德清县数字化服务商管理暂行办法

第一章 总则

第一条【目的依据】  为提升数字化服务商管理规范化水平，强化项目管理、技术支撑、安全保障能力，根据《浙江省信息技术服务外包网络安全管理办法》《浙江省政务数据安全管理办法》《德清县党政数字化项目管理办法（修订）》《德清县公共数据安全管理办法》等有关法律、法规，结合我县实际，制定本办法。

第二条【定义】  本办法所称数字化服务，是指数字化项目建设、运维、运营、安全保障等相关活动。所称数字化服务采购单位，是指委托开展数字化服务的机构。所称数字化服务商，是指受托承担数字化服务的机构。

第三条【适用范围】  本办法适用于参与本县数字化服务的机构。

第四条【工作体系】  县大数据局是数字化服务商的行业主管单位，负责本县数字化服务商的统筹管理与监督评价，并指导、协调、督促其他有关部门按照各自职责做好相关工作。

数字化服务采购单位（以下简称业主单位）是数字化服务商的主管单位，负责本单位数字化服务商的管理与监督。

数字化服务商负责本单位工作人员的管理与监督。

第二章 信息管理

第五条【定义】  依托浙江省一体化数字资源系统（IRS），对本县数字化服务商的信息进行管理，包括机构与人员注册、信息关联与更新、企业与人员退出等内容。

第六条【县大数据局职责】  县大数据局职责：

（一）统筹本县数字化服务商的信息管理。

（二）指导、督促本县业主单位开展本单位数字化服务商的信息管理。

（三）指定本单位在编人员担任区域审批员，审核本县业主单位提交的信息。

（四）建立数字化服务商档案库，记录数字化服务商在培训认证、项目管理、安全保障过程中的履职情况。

第七条【业主单位职责】  业主单位职责：

（一）统筹本单位数字化服务商的信息管理。

（二）当应用注册时，指定本单位在编人员担任应用管理员，负责应用对应数字化服务商或其工作人员的信息管理；在5个工作日内，完成应用对应数字化服务商及其工作人员的信息注册与关联等工作。

（三）当应用的数字化服务商或其工作人员不再提供服务时，在5个工作日内，解除应用与数字化服务商或其工作人员的关联关系；通知“浙政钉”管理员注销工作人员“浙政钉”账号，避免因管理不当造成安全风险。

（四）当应用管理员变更时，在3个工作日内，完成工作交接与权限变更。

（五）定期组织开展业务培训，指导督促应用管理员根据有关法律法规，对数字化服务商及其工作人员的信息进行审核，对涉及个人隐私、商业秘密的信息进行保密。

（六）依托数字化服务商档案库，定期更新数字化服务商在培训认证、项目管理、安全保障过程中的履职情况。

第八条【数字化服务商职责】  数字化服务商职责：

（一）统筹本单位的信息管理。

（二）当企业注册时，指定本单位在职人员担任企业管理员，负责本单位及工作人员的信息管理；在5个工作日内，完成本单位信息录入、保密协议上传等工作。

（三）当审核通过后，在5个工作日内，完成工作人员信息录入、保密协议上传等工作。

（四）当本单位或工作人员信息变更时，在5个工作日内，完成信息变更。

（五）当企业管理员变更时，在3个工作日内，完成工作交接与权限变更。

（六）当主管单位或业主单位提出整改要求时，在5个工作日内，完成异常信息核验与异常人员清退。

（七）当企业作为多个业主单位的数字化服务商时，以第一次提交注册申请且审批通过的信息为准。

第三章 培训管理

第九条【定义】  依托“数字规培”体系，对本县数字化服务商开展培训与认证。

第十条【县大数据局职责】  县大数据局职责：

（一）统筹本县数字化服务商的培训与认证，包括牵头制定本县数字化能力的培训体系与认证体系。

（二）组织本县数字化服务商进行培训与认证，为通过认证的学员颁发认证证书。

（三）建设本县数字化能力培训管理系统。

第十一条【业主单位职责】  业主单位职责：

（一）统筹本单位数字化服务商的培训与认证。

（二）组织本单位数字化服务商进行培训与认证。

（三）根据培训与认证情况，积极开展结果运用。

第十二条【数字化服务商职责】  数字化服务商职责：

（一）统筹本单位数字化服务商的培训与认证。

（二）组织本单位数字化服务商进行培训与认证。

第四章 项目管理

第十三条【定义】  依托德清县数字化项目管理系统，对本县数字化服务商参与的数字化项目进行管理，包括项目申报、评审、采购、建设、验收、绩效评价等内容。

第十四条【县大数据局职责】  县大数据局职责：

（一）统筹本县数字化项目的管理，包括组织业主单位开展数字化项目申报；组织相关部门开展项目评审；督促业主单位按期采购、建设与验收；开展绩效评价，并督促业主单位针对发现的问题进行整改。

