国家税务总局吉林省税务局网络安全运维服务项目采购需求公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
采购需求前附表
1.项目概述
1.1项目背景
为贯彻落实网络安全法和税务总局数据安全和供应链安全管理要求,建立常态化值班值守、监测预警、应急处置工作机制,保障我局网络安全设备和网络安全应用系统正常运行,加强对重要数据和供应链风险隐患排查工作,进一步提升省局的网络安全保障能力。
1.2项目内容
项目内容包括:日常性网络安全运维、7*24小时安全监测、网络安全系统运维、数据安全风险评估和供应链厂商网络安全能力评估服务。
2. 投标/响应要求
2.1 供应商必备资质要求
中标供应商参加本采购活动应符合《政府采购法》第二十二条的规定,具备下列条件:
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)法律、行政法规规定的其他条件。
(6)本次招标不接受联合体投标,禁止有隶属关系或相关联企业同时投标,不得转包及分包。
2.2 供应商优选资质要求
(1)具备ISO27001信息安全管理体系认证证书;
(2)具有ISO9001质量管理体系认证证书;
(3)具备ISO20000信息技术服务管理体系认证证书;
(4)成功案例:提供2020年1月1日以来(以合同签订日期为准)独立承担类似项目成功案例;
(5)具有信息安全服务资质证书(风险评估类、安全工程类)。
2.3投标/响应文件技术部分响应内容要求
2.3.1项目需求理解:投标人对项目定位、服务目标是否精准。
2.3.2项目方案:根据方案能否完整响应项目需求。整体服务方案及措施是否完整,是否具有针对性及科学性;驻场服务人员关系管理方案、档案户籍及社保管理方案、员工培训计划与方案、突发事件应急处理方案、符合采购人的其他服务方案(特色服务、增值服务等)是否合理、可行、符合采购人实际需求。
2.3.3项目管理方案:项目管理方案要合理、严谨、职责清晰、可操作性强、风险可控性强。
3. 项目需求
3.1 日常性网络安全运维
3.1.1 负责国家税务总局吉林省税务局(以下简称吉林省税务局)互联网业务区、业务专网区和横向联网区100余台/套网络安全设备(包括:防火墙、入侵检测、抗DDOS设备、WEB应用防火墙、SSL安全网关、网闸、网页防篡改、运维审计系统、综合日志审计系统、数据库审计系统、态势感知平台、终端安全管理平台等)运行监测、安全分析、升级维护、故障处理、日志审计和应急响应等工作。
吉林省税务局网络安全设备维护清单如下:
3.1.2 负责吉林省税务局关键信息基础设施和重要应用系统的日志信息的转存和备份,及时分析发现处置网络安全事件,定期提交网络安全日志的数据分析和审计报告。
3.1.3 负责吉林省税务局互联网区、业务专网区和横向联网区、电子发票服务平台等120余个应用系统,包含400余台物理机、2700余台虚拟化主机的网络安全漏洞管理工作,包含但不限于网络安全漏洞预警、扫描、交接、修复验证等工作,各区域应用系统数量如下:
(1)互联网业务区:门户网站系统、电子税务局系统、增值税发票管理系统、电票平台、征纳互动平台、统一身份管理平台、自助办税系统、自然人申报记录系统、社保费系统、重点税源网上直报等27个系统、710余台主机;
(2)横向联网区:外部交换、税收大数据智税平台、社保费征管信息系统、税企直连平台、车船税联网征收系统和社保费税银系统等10余个系统、50余台主机;
(3)业务专网区:金税三期管理系统、电子发票服务平台、征纳互动平台、税智撑平台、统一身份管理平台、金税三期税收管理系统、数字人事系统、电子税务局系统、ATM自助办税系统、电子公文系统、财务管理系统、第三方支付平台、电子档案系统、发票2.0系统、国地税机构改革系统、金税工程运维服务管理平台、综合征管系统、自然人税收管理系统、征管辅助平台、税收社会化平台、税收大数据智税平台系统、税企直连平台、社保费征管信息系统、内部控制监督平台等80余个系统、1500余台主机。
3.2 7*24小时值班值守和运行监测及处置
负责全年7*24小时网络安全值班值守及监测处置工作。网络安全设备(防火墙、入侵检测、抗DDOS设备、WEB应用防火墙、网闸、网页防篡改、运维审计系统、综合日志审计系统、数据库审计系统、威胁感知平台、终端安全管理系统等)的7*24小时运行监控及维护,通过各类安全设备监测各区域的攻击威胁,发现攻击行为及时进行阻断及处置工作。
3.3 网络安全系统运维服务
3.3.1 金税三期应用安全支撑平台
(1)负责吉林省税务局金税三期应用安全支撑平台系统的运维服务。提供金税三期应用安全支撑平台系统的的运行支持保障,对该项目所涉及的服务器、中间件应用以及业务应用软件平台等进行维护管理和操作,并按照后续业务优化情况,对系统进行功能升级与测试。
(2)应用环境运维服务。对应用安全支撑平台4台应用服务器上运行的应用支撑软件等进行巡检,主要包括服务器磁盘空间使用率、进程使用资源、系统日志、redis运行状态、weblogic进程状态等;
(3)故障处理服务。受理用户通过电话、邮件等各种方式提出的的远程技术支持请求,并在最短时间内进行实质性响应;系统出现无法登录、登录缓慢等故障或其他问题(非停机性质问题,如系统运行缓慢或不稳定)时,负责诊断应用系统故障原因,并提出故障处理建议或解决方案;
(4)应用系统运维服务。对平台和各功能模块的运行效率、性能、可用性等进行监控和分析,并根据分析结果对系统进行性能优化(包含底层开发平台的优化),包括参数调整、结构扩展和重新部署等。提供单点登录系统、用户权限系统使用过程中相关问题解答服务;
(5)运维管理服务。根据吉林省税务局要求,积极配合完成该运维服务而开展的研讨、咨询、故障会诊等,并配合制定运维服务管理、监督的各类规章制度和流程;
(6)其他要求。提供升级与优化相关服务,包括应用系统上线、变更等必要的健康检查、值守保障等,并在升级与优化工作完成后提供升级与优化的相关技术资料;对应用安全支撑平台项目运行过程中出现的各类问题进行解答,包括系统安全问题,业务安全问题等;协助吉林省税务局分析现有的应用安全状况,修补安全漏洞,提高应用安全水平,发现新的应用安全增值服务,规划新的应用安全体系架构。
3.3.2 税务数字证书注册、发布系统
(1)负责吉林省税务局税务数字证书系统的运维服务。提供税务数字证书系统的运行支持保障,对该项目所涉及的服务器、中间件应用以及业务应用软件平台等进行维护管理和操作,并按照后续业务优化情况,对系统进行功能升级。
(2)故障定位和问题处理。协助判断网络连接的问题,如防火墙限制、网络不连通;操作系统版本环境兼容性问题;计算机USB接口或证书介质硬件故障;证书有效性等问题;
对税务数字证书注册系统相关业务场景说明、业务操作流程和业务功能方面提供技术支持服务;对岗位设置、岗位职能、岗位权限管理等方面提供技术支持服务;税务数字证书注册系统远程终端的部署安装,包括客户端控件的安装、操作员证书驱动的安装等方面提供技术支持服务。
