1、 金税三期工程第二阶段信息安全技术项目第4包(安全等级测评和风险评估)招 标 文 件(技术部分)招标编号:0703-1641CIC1H045 采 购 人:国 家 税 务 总 局 招标代理机构:中仪国际招标有限公司二一六年六月目 录第一章 金税三期工程项目背景11.1 国家税务总局及其下属税务机构简介11.2 金税三期工程建设目标11.3 金税三期工程第一阶段主要建设成果21.4 金税三期工程第二阶段主要建设任务3第二章 信息安全评测项目概述52.1 项目总体定位52.2 项目总体目标52.3 项目整体原则52.4 项目投标要求62.4.1 对投标人的基本要求62.4.2 对投标书的基本要求72
2、.5 实施范围92.6 项目依据标准9第三章 信息安全评测服务项目需求113.1 项目总体需求113.2 项目具体需求113.2.1 等级保护要求113.2.2 风险评估要求123.2.3 投标人响应要求12第四章 信息安全评测服务项目实施134.1 等级保护实施134.1.1 项目目标134.1.2 实施内容134.1.3 职责要求134.1.4 项目任务144.1.5主要任务要求144.2 风险评估实施214.2.1 项目目标214.2.2 实施内容214.2.3 职责要求214.2.4 项目任务224.2.5 主要任务要求224.3 实施总体要求294.3.1 实施原则294.3.2 实
3、施要求294.4 项目管理304.4.1 项目沟通管理304.4.2 项目进度管理314.4.3 项目变更管理314.4.4 风险和问题管理要求314.4.5 质量管理要求324.4.6 主要交付成果物及其质量评判要求324.5 组织和人员要求324.5.1 项目组织机构324.5.2 项目人员管理334.5.3 项目组规模344.5.4 其他要求34第五章 其他服务与质量保障要求355.1 技术质量保障的要求355.1.1对投标人技术保障的要求355.2 服务质量要求355.2.1服务方式355.2.2响应要求355.3 保密要求355.4 知识转移要求365.5 知识产权要求365.6 归
4、档要求375.7 服务保障要求375.8 对监理工作的配合要求375.9 项目实施方案要求38第六章 项目验收406.1 验收条件406.1.1标准编制部分406.1.2安全等级测评部分406.1.3风险评估部分406.2 组织实施及人员安排406.3 验收内容406.4 主要交付物41第一章 金税三期工程项目背景1.1 国家税务总局及其下属税务机构简介国家税务总局是国务院主管税收工作的直属机构。自1994年分税制改革后,我国实行国家、地方分级核算的财政体制,国家税务总局对全国国税系统实行垂直管理,并协同省级人民政府对省级地方税务局实行双重领导。国家税务局系统和地方税务局系统(西藏自治区仅设立
5、国家税务局)从省级以下按照行政区划分别设立税务管理机构,各自负责中央税收收入和地方财政收入的组织工作。国家税务局系统由国家税务总局在业务、经费、人事等方面实行中央垂直管理。地方税务局系统省以下实行垂直管理,省级地方税务局由国家税务总局协同省级人民政府实行双重领导。1.2 金税三期工程建设目标税务信息化建设的总体目标,就是要建立和完善中国税收管理信息系统,简称为“金税工程”,英文缩写为“CTAIS”。金税三期工程是“金税工程”的建设阶段,它将建立在十多年税务信息化建设的基础之上,按照轻重缓急的原则,通过业务重组、技术重构、功能整合,分期分批逐步实施,最终完成中国税收管理信息系统的建设。金税三期工
6、程将按照“国际先进,中国特色”的要求,通过完成“一个平台、两级处理、三个覆盖、四类系统”的建设,建成一个网络覆盖率达100%、年事务处理量近100亿笔、税务机关内部用户超过60万人、纳税人及外部用户超过亿人(户)的全国税收管理信息系统。该系统将统一全国国地税征管应用系统版本,规范全国税收执法。实施全国征管数据大集中,实现监控全国征管数据。规范纳税服务平台,优化纳税服务。建设决策支持平台,及时、完整、准确地为决策、管理提供信息,进一步提高税法遵从度和税收征收率。国际先进,是指借鉴国际税收管理的先进理念和经验,主要有:将促进税法遵从作为税务机关的主要任务和战略目标,优化服务,规范执法。树立税收风险
