采购需求前附表

1. 项目概述

1.1项目背景

依据国家网络安全和数据安全相关法律法规要求，为满足特殊时期网络安全保障要求，及时快速应对处置网络安全突发事件，定期组织开展互联网应用系统的渗透测试服务，发现网络安全隐患及时进行整改加固，提高互联网应用安全防护能力。

1.2项目内容

******税务局所有互联网应用系统（包括新上线应用系统），每季度组织一次渗透测试。同时针对互联网移动APP、小程序进行检测服务，检测工作应覆盖APP程序本身检测和APP涉及接口的检测，并针对Android和IOS平台上的APP终端进行安全风险分析，发现软件自身的安全隐患。

******税务局进行一次暴露面风险排查，全年共计开展12次暴露面风险排查工作。利用专业的暴露面扫描工具对互联网应用系统的外部接口、服务端口、网站目录、网站详情、网站指纹等进行全面扫描和分析。通过扫描工具识别潜在的暴露点和高危风险，包括未授权访问、过时协议、弱口令配置等安全隐患。扫描后生成的风险报告将经过深入分析与评估，确认暴露点的真实存在性及其可能带来的安全威胁。

（2）为强化特殊时期安全保障，需要购买特殊时期安全防护服务，包括特殊时期组建高级网络安全服务团队，提前部署规划、执行前期安全培训、全面排查隐患、加强技术防护、做好应急准备与响应、7*24小时的监测预警、信息共享与合作、应急处置、溯源分析、经验总结等服务。

2. 投标/响应要求

2.1 供应商必备资质要求

中标供应商参加本采购活动应符合《政府采购法》第二十二条的规定，具备下列条件：

（1）具有独立承担民事责任的能力；

（2）具有良好的商业信誉和健全的财务会计制度；

（3）具有履行合同所必需的设备和专业技术能力；

（4）有依法缴纳税收和社会保障资金的良好记录；

（5）法律、行政法规规定的其他条件。

（6）本次招标不接受联合体投标，禁止有隶属关系或相关联企业同时投标，不得转包及分包。

2.2 供应商优选资质要求

（1）具备ISO27001信息安全管理体系认证证书；

（2）具有ISO9001质量管理体系认证证书；

（3）具备ISO20000信息技术服务管理体系认证证书；

（4）成功案例：提供2021年1月1日以来（以合同签订日期为准）独立承担类似项目成功案例。

2.3投标/响应文件技术部分响应内容要求

（1）项目需求理解：投标人对项目定位的全面性与准确性、要明确服务目标，确保需求的完整性和准确性。

（2）项目方案：根据方案能否完整响应项目需求。整体服务方案及措施是否完整，是否具有针对性及科学性；驻场服务人员关系管理方案、档案户籍及社保管理方案、员工培训计划与方案、突发事件应急处理方案、符合采购人的其他服务方案（特色服务、增值服务等）是否合理、可行、符合采购人实际需求。

（3）项目管理方案：项目管理方案要合理、严谨、职责清晰，同时也有助于在项目执行过程中及时发现并纠正问题，要有可验证性、可操作性强、风险可控性强。

3. 项目需求

3.1.互联网应用系统渗透测试

******税务局现运行互联网区应用系统和移动互联网应用系统进行一次渗透测试及漏洞复测，渗透测试时间利用非征期期间进行，全年共开展四次全面的渗透测试工作。

******税务局全省范围内互联网出口、服务端口、网站目录、网站详情、网站指纹等进行一次暴露面风险排查，全年共计开展12次暴露面风险排查工作。

（3）▲对采购人指定的新建、升级改造信息系统进行上线前的安全性渗透测试，并进行验证测试，确保达到上线安全要求。

（4）▲提供移动APP检测服务，检测工作应覆盖APP程序本身检测和APP涉及接口的检测，并针对Android和IOS平台上的APP终端进行安全风险分析，发现软件自身的安全隐患。

（5）▲中标供应商要对所有漏洞提交修复建议，由采购人组织技术力量对漏洞进行修复，中标供应商安排安全服务工程师进行修复指导；在采购人对目标全部风险初步修复完成后，中标供应商5日内对各漏洞提交者的结果复测完成，直至所暴露漏洞全部修复完成为止。

（6）▲渗透测试应遵循人工渗透测试的标准，对目标进行漏洞检测，要保证在不干扰业务的情况下进行，并且工具应该对检测范围进行明确的规定，不允许扫描探测指定目标之外的其他目标。

（7）▲渗透测试不允许使用内置后门的工具，不允许有对系统数据修改和文件破坏的行为。保证在检测目标后不会对目标的系统有文件残留，严禁在被测目标系统中遗留带有后门的检测工具。

