采购需求前附表

1.项目概述

1.1项目背景

为贯彻落实网络安全法，****总局数据安全和供应链安全管理要求，建立常态化值班值守、7*24监测预警、应急处置工作机制，通过专业的网络安全运维服务确保我局网络安全设备和网络安全应用系统正常运行，加强网络安全运维服务已经成为税务行业信息化建设和发展的重要保障。

1.2项目内容

项目内容包括：日常性网络安全运维、7*24小时安全监测、网络安全系统运维（应用安全支撑平台、税务数字证书注册、发布系统、电子签章系统、网络安全态势感知平台、“双向”安全交换系统和密码服务组件、TCE云平台及云上安全设备及安全系统、安全管理平台相关系统）、供应链厂商网络安全能力评估服务和数据安全风险评估服务。

2. 投标/响应要求

2.1 供应商必备资质要求

中标供应商参加本采购活动应符合《政府采购法》第二十二条的规定，具备下列条件：

（1）具有独立承担民事责任的能力；

（2）具有良好的商业信誉和健全的财务会计制度；

（3）具有履行合同所必需的设备和专业技术能力；

（4）有依法缴纳税收和社会保障资金的良好记录；

（5）法律、行政法规规定的其他条件。

（6）本次招标不接受联合体投标，禁止有隶属关系或相关联企业同时投标，不得转包及分包。

2.2 供应商优选资质要求

（1）具备ISO27001信息安全管理体系认证证书；

（2）具有ISO9001质量管理体系认证证书；

（3）具备ISO20000信息技术服务管理体系认证证书；

（4）成功案例：提供2021年1月1日以来（以合同签订日期为准）独立承担类似项目成功案例。

2.3投标/响应文件技术部分响应内容要求

2.3.1项目需求理解：投标人对项目定位、服务目标是否精准。

2.3.2项目方案：根据方案能否完整响应项目需求。整体服务方案及措施是否完整，是否具有针对性及科学性；驻场服务人员关系管理方案、员工培训计划与方案、突发事件应急处理方案、符合采购人的其他服务方案（特色服务、增值服务等）是否合理、可行、符合采购人实际需求。

2.3.3项目管理方案：项目管理方案要合理、严谨、职责清晰、可操作性强、风险可控性强。

3. 项目需求

3.1 日常性网络安全运维

3.1.1 负责********税务局）互联网业务区、业务专网区和横向联网区100余台/套网络安全设备（包括：防火墙、入侵检测、抗DDOS设备、WEB应用防火墙、入侵防御系统、应用安全网关、网闸、网页防篡改、运维审计系统、综合日志审计系统、数据库审计系统、态势感知平台等）运行监测、安全分析、升级维护、故障处理、日志审计和应急响应等工作。

****税务局网络安全设备维护清单如下：

3.1.2 ****税务局关键信息基础设施和重要应用系统的日志信息的转存和备份，及时分析发现处置网络安全事件，定期提交网络安全日志的数据分析和审计报告。

3.1.3 ****税务局互联网区、业务专网区和横向联网区、金四云上等区域共计120余个应用系统，包含400余台物理机、2700余台虚拟化主机的网络安全漏洞管理工作，包含但不限于网络安全漏洞预警、扫描、交接、修复验证等工作，各区域应用系统数量如下：

（1）互联网业务区：门户网站系统、****税务局系统、增值税发票管理系统、电票平台、征纳互动平台、统一身份管理平台、自助办税系统、自然人申报记录系统、社保费系统、重点税源网上直报等27个系统、710余台主机；

（2）横向联网区：外部交换、税收大数据智税平台、社保费征管信息系统、税企直**台、车船税联网征收系统和社保费税银系统等10余个系统、50余台主机；

（3）业务专网区：金税三期管理系统、电子发票服务平台、征纳互动平台、税智撑平台、统一身份管理平台、金税三期税收管理系统、数字人事系统、电子税务局系统、ATM自助办税系统、电子公文系统、财务管理系统、第三方支付平台、电子档案系统、发票2.0系统、国地税机构改革系统、金税工程运维服务管理平台、综合征管系统、自然人税收管理系统、征管辅助平台、税收社会化平台、税收大数据智税平台系统、税企直**台、社保费征管信息系统、内部控制监督平台等80余个系统、1500余台主机。

