| 索引号: | 11100000013544955P/2025-01789 | 公开方式: | 主动公开 |
| 发布机构: | 国家税务总局吉林省税务局 | 组配分类: | 政府采购 |
| 文件编号: | 发文日期: | 2025-07-25 |
采购需求前附表
序号 | 类别 | 内容 |
1 | 项目立项 | 项目立项时间:2025年5月22日 |
项目立项证明文件: R有 £无 | ||
2 | 项目预算安排 | 总预算金额(万元):145 |
当年预算安排金额(万元):72.5 | ||
项目资金来源:基本支出 | ||
3 | 项目采购内容 | 吉林省税务局网络安全等级保护测评、密码应用与安全性评估、信息安全风险评估服务 |
4 | 项目实施时间 | 合同签订后60日内完成,并协助完成相关备案工作。 |
5 | 项目实施地点 | 国家税务总局吉林省税务局(长春市南湖大路1518号) |
6 | 项目实施范围 | 8个等保三级系统的等级保护测评工作、商用密码应用安全性评估以及信息安全风险评估,1个等保二级系统的等级保护测评工作和信息安全风险评估。 |
7 | 项目相关单位 | 需求部门:信息中心 |
验收部门:信息中心 | ||
8 | 采购意向公开 | R本项目已于2025年5月30日公开采购意向 |
£本项目经立项审批不公开采购意向 | ||
9 | 支持中小企业 | R本项目专门面向中小企业采购 |
£本项目预留预算金额的 %专门面向中小企业采购 | ||
£本项目非专门面向中小企业采购,对小微企业给15%的扣除,用扣除后的价格参加评审。 | ||
10 | 公告期限 | 自本公告发布之日起5个工作日。 |
11 | 意见反馈方式 | 凡对本次公告内容提出意见反馈,请以书面形式按以下方式联系。名称:国家税务总局吉林省税务局 地 址:长春市南湖大路1518号 项目联系人:冯全成,罗立权 联系方式:0431-80500300 |
采 购 需 求
项目名称:国家税务总局吉林省税务局2025年网络安全等级保护测评和密码应用与安全性评估服务项目
2025年07月
目 录
1项目概述................................................................................................................ 6
1.1项目背景................................................................................................................ 6
1.1.1项目目的、意义及背景................................................................................................................ 6
1.2项目内容................................................................................................................ 6
1.2.1项目建设思路................................................................................................................ 6
1.2.2采购内容................................................................................................................ 6
1.2.3项目实施要求................................................................................................................ 7
1.2.4系统情况................................................................................................................ 7
1.3其他要求................................................................................................................ 7
1.3.1采购标的需执行的相关标准规范................................................................................................................ 7
2投标/响应要求................................................................................................................ 8
2.1对供应商的要求................................................................................................................ 8
2.1.1必备资质................................................................................................................ 8
2.1.2优选资质/优选指标................................................................................................................ 8
2.1.3是否允许联合体................................................................................................................ 8
2.1.4是否专门面向中小企业................................................................................................................ 8
2.1.5其他要求................................................................................................................ 8
2.2技术部分投标/响应内容................................................................................................................ 9
2.2.1技术投标/响应总要求................................................................................................................ 9
2.2.2投标/响应方案要求................................................................................................................ 9
3项目需求................................................................................................................ 10
3.1总体要求................................................................................................................ 10
3.2服务内容和要求................................................................................................................ 10
3.2.1技术和服务客观指标................................................................................................................ 10
