采 购 需 求

项目名称：国家税务总局江西省税务局2024年应用系统三同步审核服务采购项目

2024年10月

目 录

1项目概述

1.1项目背景

1.1.1项目目的、意义及背景

1.2项目内容

1.2.1采购内容

1.2.2项目实施要求

2投标/响应要求

2.1对供应商的要求

2.1.1必备资质

2.1.2是否允许联合体

2.1.3是否专门面向中小企业

2.2技术部分投标/响应内容

2.2.1投标/响应方案要求

3项目需求

3.1总体要求

1、安全运维驻场服务

2、信息安全通告服务

3、等级保护通用差距评估服务

4、应急响应服务

5、应用系统三同步服务

3.2服务内容和要求

3.2.1技术和服务客观指标

4人员要求

4.1总体要求

4.2管理团队

4.2.1项目经理

4.3技术团队

4.4优选资质/优选指标

5管理实施要求

6保密要求

7知识转移要求

8风险管控要求

9履约验收要求

9.1总体要求

9.2具体要求

1、验收主体

2、验收时间

3、验收方式

4、验收程序

5、验收内容

6、主要交付物

7、验收标准

10其他要求

10.1必备要求

10.1.1★税收信息化项目开发和应用管理工作要求

10.1.2★供应链安全管理要求

10.1.3★信息化服务运维人员要求

10.1.4其他

10.2知识产权要求

10.3付款安排建议

1项目概述

1.1项目背景

1.1.1项目目的、意义及背景

江西省税务局“金税三期”工程于2016年7月份建设完成并正式投入使用，核心业务系统包括核心征管、决策一包、决策二包、个人所得税系统、外部交换系统、税库银系统、门户网站及网上办税系统等重要业务系统。江西省税务局新数据处理中心也于2016年投入使用，整体网络架构完全按照国家税务总局《税务系统省级数据中心局域网建设技术规范》建设，按照业务规划和等级保护标准，处理中心内部划分为“三区二十一域”，标准化网络层次，双线路、双设备的热备冗余配置，参与架构的网络安全设备多达600余台，涉税业务小型机、重要主机、存储、虚拟化、中间件等关键信息基础设备800余台。业务规模和网络规模的急速扩展，“互联网+税务”行动大力推进，大数据、虚拟化、云平台等新技术的拓展应用，信息安全保障要求也越来越高。为全面落实国家税务总局信息安全工作要求，全面贯彻落实《网络安全法》，做好关键信息基础设施的安全防护，江西省税务局拟按照国家税务总局《税务信息安全总体策略》要求，采购第三方的信息安全运维服务，利用专业的安全技术力量，协助我局做好信息安全管理、安全监控、安全策略、应急处置、重大时期信息安全保障等各方面，确保我省税务涉税业务系统安全稳定运行。

本项目是延续性项目，上一年度服务期采购合同金额为58.9万元，服务期限为2023年12月25日至2024年12月24日，成交供应商为南昌维帮网络科技有限公司。

本项目没有分包。

1.2项目内容

1.2.1采购内容

按照江西税务信息安全管理“总体规划、分步实施，构建管理与技术并重的信息安全保障体系”为工作目标，结合当前国家税务总局《国家税务总局办公厅关于开展2022年度税务网络安全检查工作的通知》、《税务应用系统网络安全审核指南（试行）》等关于加强信息安全管理、做好信息安全与业务系统“同步规划、同步建设、同步使用”的三同步等重点工作，切实做好江西省税务局信息安全保障工作，提出以下信息安全技术服务及运维要求，作为本次安全服务采购需求。

