国家税务总局江西省税务局关于等级保护测评项目招标需求

采购需求部门：信息中心 项目名称 等级保护测评服务 交货（完工）时间 一年（从合同签订日期开始） 数 量 *项 预算金额(元) ****** 联 系 人 詹晓军 联系电话 ******** 设备清单及主要技术指标 等级保护测评服务（一年） 资金来源 预算内资金 建议完成时间 付款方式 合同签订生效后分两次支付费用，第一次在完成合同签订后的*个月内支付合同总价的**%，第二次在全部服务完成且验收合格后的*个月内支付合同总价的**%。验收不合格，不支付服务费用。 履约金比率 无 采购方式 项目编号 部门负责人签字 （加盖部门章） 年 月 日 采购部门 负责人签字 备 注 （其他特殊需求） 等级保护测评服务项目采购需求 采购需求前附表 序号 类别 内容 * 项目立项 项目立项时间：****年*月*日 项目立项证明文件：√有 £无 * 项目预算安排 总预算金额（万元）： ** 当年预算安排金额（万元）：** 项目资金来源：信息化运维经费 * 项目采购内容 货物名称及数量： 核心产品： 服务内容：等级保护测评服务（一年） 工程内容： * 项目实施时间 一年（从合同签订日期开始） * 项目实施地点 **省税务局 * 项目实施范围 * 项目相关单位 需求部门：信息中心 验收部门：信息中心 * 采购意向公开 £本项目已于****年* 月* 日公开采购意向 £本项目经立项审批不公开采购意向 * 支持中小企业 £本项目（第包）专门面向中小企业采购 £本项目预留预算金额的%专门面向中小企业采购 £本项目不适宜由中小企业提供，且已履行报批手续。 项目联系人：******* 人办公电话和手机：***； 具体要求：根据国家行业信息安全要求，结合实际需求，严格遵循《网络安全等级保护条例》、《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等，并应深入调研掌握信息系统的应用部署实际情况，按照国家有关管理规范和标准要求，细致分析各信息系统安全域及管理边界，合理划分信息系统范围，科学开展信息系统重要性程度分析， 召开定级专家咨询会议，准确判定信息系统安全等级，编制《定级报告》和《备案表》， 并按照定级备案流程，向主管部门、监管机关就信息系统定级进行审批备案，保证采购方顺利获得监管机关颁发的《信息系统安全等级保护备案证明》；若备案不成功，则合同不生效。 *.* 网络安全等级保护测评服务 *）服务对象：**省税务局网络基础设施和各类业务管理系统。 *）具体要求： 测评机构必须具备《网络安全等级保护测评机构推荐证书》，工作阶段、流程、内容、及成果交付严格遵循《网络安全等级保护测评要求》（GB/T *****-****)、《网络安全等级保护测评过程指南》（GB/T *****-****）和《信息安全技术 网络安全等级保护基本要求》（等保 *.*）文件。本项目测评系统复杂规模大、部署广、测评时间集中，应按照项目组开展工作，项目团队中应组织**部信息安全测评中心或中关村测评联盟颁发高级测评师负责项目组管理，并根据系统等级开展相应级别的开展单项测评和整体测评分析；测评报告内容及格式严格遵照网络安全等级保护测评报告最新模版，符合**部门定级和备案要求。 按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》，遵循《网络安全等级保护基本要求》（GB/T *****-****）等技术标准，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等 **个层面进行测评，并参考采购人自身信息安全管理要求，进行综合分析和整体测评。 应依据信息系统的业务应用和内外部环境，深入调研分析各信息系统资产状况和重要性程度，以及面临信息安全的威胁。 技术方面，物理安全方面应在采用专用测试工具测试和人工现场复核方式；对信息机房的消防、防雷击、防水防潮、防静电、空调、UPS、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计、软件容错、**控制等措施的安全隐患。 