1、XX市“一网共享”数据安全服务项目需求说明一、项目概况1 .项目背景近年来,国家陆续出台相关法律政策,统筹发展和安全,推动数据安全建设。2021年数据安全法个人信息保护法出台,与国家安全法网络安全法密码法民法典形成“五法一典”安全制度合规体系。在此基础上,2022年7月国家互联网信息办公室正式发布数据出境安全评估办法,开启数据出境监管新篇章,这是继网络安全法数据安全法个人信息保护法颁布实施的又一项重要的法律文件,标志着我国在依法治网方面取得了新的成效。同年“十四五”数字经济发展规划和网络安全审查办法颁布,要求提升重要设施设备安全可靠水平,增强重点行业数据安全保障能力,维护国家安全。我国数据安全
2、法制化建设不断推进,监管体系不断完善,安全由“或有”变“刚需”。结合顶层设计、法律法规,数据安全新监管同时体现对过程和结果的合规要求。根据中华人民共和国数据安全法的要求,维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。2022年10月14日,XX省人民政府为贯彻落实国务院关于加强数字政府建设的指导意见(国发2022)14号)工作部署,进一步推动全省数字政府基础能力均衡化发展,深化数字政府改革建设,促进XX经济社会高质量发展,根据XX省数字政府改革建设“十四五规划要求,发布XX省数字政府基础
3、能力均衡化发展实施方案。同年12月7日,XX省政务服务数据管理局发布XX省数字政府基础能力均衡化发展指标任务执行标准明确了均衡化发展指标要求、分值权重与具体执行标准。该执行标准明确了1个工作域(健全一体化安全保障体系)、3类工作重点(政务云基础安全保障、商用密码应用、数据安全保障)、4项建设指标要求。按照该项标准的要求,各地市需对照第39项指标一一加强数据安全保障,确保数据资源“一网共享”分节点安全可靠运行,具体要求为各地市“一网共享”平台需全面具备数据加密、数据脱敏和数据审计能力。2 .项目目标按照XX省数据资源“一网共享”平台数据资源分类分级指南,针对数字资源“一网共享”平台XX分节点的数
4、据进行数据安全运营实施工作。对“一网共享平台XX分节点,安装部署加密、脱敏和数据库审计软硬件设备,依据数据分类分级成果和敏感数据清单,设置数据加密、脱敏策略,通过“一网共享”数据安全监管工具统一管理数据安全防护策略,实现数据加密、脱敏、数据库安全审计信息统管,加强数据全生命周期安全保护能力,夯实安全基础。3 .建设内容本项目开展系列数据安全服务,确保XX省数据资源“一网共享”平台XX分节点全面具备数据加密、数据脱敏与数据审计等技术保障能力;建立数据安全保障体系,强化数据安全运营,保证XX省数据资源“一网共享”平台XX分节点持续安全可靠运行。“一网共享”数据安全服务项目服务采购内容序号分项名称主
5、要内容1数据安全管理制度体系建设服务根据省数据安全考核要求及XX政数局管理需求,建设数据安全管理相关制度、组织、要求、策略等,并开展数据安全培训服务;2数据安全体系培训针对XX省数据资源“一网共享”平台XX分点的所有用户开展数据安全及个人信息保护、数据安全的基本常识、数据安全的重要性以及个人对信息安全应负的责任。由1名讲师,2名辅助人员,每年培训1次,3年共3次。含培训材料的撰写,需根据省要求每年更新培训材料。3数据安全专项运营服务开展数据安全监管基础运营服务、数据安全风险评估服务、数据安全分类分级实施服务、数据加密实施服务、数据脱敏实施服务及数据安全审计服务。4数据安全常态化运营服务提供2名
6、工程师配合服务采购人开展日常数据安全运营工作5服务质量考核体系制定服务标准、考核评估办法、评估实施、结果评价、服务质量考核制度二、总体技术要求XX市“一网共享”数据安全服务项目实施充分利用现有先进、成熟技术,坚持需求主导、深化应用的原则,统一规划、统一布局、统一设计、规范标准、突出重点、分步实施,在规划、设计中遵循以下实施原则:(一)标准和规范化原则坚持“统一领导,统一规划,统一标准”的原则全面推进项目实施。通过集中采购、统一实施的方式,提高全省信息化基础设施建设水平,保证全省关键网络设备和主要业务系统的互联互通。严格遵循国家、省电子政务有关法律法规和技术规范的要求,从业务、技术、运行管理等方