3.2 7*24小时值班值守和运行监测及处置

负责全年7*24小时网络安全值班值守及监测处置工作。网络安全设备（防火墙、入侵检测、抗DDOS设备、WEB应用防火墙、入侵防御系统、应用安全网关、网闸、网页防篡改、运维审计系统、综合日志审计系统、数据库审计系统、威胁感知平台等）的7*24小时运行监控及维护，通过各类安全设备监测各区域的攻击威胁，发现攻击行为及时进行阻断及处置工作。

3.3 网络安全系统运维服务

3.3.1 应用安全支撑平台

（1****税务局应用安全支撑平台系统的运维服务。提供金三和社保费应用安全支撑平台系统的的运行支持保障，对该项目所涉及的服务器、中间件、数据库以及业务应用软件平台等进行维护管理和操作，并按照后续业务优化情况，对系统进行功能升级与测试。

（2）应用环境运维服务。对应用安全支撑平台8台应用服务器上运行的应用支撑软件等进行巡检,主要包括服务器磁盘空间使用率、进程使用**、系统日志、redis运行状态、weblogic进程状态等；

（3）故障处理服务。受理用户通过电话、邮件等各种方式提出的的远程技术支持请求，并在最短时间内进行实质性响应；系统出现无法登录、登录缓慢等故障或其他问题（非停机性质问题，如系统运行缓慢或不稳定）时，负责诊断应用系统故障原因，并提出故障处理建议或解决方案；

（4）应用系统运维服务。对平台和各功能模块的运行效率、性能、可用性等进行监控和分析，并根据分析结果对系统进行性能优化（包含底层开发平台的优化），包括参数调整、结构扩展和重新部署等。提供单点登录系统、用户权限系统使用过程中相关问题解答服务；

（5）运维管理服务。****税务局要求，积极配合完成该运维服务而开展的研讨、咨询、故障会诊等，并配合制定运维服务管理、监督的各类规章制度和流程；

（6）其他要求。提供升级与优化相关服务，包括应用系统上线、变更等必要的健康检查、值守保障等，并在升级与优化工作完成后提供升级与优化的相关技术资料；对应用安全支撑平台项目运行过程中出现的各类问题进行解答，包括系统安全问题，业务安全问题等；****税务局分析现有的应用安全状况，修补安全漏洞，提高应用安全水平，发现新的应用安全增值服务，规划新的应用安全体系架构。

3.3.2 税务数字证书注册、发布系统

（1）▲****税务局税务数字证书系统的运维服务。提供税务数字证书系统的运行支持保障，每天对该项目所涉及的服务器、中间件应用以及业务应用软件平台等进行维护管理和操作，并按照后续业务优化情况，对系统官网进行更新内容查看，及时进行功能升级。（提供服务承诺函）

（2）▲故障定位和问题处理。每天查看、检查网络连接的问题，如防火墙策略限制、网络通畅性、操作系统版本环境兼容性、计算机USB接口或证书介质硬件可使用性、证书有效性等问题。对税务数字证书注册系统相关业务场景说明、业务操作流程和业务功能方面提供技术支持服务；对岗位设置、岗位职能、岗位权限管理等方面提供技术支持服务；税务数字证书注册系统远程终端的部署安装，包括客户端控件的安装、操作员证书驱动的安装等方面提供技术支持服务。（提供服务承诺函）

（3）负责内部证书注册系统、内部证书注册系统、内部证书状态查询系统、外部证书注册系统、外部证书注册系统、外部证书状态查询系统的运维技术支持服务。

（4）系统出现故障，接到用户技术支持请求后，立即做出实质性响应，在2小时内提出故障解决方案，4-12小时内恢复系统正常运行。故障解决后48小时内，提交故障处理报告。****总局远程服务人员无法处理的问题。

3.3.3 电子签章系统

负责**省业务专网区电子签章运维服务，对该项目所涉及的签章服务器、密码机、中间件应用以及业务应用软件平台等进行维护管理和操作，保证电子签章系统运行稳定、安全，不影响正常业务处理，并按照后续业务优化情况，对系统进行功能升级与测试，确保系统运行平稳、顺畅。

