国家税务总局吉林省税务局

  数据安全风险评估和供应链厂商网络安全能力评估服务为合同签订后60日完成评估。

  日常性网络安全运维、7*24小时安全监测、网络安全系统运维、数据安全风险评估和供应链厂商网络安全能力评估服务。

  为贯彻落实网络安全法和税务总局数据安全和供应链安全管理要求，建立常态化值班值守、监测预警、应急处置工作机制，保障我局网络安全设备和网络安全应用系统正常运行，加强对重要数据和供应链风险隐患排查工作，逐步提升省局的网络安全保障能力。

  项目内容有：日常性网络安全运维、7*24小时安全监测、网络安全系统运维、数据安全风险评估和供应链厂商网络安全能力评估服务。

  3.1.1负责国家税务总局吉林省税务局（以下简称吉林省税务局）互联网业务区、业务专网区和横向联网区100余台/套网络安全设备（包括：防火墙、入侵检测、抗DDOS设备、WEB应用防火墙、SSL安全网关、网闸、网页防篡改、运维审计系统、综合日志审计系统、数据库审计系统、态势感知平台、终端安全管理平台等）运行监测、安全分析、升级维护、故障处理、日志审计和应急响应等工作。

  3.1.2 负责吉林省税务局关键信息基础设施和重要应用系统的日志信息的转存和备份，及时分析发现处置网络安全事件，定期提交网络安全日志的数据分析和审计报告。

  （1）互联网业务区：门户网站系统、电子税务局系统、增值税发票管理系统、电票平台、征纳互动平台、统一身份管理平台、自助办税系统、自然人申报记录系统、社保费系统、重点税源网上直报等27个系统、710余台主机；

  （2）横向联网区：外部交换、税收大数据智税平台、社保费征管信息系统、税企直连平台、车船税联网征收系统和社保费税银系统等10余个系统、50余台主机；

  （3）业务专网区：金税三期管理系统、电子发票服务平台、征纳互动平台、税智撑平台、统一身份管理平台、金税三期税收管理系统、数字人事系统、电子税务局系统、ATM自助办税系统、电子公文系统、财务管理系统、第三方支付平台、电子档案系统、发票2.0系统、国地税机构改革系统、金税工程运维服务管理平台、综合征管系统、自然人税收管理系统、征管辅助平台、税收社会化平台、税收大数据智税平台系统、税企直连平台、社保费征管信息系统、内部控制监督平台等80余个系统、1500余台主机。

  负责全年7*24小时网络安全值班值守及监测处置工作。网络安全设备（防火墙、入侵检测、抗DDOS设备、WEB应用防火墙、网闸、网页防篡改、运维审计系统、综合日志审计系统、数据库审计系统、威胁感知平台、终端安全管理系统等）的7*24小时运行监控及维护，通过各类安全设备监测各区域的攻击威胁，发现攻击行为及时进行阻断及处置工作。

  （6）其他要求。提供升级与优化相关服务，包括应用系统上线、变更等必要的健康检查、值守保障等，并在升级与优化工作完成后提供升级与优化的有关技术资料；对应用安全支撑平台项目运行过程中出现的各类问题进行解答，包括系统安全问题，业务安全问题等；协助吉林省税务局分析现有的应用安全状况，修补安全漏洞，提高应用安全水平，发现新的应用安全增值服务，规划新的应用安全体系架构。

  （1）负责态势感知平台的日常运行监控。每日审查各探针和平台系统的运作情况，深入研究各类网络通信流量的日志信息的采集情况，以快速发现任何异常。当出现一些明显的异常问题，立刻组织进行排查和修复工作，确保态势感知平台保持无故障运行。此外实施实时监控、识别和验证安全信息告警，通过有组织的网络攻击事件验证，确保迅速采取风险处置措施，为网络安全提供最强大的防护。

  人员安全管理评估工作：对供应链厂商及人员开展背景审查；建立网络安全责任人制度，对供应商的网络安全组织架构及制度等进行审核检查；对供应商人员的安全培训以及人员考核进行全方位检查，考核包括但不限于技能考核、网络安全意识考核、保密常识等方面的内容；审查供应商的应急响应机制，包括应急预案以及供应商应急演练记录等。

  开发建设管理评估工作：对供应商软件开发场所进行审核检查，确保开发场所安全可控可信；对供应商开发环境来管理评估，评估内容有开发测试环境安全可信、开发工具等终端以及移动存储介质检查；对供应链厂商的产品和服务管理做评估，核查供应链产品清单；对供应链厂商进行第三方组建管理，包括组织供应链厂商开展代码安全评估、代码管理安全评估等。

