采购需求前附表

1. 项目概述

1.1. 项目背景

****总局2022年网络和数据安全专项核查工作结果，省局运维区缺少网络安全准入系统，****总局检查整改意见，强化终端网络接入管理，拟在现有计算机终端安全系统基础上增加准入控制功能，实现对运维区终端接入管控;同时，****总局对计算机终端安全管理绩效考核工作，做好全系统计算机终端安全系统的运行维护与技术支持，减少和杜绝违规安全事件的发生，拟购买全省计算机终端安全运维服务。

1.2. 项目内容

（1）全省计算机终端安全管理系统运行维护服务（两套，分别为Windows终端使用和国产化终端使用）

（2）购买全省终端准入控制系统使用授权及运维服务

（3）提供1名驻场运维人员

2. 投标/响应要求

2.1供应商必备资质

符合《政府采购法》第二十二条中对供应商资质的要求。

（1）具有独立承担民事责任的能力；

（2）具有良好的商业信誉和健全的财务会计制度；

（3）具有履行合同所必需的设备和专业技术能力；

（4）有依法缴纳税收和社会保障资金的良好记录；

（5****政府采购活动前三年内，在经营活动中没有重大违法记录；

（6）法律、行政法规规定的其他条件。

2.2供应商优选资质

（1）能够提供近三年内类似案例的投标人（标书中提供合同复印件，投标现场准备原件备查）；

（2）具有ISO9001：2015质量管理体系认证证书；

（3）具有ISO/IEC 20000信息技术服务管理体系认证证书；

（4）具有ISO/IEC 27001:2013信息安全管理体系认证证书；

（5）相关技术人员认证证书（包括但不限于高级项目经理、注册信息安全专业人员认证证书CISP等）及相关员工的社保证明。

2.3投标/响应文件技术部分响应内容要求

（1）项目需求理解：投标人对项目定位、服务目标是否精准。

（2）项目方案：根据方案能否完整响应项目需求。整体服务方案及措施是否完整，是否具有针对性及科学性；驻场服务人员关系管理方案、员工培训计划与方案、突发事件应急处理方案、符合采购人的其他服务方案（特色服务、增值服务等）是否合理、可行、符合采购人实际需求。

（3）项目管理方案：项目管理方案要合理、严谨、职责清晰、可操作性强、风险可控性强。

3. 项目需求

（一）全省计算机终端安全管理系统运行维护服务。

包含且不限于以下内容:

1.全省计算机终端安全管理系统（两套，分别为Windows终端使用和国产化终端使用）的运维服务。主要服务内容为：

（1）提供Windows环境和国产化环境下的计算机终端安全管理系统运行维护服务；

（2）针对终端发生安全事件的全过程进行安全管控；

（3）具备完整的终端安全管理监测方案；

（4）尽可能减少和杜绝终端违规安全事件的发生。

2.供应商应提交终端安全管理系统服务方案，至少需包括：服务范围、服务目标、服务内容、服务流程。

3.全省计算机终端安全管理系统主要完成以下工作：

（1）规范税务专网终端的网络连接行为，禁止专网税务终端通过拨号、WIFI等方式连接互联网。终端安全管理系统运行服务需满足以下技术要求：需对通过拨号、WIFI（包括随身WIFI设备）方式连接互联网的终端行为进行实时报警并阻断终端网络通讯；

（2）实时检测专网终端对互联网的访问行为，对终端的安全管理行为进行有效控制。针对终端安全策略控制，终端安全管理系统还可通过禁止终端修改IP和MAC地址，实现IP/MAC绑定效果，封堵基于IP或MAC方式的网络绕过行为并提供详细的审计报警记录；