（8）▲每季度一次渗透测试日志存档，对于渗透目标中的各种漏洞进行详细记录，并且能够以报告的形式集中体现。

（9）▲渗透测试工作应严格按照《网络安全法》执行，在采购人允许的时间内进行，禁止在未授权的情况下私自渗透测试。渗透测试开始与结束期间都要与采购人进行沟通，渗透测试人员要具备注册渗透测试工程师认证，并与我单位签署《渗透测试授权书》《保密协议》《保密承诺书》。

（10）▲渗透测试工作以人工为主，以渗透测试工具为辅。渗透测试方法包括：Web层安全渗透、网络传输安全渗透、业务逻辑安全渗透、中间件安全渗透、服务器安全测试等；渗透测试工具包括但不限于：信息收集、插件管理、指纹管理、漏洞发现、漏洞利用、后渗透攻击等。

（11）▲提供渗透测试期间的应急响应服务、漏洞验证服务和安全加固指导等服务。发生安全事件时要求中标方1小时内到达事件现场，应急响应专家应及时采取行动限制事件扩散和影响，协助检查受影响的系统，在准确判断安全事件原因的基础上，提出整体安全解决方案，排除系统安全风险并协助追查事件来源，开展后续处置工作。

******税务局全省范围内的域名、IP地址、端口、移动应用、小程序、公众号、代码平台、文档、云盘等资产在互联网的暴露情况，并提供暴露面整改建议。

3.2. 特殊时期安全保障

3.2.1 护网演练安全保障

（1）▲提供安全团队的高级技术支持服务，高质量开展护网演练期间的安全检查、安全值守、安全响应、事件处置等工作，实现攻防演练零失分的目标。

（2）▲根据采购人需求，临时提供部署有效安全产品，在一周内完成安装部署，包含但不限于动态防护、APT、流量分析、攻击诱捕、威胁情报等，增强防护能力。

（3）▲在护网演练前至少半个月，由安全专家全面梳理信息化资产、全方位分析安全现状，进行源代码检测、集权设备安全评估、口令专项检查、敏感信息检测等发现安全脆弱点，以攻击者视角评估系统安全风险，准确发现系统内部安全的脆弱点，提前摸排攻击路径，提前发现漏洞，消灭潜在风险。

（4）▲对防守团队进行安全意识培训，有针对性的强调与提高安全意识，提升应急响应能力。

（5）▲组织技术力量提前部署监控任务，对流量分析、安全分析、安全监测、安全审计等双设备的日志进行高频度检查。

（6）在重保活动期间，由安全专业技术人员7*24小时值守（每班次现场人数不少于4人），实时监测威胁感知设备，对攻击行为进行专业分析、对于安全事件进行应急处置，保证重要保障期间对安全问题的快速处置能力。通过提供高级安全专家团队快速处置突发问题服务，高效处理突发安全事件，实现从安全事件的检测及定位、到安全事件威胁的消除以及对恶意攻击的溯源和反制，有效发现攻击者及攻击手段。第一时间分享0day漏洞等高危漏洞信息，协助及时完成漏洞修复工作。

（7）▲在重保活动结束时，一周内配合完成工作总结，分析事前、事中的流程及处理情况，根据实际需求协助采购人修订完善应急预案及应急流程，针对性对提高安全薄弱点环节提出改进建议。

3.2.2 其他重保时期安全保障

提供具备快速处置突发问题的能力的安全专家团队的技术支持服务，开展重保时间7*24小时安全值守（每班次现场人数不少于2人）、安全响应、事件处置等工作。

4. 技术支持服务要求

4.1项目服务时间

2025年1月1日至2026年8月31日。一年服务期2025年1月1日-2025年12月31日；第二年服务期2026年1月1日-2026年8月31日。

4.2互联网应用系统渗透测试服务要求

（1）服务过程中，针对涉及采购人的紧急重大类行业漏洞信息、安全事件、重大舆情信息、重要系统漏洞级补丁信息等，中标供应商应以最直接的方式向采购人告知漏洞对采购人应用系统的危害、影响范围及修补方案等信息，必要时提供现场应急响应支持服务。

（2）中标供应商只需验证漏洞是否存在，不得影响系统运行，不得获取未授权的数据。

（3）中标供应商对服务期间发现的漏洞，及时提供漏洞报告并制定安全加固方案，协助采购人开展安全加固工作和复检测试。

（4）在发现安全风险后24小时内，中标供应商需提供相应的漏洞报告和解决建议。

（5）对于用户修复后的漏洞，由中标供应商提供复检服务，并且在用户申请回检后的3日内反馈复检结果，确认漏洞是否修复；如若用户修复不成功需告知用户继续修复，复检次数不做限制。

