(xiàn)場服務(wù)（現(xiàn)場服務(wù)人員具體工作時間可由山東省大數(shù)據(jù)中心根據(jù)實際需要作出安排）。國家法定節(jié)假日及重大活動期間，根據(jù)山東省大數(shù)據(jù)中心需要提供24小時現(xiàn)場值班服務(wù)。2.3服務(wù)質(zhì)量要求對于服務(wù)請求：5分鐘內(nèi)電話響應(yīng)，達到100%的用戶響應(yīng)度。關(guān)于用戶滿意度：回訪用戶平均滿意度不低于95%。其他要求：緊急、特殊的服務(wù)要求應(yīng)立即提供服務(wù)至解決問題為止。未能及時完成服務(wù)請求的，應(yīng)向用戶提出書面解釋。2.4技術(shù)質(zhì)量要求選派有經(jīng)驗的技術(shù)人員及時提供技術(shù)咨詢，并及時提供按合同要求的技術(shù)方案和各類交付物。2.5保密性要求簽訂保密協(xié)議，對項目過程中接觸的設(shè)備信息、數(shù)據(jù)資料等負有保密責(zé)任，不泄露給任何第三方。3.服務(wù)原則本項目在實施過程中嚴格遵循以下原則：3.1關(guān)鍵業(yè)務(wù)原則項目實施的范圍及目標系統(tǒng)要作為被評估組織的關(guān)鍵業(yè)務(wù)進行評測，實施過程中必須明確區(qū)分關(guān)鍵業(yè)務(wù)的具體范圍，超過項目實施范圍的內(nèi)容評測需雙方協(xié)商通過后才可實施。3.2可控性原則及時報告工作進度，明確需要得到協(xié)作的工作內(nèi)容，以確保服務(wù)的可控性；項目實施過程中嚴格按照項目管理要求實施項目，確保項目過程的可控；工具使用前需及時告知，并在實施前獲取許可和授權(quán)，以確保工具的可控性。3.3保密性原則雙方簽訂信息保密協(xié)議，采取必要的控制措施避免信息的泄漏。3.4規(guī)范性原則在項目實施過程中應(yīng)按照國家標準規(guī)定的標準和流程進行測評，保證測評結(jié)果的有效、可靠。3.5最小影響原則服務(wù)過程需要對在線的主機、數(shù)據(jù)庫、信息系統(tǒng)等進行審計、掃描和調(diào)研，需要對有關(guān)員工進行抽樣訪談，因此難免會影響到相關(guān)人員和系統(tǒng)的正常工作。采取必要措施減少實際影響，盡可能地保障評估工作不會影響到日常工作和系統(tǒng)運行。3.6整體性原則從信息系統(tǒng)整體性考慮，避免對設(shè)備的孤立評估，避免出現(xiàn)偏頗的檢測效果。3.7結(jié)合實際，注重實效在項目實施過程中必須堅持結(jié)合實際，注重實效的原則。項目實施的各個環(huán)節(jié)，都應(yīng)立足當(dāng)前信息化工作現(xiàn)狀，調(diào)查、研究、分析網(wǎng)絡(luò)與信息系統(tǒng)的建設(shè)、管理、運行中面臨的實際威脅，存在的實際問題，切實提高網(wǎng)絡(luò)與信息系統(tǒng)的整體安全水平、管理水平與運維水平。

B包：一、項目概況本項目采購第三方安全服務(wù)，項目服務(wù)對象為山東省大數(shù)據(jù)中心統(tǒng)建系統(tǒng)及大數(shù)據(jù)中心業(yè)務(wù)終端網(wǎng)絡(luò)的安全，涉及的系統(tǒng)包括但不限于：序號項目名稱1山東省政府網(wǎng)站統(tǒng)一技術(shù)平臺2“山東通”平臺（含山東省業(yè)務(wù)協(xié)同平臺）3山東省通用辦公系統(tǒng)4山東省互聯(lián)網(wǎng)加監(jiān)管系統(tǒng)5山東省畜牧大數(shù)據(jù)監(jiān)測分析系統(tǒng)6山東省基礎(chǔ)信息資源庫7山東省省級政務(wù)信息資源共享交換平臺8山東省公共數(shù)據(jù)開放平臺9山東省電子證照系統(tǒng)10山東省融資服務(wù)平臺11隱私計算平臺按照《中華人民共和國網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級保護制度等有關(guān)要求，開展山東省大數(shù)據(jù)中心安全資產(chǎn)管理及維護服務(wù)、安全漏洞管理服務(wù)、信息系統(tǒng)生命周期節(jié)點安全管理與控制服務(wù)、網(wǎng)絡(luò)安全監(jiān)測服務(wù)、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)及重保服務(wù)、網(wǎng)絡(luò)安全專項檢查服務(wù)、安全咨詢服務(wù)、網(wǎng)絡(luò)安全綜合管理服務(wù)、個人信息安全合規(guī)評估服務(wù)、滲透測試服務(wù)、風(fēng)險評估服務(wù)、代碼審計服務(wù)等服務(wù)，保障省大數(shù)據(jù)中心政務(wù)外網(wǎng)統(tǒng)建信息系統(tǒng)安全，規(guī)范安全管理，解決突發(fā)安全事件，降低系統(tǒng)安全風(fēng)險，提升信息系統(tǒng)安全防護水平。