等级测评和风险评估.doc

2016年度税务系统信息安全技术服务项目 （第1包） 国家税务总局 2016年12月 目 录 第一章 项目基本情况 1 1.1 项目背景 1 1.2 项目目标 1 1.3 项目范围 2 1.4 项目内容 2 第二章 招标要求 3 2.1 项目整体要求 3 2.2 对投标人的基本要求 3 2.3 对投标书的基本要求 4 2.4 实施标准要求 5 第三章 项目实施技术需求 7 3.1 等级保护实施 7 3.1.1 项目目标 7 3.1.2 实施内容 7 3.1.3 项目任务 7 3.1.4 主要任务要求 8 3.2 风险评估实施 12 3.2.1 项目目标 12 3.2.2 实施内容 12 3.2.3 项目任务 12 3.2.4 主要任务要求 12 3.3 安全检查实施 19 3.3.1 项目目标 19 3.3.2 实施内容 19 3.3.3 项目任务 19 3.3.4 主要任务要求 20 3.4 安全加固实施 23 3.4.1 项目目标 23 3.4.2 实施内容 23 3.4.3 项目任务 23 3.4.4 主要任务要求 24 3.5 启动会和总结会要求 27 3.6 实施总体要求 27 3.6.1 实施原则 27 3.6.2 实施要求 28 3.6.3 职责要求 28 3.7 项目管理 29 3.7.1 项目沟通管理 29 3.7.2 项目进度管理 30 3.7.3 项目变更管理 30 3.7.4 风险和问题管理要求 30 3.7.5 质量管理要求 31 3.7.6 主要交付成果物及其质量评判要求 31 3.8 组织和人员要求 31 3.8.1 项目组织机构 31 3.8.2 项目人员管理 32 3.8.3 项目组规模 32 3.8.4 其他要求 33 第四章 其他服务与质量保障要求 34 4.1 技术质量保障的要求 34 4.1.1对投标人技术保障的要求 34 4.2 服务质量要求 34 4.2.1服务方式 34 4.2.2响应要求 34 4.3 保密要求 34 4.4 知识转移要求 错误！未定义书签。 4.5 知识产权要求 35 4.6 归档要求 35 4.7 服务保障要求 36 4.8 项目实施方案要求 36 第五章 项目验收 37 5.1 验收条件 37 5.1.1安全等级测评部分 37 5.1.2风险评估部分 37 5.1.3安全检查部分 37 5.1.4安全加固部分 37 5.2 组织实施及人员安排 错误！未定义书签。 5.3 验收内容 37 5.4 主要交付物 38 第一章 推进网新技术有机结合网络对进一步提升服务器的单点防护能力达到税务信息系统安全等级保护的基本要求。 项目范围 项目实施范围：国家税务总局、35个省级单位（含1个地市级税务局或区县级税务局设置的办税大厅）。 项目内容 本项目建设内容至少包括： （1）2017年，完成对税务总局机关等级保护级别为三级和重要等级保护级别为二级系统的等级测评工作，测评系统范围由采购人确定，测评系统数量不得少于10个；完成对税务总局机关风险评估工作，评估资产至少涵盖等级测评中涉及的各类信息化资产；实施完成后，出具安全等级测评、风险评估各类实施报告及相关过程文档。 （2）2017至2018年，完成由采购人确定的35个省级单位等级保护级别为三级和重要等级保护级别为二级系统的等级测评工作，测评系统至少涵盖门户网站、综合征管、网上办税、公文处理等，各省级单位测评系统不得少于5个，协助各省级单位完成等保备案工作；完成对35个省级单位风险评估工作，评估资产至少涵盖等级测评中涉及的各类信息化资产；出具安全等级测评、风险评估各类实施报告及相关过程文档。 （3）提供相关技术支持和人力资源保障，配合税务总局完成2017、2018年度网络安全检查中的省级单位安全抽查工作；实施完成后出具相关实施报告及相关过程文档。 （4）针对安全等级测评、风险评估和网络安全检查中发现的问题，指导协助税务总局和各省级单位完成整改工作，针对服务器、中间件、数据库等网络安全隐患，提出切实可行的技术解决方案，编制安全加固脚本并提供技术支持。 （5）进一步优化税务系统等级保护、风险评估、安全检查等相关标准规范，并进行培训、推广及实践。 （6）按照采购人要求，在合同期内，承办一次启动会和一次总结会。 具体详见招标内容和要求。 第二章要求 应在合同约定的时间内提供本项目中规定的，承诺与本项目的相关单位，包括国家税务总局、税务系统内各项目单位进行积极主动的合作。 服从的统一协调有权裁决项目执行各方的责任范围，投标人无条件执行，并在规定的时间内解决问题。如果任意一方不配合工作，严重影响工程进度、造成严重后果，有权索赔或拒付款项。 在本项目合同规定的服务期内，对本项目所有软件及