大数据资源管理中心安全管理平台项目需求

大数据资源管理中心安全管理平台项目需求一、项目概况本项目主要是通过建设信息资产配置管理，为对内安全管理提供数据支撑，建立基于信息资产以风险和漏洞管理为核心的安全运行体系，提升电子政务公共资源安全防护水平。二、技术要求本项目是采购人立项建设的信息基础设施综合运维管理平台的安全管理分平台建设项目，主要是通过建设信息资产配置管理系统，为对内安全管理提供数据支撑，建立基于信息资产以风险和漏洞管理为核心的网络安全运行体系，并通过常态化、实战化的网络安全服务，加强中心信息基础设施和应用平台网络安全检测和风险评估，提升网络安全防护水平，保障采购人电子政务公共资源安全运行，确保不发生重大网络安全事件。本项目服务内容主要包括对内业务管理之信息资产配置管理服务和安全管理服务、运维数据资源池服务、平台工具软件服务以及配套的网络安全服务，详细服务内容和要求如下。（一）服务内容1.综合运维管理服务综合运维管理是采购人立项建设的信息基础设施综合运维管理平台建设的核心模块，通过权限管理实现对整个综合运维管理提供统一应用界面和应用、数据等方面的权限管理配置，重点建设对外服务管理和对内业务管理等两大模块，本项目通过建设对内业务信息资产配置管理，为对内业务安全管理提供数据支撑，建立基于信息资产以风险和漏洞管理为核心的安全运行体系，提升网络安全防护水平。1.1对内业务管理（安全管理）1.1.1安全协同管理：提供针对安全数据的统一接入能力，实现安全数据的汇总与聚合、分析，实现安全工单协同下发与响应处理。具体要求包括：①基于统一数据标准和接口规范，通过对安全数据接入、指令协同进行管理，实现终端和主机安全数据、漏洞风险数据等多种安全数据的统一接入、处理和聚合分析，支撑生成平台级的安全告警，实现网络安全数据层面的协同。②实现指令协同管理面向可视化设计，构建基础的安全的通告、处理、反馈等闭环的运营能力，具备指令管理、基础信息和指令详情展示能力，能查看指令详情、指令进展、待处理指令等信息的详情展示，呈现指令的具体内容信息，具备指令的恢复机制，支持指令的催办策略管理、指令信息的检索以及指令信息的记录及审计。1.1.2主机和终端统一管控：在主机和终端的安全代理客户端基础上，建立统一的主机、终端安全管理控制中心，针对主机和终端在内的核心资产提供同统一安全管控入口，实现采购人主机和终端资产盘点，威胁监测、风险展示。具体要求包括：①能够统计总览风险情况及各类风险数量，通过图表展示受影响主机信息，可以查看或配置，便于用户快速了解风险整体情况。②实现主机风险与威胁分析，展示各个维度的主机风险结果详情，统计并展示服务器的可疑威胁及告警信息，且能够回溯攻击过程，实现入侵取证。③可通过控制中心下发主机策略，批量或单台主机开启防护策略，能够以图表的形式实时监控主机代理安装情况、当前主机的性能，能够实现子账号管理，并可设置某账号管理不同的机器。④支持报表管理，能够创建报表，并对报表任务和报表文件进行管理。⑤支持接口数据调用，可以将现网已经安装主机代理的终端信息进行同步，在管理平台上将终端的告警数据上传到综合运维管理平台。1.1.3漏洞管理：通过建设统一漏洞管理系统，实现漏洞和风险的分析与管理能力，支持漏洞影响面评估，针对主机漏洞、WEB漏洞、弱口令等安全风险进行动态、持续的管理，为网络安全的统一运营提供数据支撑。具体要求包括：①实现信息资产潜在漏洞分析，能够对已纳管资产和漏洞知识库数据的关联分析，能够从资产视角出发，发现并可以查看潜在的漏洞情况。②能够以图形图表化的方式从不同维度对信息资产主机漏洞、WEB漏洞、弱口令等安全风险进行统计和分析以及管理和展示，对确认需要处置的安全风险，可以通过安全协同管理模块，完成处置指令流转和处置管理闭环。③支持配置核查分析，能够查看配置核查标准、核查设备，支持查看核查任务列表，支持对检查后需要整改的检查项结果，可以通过安全协同管理模块，完成整改指令流转和处置管理闭环。④支持历史漏洞库，能够对历史漏洞库进行人工维护，支持对接入漏洞知识库数据与已纳管资产的管理。