二、服務(wù)需求序號服務(wù)內(nèi)容服務(wù)對象頻次及數(shù)量要求交付物1安全資產(chǎn)管理及維護服務(wù)中心統(tǒng)建系統(tǒng)服務(wù)期12個月資產(chǎn)臺賬、信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)及安全防護情況記錄、資產(chǎn)探測記錄、信息資產(chǎn)網(wǎng)絡(luò)安全配置庫2安全漏洞管理服務(wù)中心統(tǒng)建系統(tǒng)服務(wù)期12個月漏洞掃描報告、《變更資產(chǎn)漏洞掃描報告》、《熱點漏洞掃描報告》、漏洞管理記錄3信息系統(tǒng)生命周期節(jié)點安全管理與控制服務(wù)新上線及變更的指定系統(tǒng)服務(wù)期12個月應(yīng)用系統(tǒng)安全設(shè)計方案評審記錄、信息系統(tǒng)開發(fā)安全培訓(xùn)記錄、《信息系統(tǒng)安全基線》、《信息系統(tǒng)上線前檢查報告》、《信息系統(tǒng)變更安全檢查報告》4網(wǎng)絡(luò)安全監(jiān)測服務(wù)提供互聯(lián)網(wǎng)側(cè)web服務(wù)的中心統(tǒng)建系統(tǒng)服務(wù)期12個月終端安全管理記錄、互聯(lián)網(wǎng)側(cè)網(wǎng)絡(luò)安全監(jiān)測記錄、網(wǎng)絡(luò)安全知識庫、《網(wǎng)絡(luò)安全預(yù)警報告》5網(wǎng)絡(luò)安全應(yīng)急響應(yīng)及重保服務(wù)中心統(tǒng)建系統(tǒng)服務(wù)期12個月《重大活動網(wǎng)絡(luò)安全保障方案》、《重大活動網(wǎng)絡(luò)安全保障總結(jié)報告》、《每日安全監(jiān)測報告》6網(wǎng)絡(luò)安全專項檢查服務(wù)抽查指定系統(tǒng)服務(wù)期12個月網(wǎng)絡(luò)安全專項檢查方案、網(wǎng)絡(luò)安全專項檢查報告7安全咨詢服務(wù)中心統(tǒng)建系統(tǒng)服務(wù)期12個月網(wǎng)絡(luò)安全規(guī)劃方案、安全專家咨詢8網(wǎng)絡(luò)安全綜合管理服務(wù)中心統(tǒng)建系統(tǒng)服務(wù)期12個月安全配置操作日志、資產(chǎn)漏洞跟蹤記錄表、安全事件跟蹤記錄表、安全制度體系運行響應(yīng)記錄、安全整改響應(yīng)記錄表、消息通知記錄表、定期（周、月、季、年）安全服務(wù)數(shù)據(jù)統(tǒng)計報表9個人信息安全合規(guī)評估服務(wù)抽查指定系統(tǒng)一年兩次個人信息安全合規(guī)評估報告10滲透測試服務(wù)中心統(tǒng)建系統(tǒng)對涉及的系統(tǒng)每半年開展一次滲透測試報告11風(fēng)險評估服務(wù)中心統(tǒng)建系統(tǒng)對涉及的系統(tǒng)開展一次風(fēng)險評估報告12代碼審計服務(wù)抽查至少2個指定系統(tǒng)服務(wù)期12個月代碼審計報告1.服務(wù)內(nèi)容1.1安全資產(chǎn)管理及維護服務(wù)1.1.1服務(wù)內(nèi)容1.1.1.1建立安全資產(chǎn)臺賬針對山東省大數(shù)據(jù)中心指定的信息系統(tǒng)進行全面安全資產(chǎn)梳理，建立安全資產(chǎn)臺賬。（1）基本信息梳理信息系統(tǒng)定級備案情況、應(yīng)用系統(tǒng)業(yè)務(wù)主管部門、應(yīng)用系統(tǒng)維護單位、部署位置、業(yè)務(wù)類型等基本信息。