采購需求前附表

1.項目概述

1.1項目背景

為貫徹落實****總局數(shù)據(jù)安全和供應鏈安全管理要求，建立常態(tài)化值班值守、監(jiān)測預警、應急處置工作機制，保障我局網絡安全設備和網絡安全應用系統(tǒng)正常運行，加強對重要數(shù)據(jù)和供應鏈風險隱患排查工作，進一步提升省局的網絡安全保障能力。

1.2項目內容

項目內容包括：日常性網絡安全運維、7*24小時安全監(jiān)測、網絡安全系統(tǒng)運維、數(shù)據(jù)安全風險評估和供應鏈廠商網絡安全能力評估服務。

2. 投標/響應要求

2.1 供應商必備資質要求

中標供應商參加本采購活動應符合《政府采購法》第二十二條的規(guī)定，具備下列條件：

（1）具有獨立承擔民事責任的能力；

（2）具有良好的商業(yè)信譽和健全的財務會計制度；

（3）具有履行合同所必需的設備和專業(yè)技術能力；

（4）有依法繳納稅收和社會保障資金的良好記錄；

（5）法律、行政法規(guī)規(guī)定的其他條件。

（6）本次招標不接受聯(lián)合體投標，禁止有隸屬關系或相關聯(lián)企業(yè)同時投標，不得轉包及分包。

2.2 供應商優(yōu)選資質要求

（1）具備ISO27001信息安全管理體系認證證書；

（2）具有ISO9001質量管理體系認證證書；

（3）具備ISO20000信息技術服務管理體系認證證書；

（4）成功案例：提供2020年1月1日以來（以合同簽訂日期為準）獨立承擔類似項目成功案例；

（5）具有信息安全服務資質證書（風險評估類、安全工程類）。

2.3投標/響應文件技術部分響應內容要求

2.3.1項目需求理解：投標人對項目定位、服務目標是否精準。

2.3.2項目方案：根據(jù)方案能否完整響應項目需求。整體服務方案及措施是否完整，是否具有針對性及科學性；駐場服務人員關系管理方案、檔案戶籍及社保管理方案、員工培訓計劃與方案、突發(fā)事件應急處理方案、符合采購人的其他服務方案（特色服務、增值服務等）是否合理、可行、符合采購人實際需求。

2.3.3項目管理方案：項目管理方案要合理、嚴謹、職責清晰、可操作性強、風險可控性強。

3. 項目需求

3.1 日常性網絡安全運維

3.1.1 負責********稅務局）互聯(lián)網業(yè)務區(qū)、業(yè)務專網區(qū)和橫向聯(lián)網區(qū)100余臺/套網絡安全設備（包括：防火墻、入侵檢測、抗DDOS設備、WEB應用防火墻、SSL安全網關、網閘、網頁防篡改、運維審計系統(tǒng)、綜合日志審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、態(tài)勢感知平臺、終端安全管理平臺等）運行監(jiān)測、安全分析、升級維護、故障處理、日志審計和應急響應等工作。

****稅務局網絡安全設備維護清單如下：

3.1.2 ****稅務局關鍵信息基礎設施和重要應用系統(tǒng)的日志信息的轉存和備份，及時分析發(fā)現(xiàn)處置網絡安全事件，定期提交網絡安全日志的數(shù)據(jù)分析和審計報告。

3.1.3 ****稅務局互聯(lián)網區(qū)、業(yè)務專網區(qū)和橫向聯(lián)網區(qū)、電子發(fā)票服務平臺等120余個應用系統(tǒng)，包含400余臺物理機、2700余臺虛擬化主機的網絡安全漏洞管理工作，包含但不限于網絡安全漏洞預警、掃描、交接、修復驗證等工作，各區(qū)域應用系統(tǒng)數(shù)量如下：

（1）互聯(lián)網業(yè)務區(qū)：門戶網站系統(tǒng)、電子稅務局系統(tǒng)、增值稅發(fā)票管理系統(tǒng)、電票平臺、征納互動平臺、統(tǒng)一身份管理平臺、自助辦稅系統(tǒng)、自然人申報記錄系統(tǒng)、社保費系統(tǒng)、重點稅源網上直報等27個系統(tǒng)、710余臺主機；

（2）橫向聯(lián)網區(qū)：外部交換、稅收大數(shù)據(jù)智稅平臺、社保費征管信息系統(tǒng)、稅企直**臺、車船稅聯(lián)網征收系統(tǒng)和社保費稅銀系統(tǒng)等10余個系統(tǒng)、50余臺主機；

