采购需求前附表

采 购 需 求

项目名称：国家税务总局吉林省税务局2025年市（州）局防火墙更新项目

2025年07月

目 录

1项目概述.................................................................................................................... 4

1.1项目背景................................................................................................................ 4

1.1.1项目目的、意义及背景................................................................................................................ 4

1.2项目内容................................................................................................................ 4

1.2.1项目建设思路...................................................................................................... 4

1.2.2采购内容................................................................................................................ 4

1.2.3项目实施要求................................................................................................................ 4

1.3其他要求................................................................................................................ 4

1.3.1采购标的需执行的相关标准规范................................................................................................................ 4

2投标/响应要求................................................................................................................ 4

2.1对供应商的要求................................................................................................................ 4

2.1.1必备资质................................................................................................................ 5

2.1.2优选资质/优选指标................................................................................................................ 5

2.1.3是否允许联合体................................................................................................................ 5

2.1.4是否专门面向中小企业................................................................................................................ 5

2.1.5其他要求................................................................................................................ 5

2.2技术部分投标/响应内容................................................................................................................ 5

2.2.1技术投标/响应总要求................................................................................................................ 5

2.2.2投标/响应方案要求................................................................................................................ 6

3项目需求................................................................................................................ 6

3.1总体要求................................................................................................................ 7

3.2采购产品一览表................................................................................................................ 7

3.3采购产品详细清单及技术指标................................................................................................................ 7

3.4服务要求................................................................................................................ 8

3.4.1技术和服务要求................................................................................................................ 8

3.5其他要求................................................................................................................ 8

4人员要求................................................................................................................ 8

4.1团队要求................................................................................................................ 8

4.1.1基本要求................................................................................................................ 8

4.1.2优选资质/优选指标................................................................................................................ 8

5管理实施要求................................................................................................................ 8

6风险管控要求................................................................................................................ 9

7履约验收要求................................................................................................................ 9

7.1总体要求................................................................................................................ 9

7.2具体要求................................................................................................................ 9

8其他要求................................................................................................................ 9

8.1必备要求................................................................................................................ 9

8.1.1通用必备要求................................................................................................................ 10

8.2付款安排建议................................................................................................................ 14

8.2.1履约保证金................................................................................................................ 14

8.3其他要求................................................................................................................ 14

8.3.1保密要求................................................................................................................ 14

8.3.2知识产权要求................................................................................................................ 14

8.3.3★供应链安全管理要求................................................................................................................ 15

8.3.4其他................................................................................................................ 18

“满足指标要求情况”内容（概括版）(其一)................................................................................................................ 18

“满足指标要求情况”内容（概括版）(其二)................................................................................................................ 18

1项目概述

1.1项目背景

1.1.1项目目的、意义及背景

按照网络安全防护有关要求，市州局使用防火墙设备已超期运行且过保多年，无法满足正常工作需要，存在安全隐患，需购置防火墙进行补充替换。

1.2项目内容

1.2.1项目建设思路

按照网络安全防护有关要求更换市州局超期运行且过保多年的防火墙设备。

1.2.2采购内容

本项目主要购置防火墙设备40套。

1.2.3项目实施要求

1.2.3.1实施范围要求

国家税务总局吉林省税务局各市州局，按时提供设备，并提供本次硬件设备的安装，调试。

1.2.3.2实施时间要求

到货期限：自合同签订之日起15日内送至吉林省税务局指定地点，并保证所有货物全部符合质量标准和要求。安装调试期限：货物经验收合格后，15日内完成部署上线，并保证所有设备稳定运行。

