采购需求前附表
序号 | 类别 | 内容 |
1 | 项目立项 | 项目立项时间:2024年5月 27日 |
项目立项证明文件: R有 £无 | ||
2 | 项目预算安排 | 总预算金额(万元):135 |
当年预算安排金额(万元):67.5 | ||
项目资金来源:基本支出 | ||
3 | 项目采购内容 | ******税务局网络安全等级保护测评、密码应用与安全性评估、信息安全风险评估服务 |
4 | 项目实施时间 | ******税务局实际情况进行调整。 |
5 | 项目实施地点 | ******税务局(长春市南湖大路1518号) |
6 | 项目实施范围 | 8个等保三级系统的等级保护测评工作、商用密码应用安全性评估以及信息安全风险评估,1个等保二级系统的等级保护测评工作和信息安全风险评估。 |
7 | 项目相关单位 | 需求部门:信息中心 |
验收部门:信息中心 | ||
8 | 采购意向公开 | R本项目已于2024年6月 26日公开采购意向 |
£本项目经立项审批不公开采购意向 | ||
9 | 支持中小企业 | R本项目专门面向中小企业采购 |
£本项目预留预算金额的 %专门面向中小企业采购 | ||
£本项目非专门面向中小企业采购,对小微企业给15%的扣除,用扣除后的价格参加评审。 | ||
10 | 公告期限 | 自本公告发布之日起5个工作日。 |
11 | 意见反馈方式 | ******税务局 地 址:长春市南湖大路1518号 项目联系人:冯全成,罗立权 联系方式:0431-****** |
项目概述
项目背景
根据网络安全法、密码法及网络安全等级保护制度要求,需要对我局重要信息系统进行信息安全等级保护测评(以下简称等保测评)、商用密码应用安全性评估(以下简称密评)和信息安全风险评估,通过测评和评估发现和整改我局重要信息系统存在的风险隐患,切实提高重要信息系统综合防护能力,防范重大网络安全事件,保障我局重要信息系统安全稳定运行。
1.2项目内容
1.2.1等保测评服务:
系统类别 | 参考数量 | 服务内容 | 备注 | |
1 | 三级等保系统 | 8 | 等保测评 | 协助进行等保备案等 |
2 | 二级等保系统 | 1 | 等保测评 |
1.2.2密评服务项目:
系统类别 | 参考数量 | 服务内容 | 备注 | |
1 | 信息系统 | 8 | 密码评估 | 协助进行备案 |
1.3.1信息风险评估
类别 | 参考数量 | 服务内容 | 备注 | |
1 | 信息系统 | 9 | 信息安全风险评估 |
注:以上数量为参考数量,以实际发生数量为准。
2.投标/响应要求
2.1 供应商必备资质要求
中标供应商参加本采购活动应符合《政府采购法》第二十二条的规定,具备下列条件:
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)法律、行政法规规定的其他条件。
(6)本次招标不接受联合体投标,禁止有隶属关系或相关联企业同时投标,不得转包及分包。
(7)具备网络安全等级测评与检测评估机构服务认证证书。
(8)在《商用密码应用安全性评估试点机构目录》内。
2.2 供应商优选资质要求
(1)具有ISO27001信息安全管理体系认证证书;
(2)具有ISO9001质量管理体系认证证书;
(3)具有ISO20000信息技术服务管理体系认证证书;
(4)成功案例:2021年1月1日以来从事过的相关测评项目合同关键页(首页、评估系统数量页、签字页等)并加盖供应商公章。
2.3投标/响应文件技术部分响应内容要求
投标/响应文件服务方案应包括项目需求理解、项目管理方案、项目技术服务方案、应急及安全保障方案、验收方案。
(1)项目需求理解:根据投标人对项目定位、服务目标是否准确,结合项目特点确定项目难点、项目重点,同时提出针对性的合理化建议。对本项目所涉及税务信息系统的等保测评、信息安全风险评估、密码测评服务所涵盖内容是否完整、准确。
(2)项目管理及实施:投标人须按照采购人项目实施进度要求,提供整体的项目计划书包括工作日程表、工作内容;提交整体及分项管理及实施方案,方案应包括项目组织架构,各项目组构成与人员职能分工、投入技术人员及简介;项目实施管控措施,质量保障控制措施等。
(3)技术服务方案:在投标文件中详细阐述等级测评技术方案、信息安全风险评估技术方案、商用密码应用安全性评估技术方案等各项内容。
等保测评服务:测评内容、测评指标、测评方法、测评流程、测评分析、结果判定、整改建议等内容。