，基本信息表示例如下：序號應(yīng)用系統(tǒng)名稱子系統(tǒng)名稱定級備案情況應(yīng)用系統(tǒng)業(yè)務(wù)主管部門業(yè)務(wù)主管部門責(zé)任人應(yīng)用系統(tǒng)維護單位應(yīng)用系統(tǒng)維護單位責(zé)任人部署位置業(yè)務(wù)類型安全保護等級備案編號（2）系統(tǒng)信息梳理應(yīng)用系統(tǒng)（含子系統(tǒng)）名稱、開發(fā)單位、IP地址、操作系統(tǒng)名稱和版本號、中間件名稱和版本、密碼技術(shù)應(yīng)用情況等信息，系統(tǒng)信息表示例如下：系統(tǒng)信息表服務(wù)器及系統(tǒng)軟件使用情況密碼技術(shù)應(yīng)用情況序號應(yīng)用系統(tǒng)開發(fā)單位IP地址操作系統(tǒng)名稱及版本數(shù)據(jù)庫名稱及版本中間件名稱及版本身份認證數(shù)字簽名數(shù)據(jù)加密（3）運維情況梳理應(yīng)用系統(tǒng)（含子系統(tǒng)）名稱、業(yè)務(wù)描述（主要功能）、開發(fā)商、應(yīng)用模式（用戶端或瀏覽器）、用戶數(shù)量、用戶分布范圍、主要用戶角色、業(yè)務(wù)應(yīng)用高峰期等信息。業(yè)務(wù)應(yīng)用與運維情況表示例如下：業(yè)務(wù)應(yīng)用與運維情況序號應(yīng)用系統(tǒng)名稱業(yè)務(wù)描述及主要功能開發(fā)商C/S或B/S模式運維賬戶數(shù)量運維賬戶保護情況用戶數(shù)量用戶分布范圍應(yīng)用高峰期運維賬戶名身份驗證方式持有人允許登錄的網(wǎng)絡(luò)地址1（4）業(yè)務(wù)信息（數(shù)據(jù)）情況梳理應(yīng)用系統(tǒng)處理業(yè)務(wù)的信息（數(shù)據(jù)）名稱、個人信息、信息（數(shù)據(jù)）量大小、信息（數(shù)據(jù)）備份情況（備份方式、備份周期、保存期限、保存地點）等信息點。業(yè)務(wù)信息（數(shù)據(jù)）情況示例如下：序號應(yīng)用系統(tǒng)名稱業(yè)務(wù)信息（數(shù)據(jù)）情況業(yè)務(wù)處理信息（數(shù)據(jù)）名稱個人信息信息（數(shù)據(jù)）量大小信息（數(shù)據(jù)）備份情況是否涉及個人信息個人信息類型總量日增量備份方式備份周期保存期限存放地點本地異地1.1.1.2信息系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀梳理針對山東省大數(shù)據(jù)中心統(tǒng)建信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)及安全防護情況進行梳理。1.1.1.3資產(chǎn)探測對資產(chǎn)進行周期性資產(chǎn)探測，當(dāng)資產(chǎn)發(fā)生變化時（如：IP新增、端口開放或關(guān)閉、指紋信息變更、服務(wù)協(xié)議變化等），對變化內(nèi)容進行變更標記，一旦確認資產(chǎn)變化非山東省大數(shù)據(jù)中心主動調(diào)整，將第一時間進行預(yù)警通告，如果是主動調(diào)整，納入資產(chǎn)臺賬。服務(wù)流程1.1.1.4資產(chǎn)信息維護根據(jù)資產(chǎn)梳理情況，結(jié)合山東省大數(shù)據(jù)中心的網(wǎng)絡(luò)安全保障機制，構(gòu)建可維護的信息資產(chǎn)網(wǎng)絡(luò)安全配置庫，管理并反映IT基礎(chǔ)架構(gòu)相關(guān)的信息資產(chǎn)安全狀態(tài)，提供開展網(wǎng)絡(luò)安全工作所必須的狀態(tài)信息查詢服務(wù)，提供網(wǎng)絡(luò)安全配置庫持續(xù)更新和變更服務(wù)。1.1.2服務(wù)隊伍一線現(xiàn)場工程師，二線安全服務(wù)工程師。1.1.3交付物資產(chǎn)臺賬信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)及安全防護情況記錄資產(chǎn)探測記錄信息資產(chǎn)網(wǎng)絡(luò)安全配置庫1.2安全漏洞管理服務(wù)1.2.1服務(wù)內(nèi)容1.2.1.1漏洞發(fā)現(xiàn)跟蹤服務(wù)定期對資產(chǎn)管理服務(wù)涉及的信息系統(tǒng)在網(wǎng)絡(luò)內(nèi)部（公共服務(wù)域）和互聯(lián)網(wǎng)進行漏洞掃描，并協(xié)助對漏洞、隱患進行整改指導(dǎo)和復(fù)測。