廣東省省級政務信息化（2024年第一批）項目需求-廣東省數(shù)字政府網絡安全公共支撐（2024年）項目之省數(shù)字政府密碼應用支撐業(yè)務運營服務

-1-省數(shù)字政府網絡安全公共支撐（2024年）項目之省數(shù)字政府密碼應用支撐業(yè)務運營服務采購需求項目概況基本信息項目名稱省數(shù)字政府網絡安全公共支撐（2024年）項目之省數(shù)字政府密碼應用支撐業(yè)務運營服務。采購人和用戶單位廣東省政務服務和數(shù)據管理局。項目總體目標基于廣東省政務外網建設商用密碼資源池，可為提升政務領域相關業(yè)務系統(tǒng)的安全性提供了更高的保障能力，同時在全國范圍內具有一定的引領作用。本項目將對密碼資源池進行精細化管理，從資源申請、使用、撤銷等環(huán)節(jié)進行全面管控，提高密碼資源利用率和使用效率，提升密碼服務能力和運營管理能力，持續(xù)推動廣東省數(shù)字政府商用密碼應用。服務地點廣東省政務服務和數(shù)據管理局指定地點。項目背景中央辦公廳、國務院辦公廳先后印發(fā)通知，分別就金融和重要領域密碼應用作出部署，《網絡安全法》《關鍵信息基礎設施安全保護條例》《網絡安全等級保護條例》等都突出了密碼應用監(jiān)管，《政務信息系統(tǒng)政府采購管理暫行辦法》等部門規(guī)章強化了同步規(guī)劃、同步建設、同步運行密碼保障系統(tǒng)的重要性。依據《關于加強重要領域密碼應用的指導意見》（中辦、國辦〔2015〕4號）、《廣東省金融和重要領域密碼應用與創(chuàng)新發(fā)展實施方案》（粵廳字〔2019〕60號）相關要求，政務云屬于商用密碼應用重點，政務外網區(qū)屬于重要信息系統(tǒng)承載區(qū)域，需要根據《信息安全技術信息系統(tǒng)密碼應用基本要求》，采取相關密碼應用的防護措施。根據“粵廳字〔2019〕60號”精神，我省應在電子政務領域加大商用密碼應用力度，建立密碼支撐體系，充分發(fā)揮密碼支撐保障作用，優(yōu)化密碼產業(yè)生態(tài)，形成創(chuàng)新性產業(yè)集群，推動密碼創(chuàng)新發(fā)展，促進密碼與重大戰(zhàn)略和新技術應用深度融合。項目預算本項目總預算為221.98萬元。服務期限本項目服務期限12個月，服務起始時間為采購人確認的服務啟動報審備案之日。服務內容系統(tǒng)業(yè)務運營服務業(yè)務管理運營服務中標人應結合省密碼資源池試點運營經驗和新增運營需求為采購人提供業(yè)務管理運營服務，詳細如下：密碼運營服務臺服務統(tǒng)一集中受理，提供7×24運營響應服務，響應渠道包含電話、IM在線、郵件等方式。主要包含問題管理、知識庫管理、服務質量報告、SLA跟蹤督辦等?？蓪崿F(xiàn)受理包括省直廳局用戶、第三方運營商或廠家技術人員、公司內部員工等不同人員的咨詢問題，有效實現(xiàn)“不漏接，不錯派”密碼應用支撐服務。針對密碼資源池各類密碼基礎設施資源問題、密碼應用支撐服務問題等，定義標準化服務標準，提供快速的分類及轉派，提高響應效率和處理效率。服務內容（1）工單管理進行需求對接，按照工單時間完成，資源充足的情況下密碼應用支撐服務在派單后三個工作日內完成交付，若未按照相關要求交付，根據實際結算扣除密碼應用支撐運營服務費用。統(tǒng)一服務入口，所有故障均全部記錄，并根據既定的服務流程及SLA，實現(xiàn)二三線人員任務分配。（2）服務流程狀態(tài)管理服務臺能夠提供密碼應用支撐服務流程咨詢與解答、密碼應用支撐服務狀態(tài)查詢、故障狀態(tài)分派及跟進等服務分類，提升服務臺的一線處理率和解決率，過濾常態(tài)化的一線問題，提升用戶滿意度。（3）故障閉環(huán)管理根據不同的服務分類及標準，設置不同服務等級和解決SLA，服務臺及時與二三線技術人員進行定期跟進解決進展，針對重大問題或突發(fā)問題進行技術升級和匯報升級，確保每個問題得到有效處理，并作為對外服務的統(tǒng)一接口進行匯報，從而實現(xiàn)服務閉環(huán)解決，提升解決率和滿意度。