采购需求前附表

项目联系人：詹晓军 联系人办公电话和手机：****0732、136****6568 一、项目概述

1.项目背景

随着税务系统数据“大集中”的推行，税务网站、网上办税等面向互联网的应用快速发展，网络覆盖范围不断增加，跨部门的横向交互不断加强，特别是自疫情以来，税务系统中信息技术手段的应用得到进一步发展和扩大，不同程度地增加了税务网络与信息系统的安全风险。

为深入了解全省网络安全、数据安全现状，全面挖掘网络与信息系统、数据安全管理存在的脆弱点，期望通过网络安全、数据安全风险评估项目的实施，对其现有的网络安全、数据安全管理制度和技术措施的有效性进行评估，指导全省的网络安全、数据安全保障建设，提**全管理水平，增强省局网络安全、数据安全风险管理意识，打造安全、高效、便捷的信息技术服务平台。

2.项目内容

二、投标/响应要求

供应商资质要求：

1.符合《政府采购法》第二十二条规定的供应商条件。

2.其他特定资格条件：

****政府采购活动要求：****政府采购活动前三年内未被列入“信用中国”网站(www.****.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单和“中国政府采购”网站（www.****.cn)政府采购严重违法失信行为记录名单(以开标时的当场查询结果为准）。

3.本项目不接受联合体投标。

三、 项目需求

1.网络安全及数据安全评估清单

2.评估范围

****中心、各设区市局、部分县（市、区）局。

3.测评时间

按采购人要求，90天内完成。

4.服务周期

本次安全服务项目服务周期为：90天。

5.项目服务内容

5.1 网络安全风险评估

1、对省局信息系统开展网络安全风险评估。

在风险评估实施过程中，资产识别以填写基本情况调研表为主，结合访谈和现场查看，对信息资产进行识别和赋值；威胁识别以访谈为主，结合技术检测验证，对发现的威胁要素赋值；脆弱性识别以技术检测为主，结合现场查看，对脆弱性要素赋值；综合分析上述各类要素，采用分级、分步进行风险计算，形成风险列表，划分风险等级，分析风险对信息系统信息安全的影响程度，形成最终的风险评估报告。

2、资产识别和赋值

在本次安全测评项目中，对信息系统的资产进行如下分类：系统资产、物理环境资产、网络资产和管理资产。其中系统资产按照不同的被评估系统分别进行识别，物理环境资产、网络资产和管理资产同属于承载系统的资产，统一进行识别。针对不同区域的被评估系统资产，按照各系统进行识别。资产识别工作主要由两部分组成：资产收集和资产确认。资产收集工作主要是被评估方在现场实施阶段前，按照评估方提供的基本情况调研表，进行资产整理、填写。资产确认工作主要是评估方实施人员在进入现场后，通过查阅已填写的被评估系统资产表单，审核资产与系统实物的真实性，完成资产识别工作。

3、威胁识别、分类和赋值

威胁可以通过威胁主体、**、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害；也可能是偶发的、或蓄意的事件。在对威胁进行分类前，应考虑威胁的来源。

4、脆弱性识别、分类和赋值

脆弱性是指资产本身存在的，可以被威胁利用，并引起资产或商业目标的损害。脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。值得注意的是，脆弱性虽然是资产本身固有的，但它本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失，所以如果没有相应的威胁发生，单纯的脆弱性并不会对资产造成损害。

脆弱性分类的主要依据是，针对特定的威胁事件，组织所应对的技术与管理防范措施的脆弱性，威胁因素通过相关的脆弱点对系统产生影响。脆弱性可分为技术脆弱性和管理脆弱性，技术脆弱性是指由于采用技术存在的缺陷导致了可能被威胁因素利用，对资产造成损害；管理脆弱性是指由于管理体系存在的缺陷导致了可能被威胁因素所利用，对资产造成损害。

脆弱性的赋值主要依据资产的分类结果，分析每一种资产存在的脆弱性（包括技术脆弱性和管理脆弱性），进一步论证威胁利用这些脆弱性对资产造成的损害程度，综合几方面因素对资产存在的脆弱性进行赋值，得到最后的脆弱性量化值。为突出各检测项中的重点检测内容，通过分析各检测项中检测子项脆弱性的严重程度设定相应的权重值。通过对检测子项进行赋值，加权平均得出检测项脆弱性值。

5、已有安全措施分析

已有安全控制措施分析是对被评估组织现有的安全控制措施进行调查，明确已经实施的控制措施，并根据被评估组织的安全要求分析该安全措施的有效性。这对于评估人员在对组织的安全风险进行计算、分析、提出安全建议时是一个重要的参考因素。安全控制措施包括技术措施与管理措施两类，安全控制措施的识别不仅需要考虑措施的制定与实施情况，还需考虑措施的落实情况，并结合等级保护中的相应要求，对各检测子项中的已有安全措施进行识别。

