DOC《金税三期工程第二阶段信息安全技术项目》

金税三期工程第二阶段信息安全技术项目 第4包(安全等级测评和风险评估) 招标文件(技术部分) 招标编号:0703-1641CIC1H045 采购人:国家税务总局招标代理机构:中仪国际招标有限公司 二一六年六月 目录

第一章 金税三期工程项目背景

1 1.

1 国家税务总局及其下属税务机构简介

1 1.2 金税三期工程建设目标

1 1.3 金税三期工程第一阶段主要建设成果

2 1.4 金税三期工程第二阶段主要建设任务

3

第二章 信息安全评测项目概述

5 2.1 项目总体定位

5 2.2 项目总体目标

5 2.3 项目整体原则

5 2.4 项目投标要求

6 2.4.1 对投标人的基本要求

6 2.4.2 对投标书的基本要求

7 2.5 实施范围

9 2.6 项目依据标准

9

第三章 信息安全评测服务项目需求

11 3.1 项目总体需求

11 3.2 项目具体需求

11 3.2.1 等级保护要求

11 3.2.2 风险评估要求

12 3.2.3 投标人响应要求

12

第四章 信息安全评测服务项目实施

13 4.1 等级保护实施

13 4.1.1 项目目标

13 4.1.2 实施内容

13 4.1.3 职责要求

13 4.1.4 项目任务

14 4.1.5主要任务要求

14 4.2 风险评估实施

21 4.2.1 项目目标

21 4.2.2 实施内容

21 4.2.3 职责要求

21 4.2.4 项目任务

22 4.2.5 主要任务要求

22 4.3 实施总体要求

29 4.3.1 实施原则

29 4.3.2 实施要求

29 4.4 项目管理

30 4.4.1 项目沟通管理

30 4.4.2 项目进度管理

31 4.4.3 项目变更管理

31 4.4.4 风险和问题管理要求

31 4.4.5 质量管理要求

32 4.4.6 主要交付成果物及其质量评判要求

32 4.5 组织和人员要求

32 4.5.1 项目组织机构

32 4.5.2 项目人员管理

33 4.5.3 项目组规模

34 4.5.4 其他要求

34

第五章 其他服务与质量保障要求

35 5.1 技术质量保障的要求

35 5.1.1对投标人技术保障的要求

35 5.2 服务质量要求

35 5.2.1服务方式

35 5.2.2响应要求

35 5.3 保密要求

35 5.4 知识转移要求

36 5.5 知识产权要求

36 5.6 归档要求

37 5.7 服务保障要求

37 5.8 对监理工作的配合要求

37 5.9 项目实施方案要求

38

第六章 项目验收

40 6.1 验收条件

40 6.1.1标准编制部分

40 6.1.2安全等级测评部分

40 6.1.3风险评估部分

40 6.2 组织实施及人员安排

40 6.3 验收内容

40 6.4 主要交付物

41

第一章 金税三期工程项目背景 国家税务总局及其下属税务机构简介 国家税务总局是国务院主管税收工作的直属机构.自1994年分税制改革后,我国实行国家、地方分级核算的财政体制,国家税务总局对全国国税系统实行垂直管理,并协同省级人民政府对省级地方税务局实行双重领导. 国家税务局系统和地方税务局系统(西藏自治区仅设立国家税务局)从省级以下按照行政区划分别设立税务管理机构,各自负责中央税收收入和地方财政收入的组织工作.国家税务局系统由国家税务总局在业务、经费、人事等方面实行中央垂直管理.地方税务局系统省以下实行垂直管理,省级地方税务局由国家税务总局协同省级人民政府实行双重领导. 金税三期工程建设目标 税务信息化建设的总体目标,就是要建立和完善中国税收管理信息系统,简称为 金税工程 ,英文缩写为 CTAIS .金税三期工程是 金税工程 的建设阶段,它将建立在十多年税务信息化建设的基础之上,按照轻重缓急的原则,通过业务重组、技术重构、功能整合,分期分批逐步实施,最终完成中国税收管理信息系统的建设. 金税三期工程将按照 国际先进,中国特色 的要求,通过完成 一个平台、两级处理、三个覆盖、四类系统 的建设,建成一个网络覆盖率达100%、年事务处理量近100亿笔、税务机关内部用户超过60万人、纳税人及外部用户超过亿人(户)的全国税收管理信息系统.该系统将统一全国国地税征管应用系统版本,规范全国税收执法.实施全国征管数据大集中,实现监控全国征管数据.规范纳税服务平台,优化纳税服务.建设决策支持平台,及时、完整、准确地为决策、管理提供信息,进一步提高税法遵从度和税收征收率. 