采 购 需 求
******税务局2024年等级保护测评及密码应用安全性评估服务采购项目
2024年10月
目 录
1项目概述
1.1项目背景
1.1.1项目目的、意义及背景
1.2项目内容
1.2.1项目建设思路
1.2.2采购内容
1.2.3项目实施要求
2投标/响应要求
2.1对供应商的要求
2.1.1必备资质
2.1.2是否允许联合体
2.1.3是否专门面向中小企业
2.2技术部分投标/响应内容
2.2.1投标/响应方案要求
3项目需求
3.1总体要求
3、测评时间
3.2服务内容和要求
3.2.1技术和服务客观指标
4人员要求
4.1总体要求
4.2管理团队
4.2.1项目经理
4.3技术团队
4.4优选资质/优选指标
5管理实施要求
2.项目管理要求
3.项目进度要求
6保密要求
7知识转移要求
8风险管控要求
9履约验收要求
9.1总体要求
9.2具体要求
10其他要求
10.1必备要求
10.1.1★税收信息化项目开发和应用管理工作要求
10.1.2★供应链安全管理要求
10.1.3★信息化服务运维人员要求
10.1.4其他
10.2知识产权要求
10.3付款安排建议
1项目概述
1.1项目背景
1.1.1项目目的、意义及背景
近年来,《中华人民共和国网络安全法》、《数据安全法》和《关键信息基础设施安全保护条例》相继颁布和实施,我国第一次以法律形式进一步明确国家实行网络安全等级保护制度和密码管理制度。网络运营者应当按照网络安全等级保护制度的要求,履行等级保护、风险评估、安全监测、应急响应、安全加固等工作,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改文件要求。
******办公室关于落实网络安全等******办公室关于做好金税四期信息系统网络安全等级保护相关工作的通知》相关规定,为贯彻落实国家网络安全法律法规,强化我省税务网络安全合规管理,全面落实文件深化定级备案、定期开展等级测评、科学实施安全整************税务局、 增值税发票系统、门户网站、自助办税等税务总局统推及省局自建的重要税费业务系统、基础设施支撑系统、行政办公类系统的安全保护要求,开展等级保护测评及密码应用安全性评估工作。
1.2项目内容
1.2.1项目建设思路
按照税务总局网络安全合规管理要求,开展2024年度业务系统等级保护测评和密码应用安全性评估******税务局、金三核心征管等)开展等保测评及密码应用安全性评估,确保业务安全合规,保障纳税人缴费人权益,同时根据总局及省局税费系统上线前要求安全渗透测试要求,项目提供一年6次的现场漏洞扫描和安全渗透测试服务和相关安全技能训练。
1.2.2采购内容
1.2.3项目实施要求
1.2.3.1实施范围要求
******税务局12个等级保护的税费业务系统,包括金四数电发票、金三核心征管等,对纳入等保三级的系统开展密码应用安全性评测。
1.2.3.2实施时间要求
2025年4月1日-2026年3月31日
1.2.3.3实施地点要求
******税务局数据处理中心
2投标/响应要求
2.1对供应商的要求
2.1.1必备资质
2.1.1.1投标人应遵守有关国家法律、法规和条例,具备《中华人民共和国政府采购法》第二十二条的规定和本文件中规定的条件。
2.1.1.2本项目的特定资格要求
无
2.1.2是否允许联合体
否
2.1.3是否专门面向中小企业
本项目专门面向中小企业采购项目
2.2技术部分投标/响应内容
2.2.1投标/响应方案要求
以下相关方案,若作为评审因素,则投标人应在满足★关键指标项要求的前提下,根据项目特点和采购需求,制定更为完整、详细、可操作性强的方案。
投标人应根据需求制定项目实施管理方案,全面响应项目内容各方面。方案应包含服务团队的组建,等级保护和密码应用安全性评测要点,差距分析和测评报告的编制,网络安全应急和ctf等方面技能的训练规划以及安全测试等。
3项目需求
3.1总体要求
1、等保及密评系统清单
******税务局近年来金税三期、金税四期重要业务系统的应用上线、系统合并和业务调整情况,结合税务总局相关文件要求、等级保护测评和密码应用安全性评估相关要求,综合当前各系统测评情况,列入2024年度等级保护和密码应用安全性评估相关系统清单如下:
2、测评范围
等级保护测评:本次等级保护测评分为技术安全测评和管理安全测评,技术安全测评包括物理安全、网络安全、主机安全、应用安全和数据安全,管理安全测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面的测评。
密码应用安全性评估:参照gb/t 39786-2021《信息安全技术 信息系统密码应用基本要求》,综合考虑系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。需采用密码技术措施和有效的安全管理措施,针对系统重点弥补在身份鉴别、安全传输、信息加密、完整性保护、不可否认等方面密码应用薄弱的环节,消除密码应用环节的不合规、不安全密码技术和密码算法现象,进一步提高系统的密码应用水平。
3、测评时间
按采购人要求,一年内完成。
4、项目工作内容
******税务局自身信息化建设和应用系统生命周期具体情况,开展等级保护测评和密码应用安全性评估服务,按照国家法律法规和税务总局网络和数据安全合规性管理要求,及时发现和解决重要业务系统所面临的最主要的安全问题,梳理存在的薄弱环节和安全隐患,并提出有效意见建议,协助组织开展安全整改,将有限的资源投入到最有效的地方,不断加强信息系统安全保护能力为目标。本项目主要工作内容:
(1)网络基础设施和信息系统梳理
******税务局等级保护定级和测评情况,开展网络基础设施和信息系统定级备案梳理和排查工作,准确地规划和设计江西省税务信息系统等级保护测评和密码应用安全性评估工作。
(2)网络安全等级保护定级和备案服务
服务对象:本需求等保及密评系统清单所列12个等保三级系统。
具体要求:信息系统的定级是开展网络安全等级保护工作的首要环节和基础,测评机构派遣公安部信息安全测评中心或中关村测评联盟认证的中级测评师(或以上)协助用户单位完成等级保护定级和公安备案工作。为了准确、科学的开展信息系统定级工作,开展进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,进下一步明确要求、落实责任奠定基础。
