****
电力监控系统网络安全防护评估及电力监控系统等级保护测评服务项目的询比价采购公告
1.采购条件
****电力监控系统网络安全防护评估及电力监控系统等级保护测评服务项目,采购人为****,项目资金为企业自筹,现已具备采购条件。现对该项目组织询比价采购。
2.采购范围及相关要求
2.1项目概况:****项目总装机容量9MW于2018年6月27日并网,已并网发电9MW,并网电压等级10KV。项目地址位于**省**市**区华港镇群力十组,年辐射总量约在5636.5MJ/㎡,具有良好的发电条件。
本项目为****(调度命名中正左舍)的电力监控系统网络安全防护评估及电力监控系统等级保护测评服务项目。****控制中心下发《2024****电厂电力监控系统网络安全重点工作》的通知,要求落实《网络安全等级保护条例》、《商用密码管理条例》****能源局《电力行业网络安全等级保护管理办法》、《**调度自动化管理检查》问题整改通知相关要求:按时开展电力监控系统等级保护测评和安全防护评估工作。
****电站的正常运行,依据电力主管部门管理要求,****电站需完成:2024年电力监控系统网络安全风险评估、2024年等保测评及备案工作并得到当地电网认可。
2.2 采购范围:本项目****控制中心要求整改通知相关要求:按时开展电力监控系统等级保护测评和安全防护评估工作,****电站主机、服务器、网络设备加装USB锁、网口锁等辅助性材料,出具安全风险评估报告、整改报告。后续需要按时将电力监控系统备案证书及测评报告等相关材料报送市调,逾期未报按未开展测评统计及等级保护工作不合规单位,****机关报送。服务单位须在2024年11月15日前完成本单位电力监控系统安全防护评估并将评估结果报送市调,同时完成等保测评及备案工作,****公司按照未开展纳入考核。
本项目招标范围包含但不限于以下内容所发生的所有费用(含设计费、评审费、设备费、设备送检费、备品备件费、安装指导费、调试验收费、上线评估费、技术资料费、技术服务费、所有税费、协调费、运杂费和保险费以及本工程范围内所应收取的全部费用)。
2.2.1供货范围
2.2.2电力监控系统网络安全风险评估
遵循《中华人民**国网络安全法》、《中华人民**国电力法》、《电力监控系统安全防护规定》(国家发展改革委 (2014) 14 号令)、《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全 (2015) 36号)及其他国家等级保护相关要求等规范性文件,在不影响电力监控系统生产业务的基础上实施。检查评估、型式安全评估、上线安全评估包括资产识别、威胁分析、脆弱性分析、风险分析和安全建议,评估方法符合GB/T 38318-2019电力监控系统网络安全评估指南、GB/T 36572-2018电力监控系统网络安全防护导则及其他国家、电力及能源行业相关标准规范。根据确定的评估范围评估实施过程中风险控制,对可能引入的风险进行分析并制定应对措施。
评估原则基本要求:安全分区、网络专用、横向隔离、纵向认证。评估范围包含待评估所有关键资产,包括:网络范围、主机范围、应用系统范围、制度与管理范围。严格按照电力监控系统安全防护评估流程实施并出****公司****公司要求的风险评估报告、安全整改建议及安全整改报告。
(1)电力监控系统资产评估
包含资产识别和资产赋值,需要对业务系统进行分析,将每一项电力监控系统按照所属业务系统进行归类,并在业务系统划分的基础上评估系统安全性。
(2)电力监控系统威胁评估
利用电力系统安全威胁列表对当前电力监控系统所面临的主要安全威胁进行判定,包含:威胁统计、威胁赋值与计算。
(3)安全分区合理性评估
对电力监控系统安全区的划分是否合理进行检查及合理性评估,包含各安全区中业务系统网络架构合理性评估。
(4)边界完成性评估
对安全I、II和III区之间的边界连接情况进行审核,确定在规定的边界点外没有短路情况。
(5)节点通信关系分析
通过对业务系统数据流和业务网络结构审核,对电力监控系统节点间通信关系进行分析安全区中哪些业务系统功能模块需要同其他安全区进行通信及安全要求。
(6)边界安全性评估
对安全区边界点的防护强度、访问机制力度和粒度的审核,评估安全区边界的防护是否符合总体方案要求。