（4）服務質量報告定期輸出相關的服務質量報告，從多維度包括密碼應用支撐服務不同的服務范圍、服務分類、服務方式、故障等級、解決方案等方面進行分析和總結，梳理出相關的服務指標可包含資源使用率、服務時效及趨勢發(fā)展、分析潛在的問題及可改進及優(yōu)化的服務事項等，以提升總體的服務質量。5、知識庫管理針對相關服務的知識進行有序化管理，及時進行知識收集和整理，包括相關的密碼資源使用操作指引、運維處理流程、常見問題答疑、解決方案等，及相關廠家及技術人員名錄等，并根據一定的方法進行分類保存，并提供檢索手段，提升服務臺人員的解決效率，并加快客戶和用戶獲取信息的速度。交付物服務期滿后，交付密碼運營服務臺服務總結報告。密碼資源管理運營服務通過標準化和精細化的密碼應用支撐能力管理和應用服務運營，密鑰管理支撐服務保障廣東數(shù)字政府密碼應用合規(guī)、便捷、高效。密碼資源容量、分配管理服務服務內容需提供密碼資源容量、分配管理服務，包括制定密碼應用服務說明及密碼資源池對接操作指引、資源申請及撤銷管理服務、資源擴容管理服務和日常運營工單管理服務（非資源申請類）。交付物服務期滿后，交付密碼應用服務說明及密碼資源池對接操作指引、廣東數(shù)字政府密碼資源池資源停止分配閾值（修訂版）。密鑰管理支撐服務服務內容（1）優(yōu)化統(tǒng)一密鑰管理策略密鑰管理是密碼系統(tǒng)安全的基礎，需針對密鑰管理制定統(tǒng)一的密鑰管理策略，加強內控管理和安全審計。（2）優(yōu)化密鑰管理操作規(guī)范，提供操作指導根據《GB/T39786-2021信息安全技術信息系統(tǒng)密碼應用基本要求》要求，結合已有的密鑰管理制度和實際使用情況，優(yōu)化優(yōu)化密鑰管理操作規(guī)范，提供操作指導，持續(xù)加強密鑰產生、密鑰分發(fā)、密鑰存儲、密鑰使用、密鑰更新、密鑰歸檔、密鑰備份、密鑰恢復、密鑰銷毀等密鑰生命周期管理和操作。（3）密鑰管理異常操作監(jiān)測預警通過密碼服務中間件和密碼服務運營管理平臺，進行密鑰管理異常操作監(jiān)測預警，保障密鑰管理策略落地執(zhí)行。交付物服務期滿后，交付廣東數(shù)字政府密碼應用支撐服務密鑰管理策略（修訂版）。密碼資源池服務能力檢測服務服務內容需提供密碼資源池服務能力檢測服務，密碼資源池日常運行中，對30項密碼服務進行服務能力檢測，以保障服務質量。在服務期內開展一次實施檢測，提交檢測報告。交付物服務期滿后，中標人需提供省數(shù)字政府密碼資源池服務能力檢測報告。密碼支撐服務保障開展密碼支撐服務保障，滿足《GB/T39786-2021信息安全技術信息系統(tǒng)密碼應用基本要求》。密碼支撐服務保障包括密碼培訓服務、密碼應用安全管理制度完善服務和定期開展密碼攻防對抗演習等。服務內容1、密碼培訓服務根據最新密碼政策以及監(jiān)管要求，制定培訓方案和培訓手冊，對密碼上崗人員進行崗前崗中培訓。2、密碼應用安全管理制度完善服務根據3個機房的密碼基礎設施建設情況，完善密碼產品管理制度、密鑰管理制度等密碼應用安全管理制度。3、密碼攻防對抗演習定期根據密碼服務內容，制定密碼攻防對抗演習方案，并根據方案實施演習，根據演習結果進行總結，調整相應的管理制度、服務內容、考核指標等。交付物服務期滿后，交付密碼應用支撐服務培訓方案、密碼攻防對抗演習總結報告。密碼重點保障服務針對重要政治活動、重點時期、重要應用系統(tǒng)上線等敏感時間節(jié)點，為省數(shù)字政府密碼資源池建立密碼重保機制，包括事前的重保組織建立、重保資產梳理和方案編制、重保風險排查與加固整改，事中的重保值守監(jiān)測、重保風險處置、重保事件響應，事后的重保總結分析，為后續(xù)持續(xù)的運營提高密碼保障能力。服務內容密碼重保組織建立、重保資產梳理和重保方案制定服務中標人需建立重保組織架構，明確相應的責任人，與相應的單位、業(yè)務組、外部專家組進行溝通確認，明確各方工作職責。中標人需梳理重保資產，需對重保的目標對象要有清晰的認識。中標人需制定重保方案，梳理歷史重保風險，形成重保檢查工作列表，制定重保方案，并進行重保工作模擬驗證。