廣東省省級政務(wù)信息化（2024年第一批）項目需求-廣東省數(shù)字政府網(wǎng)絡(luò)安全公共支撐（2024年）項目之省數(shù)字政府密碼應(yīng)用支撐業(yè)務(wù)運營服務(wù)

-1-省數(shù)字政府網(wǎng)絡(luò)安全公共支撐（2024年）項目之省數(shù)字政府密碼應(yīng)用支撐業(yè)務(wù)運營服務(wù)采購需求項目概況基本信息項目名稱省數(shù)字政府網(wǎng)絡(luò)安全公共支撐（2024年）項目之省數(shù)字政府密碼應(yīng)用支撐業(yè)務(wù)運營服務(wù)。采購人和用戶單位廣東省政務(wù)服務(wù)和數(shù)據(jù)管理局。項目總體目標基于廣東省政務(wù)外網(wǎng)建設(shè)商用密碼資源池，可為提升政務(wù)領(lǐng)域相關(guān)業(yè)務(wù)系統(tǒng)的安全性提供了更高的保障能力，同時在全國范圍內(nèi)具有一定的引領(lǐng)作用。本項目將對密碼資源池進行精細化管理，從資源申請、使用、撤銷等環(huán)節(jié)進行全面管控，提高密碼資源利用率和使用效率，提升密碼服務(wù)能力和運營管理能力，持續(xù)推動廣東省數(shù)字政府商用密碼應(yīng)用。服務(wù)地點廣東省政務(wù)服務(wù)和數(shù)據(jù)管理局指定地點。項目背景中央辦公廳、國務(wù)院辦公廳先后印發(fā)通知，分別就金融和重要領(lǐng)域密碼應(yīng)用作出部署，《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《網(wǎng)絡(luò)安全等級保護條例》等都突出了密碼應(yīng)用監(jiān)管，《政務(wù)信息系統(tǒng)政府采購管理暫行辦法》等部門規(guī)章強化了同步規(guī)劃、同步建設(shè)、同步運行密碼保障系統(tǒng)的重要性。依據(jù)《關(guān)于加強重要領(lǐng)域密碼應(yīng)用的指導意見》（中辦、國辦〔2015〕4號）、《廣東省金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展實施方案》（粵廳字〔2019〕60號）相關(guān)要求，政務(wù)云屬于商用密碼應(yīng)用重點，政務(wù)外網(wǎng)區(qū)屬于重要信息系統(tǒng)承載區(qū)域，需要根據(jù)《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》，采取相關(guān)密碼應(yīng)用的防護措施。根據(jù)“粵廳字〔2019〕60號”精神，我省應(yīng)在電子政務(wù)領(lǐng)域加大商用密碼應(yīng)用力度，建立密碼支撐體系，充分發(fā)揮密碼支撐保障作用，優(yōu)化密碼產(chǎn)業(yè)生態(tài)，形成創(chuàng)新性產(chǎn)業(yè)集群，推動密碼創(chuàng)新發(fā)展，促進密碼與重大戰(zhàn)略和新技術(shù)應(yīng)用深度融合。項目預(yù)算本項目總預(yù)算為221.98萬元。服務(wù)期限本項目服務(wù)期限12個月，服務(wù)起始時間為采購人確認的服務(wù)啟動報審備案之日。服務(wù)內(nèi)容系統(tǒng)業(yè)務(wù)運營服務(wù)業(yè)務(wù)管理運營服務(wù)中標人應(yīng)結(jié)合省密碼資源池試點運營經(jīng)驗和新增運營需求為采購人提供業(yè)務(wù)管理運營服務(wù)，詳細如下：密碼運營服務(wù)臺服務(wù)統(tǒng)一集中受理，提供7×24運營響應(yīng)服務(wù)，響應(yīng)渠道包含電話、IM在線、郵件等方式。