序号

服务内容

服务年限

1

安全厂商运维驻场服务

1年

2

安全通告服务

1年

3

等级保护合规性咨询服务

1年

4

应急响应服务

1年

5

三同步服务

1年

服务履行期限：2024年12月26日-2025年12月25日

1.2.2项目实施要求

1.2.2.1实施范围要求

国家税务总局江西省税务局数据处理中心金税三期、金税四期相关新建业务系统三同步安全审核，含相关驻场技术支持服务，安全通告服务和应急响应等。

1.2.2.2实施时间要求

2024年12月25日-2025年12月24日

1.2.2.3实施地点要求

国家税务总局江西省税务局数据处理中心

2投标/响应要求

2.1对供应商的要求

2.1.1必备资质

2.1.1.1投标人应遵守有关国家法律、法规和条例,具备《中华人民共和国政府采购法》第二十二条的规定和本文件中规定的条件。

2.1.2是否允许联合体

否

2.1.3是否专门面向中小企业

本项目专门面向中小企业采购项目

2.2技术部分投标/响应内容

2.2.1投标/响应方案要求

以下相关方案，若作为评审因素，则投标人应在满足★关键指标项要求的前提下，根据项目特点和采购需求，制定更为完整、详细、可操作性强的方案。

投标人应根据需求制定项目实施管理方案，方案内容应包含服务团队的组建，驻场服务的工作内容和规范，服务质量保障、项目实施管理、应用安全审核方法及安全应急处置响应等。

3项目需求

3.1总体要求

1、安全运维驻场服务

（1）信息安全运维驻场服务是指中标服务商派驻一名安全厂商原厂工程师驻场于国家税务总局江西省税务局，驻场人员具有丰富的网络安全知识基础和运维经验，同时作为项目接口人，负责项目协调并履约招标需求，协助采购人按照税务总局信息安全管理要求做好信息安全运维工作。内容包括：日常巡检、系统维护、故障处理、配置优化、安全预警、安全咨询、应急响应等。

（2）人员驻场的开始时间自合同签订之日起计算，期限为一年。采购人仅为驻场工程师提供必要的场地、工位和网络环境，其它事宜自行解决。驻场工程师的驻场工作时间与采购人单位工作时间一致。电话值守时间为7*24小时，应急响应服务时间为7*24小时。

（3）驻场工程师必须在项目开始前指定，并跟进整个项目的全过程，未经采购人同意，不得更换驻场工程师。驻场工程师驻场期间，必须听从采购人的工作安排和调度，定期提交周、月、季度、半年、年度技术运维服务报告。

（4）驻场工程师必须按照采购人信息安全管理规范，建立运维操作报备制度，所有可能涉及业务正常运行的设备配置变更、设备架构调整、安全策略下发等操作行为必须向采购人报备审批后方可执行，未经采购人审批，擅自操作导致网络、业务运行异常，造成纳税人利益损害的，采购人将严肃追究其法律责任。

驻场工程师具体工作内容如下：

（1）日常巡检：理清采购人整体网络安全架构，绘制拓扑图，制定巡检计划和巡检内容表格，要求每日对重点区域、核心网络安全设备进行巡检；每周对全部网络安全设备进行巡检和健康检查；每月进行巡检情况总结，对采购人关注的网络安全整体运行情况分析，列明已发现、已处理、未处理以及需要采购人处理的具体事项；周、月、季度、半年、年度报告必须按时提交采购人签字确认；发现任何问题及异常情况，必须及时向采购人报告。

（2）安全扫描：按照国家税务总局安全体系管理办法相关规定，利用省局已经配备的绿盟漏洞扫描和WEB应用扫描设备，通过漏洞扫描系统自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析操作系统、应用、网络设备存在的常见漏洞。全面地安全扫描工作每月进行一次，日常扫描随机进行。并通过月报的方式提交采购人，并给出相关处理意见和解决方案。

（3）安全基线：按照《税务信息系统信息安全配置基线管理办法》做好网络、安全设备安全基线管理，针对省局数据处理中心所有网络安全设备进行安全基线的配置、设置和加固，每个设备的安全基线符合度要达到90%或以上，新增区域或设备的安全基线必须及时调整，采购人将定期通过安全基线扫描设备检验安全基线配置工作达标。

（4）配置备份：全面进行网络与信息安全防护体系相关设备的数据备份工作，定期对备份数据的有效性进行检验，发现异常及时处理；驻场安全工程师应在安全设备配置有改动时对设备配置进行备份并提交给采购方存档；每月向采购人提交一次安全策略数据备份报告以及全部网络安全设备的配置备份文件。

（5）故障处理：对江西省税务省级中心机房所有安全设备软硬件故障的诊断与定位、故障修复及排除等，同时包括对网络事件（不通、速度慢等）、安全事件（病毒爆发、非法入侵等）的问题处理。对重大故障事件须在故障处理完毕3个工作日内提供相应的故障分析报告，对故障现象、故障处理经过和故障处理结果进行描述，包括故障原因分析和相关改进建议等。

（6）策略优化：驻场安全工程师须根据采购人所提要求和安全态势变化制定有效的策略和方案，对相关设备及系统进行有针对性的调整和优化，调整时必须要预先通知需求方确定再执行。