（6）渗透测试结束后须出具测试报告，内容包含但不限于测试时间、测试范围、测试人员、测试内容及成果、漏洞复检情况等。

4.3特殊时期安全保障服务要求

（1）特殊时期安全保障服务时间为项目服务期内，由采购人指定的国家及税务行业网络安全保障特殊时期，内容包括护网演练、重大节假日、重大活动等，保障时间不少于80天。

（2）项目服务期内，护网演练现场值守阶段，中标供应商须提供现场7*24小时值守服务，服务期间每班次现场人数不少于4人；在其他重保期间，中标供应商须提供现场7*24小时值守服务，每班次现场人数不少于2人。

（3）发生安全事件时，现场值守人员应立即汇报，并采取防御处置措施，须于事件发生3小时内提出解决方案，于8小时内解决事件，并于24小时内提交事件处置报告。

4.4违约责任

中标供应商违规服务行为要求，在进行渗透测试与特殊时期安全保障服务前，未获取书面授权、运维人员违规操作，引发的安全事故，扣除中标供应商当季度服务项目的10%费用；全年连续两次发生重大事项的，采购方有权终止合同或扣除全年20%的运维费用。

中标供应商违约责任情况要求，在特殊时期安全保障服务过程中，发生安全事件时，中标供应商须于事件发生3小时内提出解决方案，于8小时内解决事件，并于24小时内提交事件处置报告；如不能在规定时间内完成，扣除该服务项目的10%费用中标供应商违反服务进度要求，没有在规定时间完成应急响应相关服务，每次扣除该服务项目费用的5%。

5. 项目管理和实施要求

5.1 项目人员要求

中标供应商在互联网应用系统渗透测试时，需组建专业能力强、团队配置齐全的渗透测试团队，团队成员不少于6人，包含2名高级渗透测试工程师（具有CISP-PTS证书）和4名渗透测试工程师（具有CISP-PTE证书），具有成功实施重要时期保障或渗透类项目经验。

中标供应商应组建特殊时期安全保障技术防护团队，提供安全保障团队人数不少于12人，其中包含第三方服务商、安全专家、现场安全运维人员等。在现场值守阶段，中标供应商须提供主流的安全设备提升防护等级，现场7*24小时值守服务，服务期间每天同时在场值守人数不少于4人，具有特殊时期安全保障经验，且具有3年以上网络安全工作经验，并具备对网络攻击有研判分析的能力。

6. 验收要求

验收工作由采购人组织实施，验收工作按采购人要求进行。中标供应商应配合完成项目的验收工作，提交项目验收相关产出物，以税务信息化项目管理相关要求、招标文件要求、中标供应商投标文件及承诺、本项目合同约定标准组织验收。中标供应商须提交一套可保存的、并容易查阅的文档，文档要求以纸质和电子格式提供，文档内容包括但不限于：

（1）《项目实施计划》（每季度）

（2）《渗透测试报告》（每季度）

（3）《App安全测试报告Android版》（每季度）

（4）《App安全测试报告IOS版》（每季度）

（5）《渗透测试复测报告》（每季度）

（6）《App安全测试复测报告Android版》（每季度）

（7）《App安全测试复测报告IOS版》（每季度）

（8）《暴露面风险排查报告》

（9）《应急响应报告》

（10）《网络安全保障预案》

（11）《特殊时期应急处置报告》

（12）《特殊时期网络安全保障日报》

（13）《特殊时期网络安全巡检表》

（14）《特殊时期防守成果报告》

（15）《特殊时期网络安全保障总结报告》

中标人应根据采购人在验收服务过程中发现的问题，提出有效解决办法和措施，经采购人确认后实施。验收记录不全，特殊时期网络安全保障与渗透测试服务过程的记录不完整、不清晰，或未按照招标文件规定的交付物和要求生成的报告、报表等；应按采购方招标文件要求的内容尽快补充、完善方案、报告与报表等验收资料。

7. 税收信息化项目开发和应用管理工作要求

中标供应商服务期内须严格按照合同要求完成相关工作，按时提交各阶段文档，应遵循开发管理的过程监理、中期报告审议、验收资料审议等相关要求。供应商在投标或响应时承诺已知悉并遵守《税务系统信息化服务商失信行为记录名单制度（试行）》相关规定，并承担相应后果，对于违约失信行为，将纳入信息化服务商失信行为记录名单。

8. 其他要求

8.1保密要求

甲乙双方应对在合同签订或履行过程中所接触的对方信息，包括但不限于知识产权、技术资料、技术诀窍、内部管理及其他相关信息，负有保密义务。

乙方在使用甲方为乙方及其工作人员提供的数据、程序、用户名、口令、资料及甲方相关的业务和技术文档，包括税收政策、方案设计细节、程序文件、数据结构，以及相关业务系统的硬软件、文档、测试和测试产生的数据时，应遵循以下约定：

