1.项目概述

1.1项目背景

税务信息系统作为国家重要信息系统之一，其网络安全关系国家税收安全。根据网络安全法、密码法及网络安全等级保护制度要求，需要对我局关键信息基础设施进行风险评估，对重要信息系统进行信息安全等级保护测评（以下简称等保测评）及商用密码应用安全性评估（以下简称密评），以期发现和整改我局重要信息系统存在的风险隐患，切实提高关键信息基础设施、重要信息系统综合防护能力，坚决防止重大网络安全事件，保障我局关键信息基础设施及重要信息系统安全稳定运行。

本项目为上年度延续项目，上一服务期采购合同的金额为壹佰伍拾叁万零陆元整（￥1,530,006.00），中标供应商为长春嘉诚信息技术股份有限公司。

1.2 项目内容

根据公安部及税务总局关于信息安全等级保护管理和税务系统信息安全风险评估工作的相关管理要求，需对核心征管系统、吉林税务大数据平台、吉林省电子税务局系统、吉林税务门户新媒体网站系统、增值税发票管理系统、密码服务组件系统、双向安全交换系统7个等保三级信息系统进行等保测评、风险评估和密评；需对吉林办税服务厅综合监控管理系统、吉林税务综合信息监管系统、巡视巡查信息管理系统、绩效管理信息系统4个等保二级信息系统进行等保测评。

2.投标/响应要求

2.1 供应商资质要求

2.1.1 供应商必备资质

（1）法人或者其他组织的营业执照等证明文件（复印件）；

（2）2020或2021年度经会计师事务所审计的财务报告，包括资产负债表、利润表(损益表、收益表)、现金流量表、所有者权益变动表及其附注（复印件）；开业不满一年的提供验资报告或银行出具的资信证明或公司成立之日后的财务报表（复印件）；财务报告中要求提供内容为实质性要求条款(即重要条款)，缺少相关资料，在评标时将其视为无效投标。

（3）近6个月内依法缴纳税收的相关材料，如依法免税或不需要纳税的，则应提供相应文件证明（复印件）；

（4）近6个月内依法缴纳社会保障资金的相关材料，如依法不需要缴纳社会保障资金的，则应提供相应文件证明（复印件）；

（5）参加本项目投标前三年内，在经营活动中没有重大违法记录（指供应商因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚）的书面声明；

（6）具备履行合同所必需的设备和专业技术能力的证明材料(由供应商根据项目需求提供说明材料或者承诺)。

2.1.2.供应商优选资质要求

（1）具备ISO*****信息安全管理体系认证证书

（2）具备ISO9001质量管理体系认证证书

（3）具备公安部第三研究所认证发放的网络安全等级测评与检测评估机构服务认证证书。

（4）成功案例要求：

提供2019年1月1日以来（以合同签订日期为准）独立承担实施的单个合同测评规模与本次项目相似的成功案例。

（5）技术力量要求：

投标人拟投入本项目技术人员定位、岗位职责合理；

投标人拟投入本项目技术人员资质、专业程度、工作经验及稳定性情况；

项目经理的工作年限、专业资质、类似项目管理经验；

2.2 投标/响应产品资质要求

等保测评服务中使用的漏洞扫描工具，应具备国家信息安全漏洞库的兼容性资质证书。

2.3 投标/响应文件技术部分响应内容要求

项目需求理解：根据投标人对项目定位、服务目标是否精准，对本项目所涉及税务信息系统的等保测评、风险评估及密码测评服务所涵盖内容是否完整、准确。

技术方案：在投标文件中详细阐述等级测评技术方案、风险评估技术方案、商用密码应用安全性评估技术方案、实施方案、验收方案等各项内容。

项目实施：投标人须按照采购人项目实施进度要求，提供整体的项目计划书，提交整体及分项实施方案，包括项目组织管理、投入技术人员及简介，工作日程表、具体工作内容等。

应急保障：根据项目需求提供适合此项目明确的应急保障制度，分工明确的岗位职责，清晰的应急处置步骤、科学的应急级别定义与其配套的响应时间，以保证及时高效响应处理各类突发事件。

3.项目需求

3.1等保测评服务

以开展安全等级测评为契机，促进等级保护工作的贯彻落实,促使税务信息系统安全管理水平和安全防范能力显著提高。根据公安部关于信息安全等级保护相关文件规定，采购具备专业资质的技术服务,通过测评整改满足网络安全合规要求，并通过相关职能部门的监督性审核。由网络安全等级保护测评单位和商用密码应用安全性评估机构提供等级保护测评和密码应用安全性评估,并协助完成等级保护相关备案工作。

