《大学数据分类分级和安全保障服务项目招标文件.docx》由会员分享,可在线阅读,更多相关《大学数据分类分级和安全保障服务项目招标文件.docx(89页珍藏版)》请在三一办公上搜索。
1、公开招标采购文件项目名称:大学数据分类分级和安全保障服务项目第一章公开招标采购公告3第二章采购需求5前附表5A、商务需求6B、服务需求7第一节项目概况7一、项目建设目标7二、项目主要建设内容、建设规模7第二节项目建设要求8一、总体思路8二、建设目标9三、建设原则9四、建设内容104.1 数据分类分级及安全治理咨询服务104.2 数据分类分级系统建设以及技术实施服务2243数据安全精细防护服务294.4 数据价值应用支撑服务304.5 项目组织机构和人员31一、实施人员配置31二、人员培训需求和计划32(一)培训对象和内容32(二)培训方式32第四节.开发软件采购项目安全设计要求32第五节详细参
2、数要求33第三章投标人须知40一、总则42(一)适用范围42(二)定义42(三)采购方式42(四)投标委托42(五)投标费用42(六)联合体投标42(七)转包与分包42(八)特别说明42(九)关于分公司投标42(十)关于知识产权43(十一)质疑和投诉43二、采购文件43(一)采购文件的构成。43(二)投标人的风险44(三)采购文件的澄清与修改44三、投标文件的编制44(一)投标文件的组成44(二)投标文件的语言及计量45(三)投标报价45(四)投标文件的有效期45(五)投标文件的盖章、签署、份数、要求及效力46(六)投标文件的包装、递交、修改和撤回46(七)投标无效的情形47四、开标47五、评
3、标48(一)组建评标委员会48(二)评标方法48(三)评标程序48(四)评标过程保密48六、定标48(一)确定中标人48七、评标过程的监控49八、合同授予49(一)签订合同49(一)履约保证金(如有)49九、特别说明49第四章评标办法及评分标准52一、总则52二、评标委员会52三、评标方法52四、评标过程53五、资格条件审查54六、符合性审查55七、投标无效的情形55八、评分标准表57第五章采购合同主要条款60第六章投标文件格式68格式一,投标人资格声明68格式二t符合性自查表69格式三:法定代表人的身份证明70格式四:法定代表人授权书71格式五t投标人基本情况说明72格式六:类似项目业绩表7
4、3格式七:商务条款偏离表74格式八:项目负责人简历表75格式九:项目人员配置表76格式十:技术条款偏离表77格式十一:距采购单位最近或者能为本项目提供最优服务的网点情况表78格式十二:投标函79格式十三:开标一览表80格式十四:投标分项报价表81格式十五:中小企业声明函86格式十六:残疾人福利性单位声明函87第一章公开招标采购公告项目概况宁波大学数据分类分级和安全保障服务项目招标项目的潜在投标人应在政府采购云平台()获取(下载)招标文件,并于2023年09月21日9:00(北京时间)前递交(上传)投标文件。一、项目基本情况项目编号:ZJZC-231243项目名称:宁波大学数据分类分级和安全保障
5、服务项目预算金额(元):1500000最高限价(元):1500000采购需求:标项名称:宁波大学数据分类分级和安全保障服务项目数量:不限预算金额(元):1500000简要规格描述或项目基木概况介绍、用途:具体内容见采购文件招标需求备注:合同履约期限:标项1,签订合同后9个月内完成项目建设工作。本项目(否)接受联合体投标。二、申请人的资格要求:1 .满足中华人民共和国政府采购法第二十二条规定;未被“信用中国”()中国政府采购网(WWW)列入失信被执行人、重大税收违法失信主体、政府采购严重违法失信行为记录名单。2 .落实政府采购政策需满足的资格要求:标项1:无3 .本项目的特定资格要求:无三、获取