7、面对项目的整体建设和实施进行设计,充分体现标准化和规范化。(二)功能适用原则体现“以服务为中心、以人为本”的实施主导思想,系统所有功能需要考虑到以用户为中心,通用功能应通过服务模式开放给其他功能使用。系统提供的应用模块,用户可以有选择地运用,每个软件之间相互独立,模块接口开放、明确,任何一个应用模块的损坏和更换不能硬性规定其他软件模块的应用。(三)架构稳定性原则基于现有的先进技术,采用微服务体系架构,基于公开标准的建设,技术上具备一定的前瞻性。可以快速便捷的升级相关技术,确保系统能够在技术不断发展的过程中跟上发展趋势,确保信息化技术发展具有明显的稳定性。(四)可扩展性原则系统的设计和实施要充分
8、考虑网络、硬件的扩展需要、应用系统二次开发的需要、以及支持未来可能出现的组织调整的需要。系统应采用开放的可扩充模块结构,保证以后可以方便地升级和不断增加新功能、增加容量、以及在同一平台上扩充其他业务应用功能。(五)数据共享原则确保数据安全为前提,打破原有各地、各行业烟囱式建设模式,连通一个一个“信息孤岛”,让数据多跑路,让百姓少跑腿。(六)安全和易用性原则能够采用先进的安全保密技术进行用户身份认证。将系统级身份认证和应用级身份认证统一灵活应用于各应用系统的登录、流转等功能模块中,操作方式应简单快捷。应具备完善的日志管理等功能,能够追踪记录每次操作情况,并对非法操作进行告警。系统统一各服务的界面
9、风格,统一用户操作流程,统一用户体验。(七)易于管理和可维护性原则必须保证整个系统的可管理性,以降低管理、维护成本。系统的服务器平台、网络平台、系统软件都应提供方便、灵活的维护手段,方便应用人员的维护和管理。三、服务内容(一)数据安全管理制度体系建设服务L数据安全管理规划协助XX政数局数据安全管理部门完成数据安全政策和标准的规划,明确对数据安全的要求和措施;形成数据安全风险评估要求。完成对系统权限和访问控制的管控设计,建立定期的安全审计和监控机制,及时发现和应对数据安全问题,确保数据的完整性、保密性和可用性。2 .数据安全体系细则构建服务以国家相关法律法规为指导,结合XX市数据安全管理办法,制
10、定相应的数据安全管理规范和细则,构建完善的数据安全管理体系框架。从管理视角出发,制定数据安全管理、人员安全管理、审计和应急制度。从指导具体工作实施角度,针对数据收集、存储、使用、加工、传输、提供、公开、销毁生命周期过程建设操作规定及流程,梳理分类分级方案,理清数据确权职责,建立相应的数据安全管理细则、操作指引。在数据安全体系建设工作中,根据当前数据安全保障体系的实施现状,结合最新的政策要求,为适应新时期的发展需求,重新审视已编制规范的执行和运行情况,并根据实际的操作反馈,持续补充完善编制工作。结合XX省数字政府网络安全指数指标体系中对数据安全管理的要求,完善相关管理制度。针对数据安全工作进行管
11、理细则的新增或修改补全,即有效地保护数据安全,同时确保数据安全的持续发展。3 .交付物数据安全管理办法,1份;数据安全管理相关细则,1套;(二)数据安全体系培训服务1 .培训目的数据安全体系培训是针对XX省数据资源“一网共享”平台XX分点的所有用户进行的,目的是使其了解数据安全及个人信息保护、信息安全的基本常识、信息安全的重要性以及个人对信息安全应负的责任,确保其在工作中自觉地遵守相关安全制度,维护信息系统安全。2 .培训计划安排根据建设单位实际需求安排培训计划,采用线下、线上或组合方式进行,被培训方提供场地、投影仪、白板及其它必要的设施,由单位安排具体培训,可将课堂布置成便于交流与讨论的形式
