采购需求前附表

项目联系人：詹晓军 联系人办公电话和手机：********、136*****568一、项目概述

1、项目背景

近年来，《中华人民共和国网络安全法》、《数据安全法》和《关键信息基础设施安全保护条例》相继颁布和实施，我国第一次以法律形式进一步明确国家实行网络安全等级保护制度和密码管理制度。网络运营者应当按照网络安全等级保护制度的要求，履行等级保护、风险评估、安全监测、应急响应、安全加固等工作，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改文件要求。

江西省税务局高度重视网络安全工作，落实网络安全风险控制和服务管理，贯彻《关于加强省级重要信息系统安全保障工作的通知》（赣公字[2015]55 号）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66 号）和《信息安全等级保护管理办法》（公通字[2007]43 号）等文件要求，按照国家税务总局网络安全要求，结合自身信息化建设需求，按照技术要求开展等级保护咨询安全及信息安全风险评估服务工作，解决所面临的最主要的安全问题，将有限的资源投入到最有效的地方，不断加强信息系统安全保护能力。

2、项目内容

★二、投标/响应要求

供应商资质要求：

1.符合《政府采购法》第二十二条规定的供应商条件。

2.其他特定资格条件：

主体信用记录符合政府采购活动要求

供应商参加政府采购活动前三年内未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单和“中国政府采购”网站（www.ccgp.gov.cn)政府采购严重违法失信行为记录名单(以开标时的当场查询结果为准）。

3.本项目不接受联合体投标。

三、项目需求

★1.网络基础设施和信息系统清单

江西省税务局根据等级保护测评相关要求，结合全系统重要税费业务系统评测工作开展情况，列入2023年度等级保护三级和二级系统清单如下：

2、测评范围

本次等级保护测评分为技术安全测评和管理安全测评，技术安全测评包括物理安全、网络安全、主机安全、应用安全和数据安全，管理安全测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面的测评。

★3、测评时间

按采购人要求，一年内完成。

4、服务周期

本次安全服务项目服务周期为：壹年（合同签订后一年内完成服务交付）。

5.项目工作内容

本项目结合江西省税务局自身信息化建设需求，开展等级保护咨询项目服务，解决所面临的最主要的安全问题，将有限的资源投入到最有效的地方，不断加强信息系统安全保护能力为目标。本项目主要工作内容：

(1)网络基础设施和信息系统梳理

(2)网络安全等级保护定级和备案服务

(3)网络安全等级保护测评服务

(4)网络安全培训服务

5.1网络基础设施和信息系统梳理

根据江西省税务局《网络基础设施和信息系统清单》和 2023年江西省税务局等级保护定级和测评情况，开展网络基础设施和信息系统定级备案梳理和排查工作，准确地规划和设计江西省税务信息系统等级保护测评工作。

5.2网络安全等级保护定级和备案服务

1）服务对象：江西省税务局网络基础设施和各类业务管理系统。

2）具体要求：

信息系统的定级是开展网络安全等级保护工作的首要环节和基础，测评机构将派遣公安部信息安全测评中心或中关村测评联盟认证的中级测评师（或以上）协助用户单位完成等级保护定级和公安备案工作。为了准确、科学的开展信息系统定级工作，开展进行摸底调查，摸清信息系统底数，掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况，进下一步明确要求、落实责任奠定基础。

定级工作将严格遵循《网络安全等级保护定级指南》（GB/T*****-2019 征求意见稿），深入调研掌握信息系统的应用部署实际情况，按照国家有关管理规范和标准要求， 细致分析各信息系统安全域及管理边界，合理划分信息系统范围，科学开展信息系统重要性程度分析。

★准确判定信息系统安全等级，编制《定级报告》和《备案表》，并按照定级备案流程，向主管部门、监管机关就信息系统定级进行审批备案，使顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。

★工作过程文件及项目交付成果（包括但不限于）：省级公安监管机关颁发的《信息系统安全等级保护备案证明》；

具体要求：根据国家行业信息安全要求，结合实际需求，严格遵循《网络安全等级保护条例》、《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等，并应深入调研掌握信息系统的应用部署实际情况，按照国家有关管理规范和标准要求，细致分析各信息系统安全域及管理边界，合理划分信息系统范围，科学开展信息系统重要性程度分析， 召开定级专家咨询会议，准确判定信息系统安全等级，编制《定级报告》和《备案表》， 并按照定级备案流程，向主管部门、监管机关就信息系统定级进行审批备案，保证采购方顺利获得监管机关颁发的《信息系统安全等级保护备案证明》；若备案不成功，则合同不生效。

5.3网络安全等级保护测评服务

1) 服务对象：江西省税务局网络基础设施和各类业务管理系统。

2）具体要求：

★测评机构必须具备《网络安全等级保护测评机构推荐证书》，工作阶段、流程、内容、及成果交付严格遵循《网络安全等级保护测评要求》（GB/T *****-2019)、《网络安全等级保护测评过程指南》（GB/T *****-2018）和《信息安全技术 网络安全等级保护基本要求》（等保 2.0）文件。本项目测评系统复杂规模大、部署广、测评时间集中，应按照项目组开展工作，项目团队中应组织公安部信息安全测评中心或中关村测评联盟颁发高级测评师负责项目组管理，并根据系统等级开展相应级别的开展单项测评和整体测评分析；测评报告内容及格式严格遵照网络安全等级保护测评报告最新模版，符合公安部门定级和备案要求。