1.1.4安全事件管理：以事件为中心，以业务为导向，通过根据告警日志信息进行研判和综合分析，从评估审核的角度对当前事件进行审核定性，实现从告警到事件，从事件到业务的安全事件类管理。具体要求包括：①可以对告警信息进行管理，具备告警概览能力，能够以图形图表化的方式展示告警信息，可以对告警信息进行检索、查看和人工维护，具备告警管理和透视能力，可以配置告警展示的过滤规则，能够对告警信息进行研判。②可以对安全事件进行研判与管理，通过内置的分析模型分析日志信息、告警信息，经研判确认安全事件；可以对研判分析的结论进行审核，系统能够支持进行对待处置的事件进行后续处置，实现事件管理闭环；可以自定义添加、删除和导入导出分析模型；可以图形图表化查询、展示和管理安全事件信息。1.1.5数据分类分级管理：通过建设分类分级模板、自动分类分级、辅助、看板等功能，形成数据分类分级的闭环运行。基于分类分级模板，在自动分类分级进行标注，并经过辅助调整，支撑业务数据分类分级准确合规、快速落地。具体要求包括:①可以对数据分类分级规则进行配置，通过创建资产扫描任务定时进行数据资产扫描，可以图形图表的方式展示扫描任务。②可以根据国家和行业标准定义分类分级策略进行数据分类分级，具备内置的国家和行业分类分级模版模版库，支持模板导入功能，并支持对已有的分类分级策略进行操作，可以图形图表的方式展示数据分类分级信息。1.2对内业务管理（信息资产配置管理）通过自动（主动探测、流量分析）、人工（数据导入）手段汇聚采购人管理的各类信息资产，并通过基于标准的统一的资产数据模型将多源异构的数据进行融合，形成以单位、系统、网站、设备、软件、服务、云平台、网络、数据库为主体的网络资产库的管理，包括信息资产统计、信息资产发现审核、信息资产动态管理与资产风险评估。具体要求包括:①具备信息资产统计分析功能。能够统计分析资产管理的总量，可以从信息资产重要程度、归属划分、软硬件类别、网络区域分布等多个维度对信息资产进行统计分析和展示，对发现的信息资产进行审核；可以按照资产类型、检索语句、关键字等不同维度对资产信息进行高频次的快捷检索，可以自定义检索条件，可以图形图表化展示检索结果。②具备信息资产发现审核功能。支持资产发现置信度配置，能够开展对资产扫描任务的检索，支持扫描任务的管理；具备数据源配置管理能力，提供对第三方资产发现设备的对接和管理；具备资产入库记录能力，实现对资产发现设备的扫描结果进行登记管理，具备系统、网站、设备、软件、服务、网络、数据库等多个维度的资产基础信息管理能力，可以实现信息资产不同维度属性之间的关联关系；具备信息资产信息手工创建、导入、删除、变更以及查询的功能，具备资产漏洞信息识别能力，能展示设备资产的潜在漏洞。③具备信息资产动态管理功能。能够根据运营规则进行自动化资产运营，支持新的资产发现数据可对已纳管数据更新；具备资产主动扫描规则管理以及冲突规则解决功能，可以配置资产忽略规则，避免重复资产的发现；具备资产归属管理能力，提供对资产发现的资产和设备的归属信息进行管理，能够显示待处理更新资产、被忽略发现资产。④具备信息资产风险评估功能。支持按照重要性、防护能力、脆弱性、威胁性四个维度进行资产风险评估，支持具体指标参数配置；具备风险评估模型管理能力，支持查看评估指标的详情，可以对评估任务的管理和监测，可以配置评估模型参数。2.运维数据资源池服务运维资源数据池是平台的数据库，通过安全设备工具采集和汇聚运维风险、信息资产等数据，将传统的线下管理数据进行线上初始化，从而构建成平台的运维数据资源池，为上层综合运维管理提供数据支撑。需要进行运维风险数据、统一信息资产等数据库系统使用的详细需求调研，包括数据库系统数据、功能、性能以及建设所需的计算、存储、网络、安全等资源等方面需求，经评估后形成需求文档。根据需求文档，分别开展运维风险数据、统一信息资产等数据库系统概念结构设计、逻辑结构设计，满足数据库系统高可用性、一致性、读性能、扩展性等要求。2.1运维风险数据。通过将安全设备工具将相关网络安全风险数据汇聚，形成的运维风险数据，从而为对内安全管理业务提供数据支撑。