主要包含問題管理、知識庫管理、服務(wù)質(zhì)量報告、SLA跟蹤督辦等。可實現(xiàn)受理包括省直廳局用戶、第三方運營商或廠家技術(shù)人員、公司內(nèi)部員工等不同人員的咨詢問題，有效實現(xiàn)“不漏接，不錯派”密碼應(yīng)用支撐服務(wù)。針對密碼資源池各類密碼基礎(chǔ)設(shè)施資源問題、密碼應(yīng)用支撐服務(wù)問題等，定義標準化服務(wù)標準，提供快速的分類及轉(zhuǎn)派，提高響應(yīng)效率和處理效率。服務(wù)內(nèi)容（1）工單管理進行需求對接，按照工單時間完成，資源充足的情況下密碼應(yīng)用支撐服務(wù)在派單后三個工作日內(nèi)完成交付，若未按照相關(guān)要求交付，根據(jù)實際結(jié)算扣除密碼應(yīng)用支撐運營服務(wù)費用。統(tǒng)一服務(wù)入口，所有故障均全部記錄，并根據(jù)既定的服務(wù)流程及SLA，實現(xiàn)二三線人員任務(wù)分配。（2）服務(wù)流程狀態(tài)管理服務(wù)臺能夠提供密碼應(yīng)用支撐服務(wù)流程咨詢與解答、密碼應(yīng)用支撐服務(wù)狀態(tài)查詢、故障狀態(tài)分派及跟進等服務(wù)分類，提升服務(wù)臺的一線處理率和解決率，過濾常態(tài)化的一線問題，提升用戶滿意度。（3）故障閉環(huán)管理根據(jù)不同的服務(wù)分類及標準，設(shè)置不同服務(wù)等級和解決SLA，服務(wù)臺及時與二三線技術(shù)人員進行定期跟進解決進展，針對重大問題或突發(fā)問題進行技術(shù)升級和匯報升級，確保每個問題得到有效處理，并作為對外服務(wù)的統(tǒng)一接口進行匯報，從而實現(xiàn)服務(wù)閉環(huán)解決，提升解決率和滿意度。（4）服務(wù)質(zhì)量報告定期輸出相關(guān)的服務(wù)質(zhì)量報告，從多維度包括密碼應(yīng)用支撐服務(wù)不同的服務(wù)范圍、服務(wù)分類、服務(wù)方式、故障等級、解決方案等方面進行分析和總結(jié)，梳理出相關(guān)的服務(wù)指標可包含資源使用率、服務(wù)時效及趨勢發(fā)展、分析潛在的問題及可改進及優(yōu)化的服務(wù)事項等，以提升總體的服務(wù)質(zhì)量。5、知識庫管理針對相關(guān)服務(wù)的知識進行有序化管理，及時進行知識收集和整理，包括相關(guān)的密碼資源使用操作指引、運維處理流程、常見問題答疑、解決方案等，及相關(guān)廠家及技術(shù)人員名錄等，并根據(jù)一定的方法進行分類保存，并提供檢索手段，提升服務(wù)臺人員的解決效率，并加快客戶和用戶獲取信息的速度。交付物服務(wù)期滿后，交付密碼運營服務(wù)臺服務(wù)總結(jié)報告。密碼資源管理運營服務(wù)通過標準化和精細化的密碼應(yīng)用支撐能力管理和應(yīng)用服務(wù)運營，密鑰管理支撐服務(wù)保障廣東數(shù)字政府密碼應(yīng)用合規(guī)、便捷、高效。密碼資源容量、分配管理服務(wù)服務(wù)內(nèi)容需提供密碼資源容量、分配管理服務(wù)，包括制定密碼應(yīng)用服務(wù)說明及密碼資源池對接操作指引、資源申請及撤銷管理服務(wù)、資源擴容管理服務(wù)和日常運營工單管理服務(wù)（非資源申請類）。