长春专业制作各种证件国家税务总局吉林省税务局
按照《消息系统暗码使用测评过程指南》(GM/T 0116-2021)尺度中对于现场测评要求,投标人宜设置装备摆设取被测消息系统分歧的模仿/仿实,正在模仿/仿实下开展测评工做。为确保采购方参取测评的消息系统数据平安,为避免数据泄露,投标人应具备开展密评办事平安可控的模仿/仿实,包罗但不限于办事器暗码机、动态口令办事器、签名验签办事器、使用平安网关办事器、数字证书认证系统、SSL PN平安网关等。
按照《消息平安手艺 消息平安风险评估方式》(GB/T 20984-2022)中对于风险评估东西的要求,包罗但不限于懦弱性扫描东西、渗入性测试东西、APP平安测试东西、代码审计东西等。为确保采购方参取测评的消息系统数据平安,为避免数据泄露,投标人应具有平安可控的消息风险评估办事东西类软件,包罗但不限于缝隙挖掘系统、挪动APP平安检测、从动化渗入系统、代码审计东西、收集平安风险检测东西等。
按照阐发出具资产调研、资产识别、识别、懦弱性识别。按照《消息平安手艺 消息平安风险评估方式》(GB/T 20984-2022)中对于风险评估东西的要求,包罗但不限于懦弱性扫描东西、渗入性测试东西、APP平安测试东西、代码审计东西等。为确保采购方参取测评的消息系统数据平安,为避免数据泄露,投标人应具有平安可控的消息风险评估办事东西类软件,包罗但不限于缝隙挖掘系统、挪动APP平安检测、从动化渗入系统、代码审计东西、收集平安风险检测东西等。按照《消息平安手艺 消息平安风险评估方式》(GB/T 20984-2022)中明白了“科学的风险评估需要大量的实践和经验数据的支撑”相关要求,投标人需供给证明其风险挖掘及风险识此外手艺能力证明长春专业制作各种证件。
投标人对供应链平安办理义务落实不到位,形成平安事务或发生不良影响的,采购人按照《税务系统消息化办事商失信行为记实名单轨制(试行)》(税总办征科发〔2022〕1号)要求,组织对投标人进行失信行为认定,并采纳响应的措置办法。
11.供应链厂商需要税务机关供给用于测试的脱敏数据时,应明白脱敏字段需求,要规范测试数据利用权限,堵截数据拷出子,确保测试数据平安。
(1)GB/T22239-2019《消息平安手艺收集平安品级根基要求》、GB/T28448-2019《消息平安手艺收集平安品级测评要求》、GB/T28449-2018《消息平安手艺收集平安品级测评过程指南》。
10.供应链厂商要加强人员违规违纪办理,对违规违纪行为按签定合同、和谈、许诺书等相关条目进行处置,成立《违规违纪办理档案表》。对涉嫌违法犯罪的人员,要自动依应律例移交相关部分处置。
完成项目商定全数办事后,中标投标人供给验收,本项目由投标人提出验收申请,由采购方按照税务消息化项目办理相关要求、投标文件要求、中标投标人投标文件及许诺、本项目合同商定尺度组织验收。
(一)以各类形式和表面供给礼物、礼金、电子红包、领取凭证、贸易预付卡、珍贵特产、有价证券、股权、其他金融产物等财物长春专业制作各种证件。
投标人应放置1名侧沉项目办理且熟悉等保测评及密评项目具体营业的项目司理,共同项目总监取采购人配合统筹及协调一切取本项目相关的事项,取采购人按时审查及项目实施过程,处置项目实施中的各项变动事宜。项目司理应同时具备收集/消息平安品级测评师证书(高级)及商用暗码使用平安性评估人员测评能力查核及格证书、软件测评师、消息系统项目办理师。
2.1.1.1投标人应恪守相关国度、律例和条例,具备《中华人平易近国采购法》第二十二条的和本文件中的前提。
根据GB/T 39786-2021《消息平安手艺 消息系统暗码使用根基要求》,从物理和平安、收集和通信平安、设备和计较平安、使用和数据平安、办理轨制、人员办理、扶植运转、应急措置8风雅面,对形成系统的暗码产物、手艺和算法,从合规、准确、无效三个维度,完整性、实正在性和不成否定四个特征进行商用暗码使用平安性评估。
商用暗码平安性评估办事团队不少于12人,且均须具备使用平安性评估人员测评能力查核及格证书或商用暗码使用平安性评估从业人员查核成就及格证书。按照《消息平安手艺 商用暗码使用平安性评估规范》(GB/T39786-2021)及相关要求,密评工做涵盖暗码算法性、密钥办理的平安性以及暗码和谈的平安性等多手艺范畴,对密评人员的专业技术有着较高的要求。
(2)开展布景审查。供应商承担手艺支撑人员布景审查工做,供给其身份证明、履历、家庭及次要社会关系、无犯罪记明等材料,并提交采购人进行存案。
正在对被评估的数据资产进行充实调研的根本上,确定评估范畴、评估体例和根据,并共同采购人组织相关人员、并召开项目启动会,制定评估方案。
