当前位置:
2024年电气监控系统网络安全风险评估服务及信息系统安全等级保护测评服务询比采购公告
一、采购条件
点击登录查看2024年电气监控系统网络安全风险评估服务及信息系统安全等级保护测评服务项目已具备招标条件,资金来自企业自筹,采购人为点击登录查看,现诚邀有意愿、具备资格条件的响应人参加报价。
二、项目概况与采购范围
1、项目名称:点击登录查看2024年电气监控系统网络安全风险评估服务及信息系统安全等级保护测评服务询比采购。
2、项目编号: ****
3、送货地点:焦作市****
4、采购范围:
根据国网河南省电力公司相关规定及工程建设进度,现需委托一家具有资质和能力的供应商提供《关键信息基础设施网络安全风险评估》技术服务和信息系统安全等级保护测评,要求完成电力监控系统安全防护评估,包括:出具电力监控系统安全防护设计方案、电力监控系统安全防护评估报告、电力监控系统安全防护整改报告、电力监控系统安全防护方案及电力监控系统配置信息报告、信息系统安全等级保护测评,并负责完成地调审核备案等工作。预算:100000元。
5、其他要求:
5.1装订要求:左侧装订(不符合装订要求的评标响应文件作废标处理)
5.2服务要求:编制符合电力主管部门要求的各项报告,完成地调审核备案。
5.3合同签订:采购人发出成交通知书之日起30天内
5.4合同形式:固定总价合同
三、供应商的资格要求
3.1具有独立承担民事责任能力的技术服务供应商,具有有效的企业法人营业执照,并有资金、服务等整体能力;
3.2具有在河南省内取得发电企业的电力监控系统网络安全风险评估业绩(必须具备)、调度数据专网相关的安防或系统集成等合同业绩,合同业绩不少于2项;
3.3响应人具有质量管理体系认证证书;
3.4响应人具有有效的中国网络安全审查技术与认证中心颁发的信息安全险评估服务资质(CCRC)或 中国信息安全测评中心颁发的信息安全服务资质证书(风险评估类),要求二者必须具备其一;
3.5响应人信誉良好,未被列入失信被执行人。(以采购人或代理机构查询“信用中国”网站(www.creditchina.gov.cn)的查询结果为准);
3.6响应人各类证书、合同文件开标时必须携带原件以备核查。
四、采购文件获取时间和询比办法
1、询比文件领取时间:2024年 9月 14日至2024年 9月 20 日上午9:30 。
2、本次询比通过网络进行全电子化操作,有意参与并符合条件的报价人,需登录中原招采网电子招标平台网址:http://www.zybtp.com/,进行报价供应商注册,经验证合格并办理CA数字认证证书后,方能参与投标活动。
3、报名方式:
3.1 浏览公告时直接报名:供应商可以浏览项目公告后,使用电子钥匙,点击公告下面的“现在就报名”按钮登陆,直接进入该项目进行报名,报名时注意选择要报名的分包,点击“下一步”,选择注册时填好的联系人,或者手动填写联系人,点击“确认报名”后,报名成功。
3.2登录系统报名:供应商使用电子钥匙直接进入平台系统,点击桌面上的“我要报名”后,选择页面上需要报名的项目进行报名。
4、报价方法:请登陆中原招采网进行网上报价,报名通过后查看本项目询比清单进行网上报价。
注意:各供应商应随时关注中原采购交易平台上关于本项目相关修改或补充内容,以免影响询比响应文件的提交。
五、响应文件的递交
1、报名截止时间:2024年 9 月 19 日16:00(北京时间)。
2、询比时间:2024年 9 月 20 日上午9:30(北京时间)。
3、请各报价人2024年 9 月 20 日上午9:30前登陆中原招采网上传报价,逾期作废;因供应商原因导致报价失败的,后果自负。
六、报价要求:
1、本次询比为一次报价,所有分项必须全部报价。报价包含但不限于运费、工费、装卸费、税金等采购范围内相关工作的一切费用,提供合规增值税专用发票(13%)。
2、种类分项报价不全者为无效报价。
3、若分项报价明显偏离市场价,则该报价人的整体报价为无效报价,采购人可取消此报价资格。
4、报价人的分项报价之和须与投标总价相符。开标后若发现由于报价人的原因造成分项报价之和与总价不符,当分项报价之和大于总价时,以分项价修正总价;当分项报价之和小于总价时,则在签订合同时相应核减总价(不在评标阶段核减投标总价)。
5、必须上传盖章签字版的报价清单。
6、为该采购项目达到预期效果,如有技术不清,请务必和商务人员联系落实,必要时进行现场踏勘。
7、报价以元为最小报价单位。
七、询价规则:
1、本次询比为一次性报价,询比采购取报价最低者为成交供应商。报价应认真填写,若报价出现错误,不能更改,按原报价执行。最终以采购人评审结果为主。
2、供应商因参加本项目的所有费用,不论结果如何,均由供应商自行承担。
3、有效报价的供应商不足三家的;因重大变故,采购任务取消的。出现上述情况之一的,采购人有权终止此次采购。
4、评审:最低价中标。此询比采购项目为一次报价,即由采购人在平台对报价人通过审核后的首次报价为最终报价,如有两个或两个以上报价人报价相同且均为最低,则按注册资本金高低进行推荐。
八、合同付款条件
付款方式为乙方完成合同项下所有工作,按照约定履行完毕所有合同义务后提出支付申请并提供全额增值税专用发票后支付。
九、询比地点
点击登录查看会议室。
十、联系方式
商务联系人:点击登录查看
联系方式:****
监督部门:点击登录查看综合部
监督电话:****
采购人:点击登录查看
2024年 9月 14 日
技术要求
一、电力监控系统网络安全风险评估
遵循《中华人民共和国网络安全法》、《电力监控系统安全防护总体方案》及国家等级保护相关要求等规范性文件,在不影响电力监控系统生产业务的基础上实施,评估方法符合国家、行业标准规范,根据确定的评估范围评估实施过程中风险控制,对可能引入的风险进行分析并制定应对措施。
评估原则基本要求:安全分区、网络专用、横向隔离 、纵向认证。评估范围包含待评估所有关键资产,包括:网络范围、主机范围、应用系统范围、制度与管理范围。严格按照电力监控系统安全防护评估流程实施并出具符合调控机构要求的风险评估报告、安全整改建议及安全整改报告。
电力监控系统资产评估:包含资产识别和资产赋值,需要对业务系统进行分析,将每一项电力监控系统按照所属业务系统进行归类,并在业务系统划分的基础上评估系统安全性。
电力监控系统威胁评估:利用电力系统安全威胁列表对当前电力监控系统所面临的主要安全威胁进行判定,包含:威胁统计、威胁赋值与计算。
安全分区合理性评估:对电力监控系统安全区的划分是否合理进行检查及合理性评估,包含各安全区中业务系统网络架构合理性评估。
边界完成性评估:对安全I、II和III区****
节点通信关系分析:通过对业务系统数据流和业务网络结构审核,对电力监控系统节点间通信关系进行分析安全区中哪些业务系统功能模块需要同其他安全区进行通信及安全要求。
边界安全性评估:对安全区边界点的防护强度、访问机制力度和粒度的审核,评估安全区边界的防护是否符合总体方案要求。
主机安全评估:对业务系统范围内的主机记性安全漏洞扫描、设备审计,评估系统漏洞及风险。
网络系统评估:对调度数据网、本地局域网的网络结构、网络设备的安全性、网络管理情况、网络配置评估。
安全管理评估:评估包括管理策略和管理制度、业务系统管理分析,安全管理制度文档分析发现制度中的缺陷。
业务系统安全评估:对业务系统软件提供的安全功能和自身的安全配置审核评估,评估业务系统软件安全缺陷。
现有安全技术措施评估:对现有安全技术措施,安全分区情况、安全隔离装置、防火墙和防病毒系统等部署情况、管理运维情况进行审核评估,确定防护措施存在问题。
安全防护评估报告及整改要求:按照调控机构相关要求,出具相关网络安全防护评估报告,对整改项除硬件更换外的进行整改,直至通过省地调审核为止。对识别到的脆弱性进行整改,对不满足要求的系统、软件进行整改升级。
二、电力监控系统等级保护测评
为进一步提高本站电力监控系统的保障能力,根据《信息安全等级保护管理办法》(公通字 2007【43】号)的精神,在不影响电力监控系统生产业务的基础上实施,评估方法符合国家、行业标准规范对本项目进行等级保护测评,且本项目的测评要求如下:
| 指标类 | 测评指标 | 测评标准 |
| 单元测评 | 安全物理环境 | 根据信息系统等级保护定级情况,严格对照(GB/T22239-2019)要求进行测评。 《信息安全技术网络安全等级保护基本要求》 |
| 安全通信网络 | ||
| 安全区域边界 | ||
| 安全计算环境 | ||
| 安全管理制度 | ||
| 安全管理机构 | ||
| 安全运维人员 | ||
| 安全运维管理 | ||
| 整体测评 | 安全控制间安全测评 | 安全控制间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。安全功能上的增强和补充可以使两个不同强度、不同等级的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱可能会使一个安全控制的引入影响另一个安全控制的功能发挥或者给其带来新的脆弱性,使其在特定环境中不能达到该等级信息系统的安全要求。 |
