项目基本信息
需求描述：

一、项目目标 按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《重庆市数据条例》等法律法规要求，以涉及南岸区政务数据的网络、业务系统、大数据平台等基础设施为重点检查对象，采取自查排查、远程技术检测和现场重点抽查相结合的方式，摸排南岸区政务数据安全保护状况，梳理、排查政务数据安全风险，督促整改政务数据安全漏洞隐患、风险和突出问题，提升数据安全防护意识和防护水平，压实数据安全责任，严防数据安全事件发生，全力做好数据安全保障工作。 二、检查内容 检查内容包含安全管理和技术防护两个方面。 （一）安全管理检查 1.数据安全管理情况。包含数据安全管理制度建立与落实情况，数据安全管理责任落实情况，数据资产分级分类管理情况，数据安全经费保障情况，数据安全培训宣传情况。 2.数据安全保护措施。操作权限管理、日志记录和安全审计、数据加密、数据脱敏、访问控制、数据安全监测、数据境内存储、数据容灾备份、数据出境安全评估等数据安全保护措施建立和落实情况。 3.数据合规性。对照《重庆市政务资源管理暂行办法》《重庆市公共数据开放管理暂行办法》，检查单位开展政务数据（公共数据）共享、开放的合规性。 4.对外合作安全管理。外部合作方（如第三方开发、运维企业）合同约束、信用管理、能力评估、关键岗位人员安全背景审查、运维人员背景调查和稳定性评估机制等情况。 5.数据基础设施安全防护。包括安全防护能力、安全策略配置及有效性、安全漏洞检测和修复、恶意代码检测能力、网络安全等级保护制度落实情况等。 6.数据安全应急处置。重点检查数据安全事件应急预案的制定以及应急演练情况，数据安全应急技术支撑队伍建设情况，重大数据安全事件处置、监测预警信息上报共享情况。 （二）技术方面检查 1.渗透测试。通过模拟黑客的攻击方法远程对系统和网络进行非破坏性质的安全检测，发现、验证潜在的网络安全风险，包括应用程序漏洞、系统配置漏洞、身份鉴别漏洞、会话漏洞、恶意代码等。 2.漏洞扫描。针对已知漏洞的检测，根据已公布的CVE、CNNVD漏洞库，对网络和系统的安全脆弱性进行检测，及时发现可利用漏洞，检测对象包括网络、主机、数据库等。 3.安全核查。安全技术人员开展安全技术检查，包括身份鉴别、访问控制、数据加密、数据脱敏、数据导入导出、数据防泄漏、安全审计管理策略，用户口令长度、口令生存周期、口令复杂度等口令管理策略，网络安全防护措施、病毒库有效性、网络和系统的访问控制策略核查等。 三、检查方式 （一）远程技术检查。乙方对甲方抽取的大数据重要信息基础设施、互联网数据库系统及其他重要上云信息系统，开展远程安全技术检查，并协助指导责任单位进行整改和安全加固。 （二）现场重点抽查。乙方对甲方抽取的重要云长单位，综合采用人员访谈、文档查阅、上机查看及技术设备检查分析等方式，检查对被抽取单位的数据安全管理、人员安全管理、网络安全保护、应急预案和演练等数据安全保护工作开展情况；对数据安全过程维度进行评估，诊断存在的数据安全风险；现场开展对网络和业务系统的安全漏洞排查工作，通过技术手段记录相关证据和检查过程，为信息系统的安全加固和安全整改提供指导建议。 四、工作要求 （一）检查工作乙方需签订保密承诺，检查工作有关内容及数据未经甲方同意不得对外发布或用于其他用途。 （二）检查工作实施期间的所有工作安排由甲方统一部署，乙方应严格按时间节点要求完成既定任务。 2022年8月31日前，完成远程技术检查； 2022年9月20日前，完成现场检查工作； 2022年9月30日前，完成《2022南岸区政务数据安全检查总结报告》。 （三）以上工作要求如因客观因素或不可抗原因未能如期开展或完成，由乙方申请，甲方确认同意，可变更。

五、验收标准、方法： （一）验收组织单位：重庆市南岸区大数据应用发展管理局。 （二）验收标准：甲方按照国家及行业相关标准和本合同约定对乙方完成情况进行验收。如验收达不到相关规定要求的，乙方应立即进行整改，整改后仍不合格的，则视为验收不合格，甲方有权立即终止合同。由此对甲方造成一定的损失，乙方应承担一切责任，并赔偿所造成的损失。

预算金额：20000元
采购编号：10489929
采购人信息
重庆市南岸区大数据应用发展管理局

详情请访问原网页！