6、招标文件时间:2023年09月01日至2023年09月08日,每天上午00:00至12:00,下午12:00至23:59(北京时间,线上获取法定节假日均可,线下获取文件法定节假日除外)地点(网址):政府采购云平台(WWW)方式:1.本项目招标文件实行“政府采购云平台”在线获取,不提供招标文件纸质版。供应商获取招标文件前应先完成“政府采购云平台”的账号注册;2.潜在供应商登陆政采云平台,在线申请获取招标文件(进入“项目采购”应用,在获取招标文件菜单中选择项目,申请获取招标文件;仅需浏览招标文件的供应商可点击“游客,浏览招标文件“直接下载招标文件浏览);3.招标公告附件内的招标文件仅供阅览使用,投
7、标人只有在“政府采购云平台”完成获取招标文件申请并下载了招标文件后才视作依法获取招标文件(法律法规所指的供应商获取招标文件时间以供应商完成获取招标文件申请后下载招标文件的时间为准)。注:请投标人按上述要求获取招标文件,如未在“政采云”系统内完成相关流程,引起的投标无效责任自负。售价(元):O四、提交投标文件截止时间、开标时间和地点提交投标文件截止时间:2023年09月21日9:00(北京时间)投标地点(网址):开标时间:2023年09月21日9:00开标地点(网址):供应商应于提交投标文件截止时间前将电子投标文件上传到政府采购云平台五、公告期限自本公告发布之日起5个工作日。六、其他补充事宜1
8、.供应商认为采购文件使自己的权益受到损害的,可以自获取采购文件之日或者采购文件公告期限届满之日(公告期限届满后获取采购文件的,以公告期限届满之日为准)起7个工作日内,对采购文件需求的以书面形式向采购人提出质疑,对其他内容的以书面形式向采购人和采购代理机构提出质疑。质疑供应商对采购人、采购代理机构的答复不满意或者采购人、采购代理机构未在规定的时间内作出答复的,可以在答复期满后十五个工作日内向同级政府采购监督管理部门投诉。质疑函范本、投诉书范本请到浙江政府采购网下载专区下载。2 .其他事项:(1)落实的政策:关于促进残疾人就业政府采购政策的通知(财库2017141号)、政府采购促进中小企业发展管理
9、办法(财库(2020)46号)、关于政府采购支持监狱企业发展有关问题的通知(财库201468号)。(2)本次政府采购活动有关信息在“浙江政府采购网(3 .供应商应于提交投标文件截止时间前将电子投标文件上传到政府采购云平台(WWW)。4 .开标时间后半小时内供应商可以登录政府采购云平台(WWW),用“项目采购-开标评标”功能进行解密投标文件。5 .本项目实行网上投标,采用电子投标文件。若供应商参与投标,自行承担投标一切费用。6 .开标前准备:各供应商应在投标截止时间前确保成为浙江政府采购网正式注册入库供应商,并完成CA数字证书办理。因未注册入库、未办理CA数字证书等原因造成无法投标或投标失败等后
10、果由供应商自行承担。供应商CA申领操作指南(7 .投标文件制作:(1)应按照本项目采购文件和政府采购云平台的要求编制、加密并递交投标文件。供应商在使用系统进行投标的过程中遇到涉及平台使用的任何问题,可致电政府采购云平台技术支持热线咨询,联系方式:。(2)供应商通过政府采购云平台电子投标工具制作投标文件。电子投标工具请供应商自行前往浙江政府采购网下载并安装(service.zcygov.en/#/knowledges/CW1EIGWBFdiHXINd6I3m7GyLXW0BXgMSmLUuYuPM(电脑登录账号观看);政府采购项目电子交易管理操作指南(文本):service.zcygov.en/
11、#/knowledges/CWlEtGwBFdiHxlNd6I3m/6IMVAG0BFdiHxINdQ8Na(电脑登录账号浏览)。(3)以U盘或光盘存储的电子备份投标文件1份,即按“项目采购-电子招投标操作指南”制作的电子备份文件,以用于异常情况处理。七、对本次采购提出询问、质疑、投诉,请按以下方式联系第二章采购需求前附表序号子项招标需求采购标的需实现的功能或者目标,为落实政府采购需满足的要求为了满足宁波大学数字化改革需要,开展本次项目采购活动。二采购标的需执行的国家相关标准、行业标准、地方标准或者其他标准规范由投标人提供的所有产品和服务必须符合下列规范、条例及标准,并不限于下列规范、条例及标