定级工作应严格遵循《网络安全等级保护定级指南》(gb/t 22240-2019 征求意见稿),深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求, 细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析,准确判定信息系统安全等级,编制《定级报告》和《备案表》,并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,使顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。
工作过程文件及项目交付成果(包括但不限于):省级公安监管机关颁发的《信息系统安全等级保护备案证明》;
具体要求:根据国家行业信息安全要求,结合实际需求,严格遵循《网络安全等级保护条例》、《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等,并应深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求,细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析, 召开定级专家咨询会议,准确判定信息系统安全等级,编制《定级报告》和《备案表》, 并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,保证采购方顺利获得监管机关颁发的《信息系统安全等级保护备案证明》;若备案不成功,则合同不生效。
(3)网络安全等级保护测评服务
******税务局网络基础设施和各类业务管理系统。
具体要求:测评机构必须具备《网络安全等级保护测评机构推荐证书》,工作阶段、流程、内容、及成果交付严格遵循《网络安全等级保护测评要求》(gb/t 28448-2019)、《网络安全等级保护测评过程指南》(gb/t 28449-2018)和《信息安全技术 网络安全等级保护基本要求》(等保 2.0)文件。本项目测评系统复杂规模大、部署广、测评时间集中,应按照项目组开展工作,项目团队中应组织公安部信息安全测评中心或中关村测评联盟颁发高级测评师负责项目组管理,并根据系统等级开展相应级别的开展单项测评和整体测评分析;测评报告内容及格式严格遵照网络安全等级保护测评报告最新模版,符合公安部门定级和备案要求。
按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》,遵循《网络安全等级保护基本要求》(gb/t ******管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等 10 个层面进行测评,并参考采购人自身信息安全管理要求,进行综合分析和整体测评。
应依据信息系统的业务应用和内外部环境,深入调研分析各信息系统资产状况和重要性程度,以及面临信息安全的威胁。
******消防、防雷击、防水防潮、防静电、空调、ups、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。
管理安全方面应对采购人信息安全管理现状进行需求分析,确定安全管理目标和安全策略,针对信息系统的各类管理活动,梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。
应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、web 应用漏洞分析工具等对网络、主机等进行渗透测试分析。
应采取等级测评、安全审计、风险评估等方法,逐项对照《网络安全等级保护基本要求》的各安全要求项,评估确定系统当前安全防护现状以及与标准要求的差距,判断安全保护建设需求及其分析。
在收集充足数据之后,对现场测评获得的数据进行汇总分析,形成等级测评项目的最终结论,并编制最终的《网络安全等级保护等级测评报告》。
工作过程文件及项目交付成果(包括但不限于):《三级系统网络安全等级保护等级测评报告》;
(4)等保三级系统密码应用安全性评估服务
贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护,使用符合相关要求的密码产品和服务,要在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
对清单所列等保三级系统进行商用密码应用安全性评估服务,输出《信息系统密码应用方案评估意见》、《密码应用安全差距分析报告》、《密码应用安全性评估报告》,完成向密码主管部门完成报备工作,并按照税务总局安全合规性考核相关要求,对密码应用差距分析报告中的具体差异点出具具有可操作性的整改意见和建议报告,组织并主导对存在的问题进行整改,直至得分达到基本符合且不存在高风险问题。
(5)业务系统漏洞扫描和渗透测试服务
******税务局数据处理中心安全风险隐患排查及整改,网络和数据安全检查工作开展,新业务系统上线前的安全测试等工作需求,安排具有安全渗透测试能力的安全工程师按照采购人安全要求开展相关业务系统、基础设施等的漏洞扫描和渗透测试工作,服务期限内渗透测试工作不少于6次,具体开展时间由采购人根据业务实际安排。
(6)ctf、网络安全应急专项训练
训练对象:全省税务系统网络安全专业人才和储备人才。
具体要求:按照采购人要求,针对以上人员,开展网络安全集中普训及精英特训,讲授 ctf、网络安全应急赛、运维技能竞赛等网络安全专业知识和比赛要点,分析最前沿的信息安全形势,提升网络安全技能。参训人员和培训时间由采购人和中标人根据实际协商。
工作过程文件及项目交付成果(包括但不限于):课程内容计划、网络安全培训纪要等。
(7)等保测评及密评问题整改技术支持服务
对本项目等级保护测评报告及密码应用安全性评估差距分析报告中的不符合项目或部分符合项目提出具体的、具有可操作性的意见和建议,按照采购人实业务实际,提供包括但不限于制度修订、策略加固、设备配备等技术支持服务,确保采购人等保和密评工作达标,满足国家及税务安全合规性要求。
3.2服务内容和要求
采购文件(技术部分)中有标注★号的,为必备服务要求,必须满足,如未作出响应,将导致响应无效;#为重要服务内容、△为一般服务内容。
3.2.1技术和服务客观指标
3.2.1.1服务1
4人员要求
4.1总体要求