密评服务:包括密评内容、密评指标、密评方法、密评流程、密评分析、结果判定、整改建议等内容。
信息安全风险评估服务:包括资产识别分析、脆弱性识别分析、安全措施等内容。
(4)应急及安全保障:根据项目需求提供适合此项目明确的应急保障制度,分工明确的组织体系,清晰安全保障、预警和预防机制,科学的应急响应及处置步骤,科学的应急级别定义与其配套的响应时间,以保证及时高效响应处理各类突发事件。
(5)项目验收:根据项目需求提供本项目的验收方案,应包括验收内容概述、验收流程及标准、验收中出现问题如何处置等内容,内容应该服务采购人内部的项目管理流程,且具有可操作性。
3.项目服务需求
(1)等保测评服务
按照GB/T 22239-2019《信息安全******管理中心、安全管理制度、安全管理人员、安全管理机构、安全建设管理和安全运维管理共10方面开展网络安全等级保护测评工作,并结合系统特点选择性增加云计算、大数据、移动互联等扩展要求,并协助完成等级保护相关备案工作。
测评准备阶段
▲系统调研:在采购人配合下对税务应用系统进行资料收集和系统调研;进行信息收集、工具准备,在充分掌握被测系统的基础上编制测评计划书、调查问卷等。(提供承诺书)
测评方案编制阶段
▲编制等保测评方案,确认测评对象、测评指标、测评内容、整体测评方法、风险分析方法,编制现场测评方案、结果记录表等,现场测评方案包括但不限于项目概念、测评对象、测评指标、测评工具接入点、单项测评实施、系统测评实施等。要求投标人在签订合同后出具相关方案,并确保测评工具安全可靠,技术性能良好。(提供承诺书)
现场测评阶段
▲通过访谈、检查、测试、分析等方法,现场根据测评指导书对信息系统进行现场测评并进行结果证据收集确认,生成现场测评结果记录表。实施现场测评时中标人以不影响测评系统业务正常开展为前提。(提供承诺书)
▲根据《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018),在等保测评服务的现场测试中,应使用测试工具进行测试。因此,供应商宜具备有自主知识产权的等保测评服务工具类软件,包含但不限于恶意文件分析、主机端口安全检测、通信协议安全检测、主机日志分析和网络安全态势感知系统等。(提供著作权证书复印件)
▲报告编制阶段
安全需求分析:依据单元测评结果汇总进行整体测评分析、风险分析、结果汇总、结论形成、结果判定、整改建议等,生成单项、单元评估结果汇总,并出具等级测评报告及备案资料。中标人须及时向被测评单位通报当前测评结果,对未通过测评的系统,中标人有义务向采购人提出书面整改意见,待整改措施落实后,中标人还应就相关指标重新测评,并及时修订相关测评结果,并与中标人进行书面确认。(提供承诺书)
▲安全服务要求
要求提供7×24小时安全应急服务,通过远程或现场方式提供快速、高效、专业的解决突发安全事故的安全服务;投标人应依照吉林省网络安全等级保护测评机构相关管理要求规定,为被测系统出具等级保护测评报告,并在出具报告时,加盖等级测评专用章,并协助备案。(提供承诺书)
(2)密评服务
依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置8大方面,对构成系统的密码产品、技术和算法,从合规、正确、有效三个维度,围绕机密性、完整性、真实性和不可否认四个特性进行商用密码应用安全性评估。
▲密评准备
确定测评技术思路、工作内容和项目组织计划,收集被测系统密码系统、密码管理情况、安全保护等级、业务情况、软硬件配置和相关部门管理员及角色等基础信息,进行密码协议分析工具、随机数检测工具、密码算法分析工具准备,进行现场密评授权、密评存在的风险、交接的文档名称、会议记录和签到。(提供承诺书)
▲密评方案编制
确定测评对象、测评指标、测评检查点、测评内容、编制密评指导书、结果记录表、密评方案等。(提供承诺书)
现场测评
对系统使用密码的合规、正确、有效进行判定、分析,通过访谈、文档审查、配置检查、工具测评和实地查看记录和测评结果。针对测评活动中发现的问题、问题的证据和证据源、在委托单位相关人员的配合下进行书面认可。
▲1)根据《信息系统密码应用测评过程指南》(GM/T 0116-2021)标准中对于现场测评要求,投标人宜配置与被测信息系统一致的模拟/仿真环境,在模拟/仿真环境下开展测评工作。因此,供应商宜具备开展密评服务的模拟/仿真环境,包括但不限于服务器密码机、动态口令服务器、签名验签服务器、应用安全网关服务器、数字证书认证系统、SSL VPN安全网关等。(提供设备购买合同复印件)