（3）業(yè)務專網區(qū)：金稅三期管理系統(tǒng)、電子發(fā)票服務平臺、征納互動平臺、稅智撐平臺、統(tǒng)一身份管理平臺、金稅三期稅收管理系統(tǒng)、數(shù)字人事系統(tǒng)、電子稅務局系統(tǒng)、ATM自助辦稅系統(tǒng)、電子公文系統(tǒng)、財務管理系統(tǒng)、第三方支付平臺、電子檔案系統(tǒng)、發(fā)票2.0系統(tǒng)、國地稅機構改革系統(tǒng)、金稅工程運維服務管理平臺、綜合征管系統(tǒng)、自然人稅收管理系統(tǒng)、征管輔助平臺、稅收社會化平臺、稅收大數(shù)據(jù)智稅平臺系統(tǒng)、稅企直**臺、社保費征管信息系統(tǒng)、內部控制監(jiān)督平臺等80余個系統(tǒng)、1500余臺主機。

3.2 7*24小時值班值守和運行監(jiān)測及處置

負責全年7*24小時網絡安全值班值守及監(jiān)測處置工作。網絡安全設備（防火墻、入侵檢測、抗DDOS設備、WEB應用防火墻、網閘、網頁防篡改、運維審計系統(tǒng)、綜合日志審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、威脅感知平臺、終端安全管理系統(tǒng)等）的7*24小時運行監(jiān)控及維護，通過各類安全設備監(jiān)測各區(qū)域的攻擊威脅，發(fā)現(xiàn)攻擊行為及時進行阻斷及處置工作。

3.3 網絡安全系統(tǒng)運維服務

3.3.1 金稅三期應用安全支撐平臺

（1****稅務局金稅三期應用安全支撐平臺系統(tǒng)的運維服務。提供金稅三期應用安全支撐平臺系統(tǒng)的的運行支持保障，對該項目所涉及的服務器、中間件應用以及業(yè)務應用軟件平臺等進行維護管理和操作，并按照后續(xù)業(yè)務優(yōu)化情況，對系統(tǒng)進行功能升級與測試。

（2）應用環(huán)境運維服務。對應用安全支撐平臺4臺應用服務器上運行的應用支撐軟件等進行巡檢,主要包括服務器磁盤空間使用率、進程使用**、系統(tǒng)日志、redis運行狀態(tài)、weblogic進程狀態(tài)等；

（3）故障處理服務。受理用戶通過電話、郵件等各種方式提出的的遠程技術支持請求，并在最短時間內進行實質性響應；系統(tǒng)出現(xiàn)無法登錄、登錄緩慢等故障或其他問題（非停機性質問題，如系統(tǒng)運行緩慢或不穩(wěn)定）時，負責診斷應用系統(tǒng)故障原因，并提出故障處理建議或解決方案；

（4）應用系統(tǒng)運維服務。對平臺和各功能模塊的運行效率、性能、可用性等進行監(jiān)控和分析，并根據(jù)分析結果對系統(tǒng)進行性能優(yōu)化（包含底層開發(fā)平臺的優(yōu)化），包括參數(shù)調整、結構擴展和重新部署等。提供單點登錄系統(tǒng)、用戶權限系統(tǒng)使用過程中相關問題解答服務；

（5）運維管理服務。****稅務局要求，積極配合完成該運維服務而開展的研討、咨詢、故障會診等，并配合制定運維服務管理、監(jiān)督的各類規(guī)章制度和流程；

（6）其他要求。提供升級與優(yōu)化相關服務，包括應用系統(tǒng)上線、變更等必要的健康檢查、值守保障等，并在升級與優(yōu)化工作完成后提供升級與優(yōu)化的相關技術資料；對應用安全支撐平臺項目運行過程中出現(xiàn)的各類問題進行解答，包括系統(tǒng)安全問題，業(yè)務安全問題等；****稅務局分析現(xiàn)有的應用安全狀況，修補安全漏洞，提高應用安全水平，發(fā)現(xiàn)新的應用安全增值服務，規(guī)劃新的應用安全體系架構。

3.3.2 稅務數(shù)字證書注冊、發(fā)布系統(tǒng)