漏洞掃描包括web應(yīng)用漏洞掃描和主機漏洞掃描，應(yīng)用漏洞掃描應(yīng)包含OWASPTOP10等主流安全漏洞，如：SQL注入、Cookie注入、Base64注入、XSS跨站腳本、框架注入、鏈接注入、隱藏字段、CSRF跨站偽造請求、命令注入、命令執(zhí)行、代碼注入、遍歷目錄、弱口令、表單繞過、文件包含、管理后臺泄露、敏感信息泄漏、第三方組件、其他各類CGI漏洞等各種類型。主機漏洞掃描有效發(fā)現(xiàn)操作系統(tǒng)和應(yīng)用軟件在用戶賬號、口令，安全漏洞、服務(wù)配置等方面存在的安全風(fēng)險、漏洞。服務(wù)流程：服務(wù)頻次：每月一次1.2.1.2資產(chǎn)變更產(chǎn)生的漏洞監(jiān)測服務(wù)當(dāng)資產(chǎn)管理服務(wù)涉及的信息系統(tǒng)資產(chǎn)發(fā)生變更時，進行漏洞掃描，及時發(fā)現(xiàn)變更資產(chǎn)的安全漏洞，與山東省大數(shù)據(jù)中心溝通修復(fù)計劃，提供漏洞處置指導(dǎo)方案。1.2.1.3熱點漏洞管理服務(wù)提供熱點漏洞應(yīng)急管理服務(wù)，定期匯集最新熱點漏洞情報如ms17-010、struts2遠程命令執(zhí)行漏洞等，利用專用熱點漏洞掃描工具，對山東省大數(shù)據(jù)中心資產(chǎn)開展熱點漏洞定位，提供漏洞處置指導(dǎo)方案。獲取熱點漏洞后第一時間對山東省大數(shù)據(jù)中心系統(tǒng)開展漏洞驗證，及時評估影響，幫助山東省大數(shù)據(jù)中心迅速定位受影響業(yè)務(wù)系統(tǒng)，并提供安全加固建議。1.2.1.4漏洞生命周期管理服務(wù)提供漏洞生命周期管理服務(wù),通過對指定系統(tǒng)的漏洞分析，實現(xiàn)漏洞發(fā)現(xiàn)、評估、分析、處置、驗證、歸檔的全生命周期漏洞運營與管理。從漏洞掃描器、網(wǎng)絡(luò)安全綜合管理平臺等工具獲取、聚合和處理漏洞，資產(chǎn)數(shù)據(jù)，并進行統(tǒng)一的數(shù)據(jù)融合與分析。結(jié)合互聯(lián)網(wǎng)漏洞情報大數(shù)據(jù)以及通過對本地IT資產(chǎn)的預(yù)先梳理和持續(xù)監(jiān)控，實現(xiàn)對重大漏洞爆發(fā)的快速預(yù)警響應(yīng)，自動定位影響面，為山東省大數(shù)據(jù)中心提供智能化漏洞修補及解決方案，協(xié)助對漏洞進行修復(fù)，并跟蹤漏洞修復(fù)情況。1.2.2服務(wù)隊伍一線現(xiàn)場工程師，二線三線滲透測試工程師及網(wǎng)絡(luò)安全專家。1.2.3交付物漏洞掃描報告《變更資產(chǎn)漏洞掃描報告》《熱點漏洞掃描報告》漏洞管理記錄1.3信息系統(tǒng)生命周期節(jié)點安全管理與控制服務(wù)1.3.1服務(wù)內(nèi)容提供信息系統(tǒng)全生命周期網(wǎng)絡(luò)安全跟蹤管理服務(wù)，涉及信息系統(tǒng)立項、設(shè)計開發(fā)、上線檢測、運行變更、系統(tǒng)下線等環(huán)節(jié)。具體要求如下：1.3.1.1規(guī)劃立項階段遵循“三同步”原則——同步規(guī)劃、同步建設(shè)、同步運行，在信息系統(tǒng)規(guī)劃立項階段，配合山東省大數(shù)據(jù)中心對新建或改建系統(tǒng)基于網(wǎng)絡(luò)安全等級保護要求進行方案評審。參與應(yīng)用系統(tǒng)安全設(shè)計以及整體系統(tǒng)框架和結(jié)構(gòu)規(guī)劃，在規(guī)劃立項、需求分析、設(shè)計開發(fā)等階段考慮網(wǎng)絡(luò)安全，強化網(wǎng)絡(luò)安全與應(yīng)用系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用的工作要求。組織網(wǎng)絡(luò)安全專家，對系統(tǒng)安全設(shè)計方案提供咨詢建議。1.3.1.2設(shè)計開發(fā)階段在信息系統(tǒng)設(shè)計開發(fā)（或改建）前，配合山東省大數(shù)據(jù)中心對系統(tǒng)開發(fā)商相關(guān)人員進行網(wǎng)絡(luò)安全相關(guān)培訓(xùn)，包括開發(fā)規(guī)范、漏洞原理和風(fēng)險危害知識等，幫助山東省大數(shù)據(jù)中心提高相關(guān)業(yè)務(wù)系統(tǒng)開發(fā)商代碼編寫規(guī)范，減少開發(fā)過程中因編碼缺陷導(dǎo)致的漏洞利用和黑客攻擊。