采购需求前附表

1. 项目概述

1.1项目背景

依据国家网络安全和数据安全相关法律法规要求，为满足特殊时期网络安全保障要求，及时快速应对处置网络安全突发事件，定期组织开展互联网应用系统的渗透测试服务，发现网络安全隐患及时进行整改加固，提高互联网应用安全防护能力。

1.2项目内容

（1）针对吉林省税务局所有互联网应用系统（包括新上线应用系统），每季度组织一次渗透测试，全年共组织四次。同时针对互联网移动APP、小程序进行检测服务，检测工作应覆盖APP程序本身检测和APP涉及接口的检测，并针对Android和IOS平台上的APP终端进行安全风险分析，发现软件自身的安全隐患。

（2）为强化特殊时期安全保障，需要购买特殊时期安全防护服务，包括特殊时期高级网络安全服务人员，执行前期安全培训、安全检查、安全加固、7*24小时的监测预警、应急处置、溯源分析、经验总结等服务。

2. 投标/响应要求

2.1 供应商必备资质要求

中标供应商参加本采购活动应符合《政府采购法》第二十二条的规定，具备下列条件：

（1）具有独立承担民事责任的能力；

（2）具有良好的商业信誉和健全的财务会计制度；

（3）具有履行合同所必需的设备和专业技术能力；

（4）有依法缴纳税收和社会保障资金的良好记录；

（5）法律、行政法规规定的其他条件。

（6）本次招标不接受联合体投标，禁止有隶属关系或相关联企业同时投标，不得转包及分包。

2.2 供应商优选资质要求

（1）具备ISO*****信息安全管理体系认证证书；

（2）具有ISO9001质量管理体系认证证书；

（3）具备ISO*****信息技术服务管理体系认证证书；

（4）成功案例：提供2020年1月1日以来（以合同签订日期为准）独立承担类似项目成功案例；

（5）具有信息安全服务资质证书（风险评估类、安全工程类）。

2.3投标/响应文件技术部分响应内容要求

（1）项目需求理解：投标人对项目定位、服务目标是否精准。

（2）项目方案：根据方案能否完整响应项目需求。整体服务方案及措施是否完整，是否具有针对性及科学性；驻场服务人员关系管理方案、档案户籍及社保管理方案、员工培训计划与方案、突发事件应急处理方案、符合采购人的其他服务方案（特色服务、增值服务等）是否合理、可行、符合采购人实际需求。

（3）项目管理方案：项目管理方案要合理、严谨、职责清晰、可操作性强、风险可控性强。

3. 项目需求

3.1.互联网应用系统渗透测试

（1）每季度对吉林省税务局现运行互联网区应用系统和移动互联网应用系统进行一次渗透测试，全年共开展四次全面的渗透测试工作。

（2）对采购人指定的新建、升级改造信息系统进行上线前的安全性渗透测试，并进行验证测试，确保达到上线安全要求。

（3）提供移动APP检测服务，检测工作应覆盖APP程序本身检测和APP涉及接口的检测，并针对Android和IOS平台上的APP终端进行安全风险分析，发现软件自身的安全隐患。

（4）中标供应商对要对所有漏洞提交修复建议，由采购人组织技术力量对漏洞进行修复，中标供应商安排安全服务工程师进行修复指导；在采购人对目标全部风险初步修复完成后，中标供应商需组织各漏洞提交者对漏洞进行逐一回检，直至所暴露漏洞全部修复完成为止。

（5）渗透测试应遵循人工渗透测试的标准，对目标进行漏洞检测，要保证在不干扰业务的情况下进行，并且工具应该对检测范围进行明确的规定，不允许扫描探测指定目标之外的其他目标。

（6）渗透测试不允许使用内置后门的工具，不允许有对系统数据修改和文件破坏的行为。保证在检测目标后不会对目标的系统有文件残留，严禁在被测目标系统中遗留带有后门的检测工具。

（7）渗透测试应有日志存档，对于渗透目标中的各种漏洞进行详细记录，并且能够以报告的形式集中体现。

（8）渗透测试工作应严格按照《网络安全法》执行，在采购人允许的时间内进行，禁止私自渗透测试。渗透测试开始与结束期间都要与采购人进行沟通，渗透测试人员要具备注册渗透测试工程师认证，并与我单位签署《渗透测试授权书》《保密协议》《保密承诺书》。

（9）渗透测试工作以人工渗透为主，辅助以渗透测试工具。渗透测试方法包括：Web层安全渗透、网络传输安全渗透、业务逻辑安全渗透、中间件安全渗透、服务器安全测试等；渗透测试工具包括：信息收集、插件管理、指纹管理、漏洞发现、漏洞利用、后渗透攻击等。

（10）提供渗透测试期间的应急响应服务、漏洞验证服务和安全加固指导等服务。发生安全事件时要求中标方1小时内到达事件现场，应急响应专家应及时采取行动限制事件扩散和影响，协助检查受影响的系统，在准确判断安全事件原因的基础上，提出整体安全解决方案，排除系统安全风险并协助追查事件来源，开展后续处置工作。