12、准:由招标人认可的有关国家权威标准。注:本技术要求所列的规范、标准不意味着全部的或最新的,承包单位必须执行国家、地方、有关机构所有相关的技术规范与标准,且确保所采用的技术规范、标准必须是国家或有关机构发布的最新版本,无论此版本在此有无提及。三采购标的需满足的质量、安全、技术规格、物理特性等要求详见技术需求四采购标的的数量、采购项目交付或者实施的时间和地点详见商务需求五采购标的需满足的服务标准、期限、效率等要求详见商务需求六采购标的的验收标准详见技术需求七采购标的的其他技术、服务等要求详见技术需求八核心产品无九现场踏勘不组织,自行前往踏勘项目现场,风险自担;口组织,踏勘时间:2023年月日09:
13、30(北京时间);踏勘集中地点:十样品要求无I-现场演示要求无A商务需求采购标的的数量宁波大学数据分类分级和安全保障服务项目1项服务期限及地点服务期限:签订合同后9个月内完成项目建设工作。地点:宁波大学(业主指定地点)。付款方式付款方式:1 .合同生效并具备实施条件后7个工作日内,采购人凭中标人开具的收据及预付款保函支付合同金额的40%o说明:预付款保函应由银行、保险公司等金融机构出具且与预付款同等金额。2 .系统软件安装、实施、验收合格后,采购人再凭供应商提供的全额增值税发票7个工作日内向供应商支付剩余款。售后服务要求项目验收后,供应商对系统提供L年纠错性维护,L年的上门运维升级性质保,供应
14、商共提供二年的运行维保服务(费用包含在投标总价中)。履约保证金1 .履约保证金金额:合同签订后5日内,由中标供应商向采购人交纳合同金额的1%作为履约保证金,在履行完合同后返还给中标供应商(不计利息)。2 .履约保证金形式:银行转账、银行汇票(电汇)、银行保函、保险保单或支票(仅限于使用宁波大市区范围内的银行开具的支票)等形式。3 .履约保证金的退还:系统软件安装、实施、验收合格后,供应商向采购人提供正式收款收据后一次性无息退还履约保证金。验收标准应符合国家或行业有关的质量标准或验收规范并按照中标人提供的投标文件及中标人和采购人签订的政府采购合同为标准进行验收。具体要求详见招标文件技术需求。其他
15、要求详见第五章合同主要条款B、服务需求第一节项目概况一、项目建设目标本次宁波大学数据分类分级和安全保障服务项目的开展,首先结合DB3VT2351-2021数字化改革公共数据分类分级指南、教育系统核心数据和重要数据识别认定工作指南(试行)、信息安全技术个人信息安全规范等规范,对宁波大学数据中心数据仓进行调研和梳理,形成符合学校自身现状的宁波大学数据分类分级标准(指南)、宁波大学数据分类分级规则(大纲)、宁波大学敏感数据识别以及管理规范文件,并将标准内置到分类分级工具中。重点通过数据分类分级系统对中心仓业务数据资产开展发现作业,按照分类分级标准规范对宁波大学数据进行分类和分级,实现数据资产的自动化
16、盘点,敏感数据发现和定位。通过实施对结果进行确认和优化,最后输出资产发现报告和分类分级报告等材料,清晰掌握宁波大学数据资产的分类和分级情况。在此基础上结合宁波大学现有数据安全产品开展针对性的数据安全管控措施,保障数据资源的安全性,同时从数据治理的角度出发为学校更好的从数据中提取价值,持续性为学校提供精准的数据服务,保障学校完成数字化转型,为学校智慧校园建设提供基础。二、项目主要建设内容、建设规模(一)主要建设内容序号建设内容技术措施/交付物1数据分类分级及安全治理咨询服务依据国家、地方及行业等相关要求,结合数据调研结果,制订符合宁波大学现状的数据分类分级内部标准规范文件,输出宁波大学数据分类分