7、管理理念,为实施风险管理提供信息化支撑。运用国际先进、成熟的信息技术建设现代化的税收管理、服务信息系统,以提高服务和执法的质效等。中国特色,是指影响我国税务机关学习借鉴国际先进理念、经验的环境和因素,主要有:行政层级的多级性和中央与地方财权的复杂性。国地税系统业务和管理的差异,东、中、西部地区以及城市、农村经济发展的不平衡等,上述这些特色要求在学习借鉴国际先进理念和经验时,针对中国特色,找准结合点。“一个平台”是指建立一个包含网络硬件和基础软件的统一的技术基础平台。“两级处理”是指依托统一的技术基础平台,逐步实现税务系统的数据信息在总局和省局集中处理。“三个覆盖”是指应用内容逐步覆盖所有税种,
8、覆盖税收工作的主要工作环节,覆盖各级国地税机关,并与有关部门联网。“四类系统”包括税收征管、纳税服务、决策支持和行政管理等系统。1.3 金税三期工程第一阶段主要建设成果金税三期工程第一阶段运用国内外先进、成熟的税收管理理念和信息技术,借鉴政府和金融、电信等行业信息化建设规划和实践经验,通过业务重组、技术重构、功能整合,初步建成“国际先进、中国特色”的税收管理信息系统并在6个试点省成功运行,为征纳双方提供一体化、人性化、智能化、持续改进的信息化管理平台。一是完成制度和标准规范建设,形成税务标准规范体系和税收信息化管理制度;二是完成税收业务需求的分析与整理;三是完成税收信息化的总体规划设计,推动业
9、务变革、技术创新,建立了包含业务、应用、数据、技术、安全、运维等内容的总体架构体系;四是开发完成征收管理、行政管理、决策支持、外部信息四大类应用系统并在6个试点省成功上线运行;五是完成金税三期新建系统同总局和试点省现有保留应用系统整合,实现新老系统的有效对接;六是建成总局数据中心(南海);七是充分运用信息技术的最新发展成果完成试点单位信息基础设施的建设改造及运行维护体系建设;八是完成税务系统信息安全体系的总体构建及安全策略的制定,完成对试点单位安全管理系统、安全基础设施、应用安全支撑平台建设,以及对网络系统、应用系统和安全基础设施的安全等级测评和风险评估;九是完成全国税务系统五级网络建设,建成
10、覆盖全国税务系统的综合性通信平台,网络覆盖总局数据中心、南海数据中心、71个省级局、800多个地市级税务局、近6000个县(区)级税务局、近30000个税务分局(所)。1.4 金税三期工程第二阶段主要建设任务金税三期工程第二阶段将在充分吸收第一阶段试点建设经验和系统开发成果的基础上,通过分期分批逐步实施,完成应用系统在全国其余30个省级单位(含5个计划单列市)的快速推广部署,完成金税三期工程在税务系统的全覆盖。按照国家税务总局工作安排,计划将在2015年内完成14个省(区)单轨上线工作,包括河北省、宁夏回族自治区、贵州省、云南省、广西壮族自治区、湖南省、青海省、海南省、西藏自治区、甘肃省、安徽
11、省、新疆维吾尔自治区、四川省、吉林省等。计划将在2016年内完成16个省(市)单轨上线工作,包括辽宁省、江西省、福建省、厦门市、青岛市、北京市、黑龙江省、天津市、陕西省、湖北省、大连市、上海市、江苏省、浙江省、宁波市、深圳市等。金税三期工程第二阶段主要建设内容为:(1)完成征收管理、行政管理、决策支持和外部信息等四大类应用系统在全国30个省(含5个计划单列市)的全面推广,同时完成地方特色软件改造及同总局保留系统的接口改造。(2)开展应用系统的优化及补充开发,具体包括国家财税体制改革、税务服务与管理创新导致的需求变化、技术创新或架构优化导致的架构变化、系统运行和推广实施过程发现的程序问题、性能调
12、优导致的程序开发以及软件衔接新增接口等几个方面。(3)实施总局数据集中及数据资源的建设与开发。(4)完成2个国家级、30个省(自治区、直辖市、计划单列市)税务处理中心的扩容,包括计算存储资源、系统软件及备份系统建设等,提高各推广单位数据处理能力。(5)完成各推广省税务处理中心局域网的补充建设。(6)完成各推广省同总局数据中心(南海)间的数据容灾系统建设。(7)完成各推广省相关安全体系建设。(8)完成各推广省终端系统补充建设。(9)完成各推广省相关运行维护体系建设。(10)进一步完善金税三期工程相关标准规范,并进行全面培训、推广及应用。(11)按照国家在云计算、大数据、互联网+等方面的战略部署,