6、风险分析

完成了资产识别、威胁识别、脆弱性识别及已有安全措施识别后，进一步论证各类威胁作用到不同脆弱性检测项的可能性，分析两者之间的关联关系，再综合信息系统的资产价值，可得出信息系统的风险值。通过判断信息系统的风险级别得出被评估单位各信息系统的风险程度，从而得出被评估单位信息系统安全状况。

7、风险处置建议

风险处置建议是针对评估中发现问题的脆弱性严重程度及对业务风险的高低进行综合分析，提出的削减风险的技术与管理的安全建议。建议一般会突出：实施风险削减建议的优先度，便于用户在评估后根据揭示出的安全风险建立实施风险管理的计划。

5.2 数据安全风险评估

对省局网络数据资产进行数据安全风险评估。

5.2.1 评估方法

数据安全评估主要从人员访谈、资料核查、技术手段核查、系统测评四个方面开展：

1、人员访谈

与部门数据安全管理人员进行面对面访谈，检查其是否明确知晓数据相关安全管控要求，并结合现场检查，核实其落实情况，并做记录。

2、 资料核查

现场核查本次数据安全评估所涉及的管理制度、建设方案、操作审批单、审批日志等电子或纸质资料，并做记录。

3、 技术手段核查

针对本次检查的系统，现场检查其各种技术手段的落实情况，包括金库模式、重要数据模糊化手段、4A集中管控等实施情况，并做记录。

4、 系统测评

针对本次检查涉及的相关业务系统，利用渗透测试、入侵痕迹检测、安全组件配置核查等技术方法，检查业务组件、系统平台和基础网络中存在的安全风险。

5.2.2 主要评估内容

1、数据识别安全评估

数据识别是数据安全评估的基础。通过对数据的识别，可以确定数据在业务系统的内部分布、确定数据是如何被访问的、当前的数据访问账号和授权状况。数据识别能够有效解决运营者对数据安全状况的摸底管理工作。基于国家、行业的法律法规及标准要求，数据识别通常包括业务流识别、数据流识别、数据安全责任识别和数据分类分级识别。

2、数据安全法律遵从性评估

数据安全符合相关法律要求是开展一切数据处理活动的前提和基础，也是最受关注的安全保障能力之一。数据安全风险评估不能完全避免数据安全风险的发生，但可以减少违法违规行为的发生。数据安全法律遵从性评估核心在于依据国家、行业的法律法规及标准要求，重点评估运营者及其他数据处理者关于数据安全在相关法律法规中的落实情况，包括个人信息保护情况、重要数据出境安全情况、网络安全审查情况、密码技术落实情况、机构人员的落实情况、制度建设情况、分类分级情况、数据安全保障措施落实情况，以及其他法律法规、政策文件和标准规范落实情况等。法律遵从性评估的目的不仅在于应对风险，更多的是在于找出差距，驱动数据安全建设合法化，完善数据安全治理体系。

3、数据处理安全评估

数据处理安全的评估是围绕数据处理活动的收集、存储、使用、加工、传输、提供、公开等环节开展。主要针对数据处理过程中收集的规范性、存储机制安全性、传输安全性、加工和提供的安全性、公开的规范性等开展评估。

4、数据环境安全评估

数据环境安全是指数据全生命周期安全的环境支撑，可以在多个生命周期环节内复用，主要包括主机、网络、操作系统、数据库、存储介质等环境基础设施。针对数据支撑环境的安全评估主要包括通信环境安全、存储环境安全、计算环境安全、供应链安全****全等方面。

5.2.3 数据安全风险评估综合判定

风险分析的原理主要是通过资产识别、脆弱性识别及威胁识别，分别计算出威胁造成损失的严重程度以及该安全事件发生的可能性，然后利用损失严重程度与事件发生的可能性得到风险值，最后赋予风险等级。分析和确定数据全风险的方法是，考虑已知威胁利用数据资产已知脆弱性的可能性，以及如果发生这种利用所产生的后果或不利影响（即危害程度），使用威胁和脆弱性信息以及可能性和后果 /影响信息定性或定量地确定数据安全风险。在分析中重点要围绕“数据生命周期”或者“数据应用场景”，最终的评估结果是某个业务或威胁场景之下利用某个资产的某个脆弱性造成某种破坏，该破坏的可能性有多大，破坏后影响有多大，进而综合评价风险有多大。

1、可能性分析

可能性是指攻击事件可能导致任务能力丧失的概率。可能性判定应该考虑威胁假设，即阐明数据资产以及支撑环境可能面临的威胁类型，如网络安全威胁、自然灾害或物理安全威胁；还要考虑实际基于业务场景的数据安全脆弱性信息，包括识别的系统、数据或支撑环境的脆弱性；可能性分析要综合考虑利用漏洞成功利用的难度并将其与威胁信息相结合，在其实际应用场景下确定风险评估过程中成功攻击的可能性。