3.2. 特殊时期安全保障

3.2.1 护网演练安全保障

（1）提供具备快速处置突发问题的能力的安全专家团队的高级技术支持服务，高质量开展护网演练期间的安全检查、安全值守、安全响应、事件处置等工作，实现攻防演练零失分的目标。

（2）根据采购人需求，临时提供部署有效安全产品，包含但不限于APT、流量分析、攻击诱捕、威胁情报等，增强防护能力。

（3）在护网演练前至少半个月，由安全专家全面梳理信息化资产、全方位分析安全现状，进行源代码检测、集权设备安全评估、口令专项检查、敏感信息检测等发现安全脆弱点，以攻击者视角评估系统安全风险，准确发现系统内部安全的脆弱点，提前摸排攻击路径，提前发现漏洞，消灭潜在风险，并从整体联动、纵深防御角度提升攻防对抗水平。对运维团队进行安全意识培训，有针对性的强调与提高安全意识。组织技术力量提前部署监控任务，对流量分析、安全分析、安全监测、安全审计等双设备的日志进行高频度检查。

（4）在重保活动期间，由安全专业技术人员7*24小时值守（每班次现场人数不少于4人），实时监测威胁感知设备，对攻击行为进行专业分析、对于安全事件进行应急处置，保证重要保障期间对安全问题的快速处置能力。通过提供高级安全专家团队快速处置突发问题服务，高效处理突发安全事件，实现从安全事件的检测及定位、到安全事件威胁的消除以及对恶意攻击的溯源和反制，有效发现攻击者及攻击手段。第一时间分享0day漏洞等高危漏洞信息，协助及时完成漏洞修复工作。

（5）在重保活动结束时，配合完成工作总结，分析事前、事中的流程及处理情况，根据实际需求协助采见人修订完善应急预案及应急流程，针对性对提高安全薄弱点环节提出改进建议。

3.2.2 其他重保时期安全保障

提供具备快速处置突发问题的能力的安全专家团队的技术支持服务，开展重保时间7*24小时安全值守（每班次现场人数不少于2人）、安全响应、事件处置等工作。

4. 技术支持服务要求

4.1项目服务时间

2024年1月1日至2024年12月31日。

4.2互联网应用系统渗透测试服务要求

（1）服务过程中，针对涉及采购人的紧急重大类行业漏洞信息、安全事件、重大舆情信息、重要系统漏洞级补丁信息等，中标供应商应以最直接的方式向采购人告知漏洞对采购人应用系统的危害、影响范围及修补方案等信息，必要时提供现场应急响应支持服务。

（2）中标供应商只需验证漏洞是否存在，不得影响系统运行，不得获取未授权的数据。

（3）中标供应商对服务期间发现的漏洞，及时提供漏洞报告并制定安全加固方案，协助采购人开展安全加固工作和复检测试。

（4）在发现安全风险后24小时内，中标供应商需提供相应的漏洞报告和解决建议。

（5）对于用户修复后的漏洞，由中标供应商提供复检服务，并且在用户申请回检后的3日内反馈回检结果，确认漏洞是否修复；如若用户修复不成功需告知用户继续修复，回检次数不做限制。

（6）渗透测试结束后须出具测试报告，内容包含但不限于测试时间、测试范围、测试人员、测试内容及成果、漏洞复检情况等。

4.3特殊时期安全保障服务要求

（1）特殊时期安全保障服务时间为项目服务期内，由采购人指定的国家及税务行业网络安全保障特殊时期，内容包括护网演练、重大节假日、重大活动等。保障时间不少于40天。

（2）项目服务期内，护网演练现场值守阶段，中标供应商须提供现场7*24小时值守服务，服务期间每班次现场人数不少于4人；在其他重保期间，中标供应商须提供现场7*24小时值守服务，每班次现场人数不少于2人。

（3）发生安全事件时，现场值守人员应立即汇报，并采取防御处置措施，须于事件发生3小时内提出解决方案，于8小时内解决事件，并于24小时内提交事件处置报告。

4.4违约责任

中标供应商违反服务进度要求，没有在规定时间内完成相应服务内容，每次扣除合同总额0.5%；没有在规定时间完成应急响应相关服务，每次扣除合同总额1%；

5. 项目管理和实施要求

5.1 项目人员要求

中标供应商在互联网应用系统渗透测试时，需组建专业能力强、团队配置齐全的渗透测试团队，团队成员不少于6人，包含2名高级渗透测试工程师（具有CISP-PTS证书）和4名渗透测试工程师（具有CISP-PTE证书），具有成功实施重要时期保障或渗透类项目经验。

中标供应商应组建特殊时期安全保障技术防护团队，提供安全保障团队人数不少于12人，其中包含第三方服务商、安全专家、现场安全运维人员等。在现场值守阶段，中标供应商须提供主流的安全设备提升防护等级，现场7*24小时值守服务，服务期间每天同时在场值守人数不少于4人，具有特殊时期安全保障经验，且具有3年以上网络安全工作经验，并具备对网络攻击有研判分析的能力。

