广东省省级政务信息化（2024年第一批）项目需求-广东省数字政府网络安全公共支撑（2024年）项目之省数字政府密码应用支撑业务运营服务

-1-省数字政府网络安全公共支撑（2024年）项目之省数字政府密码应用支撑业务运营服务采购需求项目概况基本信息项目名称省数字政府网络安全公共支撑（2024年）项目之省数字政府密码应用支撑业务运营服务。采购人和用户单位广东省政务服务和数据管理局。项目总体目标基于广东省政务外网建设商用密码资源池，可为提升政务领域相关业务系统的安全性提供了更高的保障能力，同时在全国范围内具有一定的引领作用。本项目将对密码资源池进行精细化管理，从资源申请、使用、撤销等环节进行全面管控，提高密码资源利用率和使用效率，提升密码服务能力和运营管理能力，持续推动广东省数字政府商用密码应用。服务地点广东省政务服务和数据管理局指定地点。项目背景中央办公厅、国务院办公厅先后印发通知，分别就金融和重要领域密码应用作出部署，《网络安全法》《关键信息基础设施安全保护条例》《网络安全等级保护条例》等都突出了密码应用监管，《政务信息系统政府采购管理暂行办法》等部门规章强化了同步规划、同步建设、同步运行密码保障系统的重要性。依据《关于加强重要领域密码应用的指导意见》（中办、国办〔2015〕4号）、《广东省金融和重要领域密码应用与创新发展实施方案》（粤厅字〔2019〕60号）相关要求，政务云属于商用密码应用重点，政务外网区属于重要信息系统承载区域，需要根据《信息安全技术信息系统密码应用基本要求》，采取相关密码应用的防护措施。根据“粤厅字〔2019〕60号”精神，我省应在电子政务领域加大商用密码应用力度，建立密码支撑体系，充分发挥密码支撑保障作用，优化密码产业生态，形成创新性产业集群，推动密码创新发展，促进密码与重大战略和新技术应用深度融合。项目预算本项目总预算为221.98万元。服务期限本项目服务期限12个月，服务起始时间为采购人确认的服务启动报审备案之日。服务内容系统业务运营服务业务管理运营服务中标人应结合省密码资源池试点运营经验和新增运营需求为采购人提供业务管理运营服务，详细如下：密码运营服务台服务统一集中受理，提供7×24运营响应服务，响应渠道包含电话、IM在线、邮件等方式。主要包含问题管理、知识库管理、服务质量报告、SLA跟踪督办等。可实现受理包括省直厅局用户、第三方运营商或厂家技术人员、公司内部员工等不同人员的咨询问题，有效实现“不漏接，不错派”密码应用支撑服务。针对密码资源池各类密码基础设施资源问题、密码应用支撑服务问题等，定义标准化服务标准，提供快速的分类及转派，提高响应效率和处理效率。服务内容（1）工单管理进行需求对接，按照工单时间完成，资源充足的情况下密码应用支撑服务在派单后三个工作日内完成交付，若未按照相关要求交付，根据实际结算扣除密码应用支撑运营服务费用。统一服务入口，所有故障均全部记录，并根据既定的服务流程及SLA，实现二三线人员任务分配。（2）服务流程状态管理服务台能够提供密码应用支撑服务流程咨询与解答、密码应用支撑服务状态查询、故障状态分派及跟进等服务分类，提升服务台的一线处理率和解决率，过滤常态化的一线问题，提升用户满意度。（3）故障闭环管理根据不同的服务分类及标准，设置不同服务等级和解决SLA，服务台及时与二三线技术人员进行定期跟进解决进展，针对重大问题或突发问题进行技术升级和汇报升级，确保每个问题得到有效处理，并作为对外服务的统一接口进行汇报，从而实现服务闭环解决，提升解决率和满意度。（4）服务质量报告定期输出相关的服务质量报告，从多维度包括密码应用支撑服务不同的服务范围、服务分类、服务方式、故障等级、解决方案等方面进行分析和总结，梳理出相关的服务指标可包含资源使用率、服务时效及趋势发展、分析潜在的问题及可改进及优化的服务事项等，以提升总体的服务质量。