正在识别懦弱性的同时,对已采纳的平安办法的无效性进行确认,评估其无效性,即能否实正地降低系统的懦弱性及,并出具平安办法确认。投标人须从懦弱性评估起头,对被评估系统不成接管风险的资产进行再评估,正在对照平安办法前后的懦弱脾气况后,再次计较风险值,对于风险仍处于不成接管的范畴内,投标人须继续供给响应平安办法,曲至不成接管风险的资产处于可接管的范畴内。
11.供应链厂商要落实风险、审计放哨、应急措置等方面的工做要求,确保系统平安不变运转。供应链厂商要按着各项要求,撰写《年度供应链平安自查》并提交税务机关。
为开展消息系统平安品级测评工做供给实施框架,确保合适国度《中华人平易近国收集平安法》及等保2.0尺度要求?。
供应商正在采购以及后续项目实施过程中,应恪守税务总局税收消息化项目开辟和使用办理工做要求。对于违反合同商定的,根据合同商定及采购相关,采购人可采纳要求期限更正、正在对付合同金额中扣除违约金、解除合划一办法;对于存正在严沉违法失信行为的,由采购人按推送财务部纳入采购严沉违法失信行为记实名单。
2022年1月1以来处置过的相关测评项目合同环节页(、评估系统数量页、签字页等)并加盖投标人公章。
五、内部办理。加强企业内部教育,确保员工晓得并恪守相关律例及要求;加强项目实施全过程;对于违反许诺的员工,将庄重处置,并承担响应义务。
9.投标人应设置装备摆设的内部代码办理平台,且不取互联网链接。严禁将源代码上传第三方平台,严禁利用互联网代码托管平台。
7.供应链厂商正在产物中如利用了开源代码,应确保其合适开源许可和谈要求。供应链厂商自行开辟且多项目共用的根本框架及组件,一并参理。
本项目涉及消息化办事运维人员的,运维人员该当是运维单元的正式人员,或者是取运维单元签定1年以上劳动合同且现实工做满1年的人员长春专业制作各种证件,常驻运维人员该当为手艺。
投标人应充实预估项目实施中人员手艺办事存正在的做风险,包罗并不限于:报酬错误、账户权限办理不妥、办事流程不规范等,制定靠得住的测评办事保障办法。
5.供应链厂商要及时发觉风险现患,对发觉的收集平安缝隙、缺陷、数据泄露或其他严沉收集平安风险,及时向税务机关,不得公开或向第三方供给。
1.供应链厂商人员开展工做所需的各类账户,要根据税务系统税费数据查询账号权限办理要求,按照最小化授权的准绳,向税务机关提前申请,获得核准后方能利用,供应链厂商不得申请超出工做所需范畴的账号权限。账户要采用实名制办理,精确填写厂商、姓名等根基消息,人员取账户逐个对应,严禁用他人账户进行数据,严禁运维账户存正在“一人多户”或“一户多人”。
3.保密刻不受合同无效期的,正在合同无效期竣事后,消息接管方仍应承密,曲至该等消息成为息。
通过、、测试、阐发等方式,现场按照测评指点书对消息系统进行现场测评并进行收集确认,生成现场测评记实表。实施现场测评时投标人以不影响测评系统营业一般开展为前提。
4.供应链厂商及人员不得擅自截留涉税相关数据,不得变处、用法,不得公开、让渡或向第三方供给。
投标人针对本项目应组建不少于24人的办事团队,具体包罗等保测评及风险评估团队和商用暗码使用平安性评估团队。此中?。
要求供给7×24小时平安应急办事,通过近程或现场体例供给快速、高效、专业的处理突发平安变乱的平安办事;投标人应按照省收集平安品级测评机构相关办理要求,为被测系统出具合适《收集平安品级测评模板(2025版)》要求的品级测评,并正在出具时,加盖品级测评公用章,并协帮存案。
以上相关要求,由供应商正在响应时应对,正在履约验收中,采购人将按照采购文件、中标/成交供应商响应文件、采购合划一对中标/成交供应商供给的货和办事进行验收,需要时依法依规开展响应检测、认证。
(1)签定许诺书。投标人应落实国度税务总局收集平安和保密办理要求,承担手艺支撑人员的收集平安和保密办理义务,按采购人要求签定和谈和许诺书。
按照《消息平安手艺 消息平安风险评估方式》(GB/T 20984-2022)尺度中相关“引入风险评估办事手艺支撑方本身就是一个风险峻素,因而,对风险评估办事手艺支撑方的布景取天分、评估过程取的保密要求等方面应进行。”相关要求,投标人应具备消息平安风险评估办事能力。
投标人应放置1名分析手艺实力较强的项目总监,取采购人配合统筹及协调一切取本项目相关的事项,带领并项目组中投标人人员的工做。取采购人按时审查及项目实施过程,处置项目实施中的各项变动事宜。投标人该当出具针对本项目标项目办理方案,方案可以或许保障项目进度及组织打算,确保人员配备合理、打算办法适当,可以或许供给无效的质量及风险识别办法以及质量及风险办法包管项目标质量及不变性。因而,项目总监应同时具备收集/消息平安品级测评师证书(高级)及商用暗码使用平安性评估人员测评能力查核及格证书、系统阐发师、消息系统项目办理师。