交付物服務(wù)期滿后，交付密碼應(yīng)用服務(wù)說明及密碼資源池對接操作指引、廣東數(shù)字政府密碼資源池資源停止分配閾值（修訂版）。密鑰管理支撐服務(wù)服務(wù)內(nèi)容（1）優(yōu)化統(tǒng)一密鑰管理策略密鑰管理是密碼系統(tǒng)安全的基礎(chǔ)，需針對密鑰管理制定統(tǒng)一的密鑰管理策略，加強內(nèi)控管理和安全審計。（2）優(yōu)化密鑰管理操作規(guī)范，提供操作指導根據(jù)《GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》要求，結(jié)合已有的密鑰管理制度和實際使用情況，優(yōu)化優(yōu)化密鑰管理操作規(guī)范，提供操作指導，持續(xù)加強密鑰產(chǎn)生、密鑰分發(fā)、密鑰存儲、密鑰使用、密鑰更新、密鑰歸檔、密鑰備份、密鑰恢復、密鑰銷毀等密鑰生命周期管理和操作。（3）密鑰管理異常操作監(jiān)測預(yù)警通過密碼服務(wù)中間件和密碼服務(wù)運營管理平臺，進行密鑰管理異常操作監(jiān)測預(yù)警，保障密鑰管理策略落地執(zhí)行。交付物服務(wù)期滿后，交付廣東數(shù)字政府密碼應(yīng)用支撐服務(wù)密鑰管理策略（修訂版）。密碼資源池服務(wù)能力檢測服務(wù)服務(wù)內(nèi)容需提供密碼資源池服務(wù)能力檢測服務(wù)，密碼資源池日常運行中，對30項密碼服務(wù)進行服務(wù)能力檢測，以保障服務(wù)質(zhì)量。在服務(wù)期內(nèi)開展一次實施檢測，提交檢測報告。交付物服務(wù)期滿后，中標人需提供省數(shù)字政府密碼資源池服務(wù)能力檢測報告。密碼支撐服務(wù)保障開展密碼支撐服務(wù)保障，滿足《GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》。密碼支撐服務(wù)保障包括密碼培訓服務(wù)、密碼應(yīng)用安全管理制度完善服務(wù)和定期開展密碼攻防對抗演習等。服務(wù)內(nèi)容1、密碼培訓服務(wù)根據(jù)最新密碼政策以及監(jiān)管要求，制定培訓方案和培訓手冊，對密碼上崗人員進行崗前崗中培訓。2、密碼應(yīng)用安全管理制度完善服務(wù)根據(jù)3個機房的密碼基礎(chǔ)設(shè)施建設(shè)情況，完善密碼產(chǎn)品管理制度、密鑰管理制度等密碼應(yīng)用安全管理制度。3、密碼攻防對抗演習定期根據(jù)密碼服務(wù)內(nèi)容，制定密碼攻防對抗演習方案，并根據(jù)方案實施演習，根據(jù)演習結(jié)果進行總結(jié)，調(diào)整相應(yīng)的管理制度、服務(wù)內(nèi)容、考核指標等。交付物服務(wù)期滿后，交付密碼應(yīng)用支撐服務(wù)培訓方案、密碼攻防對抗演習總結(jié)報告。密碼重點保障服務(wù)針對重要政治活動、重點時期、重要應(yīng)用系統(tǒng)上線等敏感時間節(jié)點，為省數(shù)字政府密碼資源池建立密碼重保機制，包括事前的重保組織建立、重保資產(chǎn)梳理和方案編制、重保風險排查與加固整改，事中的重保值守監(jiān)測、重保風險處置、重保事件響應(yīng)，事后的重?？偨Y(jié)分析，為后續(xù)持續(xù)的運營提高密碼保障能力。服務(wù)內(nèi)容密碼重保組織建立、重保資產(chǎn)梳理和重保方案制定服務(wù)中標人需建立重保組織架構(gòu)，明確相應(yīng)的責任人，與相應(yīng)的單位、業(yè)務(wù)組、外部專家組進行溝通確認，明確各方工作職責。