2、影响分析

影响分析是一个关联分析过程，由数据所涉及的系统、数据的价值以及数据被破坏后对组织的影响等因素综合考虑。影响分析很大程度上要结合脆弱性被威胁利用的可能性，以及被评估单位管理者基于业务角度对风险的决策的判断，最终决定对风险是否接受、避免、减轻、分担或转移。

3、风险结论

数据安全风险评估的结论应涵盖三个层级的风险。一是根据被评估组织或行业的性质和重要程度，可形成国家组织或者行业层面的数据安全战略风险报告。二是根据关键信息基础设施业务使命和形式，形成各自企业层面的数据安全风险报告。三是依据数据本身的特点或场景，形成面向系统级别、数据级别或者供应链级别等重点关注方面的风险评估报告。风险评估的结论应包括潜在破坏数据安全的可能性和影响，特定场景和特定数据的风险发生的可能性以及目前现有的数据安全防护措施的有效性和差距性，进而为被评估单位数据安全系统建设、支撑环境建设以及数据安全整体规划做决策依据。

5.3 网络安全、数据安全检查

****总局****税务局****税务局开展网络安全及数据安全检查。

5.3.1 网络安全检查内容

网络安全的目标是保障网络和通信系统高效、优质运行，考查点包括：

1. 满足业务系统的需求；

2. 防止网络和通信系统遭受外部和内部的攻击和滥用，避免和降低由于网络和通信系统的问题对业务系统造成损害的风险；

3. 屏蔽系统和应用的安全弱点；

4. 协助系统和应用进行访问控制和安全审计。

应用系统的安全目标是保障系统高效、优质运行，满足业务系统的需求，防止系统遭受外部和内部的破坏和滥用，避免和降低由于系统的问题对业务系统的损害；协助应用进行访问控制和安全审计。

网络安全检查主要是掌握重要信息系统基本情况、基础网络情况、基本业务逻辑和关键要害部位的安全技术应用情况。检查被抽查单位网络架构、安全区域划分的合理性，网络边界防护措施的完备性，服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性，重要数据传输、存储的安全防护措施，重要网络安全漏洞修复情况等。

5.3.2 数据安全检查内容

检查内容主要包括数据安全基础性管理、技术能力检查及数据生命周期管理三大内容。

基础性管理检查主要包括机构人员、制度保障、分类分级、安全评估、权限管理、安全审计、**方管理、应急响应、投诉处理、教育培训等内容；

技术能力检查包括数据识别、安全审计、数据防泄漏、接口安全、个人信息保护、远程接入等内容；

数据生命周期管理评估主要包括数据采集、数据传输、数据存储、数据使用、数据开放共享、数据销毁等内容。

5.3.3 汇总总结

针对各单位网络安全、数据安全检查过程中发现的问题，将逐条给出整改建议，形成检查整改建议报告。

对全省网络安全、数据安全检查情况进行汇总分析，形成汇总分析报告，为后续省局开展网络安全、数据安全管理工作提供参考。

四、项目实施要求

1.实施要求

（1） 投标人必须具备独立完成本项目的能力；

（2） 中标人应对了解到的信息保密，并提供保密承诺；

（3） 中标人在项目现场实施周期内，必须为本项目成立网络安全及数据安全评估项目组，安排包括****小组进场调研、评估工作；

（4） 在采购人进行整改过程中提供必要的技术支持。

2.项目管理要求

（1） 组织实施要求

1) 投标人应安排专职项目经理负责本次项目的实施。

2) 投标人应保证项目团队成员的稳定，以保证服务的质量和连贯性。

（2） 人员安排要求

本项目的技术服务人员需具有信息安全服务工作经验，参加过网络安全及数据安全评估项目并取得信息安全方面资质证书，提供人员管理及配备方案，并确保人员的稳定。如更换技术服务人员，须由采购人同意并签字确认。

3.保密要求

中标人须保证对本项目实施中所获得任何资料和信息严格保密，****税务局签订保密责任书。

4.项目进度要求

进度计划：合同签订后90天内提供服务。

项目验收条件：中标人按照“项目服务内容”规定的交付成果，经采购人完全确认后，完成验收。

五、项目验收要求

（1）中标方未出现违反服务条款的事项。

（2）中标方在项目服务期90天内按照项目要求提交《****税务局网络安全及数据安全评估报告》、《****税务局****税务局网络安全及数据安全****税务局，****税务局组织验收。