12、为了保障培训效果,建议每场最高不超过40人,本次项目培训总人数预计80人。一场培训为3课时,每个课时约50分钟。3 .培训人员组成每场培训配备3位培训人员,分别是1位讲师和2位辅助人员。培训讲师具备业务培训服务技能,熟悉信息安全的业务,培训经验丰富,具有良好的培训技巧,能够进行各类的安全培训。辅助人员熟悉授课内容,能辅助培训讲师编制培训材料,完成培训任务,组织签到,解答培训现场的疑问,具有良好的表达沟通能力。4 ,培训对象及内容针对XX省数据资源“一网共享”平台XX分节点数据工作内容、岗位职责、组织建设,制定化提供对应数据安全培训方案,为XX省数据资源“一网共享”平台XX分节点的数据管理人员
13、和业务相关人员开展2次数据安全培训,包括技术技能、安全意识以及经验分享、行业先进经验学习等。主要内容包括:(1)政策法规类政策法规类课程主要提供近年国家、省、市出台的一系列数据安全及个人信息保护领域重要的政策法规,如数据安全法个人信息保护法关键信息基础设施安全保护条例等的解读和分析,提升安全意识。(2)标准规范类标准规范类课程主要提供数据安全及个人信息保护领域的标准和规范的解读和分析,如GB/T37988-2019信息安全技术数据安全能力成熟度模型标准解析、GBT36073-2018数据管理能力成熟度评估模型标准解析、GB/T35273-2020信息安全技术个人信息安全规范规范解析等,提升安全
14、意识。(3)技术实践类技术实践类课程主要提供数据安全和个人信息保护技术基础、数据安全和个人信息保护相关检测评估技术和实施方法、流程、数据安全加固、数据安全事件应急响应等内容,为具体技术工作提供指引。5 .服务频率每年至少完成1次培训,有紧急情况需要则增加培训次数。6 .交付物数据安全培训材料,1套。(三)数据安全专项运营服务L数据安全监管基础运营服务根据XX政数局数据安全管理现状,结合XX省均衡化考核要求,提供数据资产梳理、数据资产转型管理、数据安全组件集成、数据安全策略制定、数据安全时间管理、数据安全运营报表数据归集、数据安全基础配置实施等服务。数据资产梳理服务需要满足XX政数局所有数据库、
15、文件系统、大数据组件的适配,根据提供的IP地址和端口定期、定时搜索发现网络内数据库或大数据组件或文件系统,建立全局的数据资源目录,开展数据资产发现和识别工作。要求配置实施不低于40种的敏感特征库,根据敏感数据的定义,使用内容识别手段(关键字、正则表达式、内容指纹、字典等),对于数据进行内容识别和检测。数据资产专项管理服务需定期、定时完成一网共享平台数据架构扫描;对数据库的账户进行扫描,获取其账号、账号权限等相关权限信息;维护数据类别标签及数据风险等级,开展自定义数据类别标签及数据风险等级梳理、配置;形成敏感数据资产可视化和数据分布管理清单;根据数据资产的多维度,如(字段名/文件名、字段备注、表
16、/文件备注、存储位置、文件大小、敏感特征等)配置标记组合规则,对数据库账户进行手动标记;提供数据资产台账查看、检索、导出服务;提供数据分类分级看板服务。数据安全组件集成服务需集成数据库审计、数据脱敏、数据库加密工具。实现策略下发,同时对安全组件的运行状态、设备启用状态、持续时间、资源使用率、防护数据库数量、数据库类型分布、数据库访问日志统计、风险日志统计等进行实时监控,帮助运维管理人员及时掌握全网设备安全状况,实现对敏感信息的监管和风险预警,一旦出现安全风险及时通知管理员。数据安全策略需制定服务数据安全策略是基于数据安全监管工具对数据特征及关系实现精准识别,发现敏感数据并对其进行分级分类分权精
17、细化的管理,形成数据安全策略矩阵,下发给各组件系统。实现数据识别,风险评估联动各场景安全产品的体系化防护方案。包含审计防护策略、数据脱敏策略、透明加密策略、安全事件策略等。数据安全事件管理服务需对安全事件的处置状态进行统计和分析,对事件的处置流转状态进行跟踪;完成数据安全事件数据归集。数据安全运营报表数据归集服务对数据库的结构分布、分类分级、敏感分布、资产分布、访问行为、风险分布、等信息生成多种报表,供云网数安平台使用。数据安全基础配置实施服务需对系统的业务应用管理,分类标签、分级标签、扫描规则、数据源分组等功能进行统一管理,主要包括:业务应用管理,分类标签管理、分级标签管理、数据字典管理、敏