3.2.2技术和服务其他要求................................................................................................................ 20
4人员要求................................................................................................................ 20
4.1总体要求................................................................................................................ 20
4.2管理团队................................................................................................................ 20
4.2.1项目总监................................................................................................................ 20
4.2.2项目经理................................................................................................................ 21
4.3技术团队................................................................................................................ 21
4.4优选资质/优选指标................................................................................................................ 21
5管理实施要求................................................................................................................ 23
6保密要求................................................................................................................ 23
7知识转移要求................................................................................................................ 23
8风险管控要求................................................................................................................ 24
9履约验收要求................................................................................................................ 24
9.1总体要求................................................................................................................ 24
9.2具体要求................................................................................................................ 24
10其他要求................................................................................................................ 25
10.1必备要求................................................................................................................ 25
10.1.1★税收信息化项目开发和应用管理工作要求................................................................................................................ 25
10.1.2★供应链安全管理要求................................................................................................................ 29
10.1.3★信息化服务运维人员要求................................................................................................................ 34
10.1.4其他................................................................................................................ 34
10.2知识产权要求................................................................................................................ 36
10.3付款安排建议................................................................................................................ 36
10.4满足指标情况................................................................................................................ 36
1项目概述
1.1项目背景
1.1.1项目目的、意义及背景
根据国家出台的网络安全法律法规要求及网络安全等级保护制度要求,需要对我局重要信息系统进行信息安全等级保护测评(以下简称等保测评)、商用密码应用安全性评估(以下简称密评)和信息安全风险评估(以下简称风评),通过测评和评估发现和整改我局重要信息系统存在的风险隐患,切实提高重要信息系统综合防护能力,防范重大网络安全事件,保障我局重要信息系统安全稳定运行。
1.2项目内容
1.2.1项目建设思路
依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)等国家标准和规范性文件,对8个三级系统和1个二级系统进行等保测评工作,并依据《网络安全等级测评报告模板(2025版)》有关要求,提交《网络安全等级测评报告》。
依据《信息安全技术 信息系统密码应用基础要求》(GB/T 39786-2021)《信息系统密码应用高风险判定指引》《信息安全技术 信息系统密码应用测评要求》(GB/T 43206-2023)《商用密码应用安全性评估量化评估规则》等国家标准和规范性文件,对8个系统进行密评,并依据国家密码主管部门印发《商用密码应用安全性评估报告模板(2023版)》有关要求,提交《商用密码应用安全性评估报告》。
依据《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)《信息安全技术 信息安全风险评估实施指南》(GB/T 31509-2015)等国家标准和规范性文件,对9个系统进行风评,并提交《信息安全风险评估报告》。
1.2.2采购内容
1.等保测评项目内容
序号 | 系统类别 | 参考数量 | 服务内容 | 备注 |
1 | 三级等保系统 | 8 | 等保测评 | 协助进行等保备案等 |
2 | 二级等保系统 | 1 | 等保测评 |
2.密评项目内容
序号 | 系统类别 | 参考数量 | 服务内容 | 备注 |
1 | 信息系统 | 8 | 密码评估 | 协助进行备案 |
3.风评项目内容
序号 | 系统类别 | 参考数量 | 服务内容 | 备注 |
1 | 信息系统 | 9 | 风险评估 | / |
注:以上数量为参考数量,以实际发生数量为准。
1.2.3项目实施要求
1.2.3.1实施范围要求