3.3.4 税务网络安全态势感知平台

（1）负责态势感知平台的日常运行监控。每日审查各探针**台系统的运行情况，深入研究各类网络通信流量的日志信息的采集情况，以快速发现任何异常。当出现问题，立刻组织进行排查和修复工作，确保态势感知平台保持无故障运行。此外实施实时监控、识别和验证安全信息告警，通过有组织的网络攻击事件验证，确保迅速采取风险处置措施，为网络安全提供最强大的防护。

（2）▲每天维护态势感知平台资产信息。根据实际动态调整更新资产信息，确保平台始终拥有全面准确的基础库信息。（提供服务承诺函）

（3）每月进行全网段漏洞扫描，将扫描结果及时传输到态势感知平台，并将漏洞及时推送、对漏洞修复情况进行核实验证，确保漏洞得到及时修复和消除。

（4）每月进行全网资产发现扫描，同时确认扫描结果中未录入态势感知平台的资产信息，如名称、类型、路径、业务区域和责任人等，并将其准确记录，已确保平台拥有完备的资产信息，使资产管理更加有效。

（5）▲根据采购人要求时限内进行补丁升级，准备并执行升级计划，以保证关键数据完整性。升级后对系统各功能异常情况排查，确保系统稳定运行。（提供服务承诺函）

（6）每月对态势感知平台相关的探针（僵木蠕、WAF、网络审计、数据库审计等）规则进行升级，确保规则库及时更新，及时发现新威胁确保税务网站安全。

（7）每天生成详尽的工作汇报表，包括互联网威胁行为分析表、互联网风险预警分析表，提供全面的数据，有助于更好地了解和管理网络和数据威胁。

（8）做好沟通、积极推进整体性工作，并及时提供反馈。按时处置或回执，****管理中心下发的通知通告，以确保信息流畅、反馈及时。

3.3.5“双向”安全交换系统和密码服务组件

主要服务内容为“双向”安全交换系统和密码服务组件

系统的日常运维、故障处理、健康检查、版本升级更新，与**应用系统集成对接等工作，具体内容包括但不限于:

（1）▲每日对双向安全交换系统和密码服务组件系统进行巡检，设备日常巡检通过收集每日运行参数，监控设备硬件运行情况，分析主要业务系统的流量日志，关注安全事件的发展动态，及时发现风险、问题并进行处置并上报。（提供服务承诺函）

（2）每月需要将双向安全交换系统和密码服务组件系统健康状态、对接应用系统运行情况、以月报的形式汇报。

（3）日常运维：对双向安全交换系统和密码服务组件系统开展日常运行维护工作，包括设备日常维护，设备配置管理，安全日志分析，设备配置优化等运维服务，开展健康 检查，处理系统故障；负责应用策略的开通，确保应用系统的稳定运行，配合应用系统业务故障排查。

（4）按照业务需求及时将应用系统接入到双向安全交换系统和密码服务组件系统中。

（5）告警事件处置：对告警事件进行及时的报告和处理，保障业务正常运行，对硬件故障进行及时的反馈和处理，对业务影响降到最小化。

（6）▲确保安全设备在生命周期内稳定运行，每周进行安全配置梳理以及配置检查，对违规策略进行严格管控，禁止一切未授权的应用访问。（提供服务承诺函）

（7）应用系统运行情况监控：对设备上的运行应用进行监控，及时报告和处理应用系统的异常情况。

（8）▲补丁升级：根据总局系统新版本发布时间，按实际情况进行升级维护，对配套的硬件设备进行补丁修复。（提供服务承诺函）

（9）双向安全交换系统和密码服务组件系统重要时期安全值守服务：技术加固服务，制定应急响应预案，安全漏洞预警，威胁情报共享，安全事件监控，安全事件处置。

3.3.6 TCE云平台及云上安全设备及安全系统

信创云平台互联网区、业务专网区均部署了相关云内安全产品，负责对两个区域信创云内安全产品的日常巡检，运行的可靠性、安全性进行保障。**全产品的策略优化、规则库升级、设备告警的发现和处置、漏洞的定期扫描及分析等工作，主要包括以下内容：

（1）▲WEB应用防火墙。根据业务系统的运行情况及时优化防护策略、升级规则库，查看攻击日志，分析并处置安全告警，保护云计算平台的 WEB 应用和服务器，确保云计算平台 WEB 应用和服务免受侵害，保障应用系统的稳定运行。（提供服务承诺函）

（2）▲主机安全（云镜）。监控 CVM 主机的云镜 agent 安装情况，在线/离线情况，如存在未安装客户端以及客户端离线的主机，需确认客户端未安装原因、客户端离线原因。（提供服务承诺函）