（3）通过多种探测功能，如通过PING地址探测、TCP链接检测的方式，第一时间发现专网终端的违规安全行为，并可对违规终端执行断网处置。

4.中标供应商须有切实可行的应急响应服务机制：

（1）中标供应商应提供网络安全应急响应方案，在终端安全运维服务期间如出现安全事件，供应商应派遣专业的安全团队现场进行网络安全应急响应工作。

（2）网络安全应急响应方案应从网络安全应急响应概念、能力、方法、处置流程等方面进行阐述。

（3）中标供应商应详细描述应急响应工程师的基础技能，包含系统排查、进程排查、服务排查、文件痕迹排查、日志分析、内存分析、流量分析等，同时介绍常用的应急响应工具。

（二）购买全省终端准入控制系统使用授权及运维服务

1.中标供应商须提供全省终端准入控制系统使用授权服务。

2.供应商提供在Windows环境和国产化环境下的终端安全运维服务，支持Windows终端与国产化信创终端双平台的统一准入管理。针对终端准入的全过程进行安全管控，具备完整的网络准入管理方案，通过网关准入、802.1x准入、Portal准入等准入技术手段，杜绝任何形式的终端非法入网。终端入税务专网前，对预入网的终端实施安全完整性策略检查，杜绝存在安全隐患的终端入网。对于成功接入税务专网的终端设备进行入网后终端安全管控。

3.中标供应商应提交终端准入控制系统服务方案，至少需包括系统服务内容、系统工作原理介绍。

4.针对监测发现的终端准入合规事件需进行问题定位、问题分析及问题处理，形成事件闭环的处理流程。需要编写并提交包含以上处理流程的《终端安全事件处置报告》。

5.负责对准入系统安装维护。根据现场准入维护工作流程，按照相关要求执行相关准入产品维护服务。定期对准入系统的安装及使用情况进行检查，配合用户对未按要求安装或使用准入系统的办公终端等设备进行整改。

6.支持在用户现有全省计算机终端安全管理系统上进行功能扩展，能够通过开通功能授权的方式扩展税务桌面管理系统的终端准入控制功能，对终端入网进行安全访问控制（提供截图证明并加盖厂商公章）。

7.支持与用户现有税务全省计算机终端安全管理系统进行无缝对接，由现有全省计算机终端安全管理系统对本项目提供的准入系统进行统一管理、在一个平台显示准入相关信息，保证在现有全省计算机终端安全管理系统大版本升级后，依然能够对本项目提供的准入系统进行统一管理（提供厂家授权书）。

（三）提供1名驻场运维人员

1.运维服务要求：

（1）运维人员负责全省计算机终端安全管理系统及终端准入控制系统运行维护工作，自备准入服务工具、手段实现对税务专网终端的合法合规接入控制。

（2）运维人员负责实时关注系统版本更新信息，当有版本更新时，需要及时汇报采购人，并在约定的时间进行系统版本升级工作。

（3）运维人员负责实时关注系统特征库更新信息，当有新的特征库更新时，需要及时汇报采购人，在指定的时间进行系统特征库升级工作。

（4）运维人员日常需要配合采购人处置临时入网需求，需按照要求及时保障临时入网终端设备的用网需求。

（5）运维人员在产品发生故障时负责排查故障原因并及时处置，保障系统稳定运行。

（6）每日监测终端安全管理系统和准入控制系统硬件状态和软件运行状态。对服务器的运行状态、运行性能、管理功能运行情况进行巡检，进行各项系统级参数的调整，日志空间整理。巡检完成后，形成巡检报告。

（7）每月对终端客户端程序运行状态进行检测。发现存在运行状态异常、性能下降等故障，及时处置并提交报告。

（8）中标供应商技术团队需组织终端安全管理系统和准入控制系统使用培训工作。

（9）驻场运维****税务局针对终端安全的其他工作。

2.故障处理：

服务期间，如客户端出现各种系统功能性故障，现场运维人员无法处理的，技术服务团队将进行远程协助排查处置；必要时，需派遣专人现场处置。

3.技术支持响应：

全省范围内对系统使用过程中出现的各类问题进行解答与回复。对操作中出现的常见问题，提交处置方案并进行汇总分析，写入知识库。

4.问题解答服务

针对全省对系统知识点、产品技术逻辑质询的要给予充分的解答并形成知识库、FAQ（常见问题解答）等手操。

4. 技术支持服务要求

服务期限：2024年1月1日-2024年12月31日。

中标供应商在服务期间提供7*24小时的响应服务。服务方式包括但不限于：驻场服务、7*24小时电话服务、电子邮件服务、微信群服务、现场服务。

若所维护的产品出现严重问题或故障，先由驻场技术人员处理，必要时厂商需指派更加专业的技术人员抵达现场，响应时间小于30分钟、工程师到场时间小于2小时、故障恢复时间小于24小时。故障解决后24小时内，提交故障处理报告，详细说明故障种类、故障原因、故障解决中使用的方法及故障损失等情况。