中標人需梳理重保資產(chǎn)，需對重保的目標對象要有清晰的認識。中標人需制定重保方案，梳理歷史重保風險，形成重保檢查工作列表，制定重保方案，并進行重保工作模擬驗證。密碼重保風險排查與加固整改服務(wù)中標人需開展歷史重保風險梳理、重保資產(chǎn)主機梳理、資源情況監(jiān)控等事前風險自查和整改加固的工作。密碼重保值守監(jiān)測服務(wù)進入重保環(huán)節(jié)階段后，中標人需提供7×24小時監(jiān)控，監(jiān)控范圍會覆蓋關(guān)鍵設(shè)備或系統(tǒng)狀態(tài)監(jiān)測、資源情況監(jiān)測、重要數(shù)據(jù)檢查及備份。密碼重保風險處置服務(wù)中標人針對監(jiān)測到的密碼事件，判斷類型和等級，需開展重保密碼保障情況早、晚播報，確保密碼保障情況及時通達各保障單位，保證信息有效同步。密碼事件響應(yīng)服務(wù)在進入重保環(huán)節(jié)階段后，中標人需保障7×24小時隨時響應(yīng)可能發(fā)生的密碼事件，應(yīng)急處置主要分為兩部分，需要同步開展，分別是密碼事件應(yīng)急匯報及密碼事件應(yīng)急響應(yīng)。交付物服務(wù)期滿后，中標人需提供密碼重點保障服務(wù)的重要時期密碼保障方案、重保日報、密碼重?？偨Y(jié)報告。服務(wù)要求管理要求服務(wù)人員投標人須書面承諾，如在項目實際執(zhí)行過程中發(fā)生項目經(jīng)理不能按采購文件要求勝任相關(guān)工作的，采購人有權(quán)要求更換項目經(jīng)理，中標人須在兩周內(nèi)調(diào)整為符合采購文件要求且能勝任相關(guān)工作的項目經(jīng)理并到位開展工作，否則采購人有權(quán)終止合同并報相關(guān)管理部門進行處理。中標人承諾的項目經(jīng)理和開發(fā)實施的主要人員未經(jīng)用戶同意不得調(diào)整；中標人如中途更換項目經(jīng)理和主要開發(fā)技術(shù)人員，應(yīng)征得用戶同意，否則采購人有權(quán)終止合同。服務(wù)商應(yīng)指派團隊為本項目提供專業(yè)服務(wù)，服務(wù)團隊成員不得少于7人。項目經(jīng)理應(yīng)具備3年以上工作經(jīng)驗。如須調(diào)整服務(wù)團隊成員，須書面向采購人提出申請，說明申請理由，經(jīng)采購人書面同意方可調(diào)整團隊人員，調(diào)入人員的資歷和從業(yè)經(jīng)驗不低于調(diào)出人員，否則視為違約行為，采購人有權(quán)終止服務(wù)合同。進度要求本項目服務(wù)周期為12個月。組織實施要求為使項目按質(zhì)、按量、按時及有序?qū)嵤袠巳藨?yīng)建立完善、穩(wěn)定的項目團隊、內(nèi)部組織管理方式及管理機構(gòu)、協(xié)調(diào)機制、技術(shù)基礎(chǔ)，支撐保障要求及其他相關(guān)要求。在項目日常管理和條件保障方面，從行政組織、后勤保障和支撐條件各方面創(chuàng)造良好的服務(wù)環(huán)境，確保項目的順利實施。文檔管理要求中標人應(yīng)在項目完成時，將本項目所有文檔、資料匯集成冊交付給采購人，所有文件要求用中文書寫或有完整的中文注釋。驗收后，中標人按國家、省以及采購人檔案管理要求，向采購人提供裝訂成冊的紙質(zhì)文檔至少1套，電子文檔1套。