（7）预测预警：驻场安全运维人员应做好预测预警工作，随时对系统的运行状况做好检测监控，发现异常情况即时处理，做到防患于未然。

（8）信息保密：驻场安全运维人员在日常维护服务工作中必须保证相关系统帐号、口令以及重要数据的信息安全，未经授权情况下投标方不得向外透露任何信息。

（9）安全检查：驻场工程师负责协助采购人在国家税务总局、省直安全主管部门、第三方安全评测评估机构对江西省税务进行安全专项检查、安全抽查、等保测评、风险评估或整改工作过程中全程配合和技术支持，做好相关的资料报告准备、现场检查跟进、后期整改落实方案制定和实施工作；协助采购人定期开展对各设区市税务局的信息安全大检查，并为安全大检查工作提供全程技术支持。

（10）制度修订：驻场工程师按照采购人要求负责做好国家税务总局相关信息安全制度、规范和办法的整理汇总工作，并结合采购人实际，配套制定或修订相对应的制度办法，完善江西税务信息安全规范体系。要求驻场工程师根据根据江西税务对安全内部管理的要求，每月提交不少于2个制度办法的制定或修订工作。

（11）安全分析：

网络架构分析。当网络结构或部署设备发生变更时，对整体网络的安全性和合理性进行评估，进而降低整体网络的脆弱性，有效地避免由此造成的安全风险。需向采购人提交相关分析评估报告和整改方案。

网络威胁分析。重点关注采购人门户网站和网上办税安全防护，每日检查防火墙、WEB应用防火墙、IPS等安全分析设备，追溯系统异常操作，及时发现外部攻击行为，纠正和改进安全策略中可能存在的缺陷。发现任何问题同时对发现的问题提供相应解决方案。

策略适用度分析。每月综合分析一次各网络安全设备相关的安全策略是否有效且适度，评估相关安全策略是否符合总局及等级保护要求，安全配置基线水平是否足以满足防御当前安全威胁态势，并依据安全态势动态调整安全策略。每月需向采购人提交相关分析评估报告。

（12）安全加固：

根据安全分析结果，提出安全监测、防护手段建议，并指导江西省税务进行策略部署。

根据安全配置要求为基准，协助用户对各系统在新设备入网和工程验收环节进行安全功能和安全配置的符合性检查，确保设备入网时满足安全要求。

对已入网设备，应结合安全检查结果及基线配置规范，协助用户对各系统已入网设备进行安全功能和安全配置的核查和加固，保障在网设备安全运行。

在发现系统异常、发生安全事件、或发生重大故障可能涉及安全设备等情况下应进行专项检查加固。

（13）其它工作：驻场工程师必须听从采购人的工作安排和部署，完成采购人交办其它工作，内容包括故障处理，安全值班、网络割接、架构调整、问题跟踪、安全方案制定等各项技术配合及安全论证工作。

2、信息安全通告服务

（1）以安全通告的形式为江西省税务提供最新的安全动态、技术和定制的安全信息，包括实时安全漏洞通知、定期安全通告汇总、临时安全解决方案和安全知识库更新等。发现重大安全漏洞、蠕虫病毒等可能对采购人信息系统有严重危害的，必须在第一时间通过不限于书面、邮件等方式通知到采购人，并提供详细的应对措施和应对方案。

（2）驻场服务工程师对于收到的通告及预警首先需要进行安全信息过滤。如果安全通告和预警的对象不存在于设备或系统当中（即，该安全问题对江西省税务设备或系统没有任何影响），则降低风险级别，或者过滤该通告。对于可能影响到维保设备的通告，则需要明确指出那些设备或系统可能因此受到安全影响。

（3）对于通过威胁管理系统或工具发现网络中的事件存在进一步扩大的趋势时，驻场服务工程师需要及时向相关采购人汇报预警，并采取提升安全设备观测频率、临时变更安全策略等措施。

3、等级保护通用差距评估服务

投标服务商必须按照《中华人民共和国网络安全法》并依据GB/T *****-2019和GB/T *****-2012等相关标准，从技术和管理两个层面，对采购人的信息系统进行差距评估，发现采购人信息系统的安全现状与相应安全等级存在的差距，明确改进措施。