一、积极阐扬廉政风险正向。中标人有共同税务部分正在消息化项目工做中加强廉政风险,施行相关办法。
按照《消息平安手艺 收集平安品级测评过程指南》(GB/T 28449-2018),正在等保测评办事的现场测试中,应利用测试东西进行测试。为确保采购方参取测评的消息系统数据平安,为避免数据泄露,投标人应具备平安可控的等保测评办事东西类软件,包含但不限于恶意文件阐发、从机端口平安检测、通信和谈平安检测、从机志阐发和收集平安态势系统等。
8.供应链厂商正在项目开辟扶植时,要设置装备摆设的、取互联网隔离的内部代码办理平台,并开展平安审查。严禁将源代码上传第三方平台长春专业制作各种证件,严禁利用互联网代码托管平台。
(1)等保测评办事:测评内容、测评目标、测评方式、测评流程、测评阐发、鉴定、整改等内容。
按照GB/T 22239-2019《消息平安手艺 收集平安品级根基要求》,从平安物理、平安通信收集、平安区域鸿沟、平安计较、平安办理核心、平安办理轨制、平安办理人员、平安办理机构、平安扶植办理和平安运维办理共10方面开展收集平安品级测评工做,并连系系统特点选择性添加云计较、大数据、挪动互联等扩展要求。
正在采购人共同下对税务使用系统进行材料收集和系统调研;进行消息收集、东西预备,正在充实控制被测系统的根本上编制测评打算书、调卷等。
项目名称:国度税务总局省税务局2025年收集平安品级测评和暗码使用取平安性评估办事项目。
懦弱性识别阐发:针对税务相关营业系统,人员、材料核查、手艺手段核查、系统测评等方式,环绕数据全生命周期平安,进行懦弱性识别内容确定、懦弱性赋值。通过文档查阅、缝隙扫描、人工核查等对各资产、收集等进行和测试,分为手艺和办理两个方面进行懦弱性识别阐发。懦弱性识别是风险评估过程中最主要的环节。
5.供应链厂商要加强对引入的第三方组件的办理,共同税务机关做好平安风险评估、缝隙扫描,做好缝隙评估、缝隙修复和版本升级工做,构成《第三方组件清单》(能够将第三方组件内容插手《供应链产物清单》)和《平安风险阐发》,及时更新第三方组件相关消息并报送税务机关,采纳无效办法保障第三方组件平安。
六、举报和反馈看法。项目施行过程中,中标人有权举报、反馈甲方索贿受贿、吃拿卡要、违反地方八项等违纪违法行为。项目验收前,应填写《税务消息化项目办事商廉政反馈书》,提交甲方税务机关收集平安和消息化带领小组办公室。
按照《消息系统暗码使用测评过程指南》(GM/T 0116-2021)尺度中对于现场测评要求,投标人宜设置装备摆设取被测消息系统分歧的模仿/仿实,正在模仿/仿实下开展测评工做。为确保采购方参取测评的消息系统数据平安,为避免数据泄露,投标人应具备开展密评办事平安可控的模仿/仿实,包罗但不限于办事器暗码机、动态口令办事器、签名验签办事器、使用平安网关办事器、数字证书认证系统、SSL PN平安网关等。
项目实施期间,投标人须做好测评过程中各项平安保障工做,对系统渗入测试、缝隙扫描等制定风险管控预案和防备办法。
要求供给7×24小时平安应急办事,通过近程或现场体例供给快速、高效、专业的处理突发平安变乱的平安办事;投标人应按照省收集平安品级测评机构相关办理要求,为被测系统出具合适《收集平安品级测评模板(2025版)》要求的品级测评,并正在出具时,加盖品级测评公用章,并协帮存案。
二、健全廉政风险机制。中标人有义务正在项目办理机制中健全内部廉政办法,包罗但不限于:对参取本项目标员工提出行为规范;指定专人对项目实施各环节进行廉政;正在项目验收过程中提交本项目廉政等。
6.供应链厂商要及时向税务机关可能发生影响收集平安的严沉事项,包罗担任人及主要工员变动、营业转型、归并沉组、投资并购等。
(一)以各类形式和表面供给礼物、礼金、电子红包、领取凭证、贸易预付卡、珍贵特产、有价证券、股权、其他金融产物等财物。
1、等保测评及风评团队,不少取12人,此中至多包罗收集/消息平安品级测评师(高级)3人,收集/消息平安品级测评师(中级)4人,其余人员应具备品级测评师(初级)。根据《收集平安品级测评模板(2025版)》《收集平安品级测评高风险鉴定实施(试行)》《消息平安手艺 消息平安风险评估方式》(GB/T 20984-2022)要求,测评办事应包罗渗入测试、缝隙扫描、平安审计阐发。
1.供应链厂商和人员要恪守国度收集平安政策律例和税务机关各项收集平安规章轨制,供应链厂商要取税务机关签定《厂商收集平安许诺书》,向税务机关提交供应链厂商人员的《小我收集平安许诺书》及《无犯罪记明》。
三、杜绝违纪违法行为。中标人及相关项目人员必需恪守,苦守职业,杜绝任何形式的好处输送、寻租等违纪违法行为,对甲方工员不得实施以下行为!
