四川税务2023年应用系统等保测评及密评服务项目需求前附表

四川税务2023年应用系统等保测评及密评服务项目需求前附表序号类别内容1项目立项项目立项时间：2023年4月3日2项目预算安排总预算金额（万元）：采购预算209.42万元，预计2023年支付60万元。 3项目采购内容名称及数量：等保测评及密码应用安全性评估服务核心产品：服务内容：等保测评及密码应用安全性评估服务工程内容：4项目实施时间从合同签订之日起一年5项目实施地点国家税务总局四川省税务局6项目实施范围按照《网络安全法》等国家以及税务行业的安全标准要求，对省局至少14各个等级保护级别为三级的信息系统开展等级保护测评和密码应用安全性评估。对不少于6个等保2级系统开展等保测评服务。7项目需求单位四川省税务局信息中心8采购意向公开R本项目已于2022年4月3日公开采购意向£本项目经立项审批不公开采购意向9支持中小企业£本项目（第包）专门面向中小企业采购£本项目预留预算金额的%专门面向中小企业采购R本项目不适宜由中小企业提供，且已履行报批手续。10舆情风险£存在潜在舆情风险，舆情风险应对方案另附。R不存在舆情风险。11保密管理R经审查，本项目需求不涉及国家秘密、工作秘密和敏感信息£本项目需求涉及国家秘密、工作秘密和敏感信息

四川税务2023年应用系统等保测评及密评服务项目详细需求一、项目背景按照《国家政务信息化项目建设管理办法》以及《中华人民共和国网络安全法》等法律法规要求以及总局绩效考核要求，对采购人14个等级保护级别为三级的信息系统及6个二级系统开展等保测评，进一步保障四川税务系统信息系统安全、稳定、可靠、高效的运行。测评服务要求★投标人应当对本项目中的等保测评服务、密码测评服务进行分项报价，即对采购人的14个三级系统等保测评服务、14个三级系统的密码测评服务、6个二级系统的等保测评服务进行分项报价。三级系统等保测评服务报价=14*单个系统测评服务单价，三级系统密码测评服务报价=14*单个系统测评服务单价，二级系统等保测评服务报价=6*单个系统系统测评服务单价。（一）等保测评服务要求1.服务内容依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）、《信息安全技术网络安全等级保护测评过程指南》（GB/T28449-2018）等国家网络安全等级保护工作相关文件、规范和标准，对采购人14个三级系统和6个二级系统进行系统等级测评的符合性工作。测评范围覆盖安全管理中心、安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度，以及云计算安全、移动互联安全、物联网安全、工控制系统安全等扩展方面的要求。形成系统《网络安全等级测评报告》。（1）协助采购人完成相关系统的信息安全等级保护定级备案、定级备案变更和等级保护测评准备相关工作。（2）针对等级保护测评过程中发现的不合格项，协助采购人进行相应的整改，并对整改结果进行复查确认，直到测评通过。2.交付物要求投标人在每次完成本项服务内容后须在15天内提交以下内容:《网络安全等级测评报告》。至少包括网络安全等级测评基本信息表、等级测评结论、系统总体评价、系统目前存在的主要安全问题及整改建议、测评项目的概述、被测评系统的描述、测评指标的选取、测评对象选择结果与方法、安全技术层面、安全管理层面已有的安全措施和目前存在的问题、漏扫渗透的总体情况概述、被测系统整体设备资产情况、系统上次测评问题整改情况说明、测评记录等内容。★中标人应在开展测评服务之前与采购人签订保密协议，承担保密责任。密码测评服务1.服务内容按照《GM/T0054-2018信息系统密码应用基本要求》。GB/T39786-2021《信息安全技术信息系统密码应用基本要求》等标准，对采购人三级系统的密码应用情况进行安全性评估。针对密码安全性评估过程中发现的不合格项，于合同期内协助采购人进行相应的整改，并对整改结果进行复查确认，直到测评通过。