5、知识库管理针对相关服务的知识进行有序化管理，及时进行知识收集和整理，包括相关的密码资源使用操作指引、运维处理流程、常见问题答疑、解决方案等，及相关厂家及技术人员名录等，并根据一定的方法进行分类保存，并提供检索手段，提升服务台人员的解决效率，并加快客户和用户获取信息的速度。交付物服务期满后，交付密码运营服务台服务总结报告。密码资源管理运营服务通过标准化和精细化的密码应用支撑能力管理和应用服务运营，密钥管理支撑服务保障广东数字政府密码应用合规、便捷、高效。密码资源容量、分配管理服务服务内容需提供密码资源容量、分配管理服务，包括制定密码应用服务说明及密码资源池对接操作指引、资源申请及撤销管理服务、资源扩容管理服务和日常运营工单管理服务（非资源申请类）。交付物服务期满后，交付密码应用服务说明及密码资源池对接操作指引、广东数字政府密码资源池资源停止分配阈值（修订版）。密钥管理支撑服务服务内容（1）优化统一密钥管理策略密钥管理是密码系统安全的基础，需针对密钥管理制定统一的密钥管理策略，加强内控管理和安全审计。（2）优化密钥管理操作规范，提供操作指导根据《GB/T39786-2021信息安全技术信息系统密码应用基本要求》要求，结合已有的密钥管理制度和实际使用情况，优化优化密钥管理操作规范，提供操作指导，持续加强密钥产生、密钥分发、密钥存储、密钥使用、密钥更新、密钥归档、密钥备份、密钥恢复、密钥销毁等密钥生命周期管理和操作。（3）密钥管理异常操作监测预警通过密码服务中间件和密码服务运营管理平台，进行密钥管理异常操作监测预警，保障密钥管理策略落地执行。交付物服务期满后，交付广东数字政府密码应用支撑服务密钥管理策略（修订版）。密码资源池服务能力检测服务服务内容需提供密码资源池服务能力检测服务，密码资源池日常运行中，对30项密码服务进行服务能力检测，以保障服务质量。在服务期内开展一次实施检测，提交检测报告。交付物服务期满后，中标人需提供省数字政府密码资源池服务能力检测报告。密码支撑服务保障开展密码支撑服务保障，满足《GB/T39786-2021信息安全技术信息系统密码应用基本要求》。密码支撑服务保障包括密码培训服务、密码应用安全管理制度完善服务和定期开展密码攻防对抗演习等。服务内容1、密码培训服务根据最新密码政策以及监管要求，制定培训方案和培训手册，对密码上岗人员进行岗前岗中培训。2、密码应用安全管理制度完善服务根据3个机房的密码基础设施建设情况，完善密码产品管理制度、密钥管理制度等密码应用安全管理制度。3、密码攻防对抗演习定期根据密码服务内容，制定密码攻防对抗演习方案，并根据方案实施演习，根据演习结果进行总结，调整相应的管理制度、服务内容、考核指标等。交付物服务期满后，交付密码应用支撑服务培训方案、密码攻防对抗演习总结报告。密码重点保障服务针对重要政治活动、重点时期、重要应用系统上线等敏感时间节点，为省数字政府密码资源池建立密码重保机制，包括事前的重保组织建立、重保资产梳理和方案编制、重保风险排查与加固整改，事中的重保值守监测、重保风险处置、重保事件响应，事后的重保总结分析，为后续持续的运营提高密码保障能力。服务内容密码重保组织建立、重保资产梳理和重保方案制定服务中标人需建立重保组织架构，明确相应的责任人，与相应的单位、业务组、外部专家组进行沟通确认，明确各方工作职责。中标人需梳理重保资产，需对重保的目标对象要有清晰的认识。中标人需制定重保方案，梳理历史重保风险，形成重保检查工作列表，制定重保方案，并进行重保工作模拟验证。