应用系统密码安全性评估服务项目采购需求
应用系统密码安全性评估服务项目采购需求
采购需求前附表
序号 | 类别 | 内容 |
1 | 项目立项 | 项目立项时间:2023年2月23日 |
项目立项证明文件:√有 £无 | ||
2 | 项目预算安排 | 总预算金额(万元): 60 |
当年预算安排金额(万元):60 | ||
项目资金来源:信息化运维经费 | ||
3 | 项目采购内容 | 服务内容:密码安全性测评服务 |
工程内容:金税四期数电发票系统、电子税务局、社保费系统等12个等保三级的应用系统密码使用和应用安全性评估、备案及整改工作。 | ||
4 | 项目实施时间 | 一年(从合同签订日期开始) |
5 | 项目实施地点 | 江西省税务局 |
6 | 项目实施范围 | 具体见技术需求 |
7 | 项目相关单位 | 需求部门:信息中心 |
验收部门:信息中心、征管和科技发展处 | ||
8 | 采购意向公开 | √本项目已于2023年 6 月 26 日公开采购意向 |
£本项目经立项审批不公开采购意向 | ||
9 | 支持中小企业 | £本项目(第 包)专门面向中小企业采购 |
£本项目预留预算金额的 %专门面向中小企业采购 | ||
√本项目不适宜由中小企业提供,且已履行报批手续。 |
项目联系人:詹晓军 联系人办公电话和手机:********、136*****568 一、项目概述
1.项目背景
密码技术是网络安全的基础和核心,是解决网络与信息安全问题最有效、最可靠、最经济的手段,商用密码技术作为国家自主可控的核心技术,在维护国家安全、促进经济发展、保护人民群众利益中发挥着不可替代的重要作用。
《中华人民共和国网络安全法》第三章第三十一条中明确提出:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域等关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。《中华人民共和国密码法》第二十七条中明确提出“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”《国家政务信息化项目建设管理办法》(以下简称《办法》)补充文号,《办法》提出,加强国家政务信息化项目建设投资和运行维护经费协同联动, 对于未按要求共享数据资源、未纳入国家政务信息系统总目录、不符合密码应用和网络安全要求等情况的政务信息系统,不安排运行维护经费。《国家密码管理局关于请进一步加强国家政务信息系统密码应用与安全性评估工作的函》要求进一步加强非涉密国家政务信息系统密码应用与安全性评估工作。
为贯彻落实《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》(国办发【2019】57号)以下简称《办法》,2020年9月11日,国家密码管理局发布《国家密码管理局关于请进一步加强国家政务信息系统密码应用与安全性评估工作的函》。要求进一步加强非涉密国家政务信息系统密码应用与安全性评估工作,其中规定:各项目建设单位按照《办法》有关要求,同步规划、同步建设、同步运行密码保障系统并定期进行密码应用安全性评估(简称“三同步一评估”),保障密码应用与安全性评估经费,配备密码保障系统管理和运维人员。
测评依据标准及规范主要有:
1、《信息安全等级保护商用密码技术要求》
2、《信息系统密码测评要求》
3、《商用密码应用安全性评估测评过程指南》
4、GM/T*****-2021 《信息安全技术信息系统密码应用基本要求》
2.项目内容
序号 | 采购内容 | 数量(单位) |
1 | 密码安全性测评服务(服务内容详见《服务要求》) | 1年 |
二、投标/响应要求
供应商资质要求:
1.符合《政府采购法》第二十二条规定的供应商条件。
2.其他特定资格条件:
主体信用记录符合政府采购活动要求:供应商参加政府采购活动前三年内未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单和“中国政府采购”网站(www.ccgp.gov.cn)政府采购严重违法失信行为记录名单(以开标时的当场查询结果为准)。
3.本项目不接受联合体投标。
三、 项目需求
1.密码安全性测评信息系统清单
序号 | 评测系统 | 备注 |
1 | 江西省税务局金税四期数电发票系统 | 等保三级 |
2 | 江西税务门户及电子税务局(含APP) | 等保三级 |
3 | 江西税务金三核心征管系统 | 等保三级 |
4 | 江西税务自然人税收(ITS)系统 | 等保三级 |