（1****稅務局稅務數(shù)字證書系統(tǒng)的運維服務。提供稅務數(shù)字證書系統(tǒng)的運行支持保障，對該項目所涉及的服務器、中間件應用以及業(yè)務應用軟件平臺等進行維護管理和操作，并按照后續(xù)業(yè)務優(yōu)化情況，對系統(tǒng)進行功能升級。

（2）故障定位和問題處理。協(xié)助判斷網絡連接的問題，如防火墻限制、網絡不連通；操作系統(tǒng)版本環(huán)境兼容性問題；計算機USB接口或證書介質硬件故障；證書有效性等問題；

對稅務數(shù)字證書注冊系統(tǒng)相關業(yè)務場景說明、業(yè)務操作流程和業(yè)務功能方面提供技術支持服務；對崗位設置、崗位職能、崗位權限管理等方面提供技術支持服務；稅務數(shù)字證書注冊系統(tǒng)遠程終端的部署安裝，包括客戶端控件的安裝、操作員證書驅動的安裝等方面提供技術支持服務。

（3）負責內部證書注冊系統(tǒng)、內部證書注冊系統(tǒng)、內部證書狀態(tài)查詢系統(tǒng)、外部證書注冊系統(tǒng)、外部證書注冊系統(tǒng)、外部證書狀態(tài)查詢系統(tǒng)的運維技術支持服務。

（4）系統(tǒng)出現(xiàn)故障，接到用戶技術支持請求后，立即做出實質性響應，在2小時內提出故障解決方案，4-12小時內恢復系統(tǒng)正常運行。故障解決后48小時內，提交故障處理報告。****總局遠程服務人員無法處理的問題。

3.3.3 電子簽章系統(tǒng)

負責**省業(yè)務專網區(qū)電子簽章運維服務，對該項目所涉及的簽章服務器、密碼機、中間件應用以及業(yè)務應用軟件平臺等進行維護管理和操作，保證電子簽章系統(tǒng)運行穩(wěn)定、安全，不影響正常業(yè)務處理，并按照后續(xù)業(yè)務優(yōu)化情況，對系統(tǒng)進行功能升級與測試，確保系統(tǒng)運行平穩(wěn)、順暢。

3.3.4 稅務網絡安全態(tài)勢感知平臺

（1）負責態(tài)勢感知平臺的日常運行監(jiān)控。每日審查各探針**臺系統(tǒng)的運行情況，深入研究各類網絡通信流量的日志信息的采集情況，以快速發(fā)現(xiàn)任何異常。當出現(xiàn)問題，立刻組織進行排查和修復工作，確保態(tài)勢感知平臺保持無故障運行。此外實施實時監(jiān)控、識別和驗證安全信息告警，通過有組織的網絡攻擊事件驗證，確保迅速采取風險處置措施，為網絡安全提供最強大的防護。

（2）維護態(tài)勢感知平臺資產信息。根據(jù)實際動態(tài)調整更新資產信息，確保平臺始終擁有全面準確的基礎庫信息。

（3）每月進行全網段漏洞掃描，將掃描結果及時傳輸?shù)綉B(tài)勢感知平臺，并將漏洞及時推送、對漏洞修復情況進行核實驗證，確保漏洞得到及時修復和消除。

（4）每月進行全網資產發(fā)現(xiàn)掃描，同時確認掃描結果中未錄入態(tài)勢感知平臺的資產信息，如名稱、類型、路徑、業(yè)務區(qū)域和責任人等，并將其準確記錄，已確保平臺擁有完備的資產信息，使資產管理更加有效。

（5）根據(jù)采購人要求進行補丁升級，準備并執(zhí)行升級計劃，以保證關鍵數(shù)據(jù)完整性。升級后對系統(tǒng)各功能異常情況排查，確保系統(tǒng)穩(wěn)定運行。

（6）每月對態(tài)勢感知平臺相關的探針（僵木蠕、WAF、網絡審計、數(shù)據(jù)庫審計等）規(guī)則進行升級，確保規(guī)則庫及時更新，及時發(fā)現(xiàn)新威脅確保稅務網站安全。

（7）每天生成詳盡的工作匯報表，包括互聯(lián)網威脅行為分析表、互聯(lián)網風險預警分析表、數(shù)據(jù)安全風險監(jiān)控使用側統(tǒng)計表和數(shù)據(jù)安全風險監(jiān)控運維側統(tǒng)計表，提供全面的數(shù)據(jù)，有助于更好地了解和管理網絡和數(shù)據(jù)威脅。