18、感特征管理、特征库管理、数据源分组管理、自定义函数管理以及文件模板管理。2 .数据安全风险评估服务根据国家、省、市相关规范,评估XX市现有的政务数据管理系统、共享平台和相关工具,从数据分类分级技术、数据权限管控、数据脱敏、数据加密、安全审计、数据防泄漏及数据全链路监控等方面开展数据基础风险评估、数据全生命周期风险评估工作,找出存在的安全隐患,为后续数据安全优化提供指导。切实保障数据采集/产生、数据传输、数据存储、数据处理、数据交换等环节全生命周期安全,为数据安全防护的总体目标提供优化建议。每年开展1次评估,评估结束后交付数据安全评估报告1份。3 .数据分类分级实施服务根据数据分类分级细则,结合
19、据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。根据XX省数据资源“一网共享”平台数据资源分类分级指南,开展数据分类分级工作,依据指南对XX市政务数据资源“一网共享”平台开展对标分析,输出数据分类分级差异分析报告。指导建立数据资产台账并确认需要加密、脱敏的数据,制定加密脱敏工作计划。数据分类分级矩阵制定需明确数据定级的颗粒度(如数据项、数据项集合等)。对于结构化数据资源,数据安全等级划分以数据项集
20、合(库表、接口等)为单位,结合字段的含义和数据项集合的业务应用场景进行综合判定实施定级。数据资产确认服务需数据资产进行全面梳理,主要包括以物理或电子形式记录的数据库表、数据项、数据文件等结构化和非结构化数据资产,同时判断数据资产是否准确,需覆盖一网共享平台中XX管辖的数据资产。数据资产扫描服务需通过数据分类分级与风险评估系统对数据资产进行扫描,形成原始目录清单数据分类分级实施服务需针对原始目录清单、样例数据表,实施人员根据数据特性进行人工打标,提取数据规则后,将数据规则导入平台并扫描形成数据分类分级扫描报告。数据分类分级管控服务根据XX省数据资源“一网共享”平台数据资源分类分级指南中“XX省主
21、题信息分类类目表完成数据分级目录”形成数据分级分类目录。要求输出:数据分类分级矩阵数据资产目录数据分类分级矩阵数据分类分级管理规范数据分类分级扫描报告数据分类分级服务总结报告4 .数据加密实施服务数据加密是对数据最直接,最有效的防护。通常情况下,数据库中的数据是以明文形式进行存储和使用的,一旦数据文件或备份磁带丢失,可能引发严重的数据泄露问题;而在拖库攻击中,很多成熟的数据库文件解析软件,均可对明文存储的数据文件进行直接分析,并输出清晰的、结构化的数据,从而导致泄密。开展数据加密运营服务,通过部署数据库加密设备可对数据库中存储的数据在存储层进行加密,有效避免了因数据文件被拖库而造成数据泄露的问
22、题,从根本上保证数据的安全。数据加密工具部署服务需服务售卖人自带工具,并在一网共享XX节点部署加密工具,完成工具在本地环境的适配,并保证工具在服务期满后仍能使用。国密算法接入服务需加密工具适配国密算法。同时,对加密工具的密钥管理需要符合国密要求,采用多级(至少三级)密钥管理。数据静态加密实施需根据数据安全管理要求,完成数据的静态加密,并提供持续的数据库数据加密、解密服务。数据加密持续运营服务需开展持续的加密运营,包括服务扩容配置、加密服务状态监控、透明加密服务审计、加密策略管理、日志审计等。数据加密运营报告服务需形成上一季度的加密运营情况。数据加密实施持续开展;数据加密运营报告,每季度开展一次
23、输出季度数据加密运营服务报告,每年4份。5 .数据脱敏实施服务结合XX市政数局当前数据管理及业务现状,当前主要采用数据库静态脱敏工具进行数据安全防护,辅助动态脱敏工具进行数据安全防护。数据脱敏又称为数据漂白、数据去标识化或数据变形,是指从原始环境向目标环境进行敏感数据交换的过程中,通过一定方法消除原始环境数据中的敏感信息,并保留目标环境业务所需的数据特征或内容的数据处理过程。将数据脱敏流程分解为敏感数据发现、敏感数据梳理、脱敏方案制定、脱敏任务执行四大步骤,结合完善的敏感数据字典管理、数据发现算法管理、脱敏算法管理模块,实现全面的敏感数据管理开展数据脱敏运营服务,通过部署数据脱敏设备,实现敏
