国家税务总局江西省税务局等级保护测评项目招标需求
国家税务总局江西省税务局等级保护测评项目招标需求
采购需求部门:信息中心
项目名称 | 等级保护测评服务 | 交货(完工)时间 | 一年(从合同签订日期开始) | |||
数 量 | 1项 | 预算金额(元) | 600000 | |||
联 系 人 | 詹晓军 | 联系电话 | ||||
设备清单及主要技术指标 | ||||||
等级保护测评服务(一年) | ||||||
资金来源 | 预算内资金 | 建议完成时间 | ||||
付款方式 | 合同签订生效后分两次支付费用,第一次在完成合同签订后的1个月内支付合同总价的70%,第二次在全部服务完成且验收合格后的1个月内支付合同总价的30%。验收不合格,不支付服务费用。 | |||||
履约金比率 | 无 | |||||
采购方式 | ||||||
项目编号 | ||||||
部门负责人签字 (加盖部门章) | 年 月 日 | |||||
采购部门 负责人签字 | ||||||
备 注 (其他特殊需求) | ||||||
等级保护测评服务项目采购需求
采购需求前附表
序号 | 类别 | 内容 |
1 | 项目立项 | 项目立项时间:2021年4月7日 |
项目立项证明文件:√有 £无 | ||
2 | 项目预算安排 | 总预算金额(万元): 60 |
当年预算安排金额(万元):60 | ||
项目资金来源:信息化运维经费 | ||
3 | 项目采购内容 | 货物名称及数量: 核心产品: |
服务内容:等级保护测评服务(一年) | ||
工程内容: | ||
4 | 项目实施时间 | 一年(从合同签订日期开始) |
5 | 项目实施地点 | 江西省税务局 |
6 | 项目实施范围 | |
7 | 项目相关单位 | 需求部门:信息中心 |
验收部门:信息中心 | ||
8 | 采购意向公开 | £本项目已于2021年4 月9 日公开采购意向 |
£本项目经立项审批不公开采购意向 | ||
9 | 支持中小企业 | £本项目(第包)专门面向中小企业采购 |
£本项目预留预算金额的%专门面向中小企业采购 | ||
£本项目不适宜由中小企业提供,且已履行报批手续。 |
项目联系人:詹晓军联系人办公电话和手机:********、136*****568
一、项目概述
1.项目背景
近年来,《中华人民共和国网络安全法》、《数据安全法》和《关键信息基础设施安全保护条例》相继颁布和实施,我国第一次以法律形式进一步明确国家实行网络安全等级保护制度和密码管理制度。网络运营者应当按照网络安全等级保护制度的要求,履行等级保护、风险评估、安全监测、应急响应、安全加固等工作,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改文件要求。
江西省税务局高度重视网络安全工作,落实网络安全风险控制和服务管理,贯彻《关于加强省级重要信息系统安全保障工作的通知》(赣公字[2015]55 号)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)和《信息安全等级保护管理办法》(公通字[2007]43 号)等文件要求,按照国家税务总局网络安全要求,结合自身信息化建设需求,按照技术要求开展等级保护咨询安全及信息安全风险评估服务工作,解决所面临的最主要的安全问题,将有限的资源投入到最有效的地方,不断加强信息系统安全保护能力。
2.项目内容
序号 | 采购内容 | 数量(单位) |
1 | 等保测评服务(服务内容详见《服务要求》) | 1年 |
二、投标/响应要求
供应商资质要求:
1.符合《政府采购法》第二十二条规定的供应商条件。
2.其他特定资格条件:
主体信用记录符合政府采购活动要求
供应商参加政府采购活动前三年内未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单和“中国政府采购”网站(www.ccgp.gov.cn)政府采购严重违法失信行为记录名单(以开标时的当场查询结果为准)。
3.本项目不接受联合体投标。
三、项目需求
1.网络基础设施和信息系统清单
江西省税务局根据等级保护测评相关要求,结合全系统重要税费业务系统评测工作开展情况,列入2021年度等级保护三级和二级系统清单如下:
序号 | 评测系统 | 评测等级 | 备注 |
1 | 江西税务门户及电子税务局(含APP) | 三级 | |
2 | 江西税务金三核心征管系统 | 三级 | |
3 | 江西税务自然人税收(ITS)系统 | 三级 | |
4 | 江西税务增值税发票系统 | 三级 | |
5 | 江西税务社保费系统 | 三级 | |
6 | 江西税务自助办税终端系统 | 三级 | |