(3)负责内部证书注册系统、内部证书注册系统、内部证书状态查询系统、外部证书注册系统、外部证书注册系统、外部证书状态查询系统的运维技术支持服务。
(4)系统出现故障,接到用户技术支持请求后,立即做出实质性响应,在2小时内提出故障解决方案,4-12小时内恢复系统正常运行。故障解决后48小时内,提交故障处理报告。工程师负责解决总局远程服务人员无法处理的问题。
3.3.3 电子签章系统
负责吉林省业务专网区电子签章运维服务,对该项目所涉及的签章服务器、密码机、中间件应用以及业务应用软件平台等进行维护管理和操作,保证电子签章系统运行稳定、安全,不影响正常业务处理,并按照后续业务优化情况,对系统进行功能升级与测试,确保系统运行平稳、顺畅。
3.3.4 税务网络安全态势感知平台
(1)负责态势感知平台的日常运行监控。每日审查各探针和平台系统的运行情况,深入研究各类网络通信流量的日志信息的采集情况,以快速发现任何异常。当出现问题,立刻组织进行排查和修复工作,确保态势感知平台保持无故障运行。此外实施实时监控、识别和验证安全信息告警,通过有组织的网络攻击事件验证,确保迅速采取风险处置措施,为网络安全提供最强大的防护。
(2)维护态势感知平台资产信息。根据实际动态调整更新资产信息,确保平台始终拥有全面准确的基础库信息。
(3)每月进行全网段漏洞扫描,将扫描结果及时传输到态势感知平台,并将漏洞及时推送、对漏洞修复情况进行核实验证,确保漏洞得到及时修复和消除。
(4)每月进行全网资产发现扫描,同时确认扫描结果中未录入态势感知平台的资产信息,如名称、类型、路径、业务区域和责任人等,并将其准确记录,已确保平台拥有完备的资产信息,使资产管理更加有效。
(5)根据采购人要求进行补丁升级,准备并执行升级计划,以保证关键数据完整性。升级后对系统各功能异常情况排查,确保系统稳定运行。
(6)每月对态势感知平台相关的探针(僵木蠕、WAF、网络审计、数据库审计等)规则进行升级,确保规则库及时更新,及时发现新威胁确保税务网站安全。
(7)每天生成详尽的工作汇报表,包括互联网威胁行为分析表、互联网风险预警分析表、数据安全风险监控使用侧统计表和数据安全风险监控运维侧统计表,提供全面的数据,有助于更好地了解和管理网络和数据威胁。
(8)整理数据安全告警数据,将各地区数据进行分类并发送给各地区联络人员进行数据安全告警核实。核实完成后进行归纳各地区数据安全告警核实结果,并在态势平台上完成必要的处置工作,以确保数据安全处置闭环管理。
(9)做好沟通、积极推进整体性工作,并及时提供反馈。按时处置或回执,通过态势感知平台管理中心下发的通知通告,以确保信息流畅、反馈及时。
3.3.5“双向”安全交换系统和密码服务组件
主要服务内容为“双向”安全交换系统和密码服务组件
系统的日常运维、故障处理、健康检查、版本升级更新,与新建应用系统集成对接等工作,具体内容包括但不限于:
(1)每日对双向安全交换系统和密码服务组件系统进行巡检,设备日常巡检通过收集每日运行参数,监控设备硬件运行情况,分析主要业务系统的流量日志,关注安全事件的发展动态,及时发现风险、问题并进行处置并上报。
(2)每月需要将双向安全交换系统和密码服务组件系统健康状态、对接应用系统运行情况、以月报的形式汇报。
(3)日常运维:对双向安全交换系统和密码服务组件系统开展日常运行维护工作,包括设备日常维护,设备配置管理,安全日志分析,设备配置优化等运维服务,开展健康 检查,处理系统故障;负责应用策略的开通,确保应用系统的稳定运行,配合应用系统业务故障排查。
(4)按照业务需求及时将应用系统接入到双向安全交换系统和密码服务组件系统中。
(5)告警事件处置:对告警事件进行及时的报告和处理,保障业务正常运行,对硬件故障进行及时的反馈和处理,对业务影响降到最小化。
(6)确保安全设备在生命周期内稳定运行,定期进行安全配置梳理以及配置检查,对违规策略进行严格管控,禁止一切未授权的应用访问。
(7)应用系统运行情况监控:对设备上的运行应用进行监控,及时报告和处理应用系统的异常情况。
(8)补丁升级:系统新版本发布根据实际情况进行升级维护,对配套的硬件设备进行补丁修复。
(9)双向安全交换系统和密码服务组件系统重要时期安全值守服务:技术加固服务,制定应急响应预案,安全漏洞预警,威胁情报共享,安全事件监控,安全事件处置。
3.4 供应链厂商网络安全能力评估
围绕信息系统供应链厂商,从人员安全管理、开发建设管理、数据安全管理三方面开展专项供应链厂商网络安全能力评估工作,从以下几方面开展评估:
供应商人员安全管理方面评估包括但不限于背景审查,供应商网络安全组织架构、制度情况、人员网络安全培训及考核,事件应急响应机制、预案和应急演练),开发建设管理方面评估包括但不限于供应商软件研发场所核查,开发测试环境、工具和终端介质管理,供应链产品清单、代码平台安全评估。
供应商数据安全管理评估包括但不限于测试数据脱敏检查、生产数据访问权限检查、系统数据留存检查。
(1)评估准备阶段
在对被评估的供应链厂商进行充分调研的基础上,确定供应链安全评估目标、范围、评估方法和依据,制定供应链安全评估实施方案,并召开项目启动会。
(2)现场评估阶段
人员安全管理评估工作:对供应链厂商及人员开展背景审查;建立网络安全责任人制度,对供应商的网络安全组织架构及制度等进行审查;对供应商人员的安全培训以及人员考核进行检查,考核包括但不限于技能考核、网络安全意识考核、保密常识等方面的内容;审查供应商的应急响应机制,包括应急预案以及供应商应急演练记录等。
开发建设管理评估工作:对供应商软件开发场所进行审查,确保开发场所安全可控可信;对供应商开发环境进行管理评估,评估内容包括开发测试环境安全可信、开发工具等终端以及移动存储介质检查;对供应链厂商的产品和服务管理进行评估,核查供应链产品清单;对供应链厂商进行第三方组建管理,包括组织供应链厂商开展代码安全评估、代码管理安全评估等。
供应商数据安全管理评估工作:对供应商提供用于测试的税务数据进行脱敏检查;对于生产数据核查其权限管理落实情况;对供应链厂商的数据安全管理活动开展评估,核查数据留存情况是否符合要求。
(3)报告编制阶段
测评报告编制:汇总供应链厂商及人员安全管理评估结果、开发建设管理评估结果、供应商数据安全管理评估结果,形成供应链产品清单、供应链安全评估报告。
(4)安全服务要求
投标人应依据供应商评估具体要求和指标,结合我局对于信息系统供应链厂商安全要求开展评估工作:测评机构应保守在测评活动中知悉的国家秘密、工作秘密、数据和个人隐私,对所出具的评估报告负责。
3.5数据安全风险评估服务
依据(TSZBA 001—2023)《数据安全合规评估方法》,GB/T 20984-2022《信息安全技术 信息安全风险评估方法》,围绕数据安全需求,从以下方面开展风险评估:基于黑盒的漏洞扫描和渗透测试;基于白盒的源代码安全审计、源代码成分分析、源代码第三方组件漏洞分析(省自行开发部分);基于灰盒的接口访问安全和数据安全评估;数据资源外泄监控评估(数据权限安全、数据加密安全、数据脱敏安全等);系统和数据权限管理评估;围绕全流程税务数据安全开展评估工作,包括数据的收集安全、存储安全、使用安全、加工安全、传输安全、提供安全、公开安全、删除安全,根据数据的重要性和敏感性,从证书认证、通道加密、内容加密、数据水印、数据防泄漏、数据防篡改、数据备份、数据脱敏、数据抗抵赖、数据运维和管理等方面进行综合评估。
