采购需求前附表

项目联系人：詹晓军 联系人办公电话和手机：********、136*****568 一、项目概述

（一）项目背景

网络安全形势近年出现新变化，网络安全态势变得越来越复杂，黑客攻击入侵、勒索病毒等网络安全事件愈演愈烈，严重威胁到我国的网络空间安全。同时，国内不少关键信息基础设施的建设管理单位安全意识不够、安全投入不足，面临网络安全保护的巨大挑战，让国家关键信息基础设施成为网络攻击的重灾区。

为了检验这些国家关键信息基础设施的实际安全防护能力，网络安全主管单位近年来，每年对包括政府部门、央企、内的部分国家关键信息基础设施开展网络安全攻防演练。届时公安部将组织由安全厂商、测评机构、安全服务商、运营商等单位的网络安全专业技术人员组成若干攻击队伍对列为目标的系统进行安全攻击测试，验证目标系统安全防护能力的有效性。

为强化江西税务服务于百万纳税人和千万缴费人的电子税务局等互联网业务系统安全性，夯实网络安全基础，全面做好互联网安全保障，确保稳定运行，按照税务系统“外防攻击、内防窃数”的网络安全工作原则，一是做好省局互联网业务系统白帽子安全众测，充分挖掘互联网业务系统安全漏洞，提升业务安全能力。二是按照《网络安全法》和税务系统网络安全规范，开展网络安全攻防演练、重大时期安全保障和每年网络安全周网络和数据安全宣贯工作，拟采购国家税务总局江西省税务局攻防演练（重大时期安全保障）和国家安全周宣贯服务。

（二）项目内容

（1）互联网安全服务：江西省税务局互联网应用系统一年2次税务信息系统白帽子安全众测漏洞挖掘服务，服务范围为江西省税务局面向社会公众服务的主要互联网应用系统系统14个；一年2次针对网络和数据安全事件应急响应支持服务；服务期一年。

（2）攻防演练（重大时期安全保障）和网络安全周宣贯服务：投标人需提供不少于10名安全服务工程师，在本年度内配合江西省税务局完成至少三次网络安全相关的攻防演习（省级、行业级及国家级）的安全方案制定、安全测试、安全加固和安全值守工作，按照采购人要求做好年度网络安全宣传周相关宣传内容的编制，宣传手册、展板或安全宣传视频的制作，开展相关的网络和数据安全广泛性宣传。每次攻防演习服务时间不低于20天。派驻的安全技术支持人员需具备全面的安全攻防理论知识，并具备较高的安全攻防能力。

二、投标/响应要求

供应商资质要求：

1.符合《政府采购法》第二十二条规定的供应商条件。

2.其他特定资格条件：

主体信用记录符合政府采购活动要求

供应商参加政府采购活动前三年内未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单和“中国政府采购”网站（www.ccgp.gov.cn)政府采购严重违法失信行为记录名单(以开标时的当场查询结果为准）。

3.本项目不接受联合体投标。

三、项目需求

（一）互联网安全服务

（二）攻防演练（重大安全保障）和安全周宣贯服务

四、项目实施要求

（一）互联网安全服务：

1.测试方法和漏洞至少包括端口扫描、SQL注入、XXE注入、跨站脚本、口令获取、远程命令执行、社会工程、逻辑缺陷、越权漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、任意文件操作、Web脚本及应用测试、中间件漏洞等。

2.服务期内，针对涉及采购人的紧急重大类行业漏洞信息、安全事件、重大舆情信息、重要系统漏洞级补丁信息等，供应商应以最直接方式向客户告知漏洞对采购人应用系统的危害、影响范围及修补方案等信息等，必要时提供现场应急响应支持服务。

3.服务期内，针对涉及采购人的紧急重大类行业漏洞信息、安全事件、重大舆情信息、重要系统漏洞级补丁信息等，供应商应以最直接方式向客户告知漏洞对采购人应用系统的危害、影响范围及修补方案等信息等，必要时提供现场应急响应支持服务。

4.供应商在服务期内只能验证漏洞是否存在，不得影响系统运行或获取数据。

5.供应商对服务期间发现的漏洞，及时提供漏洞报告并制定安全加固方案，协助采购人开展安全加固工作和回归测试。

6.供应商应按采购人要求，就紧急、疑难问题提供远程电话或社交工具技术支持。

7.在发现安全风险后，1个自然日内互联网渗透测试平台技术专家需提供相应的线上漏洞报告和解决建议。

8.对于用户修复后的漏洞，由供应商提供严格的回检服务，并且在用户申请后的3日内反馈回检结果，确认漏洞是否修复；如若用户修复不成功则会告知用户继续修复，回检次数不做限制。

9.供应商组织的安全检测，测试内容包括但不限于网络、系统、应用、业务流程等层面，同时应根据各层面特征有针对性的制定测试方案和测试策略，内容包括但不限于测试手法、测试工具、风险规避措施等。