通过落实等级保护差距评估服务，可以达到以下目标：

（1）有效落实国家等级保护文件精神

通过开展等级保护差距评估工作，可以有效落实网络安全法和等级保护文件精神。

（2）清晰了解与等保要求的差距，及时发现安全问题

通过开展等级保护差距评估工作，不仅对组织的关键信息资产进行全面梳理，识别资产的重要性；还可以帮采购人明确当前系统与相应保护等级要求之间的差距，为等级保护整改规划的实施提供科学依据，逐步完善防护能力、检测能力、响应能力、恢复能力，实现整体安全。

（3）科学地进行投资决策

通过开展等级保护差距评估工作，采购人可以清晰地了解本单位信息系统与对应等级的基本要求、技术要求之间的差距，分析确定哪些方面是实际需要整改的重点、哪些方面是具有本行业或单位特色的保护要求，从而更有的放矢地进行信息安全建设，在符合等级保护要求的前提下，使投资决策更加科学有效，有助于采购人降低成本、提高效率、提升业绩。

4、应急响应服务

投标服务商必须按照《国家税务总局江西省税务局网络与信息安全应急保障工作综合预案》和专项预案的要求，为采购人提供7*24小时的应急响应、重大敏感时期的安全保障服务，帮助采购人尽快对信息安全事件做出反应，包括事件处理及恢复、事后的事件描述报告以及后续的安全状况跟踪。

（1）发生或可能发生安全事件时，驻场服务工程师协助进行安全事件的定位、分析及处理，直到安全事件排除。如事件特别重大棘手，服务工程师不能在规定时限内解决问题，则应调动安全专家现场协助解决。

（2）在重大活动及节假日保障期间，驻场服务工程师按照采购人的工作安排，在指定场所进行安全值班，实时监控业务系统运行状态，做好相关安全预防措施和安全监控，现场解决可能出现的安全问题，保障系统的正常运行。

（3）驻场工程师应根据安全事件处理情况总结经验，协助江西省税务制定、改进和完善《江西省税务网络安全事件总体应急预案》和相关的专项预案，要求运维服务期内，协助采购人编制、修订不少余6个信息安全相关专项预案。

（4）根据《税务系统网络与信息安全应急演练工作指南（试行）》有关要求，协助采购人制定符合本单位实际的信息安全演练计划、演练程序和演练脚本，配合江西省税务开展信息安全应急演练。要求每年至少制定一个综合应急演练方案，两个专项应急演练方案。

5、应用系统三同步服务

应用系统“三同步”服务是按照《中华人民共和国网络安全法》及国家税务总局《税务应用系统网络安全审核指南（试行）》的要求，信息安全介入应用系统开发全过程，信息安全必须要与应用系统“同步规划、同步建设、同步使用”的要求。该服务主要是围绕江西省税务在本项目服务期内新业务系统地开发建设、上线、运行维护三个阶段提供相关安全咨询、安全介入、代码审核和测试服务，完善安全需求，规范安全开发、发现系统存在的弱点问题，确保江西税务新建涉税业务系统符合国家税务总局、《网络安全法》有关应用系统三同步的要求。

（1）新业务系统安全审核

中标服务商对采购人在本项目服务周期内计划进行开发设计的新涉税业务系统提供安全审核和安全咨询服务，服务内容包括对项目需求中信息安全需求部分进行审核，根据采购人应用系统实际，向采购人提交需求安全审核报告，提出改进意见和补充内容；对新业务系统网络架构、业务架构、业务开发、系统审计、权限分配、数据处理、数据存储等方面的安全设计进行审核，确保新业务系统在开发设计阶段，向采购人提交业务设计安全评审报告；对开发设计过程中在上述各方面存在的安全问题提供改进意见，并能过安全咨询报告的方式提交给江西省税务及该业务系统开发商。对于业务系统开发商针对业务设计安全咨询报告进行改进的内容进行复核。各类项目中间过程安全需求审核、安全评审、安全复核报告等，必须根据采购人项目需求和项目里程碑及时提交，确保采购人应用系统按计划上线运行。

（2）新业务系统上线评估

对项目服务期内的开发的新业务系统提供业务系统上线安全评估工作，并对评估结果出具评估报告，全面诊断上线业务系统在安全防护能力方面存在的主要问题，主要原因和影响程度。综合研判信息系统面临的安全风险，确定解决问题的紧迫性和重要性。

（3）源代码安全审计服务

中标服务商在项目服务期内，对采购人新立项、新开发的新业务系统提供源代码安全审计工作。

源代码安全审计主要依据国际主流安全漏洞库CWE（Common Weakness Enumeration，常见缺陷列表）、CVE（Common Vulnerabilities & Exposures，公共漏洞和暴露）和OWASP（Open Web Application Security Project，开放式Web应用程序安全项目）中关于应用系统软件安全的相关漏洞以及源代码安全审计人员的工作经验，针对应用系统源代码，分析其中可能存在安全的风险，并给出安全风险审计结果及修复建议。

