采 购 需 求

项目名称：国家税务总局江西省税务局2024年网络和数据安全风险评估及税务供应链安全检查服务采购项目

2024年10月

目 录

1项目概述

1.1项目背景

1.1.1项目目的、意义及背景

1.2项目内容

1.2.1采购内容

1.2.2项目实施要求

2投标/响应要求

2.1对供应商的要求

2.1.1必备资质

2.1.2是否允许联合体

2.1.3是否专门面向中小企业

2.2技术部分投标/响应内容

2.2.1投标/响应方案要求

3项目需求

3.1总体要求

1、省局数据处理中心网络和数据安全评估服务

3.2服务内容和要求

3.2.1技术和服务客观指标

4人员要求

4.1总体要求

4.2管理团队

4.2.1项目经理

4.3技术团队

4.4优选资质/优选指标

5管理实施要求

1.实施要求

2.项目管理要求

3、项目进度要求

6保密要求

7知识转移要求

8风险管控要求

9履约验收要求

9.1总体要求

9.2具体要求

1、验收主体

2、验收时间

3、验收方式

4、验收程序

5、验收内容

6、主要交付物

7、验收标准

10其他要求

10.1必备要求

10.1.1★税收信息化项目开发和应用管理工作要求

10.1.2★供应链安全管理要求

10.1.3★信息化服务运维人员要求

10.1.4其他

10.2知识产权要求

10.3付款安排建议

1项目概述

1.1项目背景

1.1.1项目目的、意义及背景

随着税务系统数据“大集中”的推行，税务网站、网上办税等面向互联网的应用快速发展，网络覆盖范围不断增加，跨部门的横向交互不断加强，特别是自疫情以来，税务系统中信息技术手段的应用得到进一步发展和扩大，不同程度地增加了税务网络与信息系统的安全风险。

为深入了解全省网络安全、数据安全、供应链安全现状，全面挖掘网络与信息系统、数据安全管理、供应链安全管理存在的脆弱点，期望通过网络安全、数据安全、供应链安全风险评估项目的实施，对其现有的网络安全、数据安全、供应链管理制度和技术措施的有效性进行评估，指导全省的网络安全、数据安全、供应链保障建设，提高安全管理水平，增强省局网络安全、数据安全风险管理意识，打造安全、高效、便捷的信息技术服务平台。

本项目是延续性项目，上一年度服务期采购合同金额29.76万元，服务期限为2024年1月11日至2025年1月10日，成交供应商为山西轩辕信息安全技术有限公司。

本项目没有分包。

1.2项目内容

1.2.1采购内容

序号

服务内容

服务要求

1

省局数据处理中心网络和数据安全评估服务

1次

2

全省基层税务系统网络和数据安全检查服务

1次

3

全省税务信息化供应链安全评估和检查服务

1次

1.2.2项目实施要求

1.2.2.1实施范围要求

江西省税务系统省、市、县税费业务网络和数据安全检查及评估、江西税务信息化供应链相关厂商和服务商安全评估工作。

1.2.2.2实施时间要求

2025年1月11日-2026年1月10日

1.2.2.3实施地点要求

国家税务总局江西省税务局数据处理中心

2投标/响应要求

2.1对供应商的要求

2.1.1必备资质

2.1.1.1投标人应遵守有关国家法律、法规和条例,具备《中华人民共和国政府采购法》第二十二条的规定和本文件中规定的条件。

2.1.2是否允许联合体

否

2.1.3是否专门面向中小企业

本项目专门面向中小企业采购项目

2.2技术部分投标/响应内容

2.2.1投标/响应方案要求

以下相关方案，若作为评审因素，则投标人应在满足★关键指标项要求的前提下，根据项目特点和采购需求，制定更为完整、详细、可操作性强的方案。

投标人应根据需求制定项目实施管理方案，方案内容应包含安全服务团队的组建，网络和数据安全检查和风险评估的检查指标制定、检查和评估的内容和检查方式、网络和数据安全及供应链安全核查工作方法和内容，各类安全评估及检查的交付内容等。