| 区域间安全测评 | 层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。安全功能上的增强和补充可以使两个不同层面上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个层面上的安全控制影响另一个层面安全控制的功能发挥或者给其带来新的脆弱性。 | |
| 系统结构安全测评 | 系统结构安全测评主要考虑信息系统整体结构的安全性和整体安全防范的合理性。测评分析信息系统整体结构的安全性,主要是指从信息安全的角度,分析信息系统的物理布局、网络结构和业务逻辑等在整体结构上是否合理、简单、安全有效。测评信息系统整体安全防范的合理性,主要是指从系统的角度,分析研究信息系统安全防范在整体上是否遵循纵深防御的思路,明晰系统边界,确定重点保护对象,在适当的位置部署恰当的安全技术和安全管理措施等。确定重点保护对象,在适当的位置部署恰当的安全技术和安全管理措施等。 |
在完成本项目所有等级测评工作后,需出具相应的等级测评报告,并完成在公安部门的等级保护备案:
1、完成被测评单位在当地公安机关完成等级保护定级备案工作。
2、对电力监控信息系统实施定级,并进行等级测评,分析系统的安全保护现状及存在问题,提出更合理的信息系统安全规划;
3、规划合理的系统安全整改需求,根据等级测评报告的指导文件,达到相应等级的安全保护能力;
4、对本次测评电力监控信息系统存在的管理、网络、主机的不符合项给出安全加固建议并整改和合规化处理整改、除硬件更换外的整改均有乙方负责,直至达到满足等级测评要求。
三、电力监控系统日常维护
本次项目需对现有的主机、服务器、网络、安全防护等设备的特征库、引擎版本、采集软件等进行升级(单台设备1万元以下,升级不受次数限制),并将版本升级或更换至经电科院审核通过的版本。
并对电力监控系统所有设备提供以下服务:
每季度至少一次的设备巡检维护,检查设备的运行状态、业务传输、网络通讯、物理状态是否正常。特定节假日、重大保障期间采取即时、全方面的安全保障以及对设备进行全面的检查,并依据巡检信息对设备的运行状态进行分析,编制检测报告。
对于设备出现的问题及时进行远程分析处理,7*24小时电话无中断技术服务,如需工程师到达现场服务,不超过8小时到达现场进行服务,不得出现因工程师未及时到达现场引起的省地调考核,如有按照双方协商进行考核且对乙方考核不低于被考核金额的20%。
日常维护日期为1年:即2023年度网络风险评估开始之日起一年。
四、资质要求
资质要求:具备CCRC信息安全风险评估三级及以上资质
五、保险要求
要求每人购买120万人身意外险或120万雇主责任险或60万人身意外险+60万雇主责任险
附件1、法定代表人(单位负责人)身份证明
响应人名称:
姓名: 性别: 年龄: 职务:
系 (响应人名称)的法定代表人(单位负责人)。
特此证明。
附:法定代表人(单位负责人)身份证正反面扫描件。
响应人: (单位公章)
年 月 日
附件2、授权委托书
本人 (姓名)系 (响应人名称)的法定代表人(单位负责人),现委托 (姓名)为我方代理人。代理人根据授权,以我方名义签署、澄清确认、递交、撤回、修改点击登录查看2024年电气监控系统网络安全风险评估服务及信息系统安全等级保护测评服务项目投标文件、签订合同和处理有关事宜,其法律后果由我方承担。
委托期限:自本项目招标公告发布之日起,至本项目招标文件要求的投标有效期满日止。
代理人无转委托权。
附:法定代表人(单位负责人)身份证正反面扫描件及委托代理人身份证正反面扫描件。
注:本授权委托书需由响应人加盖单位公章并由其法定代表人(单位负责人)和委托代理人签字或盖章。
投 标 人: (单位公章)
法定代表人(单位负责人): (签字或盖章)
委托代理人: (签字或盖章)
年 月 日
附件3:报价人要提交的有关文件
1) 企业法人营业执照(工商局复印件,年检时间、年检章要求清晰可见);
2) 开户许可证;
3) 质量管理体系认证证书;
4) 信息安全风险评估服务资质(CCRC)或中国信息安全测评中心颁发的信息安全服务资质证书(风险评估类);
5)符合要求的合同业绩;
6)响应人认为有必要提供的其他资料。
信息来源:https:****