13、适应国家财税体制改革及税制改革要求,适应税收管理现代化要求,在系统优化及全面推广工作中,进行相关的创新性研究及部署。(12)根据项目建设需要,对项目管理人员,系统管理人员、信息技术人员和税收业务人员进行相关培训。第二章 信息安全评测项目概述2.1 项目总体定位金税三期省级优化版推广信息安全评测项目是依据国家信息安全等级保护和风险评估相关要求,根据税务系统的实际需要,基于现代信息系统安全保障理论,采用信息安全保护技术,以规则和体系化的信息安全防护策略为标准进行整体测评,切实推动税务信息系统等级保护和安全风险评估工作的进一步落实。金税三期省级优化版推广信息安全评测服务项目评测对象包括:在税务评测标
14、准修订的基础上,开展等级测评和风险评估工作。其中等级测评对象为金税三期工程建设的已确定纳入2级及以上的信息系统和3级保留系统,至少涵盖1个网上办税系统,每个被实施单位涵盖的被测系统不得少于7个。风险评估对象为金税三期工程第二阶段涉及各类相关资产,测评区域应覆盖业务专网区、互联网区等区域。2.2 项目总体目标金税三期省级优化版推广信息安全评测服务项目的总体目标是:依据国家相关标准对金税三期省级优化版已上线系统开展等级保护和风险评估,通过安全评估推动税务信息系统安全工作的进一步落实,保障和促进税务系统信息化建设健康发展。同时,也指导被评估单位的信息安全保障建设,促进被评估单位安全管理水平的提高,增
15、强被评估单位的信息安全风险管理意识。2.3 项目整体原则金税三期工程第二阶段各项目总体上应遵循“统筹规划、统一标准,突出重点、分布实施,整合资源、讲究实效,加强管理、保证安全”的建设原则。一、统筹规划、统一标准。在网络安全和信息化领导小组统一领导下,综合考虑各方面实际情况,按照一体化指导思想,制定科学合理、切实可行的技术和实施方案,在工程实施过程中严格遵循相关标准,确保工程项目实施的规范化。二、突出重点、分步实施综合考虑人力、物力、资金等多方面因素,根据整体项目的实施方案,把总体目标具体分解为若干阶段性任务,合理安排运筹,并集中力量解决不同阶段的重要问题。三、整合资源、提高实效结合金税三期第一
16、阶段项目经验或项目成果,对第二阶段的实施内容、实施范围、实施进度等方面进行合理规划,在保证项目质量的前提下,提高项目的工作效率。四、加强管理、保证安全加强对人员、技术等方面的组织管理,投标人必须与采购人签署具有法律意义的保密协议,确保在项目实施过程中涉及的所有信息,不得泄露或擅自利用。2.4 项目投标要求投标人应在合同约定的时间内提供本项目中规定的全部内容,承诺与本项目的相关单位,包括国家税务总局、税务系统(含地税系统)内各项目单位,进行积极主动的合作。投标人在实施过程中必须服从国家税务总局的统一协调,国家税务总局有权裁决项目执行各方的责任范围,投标人必须无条件执行,并在规定的时间内解决问题。
17、如果任意一方不配合国家税务总局工作,严重影响工程进度、造成严重后果,国家税务总局有权退货、索赔或拒付款项。在本项目合同规定的服务期内,对本项目所有软件及授权License,国家税务总局拥有在全国税务系统(含地税系统)内任意安装、使用、调整、分发等全部权利,无需取得投标人的额外授权。2.4.1 对投标人的基本要求本项目由符合国家有关法律法规规定、同时满足本项目资格要求、在中国境内注册的合格投标人均可参与投标。一、投标人资格条件:本项目拟由符合关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)第六条规定的信息安全测评机构为投标人参与投标,要求投标人应具有履行本
18、项目合同所需的技术实力及相关资质,必须满足以下条件:(一)投标人必须具备政府采购法第二十二条的规定。(二)本项目不接受联合体作为投标人、不得转包或分包。(三)为本采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的投标人,不得再参加该采购项目的其他采购活动。(四)符合和满足本项目其他要求和资质条件。二、投标人相关要求(一)本项目不接受联合体投标。(二)投标人应了解和熟悉政府采购制度的有关规定,能提供使采购人满意的优质服务,并能够严格执行招标文件的有关规定和履行投标承诺。(三)投标人应承诺完全满足和响应招标文件中的各项商务和技术要求,若有偏差,应在投标文件中明确说明。(四)投标人应详细
