97国产精品视频|欧美国产偷国产精品三区|在线欧美成人网站网址|亚洲在线色情日本无码视频网|高潮喷水在线日韩精品操|真真操逼视频国产免费啪啪片|超大波少妇欧美亚洲精品日韩一区|久久视频精品91午夜视频|亚洲无码成人动漫精品一区二区|中文字幕久久成人

中海油服數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)要求一、項(xiàng)目概況針對(duì)中海油服數(shù)字中心平臺(tái)（經(jīng)營(yíng)管理數(shù)據(jù)平臺(tái)模塊）、油化數(shù)據(jù)中心平臺(tái)開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估；對(duì)中海油服人力資源管理信息化平臺(tái)進(jìn)行個(gè)人信息保護(hù)合規(guī)評(píng)估；完善公司數(shù)據(jù)安全管理制度，提升公司數(shù)據(jù)安全合規(guī)保護(hù)管理水平。二、★投標(biāo)人資質(zhì)要求1具有有效的事業(yè)單位法人證書或企業(yè)法人營(yíng)業(yè)執(zhí)照、稅務(wù)登記證、組織機(jī)構(gòu)代碼證或者三證合一，投標(biāo)時(shí)提供上述證照的原件備查或加蓋公章復(fù)印件。2具備公安部第三研究所頒發(fā)的《網(wǎng)絡(luò)服務(wù)認(rèn)證證書（等級(jí)保護(hù)測(cè)評(píng)服務(wù)認(rèn)證）》，投標(biāo)時(shí)提供上述證照的原件備查或加蓋公章復(fù)印件。3具備中國(guó)網(wǎng)絡(luò)安全審查認(rèn)證與市場(chǎng)監(jiān)管大數(shù)據(jù)中心的數(shù)據(jù)安全管理認(rèn)證和個(gè)人信息保護(hù)認(rèn)證的技術(shù)驗(yàn)證單位資格，并提供有關(guān)證明材料。投標(biāo)時(shí)提供上述證明材料的原件備查或加蓋公章復(fù)印件。4具備數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估和個(gè)人信息保護(hù)相關(guān)評(píng)估能力，且業(yè)績(jī)數(shù)量在各個(gè)方向不少于2個(gè)，投標(biāo)時(shí)提供項(xiàng)目合同證明。三、★服務(wù)地點(diǎn)及服務(wù)期限1、服務(wù)地點(diǎn)河北省廊坊市三河市燕郊鎮(zhèn)。2、服務(wù)期限截止2025年12月10日前按照甲方要求按時(shí)完成所有服務(wù)，并提交在服務(wù)過(guò)程中產(chǎn)生的所有技術(shù)文檔。四、參照標(biāo)準(zhǔn)在開(kāi)展中海油服數(shù)據(jù)安全服務(wù)實(shí)施過(guò)程中，將遵循和參照相關(guān)制度要求，并結(jié)合最新的國(guó)家及行業(yè)信息安全標(biāo)準(zhǔn)，作為本次針對(duì)相關(guān)系統(tǒng)評(píng)估實(shí)施的基本原則。重點(diǎn)參考法規(guī)/標(biāo)準(zhǔn)：?《中華人民共和國(guó)數(shù)據(jù)安全法》?《中華人民共和國(guó)個(gè)人信息保護(hù)法》?《GB/T35273-2020信息安全技術(shù)個(gè)人信息保護(hù)規(guī)范》?《GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》?《GB/T45577—2025《數(shù)據(jù)安全技術(shù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法》?《GB/T20984-2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》五、服務(wù)內(nèi)容及技術(shù)要求本次數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估服務(wù)具體技術(shù)要求如下：★1、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估依據(jù)《GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》對(duì)數(shù)字中心平臺(tái)（經(jīng)營(yíng)管理數(shù)據(jù)平臺(tái)模塊）和油化數(shù)據(jù)中心平臺(tái)開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，包括相應(yīng)數(shù)據(jù)安全現(xiàn)狀（含組織、制度、人員能力、全生命周期管理手段、技術(shù)防護(hù)措施等）。