（1）测评准备阶段

系统调研：在采购人配合下对税务应用系统进行资料收集和系统调研；进行信息收集、工具准备，在充分掌握被测系统的基础上编制测评计划书、调查问卷等。

（2）测评方案编制阶段

编制等保测评方案，确认测评对象、测评指标、测评内容、整体测评方法、风险分析方法，编制现场测评方案、结果记录表等，现场测评方案包括但不限于项目概念、测评对象、测评指标、测评工具接入点、单项测评实施、系统测评实施等。要求投标人在签订合同后出具相关方案，并确保测评工具安全可靠，技术性能良好。

（3）现场测评阶段

通过访谈、检查、测试、分析等方法，现场根据测评指导书对信息系统进行现场测评并进行结果证据收集确认，生成现场测评结果记录表。实施现场测评时中标人以不影响测评系统业务正常开展为前提。

（4）报告编制阶段

安全需求分析：依据单元测评结果汇总进行整体测评分析、风险分析、结果汇总、结论形成、结果判定、整改建议等，生成单项、单元评估结果汇总，并出具等级测评报告及备案资料。中标人须及时向被测评单位通报当前测评结果，对未通过测评的系统，中标人有义务向采购人提出书面整改意见，待整改措施落实后，中标人还应就相关指标重新测评，并及时修订相关测评结果，并与中标人进行书面确认。

（5）安全服务要求

要求提供7×24小时安全应急服务，通过远程或现场方式提供快速、高效、专业的解决突发安全事故的安全服务；投标人应依照吉林省网络安全等级保护测评机构相关管理要求规定，为被测系统出具等级保护测评报告，并在出具报告时，加盖等级测评专用章。

3.2风险评估服务

（1）评估准备阶段

在对被评估系统进行充分调研的基础上，确定风评目标、范围、评估方法和依据，并配合采购人组织相关人员、并召开项目启动会，制定风评实施方案。

（2）识别分析阶段

资产识别分析：调研分析，进行资产分类、资产赋值（保密性赋值、完整性赋值、可用性赋值、资产重要性等级）。

威胁识别分析：依据资产确定威胁识别对象，进行威胁分类、威胁赋值。

脆弱性识别分析：脆弱性识别内容确定、脆弱性赋值。通过文档查阅、漏洞扫描、人工核查等对各资产、网络环境等进行检查和测试，分为技术和管理两个方面进行脆弱性识别分析。脆弱性识别是风险评估过程中最重要的环节。

根据分析情况出具资产调研报告、资产识别报告、威胁识别报告、脆弱性识别报告。

（3）安全措施确认阶段

在识别脆弱性的同时，对已采取的安全措施的有效性进行确认，并评估其有效性，即是否真正地降低系统的脆弱性及威胁，并出具安全措施确认报告。中标人须从脆弱性评估开始，对被评估系统不可接受风险的资产残余进行再评估，在对照安全措施前后的脆弱性状况后，再次计算风险值，对于残余风险仍处于不可接受的范围内，中标人须继续提供相应安全措施，直至不可接受风险的资产处于可接受的范围内。

（4）报告编制阶段

依据资产识别、威胁识别、脆弱性识别、已有安全措施确认等服务内容计算风险，进行风险结果判定、残余风险评估，编制风险评估报告、风险处置计划（整改建议）。

3.3密码测评服务

（1）密评准备

确定测评技术思路、工作内容和项目组织计划，收集被测系统密码系统、密码管理情况、安全保护等级、业务情况、软硬件配置和相关部门管理员及角色等基础信息，进行密码协议分析工具、随机数检测工具、密码算法分析工具准备，进行现场密评授权、密评存在的风险、交接的文档名称、会议记录和签到。

（2）密评方案编制

确定测评对象、测评指标、测评检查点、测评内容、编制密评指导书、结果记录表、密评方案等。

（3）现场测评

对对系统使用密码的合规、正确、有效进行判定、分析，通过访谈、文档审查、配置检查、工具测评和实地查看记录和测评结果。针对测评活动中发现的问题、问题的证据和证据源、在委托单位相关人员的配合下进行书面认可。