6. 验收要求

验收工作由采购人组织实施，验收工作按采购人要求进行。中标供应商应配合完成项目的验收工作，提交项目验收相关产出物，以税务信息化项目管理相关要求、招标文件要求、中标供应商投标文件及承诺、本项目合同约定标准组织验收。

中标供应商须提交一套可保存的、并容易查阅的文档，文档要求以纸质和电子格式提供，文档内容包括但不限于：

（1）《项目实施计划》（每季度）

（2）《渗透测试报告》（每季度）

（3）《App安全测试报告Android版》（每季度）

（4）《App安全测试报告IOS版》（每季度）

（5）《应急响应报告》

（6）《网络安全保障预案》

（7）《特殊时期网络安全保障总结报告》

（8）《特殊时期应急处置报告》

7. 税收信息化项目开发和应用管理工作要求

中标供应商服务期内须严格按照合同要求完成相关工作，按时提交各阶段文档，应遵循开发管理的过程监理、中期报告审议、验收资料审议等相关要求。

8. 其他要求

8.1保密要求

甲乙双方应对在合同签订或履行过程中所接触的对方信息，包括但不限于知识产权、技术资料、技术诀窍、内部管理及其他相关信息，负有保密义务。

乙方在使用甲方为乙方及其工作人员提供的数据、程序、用户名、口令、资料及甲方相关的业务和技术文档，包括税收政策、方案设计细节、程序文件、数据结构，以及相关业务系统的硬软件、文档、测试和测试产生的数据时，应遵循以下约定：

(1)应以审慎态度避免泄露、公开或传播甲方的信息；

(2)未经甲方书面许可，不得对有关信息进行修改、补充、复制；

(3)未经甲方书面许可，不得将信息以任何方式(如E－mail)携带出甲方场所；

(4)未经甲方书面许可，不得将信息透露给任何其他人；

(5)甲方以书面形式提出的其他保密措施。

保密期限不受合同有效期的限制，在合同有效期结束后，信息接受方仍应承担保密义务，直至该等信息成为公开信息。

8.2知识产权要求：

中标供应商需保证所提供的服务不侵犯第三方的知识产权（专利权、商标权、版权等），因侵害第三方知识产权而产生的法律责任，全部由中标供应商承担。

8.3.其他要求

投标人需对以下内容逐一承诺（格式自拟）：

（1）依据《国家税务总局办公厅关于修订<税务系统信息化服务商失信行为记录名单制度(试行)>的通知》（税总办征科发〔2022〕1号）相关规定，本项目不采购税务系统失信记录名单中的服务提供商提供的产品及服务。

通知文件互联网链接：　　　

http://www.chinatax.gov.cn/chinatax/n******/n******/c******/c*******/content.html

（2）信息化项目使用的供应链产品提供要满足国家网络安全规范和认证要求。

（3）中标供应商要建立网络安全负责人制度。每个项目均要设置网络安全负责人，组织落实各项网络安全要求。

（4）中标供应商应提高安全责任意识，严控产品安全质量；建立清晰的软件供应链安全策略，明确相关的管理目标、工作流程、检查内容、责任部门等；严控上游，尤其重点管控开源代码的使用，确保使用的开源代码符合开源许可协议，形成第三方组件清单和安全分析报告，禁止使用存在高安全风险或已停止维护的第三方组件；严控自主开发代码的质量，采用软件源代码安全分析工具，持续检测和修复软件源代码中的安全缺陷和漏洞；建立完善的产品漏洞响应机制，包括产品漏洞信息的收集、漏洞报告渠道的建立和维护、漏洞补丁的开发和发布、客户端漏洞应急响应和修复支持等。发现网络安全漏洞、缺陷、数据泄露或其他重大网络安全风险，及时向采购人进行报告，不得擅自公开或向第三方提供。

（5）项目实施前及实施期间，中标供应商要对参与项目人员进行网络和数据安全、技能等方面培训、考核、警示教育等。

（6）应用系统上线前，中标供应商要进行安全功能测试（包括漏洞扫描、渗透测试、源代码审计、基线核查）。

（7）采购人要对中标供应商方参与项目人员开展背景审查，中标供应商需项目人员提供无犯罪记录证明，公司和个人均签署保密协议、网络安全承诺书等。

（8）中标供应商违反国家税务总局吉林省税务局及其上级主管部门制定的网络安全规定行为造成不良后果的，将被纳入失信名单，3年内限制参加税务系统政府采购活动。

（9）中标供应商不得在合同履行期间“围猎”税务人员。如违反上述条款，将被纳入失信名单，3年内限制参加税务系统政府采购活动。

（10）中标供应商应建立防止违法违规聘用离职税务人员风险控制制度，如出现违法违规聘用离职税务人员行为，采购人有权采取以下措施：要求限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下属单位信息化项目政府采购活动等。

8.4付款方式

合同签订30个工作日内由中标供应商出具等额发票后，支付合同总金额的50%；项目在2024年9月30日前，经验收合格30个工作日内由中标供应商出具等额发票后，支付合同尾款。