质量保障服务期限：自验收之日起三年。

1.2.3.3实施地点要求

国家税务总局吉林省税务局各市州局

1.3其他要求

1.3.1采购标的需执行的相关标准规范

无

2投标/响应要求

2.1对供应商的要求

2.1.1必备资质

2.1.1.1投标人应遵守有关国家法律、法规和条例,具备《中华人民共和国政府采购法》第二十二条的规定和本文件中规定的条件。

2.1.1.2本项目的特定资格要求

无

2.1.2优选资质/优选指标

2.1.2.1相关证书

2.1.2.2成功案例

提供2022年1月1日以来类似业绩项目合同并加盖投标人公章。（标书中提供合同复印件，投标现场准备原件备查）

2.1.3是否允许联合体

否

2.1.4是否专门面向中小企业

本项目不专门面向中小企业采购项目

2.1.5其他要求

无

2.2技术部分投标/响应内容

2.2.1技术投标/响应总要求

投标人必须针对招标文件（技术部分）中有关章节的需求逐个或分块作出实质性响应，其响应应与需求书内容采用同样的顺序。对每个需求的响应必须遵循如下规则：

1.重复该需求；

2.简要描述应答书或应答方案如何满足该需求，如果该响应在应答书其他部分有详述，可在该处简单应答，但必须给出确切的位置索引；

3.解释应答书或应答方案与国家税务总局吉林省税务局需求之前的偏差；用数量来表示的需求，必须用确切的数字、单位来响应；

4.投标人应提供实质性确切响应，并有详细的文字描述和说明，任何仅采用“符合”、“满足”或非确定性数值（如“>=”或“<=”）的响应均将被视为没有对本需求书的实质性响应，从而可能导致严重后果；有关表格部分的响应应按商务部分规定的格式列出。

5.招标文件（技术部分）中有标注★号的，为必备需求，必须满足，如未作出响应或响应不满足的，将导致投标无效。#为重要服务内容、△为一般服务内容，满足在评审时将予以加分。

2.2.2投标/响应方案要求

以下相关方案，若作为评审因素，则投标人应在满足★关键指标项要求的前提下，根据项目特点和采购需求，制定更为完整、详细、可操作性强的方案。

1.项目管理实施方案：投标人提供的方案内容应包含项目管理实施总要求、项目实施进度及项目质量管理。

2.技术服务方案：投标人提供的方案内容应包含服务方式、服务标准及服务管理制度。

3.应急及安全保障方案：投标人提供的方案内容应包含安全保障方法、预警和预防机制、应急响应及处置措施。

4.保密方案：投标人提供的方案内容应包含保密组织管理、保密制度及保密措施。

5.项目验收方案：投标人提供的方案内容应包含验收组织流程、验收依据和标准、验收中出现问题的解决办法及补救措施。

3项目需求

3.1总体要求

采购文件（技术部分）中有标注★号的，为必备服务要求，必须满足，投标人如未作出响应，将导致招标无效；标注#号的，为重要服务内容；标注△号的，为一般服务内容，“是否需要证明材料”项填“是”或“否”。填“是”的，投标人须提供包含相关指标项的证明材料，证明材料可以使用生产厂家官方网站截图或产品白皮书或其他相关证明材料，未提供有效证明材料或证明材料或证明材料中内容与所填报指标不一致的，该指标按不满足处理。

3.2采购产品一览表

3.3采购产品详细清单及技术指标

采购文件（技术部分）中有标注★号的，为必备服务要求，必须满足，如未作出响应，将导致响应无效；#为重要服务内容、△为一般服务内容。

3.4服务要求

3.4.1技术和服务要求

投标人应向客户提供设备支持服务、系统支持服务、验收测试服务，应用业界领先的专业知识与实践经验，确保设备稳定运行、满足客户业务诉求、适应业务需求。

中标人应提供设备原厂商现场服务、热线、网络远程服务等技术支持手段。要求远程问题处理7×24小时响应响应时间10分钟内、出现故障后，中标人必须10分钟内到达现场，同时需要在30分钟内进行修复。

3.5其他要求

无

4人员要求

4.1团队要求

4.1.1基本要求

中标人应为本项目的实施工作配置相应资质和数量的人员，保证本项目顺利部署实施。

4.1.2优选资质/优选指标

5管理实施要求

到货期限：自合同签订之日起15日内送至吉林省税务局指定地点，并保证所有货物全部符合质量标准和要求。安装调试期限：货物经验收合格后，15日内完成部署上线，并保证所有设备稳定运行。