▲2)根据《信息系统密码应用测评过程指南》(GM/T 0116-2021)标准中对于现场测评和结果要求,投标人根据被测信息系统的实际情况选择测试工具,在配置检查无法提供有力证据的情况下,应通过工具测试的方法抓取并分析被测信息系统相关数据。因此,供应商宜具备有自主知识产权的密评服务工具类软件,包含但不限于协议分析工具、算法合规性检测工具、随机性检测工具、数字证书格式合规性检测工具和移动应用代理抓包工具等。(提供著作权证书复印件)
******管理局支持商用密码应用安全性评估技术、标准、工具创新,完善商用密码应用安全性评估标准体系。因此,供应商宜采用自有创新技术开展密评服务的现场测评工作,包含但不限于基于统计概率的密码分析系统及方法、基于协同密码算法的非对称密钥管理系统及方法、商用密码应用加密有效性的在线检测方法及装置、商用密码模块安全性检测系统与方法、商用密码应用安全性检测方法等。(提供专利证书复印件)
▲报告编制与评审
单项测评结果判定与单项测评结果汇总分析:分析被测系统的安全现状(各个层面的基本安全状况)与标准中相应等级的基本要求的符合情况,给出单项测评结果;汇总统计单项测评结果,给出针对每个对象的单元测评结果;分析被测系统整体安全状况及对单项测评结果的修订情况。
风险分析:再次汇总分析各层面中各个测评对象的测评结果,分析被测系统存在的风险情况,形成测评结论。
测评报告编制:汇总单项测评结果、测评过程及结果、风险分析过程及结果,得出测评结论,安全建设整改建议等。(提供承诺书)
▲整改方案要求,建设整改方案应包括建设方法、技术、工具等详细内容,必要时需协助指导进行整改工作。(提供承诺书)
▲安全服务要求
投标人应依据商用密码应用安全性评估管理要求:测评机构应保守在测评活动中知悉的国家秘密、工作秘密和数据,对所出具的密评结果负责,并协助备案。(提供承诺书)
(3)信息安全风险评估服务
依据GB/T 20984-2022《信息安全技术 信息安全风险评估方法》,及相关信息安全标准规范,围绕信息安全需求,从以下方面开展风险评估:互联网和内网资产暴露面评估;基于黑盒的漏洞扫描和渗透测试。
▲根据《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)标准中有关“引入风险评估服务技术支持方本身就是一个风险因素,因此,对风险评估服务技术支持方的背景与资质、评估过程与结果的保密要求等方面应进行控制。”有关要求,供应商宜具备一定的信息安全评估资质。(提供资质证书复印件)
▲评估准备阶段
在对被评估的数据资产进行充分调研的基础上,确定评估范围、评估方式和依据,并配合采购人组织相关人员、并召开项目启动会,制定评估方案。(提供承诺书)
评估实施阶段
▲资产识别分析:调研分析,进行资产分类、资产赋值(保密性赋值、完整性赋值、可用性赋值、资产重要性等级)(提供承诺书)。
▲威胁识别分析:依据资产确定威胁识别对象,进行威胁分类、威胁赋值。(提供承诺书)
▲脆弱性识别分析:针对税务相关业务系统,利用人员访谈、资料核查、技术手段核查、系统测评等方法,围绕数据全生命周期安全,进行脆弱性识别内容确定、脆弱性赋值。通过文档查阅、漏洞扫描、人工核查等对各资产、网络环境等进行检查和测试,分为技术和管理两个方面进行脆弱性识别分析。脆弱性识别是风险评估过程中最重要的环节。(提供承诺书)
根据分析情况出具资产调研报告、资产识别报告、威胁识别报告、脆弱性识别报告。
▲1)根据《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)中对于风险评估工具的要求,包括但不限于脆弱性扫描工具、渗透性测试工具、APP安全测试工具、代码审计工具等。因此,供应商宜具有自主知识产权的信息风险评估服务工具类软件,包括但不限于漏洞挖掘系统、移动APP安全检测、自动化渗透系统、代码审计工具、网络安全风险检测工具等。(提供著作权证书复印件)
▲2)根据《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)中明确了科学的风险评估需要大量的实践和经验数据的支持,支持数据包括了国家漏洞库,专业机构发布的漏洞等,数量越多证明其能力越强。(提交证明复印件或官网证书查询截图)
▲安全措施确认阶段
在识别脆弱性的同时,对已采取的安全措施的有效性进行确认,评估其有效性,即是否真正地降低系统的脆弱性及威胁,并出具安全措施确认报告。中标人须从脆弱性评估开始,对被评估系统不可接受风险的资产残余进行再评估,在对照安全措施前后的脆弱性状况后,再次计算风险值,对于残余风险仍处于不可接受的范围内,中标人须继续提供相应安全措施,直至不可接受风险的资产处于可接受的范围内。(提供承诺书)