密码重保风险排查与加固整改服务中标人需开展历史重保风险梳理、重保资产主机梳理、资源情况监控等事前风险自查和整改加固的工作。密码重保值守监测服务进入重保环节阶段后，中标人需提供7×24小时监控，监控范围会覆盖关键设备或系统状态监测、资源情况监测、重要数据检查及备份。密码重保风险处置服务中标人针对监测到的密码事件，判断类型和等级，需开展重保密码保障情况早、晚播报，确保密码保障情况及时通达各保障单位，保证信息有效同步。密码事件响应服务在进入重保环节阶段后，中标人需保障7×24小时随时响应可能发生的密码事件，应急处置主要分为两部分，需要同步开展，分别是密码事件应急汇报及密码事件应急响应。交付物服务期满后，中标人需提供密码重点保障服务的重要时期密码保障方案、重保日报、密码重保总结报告。服务要求管理要求服务人员投标人须书面承诺，如在项目实际执行过程中发生项目经理不能按采购文件要求胜任相关工作的，采购人有权要求更换项目经理，中标人须在两周内调整为符合采购文件要求且能胜任相关工作的项目经理并到位开展工作，否则采购人有权终止合同并报相关管理部门进行处理。中标人承诺的项目经理和开发实施的主要人员未经用户同意不得调整；中标人如中途更换项目经理和主要开发技术人员，应征得用户同意，否则采购人有权终止合同。服务商应指派团队为本项目提供专业服务，服务团队成员不得少于7人。项目经理应具备3年以上工作经验。如须调整服务团队成员，须书面向采购人提出申请，说明申请理由，经采购人书面同意方可调整团队人员，调入人员的资历和从业经验不低于调出人员，否则视为违约行为，采购人有权终止服务合同。进度要求本项目服务周期为12个月。组织实施要求为使项目按质、按量、按时及有序实施，中标人应建立完善、稳定的项目团队、内部组织管理方式及管理机构、协调机制、技术基础，支撑保障要求及其他相关要求。在项目日常管理和条件保障方面，从行政组织、后勤保障和支撑条件各方面创造良好的服务环境，确保项目的顺利实施。文档管理要求中标人应在项目完成时，将本项目所有文档、资料汇集成册交付给采购人，所有文件要求用中文书写或有完整的中文注释。验收后，中标人按国家、省以及采购人档案管理要求，向采购人提供装订成册的纸质文档至少1套，电子文档1套。质量保证要求为保证本项目能按时高质的顺利完成，规避项目风险或将风险降至最低，投标人应建立项目质量管理体系，包括但不限于质量目标、岗位责任、问题处理计划、质量评价等内容。验收标准项目验收按照采购人项目验收的有关规定执行。项目验收的具体组织工作由项目采购人承担。本项目的验收应符合采购人相关验收管理办法的要求，同时应遵循下列标准：1）实现合同和根据招标文件所编写的投标文件中列举的全部内容。2）项目验收包括按照合同和根据招标文件所编写的投标文件中相关的技术文档、培训教材、使用说明书及采购人项目相关验收管理办法所要求的全部文档。其他要求标准规范要求需遵循的政策法规（1）《中华人民共和国密码法》；（2）《中华人民共和国数据安全法》；（3）《中华人民共和国个人信息保护法》；（4）《广东省省级政务信息化项目管理办法》（粤府办〔2020〕9号）；（5）《广东省人民政府办公厅关于修订<广东省省级政务信息化项目管理办法>部分内容的通知》（粤府办〔2021〕211号）；（6）《广东省省级政务信息化项目立项审批细则》（粤政数〔2021〕12号）；（7）《广东省省级政务信息化项目验收前符合性审查细则》（粤政数〔2020〕13号）；（8）《广东省省级政务信息化项目商用密码应用工作指引》（2021年修订版，粤密码协调组〔2021〕4号）。