（8）整理數(shù)據(jù)安全告警數(shù)據(jù)，將各地區(qū)數(shù)據(jù)進行分類并發(fā)送給各地區(qū)聯(lián)絡人員進行數(shù)據(jù)安全告警核實。核實完成后進行歸納各地區(qū)數(shù)據(jù)安全告警核實結果，并在態(tài)勢平臺上完成必要的處置工作，以確保數(shù)據(jù)安全處置閉環(huán)管理。

（9）做好溝通、積極推進整體性工作，并及時提供反饋。按時處置或回執(zhí)，****管理中心下發(fā)的通知通告，以確保信息流暢、反饋及時。

3.3.5“雙向”安全交換系統(tǒng)和密碼服務組件

主要服務內容為“雙向”安全交換系統(tǒng)和密碼服務組件

系統(tǒng)的日常運維、故障處理、健康檢查、版本升級更新，與**應用系統(tǒng)集成對接等工作，具體內容包括但不限于:

（1）每日對雙向安全交換系統(tǒng)和密碼服務組件系統(tǒng)進行巡檢，設備日常巡檢通過收集每日運行參數(shù)，監(jiān)控設備硬件運行情況，分析主要業(yè)務系統(tǒng)的流量日志，關注安全事件的發(fā)展動態(tài)，及時發(fā)現(xiàn)風險、問題并進行處置并上報。

（2）每月需要將雙向安全交換系統(tǒng)和密碼服務組件系統(tǒng)健康狀態(tài)、對接應用系統(tǒng)運行情況、以月報的形式匯報。

（3）日常運維：對雙向安全交換系統(tǒng)和密碼服務組件系統(tǒng)開展日常運行維護工作，包括設備日常維護，設備配置管理，安全日志分析，設備配置優(yōu)化等運維服務，開展健康 檢查，處理系統(tǒng)故障；負責應用策略的開通，確保應用系統(tǒng)的穩(wěn)定運行，配合應用系統(tǒng)業(yè)務故障排查。

（4）按照業(yè)務需求及時將應用系統(tǒng)接入到雙向安全交換系統(tǒng)和密碼服務組件系統(tǒng)中。

（5）告警事件處置：對告警事件進行及時的報告和處理，保障業(yè)務正常運行，對硬件故障進行及時的反饋和處理，對業(yè)務影響降到最小化。

（6）確保安全設備在生命周期內穩(wěn)定運行，定期進行安全配置梳理以及配置檢查，對違規(guī)策略進行嚴格管控，禁止一切未授權的應用訪問。

（7）應用系統(tǒng)運行情況監(jiān)控：對設備上的運行應用進行監(jiān)控，及時報告和處理應用系統(tǒng)的異常情況。

（8）補丁升級：系統(tǒng)新版本發(fā)布根據(jù)實際情況進行升級維護，對配套的硬件設備進行補丁修復。

（9）雙向安全交換系統(tǒng)和密碼服務組件系統(tǒng)重要時期安全值守服務：技術加固服務，制定應急響應預案，安全漏洞預警，威脅情報共享，安全事件監(jiān)控，安全事件處置。

3.4 供應鏈廠商網絡安全能力評估

圍繞信息系統(tǒng)供應鏈廠商，從人員安全管理、開發(fā)建設管理、數(shù)據(jù)安全管理三方面開展專項供應鏈廠商網絡安全能力評估工作，從以下幾方面開展評估：

供應商人員安全管理方面評估包括但不限于背景審查，供應商網絡安全組織架構、制度情況、人員網絡安全培訓及考核，事件應急響應機制、預案和應急演練），開發(fā)建設管理方面評估包括但不限于供應商軟件研發(fā)場所核查，開發(fā)測試環(huán)境、工具和終端介質管理，供應鏈產品清單、代碼平**全評估。

供應商數(shù)據(jù)安全管理評估包括但不限于測試數(shù)據(jù)脫敏檢查、生產數(shù)據(jù)訪問權限檢查、系統(tǒng)數(shù)據(jù)留存檢查。

（1）評估準備階段

在對被評估的供應鏈廠商進行充分調研的基礎上，確定供應鏈安全評估目標、范圍、評估方法和依據(jù)，制定供應鏈安全評估實施方案，并召開項目啟動會。

（2）現(xiàn)場評估階段

人員安全管理評估工作：對供應鏈廠商及人員開展背景審查；建立網絡安全責任人制度，對供應商的網絡安全組織架構及制度等進行審查；對供應商人員的安全培訓以及人員考核進行檢查，考核包括但不限于技能考核、網絡安全意識考核、保密常識等方面的內容；審查供應商的應急響應機制，包括應急預案以及供應商應急演練記錄等。