19、审阅全部招标文件(包括招标文件澄清函),理解招标文件的所有条款。(五)投标人应保证按招标文件要求,提供令采购人满意的服务和交付物。(六)投标人应承诺接受招标文件中全部合同条款,且无任何异议。保证忠实地执行双方所签订的合同,并承担合同规定的责任和义务。2.4.2 对投标书的基本要求一、投标人必须针对技术部分中的需求逐个或分块作出实质性响应,其响应与招标文件内容采用同样的顺序。对每个需求的响应必须遵循如下规则:(一)重复该需求。(二)用“是/否”响应来表明该需求是否被满足(描述需求)。(三)简要描述投标书或投标人的方案如何满足该需求,如果该响应在投标书其它部分有详述,可在该处简单应答,但必须给出确
20、切的位置索引。(四)解释投标书或投标人的方案与用户需求之间的偏差。用数量来表示的需求,必须用确切的数字、单位来响应。二、对标书技术部分需求的应答应至少包含以下具体细节:(一)对项目的描述 投标人必须在充分理解招标文件中描述的用户需求和技术方案的基础上,根据招标文件有关章节提供的材料以及所了解的税务信息系统建设的情况,提供对本项目的理解和详细描述,针对本项目的相关单位(包括国家税务总局和各省级单位)用户要求,承诺通过客户化定制服务,满足采购人列出的所有需求。此项内容作为考察投标人是否具备完成本项目能力的重要依据。(二)对技术需求的完全响应,具体包括: 1对技术方案的响应 在投标文件中详细阐述评测
21、服务技术方案、实施方案、验收计划方案等各项内容。 2对服务技术规格需求的响应投标人应提供实质性确切响应,并有详细的文字描述和说明,任何仅采用“符合”、“满足”或非确定性数值(如“=”或“=”)的响应均将被视为没有对招标文件的实质性响应,从而可能导致严重后果直至废标。有关表格部分的响应应按标书商务部分规定的格式列出。 3对工程实施、验收要求的详细响应 投标人必须按照采购人的项目实施进度要求,提供整个工程的项目计划书,提交整体及分省项目的实施方案,实施完成后应分省提交项目报告。包括项目的组织和管理、投入的技术人员及其简介、详细的工作日程表、具体工作内容及各项具体方案和应急计划等内容。4对文档及质量
22、保障的详细响应 投标人必须认真理解所有质量保障需求,详细描述响应方案,逐条应答,有保留的承诺将不被接受。保障时间为本项目签订合同之日起至金税三期工程第二阶段验收完成之日结束。(三)投标人认为对整个系统建设特别重要的建议(此项单列为可选性需求)。(四)附件,提供投标书中涉及的所有投标设备和有关软件的产品说明(要求彩页)或相关证明,并最好以中文描述。三、费用要求投标人应根据技术需求合理估算工作量,并注意报价的合理性,人力资源成本原则上不得低于2014年北京市企业(信息传输、计算机服务和软件业)平均人工成本。2.5 实施范围信息安全评测服务项目实施范围为金税三期工程优化版第二阶段推广单位,包括北京、
23、天津、河北、辽宁、吉林、黑龙江、上海、江苏、浙江、安徽、福建、江西、湖北、湖南、广西、海南、四川、贵州、云南、西藏、陕西、甘肃、宁夏、新疆、大连、宁波、厦门、青岛、深圳、青海等30个省省级单位。注:其中现场实施工作除完成各省级单位工作内容外,还需由采购人抽取下级单位抽样调研实施,每个省级单位抽样方法如下:1.在1个省级单位中抽取其所属的1-2个市级单位。2.从被抽样的1家市级单位里抽取其所属的1-2个县级单位。2.6 项目依据标准关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)关于信息安全等级保护工作的实施意见(公通字200466号)信息安全等级保护备案
