采购需求前附表

项目联系人：詹晓军 联系人办公电话和手机：********、136*****568 一、项目概述

1. 项目背景

近年来，《中华人民共和国网络安全法》、《数据安全法》和《关键信息基础设施安全保护条例》相继颁布和实施，我国第一次以法律形式进一步明确国家实行网络安全等级保护制度和密码管理制度。网络运营者应当按照网络安全等级保护制度的要求，履行等级保护、风险评估、安全监测、应急响应、安全加固等工作，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改文件要求。

江西省税务局高度重视网络安全工作，落实网络安全风险控制和服务管理，贯彻《关于加强省级重要信息系统安全保障工作的通知》（赣公字[2015]55 号）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66 号）和《信息安全等级保护管理办法》（公通字[2007]43 号）等文件要求，按照国家税务总局网络安全要求，结合自身信息化建设需求，按照技术要求开展等级保护咨询安全及信息安全风险评估服务工作，解决所面临的最主要的安全问题，将有限的资源投入到最有效的地方，不断加强信息系统安全保护能力。

2.项目内容

二、投标/响应要求

供应商资质要求：

1.符合《政府采购法》第二十二条规定的供应商条件。

2.其他特定资格条件：

主体信用记录符合政府采购活动要求

供应商参加政府采购活动前三年内未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单和“中国政府采购”网站（www.ccgp.gov.cn)政府采购严重违法失信行为记录名单(以开标时的当场查询结果为准）。

3.本项目不接受联合体投标。

三、 项目需求

1.网络基础设施和信息系统清单

江西省税务局根据等级保护测评相关要求，结合全系统重要税费业务系统评测工作开展情况，列入2023年度等级保护三级和二级系统清单如下：

2.测评范围

本次等级保护测评分为技术安全测评和管理安全测评，技术安全测评包括物理安全、网络安全、主机安全、应用安全和数据安全，管理安全测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面的测评。

3.测评时间

按采购人要求，一年内完成。

4.服务周期

本次安全服务项目服务周期为：壹年（合同签订后一年内完成服务交付）。

5.项目工作内容

本项目结合江西省税务局自身信息化建设需求，开展等级保护咨询项目服务，解决所面临的最主要的安全问题，将有限的资源投入到最有效的地方，不断加强信息系统安全保护能力为目标。本项目主要工作内容：

（1） 网络基础设施和信息系统梳理

（2） 网络安全等级保护定级和备案服务

（3） 网络安全等级保护测评服务

（4） 网络安全培训服务

（5） 全省税务CTF、网络安全应急赛专项培训

5.1 网络基础设施和信息系统梳理

根据江西省税务局《网络基础设施和信息系统清单》和 2021 年江西省税务局等级保护定级和测评情况，开展网络基础设施和信息系统定级备案梳理和排查工作，准确地规划和设计江西省税务信息系统等级保护测评工作。

5.2 网络安全等级保护定级和备案服务

1）服务对象：江西省税务局网络基础设施和各类业务管理系统。

2）具体要求：

信息系统的定级是开展网络安全等级保护工作的首要环节和基础，测评机构将派遣公安部信息安全测评中心或中关村测评联盟认证的中级测评师（或以上）协助用户单位完成等级保护定级和公安备案工作。为了准确、科学的开展信息系统定级工作，开展进行摸底调查，摸清信息系统底数，掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况，进下一步明确要求、落实责任奠定基础。

定级工作将严格遵循《网络安全等级保护定级指南》（GB/T *****-2019 征求意见稿），深入调研掌握信息系统的应用部署实际情况，按照国家有关管理规范和标准要求， 细致分析各信息系统安全域及管理边界，合理划分信息系统范围，科学开展信息系统重要性程度分析，准确判定信息系统安全等级，编制《定级报告》和《备案表》，并按照定级备案流程，向主管部门、监管机关就信息系统定级进行审批备案，使顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。

工作过程文件及项目交付成果（包括但不限于）：省级公安监管机关颁发的《信息系统安全等级保护备案证明》；

具体要求：根据国家行业信息安全要求，结合实际需求，严格遵循《网络安全等级保护条例》、《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等，并应深入调研掌握信息系统的应用部署实际情况，按照国家有关管理规范和标准要求，细致分析各信息系统安全域及管理边界，合理划分信息系统范围，科学开展信息系统重要性程度分析， 召开定级专家咨询会议，准确判定信息系统安全等级，编制《定级报告》和《备案表》， 并按照定级备案流程，向主管部门、监管机关就信息系统定级进行审批备案，保证采购方顺利获得监管机关颁发的《信息系统安全等级保护备案证明》；若备案不成功，则合同不生效。