在意識上提高應(yīng)用系統(tǒng)開發(fā)、測試人員對應(yīng)用安全漏洞的敏感性，從技術(shù)上提高相關(guān)應(yīng)用安全漏洞的發(fā)現(xiàn)和防范水準，從而整體提升開發(fā)產(chǎn)品的應(yīng)用安全水平。1.3.1.3上線階段在新建或改建系統(tǒng)正式上線前提供上線前檢查服務(wù)，配合山東省大數(shù)據(jù)中心核查安全基線配置，排查高風(fēng)險漏洞、弱密碼，清理測試賬號和系統(tǒng)缺省賬號等，通過檢查降低系統(tǒng)安全風(fēng)險?；€檢查，利用專業(yè)的配置核查工具或者人工檢查方式，基于等級保護基本要求作為基線開展技術(shù)檢測，具體檢查包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范等內(nèi)容。高風(fēng)險漏洞排查，采用專業(yè)漏洞掃描工具對系統(tǒng)各軟、硬件設(shè)備可能存在的安全漏洞進行全面掃描，并驗證所發(fā)現(xiàn)的web應(yīng)用漏洞、主機操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、邏輯缺陷、弱口令、信息泄露及配置不當(dāng)?shù)嚷┒磫栴}，出具詳細的漏洞掃描報告及建議，配合山東省大數(shù)據(jù)中心及時對高風(fēng)險漏洞進行處置。1.3.1.4版本升級和重大變更階段在信息系統(tǒng)進行版本升級和重大變更后提供安全檢查服務(wù)，配合山東省大數(shù)據(jù)中心核查安全基線配置，排查高風(fēng)險漏洞、弱密碼，清理測試賬號和系統(tǒng)缺省賬號等，通過檢查降低系統(tǒng)安全風(fēng)險。1.3.1.5生命周期控制節(jié)點信息記錄和追溯涉及應(yīng)用上線、應(yīng)用下線、重大系統(tǒng)升級運維、一般性系統(tǒng)升級運維、部署環(huán)境調(diào)整運維、軟件生命周期流程配置、軟件生命周期事務(wù)管理、流程信息及流程跟蹤等環(huán)節(jié)，各項環(huán)節(jié)信息均記錄在系統(tǒng)中，對信息系統(tǒng)的當(dāng)前及歷史狀態(tài)進行統(tǒng)一管理。1.3.2服務(wù)隊伍二線滲透測試工程師及安全服務(wù)工程師。1.3.3交付物應(yīng)用系統(tǒng)安全設(shè)計方案評審記錄信息系統(tǒng)開發(fā)安全培訓(xùn)記錄《信息系統(tǒng)安全基線》《信息系統(tǒng)上線前檢查報告》《信息系統(tǒng)變更安全檢查報告》1.4網(wǎng)絡(luò)安全監(jiān)測服務(wù)1.4.1服務(wù)內(nèi)容1.4.1.1互聯(lián)網(wǎng)側(cè)網(wǎng)絡(luò)安全監(jiān)測服務(wù)針對大數(shù)據(jù)中心指定的信息系統(tǒng)提供互聯(lián)網(wǎng)側(cè)安全性監(jiān)測服務(wù)，監(jiān)測頻率不低于10分鐘/次，監(jiān)測內(nèi)容包括：掛馬監(jiān)測、暗鏈監(jiān)測、頁面篡改監(jiān)測、敏感內(nèi)容監(jiān)測等，當(dāng)信息系統(tǒng)出現(xiàn)安全風(fēng)險告警時，第一時間向山東省大數(shù)據(jù)中心進行預(yù)警通告。1.4.1.2預(yù)警通報服務(wù)及時報告網(wǎng)絡(luò)安全事件、安全漏洞、安全威脅等特殊或突發(fā)情況，每月提報網(wǎng)絡(luò)安全預(yù)警報告，結(jié)合山東省大數(shù)據(jù)中心實際情況，制定應(yīng)急處置方案并協(xié)助實施。1.4.1.3網(wǎng)絡(luò)安全知識庫構(gòu)建和維護服務(wù)協(xié)助山東省大數(shù)據(jù)中心建立網(wǎng)絡(luò)安全知識庫，將網(wǎng)絡(luò)安全保障工作中所用到的技術(shù)資料、過程記錄進行存檔和歸類，提高問題定位和事件處置的效率，為后續(xù)的網(wǎng)絡(luò)安全工作提供支撐。