四川稅務2023年應用系統(tǒng)等保測評及密評服務項目需求前附表

四川稅務2023年應用系統(tǒng)等保測評及密評服務項目需求前附表序號類別內(nèi)容1項目立項項目立項時間：2023年4月3日2項目預算安排總預算金額（萬元）：采購預算209.42萬元，預計2023年支付60萬元。 3項目采購內(nèi)容名稱及數(shù)量：等保測評及密碼應用安全性評估服務核心產(chǎn)品：服務內(nèi)容：等保測評及密碼應用安全性評估服務工程內(nèi)容：4項目實施時間從合同簽訂之日起一年5項目實施地點國家稅務總局四川省稅務局6項目實施范圍按照《網(wǎng)絡安全法》等國家以及稅務行業(yè)的安全標準要求，對省局至少14各個等級保護級別為三級的信息系統(tǒng)開展等級保護測評和密碼應用安全性評估。對不少于6個等保2級系統(tǒng)開展等保測評服務。7項目需求單位四川省稅務局信息中心8采購意向公開R本項目已于2022年4月3日公開采購意向￡本項目經(jīng)立項審批不公開采購意向9支持中小企業(yè)￡本項目（第包）專門面向中小企業(yè)采購￡本項目預留預算金額的%專門面向中小企業(yè)采購R本項目不適宜由中小企業(yè)提供，且已履行報批手續(xù)。10輿情風險￡存在潛在輿情風險，輿情風險應對方案另附。R不存在輿情風險。11保密管理R經(jīng)審查，本項目需求不涉及國家秘密、工作秘密和敏感信息￡本項目需求涉及國家秘密、工作秘密和敏感信息

四川稅務2023年應用系統(tǒng)等保測評及密評服務項目詳細需求一、項目背景按照《國家政務信息化項目建設管理辦法》以及《中華人民共和國網(wǎng)絡安全法》等法律法規(guī)要求以及總局績效考核要求，對采購人14個等級保護級別為三級的信息系統(tǒng)及6個二級系統(tǒng)開展等保測評，進一步保障四川稅務系統(tǒng)信息系統(tǒng)安全、穩(wěn)定、可靠、高效的運行。測評服務要求★投標人應當對本項目中的等保測評服務、密碼測評服務進行分項報價，即對采購人的14個三級系統(tǒng)等保測評服務、14個三級系統(tǒng)的密碼測評服務、6個二級系統(tǒng)的等保測評服務進行分項報價。三級系統(tǒng)等保測評服務報價=14*單個系統(tǒng)測評服務單價，三級系統(tǒng)密碼測評服務報價=14*單個系統(tǒng)測評服務單價，二級系統(tǒng)等保測評服務報價=6*單個系統(tǒng)系統(tǒng)測評服務單價。（一）等保測評服務要求1.服務內(nèi)容依據(jù)《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》（GB/T22239-2019）、《信息安全技術(shù)網(wǎng)絡安全等級保護測評要求》（GB/T28448-2019）、《信息安全技術(shù)網(wǎng)絡安全等級保護測評過程指南》（GB/T28449-2018）等國家網(wǎng)絡安全等級保護工作相關文件、規(guī)范和標準，對采購人14個三級系統(tǒng)和6個二級系統(tǒng)進行系統(tǒng)等級測評的符合性工作。測評范圍覆蓋安全管理中心、安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理制度，以及云計算安全、移動互聯(lián)安全、物聯(lián)網(wǎng)安全、工控制系統(tǒng)安全等擴展方面的要求。形成系統(tǒng)《網(wǎng)絡安全等級測評報告》。（1）協(xié)助采購人完成相關系統(tǒng)的信息安全等級保護定級備案、定級備案變更和等級保護測評準備相關工作。（2）針對等級保護測評過程中發(fā)現(xiàn)的不合格項，協(xié)助采購人進行相應的整改，并對整改結(jié)果進行復查確認，直到測評通過。2.