7 | 江西税务微电子税务局及微工作交互平台 | 三级 | |
8 | 江西税务金税三期税库银子系统 | 三级 | |
9 | 江西税务通用密码组件系统 | 三级 | |
10 | 江西税务新版电子公文系统 | 三级 | |
11 | 江西税务办税服务智能管控平台 | 二级 | |
12 | 江西税务信息化智慧管理平台 | 二级 |
2.测评范围
本次等级保护测评分为技术安全测评和管理安全测评,技术安全测评包括物理安全、网络安全、主机安全、应用安全和数据安全,管理安全测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面的测评。
3.测评时间
按采购人要求,一年内完成。
4.服务周期
本次安全服务项目服务周期为:壹年(合同签订后一年内完成服务交付)。
5.项目工作内容
本项目结合江西省税务局自身信息化建设需求,开展等级保护咨询项目服务,解决所面临的最主要的安全问题,将有限的资源投入到最有效的地方,不断加强信息系统安全保护能力为目标。本项目主要工作内容:
(1)网络基础设施和信息系统梳理
(2)网络安全等级保护定级和备案服务
(3)网络安全等级保护测评服务
(4)网络安全培训服务
5.1 网络基础设施和信息系统梳理
根据江西省税务局《网络基础设施和信息系统清单》和 2021年江西省税务局等级保护定级和测评情况,开展网络基础设施和信息系统定级备案梳理和排查工作,准确地规划和设计江西省税务信息系统等级保护测评工作。
5.2网络安全等级保护定级和备案服务
1)服务对象:江西省税务局网络基础设施和各类业务管理系统。
2)具体要求:
信息系统的定级是开展网络安全等级保护工作的首要环节和基础,测评机构将派遣公安部信息安全测评中心或中关村测评联盟认证的中级测评师(或以上)协助用户单位完成等级保护定级和公安备案工作。为了准确、科学的开展信息系统定级工作,开展进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,进下一步明确要求、落实责任奠定基础。
定级工作将严格遵循《网络安全等级保护定级指南》(GB/T22240-2019征求意见稿),深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求, 细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析,准确判定信息系统安全等级,编制《定级报告》和《备案表》,并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,使顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。
工作过程文件及项目交付成果(包括但不限于):省级公安监管机关颁发的《信息系统安全等级保护备案证明》;
具体要求:根据国家行业信息安全要求,结合实际需求,严格遵循《网络安全等级保护条例》、《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等,并应深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求,细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析, 召开定级专家咨询会议,准确判定信息系统安全等级,编制《定级报告》和《备案表》, 并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,保证采购方顺利获得监管机关颁发的《信息系统安全等级保护备案证明》;若备案不成功,则合同不生效。
5.3 网络安全等级保护测评服务
1)服务对象:江西省税务局网络基础设施和各类业务管理系统。
2)具体要求:
测评机构必须具备《网络安全等级保护测评机构推荐证书》,工作阶段、流程、内容、及成果交付严格遵循《网络安全等级保护测评要求》(GB/T 28448-2019)、《网络安全等级保护测评过程指南》(GB/T 28449-2018)和《信息安全技术 网络安全等级保护基本要求》(等保 2.0)文件。本项目测评系统复杂规模大、部署广、测评时间集中,应按照项目组开展工作,项目团队中应组织公安部信息安全测评中心或中关村测评联盟颁发高级测评师负责项目组管理,并根据系统等级开展相应级别的开展单项测评和整体测评分析;测评报告内容及格式严格遵照网络安全等级保护测评报告最新模版,符合公安部门定级和备案要求。
按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》,遵循《网络安全等级保护基本要求》(GB/T 22239-2019)等技术标准,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等 10个层面进行测评,并参考采购人自身信息安全管理要求,进行综合分析和整体测评。