本项目的技术服务人员需具有信息安全服务工作经验,参加过网络安全等级保护测评、密码应用安全性评估项目并取得信息安全方面资质证书,提供人员管理及配备方案,并确保人员的稳定。如更换技术服务人员,须由采购人同意并签字确认。
4.2管理团队
4.2.1项目经理
供应商要配备有经验的专职项目经理,项目经理作为项目的总接口人及项目总负责人,负责项目实施的全面工作。在项目实施过程中,项目经理严格按照项目实施计划,全权负责项目进度的管理与监督,根据实际业务要求、各种资源状况、系统运行状况,项目经理须全面规划出符合实际的整个工作进度计划,其中包括:工作进度总时间表和人力资源表;各阶段的具体工作内容、工作周期以及相应的负责人员;项目里程牌的定义及完工标准。项目经理将按照制订的工作进度计划对项目实施进行协调、监督与管理,定期向项目领导小组做进度报告;对于计划调整的部分,必须及时向采购人提交变更申请,在得到批准后,及时调整工作进度计划,并在保证工期和质量的前提下,协调各种资源,监督项目实施。项目经理要审查技术实施后的项目质量,以确保整个项目顺利、高质量的完成。
4.3技术团队
供应商需为本项目组建技术团队,团队成员必须具有信息安全服务工作经验,取得相关测评和密评资质证书,确保在约定服务期内高效完成等级保护测评、密码应用安全性评测的现场实施,差距分析,整改建议和总体报告编订各项工作,并按照采购人要求组织开展漏洞扫描和渗透测试,协助完成相关网络安全问题的整改。
4.4优选资质/优选指标
5管理实施要求
1、实施要求
(1)投标人必须具备独立完成本项目的能力;
(2)投标人必须提供公安部第三研究所认证的《网络安全等级测评与检测评估机构服务认证证书》;
(3)投标人必须提供中国网络安全审查技术与认证中心颁发的《信息安全风险评估证书》;
(4)中标人应对了解到的信息保密,并提供保密承诺;
(5)中标人在项目现场实施周期内,必须为本项目成立安全服务项目组,安排包括项目经理和各测评实施小组进场调研、测评工作;
(6)在采购人进行整改过程中提供必要的技术支持。
******办公室处罚、警告、勒令整改单位,不得参与此项目。
2.项目管理要求
(1)组织实施要求
投标人应安排专职项目经理负责本次项目的实施。
投标人应保证项目团队成员的稳定,以保证服务的质量和连贯性。
(2)人员安排要求
本项目的技术服务人员需具有信息安全服务工作经验,参加过网络安全等级保护测评、密码应用安全性评估项目并取得信息安全方面资质证书,提供人员管理及配备方案,并确保人员的稳定。如更换技术服务人员,须由采购人同意并签字确认。
3.项目进度要求
进度计划:按合同约定的服务期限提供1年安全服务。
项目验收条件:中标人按照“项目服务内容”规定的交付成果,经采购人完全确认后,完成验收。
6保密要求
按照税务总局要求,在提供技术前,供应商和运维服务人员必须与采购人签订相关安全保密协议和承诺书,承诺包括网络安全管理规定和相关保密要求。保密时限最低10年,法律法规有规定的从其规定,中标人未经采购人技术部门和业务部门许可,不得私自对外开放系统接口及系统数据,因个人原因导致采购人安全问题和数据泄密需承担法律责任。
供应商在任何时候对其持有的事务或其事务运转操作方法等信息实行严格保密;除非有书面授权或出于相关方进行活动的必要,不得在任何时间向任何人透露任何保密信息;除非有书面指示或出于履行其义务的合理要求,不得把任何保密信息交给任何人;不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。
具体要求如下:
1、供应商必须与采购人签署信息安全保密协议,保证采购人信息不被泄露;
2、供应商为采购人提供运维服务的人员必须与采购人签署信息安全保密承诺书;
3、供应商应严格遵守采购人的各项安全管理制度,严格按照操作流程操作,避免人为或非人为因素的信息泄露;
4、进入采购人服务地点的人员禁止携带任何移动存储平台进入工作场地,并要求对接触的信息保密。
5、运维服务人员必须遵守江西税务安全管理规范,因个人原因导致招标人安全泄密需承担法律责任。
7知识转移要求
本项目无知识转移要求
8风险管控要求
合同期内,乙方应严格遵守甲方各项网络安全管理制度、税务信息化供应链安全管理等制度,规范人员管理,履行安全保密责任,严格按照合同约定提供业务运维和运行保障服务,如出现以下等失信行为的,甲方可要求乙方限期改正、扣除合同款项等惩戒,视具体情况按次扣除合同总价款1‰至1%之间的金额,合同生效期间累计扣除不超过合同总价款5%的金额;情节严重的,甲方有权采取解除合同、上报税务总局在全国税务部门通报、3年内限制参加税务系统信息化项目政府采购活动、推送财政主管部门纳入政府采购失信名单等相关对应措施。
(1)攻击或侵入税务信息系统(包括ca等);
(2)违反采购人网络安全管理规定,造成数据失窃、信息泄露、系统瘫痪等不良后果的;
(3)乙方运维服务质量评价被扣减5分(含5分)以上,且未按承诺改进到位的;
(4)违反合同约定内容,造成不良后果的;
(5)利用为税务机关提供信息化服务的便利,向纳税人、缴费人搭车收费或变相收费;
(6) 另行开发销售合同业务需求范围内,供纳税人、缴费人使用的软件;
(7)存在馈赠礼品礼金、邀请娱乐消费等非正常交往手段“围猎”税务人员行为的;
(8)违法违规聘用3年内离职且离职前3年内从事过税务信息化及相关信息系统业务条线工作人员;
(9)其他违反规定造成不良后果的行为。
9履约验收要求
9.1总体要求
9.2具体要求
1、验收主体
由采购人自行组织相关项目管理及验收小组进行最终验收。
2、验收时间
服务期结束后一个月内开展项目最终验收。
3、验收方式
审核本项目实施工作内容的完成情况,审核服务的合规性和完整性,与合同要求的符合性。
4、验收程序
中标单位应按照采购人要求,移交项目实施过程中的各类文档,并经过采购人或者验收小组验收签字。
5、验收内容
(1)检查各类文档是否齐全。
(2)检验各项验收文档资料是否完整、准确、规范。
(3)审查实施服务报告,评价各类服务对象的运行稳定性。
(4)审查服务人员工作主动性,是否按时按量完成采购人交办的与服务相关的工作。
(5)中标单位应就项目实施工作,采取文档讲解、会议研讨、培训、在日常工作中进行传帮带等方式,完成对采购人的知识转移工作。
6、主要交付物
中标单位应向采购人提供以下文档但不限于下述文档:
(1)等级保护备案证明及密码应用安全评测备案证明材料。对采购人新增涉税系统进行等级保护梳理,拟定定级报告和备案信息表,开展系统备案并向采购人提交由公安部门出具的《信息系统安全等级保护备案证明》(一式一份)。提交由江西省商用密码主管部门出具的备案材料回执及证明材料等。
(2)等级保护测评及密码应用安全性评测报告。完成对所有测评系统的现场测评、渗透测试及漏洞扫描后,提交签字盖章的等级保护测评报告(每系统一份),密码应用安全性评测报告(等保三级系统每系统一份)。
(3)安全漏洞扫描及渗透测试报告。按照采购人安全渗透测试工作要求,服务期内完成6次漏洞扫描和渗透测试服务,提交签字盖章等渗透测试服务报告。
(4)安全培训总结报告。根据约定的安全培训要求,提交签字盖章的安全培训总结报告,报告内容包括技能培训内容、培训成效等。
(5)项目过程文档。项目实施过程中形成的工作计划和工作记录、扫描和渗透测试报告(电子版)。
(6)项目其它文档。项目实施过程中需要归档的其它文档。
7、验收标准
(1)服务依据:《税务系统政府采购履约验收管理办法》(试运行)
(2)中标单位保质保量、按整体解决方案如期完成采购人涉税系统等级保护测评、密码应用安全性评估、安全渗透测试及相关安全技能培训工作,满足采购人对服务质量、技术指标、服务成果全部要求。
10其他要求
10.1必备要求
10.1.1★税收信息化项目开发和应用管理工作要求
供应商在采购以及后续项目实施过程中,应严格遵守国家税务总局税收信息化项目开发和应用管理工作要求。对于因失信行为纳入《税务系统信息化服务商失信行为记录名单》的供应商,存在一般失信行为的,由采购人函告服务商;存在严重失信行为的,由采购人约谈服务商主要负责人;对于违反合同约定的,依据合同约定及政府采购有关规定,采购人可采取要求限期改正、在应付合同金额中扣除违约金、解除合同、拒绝参加税务系统政府采购活动等措施;对于存在影响恶劣的严重违法失信行为的,由采购人按规定推送财政部纳入政府采购严重违法失信行为记录名单。
本项目为技术服务项目,不涉及信息化项目开发和应用管理。
10.1.2★供应链安全管理要求
1、人员资格要求
(1)签订承诺书。供应商应严格落实国家税务总局网络安全和保密管理要求,承担技术支持人员的网络安全和保密管理责任,按采购人要求签订协议和承诺书。
(2)开展背景审查。供应商承担技术支持人员背景审查工作,提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料,并提交采购人进行备案。
(3)设置网络安全负责人(由驻场运维人员兼任)。供应商为本项目配备一名网络安全负责人,该负责人具备独立决策能力并保持相对稳定,在项目实施的全过程负责网络安全工作,组织落实各项网络安全要求。
2、日常行为规范要求
(1)工作能力要求。供应商负责对技术支持人员进行资格条件、工作胜任力以及网络安全能力评估,对技术支持人员承担的工作进行安全保密风险分析,明确技术支持人员工作范围和边界,重点防范设备和资料失窃、误操作导致的软硬件故障、工作秘密和税费数据等信息泄露、信息系统越权访问和网络攻击等风险。
(2)教育培训要求。供应商负责对技术支持人员进行网络和数据安全法律法规、网络安全意识、网络安全管理、网络安全技能、保密意识以及网络安全警示教育等培训,上岗前对其进行考核。
3、违约惩戒措施
供应商对供应链安全管理责任落实不到位,造成安全事件或产生不良影响的,采购人按照《税务系统信息化服务商失信行为记录名单制度(试行)》(税总办征科发〔2022〕1号)要求,组织对供应商进行失信行为认定,并采取相应的处置措施。
4、安全管控要求
(1)安全技能要求。供应商负责派驻技术支持人员工作胜任、资格条件、以及网络安全能力评估,对技术支持人员承担的工作进行安全保密风险分析,明确技术支持人员工作范围和边界,重点防范设备和资料失窃、误操作导致的软硬件故障、敏感信息泄露、信息系统越权访问和网络攻击等风险。
(2)源代码安全要求。供应商应加强源代码安全管理,开发环境的可信可控,使用第三方组件必须执行测试和升级加固,确保税务供应链安全。
10.1.3★信息化服务运维人员要求
本项目涉及信息化服务运维人员的,运维人员应当是运维单位的正式人员,或者是与运维单位签订1年以上劳动合同且实际工作满1年的人员,常驻运维人员应当为技术骨干。
10.1.4其他
1.本项目中如涉及商品包装和快递包装的,其包装需求标准应不低于《关于印发<商品包装政府采购需求标准(试行)>;、<快递包装政府采购需求标准(试行)>;的通知》(财办库〔2020〕123 号)规定的包装要求,如有其他包装需求,详见采购文件技术部分相关章节。
************************委员会 2023 年第 2号《关于调整<网络关键设备和网络安全专用产品目录>;的公告》等相关文件要求,所投标(响应)设备或产品至少符合以下条件之一:一是已由具备资格的机构安全认证合格或安全检测符合要求;二是已获得《计算机信息系统安全专用产品销售许可证》,且在有效期内。
3.本项目中如涉及国家强制性产品认证证书(ccc 认证证书)、电信设备进网许可证、无线电发射设备核准证等市场准入类资质的,应严格执行国家相关法律法规的要求。
以上相关要求,由供应商在响应时应答,在履约验收中,采购人将按照采购文件、中标/成交供应商响应文件、采购合同等对中标/成交供应商提供的货物和服务进行验收,必要时依法依规开展相应检测、认证。
10.2知识产权要求
无
10.3付款安排建议
备注:该需求公示期为3个工作日
******税务局2024年等级保护测评及密码应用安全性评估服务采购项目
2024年10月
目 录
1项目概述
1.1项目背景
1.1.1项目目的、意义及背景
1.2项目内容
1.2.1项目建设思路
1.2.2采购内容
1.2.3项目实施要求
2投标/响应要求
2.1对供应商的要求
2.1.1必备资质
2.1.2是否允许联合体
2.1.3是否专门面向中小企业
2.2技术部分投标/响应内容
2.2.1投标/响应方案要求
3项目需求
3.1总体要求
3、测评时间
3.2服务内容和要求
3.2.1技术和服务客观指标
4人员要求
4.1总体要求
4.2管理团队
4.2.1项目经理
4.3技术团队
4.4优选资质/优选指标
5管理实施要求
2.项目管理要求
3.项目进度要求
6保密要求
7知识转移要求
8风险管控要求
9履约验收要求
9.1总体要求
9.2具体要求
10其他要求
10.1必备要求
10.1.1★税收信息化项目开发和应用管理工作要求