3项目需求

3.1总体要求

1、省局数据处理中心网络和数据安全评估服务

（1）省局数据处理中心网络安全风险评估。

在风险评估实施过程中，资产识别以填写基本情况调研表为主，结合访谈和现场查看，对信息资产进行识别和赋值；威胁识别以访谈为主，结合技术检测验证，对发现的威胁要素赋值；脆弱性识别以技术检测为主，结合现场查看，对脆弱性要素赋值；综合分析上述各类要素，采用分级、分步进行风险计算，形成风险列表，划分风险等级，分析风险对信息系统信息安全的影响程度，形成最终的风险评估报告。

（2）资产识别和赋值

按照风险评估技术标准规范，对江西税务税费业务系统系统的资产进行如下分类：系统资产、物理环境资产、网络资产和管理资产。其中系统资产按照不同的被评估系统分别进行识别，物理环境资产、网络资产和管理资产同属于承载系统的资产，统一进行识别。针对不同区域的被评估系统资产，按照各系统进行识别。资产识别工作主要由两部分组成：资产收集和资产确认。资产收集工作主要是被评估方在现场实施阶段前，按照评估方提供的基本情况调研表，进行资产整理、填写。资产确认工作主要是评估方实施人员在进入现场后，通过查阅已填写的被评估系统资产表单，审核资产与系统实物的真实性，完成资产识别工作。

（3）威胁识别分类和赋值

威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害；也可能是偶发的、或蓄意的事件。在对威胁进行分类前，应考虑威胁的来源。

（4）脆弱性识别、分类和赋值

脆弱性是指资产本身存在的，可以被威胁利用，并引起资产或商业目标的损害。脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。值得注意的是，脆弱性虽然是资产本身固有的，但它本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失，所以如果没有相应的威胁发生，单纯的脆弱性并不会对资产造成损害。

脆弱性分类的主要依据是，针对特定的威胁事件，组织所应对的技术与管理防范措施的脆弱性，威胁因素通过相关的脆弱点对系统产生影响。脆弱性可分为技术脆弱性和管理脆弱性，技术脆弱性是指由于采用技术存在的缺陷导致了可能被威胁因素利用，对资产造成损害；管理脆弱性是指由于管理体系存在的缺陷导致了可能被威胁因素所利用，对资产造成损害。

脆弱性的赋值主要依据资产的分类结果，分析每一种资产存在的脆弱性（包括技术脆弱性和管理脆弱性），进一步论证威胁利用这些脆弱性对资产造成的损害程度，综合几方面因素对资产存在的脆弱性进行赋值，得到最后的脆弱性量化值。为突出各检测项中的重点检测内容，通过分析各检测项中检测子项脆弱性的严重程度设定相应的权重值。通过对检测子项进行赋值，加权平均得出检测项脆弱性值。

（5）已有安全措施分析

已有安全控制措施分析是对被评估组织现有的安全控制措施进行调查，明确已经实施的控制措施，并根据被评估组织的安全要求分析该安全措施的有效性。这对于评估人员在对组织的安全风险进行计算、分析、提出安全建议时是一个重要的参考因素。安全控制措施包括技术措施与管理措施两类，安全控制措施的识别不仅需要考虑措施的制定与实施情况，还需考虑措施的落实情况，并结合等级保护中的相应要求，对各检测子项中的已有安全措施进行识别。

（6）风险分析

完成了资产识别、威胁识别、脆弱性识别及已有安全措施识别后，进一步论证各类威胁作用到不同脆弱性检测项的可能性，分析两者之间的关联关系，再综合信息系统的资产价值，可得出信息系统的风险值。通过判断信息系统的风险级别得出被评估单位各信息系统的风险程度，从而得出被评估单位信息系统安全状况。

（7）风险处置建议

风险处置建议是针对评估中发现问题的脆弱性严重程度及对业务风险的高低进行综合分析，提出的削减风险的技术与管理的安全建议。建议一般会突出：实施风险削减建议的优先度，便于用户在评估后根据揭示出的安全风险建立实施风险管理的计划。