开展主机漏洞、Web漏洞、逻辑漏洞、主机和终端日志、流量日志、API数据等数据记录的需求调研，从模型对象、模型属性、模型关系等方面出发，进行漏洞库表、日志库表、API数据库表的模型设计，形成规范设计文档，完成数据库系统软件安装部署、单机调试、集群联调、高可用性测试以及漏洞数据库、日志数据库、API数据库所有表结构和字段的创建，录入模拟数据开展数据库系统测试、集成测试以及可用性、关联性测试。2.2信息资产数据。针对物理主机、云主机、数据库系统、Web应用、网络设备、安全设备、终端设备等信息资产形成统一的信息资产数据。包括信息资产库模型设计和数据库部署，开展信息资产模型设计需求调研，从模型对象、模型属性、模型关系等方面出发，进行信息系统基本信息、主机信息资产、Web应资产用、信息系统供应链库表模型设计，形成规范设计文档；开展数据库系统软件安装部署、单机调试、集群联调、高可用性测试以及信息资产数据库所有表结构和字段的创建，录入模拟数据开展数据库系统测试、集成测试以及可用性、关联性测试，完成信息资产数据库部署。2.3信息资产数据初始化运营。旨在摸底采购人信息资产家底，将现有纸质版、电子版存储的各类信息资产数据通过导入表格或者录入数据等方式转化为线上管理，完成现有信息资产（超过7000套）数据的收集、整理、校核以及通过信息资产配置管理系统录入数据库。3.平台工具软件服务实现信息资产和安全风险数据的采集与监测，及时获取和掌握最新数据，为上层管理决策等应用提供数据支持，在采购人现有管控平台、工具的基础上，增加资产流量探针、主机代理、威胁检测、API监测等工具。3.1资产流量探针。完成采购人信息资产收集、扫描，建设资产流量探针，可被动接受管理中心定义的资产探针探查的配置和任务策略，并将探查到的资产信息传递给管理中心进行分析处理。具体要求包括：①具备信息资产汇总展示功能，能够自动化完成资产扫描和梳理，并生成完整的资产清单，进行汇总展示。②具备信息资产自动探测功能，可通过自定义配置下发主动探测任务，全面而快速地完成目标网络的资产探测，支持资产信息录入和资产信息编辑修正。③具备信息资产指纹信息功能，内置资产识别特征库，能够进行资产指纹信息识别，支撑资产类别和属性的识别判断，可以通过接口与信息资产配置管理系统进行数据对接。3.2主机代理。实现主机暴露面梳理和持续威胁监测分析，可在第一时间精准发现主机安全威胁及入侵事件，满足等保合规、弱口令及风险账号治理、恶意扫描、文件篡改/泄露、病毒横向扩散等场景，从而实现主机综合防护，夯实信息资产安全能力基础。具体要求包括：①具备行为管理功能，支持服务进程行为监测和网络外连行为检测，并形成日志。②具备流量采集和转发功能，支持对主机配置流量采集和转发策略，通过流量日志汇总到控制端进行统计分析。③具备微隔离功能，支持多种类型的白名单创建和配置功能，可根据需求进行启用或禁用。④具备接口统一调用功能，能够将客户端上的告警信息，传递到后端的主机管理平台，实现统一管理。3.3威胁检测。通过旁路的方式对采购人的网络流量、日志进行完整的采集和检测，结合业务系统的漏洞信息，识别并预测将发生的有效安全事件，提供实时监测、攻击链分析能力。具体要求包括：①具备安全威胁实时监测能力，提供多种维度的安全威胁检测能力，采用固网恶意程序检测引擎、移动恶意程序检测引擎，不依赖规则库即可实现对未知恶意程序检测，支持SSL卸载的加密流量的解密能力。②具备攻击链分析能力，支持攻击链取证功能，可以对攻击行为进行深度分析，将攻击划分为侦查、武器化、载荷投递、漏洞利用、安装植入、命令与控制、目标达成等阶段，可以对全部或按条件搜索的安全事件进行二次聚合分析，可以将威胁事件日志信息和取证文件相互关联。3.4API检测。为采购人建设和管理的各类应用系统安全、数据安全传输提供安全监测能力，防护应用系统API，及时发现针对API的攻击行为，防止数据泄露事件发生。具体要求包括：①具备API资产识别和发现能力，可以根据流量特征自动识别API类型。②具备API资产管理能力，可以图形图表化展示和统计分析API资产，对不同分类API按照所属标签进行分类统计。③具备API攻击检测和威胁事件分析能力，能够根据已知的API漏洞原理和攻击特征检测网络中利用已知API漏洞的攻击行为。