投标人应按照采购人需求在质量保证期内，对14个三级系统开展密码安全性评估，提供《商用密码应用安全性评估报告》。（1）根据测评需要承办专家评审会；（2）根据国家密码管理局关于规范商用密码应用安全性评估结果备案工作的通知，协助准备备案资料在当地密码管理局完成密评备案工作；（3）对采购人安全技术和密码管理人员开展相关培训。2.交付物要求根据项目内容要求，以电子版或纸版形式按需求输出成果，并针对采购人的咨询进行及时反馈,方式包括但不限于现场支撑、邮件、电话或报告。该项目提交的文档包括但不限于：《商用密码应用安全性评估基本情况调查表》，调查表包括被测单位基本信息，系统基本信息、拓扑图、业务情况、资产信息、密码服务等内容。《商用密码应用安全性评估测评方案》，方案包括测评依据、参考标准、资产信息、拓扑图、基本指标、不适用指标、系统用户情况、项目计划、项目组织等内容。《商用密码应用安全性评估报告》，至少包括被测信息系统基本信息表 、商用密码应用安全性评估结论、总体评价、安全问题及改进建议、密码应用情况、测评范围与方法等3.其他要求（1）协助采购人完成《密码应用安全管理制度》《密钥管理规则》等制度的制定和完善工作。（2）协助采购人完成信息系统密码建设方案评审工作，包括业务分析、指标使用情况分析、评估结论等。（3）在本项目一年的服务期内为采购人提供为期不少于两个月的密码技术咨询服务，具体咨询服务时间由采购人根据工作实际提前通知。★（三）服务商要求投标人承诺，中标后开展等保测评服务前能够按照采购人当地等保行业主管部门的要求完成相关的备案、审核、登记等规定程序，如因中标人原因无法依规开展等保测评服务，采购人可以单方面终止本项目合同且不承担任何赔偿责任，中标人的履约保证金不予退还。（提供承诺函并加盖投标人公章）投标人应经国家保密部门认可纳入纳入<商用密码应用安全性评估试点机构目录>或《纳入<商用密码应用安全性评估试点机构目录>的机构名单》（国密局字〔2021〕183号文附件1),或在国家密码管理局《可在本地区、本行业（领域）开展密评试点工作的机构名单》(国密局字〔2021〕183号文附件2)内（注：本项目中本地区应为四川省，本行业（领域）应为税务行业）。★（四）项目团队要求1.等保测评团队要求现场测评人员：需提供至少10名测评人员，其中包含1名总测评工程师，1名现场测评经理，1名驻场测评工程师，和7名测评工程师。驻场测评工程师提供现场等保测评问题整改咨询服务，服务期（合同签订之日起1年）内驻场服务时间不少于6个月。一岗一人，人员不能重复。测评相关人员须遵循采购人相关管理规定，禁止利用测评工作从事危害采购人的利益的活动。2.密码测评团队要求测评人员：需提供10名测评人员，其中包含1个总测评师岗，1个现场测评经理岗，7个密码测评师和1名驻场测评工程师。一岗一人，人员不能重复。驻场测评工程师提供现场支撑及密码技术整改咨询服务，服务期（合同签订之日起1年）内驻场服务时间不少于6个月。密码测评团队人员须通过国家密码管理局相关能力考核（提供相关的材料证明）。测评相关人员须遵循采购人相关管理规定，禁止利用测评工作从事危害采购人的利益的活动。以上测评团队人员不得同时作为另外一测评团队的成员，两个测评团队人员不接受交叉或者重复。三、资格条件、其他人员及服务要求（一）资格条件《中华人民共和国政府采购法》第二十二条供应商参加政府采购活动应当具备下列条件：1.具有独立承担民事责任的能力；2.具有良好的商业信誉和健全的财务会计制度；3.具有履行合同所必需的设备和专业技术能力；4.有依法缴纳税收和社会保障资金的良好记录；5.参加政府采购活动前三年内，在经营活动中没有重大违法记录；6.法律、行政法规规定的其他资格要求。（二）质量保证要求1.服务保障体系要求：投标人在投标文件中编写服务方案,提供此次投标服务的实施计划、服务内容、等级、相关服务指标、服务组织机构及人员安排情况及其联络信息。2.投标人针对本项目在内部建立服务质量管理与监督体系，并在投文件中提交针对本项目服务质量管理与监督的方案。