（4）报告编制与评审

单项测评结果判定与单项测评结果汇总分析：分析被测系统的安全现状（各个层面的基本安全状况）与标准中相应等级的基本要求的符合情况，给出单项测评结果；汇总统计单项测评结果，给出针对每个对象的单元测评结果；分析被测系统整体安全状况及对单项测评结果的修订情况；

风险分析：再次汇总分析各层面中各个测评对象的测评结果，分析被测系统存在的风险情况，形成测评结论。

测评报告编制：汇总单项测评结果、测评过程及结果、风险分析过程及结果，得出测评结论，安全建设整改建议等。

（5）安全服务要求

投标人应依据商用密码应用安全性评估管理要求：测评机构应保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，对所出具的商用密码应用安全性评估结果负责。

4.项目技术支持服务要求

测评期间要求提供7×24小时安全应急服务，通过远程或现场方式提供快速、高效、专业的解决突发安全事故的安全服务。

5.项目实施要求

投标人应具备成熟的安全服务类大型项目交付经验，能够对税务信息系统提出针对性的防范技术措施和整改加固建议。

本项目由中标人安排1名综合技术实力较强的项目经理，参与本项目等保测评的实施人员应具有信息安全等级测评师证书或网络安全等级测评师证书，参与本项目商用密码应用安全性评估的实施人员应具有商用密码应用安全性评估人员测评能力考核合格证书。

6.项目验收要求

本项目不涉及货物类相关验收。本项目验收方式采取一次终验的方式进行验收。主要交付物如下：

7.税收信息化项目开发和应用管理工作要求

服务期内必须严格按照合同要完成相关工作，按时提交各阶段文档。

8.其他要求

8.1项目保密要求

投标人对项目实施过程中所获得数据及文档等保密信息，承担以下保密义务：

（1）投标人应对在合同签订或履行过程中所接触的对方信息，包括但不限于知识产权、技术资料、技术诀窍、内部管理及其他相关信息，负有保密义务，防止不承担同等保密义务的任何第三者知悉及使用。

（2）投标人在使用用户方为其提供的数据、程序、用户名、口令、资料及相关的业务和技术文档，包括方案设计细节、程序文件、数据结构，以及相关业务系统的硬软件、文档、测试和测试产生的数据时，应遵循以下约定:

应以审慎态度避免泄露、公开或传播用户方的信息;

未经用户方书面许可，不得对有关信息进行修改、补充、复制;

未经用户方书面许可，不得将信息以任何方式(如E-mail)携带出项目服务场所;

未经用户方书面许可，不得将信息透露给任何其他人;

用户方以书面形式提出的其他保密措施。

（3）保密期限不受合同有效期的限制，在合同有效期结束后，信息接受方仍应承担保密义务，直至该等信息成为公开信息。

（4）投标人应按要求与委托方签署保密协议，服务人员签订保密承诺书及网络安全承诺书。

（5）投标人如出现泄密行为，泄密方应承担相关的法律责任并承担由此给采购方造成的经济损失。

8.2知识产权要求

采购人对项目实施过程中所产生的所有成果（包括二次开发、发明、发现、可运行系统、源代码及相关技术资料、文档等）享有所有权（永久使用权、复制权和修改权等）。除本项目工作所须外，未经采购人书面同意，中标人不得擅自使用、复制采购人的商标、标志、数据信息、文档及其他资料。

投标人需保证在本项目中所有预装和为本项目安装的软件为在中国境内具有合法版权或使用权的正版软件且无质量瑕疵。

投标人需保证所提供的服务不侵犯第三方的知识产权（专利权、商标权、版权等），因侵害第三方知识产权而产生的法律责任，全部由投标人承担。

8.3其他要求

中标供应商禁止另行开发合同业务需求范围内、供纳税人、缴费人使用的软件；禁止在合同履行期间“围猎”税务人员，对违反以上规定的，将纳入失信名单；对于违反网络安全规定行为造成不良后果的，3年内限制参加税务系统政府采购活动；中标供应商应建立防止违法违规聘用离职税务人员风险控制制度，如出现违法违规聘用离职税务人员行为，采购人有权对中标供应商采取以下措施：限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下属单位信息化项目政府采购活动等措施。投标人针对以上内容提供承诺函。

8.4 付款方式

项目服务结束经需求部门验收合格15日内经中标供应商提出付款申请并出具等额发票后15日内支付合同全部金额。