10.在服务实施方检测出漏洞后，其安全专家需审核漏洞是否真正存在，如若存则第一时间进行邮件和短信告警江西省税务局对接人。

11.为保证被评估目标的覆盖面、真实性、深入性，深度发现应用系统所存在的网络安全问题和面临的网络安全威胁，每次测试参与测试人员不少于10人，时间不少于5天。测试验收时需保证至少发现10个以上导致业务严重危害的高危等级漏洞。

（二）攻防演练（重大安全保障）和安全周宣贯服务需求

1.投标人需提供不少于10名安全服务工程师，在本年度内配合江西省税务局完成至少三次网络安全相关的攻防演习（省级、行业级及国家级）的安全方案制定、安全测试、安全加固和安全值守工作。

2.按照采购人要求做好年度网络安全宣传周相关宣传内容的编制，宣传手册、展板或安全宣传视频的制作，开展相关的网络和数据安全广泛性宣传。每次攻防演习服务时间不低于20天。派驻的安全技术支持人员需具备全面的安全攻防理论知识，并具备较高的安全攻防能力。

五、项目验收要求

（一）总体要求

本项目服务内容交付完成后，启动项目验收工作。按照甲方验收标准要求，对项目需求中所涉及服务内容进行验收。如果项目未完成验收前，由于相关政策导致服务发生变化进行调整，中标人应按照最新政策和最新技术标准方案完成本项服务。

采购人与相关人员组成验收小组完成验收。双方根据最终验收情况，编写验收报告，中标人应完成项目验收资料的准备。

在服务过程中出现服务指标或要求上不符合采购文件和合同要求时，由中标人负责解决，采购人有拒绝验收的权利并保留索赔权利。

本项目的实施过程中将产生大量的技术及管理文档，中标人应协助采购人，负责建立、维护、交接项目实施过程中产生的各类文档，确保项目文档的内容体现本项目的实施过程，并确保项目文档的完整性和准确性。供应商按照要求提交全部文档，通过验收，视为本项工作完成。

（二）验收组织

项目验收分为初验和终验，均由采购人进行组织。

（三）初验流程

采购人依据采购文件、响应文件、合同，对项目的服务、技术、财务和档案等进行验收，形成验收报告。

（四）终验流程

采购人组织成立验收组，负责开展终验的先期基础性工作，重点检查项目服务、设计、施工、招标采购、档案资料、预（概）算执行和财务决算等情况，提出验收评价意见和建议。项目服务交付完毕后，按以下程序进行最终验收：

1.应满足项目需求文件章节包含的标准规范条款要求。

2.应满足合同约定的技术条款要求。

3.所有服务项目及内容均已完成服务。

4.供应商需配合采购人完成资产登记工作，并协助采购人完成资料整理、装订、归档。（如有）

5.通过采购人组织的验收小组验收。

（五）验收内容

1.审查项目的建设目标、规模、内容、质量及资金使用等情况。

2.审核项目形成的资产情况。

3.评价项目交付使用情况。

4.检查项目建设单位执行国家法律、法规情况。

（六）验收交付

中标人须整理并提供以下验收材料，包括但不限于：项目服务方案、项目合同、初步验收报告、服务交付报告等。递交材料完整无遗漏，验收流程无异常，交付服务效果得到采购人认可，即可验收通过。

（1）互联网安全服务验收主要交付物为：包括但不限于互联网业务系统众测项目服务报告，应用系统安全漏洞修复报告，互联网安全应急响应服务报告，项目验收总结报告等。

（2）攻防演练（重大安全保障）和安全周宣贯服务需求：网络安全攻防演练安全测试报告、网络安全攻防演练总结报告，网络安全攻防演练布防技战法报告，网络安全宣传周宣贯工作总结报告等。

六、项目技术支持服务要求

投标人需按照国家关于建设安全防护体系的指导思想，结合本单位业务网络安全的现状，强化互联网安全保障，做好互联网涉税应用系统的安全众测，协助开展相关的安全漏洞整改复测；在攻防演练期间应对可能发生的网络安全事件，最大力度保障本单位网络系统在攻防演练中全面防御来自攻击方的网络攻击，打赢 “攻防演练”防御战。同时，加强本单位自身信息系统的安全保护措施，完善信息安全体系建设和实施，提升网络安全防护能力。

建立可靠的安全应急响应预案和应急响应处理流程，最大限度消除系统运行中各类突发事件的危害和影响，保障系统不受突发安全事件的破坏，确保系统的业务连续性和可用性，实现应急响应工作的规范化、制度化和流程化。

提高全体工作人员的网络安全意识和技能水平，按照信息系统运行特点积极做好安全保障工作，建立信息安全预警和事件快速反应机制，建立高效的事件汇报渠道，保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接，一旦出现影响信息系统的安全事件，快速反应，及时准确处置。

在现有安全监测措施的基础上，对重点系统进行持续和重点加强监控，及时发现安全隐患进行安全预警，并采取针对性的应对措施消除隐患。按照“早发现、早报告、早处置”的原则，加强对信息安全突发事件和可能引发信息安全突发事件的有关信息的收集、分析判断和持续监测。