17、级标准(指南)文件。基于数据管理以及数据治理视角,针对宁波大学数据开展调研和梳理,结合国家、地方及行业等相关要求,完成数据分类分级规范的制订,输出宁波大学数据分类分级规则(大纲),为下一阶段数据分类分级实施提供规范。基于数据安全合规视角,帮助学校建立组织范围内的重要数据、个人信息以及组织认定的核心数据等敏感数据识别规范,输出符合宁波大学现状的宁波大学敏感数据识别以及管理规范文件,为下一阶段形成分类分级与数据安全体系的有效联动提供规范。2数据分类分级系统建设以及技术实施服务暗数据发现和分类分级系统建设提供暗数据发现和分类分级系统,能够对于高校数据资产进行自动发现并进行分类分级,提高对数据库仓里的
18、数据进行分类分级的自动化程度,以帮助宁波大学全面梳理数据资产,生成数据分类分级报告,可通过标准APl接口输出至各类数据治理以及数据安全系统之中,为学校数据安全管控及数据治理工作打下基础。数据分类分级实施服务提供对暗数据发现和分类分级系统的结果进行人工的核准,并完善数据仓中系统未识别的数据,并完善系统数据字典规则,完善系统对学校数据仓的数据识别率,并形成数据分类分级结果。实施内容具体内容包括数据分类分级模型内置、数据分类分级具体操作、数据分类分级结果展示、数据分类分级结果输出、数据分类分级落地执行。3数据安全精细防护服务根据宁波大学敏感数据识别以及管理规范文件数据全生命周期数据安全相关要求,结合
19、宁波大学现有数据安全产品,制定符合宁波大学实际业务场景的数据安全策略,并进行数据分类分级与数据安全体系的有效联动。4数据价值应用支撑服务为学校更好的从数据中提取价值,持续性为学校提供精准的数据服务。在提升运营能力同时,数据资产的精细化管理,将成为学校业务优化的发力点或突破点,为学校数据中心体现数据价值打好基础。(二)建设规模本项目全面摸底宁波大学数据资产,以国家部委、省、市分类分级标准规范、通知为依据,开展宁波大学数据分类分级及安全治理咨询服务、数据分类分级系统建设以及技术实施服务、结合宁波大学现有安全产品的数据安全精细防护服务以及数据价值应用支撑服务等4块工作。项目建设模式为:统一建设、共同
20、使用。第二节项目建设要求一、总体思路本次数据分类分级项目的开展,首先结合DB3VT2351-2021数字化改革公共数据分类分级指南、信息安全技术个人信息安全规范、教育系统核心数据和重要数据识别认定工作指南(试行)等规范,对宁波大学数据中心数据仓进行调研和梳理,形成宁波大学数据分类分级参考标准,并将标准内置到分类分级工具中。重点通过数据分类分级系统对校内数据仓数据资产开展发现作业,按照分类分级标准规范对宁大学数据进行分类和分级,实现数据资产的自动化盘点,敏感数据发现和定位。通过实施对结果进行确认和优化,最后输出资产发现报告和分类分级报告等材料,清晰掌握宁波大学数据资产的分类和分级情况。在此基础上
21、结合宁波大学现有数据安全产品开展针对性的数据安全管控措施,保障数据资源的安全性,同时从数据治理的角度出发为学校更好的从数据中提取价值,持续性为学校提供精准的数据服务。二、建设目标本次宁波大学数据分类分级和安全保障服务项目的开展,首先结合DB3VT2351-2021数字化改革公共数据分类分级指南、教育系统核心数据和重要数据识别认定工作指南(试行)、信息安全技术个人信息安全规范等规范,对宁波大学数据中心数据仓进行调研和梳理,形成符合学校自身现状的宁波大学数据分类分级标准(指南)、宁波大学数据分类分级规则(大纲)、宁波大学敏感数据识别以及管理规范文件,并将标准内置到分类分级工具中。重点通过数据分类分