3.5.1 数据安全风险评估准备
在对被评估的数据资产进行充分调研的基础上,确定数据安全评估范围、评估方式和依据,并配合采购人组织相关人员、并召开项目启动会,制定数据安全评估方案。
3.5.2 数据安全风险识别阶段
资产识别分析:调研分析,进行资产分类、资产赋值(保密性赋值、完整性赋值、可用性赋值、资产重要性等级)。
威胁识别分析:依据资产确定威胁识别对象,进行威胁分类、威胁赋值。
脆弱性识别分析:针对税务相关业务系统,利用人员访谈、资料核查、技术手段核查、系统测评等方法,围绕数据全生命周期安全,进行脆弱性识别内容确定、脆弱性赋值。通过文档查阅、漏洞扫描、人工核查等对各资产进行检查和测试,分为技术和管理两个方面进行脆弱性识别分析。脆弱性识别是风险评估过程中最重要的环节。
根据分析情况出具资产调研报告、资产识别报告、威胁识别报告、脆弱性识别报告。
3.5.3 数据安全风险分析与评价阶段
在识别脆弱性的同时,对已采取的安全措施的有效性进行确认,并评估其有效性,并出具安全措施确认报告。中标供应商须从脆弱性评估开始,对被评估系统不可接受风险的资产残余进行再评估,在对照安全措施前后的脆弱性状况后,再次计算风险值,对于残余风险仍处于不可接受的范围内,中标供应商须继续提供相应安全措施,直至不可接受风险的资产处于可接受的范围内。
3.5.4 报告编制与评审
评估后形成漏洞扫描和渗透测试报告、源代码安全审计报告、第三方组件使用清单,以及第三方组件安全分析报告。汇总数据安全评估结果,编制数据安全风险评估报告。
3.5.5 安全服务要求
投标人应依据风险评估方法,结合我局对于数据安全需求开展评估工作:测评机构应保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,对所出具的风险评估报告负责。
4.技术支持服务要求
4.1 服务期限要求
本项目日常性网络安全运维、7*24小时安全监测、网络安全系统运维服务期限为自合同签订之日起一年。本项目数据安全风险评估和供应链厂商网络安全能力评估服务期限为自合同签订之日起60日内完成评估工作并出备评估报告。
4.2服务响应要求
中标供应商需依据需求内容提供7*24小时技术响应服务。日常性网络安全运维、7*24小时安全监测、网络安全系统运维须对系统操作问题在现场进行及时解答、日常升级于2个工作日内完成、大版本升级于3个工作日内完成;针对发生的网络安全事件须于半小时内做出响应、1小时内到达现场,2小时内提出排查方案,8小时内解决问题,48小时提供事件处理报告;针对系统和设备故障,须于1小时内做出响应,并于2小时内恢复系统和4小时内恢复设备运行,并于48小时内提供处理报告。
4.3 服务培训要求
中标供应商应通过服务培训帮助项目采购人中的管理人员、技术维护人员更好熟悉各系统网络安全设备,提高设备管理的人员设备操作、故障处理等能力,最终通过培训考核,达到独立运维的工作要求:
(1)达到了解各类网络安全设备/系统的技术性能,熟练掌握设备的操作和正确维护。
(2)能够排除各类网络安全设备/系统的一般故障,掌握设备的维修技术及日常保养,达到培训要求。
(3)对各类网络安全设备/系统的构造、性能、原理和操作有详细透彻的的理解。
(4)能够准确的发现网络安全设备/系统出现的和隐藏的问题,并能及时沟通联系安全运维人员/中标供应商,使问题得到及时解决。
4.4服务考核要求
中标供应商提供的网络安全系统运维服务需满足税务总局关于态势感知平台、双向安全交换系统、税务数字证书系统、密码组件服务系统等相关绩效考评要求,确保绩效考评不失分。
中标供应商须如期提供供应链厂商网络安全能力评估报告、数据安全风险评估报告,满足税务总局关于数据安全评估、供应链厂商网络安全能力评估的绩效考评相关要求,确保考核不失分。
4.5违约责任
中标供应商违反服务进度要求,没有在规定时间内完成相应服务内容,每次扣除合同总额0.5%;应急响应没有在规定时间内到达现场,每次扣除合同总额0.5%。
5.项目管理和实施要求
5.1项目实施要求
中标供应商须制定清晰的岗位职责、明确服务流程和规范,对服务团队建立绩效考核机制,确保满足采购方需求,确保响应效率及服务质量。当本项目现服务人员无法完成相关工作时,中标供应商应及时协调资源确保及时完成。
5.2项目人员要求
应为本项目日常性网络安全运维、7*24小时安全监测、网络安全系统运维组建不少于10人的驻场服务团队(3人为日常性网络安全运维,4人为7*24小时监测服务,3人为网络安全系统运维),为本项目数据安全风险评估和供应链厂商网络安全能力评估组建不少于5人的评估团队。项目实施期间确保团队人员的稳定性,如更换服务人员需经采购方书面同意,工作交接时间不少于2个月。应为本项目配备不少于5年网络安全工作经验的项目经理。驻场技术人员应接受采购方的管理,并遵守相关工作规范。
本项目日常性网络安全运维驻场人员须有3年以上网络安全工作经验,具备注册信息安全专业人员(CISP)证书,了解税务网络安全标准和技术要求,熟练使用主流安全厂商的设备和软件,能够独立完成日常网络安全运维、故障排查、安全事件分析、应急处置等相关工作,具备技术文档编写能力和良好沟通能力。
本项目7*24小时监测人员至少有2年以上网络安全工作经验,熟悉网络安全主流监测设备,具备应对网络攻击的快速响应和应急处置能力。
本项目网络安全系统运维人员应至少具备3年以上信息系统运维工作经验,需熟悉主流中间件及数据库运维操作,熟悉税务网络安全信息系统前后台操作。
6.验收要求
项目服务期满后,由中标供应商提出项目验收申请,项目使用部门按照相关要求组织验收,中标供应商应按照采购方验收要求,提交相关验收资料,按照合同要求考察服务满意度、应急响应情况、文档交付情况、专业技术能力和服务整体质量等方面,须出具齐全项目验收资料,验收通过后出具项目验收报告。验收资料包括但不限于:
(1)《7*24小时网络安全运维报告》
(2)《网络安全漏洞扫描报告》
(3)《网络安全漏洞交接单》
(4)《运维系统审计报告》
(5)《数据库审计报告》
(6)《税务数字证书系统运维服务月报》
(7)《税务数字证书系统问题处置记录》
(8)《金税三期应用安全支撑平台运维服务月报》
(9)《金税三期应用安全支撑平台问题处置记录》
(10)《税务系统态势感知平台运维服务月报》
(11)《税务系统态势感知平台问题处置记录》
(12)《“双向”安全交换系统和密码组件系统运维服务月报》
(13)《“双向”安全交换系统和密码组件系统问题处置记录》
(14)《税务数字证书系统运维服务年度总结》
(15)《“双向”安全交换系统和密码组件系统运维服务年度总结》
(16)《金税三期应用安全支撑平台运维服务年度总结》
(17)《税务系统态势感知平台运维服务年度总结》
(18)《源代码安全审计报告》
(19)《第三方组件使用清单及安全分析报告》
(20)《漏洞扫描和渗透测试报告》
(21)《数据安全风险评估报告》