本项目测试量大,测评周期短,为便利并行开展测评工做,投标人针对本项目应组建不少于24人的办事团队,除项目司理之外,等保测评及风险评估团队不少于12人形成,此中至多包罗收集/消息平安品级测评师(高级)3人,收集/消息平安品级测评师(中级)4人,其余人员应具备品级测评师(初级);商用暗码平安性评估办事团队不少于12人,且均须具备使用平安性评估人员测评能力查核及格证书或商用暗码使用平安性评估从业人员查核成就及格证书。
编制等保测评方案,确认测评对象、测评目标、测评内容、全体测评方式、风险阐发方式,编制现场测评方案、记实表等,现场测评方案包罗但不限于项目概念、测评对象、测评目标、测评东西接入点、单项测评实施、系统测评实施等。
4.供应链厂商要成立收集平安担任人轨制,并配备一名具备决策能力并连结相对不变的担任人,正在项目实施的全过程担任收集平安和数据平安工做,组织落实各项收集平安和数据平安要求。
9.供应链厂商要按照要求,对环节消息根本设备和主要消息系统进行自查,不供给产物和办事的便当前提获取数据、和设备,不中缀产物供应或需要的手艺支撑办事等。
三、按照合同商定履行,包管项目质量,按时完成扶植;正在合做过程中不以任何托言迟延工期、虚报成本或谋取。
(2)教育培训要求。供应商担任敌手艺支撑人员进行收集和数据平安律例、收集平安认识、收集平安办理、收集平安技术、保密认识以及收集平安警示教育等培训,上岗前对其进行查核。
正在识别懦弱性的同时,对已采纳的平安办法的无效性进行确认,评估其无效性,即能否实正地降低系统的懦弱性及,并出具平安办法确认。投标人须从懦弱性评估起头,对被评估系统不成接管风险的资产进行再评估,正在对照平安办法前后的懦弱脾气况后,再次计较风险值,对于风险仍处于不成接管的范畴内,投标人须继续供给响应平安办法,曲至不成接管风险的资产处于可接管的范畴内。
10.投标人不得另行开辟合同营业需求范畴内,供纳税人、缴费人利用的软件。不得产物和办事的使得前提获取数据、和设备,无合理来由不中缀产物供应或需要手艺支撑办事等,如违反上述条目,将被纳入失信名单。
投标人应根据风险评估方式,连系我局对于消息平安需求开展评估工做:测评机构应保守正在测评中知悉的国度奥秘、工做奥秘和数据,对所出具的评估担任。
2.供应链厂商要共同税务机关对涉及税务机关税务消息化项目(以下简称项目)的人员做好布景审查。
中标人正在参取税务部分消息化项目工做过程中,需恪守律例、规范履行合同,积极协帮税务部分开展廉政风险工做。请恪守并落实如下要求。
投标人应充实预估项目实施中存正在的手艺风险,缝隙扫描时系统不变性、收集、数据平安等方面可能存正在的风险,制定靠得住的手艺办理保障办法。
9.供应链厂商正在项目开辟扶植时,要搭建具备权限管控功能的同一版本系统,将全数源代码纳入办理,并制定平安编码规范,严禁开辟人员未经授权或越权拜候和违规开辟。
投标人应根据商用暗码使用平安性评估办理要求:测评机构应保守正在测评中知悉的国度奥秘、工做奥秘和数据,对所出具的密评担任,并协帮存案。
本项目办理实施和验收由省局收集平安和消息化带领小组办公室担任长春专业制作各种证件。对项目测评过程中,投标人应按照省税务局使用消息系统办理要求开展测评工做,确保各使用消息系统平安、不变、高效运转。
为深切贯彻落实关于全面从严治党的决策摆设,进一步加强税务消息化项目合做中的廉政扶植,防备廉政风险发生,确保项目公开、公允、推进,我司许诺如下。
4.投标人应提高平安义务认识,严控产物平安质量;成立清晰的软件供应链平安策略,明白相关的办理方针、工做流程、内容、义务部分等;严控上逛,特别沉点管控开源代码的利用,确保利用的开源代码合适开源许可和谈,构成第三方组件清单和平安阐发,利用存正在高平安风险或已遏制的第三方组件;严控自从开辟代码的质量,采用软件源代码平安阐发东西,持续检测和修复软件源代码中的平安缺陷和缝隙;成立完美的产物缝隙响应机制,包罗产物缝隙消息的收集、缝隙渠道的成立和、缝隙补丁的开辟和发布、客户端缝隙应急响应和修复支撑等。发觉收集平安缝隙、缺陷、数据泄露或其他严沉收集平安风险,及时向采购人进行,不得私行公开或向第三方供给。
根据单位测评汇总进行全体测评阐发、风险阐发、汇总、结论构成、鉴定、整改等,生成单项、单位评估汇总,并出具品级测评及存案材料。投标人须及时向被测评单元传递当前测评,对未通过测评的系统,投标人有向采购人提出版面整改看法,待整改办法落实后,投标人还应就相关目标从头测评,并及时修订相关测评,并取采购人进行书面确认。
12.投标人不得正在合同履行期间“围猎”税务人员。如违反上述条目,将被纳入失信名单,3年内加入税务系统采购。
以下相关方案,若做为评审要素,则投标人应正在满脚★环节目标项要求的前提下,按照项目特点和采购需求,制定更为完整、细致、可做性强的方案。
2、商用暗码平安性评估办事团队不少于12人,且均须具备使用平安性评估人员测评能力查核及格证书或商用暗码使用平安性评估从业人员查核成就及格证书。按照《消息平安手艺 商用暗码使用平安性评估规范》(GB/T39786-2021)及相关要求,密评工做涵盖暗码算法性、密钥办理的平安性以及暗码和谈的平安性等多手艺范畴,对密评人员的专业技术有着较高的要求。