省局8个三级信息系统和1个二级信息系统
1.2.3.2实施时间要求
服务期限:须在合同签订后60日内完成全部工作,并出具正式报告
1.2.3.3实施地点要求
国家税务总局吉林省税务局
1.2.4系统情况
1.2.4.1系统情况
省局8个三级信息系统和1个二级信息系统
1.3其他要求
1.3.1采购标的需执行的相关标准规范
本项目执行的相关标准规范,包含但不局限于以下内容:
(1)GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》;
(2)GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》;
(2)GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》;
(3)GB/T 36958-2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》;
(4)GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》;
(5)《网络安全等级保护测评高风险判定实施指引(试行)》(公网安〔2025〕2391号);
(6)GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》;
(7)GB/T 43206-2023 《信息安全技术 信息系统密码应用测评要求》;
(8)《信息系统密码应用高风险判定指引》;
(9)GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》;
(10)GB/T 31509-2015 《信息安全技术 信息安全风险评估实施指南》。
2投标/响应要求
2.1对供应商的要求
2.1.1必备资质
2.1.1.1投标人应遵守有关国家法律、法规和条例,具备《中华人民共和国政府采购法》第二十二条的规定和本文件中规定的条件。
2.1.1.2本项目的特定资格要求
(1)具有公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》;
(2)具有国家密码管理局颁发的《商用密码检测机构资质证书》,且证书中业务范围为商用密码应用安全性评估。
2.1.2优选资质/优选指标
2.1.2.1相关证书
序号 | 证书名称 | 颁发部门 | 相关要求 |
1 | 质量管理体系认证证书(ISO9001) | 认证机构经国家认证认可监督管理委员会批准 | 有效期内 |
2 | 信息安全管理体系认证证书(ISO 27001) | 认证机构经国家认证认可监督管理委员会批准 | 有效期内 |
3 | 具有ISO 20000信息技术服务管理体系认证证书 | 认证机构经国家认证认可监督管理委员会批准 | 有效期内 |
2.1.2.2成功案例
2022年1月1日以来从事过的相关测评项目合同关键页(首页、评估系统数量页、签字页等)并加盖投标人公章。
2.1.3是否允许联合体
否
2.1.4是否专门面向中小企业
本项目专门面向中小企业采购项目
2.1.5其他要求
无
2.2技术部分投标/响应内容
2.2.1技术投标/响应总要求
采购文件(技术部分)中有标注★号的,为必备服务要求,必须满足,投标人如未作出响应,将导致招标无效;标注#号的,为重要服务内容;标注△号的,为一般服务内容,“是否需要证明材料”项填“是”或“否”。填“是”的,投标人须提供包含相关指标项的证明材料,证明材料可以使用生产厂家官方网站截图或产品白皮书或其他相关证明材料,未提供有效证明材料或证明材料或证明材料中内容与所填报指标不一致的,该指标按不满足处理。
2.2.2投标/响应方案要求
以下相关方案,若作为评审因素,则投标人应在满足★关键指标项要求的前提下,根据项目特点和采购需求,制定更为完整、详细、可操作性强的方案。
1.项目管理实施方案:投标人须按照采购人项目实施进度要求,提供整体的项目计划书包括工作日程表、工作内容;提交整体及分项管理及实施方案,方案应包括项目组织架构,各项目组构成与人员职能分工、投入技术人员及简介;项目实施管控措施,质量保障控制措施等。
2.保密方案:应包括保密组织管理、保密制度及保密措施等。
3.技术服务方案:在投标文件中详细阐述等级测评技术方案、密评技术方案、风评技术方案等各项内容。
(1)等保测评服务:测评内容、测评指标、测评方法、测评流程、测评分析、结果判定、整改建议等内容。
(2)密评服务:包括密评内容、密评指标、密评方法、密评流程、密评分析、结果判定、整改建议等内容。
(3)风评服务:包括资产识别分析、脆弱性识别分析、安全措施等内容。
4.项目验收方案:根据项目需求提供本项目的验收方案,应包括验收内容概述、验收流程及标准、验收中出现问题如何处置等内容,内容应该服务采购人内部的项目管理流程,且具有可操作性
5.应急及安全保障方案:根据项目需求提供适合此项目明确的应急保障制度,分工明确的组织体系,清晰安全保障、预警和预防机制,科学的应急响应及处置步骤,科学的应急级别定义与其配套的响应时间,以保证及时高效响应处理各类突发事件。
3项目需求
3.1总体要求
采购文件(技术部分)中有标注★号的,为必备服务要求,必须满足,投标人如未作出响应,将导致招标无效;标注#号的,为重要服务内容;标注△号的,为一般服务内容,“是否需要证明材料”项填“是”或“否”。填“是”的,投标人须提供包含相关指标项的证明材料,证明材料可以使用生产厂家官方网站截图或产品白皮书或其他相关证明材料,未提供有效证明材料或证明材料或证明材料中内容与所填报指标不一致的,该指标按不满足处理。
3.2服务内容和要求
采购文件(技术部分)中有标注★号的,为必备服务要求,必须满足,如未作出响应,将导致响应无效;#为重要服务内容、△为一般服务内容。
3.2.1技术和服务客观指标
3.2.1.1等保测评服务
序号 | 指标种类 | 指标名称 | 指标内容 | 重要性 | 是否需要证明材料 |
1 | 等保测评服务 | 总体要求 | 按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理人员、安全管理机构、安全建设管理和安全运维管理共10方面开展网络安全等级保护测评工作,并结合系统特点选择性增加云计算、大数据、移动互联等扩展要求。 | ★ | 否 |
2 | 等保测评服务 | 总体要求 | 根据公安部最新的网络安全等级保护有关要求,协助采购人更新现有系统等级保护备案,以及结合现有安全保护措施,协助采购人制定保护工作方提供服务承诺书案。 | # | 是 |
3 | 等保测评服务 | 测评准备阶段 | 在采购人配合下对税务应用系统进行资料收集和系统调研;进行信息收集、工具准备,在充分掌握被测系统的基础上编制测评计划书、调查问卷等。 | # | 是 |
4 | 等保测评服务 | 测评方案编制阶段 | 编制等保测评方案,确认测评对象、测评指标、测评内容、整体测评方法、风险分析方法,编制现场测评方案、结果记录表等,现场测评方案包括但不限于项目概念、测评对象、测评指标、测评工具接入点、单项测评实施、系统测评实施等。 | # | 是 |
5 | 等保测评服务 | 现场测评阶段 | 通过访谈、检查、测试、分析等方法,现场根据测评指导书对信息系统进行现场测评并进行结果证据收集确认,生成现场测评结果记录表。实施现场测评时投标人以不影响测评系统业务正常开展为前提。 | # | 是 |
6 | 等保测评服务 | 现场测评阶段 | 根据《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018),在等保测评服务的现场测试中,应使用测试工具进行测试。为确保采购方参与测评的信息系统数据安全,为避免数据泄露,投标人应具备安全可控的等保测评服务工具类软件,包含但不限于恶意文件分析、主机端口安全检测、通信协议安全检测、主机日志分析和网络安全态势感知系统等。 | # | 是 |
7 | 等保测评服务 | 报告编制阶段 | 依据单元测评结果汇总进行整体测评分析、风险分析、结果汇总、结论形成、结果判定、整改建议等,生成单项、单元评估结果汇总,并出具等级测评报告及备案资料。投标人须及时向被测评单位通报当前测评结果,对未通过测评的系统,投标人有义务向采购人提出书面整改意见,待整改措施落实后,投标人还应就相关指标重新测评,并及时修订相关测评结果,并与采购人进行书面确认。 | # | 是 |
8 | 等保测评服务 | 安全服务要求 | 要求提供7×24小时安全应急服务,通过远程或现场方式提供快速、高效、专业的解决突发安全事故的安全服务;投标人应依照吉林省网络安全等级保护测评机构相关管理要求规定,为被测系统出具符合《网络安全等级测评报告模板(2025版)》要求的等级保护测评报告,并在出具报告时,加盖等级测评专用章,并协助备案。 | # | 是 |
3.2.1.2密评服务
序号 | 指标种类 | 指标名称 | 指标内容 | 重要性 | 是否需要证明材料 |
1 | 密评服务 | 总体要求 | 依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置8大方面,对构成系统的密码产品、技术和算法,从合规、正确、有效三个维度,围绕机密性、完整性、真实性和不可否认四个特性进行商用密码应用安全性评估。 | # | 否 |