(22)《供应链厂商网络安全能力评估报告》
7.税收信息化项目开发和应用管理工作要求
中标供应商服务期内须严格按照合同要求完成相关工作,按时提交各阶段文档,应遵循开发管理的过程监理、中期报告审议、验收资料审议等相关要求。
8.其他要求
8.1保密要求
甲乙双方应对在合同签订或履行过程中所接触的对方信息,包括但不限于知识产权、技术资料、技术诀窍、内部管理及其他相关信息,负有保密义务。
乙方在使用甲方为乙方及其工作人员提供的数据、程序、用户名、口令、资料及甲方相关的业务和技术文档,包括税收政策、方案设计细节、程序文件、数据结构,以及相关业务系统的硬软件、文档、测试和测试产生的数据时,应遵循以下约定:
(1)应以审慎态度避免泄露、公开或传播甲方的信息;
(2)未经甲方书面许可,不得对有关信息进行修改、补充、复制;
(3)未经甲方书面许可,不得将信息以任何方式(如E-mail)携带出甲方场所;
(4)未经甲方书面许可,不得将信息透露给任何其他人;
(5)甲方以书面形式提出的其他保密措施。
保密期限不受合同有效期的限制,在合同有效期结束后,信息接受方仍应承担保密义务,直至该等信息成为公开信息。
8.2知识产权要求:
中标供应商需保证所提供的服务不侵犯第三方的知识产权(专利权、商标权、版权等),因侵害第三方知识产权而产生的法律责任,全部由中标供应商承担。
8.3.其他要求
投标人需对以下内容逐一承诺(格式自拟):
1.依据《国家税务总局办公厅关于修订<税务系统信息化服务商失信行为记录名单制度(试行)>的通知》(税总办征科发〔2022〕1号)相关规定,本项目不采购税务系统失信记录名单中的服务提供商提供的产品及服务。通知文件互联网链接:
http://www.chinatax.gov.cn/chinatax/n810341/n810825/c101434/c5172093/content.html
2.信息化项目使用的供应链产品提供要满足国家网络安全规范和认证要求。
3. 中标供应商要建立网络安全负责人制度。每个项目均要设置网络安全负责人,组织落实各项网络安全要求。
4. 投标人应提高安全责任意识,严控产品安全质量;建立清晰的软件供应链安全策略,明确相关的管理目标、工作流程、检查内容、责任部门等;严控上游,尤其重点管控开源代码的使用,确保使用的开源代码符合开源许可协议,形成第三方组件清单和安全分析报告,禁止使用存在高安全风险或已停止维护的第三方组件;严控自主开发代码的质量,采用软件源代码安全分析工具,持续检测和修复软件源代码中的安全缺陷和漏洞;建立完善的产品漏洞响应机制,包括产品漏洞信息的收集、漏洞报告渠道的建立和维护、漏洞补丁的开发和发布、客户端漏洞应急响应和修复支持等。发现网络安全漏洞、缺陷、数据泄露或其他重大网络安全风险,及时向采购人进行报告,不得擅自公开或向第三方提供。
5.项目实施前及实施期间,中标供应商要对参与项目人员进行网络和数据安全、技能等方面培训、考核、警示教育等。
6.应用系统上线前,中标供应商要进行安全功能测试(包括漏洞扫描、渗透测试、源代码审计、基线核查)。
7.应用系统上线前,中标供应商要提交供应链产品清单、第三方组件使用清单、安全测试报告、源代码审计报告、等保测评报告、供应链安全自查报告等。
8.采购人要对中标供应商方参与项目人员开展背景审查,中标供应商需项目人员提供无犯罪记录证明,公司和个人均签署保密协议、网络安全承诺书等。
9.中标供应商应配置独立的内部代码管理平台,且不与互联网链接。严禁将源代码上传第三方平台,严禁使用互联网代码托管平台。
10.中标供应商不得另行开发合同业务需求范围内,供纳税人、缴费人使用的软件。不得利用产品和服务的使得条件非法获取数据、非法控制和操纵设备,无正当理由不中断产品供应或必要技术支持服务等,如违反上述条款,将被纳入失信名单。
11.中标供应商违反国家税务总局吉林省税务局及其上级主管部门制定的网络安全规定行为造成不良后果的,将被纳入失信名单,3年内限制参加税务系统政府采购活动。
12.中标供应商不得在合同履行期间“围猎”税务人员。如违反上述条款,将被纳入失信名单,3年内限制参加税务系统政府采购活动。
13.中标供应商应建立防止违法违规聘用离职税务人员风险控制制度,如出现违法违规聘用离职税务人员行为,采购人有权采取以下措施:要求限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下属单位信息化项目政府采购活动等。
8.4付款方式
合同签订30个工作日内由中标供应商出具等额发票后,支付合同总金额的50%;项目在9月30日前,经验收合格30个工作日内由中标供应商出具等额发票后,支付合同尾款。
| 序号 | 类别 | 内容 |
| 1 | 项目立项 | 项目立项时间:2023年7月5日 |
| 项目立项证明文件: £有 £无 | ||
| 2 | 项目预算安排 | 总预算金额(万元):212 |
| 当年预算安排金额(万元): | ||
| 项目资金来源:基本支出 | ||
| 3 | 项目采购内容 | 日常性网络安全运维、7*24小时安全监测、网络安全系统运维、数据安全风险评估和供应链厂商网络安全能力评估服务。 |
| 4 | 项目实施时间 | 日常性网络安全运维、7*24小时安全检测、网络安全系统运维实施时间是合同签订后一年。 数据安全风险评估和供应链厂商网络安全能力评估服务为合同签订后60日完成评估。 |
| 5 | 项目实施地点 | 吉林省税务局(长春市南湖大路1518号) |
| 6 | 项目实施范围 | 日常性网络安全运维、7*24小时安全监测、网络安全系统运维、数据安全风险评估和供应链厂商网络安全能力评估服务。 |
| 7 | 项目相关单位 | 需求部门:信息中心 |
| 验收部门:信息中心 | ||
| 8 | 采购意向公开 | R本项目已于2023年4月11日公开采购意向 |
| £本项目经立项审批不公开采购意向 | ||
| 9 | 支持中小企业 | R本项目专门面向中小企业采购 |
| £本项目预留预算金额的 %专门面向中小企业采购 | ||
| £本项目不适宜由中小企业提供,且已履行报批手续。 | ||
| 10 | 公告期限 | 自本公告发布之日起5个工作日。 |
| 11 | 意见反馈方式 | 凡对本次公告内容提出意见反馈,请以书面形式按以下方式联系。 名称:国家税务总局吉林省税务局; 地址:长春市南湖大路1518号; 项目联系人:罗立权、张展赫; 联系电话:0431-80500300/80500303 |
1.项目概述
1.1项目背景
为贯彻落实网络安全法和税务总局数据安全和供应链安全管理要求,建立常态化值班值守、监测预警、应急处置工作机制,保障我局网络安全设备和网络安全应用系统正常运行,加强对重要数据和供应链风险隐患排查工作,进一步提升省局的网络安全保障能力。
1.2项目内容
项目内容包括:日常性网络安全运维、7*24小时安全监测、网络安全系统运维、数据安全风险评估和供应链厂商网络安全能力评估服务。
2. 投标/响应要求
2.1 供应商必备资质要求
中标供应商参加本采购活动应符合《政府采购法》第二十二条的规定,具备下列条件:
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)法律、行政法规规定的其他条件。
(6)本次招标不接受联合体投标,禁止有隶属关系或相关联企业同时投标,不得转包及分包。
2.2 供应商优选资质要求
(1)具备ISO27001信息安全管理体系认证证书;
(2)具有ISO9001质量管理体系认证证书;
(3)具备ISO20000信息技术服务管理体系认证证书;
(4)成功案例:提供2020年1月1日以来(以合同签订日期为准)独立承担类似项目成功案例;
(5)具有信息安全服务资质证书(风险评估类、安全工程类)。
2.3投标/响应文件技术部分响应内容要求
2.3.1项目需求理解:投标人对项目定位、服务目标是否精准。
2.3.2项目方案:根据方案能否完整响应项目需求。整体服务方案及措施是否完整,是否具有针对性及科学性;驻场服务人员关系管理方案、档案户籍及社保管理方案、员工培训计划与方案、突发事件应急处理方案、符合采购人的其他服务方案(特色服务、增值服务等)是否合理、可行、符合采购人实际需求。
2.3.3项目管理方案:项目管理方案要合理、严谨、职责清晰、可操作性强、风险可控性强。
3. 项目需求
3.1 日常性网络安全运维
3.1.1 负责国家税务总局吉林省税务局(以下简称吉林省税务局)互联网业务区、业务专网区和横向联网区100余台/套网络安全设备(包括:防火墙、入侵检测、抗DDOS设备、WEB应用防火墙、SSL安全网关、网闸、网页防篡改、运维审计系统、综合日志审计系统、数据库审计系统、态势感知平台、终端安全管理平台等)运行监测、安全分析、升级维护、故障处理、日志审计和应急响应等工作。
吉林省税务局网络安全设备维护清单如下:
| 序号 | 安全设备区域 | 设备名称 | 数量 |
| 1 | 互联网业务区 | ADS流量清洗 | 2 |
| 2 | 互联网业务区 | 防毒墙 | 2 |
| 3 | 互联网业务区 | 防火墙 | 2 |
| 4 | 互联网业务区 | SSL安全网关 | 2 |
| 5 | 互联网业务区 | web应用防火墙 | 4 |
| 6 | 互联网业务区 | IDS入侵检测 | 1 |
| 7 | 互联网业务区 | 防火墙 | 2 |
| 8 | 互联网业务区 | 身份认证防火墙 | 1 |
| 9 | 互联网业务区 | 服务器安全管理系统 | 1 |
| 10 | 互联网业务区 | 运维审计系统 | 2 |
| 11 | 互联网业务区 | 日志审计系统 | 1 |
| 12 | 互联网业务区 | 数据库审计系统 | 1 |
| 13 | 互联网业务区 | 流量复制nettap | 2 |
| 14 | 互联网业务区 | 虚拟化防火墙 | 2 |
| 15 | 互联网业务区 | 网闸 | 2 |
| 16 | 互联网业务区 | 网页防篡改系统 | 1 |
| 17 | 互联网业务区 | 数据库防护墙系统 | 1 |
| 18 | 互联网业务区 | 漏洞扫描 | 1 |
| 19 | 互联网业务区 | 网络审计 | 1 |
| 20 | 互联网业务区 | 天眼流量探针 | 1 |
| 21 | 互联网业务区 | 天眼分析平台 | 1 |
| 22 | 业务专网区 | 360天擎终端安全管理系统 | 1 |
| 23 | 业务专网区 | 360终端安全管理系统 | 1 |
| 24 | 业务专网区 | 防毒墙 | 2 |
| 25 | 业务专网区 | 运维审计系统 | 2 |
| 26 | 业务专网区 | 办公防火墙 | 2 |
| 27 | 业务专网区 | 数据中心虚拟化防火墙 | 2 |
| 28 | 业务专网区 | eSight管理平台 | 1 |
| 29 | 业务专网区 | 华为防火墙 | 2 |
| 30 | 业务专网区 | 日志审计系统 | 1 |
| 31 | 业务专网区 | 日志备份FTP服务器 | 1 |
| 32 | 业务专网区 | 流量复制 | 1 |
| 33 | 业务专网区 | 12366防火墙 | 1 |
| 34 | 业务专网区 | NGSOC日志采集探针 | 2 |
| 35 | 业务专网区 | NGSOC分析平台 | 1 |
| 36 | 业务专网区 | NGSOC关联规则引擎 | 1 |
| 37 | 业务专网区 | 数据库审计系统 | 1 |
| 38 | 业务专网区 | 静态脱敏系统 | 1 |
| 39 | 外联网 | 防火墙 | 2 |
| 40 | 外联网 | 防毒墙 | 2 |
| 41 | 外联网 | 网闸 | 2 |
| 42 | 外联网 | IDS入侵检测设备 | 1 |
| 43 | 外联网 | IDS入侵检测系统 | 1 |
| 44 | 政务专网 | 防火墙 | 1 |
| 45 | 政务外网 | 防火墙 | 1 |
| 46 | 办公外网 | 防火墙 | 1 |
| 47 | 办公外网 | 上网行为审计 | 1 |
3.1.2 负责吉林省税务局关键信息基础设施和重要应用系统的日志信息的转存和备份,及时分析发现处置网络安全事件,定期提交网络安全日志的数据分析和审计报告。
3.1.3 负责吉林省税务局互联网区、业务专网区和横向联网区、电子发票服务平台等120余个应用系统,包含400余台物理机、2700余台虚拟化主机的网络安全漏洞管理工作,包含但不限于网络安全漏洞预警、扫描、交接、修复验证等工作,各区域应用系统数量如下:
(1)互联网业务区:门户网站系统、电子税务局系统、增值税发票管理系统、电票平台、征纳互动平台、统一身份管理平台、自助办税系统、自然人申报记录系统、社保费系统、重点税源网上直报等27个系统、710余台主机;
(2)横向联网区:外部交换、税收大数据智税平台、社保费征管信息系统、税企直连平台、车船税联网征收系统和社保费税银系统等10余个系统、50余台主机;
(3)业务专网区:金税三期管理系统、电子发票服务平台、征纳互动平台、税智撑平台、统一身份管理平台、金税三期税收管理系统、数字人事系统、电子税务局系统、ATM自助办税系统、电子公文系统、财务管理系统、第三方支付平台、电子档案系统、发票2.0系统、国地税机构改革系统、金税工程运维服务管理平台、综合征管系统、自然人税收管理系统、征管辅助平台、税收社会化平台、税收大数据智税平台系统、税企直连平台、社保费征管信息系统、内部控制监督平台等80余个系统、1500余台主机。
3.2 7*24小时值班值守和运行监测及处置
负责全年7*24小时网络安全值班值守及监测处置工作。网络安全设备(防火墙、入侵检测、抗DDOS设备、WEB应用防火墙、网闸、网页防篡改、运维审计系统、综合日志审计系统、数据库审计系统、威胁感知平台、终端安全管理系统等)的7*24小时运行监控及维护,通过各类安全设备监测各区域的攻击威胁,发现攻击行为及时进行阻断及处置工作。
3.3 网络安全系统运维服务
3.3.1 金税三期应用安全支撑平台