包含针对项目的进度控制、项目过程管理、项目风险管理、项目质量管理、项目保密管理等措施。（三）培训和知识转移要求中标人对采购人负责等保测评、密码测评的工作人员进行知识转移，包括但不限于实际工作需要的安装配置文档、操作使用手册、软件说明文档等。中标人根据项目实施的进度要求，对采购人安全管理及技术人员提供培训和咨询，侧重在等保测评和密码测评的基础知识、技术要求、相关规定等方面，需提供师资现场培训，师资费用由中标人承担。培训人数不少于3人天，培训方式可根据采购人实际需求选择在岗培训或集中培训等多种形式。培训内容包括但不限于新技术介绍、典型问题讲解、技术操作指南、技术实现原理等方面。中标人承担师资和教材费用，不承担场地费用、参训人员食宿及交通等其他费用。（四）服务期限从合同签订之日起一年。（五）项目验收要求1.总体原则本项目验收依据国家有关规定、采购人招标文件要求、中标投标人投标文件及承诺、本项目合同约定标准，以及相关要求进行验收。本项目验收分为阶段验收和项目终验。由中标方按照合同约定，针对付款周期内的项目建设情况提出“验收申请”，由采购人从业务实现、技术标准、建设规范等方面对项目建设情况进行评估，并出具“验收报告”。2.项目验收要求（1）项目验收为2次，2024年8月初按项目服务进度进行一次阶段性验收，项目服务期满后进行项目终验，退还履约保证金。（2）中标人应在项目验收时提供查验项目完成情况相关且必要的设备及工具，给采购人验收时使用，采购人不再额外支付任何费用。3.项目验收文档投标人应向国家税务总局四川省税务局提供下述文档：（1）技术文件中标人应提供服务相关工具的配置、运行、使用等技术文件；服务团队及职责分工，项目组织管理规程、服务流程，服务支持方式、方法等。（2）项目详细设计和实施方案提供针对该项目的详细设计和服务方案。（3）项目验收文档项目验收时收集各项验收数据，汇总成册，并对项目进行综合评估。（4）过程文档中标人需对项目服务过程跟踪记录，并提供过程记录文档。（5）变更文档投标人需对项目服务过程中的变更情况包括项目计划、项目内容、变更会议、人员变更的情况等进行记录，并提供变更文档。（6）项目交付文档《商用密码应用安全性评估报告》、《网络安全等级测评报告》测评过程相关文档。（六）付款方式及违约扣款建议中标人在合同签订前应当缴纳合同金额10%的履约保证金。在合同执行期内，分3次支付，合同签订后中标人合同金额的30%（合计不超过60万元），2024年8月初阶段性验收合格后，按照实际完成数量结算付款，2024年终验合格后按实际完成数量支付剩余款项并退还履约保证金。中标人应向采购人提供验收合格报告、发票、付款申请、合同复印件，采购人在30日内付清服务费用（中标人提供的付款资料有误的、受财政预算安排影响的，采购人转账支付的时间不受30日限制）。违约扣款按照合同标准文本中“违约责任”规定执行。（七）评审标准建议最低评标价法（），综合评分法（√）评审标准建议打√表示，拟用综合评分法的需详细列明评分序号评分因素及权重分值评分标准说明一报价10%10分以本次有效的最低投标报价为基准价，投标报价得分=(基准价／投标报价)*10分*100%价格扣除详见投标人须知附表二测评要求20%20分完全符合《服务及技术指标响应表》，没有负偏离得20分；低于招标文件要求的（负偏离），每有一项扣2分，扣完为止。三项目团队情况42%42分等保测评团队人员：指定一名人员为总测评工程师，通过全国计算机与软件专业技术资格（水平）考试，获得有效的信息安全工程师证书（软考中级类证书），得3分，没有不得分；获得中国网络安全审查技术与认证中心颁发的信息安全保障人员认证证书（CISAW）（安全集成、风险管理、安全运维、应急服务、安全软件、web安全、网络情报分析、渗透测试中任一认证方向均可）的得3分，没有不得分。指定一名人员为现场测评经理，通过全国计算机与软件专业技术资格（水平）考试，获得有效的网络规划设计师证书（软考高级类证书）得3分，网络工程师证书（软考中级类证书）的得2分，其他不得分,此项最多得3分；获得中国网络安全审查技术与认证中心颁发的信息系统审计师证书（ISA）的得3分，没有不得分。