服务内容:等级保护测评服务(一年)
工程内容:12个三级系统,不少于三个二级系统测评及备案。
4
一年(从合同签订日期开始)
5
项目实施地点
江西省税务局
6
项目实施范围
具体见技术需求
7
需求部门:信息中心
验收部门:信息中心、征管和科技发展处
8
采购意向公开
√本项目已于2023年6月26日公开采购意向
£本项目经立项审批不公开采购意向
9
支持中小企业
£本项目(第包)专门面向中小企业采购
£本项目预留预算金额的%专门面向中小企业采购
√本项目不适宜由中小企业提供,且已履行报批手续。
1.项目背景
江西省税务局高度重视网络安全工作,落实网络安全风险控制和服务管理,贯彻《关于加强省级重要信息系统安全保障工作的通知》(赣公字[2015]55号)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等文件要求,按照国家税务总局网络安全要求,结合自身信息化建设需求,按照技术要求开展等级保护咨询安全及信息安全风险评估服务工作,解决所面临的最主要的安全问题,将有限的资源投入到最有效的地方,不断加强信息系统安全保护能力。
2.项目内容
采购内容
数量(单位)
等保测评服务(服务内容详见《服务要求》)
1年
全省税务CTF、网络安全应急赛专项培训
1次
二、投标/响应要求
供应商资质要求:
1.符合《政府采购法》第二十二条规定的供应商条件。
2.其他特定资格条件:
主体信用记录符合政府采购活动要求
供应商参加政府采购活动前三年内未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单和“中国政府采购”网站(www.ccgp.gov.cn)政府采购严重违法失信行为记录名单(以开标时的当场查询结果为准)。
3.本项目不接受联合体投标。
三、项目需求
1.网络基础设施和信息系统清单
评测系统
评测等级
备注
江西省税务局金税四期数电发票系统
三级
江西税务门户及电子税务局(含APP)
江西税务金三核心征管系统
江西税务自然人税收(ITS)系统
江西税务增值税发票系统
江西税务社保费系统
江西税务自助办税终端系统
江西税务金税三期税库银子系统
10
江西税务通用密码组件系统
11
江西省税务局大数据智能分析应用平台
12
江西税务区块链基础平台
新增
13
甲方指定的其它三个系统(待定)
二级
2.测评范围
本次等级保护测评分为技术安全测评和管理安全测评,技术安全测评包括物理安全、网络安全、主机安全、应用安全和数据安全,管理安全测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面的测评。
按采购人要求,一年内完成。
4.服务周期
本次安全服务项目服务周期为:壹年(合同签订后一年内完成服务交付)。
5.项目工作内容
本项目结合江西省税务局自身信息化建设需求,开展等级保护咨询项目服务,解决所面临的最主要的安全问题,将有限的资源投入到最有效的地方,不断加强信息系统安全保护能力为目标。本项目主要工作内容:
(1)网络基础设施和信息系统梳理
(2)网络安全等级保护定级和备案服务
(3)网络安全等级保护测评服务
(4)网络安全培训服务
(5)全省税务CTF、网络安全应急赛专项培训
5.1网络基础设施和信息系统梳理
根据江西省税务局《网络基础设施和信息系统清单》和2021年江西省税务局等级保护定级和测评情况,开展网络基础设施和信息系统定级备案梳理和排查工作,准确地规划和设计江西省税务信息系统等级保护测评工作。
5.2网络安全等级保护定级和备案服务
1)服务对象:江西省税务局网络基础设施和各类业务管理系统。
2)具体要求:
信息系统的定级是开展网络安全等级保护工作的首要环节和基础,测评机构将派遣公安部信息安全测评中心或中关村测评联盟认证的中级测评师(或以上)协助用户单位完成等级保护定级和公安备案工作。为了准确、科学的开展信息系统定级工作,开展进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,进下一步明确要求、落实责任奠定基础。
定级工作将严格遵循《网络安全等级保护定级指南》(GB/T22240-2019征求意见稿),深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求,细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析,准确判定信息系统安全等级,编制《定级报告》和《备案表》,并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,使顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。
工作过程文件及项目交付成果(包括但不限于):省级公安监管机关颁发的《信息系统安全等级保护备案证明》;
具体要求:根据国家行业信息安全要求,结合实际需求,严格遵循《网络安全等级保护条例》、《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等,并应深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求,细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析,召开定级专家咨询会议,准确判定信息系统安全等级,编制《定级报告》和《备案表》,并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,保证采购方顺利获得监管机关颁发的《信息系统安全等级保护备案证明》;若备案不成功,则合同不生效。
5.3网络安全等级保护测评服务
按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》,遵循《网络安全等级保护基本要求》(GB/T22239-2019)等技术标准,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等10个层面进行测评,并参考采购人自身信息安全管理要求,进行综合分析和整体测评。