①实施目标

通过对应用系统源代码（B/S或C/S架构）进行安全审计，检查应用系统编码设计过程中是否存在国际主流安全漏洞库CWE、CVE和OWASP中关于应用系统软件安全的相关漏洞。如果存在漏洞，则针对漏洞提出整改建议。

②实施对象

根据采购人新建涉税业务系统的应用规模、重要等级等作为区分，采购人根据实际，要求中标方必须针对关键、重要的应用系统展开人工源代码审计，对于非重要业务应用系统，则采用机器检测方式进行源代码审计。按照江西省税务局新建涉税应用系统的项目规划实际和规模，中标方在本服务期内，按照采购人的指定，对不超过20个应用系统开展源代码审计，其中包括6个重要核心业务系统进行人工源代码审计，14个非重要核心业务进行机器源代码审计。源代码审计报告内容必须在规定的时间内，完成并提交采购人，代码审计内容、审计项目、审计标准、审计格式必须符合国家税务总局应用系统安全审核规范，否则采购人不予认可，并有权要求重新进行源代码审计。

（4）应用系统渗透测试

渗透测试主要依据安全专家已经掌握的安全漏洞，使用国际主流渗透测试工具及特定开发工具，在采购人的授权和监督下，在确保应用系统安全的情况下，模拟黑客的攻击方法，对江西省税务的应用系统开展安全渗透测试，从而发现系统存在的安全漏洞和隐患。相关的应用系统渗透测试必须由原厂实施，并按照采购人的要求提交渗透测试报告。

①实施目标

通过模拟黑客对应用系统进行渗透测试，发现分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、XSS跨站脚本漏洞及弱口令等安全隐患，评估系统抗攻击能力，提出安全加固建议。

针对应用系统的渗透测试主要采取互联网渗透测试，即通过互联网发起远程攻击测试，比其他类型的渗透测试更能说明漏洞的严重性。

②实施对象

渗透测试对象主要为采购人在本项目服务期内新开发应用系统或已上线尚未进行验收的应用系统，按照江西省税务局新建涉税应用系统的项目规划实际和规模，中标方在本服务期内，按照采购人的指定，对不超过20个面向互联网用户开发的WEB应用系统开展渗透测试。应用系统渗透测试报告必须在规定的时间内完成并提交采购人，渗透测试内容、渗透标准、报告格式必须符合国家税务总局应用系统安全审核规范，否则采购人不予认可，并有权要求重新进行渗透测试。

3.2服务内容和要求

采购文件（技术部分）中有标注★号的，为必备服务要求，必须满足，如未作出响应，将导致响应无效；#为重要服务内容、△为一般服务内容。

3.2.1技术和服务客观指标

3.2.1.1服务1

4人员要求

4.1总体要求

本次项目采购的第三方安全服务，服务周期为一年。供应商针对本项目所涉及的应用系统三同步审核、渗透测试和应急响应等服务内容提供至少1名具备相应技能的工程师驻场服务，必要时需根据采购人的要求，增加现场服务工程师人员数量。供应商应至少配备2名具有安全渗透、人工代码审计和安全应急技术支撑的二线工程师，确保在接到采购人应急要求后在1小时内到达现场有效、快速的解决各类故障。如驻场服务人员在项目服务期内，采购人认为驻场工程师能力有限，可要求供应商更换工程师，供应商需按采购人要求执行。

4.2管理团队

4.2.1项目经理

供应商要配备有经验的专职项目经理，项目经理作为项目的总接口人及项目总负责人，负责项目实施的全面工作。在项目实施过程中，项目经理严格按照项目实施计划，全权负责项目进度的管理与监督，根据实际业务要求、各种资源状况、系统运行状况，项目经理须全面规划出符合实际的整个工作进度计划，其中包括：工作进度总时间表和人力资源表；各阶段的具体工作内容、工作周期以及相应的负责人员；项目里程牌的定义及完工标准。项目经理将按照制订的工作进度计划对项目实施进行协调、监督与管理，定期向项目领导小组做进度报告；对于计划调整的部分，必须及时向采购人提交变更申请，在得到批准后，及时调整工作进度计划，并在保证工期和质量的前提下，协调各种资源，监督项目实施。项目经理要审查技术实施后的项目质量，以确保整个项目顺利、高质量的完成。