(1)负责吉林省税务局金税三期应用安全支撑平台系统的运维服务。提供金税三期应用安全支撑平台系统的的运行支持保障,对该项目所涉及的服务器、中间件应用以及业务应用软件平台等进行维护管理和操作,并按照后续业务优化情况,对系统进行功能升级与测试。
(2)应用环境运维服务。对应用安全支撑平台4台应用服务器上运行的应用支撑软件等进行巡检,主要包括服务器磁盘空间使用率、进程使用资源、系统日志、redis运行状态、weblogic进程状态等;
(3)故障处理服务。受理用户通过电话、邮件等各种方式提出的的远程技术支持请求,并在最短时间内进行实质性响应;系统出现无法登录、登录缓慢等故障或其他问题(非停机性质问题,如系统运行缓慢或不稳定)时,负责诊断应用系统故障原因,并提出故障处理建议或解决方案;
(4)应用系统运维服务。对平台和各功能模块的运行效率、性能、可用性等进行监控和分析,并根据分析结果对系统进行性能优化(包含底层开发平台的优化),包括参数调整、结构扩展和重新部署等。提供单点登录系统、用户权限系统使用过程中相关问题解答服务;
(5)运维管理服务。根据吉林省税务局要求,积极配合完成该运维服务而开展的研讨、咨询、故障会诊等,并配合制定运维服务管理、监督的各类规章制度和流程;
(6)其他要求。提供升级与优化相关服务,包括应用系统上线、变更等必要的健康检查、值守保障等,并在升级与优化工作完成后提供升级与优化的相关技术资料;对应用安全支撑平台项目运行过程中出现的各类问题进行解答,包括系统安全问题,业务安全问题等;协助吉林省税务局分析现有的应用安全状况,修补安全漏洞,提高应用安全水平,发现新的应用安全增值服务,规划新的应用安全体系架构。
3.3.2 税务数字证书注册、发布系统
(1)负责吉林省税务局税务数字证书系统的运维服务。提供税务数字证书系统的运行支持保障,对该项目所涉及的服务器、中间件应用以及业务应用软件平台等进行维护管理和操作,并按照后续业务优化情况,对系统进行功能升级。
(2)故障定位和问题处理。协助判断网络连接的问题,如防火墙限制、网络不连通;操作系统版本环境兼容性问题;计算机USB接口或证书介质硬件故障;证书有效性等问题;
对税务数字证书注册系统相关业务场景说明、业务操作流程和业务功能方面提供技术支持服务;对岗位设置、岗位职能、岗位权限管理等方面提供技术支持服务;税务数字证书注册系统远程终端的部署安装,包括客户端控件的安装、操作员证书驱动的安装等方面提供技术支持服务。
(3)负责内部证书注册系统、内部证书注册系统、内部证书状态查询系统、外部证书注册系统、外部证书注册系统、外部证书状态查询系统的运维技术支持服务。
(4)系统出现故障,接到用户技术支持请求后,立即做出实质性响应,在2小时内提出故障解决方案,4-12小时内恢复系统正常运行。故障解决后48小时内,提交故障处理报告。工程师负责解决总局远程服务人员无法处理的问题。
3.3.3 电子签章系统
负责吉林省业务专网区电子签章运维服务,对该项目所涉及的签章服务器、密码机、中间件应用以及业务应用软件平台等进行维护管理和操作,保证电子签章系统运行稳定、安全,不影响正常业务处理,并按照后续业务优化情况,对系统进行功能升级与测试,确保系统运行平稳、顺畅。
3.3.4 税务网络安全态势感知平台
(1)负责态势感知平台的日常运行监控。每日审查各探针和平台系统的运行情况,深入研究各类网络通信流量的日志信息的采集情况,以快速发现任何异常。当出现问题,立刻组织进行排查和修复工作,确保态势感知平台保持无故障运行。此外实施实时监控、识别和验证安全信息告警,通过有组织的网络攻击事件验证,确保迅速采取风险处置措施,为网络安全提供最强大的防护。
(2)维护态势感知平台资产信息。根据实际动态调整更新资产信息,确保平台始终拥有全面准确的基础库信息。
(3)每月进行全网段漏洞扫描,将扫描结果及时传输到态势感知平台,并将漏洞及时推送、对漏洞修复情况进行核实验证,确保漏洞得到及时修复和消除。
(4)每月进行全网资产发现扫描,同时确认扫描结果中未录入态势感知平台的资产信息,如名称、类型、路径、业务区域和责任人等,并将其准确记录,已确保平台拥有完备的资产信息,使资产管理更加有效。
(5)根据采购人要求进行补丁升级,准备并执行升级计划,以保证关键数据完整性。升级后对系统各功能异常情况排查,确保系统稳定运行。
(6)每月对态势感知平台相关的探针(僵木蠕、WAF、网络审计、数据库审计等)规则进行升级,确保规则库及时更新,及时发现新威胁确保税务网站安全。
(7)每天生成详尽的工作汇报表,包括互联网威胁行为分析表、互联网风险预警分析表、数据安全风险监控使用侧统计表和数据安全风险监控运维侧统计表,提供全面的数据,有助于更好地了解和管理网络和数据威胁。
(8)整理数据安全告警数据,将各地区数据进行分类并发送给各地区联络人员进行数据安全告警核实。核实完成后进行归纳各地区数据安全告警核实结果,并在态势平台上完成必要的处置工作,以确保数据安全处置闭环管理。
(9)做好沟通、积极推进整体性工作,并及时提供反馈。按时处置或回执,通过态势感知平台管理中心下发的通知通告,以确保信息流畅、反馈及时。
3.3.5“双向”安全交换系统和密码服务组件
主要服务内容为“双向”安全交换系统和密码服务组件
系统的日常运维、故障处理、健康检查、版本升级更新,与新建应用系统集成对接等工作,具体内容包括但不限于:
(1)每日对双向安全交换系统和密码服务组件系统进行巡检,设备日常巡检通过收集每日运行参数,监控设备硬件运行情况,分析主要业务系统的流量日志,关注安全事件的发展动态,及时发现风险、问题并进行处置并上报。
(2)每月需要将双向安全交换系统和密码服务组件系统健康状态、对接应用系统运行情况、以月报的形式汇报。
(3)日常运维:对双向安全交换系统和密码服务组件系统开展日常运行维护工作,包括设备日常维护,设备配置管理,安全日志分析,设备配置优化等运维服务,开展健康 检查,处理系统故障;负责应用策略的开通,确保应用系统的稳定运行,配合应用系统业务故障排查。
(4)按照业务需求及时将应用系统接入到双向安全交换系统和密码服务组件系统中。
(5)告警事件处置:对告警事件进行及时的报告和处理,保障业务正常运行,对硬件故障进行及时的反馈和处理,对业务影响降到最小化。
(6)确保安全设备在生命周期内稳定运行,定期进行安全配置梳理以及配置检查,对违规策略进行严格管控,禁止一切未授权的应用访问。
(7)应用系统运行情况监控:对设备上的运行应用进行监控,及时报告和处理应用系统的异常情况。
(8)补丁升级:系统新版本发布根据实际情况进行升级维护,对配套的硬件设备进行补丁修复。
(9)双向安全交换系统和密码服务组件系统重要时期安全值守服务:技术加固服务,制定应急响应预案,安全漏洞预警,威胁情报共享,安全事件监控,安全事件处置。
3.4 供应链厂商网络安全能力评估
围绕信息系统供应链厂商,从人员安全管理、开发建设管理、数据安全管理三方面开展专项供应链厂商网络安全能力评估工作,从以下几方面开展评估:
供应商人员安全管理方面评估包括但不限于背景审查,供应商网络安全组织架构、制度情况、人员网络安全培训及考核,事件应急响应机制、预案和应急演练),开发建设管理方面评估包括但不限于供应商软件研发场所核查,开发测试环境、工具和终端介质管理,供应链产品清单、代码平台安全评估。