2 | 密评服务 | 密评准备阶段 | 确定测评技术思路、工作内容和项目组织计划,收集被测系统密码系统、密码管理情况、安全保护等级、业务情况、软硬件配置和相关部门管理员及角色等基础信息,进行密码协议分析工具、随机数检测工具、密码算法分析工具准备,进行现场密评授权、密评存在的风险、交接的文档名称、会议记录和签到。 | # | 是 |
3 | 密评服务 | 密评方案编制阶段 | 确定测评对象、测评指标、测评检查点、测评内容、编制密评指导书、结果记录表、密评方案等。 | # | 是 |
4 | 密评服务 | 现场测评阶段 | 对系统使用密码的合规、正确、有效进行判定、分析,通过访谈、文档审查、配置检查、工具测评和实地查看记录和测评结果。针对测评活动中发现的问题、问题的证据和证据源、在委托单位相关人员的配合下进行书面认可。 | ★ | 否 |
5 | 密评服务 | 现场测评阶段 | 根据《信息系统密码应用测评过程指南》(GM/T 0116-2021)标准中对于现场测评要求,投标人宜配置与被测信息系统一致的模拟/仿真环境,在模拟/仿真环境下开展测评工作。为确保采购方参与测评的信息系统数据安全,为避免数据泄露,投标人应具备开展密评服务安全可控的模拟/仿真环境,包括但不限于服务器密码机、动态口令服务器、签名验签服务器、应用安全网关服务器、数字证书认证系统、SSL VPN安全网关等。 | # | 是 |
6 | 密评服务 | 现场测评阶段 | 根据《信息系统密码应用测评过程指南》(GM/T 0116-2021)标准中对于现场测评和结果要求,投标人根据被测信息系统的实际情况选择测试工具,在配置检查无法提供有力证据的情况下,应通过工具测试的方法抓取并分析被测信息系统相关数据。为确保采购方参与测评的信息系统数据安全,为避免数据泄露,投标人应具备安全可控的密评服务工具类软件,包含但不限于协议分析工具、算法合规性检测工具、随机性检测工具、数字证书格式合规性检测工具和移动应用代理抓包工具等。 | # | 是 |
7 | 密评服务 | 报告编制与评审阶 | 分析被测系统的安全现状(各个层面的基本安全状况)与标准中相应等级的基本要求的符合情况,给出单项测评结果;汇总统计单项测评结果,给出针对每个对象的单元测评结果;分析被测系统整体安全状况及对单项测评结果的修订情况。再次汇总分析各层面中各个测评对象的测评结果,分析被测系统存在的风险情况,形成测评结论。汇总单项测评结果、测评过程及结果、风险分析过程及结果,得出测评结论,安全建设整改建议等。 | # | 是 |
8 | 密评服务 | 报告编制与评审阶段 | 整改方案要求,建设整改方案应包括建设方法、技术、工具等详细内容,必要时需协助指导进行整改工作。 | # | 是 |
9 | 密评服务 | 安全服务要求 | 投标人应依据商用密码应用安全性评估管理要求:测评机构应保守在测评活动中知悉的国家秘密、工作秘密和数据,对所出具的密评结果负责,并协助备案。 | # | 是 |
3.2.1.3风评服务
序号 | 指标种类 | 指标名称 | 指标内容 | 重要性 | 是否需要证明材料 |
1 | 风评服务 | 总体要求 | 依据GB/T 20984-2022《信息安全技术 信息安全风险评估方法》,及相关信息安全标准规范,围绕信息安全需求,从以下方面开展风险评估:互联网和内网资产暴露面评估;基于黑盒的漏洞扫描和渗透测试。 | ★ | 否 |
2 | 风评服务 | 总体要求 | 根据《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)标准中有关“引入风险评估服务技术支持方本身就是一个风险因素,因此,对风险评估服务技术支持方的背景与资质、评估过程与结果的保密要求等方面应进行控制。”有关要求,投标人应具备信息安全风险评估服务能力。 | # | 是 |
3 | 风评服务 | 评估准备阶段 | 在对被评估的数据资产进行充分调研的基础上,确定评估范围、评估方式和依据,并配合采购人组织相关人员、并召开项目启动会,制定评估方案。 | # | 是 |
4 | 风评服务 | 评估实施阶段 | 资产识别分析:调研分析,进行资产分类、资产赋值(保密性赋值、完整性赋值、可用性赋值、资产重要性等级) | # | 是 |
5 | 风评服务 | 评估实施阶段 | 根据分析情况出具资产调研报告、资产识别报告、威胁识别报告、脆弱性识别报告。 | # | 是 |
6 | 风评服务 | 安全措施确认阶段 | 在识别脆弱性的同时,对已采取的安全措施的有效性进行确认,评估其有效性,即是否真正地降低系统的脆弱性及威胁,并出具安全措施确认报告。投标人须从脆弱性评估开始,对被评估系统不可接受风险的资产残余进行再评估,在对照安全措施前后的脆弱性状况后,再次计算风险值,对于残余风险仍处于不可接受的范围内,投标人须继续提供相应安全措施,直至不可接受风险的资产处于可接受的范围内。 | # | 是 |
7 | 风评服务 | 报告编制阶段 | 评估后形成漏洞扫描和渗透测试报告、源代码安全审计报告,编制信息安全风险评估报告。 | # | 是 |
8 | 风评服务 | 安全服务要求 | 投标人应依据风险评估方法,结合我局对于信息安全需求开展评估工作:测评机构应保守在测评活动中知悉的国家秘密、工作秘密和数据,对所出具的评估报告负责。 | # | 是 |
3.2.2技术和服务其他要求
测评期间要求提供7×24小时安全应急服务,通过远程或现场方式提供快速、高效、专业的解决突发安全事件的服务。
4人员要求
4.1总体要求
本项目测试量大,测评周期短,为方便并行开展测评工作,投标人针对本项目应组建不少于24人的服务团队,除项目经理之外,等保测评及风险评估团队不少于12人构成,其中至少包括网络/信息安全等级保护测评师(高级)3人,网络/信息安全等级保护测评师(中级)4人,其余人员应具备等级保护测评师(初级);商用密码安全性评估服务团队不少于12人,且均须具备应用安全性评估人员测评能力考核合格证书或商用密码应用安全性评估从业人员考核成绩合格证书。
为保障测评团队为供应稳定人员,以上人员应提供投标人为服务团队内技术人员缴纳开标当月之前的社保缴费证明。
4.2管理团队
4.2.1项目总监
投标人应安排1名综合技术实力较强的项目总监,与采购人共同统筹及协调一切与本项目有关的事项,领导并监督项目组中投标人人员的工作情况。与采购人定时审查及监督项目实施过程,处理项目实施中的各项变更事宜。投标人应当出具针对本项目的项目管理方案,方案能够保障项目进度及组织计划,确保人员配备合理、计划措施得当,能够提供有效的质量及风险识别措施以及质量及风险控制措施保证项目的质量及稳定性。因此,项目总监应同时具备网络/信息安全等级测评师证书(高级)及商用密码应用安全性评估人员测评能力考核合格证书、系统分析师、信息系统项目管理师。
4.2.2项目经理
投标人应安排1名侧重项目管理且熟悉等保测评及密评项目具体业务的项目经理,配合项目总监与采购人共同统筹及协调一切与本项目有关的事项,与采购人定时审查及监督项目实施过程,处理项目实施中的各项变更事宜。项目经理应同时具备网络/信息安全等级测评师证书(高级)及商用密码应用安全性评估人员测评能力考核合格证书、软件测评师、信息系统项目管理师。
4.3技术团队
投标人针对本项目应组建不少于24人的服务团队,具体包括等保测评及风险评估团队和商用密码应用安全性评估团队。其中
1、等保测评及风评团队,不少与12人,其中至少包括网络/信息安全等级保护测评师(高级)3人,网络/信息安全等级保护测评师(中级)4人,其余人员应具备等级保护测评师(初级)。依据《网络安全等级测评报告模板(2025版)》《网络安全等级保护测评高风险判定实施指引(试行)》《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)要求,测评服务应包括渗透测试、漏洞扫描、安全审计分析。
2、商用密码安全性评估服务团队不少于12人,且均须具备应用安全性评估人员测评能力考核合格证书或商用密码应用安全性评估从业人员考核成绩合格证书。根据《信息安全技术 商用密码应用安全性评估规范》(GB/T39786-2021)及相关要求,密评工作涵盖密码算法性、密钥管理的安全性以及密码协议的安全性等多技术领域,对密评人员的专业技能有着较高的要求。
4.4优选资质/优选指标
序号 | 人员类别 | 人员岗位 | 人员要求 | 是否作为加分项 |
1 | 管理团队 | 项目总监 | 具备网络/信息安全等级测评师证书(高级)及商用密码应用安全性评估人员测评能力考核合格证书、系统分析师、信息系统项目管理师 | 是 |
2 | 管理团队 | 项目经理 | 具备网络/信息安全等级测评师证书(高级)及商用密码应用安全性评估人员测评能力考核合格证书、软件测评师、信息系统项目管理师 | 是 |
3 | 技术团队 | 等保测评及风评团队不少于12人 | 等保测评及风评团队,不少与12人,其中至少包括网络/信息安全等级保护测评师(高级)3人,网络/信息安全等级保护测评师(中级)4人,其余人员应具备等级保护测评师(初级)。依据《网络安全等级测评报告模板(2025版)》《网络安全等级保护测评高风险判定实施指引(试行)》《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)要求,测评服务应包括渗透测试、漏洞扫描、安全审计分析。 | 是 |