24、实施细则(公信安20071360号)GB/T 20984-2007 信息安全风险评估规范GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008 信息系统安全等级保护定级指南GB/T 28448-2012信息安全技术 信息系统安全等级保护测评要求GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南GB17859-1999 计算机信息系统安全保护等级划分准则信息系统安全等级保护测评报告模板(2015年版)(公信安20142866号)税务系统信息安全等级
25、保护基本要求税务系统信息安全等级保护测评准则第三章 信息安全评测服务项目需求3.1 项目总体需求 本项目采购的金税三期工程第二阶段信息安全评测服务包括等级保护测评和风险评估。等级保护测评:本项服务旨在依据国家等级保护的相关要求,检验税务信息系统安全保障体系的等级保护建设程度。其内容是对税务系统内等级保护相关制度标准进行梳理、修订。对金税三期工程优化版第二阶段推广单位开展等级测评工作并出具等级测评报告,指导协助各单位进行整改加固。监督并协助各推广单位完成信息系统备案等相关工作。风险评估:本项服务旨在按照关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071 号)和G
26、B/T 20984-2007信息安全风险评估规范等文件和标准要求,对税务信息系统开展安全风险评估工作并出具风险评估报告,针对风险评估过程中发现的各类脆弱性问题,及时与用户方沟通,指导协助各单位进行整改加固。3.2 项目具体需求3.2.1 等级保护要求一、依据关于信息安全等级保护工作的实施意见(公通字200466号),并参照国家等级保护最新标准等并结合税务系统实际对税务信息系统安全等级保护定级工作指南、税务系统信息安全等级保护实施指南(试行)、税务系统信息安全等级保护测评准则(试行)、税务系统信息安全等级保护基本要求(试行)和网上办税系统信息安全测评准则(试行)等进行修定和编制工作。二、参照GB
27、/T 222392008 信息安全技术 信息系统安全等级保护基本要求及修订后的税务系统信息安全等级保护基本要求等相关标准,结合信息系统安全等级测评报告模板(2015 年版)(公信安20142866号)中的评分标准,形成税务行业的量化评价指标。三、测评需按照修订后的税务系统信息安全等级保护测评准则等要求实施。四、跟踪各单位整改进度,协助完成整改工作。五、并协助各省局开展信息系统备案工作。3.2.2 风险评估要求一、依照关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)和GB/T 20984-2007信息安全风险评估规范开展风险评估,风险评估对象是对各省级单位
28、及其下级抽样单位涉及的各类资产,进行全面的评估和分析,列出资产面临的威胁、技术脆弱性、管理脆弱性等风险,并进行全面的检查与评估,计算出系统所面临的风险值,形成风险评估报告。二、跟踪各单位整改进度,协助完成整改工作。直至被评估单位不可接受风险的资产处于可接受的风险范围内。3.2.3 投标人响应要求投标人应详细研究本章所列的各项主要工作内容和要求,合理利用科学的方式方法,对本项工作进行落实。(一)投标人应就如何完成项目实施工作进行阐述,如工作内容、组织协调、过程管理、测试验证、支撑工具、提交物等进行描述。(二)投标人应对项目实施需求进行深入理解,提出主要实施关系、关键任务以及实现方法,对实施内容理
29、解全面准确。(三)投标人应提交风险及应对方案,充分分析项目实施工作中存在的风险,并阐述相应的应对措施。(四)投标人应对如何保证和验证项目实施工作质量进行描述。(五)投标人应提交完整的项目实施方案和总体工作计划,组织保障、人力资源配备合理。(六)项目实施费用分项报价,计入总价。第四章 信息安全评测服务项目实施4.1 等级保护实施4.1.1 项目目标以开展安全等级测评为契机,促进等级保护各项工作的贯彻落实,促使税务信息系统安全管理水平明显提高、安全防范能力明显增强、安全隐患和安全事故明显减少,为税务信息化建设的健康发展提供更加可靠的安全保障。以开展安全等级测评为契机,进一步完善安全措施、强化安全管