(1)評(píng)估準(zhǔn)備乙方在收到甲方開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的工作要求后，應(yīng)在3個(gè)工作日內(nèi)組織項(xiàng)目組成員赴現(xiàn)場(chǎng)開(kāi)展工作，在10個(gè)工作日內(nèi)完成對(duì)兩個(gè)系統(tǒng)相關(guān)信息的調(diào)查分析，確定評(píng)估范圍、評(píng)估計(jì)劃，并編制交付《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方案》，經(jīng)甲方審核通過(guò)后開(kāi)展評(píng)估工作。(2)風(fēng)險(xiǎn)評(píng)估乙方應(yīng)按照《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方案》，針對(duì)系統(tǒng)數(shù)據(jù)的采集、存儲(chǔ)、使用、共享等環(huán)節(jié)，識(shí)別數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)防護(hù)能力等方面存在的問(wèn)題及風(fēng)險(xiǎn)隱患，結(jié)合公司實(shí)際提出有效可落地的安全能力加固提升建議，并在30個(gè)工作日內(nèi)完成提供最終安全評(píng)估結(jié)果。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估內(nèi)容依據(jù)《GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》包括數(shù)據(jù)處理安全總體要求、數(shù)據(jù)處理安全技術(shù)要求、數(shù)據(jù)處理安全管理要求，具體如下：?數(shù)據(jù)處理安全總體要求評(píng)估內(nèi)容包括：數(shù)據(jù)識(shí)別、分類分級(jí)、風(fēng)險(xiǎn)防控、審計(jì)追溯四個(gè)方面的檢測(cè)評(píng)估；?數(shù)據(jù)處理安全技術(shù)要求評(píng)估內(nèi)容包括：收集（8項(xiàng)要求）、存儲(chǔ)（3項(xiàng)要求）、使用（2項(xiàng)要求）、第三方應(yīng)用管理（4項(xiàng)要求）、加工（1項(xiàng)要求）、傳輸（2項(xiàng)要求）、提供（6項(xiàng)要求）、公開(kāi)（1項(xiàng)要求）、私人信息和可轉(zhuǎn)發(fā)信息的處理方式（2項(xiàng)要求）、個(gè)人信息查閱、更正、刪除及用戶賬號(hào)注銷（1項(xiàng)要求）、投訴、舉報(bào)受理處置（1項(xiàng)要求）、訪問(wèn)控制與審計(jì)（2項(xiàng)要求）、數(shù)據(jù)刪除和匿名化處理（3項(xiàng)要求）；?數(shù)據(jù)處理安全管理要求評(píng)估內(nèi)容包括數(shù)據(jù)安全責(zé)任人（4項(xiàng)要求）、人力資源保障與考核（2項(xiàng)要求）、事件應(yīng)急處置（3項(xiàng)要求）。(3)報(bào)告編制根據(jù)評(píng)估結(jié)果，分析目前兩個(gè)系統(tǒng)數(shù)據(jù)安全現(xiàn)狀，找出相應(yīng)差距，并提供整改建議，在15個(gè)工作日內(nèi)編制交付《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》、《數(shù)據(jù)安全風(fēng)險(xiǎn)問(wèn)題清單》，并通過(guò)甲方審核。本項(xiàng)工作主要交付成果包括：?《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方案》（內(nèi)容包括系統(tǒng)測(cè)評(píng)對(duì)象、測(cè)評(píng)人員及時(shí)間安排、測(cè)評(píng)指標(biāo)、測(cè)試工具、測(cè)評(píng)實(shí)施內(nèi)容、風(fēng)險(xiǎn)規(guī)避措施（提供應(yīng)急預(yù)案））?《數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》（內(nèi)容包括評(píng)估目的、評(píng)估依據(jù)、評(píng)估對(duì)象和范圍、評(píng)估工具和環(huán)境、數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別、綜合風(fēng)險(xiǎn)分析等）?《數(shù)據(jù)安全風(fēng)險(xiǎn)問(wèn)題清單》（內(nèi)容包括風(fēng)險(xiǎn)問(wèn)題描述、問(wèn)題關(guān)聯(lián)對(duì)象、整改建議或提升方案等）以上交付成果均應(yīng)通過(guò)甲方審核通過(guò)后方可開(kāi)展后續(xù)工作。