采购需求前附表

项目联系人：詹晓军 联系人办公电话和手机：********、136*****568 一、项目概述

（一）项目背景

国家税务总局根据《国家税务总局关于强化税务系统网络安全的意见》(税总发(2019)123号）要求, 规划建设密码服务组件项目,以进一步完善密码应用服务基础设施,强化密码资源的统一规范管理,为税务信息系统提供高效的数据安全服务和协同签名技术服务,提高税务信息系统安全保障能力。2021年，税务总局项目实施组完成通用密码组件系统在我局的部署实施，于同年9月份正式投入运营。该系统为电子税务局、金四数电发票平台、税务区块链等业务提供签名、验签、加密、解密等基础密码运算服务，该系统是实现业务加解密、身份鉴权、签名验签等安全需求的重要基础设施, 为确保我局各类业务系统稳定运行，拟采购通用密码组件驻场运维服务。

（二）项目内容

采购密码服务组件系统驻场运维服务,含驻场工程师1人。开展密码服务组件系统共计32台服务器、6台密码机的日志运行监控、备份维护、故障处理、系统调优和软件补丁升级、数据监控 以及其他运行维护工作等,并及时出具各类监控分析报告,确保已经接入密码服 务组件应用系统的稳定运行,并负责新建应用系统的接入,在应用系统出现故障时, 配合应用系统进行故障排查。

（三）项目工作内容

负责密码服务组件系统运维的总体管控,承担运维总集成职责。一是当系统 出现故障时,牵头负责,做好系统排查、问题定位、制定解决方案, 解决系统问题:二是对系统进行调优(含:资源需求配置管理）时,提出系统调优和优化方案。三是积极参与解决本系统相关应用系统出现的问题。对于涉及到跨系统的工作, 负责各应用厂商间的组织和协调。具体包括但不限于:

1.日常监控和巡检

每天进行日常监控巡检,填写系统运行监控报告,避免发生故障,确保应用系统正常运行。

2.故障处理

快速解决应用系统运行过程中出现的系统故障,保障业务连续性。发生故障且处理后需要提交故障分析报告,报告包含但不限于以下内容:故障描述、故障产生原因、故障解决方案、及时总结整理故障案例知识库。

3.系统调优

根据应用系统运行情况,以及随着数据量的不断增加,提出系统调优方案,定期对系统进行调优。

4.系统软件日常运维

负责应用运行相关的操作系统、中间件等其他相关软件配置的日常运维及应用相关调优。

5.安全防护

负责应用运行的中间件等相关软件的安全防护工作,包括安装安全补丁、进行应用相关安全配置等。

6.专用设备运维

对协同签名验签服务器、密码机等专用设备进行常规巡检、故障处理、系统配置、安全加固、系统升级、迁移等运行维护工作。

二、投标/响应要求

供应商资质要求：

1.符合《政府采购法》第二十二条规定的供应商条件。

2.其他特定资格条件：

主体信用记录符合政府采购活动要求

供应商参加政府采购活动前三年内未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单和“中国政府采购”网站（www.ccgp.gov.cn)政府采购严重违法失信行为记录名单(以开标时的当场查询结果为准）。

3.本项目不接受联合体投标。

三、项目需求

（一）系统环境巡检

对密码服务组件系统涉及的应用服务器、数据库、各应用程序等进行定期巡检，保障系统稳定运行。主要包括：

1、服务器系统资源相关的磁盘空间使用率、内存使用率、CPU使用率、SWAP使用率、系统进程等；配合税局做基础的安全加固等；

2、数据库相关的表空间使用情况、实例服务运行状态、数据库sql语句执行、日志查看等；

3、维护各应用程序相关的进程状态、服务状态等

4、维护中间件kafka、redis的服务状态、参数配置等。

（二）补丁升级

根据国家税务总局整体要求，下发升级版本后对密码服务组件系统进行功能优化的升级操作：

1、升级前准备，版本的上传、解压、打包等

2、升级中旧服务版本的归档

3、升级后功能性的测试

（三）故障处理

解决系统运行期间出现的系统故障、功能问题，当日响应用户提交的问题，对其进行定位分析并处理。其中属于操作类问题应当日解决，属于参数配置类问题应在1-2日内解决，属于数据类问题应在1-3日内解决，属于软件故障需要进行软件修改的问题应在下一版本中解决，属于硬件类问题需要进行硬件的维护、更换后解决。故障解决后应向用户单位提交故障处理报告。现场无法处理的故障，提交高级技术支持人员进行处理。