22、级系统对中心仓业务数据资产开展发现作业,按照分类分级标准规范对宁波大学数据进行分类和分级,实现数据资产的自动化盘点,敏感数据发现和定位。通过实施对结果进行确认和优化,最后输出资产发现报告和分类分级报告等材料,清晰掌握宁波大学数据资产的分类和分级情况。在此基础上结合宁波大学现有数据安全产品开展针对性的数据安全管控措施,保障数据资源的安全性,同时从数据治理的角度出发为学校更好的从数据中提取价值,持续性为学校提供精准的数据服务,保障学校完成数字化转型,为学校智慧校园建设提供基础。三、建设原则本规划要求的设计遵循以下原则:(一)客观性:方案设计必须是在评估咨询结果的基础上进行的针对性的规划设计,建设内
23、容的设计应当坚持中立的原则,客观地进行分析和表述。(二)科学性:坚持对采购人高度负责的、严肃的、认真的、务实的精神,使用科学的方法完成规划设计,以保障方案的科学性和正确性。(三)全局性:以全局的眼光,将规划置于国家及行业大环境出发,进行纵向分析和横向比较,使数据分类分级建设完成后确实能够创造良好的效益,发挥应有的作用。(四)专业性:系统性、针对性、可操作性,带来先进模式和经验,分析和把握详细方案的行业适应性和针对性。(五)合法性:规划方窠符合法律法规的规定,不与法律相抵触,同时遵循国家和行业标准规范,以规范单位运营,规避运营风险。四、建设内容4.1 数据分类分级及安全治理咨询服务数据分类分级及
24、安全治理咨询服务包括建立数据分类分级组织保障、数据分类分级需求调研、收集整理全部数据资源、对数据资产进行分类、对数据资产进行分级和最终输出数据分类分级相关材料。4.1.1 数据分类分级需求调研了解学校内业务系统建设情况(校内数据库仓),与系统厂商建立沟通机制,了解业务系统当前状况、核心业务及主要流程,整理形成业务系统清单,并与业务科室确认是否需要对业务系统进行数据资产梳理,最终将业务系统调研结论、负责科室联络人清单汇总,初步形成梳理任务计划:(1)数据中心战略解读:通过访谈形式与数据分类分级负责小组/业务技术相关方进行整体战略调研。主要了解大学教育数据战略规划、经营发展需求、监管需求、组织架构
25、图、业务分布等。(2)业务平台盘点:对学校内建设的业务系统进行摸排,与系统厂商建立沟通机制,以走访调研的形式收集业务平台信息,如业务系统建设时间、服务对象、使用科室、当前使用状况、主要核心功能、业务核心流程、数据库信息、数据存储类型等,将所有信息汇总后整理分析,全面了解宁波大学业务系统建设总体情况。(3)数据资产调研:根据调研走访情况,与业务科室沟通探讨其业务平台当前存在的数据痛点难点问题以及数据资产梳理的迫切性及必要性,由科室确认是否进行数据资产梳理,所有业务平台全部沟通完成后,最终确认学校内数据资产梳理范围。并梳理范围内数据情况、数据类型、数据产生部门、数据分布在哪里、数据量大小、数据流转
26、情况、数据共享情况等,整体摸排宁波大学数据资产建设状态。(4)业务流程调研:通过访谈、工作组形式与业务部门一同整理流程,识别流程中产生何种数据、数据的存储方式、数据的流程方向、数据存储位置等,编制成业务流程图和对应的数据流程图。4.1.2 收集整理全部数据资源第一步,收集并全面梳理以物理或电子形式记录的数据表、数据项、数据文件等数据内容: 数据基础信息,包括数据内容描述、数据资源类型、数据量、保存位置、保存期限付费用户把控、表/字段名称。 数据处理情况,包括数据处理情况、数据处理目的、涉及业务系统、业务数据流向。 数据对外活动信息,包括共享交换方式、公开披露、数据出境等 安全防护措施,包括访问
27、控制策略、已有分级清单、安全防护手段等第二步,对已经收集的全部的数据资源,确认数据业务含义,对于无法确认字段含义的,需要通过工具进行识别。对数据进行合并统一,形成基础的数据资源列表。4.1.3 对数据资源进行分类在进行数据分类之前,先全面梳理本部门业务条线。数据一般因业务而产生,供业务需要使用,无业务需求,也无数据的产生和消费。首先需要厘清业务,才能区分业务涉及的具体数据。从业务条线出发,首先对业务细分,其次对数据细分,形成从总到分的树形逻辑体系结构,最后,对分类后的数据确定级别,同时,推荐考虑确定数据形态。4.1.3.1 分类原则1、科学性原则:按照学校数据的多维特征及其相互间存在的逻辑关联