開發(fā)建設管理評估工作：對供應商軟件開發(fā)場所進行審查，確保開發(fā)場所安全可控可信；對供應商開發(fā)環(huán)境進行管理評估，評估內容包括開發(fā)測試環(huán)境安全可信、開發(fā)工具等終端以及移動存儲介質檢查；對供應鏈廠商的產品和服務管理進行評估，核查供應鏈產品清單；對供應鏈廠商進行第三方組建管理，包括組織供應鏈廠商開展代碼安全評估、代碼管理安全評估等。

供應商數(shù)據(jù)安全管理評估工作：對供應商提供用于測試的稅務數(shù)據(jù)進行脫敏檢查；對于生產數(shù)據(jù)核查其權限管理落實情況；對供應鏈廠商的數(shù)據(jù)安全管理活動開展評估，核查數(shù)據(jù)留存情況是否符合要求。

（3）報告編制階段

測評報告編制：匯總供應鏈廠商及人員安全管理評估結果、開發(fā)建設管理評估結果、供應商數(shù)據(jù)安全管理評估結果，形成供應鏈產品清單、供應鏈安全評估報告。

（4）安全服務要求

投標人應依據(jù)供應商評估具體要求和指標，結合我局對于信息系統(tǒng)供應鏈廠商安全要求開展評估工作：測評機構應保守在測評活動中知悉的國家秘密、工作秘密、數(shù)據(jù)和個人隱私，對所出具的評估報告負責。

3.5數(shù)據(jù)安全風險評估服務

依據(jù)（TSZBA 001—2023）《數(shù)據(jù)安全合規(guī)評估方法》，GB/T 20984-2022《信息安全技術 信息安全風險評估方法》，圍繞數(shù)據(jù)安全需求，從以下方面開展風險評估：基于黑盒的漏洞掃描和滲透測試；基于白盒的源代碼安全審計、源代碼成分分析、源代碼第三方組件****開發(fā)部分)；基于灰盒的接口訪問安全和數(shù)據(jù)安全評估；數(shù)據(jù)**外泄監(jiān)控評估（數(shù)據(jù)權限安全、數(shù)據(jù)加密安全、數(shù)據(jù)脫敏安全等)；系統(tǒng)和數(shù)據(jù)權限管理評估；圍繞全流程稅務數(shù)據(jù)安全開展評估工作，包括數(shù)據(jù)的收**全、存儲安全、使用安全、加工安全、傳輸安全、提供安全、公開安全、刪除安全，根據(jù)數(shù)據(jù)的重要性和敏感性，從證書認證、通道加密、內容加密、數(shù)據(jù)水印、數(shù)據(jù)防泄漏、數(shù)據(jù)防篡改、數(shù)據(jù)備份、數(shù)據(jù)脫敏、數(shù)據(jù)抗抵賴、數(shù)據(jù)運維和管理等方面進行綜合評估。

3.5.1 數(shù)據(jù)安全風險評估準備

在對被評估的數(shù)據(jù)資產進行充分調研的基礎上，確定數(shù)據(jù)安全評估范圍、評估方式和依據(jù)，并配合采購人組織相關人員、并召開項目啟動會，制定數(shù)據(jù)安全評估方案。

3.5.2 數(shù)據(jù)安全風險識別階段

資產識別分析：調研分析，進行資產分類、資產賦值（保密性賦值、完整性賦值、可用性賦值、資產重要性等級）。

威脅識別分析：依據(jù)資產確定威脅識別對象，進行威脅分類、威脅賦值。

脆弱性識別分析：針對稅務相關業(yè)務系統(tǒng)，利用人員訪談、資料核查、技術手段核查、系統(tǒng)測評等方法，圍繞數(shù)據(jù)全生命周期安全，進行脆弱性識別內容確定、脆弱性賦值。通過文檔查閱、漏洞掃描、人工核查等對各資產進行檢查和測試，分為技術和管理兩個方面進行脆弱性識別分析。脆弱性識別是風險評估過程中最重要的環(huán)節(jié)。