质量保障服务期限：自验收之日起三年。

中标人必须按照合同要求，按时提供相关产品，并按照合同相关要求配合项目的验收，如投标人不能按照要求在合同要求的时限内完成设备到货与安装，招标人有权取消合同，且履约保证金不予退还。

本项目按照项目管理要求、技术要求、集成要求和方案编制要求开展实施及工作，并接受和配合集成联调测试工作。

项目实施单位需要以下管理体系认证：信息技术服务管理体系认证、信息安全管理体系认证、质量管理体系认证。

6风险管控要求

1.风险管控总体要求

项目实施期间，投标人须做好市（州）局防火墙更新过程中各项安全保障工作，对项目实施中存在的风险制定风险管控预案和防范措施。

2.风险管控具体要求

（1）技术风险管理

投标人应充分预估项目实施中存在的技术风险，包括并不限于：网络环境、新旧设备割接等方面可能存在的风险，制定可靠的技术实施保障措施。

（2）操作风险管理

投标人应充分预估项目实施中人员技术服务存在的操作风险，包括并不限于：人为错误、实施流程不规范等，制定可靠的技术保障措施。

7履约验收要求

7.1总体要求

7.2具体要求

根据合同内容对本次所采购产品的型号、规格、数量核对验收并出具验收文件，质保时间符合产品指标要求。

（1）验收工作由采购人组织实施，由采购人、中标人共同完成。中标人应配合完成各阶段的验收工作，必要时由中标人按照验收要求完成测试，提交项目验收方案及测试等相关文件，经采购人确认各项指标达到合同约定后进行项目验收。

（2）中标人应在项目验收、测试时提供相关的测试环境及必要的设备和工具，使用的各类支撑工具应保证采购人在测试过程合法免费使用，中标人承担由于知识产权等纠纷导致的所有责任。

（3）中标人提供的各类文件需内容完整、描述清晰、版本最新，各类方案要求实现目标明确、工作措施得力、可操作性强、具有前瞻性。产出物应提供电子和纸质两种介质，并保持版本一致。

（4）对验收中发现的问题，中标人应提出有效解决办法和措施，经采购人确认后实施。

8其他要求

8.1必备要求

8.1.1通用必备要求

1.本项目中如涉及商品包装和快递包装的，其包装需求标准应不低于《关于印发<商品包装政府采购需求标准（试行）>、<快递包装政府采购需求标准（试行）>的通知》（财办库〔2020〕123 号）规定的包装要求，如有其他包装需求，详见采购文件技术部分相关章节。

2.本项目中如涉及网络关键设备或网络安全专用产品的，应严格执行国家互联网信息办公室、工业和信息化部、公安部、财政部和国家认证认可监督管理委员会 2023年第 1 号《关于调整网络安全专用产品安全管理有关事项的公告》及国家互联网信息办公室、工业和信息化部、公安部和国家认证认可监督管理委员会 2023 年第 2号《关于调整<网络关键设备和网络安全专用产品目录>的公告》等相关文件要求，所投标（响应）设备或产品至少符合以下条件之一：一是已由具备资格的机构安全认证合格或安全检测符合要求；二是已获得《计算机信息系统安全专用产品销售许可证》，且在有效期内。

3.本项目中如涉及国家强制性产品认证证书（CCC 认证证书）、电信设备进网许可证、无线电发射设备核准证等市场准入类资质的，应严格执行国家相关法律法规的要求。

以上相关要求，由供应商在响应时应答，在履约验收中，采购人将按照采购文件、中标/成交供应商响应文件、采购合同等对中标/成交供应商提供的货物和服务进行验收，必要时依法依规开展相应检测、认证。