28、进行科学、系统化的分类,分类规则相对稳定。2、规范性原则:所使用的词语或短语能准确表达数据类目的实际内容、内涵和外延。相同概念的用语应保持一致。用语标准、简洁。3、实用性原则:类目划分应结合现实需求,符合用户对学校数据分类的普遍认知。每个类目下都有公共数据,不设没有意义的类目。4、扩展性原则:应充分考虑发展趋势,定期征询相关专家组织意见,完善和调整数据类目设置和层级划分。4.1.3.2 分类要求1、与国家、地方、行业法律法规关于学校教育数据分类分级的标准和要求相一致。2、同一分类维度内,同一条公共数据只分入一个类别。3、定期评估分类维度、方法、结果的合理性,并进行动态调整。4.1.3.3 维度
29、对于学校数据,数据可以按照应用场景、数据来源、共享属性、开放属性、安全保护维度等进行分类,再继续进行细分。1、依据数据来源,数据分类为:部门数据,人及其他组织数据、公民个人数据。2、依据共享属性,数据分类为:无条件共享数据、有条件共享数据、不予共享数据。3、依据开放属性,数据分类为:无条件开放数据、有条件开放数据、不予开放数据。4、安全保护维度,数据分类为:核心数据(高精度、未公开的覆盖全国范围的教育机构数据;1亿人及以上个人信息或100O万人及以上敏感个人信息;1000万条及以上经过计算加工生成的,对数据描述对象有较深刻画程度,且影响国家安全的衍生数据;经评估的其他数据)、重要数据(覆盖全国
30、范围的教育机构数据;IOoO万人及以上个人信息或100万人及以上敏感个人信息;全国性的业务数据;在生成国家秘密的过程中所使用分析的原始非秘密数据;经评估的其他数据)、一般数据。4.1.3.4 分类方法数据分类是基于已经梳理和识别完成的数据资源和业务条线梳理成果,然后按照数据性质(特定的数据性质有所区别)、重要程度(与其他数据相比重要程度有区别)、管理需求(因特行的管理目的)或使用需求(与其他数据之间使用范围/目的不同)等进行数据分类,进而得到数据一级分类,形成数据表、数据项、数据文件等不同的组合。一级子类划分完成后,按照组织实际需求进行下一步细分。4.1.4 对数据资源进行分级4.1.4.1
31、分级原则1、可执行性原则:学校数据级别划分应满足相关法律、法规及监管要求,避免对数据进行过于复杂的分级规划,保证数据分级使用和执行的可行性。2、时效性原则:学校数据的定级具有一定的有效期,数据级别可能因时间变化按照预定的安全策略发生改变。3、合理性原则:学校数据定级不宜过高或过低,级别划定过低可能导致数据不能得到有效保护;级别划定过高可能不利于数据利用或产生不必要的管理成本。4、客观性原则:学校数据的分级规则是客观并可以被校验的,即通过数据自身的属性和分级规则即可判定其分级。4.1.4.2 分级要求1、学校数据的分级与其共享、开放的类型、范围、审批和管理要求直接相关;应加强个人信息和重要数据保
32、护,按照就高从严原则确定安全等级。2、数据定级应充分考虑数据聚合情况、数据体量、数据时效性、数据脱敏处理等因素,根据实际升高或降低数据安全级别。3、数据集的级别根据下属数据项的最高级来定级。4.1.4.3 维度学校数据分级应充分考虑数据对国家安全、社会秩序和公共利益的重要程度,以及是否涉及个人隐私和商业秘密等敏感信息。综合考虑学校数据在遭到破坏后对国家安全、社会秩序、公共利益以及对公民、法人和其他组织的合法权益(受侵害客体)的危害程度来确定数据的安全级别,并根据各级别的公共数据特征,梳理安全控制点,提出分类分级的安全管控规则。4.1.4.4 分级方法(1)数据定级的影响因素根据学校数据遭篡改、