30、理,全面满足关于信息安全等级保护工作的实施意见(公通字200466号)等相关文件规定的各项要求,顺利通过相关职能部门的监督性审核,并协助完成等保备案。4.1.2 实施内容修订编制完成税务系统等级保护相关标准制度,包括但不限于:税务信息系统安全等级保护定级工作指南、税务系统信息安全等级保护实施指南(试行)、税务系统信息安全等级保护测评准则(试行)、税务系统信息安全等级保护基本要求(试行)和网上办税系统信息安全测评准则(试行),并协助对修订编制后文档进行标准化发布。现场测评内容主要包含以下几个方面:物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设
31、管理、系统运维管理等内容。形成报告,协助整改。4.1.3 职责要求一、中标人须在项目实施的各阶段开始之前,主动向采购人说明本阶段的工作内容、流程和方法。二、中标人须主动完成各阶段资料的收集和整理,并确保资料完整性、准确性和有效性。三、中标人须根据项目实施的实际情况,如实告知采购人因项目实施可能对系统运行带来的不利影响,并提出风险规避的建议。四、中标人须在不危害测评对象的前提下,根据项目实施需要提供具有合法使用权的软、硬件工具或信息资源。五、中标人须加强与采购人的沟通、协调,主动向采购人通报项目进展情况,及时向采购人汇报项目实施的阶段成果。六、针对项目实施过程中发现的问题,中标人必须及时向采购人
32、进行通报,中标人有义务向采购人提出整改建议,并协助采购人解决问题。七、中标人须建立严格的工作台帐制度,确保实施过程记录的完整性和可追溯性。八、中标人必须严格规范内部人员、设备和信息的管理,切实履行保密义务。九、中标人应遵守关于信息安全等级保护工作的实施意见(公通字200466号)等文件要求。十、本项目所列各项国家标准和国际标准若在项目执行期间发布新版本,中标人应根据国家相关规定及采购人要求执行。4.1.4 项目任务一、依据国家信息安全等级保护相关标准为采购人开展安全建设及整改工作提供咨询指导。二、中标人依据有关国家标准,对税务系统相关标准进行修订、编制。三、中标人依据相关的国家并结合税务系统标
33、准,对所有安全等级测评对象等保建设情况进行等级测评。四、若测评未通过,中标人需对未通过测评的相关内容提出详细说明,对采购人组织的整改方案和措施提出咨询指导意见,直至测评通过。 五、协助各省局完成等级保护备案工作。4.1.5主要任务要求本阶段需求主要依据GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南,文中所涉及的表单、文档及工作细节请参照相关内容。4.1.5.1 标准编制阶段一、安全现状调研(一)任务描述中标人通过访谈、查阅文档等方式,在采购人配合下,完成对税务系统安全现状及其策略的调研,为开展文档编制做准备。(二)基本要求1中标人调研范围至少应涵盖省局、地市局和
34、区县三级单位;调研内容从安全管理和安全技术两方面入手。2调研结果要具有说服力、公信力,具备代表性,需要数据支撑。3文档调研要说明与现阶段信息安全形势和最新信息安全标准不适应的方面。(三)主要产出物税务系统网络安全现状分析报告。二、起草编制标准文档(一)任务描述组建标准编制小组,结合调研情况,根据国家最新等级保护及相关标准编制、修订和完善税务系统相关标准制度。(二)基本要求1中标人组建不少于10人的编制小组,组成人员具有5年以上等级保护实施经验,熟悉国家等级保护、风险评估及相关制度标准;小组成员确定后,未经采购人允许不得变更,不得参与评测工作或其他项目。2中标人需提供一名编制小组组长,组长要求具
35、有10年以上大型项目实施经验,需取得信息安全等级测评师(高级)资质。对文档输出严格管控。3中标人需提供集中办公场地,满足10人以上工作场所,适于文档编写,集中讨论,讲解演示等内容。(三)主要产出物包括但不限于税务信息系统安全等级保护定级工作指南、税务系统信息安全等级保护实施指南、税务系统信息安全等级保护测评准则、税务系统信息安全等级保护基本要求和网上办税系统信息安全测评准则。三、征求意见(一)任务描述中标人协助采购人完成对新编制、修订的制度标准在税务系统内外进行征求意见的工作。(二)基本要求1中标人确定征求意见的方式、反馈形式等,制定征求意见实施方案;协助采购人完成系统外意见征求工作。2征求意