需遵循的标准规范（1）GB/T22239-2019《信息安全技术网络安全等级保护基本要求》；（2）GB/T39786《信息安全技术信息系统密码应用基本要求》；（3）GB/T36968-2016《信息安全技术IPSecVPN技术规范》；（4）GB/T37092-2018《信息安全技术密码模块安全技术要求》；（5）GB/T38540-2020《信息安全技术安全电子签章密码技术规范》；（6）GB/T38629-2020《信息安全技术签名验签服务器技术规范》；（7）GM/T0024-2014《SSLVPN技术规范》；（8）GM/T0030-2014《服务器密码机技术规范》；（9）GM/T0033-2014《时间戳接口规范》；（10）GM/T0051-2016《密码设备管理对称密钥管理技术规范》；（11）GM/T0057-2018《基于IBC技术的身份鉴别规范》；（12）GM/T0067-2019《基于数字证书的身份鉴别接口规范》；（13）GM/T0086-2020《基于SM9标识密码算法的密钥管理系统技术规范》。服务响应要求（1）服务方式包括：电话服务、远程服务和现场服务等。（2）系统运行维护：提供7×24小时响应服务（包括现场服务、紧急事件响应、系统升级等），出现故障时，快速受理服务请求，根据不同的故障等级在不同时间内进行响应，对于远程或电话无法解决的问题，安排技术人员现场处理，重大故障提供故障分析报告，保证广州市内2小时内到达现场解决重大系统故障。资产权属1.本项目不会引起任何已申请、登记的知识产权所有权的转移。2.中标人、采购人双方一致同意，本项目所涉服务成果的知识产权归属按下列第（3）种方式处理：（1）投标人负责开发软件服务，包括代码编写、调试、测试等开发工作，投标人为履行本合同义务所形成的服务成果的知识产权归采购人单独所有。（2）投标人负责提供定制软件租赁服务，采购人基于本合同约定委托投标人定制开发的产品、程序、服务等的知识产权归甲、投标人共同所有，投标人应按采购人书面要求交付该共有部分的源代码；投标人在共有部分的基础上进行二次开发的及对二次开发形成的产品、程序等财产进行处置的，需经采购人书面同意，二次开发所形成的产品、程序、服务等的知识产权归开发者所有，共有部分仍归甲、投标人共同所有。投标人根据采购人授权，利用项目成果申请的商标、专利或输出的图片、视频等受知识产权保护的成果物，采购人有权无条件永久使用。（3）投标人负责提供运营服务或成品软件租赁服务，投标人为履行本合同义务所形成的所有服务成果的知识产权（除成品软件开发涉及的知识产权）归采购人单独所有。（4）本项目仅包含基础设施服务租用或运维服务，不涉及知识产权权属转移。3.本项目所涉及的数据所有权归政府所有。中标人只能用于履行本项目之义务。4.中标人提供的相关软件应是自行开发的产品或具备合法、合规授权，满足知识产权、安全等保三级等方面的有关规定和要求。5.中标人保证向采购人提供的服务成果是其独立实施完成，不存在任何侵犯第三方专利权、商标权、著作权等合法权益。如因中标人提供的服务成果侵犯任何第三方的合法权益，导致该第三方追究采购人责任的，中标人应负责解决并赔偿因此给采购人造成的全部损失。保密要求1.中标人应签订保密协议，对其因身份、职务、职业或技术关系而知悉的采购人商业秘密和党政机关保密信息应严格保守，保证不被披露或使用，包括意外或过失。2.中标人不得以竞争为目的、或出于私利、或为第三人谋利而擅自保存、披露、使用采购人商业秘密和党政机关保密信息；不得直接或间接地向无关人员泄露采购人的商业秘密和党政机关保密信息；不得向不承担保密义务的任何第三人披露采购人的商业秘密和党政机关保密信息。中标人在从事政府项目时，不得擅自记录、复制、拍摄、摘抄、收藏在工作中涉及的保密信息，严禁将涉及政府项目的任何资料、数据透露或以其他方