10.1.2★供应链安全管理要求
10.1.3★信息化服务运维人员要求
10.1.4其他
10.2知识产权要求
10.3付款安排建议
1项目概述
1.1项目背景
1.1.1项目目的、意义及背景
近年来,《中华人民共和国网络安全法》、《数据安全法》和《关键信息基础设施安全保护条例》相继颁布和实施,我国第一次以法律形式进一步明确国家实行网络安全等级保护制度和密码管理制度。网络运营者应当按照网络安全等级保护制度的要求,履行等级保护、风险评估、安全监测、应急响应、安全加固等工作,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改文件要求。
******办公室关于落实网络安全等******办公室关于做好金税四期信息系统网络安全等级保护相关工作的通知》相关规定,为贯彻落实国家网络安全法律法规,强化我省税务网络安全合规管理,全面落实文件深化定级备案、定期开展等级测评、科学实施安全整************税务局、 增值税发票系统、门户网站、自助办税等税务总局统推及省局自建的重要税费业务系统、基础设施支撑系统、行政办公类系统的安全保护要求,开展等级保护测评及密码应用安全性评估工作。
1.2项目内容
1.2.1项目建设思路
按照税务总局网络安全合规管理要求,开展2024年度业务系统等级保护测评和密码应用安全性评估******税务局、金三核心征管等)开展等保测评及密码应用安全性评估,确保业务安全合规,保障纳税人缴费人权益,同时根据总局及省局税费系统上线前要求安全渗透测试要求,项目提供一年6次的现场漏洞扫描和安全渗透测试服务和相关安全技能训练。
1.2.2采购内容
| 序号 | 采购内容 | 数量(单位) |
| 1 | 等保测评服务 | 1年 |
| 2 | 三级系统密码应用安全性评估服务 | 1年 |
| 3 | 安全漏洞扫描及安全渗透服务 | 6次 |
| 4 | 全省税务ctf、网络安全应急专项训练 | 1次 |
| 5 | 等保测评及密评问题整改技术支持服务 | 1次 |
1.2.3.1实施范围要求
******税务局12个等级保护的税费业务系统,包括金四数电发票、金三核心征管等,对纳入等保三级的系统开展密码应用安全性评测。
1.2.3.2实施时间要求
2025年4月1日-2026年3月31日
1.2.3.3实施地点要求
******税务局数据处理中心
2投标/响应要求
2.1对供应商的要求
2.1.1必备资质
2.1.1.1投标人应遵守有关国家法律、法规和条例,具备《中华人民共和国政府采购法》第二十二条的规定和本文件中规定的条件。
2.1.1.2本项目的特定资格要求
无
2.1.2是否允许联合体
否
2.1.3是否专门面向中小企业
本项目专门面向中小企业采购项目
2.2技术部分投标/响应内容
2.2.1投标/响应方案要求
以下相关方案,若作为评审因素,则投标人应在满足★关键指标项要求的前提下,根据项目特点和采购需求,制定更为完整、详细、可操作性强的方案。
投标人应根据需求制定项目实施管理方案,全面响应项目内容各方面。方案应包含服务团队的组建,等级保护和密码应用安全性评测要点,差距分析和测评报告的编制,网络安全应急和ctf等方面技能的训练规划以及安全测试等。
3项目需求
3.1总体要求
1、等保及密评系统清单
******税务局近年来金税三期、金税四期重要业务系统的应用上线、系统合并和业务调整情况,结合税务总局相关文件要求、等级保护测评和密码应用安全性评估相关要求,综合当前各系统测评情况,列入2024年度等级保护和密码应用安全性评估相关系统清单如下:
| 序号 | 评测系统 | 等级保护 评测等级 | 密码应用评估 | 备注 |
| 1 | ******税务局金税四期数电发票系统 (含电子发票服务平台、统一身份管理平台、征纳互动平台、多云运维平台、应用支撑平台、安全管理平台、慧办平台等7个系统) | 三级 | 是 | |
| 2 | ******税务局系统 ******税务局app、税务地理信息系统、税务区块链基础平台等4个系统) | 三级 | 是 | |
| 3 | 江西税务门户网站 | 三级 | ||
| 4 | 江西税务金三核心征管系统 | 三级 | 是 | |
| 5 | 江西税务自然人税收(its)系统 | 三级 | 是 | |
| 6 | 江西税务增值税发票系统 | 三级 | 是 | |
| 7 | 江西税务社保费系统 | 三级 | 是 | |
| 8 | 江西税务自助办税终端系统 | 三级 | 是 | |
| 9 | 江西税务微信电子工作交互平台 | 三级 | 是 | |
| 10 | 江西税务金税三期税库银子系统 | 三级 | 是 | |
| 11 | 江西税务通用密码组件系统 | 三级 | 是 | |
| 12 | ******税务局大数据智能分析应用平台 | 三级 | 是 |
等级保护测评:本次等级保护测评分为技术安全测评和管理安全测评,技术安全测评包括物理安全、网络安全、主机安全、应用安全和数据安全,管理安全测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面的测评。
密码应用安全性评估:参照gb/t 39786-2021《信息安全技术 信息系统密码应用基本要求》,综合考虑系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。需采用密码技术措施和有效的安全管理措施,针对系统重点弥补在身份鉴别、安全传输、信息加密、完整性保护、不可否认等方面密码应用薄弱的环节,消除密码应用环节的不合规、不安全密码技术和密码算法现象,进一步提高系统的密码应用水平。
3、测评时间
按采购人要求,一年内完成。
4、项目工作内容
******税务局自身信息化建设和应用系统生命周期具体情况,开展等级保护测评和密码应用安全性评估服务,按照国家法律法规和税务总局网络和数据安全合规性管理要求,及时发现和解决重要业务系统所面临的最主要的安全问题,梳理存在的薄弱环节和安全隐患,并提出有效意见建议,协助组织开展安全整改,将有限的资源投入到最有效的地方,不断加强信息系统安全保护能力为目标。本项目主要工作内容:
(1)网络基础设施和信息系统梳理
******税务局等级保护定级和测评情况,开展网络基础设施和信息系统定级备案梳理和排查工作,准确地规划和设计江西省税务信息系统等级保护测评和密码应用安全性评估工作。
(2)网络安全等级保护定级和备案服务