（3）指定一名人员为驻场测评工程师，通过全国计算机与软件专业技术资格（水平）考试，获得有效的信息系统项目管理师证书（软考高级类证书）得3分，信息系统管理工程师证书（软考中级类证书）的2分，其他不得分，此项最多得3分；（4）等保测评工程师通过全国计算机与软件专业技术资格（水平）考试，获得有效的信息安全工程师证书的得（软考中级类证书）3分，此项最多得6分。提供人员在职的相关证明、人员有效资质证书或其他证明材料复印件并加盖投标人鲜章。.密码测评团队人员：指定一名人员为总测评工程师，通过全国计算机与软件专业技术资格（水平）考试，获得有效的信息系统项目管理师证书（软考高级类证书）得3分，信息系统管理工程师证书（软考中级类证书）的2分，其他不得分，此项最多得3分；获得中国网络安全审查技术与认证中心颁发的信息安全保障人员证书（CISAW）（安全集成、风险管理、安全运维、应急服务中任一认证方向均可）的得3分，没有不得分。（2）指定一名人员为现场测评经理通过全国计算机与软件专业技术资格（水平）考试，获得有效的网络规划设计师证书（软考高级类证书）得3分，网络工程师证书（软考中级类证书）的得2分，其他不得分，此项最多得3分；通过全国计算机与软件专业技术资格（水平）考试，获得有效的信息安全工程师证书的（软考中级类证书），得3分，没有不得分。（3）指定一名人员为密码测评驻场工程师，获得中国网络安全审查技术与认证中心颁发的信息安全保障人员证书（CISAW）（安全集成、风险管理、安全运维、应急服务认证方向）的得3分，没有不得分。（4）密码测评工程师获得中国网络安全审查技术与认证中心颁发的信息安全保障人员证书（CISAW）的（安全集成、风险管理、安全运维、应急服务中任一认证方向均可），每提供一个证书得3分，最多得6分；一人多证的不重复得分。四履约能力8%8分1.投标人具有有效的质量管理体系认证证书，得4分，没有不得分；提供证书复印件，并加盖投标人鲜章。要求提供：有效证书的复印件。并加盖投标人鲜章。2.投标人具有有效的信息安全管理体系认证证书，得4分，没有不得分；提供证书复印件，并加盖投标人鲜章。五服务方案10%10分1.测评技术方案（3分）根据投标人针对本项目提供的技术方案进行评审，方案内容至少包含：①方案编制说明、②测试方法和步骤、③工具和技术使用。全部满足得3分。每缺一项（共3项）扣1分，扣完为止。所提供的方案中每有一处具有缺陷（缺陷是指：存在不适用项目实际情况的情形、凭空编造、内容前后不一致、前后逻辑错误、涉及的规范及标准错误、地点区域错误、内容缺失、不符合采购需求等）的扣0.5分，扣完为止。未提供方案不得分。2.测评实施方案（4分）:根据投标人针对本项目提供的测评实施方案进行评审，方案内容至少包含：①验收安排、②项目组织、③人员安排、④项目进度管理。全部满足得4分。每缺一项（共4项）扣1分，扣完为止；所提供的方案中每有一处具有缺陷（缺陷是指：存在不适用项目实际情况的情形、凭空编造、内容前后不一致、前后逻辑错误、涉及的规范及标准错误、地点区域错误、内容缺失、不符合采购需求等）的扣0.5分，扣完为止。未提供方案不得分。3.技术和质量保障方案（3分）：根据投标人针对本项目提供的技术和质量保障方案进行评审，方案内容至少包含：①服务质量保证措施、②保密措施和知识转移、③应急保障机制。全部满足得3分。每缺一项（共3项）扣1分，扣完为止；所提供的方案中每有一处具有缺陷（缺陷是指：存在不适用项目实际情况的情形、凭空编造、内容前后不一致、前后逻辑错误、涉及的规范及标准错误、地点区域错误、内容缺失、不符合采购需求等）的扣0.5分，扣完为止。未提供方案不得分。六业绩10%10分投标人自2020年以来，具有与本项目类似的项目经验。每提供一个案例合同得2分，最多得10分，未提供不得分。提供项目合同复印件及相关有效证明材料，加盖投标人鲜章服务及技术指标响应表序号服务指标要求投标响应情况偏离情况说明1投标人本次测