(7)主机安全评估
对业务系统范围内的主机记性安全漏洞扫描、设备审计,评估系统漏洞及风险。
(8)网络系统评估
对调度数据网、本地局域网的网络结构、网络设备的安全性、网络管理情况、网络配置评估。
(9)安全管理评估
评估包括管理策略和管理制度、业务系统管理分析,安全管理制度文档分析发现制度中的缺陷。
(10)业务系统安全评估
对业务系统软件提供的安全功能和自身的安全配置审核评估,确实能够业务系统软件安全缺陷。
(11)现有安全技术措施评估
对现有安全技术措施,安全分区情况、安全隔离装置、防火墙和防病毒系统等部署情况、管理运维情况进行审核评估,确定防护措施存在问题。
(12)测评交付成果
项目各阶段的测评过程文档编制。详见下表(包括但不限于):
2.2.3电力监控系统等级保护测及备案
根据国家等级保护相关标准,本次项目的安全等级保护测评包括以下内容:
安全技术测评:包括物理安全、网络安全、主机安全、用安全和数据安全及备份恢复等五个方面的安全测评;
安全管理测评:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(1)物理安全
物理安全测评是对电力监控系统的机房和办公场所的物理环境安全防护情况进行测评,包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供和电磁防护等方面的安全状况。
(2)网络安全
网络安全测评是对电力监控系统的网络系统安全防护情况进行测评,包括网络结构安全、网络访问控制、网络安全审计、网络边界完整性检查、网络入侵防范、网络恶意代码防范、网络设备防护等方面的安全状况。
(3)主机安全
主机安全测评是对电力监控系统的服务器、数据库和终端主机系统的安全防护情况进行测评,包括操作系统和数据库层面的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、主机入侵防范、主机恶意代码防范、主机**控制等方面的安全状况。
(4)应用安全
应用安全测评是对电力监控系统的业务系统的安全防护情况进行测评,包括应用系统层面的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、用系统的**控制等方面的安全状况。
(5)数据安全及备份恢复
数据安全及备份恢复测评是对电力监控系统的数据安全保护情况进行测评,包括数据在传输和存储过程中的完整性、保密性措施,数据备份和恢复措施。
(6)安全管理制度
安全管理制度测评是对电力监控系统的安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。
(7)安全管理机构
安全管理机构测评是对电力监控系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和**、审核和检查等情况进行测评。
(8)人员安全管理
人员安全管理测评是对电力监控系统相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训,以及外部人员访问管理等情况进行测评。
(9)系统建设管理
系统建设管理测评是对电力监控系统建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择等情况进行测评。
(10)系统运维管理
系统运维管理测评是对电力监控系统运行维护过程中的环境管理、资产管理、介质管理、设备管理、****管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、急预案管理等情况进行测评。
2.2.4服务质量要求
(1)安全要求:严格按照调度、光伏电站操作规程进行操作,确保不发生安全事故、不影响系统的正常运行。
(2)提供服务中,需保护甲方机房内的各种设施设备完好无损。如乙方在服务期间,发现机房硬件设备有破损现象,应及时保护现场,并立即向甲方通报;
(3)乙方服务人员对因服务工作需要而接触到的甲方机密信息或暂时未公开的信息负有保密义务,并保证不擅自将甲方提供的纸质及电子文档泄露给其他单位或者个人。