投标人需对以下内容逐一承诺（格式自拟）：

1.依据相关规定，本项目不采购税务系统失信记录名单中的服务提供商提供的产品及服务。

2.信息化项目使用的供应链产品提供要满足国家网络安全规范和认证要求。

3.投标人要建立网络安全负责人制度。每个项目均要设置网络安全负责人，组织落实各项网络安全要求。

4.投标人应提高安全责任意识，严控产品安全质量；建立清晰的软件供应链安全策略，明确相关的管理目标、工作流程、检查内容、责任部门等；严控上游，尤其重点管控开源代码的使用，确保使用的开源代码符合开源许可协议，形成第三方组件清单和安全分析报告，禁止使用存在高安全风险或已停止维护的第三方组件；严控自主开发代码的质量，采用软件源代码安全分析工具，持续检测和修复软件源代码中的安全缺陷和漏洞；建立完善的产品漏洞响应机制，包括产品漏洞信息的收集、漏洞报告渠道的建立和维护、漏洞补丁的开发和发布、客户端漏洞应急响应和修复支持等。发现网络安全漏洞、缺陷、数据泄露或其他重大网络安全风险，及时向采购人进行报告，不得擅自公开或向第三方提供。

5.项目实施前及实施期间，投标人要对参与项目人员进行网络和数据安全、技能等方面培训、考核、警示教育等。

6.应用系统上线前，投标人要进行安全功能测试（包括漏洞扫描、渗透测试、源代码审计、基线核查）。

7.应用系统上线前，投标人要提交供应链产品清单、第三方组件使用清单、安全测试报告、源代码审计报告、等保测评报告、供应链安全自查报告等。

8.采购人要对投标人方参与项目人员开展背景审查，投标人需项目人员提供无犯罪记录证明，公司和个人均签署保密协议、网络安全承诺书等。

9.投标人应配置独立的内部代码管理平台，且不与互联网链接。严禁将源代码上传第三方平台，严禁使用互联网代码托管平台。

10.投标人不得另行开发合同业务需求范围内，供纳税人、缴费人使用的软件。不得利用产品和服务的使得条件非法获取数据、非法控制和操纵设备，无正当理由不中断产品供应或必要技术支持服务等，如违反上述条款，将被纳入失信名单。

11.投标人违反国家税务总局吉林省税务局及其上级主管部门制定的网络安全规定行为造成不良后果的，将被纳入失信名单，3年内限制参加税务系统政府采购活动。

12.投标人不得在合同履行期间“围猎”税务人员。如违反上述条款，将被纳入失信名单，3年内限制参加税务系统政府采购活动。

13.投标人应建立防止违法违规聘用离职税务人员风险控制制度，如出现违法违规聘用离职税务人员行为，采购人有权采取以下措施：要求限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下属单位信息化项目政府采购活动等。

投标人在采购以及后续项目实施过程中，应严格遵守国家税务总局税收信息化项目开发和应用管理工作要求。对于因失信行为纳入《税务系统信息化服务商失信行为记录名单》的投标人，存在一般失信行为的，由采购人函告服务商；存在严重失信行为的，由采购人约谈服务商主要负责人；对于违反合同约定的，依据合同约定及政府采购有关规定，采购人可采取要求限期改正、在应付合同金额中扣除违约金、解除合同、拒绝参加税务系统政府采购活动等措施；对于存在影响恶劣的严重违法失信行为的，由采购人按规定推送财政部纳入政府采购严重违法失信行为记录名单。

本项目管理实施和验收由省局网络安全和信息化领导小组办公室负责。项目实施过程中，投标人应严格根据合同内容对本次所采购产品及服务的型号、规格、数量核对验收并出具验收文件，质保时间符合产品指标要求。

中标人在参与税务部门信息化项目工作过程中，需严格遵守法律法规、规范履行合同，积极协助税务部门开展廉政风险防控工作。请严格遵守并落实如下要求：

一、积极发挥廉政风险防控正向作用。中标人有义务配合税务部门在信息化项目工作中加强廉政风险防控，执行有关措施。

二、健全廉政风险防控机制。中标人有责任在项目管理机制中健全内部廉政防控措施，包括但不限于：对参与本项目的员工提出廉洁行为规范；指定专人对项目实施各环节进行廉政监督；在项目验收过程中提交本项目廉政情况报告等。