按照国度出台的收集平安律例要求及收集平安品级轨制要求,需要对我局主要消息系统进行消息平安品级测评(以下简称等保测评)、商用暗码使用平安性评估(以下简称密评)和消息平安风险评估(以下简称风评),通过测评和评估发觉和整改我局主要消息系统存正在的风险现患,切实提高主要消息系统分析防护能力,防备严沉收集平安事务,保障我局主要消息系统平安不变运转。
阐发被测系统的平安现状(各个层面的根基平安情况)取尺度中响应品级的根基要求的合适,给出单项测评;汇总统计单项测评,给出针对每个对象的单位测评;阐发被测系统全体平安情况及对单项测评的修订。再次汇总阐发各层面中各个测评对象的测评,阐发被测系统存正在的风险,构成测评结论。汇总单项测评、测评过程及、风险阐发过程及,得出测评结论,平安扶植整改等。
投标人须按照国度税务总局省税务局相关办理规程和要求,将项目施行过程所涉及的相关学问和工做文档按照投标人提出的质量、数量、供给体例、供给时间等要求进行拾掇,并按照要求转移给投标人。具体要求如下?。
6.供应链厂商要按期所利用产物及第三方组件,存正在高危缝隙的应及时通过拜候、更新补丁、版本升级、设备防护等办法进行加固措置;对于遏制的产物及第三方组件,要评估能否存正在高危缝隙,如存正在无法修复的高危缝隙,要升级版本或改换产物及第三方组件。
按照《收集平安品级测评模板(2025版)》编制,记实测评,判断系统能否达到既定平安品级要求。
(3)设置收集平安担任人(由驻场运维人员兼任)。供应商为本项目配备一名收集平安担任人,该担任人具备决策能力并连结相对不变,正在项目实施的全过程担任收集平安工做,组织落实各项收集平安要求。
具备收集/消息平安品级测评师证书(高级)及商用暗码使用平安性评估人员测评能力查核及格证书、软件测评师、消息系统项目办理师。
5.供应链厂商正在项目实施前,要对参取人员开展收集和数据平安律例、平安技术、保密常识等方面的教育培训并查核及格;正在项目开展期间,供应链厂商要按期开展相关培训、查核及警示教育,供应链厂商要通过教育培训不竭提高厂商人员的收集和数据平安认识及保密认识。供应链厂商要对正在项目开展期间分开涉及税务项目标人员进行离项审计。
本项目涉及测评人员该当是投标人的正式员工,且取投标人签定1年以上劳动合同且现实工做满1年的人员。
13.投标人应成立防止违法违规聘用去职税务人员风险轨制,如呈现违法违规聘用去职税务人员行为,采购人有权采纳以下办法:要求期限更正、要求领取违约金、解除合同、3年内加入所聘人员原单元及部属单元消息化项目采购等。
一、合规运营。恪守国度律例及税务部分的相关,从业、诚信运营的准绳。正在合做过程中不以任何形式进行好处输送,优良的政商关系。
8.采购人要对投标人方参取项目人员开展布景审查,投标人需项目人员供给无犯罪记明,公司和小我均签订保密和谈?。
2.供应链厂商正在税务机关供给场合开展软件开辟测试工做时,收集平安担任人要办理本单元人员,严禁供应链厂商人员利用自带电脑和挪动存储介质,严禁擅自变动办公场合和办公设备,严禁安拆非需要的使用法式和组件,严禁私行复制、利用和点窜文档、数据以及其他开辟测试材料。
12.供应链厂商要按照“三同步”工做要求,正在使用系统开辟上线前将《供应链产物清单》、《第三方组件利用清单》、《源代码审计》等相关内容,汇总至系统平安“三同步”材料一并提交税务机关审核,要从开辟设想环节即全面落实平安办理要求。
5.项目实施前及实施期间,投标人要对参取项目人员进行收集和数据平安、技术等方面培训、查核、警示教育等。
1.投标人须将项目实施过程中出具的文档等形式转移给投标人,并将项目所涉及的其他各类工做文档按照要求进行移交归档。
资产识别阐发:调研阐发,进行资产分类、资产赋值(保密性赋值、完整性赋值、可用性赋值、资产主要性品级)识别阐发:根据资产确定识别对象,进行分类、赋值。(供给办事许诺书)懦弱性识别阐发:针对税务相关营业系统,人员、材料核查、手艺手段核查、系统测评等方式,环绕数据全生命周期平安,进行懦弱性识别内容确定、懦弱性赋值。通过文档查阅、缝隙扫描、人工核查等对各资产、收集等进行和测试,分为手艺和办理两个方面进行懦弱性识别阐发。懦弱性识别是风险评估过程中最主要的环节。
根据《消息平安手艺 消息平安风险评估方式》(GB/T 20984-2022)《消息平安手艺 消息平安风险评估实施指南》(GB/T 31509-2015)等国度尺度和规范性文件,对9个系统进行风评,并提交《消息平安风险评估》。
2.驻场办公人员进驻运维场地期间不得照顾小我电脑、小我存储介质(U盘)、未授权软件安拆包等东西。
1.两边应对正在合同签定或履行过程中所接触的对方消息,包罗但不限于学问产权、手艺材料、手艺诀窍、内部办理及其他相关消息,负有保密。
1.项目办理实施方案:投标人须按照采购人项目实施进度要求,供给全体的项目打算书包罗工做程表、工做内容;提交全体及分项办理及实施方案,方案应包罗项目组织架构,各项目组形成取人员本能机能分工、投入手艺人员及简介;项目实施管控办法,质量保障办法等。
四、公开通明合做。我司许诺正在项目实施过程中连结公开通明,自动接管税务部分及纪检监察机构的全程,并积极共同任何相关从业的查询拜访工做。
