焦作绿博城发环保能源有限公司2024年电气监控系统网络安全风险评估服务及信息系统安全等级保护测评服务询比采购公告

（略）
2024（略）安全等级保护测评服务询比采购公告

一、采购条件
（略）2024（略）安全等级保护测评服务项目已具备招标条件，资金来自企业自筹，（略），现诚邀有意愿、具备资格条件的响应人参加报价。
二、项目概况与采购范围
1、项目名称：（略）
2、（略）：M（略）（略）
3、送货地点：（略）
4、采购范围：
（略）相关规定及工程建设进度，现需委托一家具有资质和能力的供应商提供《（略）络安全风险评估》（略）安全等级保护测评，（略）安全防护评估，包括：（略）安全防护设计方案、（略）安全防护评估报告、（略）安全防护整改报告、（略）配置信息报告、（略）安全等级保护测评，并负责完成地调审核备案等工作。预算：（略）。
5、其他要求：
5.1装订要求：左侧装订（不符合装订要求的评标响应文件作废标处理）
5.2服务要求：编制符合电力主管部门要求的各项报告，完成地调审核备案。
5.3合同签订：采购人：（略）
5.4合同形式：固定总价合同
三、供应商的资格要求
3.1具有独立承担民事责任能力的技术服务供应商，具有有效的企业法人营业执照，并有资金、服务等整体能力；
3.2（略）络安全风险评估业绩（必须具备）、（略）集成等合同业绩，合同业绩不少于2项；
3.3响应人具有质量管理体系认证证书；
3.（略）颁发的信息安全险评估服务资质（CCRC）（略）颁发的信息安全服务资质证书（风险评估类），要求二者必须具备其一；
3.5响应人信誉良好，未被列入失信被执行人。（以采购人：（略）
3.6响应人各类证书、合同文件开标时必须携带原件以备核查。
四、采购文件获取：（略）
1、询比文件领取时间：2024年9月14日至2024年9月20日上午9：30。
2、（略）络进行全电子化操作，有意参与并符合条件的报价人，（略）网址：（略），进行报价供应商注册，经验证合格并办理CA数字认证证书后，方能参与投标活动。
3、报名方式：（略）
3.1浏览公告时直接报名：供应商可以浏览项目公告后，使用电子钥匙，点击公告下面的“现在就报名”按钮登陆，直接进入该项目进行报名，报名时注意选择要报名的分包，点击“下一步”，选择注册时填好的联系人：（略）
3.2（略）报名：（略）系统，点击桌面上的“我要报名”后，选择页面上需要报名的项目进行报名。
4、报价方法：（略）上报价，（略）上报价。
注意：（略）上关于本项目相关修改或补充内容，以免影响询比响应文件的提交。
五、响应文件的递交
1、报名截止时间：2024年9月19日16：00（北京时间）。
2、询比时间：2024年9月20日上午9：30（北京时间）。
3、请各报价人2024年9月20日上午9：30（略）上传报价，逾期作废；因供应商原因导致报价失败的，后果自负。
六、报价要求：
1、本次询比为一次报价，所有分项必须全部报价。报价包含但不限于运费、工费、装卸费、税金等采购范围内相关工作的一切费用，提供合规增值税专用发票（13%）。
2、种类分项报价不全者为无效报价。
3、若分项报价明显（略）场价，则该报价人的整体报价为无效报价，采购人：（略）
4、报价人的分项报价之和须与投标总价相符。开标后若发现由于报价人的原因造成分项报价之和与总价不符，当分项报价之和大于总价时，以分项价修正总价；当分项报价之和小于总价时，则在签订合同时相应核减总价（不在评标阶段核减投标总价）。
5、必须上传盖章签字版的报价清单。
6、为该采购项目达到预期效果，如有技术不清，请务必和商务人员联系落实，必要时进行现场踏勘。
7、报价以元为最小报价单位：（略）
七、询价规则：
1、本次询比为一次性报价，询比采购取报价最低者为成交供应商。报价应认真填写，若报价出现错误，不能更改，按原报价执行。最终以采购人：（略）
2、供应商因参加本项目的所有费用，不论结果如何，均由供应商自行承担。
3、有效报价的供应商不足三家的；因重大变故，采购任务取消的。出现上述情况之一的，采购人：（略）
4、评审：最低价中标。此询比采购项目为一次报价，（略）对报价人通过审核后的首次报价为最终报价，如有两个或两个以上报价人报价相同且均为最低，则按注册资本金高低进行推荐。
八、合同付款条件
付款方式：（略）
九、询比地点：（略）
（略）会议室。
十、联系方式：（略）
商务联系人：（略）
联系方式：（略）
监督部门：（略）综合部
监督电话：（略）