三、杜绝违纪违法行为。中标人及相关项目人员必须严格遵守党纪国法，坚守职业道德，杜绝任何形式的利益输送、权力寻租等违纪违法行为，对甲方工作人员不得实施以下行为：

（一）以各种形式和名义提供礼品、礼金、电子红包、支付凭证、商业预付卡、名贵特产、有价证券、股权、其他金融产品等财物。

（二）以各种形式和名义提供宴请、旅游、健身、娱乐、私人会所等活动安排；代付加班餐费、打车费等。

（三）以讲课费、咨询费等名义，提供或变相提供报酬。

（四）借款、借房、借车，报销应由个人负担的费用。

（五）以无偿、象征性地收取费用等方式提供家政、司机等服务劳务。

（六）其他通过任何形式行贿或输送利益的行为。

四、信守承诺。中标人应承诺在项目实施过程中，严格遵守国家法律法规合法、诚信经营，杜绝商业贿赂、规范经营活动、公开透明合作、严格内部管理，并签订《税务信息化项目服务商廉洁承诺书》提交甲方负责项目实施的单位。

五、自觉接受监管。中标人有义务配合税务机关的正常业务监管以及纪检监察、外部审计、督察内审等监督机构对税务信息化项目全过程的监督检查工作，如实提供相关资料和信息，不得隐瞒、篡改或销毁与项目建设有关的文件、数据等资料。

六、举报和反馈意见。项目执行过程中，中标人有权举报、反馈甲方索贿受贿、吃拿卡要、违反中央八项规定精神等违纪违法行为。项目验收前，应填写《税务信息化项目服务商廉政反馈书》，提交甲方税务机关网络安全和信息化领导小组办公室。

税务信息化服务商廉洁承诺书

为深入贯彻落实党中央关于全面从严治党的决策部署，进一步加强税务信息化项目合作中的廉政建设，防范廉政风险发生，确保项目公开、公平、公正推进，我司郑重承诺如下：

一、合法合规经营。严格遵守国家法律法规及税务部门的相关规定，坚持廉洁从业、诚信经营的原则。在合作过程中不以任何形式进行利益输送，维护良好的政商关系。

二、杜绝商业贿赂。加强内部管理，我司及我司员工均不对甲方工作人员实施以下行为：

（一）以各种形式和名义提供礼品、礼金、电子红包、支付凭证、商业预付卡、名贵特产、有价证券、股权、其他金融产品等财物。

（二）以各种形式和名义提供宴请、旅游、健身、娱乐、私人会所等活动安排；代付加班餐费、打车费等。

（三）以讲课费、咨询费等名义，提供或变相提供报酬。

（四）借款、借房、借车，报销应由个人负担的费用。

（五）以无偿、象征性地收取费用等方式提供家政、司机等服务劳务。

（六）其他通过任何形式行贿或输送利益的行为。

三、规范经营活动。严格按照合同约定履行义务，保证项目质量，按时完成建设任务；在合作过程中不以任何借口拖延工期、虚报成本或谋取私利。

四、公开透明合作。我司承诺在项目实施过程中保持公开透明，主动接受税务部门及纪检监察机构的全程监督，并积极配合任何有关廉洁从业的调查工作。

五、严格内部管理。加强企业内部廉洁教育，确保员工知晓并遵守相关法律法规及廉洁要求；加强项目实施全过程廉洁监督；对于违反廉洁承诺的员工，将严肃处理，并承担相应责任。