交付物要求投標人在每次完成本項服務內(nèi)容后須在15天內(nèi)提交以下內(nèi)容:《網(wǎng)絡安全等級測評報告》。至少包括網(wǎng)絡安全等級測評基本信息表、等級測評結(jié)論、系統(tǒng)總體評價、系統(tǒng)目前存在的主要安全問題及整改建議、測評項目的概述、被測評系統(tǒng)的描述、測評指標的選取、測評對象選擇結(jié)果與方法、安全技術(shù)層面、安全管理層面已有的安全措施和目前存在的問題、漏掃滲透的總體情況概述、被測系統(tǒng)整體設備資產(chǎn)情況、系統(tǒng)上次測評問題整改情況說明、測評記錄等內(nèi)容。★中標人應在開展測評服務之前與采購人簽訂保密協(xié)議，承擔保密責任。密碼測評服務1.服務內(nèi)容按照《GM/T0054-2018信息系統(tǒng)密碼應用基本要求》。GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應用基本要求》等標準，對采購人三級系統(tǒng)的密碼應用情況進行安全性評估。針對密碼安全性評估過程中發(fā)現(xiàn)的不合格項，于合同期內(nèi)協(xié)助采購人進行相應的整改，并對整改結(jié)果進行復查確認，直到測評通過。投標人應按照采購人需求在質(zhì)量保證期內(nèi)，對14個三級系統(tǒng)開展密碼安全性評估，提供《商用密碼應用安全性評估報告》。（1）根據(jù)測評需要承辦專家評審會；（2）根據(jù)國家密碼管理局關于規(guī)范商用密碼應用安全性評估結(jié)果備案工作的通知，協(xié)助準備備案資料在當?shù)孛艽a管理局完成密評備案工作；（3）對采購人安全技術(shù)和密碼管理人員開展相關培訓。2.交付物要求根據(jù)項目內(nèi)容要求，以電子版或紙版形式按需求輸出成果，并針對采購人的咨詢進行及時反饋,方式包括但不限于現(xiàn)場支撐、郵件、電話或報告。該項目提交的文檔包括但不限于：《商用密碼應用安全性評估基本情況調(diào)查表》，調(diào)查表包括被測單位基本信息，系統(tǒng)基本信息、拓撲圖、業(yè)務情況、資產(chǎn)信息、密碼服務等內(nèi)容。《商用密碼應用安全性評估測評方案》，方案包括測評依據(jù)、參考標準、資產(chǎn)信息、拓撲圖、基本指標、不適用指標、系統(tǒng)用戶情況、項目計劃、項目組織等內(nèi)容?！渡逃妹艽a應用安全性評估報告》，至少包括被測信息系統(tǒng)基本信息表 、商用密碼應用安全性評估結(jié)論、總體評價、安全問題及改進建議、密碼應用情況、測評范圍與方法等3.其他要求（1）協(xié)助采購人完成《密碼應用安全管理制度》《密鑰管理規(guī)則》等制度的制定和完善工作。（2）協(xié)助采購人完成信息系統(tǒng)密碼建設方案評審工作，包括業(yè)務分析、指標使用情況分析、評估結(jié)論等。（3）在本項目一年的服務期內(nèi)為采購人提供為期不少于兩個月的密碼技術(shù)咨詢服務，具體咨詢服務時間由采購人根據(jù)工作實際提前通知?！铮ㄈ┓丈桃笸稑巳顺兄Z，中標后開展等保測評服務前能夠按照采購人當?shù)氐缺Ｐ袠I(yè)主管部門的要求完成相關的備案、審核、登記等規(guī)定程序，如因中標人原因無法依規(guī)開展等保測評服務，采購人可以單方面終止本項目合同且不承擔任何賠償責任，中標人的履約保證金不予退還。（提供承諾函并加蓋投標人公章）投標人應經(jīng)國家保密部門認可納入納入<商用密碼應用安全性評估試點機構(gòu)目錄>或《納入<商用密碼應用安全性評估試點機構(gòu)目錄>的機構(gòu)名單》（國密局字〔2021〕183號文附件1),或在國家密碼管理局《可在本地區(qū)、本行業(yè)（領域）開展密評試點工作的機構(gòu)名單》(國密局字〔2021〕183號文附件2)內(nèi)（注：本項目中本地區(qū)應為四川省，本行業(yè)（領域）應為稅務行業(yè)）。