④支持异常行为分析，内置行为检测模型，通过业务访问日志以及涉敏日志进行关联分析，可以发现多种类型的API异常访问行为，分析潜在的API安全风险，将风险前置。⑤支持敏感数据检测，具备API数据流转异常及泄露检测能力、敏感数据识别能力，支持多种数据结构特征的敏感数据检测。⑥具备风险API识别和API日志审计能力，对不符合正常行为基线的异常活动进行检测，并结合异常行为关联分析、API敏感传输事件分析，检测并识别风险API，具备API日志审计分析能力，如API日志搜索、标准化以及API事件监视等。4.网络安全服务为保障采购人电子政务公共资源安全运行，确保不发生重大网络安全事件，本项目采购配套的网络安全服务，服务期为合同签订之日起12个月，要求中标人安排人员和自备工具提供现场响应服务。主要包括：4.1漏洞扫描服务。要求自备漏洞扫描工具，为采购人信息资产开展漏洞扫描。4.2渗透测试服务。根据采购人需求，提供人工渗透测试服务，编制渗透测试方案，对采购人指定的信息系统、网站、小程序等公共基础设施和应用平台进行非破坏性质的渗透测试。4.3应急演练服务。根据采购人网络安全应急预案，制定详细的年度综合性网络安全应急演练方案，并协助开展应急演练。4.4重要时期保障服务。在服务期内的重要时期，加强派驻现场人力资源保障，确保业务系统安全运行，避免敏感事件或影响业务的安全事件发生。4.5应急响应支持服务。提供本地化的网络安全事件应急响应支持服务，建立专业技术支撑队伍，建立网络安全事件应急处置咨询机制，为网络安全事件的预防和处置提供技术咨询和决策建议。4.6风险评估服务。根据《信息安全技术信息安全风险评估规范》（GB/T20984-2022）等标准，开展一次年度整体网络安全风险评估，对整体的网络安全状态开展风险排查、摸清风险状况，形成网络安全风险评估报告。4.7安全审计和技术支持服务。根据采购人实际需求，提供安全审计和技术支持服务。4.8安全培训服务。对采购人开展一次全员年度网络和数据安全培训，主要培训内容包括安全办公、个人信息安全、帐户安全等方面的安全常识，数据安全和个人信息保护知识，网络安全应急预案等相关培训内容，对常见的信息安全隐患进行分析、讲解，使员工提高信息安全意识，同时提供大于等于1人次网络安全领域资质培训及考试认证服务。4.9终端和供应链安全检查服务。按照采购人需求，根据上级安全检查、重大保障等工作要求，按需协助甲方做好网络安全检查。（二）服务要求1.系统性能要求。本项目软件开发交付的产品和系统应能稳定高效地处理数据，提供高速高效、实时及时的计算与信息处理能力，不能由于用户连接的增加明显降低系统的响应时间，需满足以下具体性能需求：同时最大在线用户数≥500，最大并发数≥200，交易查询平均响应时间≤2秒，交易执行平均响应时间≤3秒，系统访问交易成功率≥99.9%，信息资产数据库应实现冗余备份设计。2.信息技术应用创新要求。本项目软件开发交付的产品和系统需基于信息技术应用创新操作系统和数据库系统环境进行开发、测试和部署，满足信息技术应用创新适配的有关要求。3.接口和集成要求。本项目软件开发交付的产品和系统是采购人立项建设的信息基础设施综合运维管理平台的安全管理分平台建设项目，需采用低代码、模块化技术进行系统设计和开发，按照采购人信息基础设施综合运维管理平台总体设计，做好本项目软件开发交付的产品和系统的接口设计，提供完整可用的接口规范文档。同时，根据采购人实际需求，无条件配合采购人确定的信息基础设施综合运维管理平台总开发和集成服务商做好系统联调联试，支持本项目软件开发交付的产品和系统与信息基础设施综合运维管理平台的系统集成和测试，支持统一的用户身份认证和权限管理体系。此外，本项目交付的主机代理（主机安全防护）产品需支持与采购人既有云主机安全防护产品的集成，如无法实现既有云主机安全防护产品集成，则需交付与既有云主机安全防护产品完全功能的同类型产品实现系统和产品集成，采购人不再额外支付其他费用。4.兼容性要求。本项目软件开发交付的产品和系统服务端需支持统信、银河麒麟、中标麒麟等操作系统，需支持达梦、金仓等数据库；客户端除需支持统信、银河麒麟、中标麒麟等操作系统外，还需兼容WINDOWS操作系统，兼容360、QQ浏览器以及其他主流浏览器，兼容WPS、PDF、OFD等办公软件。