监控文件查杀、异常登录、密码破解、本地提权、反弹 shell、高危命令等告警情况，根据安全告警情况，及时进行分析、处置以及上报。

监控漏洞情况，根据漏洞统计情况，及时进行处置以及上报局方、各应用厂商进行漏洞修复。

（3）▲高级威胁检测系统（NTA）。监控、分析并处置安全事件。根据攻击告警信息发现恶意攻击和潜在威胁，及时进行分析、处置以及上报局方，协助对攻击事件进行分析和溯源，同时定期升级规则库，保证规则库的最新。（提供服务承诺函）

（4）▲网络入侵防护系统（NIPS）。根据业务系统的访问情况优化规则库，对域名、URL、Cookie、Referer 等字段进行精准访问控制，同时针对0day 漏洞等最新漏洞来不及打补丁情况下进行临时添加热补丁策略先拦截阻断，再推进漏洞修复。（提供服务承诺函）

（5）▲****中心（SOC）。****中心的告警事件，定期对租户面的外部攻击和内部潜在风险进行深度检测，及时处置发现的告警事件，提高日志关联分析、威胁情报、态势感知能力。（提供服务承诺函）

（6）▲云防火墙（CFW）。实时监测云防火墙的运行情况，并根据业务的访问需求，配置相应的访问控制策略。（提供服务承诺函）

（7）▲云上漏洞扫描。每月利用云上漏洞扫描工具对云上服务器、中间件、容器等进行漏洞扫描，并提供漏洞统计、漏洞分类、漏洞详情等信息，并对漏洞情况进行交接、修复验证等工作。（提供服务承诺函）

（8）▲对云桌面系统进行运行维护，升级系统、补丁更新、策略下发及问题处理等工作，保证云桌面的稳定运行。（提供服务承诺函）

3.3.7 安全管理平台及其延展的网络安全系统

需要对安全管理平台的功能包括资产管理、安全态势分析、安全防护、检测评估、监测预警、主动防御、事件处置、知识库管理等工作进行维护，包括但不限于：

（1）协助采购人及时维护信息系统、资产、用户等信息完整、准确，能够第一时间发现并协助定位受威胁资产。

（2）每月开展不少于1次的漏洞扫描和基线核查。

（3）做好岗位和工作流程配置、按期反馈通知通告内容、及时查阅风险提示。

（4）▲实时监测金四案管平台，发现网络和数据安全风险及时推送处置。（提供服务承诺函）

（5）▲及时做好风险预警分析研判及事件处置，保证风险任务闭环管理。（提供服务承诺函）

（6）▲研究“云、网、端、管”扩围对接。协助采购人开展全网段全量安全防护设备的SNMP和Syslog对接，监控安全设备运行状态，监控分析内外部安全风险。（提供服务承诺函）

（7）▲研究“外防攻击、内防窃数”优质技术手段。按照采购人要求，对生成“外防攻击、内防窃数”信息的数据源进行梳理，协助采购人搭建规则模型，并持续优化完善。（提供服务承诺函）

3.4 供应链厂商网络安全能力评估服务

围绕信息系统供应链厂商，从人员安全管理、开发建设管理、数据安全管理三方面开展专项供应链厂商网络安全能力评估工作，从以下几方面开展评估：

供应商人员安全管理方面评估包括但不限于背景审查，供应商网络安全组织架构、制度情况、人员网络安全培训及考核，事件应急响应机制、预案和应急演练），开发建设管理方面评估包括但不限于供应商软件研发场所核查，开发测试环境、工具和终端介质管理，供应链产品清单、代码平**全评估。

供应商数据安全管理评估包括但不限于测试数据脱敏检查、生产数据访问权限检查、系统数据留存检查。

（1）评估准备阶段

在对被评估的供应链厂商进行充分调研的基础上，确定供应链安全评估目标、范围、评估方法和依据，制定供应链安全评估实施方案，并召开项目启动会。

（2）现场评估阶段

人员安全管理评估工作：对供应链厂商及人员开展背景审查；建立网络安全责任人制度，对供应商的网络安全组织架构及制度等进行审查；对供应商人员的安全培训以及人员考核进行检查，考核包括但不限于技能考核、网络安全意识考核、保密常识等方面的内容；审查供应商的应急响应机制，包括应急预案以及供应商应急演练记录等。