2、省局数据处理中心数据安全风险评估服务

对江西省税务局数据处理中心税费业务系统数据资产进行数据安全风险评估。

（1）评估方法

数据安全评估主要从人员访谈、资料核查、技术手段核查、系统测评四个方面开展：

①人员访谈

与部门数据安全管理人员进行面对面访谈，检查其是否明确知晓数据相关安全管控要求，并结合现场检查，核实其落实情况，并做记录。

②资料核查

现场核查本次数据安全评估所涉及的管理制度、建设方案、操作审批单、审批日志等电子或纸质资料，并做记录。

③技术手段核查

针对本次检查的系统，现场检查其各种技术手段的落实情况，包括金库模式、重要数据模糊化手段、4A集中管控等实施情况，并做记录。

④系统测评

针对本次检查涉及的相关业务系统，利用渗透测试、入侵痕迹检测、安全组件配置核查等技术方法，检查业务组件、系统平台和基础网络中存在的安全风险。

（2）主要评估内容

①数据识别安全评估

数据识别是数据安全评估的基础。通过对数据的识别，可以确定数据在业务系统的内部分布、确定数据是如何被访问的、当前的数据访问账号和授权状况。数据识别能够有效解决运营者对数据安全状况的摸底管理工作。基于国家、行业的法律法规及标准要求，数据识别通常包括业务流识别、数据流识别、数据安全责任识别和数据分类分级识别。

②数据安全法律遵从性评估

数据安全符合相关法律要求是开展一切数据处理活动的前提和基础，也是最受关注的安全保障能力之一。数据安全风险评估不能完全避免数据安全风险的发生，但可以减少违法违规行为的发生。数据安全法律遵从性评估核心在于依据国家、行业的法律法规及标准要求，重点评估运营者及其他数据处理者关于数据安全在相关法律法规中的落实情况，包括个人信息保护情况、重要数据出境安全情况、网络安全审查情况、密码技术落实情况、机构人员的落实情况、制度建设情况、分类分级情况、数据安全保障措施落实情况，以及其他法律法规、政策文件和标准规范落实情况等。法律遵从性评估的目的不仅在于应对风险，更多的是在于找出差距，驱动数据安全建设合法化，完善数据安全治理体系。

③数据处理安全评估

数据处理安全的评估是围绕数据处理活动的收集、存储、使用、加工、传输、提供、公开等环节开展。主要针对数据处理过程中收集的规范性、存储机制安全性、传输安全性、加工和提供的安全性、公开的规范性等开展评估。

④数据环境安全评估

数据环境安全是指数据全生命周期安全的环境支撑，可以在多个生命周期环节内复用，主要包括主机、网络、操作系统、数据库、存储介质等环境基础设施。针对数据支撑环境的安全评估主要包括通信环境安全、存储环境安全、计算环境安全、供应链安全和平台安全等方面。

（3）数据安全风险评估综合判定

风险分析的原理主要是通过资产识别、脆弱性识别及威胁识别，分别计算出威胁造成损失的严重程度以及该安全事件发生的可能性，然后利用损失严重程度与事件发生的可能性得到风险值，最后赋予风险等级。分析和确定数据全风险的方法是，考虑已知威胁利用数据资产已知脆弱性的可能性，以及如果发生这种利用所产生的后果或不利影响（即危害程度），使用威胁和脆弱性信息以及可能性和后果 /影响信息定性或定量地确定数据安全风险。在分析中重点要围绕“数据生命周期”或者“数据应用场景”，最终的评估结果是某个业务或威胁场景之下利用某个资产的某个脆弱性造成某种破坏，该破坏的可能性有多大，破坏后影响有多大，进而综合评价风险有多大。

①可能性分析

可能性是指攻击事件可能导致任务能力丧失的概率。可能性判定应该考虑威胁假设，即阐明数据资产以及支撑环境可能面临的威胁类型，如网络安全威胁、自然灾害或物理安全威胁；还要考虑实际基于业务场景的数据安全脆弱性信息，包括识别的系统、数据或支撑环境的脆弱性；可能性分析要综合考虑利用漏洞成功利用的难度并将其与威胁信息相结合，在其实际应用场景下确定风险评估过程中成功攻击的可能性。