1.4.2服務(wù)隊伍一線現(xiàn)場工程師，二線三線安全服務(wù)工程師、滲透測試工程師及網(wǎng)絡(luò)安全專家。1.4.3交付物終端安全管理記錄互聯(lián)網(wǎng)側(cè)網(wǎng)絡(luò)安全監(jiān)測記錄網(wǎng)絡(luò)安全知識庫網(wǎng)絡(luò)安全預(yù)警報告1.5網(wǎng)絡(luò)安全應(yīng)急響應(yīng)及重保服務(wù)1.5.1網(wǎng)絡(luò)安全應(yīng)急響應(yīng)1.5.1.1服務(wù)內(nèi)容提供7*24小時網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)。對發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件提供應(yīng)急響應(yīng)服務(wù)，接到山東省大數(shù)據(jù)中心通知后，網(wǎng)絡(luò)安全專家必須在10分鐘內(nèi)快速響應(yīng)，安全工程師2小時內(nèi)到達現(xiàn)場并協(xié)調(diào)后備資源，協(xié)助山東省大數(shù)據(jù)中心進行網(wǎng)絡(luò)封堵、分析、溯源取證等工作，及時消除安全事件不良后果。2日內(nèi)總結(jié)安全事件的原因，提交書面的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)處置報告（包括事故原因、過程描述、入侵來源、證據(jù)報告、解決方案、安全建議、處理結(jié)果等）。1.5.1.2服務(wù)流程應(yīng)急服務(wù)流程包括：啟動應(yīng)急預(yù)案，事件發(fā)現(xiàn)和確認，事件定級和報告，確定應(yīng)急處理方式，應(yīng)急抑制，應(yīng)急恢復(fù)，事后分析，提供應(yīng)急響應(yīng)事件分析報告等。1.5.1.3服務(wù)隊伍一線現(xiàn)場工程師，二線三線應(yīng)急響應(yīng)工程師及網(wǎng)絡(luò)安全專家。1.5.1.4交付物《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)處置報告》1.5.2重保服務(wù)1.5.2.1服務(wù)內(nèi)容國家和省市重大活動期間，提供網(wǎng)絡(luò)安全保障服務(wù)，工程師現(xiàn)場值守，提供技術(shù)支持，每日報告安全監(jiān)測情況。攻防演練期間，協(xié)助山東省大數(shù)據(jù)中心開展網(wǎng)絡(luò)安全防守工作。1.5.2.2服務(wù)隊伍一線現(xiàn)場工程師，二線三線應(yīng)急響應(yīng)工程師、安全服務(wù)工程師、滲透測試工程師及網(wǎng)絡(luò)安全專家。1.5.2.3交付物《重大活動網(wǎng)絡(luò)安全保障方案》《重大活動網(wǎng)絡(luò)安全保障總結(jié)報告》每日安全監(jiān)測報告1.6網(wǎng)絡(luò)安全專項檢查服務(wù)1.6.1服務(wù)內(nèi)容提供網(wǎng)絡(luò)安全檢查服務(wù)，協(xié)助山東省大數(shù)據(jù)中心每年開展至少1次網(wǎng)絡(luò)安全檢查工作，會同山東省大數(shù)據(jù)中心對指定系統(tǒng)進行專項檢查，提供網(wǎng)絡(luò)安全檢測數(shù)據(jù)分析服務(wù)，協(xié)助山東省大數(shù)據(jù)中心開展安全問題監(jiān)督整改并進行復(fù)測，出具安全檢查報告。1.6.2服務(wù)隊伍安全服務(wù)工程師、滲透測試工程師及網(wǎng)絡(luò)安全專家。1.6.3服務(wù)交付物網(wǎng)絡(luò)安全專項檢查方案網(wǎng)絡(luò)安全專項檢查報告1.7安全咨詢服務(wù)1.7.1服務(wù)內(nèi)容1.7.1.1網(wǎng)絡(luò)安全規(guī)劃服務(wù)協(xié)助山東省大數(shù)據(jù)中心制定網(wǎng)絡(luò)安全規(guī)劃，基于頂層設(shè)計和新興技術(shù)發(fā)展方向，識別網(wǎng)絡(luò)安全建設(shè)任務(wù)，協(xié)助制定未來2年網(wǎng)絡(luò)安全規(guī)劃，細化安全目標和任務(wù)，梳理工作路線，制定分段建設(shè)計劃，提供咨詢建議。