4 | 技术团队 | 商用密码安全性评估服务团队不少于12人 | 商用密码安全性评估服务团队不少于12人,且均须具备应用安全性评估人员测评能力考核合格证书或商用密码应用安全性评估从业人员考核成绩合格证书。根据《信息安全技术 商用密码应用安全性评估规范》(GB/T39786-2021)及相关要求,密评工作涵盖密码算法性、密钥管理的安全性以及密码协议的安全性等多技术领域,对密评人员的专业技能有着较高的要求。 | 是 |
5管理实施要求
应按照采购人要求的时限和质量完成相关测评服务,在项目测评工作开展过程中,测评人员应确认不影响采购人信息系统正常提供服务。投标人需保证项目组成员的稳定性,如特殊情况需要调整项目组成员的,应提前一个月书面通知采购人,采购人同意后才能安排调整。
6保密要求
投标人及参与项目的所有人员应严格遵守招标人的保密要求,签订保密协议,参与人员由投标人担保;招标人提供的资料,投标人不得以任何形式向第三方传播。保密期限不受本项目期限的限制,在本项目履行完毕后,保密信息接受方仍应按照国家有关规定承担保密义务。
1.双方应对在合同签订或履行过程中所接触的对方信息,包括但不限于知识产权、技术资料、技术诀窍、内部管理及其他相关信息,负有保密义务。
2.投标人在使用用户方为其提供的数据、程序、用户名、口令、资料及甲方相关的业务和技术文档,包括方案设计细节、程序文件、数据结构,以及相关业务系统的硬软件、文档、测试和测试产生的数据时,应遵循以下约定:
(1)应以审慎态度避免泄露、公开或传播用户方的信息;
(2)未经用户方书面许可,不得对有关信息进行修改、补充、复制;
(3)未经用户方书面许可,不得将信息以任何方式(如 E-mail)携带出甲方场所;
(4)未经用户方书面许可,不得将信息透露给任何其他人;
(5) 用户方以书面形式提出的其他保密措施。
3.保密期限不受合同有效期的限制,在合同有效期结束后,信息接受方仍应承担保密义务,直至该等信息成为公开信息。
4.双方如出现泄密行为,泄密方应承担相关的法律责任并承担由此给对方造成的经济损失。
7知识转移要求
投标人须按照国家税务总局吉林省税务局相关管理规程和要求,将项目执行过程所涉及的相关知识和工作文档按照招标人提出的质量、数量、提供方式、提供时间等要求进行整理,并按照要求转移给招标人。具体要求如下:
1.投标人须将项目实施过程中出具的文档等形式转移给招标人,并将项目所涉及的其他各类工作文档按照要求进行移交归档。
2.项目实施过程中,为确保移交文档的一致性和完整性,投标人须按照项目实施计划,分层次、分阶段进行项目文档提交。
3.项目结束时,投标人须按照项目要求及时向招标人移交项目所有相关文档。
8风险管控要求
1.风险管控总体要求
项目实施期间,投标人须做好测评过程中各项安全保障工作,对系统渗透测试、漏洞扫描等制定风险管控预案和防范措施。
2.风险管控具体要求
(1)技术风险管理
投标人应充分预估项目实施中存在的技术风险,包括并不限于:渗透测试、漏洞扫描时系统稳定性、网络环境、数据安全等方面可能存在的风险,制定可靠的技术管理保障措施。
(2)操作风险管理
投标人应充分预估项目实施中人员技术服务存在的操作风险,包括并不限于:人为错误、账户权限管理不当、服务流程不规范等,制定可靠的测评服务保障措施。
9履约验收要求
9.1总体要求
验收名称 | 验收要求 |
第1次验收 | 完成项目约定全部服务后,中标投标人提供验收报告,本项目由投标人提出验收申请,由采购方根据税务信息化项目管理相关要求、招标文件要求、中标投标人投标文件及承诺、本项目合同约定标准组织验收。 |
9.2具体要求
1.验收标准
(1)GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、GB/T28448-2019《信息安全技术网络安全等级保护测评要求》、GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》;
(2)GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》、GB/T 43206-2023 《信息安全技术 信息系统密码应用测评要求》;
(3)依据GB/T 20984-2022《信息安全技术 信息安全风险评估方法》。
2.验收条件
本项目验收方式采取一次终验的方式进行验收,验收工作由采购人组织实施,中标供应商应配合完成项目的验收工作,提交项目验收相关产出物,出具公安部门和密码管理部门认可的测评报告和评估报告,具体交付物数量以合同服务期内采购人要求实际完成的系统测评数量为准,以税务信息化项目管理相关要求、招标文件要求、中标供应商投标文件及承诺、本项目合同约定标准组织验收。
3.验收交付物:
编号 | 文档名称 | 说明 | 数量 | 提交形式 |
1 | 网络安全等级保护测评方案 | 为开展信息系统安全等级保护测评工作提供实施框架,确保符合国家《中华人民共和国网络安全法》及等保2.0标准要求 | 9 | 电子纸质 |
2 | 网络安全等级保护测评报告 | 按照《网络安全等级测评报告模板(2025版)》编制,记录测评结果,判断系统是否达到既定安全保护等级要求 | 9 | 电子纸质 |
3 | 商用密码应用安全性评估报告 | 按照《商用密码应用安全性评估报告模板(2023版)》编制,记录评估结果,判断系统是否达到既定商用密码应用要求 | 8 | 电子纸质 |
4 | 商用密码应用安全整改建议 | 针对密码评估中发现的问题提出可落地的改进措施 | 8 | 电子纸质 |
5 | 信息安全风险评估报告 | 识别系统面临的威胁、脆弱性及潜在影响,量化风险等级 | 9 | 电子纸质 |
10其他要求
10.1必备要求
10.1.1★税收信息化项目开发和应用管理工作要求
供应商在采购以及后续项目实施过程中,应严格遵守税务总局税收信息化项目开发和应用管理工作要求。对于违反合同约定的,依据合同约定及政府采购有关规定,采购人可采取要求限期改正、在应付合同金额中扣除违约金、解除合同等措施;对于存在严重违法失信行为的,由采购人按规定推送财政部纳入政府采购严重违法失信行为记录名单。
投标人在采购以及后续项目实施过程中,应严格遵守国家税务总局税收信息化项目开发和应用管理工作要求。对于因失信行为纳入《税务系统信息化服务商失信行为记录名单》的投标人,存在一般失信行为的,由采购人函告服务商;存在严重失信行为的,由采购人约谈服务商主要负责人;对于违反合同约定的,依据合同约定及政府采购有关规定,采购人可采取要求限期改正、在应付合同金额中扣除违约金、解除合同、拒绝参加税务系统政府采购活动等措施;对于存在影响恶劣的严重违法失信行为的,由采购人按规定推送财政部纳入政府采购严重违法失信行为记录名单。
本项目管理实施和验收由省局网络安全和信息化领导小组办公室负责。对项目测评过程中,投标人应严格按照吉林省税务局应用信息系统管理要求开展测评工作,确保各应用信息系统安全、稳定、高效运行。
中标人在参与税务部门信息化项目工作过程中,需严格遵守法律法规、规范履行合同,积极协助税务部门开展廉政风险防控工作。请严格遵守并落实如下要求:
一、积极发挥廉政风险防控正向作用。中标人有义务配合税务部门在信息化项目工作中加强廉政风险防控,执行有关措施。
二、健全廉政风险防控机制。中标人有责任在项目管理机制中健全内部廉政防控措施,包括但不限于:对参与本项目的员工提出廉洁行为规范;指定专人对项目实施各环节进行廉政监督;在项目验收过程中提交本项目廉政情况报告等。
三、杜绝违纪违法行为。中标人及相关项目人员必须严格遵守党纪国法,坚守职业道德,杜绝任何形式的利益输送、权力寻租等违纪违法行为,对甲方工作人员不得实施以下行为:
(一)以各种形式和名义提供礼品、礼金、电子红包、支付凭证、商业预付卡、名贵特产、有价证券、股权、其他金融产品等财物。
(二)以各种形式和名义提供宴请、旅游、健身、娱乐、私人会所等活动安排;代付加班餐费、打车费等。
(三)以讲课费、咨询费等名义,提供或变相提供报酬。
(四)借款、借房、借车,报销应由个人负担的费用。
(五)以无偿、象征性地收取费用等方式提供家政、司机等服务劳务。
(六)其他通过任何形式行贿或输送利益的行为。
四、信守承诺。中标人应承诺在项目实施过程中,严格遵守国家法律法规合法、诚信经营,杜绝商业贿赂、规范经营活动、公开透明合作、严格内部管理,并签订《税务信息化项目服务商廉洁承诺书》提交甲方负责项目实施的单位。
五、自觉接受监管。中标人有义务配合税务机关的正常业务监管以及纪检监察、外部审计、督察内审等监督机构对税务信息化项目全过程的监督检查工作,如实提供相关资料和信息,不得隐瞒、篡改或销毁与项目建设有关的文件、数据等资料。
六、举报和反馈意见。项目执行过程中,中标人有权举报、反馈甲方索贿受贿、吃拿卡要、违反中央八项规定精神等违纪违法行为。项目验收前,应填写《税务信息化项目服务商廉政反馈书》,提交甲方税务机关网络安全和信息化领导小组办公室。
税务信息化服务商廉洁承诺书
为深入贯彻落实党中央关于全面从严治党的决策部署,进一步加强税务信息化项目合作中的廉政建设,防范廉政风险发生,确保项目公开、公平、公正推进,我司郑重承诺如下:
一、合法合规经营。严格遵守国家法律法规及税务部门的相关规定,坚持廉洁从业、诚信经营的原则。在合作过程中不以任何形式进行利益输送,维护良好的政商关系。
二、杜绝商业贿赂。加强内部管理,我司及我司员工均不对甲方工作人员实施以下行为:
(一)以各种形式和名义提供礼品、礼金、电子红包、支付凭证、商业预付卡、名贵特产、有价证券、股权、其他金融产品等财物。
(二)以各种形式和名义提供宴请、旅游、健身、娱乐、私人会所等活动安排;代付加班餐费、打车费等。
(三)以讲课费、咨询费等名义,提供或变相提供报酬。
(四)借款、借房、借车,报销应由个人负担的费用。
(五)以无偿、象征性地收取费用等方式提供家政、司机等服务劳务。
(六)其他通过任何形式行贿或输送利益的行为。
三、规范经营活动。严格按照合同约定履行义务,保证项目质量,按时完成建设任务;在合作过程中不以任何借口拖延工期、虚报成本或谋取私利。
四、公开透明合作。我司承诺在项目实施过程中保持公开透明,主动接受税务部门及纪检监察机构的全程监督,并积极配合任何有关廉洁从业的调查工作。
五、严格内部管理。加强企业内部廉洁教育,确保员工知晓并遵守相关法律法规及廉洁要求;加强项目实施全过程廉洁监督;对于违反廉洁承诺的员工,将严肃处理,并承担相应责任。
六、积极参与监督。在税务信息化项目实施过程中,如发现任何违纪违法行为,将如实反馈问题和意见。
承诺单位(盖章):_________________________
法定代表人或授权代表签字:________________
日期:XX年XX月XX日
备注:本承诺书一式两份,一份由承诺单位留存,另一份交税务部门备案。
项目终验前提交《税务信息化项目服务商廉政反馈书》
税务信息化廉政情况反馈书
项目基本情况
项目名称(编号) XXX税务信息化项目 项目编号
服务商名称 XXX公司
联系人及电话 联系人: 职务: 电话:123-4567890
项目情况概述
廉洁承诺履行情况
反馈项 反馈内容
杜绝商业贿赂 向税务工作人员及其家属赠送礼品、礼金或提供任何形式的宴请、娱乐活动情况。
规范经营活动 按照合同要求,按时完成各阶段任务,确保项目质量和进度情况。
公开透明合作 在项目实施过程中保持信息公开透明,主动接受相关部门的监督和检查情况。
税务人员履职期间廉政情况
税务人员履职过程存在违纪违规行为 否
是(说明具体情况)
提交单位(盖章):XXX公司
法定代表人或授权代表签字:_________________________
日期:XX年XX月XX日
10.1.2★供应链安全管理要求
1、人员资格要求
(1)签订承诺书。供应商应严格落实国家税务总局网络安全和保密管理要求,承担技术支持人员的网络安全和保密管理责任,按采购人要求签订协议和承诺书。
(2)开展背景审查。供应商承担技术支持人员背景审查工作,提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料,并提交采购人进行备案。
(3)设置网络安全负责人(由驻场运维人员兼任)。供应商为本项目配备一名网络安全负责人,该负责人具备独立决策能力并保持相对稳定,在项目实施的全过程负责网络安全工作,组织落实各项网络安全要求。
2、日常行为规范要求
(1)工作能力要求。供应商负责对技术支持人员进行资格条件、工作胜任力以及网络安全能力评估,对技术支持人员承担的工作进行安全保密风险分析,明确技术支持人员工作范围和边界,重点防范设备和资料失窃、误操作导致的软硬件故障、工作秘密和税费数据等信息泄露、信息系统越权访问和网络攻击等风险。
(2)教育培训要求。供应商负责对技术支持人员进行网络和数据安全法律法规、网络安全意识、网络安全管理、网络安全技能、保密意识以及网络安全警示教育等培训,上岗前对其进行考核。
3、违约惩戒措施
供应商对供应链安全管理责任落实不到位,造成安全事件或产生不良影响的,采购人按照法律法规及合同约定进行处理。
1.人员资格要求
(1)签订承诺书。投标人应严格落实国家税务总局网络安全和保密管理要求,承担技术支持人员的网络安全和保密管理责任,按采购人要求签订协议和承诺书。
(2)开展背景审查。投标人承担技术支持人员背景审查工作,提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料,并提交采购人进行备案。
(3)设置网络安全负责人(由现场测评人员兼任)。投标人为本项目配备一名网络安全负责人,该负责人具备独立决策能力并保持相对稳定,在项目实施的全过程负责网络安全工作,组织落实各项网络安全要求。
2.日常行为规范要求
(1)工作能力要求。投标人负责对技术支持人员进行资格条件、工作胜任力以及网络安全能力评估,对技术支持人员承担的工作进行安全保密风险分析,明确技术支持人员工作范围和边界,重点防范设备和资料失窃、误操作导致的软硬件故障、工作秘密和税费数据等信息泄露、信息系统越权访问和网络攻击等风险。
(2)教育培训要求。投标人负责对技术支持人员进行网络和数据安全法律法规、网络安全意识、网络安全管理、网络安全技能、保密意识以及网络安全警示教育等培训,上岗前对其进行考核。
3.违约惩戒措施
投标人对供应链安全管理责任落实不到位,造成安全事件或产生不良影响的,采购人按照《税务系统信息化服务商失信行为记录名单制度(试行)》(税总办征科发〔2022〕1号)要求,组织对投标人进行失信行为认定,并采取相应的处置措施。
一、供应链厂商人员管理需求
1.供应链厂商和人员要遵守国家网络安全政策法规和税务机关各项网络安全规章制度情况,供应链厂商要与税务机关签订《厂商网络安全承诺书》,向税务机关提交供应链厂商人员的《个人网络安全承诺书》及《无犯罪记录证明》。
2.供应链厂商要配合税务机关对涉及税务机关税务信息化项目(以下简称项目)的人员做好背景审查。
3.供应链厂商要定期对聘用离职税务人员情况进行排查,建立相关资料档案,确保人员安全可信。
4.供应链厂商要建立网络安全负责人制度,并配备一名具备独立决策能力并保持相对稳定的负责人,在项目实施的全过程负责网络安全和数据安全工作,组织落实各项网络安全和数据安全要求。
5.供应链厂商在项目实施前,要对参与人员开展网络和数据安全法律法规、安全技能、保密常识等方面的教育培训并考核合格;在项目开展期间,供应链厂商要定期开展相关培训、考核及警示教育,供应链厂商要通过教育培训不断提高厂商人员的网络和数据安全意识及保密意识。供应链厂商要对在项目开展期间离开涉及税务项目的人员进行离项审计。
6.供应链厂商要及时向税务机关报告可能发生影响网络安全的重大事项,包括负责人及重要工作人员变更、业务转型、合并重组、投资并购等。
7.供应链厂商要在项目启动前向税务机关提供基于项目场景的供应链《安全事件应急响应预案》,明确相关职责和应急处置流程;供应链厂商每年要向税务机关报送《供应链厂商应急演练记录》,确保快速有效处置供应链安全事件。
8.供应链厂商及人员要严格遵守采购合同、协议、承诺书等文件中的安全相关条款。
9.供应链厂商要按照要求,对关键信息基础设施和重要信息系统进行自查,不利用提供产品和服务的便利条件非法获取数据、非法控制和操纵设备,不中断产品供应或必要的技术支持服务等。
10.供应链厂商要加强人员违规违纪管理,对违规违纪行为按签订合同、协议、承诺书等相关条款进行处理,建立《违规违纪管理档案表》。对涉嫌违法犯罪的人员,要主动依照相应法律法规移交有关部门处理。
11.供应链厂商要严格落实风险控制、审计巡查、应急处置等方面的工作要求,确保系统安全稳定运行。供应链厂商要按着各项要求,撰写《年度供应链安全自查报告》并提交税务机关。
二、进驻税务机关办公安全管理需求
1.供应链厂商要加强驻场办公人员在日常工作中的行为安全管理,严格遵守运维场地管理规定及税务机关基础设施(机房)管理制度。
2.驻场办公人员进驻运维场地期间不得携带个人电脑、个人存储介质(U盘)、未授权软件安装包等工具。
3.驻场办公人员未经授权不允许访问、维护、维修基础设施。
4.驻场办公人员严禁私自使用运维终端打印及刻录输出数据。
5.驻场办公人员不得向第三方提供基础设施、场地设计图、设备部署图等有关信息。
6.驻场办公人员使用的终端必须安装防病毒软件,定期开展终端病毒查杀,并形成病毒查杀文档。
7.驻场办公人员不得将工作数据、工作内容、工作环境等任何与工作有关的信息传播至QQ、微信或任何与工作无关的地方。
三、开发建设安全管理需求
1.供应链厂商的软件研发工作场所需安全可控可信,要搭建专用的开发测试环境,配置安全可信的开发管理工具,设置可靠的权限管理策略,确保项目研发安全可控。
2.供应链厂商在税务机关提供场所开展软件开发测试工作时,网络安全负责人要严格管理本单位人员,严禁供应链厂商人员使用自带电脑和移动存储介质,严禁私自变更办公场所和办公设备,严禁安装非必要的应用程序和组件,严禁擅自复制、使用和修改文档、数据以及其他开发测试资料。
3.供应链厂商要加强对提供的项目所涉软、硬件产品及服务的管理,产品及服务必须满足国家认可的网络安全规范和认证要求,供应链清单内的产品要具备销售许可证,定制开发软件必须开展网络安全“三同步”测评。采用源代码安全审计、开源组件安全检测、软件安全性深度测试等技术手段,对相关产品开展安全检查和技术检测,对存在的问题进行整改,最大限度消除风险隐患,并形成《供应链产品检查清单》,提交至税务机关。
4.供应链厂商对项目使用的重要供应链产品要定期核查,形成《供应链产品清单》。