密碼重保風險排查與加固整改服務中標人需開展歷史重保風險梳理、重保資產主機梳理、資源情況監(jiān)控等事前風險自查和整改加固的工作。密碼重保值守監(jiān)測服務進入重保環(huán)節(jié)階段后，中標人需提供7×24小時監(jiān)控，監(jiān)控范圍會覆蓋關鍵設備或系統(tǒng)狀態(tài)監(jiān)測、資源情況監(jiān)測、重要數(shù)據檢查及備份。密碼重保風險處置服務中標人針對監(jiān)測到的密碼事件，判斷類型和等級，需開展重保密碼保障情況早、晚播報，確保密碼保障情況及時通達各保障單位，保證信息有效同步。密碼事件響應服務在進入重保環(huán)節(jié)階段后，中標人需保障7×24小時隨時響應可能發(fā)生的密碼事件，應急處置主要分為兩部分，需要同步開展，分別是密碼事件應急匯報及密碼事件應急響應。交付物服務期滿后，中標人需提供密碼重點保障服務的重要時期密碼保障方案、重保日報、密碼重?？偨Y報告。服務要求管理要求服務人員投標人須書面承諾，如在項目實際執(zhí)行過程中發(fā)生項目經理不能按采購文件要求勝任相關工作的，采購人有權要求更換項目經理，中標人須在兩周內調整為符合采購文件要求且能勝任相關工作的項目經理并到位開展工作，否則采購人有權終止合同并報相關管理部門進行處理。中標人承諾的項目經理和開發(fā)實施的主要人員未經用戶同意不得調整；中標人如中途更換項目經理和主要開發(fā)技術人員，應征得用戶同意，否則采購人有權終止合同。服務商應指派團隊為本項目提供專業(yè)服務，服務團隊成員不得少于7人。項目經理應具備3年以上工作經驗。如須調整服務團隊成員，須書面向采購人提出申請，說明申請理由，經采購人書面同意方可調整團隊人員，調入人員的資歷和從業(yè)經驗不低于調出人員，否則視為違約行為，采購人有權終止服務合同。進度要求本項目服務周期為12個月。組織實施要求為使項目按質、按量、按時及有序實施，中標人應建立完善、穩(wěn)定的項目團隊、內部組織管理方式及管理機構、協(xié)調機制、技術基礎，支撐保障要求及其他相關要求。在項目日常管理和條件保障方面，從行政組織、后勤保障和支撐條件各方面創(chuàng)造良好的服務環(huán)境，確保項目的順利實施。文檔管理要求中標人應在項目完成時，將本項目所有文檔、資料匯集成冊交付給采購人，所有文件要求用中文書寫或有完整的中文注釋。驗收后，中標人按國家、省以及采購人檔案管理要求，向采購人提供裝訂成冊的紙質文檔至少1套，電子文檔1套。質量保證要求為保證本項目能按時高質的順利完成，規(guī)避項目風險或將風險降至最低，投標人應建立項目質量管理體系，包括但不限于質量目標、崗位責任、問題處理計劃、質量評價等內容。驗收標準項目驗收按照采購人項目驗收的有關規(guī)定執(zhí)行。項目驗收的具體組織工作由項目采購人承擔。本項目的驗收應符合采購人相關驗收管理辦法的要求，同時應遵循下列標準：1）實現(xiàn)合同和根據招標文件所編寫的投標文件中列舉的全部內容。2）項目驗收包括按照合同和根據招標文件所編寫的投標文件中相關的技術文檔、培訓教材、使用說明書及采購人項目相關驗收管理辦法所要求的全部文檔。其他要求標準規(guī)范要求需遵循的政策法規(guī)（1）《中華人民共和國密碼法》；（2）《中華人民共和國數(shù)據安全法》；（3）《中華人民共和國個人信息保護法》；（4）《廣東省省級政務信息化項目管理辦法》（粵府辦〔2020〕9號）；（5）《廣東省人民政府辦公廳關于修訂<廣東省省級政務信息化項目管理辦法>部分內容的通知》（粵府辦〔2021〕211號）；（6）《廣東省省級政務信息化項目立項審批細則》（粵政數(shù)〔2021〕12號）；（7）《廣東省省級政務信息化項目驗收前符合性審查細則》（粵政數(shù)〔2020〕13號）；（8）《廣東省省級政務信息化項目商用密碼應用工作指引》（2021年修訂版，粵密碼協(xié)調組〔2021〕4號）。