国际先进,是指借鉴国际税收管理的先进理念和经验,主要有:将促进税法遵从作为税务机关的主要任务和战略目标,优化服务,规范执法.树立税收风险管理理念,为实施风险管理提供信息化支撑.运用国际先进、成熟的信息技术建设现代化的税收管理、服务信息系统,以提高服务和执法的质效等.中国特色,是指影响我国税务机关学习借鉴国际先进理念、经验的环境和因素,主要有:行政层级的多级性和中央与地方财权的复杂性.国地税系统业务和管理的差异,东、中、西部地区以及城市、农村经济发展的不平衡等,上述这些特色要求在学习借鉴国际先进理念和经验时,针对中国特色,找准结合点. 一个平台 是指建立一个包含网络硬件和基础软件的统一的技术基础平台. 两级处理 是指依托统一的技术基础平台,逐步实现税务系统的数据信息在总局和省局集中处理. 三个覆盖 是指应用内容逐步覆盖所有税种,覆盖税收工作的主要工作环节,覆盖各级国地税机关,并与有关部门联网. 四类系统 包括税收征管、纳税服务、决策支持和行政管理等系统. 金税三期工程第一阶段主要建设成果 金税三期工程第一阶段运用国内外先进、成熟的税收管理理念和信息技术,借鉴政府和金融、电信等行业信息化建设规划和实践经验,通过业务重组、技术重构、功能整合,初步建成 国际先进、中国特色 的税收管理信息系统并在6个试点省成功运行,为征纳双方提供一体化、人性化、智能化、持续改进的信息化管理平台. 一是完成制度和标准规范建设,形成税务标准规范体系和税收信息化管理制度;

二是完成税收业务需求的分析与整理;

三是完成税收信息化的总体规划设计,推动业务变革、技术创新,建立了包含业务、应用、数据、技术、安全、运维等内容的总体架构体系;

四是开发完成征收管理、行政管理、决策支持、外部信息四大类应用系统并在6个试点省成功上线运行;

五是完成金税三期新建系统同总局和试点省现有保留应用系统整合,实现新老系统的有效对接;

六是建成总局数据中心(南海);

七是充分运用信息技术的最新发展成果完成试点单位信息基础设施的建设改造及运行维护体系建设;

八是完成税务系统信息安全体系的总体构建及安全策略的制定,完成对试点单位安全管理系统、安全基础设施、应用安全支撑平台建设,以及对网络系统、应用系统和安全基础设施的安全等级测评和风险评估;

九是完成全国税务系统五级网络建设,建成覆盖全国税务系统的综合性通信平台,网络覆盖总局数据中心、南海数据中心、71个省级局、800多个地市级税务局、近6000个县(区)级税务局、近30000个税务分局(所). 金税三期工程第二阶段主要建设任务 金税三期工程第二阶段将在充分吸收第一阶段试点建设经验和系统开发成果的基础上,通过分期分批逐步实施,完成应用系统在全国其余30个省级单位(含5个计划单列市)的快速推广部署,完成金税三期工程在税务系统的全覆盖. 按照国家税务总局工作安排,计划将在2015年内完成14个省(区)单轨上线工作,包括河北省、宁夏回族自治区、贵州省、云南省、广西壮族自治区、湖南省、青海省、海南省、西藏自治区、甘肃省、安徽省、新疆维吾尔自治区、四川省、吉林省等.计划将在2016年内完成16个省(市)单轨上线工作,包括辽宁省、江西省、福建省、厦门市、青岛市、北京市、黑龙江省、天津市、陕西省、湖北省、大连市、上海市、江苏省、浙江省、宁波市、深圳市等. 金税三期工程第二阶段主要建设内容为: (1)完成征收管理、行政管理、决策支持和外部信息等四大类应用系统在全国30个省(含5个计划单列市)的全面推广,同时完成地方特色软件改造及同总局保留系统的接口改造. (2)开展应用系统的优化及补充开发,具体包括国家财税体制改革、税务服务与管理创新导致的需求变化、技术创新或架构优化导致的架构变化、系统运行和推广实施过程发现的程序问题、性能调优导致的程序开发以及软件衔接新增接口等几个方面. (3)实施总局数据集中及数据资源的建设与开发. (4)完成2个国家级、30个省(自治区、直辖市、计划单列市)税务处理中心的扩容,包括计算存储资源、系统软件及备份系统建设等,提高各推广单位数据处理能力. (5)完成各推广省税务处理中心局域网的补充建设. (6)完成各推广省同总局数据中心(南海)间的数据容灾系统建设. (7)完成各推广省相关安全体系建设. (8)完成各推广省终端系统补充建设. (9)完成各推广省相关运行维护体系建设. (10)进一步完善金税三期工程相关标准规范,并进行全面培训、推广及应用. (11)按照国家在云计算、大数据、互联网+等方面的战略部署,适应国家财税体制改革及税制改革要求,适应税收管理现代化要求,在系统优化及全面推广工作中,进行相关的创新性研究及部署. (12)根据项目建设需要,对项目管理人员,系统管理人员、信息技术人员和税收业务人员进行相关培训.