33、破坏、泄露或非法利用后,可能带来的潜在影响的范围和程度进行安全分级。影响范围主要包括国家安全,全社会、多个行业、行业内多个组织,单个组织或个人。影响程度划分为极其严重、严重、中等、轻微、无。涉及国家秘密的公共数据,按照相关保密法律、法规的规定进行判定和管理。(2)定级结果根据上述因素,学校数据可分为1级、2级、3级、4级、重要数据、核心数据,并根据就高原则进行定级。表格依据敏感程度定级标准数据级别敏感程度判断标准1级公开数据依法公开和披露的数据。2级一般敏感数据不宜公开的数据,但在公民、法人和其它组织授权下可在一定范围内共享的数据。3级高度敏感数据不能公开的数据,但在公民、法人和其它组织授权下
34、可在小范围内共享的数据。4级极敏感数据涉及公民、法人和其他组织核心利益的数据,不得公开、不宜共享。重要数据极敏感数据涉及公民、法人和其他组织核心利益的数据,不得公开、不宜共享。核心数据极敏感数据涉及公民、法人和其他组织核心利益的数据,不得公开、不宜共享。表格依据敏感程度定级标准数据级别影响程度判断标准I级无数据被破坏后,对国家安全、社会秩序、公共利益以及对公民、法人和其它组织的合法权益均无影响。2级轻微数据被破坏后,对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。3级中等数据被破坏后,对公民、法人和其他组织的合法权益造成严重损害,或对社会秩序和公共利益造成损害,
35、但不损害国家安全。4级严重数据被破坏后,会对社会秩序和公共利益造成严重损害,或对国家安全造成损害。重要数据严重数据被破坏后,会对社会秩序和公共利益造成严重损害,或对国家安全造成损害。核心数据极严重数据被破坏后,对国家安全造成严重损害。(3)定级变更在实际定级过程中,需要根据多种场景考虑级别的变更。1)发生以下场景时,应考虑提升数据级别:a)聚合多家业务部门数据;b)大量数据进行聚合;c)发生特定事件导致数据具有敏感性。2)发生以下场景时,可考虑降低数据级别:a)数据己被公开或披露;b)数据进行脱敏或删除关键字段;c)数据经过较长时间(需明确数据含义和时间点);d)发生特定事件导致数据失去敏感性
36、时。(4)数据定级与安全管控措施根据数据定级,对数据共享、开放程度进行管控。根据数据定级,设置数据分级保护参考依据。表格数据共享、开放与安全级别对照关系安全级别1级2级3级4级重要数据核心数据共享属性无条件共享:有条件共享不予共享不予共享不予共享开放属性无条件开放有条件开放不予开放不予开放不予开放表格数据分级保护要点1级2级3级4级重要数据核心数据数据1.应明确I.应明确数1.应明确1.应明确数1.应明确数1.应明确数采集数据采集据采集的目数据采集据采集的目据采集的目据采集的目的目的、的、用途和的目的、的、用途和的、用途和范的、用途和范用途和范范围,规范用途和范范围,并经围,并经采集围,并经采
37、集围,规范数据采集的围,规范采集部门主部门主管领部门主管领数据采集的流程和方法2.应明确流程和方法2.应明确数据采集的渠道及外部数数据采集的流程和方法2.应明确管领导审核确认,并对授权过程进行有效记导审核确认,并对授权过程进行有效记录。导审核确认,并对授权过程进行有效记录。数据采集据源,要求数据采集录。2.仅允许通2.仅允许通的渠道及外部数据提的渠道及2.仅允许通过经认证的过经认证的外部数据供方说明数外部数据过经认证的存储介质或存储介质或源,要求据来源,并源,要求存储介质或可信的传输可信的传输外部数据对信息来源外部数据可信的传输通道采集数通道采集数提供方说的合法性进提供方说通道采集数据,并采取
38、技据,并采取技明数据来源,并对行确认。3.宜建立统明数据来源,并对据,并采取技术措施保术措施保证其完整性和术措施保证其完整性和信息来源的合法性一的数据采集流程,以信息来源的合法性证其完整性和一致性。一致性。3.应采取加一致性。3.应采取加进行确认2.宜针对保证组织机构数据采集进行确认3.应建立3.应采取加密措施防止密措施防止数据的在采密措施防止数据的在采在线的数据采集过程执行有流程实现的一致性,以及授权过程的有效记统一的数据采集流程,以保数据的在采集过程中的泄露。集过程中的泄露。4.应对采集集过程中的泄露。4.应对采集效的日志证组织机4.应对采集过程进行有过程进行有记录,实录。构数据采过程进行