应依据信息系统的业务应用和内外部环境,深入调研分析各信息系统资产状况和重要性程度,以及面临信息安全的威胁。
技术方面,物理安全方面应在采用专用测试工具测试和人工现场复核方式;对信息机房的消防、防雷击、防水防潮、防静电、空调、UPS、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。
管理安全方面应对采购人信息安全管理现状进行需求分析,确定安全管理目标和安全策略,针对信息系统的各类管理活动,梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。
应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、WEB 应用漏洞分析工具等对网络、主机等进行渗透测试分析。
应采取等级测评、安全审计、风险评估等方法,逐项对照《网络安全等级保护基本要求》的各安全要求项,评估确定系统当前安全防护现状以及与标准要求的差距,判断安全保护建设需求及其分析。
在收集充足数据之后,对现场测评获得的数据进行汇总分析,形成等级测评项目的最终结论,并编制最终的《网络安全等级保护等级测评报告》。
工作过程文件及项目交付成果(包括但不限于):《三级系统网络安全等级保护等级测评报告》;
5.4 网络安全培训
1)服务对象:江西省税务局所有在职系统运维人员、网络安全管理人员。
2)具体要求:
针对在职系统运维人员,开展信息安全技术和等级保护政策培训,分析最前沿的信息安全形势,了解信息安全技术、等级保护流程和指导标准的有效使用,提升全员安全意识,建立长效机制促使信息安全管理措施的落实到位。培训课程应包括但不限于“网络安全等级保护工作解析(包含网络安全等级保护基本要求、信息安全管理体系、网络安全整改实施、网络安全入侵常见手法及加固方法)”等内容。
工作过程文件及项目交付成果(包括但不限于):《网络安全培训纪要》。
四、项目实施要求
1.实施要求
(1) 投标人必须具备独立完成本项目的能力;
(2) 投标人必须提供国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》
(3) 投标人必须提供中国网络安全审查技术与认证中心颁发的《信息安全风险评估证书》;
(4) 中标人应对了解到的信息保密,并提供保密承诺;
(5) 中标人在项目现场实施周期内,必须为本项目成立等级保护测评项目部,安排包括项目经理和各测评实施小组进场调研、测评工作;
(6) 在采购人进行整改过程中提供必要的技术支持。
(7) 投标人近三年内受到中国网络安全等级保护协调工作办公室处罚、警告、勒令整改单位,不得参与此项目。
2.项目管理要求
(1) 组织实施要求
1) 投标人应安排专职项目经理负责本次项目的实施。
2) 投标人应保证项目团队成员的稳定,以保证服务的质量和连贯性。
(2) 人员安排要求
本项目的技术服务人员需具有信息安全服务工作经验,参加过网络安全等级保护测评项目并取得信息安全方面资质证书,提供人员管理及配备方案,并确保人员的稳定。如更换技术服务人员,须由采购人同意并签字确认。
3.保密要求
中标人须保证对本项目实施中所获得任何资料和信息严格保密,并与江西省税务局签订保密责任书。
4.项目进度要求
进度计划:合同签订后一年内提供安全服务。
项目验收条件:中标人按照“项目服务内容”规定的交付成果,经采购人完全确认后,完成验收。
五、项目验收要求
(1)中标方未出现违反服务条款的事项。
(2)中标方在项目服务期一年内按照项目要求提交业务系统等级保护测评备案表、等级保护定级报告和等级保护测评报告等材料至江西省税务局,10个工作日内由江西省税务局审定验收。
六、项目技术支持服务要求
无
七、税收信息化项目开发和应用管理工作要求
本项目为非“税收信息化项目开发和应用管理工作”。
八、其他要求
(1) 服务期:自签订合同起一年内。
(2) 服务响应时间要求:自接到响应通知后,2 小时内到达采购人。
(3) 服务内容:服务期内,中标方根据江西省税务局实际情况,负责对交付成果中的文档进行免费修正、优化、补充和完善;服务期内,中标方负责有对本项目设计的信息系统提供免费的技术支持的义务;
(4) 投标人如有增值服务,请详细说明。
九、商务要求
付款方式:合同签订生效后分两次支付费用,第一次在完成合同签订后的1个月内支付合同总价的70%,第二次在全部服务完成且验收合格后的1个月内支付合同总价的30%。验收不合格,不支付服务费用。
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