开发建设管理评估工作：对供应商软件开发场所进行审查，确保开发场所安全可控可信；对供应商开发环境进行管理评估，评估内容包括开发测试环境安全可信、开发工具等终端以及移动存储介质检查；对供应链厂商的产品和服务管理进行评估，核查供应链产品清单；对供应链厂商进行第三方组建管理，包括组织供应链厂商开展代码安全评估、代码管理安全评估等。

供应商数据安全管理评估工作：对供应商提供用于测试的税务数据进行脱敏检查；对于生产数据核查其权限管理落实情况；对供应链厂商的数据安全管理活动开展评估，核查数据留存情况是否符合要求。

（3）报告编制阶段

测评报告编制：汇总供应链厂商及人员安全管理评估结果、开发建设管理评估结果、供应商数据安全管理评估结果，形成供应链产品清单、供应链安全评估报告。

（4）安全服务要求

投标人应依据供应商评估具体要求和指标，结合我局对于信息系统供应链厂商安全要求开展评估工作：测评机构应保守在测评活动中知悉的国家秘密、工作秘密、数据和个人隐私，对所出具的评估报告负责。

3.5 数据安全风险评估服务

依据（TSZBA 001—2023）《数据安全合规评估方法》，GB/T 20984-2022《信息安全技术 信息安全风险评估方法》，围绕数据安全需求，从以下方面开展风险评估：基于黑盒的漏洞扫描和渗透测试；基于白盒的源代码安全审计、源代码成分分析、源代码第三方组件****开发部分)；基于灰盒的接口访问安全和数据安全评估；数据**外泄监控评估（数据权限安全、数据加密安全、数据脱敏安全等)；系统和数据权限管理评估；围绕全流程税务数据安全开展评估工作，包括数据的收**全、存储安全、使用安全、加工安全、传输安全、提供安全、公开安全、删除安全，根据数据的重要性和敏感性，从证书认证、通道加密、内容加密、数据水印、数据防泄漏、数据防篡改、数据备份、数据脱敏、数据抗抵赖、数据运维和管理等方面进行综合评估。

3.5.1 数据安全风险评估准备

在对被评估的数据资产进行充分调研的基础上，确定数据安全评估范围、评估方式和依据，并配合采购人组织相关人员、并召开项目启动会，制定数据安全评估方案。

3.5.2 数据安全风险识别阶段

资产识别分析：调研分析，进行资产分类、资产赋值（保密性赋值、完整性赋值、可用性赋值、资产重要性等级）。

威胁识别分析：依据资产确定威胁识别对象，进行威胁分类、威胁赋值。

脆弱性识别分析：针对税务相关业务系统，利用人员访谈、资料核查、技术手段核查、系统测评等方法，围绕数据全生命周期安全，进行脆弱性识别内容确定、脆弱性赋值。通过文档查阅、漏洞扫描、人工核查等对各资产进行检查和测试，分为技术和管理两个方面进行脆弱性识别分析。脆弱性识别是风险评估过程中最重要的环节。

根据分析情况出具资产调研报告、资产识别报告、威胁识别报告、脆弱性识别报告。

3.5.3 数据安全风险分析与评价阶段

在识别脆弱性的同时，对已采取的安全措施的有效性进行确认，并评估其有效性，并出具安全措施确认报告。中标供应商须从脆弱性评估开始，对被评估系统不可接受风险的资产残余进行再评估，在对照安全措施前后的脆弱性状况后，再次计算风险值，对于残余风险仍处于不可接受的范围内，中标供应商须继续提供相应安全措施，直至不可接受风险的资产处于可接受的范围内。

3.5.4 报告编制与评审

评估后形成漏洞扫描和渗透测试报告、源代码安全审计报告、第三方组件使用清单，以及第三方组件安全分析报告。汇总数据安全评估结果，编制数据安全风险评估报告。

3.5.5 安全服务要求

投标人应依据风险评估方法，结合我局对于数据安全需求开展评估工作：测评机构应保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，对所出具的风险评估报告负责。

4.技术支持服务要求

4.1 服务期限要求

本项目日常性网络安全运维、7*24小时安全检测、网络安全系统运维的第一年服务期：2024年12月15日至2025年12月14日；第二年服务期：2025年12月15日至2026年8月31日。数据安全风险评估和供应链厂商网络安全能力评估服务为合同签订后60日完成评估并出具评估报告。