管理安全方面应对采购人信息安全管理现状进行需求分析，确**全管理目标和安全策略，针对信息系统的各类管理活动，梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。 应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、WEB 应用漏洞分析工具等对网络、主机等进行渗透测试分析。 应采取等级测评、安全审计、风险评估等方法，逐项对照《网络安全等级保护基本要求》的各安全要求项，评估确定系统当前安全防护现状以及与标准要求的差距，判断安全保护建设需求及其分析。 在收集充足数据之后，对现场测评获得的数据进行汇总分析，形成等级测评项目的最终结论，并编制最终的《网络安全等级保护等级测评报告》。 工作过程文件及项目交付成果（包括但不限于）：《三级系统网络安全等级保护等级测评报告》； *.* 网络安全培训 *）服务对象：**省税务局所有在职系统运维人员、网络安全管理人员。 *）具体要求： 针对在职系统运维人员，开展信息安全技术和等级保护政策培训，分析最前沿的信息安全形势，了解信息安全技术、等级保护流程和指导标准的有效使用，提升全员安全意识，建立长效机制促使信息安全管理措施的落实到位。培训课程应包括但不限于“网络安全等级保护工作解析（包含网络安全等级保护基本要求、信息安全管理体系、网络安全整改实施、网络安全入侵常见手法及加固方法）”等内容。 工作过程文件及项目交付成果（包括但不限于）：《网络安全培训纪要》。 四、项目实施要求 *.实施要求 （*） 投标人必须具备独立完成本项目的能力； （*） 投标人必须提供国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》 （*） 投标人必须提供中国网络安全审查技术与认证中心颁发的《信息安全风险评估证书》； （*） 中标人应对了解到的信息保密，并提供保密承诺； （*） 中标人在项目现场实施周期内，必须为本项目成立等级保护测评项目部，安排包括项目经理和各测评实施小组进场调研、测评工作； （*） 在采购人进行整改过程中提供必要的技术支持。 （*） 投标人近三年内受到中国网络安全等级保护协调工作办公室处罚、警告、勒令整改单位，不得参与此项目。 *.项目管理要求 （*） 组织实施要求 *) 投标人应安排专职项目经理负责本次项目的实施。 *) 投标人应保证项目团队成员的稳定，以保证服务的质量和连贯性。 （*） 人员安排要求 本项目的技术服务人员需具有信息安全服务工作经验，参加过网络安全等级保护测评项目并取得信息安全方面资质证书，提供人员管理及配备方案，并确保人员的稳定。如更换技术服务人员，须由采购人同意并签字确认。 *.保密要求 中标人须保证对本项目实施中所获得任何资料和信息严格保密，并与**省税务局签订保密责任书。 *.项目进度要求 进度计划：合同签订后一年内提供安全服务。 项目验收条件：中标人按照“项目服务内容”规定的交付成果，经采购人完全确认后，完成验收。 五、项目验收要求 （*）中标方未出现违反服务条款的事项。 （*）中标方在项目服务期一年内按照项目要求提交业务系统等级保护测评备案表、等级保护定级报告和等级保护测评报告等材料至**省税务局，**个工作日内由**省税务局审定验收。 六、项目技术支持服务要求 无 七、税收信息化项目开发和应用管理工作要求 本项目为非“税收信息化项目开发和应用管理工作”。 八、其他要求 （*） 服务期：自签订合同起一年内。 （*） 服务响应时间要求：自接到响应通知后，* 小时内到达采购人。 （*） 服务内容：服务期内，中标方根据**省税务局实际情况，负责对交付成果中的文档进行免费修正、优化、补充和完善；服务期内，中标方负责有对本项目设计的信息系统提供免费的技术支持的义务； （*） 投标人如有增值服务，请详细说明。 九、商务要求 付款方式：合同签订生效后分两次支付费用，第一次在完成合同签订后的*个月内支付合同总价的**%，第二次在全部服务完成且验收合格后的*个月内支付合同总价的**%。验收不合格，不支付服务费用。