5.供应链厂商要加强对引入的第三方组件的管理,配合税务机关做好安全风险评估、漏洞扫描,做好漏洞评估、漏洞修复和版本升级工作,形成《第三方组件清单》(可以将第三方组件内容加入《供应链产品清单》)和《安全风险分析报告》,及时更新第三方组件相关信息并报送税务机关,采取有效措施保障第三方组件安全。
6.供应链厂商禁止使用存在高安全风险隐患或已停止维护的第三方组件。
7.供应链厂商在产品中如使用了开源代码,应确保其符合开源许可协议要求。供应链厂商自行开发且多项目共用的基础框架及组件,一并参照管理。
8.供应链厂商在项目开发建设时,要配置独立的、与互联网隔离的内部代码管理平台,并开展安全审查。严禁将源代码上传第三方平台,严禁使用互联网代码托管平台。
9.供应链厂商在项目开发建设时,要搭建具备权限管控功能的统一版本控制系统,将全部源代码纳入管理,并制定安全编码规范,严禁开发人员未经授权或越权访问和违规开发。
10.供应链厂商要开展源代码安全自查工作,设置专用代码审计场所,采用工具与人工核查相结合的方式开展工作,形成《源代码审计报告》提交税务机关。审计过程要确保源代码不外泄,对审计中发现的问题要及时解决。
11.供应链厂商需要税务机关提供用于测试的脱敏数据时,应明确脱敏字段需求,要规范测试数据使用权限,切断数据拷出途径,确保测试数据安全。
12.供应链厂商要按照“三同步”工作要求,在应用系统开发上线前将《供应链产品清单》、《第三方组件使用清单》、《源代码审计报告》等相关内容,汇总至系统安全“三同步”材料一并提交税务机关审核,要从开发设计环节即全面落实安全管理要求。
四、日常运维安全管理需求
1.供应链厂商人员开展工作所需的各类账户,要依据税务系统税费数据查询账号权限管理要求,按照最小化授权的原则,向税务机关提前申请,获得批准后方能使用,供应链厂商不得申请超出工作所需范围的账号权限。账户要采用实名制管理,准确填写厂商、姓名等基本信息,人员与账户一一对应,严禁用他人账户进行数据维护,严禁运维账户存在“一人多户”或“一户多人”情况。
2.供应链厂商要加强数据安全管理,规范供应链厂商人员的日常运维工作,不得擅自访问、修改或删除税费数据,严禁将生产环境的真实税费数据导入测试环境,测试系统中不能留有真实税费数据
3.供应链厂商及人员需要导出数据时要经过审批且符合规定,严禁私自导出数据。
4.供应链厂商及人员不得私自截留涉税相关数据,不得变更用途、用法,不得公开、转让或向第三方提供。
5.供应链厂商要及时发现风险隐患,对发现的网络安全漏洞、缺陷、数据泄露或其他重大网络安全风险,及时向税务机关报告,不得公开或向第三方提供。
6.供应链厂商要定期检查所使用产品及第三方组件,存在高危漏洞的应及时通过限制访问、更新补丁、版本升级、设备防护等措施进行加固处置;对于停止维护的产品及第三方组件,要评估是否存在高危漏洞,如存在无法修复的高危漏洞,要升级版本或更换产品及第三方组件。
10.1.3★信息化服务运维人员要求
本项目涉及信息化服务运维人员的,运维人员应当是运维单位的正式人员,或者是与运维单位签订1年以上劳动合同且实际工作满1年的人员,常驻运维人员应当为技术骨干。
本项目涉及测评人员应当是投标人的正式员工,且与投标人签订1年以上劳动合同且实际工作满1年的人员。
10.1.4其他
1.本项目中如涉及商品包装和快递包装的,其包装需求标准应不低于《关于印发<商品包装政府采购需求标准(试行)>、<快递包装政府采购需求标准(试行)>的通知》(财办库〔2020〕123 号)规定的包装要求,如有其他包装需求,详见采购文件技术部分相关章节。
2.本项目中如涉及网络关键设备或网络安全专用产品的,应严格执行国家互联网信息办公室、工业和信息化部、公安部、财政部和国家认证认可监督管理委员会 2023年第 1 号《关于调整网络安全专用产品安全管理有关事项的公告》及国家互联网信息办公室、工业和信息化部、公安部和国家认证认可监督管理委员会 2023 年第 2号《关于调整<网络关键设备和网络安全专用产品目录>的公告》等相关文件要求,所投标(响应)设备或产品至少符合以下条件之一:一是已由具备资格的机构安全认证合格或安全检测符合要求;二是已获得《计算机信息系统安全专用产品销售许可证》,且在有效期内。
3.本项目中如涉及国家强制性产品认证证书(CCC 认证证书)、电信设备进网许可证、无线电发射设备核准证等市场准入类资质的,应严格执行国家相关法律法规的要求。
以上相关要求,由供应商在响应时应答,在履约验收中,采购人将按照采购文件、中标/成交供应商响应文件、采购合同等对中标/成交供应商提供的货物和服务进行验收,必要时依法依规开展相应检测、认证。
投标人需对以下内容逐一承诺(格式自拟):
1.依据相关规定,本项目不采购税务系统失信记录名单中的服务提供商提供的产品及服务。
2.信息化项目使用的供应链产品提供要满足国家网络安全规范和认证要求。
3.投标人要建立网络安全负责人制度。每个项目均要设置网络安全负责人,组织落实各项网络安全要求。
4.投标人应提高安全责任意识,严控产品安全质量;建立清晰的软件供应链安全策略,明确相关的管理目标、工作流程、检查内容、责任部门等;严控上游,尤其重点管控开源代码的使用,确保使用的开源代码符合开源许可协议,形成第三方组件清单和安全分析报告,禁止使用存在高安全风险或已停止维护的第三方组件;严控自主开发代码的质量,采用软件源代码安全分析工具,持续检测和修复软件源代码中的安全缺陷和漏洞;建立完善的产品漏洞响应机制,包括产品漏洞信息的收集、漏洞报告渠道的建立和维护、漏洞补丁的开发和发布、客户端漏洞应急响应和修复支持等。发现网络安全漏洞、缺陷、数据泄露或其他重大网络安全风险,及时向采购人进行报告,不得擅自公开或向第三方提供。
5.项目实施前及实施期间,投标人要对参与项目人员进行网络和数据安全、技能等方面培训、考核、警示教育等。
6.应用系统上线前,投标人要进行安全功能测试(包括漏洞扫描、渗透测试、源代码审计、基线核查)。
7.应用系统上线前,投标人要提交供应链产品清单、第三方组件使用清单、安全测试报告、源代码审计报告、等保测评报告、供应链安全自查报告等。
8.采购人要对投标人方参与项目人员开展背景审查,投标人需项目人员提供无犯罪记录证明,公司和个人均签署保密协议、网络安全承诺书等。
9.投标人应配置独立的内部代码管理平台,且不与互联网链接。严禁将源代码上传第三方平台,严禁使用互联网代码托管平台。
10.投标人不得另行开发合同业务需求范围内,供纳税人、缴费人使用的软件。不得利用产品和服务的使得条件非法获取数据、非法控制和操纵设备,无正当理由不中断产品供应或必要技术支持服务等,如违反上述条款,将被纳入失信名单。
11.投标人违反国家税务总局吉林省税务局及其上级主管部门制定的网络安全规定行为造成不良后果的,将被纳入失信名单,3年内限制参加税务系统政府采购活动。
12.投标人不得在合同履行期间“围猎”税务人员。如违反上述条款,将被纳入失信名单,3年内限制参加税务系统政府采购活动。
13.投标人应建立防止违法违规聘用离职税务人员风险控制制度,如出现违法违规聘用离职税务人员行为,采购人有权采取以下措施:要求限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下属单位信息化项目政府采购活动等。
10.2知识产权要求
本项目所有知识产权归国家税务总局吉林省税务局所有。投标人需保证所提供的服务不侵犯第三方的知识产权(专利权、商标权、版权等),因侵害第三方知识产权而产生的法律责任,全部由投标人承担。
10.3付款安排建议
付款名称 | 付款要求 | 付款比例(%) |
第1次付款 | 合同签订后,中标供应商提出付款申请并出具合法等额发票后10个工作日内支付合同总金额的50% | 50.0 |
第2次付款 | 中标供应商完成合同全部服务并经采购人验收合格后,中标供应商提出付款申请并出具合法等额发票后10个工作日内支付合同总金额的50% | 50.0 |
10.4满足指标情况
“满足指标要求情况”内容一:
序号 | 产品名称 | 指标种类 | 指标名称 | 指标内容 | 证明材料要求(官网截图或产品说明书或白皮书或承诺书等证明材料) |
1 | 等保测评服务 | ★ | 总体要求 | 按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理人员、安全管理机构、安全建设管理和安全运维管理共10方面开展网络安全等级保护测评工作,并结合系统特点选择性增加云计算、大数据、移动互联等扩展要求。 | 否 |
2 | 密评服务 | ★ | 总体要求 | 依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置8大方面,对构成系统的密码产品、技术和算法,从合规、正确、有效三个维度,围绕机密性、完整性、真实性和不可否认四个特性进行商用密码应用安全性评估。 | 否 |
3 | 密评服务 | ★ | 现场测评阶段 | 对系统使用密码的合规、正确、有效进行判定、分析,通过访谈、文档审查、配置检查、工具测评和实地查看记录和测评结果。针对测评活动中发现的问题、问题的证据和证据源、在委托单位相关人员的配合下进行书面认可。 | 否 |