根據(jù)分析情況出具資產調研報告、資產識別報告、威脅識別報告、脆弱性識別報告。

3.5.3 數(shù)據(jù)安全風險分析與評價階段

在識別脆弱性的同時，對已采取的安全措施的有效性進行確認，并評估其有效性，并出具安全措施確認報告。中標供應商須從脆弱性評估開始，對被評估系統(tǒng)不可接受風險的資產殘余進行再評估，在對照安全措施前后的脆弱性狀況后，再次計算風險值，對于殘余風險仍處于不可接受的范圍內，中標供應商須繼續(xù)提供相應安全措施，直至不可接受風險的資產處于可接受的范圍內。

3.5.4 報告編制與評審

評估后形成漏洞掃描和滲透測試報告、源代碼安全審計報告、第三方組件使用清單，以及第三方組件安全分析報告。匯總數(shù)據(jù)安全評估結果，編制數(shù)據(jù)安全風險評估報告。

3.5.5 安全服務要求

投標人應依據(jù)風險評估方法，結合我局對于數(shù)據(jù)安全需求開展評估工作：測評機構應保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私，對所出具的風險評估報告負責。

4.技術支持服務要求

4.1 服務期限要求

本項目日常性網絡安全運維、7*24小時安全監(jiān)測、網絡安全系統(tǒng)運維服務期限為自合同簽訂之日起一年。本項目數(shù)據(jù)安全風險評估和供應鏈廠商網絡安全能力評估服務期限為自合同簽訂之日起60日內完成評估工作并出備評估報告。

4.2服務響應要求

中標供應商需依據(jù)需求內容提供7*24小時技術響應服務。日常性網絡安全運維、7*24小時安全監(jiān)測、網絡安全系統(tǒng)運維須對系統(tǒng)操作問題在現(xiàn)場進行及時解答、日常升級于2個工作日內完成、大版本升級于3個工作日內完成；針對發(fā)生的網絡安全事件須于半小時內做出響應、1小時內到達現(xiàn)場，2小時內提出排查方案，8小時內解決問題，48小時提供事件處理報告；針對系統(tǒng)和設備故障，須于1小時內做出響應，并于2小時內恢復系統(tǒng)和4小時內恢復設備運行，并于48小時內提供處理報告。

4.3 服務培訓要求

中標供應商應通過服務培訓幫助項目采購人中的管理人員、技術維護人員更好熟悉各系統(tǒng)網絡安全設備，提高設備管理的人員設備操作、故障處理等能力，最終通過培訓考核，達到獨立運維的工作要求：

（1）達到了解各類網絡安全設備/系統(tǒng)的技術性能，熟練掌握設備的操作和正確維護。

（2）能夠排除各類網絡安全設備/系統(tǒng)的一般故障，掌握設備的維修技術及日常保養(yǎng)，達到培訓要求。

（3）對各類網絡安全設備/系統(tǒng)的構造、性能、原理和操作有詳細透徹的的理解。

（4）能夠準確的發(fā)現(xiàn)網絡安全設備/系統(tǒng)出現(xiàn)的和隱藏的問題，并能及時溝通聯(lián)系安全運維人員/中標供應商，使問題得到及時解決。

4.4服務考核要求

中標供應商提供的網絡安全系統(tǒng)運****總局關于態(tài)勢感知平臺、雙向安全交換系統(tǒng)、稅務數(shù)字證書系統(tǒng)、密碼組件服務系統(tǒng)等相關績效考評要求，確�？冃Э荚u不失分。

中標供應商須如期提供供應鏈廠商網絡安全能力評估報告、數(shù)據(jù)安全風險評估報告，****總局關于數(shù)據(jù)安全評估、供應鏈廠商網絡安全能力評估的績效考評相關要求，確�？己瞬皇Х�。

4.5違約責任

中標供應商違反服務進度要求，沒有在規(guī)定時間內完成相應服務內容，每次扣除合同總額0.5%；應急響應沒有在規(guī)定時間內到達現(xiàn)場，每次扣除合同總額0.5%。

5.項目管理和實施要求

5.1項目實施要求

中標供應商須制定清晰的崗位職責、明確服務流程和規(guī)范，對服務團隊建立績效考核機制，確保滿足采購方需求，確保響應效率及服務質量。當本項目現(xiàn)服務人員無法完成相關工作時，中標供應商應及時協(xié)調**確保及時完成。