4.3技术团队

供应商须为本项目提供1名驻场运维工程师，并组建二线技术支持团队。二线技术支持团队配置完全，至少包含网络和安全相关的网络专家、网络安全专家、数据库专家、安全应急响应专家的技术支持人员。

4.4优选资质/优选指标

5管理实施要求

1、服务团队及驻场人员基本要求

投标人须为本项目组建专属服务项目团队，服务团队成员须包含有项目经理、技术负责人、运维管理体系优化和建设专家及不少于5人的二线技术专家团队。驻场服务人员为项目团队成员，需通过采购人面试考核，不符合要求的，投标人应当无条件更换至采购人同意。驻场人员一经确定，在服务期内，未经采购人同意，不得更换工程师。

2、驻场服务要求

每个工作日至少有1名工程师驻场服务，根据项目服务内容开展日常安全巡检、应用安全审核和应急处置等技术支持。工程师驻场期间，必须听从采购人的工作安排和调度，定期提交周、月、季度、半年、年度技术运维服务报告。

驻场工程师必须按照采购人安全管理规范，建立运维操作报备制度，所有可能涉及业务正常运行的设备配置变更、设备架构调整、安全策略下发等操作行为必须向采购人报备审批后方可执行，未经采购人审批，擅自操作导致网络、业务运行异常，造成纳税人利益损害的，采购人将严肃追究其法律责任。

3、远程技术支持服务

提供7×24小时全天候无间断的安全技术咨询，故障应急处置响应等服务内容。

4、现场技术支持服务

协助采购人进行安全分析、故障诊断、现场故障处置，一旦确定需要前往现场，无论故障级别，工程师应在2小时内赶到现场。根据用户需求。为采购人供现场技术支持（含节假日的应急保障支持）。

5、日常安全巡检

投标人根据服务内容按采购人要求开展巡检，包括网络设备运行检查（硬件、软件、设备负载）和网络安全状况检查（攻击报文、网络流量、日志分析等）。通过使用专业设备对客户网络进行检测并分析日常网络流量、攻击报文和日志，为定位网络整体的安全薄弱点提供参考。巡检后提供相关报告。

6保密要求

按照税务总局要求，在提供技术前，供应商和运维服务人员必须与采购人签订相关安全保密协议和承诺书，承诺包括网络安全管理规定和相关保密要求。保密时限最低10年，法律法规有规定的从其规定，中标人未经采购人技术部门和业务部门许可，不得私自对外开放系统接口及系统数据，因个人原因导致采购人安全问题和数据泄密需承担法律责任。

供应商在任何时候对其持有的事务或其事务运转操作方法等信息实行严格保密；除非有书面授权或出于相关方进行活动的必要，不得在任何时间向任何人透露任何保密信息；除非有书面指示或出于履行其义务的合理要求，不得把任何保密信息交给任何人；不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。

具体要求如下：

1、供应商必须与采购人签署信息安全保密协议，保证采购人信息不被泄露；

2、供应商为采购人提供运维服务的人员必须与采购人签署信息安全保密承诺书；

3、供应商应严格遵守采购人的各项安全管理制度，严格按照操作流程操作，避免人为或非人为因素的信息泄露；

4、进入采购人服务地点的人员禁止携带任何移动存储平台进入工作场地，并要求对接触的信息保密。

5、运维服务人员必须遵守江西税务安全管理规范，因个人原因导致采购人安全泄密需承担法律责任。

7知识转移要求

本项目无知识转移要求

8风险管控要求

合同期内，乙方应严格遵守甲方各项网络安全管理制度、税务信息化供应链安全管理等制度，规范人员管理，履行安全保密责任，严格按照合同约定提供业务运维和运行保障服务，如出现以下等失信行为的，甲方可要求乙方限期改正、扣除合同款项等惩戒，视具体情况按次扣除合同总价款1‰至1%之间的金额，合同生效期间累计扣除不超过合同总价款5%的金额；情节严重的，甲方有权采取解除合同、上报税务总局在全国税务部门通报、3年内限制参加税务系统信息化项目政府采购活动、推送财政主管部门纳入政府采购失信名单等相关对应措施。