4.2服务响应要求

中标供应商需依据需求内容提供7*24小时技术响应服务。日常性网络安全运维、7*24小时安全监测、网络安全系统运维须对系统操作问题在现场进行及时解答、日常升级于2个工作日内完成、大版本升级于3个工作日内完成；针对发生的网络安全事件须于半小时内做出响应、1小时内到达现场，2小时内提出排查方案，8小时内解决问题，48小时提供事件处理报告；针对系统和设备故障，须于1小时内做出响应，并于2小时内恢复系统和4小时内恢复设备运行，并于48小时内提供处理报告。

4.3 服务培训要求

中标供应商应通过服务培训帮助项目采购人中的管理人员、技术维护人员更好熟悉各系统网络安全设备，提高设备管理的人员设备操作、故障处理等能力，最终通过培训考核，达到独立运维的工作要求：

（1）达到了解各类网络安全设备/系统的技术性能，熟练掌握设备的操作和正确维护。

（2）能够排除各类网络安全设备/系统的一般故障，掌握设备的维修技术及日常保养，达到培训要求。

（3）对各类网络安全设备/系统的构造、性能、原理和操作有详细透彻的的理解。

（4）能够准确的发现网络安全设备/系统出现的和隐藏的问题，并能及时沟通联系安全运维人员/中标供应商，使问题得到及时解决。

4.4服务考核要求

中标供应商提供的网络安全系统运****总局关于态势感知平台、双向安全交换系统、税务数字证书系统、密码组件服务系统等相关绩效考评要求，确保绩效考评不失分。

中标供应商须如期提供供应链厂商网络安全能力评估报告、数据安全风险评估报告，****总局关于数据安全评估、供应链厂商网络安全能力评估的绩效考评相关要求，确保考核不失分。

4.5违约责任

中标供应商违约责任情况要求，在中标供应商应提供7*24小时技术响应服务。日常性网络安全运维、7*24小时安全监测、网络安全系统运维须对系统操作问题在现场进行及时解答、日常升级于2个工作日内完成、大版本升级于3个工作日内完成；针对发生的网络安全事件须于半小时内做出响应、1小时内到达现场，2小时内提出排查方案，8小时内解决问题，48小时提供事件处理报告；针对系统和设备故障，须于1小时内做出响应，并于2小时内恢复系统和4小时内恢复设备运行，并于48小时内提供处理报告。项目内容单项服务如不能在规定时间内完成，扣除中标供应商项目内容中单项（日常性网络安全运维、7*24小时安全监测、网络安全系统运维、）服务项目的5%费用。

中标供应商违反服务期限要求，并且没有在规定时间完成供应链厂商网络安全能力评估服务和数据安全风险评估服务相关服务，扣除中标供应商服务项目内容的5%。

5.项目管理和实施要求

5.1项目实施要求

中标供应商须制定清晰的岗位职责、明确服务流程和规范，对服务团队建立绩效考核机制，确保满足采购方需求，确保响应效率及服务质量。当本项目现服务人员无法完成相关工作时，中标供应商应及时协调**确保及时完成。

5.2 项目人员要求

（1）应为本项目日常性网络安全运维、7*24小时安全监测、网络安全系统运维组建不少于14人的驻场服务团队（3人为日常性网络安全运维，4人为7*24小时监测服务，7人为网络安全系统运维），为本项目数据安全风险评估和供应链厂商网络安全能力评估组建不少于5人的评估团队。

（2）项目实施期间确保团队人员的稳定性，如更换服务人员需经采购方书面同意，工作交接时间不少于2个月。应为本项目配备不少于5年网络安全工作经验的项目经理。驻场技术人员应接受采购方的管理，并遵守相关工作规范。

（3）本项目日常性网络安全运维驻场人员须有3年以上网络安全工作经验，具备注册信息安全专业人员证书，了解税务网络安全标准和技术要求，熟练使用主流安全厂商的设备和软件，能够独立完成日常网络安全运维、故障排查、安全事件分析、应急处置等相关工作，具备技术文档编写能力和良好沟通能力。