服务对象:本需求等保及密评系统清单所列12个等保三级系统。
具体要求:信息系统的定级是开展网络安全等级保护工作的首要环节和基础,测评机构派遣公安部信息安全测评中心或中关村测评联盟认证的中级测评师(或以上)协助用户单位完成等级保护定级和公安备案工作。为了准确、科学的开展信息系统定级工作,开展进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,进下一步明确要求、落实责任奠定基础。
定级工作应严格遵循《网络安全等级保护定级指南》(gb/t 22240-2019 征求意见稿),深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求, 细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析,准确判定信息系统安全等级,编制《定级报告》和《备案表》,并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,使顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。
工作过程文件及项目交付成果(包括但不限于):省级公安监管机关颁发的《信息系统安全等级保护备案证明》;
具体要求:根据国家行业信息安全要求,结合实际需求,严格遵循《网络安全等级保护条例》、《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等,并应深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求,细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析, 召开定级专家咨询会议,准确判定信息系统安全等级,编制《定级报告》和《备案表》, 并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,保证采购方顺利获得监管机关颁发的《信息系统安全等级保护备案证明》;若备案不成功,则合同不生效。
(3)网络安全等级保护测评服务
******税务局网络基础设施和各类业务管理系统。
具体要求:测评机构必须具备《网络安全等级保护测评机构推荐证书》,工作阶段、流程、内容、及成果交付严格遵循《网络安全等级保护测评要求》(gb/t 28448-2019)、《网络安全等级保护测评过程指南》(gb/t 28449-2018)和《信息安全技术 网络安全等级保护基本要求》(等保 2.0)文件。本项目测评系统复杂规模大、部署广、测评时间集中,应按照项目组开展工作,项目团队中应组织公安部信息安全测评中心或中关村测评联盟颁发高级测评师负责项目组管理,并根据系统等级开展相应级别的开展单项测评和整体测评分析;测评报告内容及格式严格遵照网络安全等级保护测评报告最新模版,符合公安部门定级和备案要求。
按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》,遵循《网络安全等级保护基本要求》(gb/t ******管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等 10 个层面进行测评,并参考采购人自身信息安全管理要求,进行综合分析和整体测评。
应依据信息系统的业务应用和内外部环境,深入调研分析各信息系统资产状况和重要性程度,以及面临信息安全的威胁。
******消防、防雷击、防水防潮、防静电、空调、ups、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。
管理安全方面应对采购人信息安全管理现状进行需求分析,确定安全管理目标和安全策略,针对信息系统的各类管理活动,梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。
应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、web 应用漏洞分析工具等对网络、主机等进行渗透测试分析。
应采取等级测评、安全审计、风险评估等方法,逐项对照《网络安全等级保护基本要求》的各安全要求项,评估确定系统当前安全防护现状以及与标准要求的差距,判断安全保护建设需求及其分析。
在收集充足数据之后,对现场测评获得的数据进行汇总分析,形成等级测评项目的最终结论,并编制最终的《网络安全等级保护等级测评报告》。
工作过程文件及项目交付成果(包括但不限于):《三级系统网络安全等级保护等级测评报告》;
(4)等保三级系统密码应用安全性评估服务
贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护,使用符合相关要求的密码产品和服务,要在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
对清单所列等保三级系统进行商用密码应用安全性评估服务,输出《信息系统密码应用方案评估意见》、《密码应用安全差距分析报告》、《密码应用安全性评估报告》,完成向密码主管部门完成报备工作,并按照税务总局安全合规性考核相关要求,对密码应用差距分析报告中的具体差异点出具具有可操作性的整改意见和建议报告,组织并主导对存在的问题进行整改,直至得分达到基本符合且不存在高风险问题。
(5)业务系统漏洞扫描和渗透测试服务
******税务局数据处理中心安全风险隐患排查及整改,网络和数据安全检查工作开展,新业务系统上线前的安全测试等工作需求,安排具有安全渗透测试能力的安全工程师按照采购人安全要求开展相关业务系统、基础设施等的漏洞扫描和渗透测试工作,服务期限内渗透测试工作不少于6次,具体开展时间由采购人根据业务实际安排。
(6)ctf、网络安全应急专项训练
训练对象:全省税务系统网络安全专业人才和储备人才。
具体要求:按照采购人要求,针对以上人员,开展网络安全集中普训及精英特训,讲授 ctf、网络安全应急赛、运维技能竞赛等网络安全专业知识和比赛要点,分析最前沿的信息安全形势,提升网络安全技能。参训人员和培训时间由采购人和中标人根据实际协商。
工作过程文件及项目交付成果(包括但不限于):课程内容计划、网络安全培训纪要等。
(7)等保测评及密评问题整改技术支持服务