（1）攻击或侵入税务信息系统（包括CA等）；

（2）违反采购人网络安全管理规定，造成数据失窃、信息泄露、系统瘫痪等不良后果的；

（3）乙方运维服务质量评价被扣减5分（含5分）以上，且未按承诺改进到位的；

（4）违反合同约定内容，造成不良后果的；

（5）利用为税务机关提供信息化服务的便利，向纳税人、缴费人搭车收费或变相收费；

（6） 另行开发销售合同业务需求范围内，供纳税人、缴费人使用的软件；

（7）存在馈赠礼品礼金、邀请娱乐消费等非正常交往手段“围猎”税务人员行为的；

（8）违法违规聘用3年内离职且离职前3年内从事过税务信息化及相关信息系统业务条线工作人员；

（9）其他违反规定造成不良后果的行为。

9履约验收要求

9.1总体要求

验收名称

验收要求

第1次验收

服务期结束后开展项目最终验收

9.2具体要求

1、验收主体

由采购人自行组织相关项目管理及验收小组进行最终验收。

2、验收时间

服务期结束后1个月内开展项目最终验收。

3、验收方式

审核本项目运维服务工作内容的完成情况,审核运维服务的合规性和完整性,与合同要求的符合性。

4、验收程序

成交供应商应按照采购人要求，移交项目实施过程中的各类文档，并经过采购人或者验收小组验收签字。

5、验收内容

（1）检查各类文档是否齐全。

（2）检验对故障恢复和故障解决时限是否按照合同要求完成。

（3）检验各项验收文档资料是否完整、准确、规范。

（4）审查运维服务报告，评价各类设备的运行稳定性。

（5）审查运维服务人员工作主动性，是否按时按量完成采购人交办的与设备运维服务相关的工作。

（6）成交供应商应就项目实施工作，采取文档讲解、会议研讨、培训、在日常工作中进行传帮带等方式，完成对采购人的知识转移工作。

6、主要交付物

成交供应商应向采购人提供以下文档但不限于下述文档:

（1）技术文件。设备安装、运行、使用、测试、诊断和维修的技术文件。

（2）实施方案。项目实施方案。

（3）会议纪要。按采购人要求召开例会讨论运维中出现的问题，记录并整理会议纪要。

（4）项目规范制度。针对运维服务过程中日常管理出具各类规范制度。

（5）项目验收文档。项目验收过程中产生的所有验收报告、明细清单，并汇总成册。

（6）过程文档。项目实施过程中形成的工作计划和工作记录。

（7）变更文档。项目实施过程中的发生的计划变更、内容变更、配置变更等实时记录。

（8）项目其它文档。项目实施过程中需要归档的其它文档。

具体交付物如下：

a. 在运维服务期内，协助采购人编制、修订不少余6个信息安全相关专项预案。

b. 在运维服务期内，至少制定一个综合应急演练方案，两个专项应急演练方案。

c. 在运维服务期内，提供应用系统至少二个源代码审计报告及渗透测试报告。

d. 在运维服务期内，驻厂运维人员在工作日内提供工作的季报、半年报、年报等。

e. 在运维服务期内，定期提供安全通告服务，至少每月一次。

7、验收标准

（1）服务依据：《税务系统政府采购履约验收管理办法》（试运行）

（2）本项目服务期结束。

（3）成交供应商保质保量、按整体解决方案如期完成应用系统三同步审核服务全部工作，满足采购人对服务质量、技术指标、服务成果全部要求。

10其他要求

10.1必备要求

10.1.1★税收信息化项目开发和应用管理工作要求

供应商在采购以及后续项目实施过程中，应严格遵守国家税务总局税收信息化项目开发和应用管理工作要求。对于因失信行为纳入《税务系统信息化服务商失信行为记录名单》的供应商，存在一般失信行为的，由采购人函告服务商；存在严重失信行为的，由采购人约谈服务商主要负责人；对于违反合同约定的，依据合同约定及政府采购有关规定，采购人可采取要求限期改正、在应付合同金额中扣除违约金、解除合同、拒绝参加税务系统政府采购活动等措施；对于存在影响恶劣的严重违法失信行为的，由采购人按规定推送财政部纳入政府采购严重违法失信行为记录名单。

本项目为运维服务项目，不涉及信息化项目开发和应用管理。

10.1.2★供应链安全管理要求

1、人员资格要求

（1）签订承诺书。供应商应严格落实国家税务总局网络安全和保密管理要求，承担技术支持人员的网络安全和保密管理责任，按采购人要求签订协议和承诺书。

（2）开展背景审查。供应商承担技术支持人员背景审查工作，提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料，并提交采购人进行备案。