按照GB/T 22239-2019《消息平安手艺 收集平安品级根基要求》,从平安物理、平安通信收集、平安区域鸿沟、平安计较、平安办理核心、平安办理轨制、平安办理人员、平安办理机构、平安扶植办理和平安运维办理共10方面开展收集平安品级测评工做,并连系系统特点选择性添加云计较、大数据、挪动互联等扩展要求。
(1)工做能力要求。投标人担任敌手艺支撑人员进行资历前提、工做胜任力以及收集安万能力评估,敌手艺支撑人员承担的工做进行平安保密风险阐发,明白手艺支撑人员工做范畴和鸿沟,沉点防备设备和材料失窃、误做导致的软硬件毛病、工做奥秘和税费数据等消息泄露、消息系统越权拜候和收集等风险。
(2)GB/T 39786-2021《消息平安手艺 消息系统暗码使用根基要求》、GB/T 43206-2023 《消息平安手艺 消息系统暗码使用测评要求》。
11.投标人违反国度税务总局省税务局及其上级从管部分制定的收集平安行为形成不良后果的,将被纳入失信名单,3年内加入税务系统采购。
7.驻场办公人员不得将工做数据、工做内容、工做等任何取工做相关的消息至QQ、微信或任何取工做无关的处所。
应按照采购人要求的时限和质量完成相关测评办事,正在项目测评工做开展过程中,测评人员应确认不影响采购人消息系同一般供给办事。投标人需包管项目组的不变性,如特殊需要调整项目组的,应提前一个月书面通知采购人,采购人同意后才能放置调整。签定保密和谈,参取人员由投标人;投标人供给的材料,投标人不得以任何形式向第三方。保密刻不受本项目刻的,正在本项目履行完毕后,保密消息接管方仍应按照国度相关承密。
3.供应链厂商要加强对供给的项目所涉软、硬件产物及办事的办理,产物及办事必需满脚国度承认的收集平安规范和认证要求,供应链清单内的产物要具备发卖许可证,定制开辟软件必需开展收集平安“三同步”测评。采用源代码平安审计、开源组件平安检测、软件平安性深度测试等手艺手段,对相关产物开展平安和手艺检测,对存正在的问题进行整改,最大限度消弭风险现患,并构成《供应链产物清单》,提交至税务机关。
(2)具有国度暗码办理局颁布的《商用暗码检测机构天分证书》,且证书中营业范畴为商用暗码使用平安性评估。
1.供应链厂商的软件研发工做场合需平安可控可托,要搭建公用的开辟测试,设置装备摆设平安可托的开辟办理东西,设置靠得住的权限办理策略,确保项目研发平安可控。
根据《消息平安手艺 收集平安品级根基要求》(GB/T 22239-2019)《消息平安手艺 收集平安品级测评要求》(GB/T 28448-2019)等国度尺度和规范性文件,对8个系统和1个二级系统进行等保测评工做,并根据《收集平安品级测评模板(2025版)》相关要求,提交《收集平安品级测评》。
根据《消息平安手艺 消息系统暗码使用根本要求》(GB/T 39786-2021)《消息系统暗码使用高风险鉴定》《消息平安手艺 消息系统暗码使用测评要求》(GB/T 43206-2023)《商用暗码使用平安性评估量化评估》等国度尺度和规范性文件,对8个系统进行密评,并根据国度暗码从管部分印发《商用暗码使用平安性评估模板(2023版)》相关要求,提交《商用暗码使用平安性评估》。
(1)工做能力要求。供应商担任敌手艺支撑人员进行资历前提、工做胜任力以及收集安万能力评估,敌手艺支撑人员承担的工做进行平安保密风险阐发,明白手艺支撑人员工做范畴和鸿沟,沉点防备设备和材料失窃、误做导致的软硬件毛病、工做奥秘和税费数据等消息泄露、消息系统越权拜候和收集等风险。
具备收集/消息平安品级测评师证书(高级)及商用暗码使用平安性评估人员测评能力查核及格证书、系统阐发师、消息系统项目办理师
电子证书制作大专证书图片8个等保系统的品级测评工做、商用暗码使用平安性评估以及消息平安风险评估,1个等保二级系统的品级测评工做和消息平安风险评估。
(2)开展布景审查。投标人承担手艺支撑人员布景审查工做,供给其身份证明、履历、家庭及次要社会关系、无犯罪记明等材料,并提交采购人进行存案。
按照《消息平安手艺 消息平安风险评估方式》(GB/T 20984-2022)中明白了“科学的风险评估需要大量的实践和经验数据的支撑”相关要求,投标人需供给证明其风险挖掘及风险识此外手艺能力证明。
四、许诺。中标人应许诺正在项目实施过程中,恪守国度律例、诚信运营,杜绝贸易行贿、规范运营、公开通明合做、内部办理,并签定《税务消息化项目办事商许诺书》提交甲方担任项目实施的单元。
整改方案要求,扶植整改方案应包罗扶植方式、手艺、东西等细致内容,需要时需协帮指点进行整改工做。
对系统利用暗码的合规、准确、无效进行鉴定、阐发,通过、文档审查、设置装备摆设、东西测评和实地查看记实和测评。针对测评中发觉的问题、问题的和源、正在委托单元相关人员的共同下进行书面承认。
1.供应链厂商要加强驻场办公人员正在常工做中的行为平安办理,恪守运维场地办理及税务机关根本设备(机房)办理轨制。
2.项目实施过程中,为确保移交文档的分歧性和完整性,投标人须按照项目实施打算,分条理、分阶段进行项目文档提交。