②影响分析

影响分析是一个关联分析过程，由数据所涉及的系统、数据的价值以及数据被破坏后对组织的影响等因素综合考虑。影响分析很大程度上要结合脆弱性被威胁利用的可能性，以及被评估单位管理者基于业务角度对风险的决策的判断，最终决定对风险是否接受、避免、减轻、分担或转移。

③风险结论

数据安全风险评估的结论应涵盖三个层级的风险。一是根据被评估组织或行业的性质和重要程度，可形成国家组织或者行业层面的数据安全战略风险报告。二是根据关键信息基础设施业务使命和形式，形成各自企业层面的数据安全风险报告。三是依据数据本身的特点或场景，形成面向系统级别、数据级别或者供应链级别等重点关注方面的风险评估报告。风险评估的结论应包括潜在破坏数据安全的可能性和影响，特定场景和特定数据的风险发生的可能性以及目前现有的数据安全防护措施的有效性和差距性，进而为被评估单位数据安全系统建设、支撑环境建设以及数据安全整体规划做决策依据。

3、全省基层税务系统网络和数据安全检查服务

对国家税务总局江西省税务局所属设区市税务局、县（市、区）税务局按照税务系统数据安全规范和标准开展网络安全及数据安全检查。

（1）网络安全检查内容

网络安全的目标是保障网络和通信系统高效、优质运行，考查点包括：

①满足业务系统的需求；

②防止网络和通信系统遭受外部和内部的攻击和滥用，避免和降低由于网络和通信系统的问题对业务系统造成损害的风险；

③屏蔽系统和应用的安全弱点；

④协助系统和应用进行访问控制和安全审计。

应用系统的安全目标是保障系统高效、优质运行，满足业务系统的需求，防止系统遭受外部和内部的破坏和滥用，避免和降低由于系统的问题对业务系统的损害；协助应用进行访问控制和安全审计。

网络安全检查主要是掌握重要信息系统基本情况、基础网络情况、基本业务逻辑和关键要害部位的安全技术应用情况。检查被抽查单位网络架构、安全区域划分的合理性，网络边界防护措施的完备性，服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性，重要数据传输、存储的安全防护措施，重要网络安全漏洞修复情况等。

（2）数据安全检查内容

检查内容主要包括数据安全基础性管理、技术能力检查及数据生命周期管理三大内容。

基础性管理检查主要包括机构人员、制度保障、分类分级、安全评估、权限管理、安全审计、合作方管理、应急响应、投诉处理、教育培训等内容；

技术能力检查包括数据识别、安全审计、数据防泄漏、接口安全、个人信息保护、远程接入等内容；

数据生命周期管理评估主要包括数据采集、数据传输、数据存储、数据使用、数据开放共享、数据销毁等内容。

（3）汇总总结

针对各单位网络安全、数据安全检查过程中发现的问题，将逐条给出整改建议，形成检查整改建议报告。

对全省网络安全、数据安全检查情况进行汇总分析，形成汇总分析报告，为后续省局开展网络安全、数据安全管理工作提供参考。

4、全省税务信息化供应链安全评估和检查服务

（1）供应商尽职调查

对税务系统的关键供应商进行深入的背景调查，包括企业资质、信誉度、安全记录等。

评估供应商的网络安全管理体系是否健全，是否符合税务系统的安全要求。

审查供应商的人员背景和安全培训情况，确保其员工具备足够的安全意识。

（2）产品与服务安全评估

对税务系统所采购的软件、硬件、云服务等产品和服务进行严格的安全评估。

检查安全产品的访问控制、漏洞管理等安全措施等。

评估网络安全运维服务的安全保障措施，包括数据存储、传输、处理过程中的安全防护。

（3）供应链风险分析

分析税务系统供应链中的潜在风险点，如供应商中断、产品缺陷、恶意软件植入等。

评估风险发生的可能性和影响程度，确定风险优先级。

制定针对性的风险应对计划，包括风险规避、降低、转移和接受策略。

（4）合规性检查

检查税务信息系统供应链中的各项活动是否符合相关法律法规和行业标准。

确保供应商在数据保护、隐私政策、安全管理等方面符合法律要求。

提供合规性建议，帮助税务系统完善供应链安全管理体系。

3.2服务内容和要求

采购文件（技术部分）中有标注★号的，为必备服务要求，必须满足，如未作出响应，将导致响应无效；#为重要服务内容、△为一般服务内容。

3.2.1技术和服务客观指标

4人员要求

4.1总体要求

参与本项目相关评估和检查服务的技术服务人员需具有信息安全服务工作经验，参加过网络安全及数据安全评估项目并取得信息安全方面资质证书，确保在项目实施中深入、准确发现存在的网络和数据安全风险，深度挖掘存在的安全风险和隐患，达到评估和检查预期的目标。