5.2項目人員要求

應為本項目日常性網絡安全運維、7*24小時安全監(jiān)測、網絡安全系統(tǒng)運維組建不少于10人的駐場服務團隊（3人為日常性網絡安全運維，4人為7*24小時監(jiān)測服務，3人為網絡安全系統(tǒng)運維），為本項目數(shù)據(jù)安全風險評估和供應鏈廠商網絡安全能力評估組建不少于5人的評估團隊。項目實施期間確保團隊人員的穩(wěn)定性，如更換服務人員需經采購方書面同意，工作交接時間不少于2個月。應為本項目配備不少于5年網絡安全工作經驗的項目經理。駐場技術人員應接受采購方的管理，并遵守相關工作規(guī)范。

本項目日常性網絡安全運維駐場人員須有3年以上網絡安全工作經驗，具備注冊信息安全專業(yè)人員（CISP）證書，了解稅務網絡安全標準和技術要求，熟練使用主流安全廠商的設備和軟件，能夠獨立完成日常網絡安全運維、故障排查、安全事件分析、應急處置等相關工作，具備技術文檔編寫能力和良好溝通能力。

本項目7*24小時監(jiān)測人員至少有2年以上網絡安全工作經驗，熟悉網絡安全主流監(jiān)測設備，具備應對網絡攻擊的快速響應和應急處置能力。

本項目網絡安全系統(tǒng)運維人員應至少具備3年以上信息系統(tǒng)運維工作經驗，需熟悉主流中間件及數(shù)據(jù)庫運維操作，熟悉稅務網絡安全信息系統(tǒng)前后臺操作。

6.驗收要求

項目服務期滿后，由中標供應商提出項目驗收申請，項目使用部門按照相關要求組織驗收，中標供應商應按照采購方驗收要求，提交相關驗收資料，按照合同要求考察服務滿意度、應急響應情況、文檔交付情況、專業(yè)技術能力和服務整體質量等方面，須出具齊全項目驗收資料，驗收通過后出具項目驗收報告。驗收資料包括但不限于：

（1）《7*24小時網絡安全運維報告》

（2）《網絡安全漏洞掃描報告》

（3）《網絡安全漏洞交接單》

（4）《運維系統(tǒng)審計報告》

（5）《數(shù)據(jù)庫審計報告》

（6）《稅務數(shù)字證書系統(tǒng)運維服務月報》

（7）《稅務數(shù)字證書系統(tǒng)問題處置記錄》

（8）《金稅三期應用安全支撐平臺運維服務月報》

（9）《金稅三期應用安全支撐平臺問題處置記錄》

（10）《稅務系統(tǒng)態(tài)勢感知平臺運維服務月報》

（11）《稅務系統(tǒng)態(tài)勢感知平臺問題處置記錄》

（12）《“雙向”安全交換系統(tǒng)和密碼組件系統(tǒng)運維服務月報》

（13）《“雙向”安全交換系統(tǒng)和密碼組件系統(tǒng)問題處置記錄》

（14）《稅務數(shù)字證書系統(tǒng)運維服務年度總結》

（15）《“雙向”安全交換系統(tǒng)和密碼組件系統(tǒng)運維服務年度總結》

（16）《金稅三期應用安全支撐平臺運維服務年度總結》

（17）《稅務系統(tǒng)態(tài)勢感知平臺運維服務年度總結》

（18）《源代碼安全審計報告》

（19）《第三方組件使用清單及安全分析報告》

（20）《漏洞掃描和滲透測試報告》

（21）《數(shù)據(jù)安全風險評估報告》

（22）《供應鏈廠商網絡安全能力評估報告》

7.稅收信息化項目開發(fā)和應用管理工作要求

中標供應商服務期內須嚴格按照合同要求完成相關工作，按時提交各階段文檔，應遵循開發(fā)管理的過程監(jiān)理、中期報告審議、驗收資料審議等相關要求。

8.其他要求

8.1保密要求

甲乙雙方應對在合同簽訂或履行過程中所接觸的對方信息，包括但不限于知識產權、技術資料、技術訣竅、內部管理及其他相關信息，負有保密義務。

乙方在使用甲方為乙方及其工作人員提供的數(shù)據(jù)、程序、用戶名、口令、資料及甲方相關的業(yè)務和技術文檔，包括稅收政策、方案設計細節(jié)、程序文件、數(shù)據(jù)結構，以及相關業(yè)務系統(tǒng)的硬軟件、文檔、測試和測試產生的數(shù)據(jù)時，應遵循以下約定：