36、见的周期应不超过15个工作日;对收集意见应明确是否采纳。(三)主要产出物征求意见实施方案,征求意见采纳意见书。四、文档审核(一)任务描述中标人协助采购人完成对新编制、修订的制度标准文档评审工作。(二)基本要求1中标人需组织召开文档评审会,对输出文档进行审核。2中标人应提供会议场地、税务系统外专家等。(三)主要产出物评审会会议纪要,评审专家意见书。五、文档发布(一)任务描述中标人协助采购人完成对审核后的制度标准文档进行发布。(二)基本要求1中标人根据采购人反馈情况,在文档发布后6个月内进行文档更新。2中标人负责对发布文档在各省进行培训、宣贯和解释说明的工作。(三)主要产出物文档更新记录,文档培训
37、记录。4.1.5.2 实施准备阶段一、收集整理资料(一) 任务描述中标人通过调查、座谈等方式,在采购人配合下,完成被测系统相关资料的收集和整理,为开展现场测评做准备。(二) 基本要求1中标人须根据项目实施的具体要求,积极收集相关资料;需被测评单位配合的工作,应相对集中地进行;对被测评单位难以提供的资料,由中标人在采购人配合下完成搜集或进行补充。2中标人须在充分了解、准确掌握被测系统相关资料的基础上,认真撰写被测系统基本情况分析报告。(三)主要产出物被测系统基本情况分析报告。二、制定现场测评方案(一) 任务描述中标人根据测评对象的具体情况,制定现场测评实施方案。(二)基本要求1中标人须对现场测评
38、的各项工作进行统筹规划、合理部署,并完成现场测评方案的编写。2现场测评方案包括但不限于以下内容:项目概述、测评对象、测评指标、测评工具的接入点、单项测评实施、系统测评实施等。(三)主要产出物现场测评方案。三、完成其它准备工作(一)任务描述中标人准备拟用于现场测评的各类技术工具,编制、打印各类工作表单。(二)基本要求1中标人须确保项目组成员能熟练、准确地使用测试工具,并确保测试工具安全可靠、技术性能良好。2中标人应按照测评方案的要求,预先准备好现场测评过程中所必需的各类表单和管理文件。主要包括:现场测评记录、工作联系单、文档交接单等。(三)主要产出物测评工具清单、各类表单和文档、实施人员清单。4
39、.1.5.3 现场测评阶段一、现场测评准备(一)任务描述启动现场测评工作并完成相关准备。(二)基本要求1中标人以组织座谈会的方式,与被测单位进行情况沟通、工作协调。2取得被测单位现场测评授权。(三)主要产出物会议记录、现场测评授权书。二、现场测评(一)任务描述 项目组实地完成被测评对象相关数据的采集。(二)基本要求1项目组通过采取访谈、文档审查、配置检查、工具测试、实地察看等方式,获取被测对象的测评数据并详细记录。2项目组实施现场测评时,须听从被测单位安排,一般以不影响被测单位正常业务开展为前提。(三)主要产出物技术安全测评结果记录。管理安全测评结果记录。网络、主机、应用测评结果记录。工具测试
40、完成后的电子输出记录。物理安全测评结果记录。其它现场证据性记录。三、测评结果的汇总与分析(一)任务描述项目组通过对现场测评记录的分析判断,得出被测评对象是否符合等保标准的结论。(二)基本要求1项目组须对现场测评记录进行整理、汇总,逐一完成单项测评,并认真填写单项判定结果汇总统计表。2项目组须对数据成果进行系统分析,完成系统测评,并认真填写系统整体测评结果。3项目组须对被测系统安全保护现状作出判断,得出明确的测评结论,并填写系统综合测评结论。(三)主要产出物单项判定结果汇总统计表。系统整体测评结果。系统综合测评结论。四、测评结果反馈与问题处理(一)任务描述中标人向采购人反馈当前测评结果,并根据需
41、要协助采购人完成整改。(二)基本要求1中标人须及时向被测评单位通报当前测评结果。2对未通过测评的信息系统,中标人有义务向采购人提出建议,出具书面整改意见,并协助采购人完成整改。在整改措施落实后,中标人还应就相关指标重新进行测评,以确保工作实效。3在被测对象全部通过测评后,中标人须根据当前情况对相关测评结果进行修订。(三)主要产出物全面符合等保要求的测评结果,主要包括:系统单项测评结果、系统整体测评结果、单项判定结果汇总统计表、整改意见书等。五、结束现场测评(一)任务描述结束现场测评并做好善后工作。(二)基本要求1中标人召开现场测评结束座谈会,与被测评单位交换意见、协调善后工作。2中标人须就现场