第二章 信息安全评测项目概述 项目总体定位 金税三期省级优化版推广信息安全评测项目是依据国家信息安全等级保护和风险评估相关要求,根据税务系统的实际需要,基于现代信息系统安全保障理论,采用信息安全保护技术,以规则和体系化的信息安全防护策略为标准进行整体测评,切实推动税务信息系统等级保护和安全风险评估工作的进一步落实. 金税三期省级优化版推广信息安全评测服务项目评测对象包括:在税务评测标准修订的基础上,开展等级测评和风险评估工作.其中等级测评对象为金税三期工程建设的已确定纳入2级及以上的信息系统和3级保留系统,至少涵盖1个网上办税系统,每个被实施单位涵盖的被测系统不得少于7个.风险评估对象为金税三期工程第二阶段涉及各类相关资产,测评区域应覆盖业务专网区、互联网区等区域. 项目总体目标 金税三期省级优化版推广信息安全评测服务项目的总体目标是:依据国家相关标准对金税三期省级优化版已上线系统开展等级保护和风险评估,通过安全评估推动税务信息系统安全工作的进一步落实,保障和促进税务系统信息化建设健康发展.同时,也指导被评估单位的信息安全保障建设,促进被评估单位安全管理水平的提高,增强被评估单位的信息安全风险管理意识. 项目整体原则 金税三期工程第二阶段各项目总体上应遵循 统筹规划、统一标准,突出重点、分布实施,整合资源、讲究实效,加强管理、保证安全 的建设原则.

一、统筹规划、统一标准. 在网络安全和信息化领导小组统一领导下,综合考虑各方面实际情况,按照一体化指导思想,制定科学合理、切实可行的技术和实施方案,在工程实施过程中严格遵循相关标准,确保工程项目实施的规范化.

二、突出重点、分步实施 综合考虑人力、物力、资金等多方面因素,根据整体项目的实施方案,把总体目标具体分解为若干阶段性任务,合理安排运筹,并集中力量解决不同阶段的重要问题.

三、整合资源、提高实效 结合金税三期第一阶段项目经验或项目成果,对第二阶段的实施内容、实施范围、实施进度等方面进行合理规划,在保证项目质量的前提下,提高项目的工作效率.

四、加强管理、保证安全 加强对人员、技术等方面的组织管理,投标人必须与采购人签署具有法律意义的保密协议,确保在项目实施过程中涉及的所有信息,不得泄露或擅自利用. 项目投标要求 投标人应在合同约定的时间内提供本项目中规定的全部内容,承诺与本项目的相关单位,包括国家税务总局、税务系统(含地税系统)内各项目单位,进行积极主动的合作. 投标人在实施过程中必须服从国家税务总局的统一协调,国家税务总局有权裁决项目执行各方的责任范围,投标人必须无条件执行,并在规定的时间内解决问题.如果任意一方不配合国家税务总局工作,严重影响工程进度、造成严重后果,国家税务总局有权退货、索赔或拒付款项. 在本项目合同规定的服务期内,对本项目所有软件及授权License,国家税务总局拥有在全国税务系统(................