24、感数据发现、敏感数据梳理、脱敏策略配置、脱敏策略执行等功能,解决运维人员、业务人员及第三方人员访问时权限管控与数据脱敏的问题,根据访问用户的权限提供不同的脱敏后的数据展示,保证了用户身份的可信和访问内容的可控。数据脱敏运营服务流程主要包括敏感数据发现、敏感数据梳理、脱敏策略配置、脱敏策略执行、脱敏运营报告输出。脱敏策略制定需根据实用性与场景不同的不同表现,为敏感数据配置不同的策略。在非生产环境,采用静态脱敏技术。执行的脱敏策略包括遮蔽脱敏、保留格式脱敏、保留数据特征脱敏、泛化脱敏、数据一致性脱敏、可逆性脱敏等。脱敏策略执行需对生产环境,通过动态脱技术实现对数值和文本类型的数据脱敏。提供多种脱敏
25、技术的实施服务,包括不可逆加密、区间随机、掩码替换等。提供脱敏规则管理、脱敏任务管理、脱敏分发、业务脱敏、运维脱敏、接口调用脱敏、白名单、脱敏算法及细颗粒度脱敏规则制定等服务。数据脱敏报告需利用数据脱敏设备输出的结果,对脱敏的过程和结果进行详细记录,包含脱敏的表、字段、数据、脱敏前与脱敏后结果对比量等,结合人工核查结果,形成最终的数据脱敏运营服务报告,方便用户随时了解脱敏任务执行情况,一季度一份。输出数据脱敏规则,1份。数据脱敏工具部署服务需售卖人自带静态脱敏工具,并完成工具在本地环境的适配,需保证工具在服务期满后仍能使用。服务售卖人自带动态脱敏工具,并完成工具在本地环境的适配,需保证工具在服
26、务期满后仍能使用。6 .数据安全审计服务从组织自身安全的角度出发,针对绕过安全管理办法、安全策略的数据安全违规行为,外部网络攻击入侵窃取数据或破坏数据的行为,需要建立数据安全审计手段,主动监测数据库审计发现数据安全异常行为,最大限度降低数据泄露等风险。数据审计工作每半年开展一次。全面审计需根据5W原则Who、WhereWhen、hoWWhato全面对数据库服务器的连接情况、会话相关的各种信息和原始SQL语句进行审计本地审计需对数据库与应用在同一服务器、直接在数据库本地进行的操作进行审计。双向审计需对应用服务器对数据库服务器的访问流量、数据库服务器对应用服务器的返回结果进行审计三层审计需完成从数
27、据库访问SQL语句、到中间件之前的用户、中间件之前的访问的细节的关联。自身审计需对自身的操作记录日志进行审计。对涉及的不同的角色的人员的增删、改、启停、维护等动作进行记录,提供对这些记录的日志的条件检索和维护服务。业务全过程监控需提供实时的事前+事中+事后的连接监控服务,能够实时的监控所有到数据库的连接情况。监控信息包括连接建立时间、IP、用户名、非法操作(越权访问等)次数统计。及时告警需对不同的风险设置不同的风险告警方案。可以针对不同风险、新SQL、访问规则违规、数据库服务器状态异常、审计系统服务器状态异常、缓冲区溢出攻击、SQL注入攻击等告警,告警方式有:短信、邮件、FTP、SYSLOGS
28、NMP、等告警方式。数据遮蔽需在审计过程中,用其它内容代替检索结果以及报表中的敏感信息,在结果中会显示遮蔽后的内容。威胁监控需对系统造成威胁的行为,如SQL注入操作,缓冲区溢出,连续登陆失败等,设置风险等级,当相应危险操作发生时进行告警。有效分权管理需数据库管理员(DBA)具有超级权限,由于这样的账户基本上对数据库的所有操作都是没有任何限制的,超出了自身对敏感数据的权限。提供系统管理员、安全管理员、审计管理员相互监督服务能力。通过多种数据获取机制保障对所有用户的全程监控,审计日志信息独立于数据库存储,不可被直接修改和删除,从而有效限制DBA的权限。数据报表需提供审计查询条件和细致的统计服务,为