六、积极参与监督。在税务信息化项目实施过程中，如发现任何违纪违法行为，将如实反馈问题和意见。

承诺单位（盖章）：_________________________

法定代表人或授权代表签字：________________

日期：XX年XX月XX日

备注：本承诺书一式两份，一份由承诺单位留存，另一份交税务部门备案。

项目终验前提交《税务信息化项目服务商廉政反馈书》

税务信息化廉政情况反馈书

项目基本情况

项目名称（编号） XXX税务信息化项目  项目编号

服务商名称 XXX公司

联系人及电话 联系人：  职务：   电话：123-4567890

项目情况概述

廉洁承诺履行情况

反馈项 反馈内容

杜绝商业贿赂 向税务工作人员及其家属赠送礼品、礼金或提供任何形式的宴请、娱乐活动情况。

规范经营活动 按照合同要求，按时完成各阶段任务，确保项目质量和进度情况。

公开透明合作 在项目实施过程中保持信息公开透明，主动接受相关部门的监督和检查情况。

税务人员履职期间廉政情况

税务人员履职过程存在违纪违规行为 否

是（说明具体情况）

提交单位（盖章）：XXX公司

法定代表人或授权代表签字：_________________________

日期：XX年XX月XX日

8.2付款安排建议

8.2.1履约保证金

履约保证金及其返还：本项目收取合同金额的5%作为履约保证金。本项目自验收合格之日算起一年后设备运行正常无质量问题的一次性无息返还。

8.3其他要求

8.3.1保密要求

投标人及参与项目的所有人员应严格遵守招标人的保密要求，签订保密协议，参与人员由投标人担保；招标人提供的资料，投标人不得以任何形式向第三方传播。保密期限不受本项目期限的限制，在本项目履行完毕后，保密信息接受方仍应按照国家有关规定承担保密义务。

1.双方应对在合同签订或履行过程中所接触的对方信息，包括但不限于知识产权、技术资料、技术诀窍、内部管理及其他相关信息，负有保密义务。

2.投标人在使用用户方为其提供的数据、程序、用户名、口令、资料及甲方相关的业务和技术文档，包括方案设计细节、程序文件、数据结构，以及相关业务系统的硬软件、文档、测试和测试产生的数据时，应遵循以下约定:

（1）应以审慎态度避免泄露、公开或传播用户方的信息;

（2）未经用户方书面许可，不得对有关信息进行修改、补充、复制;

（3）未经用户方书面许可，不得将信息以任何方式(如 E-mail)携带出甲方场所;

（4）未经用户方书面许可，不得将信息透露给任何其他人;

（5） 用户方以书面形式提出的其他保密措施。

3.保密期限不受合同有效期的限制，在合同有效期结束后，信息接受方仍应承担保密义务，直至该等信息成为公开信息。

4.双方如出现泄密行为，泄密方应承担相关的法律责任并承担由此给对方造成的经济损失。

8.3.2知识产权要求

本项目所有知识产权归国家税务总局吉林省税务局所有。投标人需保证所提供的服务不侵犯第三方的知识产权（专利权、商标权、版权等），因侵害第三方知识产权而产生的法律责任，全部由投标人承担。

8.3.3★供应链安全管理要求

1.人员资格要求

（1）签订承诺书。投标人应严格落实国家税务总局网络安全和保密管理要求，承担技术支持人员的网络安全和保密管理责任，按采购人要求签订协议和承诺书。

（2）开展背景审查。投标人承担技术支持人员背景审查工作，提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料，并提交采购人进行备案。

（3）设置网络安全负责人（由现场实施人员兼任）。投标人为本项目配备一名网络安全负责人，该负责人具备独立决策能力并保持相对稳定，在项目实施的全过程负责网络安全工作，组织落实各项网络安全要求。

2.日常行为规范要求

（1）工作能力要求。投标人负责对技术支持人员进行资格条件、工作胜任力以及网络安全能力评估，对技术支持人员承担的工作进行安全保密风险分析，明确技术支持人员工作范围和边界，重点防范设备和资料失窃、误操作导致的软硬件故障、工作秘密和税费数据等信息泄露、信息系统越权访问和网络攻击等风险。

（2）教育培训要求。投标人负责对技术支持人员进行网络和数据安全法律法规、网络安全意识、网络安全管理、网络安全技能、保密意识以及网络安全警示教育等培训，上岗前对其进行考核。

3.违约惩戒措施

投标人对供应链安全管理责任落实不到位，造成安全事件或产生不良影响的，采购人按照《税务系统信息化服务商失信行为记录名单制度（试行）》（税总办征科发〔2022〕1号）要求，组织对投标人进行失信行为认定，并采取相应的处置措施。