（四）特色软件集成

从特色软件接入密码服务组件到调用密码服务成功，服务于特色软件集成的整个生命周期，集成工作包含：

1、在软件改造期间，提供集成的jar包、说明文档，对文档中不清晰之处予以解答；

2、在软件集成前期，通过密码服务组件系统操作完成特软集成需要的参数，如应用证书、应用ID、密钥ID；

3、特软联调中，进行问题的排查处理，直至调用密码服务成功；

4、对接入的应用进行监控，维护密码服务的正常调用。

（五）系统培训

组织相关人员进行密码服务组件系统的培训工作：

1、系统各模块的功能性培训讲解；

2、系统业务流程操作培训，以及业务的注意事项说明；

3、针对密码服务组件系统中11种类型的密码服务在实际场景的应用讲解。

（六）业务运维

密码服务组件业务运维主要涉及以下内容：

1、密码服务管理

? 数据库存储加密（接口层）包括应用及插件、策略管理、全量加解密；

? 数据库存储加密（驱动层）包括实例管理、安全服务、网络管理。

2、密码设备管理包括设备证书管理、宿主机、虚拟机、物理机、设备组、设备日志。

3、秘钥管理包括应用秘钥、历史应用秘钥、外部应用秘钥。

4、接入应用管理包括应用登记管理、应用业务管理、应用证书管理、业务证书管理。

（七）安全运维

安全运维对象为物理环境、网络平台、主机系统、应用系统、安全设施、信息数据六类实体对象。

通过安全属性实现业务活动的正常进行。安全运维服务包括但不限于：

例行操作：至少包含安全巡检；

响应支持：至少包含应急保障；

优化改善：至少包含安全加固；

调研评估：至少包含安全风险评估、脆弱性检查、渗透性测试。

(八）统计报表

定期对通用密码组件系统的运行情况出具报表, 以便能够全面掌握应用系统的整体运行情况。定期对通用密码组件系统运维工作情况出具统计报表, 报表周期为每月、季度、半年和整年。

四、项目实施要求

(一）项目总体要求

在工作开展中, 通过对江西省税务局密码服务组件系统运维,能够保障密码服务组件系统自身及接入的业务系统的稳定性和安全性。

(二）项目人员要求

服务单位需指派1名驻场工程师工作时间驻场服务,提供 5*8 小时密码服务组件系统运维服务,按要求进行节日及重保期间 7*24 值守。

人员要求: 驻场服务人员应具有良好的沟通能力,2年及以上运维或网络安 全工作经验:驻场服务人员需能够熟练使用密码服务组件系统的各项功能,不断 优化系统配置及性能,并具备准确判断应用系统在密码服务组件系统内运行状况和故障排查的能力。

中标供应商在2小时内对江西省税务局所提出的服务要求作出实质性响应, 并且按照以下时间要求对使用单位的系统软件故障技术支持服务请求进行响应。

1.系统瘫痪,业务系统不能运转的,立即响应,4小时内解决故障；

2.系统部分出现故障,业务系统运行性能降低,半小时内响应,8小时内解决故障；

3.系统自身缺陷问题,暂不影响系统运行和使用,1 小时内响应,1 周内解决。

提供一站式服务, 即一点受理后,必须负责全程跟踪服务。在解决故障时,服务单位应保护好用户数据,并作好故障处理记录。故障解决后 48小时内,应向用户单位提交故障处理报告。报告中须说明故障现象、故障原因、故障处理过程及结果。

五、项目验收要求

（一）项目交付成果

1．按招标文件技术部分要求对服务进行验收，中标人应在验收时提供相关周期性服务报告。

2.驻场和维保期内因平台功能或人员问题，如果出现漏洞情报通报不及时，导致本单位出现漏洞被利用的情况，按次延长本单位驻场或维保合同服务期1个月。

（二）项目验收文档

1、验收阶段

合同签订生效6个月开展1次项目阶段验收，服务期结束后开展项目最终验收。

2、验收内容

验收内容主要包含密码服务组件系统运行情况、运维工作统计、驻点运维人员考勤情况等。

3、主要交付物

《密码组件驻场运维服务项目年度工作总结报告》、《密码服务组件系统驻场运维周报》、《密码服务组件系统驻场运维月报》，在服务期内若发生系统故障, 需提供《故障处理报告》。

项目验收过程中,验收组成员将按照合同内容和工作要求对该项目进行审 核, 要求服务单位确保合同中涉及内容均已阶段性完成,完整提供交付文档和验收文档等。

六、项目技术支持服务要求

中标人须为本项目指定1名项目经理（非现场驻点），提供1名驻点运维工程师，并组建二线技术支持团队。

二线技术支持团队配置完全，至少包含通用密码组件系统研发人员、密码机设备维护人员、安全应急响应人员等。

七、税收信息化项目开发和应用管理工作要求

本项目为非“税收信息化项目开发和应用管理工作”。

八、其他要求

1、项目保密要求

按照税务总局要求，在提供技术前，供应商必须签订《单位网络安全承诺书》，技术人员必须签订《个人网络安全承诺书》，承诺书主要包括网络安全管理规定和相关保密要求，保密时限最低10年，法律法规有规定的从其规定，供应商未经方技术部门和业务部门许可，不得私自对外开放系统接口及系统数据，因个人原因导致招标方安全问题和数据泄密需承担法律责任。