5 | 江西税务增值税发票系统 | 等保三级 |
6 | 江西税务社保费系统 | 等保三级 |
7 | 江西税务自助办税终端系统 | 等保三级 |
8 | 江西税务微信电子工作交互平台 | 等保三级 |
9 | 江西税务金税三期税库银子系统 | 等保三级 |
10 | 江西税务通用密码组件系统 | 等保三级 |
11 | 江西省税务局大数据智能分析应用平台 | 等保三级 |
12 | 江西税务区块链基础平台 | 等保三级 |
2.测评范围
参照GB/T *****-2021《信息安全技术 信息系统密码应用基本要求》,综合考虑系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。需采用密码技术措施和有效的安全管理措施,针对系统重点弥补在身份鉴别、安全传输、信息加密、完整性保护、不可否认等方面密码应用薄弱的环节,消除密码应用环节的不合规、不安全密码技术和密码算法现象,进一步提高系统的密码应用水平,提升系统的安全防护能力。
3.测评时间
按采购人要求,90天内完成。
4.服务周期
本次安全服务项目服务周期为:90天。
5.项目服务内容
对系统进行商用密码应用安全性评估服务,最终输出《信息系统密码应用方案评估意见》、《密码应用安全差距分析报告》、《密码应用安全性评估报告》。具体内容包括:
序号 | 服务内容 | 服务内容子项 | 工作内容 |
1 | 需求沟通确认 | 需求沟通调研和确认工作实施要求 | 对密码评估的组织实施流程、风险管控效果、时间节点、业务属性、功能技术实现方式等基础信息进行沟通核实,确认服务需求和工作要求 |
2 | 基础材料搜集整理和现场沟通采集 | 按照评估准备实施的要求,搜集整理必要素材 | 通过远程或现场会议方式与业务研发、运维部门技术团队和保障团队沟通评估所需基础素材、文档等必要信息,现场采集勘验系统平台有关能力 |
3 | 方案评审 | 密码应用整改方案评审 | 对制定的密码应用方案进行评审,出具《信息系统商用密码应用方案评估意见》 |
4 | 评估组织实施 | 依据信息系统密码应用基本要求(GB/T *****-2021)等标准进行测评 | 按照信息安全技术信息系统密码应用基本要求(GB/T *****-2021),采取材料审查、现场勘验、人员访谈、会议质询、测评核验、演示查看等评估方法对技术实现方式、文档描述进行分析,核查安全保障管理措施和技术能力配套健全情况是否符合密评要求,出具《信息系统商用密码应用安全性测评报告》。 |
5 | 报备 | 向密码主管部门进行报备 |
四、项目实施要求
1.实施要求
(1) 投标人必须具备独立完成本项目的能力;
(2) 中标人应对了解到的信息保密,并提供保密承诺;
(3) 中标人在项目现场实施周期内,必须为本项目成立密码安全性测评项目组,安排包括项目经理和各测评实施小组进场调研、测评工作;
(4) 在采购人进行整改过程中提供必要的技术支持。
2.项目管理要求
(1) 组织实施要求
1) 投标人应安排专职项目经理负责本次项目的实施。
2) 投标人应保证项目团队成员的稳定,以保证服务的质量和连贯性。
(2) 人员安排要求
本项目的技术服务人员需具有信息安全服务工作经验,参加过密码安全性测评项目并取得信息安全方面资质证书,提供人员管理及配备方案,并确保人员的稳定。如更换技术服务人员,须由采购人同意并签字确认。
3.保密要求
中标人须保证对本项目实施中所获得任何资料和信息严格保密,并与江西省税务局签订保密责任书。
4.项目进度要求
进度计划:合同签订后90天内提供服务。
项目验收条件:中标人按照“项目服务内容”规定的交付成果,经采购人完全确认后,完成验收。
五、项目验收要求
(1)中标方未出现违反服务条款的事项。
(2)中标方在项目服务期90天内按照项目要求提交《信息系统密码应用方案评估意见》、《密码应用安全差距分析报告》、《密码应用安全性评估报告》至江西省税务局,完成向密码主管部门完成报备工作,由江西省税务局组织验收。
六、项目技术支持服务要求
无
七、税收信息化项目开发和应用管理工作要求
本项目为非“税收信息化项目开发和应用管理工作”。
八、其他要求
1、项目保密要求
按照税务总局要求,在提供技术前,供应商必须签订《单位网络安全承诺书》,技术人员必须签订《个人网络安全承诺书》,承诺书主要包括网络安全管理规定和相关保密要求,保密时限最低10年,法律法规有规定的从其规定,供应商未经方技术部门和业务部门许可,不得私自对外开放系统接口及系统数据,因个人原因导致招标方安全问题和数据泄密需承担法律责任。