对本项目等级保护测评报告及密码应用安全性评估差距分析报告中的不符合项目或部分符合项目提出具体的、具有可操作性的意见和建议,按照采购人实业务实际,提供包括但不限于制度修订、策略加固、设备配备等技术支持服务,确保采购人等保和密评工作达标,满足国家及税务安全合规性要求。
3.2服务内容和要求
采购文件(技术部分)中有标注★号的,为必备服务要求,必须满足,如未作出响应,将导致响应无效;#为重要服务内容、△为一般服务内容。
3.2.1技术和服务客观指标
3.2.1.1服务1
4人员要求
4.1总体要求
本项目的技术服务人员需具有信息安全服务工作经验,参加过网络安全等级保护测评、密码应用安全性评估项目并取得信息安全方面资质证书,提供人员管理及配备方案,并确保人员的稳定。如更换技术服务人员,须由采购人同意并签字确认。
4.2管理团队
4.2.1项目经理
供应商要配备有经验的专职项目经理,项目经理作为项目的总接口人及项目总负责人,负责项目实施的全面工作。在项目实施过程中,项目经理严格按照项目实施计划,全权负责项目进度的管理与监督,根据实际业务要求、各种资源状况、系统运行状况,项目经理须全面规划出符合实际的整个工作进度计划,其中包括:工作进度总时间表和人力资源表;各阶段的具体工作内容、工作周期以及相应的负责人员;项目里程牌的定义及完工标准。项目经理将按照制订的工作进度计划对项目实施进行协调、监督与管理,定期向项目领导小组做进度报告;对于计划调整的部分,必须及时向采购人提交变更申请,在得到批准后,及时调整工作进度计划,并在保证工期和质量的前提下,协调各种资源,监督项目实施。项目经理要审查技术实施后的项目质量,以确保整个项目顺利、高质量的完成。
4.3技术团队
供应商需为本项目组建技术团队,团队成员必须具有信息安全服务工作经验,取得相关测评和密评资质证书,确保在约定服务期内高效完成等级保护测评、密码应用安全性评测的现场实施,差距分析,整改建议和总体报告编订各项工作,并按照采购人要求组织开展漏洞扫描和渗透测试,协助完成相关网络安全问题的整改。
4.4优选资质/优选指标
5管理实施要求
1、实施要求
(1)投标人必须具备独立完成本项目的能力;
(2)投标人必须提供公安部第三研究所认证的《网络安全等级测评与检测评估机构服务认证证书》;
(3)投标人必须提供中国网络安全审查技术与认证中心颁发的《信息安全风险评估证书》;
(4)中标人应对了解到的信息保密,并提供保密承诺;
(5)中标人在项目现场实施周期内,必须为本项目成立安全服务项目组,安排包括项目经理和各测评实施小组进场调研、测评工作;
(6)在采购人进行整改过程中提供必要的技术支持。
******办公室处罚、警告、勒令整改单位,不得参与此项目。
2.项目管理要求
(1)组织实施要求
投标人应安排专职项目经理负责本次项目的实施。
投标人应保证项目团队成员的稳定,以保证服务的质量和连贯性。
(2)人员安排要求
本项目的技术服务人员需具有信息安全服务工作经验,参加过网络安全等级保护测评、密码应用安全性评估项目并取得信息安全方面资质证书,提供人员管理及配备方案,并确保人员的稳定。如更换技术服务人员,须由采购人同意并签字确认。
3.项目进度要求
进度计划:按合同约定的服务期限提供1年安全服务。
项目验收条件:中标人按照“项目服务内容”规定的交付成果,经采购人完全确认后,完成验收。
6保密要求
按照税务总局要求,在提供技术前,供应商和运维服务人员必须与采购人签订相关安全保密协议和承诺书,承诺包括网络安全管理规定和相关保密要求。保密时限最低10年,法律法规有规定的从其规定,中标人未经采购人技术部门和业务部门许可,不得私自对外开放系统接口及系统数据,因个人原因导致采购人安全问题和数据泄密需承担法律责任。
供应商在任何时候对其持有的事务或其事务运转操作方法等信息实行严格保密;除非有书面授权或出于相关方进行活动的必要,不得在任何时间向任何人透露任何保密信息;除非有书面指示或出于履行其义务的合理要求,不得把任何保密信息交给任何人;不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。
具体要求如下:
1、供应商必须与采购人签署信息安全保密协议,保证采购人信息不被泄露;
2、供应商为采购人提供运维服务的人员必须与采购人签署信息安全保密承诺书;
3、供应商应严格遵守采购人的各项安全管理制度,严格按照操作流程操作,避免人为或非人为因素的信息泄露;
4、进入采购人服务地点的人员禁止携带任何移动存储平台进入工作场地,并要求对接触的信息保密。
5、运维服务人员必须遵守江西税务安全管理规范,因个人原因导致招标人安全泄密需承担法律责任。
7知识转移要求
本项目无知识转移要求
8风险管控要求
合同期内,乙方应严格遵守甲方各项网络安全管理制度、税务信息化供应链安全管理等制度,规范人员管理,履行安全保密责任,严格按照合同约定提供业务运维和运行保障服务,如出现以下等失信行为的,甲方可要求乙方限期改正、扣除合同款项等惩戒,视具体情况按次扣除合同总价款1‰至1%之间的金额,合同生效期间累计扣除不超过合同总价款5%的金额;情节严重的,甲方有权采取解除合同、上报税务总局在全国税务部门通报、3年内限制参加税务系统信息化项目政府采购活动、推送财政主管部门纳入政府采购失信名单等相关对应措施。
(1)攻击或侵入税务信息系统(包括ca等);
(2)违反采购人网络安全管理规定,造成数据失窃、信息泄露、系统瘫痪等不良后果的;
(3)乙方运维服务质量评价被扣减5分(含5分)以上,且未按承诺改进到位的;
(4)违反合同约定内容,造成不良后果的;
(5)利用为税务机关提供信息化服务的便利,向纳税人、缴费人搭车收费或变相收费;
(6) 另行开发销售合同业务需求范围内,供纳税人、缴费人使用的软件;
(7)存在馈赠礼品礼金、邀请娱乐消费等非正常交往手段“围猎”税务人员行为的;
(8)违法违规聘用3年内离职且离职前3年内从事过税务信息化及相关信息系统业务条线工作人员;
(9)其他违反规定造成不良后果的行为。
9履约验收要求
9.1总体要求
| 验收名称 | 验收要求 |
| 第1次验收 | 服务期结束后开展项目最终验收 |
1、验收主体
由采购人自行组织相关项目管理及验收小组进行最终验收。
2、验收时间
服务期结束后一个月内开展项目最终验收。
3、验收方式
审核本项目实施工作内容的完成情况,审核服务的合规性和完整性,与合同要求的符合性。
4、验收程序