5.3 网络安全等级保护测评服务

1）服务对象：江西省税务局网络基础设施和各类业务管理系统。

2）具体要求：

测评机构必须具备《网络安全等级保护测评机构推荐证书》，工作阶段、流程、内容、及成果交付严格遵循《网络安全等级保护测评要求》（GB/T *****-2019)、《网络安全等级保护测评过程指南》（GB/T *****-2018）和《信息安全技术 网络安全等级保护基本要求》（等保 2.0）文件。本项目测评系统复杂规模大、部署广、测评时间集中，应按照项目组开展工作，项目团队中应组织公安部信息安全测评中心或中关村测评联盟颁发高级测评师负责项目组管理，并根据系统等级开展相应级别的开展单项测评和整体测评分析；测评报告内容及格式严格遵照网络安全等级保护测评报告最新模版，符合公安部门定级和备案要求。

按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》，遵循《网络安全等级保护基本要求》（GB/T *****-2019）等技术标准，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等 10 个层面进行测评，并参考采购人自身信息安全管理要求，进行综合分析和整体测评。

应依据信息系统的业务应用和内外部环境，深入调研分析各信息系统资产状况和重要性程度，以及面临信息安全的威胁。

技术方面，物理安全方面应在采用专用测试工具测试和人工现场复核方式；对信息机房的消防、防雷击、防水防潮、防静电、空调、UPS、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。

管理安全方面应对采购人信息安全管理现状进行需求分析，确定安全管理目标和安全策略，针对信息系统的各类管理活动，梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。

应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、WEB 应用漏洞分析工具等对网络、主机等进行渗透测试分析。

应采取等级测评、安全审计、风险评估等方法，逐项对照《网络安全等级保护基本要求》的各安全要求项，评估确定系统当前安全防护现状以及与标准要求的差距，判断安全保护建设需求及其分析。

在收集充足数据之后，对现场测评获得的数据进行汇总分析，形成等级测评项目的最终结论，并编制最终的《网络安全等级保护等级测评报告》。

工作过程文件及项目交付成果（包括但不限于）： 《三级系统网络安全等级保护等级测评报告》；

5.4 网络安全培训

1）服务对象：

全省税务系统网络安全专业人才和储备人才，被选拔参加税务系统网络安全比武竞赛和各类网络安全大赛的参赛选手。

2）具体要求：

按照采购人要求，针对以上人员，开展网络安全集中普训及精英特训，讲授 CTF、网络安全应急赛等网络安全专业知识和比赛要点，分析最前沿的信息安全形势，提升网络安全技能。

工作过程文件及项目交付成果（包括但不限于）：《网络安全培训纪要》。

四、项目实施要求

1.实施要求

（1） 投标人必须具备独立完成本项目的能力；

（2） 投标人必须提供国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》

（3） 投标人必须提供中国网络安全审查技术与认证中心颁发的《信息安全风险评估证书》；

（4） 中标人应对了解到的信息保密，并提供保密承诺；

（5） 中标人在项目现场实施周期内，必须为本项目成立等级保护测评项目部，安排包括项目经理和各测评实施小组进场调研、测评工作；

（6） 在采购人进行整改过程中提供必要的技术支持。

（7） 投标人近三年内受到中国网络安全等级保护协调工作办公室处罚、警告、勒令整改单位，不得参与此项目。

2.项目管理要求

（1） 组织实施要求

1) 投标人应安排专职项目经理负责本次项目的实施。

2) 投标人应保证项目团队成员的稳定，以保证服务的质量和连贯性。

（2） 人员安排要求

本项目的技术服务人员需具有信息安全服务工作经验，参加过网络安全等级保护测评项目并取得信息安全方面资质证书，提供人员管理及配备方案，并确保人员的稳定。如更换技术服务人员，须由采购人同意并签字确认。

3.项目进度要求

进度计划：合同签订后一年内提供安全服务。

项目验收条件：中标人按照“项目服务内容”规定的交付成果，经采购人完全确认后，完成验收。

五、项目验收要求

（1）中标方未出现违反服务条款的事项。

（2）中标方在项目服务期一年内按照项目要求提交业务系统等级保护测评备案表、等级保护定级报告和等级保护测评报告等材料至江西省税务局，10个工作日内由江西省税务局审定验收。

六、项目技术支持服务要求

无

七、税收信息化项目开发和应用管理工作要求

本项目为非“税收信息化项目开发和应用管理工作”。

八、其他要求

1、项目保密要求

按照税务总局要求，在提供技术前，供应商必须签订《单位网络安全承诺书》，技术人员必须签订《个人网络安全承诺书》，承诺书主要包括网络安全管理规定和相关保密要求，保密时限最低10年，法律法规有规定的从其规定，供应商未经方技术部门和业务部门许可，不得私自对外开放系统接口及系统数据，因个人原因导致招标方安全问题和数据泄密需承担法律责任。