中标人在任何时候对其持有的事务或其事务运转操作方法等机密信息实行严格保密;除非有书面授权或出于相关方进行活动的必要,不得在任何时间向任何人透露任何保密信息;除非有书面指示或出于履行其义务的合理要求,不得把任何保密信息交给任何人;不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。
2、供应链安全要求
中标人应按照税务总局《国家税务总局网络安全和信息化领导小组办公室关于加强税务信息化供应链安全管理工作的通知》各项要求,强化落实供应链安全管理,加强供应链全链条的安全管控,把保证供应链安全的责任和措施落实到供应链管理工作的各个方面、各个环节,保障税务网络安全。具体为:
(1)设置网络安全负责人。中标厂商、供应商应建立网络安全负责人制度,指定一名网络安全负责人,在项目实施全过程负责网络安全工作,组织落实漏洞修复、安全加固和应急响应等各项税务网络安全要求。
(2)执行背景审查。中标方承担派驻技术支持人员背景审查工作,人员驻场前必须提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料,提交驻场运维信息备案表。所有材料及资料完备提供后,方可正式开展驻场工作。
(3)强化安全技能。中标方负责派驻技术支持人员工作胜任、资格条件、以及网络安全能力评估,对技术支持人员承担的工作进行安全保密风险分析,明确技术支持人员工作范围和边界,重点防范设备和资料失窃、误操作导致的软硬件故障、敏感信息泄露、信息系统越权访问和网络攻击等风险。
中标方负责派驻技术支持人员的网络和数据安全管理、网络安全意识、保密意识、网络安全法律法规、网络安全技能以及网络安全警示教育等培训,上岗前确保考核合格,并按照采购人要求定期提供相关考核情况。
(4)落实安全管控要求。中标厂商、供应商应加强源代码安全管理,开发环境的可信可控,使用第三方组件必须执行测试和升级加固,确保税务供应链安全。
3、失信惩戒
合同期内,乙方应严格遵守甲方各项网络安全管理制度、税务信息化供应链安全管理等制度,规范人员管理,履行安全保密责任,严格按照合同约定提供业务运维和运行保障服务,如出现以下等失信行为的,甲方可要求乙方限期改正、扣除合同款项等惩戒,视具体情况按次扣除合同总价款1‰至1%之间的金额,合同生效期间累计扣除不超过合同总价款5%的金额;情节严重的,甲方有权采取解除合同、上报税务总局在全国税务部门通报、3年内限制参加税务系统信息化项目政府采购活动、推送财政主管部门纳入政府采购失信名单等相关对应措施。
(1)攻击或侵入税务信息系统(包括CA等);
(2)违反甲方网络安全管理规定,造成数据失窃、信息泄露、系统瘫痪等不良后果的;
(3)乙方运维服务质量评价被扣减5分(含5分)以上,且未按承诺改进到位的;
(4)违反合同约定内容,造成不良后果的;
(5)利用为税务机关提供信息化服务的便利,向纳税人、缴费人搭车收费或变相收费;
(6) 另行开发销售合同业务需求范围内,供纳税人、缴费人使用的软件;
(7)存在馈赠礼品礼金、邀请娱乐消费等非正常交往手段“围猎”税务人员行为的;
(8)违法违规聘用3年内离职且离职前3年内从事过税务信息化及相关信息系统业务条线工作人员;
(9)其他违反规定造成不良后果的行为。
4、知识转移要求
本项目不包含知识转移。
5、知识产权要求
服务商应保证采购人在提供服务过程中的任何部分不受任何关于侵犯所有权和工业产权、著作权(版权)等知识产权的指控。如果任何第三方提出侵权指控,服务商承担一切与之有关的责任。
6、项目归档要求
本次项目实施过程文档包括但不限于:有关产品知识、操作手册、设备运行维护经验、服务报告、技术文档、安装配置方案、安装配置实施文档、随机文档、手册等保证系统正常运行的必要技术资料。要求服务商应首要建立档案管理制度,确保文档资料完整齐全,所有电子档案均应与纸质档案内容相同,符合档案管理相关要求。
7、争议解决办法
本项目签订合同后,各方应通过友好协商,解决在执行合同过程中所发生的或与合同有关的争议。如协商不能解决,可以提起仲裁或诉讼。诉讼应由甲方所在地人民法院提起诉讼。
九、商务要求
付款方式:合同签订生效后分两次支付费用:
第一次在完成合同签订后的1个月内支付合同总价的70%。
第二次在全部服务完成且验收合格后,根据验收结果、合同履行情况以及合同约定的扣款项目,支付项目合同余款。
验收不合格,不支付服务费用。
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
江西
江西
江西
江西
江西
江西
最近搜索
无
热门搜索
无