（3）设置网络安全负责人（由驻场运维人员兼任）。供应商为本项目配备一名网络安全负责人，该负责人具备独立决策能力并保持相对稳定，在项目实施的全过程负责网络安全工作，组织落实各项网络安全要求。

2、日常行为规范要求

（1）工作能力要求。供应商负责对技术支持人员进行资格条件、工作胜任力以及网络安全能力评估，对技术支持人员承担的工作进行安全保密风险分析，明确技术支持人员工作范围和边界，重点防范设备和资料失窃、误操作导致的软硬件故障、工作秘密和税费数据等信息泄露、信息系统越权访问和网络攻击等风险。

（2）教育培训要求。供应商负责对技术支持人员进行网络和数据安全法律法规、网络安全意识、网络安全管理、网络安全技能、保密意识以及网络安全警示教育等培训，上岗前对其进行考核。

3、违约惩戒措施

供应商对供应链安全管理责任落实不到位，造成安全事件或产生不良影响的，采购人按照《税务系统信息化服务商失信行为记录名单制度（试行）》（税总办征科发〔2022〕1号）要求，组织对供应商进行失信行为认定，并采取相应的处置措施。

4、安全管控要求

（1）安全技能要求。供应商负责派驻技术支持人员工作胜任、资格条件、以及网络安全能力评估，对技术支持人员承担的工作进行安全保密风险分析，明确技术支持人员工作范围和边界，重点防范设备和资料失窃、误操作导致的软硬件故障、敏感信息泄露、信息系统越权访问和网络攻击等风险。

（2）源代码安全要求。供应商应加强源代码安全管理，开发环境的可信可控，使用第三方组件必须执行测试和升级加固，确保税务供应链安全。

10.1.3★信息化服务运维人员要求

本项目涉及信息化服务运维人员的，运维人员应当是运维单位的正式人员，或者是与运维单位签订1年以上劳动合同且实际工作满1年的人员，常驻运维人员应当为技术骨干。

按照项目服务内容，驻场服务人员应具有网络安全行业3年以上从业经验，在安全能力上具备应用代码审核能力，安全攻防技能，精通安全设备运维操作，熟悉了解采购人数据处理中心安全体系架构和税务系统数据处理中心运行规范，能及时有效处置各类网络安全运行故障，能及时高效完成采购人交办的各项运维任务。

10.1.4其他

1.本项目中如涉及商品包装和快递包装的，其包装需求标准应不低于《关于印发<商品包装政府采购需求标准（试行）>、<快递包装政府采购需求标准（试行）>的通知》（财办库〔2020〕123 号）规定的包装要求，如有其他包装需求，详见采购文件技术部分相关章节。

2.本项目中如涉及网络关键设备或网络安全专用产品的，应严格执行国家互联网信息办公室、工业和信息化部、公安部、财政部和国家认证认可监督管理委员会 2023年第 1 号《关于调整网络安全专用产品安全管理有关事项的公告》及国家互联网信息办公室、工业和信息化部、公安部和国家认证认可监督管理委员会 2023 年第 2号《关于调整<网络关键设备和网络安全专用产品目录>的公告》等相关文件要求，所投标（响应）设备或产品至少符合以下条件之一：一是已由具备资格的机构安全认证合格或安全检测符合要求；二是已获得《计算机信息系统安全专用产品销售许可证》，且在有效期内。

3.本项目中如涉及国家强制性产品认证证书（CCC 认证证书）、电信设备进网许可证、无线电发射设备核准证等市场准入类资质的，应严格执行国家相关法律法规的要求。

以上相关要求，由供应商在响应时应答，在履约验收中，采购人将按照采购文件、中标/成交供应商响应文件、采购合同等对中标/成交供应商提供的货物和服务进行验收，必要时依法依规开展相应检测、认证。

凡因本需求引起的或与本需求有关的任何争议，由双方友好协商解决。协商不成时，任何一方有权向甲方所在地人民法院提起诉讼。

10.2知识产权要求

无

10.3付款安排建议

付款名称

付款要求

付款比例(%)

第1次付款

合同生效之日起且收到发票后10个工作日内支付

30.0

第2次付款

在合同生效并按规定执行6个月后且收到发票后10个工作日内支付

40.0

第3次付款

合同履约期满且验收合格且收到发票后10个工作日内支付尾款

30.0

备注：该需求公示期为3个工作日