  依据（TSZBA 001—2023）《数据安全合规评估方法》，GB/T 20984-2022《信息安全技术 信息安全风险评估方法》，围绕数据安全需求，从以下方面开展风险评估：基于黑盒的漏洞扫描和渗透测试；基于白盒的源代码安全审计、源代码成分分析、源代码第三方组件漏洞分析(省自行开发部分)；基于灰盒的接口访问安全和数据安全评估；数据资源外泄监控评估（数据权限安全、数据加密安全、数据脱敏安全等)；系统和数据权限管理评估；围绕全流程税务数据安全开展评估工作，包括数据的收集安全、存储安全、使用安全、加工安全、传输安全、提供安全、公开安全、删除安全，依据数据的重要性和敏感性，从证书认证、通道加密、内容加密、数据水印、数据防泄漏、数据防篡改、数据备份、数据脱敏、数据抗抵赖、数据运维和管理等方面做综合评估。

  脆弱性识别分析：针对税务相关业务系统，利用人员访谈、资料核查、技术方法核查、系统测评等方法，围绕数据全生命周期安全，进行脆弱性识别内容确定、脆弱性赋值。通过文档查阅、漏洞扫描、人工核查等对各资产进行全方位检查和测试，分为技术和管理两个方面做脆弱性识别分析。脆弱性识别是风险评估过程中最重要的环节。

  在识别脆弱性的同时，对已采取的安全措施的有效性进行确认，并评估其有效性，并出具安全措施确认报告。中标供应商须从脆弱性评估开始，对被评估系统不可接受风险的资产残余进行再评估，在对照安全措施前后的脆弱性状况后，再次计算风险值，对于残余风险仍处于不可接受的范围内，中标供应商须继续提供对应安全措施，直至不可接受风险的资产处于可接受的范围内。

  本项目日常性网络安全运维、7*24小时安全监测、网络安全系统运维服务期限为自合同签订之日起一年。本项目数据安全风险评估和供应链厂商网络安全能力评估服务期限为自合同签订之日起60日内完成评估工作并出备评估报告。

  中标供应商需依据需求内容提供7*24小时技术响应服务。日常性网络安全运维、7*24小时安全监测、网络安全系统运维须对系统操作问题在现场进行及时解答、日常升级于2个工作日内完成、大版本升级于3个工作日内完成；针对发生的网络安全事件须于半小时内做出响应、1小时内到达现场，2小时内提出排查方案，8小时内处理问题，48小时提供事件处理报告；针对系统和设备故障，须于1小时内做出响应，并于2小时内恢复系统和4小时内恢复设备正常运行，并于48小时内提供处理报告。

  应为本项目日常性网络安全运维、7*24小时安全监测、网络安全系统运维组建不少于10人的驻场服务团队（3人为日常性网络安全运维，4人为7*24小时监测服务，3人为网络安全系统运维），为本项目数据安全风险评估和供应链厂商网络安全能力评估组建不少于5人的评估团队。项目实施期间确保团队人员的稳定性，如更换服务人员需经采购方书面同意，工作交接时间不少于2个月。应为本项目配备不少于5年网络安全工作经验的项目经理。驻场技术人员应接受采购方的管理，并遵守相关工作规范。

  项目服务期满后，由中标供应商提出项目验收申请，项目使用部门按照有关要求组织验收，中标供应商应按照采购方验收要求，提交相关验收资料，按照合同要求考察服务满意度、应急响应情况、文档交付情况、专业方面技术能力和服务整体质量等方面，须出具齐全项目验收资料，验收通过后出具项目验收报告。验收资料包括但不限于：

  甲乙双方应对在合同签订或履行过程中所接触的对方信息，包括但不限于知识产权、技术资料、技术诀窍、内部管理及其他相关信息，负有保密义务。

  乙方在使用甲方为乙方及其工作人员提供的数据、程序、用户名、口令、资料及甲方相关的业务和技术文档，包括税收政策、方案设计细节、程序文件、数据结构，以及相关业务系统的硬软件、文档、测试和测试产生的数据时，应遵循以下约定：

  中标供应商需保证所提供的服务不侵犯第三方的知识产权（专利权、商标权、版权等），因侵害第三方知识产权而产生的法律责任，全部由中标供应商承担。

  1.依据《国家税务总局办公厅关于修订税务系统信息化服务商失信行为记录名单制度(试行)的通知》（税总办征科发〔2022〕1号）相关规定，本项目不采购税务系统失信记录名单中的服务提供商提供的产品及服务。通知文件互联网链接：

  4. 投标人应提高安全责任意识，严控产品安全质量；建立清晰的软件供应链安全策略，明确相关的管理目标、工作流程、检查内容、责任部门等；严控上游，尤其重点管控开源代码的使用，确保使用的开源代码符合开源许可协议，形成第三方组件清单和安全分析报告，禁止使用存在高安全风险或已停止维护的第三方组件；严控自主开发代码的质量，采用软件源代码安全分析工具，持续检测和修复软件源代码中的安全缺陷和漏洞；建立完善的产品漏洞响应机制，包括产品漏洞信息的收集、漏洞报告渠道的建立和维护、漏洞补丁的开发和发布、客户端漏洞应急响应和修复支持等。发现网络安全漏洞、缺陷、数据泄露或其他重大网络安全风险，及时向采购人进行报告，不得擅自公开或向第三方提供。