采购人：（略）
2024年9月14日































技术要求

一、（略）络安全风险评估

遵循《（略）络安全法》、《（略）安全防护总体方案》及国家等级保护相关要求等规范性文件，（略）生产业务的基础上实施，评估方法符合国家、行业标准规范，根据确定的评估范围评估实施过程中风险控制，对可能引入的风险进行分析并制定应对措施。
评估原则基本要求：安（略）、网络专用、横向隔离、纵向认证。评估范围包含待评估所有关键资产，包括：网络范围、主机范围、（略）范围、制度与管理范围。（略）安全防护评估流程实施并出具符合调控机构要求的风险评估报告、安全整改建议及安全整改报告。
（略）资产评估：包含资产识别和资产赋值，（略）进行分析，（略）进行归类，（略）安全性。
（略）威胁评估：（略）所面临的主要安全威胁进行判定，包含：威胁统计、威胁赋值与计算。
安（略）合理性评估：（略）（略）的划分是否合理进行检查及合理性评估，包含各（略）（略）络架构合理性评估。
边界完成性评估：对安全I、II和III区之间的边界连接情况进行审核，（略）情况。
节点通信关系分析：（略）络结构审核，（略）节点间通信关系进行分析（略）（略）功能模块需要同其他（略）进行通信及安全要求。
边界安全性评估：对（略）边界点的防护强度、访问机制力度和粒度的审核，评估（略）边界的防护是否符合总体方案要求。
主机安全评估：（略）范围内的主机记性安全漏洞扫描、设备审计，（略）漏洞及风险。
（略）评估：（略）、（略）络结构、网络设备的安全性、网络管理情况、网络配置评估。
安全管理评估：评估包括管理策略和管理制度、（略）管理分析，安全管理制度文档分析发现制度中的缺陷。
（略）安全评估：（略）软件提供的安全功能和自身的安全配置审核评估，（略）软件安全缺陷。
现有安全技术措施评估：对现有安全技术措施，安（略）情况、安全隔离装置、（略）等部署情况、管理运维情况进行审核评估，确定防护措施存在问题。
安全防护评估报告及整改要求：按照调控机构相关要求，（略）络安全防护评估报告，对整改项除硬件更换外的进行整改，直至通过省地调审核为止。对识别到的脆弱性进行整改，（略）、软件进行整改升级。
二、（略）等级保护测评

（略）的保障能力，根据《信息安全等级保护管理办法》（公通字2007【43】号）的精神，（略）生产业务的基础上实施，评估方法符合国家、行业标准规范对本项目进行等级保护测评，且本项目的测评要求如下：



指标类
测评指标
测评标准
单元测评
安全物理环境
（略）等级保护定级情况，严格对照(GB/T（略）)要求进行测评。《（略）络安全等级保护基本要求》
（略）络
（略）域边界
安全计算环境
安全管理制度
安全管理机构
安全运维人员
安全运维管理
整体测评
安全控制间安全测评
安全控制间的安全测评主要考虑（略）域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。安全功能上的增强和补充可以使两个不同强度、不同等级的安全控制发挥更强的综合效能，可以使单个（略）的安全要求。安全功能上的削弱可能会使一个安全控制的引入影响另一个安全控制的功能发挥或者给其带来新的脆弱性，（略）的安全要求。


区域间安全测评
层面间的安全测评主要考虑（略）域内的不同层面之间存在的功能增强、补充和削弱等关联作用。安全功能上的增强和补充可以使两个不同层面上的安全控制发挥更强的综合效能，可以使单个（略）的安全要求。安全功能上的削弱会使一个层面上的安全控制影响另一个层面安全控制的功能发挥或者给其带来新的脆弱性。

（略）结构安全测评
（略）整体结构的安全性和整体安全防范的合理性。（略）整体结构的安全性，主要是指从信息安全的角度，（略）的物理布局、网络结构和业务逻辑等在整体结构上是否合理、简单、安全有效。（略）整体安全防范的合理性，（略）的角度，（略）（略），（略）边界，确定重点保护对象，在适当的位置部署恰当的安全技术和安全管理措施等。确定重点保护对象，在适当的位置部署恰当的安全技术和安全管理措施等。

在完成本项目所有等级测评工作后，需出具相应的等级测评报告，并完成在公安部门的等级保护备案：
1、完成被测评单位：（略）
2、（略）实施定级，并进行等级测评，（略）的安全保护现状及存在问题，（略）安全规划；
3、（略）安全整改需求，根据等级测评报告的指导文件，达到相应等级的安全保护能力；
4、（略）存在的管理、网络、主机的不符合项给出安全加固建议并整改和合规化处理整改、除硬件更换外的整改均有乙方负责，直至达到满足等级测评要求。
三、（略）日常维护
本次项目需对现有的主机、服务器、网络、安全防护等设备的特征库、引擎版本、采集软件等进行升级（单台设备1万元以下，升级不受次数限制），并将版本升级或更换至经电科院审核通过的版本。
（略）所有设备提供以下服务：
每季度至少一次的设备巡检维护，检查设备的运行状态、业务传输、网络通讯、物理状态是否正常。特定节假日、重大保障期间采取即时、全方面的安全保障以及对设备进行全面的检查，并依据巡检信息对设备的运行状态进行分析，编制检测报告。
对于设备出现的问题及时进行远程分析处理，7*24小时电话无中断技术服务，如需工程师到达现场服务，不超过8小时到达现场进行服务，不得出现因工程师未及时到达现场引起的省地调考核，如有按照双方协商进行考核且对乙方考核不低于被考核金额的20%。
日常维护日期为1年：即2023（略）络风险评估开始之日起一年。


四、资质要求
资质要求：具备CCRC信息安全风险评估三级及以上资质
五、保险要求
要求每人购买120万人身意外险或120万雇主责任险或60万人身意外险+60万雇主责任险








附件1、法定代表人（单位：（略）


响应人名称：（略）

姓名：性别：年龄：职务：

系（响应人名称：（略）

特此证明。


附：法定代表人（单位：（略）









响应人：（单位：（略）

年月日


附件3：报价人要提交的有关文件
1)企业法人营业执照（工商局复印件，年检时间、年检章要求清晰可见）；
2)开户许可证；
3)质量管理体系认证证书；
4)信息安全风险评估服务资质（CCRC）（略）颁发的信息安全服务资质证书（风险评估类）；
5)符合要求的合同业绩；
6）响应人认为有必要提供的其他资料。