4.2管理团队

4.2.1项目经理

供应商要配备有经验的专职项目经理，项目经理作为项目的总接口人及项目总负责人，负责项目实施的全面工作。在项目实施过程中，项目经理严格按照项目实施计划，全权负责项目进度的管理与监督，根据实际业务要求、各种资源状况、系统运行状况，项目经理须全面规划出符合实际的整个工作进度计划，其中包括：工作进度总时间表和人力资源表；各阶段的具体工作内容、工作周期以及相应的负责人员；项目里程牌的定义及完工标准。项目经理将按照制订的工作进度计划对项目实施进行协调、监督与管理，定期向项目领导小组做进度报告；对于计划调整的部分，必须及时向采购人提交变更申请，在得到批准后，及时调整工作进度计划，并在保证工期和质量的前提下，协调各种资源，监督项目实施。项目经理要审查技术实施后的项目质量，以确保整个项目顺利、高质量的完成。

4.3技术团队

供应商须为本项目组建二线技术支持团队。二线技术支持团队配置完全，至少包含等级保护测评专家、网络和数据安全风险评估专家、数据库专家、安全应急响应专家等。

4.4优选资质/优选指标

5管理实施要求

1.实施要求

（1）投标人必须具备独立完成本项目的能力；

（2）中标人应对了解到的信息保密，并签订保密协议和保密承诺书；

（3）中标人在项目现场实施周期内，必须为本项目成立网络安全及数据安全评估项目组，安排包括项目经理和各实施小组进场调研、评估工作；

（4）在采购人进行整改过程中提供必要的技术支持。

2.项目管理要求

（1）投标人应安排专职项目经理负责本次项目的实施。

（2）投标人应保证项目团队成员的稳定，以保证服务的质量和连贯性。

（3）本项目的技术服务人员需具有信息安全服务工作经验，参加过网络安全及数据安全评估项目并取得信息安全方面资质证书，提供人员管理及配备方案，并确保人员的稳定。如更换技术服务人员，须由采购人同意并签字确认。

3、项目进度要求

进度计划：服务履行期限内完成各项安全评估和检查。

项目验收条件：中标人按照“项目服务内容”规定的交付成果，经采购人完全确认后，完成验收。

6保密要求

按照税务总局要求，在提供技术前，供应商和运维服务人员必须与采购人签订相关安全保密协议和承诺书，承诺包括网络安全管理规定和相关保密要求。保密时限最低10年，法律法规有规定的从其规定，中标人未经采购人技术部门和业务部门许可，不得私自对外开放系统接口及系统数据，因个人原因导致采购人安全问题和数据泄密需承担法律责任。

供应商在任何时候对其持有的事务或其事务运转操作方法等信息实行严格保密；除非有书面授权或出于相关方进行活动的必要，不得在任何时间向任何人透露任何保密信息；除非有书面指示或出于履行其义务的合理要求，不得把任何保密信息交给任何人；不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。

具体要求如下：

1、供应商必须与采购人签署信息安全保密协议，保证采购人信息不被泄露；

2、供应商为采购人提供运维服务的人员必须与采购人签署信息安全保密承诺书；

3、供应商应严格遵守采购人的各项安全管理制度，严格按照操作流程操作，避免人为或非人为因素的信息泄露；

4、进入采购人服务地点的人员禁止携带任何移动存储平台进入工作场地，并要求对接触的信息保密。

5、运维服务人员必须遵守江西税务安全管理规范，因个人原因导致采购人安全泄密需承担法律责任。

7知识转移要求

本项目无知识转移要求

8风险管控要求

合同期内，乙方应严格遵守甲方各项网络安全管理制度、税务信息化供应链安全管理等制度，规范人员管理，履行安全保密责任，严格按照合同约定提供业务运维和运行保障服务，如出现以下等失信行为的，甲方可要求乙方限期改正、扣除合同款项等惩戒，视具体情况按次扣除合同总价款1‰至1%之间的金额，合同生效期间累计扣除不超过合同总价款5%的金额；情节严重的，甲方有权采取解除合同、上报税务总局在全国税务部门通报、3年内限制参加税务系统信息化项目政府采购活动、推送财政主管部门纳入政府采购失信名单等相关对应措施。