中标单位应按照采购人要求,移交项目实施过程中的各类文档,并经过采购人或者验收小组验收签字。
5、验收内容
(1)检查各类文档是否齐全。
(2)检验各项验收文档资料是否完整、准确、规范。
(3)审查实施服务报告,评价各类服务对象的运行稳定性。
(4)审查服务人员工作主动性,是否按时按量完成采购人交办的与服务相关的工作。
(5)中标单位应就项目实施工作,采取文档讲解、会议研讨、培训、在日常工作中进行传帮带等方式,完成对采购人的知识转移工作。
6、主要交付物
中标单位应向采购人提供以下文档但不限于下述文档:
(1)等级保护备案证明及密码应用安全评测备案证明材料。对采购人新增涉税系统进行等级保护梳理,拟定定级报告和备案信息表,开展系统备案并向采购人提交由公安部门出具的《信息系统安全等级保护备案证明》(一式一份)。提交由江西省商用密码主管部门出具的备案材料回执及证明材料等。
(2)等级保护测评及密码应用安全性评测报告。完成对所有测评系统的现场测评、渗透测试及漏洞扫描后,提交签字盖章的等级保护测评报告(每系统一份),密码应用安全性评测报告(等保三级系统每系统一份)。
(3)安全漏洞扫描及渗透测试报告。按照采购人安全渗透测试工作要求,服务期内完成6次漏洞扫描和渗透测试服务,提交签字盖章等渗透测试服务报告。
(4)安全培训总结报告。根据约定的安全培训要求,提交签字盖章的安全培训总结报告,报告内容包括技能培训内容、培训成效等。
(5)项目过程文档。项目实施过程中形成的工作计划和工作记录、扫描和渗透测试报告(电子版)。
(6)项目其它文档。项目实施过程中需要归档的其它文档。
7、验收标准
(1)服务依据:《税务系统政府采购履约验收管理办法》(试运行)
(2)中标单位保质保量、按整体解决方案如期完成采购人涉税系统等级保护测评、密码应用安全性评估、安全渗透测试及相关安全技能培训工作,满足采购人对服务质量、技术指标、服务成果全部要求。
10其他要求
10.1必备要求
10.1.1★税收信息化项目开发和应用管理工作要求
供应商在采购以及后续项目实施过程中,应严格遵守国家税务总局税收信息化项目开发和应用管理工作要求。对于因失信行为纳入《税务系统信息化服务商失信行为记录名单》的供应商,存在一般失信行为的,由采购人函告服务商;存在严重失信行为的,由采购人约谈服务商主要负责人;对于违反合同约定的,依据合同约定及政府采购有关规定,采购人可采取要求限期改正、在应付合同金额中扣除违约金、解除合同、拒绝参加税务系统政府采购活动等措施;对于存在影响恶劣的严重违法失信行为的,由采购人按规定推送财政部纳入政府采购严重违法失信行为记录名单。
本项目为技术服务项目,不涉及信息化项目开发和应用管理。
10.1.2★供应链安全管理要求
1、人员资格要求
(1)签订承诺书。供应商应严格落实国家税务总局网络安全和保密管理要求,承担技术支持人员的网络安全和保密管理责任,按采购人要求签订协议和承诺书。
(2)开展背景审查。供应商承担技术支持人员背景审查工作,提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料,并提交采购人进行备案。
(3)设置网络安全负责人(由驻场运维人员兼任)。供应商为本项目配备一名网络安全负责人,该负责人具备独立决策能力并保持相对稳定,在项目实施的全过程负责网络安全工作,组织落实各项网络安全要求。
2、日常行为规范要求
(1)工作能力要求。供应商负责对技术支持人员进行资格条件、工作胜任力以及网络安全能力评估,对技术支持人员承担的工作进行安全保密风险分析,明确技术支持人员工作范围和边界,重点防范设备和资料失窃、误操作导致的软硬件故障、工作秘密和税费数据等信息泄露、信息系统越权访问和网络攻击等风险。
(2)教育培训要求。供应商负责对技术支持人员进行网络和数据安全法律法规、网络安全意识、网络安全管理、网络安全技能、保密意识以及网络安全警示教育等培训,上岗前对其进行考核。
3、违约惩戒措施
供应商对供应链安全管理责任落实不到位,造成安全事件或产生不良影响的,采购人按照《税务系统信息化服务商失信行为记录名单制度(试行)》(税总办征科发〔2022〕1号)要求,组织对供应商进行失信行为认定,并采取相应的处置措施。
4、安全管控要求
(1)安全技能要求。供应商负责派驻技术支持人员工作胜任、资格条件、以及网络安全能力评估,对技术支持人员承担的工作进行安全保密风险分析,明确技术支持人员工作范围和边界,重点防范设备和资料失窃、误操作导致的软硬件故障、敏感信息泄露、信息系统越权访问和网络攻击等风险。
(2)源代码安全要求。供应商应加强源代码安全管理,开发环境的可信可控,使用第三方组件必须执行测试和升级加固,确保税务供应链安全。
10.1.3★信息化服务运维人员要求
本项目涉及信息化服务运维人员的,运维人员应当是运维单位的正式人员,或者是与运维单位签订1年以上劳动合同且实际工作满1年的人员,常驻运维人员应当为技术骨干。
10.1.4其他
1.本项目中如涉及商品包装和快递包装的,其包装需求标准应不低于《关于印发<商品包装政府采购需求标准(试行)>;、<快递包装政府采购需求标准(试行)>;的通知》(财办库〔2020〕123 号)规定的包装要求,如有其他包装需求,详见采购文件技术部分相关章节。
************************委员会 2023 年第 2号《关于调整<网络关键设备和网络安全专用产品目录>;的公告》等相关文件要求,所投标(响应)设备或产品至少符合以下条件之一:一是已由具备资格的机构安全认证合格或安全检测符合要求;二是已获得《计算机信息系统安全专用产品销售许可证》,且在有效期内。
3.本项目中如涉及国家强制性产品认证证书(ccc 认证证书)、电信设备进网许可证、无线电发射设备核准证等市场准入类资质的,应严格执行国家相关法律法规的要求。
以上相关要求,由供应商在响应时应答,在履约验收中,采购人将按照采购文件、中标/成交供应商响应文件、采购合同等对中标/成交供应商提供的货物和服务进行验收,必要时依法依规开展相应检测、认证。
10.2知识产权要求
无
10.3付款安排建议
| 付款名称 | 付款要求 | 付款比例(%) |
| 第1次付款 | 合同生效之日起且收到发票后10个工作日内支付 | 30.0 |
| 第2次付款 | 在合同生效并按规定执行6个月后且收到发票后10个工作日内支付 | 40.0 |
| 第3次付款 | 合同履约期满且验收合格且收到发票后10个工作日内支付尾款 | 30.0 |