★（四）項目團隊要求1.等保測評團隊要求現(xiàn)場測評人員：需提供至少10名測評人員，其中包含1名總測評工程師，1名現(xiàn)場測評經(jīng)理，1名駐場測評工程師，和7名測評工程師。駐場測評工程師提供現(xiàn)場等保測評問題整改咨詢服務，服務期（合同簽訂之日起1年）內(nèi)駐場服務時間不少于6個月。一崗一人，人員不能重復。測評相關人員須遵循采購人相關管理規(guī)定，禁止利用測評工作從事危害采購人的利益的活動。2.密碼測評團隊要求測評人員：需提供10名測評人員，其中包含1個總測評師崗，1個現(xiàn)場測評經(jīng)理崗，7個密碼測評師和1名駐場測評工程師。一崗一人，人員不能重復。駐場測評工程師提供現(xiàn)場支撐及密碼技術(shù)整改咨詢服務，服務期（合同簽訂之日起1年）內(nèi)駐場服務時間不少于6個月。密碼測評團隊人員須通過國家密碼管理局相關能力考核（提供相關的材料證明）。測評相關人員須遵循采購人相關管理規(guī)定，禁止利用測評工作從事危害采購人的利益的活動。以上測評團隊人員不得同時作為另外一測評團隊的成員，兩個測評團隊人員不接受交叉或者重復。三、資格條件、其他人員及服務要求（一）資格條件《中華人民共和國政府采購法》第二十二條供應商參加政府采購活動應當具備下列條件：1.具有獨立承擔民事責任的能力；2.具有良好的商業(yè)信譽和健全的財務會計制度；3.具有履行合同所必需的設備和專業(yè)技術(shù)能力；4.有依法繳納稅收和社會保障資金的良好記錄；5.參加政府采購活動前三年內(nèi)，在經(jīng)營活動中沒有重大違法記錄；6.法律、行政法規(guī)規(guī)定的其他資格要求。（二）質(zhì)量保證要求1.服務保障體系要求：投標人在投標文件中編寫服務方案,提供此次投標服務的實施計劃、服務內(nèi)容、等級、相關服務指標、服務組織機構(gòu)及人員安排情況及其聯(lián)絡信息。2.投標人針對本項目在內(nèi)部建立服務質(zhì)量管理與監(jiān)督體系，并在投文件中提交針對本項目服務質(zhì)量管理與監(jiān)督的方案。包含針對項目的進度控制、項目過程管理、項目風險管理、項目質(zhì)量管理、項目保密管理等措施。（三）培訓和知識轉(zhuǎn)移要求中標人對采購人負責等保測評、密碼測評的工作人員進行知識轉(zhuǎn)移，包括但不限于實際工作需要的安裝配置文檔、操作使用手冊、軟件說明文檔等。中標人根據(jù)項目實施的進度要求，對采購人安全管理及技術(shù)人員提供培訓和咨詢，側(cè)重在等保測評和密碼測評的基礎知識、技術(shù)要求、相關規(guī)定等方面，需提供師資現(xiàn)場培訓，師資費用由中標人承擔。培訓人數(shù)不少于3人天，培訓方式可根據(jù)采購人實際需求選擇在崗培訓或集中培訓等多種形式。培訓內(nèi)容包括但不限于新技術(shù)介紹、典型問題講解、技術(shù)操作指南、技術(shù)實現(xiàn)原理等方面。中標人承擔師資和教材費用，不承擔場地費用、參訓人員食宿及交通等其他費用。（四）服務期限從合同簽訂之日起一年。（五）項目驗收要求1.總體原則本項目驗收依據(jù)國家有關規(guī)定、采購人招標文件要求、中標投標人投標文件及承諾、本項目合同約定標準，以及相關要求進行驗收。本項目驗收分為階段驗收和項目終驗。由中標方按照合同約定，針對付款周期內(nèi)的項目建設情況提出“驗收申請”，由采購人從業(yè)務實現(xiàn)、技術(shù)標準、建設規(guī)范等方面對項目建設情況進行評估，并出具“驗收報告”。2.項目驗收要求（1）項目驗收為2次，2024年8月初按項目服務進度進行一次階段性驗收，項目服務期滿后進行項目終驗，退還履約保證金。