六、项目技术支持服务要求

无

七、税收信息化项目开发和应用管理工作要求

本项目为非“税收信息化项目开发和应用管理工作”。

八、其他要求

1、项目保密要求

****总局要求，在提供技术前，供应商必须签订《单位网络安全承诺书》，技术人员必须签订《个人网络安全承诺书》，承诺书主要包括网络安全管理规定和相关保密要求，保密时限最低10年，法律法规有规定的从其规定，供应商未经方技术部门和业务部门许可，不得私自对外开放系统接口及系统数据，因个人原因导致招标方安全问题和数据泄密需承担法律责任。

中标人在任何时候对其持有的事务或其事务运转操作方法等机密信息实行严格保密；除非有书面授权或出于相关方进行活动的必要，不得在任何时间向任何人透露任何保密信息；除非有书面指示或出于履行其义务的合理要求，不得把任何保密信息交给任何人；不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。

2、供应链安全要求

****总局《****总局****领导小组办公室关于加强税务信息化供应链安全管理工作的通知》各项要求，强化落实供应链安全管理，加强供应链全链条的安全管控，把保证供应链安全的责任和措施落实到供应链管理工作的各个方面、各个环节，保障税务网络安全。具体为：

（1）设置网络安全负责人。中标厂商、供应商应建立网络安全负责人制度，指定一名网络安全负责人，在项目实施全过程负责网络安全工作，组织落实漏洞修复、安全加固和应急响应等各项税务网络安全要求。

（2）执行背景审查。中标方承担派驻技术支持人员背景审查工作，人员驻场前必须提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料，提交驻场运维信息备案表。所有材料及资料完备提供后，方可正式开展驻场工作。

（3）强化安全技能。中标方负责派驻技术支持人员工作胜任、资格条件、以及网络安全能力评估，对技术支持人员承担的工作进行安全保密风险分析，明确技术支持人员工作范围和边界，重点防范设备和资料失窃、误操作导致的软硬件故障、敏感信息泄露、信息系统越权访问和网络攻击等风险。

中标方负责派驻技术支持人员的网络和数据安全管理、网络安全意识、保密意识、网络安全法律法规、网络安全技能以及网络安全警示教育等培训，上岗前确保考核合格，并按照采购人要求定期提供相关考核情况。

（4）落实安全管控要求。中标厂商、供应商应加强源代码安全管理，开发环境的可信可控，使用第三方组件必须执行测试和升级加固，确保税务供应链安全。

3、失信惩戒

合同期内，乙方应严格遵守甲方各项网络安全管理制度、税务信息化供应链安全管理等制度，规范人员管理，履行安全保密责任，严格按照合同约定提供业务运维和运行保障服务，如出现以下等失信行为的，甲方可要求乙方限期改正、扣除合同款项等惩戒，视具体情况按次扣除合同总价款1‰至1%之间的金额，合同生效期间累计扣除不超过合同总价款5%的金额；情节严重的，甲方有权采取解除合同、****总局在**税务部门通报、3年内限制参加税****政府采购活动、推送****政府采购失信名单等相关对应措施。

（1）攻击或侵入税务信息系统（包括CA等）；

（2）违反甲方网络安全管理规定，造成数据失窃、信息泄露、系统瘫痪等不良后果的；

（3）乙方运维服务质量评价被扣减5分（含5分）以上，且未按承诺改进到位的；

（4）违反合同约定内容，造成不良后果的；

（5****机关提供信息化服务的便利，向纳税人、缴费人搭车收费或变相收费；

（6） 另行开发销售合同业务需求范围内，供纳税人、缴费人使用的软件；

（7）存在馈赠礼品礼金、邀请娱乐消费等非正常交往手段“围猎”税务人员行为的；

（8）违法违规聘用3年内离职且离职前3年内从事过税务信息化及相关信息系统业务条线工作人员；

（9）其他违反规定造成不良后果的行为。

4、知识转移要求

本项目不包含知识转移。

5、知识产权要求

服务商应保证采购人在提供服务过程中的任何部分不受任何关于侵犯所有权和工业产权、著作权（版权）等知识产权的指控。如果任何第三方提出侵权指控，服务商承担一切与之有关的责任。

6、项目归档要求

本次项目实施过程文档包括但不限于：有关产品知识、操作手册、设备运行维护经验、服务报告、技术文档、安装配置方案、安装配置实施文档、随机文档、手册等保证系统正常运行的必要技术资料。要求服务商应首要建立档案管理制度，确保文档资料完整齐全，所有电子档案均应与纸质档案内容相同，符合档案管理相关要求。

7、争议解决办法

本项目签订合同后，各方应通过**协商，解决在执行合同过程中所发生的或与合同有关的争议。如协商不能解决，可以提起仲裁或诉讼。诉****人民法院提起诉讼。

九、商务要求

付款方式：合同签订生效后分两次支付费用：

第一次在完成合同签订后的1个月内支付合同总价的70%。

第二次在全部服务完成且验收合格后，根据验收结果、合同履行情况以及合同约定的扣款项目，支付项目合同余款。

验收不合格，不支付服务费用。