（4）本项目7*24小时监测人员至少有2年以上网络安全工作经验，熟悉网络安全主流监测设备，具备应对网络攻击的快速响应和应急处置能力。

（5）本项目网络安全系统运维人员应至少具备3年以上信息系统运维工作经验，需熟悉主流中间件及数据库运维操作，熟悉税务网络安全信息系统前后台操作。

6.验收要求

项目服务期满后，由中标供应商提出项目验收申请，项目使用部门按照相关要求组织验收，中标供应商应按照采购方验收要求，提交相关验收资料，按照合同要求考察服务满意度、应急响应情况、文档交付情况、专业技术能力和服务整体质量等方面，须出具齐全项目验收资料，验收通过后出具项目验收报告。验收资料包括但不限于：

（1）《7*24小时网络安全运维报告》

（2）《网络安全漏洞扫描报告》

（3）《网络安全漏洞交接单》

（4）《运维系统审计报告》

（5）《数据库审计报告》

（6）《日志审计统计表》

（7）《日志审计工作报告》

（8）《网络安全情况统计表》

（9）《网络安全情况半月报》

（10）《网络安全运维周报》

（11）《网络安全运维月报》

（12）《税务数字证书系统运维服务月报》

（13）《税务数字证书系统问题处置记录》

（14）《金税三期应用安全支撑平台运维服务月报》

（15）《金税三期应用安全支撑平台问题处置记录》

（16）《税务系统态势感知平台运维服务月报》

（17）《税务系统态势感知平台问题处置记录》

（18）《“双向”安全交换系统和密码组件系统运维服务月报》

（19）《“双向”安全交换系统和密码组件系统问题处置记录》

（20）《安全管理平台运维服务月报》

（21）《安全管理平台问题处置记录》

（22）《TCE云平台运维服务月报》

（23）《TCE云平台问题处置记录》

（24）《税务数字证书系统运维服务年度总结》

（25）《“双向”安全交换系统和密码组件系统运维服务年度总结》

（26）《金税三期应用安全支撑平台运维服务年度总结》

（27）《税务系统态势感知平台运维服务年度总结》

（28）《安全管理平台运维服务年度总结》

（29）《TCE云平台运维服务年度总结》

（30）《源代码安全审计报告》

（31）《第三方组件使用清单及安全分析报告》

（32）《漏洞扫描和渗透测试报告》

（33）《数据安全风险评估报告》

（34）《供应链厂商网络安全能力评估报告》

中标供应商须知对验收中发现的问题按照采购人要求进行整改。网络安全运维验收服务过程中发现的运维服务问题，如基础设施隐患、软件安全漏洞、数据安全风险、访问控制不严、应急响应不足、运维记录缺失等问题时，应按照招标文件的要求及标准，出具有效解决办法和措施，经采购人同意后进行补充、完善；网络安全运维服务验收文档不全，网络安全运维服务过程的记录不完整、不清晰，或未按照招标文件规定的交付物和要求生成的方案、报告、图表等；应及时按招标文件要求的内容尽快补充、完善相关验收资料。

7.税收信息化项目开发和应用管理工作要求

中标供应商服务期内须严格按照合同要求完成相关工作，按时提交各阶段文档，应遵循开发管理的过程监理、中期报告审议、验收资料审议等相关要求。供应商在投标或响应时承诺已知悉并遵守《税务系统信息化服务商失信行为记录名单制度（试行）》相关规定，并承担相应后果，对于违约失信行为，将纳入信息化服务商失信行为记录名单。

8.其他要求

8.1保密要求

甲乙双方应对在合同签订或履行过程中所接触的对方信息，包括但不限于知识产权、技术资料、技术诀窍、内部管理及其他相关信息，负有保密义务。

乙方在使用甲方为乙方及其工作人员提供的数据、程序、用户名、口令、资料及甲方相关的业务和技术文档，包括税收政策、方案设计细节、程序文件、数据结构，以及相关业务系统的硬软件、文档、测试和测试产生的数据时，应遵循以下约定：