39、有效的日志记效的日志记现对数据4.宜采取必集流程实效的日志记录,实现对数录,实现对数采集过程要的技术手现的一致录,实现对据采集过程据采集过程的可追溯段对采集的数据进行校验,以保证其完整性和性,以及授权过程的有效记录数据采集过程的可追溯。5.应实施数的可追溯。5.应实施数据采集过程的数据防泄的可追溯。5.应实施数据采集过程的数据防泄一致性。4.应采取据采集过程漏安全技术漏安全技术5.宜实施数必要的技的数据防泄措施,防止数措施,防止数据采集过程术手段对漏安全技术据在采集过据在采集过的数据防泄采集的数措施,防止程中的泄露,程中的泄露,漏安全技术据进行校数据在采集如数据加密、如数据加密、措施,防止验,
40、以保过程中的泄采集链路加采集链路加数据在采集证其完整露,如数据密、敏感字段密、敏感字段过程中的泄性和一致加密、采集脱敏等。脱敏等。露,如数据加密、采集链路加密、敏感字段脱性5.应实施数据采集过程的数链路加密、敏感字段脱敏等。6.应针对在6.应针对在线的数据采集过程执行有效的日志6.应针对在线的数据采集过程执行有效的日志敏等。据防泄漏线的数据采记录,实现对记录,实现对6.宜针对在安全技术集过程执行数据采集过数据采集过线的数据采集过程执行有效的日志记录,实现对数据采集过程的可追措施,防止数据在采集过程中的泄露,如数据加密、采集链路有效的日志记录,实现对数据采集过程的可追溯7.应对外部程的可追溯7.
41、应对外部收集的数据和数据源进行识别和记录,即通过数程的可追溯7.应对外部收集的数据和数据源进行识别和记录,即通过数溯。加密、敏收集的数据据溯源的机据溯源的机7.应对外部收集的数据和数据源进行识别和记录,即通过数据溯源的机制能够保证数据管理人员能够追踪其加工和计算的数据来源。感字段脱敏等。6.应针对在线的数据采集过程执行有效的日志记录,实现对数据采集过程的可追溯7.应对外部收集的数据和数据源进行识别和记录,即通过数据溯源的机制能够保证数据管理人员能够追踪其加工和计算的数据来源和数据源进行识别和记录,即通过数据溯源的机制能够保证数据管理人员能够追踪其加工和计算的数据来源。制能够保证数据管理人员能够
42、追踪其加工和计算的数据来源。制能够保证数据管理人员能够追踪其加工和计算的数据来源。数据1.宜建立1.宜建立安1.应建立L应建立安1.应建立安1.应建立安传输安全的数全的数据传安全的数全的数据传全的数据传全的数据传据传输通输通道,例据传输通输通道,如输通道,如输通道,如道,例如VPN,专线等如VPN,专线等2.宜对数据道,如VPN,专线等VPN,专线等2.应对传输VPN,专线等2.应对传输通道两端进VPN,专线等2.应对传输通道两端进进行加密传2.应对传通道两端进行主体身份行主体身份输输通道两行主体身份鉴别和认证鉴别和认证3.加密算法端进行主鉴别和认证3.应对数据3.应对数据应符合国家密码管理的体身份鉴别和认证3.应对数据进行加密传进行加密传输进行加密传输相关规定3.应对数据进行加密传输输4.加密算法应符合国家4.加密算法应符合国家密码管理的4.加密算法应符合国家密码管理的4.加密算密码管理的相关规定相关规定法应符合相关规定国家密码管理的相关规定数据1.宜对存1.宜对存储1.应对存1应对存储1应对存储系I应对存储系存储储系统的系统的账号储系统的系统的账号统的账号权统的账号权账号权限权限进行统账号权限权限进行统限进行统一限进行统一进行管理;一管理;进行统一一管理;管理;管理;2.宜建立2.宜对存储管理;2.应对存储2.应对存储2.应对存储