(1)应以审慎态度避免泄露、公开或传播甲方的信息；

(2)未经甲方书面许可，不得对有关信息进行修改、补充、复制；

(3)未经甲方书面许可，不得将信息以任何方式(如E－mail)携带出甲方场所；

(4)未经甲方书面许可，不得将信息透露给任何其他人；

(5)甲方以书面形式提出的其他保密措施。

保密期限不受合同有效期限制，合同有效期结束后信息接受方仍应承担保密义务，直至该等信息成为公开信息。

8.2知识产权要求：

中标供应商需保证所提供的服务不侵犯第三方的知识产权（专利权、商标权、版权等），因侵害第三方知识产权而产生的法律责任，全部由中标供应商承担。

中标供应商禁止另行开发合同业务需求范围内、供纳税人、缴费人使用的软件；禁止在合同履行期间“围猎”税务人员，对违反以上规定的，将纳入失信名单；对于违反网络安全规定行为造成不良后果的中标供应商，3年内限制参加税务系统政府采购活动；中标供应商应建立防止违法违规聘用离职税务人员风险控制制度，如出现违法违规聘用离职税务人员行为，采购人有权对中标供应商采取以下措施：限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下属单位信息化项目政府采购活动等措施。投标人针对以上内容提供承诺函。

8.3.其他要求

投标人需对以下内容逐一承诺（格式自拟）：

1.依据《国家税务总局办公厅关于修订<税务系统信息化服务商失信行为记录名单制度(试行)>的通知》（税总办征科发〔2022〕1号）相关规定，本项目不采购税务系统失信记录名单中的服务提供商提供的产品及服务。

通知文件互联网链接：   

******/chinatax/n810341/n810825/c101434/c******/content.html

2.信息化项目使用的供应链产品提供要满足国家网络安全规范和认证要求。

3. 中标人要建立网络安全负责人制度。每个项目均要设置网络安全负责人，组织落实各项网络安全要求。

4. 投标人应提高安全责任意识，严控产品安全质量；建立清晰的软件供应链安全策略，明确相关的管理目标、工作流程、检查内容、责任部门等；严控上游，尤其重点管控开源代码的使用，确保使用的开源代码符合开源许可协议，形成第三方组件清单和安全分析报告，禁止使用存在高安全风险或已停止维护的第三方组件；严控自主开发代码的质量，采用软件源代码安全分析工具，持续检测和修复软件源代码中的安全缺陷和漏洞；建立完善的产品漏洞响应机制，包括产品漏洞信息的收集、漏洞报告渠道的建立和维护、漏洞补丁的开发和发布、客户端漏洞应急响应和修复支持等。发现网络安全漏洞、缺陷、数据泄露或其他重大网络安全风险，及时向采购人进行报告，不得擅自公开或向第三方提供。

5.项目实施前及实施期间，中标人要对参与项目人员进行网络和数据安全、技能等方面培训、考核、警示教育等。

6.应用系统上线前，中标人要进行安全功能测试（包括漏洞扫描、渗透测试、源代码审计、基线核查）。

7.应用系统上线前，中标人要提交供应链产品清单、第三方组件使用清单、安全测试报告、源代码审计报告、等保测评报告、供应链安全自查报告等。

8.采购人要对中标人方参与项目人员开展背景审查，中标人需项目人员提供无犯罪记录证明，公司和个人均签署保密协议、网络安全承诺书等。

9.中标人应配置独立的内部代码管理平台，且不与互联网链接。严禁将源代码上传第三方平台，严禁使用互联网代码托管平台。

10.中标人不得另行开发合同业务需求范围内供纳税人、缴费人使用的软件。不得利用产品和服务便利条件非法获取数据、非法控制和操纵设备，无正当理由不中断产品供应或必要技术支持服务等，如违反上述条款将被纳入失信名单。

******税务局及其上级主管部门制定的网络安全规定行为造成不良后果的，将被纳入失信名单，3年内限制参加税务系统政府采购活动。

12.中标人不得在合同履行期间“围猎”税务人员。如违反上述条款，将被纳入失信名单，3年内限制参加税务系统政府采购活动。

13.中标人应建立防止违法违规聘用离职税务人员风险控制制度，如出现违法违规聘用离职税务人员行为，采购人有权采取以下措施：要求限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下属单位信息化项目政府采购活动等。

8.4付款方式

第一年服务期，2025年3月底前由乙方提出付款申请并出具合法等额发票后15日内支付第一年期合同总金额的50%；2025年9月底前，项目验收合格后，乙方提出付款申请并出具合法等额发票后15日内支付第一年期合同总金额的50%。第二年服务期，按照第一年服务期合同金额折算的月金额*8个月计算第二年期合同总金额。合同到期，项目验收合格后，乙方提出付款申请并出具合法等额发票后15日内支付第二年期合同总金额的100%。