5.网络安全要求。根据《网络安全法》《计算机信息系统安全保护条例》《信息安全等级保护管理办法》等有关法律法规，本项目软件开发交付的产品和系统应用满足《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）有关要求，做好系统网络和数据安全防护，交付的源代码中不得含有损害采购人利益的后门控制程序、病毒程序，通过采购人组织第三方资质机构开展的源代码安全审查，以及通过网络安全等级保护测评。6.密码应用要求。应根据采购人关于信息基础设施综合运维管理平台密码应用方案的有关要求，做好本项目软件开发交付的产品和系统密码应用设计、开发和实施，满足《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）有关要求，通过密码应用安全性评估。7.网络安全服务考核要求。①漏洞扫描工具应确保扫描精确度要求，扫描结果需和等保测评机构扫描结果一致。②自备工具安装部署和使用不得对主机环境产生不良影响；③自备工具应在合同签订后5个工作日内到货并完成部署提供服务，未能按时提供服务的，应根据采购人实际需求，按照单个服务项服务要求满足情况对服务费用进行结算或者在服务期满后按延期时间的3倍提供延长服务。三、服务要求（一）服务期限本项目服务期为合同签订之日起至2025年12月31日，应在中标并签订合同后12个月内完成本项目软件开发交付的产品和系统的设计开发、实施部署、系统自测以及本项目所有服务内容的交付。自项目终验之日起，中标方应为本项目软件开发交付的产品和系统提供为期1年的免费系统技术运维服务。（二）验收要求1.进场核查：中标后应根据采购人要求提前进场，熟悉采购人工作环境和工作内容，编写项目实施计划方案并提交采购人组织第三方监理单位审核。同时，由采购人组织项目监理单位对按照采购人考勤制度派驻现场服务响应人员以及网络安全服务自备工具进行核查，其中现场安全服务响应人员应大于等于3人，认证证书满足招投标文件要求，并通过采购人组织的面试，具备良好的沟通交流和语言表达能力；自备工具需满足招投标文件网络安全服务要求，并通过安全漏洞检测。2.项目初验：本项目进场核查通过后，中标人应组织编写本项目软件开发服务内容的需求规格说明书、详细设计说明书并提交采购人组织第三方监理单位审核，并严格按照详细设计进行系统开发，未经采购人同意，中标人不得随意进行更变。本项目软件开发交付的产品和系统完成设计开发、实施部署以及系统自测后，中标人提交项目初验申请，由采购人组织第三方监理单位按照有关要求开展项目初验。项目完成初验后，采购人出具项目初验报告。3.项目终验：本项目初验通过后，系统开展试运行，时间应大于等于1个月。系统开始试运行后，由采购人组织第三方监理单位对本项目软件开发交付的产品和系统开展检测和评估。检测和评估通过以及本项目所有服务内容的完成交付后，中标人提交项目终验申请，由采购人组织第三方监理单位对项目进行终验，邀请外部专家召开项目验收评审会议，验收评审通过后，出具终验报告。4.项目结算：本项目软件开发交付的产品和系统通过第三方资质机构系统检测后，由采购人委托第三方造价机构对本项目服务内容的进行造价结算审核。若结算审核的金额低于项目合同签订金额，则最终以项目结算审核的金额进行项目合同费用结算；若结算审核的金额高于或等于项目合同签订金额，则最终以项目合同签订金额进行项目合同费用结算。5.项目文档：本项目终验前，中标人应完成本项目交付过程中产生的项目文档的移交，包括不限于项目实施计划方案、需求规格说明书、详细设计说明书、数据库设计说明书、接口设计规范、测试计划、测试用例、测试报告、系统安装维护手册、用户操作手册、试运行计划方案、试运行报告等软件开发实施和培训文档以及网络安全服务要求交付的文档，并协助采购人建立系统管理制度体系。（三）人员要求1.人员配置要求：在项目中标后应组建项目服务团队，委派专业的技术人员提供优质高效的服务，保证项目交付质量，确保项目如期交付。