(4)电力监控系统等级保护测评和安全防护评估工作等均应以满足2024年《2024****电厂电力监控系统网络安全重点工作》****公司最新下发文件要求为准,并出具报告成功备案调度无异议,技术质保期发生技术问题原则上立即派人处理。
(5)提供相关技术指导,完成调度对此工作计划申报、审批、排序等合理要求,****设备厂家及时的协调,并寻求厂家提供相应的技术支持。
2.2.5技术要求
必须遵循但不限于以下法律法规《中华人民**国网络安全法》、《网络安全等级保护管理办法》(公通字[20017]43号)、《电力监控系统安全防护规定》****委员会2014第14号令)、《电力行业网络安全等级保护管理办法》(国能安全[2014]318号)的要求开展我司涉网部分电力监控系统等级保护安全评估工作。按照《电力行业网络安全等级保护管理办法》(国能安全[2014]318号)的要求定级,并按照国家级行业相关要求完成等级保护测评工作****机关备案工作,同步开展安全防护评估。出具等级保护测评报告并根据测评报告。
2.3服务期限:自服务合同生效之日起至2024年11月30日
2.4服务地点:****电站
2.5服务要求或服务质量标准:符合采购方要求
2.6采购控制价:120000元
3.供应商资格要求:
3.1具有独立承担民事责任能力的法人或其他组织,在中华人民**国境内注册的法人;具有独立法人资格,依法取得营业执照,营业执照在有效期内;营业范围涵盖我司本次招标项目;具有履行合同所必需的设备和专业技术能力。
3.2资质要求:同时具有中国网****认证中心颁发的信息安全风险评估服务资质(一级)证书、信息系统安全运维服务资质(三级及以上)证书和信息安全应急处理服务资质(三级及以上)证书;
3.3 业绩要求:近三年内须具有类似服务业绩,不少于5项;
3.4供应商不****机关在“国家企业信用信息公示系统”(www.****.cn)中列入“严重违法失信名单(黑名单)”(事业单位除外);****人民法院在“信用中国”网站(www.****.cn)被列入“严重失信主体名单 ”;
3.5单位负责人为同一人或者存在控股、管理关系的不同单位,不得同时参加同一标段或者未划分标段的同一项目的采购活动;
3.6本项目不允许联合体。
4.报名时间和响应文件要求
4.1报名时间:2024年9月5日17时30分至2024年9月10日17时30分(5天)
4.2响应文件递交方式:凡有意参加者,请于公告后评审前,将响应资料完整密封于档案袋中,封面标注项目名称,****公司公章,递交至:**省**市**区**东街533号晋能****公司门卫处;
或邮寄至:**省**市**区**东街533号晋能****公司。收件人:评审委员会,电话:131****3639
4.3 公告结****小组评审。
5.评审方式
5.1经评审的最低价法:****委员会进行综合评审,综合价格最低者为成交供应商。
6.响应文件要求:(一式三到五份)
所必须需提交的响应文件资料(全部加盖公章)至少包括:1、报价函;2、企业联系人、联系方式及身份证复印件,如非法人本人,需法定代表人授权委托书;3、企业营业执照(副本)复印件;4、****公司业绩;5、提供质量保证及服务承诺书,并提交切实可行的方案及合理化建议; 6、“国家企业信用信息公示系统”(www.****.cn)未列入“严重违法失信名单(黑名单)”(事业单位除外);和 “信用中国”网站(www.****.cn)未列入“严重失信主体名单 ”的截图。
7.报价函格式:
****电站电力监控系统网络安全防护评估及
电力监控系统等级保护测评服务项目采购的报价函
****电站:
我方己仔细研究了****电站电力监控系统网络安全防护评估及电力监控系统等级保护测评服务项目采购文件的全部内容,愿意以人民币(大写)******元整(¥***** 元)的报价(未税金额***元,税金***元,含***的增值税)按甲方要求或质量标准完成本项目服务,并按合同约定履行义务。
付款条件:********
供应商: ***公司(盖单位公章)
法定代表人(单位负责人)或其委托代理人: (签字或盖章)
202* 年*月*日
8.监督部门
监督部门名称:晋能****公司党群工作部
监督电话:035****8117
9.业务联系方式
联系人:朱洁
联系电话:139****2011
采购人:****
(签章)
截图202********832.png