42、测评成果,提请被测单位审查并书面确认。(三)主要产出物 会议记录。测评结果确认单。4.1.5.4 报告编写和备案准备阶段一、任务描述中标人根据各省的初测情况提供初步测评报告,待各省完成整改后,中标人根据现场复测获得的测评结果编制测评报告,同时准备所有与被测对象有关的等保备案资料。二、基本要求(一)测评报告的编写须参照信息安全等级保护测评报告模板2015年版(公信安20142866号)相关标准。(二)等保备案资料(包括种类、数量、内容、规格等)须符合信息安全等级保护备案实施细则(公信安20071360号)相关要求。三、主要产出物测评报告及其备案资料。4.2 风险评估实施4.2.1 项目目标以开展
43、风险评估为契机,全面提升金税三期工程涉及的资产的安全性,更好地保障金税三期工程各系统的正常运行,切实提高金税三期工程涉及的资产的安全防护水平。 通过风险评估项目的实施,进一步完善安全措施、强化安全管理,全面满足国家电子政务项目验收要求,顺利通过相关职能部门的监督性审核。4.2.2 实施内容通过对金税三期工程评估范围内的各类资产进行全面的评估和分析,列出资产面临的威胁、技术脆弱性、管理脆弱性等风险,并进行全面的检查与评估,计算出系统所面临的风险值,形成风险评估报告,在风险评估过程中发现的问题,及时与用户方沟通,协助整改。风险评估对象风险评估测评区域应覆盖业务专网区、互联网区等区域。4.2.3 职
44、责要求一、中标人须在项目实施的各阶段开始之前,主动向采购人说明本阶段的工作内容、流程和方法。二、中标人须主动完成各阶段资料的收集和整理,并确保资料完整性、准确性和有效性。三、中标人须根据项目实施的实际情况,如实告知采购人因项目实施可能对系统运行带来的不利影响,并提出风险规避的建议。四、中标人须在不危害测评对象的前提下,根据项目实施需要提供具有合法使用权的软、硬件工具或信息资源。五、中标人须加强与采购人的沟通、协调,主动向采购人通报项目进展情况,及时向采购人汇报项目实施的阶段成果。六、针对项目实施过程中发现的问题,中标人必须及时向采购人进行通报,中标人有义务向采购人提出整改建议,并协助采购人解决
45、问题。七、中标人须建立严格的工作台帐制度,确保实施过程记录的完整性和可追溯性。八、中标人必须严格规范内部人员、设备和信息的管理,切实履行保密义务。九、中标人应遵守关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)文件要求。十、本项目所列各项国家标准和国际标准若在项目执行期间发布新版本,中标人应根据国家相关规定及采购人要求执行。4.2.4 项目任务一、在信息系统安全建设过程中提供安全方案的评审工作,并依据国家风险评估相关标准为采购人开展安全建设整改工作提供咨询指导。二、中标人依据相关的国家标准,对所有被评估对象进行检查、分析,满足国家电子政务项目验收要求。三
46、、若评估未通过,中标人需对存在高危风险等的相关内容提出详细说明,对采购人组织的整改方案和措施提出咨询指导意见,直至残余风险处于可接受的范围内。4.2.5 主要任务要求本阶段需求主要依据国家关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号),文中及其附件所涉及的表单、文档及工作细节请参照相关内容。4.2.5.1 项目准备阶段风险评估准备是整个风险评估过程有效性的保证。风险评估的结果受到被评估单位的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。中标人须在风险评估实施前做好风险评估准备工作,风险评估准备工作主要包括以下几个方面: 系统调研(一)任务描述对被评估单位进行系统调研,并形成系统调研报告。(二)基本要求中标人调研范围至少应涵盖省局、地市局和区县三级单位。中标人应对被评估单位进行充分的系统调研,为风险评估依据和方
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100