（2）中標人應在項目驗收時提供查驗項目完成情況相關且必要的設備及工具，給采購人驗收時使用，采購人不再額外支付任何費用。3.項目驗收文檔投標人應向國家稅務總局四川省稅務局提供下述文檔：（1）技術(shù)文件中標人應提供服務相關工具的配置、運行、使用等技術(shù)文件；服務團隊及職責分工，項目組織管理規(guī)程、服務流程，服務支持方式、方法等。（2）項目詳細設計和實施方案提供針對該項目的詳細設計和服務方案。（3）項目驗收文檔項目驗收時收集各項驗收數(shù)據(jù)，匯總成冊，并對項目進行綜合評估。（4）過程文檔中標人需對項目服務過程跟蹤記錄，并提供過程記錄文檔。（5）變更文檔投標人需對項目服務過程中的變更情況包括項目計劃、項目內(nèi)容、變更會議、人員變更的情況等進行記錄，并提供變更文檔。（6）項目交付文檔《商用密碼應用安全性評估報告》、《網(wǎng)絡安全等級測評報告》測評過程相關文檔。（六）付款方式及違約扣款建議中標人在合同簽訂前應當繳納合同金額10%的履約保證金。在合同執(zhí)行期內(nèi)，分3次支付，合同簽訂后中標人合同金額的30%（合計不超過60萬元），2024年8月初階段性驗收合格后，按照實際完成數(shù)量結(jié)算付款，2024年終驗合格后按實際完成數(shù)量支付剩余款項并退還履約保證金。中標人應向采購人提供驗收合格報告、發(fā)票、付款申請、合同復印件，采購人在30日內(nèi)付清服務費用（中標人提供的付款資料有誤的、受財政預算安排影響的，采購人轉(zhuǎn)賬支付的時間不受30日限制）。違約扣款按照合同標準文本中“違約責任”規(guī)定執(zhí)行。（七）評審標準建議最低評標價法（），綜合評分法（√）評審標準建議打√表示，擬用綜合評分法的需詳細列明評分序號評分因素及權(quán)重分值評分標準說明一報價10%10分以本次有效的最低投標報價為基準價，投標報價得分=(基準價／投標報價)*10分*100%價格扣除詳見投標人須知附表二測評要求20%20分完全符合《服務及技術(shù)指標響應表》，沒有負偏離得20分；低于招標文件要求的（負偏離），每有一項扣2分，扣完為止。三項目團隊情況42%42分等保測評團隊人員：指定一名人員為總測評工程師，通過全國計算機與軟件專業(yè)技術(shù)資格（水平）考試，獲得有效的信息安全工程師證書（軟考中級類證書），得3分，沒有不得分；獲得中國網(wǎng)絡安全審查技術(shù)與認證中心頒發(fā)的信息安全保障人員認證證書（CISAW）（安全集成、風險管理、安全運維、應急服務、安全軟件、web安全、網(wǎng)絡情報分析、滲透測試中任一認證方向均可）的得3分，沒有不得分。指定一名人員為現(xiàn)場測評經(jīng)理，通過全國計算機與軟件專業(yè)技術(shù)資格（水平）考試，獲得有效的網(wǎng)絡規(guī)劃設計師證書（軟考高級類證書）得3分，網(wǎng)絡工程師證書（軟考中級類證書）的得2分，其他不得分,此項最多得3分；獲得中國網(wǎng)絡安全審查技術(shù)與認證中心頒發(fā)的信息系統(tǒng)審計師證書（ISA）的得3分，沒有不得分。（3）指定一名人員為駐場測評工程師，通過全國計算機與軟件專業(yè)技術(shù)資格（水平）考試，獲得有效的信息系統(tǒng)項目管理師證書（軟考高級類證書）得3分，信息系統(tǒng)管理工程師證書（軟考中級類證書）的2分，其他不得分，此項最多得3分；（4）等保測評工程師通過全國計算機與軟件專業(yè)技術(shù)資格（水平）考試，獲得有效的信息安全工程師證書的得（軟考中級類證書）3分，此項最多得6分。提供人員在職的相關證明、人員有效資質(zhì)證書或其他證明材料復印件并加蓋投標人鮮章。.