組織行業(yè)專家對規(guī)劃方案進行論證評審，并根據(jù)論證評審意見完善規(guī)劃方案。分析山東省大數(shù)據(jù)中心網(wǎng)絡(luò)安全現(xiàn)狀與目標之間的差距，確定網(wǎng)絡(luò)安全建設(shè)內(nèi)容，參照等級保護2.0、密碼應(yīng)用安全等要求，設(shè)計網(wǎng)絡(luò)安全總體框架。對網(wǎng)絡(luò)安全建設(shè)目標和任務(wù)進行階段劃分，制定分段的建設(shè)計劃，明確當(dāng)前階段重點建設(shè)內(nèi)容，急需解決的安全問題以及需要具備的網(wǎng)絡(luò)安全能力，設(shè)計對應(yīng)的解決方案。1.7.1.2安全專家咨詢服務(wù)提供關(guān)于安全管理制度體系建設(shè)、安全事件、漏洞詳情分析、攻防核心技術(shù)、前沿領(lǐng)域安全技術(shù)、交叉領(lǐng)域安全技術(shù)等咨詢服務(wù)。1.7.2服務(wù)隊伍網(wǎng)絡(luò)安全專家及咨詢顧問。1.7.3交付物山東省大數(shù)據(jù)中心網(wǎng)絡(luò)安全規(guī)劃方案安全專家咨詢記錄1.8網(wǎng)絡(luò)安全綜合管理服務(wù)1.8.1服務(wù)內(nèi)容通過技術(shù)工具（平臺）對大數(shù)據(jù)中心網(wǎng)絡(luò)安全工作涉及的制度、資產(chǎn)、漏洞、補丁、預(yù)警、情報、事件、知識等提供歸檔、分類整理、統(tǒng)計、分析、報表、展示、消息通知等服務(wù)。將制定的安全管理制度進行統(tǒng)一匯總管理，標記該文件的版本、印發(fā)時間、適用范圍等信息，并將該制度對應(yīng)的內(nèi)部檢查或風(fēng)險評估中發(fā)現(xiàn)的情況進行關(guān)聯(lián)記錄。對網(wǎng)絡(luò)安全資產(chǎn)全生命周期跟蹤管理，能夠展示資產(chǎn)相關(guān)信息，包括硬件資產(chǎn)、軟件資產(chǎn)等信息，與技術(shù)工具輸出的資產(chǎn)發(fā)現(xiàn)、漏洞掃描結(jié)果和配置核查管理結(jié)果關(guān)聯(lián)起來記錄和跟蹤變化，把資產(chǎn)管理和脆弱性管理結(jié)合起來，以安全管理視角了解安全資產(chǎn)情況，控制安全風(fēng)險。通過識別和定義資產(chǎn)之間的關(guān)系，并與大數(shù)據(jù)中心的組織管理、業(yè)務(wù)情況相結(jié)合，從而實現(xiàn)基于組織和業(yè)務(wù)的宏觀管理和分析，能夠在網(wǎng)絡(luò)空間內(nèi)精確定位到資產(chǎn)，并能夠落實到資產(chǎn)管理的人員。觸發(fā)安全事件或日常作業(yè)變更時可以輸出受影響的資產(chǎn)范圍和風(fēng)險說明并以消息通知相關(guān)責(zé)任人。匯總分析漏洞檢測和風(fēng)險評估的漏洞數(shù)據(jù)，并對漏洞狀態(tài)進行持續(xù)跟蹤，對已經(jīng)修復(fù)的漏洞進行確認。提高漏洞檢測、漏洞數(shù)據(jù)管理、漏洞運維各個環(huán)節(jié)的自動化程度，提高漏洞管理和運維工作效率，降低工作難度和成本。記錄安全配置操作，包括建立安全資產(chǎn)及資產(chǎn)的安全配置狀態(tài)變化，建立操作日志。建立安全知識庫，對不同類型的安全知識進行分類，將問題和事件的分析處置過程全部納入知識庫，提高問題研判和事件處置效率。業(yè)務(wù)上線、上級或監(jiān)管通報的安全風(fēng)險進行及時的消息通知，對整改過程和結(jié)果進行跟蹤和確認，并記錄相關(guān)信息，為軟件開發(fā)商及服務(wù)商的安全能力評價提供數(shù)據(jù)依據(jù)。對于資產(chǎn)變化、漏洞、安全事件，上級通報等信息，應(yīng)及時有效的通知相關(guān)的責(zé)任人，通知方式應(yīng)包括但不限于書面現(xiàn)場通知、電話、郵件、短信、微信等。1.8.2服務(wù)隊伍一線現(xiàn)場工程師，二線三線應(yīng)安全服務(wù)工程師、網(wǎng)絡(luò)安全專家及咨詢顧問。