七、税收信息化项目开发和应用管理工作要求

本项目为非“税收信息化项目开发和应用管理工作”。

八、其他要求

1、项目保密要求

按照税务总局要求，在提供技术前，供应商必须签订《单位网络安全承诺书》，技术人员必须签订《个人网络安全承诺书》，承诺书主要包括网络安全管理规定和相关保密要求，保密时限最低10年，法律法规有规定的从其规定，供应商未经方技术部门和业务部门许可，不得私自对外开放系统接口及系统数据，因个人原因导致招标方安全问题和数据泄密需承担法律责任。

中标人在任何时候对其持有的事务或其事务运转操作方法等机密信息实行严格保密；除非有书面授权或出于相关方进行活动的必要，不得在任何时间向任何人透露任何保密信息；除非有书面指示或出于履行其义务的合理要求，不得把任何保密信息交给任何人；不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。

2、供应链安全要求

中标人应按照税务总局《国家税务总局网络安全和信息化领导小组办公室关于加强税务信息化供应链安全管理工作的通知》各项要求，强化落实供应链安全管理，加强供应链全链条的安全管控，把保证供应链安全的责任和措施落实到供应链管理工作的各个方面、各个环节，保障税务网络安全。具体为：

（1）设置网络安全负责人。中标厂商、供应商应建立网络安全负责人制度，指定一名网络安全负责人，在项目实施全过程负责网络安全工作，组织落实漏洞修复、安全加固和应急响应等各项税务网络安全要求。

（2）执行背景审查。中标方承担派驻技术支持人员背景审查工作，人员驻场前必须提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料，提交驻场运维信息备案表。所有材料及资料完备提供后，方可正式开展驻场工作。

（3）强化安全技能。中标方负责派驻技术支持人员工作胜任、资格条件、以及网络安全能力评估，对技术支持人员承担的工作进行安全保密风险分析，明确技术支持人员工作范围和边界，重点防范设备和资料失窃、误操作导致的软硬件故障、敏感信息泄露、信息系统越权访问和网络攻击等风险。

中标方负责派驻技术支持人员的网络和数据安全管理、网络安全意识、保密意识、网络安全法律法规、网络安全技能以及网络安全警示教育等培训，上岗前确保考核合格，并按照采购人要求定期提供相关考核情况。

（4）落实安全管控要求。中标厂商、供应商应加强源代码安全管理，开发环境的可信可控，使用第三方组件必须执行测试和升级加固，确保税务供应链安全。

3、失信惩戒

合同期内，乙方应严格遵守甲方各项网络安全管理制度、税务信息化供应链安全管理等制度，规范人员管理，履行安全保密责任，严格按照合同约定提供业务运维和运行保障服务，如出现以下等失信行为的，甲方可要求乙方限期改正、扣除合同款项等惩戒，视具体情况按次扣除合同总价款1‰至1%之间的金额，合同生效期间累计扣除不超过合同总价款5%的金额；情节严重的，甲方有权采取解除合同、上报税务总局在全国税务部门通报、3年内限制参加税务系统信息化项目政府采购活动、推送财政主管部门纳入政府采购失信名单等相关对应措施。

（1）攻击或侵入税务信息系统（包括CA等）；

（2）违反甲方网络安全管理规定，造成数据失窃、信息泄露、系统瘫痪等不良后果的；

（3）乙方运维服务质量评价被扣减5分（含5分）以上，且未按承诺改进到位的；

（4）违反合同约定内容，造成不良后果的；

（5）利用为税务机关提供信息化服务的便利，向纳税人、缴费人搭车收费或变相收费；

（6） 另行开发销售合同业务需求范围内，供纳税人、缴费人使用的软件；

（7）存在馈赠礼品礼金、邀请娱乐消费等非正常交往手段“围猎”税务人员行为的；

（8）违法违规聘用3年内离职且离职前3年内从事过税务信息化及相关信息系统业务条线工作人员；

（9）其他违反规定造成不良后果的行为。

4、知识转移要求

本项目不包含知识转移。

5、知识产权要求

服务商应保证采购人在提供服务过程中的任何部分不受任何关于侵犯所有权和工业产权、著作权（版权）等知识产权的指控。如果任何第三方提出侵权指控，服务商承担一切与之有关的责任。

6、项目归档要求

本次项目实施过程文档包括但不限于：有关产品知识、操作手册、设备运行维护经验、服务报告、技术文档、安装配置方案、安装配置实施文档、随机文档、手册等保证系统正常运行的必要技术资料。要求服务商应首要建立档案管理制度，确保文档资料完整齐全，所有电子档案均应与纸质档案内容相同，符合档案管理相关要求。

7、争议解决办法

本项目签订合同后，各方应通过友好协商，解决在执行合同过程中所发生的或与合同有关的争议。如协商不能解决，可以提起仲裁或诉讼。诉讼应由甲方所在地人民法院提起诉讼。

九、商务要求

付款方式：合同签订生效后分两次支付费用：

第一次在完成合同签订后的1个月内支付合同总价的70%

第二次在全部服务完成且验收合格后，根据验收结果、合同履行情况以及合同约定的扣款项目，支付项目合同余款。

验收不合格，不支付服务费用。