29、云网数安平台的多样化的关联查询分析提供数据支持。数据库状态监控需对OraCle、MSSQLServerMySql进行监控。根据数据库不同,监控内容存在区别。数据库风险扫描需包括提供口令检测、风险扫描、SQL注入检测三个服务。全扫描包括三类内容:用户相关类、管理相关类、软件相关类,可以检测出数据库系统中管理中的问题、系统设计和开发中的问题、针对用户活动的问题。审计报告需分析数据库使用日志,分析使用情况,输出审计报告数据库安全审计工具需部署实施服务售卖人自带工具,在一网共享XX分节点部署数据库审计工具,并完成工具在本地环境的适配,需保证工具在服务期满后仍能使用。(四)数据安全常态化运营服务数据安全
30、运营运维服务数据常态化运营工作,工作内容包括:针对一网共享平台所辖业务系统以及三年运营期内陆续纳入监管范围的业务系统,通过工具平台结合人工方式进行日常的安全事件威胁分析;安全事件追溯分析;安全策略优化管理;定期安全检查管理;安全告警确认分析等常态化监管,并定期出具分析报告,如日常业务数据在收集、传输、共享发布等阶段的涉敏资产发现服务,数据在存储中的扫描服务、加密存储服务,数据在使用过程中的文件分发等作业安全的分析、总结,并定期形成周报、月报、年报等。日常安全事件威胁分析需针对有非法访问信息泄露、丢失、网络传输过程,破坏数据,拒绝服务攻击等行为进行全系数据追溯,包括数据对象、时间、关联的设备、系
31、统等提供翔实、完整的证据链,在事件应急过程进行判断、分析,配合明确安全事故的相关人、追责和去责,纳入定期报告当中;安全事件追溯分析需根据数据安全事件响应流程,开展相关工作。包括迅速隔离受影响的系统或数据、留存相关证据、分析系统日志、网络日志和数据,检测恶意代码,审计用户行为,评估系统漏洞,重构事件时间线,并最终撰写和分享事件报告。整个流程旨在快速控制数据安全事件的扩散,深入调查和分析事件的根源,以及提出改进措施,以促进组织数据安全的持续改进和提升。定期安全策略优化需通过日常观察网络流量是否正常、监控日志异常、观测流量数据等方式定期配置管理数据防护策略,确保数据安全。定期安全检查管理需定期配合用
32、户对数据安全防范意识对各单位进行培训(每季度一次),每个月配合用户对办公设备进行安全检查,包括密码明文存储、政务数据相关文件留存等进行协助处理。增量服务运营需对后续纳入一网共享平台的业务系统,按照数据安全管理制度对数据进行分类、分级、安全审计、数据防泄漏等管控操作,并将其配置至相关监管平台当中,进行日常管理。数据安全生命周期防护需针对数据采集、存储、传输、处理、共享开放、销毁等全生命周期的防护,针对不同阶段的特点,指导、制定并实施相应的防护措施。安全告警常态化监管需建立数据安全风险监测机制,及时发现并报告数据安全风险,制定并实施应急预案,确保在紧急情况下能够迅速响应。通过机制及时发现、评估并应
33、对可能出现的数据安全风险,确保政务数据得以有效保护。数据安全常态化运营保障需在数据安全运营持续性方面,建立数据安全运营持续性计划,定期进行数据安全运营的评估和改进,保持数据安全防护措施的及时性和有效性。日常总结报告需定期总结数据安全工作的成果和挑战,并提出改进建议,根据需要,定期编写和发布数据安全周报、月报和年报,向管理层和相关部门报告数据安全工作的进展和成果。(五)服务质量考核体系建立服务标准,包括:管理制度体系建设服务标准、数据安全体系培训服务标准、数据安全专项运营服务标准、数据安全常态化运营服务标准、数据安全服务配套工具服务标准。考核评估办法需包括审阅文件、面谈、观察、抽查等方法。审阅文件至少包括检查机构有关书面政策、程序、各项服务质量标准等文件;面谈至少应包括与服务对象的单独面谈或小组座谈;观察至少应包含对机构、服务站点工作的实际探访;抽查至少应包含调查问卷、对机构计划、工作记录的随机调阅。考核评估的实施需开展项目的前期评估、中期评估和期末评估。考核结果评价需制定考核评估分值比例,采用百分制,对专业服务标准、服务成果标准、服务质量标准、服务项目管理标准进行考核评估,需对服务项目的综合考核评估结果划分评估等次,评估结果可接受申诉和复核,需对评估结果实行奖惩制度。服务质量考核制度需包含运营支撑和服务相应两个类别。