4 | 风评服务 | ★ | 总体要求 | 依据GB/T 20984-2022《信息安全技术 信息安全风险评估方法》,及相关信息安全安全标准规范,围绕信息安全需求,从以下方面开展风险评估:互联网和内网资产暴露面评估;基于黑盒的漏洞扫描和渗透测试。 | 否 |
“满足指标要求情况”内容二:
序号 | 产品名称 | 指标种类 | 指标名称 | 指标内容 | 证明材料要求(官网截图或产品说明书或白皮书或承诺书等证明材料) |
1 | 等保测评服务 | # | 总体要求 | 根据公安部最新的网络安全等级保护有关要求,协助采购人更新现有系统等级保护备案,以及结合现有安全保护措施,协助采购人制定保护工作方提供服务承诺书案。 | 提供服务承诺书 |
2 | 等保测评服务 | # | 测评准备阶段 | 在采购人配合下对税务应用系统进行资料收集和系统调研;进行信息收集、工具准备,在充分掌握被测系统的基础上编制测评计划书、调查问卷等。 | 提供服务承诺书 |
3 | 等保测评服务 | # | 测评方案编制阶段 | 编制等保测评方案,确认测评对象、测评指标、测评内容、整体测评方法、风险分析方法,编制现场测评方案、结果记录表等,现场测评方案包括但不限于项目概念、测评对象、测评指标、测评工具接入点、单项测评实施、系统测评实施等。 | 提供服务承诺书 |
4 | 等保测评服务 | # | 现场测评阶段 | 通过访谈、检查、测试、分析等方法,现场根据测评指导书对信息系统进行现场测评并进行结果证据收集确认,生成现场测评结果记录表。实施现场测评时投标人以不影响测评系统业务正常开展为前提。 | 提供服务承诺书 |
5 | 等保测评服务 | # | 现场测评阶段 | 根据《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018),在等保测评服务的现场测试中,应使用测试工具进行测试。为确保采购方参与测评的信息系统数据安全,为避免数据泄露,投标人应具备安全可控的等保测评服务工具类软件,包含但不限于恶意文件分析、主机端口安全检测、通信协议安全检测、主机日志分析和网络安全态势感知系统等。 | 提供软件著作权证书或采购合同或采购发票或租赁合同等相关证明材料 |
6 | 等保测评服务 | # | 报告编制阶段 | 依据单元测评结果汇总进行整体测评分析、风险分析、结果汇总、结论形成、结果判定、整改建议等,生成单项、单元评估结果汇总,并出具等级测评报告及备案资料。投标人须及时向被测评单位通报当前测评结果,对未通过测评的系统,投标人有义务向采购人提出书面整改意见,待整改措施落实后,投标人还应就相关指标重新测评,并及时修订相关测评结果,并与采购人进行书面确认。 | 提供服务承诺书 |
7 | 等保测评服务 | # | 安全服务要求 | 要求提供7×24小时安全应急服务,通过远程或现场方式提供快速、高效、专业的解决突发安全事故的安全服务;投标人应依照吉林省网络安全等级保护测评机构相关管理要求规定,为被测系统出具符合《网络安全等级测评报告模板(2025版)》要求的等级保护测评报告,并在出具报告时,加盖等级测评专用章,并协助备案。 | 提供服务承诺书 |
8 | 密评服务 | # | 密评准备阶段 | 确定测评技术思路、工作内容和项目组织计划,收集被测系统密码系统、密码管理情况、安全保护等级、业务情况、软硬件配置和相关部门管理员及角色等基础信息,进行密码协议分析工具、随机数检测工具、密码算法分析工具准备,进行现场密评授权、密评存在的风险、交接的文档名称、会议记录和签到。 | 提供服务承诺书 |
9 | 密评服务 | # | 密评方案编制阶段 | 确定测评对象、测评指标、测评检查点、测评内容、编制密评指导书、结果记录表、密评方案等。 | 提供服务承诺书 |
10 | 密评服务 | # | 现场测评阶段 | 根据《信息系统密码应用测评过程指南》(GM/T 0116-2021)标准中对于现场测评要求,投标人宜配置与被测信息系统一致的模拟/仿真环境,在模拟/仿真环境下开展测评工作。为确保采购方参与测评的信息系统数据安全,为避免数据泄露,投标人应具备开展密评服务安全可控的模拟/仿真环境,包括但不限于服务器密码机、动态口令服务器、签名验签服务器、应用安全网关服务器、数字证书认证系统、SSL VPN安全网关等。 | 提供软件著作权证书或采购合同或采购发票或租赁合同等相关证明材料 |
11 | 密评服务 | # | 现场测评阶段 | 根据《信息系统密码应用测评过程指南》(GM/T 0116-2021)标准中对于现场测评和结果要求,投标人根据被测信息系统的实际情况选择测试工具,在配置检查无法提供有力证据的情况下,应通过工具测试的方法抓取并分析被测信息系统相关数据。为确保采购方参与测评的信息系统数据安全,为避免数据泄露,投标人应具备安全可控的密评服务工具类软件,包含但不限于协议分析工具、算法合规性检测工具、随机性检测工具、数字证书格式合规性检测工具和移动应用代理抓包工具等。 | 提供软件著作权证书或采购合同或采购发票或租赁合同等相关证明材料 |
12 | 密评服务 | # | 报告编制与评审阶段 | 分析被测系统的安全现状(各个层面的基本安全状况)与标准中相应等级的基本要求的符合情况,给出单项测评结果;汇总统计单项测评结果,给出针对每个对象的单元测评结果;分析被测系统整体安全状况及对单项测评结果的修订情况。再次汇总分析各层面中各个测评对象的测评结果,分析被测系统存在的风险情况,形成测评结论。汇总单项测评结果、测评过程及结果、风险分析过程及结果,得出测评结论,安全建设整改建议等。 | 提供服务承诺书 |
13 | 密评服务 | # | 报告编制与评审阶段 | 整改方案要求,建设整改方案应包括建设方法、技术、工具等详细内容,必要时需协助指导进行整改工作。 | 提供服务承诺书 |
14 | 密评服务 | # | 安全服务要求 | 投标人应依据商用密码应用安全性评估管理要求:测评机构应保守在测评活动中知悉的国家秘密、工作秘密和数据,对所出具的密评结果负责,并协助备案。 | 提供服务承诺书 |
15 | 风评服务 | # | 总体要求 | 根据《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)标准中有关“引入风险评估服务技术支持方本身就是一个风险因素,因此,对风险评估服务技术支持方的背景与资质、评估过程与结果的保密要求等方面应进行控制。”有关要求,投标人应具备信息安全风险评估服务能力。 | 提供服务承诺书 |
16 | 风评服务 | # | 评估准备阶段 | 在对被评估的数据资产进行充分调研的基础上,确定评估范围、评估方式和依据,并配合采购人组织相关人员、并召开项目启动会,制定评估方案。 | 提供服务承诺书 |
17 | 风评服务 | # | 评估实施阶段 | 资产识别分析:调研分析,进行资产分类、资产赋值(保密性赋值、完整性赋值、可用性赋值、资产重要性等级) 威胁识别分析:依据资产确定威胁识别对象,进行威胁分类、威胁赋值。(提供服务承诺书) 脆弱性识别分析:针对税务相关业务系统,利用人员访谈、资料核查、技术手段核查、系统测评等方法,围绕数据全生命周期安全,进行脆弱性识别内容确定、脆弱性赋值。通过文档查阅、漏洞扫描、人工核查等对各资产、网络环境等进行检查和测试,分为技术和管理两个方面进行脆弱性识别分析。脆弱性识别是风险评估过程中最重要的环节。 | 提供服务承诺书 |
18 | 风评服务 | # | 评估实施阶段 | 根据分析情况出具资产调研报告、资产识别报告、威胁识别报告、脆弱性识别报告。 根据《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)中对于风险评估工具的要求,包括但不限于脆弱性扫描工具、渗透性测试工具、APP安全测试工具、代码审计工具等。为确保采购方参与测评的信息系统数据安全,为避免数据泄露,投标人应具有安全可控的信息风险评估服务工具类软件,包括但不限于漏洞挖掘系统、移动APP安全检测、自动化渗透系统、代码审计工具、网络安全风险检测工具等。 根据《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)中明确了“科学的风险评估需要大量的实践和经验数据的支持”相关要求,投标人需提供证明其风险发掘及风险识别的技术能力证明。 | 提供软件著作权证书或采购合同或采购发票或租赁合同等相关证明材料,提供服务承诺书。 |
19 | 风评服务 | # | 安全措施确认阶段 | 在识别脆弱性的同时,对已采取的安全措施的有效性进行确认,评估其有效性,即是否真正地降低系统的脆弱性及威胁,并出具安全措施确认报告。投标人须从脆弱性评估开始,对被评估系统不可接受风险的资产残余进行再评估,在对照安全措施前后的脆弱性状况后,再次计算风险值,对于残余风险仍处于不可接受的范围内,投标人须继续提供相应安全措施,直至不可接受风险的资产处于可接受的范围内。 | 提供服务承诺书 |
20 | 风评服务 | # | 报告编制阶段 | 评估后形成漏洞扫描和渗透测试报告、源代码安全审计报告,编制信息安全风险评估报告。 | 提供服务承诺书 |
21 | 风评服务 | # | 安全服务要求 | 投标人应依据风险评估方法,结合我局对于信息安全需求开展评估工作:测评机构应保守在测评活动中知悉的国家秘密、工作秘密和数据,对所出具的评估报告负责。 | 提供服务承诺书 |
| 打印本页 正文下载 |