中标人在任何时候对其持有的事务或其事务运转操作方法等机密信息实行严格保密；除非有书面授权或出于相关方进行活动的必要，不得在任何时间向任何人透露任何保密信息；除非有书面指示或出于履行其义务的合理要求，不得把任何保密信息交给任何人；不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。

2、供应链安全要求

中标人应按照税务总局《国家税务总局网络安全和信息化领导小组办公室关于加强税务信息化供应链安全管理工作的通知》各项要求，强化落实供应链安全管理，加强供应链全链条的安全管控，把保证供应链安全的责任和措施落实到供应链管理工作的各个方面、各个环节，保障税务网络安全。具体为：

（1）设置网络安全负责人。中标厂商、供应商应建立网络安全负责人制度，指定一名网络安全负责人，在项目实施全过程负责网络安全工作，组织落实漏洞修复、安全加固和应急响应等各项税务网络安全要求。

（2）执行背景审查。中标方承担派驻技术支持人员背景审查工作，人员驻场前必须提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料，提交驻场运维信息备案表。所有材料及资料完备提供后，方可正式开展驻场工作。

（3）强化安全技能。中标方负责派驻技术支持人员工作胜任、资格条件、以及网络安全能力评估，对技术支持人员承担的工作进行安全保密风险分析，明确技术支持人员工作范围和边界，重点防范设备和资料失窃、误操作导致的软硬件故障、敏感信息泄露、信息系统越权访问和网络攻击等风险。

中标方负责派驻技术支持人员的网络和数据安全管理、网络安全意识、保密意识、网络安全法律法规、网络安全技能以及网络安全警示教育等培训，上岗前确保考核合格，并按照采购人要求定期提供相关考核情况。

（4）落实安全管控要求。中标厂商、供应商应加强源代码安全管理，开发环境的可信可控，使用第三方组件必须执行测试和升级加固，确保税务供应链安全。

3、失信惩戒

合同期内，乙方应严格遵守甲方各项网络安全管理制度、税务信息化供应链安全管理等制度，规范人员管理，履行安全保密责任，严格按照合同约定提供业务运维和运行保障服务，如出现以下等失信行为的，甲方可要求乙方限期改正、扣除合同款项等惩戒，视具体情况按次扣除合同总价款1‰至1%之间的金额，合同生效期间累计扣除不超过合同总价款5%的金额；情节严重的，甲方有权采取解除合同、上报税务总局在全国税务部门通报、3年内限制参加税务系统信息化项目政府采购活动、推送财政主管部门纳入政府采购失信名单等相关对应措施。

（1）攻击或侵入税务信息系统（包括CA等）；

（2）违反甲方网络安全管理规定，造成数据失窃、信息泄露、系统瘫痪等不良后果的；

（3）乙方运维服务质量评价被扣减5分（含5分）以上，且未按承诺改进到位的；

（4）违反合同约定内容，造成不良后果的；

（5）利用为税务机关提供信息化服务的便利，向纳税人、缴费人搭车收费或变相收费；

（6） 另行开发销售合同业务需求范围内，供纳税人、缴费人使用的软件；

（7）存在馈赠礼品礼金、邀请娱乐消费等非正常交往手段“围猎”税务人员行为的；

（8）违法违规聘用3年内离职且离职前3年内从事过税务信息化及相关信息系统业务条线工作人员；

（9）其他违反规定造成不良后果的行为。

4、知识转移要求

本项目不包含知识转移。

5、知识产权要求

服务商应保证采购人在提供服务过程中的任何部分不受任何关于侵犯所有权和工业产权、著作权（版权）等知识产权的指控。如果任何第三方提出侵权指控，服务商承担一切与之有关的责任。

6、项目归档要求

本次项目实施过程文档包括但不限于：有关产品知识、操作手册、设备运行维护经验、服务报告、技术文档、安装配置方案、安装配置实施文档、随机文档、手册等保证系统正常运行的必要技术资料。要求服务商应首要建立档案管理制度，确保文档资料完整齐全，所有电子档案均应与纸质档案内容相同，符合档案管理相关要求。

7、争议解决办法

本项目签订合同后，各方应通过友好协商，解决在执行合同过程中所发生的或与合同有关的争议。如协商不能解决，可以提起仲裁或诉讼。诉讼应由甲方所在地人民法院提起诉讼。

九、商务要求

付款方式：合同签订生效后分两次支付费用：

第一次在完成合同签订后的1个月内支付合同总价的70%。

第二次在全部服务完成且验收合格后，根据验收结果、合同履行情况以及合同约定的扣款项目，支付项目合同余款。

验收不合格，不支付服务费用。