2021年数据安全管理服务项目预算询价函

项目预算询价函

根据业务开展需要，拟采购2021数据安全管理服务项目，现对该项目预算进行前期询价（此询价函仅为采购预算询价），欢迎合格报价人前来报价。

一、项目名称

2021年数据安全管理服务项目

二、服务内容

详见附件。

三、报价人的资格要求

符合《中华人民共和国政府采购法》第二十二条规定条件。

四、其他

报价人可根据项目服务内容进行报价，报价单上需注明单位（公司）全称，由法定代表人或其授权代表人签字并加盖公章，本询价函自2021年5月31日发出开始询价，各报价单位（公司）请于2021年6月2日前将报价单填写完成并自行密封后（封口处需加盖公章）送或邮寄至我单位（地址：福州市鼓楼区铜盘路118号1号楼2层）。提交报价时，一并提交报价人单位（公司）营业执照复印件（复印件需加盖公章）。

五、联系方式

联系人：李英

联系电话：0591-87271053

附件：1.项目服务内容

2.项目预算报价单

福建省商务厅

2021年5月31日

附件1：

2021年数据安全管理服务项目

服务内容

拟在省单一窗口汇聚数据的整个生命周期建立完善的数据质量稽核机制和数据管理考核体系，并进一步加强对各建设、运维方数据操作规程等方面的管理和数据安全运维管理。通过数据安全管理提高数据安全监管能力、加快数据安全事件响应速度、快速定位数据安全故障等问题，提高数据资产安全，并对行业数据、重要敏感信息和个人信息情况进行保护，满足等级测评的安全计算环境、安全管理中心、数据完整性和保密性等要求。

1.数据资产分类分级管理服务

提供数据资产的分类分级服务，依据业务系统特点对产生、采集、加工、使用或管理的数据进行分类管理；以数据分类为基础，采用规范、明确的方法区分数据的重要性和敏感度差异进行分级管理；数据分类分级后，需将制定的敏感数据划分级别导出成行业标准，可进行复制推广使用。同时提供数据资产管理服务，对采集和主动扫描的数据资产相关数据提供数据资源维护管理；利用主动扫描、流量分析技术和人工补登的方式，发现现有业务网络中的已知与未知的数据资产。

2.数据资产（敏感数据）监测服务

提供全年数据资产（敏感数据）监测服务，对数据库中敏感数据进行自动发现，形成敏感数据字典，并能够根据客户需求进行标签化处理；按照管理域对数据资产提供分类服务；提供数据资产（敏感数据）监测服务人工服务，为用户的数据资产梳理提供管理维护等服务。提供敏感数据探测服务，根据敏感数据特征模型，扫描数据库的表和列，自动识别数据库中的敏感数据，将识别到的敏感数据生成“敏感数据分布报告”。

3.数据资产动态管理服务

提供动态监控应用侧、内部运维侧的访问行为，对访问敏感数据的频次进行热度分析，尤其是个人信息、企业信息、信誉信息等敏感数据的访问情况，对管理资产的访问源、访问路径、访问行为进行动态监控，更清晰的了解内部人员日常如何使用数据，被谁管理和维护。根据动态梳理的结果可针对性地采取适当、合理的管理措施和安全防护措施，形成一套科学、规范的数据资产管理与保护机制。

4.数据库资产安全风险评估服务

提供数据库资产综合安全风险评估服务，风险模型包括资产价值评估、资产脆弱性评估和资产威胁评估，通过对以上三个要素的赋值、评估分析和关联影响，综合评估安全风险的可能性和损失，最终形成风险评估结果。资产价值评分要素包括敏感数据的类型、敏感表占比和敏感数据量级三部分，从表总量、字段总量、敏感表/敏感字段、敏感表行数、敏感数据量占比、敏感数据类型等级、敏感数据类型占比中等因素中分析得出。资产脆弱性评分要素依据脆弱性等级评估，包括高风险、中风险、低风险、注意、提示，从各个脆弱性等级占比分析得出。资产威胁评分要素包括访问量等级、访问源等级、访问操作类型等级三部分，从访问量、访问源、访问操作类型中分析得出。

5.数据库账户权限管理服务

提供数据库账户的权限管理服务，自动发现数据库中账户权限分布情况，监控权限变化，并定期检查数据库权限是否满足最小授权原则。提供用户维度和对象维度的数据库账户权限梳理，进行有效的数据库账户的权限管理。

6.数据库安全扫描服务

提供数据库安全扫描服务，数据库安全扫描包括数据库漏洞扫描、数据库配置缺陷扫描、数据库弱口令扫描。漏洞类型分成：弱口令、缺省口令、配置缺陷、脆弱点、易受攻击代码、操作系统相关漏洞、程序后门、审计漏洞、补丁等；根据风险级别，分为严重、中等、普通、警告、参考信息；将策略分类管理，可满足不同安全等级检查的需要，如等级保护、行业等保等；提供漏洞类别、危害等级、详细描述和解决方案建议，并生成统计分析报表。

7.数据资产发现与管理服务

提供数据资产发现、识别，将数据库信息理清，例如了解每个数据库在被哪个应用、哪些部门管理，敏感数据分布在哪个数据库、哪些表中，高权限账号的使用情况等，理清后才能客观分析，对资产进行价值评估和实施相应的保护措施。

8.数据安全审计服务

提供数据库异常对象监控；提供非正常路径发起的数据库访问和数据库主动向外连接的访问；提供完整记录业务处理过程中重要数据的变更修改日志内容；提供完整记录业务处理过程中业务数据删除的行为。

9.数据安全管理体系建设

根据省单一窗口建设情况，以及依据《中华人民共和国数据安全法》，研究数据管理范围和制度，逐步完善一套数据安全管理考核指标体系，进一步加强对各建设、运维方数据操作规程等方面的管理服务。

10.数据规范管理服务

进一步完善数据管理规程，明确数据管理范围，划分各方数据管理权限，督促省单一窗口各建设方、运维方遵循并应用统一的数据管理规范。主要围绕数据库账号安全、数据访问安全、数据库运维安全、数据安全防护等内容规范管理制度。

11.应急演练服务

针对数据安全进行应急演练服务，设计数据安全管理应急演练场景，组织相关人员开展演练；帮助建立健全数据安全应急工作机制，完善应急预案。

12.内训服务

通过理论与实践相结合、案例分析与行业应用穿插进行的方式提供内训服务，内训内容主要包括《中华人民共和国网络安全法》、《福建省电子口岸公共平台（省国际贸易单一窗口）数据管理办法（试行）》等相关法规制度；数据传输的安全方式、数据分析及风险管理等内容；数据库基本操作技巧。