供应商数据安全管理评估包括但不限于测试数据脱敏检查、生产数据访问权限检查、系统数据留存检查。
(1)评估准备阶段
在对被评估的供应链厂商进行充分调研的基础上,确定供应链安全评估目标、范围、评估方法和依据,制定供应链安全评估实施方案,并召开项目启动会。
(2)现场评估阶段
人员安全管理评估工作:对供应链厂商及人员开展背景审查;建立网络安全责任人制度,对供应商的网络安全组织架构及制度等进行审查;对供应商人员的安全培训以及人员考核进行检查,考核包括但不限于技能考核、网络安全意识考核、保密常识等方面的内容;审查供应商的应急响应机制,包括应急预案以及供应商应急演练记录等。
开发建设管理评估工作:对供应商软件开发场所进行审查,确保开发场所安全可控可信;对供应商开发环境进行管理评估,评估内容包括开发测试环境安全可信、开发工具等终端以及移动存储介质检查;对供应链厂商的产品和服务管理进行评估,核查供应链产品清单;对供应链厂商进行第三方组建管理,包括组织供应链厂商开展代码安全评估、代码管理安全评估等。
供应商数据安全管理评估工作:对供应商提供用于测试的税务数据进行脱敏检查;对于生产数据核查其权限管理落实情况;对供应链厂商的数据安全管理活动开展评估,核查数据留存情况是否符合要求。
(3)报告编制阶段
测评报告编制:汇总供应链厂商及人员安全管理评估结果、开发建设管理评估结果、供应商数据安全管理评估结果,形成供应链产品清单、供应链安全评估报告。
(4)安全服务要求
投标人应依据供应商评估具体要求和指标,结合我局对于信息系统供应链厂商安全要求开展评估工作:测评机构应保守在测评活动中知悉的国家秘密、工作秘密、数据和个人隐私,对所出具的评估报告负责。
3.5数据安全风险评估服务
依据(TSZBA 001—2023)《数据安全合规评估方法》,GB/T 20984-2022《信息安全技术 信息安全风险评估方法》,围绕数据安全需求,从以下方面开展风险评估:基于黑盒的漏洞扫描和渗透测试;基于白盒的源代码安全审计、源代码成分分析、源代码第三方组件漏洞分析(省自行开发部分);基于灰盒的接口访问安全和数据安全评估;数据资源外泄监控评估(数据权限安全、数据加密安全、数据脱敏安全等);系统和数据权限管理评估;围绕全流程税务数据安全开展评估工作,包括数据的收集安全、存储安全、使用安全、加工安全、传输安全、提供安全、公开安全、删除安全,根据数据的重要性和敏感性,从证书认证、通道加密、内容加密、数据水印、数据防泄漏、数据防篡改、数据备份、数据脱敏、数据抗抵赖、数据运维和管理等方面进行综合评估。
3.5.1 数据安全风险评估准备
在对被评估的数据资产进行充分调研的基础上,确定数据安全评估范围、评估方式和依据,并配合采购人组织相关人员、并召开项目启动会,制定数据安全评估方案。
3.5.2 数据安全风险识别阶段
资产识别分析:调研分析,进行资产分类、资产赋值(保密性赋值、完整性赋值、可用性赋值、资产重要性等级)。
威胁识别分析:依据资产确定威胁识别对象,进行威胁分类、威胁赋值。
脆弱性识别分析:针对税务相关业务系统,利用人员访谈、资料核查、技术手段核查、系统测评等方法,围绕数据全生命周期安全,进行脆弱性识别内容确定、脆弱性赋值。通过文档查阅、漏洞扫描、人工核查等对各资产进行检查和测试,分为技术和管理两个方面进行脆弱性识别分析。脆弱性识别是风险评估过程中最重要的环节。
根据分析情况出具资产调研报告、资产识别报告、威胁识别报告、脆弱性识别报告。
3.5.3 数据安全风险分析与评价阶段
在识别脆弱性的同时,对已采取的安全措施的有效性进行确认,并评估其有效性,并出具安全措施确认报告。中标供应商须从脆弱性评估开始,对被评估系统不可接受风险的资产残余进行再评估,在对照安全措施前后的脆弱性状况后,再次计算风险值,对于残余风险仍处于不可接受的范围内,中标供应商须继续提供相应安全措施,直至不可接受风险的资产处于可接受的范围内。
3.5.4 报告编制与评审
评估后形成漏洞扫描和渗透测试报告、源代码安全审计报告、第三方组件使用清单,以及第三方组件安全分析报告。汇总数据安全评估结果,编制数据安全风险评估报告。
3.5.5 安全服务要求
投标人应依据风险评估方法,结合我局对于数据安全需求开展评估工作:测评机构应保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,对所出具的风险评估报告负责。
4.技术支持服务要求
4.1 服务期限要求
本项目日常性网络安全运维、7*24小时安全监测、网络安全系统运维服务期限为自合同签订之日起一年。本项目数据安全风险评估和供应链厂商网络安全能力评估服务期限为自合同签订之日起60日内完成评估工作并出备评估报告。
4.2服务响应要求
中标供应商需依据需求内容提供7*24小时技术响应服务。日常性网络安全运维、7*24小时安全监测、网络安全系统运维须对系统操作问题在现场进行及时解答、日常升级于2个工作日内完成、大版本升级于3个工作日内完成;针对发生的网络安全事件须于半小时内做出响应、1小时内到达现场,2小时内提出排查方案,8小时内解决问题,48小时提供事件处理报告;针对系统和设备故障,须于1小时内做出响应,并于2小时内恢复系统和4小时内恢复设备运行,并于48小时内提供处理报告。
4.3 服务培训要求
中标供应商应通过服务培训帮助项目采购人中的管理人员、技术维护人员更好熟悉各系统网络安全设备,提高设备管理的人员设备操作、故障处理等能力,最终通过培训考核,达到独立运维的工作要求:
(1)达到了解各类网络安全设备/系统的技术性能,熟练掌握设备的操作和正确维护。
(2)能够排除各类网络安全设备/系统的一般故障,掌握设备的维修技术及日常保养,达到培训要求。
(3)对各类网络安全设备/系统的构造、性能、原理和操作有详细透彻的的理解。
(4)能够准确的发现网络安全设备/系统出现的和隐藏的问题,并能及时沟通联系安全运维人员/中标供应商,使问题得到及时解决。
4.4服务考核要求
中标供应商提供的网络安全系统运维服务需满足税务总局关于态势感知平台、双向安全交换系统、税务数字证书系统、密码组件服务系统等相关绩效考评要求,确保绩效考评不失分。
中标供应商须如期提供供应链厂商网络安全能力评估报告、数据安全风险评估报告,满足税务总局关于数据安全评估、供应链厂商网络安全能力评估的绩效考评相关要求,确保考核不失分。
4.5违约责任
中标供应商违反服务进度要求,没有在规定时间内完成相应服务内容,每次扣除合同总额0.5%;应急响应没有在规定时间内到达现场,每次扣除合同总额0.5%。
5.项目管理和实施要求
5.1项目实施要求
中标供应商须制定清晰的岗位职责、明确服务流程和规范,对服务团队建立绩效考核机制,确保满足采购方需求,确保响应效率及服务质量。当本项目现服务人员无法完成相关工作时,中标供应商应及时协调资源确保及时完成。
5.2项目人员要求