一、供应链厂商人员管理需求

1.供应链厂商和人员要遵守国家网络安全政策法规和税务机关各项网络安全规章制度情况，供应链厂商要与税务机关签订《厂商网络安全承诺书》，向税务机关提交供应链厂商人员的《个人网络安全承诺书》及《无犯罪记录证明》。

2.供应链厂商要配合税务机关对涉及税务机关税务信息化项目（以下简称项目）的人员做好背景审查。

3.供应链厂商要定期对聘用离职税务人员情况进行排查，建立相关资料档案，确保人员安全可信。

4.供应链厂商要建立网络安全负责人制度，并配备一名具备独立决策能力并保持相对稳定的负责人，在项目实施的全过程负责网络安全和数据安全工作，组织落实各项网络安全和数据安全要求。

5.供应链厂商在项目实施前，要对参与人员开展网络和数据安全法律法规、安全技能、保密常识等方面的教育培训并考核合格；在项目开展期间，供应链厂商要定期开展相关培训、考核及警示教育，供应链厂商要通过教育培训不断提高厂商人员的网络和数据安全意识及保密意识。供应链厂商要对在项目开展期间离开涉及税务项目的人员进行离项审计。

6.供应链厂商要及时向税务机关报告可能发生影响网络安全的重大事项，包括负责人及重要工作人员变更、业务转型、合并重组、投资并购等。

7.供应链厂商要在项目启动前向税务机关提供基于项目场景的供应链《安全事件应急响应预案》，明确相关职责和应急处置流程；供应链厂商每年要向税务机关报送《供应链厂商应急演练记录》，确保快速有效处置供应链安全事件。

8.供应链厂商及人员要严格遵守采购合同、协议、承诺书等文件中的安全相关条款。

9.供应链厂商要按照要求，对关键信息基础设施和重要信息系统进行自查，不利用提供产品和服务的便利条件非法获取数据、非法控制和操纵设备，不中断产品供应或必要的技术支持服务等。

10.供应链厂商要加强人员违规违纪管理，对违规违纪行为按签订合同、协议、承诺书等相关条款进行处理，建立《违规违纪管理档案表》。对涉嫌违法犯罪的人员，要主动依照相应法律法规移交有关部门处理。

11.供应链厂商要严格落实风险控制、审计巡查、应急处置等方面的工作要求，确保系统安全稳定运行。供应链厂商要按着各项要求，撰写《年度供应链安全自查报告》并提交税务机关。

二、进驻税务机关办公安全管理需求

1.供应链厂商要加强驻场办公人员在日常工作中的行为安全管理，严格遵守运维场地管理规定及税务机关基础设施（机房）管理制度。

2.驻场办公人员进驻运维场地期间不得携带个人电脑、个人存储介质（U盘）、未授权软件安装包等工具。

3.驻场办公人员未经授权不允许访问、维护、维修基础设施。

4.驻场办公人员严禁私自使用运维终端打印及刻录输出数据。

5.驻场办公人员不得向第三方提供基础设施、场地设计图、设备部署图等有关信息。

6.驻场办公人员使用的终端必须安装防病毒软件，定期开展终端病毒查杀，并形成病毒查杀文档。

7.驻场办公人员不得将工作数据、工作内容、工作环境等任何与工作有关的信息传播至QQ、微信或任何与工作无关的地方。

三、开发建设安全管理需求

1.供应链厂商的软件研发工作场所需安全可控可信，要搭建专用的开发测试环境，配置安全可信的开发管理工具，设置可靠的权限管理策略，确保项目研发安全可控。

2.供应链厂商在税务机关提供场所开展软件开发测试工作时，网络安全负责人要严格管理本单位人员，严禁供应链厂商人员使用自带电脑和移动存储介质，严禁私自变更办公场所和办公设备，严禁安装非必要的应用程序和组件，严禁擅自复制、使用和修改文档、数据以及其他开发测试资料。