（4）整改復(fù)核在甲方開(kāi)展問(wèn)題整改工作過(guò)程中，乙方需依據(jù)甲方實(shí)際需求提供技術(shù)支持與指導(dǎo)服務(wù)，對(duì)于甲方提出的相關(guān)問(wèn)題，乙方應(yīng)在24小時(shí)內(nèi)予以響應(yīng)，同時(shí)提交全面、準(zhǔn)確的整改或提升建議方案。待甲方完成問(wèn)題整改后，乙方須于5個(gè)工作日內(nèi)，對(duì)已整改問(wèn)題開(kāi)展復(fù)核確認(rèn)工作，并出具書面結(jié)論?！?、個(gè)人信息保護(hù)合規(guī)評(píng)估依據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》《GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)規(guī)范，評(píng)估人力資源管理信息化平臺(tái)在收集、存儲(chǔ)、使用、共享、轉(zhuǎn)讓、公開(kāi)披露等個(gè)人信息處理環(huán)節(jié)中的相關(guān)活動(dòng)存在的安全風(fēng)險(xiǎn)。(1)評(píng)估準(zhǔn)備：乙方應(yīng)確定人力資源管理信息化平臺(tái)的評(píng)估對(duì)象和范圍，對(duì)涉及業(yè)務(wù)的數(shù)據(jù)庫(kù)、服務(wù)器、文檔等進(jìn)行相關(guān)信息的調(diào)查分析，在10個(gè)工作日內(nèi)編制《個(gè)人信息保護(hù)合規(guī)評(píng)估方案》，并通過(guò)甲方審核后開(kāi)展評(píng)估工作。(2)合規(guī)差距分析：乙方應(yīng)按照《評(píng)估方案》從技術(shù)、組織和管理層面分析業(yè)務(wù)系統(tǒng)個(gè)人信息保護(hù)安全合規(guī)差距，形成個(gè)人信息保護(hù)的安全合規(guī)需求，應(yīng)在30個(gè)工作日內(nèi)完成評(píng)估工作。個(gè)人信息保護(hù)風(fēng)險(xiǎn)評(píng)估內(nèi)容主要依據(jù)結(jié)合《GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范》，包括個(gè)人信息的收集、個(gè)人信息的存儲(chǔ)、個(gè)人信息的使用、個(gè)人信息主體的權(quán)利、個(gè)人信息的委托處理、共享、轉(zhuǎn)讓、公開(kāi)披露、個(gè)人信息安全事件處置、組織的個(gè)人信息安全管理要求。具體如下：?個(gè)人信息的收集評(píng)估內(nèi)容包括：收集個(gè)人信息的合法性（3項(xiàng)要求）、收集個(gè)人信息的最小必要（3項(xiàng)要求）、多項(xiàng)業(yè)務(wù)功能的自主選擇（6項(xiàng)要求）、收集個(gè)人信息時(shí)的授權(quán)同意（5項(xiàng)要求）、個(gè)人信息保護(hù)政策（6項(xiàng)要求）、征得授權(quán)同意的例外（11項(xiàng)要求）。?個(gè)人信息的存儲(chǔ)評(píng)估內(nèi)容包括：個(gè)人信息存儲(chǔ)時(shí)間最小化（2項(xiàng)要求）、去標(biāo)識(shí)化處理（1項(xiàng)要求）、個(gè)人敏感信息的傳輸和存儲(chǔ)（3項(xiàng)要求）、個(gè)人信息控制者停止運(yùn)營(yíng)（3項(xiàng)要求）。?個(gè)人信息的使用評(píng)估內(nèi)容包括：個(gè)人信息訪問(wèn)控制措施（5項(xiàng)要求）、個(gè)人信息的展示限制（1項(xiàng)要求）、個(gè)人信息使用的目的限制（2項(xiàng)要求）、用戶畫像的使用限制（3項(xiàng)要求）、個(gè)性化展示的使用（4項(xiàng)要求）、基于不同業(yè)務(wù)目的所收集的個(gè)人信息的匯聚融合（2項(xiàng)要求）、信息系統(tǒng)自動(dòng)決策機(jī)制的使用（3項(xiàng)要求）。?個(gè)人信息主體的權(quán)利評(píng)估內(nèi)容包括：個(gè)人信息的查詢（3項(xiàng)要求）、個(gè)人信息的更正（1項(xiàng)要求）、個(gè)人信息的刪除（3項(xiàng)要求）、個(gè)人信息主體撤回授權(quán)同意（2項(xiàng)要求）、個(gè)人信息主體注銷賬戶（6項(xiàng)要求）、個(gè)人信息主體獲取個(gè)人信息副本（2項(xiàng)要求）、響應(yīng)個(gè)人信息主體的請(qǐng)求（6項(xiàng)要求）、投訴管理（1項(xiàng)要求）。