按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》，遵循《网络安全等级保护基本要求》（GB/T *****-2019）等技术标准，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等 10 个层面进行测评，并参考采购人自身信息安全管理要求，进行综合分析和整体测评。

应依据信息系统的业务应用和内外部环境，深入调研分析各信息系统资产状况和重要性程度，以及面临信息安全的威胁。

技术方面，物理安全方面应在采用专用测试工具测试和人工现场复核方式；对信息机房的消防、防雷击、防水防潮、防静电、空调、UPS、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。

管理安全方面应对采购人信息安全管理现状进行需求分析，确定安全管理目标和安全策略，针对信息系统的各类管理活动，梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。

应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、WEB 应用漏洞分析工具等对网络、主机等进行渗透测试分析。

应采取等级测评、安全审计、风险评估等方法，逐项对照《网络安全等级保护基本要求》的各安全要求项，评估确定系统当前安全防护现状以及与标准要求的差距，判断安全保护建设需求及其分析。

在收集充足数据之后，对现场测评获得的数据进行汇总分析，形成等级测评项目的最终结论，并编制最终的《网络安全等级保护等级测评报告》。

★工作过程文件及项目交付成果（包括但不限于）：《三级系统网络安全等级保护等级测评报告》；

5.4 网络安全培训

1）服务对象：江西省税务局所有在职系统运维人员、网络安全管理人员。

2）具体要求：

针对在职系统运维人员，开展信息安全技术和等级保护政策培训，分析最前沿的信息安全形势，了解信息安全技术、等级保护流程和指导标准的有效使用，提升全员安全意识，建立长效机制促使信息安全管理措施的落实到位。培训课程应包括但不限于“网络安全等级保护工作解析（包含网络安全等级保护基本要求、信息安全管理体系、网络安全整改实施、网络安全入侵常见手法及加固方法）”等内容。

工作过程文件及项目交付成果（包括但不限于）：《网络安全培训纪要》。

四、项目实施要求

★1、实施要求

（1） 投标人必须具备独立完成本项目的能力；

★（2）投标人必须提供公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》

（3）中标人应对了解到的信息保密，并提供保密承诺；

（4）中标人在项目现场实施周期内，必须为本项目成立等级保护测评项目部，安排包括项目经理和各测评实施小组进场调研、测评工作；

（5）在采购人进行整改过程中提供必要的技术支持。

★（6）投标人近三年内受到中国网络安全等级保护协调工作办公室处罚、警告、勒令整改单位，不得参与此项目。

2.项目管理要求

（1） 组织实施要求

1) 投标人应安排专职项目经理负责本次项目的实施。

2) 投标人应保证项目团队成员的稳定，以保证服务的质量和连贯性。

（2） 人员安排要求

本项目的技术服务人员需具有信息安全服务工作经验，参加过网络安全等级保护测评项目并取得信息安全方面资质证书，提供人员管理及配备方案，并确保人员的稳定。如更换技术服务人员，须由采购人同意并签字确认。

3.项目进度要求

进度计划：合同签订后一年内提供安全服务。

项目验收条件：中标人按照“项目服务内容”规定的交付成果，经采购人完全确认后，完成验收。

五、项目验收要求

（1）中标方未出现违反服务条款的事项。

（2）中标方在项目服务期一年内按照项目要求提交业务系统等级保护测评备案表、等级保护定级报告和等级保护测评报告等材料至江西省税务局，10个工作日内由江西省税务局审定验收。

六、其他要求

1、项目保密要求

按照税务总局要求，在提供技术前，供应商必须签订《单位网络安全承诺书》，技术人员必须签订《个人网络安全承诺书》，承诺书主要包括网络安全管理规定和相关保密要求，保密时限最低10年，法律法规有规定的从其规定，供应商未经方技术部门和业务部门许可，不得私自对外开放系统接口及系统数据，因个人原因导致招标方安全问题和数据泄密需承担法律责任。

中标人在任何时候对其持有的事务或其事务运转操作方法等机密信息实行严格保密；除非有书面授权或出于相关方进行活动的必要，不得在任何时间向任何人透露任何保密信息；除非有书面指示或出于履行其义务的合理要求，不得把任何保密信息交给任何人；不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。

2、知识转移要求

本项目不包含知识转移。

3、知识产权要求

服务商应保证采购人在提供服务过程中的任何部分不受任何关于侵犯所有权和工业产权、著作权（版权）等知识产权的指控。如果任何第三方提出侵权指控，服务商承担一切与之有关的责任。

4、项目归档要求

本次项目实施过程文档包括但不限于：有关产品知识、操作手册、设备运行维护经验、服务报告、技术文档、安装配置方案、安装配置实施文档、随机文档、手册等保证系统正常运行的必要技术资料。要求服务商应首要建立档案管理制度，确保文档资料完整齐全，所有电子档案均应与纸质档案内容相同，符合档案管理相关要求。

5、争议解决办法

本项目签订合同后，各方应通过友好协商，解决在执行合同过程中所发生的或与合同有关的争议。如协商不能解决，可以提起仲裁或诉讼。诉讼应由甲方所在地人民法院提起诉讼。