2.供应链厂商要加强数据平安办理,规范供应链厂商人员的常运维工做,不得私行拜候、点窜或删除税费数据,严禁将出产的实正在税费数据导入测试,测试系统中不克不及留.供应链厂商及人员需要导出数据时要颠末审批且合适,严禁擅自导出数据。
按照最新的收集平安品级相关要求,协帮采购人更新现有系统品级存案,以及连系现有平安办法,协帮采购人制定工做方供给办事许诺书案。
采购文件(手艺部门)中有标注★号的,为必备办事要求,必需满脚,投标人如未做出响应,将导致投标无效;标注#号的,为主要办事内容;标注△号的,为一般办事内容,“能否需要证明材料”项填“是”或“否”。填“是”的,投标人须供给包含相关目标项的证明材料,证明材料能够利用出产厂家截图或产物或其他相关证明材料,未供给无效证明材料或证明材料或证明材猜中内容取所填报目标不分歧的,该目标按不满脚处置。
采购文件(手艺部门)中有标注★号的,为必备办事要求,必需满脚,投标人如未做出响应,将导致投标无效;标注#号的,为主要办事内容;标注△号的,为一般办事内容,“能否需要证明材料”项填“是”或“否”。填“是”的,投标人须供给包含相关目标项的证明材料,证明材料能够利用出产厂家截图或产物或其他相关证明材料,未供给无效证明材料或证明材料或证明材猜中内容取所填报目标不分歧的,该目标按不满脚处置。
本项目所有学问产权归国度税务总局省税务局所有。投标人需包管所供给的办事不第三方的学问产权(专利权、商标权、版权等),因侵害第三方学问产权而发生的义务,全数由投标人承担。
本项目验收体例采纳一次终验的体例进行验收,验收工做由采购人组织实施,中标供应商应共同完成项目标验收工做,提交项目验收相关产出物,出具门和暗码办理部分承认的测评和评估,具体交付物数量以合同办事期内采购人要求现实完成的系统测评数量为准,以税务消息化项目办理相关要求、投标文件要求、中标供应商投标文件及许诺长春专业制作各种证件、本项目合同商定尺度组织验收。
(3)GB/T 36958-2018 《消息平安手艺 收集平安品级平安办理核心手艺要求》。
4.项目验收方案:按照项目需求供给本项目标验收方案,应包罗验收内容概述、验收流程及尺度、验收中呈现问题若何措置等内容,内容该当办事采购人内部的项目办理流程,且具有可做性?。
根据GB/T 39786-2021《消息平安手艺 消息系统暗码使用根基要求》,从物理和平安、收集和通信平安、设备和计较平安、使用和数据平安、办理轨制、人员办理、扶植运转、应急措置8风雅面,对形成系统的暗码产物、手艺和算法,从合规、准确、无效三个维度,环绕秘密性、完整性、实正在性和不成否定四个特征进行商用暗码使用平安性评估。
(二)以各类形式和表面供给宴请、旅逛、健身、文娱、私家会所等放置;代付加班餐费、打车资等。
投标人正在采购以及后续项目实施过程中,应恪守国度税务总局税收消息化项目开辟和使用办理工做要求。对于因失信行为纳入《税务系统消息化办事商失信行为记实名单》的投标人,存正在一般失信行为的,由采购人函告办事商;存正在严沉失信行为的,由采购人约谈办事商次要担任人;对于违反合同商定的,根据合同商定及采购相关,采购人可采纳要求期限更正、正在对付合同金额中扣除违约金、解除合同、加入税务系统采购等办法;对于存正在影响恶劣的严沉违法失信行为的,由采购人按推送财务部纳入采购严沉违法失信行为记实名单。
供应商对供应链平安办理义务落实不到位,形成平安事务或发生不良影响的,采购人按照律例及合同商定进行处置。
根据GB/T 20984-2022《消息平安手艺 消息平安风险评估方式》,及相关消息平安尺度规范,环绕消息平安需求,从以下方面开展风险评估:互联网和内网资产面评估;基于黑盒的缝隙扫描和渗入测试。
测评期间要求供给7×24小时平安应急办事,通过近程或现场体例供给快速、高效、专业的处理突发平安事务的办事。
(1)签定许诺书。供应商应落实国度税务总局收集平安和保密办理要求,承担手艺支撑人员的收集平安和保密办理义务,按采购人要求签定和谈和许诺书。
(2)教育培训要求。投标人担任敌手艺支撑人员进行收集和数据平安律例、收集平安认识、收集平安办理、收集平安技术、保密认识以及收集平安警示教育等培训,上岗前对其进行查核。
5.应急及平安保障方案:按照项目需求供给适合此项目明白的应急保障轨制,分工明白的组织系统,清晰平安保障、预警和防止机制,科学的应急响应及措置步调,科学的应急级别定义取其配套的响应时间,以包管及时高效响应处置各类突发事务。
1.本项目中如涉及商品包拆和快递包拆的,其包拆需求尺度应不低于《关于印发商品包拆采购需求尺度(试行)、快递包拆采购需求尺度(试行)的通知》(财办库〔2020〕123 号)的包拆要求,若有其他包拆需求,详见采购文件手艺部门相关章节。
3.手艺办事方案:正在投标文件中细致阐述品级测评手艺方案、密评手艺方案、风评手艺方案等各项内容。
2.本项目中如涉及收集环节设备或收集平安公用产物的,应施行国度互联网消息办公室、工业和消息化部、、财务部和国度认证承认办理委员会 2023年第 1 号《关于调整收集平安公用产物平安办理相关事项的通知》及国度互联网消息办公室、工业和消息化部、和国度认证承认办理委员会 2023 年第 2号《关于调整收集环节设备和收集平安公用产物目次的通知》等相关文件要求,所投标(响应)设备或产物至多合适以下前提之一:一是已由具备资历的机构平安认证及格或平安检测合适要求;二是已获得《计较机消息系统平安公用产物发卖许可证》,且正在无效期内。