質(zhì)量保證要求為保證本項目能按時高質(zhì)的順利完成，規(guī)避項目風險或?qū)L險降至最低，投標人應(yīng)建立項目質(zhì)量管理體系，包括但不限于質(zhì)量目標、崗位責任、問題處理計劃、質(zhì)量評價等內(nèi)容。驗收標準項目驗收按照采購人項目驗收的有關(guān)規(guī)定執(zhí)行。項目驗收的具體組織工作由項目采購人承擔。本項目的驗收應(yīng)符合采購人相關(guān)驗收管理辦法的要求，同時應(yīng)遵循下列標準：1）實現(xiàn)合同和根據(jù)招標文件所編寫的投標文件中列舉的全部內(nèi)容。2）項目驗收包括按照合同和根據(jù)招標文件所編寫的投標文件中相關(guān)的技術(shù)文檔、培訓教材、使用說明書及采購人項目相關(guān)驗收管理辦法所要求的全部文檔。其他要求標準規(guī)范要求需遵循的政策法規(guī)（1）《中華人民共和國密碼法》；（2）《中華人民共和國數(shù)據(jù)安全法》；（3）《中華人民共和國個人信息保護法》；（4）《廣東省省級政務(wù)信息化項目管理辦法》（粵府辦〔2020〕9號）；（5）《廣東省人民政府辦公廳關(guān)于修訂<廣東省省級政務(wù)信息化項目管理辦法>部分內(nèi)容的通知》（粵府辦〔2021〕211號）；（6）《廣東省省級政務(wù)信息化項目立項審批細則》（粵政數(shù)〔2021〕12號）；（7）《廣東省省級政務(wù)信息化項目驗收前符合性審查細則》（粵政數(shù)〔2020〕13號）；（8）《廣東省省級政務(wù)信息化項目商用密碼應(yīng)用工作指引》（2021年修訂版，粵密碼協(xié)調(diào)組〔2021〕4號）。需遵循的標準規(guī)范（1）GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》；（2）GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》；（3）GB/T36968-2016《信息安全技術(shù)IPSecVPN技術(shù)規(guī)范》；（4）GB/T37092-2018《信息安全技術(shù)密碼模塊安全技術(shù)要求》；（5）GB/T38540-2020《信息安全技術(shù)安全電子簽章密碼技術(shù)規(guī)范》；（6）GB/T38629-2020《信息安全技術(shù)簽名驗簽服務(wù)器技術(shù)規(guī)范》；（7）GM/T0024-2014《SSLVPN技術(shù)規(guī)范》；（8）GM/T0030-2014《服務(wù)器密碼機技術(shù)規(guī)范》；（9）GM/T0033-2014《時間戳接口規(guī)范》；（10）GM/T0051-2016《密碼設(shè)備管理對稱密鑰管理技術(shù)規(guī)范》；（11）GM/T0057-2018《基于IBC技術(shù)的身份鑒別規(guī)范》；（12）GM/T0067-2019《基于數(shù)字證書的身份鑒別接口規(guī)范》；（13）GM/T0086-2020《基于SM9標識密碼算法的密鑰管理系統(tǒng)技術(shù)規(guī)范》。服務(wù)響應(yīng)要求（1）服務(wù)方式包括：電話服務(wù)、遠程服務(wù)和現(xiàn)場服務(wù)等。（2）系統(tǒng)運行維護：提供7×24小時響應(yīng)服務(wù)（包括現(xiàn)場服務(wù)、緊急事件響應(yīng)、系統(tǒng)升級等），出現(xiàn)故障時，快速受理服務(wù)請求，根據(jù)不同的故障等級在不同時間內(nèi)進行響應(yīng)，對于遠程或電話無法解決的問題，安排技術(shù)人員現(xiàn)場處理，重大故障提供故障分析報告，保證廣州市內(nèi)2小時內(nèi)到達現(xiàn)場解決重大系統(tǒng)故障。