（二）统筹本县数字化服务商的考核管理，定期对数字化服务商开展履职考核工作，重点考核其数字化能力、项目建设水平、安全管理水平等方面。

（三）依托数字化服务商档案库，及时推送数字化服务商在项目管理过程中的履职尽责情况。

第十五条【业主单位职责】  业主单位职责：

（一）统筹本单位数字化项目的管理，制定完善本单位数字化项目管理办法，建立健全本单位数字化项目内控机制。

（二）配合主管单位开展数字化项目申报、评审、绩效评价等工作。

（三）配合主管单位开展数字化服务商的考核，并督促数字化服务商及时整改评价中发现的问题。

第十六条【数字化服务商职责】  数字化服务商职责：

（一）在采购阶段，严格遵守《中华人民共和国招标投标法》及相关法律，不得出现串标、陪标等违法行为。

（二）在建设阶段，严格按照项目需求响应文件开展建设，把握项目整体建设节点，在项目实际建设内容出现偏差时提醒业主单位。

（三）在验收阶段，竣工验收前根据主管单位要求通过应用验收并完成问题整改。

符合竣工验收条件的，配合监理和业主单位完成竣工验收文档的编制，并在竣工验收答辩中回答专家问询，根据专家所提建议及时作出整改。

（四）在绩效评价阶段，按照评价结果在规定时限内整改相应问题并通过整改核验。涉及应用日志改造的，按照主管单位要求在规定时限内完成日志改造并将改造后指标推送至市大数据局日志管理系统。

（五）保护项目知识产权，未经业主单位允许情况下，不允许将相关知识产权用于本县以外地区的项目建设。

第五章 安全管理

第十七条【定义】  通过“线上、线下”相结合的方式，对本县数字化服务商的自身安全与数字化项目安全进行监管，包括开展飞行检查、协议签署等内容。

第十八条【县大数据局职责】  县大数据局职责：

（一）协同县委网信办、县公安局，对数字化服务商进行安全管理，严格数字化服务商准入审核，将网络安全、监管制度、保密制度、技术防范、信用情况等纳入审核范围，实行年审制和发生网络安全重大问题“一票否决制”。

（二）督促业主单位与数字化服务商及其工作人员签订安全、保密协议。

（三）协同县委网信办、县公安局，对本县数字化服务商开展攻防演练、飞行检查等工作。

第十九条【业主单位职责】  业主单位职责：

（一）根据数字化项目建设内容，开展项目建设风险评估，研究确定项目承建单位资质条件。

（二）与数字化服务商签署安全、保密等协议，明确责任边界、安全承诺和违约责任等。

（三）建立健全数字化服务商工作人员管理制度，加强安全背景审查，签订入场、离岗安全、保密等协议。

（四）建立健全数字化服务商工作人员行为审批、跟踪和监管机制，对可能威胁网络安全的操作行为，坚持先审批后操作。现场运维实行专人监督，特别是对数据库等核心设备操作必须通过安全防护设备或采取实时监控等有效措施，严禁服务外包人员直接操作敏感数据。

（五）与服务商合同到期后，及时回收系统测试、调试或过期账号，确保系统授权访问权限最小化。

（六）建立健全惩戒机制，及时向数字化服务商通报存在异常或违规行为的工作人员，督促其开展内部惩戒。

（七）依托数字化服务商档案库，及时推送数字化服务商在安全管理过程中的履职尽责情况。

第二十条【数字化服务商职责】  数字化服务商职责：

（一）制定本单位安全管理办法，明确安全工作体系与主体责任。

（二）按照业主单位要求，签订本单位与业主单位的安全、保密等协议，并组织工作人员签订安全、保密等协议。

（三）配合业主单位和主管单位开展攻防演练、飞行检查等工作，针对发现的问题，第一时间查明原因，并扩大范围开展相似问题自查，在规定时限内完成问题整改。

（四）对行为异常或违规的人员，及时开展内部惩戒，并将惩戒结果第一时间向主管单位与业主单位报告。

（五）在系统上线前，应组织开展网络安全评估，评估报告经业主单位审批后，方可上线运行。在系统更新时，需在模拟环境中测试通过，测试报告经业主单位审批后，在非工作时间部署到正式环境，严禁数字化服务商人员擅自进行更新操作。

（六）及时有效保存项目操作日志，且所有操作行为日志必须满足《网络安全法》规定留存6个月以上的要求。

（七）定期开展网络安全知识、职业道德、保密和法律法规等方面培训，强化警示教育，不断增强数字化服务商人员的职业操守和法律观念。

第六章  附则

第二十一条【例外】  涉及国家秘密的，按照国家有关规定执行。

第二十二条【解释权】  本办法由县大数据局负责解释。

第二十三条【施行时间】  本办法自2023年 月 日起施行。