2.投标人正在利用用户方为其供给的数据、法式、用户名、口令、材料及甲方相关的营业和手艺文档,包罗方案设想细节、法式文件、数据布局,以及相关营业系统的硬软件、文档、测试和测试发生的数据时,应遵照以下商定。
六、积极参取。正在税务消息化项目实施过程中,如发觉任何违纪违法行为,将照实反馈问题和看法。
(3)设置收集平安担任人(由现场测评人员兼任)。投标报酬本项目配备一名收集平安担任人,该担任人具备决策能力并连结相对不变,正在项目实施的全过程担任收集平安工做,组织落实各项收集平安要求。
(二)以各类形式和表面供给宴请、旅逛、健身、文娱、私家会所等放置;代付加班餐费、打车资等。
按照《消息平安手艺 收集平安品级测评过程指南》(GB/T 28449-2018),正在等保测评办事的现场测试中,应利用测试东西进行测试。为确保采购方参取测评的消息系统数据平安,为避免数据泄露,投标人应具备平安可控的等保测评办事东西类软件,包含但不限于恶意文件阐发、从机端口平安检测、通信和谈平安检测、从机志阐发和收集平安态势系统等。
10.供应链厂商要开展源代码平安自查工做,设置公用代码审计场合,采用东西取人工核查相连系的体例开展工做,构成《源代码审计》提交税务机关。审计过程要确保源代码不过泄,对审计中发觉的问题要及时处理。
(2)密评办事:包罗密评内容、密评目标、密评方式、密评流程、密评阐发、鉴定、整改等内容。
等保测评及风评团队,不少取12人,此中至多包罗收集/消息平安品级测评师(高级)3人,收集/消息平安品级测评师(中级)4人,其余人员应具备品级测评师(初级)。根据《收集平安品级测评模板(2025版)》《收集平安品级测评高风险鉴定实施(试行)》《消息平安手艺 消息平安风险评估方式》(GB/T 20984-2022)要求,测评办事应包罗渗入测试、缝隙扫描、平安审计阐发。
按照《消息系统暗码使用测评过程指南》(GM/T 0116-2021)尺度中对于现场测评和要求,投标人按照被测消息系统的现实选择测试东西,正在设置装备摆设无法供给无力的下,应通过东西测试的方式抓取并阐发被测消息系统相关数据。为确保采购方参取测评的消息系统数据平安,为避免数据泄露,投标人应具备平安可控的密评办事东西类软件,包含但不限于和谈阐发东西、算法合规性检测东西、随机性检测东西、数字证书格局合规性检测东西和挪动使用代办署理抓包东西等。
按照《商用暗码使用平安性评估模板(2023版)》编制,记实评估,判断系统能否达到既定商用暗码使用要求。
五、盲目接管监管。中标人有共同税务机关的一般营业监管以及纪检监察、外部审计、督察内审等机构对税务消息化项目全过程的工做,照实供给相关材料和消息,不得坦白、或取项目扶植相关的文件、数据等材料。
确定测评手艺思、工做内容和项目组织打算,收集被测系统暗码系统、暗码办理、平安品级、营业、软硬件设置装备摆设和相关部分办理员及角等根本消息,进行暗码和谈阐发东西、随机数检测东西、暗码算法阐发东西预备,进行现场密评授权、密评存正在的风险、交代的文档名称、会议记实和签到。
6.使用系统上线前,投标人要进行平安功能测试(包罗缝隙扫描、渗入测试、源代码审计、基线.使用系统上线前,投标人要提交供应链产物清单、第三方组件利用清单、平安测试、源代码审计、等保测评、供应链平安自查等。
按照《消息系统暗码使用测评过程指南》(GM/T 0116-2021)尺度中对于现场测评和要求,投标人按照被测消息系统的现实选择测试东西,正在设置装备摆设无法供给无力的下,应通过东西测试的方式抓取并阐发被测消息系统相关数据。为确保采购方参取测评的消息系统数据平安,为避免数据泄露,投标人应具备平安可控的密评办事东西类软件,包含但不限于和谈阐发东西、算法合规性检测东西、随机性检测东西、数字证书格局合规性检测东西和挪动使用代办署理抓包东西等。
7.供应链厂商要正在项目启动前向税务机关供给基于项目场景的供应链《平安事务应急响应预案》,明白相关职责和应急措置流程;供应链厂商每年要向税务机关报送《供应链厂商应急训练记实》,确保快速无效措置供应链平安事务。
阐发被测系统的平安现状(各个层面的根基平安情况)取尺度中响应品级的根基要求的合适,给出单项测评;汇总统计单项测评,给出针对每个对象的单位测评;阐发被测系统全体平安情况及对单项测评的修订。再次汇总阐发各层面中各个测评对象的测评,阐发被测系统存正在的风险,构成测评结论。汇总单项测评、测评过程及、风险阐发过程及,得出测评结论,平安扶植整改等。
采购文件(手艺部门)中有标注★号的,为必备办事要求,必需满脚,如未做出响应,将导致响应无效;#为主要办事内容、△为一般办事内容。
3.本项目中如涉及国度强制性产物认证证书(CCC 认证证书)、电信设备进网许可证、无线电发射设备核准证等市场准入类天分的,应施行国度相关律例的要求。
3.投标人要成立收集平安担任人轨制。每个项目均要设置收集平安担任人,组织落实各项收集平安要求。
为保障测评团队为供应不变人员,以上人员应供给投标报酬办事团队内手艺人员缴纳开标当月之前的社保缴费证明。