(1)应以审慎态度避免泄露、公开或传播甲方的信息；

(2)未经甲方书面许可，不得对有关信息进行修改、补充、复制；

(3)未经甲方书面许可，不得将信息以任何方式(如E－mail)携带出甲方场所；

(4)未经甲方书面许可，不得将信息透露给任何其他人；

(5)甲方以书面形式提出的其他保密措施。

保密期限不受合同有效期限制，合同有效期结束后信息接受方仍应承担保密义务，直至该等信息成为公开信息。

8.2知识产权要求：

中标供应商需保证所提供的服务不侵犯第三方的知识产权（专利权、商标权、版权等），因侵害第三方知识产权而产生的法律责任，全部由中标供应商承担。

中标供应商禁止另行开发合同业务需求范围内、供纳税人、缴费人使用的软件；禁止在合同履行期间“围猎”税务人员，对违反以上规定的，将纳入失信名单；对于违反网络安全规定行为造成不良后果的中标供应商，3年内****政府采购活动；中标供应商应建立防止违法违规聘用离职税务人员风险控制制度，如出现违法违规聘用离职税务人员行为，采购人有权对中标供应商采取以下措施：限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下****政府采购活动等措施。投标人针对以上内容提供承诺函。

8.3.其他要求

投标人需对以下内容逐一承诺（格式自拟）：

1.依据《****办公厅关于修订的通知》（税总办征科发〔2022〕1号）相关规定，本项目不采购税务系统失信记录名单中的服务提供商提供的产品及服务。

通知文件互联网链接：

http://www.****.cn/chinatax/n810341/n810825/c101434/c****093/content.html

2.信息化项目使用的供应链产品提供要满足国家网络安全规范和认证要求。

3. 中标人要建立网络安全负责人制度。每个项目均要设置网络安全负责人，组织落实各项网络安全要求。

4. 投标人应提**全责任意识，严控产品安全质量；建立清晰的软件供应链安全策略，明确相关的管理目标、工作流程、检查内容、责任部门等；严控上游，尤其重点管控开源代码的使用，确保使用的开源代码符合开源许可协议，形成第三方组件清单和安全分析报告，禁止使用存在**全风险或已停止维护的第三方组件；严控自主开发代码的质量，采用软件源代码安全分析工具，持续检测和修复软件源代码中的安全缺陷和漏洞；建立完善的产品漏洞响应机制，包括产品漏洞信息的收集、漏洞报告渠道的建立和维护、漏洞补丁的开发和发布、客户端漏洞应急响应和修复支持等。发现网络安全漏洞、缺陷、数据泄露或其他重大网络安全风险，及时向采购人进行报告，不得擅自公开或向第三方提供。

5.项目实施前及实施期间，中标人要对参与项目人员进行网络和数据安全、技能等方面培训、考核、警示教育等。

6.应用系统上线前，中标人要进行安全功能测试（包括漏洞扫描、渗透测试、源代码审计、基线核查）。

7.应用系统上线前，中标人要提交供应链产品清单、第三方组件使用清单、安全测试报告、源代码审计报告、等保测评报告、供应链安全自查报告等。

8.采购人要对中标人方参与项目人员开展背景审查，中标人需项目人员提供无犯罪记录证明，公司和个人均签署保密协议、网络安全承诺书等。

9.中标人应配置独立的内部代码管理平台，且不与互联网链接。严禁将源代码上传第三方平台，严禁使用互联网代码托管平台。

10.中标人不得另行开发合同业务需求范围内，供纳税人、缴费人使用的软件。不得利用产品和服务的便利条件非法获取数据、非法控制和操纵设备，无正当理由不中断产品供应或必要技术支持服务等，如违反上述条款，将被纳入失信名单。

11.中标人违反****及其上级主管部门制定的网络安全规定行为造成不良后果的，将被纳入失信名单，3年内****政府采购活动。

12.中标人不得在合同履行期间“围猎”税务人员。如违反上述条款，将被纳入失信名单，3年内****政府采购活动。

13.中标人应建立防止违法违规聘用离职税务人员风险控制制度，如出现违法违规聘用离职税务人员行为，采购人有权采取以下措施：要求限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下****政府采购活动等。

8.4付款方式

第一年服务期，2025年3月底前由乙方提出付款申请并出具合法等额发票后10日内支付第一年期合同总金额的50%；2025年9月底前，项目验收合格后，乙方提出付款申请并出具合法等额发票后10日内支付第一年期合同总金额的50%。第二年服务期，按照第一年服务期合同金额扣除数据安全风险评估和供应链厂商网络安全能力评估服务金额后的月金额*8个半月计算第二年期合同总金额。合同到期，项目验收合格后，乙方提出付款申请并出具合法等额发票后10日内支付第二年期合同总金额的100%。