应为本项目日常性网络安全运维、7*24小时安全监测、网络安全系统运维组建不少于10人的驻场服务团队(3人为日常性网络安全运维,4人为7*24小时监测服务,3人为网络安全系统运维),为本项目数据安全风险评估和供应链厂商网络安全能力评估组建不少于5人的评估团队。项目实施期间确保团队人员的稳定性,如更换服务人员需经采购方书面同意,工作交接时间不少于2个月。应为本项目配备不少于5年网络安全工作经验的项目经理。驻场技术人员应接受采购方的管理,并遵守相关工作规范。
本项目日常性网络安全运维驻场人员须有3年以上网络安全工作经验,具备注册信息安全专业人员(CISP)证书,了解税务网络安全标准和技术要求,熟练使用主流安全厂商的设备和软件,能够独立完成日常网络安全运维、故障排查、安全事件分析、应急处置等相关工作,具备技术文档编写能力和良好沟通能力。
本项目7*24小时监测人员至少有2年以上网络安全工作经验,熟悉网络安全主流监测设备,具备应对网络攻击的快速响应和应急处置能力。
本项目网络安全系统运维人员应至少具备3年以上信息系统运维工作经验,需熟悉主流中间件及数据库运维操作,熟悉税务网络安全信息系统前后台操作。
6.验收要求
项目服务期满后,由中标供应商提出项目验收申请,项目使用部门按照相关要求组织验收,中标供应商应按照采购方验收要求,提交相关验收资料,按照合同要求考察服务满意度、应急响应情况、文档交付情况、专业技术能力和服务整体质量等方面,须出具齐全项目验收资料,验收通过后出具项目验收报告。验收资料包括但不限于:
(1)《7*24小时网络安全运维报告》
(2)《网络安全漏洞扫描报告》
(3)《网络安全漏洞交接单》
(4)《运维系统审计报告》
(5)《数据库审计报告》
(6)《税务数字证书系统运维服务月报》
(7)《税务数字证书系统问题处置记录》
(8)《金税三期应用安全支撑平台运维服务月报》
(9)《金税三期应用安全支撑平台问题处置记录》
(10)《税务系统态势感知平台运维服务月报》
(11)《税务系统态势感知平台问题处置记录》
(12)《“双向”安全交换系统和密码组件系统运维服务月报》
(13)《“双向”安全交换系统和密码组件系统问题处置记录》
(14)《税务数字证书系统运维服务年度总结》
(15)《“双向”安全交换系统和密码组件系统运维服务年度总结》
(16)《金税三期应用安全支撑平台运维服务年度总结》
(17)《税务系统态势感知平台运维服务年度总结》
(18)《源代码安全审计报告》
(19)《第三方组件使用清单及安全分析报告》
(20)《漏洞扫描和渗透测试报告》
(21)《数据安全风险评估报告》
(22)《供应链厂商网络安全能力评估报告》
7.税收信息化项目开发和应用管理工作要求
中标供应商服务期内须严格按照合同要求完成相关工作,按时提交各阶段文档,应遵循开发管理的过程监理、中期报告审议、验收资料审议等相关要求。
8.其他要求
8.1保密要求
甲乙双方应对在合同签订或履行过程中所接触的对方信息,包括但不限于知识产权、技术资料、技术诀窍、内部管理及其他相关信息,负有保密义务。
乙方在使用甲方为乙方及其工作人员提供的数据、程序、用户名、口令、资料及甲方相关的业务和技术文档,包括税收政策、方案设计细节、程序文件、数据结构,以及相关业务系统的硬软件、文档、测试和测试产生的数据时,应遵循以下约定:
(1)应以审慎态度避免泄露、公开或传播甲方的信息;
(2)未经甲方书面许可,不得对有关信息进行修改、补充、复制;
(3)未经甲方书面许可,不得将信息以任何方式(如E-mail)携带出甲方场所;
(4)未经甲方书面许可,不得将信息透露给任何其他人;
(5)甲方以书面形式提出的其他保密措施。
保密期限不受合同有效期的限制,在合同有效期结束后,信息接受方仍应承担保密义务,直至该等信息成为公开信息。
8.2知识产权要求:
中标供应商需保证所提供的服务不侵犯第三方的知识产权(专利权、商标权、版权等),因侵害第三方知识产权而产生的法律责任,全部由中标供应商承担。
8.3.其他要求
投标人需对以下内容逐一承诺(格式自拟):
1.依据《国家税务总局办公厅关于修订<税务系统信息化服务商失信行为记录名单制度(试行)>的通知》(税总办征科发〔2022〕1号)相关规定,本项目不采购税务系统失信记录名单中的服务提供商提供的产品及服务。通知文件互联网链接:
http://www.chinatax.gov.cn/chinatax/n810341/n810825/c101434/c5172093/content.html
2.信息化项目使用的供应链产品提供要满足国家网络安全规范和认证要求。
3. 中标供应商要建立网络安全负责人制度。每个项目均要设置网络安全负责人,组织落实各项网络安全要求。
4. 投标人应提高安全责任意识,严控产品安全质量;建立清晰的软件供应链安全策略,明确相关的管理目标、工作流程、检查内容、责任部门等;严控上游,尤其重点管控开源代码的使用,确保使用的开源代码符合开源许可协议,形成第三方组件清单和安全分析报告,禁止使用存在高安全风险或已停止维护的第三方组件;严控自主开发代码的质量,采用软件源代码安全分析工具,持续检测和修复软件源代码中的安全缺陷和漏洞;建立完善的产品漏洞响应机制,包括产品漏洞信息的收集、漏洞报告渠道的建立和维护、漏洞补丁的开发和发布、客户端漏洞应急响应和修复支持等。发现网络安全漏洞、缺陷、数据泄露或其他重大网络安全风险,及时向采购人进行报告,不得擅自公开或向第三方提供。
5.项目实施前及实施期间,中标供应商要对参与项目人员进行网络和数据安全、技能等方面培训、考核、警示教育等。
6.应用系统上线前,中标供应商要进行安全功能测试(包括漏洞扫描、渗透测试、源代码审计、基线核查)。
7.应用系统上线前,中标供应商要提交供应链产品清单、第三方组件使用清单、安全测试报告、源代码审计报告、等保测评报告、供应链安全自查报告等。
8.采购人要对中标供应商方参与项目人员开展背景审查,中标供应商需项目人员提供无犯罪记录证明,公司和个人均签署保密协议、网络安全承诺书等。
9.中标供应商应配置独立的内部代码管理平台,且不与互联网链接。严禁将源代码上传第三方平台,严禁使用互联网代码托管平台。
10.中标供应商不得另行开发合同业务需求范围内,供纳税人、缴费人使用的软件。不得利用产品和服务的使得条件非法获取数据、非法控制和操纵设备,无正当理由不中断产品供应或必要技术支持服务等,如违反上述条款,将被纳入失信名单。
11.中标供应商违反国家税务总局吉林省税务局及其上级主管部门制定的网络安全规定行为造成不良后果的,将被纳入失信名单,3年内限制参加税务系统政府采购活动。
12.中标供应商不得在合同履行期间“围猎”税务人员。如违反上述条款,将被纳入失信名单,3年内限制参加税务系统政府采购活动。
13.中标供应商应建立防止违法违规聘用离职税务人员风险控制制度,如出现违法违规聘用离职税务人员行为,采购人有权采取以下措施:要求限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下属单位信息化项目政府采购活动等。
8.4付款方式
合同签订30个工作日内由中标供应商出具等额发票后,支付合同总金额的50%;项目在9月30日前,经验收合格30个工作日内由中标供应商出具等额发票后,支付合同尾款。
微信扫码关注