(1)應以審慎態(tài)度避免泄露、公開或傳播甲方的信息；

(2)未經甲方書面許可，不得對有關信息進行修改、補充、復制；

(3)未經甲方書面許可，不得將信息以任何方式(如E－mail)攜帶出甲方場所；

(4)未經甲方書面許可，不得將信息透露給任何其他人；

(5)甲方以書面形式提出的其他保密措施。

保密期限不受合同有效期的限制，在合同有效期結束后，信息接受方仍應承擔保密義務，直至該等信息成為公開信息。

8.2知識產權要求：

中標供應商需保證所提供的服務不侵犯第三方的知識產權（專利權、商標權、版權等），因侵害第三方知識產權而產生的法律責任，全部由中標供應商承擔。

8.3.其他要求

投標人需對以下內容逐一承諾（格式自擬）：

1.依據(jù)《****辦公廳關于修訂的通知》（稅總辦征科發(fā)〔2022〕1號）相關規(guī)定，本項目不采購稅務系統(tǒng)失信記錄名單中的服務提供商提供的產品及服務。通知文件互聯(lián)網鏈接：

http://www.****.cn/chinatax/n810341/n810825/c101434/c****093/content.html

2.信息化項目使用的供應鏈產品提供要滿足國家網絡安全規(guī)范和認證要求。

3. 中標供應商要建立網絡安全負責人制度。每個項目均要設置網絡安全負責人，組織落實各項網絡安全要求。

4. 投標人應提**全責任意識，嚴控產品安全質量；建立清晰的軟件供應鏈安全策略，明確相關的管理目標、工作流程、檢查內容、責任部門等；嚴控上游，尤其重點管控開源代碼的使用，確保使用的開源代碼符合開源許可協(xié)議，形成第三方組件清單和安全分析報告，禁止使用存在**全風險或已停止維護的第三方組件；嚴控自主開發(fā)代碼的質量，采用軟件源代碼安全分析工具，持續(xù)檢測和修復軟件源代碼中的安全缺陷和漏洞；建立完善的產品漏洞響應機制，包括產品漏洞信息的收集、漏洞報告渠道的建立和維護、漏洞補丁的開發(fā)和發(fā)布、客戶端漏洞應急響應和修復支持等。發(fā)現(xiàn)網絡安全漏洞、缺陷、數(shù)據(jù)泄露或其他重大網絡安全風險，及時向采購人進行報告，不得擅自公開或向第三方提供。

5.項目實施前及實施期間，中標供應商要對參與項目人員進行網絡和數(shù)據(jù)安全、技能等方面培訓、考核、警示教育等。

6.應用系統(tǒng)上線前，中標供應商要進行安全功能測試（包括漏洞掃描、滲透測試、源代碼審計、基線核查）。

7.應用系統(tǒng)上線前，中標供應商要提交供應鏈產品清單、第三方組件使用清單、安全測試報告、源代碼審計報告、等保測評報告、供應鏈安全自查報告等。

8.采購人要對中標供應商方參與項目人員開展背景審查，中標供應商需項目人員提供無犯罪記錄證明，公司和個人均簽署保密協(xié)議、網絡安全承諾書等。

9.中標供應商應配置獨立的內部代碼管理平臺，且不與互聯(lián)網鏈接。嚴禁將源代碼上傳第三方平臺，嚴禁使用互聯(lián)網代碼托管平臺。

10.中標供應商不得另行開發(fā)合同業(yè)務需求范圍內，供納稅人、繳費人使用的軟件。不得利用產品和服務的使得條件非法獲取數(shù)據(jù)、非法控制和操縱設備，無正當理由不中斷產品供應或必要技術支持服務等，如違反上述條款，將被納入失信名單。

11.中標供應商違反****及其上級主管部門制定的網絡安全規(guī)定行為造成不良后果的，將被納入失信名單，3年內****政府采購活動。

12.中標供應商不得在合同履行期間“圍獵”稅務人員。如違反上述條款，將被納入失信名單，3年內****政府采購活動。

13.中標供應商應建立防止違法違規(guī)聘用離職稅務人員風險控制制度，如出現(xiàn)違法違規(guī)聘用離職稅務人員行為，采購人有權采取以下措施：要求限期改正、要求支付違約金、解除合同、3年內限制參加所聘人員原單位及下****政府采購活動等。

8.4付款方式

合同簽訂30個工作日內由中標供應商出具等額發(fā)票后，支付合同總金額的50%；項目在9月30日前，經驗收合格30個工作日內由中標供應商出具等額發(fā)票后，支付合同尾款。