（1）攻击或侵入税务信息系统（包括CA等）；

（2）违反采购人网络安全管理规定，造成数据失窃、信息泄露、系统瘫痪等不良后果的；

（3）乙方运维服务质量评价被扣减5分（含5分）以上，且未按承诺改进到位的；

（4）违反合同约定内容，造成不良后果的；

（5）利用为税务机关提供信息化服务的便利，向纳税人、缴费人搭车收费或变相收费；

（6） 另行开发销售合同业务需求范围内，供纳税人、缴费人使用的软件；

（7）存在馈赠礼品礼金、邀请娱乐消费等非正常交往手段“围猎”税务人员行为的；

（8）违法违规聘用3年内离职且离职前3年内从事过税务信息化及相关信息系统业务条线工作人员；

（9）其他违反规定造成不良后果的行为。

9履约验收要求

9.1总体要求

验收名称

验收要求

第1次验收

服务期结束后开展项目最终验收

9.2具体要求

1、验收主体

由采购人自行组织相关项目管理及验收小组进行最终验收。

2、验收时间

项目实施完成后1个月内进行一次性验收。

3、验收方式

召开项目评审会，审核本项目实施工作内容的完成情况,审核服务的合规性和完整性,与合同要求的符合性。

4、验收程序

中标单位应按照采购人要求，移交项目实施过程中的各类文档，并经过采购人或者验收小组验收签字。

5、验收内容

（1）检查各类文档是否齐全。

（2）检验各项验收文档资料是否完整、准确、规范。

（3）审查实施服务报告，评价各类服务对象的运行稳定性。

（4）审查服务人员工作主动性，是否按时按量完成采购人交办的与服务相关的工作。

（5）中标单位应就项目实施工作，采取文档讲解、会议研讨、培训、在日常工作中进行传帮带等方式，完成对采购人的知识转移工作。

6、主要交付物

中标单位应向采购人提供以下文档但不限于下述文档:

（1）检查及评估报告。在项目服务期内按照项目要求提交签字盖章的《江西省税务局网络安全及数据安全风险评估报告》、《江西省税务局各设区市税务局网络安全及数据安全评估报告》、《江西省税务局税务供应链安全风险评估报告》等正式报告。

（2）项目其它文档。项目实施过程中需要归档的其它文档。

7、验收标准

（1）服务依据：《税务系统政府采购履约验收管理办法》（试运行）

（2）中标单位保质保量、按整体解决方案如期完成项目约定的网络和数据安全风险评估和检查报告，税务供应链报告等，满足采购人对服务质量、技术指标、服务成果全部要求。

10其他要求

10.1必备要求

10.1.1★税收信息化项目开发和应用管理工作要求

供应商在采购以及后续项目实施过程中，应严格遵守国家税务总局税收信息化项目开发和应用管理工作要求。对于因失信行为纳入《税务系统信息化服务商失信行为记录名单》的供应商，存在一般失信行为的，由采购人函告服务商；存在严重失信行为的，由采购人约谈服务商主要负责人；对于违反合同约定的，依据合同约定及政府采购有关规定，采购人可采取要求限期改正、在应付合同金额中扣除违约金、解除合同、拒绝参加税务系统政府采购活动等措施；对于存在影响恶劣的严重违法失信行为的，由采购人按规定推送财政部纳入政府采购严重违法失信行为记录名单。

本项目为安全服务项目，不涉及信息化项目开发和应用管理。

10.1.2★供应链安全管理要求

1、人员资格要求

（1）签订承诺书。供应商应严格落实国家税务总局网络安全和保密管理要求，承担技术支持人员的网络安全和保密管理责任，按采购人要求签订协议和承诺书。

（2）开展背景审查。供应商承担技术支持人员背景审查工作，提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料，并提交采购人进行备案。