需遵循的標準規(guī)范（1）GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》；（2）GB/T39786《信息安全技術信息系統(tǒng)密碼應用基本要求》；（3）GB/T36968-2016《信息安全技術IPSecVPN技術規(guī)范》；（4）GB/T37092-2018《信息安全技術密碼模塊安全技術要求》；（5）GB/T38540-2020《信息安全技術安全電子簽章密碼技術規(guī)范》；（6）GB/T38629-2020《信息安全技術簽名驗簽服務器技術規(guī)范》；（7）GM/T0024-2014《SSLVPN技術規(guī)范》；（8）GM/T0030-2014《服務器密碼機技術規(guī)范》；（9）GM/T0033-2014《時間戳接口規(guī)范》；（10）GM/T0051-2016《密碼設備管理對稱密鑰管理技術規(guī)范》；（11）GM/T0057-2018《基于IBC技術的身份鑒別規(guī)范》；（12）GM/T0067-2019《基于數(shù)字證書的身份鑒別接口規(guī)范》；（13）GM/T0086-2020《基于SM9標識密碼算法的密鑰管理系統(tǒng)技術規(guī)范》。服務響應要求（1）服務方式包括：電話服務、遠程服務和現(xiàn)場服務等。（2）系統(tǒng)運行維護：提供7×24小時響應服務（包括現(xiàn)場服務、緊急事件響應、系統(tǒng)升級等），出現(xiàn)故障時，快速受理服務請求，根據不同的故障等級在不同時間內進行響應，對于遠程或電話無法解決的問題，安排技術人員現(xiàn)場處理，重大故障提供故障分析報告，保證廣州市內2小時內到達現(xiàn)場解決重大系統(tǒng)故障。資產權屬1.本項目不會引起任何已申請、登記的知識產權所有權的轉移。2.中標人、采購人雙方一致同意，本項目所涉服務成果的知識產權歸屬按下列第（3）種方式處理：（1）投標人負責開發(fā)軟件服務，包括代碼編寫、調試、測試等開發(fā)工作，投標人為履行本合同義務所形成的服務成果的知識產權歸采購人單獨所有。（2）投標人負責提供定制軟件租賃服務，采購人基于本合同約定委托投標人定制開發(fā)的產品、程序、服務等的知識產權歸甲、投標人共同所有，投標人應按采購人書面要求交付該共有部分的源代碼；投標人在共有部分的基礎上進行二次開發(fā)的及對二次開發(fā)形成的產品、程序等財產進行處置的，需經采購人書面同意，二次開發(fā)所形成的產品、程序、服務等的知識產權歸開發(fā)者所有，共有部分仍歸甲、投標人共同所有。投標人根據采購人授權，利用項目成果申請的商標、專利或輸出的圖片、視頻等受知識產權保護的成果物，采購人有權無條件永久使用。（3）投標人負責提供運營服務或成品軟件租賃服務，投標人為履行本合同義務所形成的所有服務成果的知識產權（除成品軟件開發(fā)涉及的知識產權）歸采購人單獨所有。（4）本項目僅包含基礎設施服務租用或運維服務，不涉及知識產權權屬轉移。3.本項目所涉及的數(shù)據所有權歸政府所有。中標人只能用于履行本項目之義務。4.中標人提供的相關軟件應是自行開發(fā)的產品或具備合法、合規(guī)授權，滿足知識產權、安全等保三級等方面的有關規(guī)定和要求。5.中標人保證向采購人提供的服務成果是其獨立實施完成，不存在任何侵犯第三方專利權、商標權、著作權等合法權益。如因中標人提供的服務成果侵犯任何第三方的合法權益，導致該第三方追究采購人責任的，中標人應負責解決并賠償因此給采購人造成的全部損失。保密要求1.中標人應簽訂保密協(xié)議，對其因身份、職務、職業(yè)或技術關系而知悉的采購人商業(yè)秘密和黨政機關保密信息應嚴格保守，保證不被披露或使用，包括意外或過失。2.中標人不得以競爭為目的、或出于私利、或為第三人謀利而擅自保存、披露、使用采購人商業(yè)秘密和黨政機關保密信息；不得直接或間接地向無關人員泄露采購人的商業(yè)秘密和黨政機關保密信息；不得向不承擔保密義務的任何第三人披露采購人的商業(yè)秘密和黨政機關保密信息。中標人在從事政府項目時，不得擅自記錄、復制、拍攝、摘抄、收藏在工作中涉及的保密信息，嚴禁將涉及政府項目的任何資料、數(shù)據透露或以其他方