中标人在任何时候对其持有的事务或其事务运转操作方法等机密信息实行严格保密；除非有书面授权或出于相关方进行活动的必要，不得在任何时间向任何人透露任何保密信息；除非有书面指示或出于履行其义务的合理要求，不得把任何保密信息交给任何人；不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。

2、供应链安全要求

中标人应按照税务总局《国家税务总局网络安全和信息化领导小组办公室关于加强税务信息化供应链安全管理工作的通知》各项要求，强化落实供应链安全管理，加强供应链全链条的安全管控，把保证供应链安全的责任和措施落实到供应链管理工作的各个方面、各个环节，保障税务网络安全。具体为：

（1）设置网络安全负责人。中标厂商、供应商应建立网络安全负责人制度，指定一名网络安全负责人，在项目实施全过程负责网络安全工作，组织落实漏洞修复、安全加固和应急响应等各项税务网络安全要求。

（2）执行背景审查。中标方承担派驻技术支持人员背景审查工作，人员驻场前必须提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料，提交驻场运维信息备案表。所有材料及资料完备提供后，方可正式开展驻场工作。

（3）强化安全技能。中标方负责派驻技术支持人员工作胜任、资格条件、以及网络安全能力评估，对技术支持人员承担的工作进行安全保密风险分析，明确技术支持人员工作范围和边界，重点防范设备和资料失窃、误操作导致的软硬件故障、敏感信息泄露、信息系统越权访问和网络攻击等风险。

中标方负责派驻技术支持人员的网络和数据安全管理、网络安全意识、保密意识、网络安全法律法规、网络安全技能以及网络安全警示教育等培训，上岗前确保考核合格，并按照采购人要求定期提供相关考核情况。

（4）落实安全管控要求。中标厂商、供应商应加强源代码安全管理，开发环境的可信可控，使用第三方组件必须执行测试和升级加固，确保税务供应链安全。

3、失信惩戒

合同期内，乙方应严格遵守甲方各项网络安全管理制度、税务信息化供应链安全管理等制度，规范人员管理，履行安全保密责任，严格按照合同约定提供业务运维和运行保障服务，如出现以下等失信行为的，甲方可要求乙方限期改正、扣除合同款项等惩戒，视具体情况按次扣除合同总价款1‰至1%之间的金额，合同生效期间累计扣除不超过合同总价款5%的金额；情节严重的，甲方有权采取解除合同、上报税务总局在全国税务部门通报、3年内限制参加税务系统信息化项目政府采购活动、推送财政主管部门纳入政府采购失信名单等相关对应措施。

（1）攻击或侵入税务信息系统（包括CA等）；

（2）违反甲方网络安全管理规定，造成数据失窃、信息泄露、系统瘫痪等不良后果的；

（3）乙方运维服务质量评价被扣减5分（含5分）以上，且未按承诺改进到位的；

（4）违反合同约定内容，造成不良后果的；

（5）利用为税务机关提供信息化服务的便利，向纳税人、缴费人搭车收费或变相收费；

（6） 另行开发销售合同业务需求范围内，供纳税人、缴费人使用的软件；

（7）存在馈赠礼品礼金、邀请娱乐消费等非正常交往手段“围猎”税务人员行为的；

（8）违法违规聘用3年内离职且离职前3年内从事过税务信息化及相关信息系统业务条线工作人员；

（9）其他违反规定造成不良后果的行为。

4、知识转移要求

本项目不包含知识转移。

5、知识产权要求

服务商应保证采购人在提供服务过程中的任何部分不受任何关于侵犯所有权和工业产权、著作权（版权）等知识产权的指控。如果任何第三方提出侵权指控，服务商承担一切与之有关的责任。

6、项目归档要求

本次项目实施过程文档包括但不限于：有关产品知识、操作手册、设备运行维护经验、服务报告、技术文档、安装配置方案、安装配置实施文档、随机文档、手册等保证系统正常运行的必要技术资料。要求服务商应首要建立档案管理制度，确保文档资料完整齐全，所有电子档案均应与纸质档案内容相同，符合档案管理相关要求。

7、争议解决办法

本项目签订合同后，各方应通过友好协商，解决在执行合同过程中所发生的或与合同有关的争议。如协商不能解决，可以提起仲裁或诉讼。诉讼应由甲方所在地人民法院提起诉讼。

九、商务要求

付款方式：合同签订生效后分两次支付费用：

第一次在完成合同签订后的1个月内支付合同总价的70%

第二次在全部服务完成且验收合格后，根据验收结果、合同履行情况以及合同约定的扣款项目，支付项目合同余款。

验收不合格，不支付服务费用。