1.8.3交付物包括但不限于如下：安全配置操作日志資產(chǎn)漏洞跟蹤記錄表安全事件跟蹤記錄表安全制度體系運行響應(yīng)記錄安全整改響應(yīng)記錄表消息通知記錄表定期（周、月、季、年）安全服務(wù)數(shù)據(jù)統(tǒng)計報表1.9個人信息安全合規(guī)評估服務(wù)1.9.1服務(wù)內(nèi)容開展山東省大數(shù)據(jù)中心統(tǒng)建信息系統(tǒng)（含APP）的個人信息安全合規(guī)評估服務(wù)，保護個人信息安全。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《個人信息保護法》、《GB/T35273-2020-信息安全技術(shù)個人信息安全規(guī)范》等法律法規(guī)，對信息系統(tǒng)、移動應(yīng)用程序及使用的第三方SDK進行收集使用個人信息行為的合規(guī)評估。序號排查項檢測要點一、隱私政策文本1評估項1:隱私政策的獨立性、易讀性是否有隱私政策2是否有兒童個人信息保護規(guī)則3隱私政策是否單獨成文4隱私政策是否易于訪問5隱私政策是否易于閱讀6評估項2:清晰說明各項業(yè)務(wù)功能及所收集個人信息類型是否明示收集個人信息的業(yè)務(wù)功能7業(yè)務(wù)功能與所收集的個人信息類型是否一一對應(yīng)8是否明示各項業(yè)務(wù)功能所收集的個人信息類型9是否以改善功能、優(yōu)化體驗等為由收集個人信息10是否顯著標識個人敏感信息類型11評估項3:清晰說明個人信息處理規(guī)則及用戶權(quán)益保障信息系統(tǒng)運營者的基本情況12個人信息存儲和超期處理方式13強制定向推送信息14顯著區(qū)分定向推送服務(wù)15個人信息出境情況16個人信息安全保護措施和能力17對外共享、轉(zhuǎn)讓、公開披露個人信息規(guī)則18用戶權(quán)利保障機制19征得授權(quán)同意的例外20個人信息的展示限制21用戶申訴渠道和反饋機制22隱私政策時效23隱私政策更新24評估項4:不應(yīng)在隱私政策等文件中設(shè)置不合理條款隱私政策等文件是否存在免責(zé)等不合理條款二、收集使用個人信息行為25評估項5:收集個人信息應(yīng)明示收集目的、方式、范圍是否同步告知申請打開個人信息權(quán)限目的26是否同步告知申請?zhí)峁﹤€人敏感信息的目的27若使用Cookie及其同類技術(shù)收集個人信息，是否向用戶明示28若存在嵌入第三方代碼插件收集個人信息的功能，是否向用戶明示29是否欺騙誤導(dǎo)用戶下載APP30應(yīng)用分發(fā)平臺上的APP信息是否明示不到位31應(yīng)用分發(fā)平臺管理責(zé)任落實不到位32評估項6:收集使用個人信息應(yīng)經(jīng)用戶自主選擇同意，不應(yīng)存在強制捆綁授權(quán)行為以默認選擇同意隱私政策等非明示方式征求用戶同意33征得用戶同意前就開始收集個人信息或打開可收集個人信息的權(quán)限34是否存在將多項業(yè)務(wù)功能和權(quán)限打包，要求用戶一攬子接受的情況。35是否存在過度聲明權(quán)限的情形36前臺收集個人信息的頻度等超出業(yè)務(wù)功能實際需要37后臺收集個人信息的頻度等超出業(yè)務(wù)功能實際需要38是否未征得用戶同意讀取剪切板39是否存在不給權(quán)限不讓用40APP頻繁自啟動和關(guān)聯(lián)啟動41私自截留第三方應(yīng)用收集的個人信息42是否以不正當(dāng)方式誤導(dǎo)用戶同意收集個人信息43廣告關(guān)閉選項找不到、關(guān)不掉44評估項7:收集個人信息應(yīng)滿足必要性要求實際收集的個人信息類型是否超出隱私政策所述范圍45收集與業(yè)務(wù)功能有關(guān)的非必要信息，是否經(jīng)用戶自主選擇同意46是否在用戶明確對于用戶明確拒絕后繼續(xù)索要權(quán)限、打擾用戶47是否拒絕提供非服務(wù)所必需的個人信息時，影響用戶使用48是否收集與業(yè)務(wù)功能無關(guān)的個人信息49App更新是否更改系統(tǒng)權(quán)限設(shè)置三、運營者對用戶權(quán)利的保障50評估項8:支持用戶注銷賬號、更正或刪除個人信息是否支持用戶注銷賬號51是否支持用戶查詢、更正或刪除個人信息52評估項9:及時反饋用戶申訴是否及時反饋用戶申訴1.9.2服務(wù)對象抽查指定系統(tǒng)。1.9.3服務(wù)頻次每年開展兩次個人信息安全合規(guī)評估服務(wù)。1.9.4服務(wù)隊伍二線三線滲透工程師及網(wǎng)絡(luò)安全專家。1.9.5交付物個人信息安全合規(guī)評估報告1.10滲透