（1）应委派具有丰富项目经验、技术全面的项目经理1人，负责项目的组织协调和整体管理，组织制定项目实施计划方案，加强项目进度管理。在本项目完成初验前，项目经理应根据采购人要求，按照采购人考勤制度派驻现场服务。项目经理应有较强组织协调管理能力，具备网络和数据安全领域相关工作经验，熟悉《网络安全等级保护基本要求》（GB/T22239—2019）标准以及相关网络和数据安全相关法律法规，且具有良好的文字表达和文案能力、沟通交流和语言表达能力。（2）项目服务团队成员具体负责本项目软件开发交付的产品和系统需求分析、设计开发、实施部署、系统测试以及本项目其他所有服务内容的交付，团队成员专业技术能力应能覆盖项目管理、需求分析、系统规划、系统开发、数据库系统、计算机网络以及网络安全、数据安全、云安全等各方面，并具有良好的沟通交流能力和技术文档编写能力，具备正常履行职责的身体条件和心理素质，能承受较大的工作压力。项目服务期内，应安排安全服务工程师2人按照采购人考勤制度派驻现场服务，主要承担网络安全漏洞扫描、应急演练、风险评估、安全检查、应急保障、咨询培训、网络安全工具维护等网络安全日常运维运营服务工作，要求网络和数据安全领域相关工作经验，熟悉网络安全设备及工具的使用、配置和维护，特别是要熟悉漏洞扫描工具的使用，接受过相关漏洞扫描工具使用培训，并具有良好的沟通交流能力和文字水平。项目交付过程中，应根据项目实施计划方案和采购人实际需求，在需求调研和分析、详细设计、实施部署、系统自测以及项目验收等项目阶段安排团队技术人员提供现场服务，加强和采购人沟通，确保交付进度和质量。2.人员管理要求：在投标文件中需提供按照采购人考勤制度派驻现场服务的人员名单、简历、认证证书，且中标后派驻现场服务响应人员需与之保持一致。按照采购人考勤制度派驻现场服务的项目经理和安全服务工程师，除本项目外不得参与其他项目，未经采购人允许，中标人不得以任何理由抽调相关服务人员从事与本项目无关的其它工作，需严格遵守采购人相关人员管理制度要求，若因不能遵守采购人相关人员管理制度要求导致产生不良影响的，采购人有权对中标人进行处罚。按照采购人考勤制度派驻现场的服务人员一般情况下按照采购人考勤制度提供5*8小时服务；在重要保障、应急响应等时期，根据采购人实际需求，按需提供7*24小时服务。3.人员能力要求：在现有服务人员无法满足服务要求的情况下，需额外安排能够满足服务要求的其他人员进行服务支撑。如服务人员能力无法满足采购人对服务能力的要求，采购人有权要求更换或增补具备服务能力的服务人员，人员更新不得影响服务工作质量和效果。采购人或者由采购人指定的第三方监理单位发出人员更换通知后，未响应或拒绝执行的，采购人可扣除合同总款项3%作为惩罚。4.人员变更要求：应确保本项目团队的稳定性，项目人员需严格遵守并服从采购人的相关管理规定和工作安排。如因原因或人员个人原因需要更换，需经过采购人审核同意后方可变更，更换后的人员相关资质应不低于应标响应资质要求，特别是按照采购人考勤制度派驻现场服务的人员，原则上变更人次最多不超过1人次。派驻现场服务响应人员变更需按采购人相关规定进行审批，变更过程中需大于等于10个工作日的工作交接，且需保证服务不中断、不影响服务工作质量和效果。5.安全管理要求：派驻本项目的全部服务人员（包括但不限于按照采购人考勤制度派驻现场服务的人员）应符合采购人网络安全及保密相关规定要求，项目团队成员需签订《网络与信息安全责任书》《保密承诺函》，同时按照采购人考勤制度派驻现场服务的人员应符合安全审查要求，在进场时，应出具派驻现场服务响应人员安全审查承诺函（格式自拟），并配合采购人的做好保密和背景审查人员信息申报。6.人员保障要求：重要节点、重大活动等特殊时期情况下产生的人员加班费、用餐费、交通费等费用由完全承担。服务人员劳动合同内的工资、奖金、福利待遇及其他一切费用由完全承担。服务人员的社会保险、健康检查、安全教育等内容由完全承担。应关注服务人员的身心健康，做好安全教育工作，如现场服务响应人员发生人身安全事故，由负责。为强化服务质量和人员调度，应出具承诺函（格式自拟），承诺根据采购人要求，安排高级管理人员牵头做好项目重要节点和重大活动的服务保障。