应依据信息系统的业务应用和内外部环境,深入调研分析各信息系统资产状况和重要性程度,以及面临信息安全的威胁。
技术方面,物理安全方面应在采用专用测试工具测试和人工现场复核方式;对信息机房的消防、防雷击、防水防潮、防静电、空调、UPS、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。
管理安全方面应对采购人信息安全管理现状进行需求分析,确定安全管理目标和安全策略,针对信息系统的各类管理活动,梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。
应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、WEB应用漏洞分析工具等对网络、主机等进行渗透测试分析。
应采取等级测评、安全审计、风险评估等方法,逐项对照《网络安全等级保护基本要求》的各安全要求项,评估确定系统当前安全防护现状以及与标准要求的差距,判断安全保护建设需求及其分析。
在收集充足数据之后,对现场测评获得的数据进行汇总分析,形成等级测评项目的最终结论,并编制最终的《网络安全等级保护等级测评报告》。
工作过程文件及项目交付成果(包括但不限于):《三级系统网络安全等级保护等级测评报告》;
5.4网络安全培训
1)服务对象:
全省税务系统网络安全专业人才和储备人才,被选拔参加税务系统网络安全比武竞赛和各类网络安全大赛的参赛选手。
按照采购人要求,针对以上人员,开展网络安全集中普训及精英特训,讲授CTF、网络安全应急赛等网络安全专业知识和比赛要点,分析最前沿的信息安全形势,提升网络安全技能。
工作过程文件及项目交付成果(包括但不限于):《网络安全培训纪要》。
四、项目实施要求
1.实施要求
(1)投标人必须具备独立完成本项目的能力;
(2)投标人必须提供国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》
(3)投标人必须提供中国网络安全审查技术与认证中心颁发的《信息安全风险评估证书》;
(4)中标人应对了解到的信息保密,并提供保密承诺;
(5)中标人在项目现场实施周期内,必须为本项目成立等级保护测评项目部,安排包括项目经理和各测评实施小组进场调研、测评工作;
(6)在采购人进行整改过程中提供必要的技术支持。
(7)投标人近三年内受到中国网络安全等级保护协调工作办公室处罚、警告、勒令整改单位,不得参与此项目。
2.项目管理要求
(1)组织实施要求
1)投标人应安排专职项目经理负责本次项目的实施。
2)投标人应保证项目团队成员的稳定,以保证服务的质量和连贯性。
(2)人员安排要求
本项目的技术服务人员需具有信息安全服务工作经验,参加过网络安全等级保护测评项目并取得信息安全方面资质证书,提供人员管理及配备方案,并确保人员的稳定。如更换技术服务人员,须由采购人同意并签字确认。
3.项目进度要求
进度计划:合同签订后一年内提供安全服务。
项目验收条件:中标人按照“项目服务内容”规定的交付成果,经采购人完全确认后,完成验收。
五、项目验收要求
(1)中标方未出现违反服务条款的事项。
(2)中标方在项目服务期一年内按照项目要求提交业务系统等级保护测评备案表、等级保护定级报告和等级保护测评报告等材料至江西省税务局,10个工作日内由江西省税务局审定验收。
六、项目技术支持服务要求
无
七、税收信息化项目开发和应用管理工作要求
本项目为非“税收信息化项目开发和应用管理工作”。
八、其他要求
1、项目保密要求
2、供应链安全要求
中标人应按照税务总局《国家税务总局网络安全和信息化领导小组办公室关于加强税务信息化供应链安全管理工作的通知》各项要求,强化落实供应链安全管理,加强供应链全链条的安全管控,把保证供应链安全的责任和措施落实到供应链管理工作的各个方面、各个环节,保障税务网络安全。具体为:
(1)设置网络安全负责人。中标厂商、供应商应建立网络安全负责人制度,指定一名网络安全负责人,在项目实施全过程负责网络安全工作,组织落实漏洞修复、安全加固和应急响应等各项税务网络安全要求。
(2)执行背景审查。中标方承担派驻技术支持人员背景审查工作,人员驻场前必须提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料,提交驻场运维信息备案表。所有材料及资料完备提供后,方可正式开展驻场工作。
(3)强化安全技能。中标方负责派驻技术支持人员工作胜任、资格条件、以及网络安全能力评估,对技术支持人员承担的工作进行安全保密风险分析,明确技术支持人员工作范围和边界,重点防范设备和资料失窃、误操作导致的软硬件故障、敏感信息泄露、信息系统越权访问和网络攻击等风险。
(4)落实安全管控要求。中标厂商、供应商应加强源代码安全管理,开发环境的可信可控,使用第三方组件必须执行测试和升级加固,确保税务供应链安全。
3、失信惩戒
(1)攻击或侵入税务信息系统(包括CA等);
(2)违反甲方网络安全管理规定,造成数据失窃、信息泄露、系统瘫痪等不良后果的;
(3)乙方运维服务质量评价被扣减5分(含5分)以上,且未按承诺改进到位的;
(4)违反合同约定内容,造成不良后果的;
(5)利用为税务机关提供信息化服务的便利,向纳税人、缴费人搭车收费或变相收费;
(6)另行开发销售合同业务需求范围内,供纳税人、缴费人使用的软件;
(7)存在馈赠礼品礼金、邀请娱乐消费等非正常交往手段“围猎”税务人员行为的;
(9)其他违反规定造成不良后果的行为。
4、知识转移要求
本项目不包含知识转移。
5、知识产权要求
6、项目归档要求
7、争议解决办法
本项目签订合同后,各方应通过友好协商,解决在执行合同过程中所发生的或与合同有关的争议。如协商不能解决,可以提起仲裁或诉讼。诉讼应由甲方所在地人民法院提起诉讼。
九、商务要求
付款方式:合同签订生效后分两次支付费用:
第一次在完成合同签订后的1个月内支付合同总价的70%。
第二次在全部服务完成且验收合格后,根据验收结果、合同履行情况以及合同约定的扣款项目,支付项目合同余款。