3.供应链厂商要加强对提供的项目所涉软、硬件产品及服务的管理，产品及服务必须满足国家认可的网络安全规范和认证要求，供应链清单内的产品要具备销售许可证，定制开发软件必须开展网络安全“三同步”测评。采用源代码安全审计、开源组件安全检测、软件安全性深度测试等技术手段，对相关产品开展安全检查和技术检测，对存在的问题进行整改，最大限度消除风险隐患，并形成《供应链产品检查清单》，提交至税务机关。

4.供应链厂商对项目使用的重要供应链产品要定期核查，形成《供应链产品清单》。

5.供应链厂商要加强对引入的第三方组件的管理，配合税务机关做好安全风险评估、漏洞扫描，做好漏洞评估、漏洞修复和版本升级工作，形成《第三方组件清单》（可以将第三方组件内容加入《供应链产品清单》）和《安全风险分析报告》，及时更新第三方组件相关信息并报送税务机关，采取有效措施保障第三方组件安全。

6.供应链厂商禁止使用存在高安全风险隐患或已停止维护的第三方组件。

7.供应链厂商在产品中如使用了开源代码，应确保其符合开源许可协议要求。供应链厂商自行开发且多项目共用的基础框架及组件，一并参照管理。

8.供应链厂商在项目开发建设时，要配置独立的、与互联网隔离的内部代码管理平台,并开展安全审查。严禁将源代码上传第三方平台，严禁使用互联网代码托管平台。

9.供应链厂商在项目开发建设时，要搭建具备权限管控功能的统一版本控制系统，将全部源代码纳入管理，并制定安全编码规范，严禁开发人员未经授权或越权访问和违规开发。

10.供应链厂商要开展源代码安全自查工作，设置专用代码审计场所，采用工具与人工核查相结合的方式开展工作，形成《源代码审计报告》提交税务机关。审计过程要确保源代码不外泄，对审计中发现的问题要及时解决。

11.供应链厂商需要税务机关提供用于测试的脱敏数据时，应明确脱敏字段需求，要规范测试数据使用权限，切断数据拷出途径，确保测试数据安全。

12.供应链厂商要按照“三同步”工作要求，在应用系统开发上线前将《供应链产品清单》、《第三方组件使用清单》、《源代码审计报告》等相关内容，汇总至系统安全“三同步”材料一并提交税务机关审核，要从开发设计环节即全面落实安全管理要求。

四、日常运维安全管理需求

1.供应链厂商人员开展工作所需的各类账户，要依据税务系统税费数据查询账号权限管理要求，按照最小化授权的原则，向税务机关提前申请，获得批准后方能使用，供应链厂商不得申请超出工作所需范围的账号权限。账户要采用实名制管理，准确填写厂商、姓名等基本信息，人员与账户一一对应，严禁用他人账户进行数据维护，严禁运维账户存在“一人多户”或“一户多人”情况。

2.供应链厂商要加强数据安全管理，规范供应链厂商人员的日常运维工作，不得擅自访问、修改或删除税费数据，严禁将生产环境的真实税费数据导入测试环境，测试系统中不能留有真实税费数据

3.供应链厂商及人员需要导出数据时要经过审批且符合规定，严禁私自导出数据。

4.供应链厂商及人员不得私自截留涉税相关数据，不得变更用途、用法，不得公开、转让或向第三方提供。

5.供应链厂商要及时发现风险隐患，对发现的网络安全漏洞、缺陷、数据泄露或其他重大网络安全风险，及时向税务机关报告，不得公开或向第三方提供。

6.供应链厂商要定期检查所使用产品及第三方组件，存在高危漏洞的应及时通过限制访问、更新补丁、版本升级、设备防护等措施进行加固处置；对于停止维护的产品及第三方组件，要评估是否存在高危漏洞，如存在无法修复的高危漏洞，要升级版本或更换产品及第三方组件。

8.3.4其他

“满足指标要求情况”内容（概括版）(其一)

“满足指标要求情况”内容（概括版）(其二)