▲报告编制阶段
评估后形成漏洞扫描和渗透测试报告、源代码安全审计报告,编制信息安全风险评估报告。(提供承诺书)
▲安全服务要求
投标人应依据风险评估方法,结合我局对于信息安全需求开展评估工作:测评机构应保守在测评活动中知悉的国家秘密、工作秘密和数据,对所出具的评估报告负责。(提供承诺书)
4.技术支持服务要求
测评期间要求提供7×24小时安全应急服务,通过远程或现场方式提供快速、高效、专业的解决突发安全事件的服务。
5.项目管理和实施要求
5.1 项目人员要求
本项目应由中标人安排1名综合技术实力较强的项目经理,与采购人共同统筹及协调一切与本项目有关的事项,领导并监督项目组中供应商人员的工作情况。与采购人定时审查及监督项目实施过程,处理项目实施中的各项变更事宜。供应商应当出具针对本项目的项目管理方案,方案能够保障项目进度及组织计划,确保人员配备合理、计划措施得当,能够提供有效的质量及风险识别措施以及质量及风险控制措施保证项目的质量及稳定性。因此项目经理应同时具备网络/信息安全等级测评师证书(高级)及商用密码应用安全性评估人员测评能力考核合格证书和信息系统项目管理师。
▲本项目测试量大,测评周期短,为方便并行开展测评工作,供应商针对本项目应组建不少于24人的服务团队,除项目经理之外,等保测评及风险评估团队不少于12人构成,其中至少包括网络/信息安全等级保护测评师(高级)3人,网络/信息安全等级保护测评师(中级)4人,其余人员应具备等级保护测评师(初级),且具备信息安全工程师、网络工程师资格证书。商用密码安全性评估服务团队不少于12人,且均须具备应用安全性评估人员测评能力考核合格证书。
▲为保障测评团队为供应稳定人员,以上人员应提供供应商为服务团队内技术人员缴纳开标当月之前连续6个月的社保缴费证明。
5.2 测评服务要求
应按照采购人要求的时限和质量完成相关测评服务,在项目测评工作开展过程中,测评人员应确认不影响采购人信息系统正常提供服务。
6.验收要求
6.1验收标准
1. GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、GB/T28448-2019《信息安全技术网络安全等级保护测评要求》、GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》;
2. GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》、GM/T0115-2021《信息系统密码测评要求》;
3. 依据GB/T 20984-2022《信息安全技术 信息安全风险评估方法》。
6.2验收内容
本项目验收方式采取一次终验的方式进行验收,验收工作由采购人组织实施,中标供应商应配合完成项目的验收工作,提交项目验收相关产出物,出具公安部门和密码管理部门认可的测评报告和评估报告,具体交付物数量以合同服务期内采购人要求实际完成的系统测评数量为准,以税务信息化项目管理相关要求、招标文件要求、中标供应商投标文件及承诺、本项目合同约定标准组织验收。
在服务期限内,中标商须主要交付物如下:
序号 | 文档名称 | 数量 | 形式 |
1 | 网络安全等级保护测评方案 | 9 | 电子纸质 |
2 | 网络安全等级保护测评报告 | 9 | 电子纸质 |
3 | 商用密码应用安全性评估报告 | 8 | 电子纸质 |
4 | 商用密码应用安全整改建议 | 8 | 电子纸质 |
5 | 信息安全风险评估报告 | 9 | 电子纸质 |
7.税收信息化项目开发和应用管理工作要求
中标供应商服务期内须严格按照合同要求完成相关工作,按时提交各阶段文档,应遵循开发管理的过程监理、中期报告审议、验收资料审议等相关要求。供应商在投标或响应时承诺已知悉并遵守《税务系统信息化服务商失信行为记录名单制度(试行)》相关规定,并承担相应后果,对于违约失信行为,将纳入信息化服务商失信行为记录名单。
8. 其他要求
8.1保密要求
甲乙双方应对在合同签订或履行过程中所接触的对方信息,包括但不限于知识产权、技术资料、技术诀窍、内部管理及其他相关信息,负有保密义务。
乙方在使用甲方为乙方及其工作人员提供的数据、程序、用户名、口令、资料及甲方相关的业务和技术文档,包括税收政策、方案设计细节、程序文件、数据结构,以及相关业务系统的硬软件、文档、测试和测试产生的数据时,应遵循以下约定:
(1)应以审慎态度避免泄露、公开或传播甲方的信息;
(2)未经甲方书面许可,不得对有关信息进行修改、补充、复制;
(3)未经甲方书面许可,不得将信息以任何方式(如E-mail)携带出甲方场所;
(4)未经甲方书面许可,不得将信息透露给任何其他人;
(5)甲方以书面形式提出的其他保密措施。
保密期限不受合同有效期限制,合同有效期结束后信息接受方仍应承担保密义务,直至该等信息成为公开信息。
8.2知识产权要求:
中标供应商需保证所提供的服务不侵犯第三方的知识产权(专利权、商标权、版权等),因侵害第三方知识产权而产生的法律责任,全部由中标供应商承担。
中标供应商禁止另行开发合同业务需求范围内、供纳税人、缴费人使用的软件;禁止在合同履行期间“围猎”税务人员,对违反以上规定的,将纳入失信名单;对于违反网络安全规定行为造成不良后果的中标供应商,3年内限制参加税务系统政府采购活动;中标供应商应建立防止违法违规聘用离职税务人员风险控制制度,如出现违法违规聘用离职税务人员行为,采购人有权对中标供应商采取以下措施:限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下属单位信息化项目政府采购活动等措施。投标人针对以上内容提供承诺函。
8.3.其他要求
投标人需对以下内容逐一承诺(格式自拟):
1.依据《国家税务总局办公厅关于修订<税务系统信息化服务商失信行为记录名单制度(试行)>的通知》(税总办征科发〔2022〕1号)相关规定,本项目不采购税务系统失信记录名单中的服务提供商提供的产品及服务。
通知文件互联网链接:
******/chinatax/n810341/n810825/c101434/c******/content.html
2.信息化项目使用的供应链产品提供要满足国家网络安全规范和认证要求。
3. 中标人要建立网络安全负责人制度。每个项目均要设置网络安全负责人,组织落实各项网络安全要求。
4. 投标人应提高安全责任意识,严控产品安全质量;建立清晰的软件供应链安全策略,明确相关的管理目标、工作流程、检查内容、责任部门等;严控上游,尤其重点管控开源代码的使用,确保使用的开源代码符合开源许可协议,形成第三方组件清单和安全分析报告,禁止使用存在高安全风险或已停止维护的第三方组件;严控自主开发代码的质量,采用软件源代码安全分析工具,持续检测和修复软件源代码中的安全缺陷和漏洞;建立完善的产品漏洞响应机制,包括产品漏洞信息的收集、漏洞报告渠道的建立和维护、漏洞补丁的开发和发布、客户端漏洞应急响应和修复支持等。发现网络安全漏洞、缺陷、数据泄露或其他重大网络安全风险,及时向采购人进行报告,不得擅自公开或向第三方提供。
5.项目实施前及实施期间,中标人要对参与项目人员进行网络和数据安全、技能等方面培训、考核、警示教育等。
6.应用系统上线前,中标人要进行安全功能测试(包括漏洞扫描、渗透测试、源代码审计、基线核查)。
7.应用系统上线前,中标人要提交供应链产品清单、第三方组件使用清单、安全测试报告、源代码审计报告、等保测评报告、供应链安全自查报告等。
8.采购人要对中标人方参与项目人员开展背景审查,中标人需项目人员提供无犯罪记录证明,公司和个人均签署保密协议、网络安全承诺书等。
9.中标人应配置独立的内部代码管理平台,且不与互联网链接。严禁将源代码上传第三方平台,严禁使用互联网代码托管平台。
10.中标人不得另行开发合同业务需求范围内,供纳税人、缴费人使用的软件。不得利用产品和服务的便利条件非法获取数据、非法控制和操纵设备,无正当理由不中断产品供应或必要技术支持服务等,如违反上述条款,将被纳入失信名单。
******税务局及其上级主管部门制定的网络安全规定行为造成不良后果的,将被纳入失信名单,3年内限制参加税务系统政府采购活动。
12.中标人不得在合同履行期间“围猎”税务人员。如违反上述条款,将被纳入失信名单,3年内限制参加税务系统政府采购活动。
13.中标人应建立防止违法违规聘用离职税务人员风险控制制度,如出现违法违规聘用离职税务人员行为,采购人有权采取以下措施:要求限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下属单位信息化项目政府采购活动等。
8.4付款方式
第一次付款:合同签订后10个工作日内,中标供应商提出付款申请并出具合法等额发票后支付合同总金额的50%; 第二次付款:中标供应商完成合同全部服务并经采购人验收合格后,中标供应商提出付款申请并出具合法等额发票后支付合同总金额的50%。