密碼測評團隊人員：指定一名人員為總測評工程師，通過全國計算機與軟件專業(yè)技術(shù)資格（水平）考試，獲得有效的信息系統(tǒng)項目管理師證書（軟考高級類證書）得3分，信息系統(tǒng)管理工程師證書（軟考中級類證書）的2分，其他不得分，此項最多得3分；獲得中國網(wǎng)絡安全審查技術(shù)與認證中心頒發(fā)的信息安全保障人員證書（CISAW）（安全集成、風險管理、安全運維、應急服務中任一認證方向均可）的得3分，沒有不得分。（2）指定一名人員為現(xiàn)場測評經(jīng)理通過全國計算機與軟件專業(yè)技術(shù)資格（水平）考試，獲得有效的網(wǎng)絡規(guī)劃設計師證書（軟考高級類證書）得3分，網(wǎng)絡工程師證書（軟考中級類證書）的得2分，其他不得分，此項最多得3分；通過全國計算機與軟件專業(yè)技術(shù)資格（水平）考試，獲得有效的信息安全工程師證書的（軟考中級類證書），得3分，沒有不得分。（3）指定一名人員為密碼測評駐場工程師，獲得中國網(wǎng)絡安全審查技術(shù)與認證中心頒發(fā)的信息安全保障人員證書（CISAW）（安全集成、風險管理、安全運維、應急服務認證方向）的得3分，沒有不得分。（4）密碼測評工程師獲得中國網(wǎng)絡安全審查技術(shù)與認證中心頒發(fā)的信息安全保障人員證書（CISAW）的（安全集成、風險管理、安全運維、應急服務中任一認證方向均可），每提供一個證書得3分，最多得6分；一人多證的不重復得分。四履約能力8%8分1.投標人具有有效的質(zhì)量管理體系認證證書，得4分，沒有不得分；提供證書復印件，并加蓋投標人鮮章。要求提供：有效證書的復印件。并加蓋投標人鮮章。2.投標人具有有效的信息安全管理體系認證證書，得4分，沒有不得分；提供證書復印件，并加蓋投標人鮮章。五服務方案10%10分1.測評技術(shù)方案（3分）根據(jù)投標人針對本項目提供的技術(shù)方案進行評審，方案內(nèi)容至少包含：①方案編制說明、②測試方法和步驟、③工具和技術(shù)使用。全部滿足得3分。每缺一項（共3項）扣1分，扣完為止。所提供的方案中每有一處具有缺陷（缺陷是指：存在不適用項目實際情況的情形、憑空編造、內(nèi)容前后不一致、前后邏輯錯誤、涉及的規(guī)范及標準錯誤、地點區(qū)域錯誤、內(nèi)容缺失、不符合采購需求等）的扣0.5分，扣完為止。未提供方案不得分。2.測評實施方案（4分）:根據(jù)投標人針對本項目提供的測評實施方案進行評審，方案內(nèi)容至少包含：①驗收安排、②項目組織、③人員安排、④項目進度管理。全部滿足得4分。每缺一項（共4項）扣1分，扣完為止；所提供的方案中每有一處具有缺陷（缺陷是指：存在不適用項目實際情況的情形、憑空編造、內(nèi)容前后不一致、前后邏輯錯誤、涉及的規(guī)范及標準錯誤、地點區(qū)域錯誤、內(nèi)容缺失、不符合采購需求等）的扣0.5分，扣完為止。未提供方案不得分。3.技術(shù)和質(zhì)量保障方案（3分）：根據(jù)投標人針對本項目提供的技術(shù)和質(zhì)量保障方案進行評審，方案內(nèi)容至少包含：①服務質(zhì)量保證措施、②保密措施和知識轉(zhuǎn)移、③應急保障機制。全部滿足得3分。每缺一項（共3項）扣1分，扣完為止；所提供的方案中每有一處具有缺陷（缺陷是指：存在不適用項目實際情況的情形、憑空編造、內(nèi)容前后不一致、前后邏輯錯誤、涉及的規(guī)范及標準錯誤、地點區(qū)域錯誤、內(nèi)容缺失、不符合采購需求等）的扣0.5分，扣完為止。未提供方案不得分。六業(yè)績10%10分投標人自2020年以來，具有與本項目類似的項目經(jīng)驗。每提供一個案例合同得2分，最多得10分，未提供不得分。提供項目合同復印件及相關有效證明材料，加蓋投標人鮮章服務及技術(shù)指標響應表序號服務指標要求投標響應情況偏離情況說明1投標人本次測