制定应急预案，包含但不限于组织架构、应急响应流程、应急处置、事后处理等流程。

5. 项目管理和实施要求

（一）项目实施总体要求

项目实施过程中服务提供方必须严格遵守国家信息安全相关的法律法规要求，并且在服务的过程应尽量不能影响纳税人办理涉税业务。

承诺提供7*24小时免费产品保修服务（免上门费、人工费及其他相关费用）。包括但不限于软件系统故障处理、技术支持、现场支持、性能调优、每月度远程巡检、每季度现场巡检、软件升级实施服务，技术现场改造等；出现驻场运维人员无法解决的问题，原厂商需提供上门技术支持服务，包括**调整、优化、升级，意见建议等。

（二）项目实施管理

1.投标人必须承诺对本项目技术文件以及由用户提供的所有内部资料、技术文档和信息予以保密；未经用户书面许可，不得以任何形式向第三方透露本项目标书以及本项目的任何内容；投标人必须按照用户的要求签订相关的保密协议。

2.投标人必须承诺保证项目所使用的各类设备或工具具备合法的使用权，需要在采购人内部部署使用的设备或工具必须符合国家有关部门的要求，****政府部门系统的安全要求。

3.投标人应加强本项目资料的保密管控，须针对本项目建立项目纸质、声音、影像、图像、电子等各种形态资料及其载体的保密管控措施，记录资料由生成到销毁整个生命周期内的使用日志，并根据实际工作情况及时对制度进行调整。

4.投标人应加强本项目在用户工作场所使用设备，特别是笔记本电脑、移动存储介质等便携设备使用的保密管理。接入系统网络内使用的设备，必须遵守该系统关于终端安全管理、移动存储介质管理等要求。为保证项目的顺利实施，投标人应加强实施过程中的风险控制，充分讨论并明确实施对系统可能带来的风险和隐患。投标人须针对本项目拟定项目风险控制方案。

（三）项目人员管理要求

1.中标供应商需为本项目配备专门的实施团队，实施团队要求具有类似项目经验。需配备项目经理1名，并具备专业资格证书。项目经理具体要求需熟悉网络与数据安全方面的法律法规，熟悉网络安全架构与产品，具备丰富的项目管理与网络安全咨询经验。

2. 中标供应商须提供包括现场运维人员在内的产品运维技术服务团队，团队人员须具有3年以上网络信息安全服务领域的工作经验，具备较强的安全意识和责任心，具备良好的沟通表达能力；团队中须配备网络安全从业经验，具备注册信息安全专业人员证书（CISP）的网络安全专家。提供现场运维人员1名，具备良好的沟通表达能力；具备3年以上网络安全工作经验。

3.中标供应商应保证项目组成员的稳定性，如特殊情况需要调整项目组成员的，应提前一个月书面通知招标人，招标人同意后才能安排调整。

6. 验收要求

1.验收标准

中标供应商需按照税务系统信息安全技术规范及相关要求、与运维服务管理工作相关的国家有关规定／标准或规范、招标文件明确的各项服务质量及具体技术指标要求、投标人的投标文件及承诺等验收标准，配合采购人开展项目验收工作。

2.验收条件

服务期限届满后，中标供应商需向采购人申请对运维服务进行验收。采购人、投标人需共同参与验收。验收合格后，由采购人出具项目验收书。

3.验收交付物：

供应商需提交《运维服务方案》、《运维问题与工作量记录》、《运维服务日报》、《运维服务月报》、《运维服务季报》、《运维服务巡检记录》。

7. 税收信息化项目开发和应用管理工作要求

本项目不涉及税收信息化项目开发。

8. 其他要求

（一）项目保密要求

1、双方应对在合同签订或履行过程中所接触的对方信息，包括但不限于知识产权、技术资料、技术诀窍、内部管理及其他相关信息，负有保密义务。

2、中标供应商在使用用户方为其提供的数据、程序、用户名、口令、资料及甲方相关的业务和技术文档，包括方案设计细节、程序文件、数据结构，以及相关业务系统的硬软件、文档、测试和测试产生的数据时，应遵循以下约定:

（1）应以审慎态度避免泄露、公开或传播用户方的信息;

（2）未经用户方书面许可，不得对有关信息进行修改、补充、复制;

（3）未经用户方书面许可，不得将信息以任何方式(如 E-mail)携带出甲方场所;

（4）未经用户方书面许可，不得将信息透露给任何其他人;

（5） 用户方以书面形式提出的其他保密措施。

3、保密期限不受合同有效期的限制，在合同有效期结束后，信息接受方仍应承担保密义务，直至该等信息成为公开信息。

4、双方如出现泄密行为，泄密方应承担相关的法律责任并承担由此给对方造成的经济损失。

（二）知识产权要求

中标供应商需保证所提供的服务不侵犯第三方的知识产权（专利权、商标权、版权等），因侵害第三方知识产权而产生的法律责任，全部由中标方承担。

（三）供应商承诺

投标人需对以下内容逐一承诺（格式自拟）：

1.依据《****办公厅关于修订的通知》（税总办征科发〔2022〕1号）相关规定，本项目不采购税务系统失信记录名单中的服务提供商提供的产品及服务。

通知文件互联网链接：http://www.****.cn/chinatax/n810341/n810825/c101434/c****093/content.html

2.信息化项目使用的供应链产品提供要满足国家网络安全规范和认证要求。

3. 中标供应商要建立网络安全负责人制度。每个项目均要设置网络安全负责人，组织落实各项网络安全要求。

4. 投标人应提**全责任意识，严控产品安全质量；建立清晰的软件供应链安全策略，明确相关的管理目标、工作流程、检查内容、责任部门等；严控上游，尤其重点管控开源代码的使用，确保使用的开源代码符合开源许可协议，形成第三方组件清单和安全分析报告，禁止使用存在**全风险或已停止维护的第三方组件；严控自主开发代码的质量，采用软件源代码安全分析工具，持续检测和修复软件源代码中的安全缺陷和漏洞；建立完善的产品漏洞响应机制，包括产品漏洞信息的收集、漏洞报告渠道的建立和维护、漏洞补丁的开发和发布、客户端漏洞应急响应和修复支持等。发现网络安全漏洞、缺陷、数据泄露或其他重大网络安全风险，及时向采购人进行报告，不得擅自公开或向第三方提供。

5.项目实施前及实施期间，中标供应商要对参与项目人员进行网络和数据安全技能等方面培训、考核、警示教育等。

6.应用系统上线前，中标供应商要进行安全功能测试（包括漏洞扫描、渗透测试、源代码审计、基线核查）。

7.应用系统上线前，中标供应商要提交供应链产品清单、第三方组件使用清单、安全测试报告、源代码审计报告、等保测评报告、供应链安全自查报告等。

8.采购人要对中标供应商方参与项目人员开展背景审查，中标供应商需项目人员提供无犯罪记录证明，公司和个人均签署保密协议、网络安全承诺书等。

9.中标供应商应配置独立的内部代码管理平台，且不与互联网链接。严禁将源代码上传第三方平台，严禁使用互联网代码托管平台。

10.中标供应商不得另行开发合同业务需求范围内，供纳税人、缴费人使用的软件。不得利用产品和服务的使得条件非法获取数据、非法控制和操纵设备，无正当理由不中断产品供应或必要技术支持服务等，如违反上述条款，将被纳入失信名单。

11.中标供应商违反****及其上级主管部门制定的网络安全规定行为造成不良后果的，将被纳入失信名单，3年内****政府采购活动。

12.中标供应商不得在合同履行期间“围猎”税务人员。如违反上述条款，将被纳入失信名单，3年内****政府采购活动。

13.中标供应商应建立防止违法违规聘用离职税务人员风险控制制度，如出现违法违规聘用离职税务人员行为，采购人有权采取以下措施：要求限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下****政府采购活动等。

（四）付款方式

合同签订之后,15日内乙方提出付款申请并出具合法等额发票后15日内支付合同总金额的50%；2024年9月30日前，经采购人验收合格后15日内乙方提出付款申请并出具合法等额发票后15日内支付合同总金额剩余部分。

办理付款时，乙方应提供等额合法发票、付款申请、合同、中标或成交通知书、合同约定的其他资料。涉及验收的，应同时提交甲方实施部门出具的项目验收书。