（3）设置网络安全负责人（由驻场运维人员兼任）。供应商为本项目配备一名网络安全负责人，该负责人具备独立决策能力并保持相对稳定，在项目实施的全过程负责网络安全工作，组织落实各项网络安全要求。

2、日常行为规范要求

（1）工作能力要求。供应商负责对技术支持人员进行资格条件、工作胜任力以及网络安全能力评估，对技术支持人员承担的工作进行安全保密风险分析，明确技术支持人员工作范围和边界，重点防范设备和资料失窃、误操作导致的软硬件故障、工作秘密和税费数据等信息泄露、信息系统越权访问和网络攻击等风险。

（2）教育培训要求。供应商负责对技术支持人员进行网络和数据安全法律法规、网络安全意识、网络安全管理、网络安全技能、保密意识以及网络安全警示教育等培训，上岗前对其进行考核。

3、违约惩戒措施

供应商对供应链安全管理责任落实不到位，造成安全事件或产生不良影响的，采购人按照《税务系统信息化服务商失信行为记录名单制度（试行）》（税总办征科发〔2022〕1号）要求，组织对供应商进行失信行为认定，并采取相应的处置措施。

4、安全管控要求

（1）安全技能要求。供应商负责派驻技术支持人员工作胜任、资格条件、以及网络安全能力评估，对技术支持人员承担的工作进行安全保密风险分析，明确技术支持人员工作范围和边界，重点防范设备和资料失窃、误操作导致的软硬件故障、敏感信息泄露、信息系统越权访问和网络攻击等风险。

（2）源代码安全要求。供应商应加强源代码安全管理，开发环境的可信可控，使用第三方组件必须执行测试和升级加固，确保税务供应链安全。

10.1.3★信息化服务运维人员要求

本项目涉及信息化服务运维人员的，运维人员应当是运维单位的正式人员，或者是与运维单位签订1年以上劳动合同且实际工作满1年的人员，常驻运维人员应当为技术骨干。

10.1.4其他

1.本项目中如涉及商品包装和快递包装的，其包装需求标准应不低于《关于印发<商品包装政府采购需求标准（试行）>、<快递包装政府采购需求标准（试行）>的通知》（财办库〔2020〕123 号）规定的包装要求，如有其他包装需求，详见采购文件技术部分相关章节。

2.本项目中如涉及网络关键设备或网络安全专用产品的，应严格执行国家互联网信息办公室、工业和信息化部、公安部、财政部和国家认证认可监督管理委员会 2023年第 1 号《关于调整网络安全专用产品安全管理有关事项的公告》及国家互联网信息办公室、工业和信息化部、公安部和国家认证认可监督管理委员会 2023 年第 2号《关于调整<网络关键设备和网络安全专用产品目录>的公告》等相关文件要求，所投标（响应）设备或产品至少符合以下条件之一：一是已由具备资格的机构安全认证合格或安全检测符合要求；二是已获得《计算机信息系统安全专用产品销售许可证》，且在有效期内。

3.本项目中如涉及国家强制性产品认证证书（CCC 认证证书）、电信设备进网许可证、无线电发射设备核准证等市场准入类资质的，应严格执行国家相关法律法规的要求。

以上相关要求，由供应商在响应时应答，在履约验收中，采购人将按照采购文件、中标/成交供应商响应文件、采购合同等对中标/成交供应商提供的货物和服务进行验收，必要时依法依规开展相应检测、认证。

凡因本需求引起的或与本需求有关的任何争议，由双方友好协商解决。协商不成时，任何一方有权向甲方所在地人民法院提起诉讼。

10.2知识产权要求

无

10.3付款安排建议

付款名称

付款要求

付款比例(%)

第1次付款

合同生效之日起且收到发票后10个工作日内支付

30.0

第2次付款

在合同生效并按规定执行6个月后且收到发票后10个工作日内支付

40.0

第3次付款

合同履约期满且验收合格且收到发票后10个工作日内支付尾款

30.0

备注：该需求公示期为3个工作日