資產(chǎn)權(quán)屬1.本項目不會引起任何已申請、登記的知識產(chǎn)權(quán)所有權(quán)的轉(zhuǎn)移。2.中標人、采購人雙方一致同意，本項目所涉服務(wù)成果的知識產(chǎn)權(quán)歸屬按下列第（3）種方式處理：（1）投標人負責開發(fā)軟件服務(wù)，包括代碼編寫、調(diào)試、測試等開發(fā)工作，投標人為履行本合同義務(wù)所形成的服務(wù)成果的知識產(chǎn)權(quán)歸采購人單獨所有。（2）投標人負責提供定制軟件租賃服務(wù)，采購人基于本合同約定委托投標人定制開發(fā)的產(chǎn)品、程序、服務(wù)等的知識產(chǎn)權(quán)歸甲、投標人共同所有，投標人應(yīng)按采購人書面要求交付該共有部分的源代碼；投標人在共有部分的基礎(chǔ)上進行二次開發(fā)的及對二次開發(fā)形成的產(chǎn)品、程序等財產(chǎn)進行處置的，需經(jīng)采購人書面同意，二次開發(fā)所形成的產(chǎn)品、程序、服務(wù)等的知識產(chǎn)權(quán)歸開發(fā)者所有，共有部分仍歸甲、投標人共同所有。投標人根據(jù)采購人授權(quán)，利用項目成果申請的商標、專利或輸出的圖片、視頻等受知識產(chǎn)權(quán)保護的成果物，采購人有權(quán)無條件永久使用。（3）投標人負責提供運營服務(wù)或成品軟件租賃服務(wù)，投標人為履行本合同義務(wù)所形成的所有服務(wù)成果的知識產(chǎn)權(quán)（除成品軟件開發(fā)涉及的知識產(chǎn)權(quán)）歸采購人單獨所有。（4）本項目僅包含基礎(chǔ)設(shè)施服務(wù)租用或運維服務(wù)，不涉及知識產(chǎn)權(quán)權(quán)屬轉(zhuǎn)移。3.本項目所涉及的數(shù)據(jù)所有權(quán)歸政府所有。中標人只能用于履行本項目之義務(wù)。4.中標人提供的相關(guān)軟件應(yīng)是自行開發(fā)的產(chǎn)品或具備合法、合規(guī)授權(quán)，滿足知識產(chǎn)權(quán)、安全等保三級等方面的有關(guān)規(guī)定和要求。5.中標人保證向采購人提供的服務(wù)成果是其獨立實施完成，不存在任何侵犯第三方專利權(quán)、商標權(quán)、著作權(quán)等合法權(quán)益。如因中標人提供的服務(wù)成果侵犯任何第三方的合法權(quán)益，導致該第三方追究采購人責任的，中標人應(yīng)負責解決并賠償因此給采購人造成的全部損失。保密要求1.中標人應(yīng)簽訂保密協(xié)議，對其因身份、職務(wù)、職業(yè)或技術(shù)關(guān)系而知悉的采購人商業(yè)秘密和黨政機關(guān)保密信息應(yīng)嚴格保守，保證不被披露或使用，包括意外或過失。2.中標人不得以競爭為目的、或出于私利、或為第三人謀利而擅自保存、披露、使用采購人商業(yè)秘密和黨政機關(guān)保密信息；不得直接或間接地向無關(guān)人員泄露采購人的商業(yè)秘密和黨政機關(guān)保密信息；不得向不承擔保密義務(wù)的任何第三人披露采購人的商業(yè)秘密和黨政機關(guān)保密信息。中標人在從事政府項目時，不得擅自記錄、復制、拍攝、摘抄、收藏在工作中涉及的保密信息，嚴禁將涉及政府項目的任何資料、數(shù)據(jù)透露或以其他方