****
电力监控系统网络安全风险评估及电力监控系统等级保护测评服务项目的询比价采购公告
1.采购条件
****电力监控系统网络安全风险评估及电力监控系统等级保护测评服务项目,采购人为****,项目资金为企业自筹,现已具备采购条件。现对该项目组织询比价采购。
2.采购范围及相关要求
2.1项目概况:****项目总装机容量25MW于2018年6月26日并网,已并网发电25MW。项目地址位于**省**市**县****公司院内,年辐射总量约在5997MJ/㎡.a,具有良好的发电条件。
本项目为****(调度命名:****电站)的电力监控系统网络安全风险评估及电力监控系统等级保护测评服务项目。****控制中心下发《2024****电厂电力监控系统网络安全重点工作》的通知,要求落实《网络安全等级保护条例》、《商用密码管理条例》****能源局《电力行业网络安全等级保护管理办法》、《**调度自动化管理检查》问题整改通知相关要求:按时开展电力监控系统等级保护测评和安全防护评估工作。
****电站的正常运行,依据电力主管部门管理要求,****电站需完成:2024年电力监控系统网络安全防护评估和加固工作、2024年等保测评及备案工作并上传OMS系统。
2.2 采购范围:本项目****控制中心要求整改通知相关要求:按时开展电力监控系统等级保护测评和安全防护评估工作,同时对一区、二区主机、服务器、网络设备加装USB锁、网口锁等辅助性材料,出具安全防护评估报告、整改报告。后续需要按时将电力监控系统备案证书及测评报****网厂交互平台报送省调,逾期未报按未开展测评统计及等级保护工作不合规单位,****机关报送。施工单位须在2024年10月31日前完成本单位电力监控系统安全防护评估****网厂交互平台报送省调,同时完成等保测评及备案工作,****公司按照未开展纳入考核。
本项目招标范围包含但不限于以下内容所发生的所有费用(含设计费、评审费、设备费、设备送检费、备品备件费、安装指导费、调试验收费、上线评估费、技术资料费、技术服务费、所有税费、协调费、运杂费和保险费以及本工程范围内所应收取的全部费用)。
2.2.1供货范围
2.2.2电力监控系统网络安全防护评估及加固
遵循《中华人民**国网络安全法》、《中华人民**国电力法》、《电力监控系统安全防护规定》(国家发展改革委 (2014) 14 号令)、《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全 (2015) 36号)及其他国家等级保护相关要求等规范性文件,在不影响电力监控系统生产业务的基础上实施。检查评估、型式安全评估、上线安全评估包括资产识别、威胁分析、脆弱性分析、风险分析和安全建议,评估方法符合GB/T 38318-2019电力监控系统网络安全评估指南、GB/T 36572-2018电力监控系统网络安全防护导则及其他国家、电力及能源行业相关标准规范。根据确定的评估范围评估实施过程中风险控制,对可能引入的风险进行分析并制定应对措施。
评估原则基本要求:安全分区、网络专用、横向隔离、纵向认证。评估范围包含待评估所有关键资产,包括:网络范围、主机范围、应用系统范围、制度与管理范围。严格按照电力监控系统安全防护评估流程实施并出****公司****公司要求的防护评估报告、安全整改建议及安全整改报告。
(1)电力监控系统资产评估
包含资产识别和资产赋值,需要对业务系统进行分析,将每一项电力监控系统按照所属业务系统进行归类,并在业务系统划分的基础上评估系统安全性。
(2)电力监控系统威胁评估
利用电力系统安全威胁列表对当前电力监控系统所面临的主要安全威胁进行判定,包含:威胁统计、威胁赋值与计算。
(3)安全分区合理性评估
对电力监控系统安全区的划分是否合理进行检查及合理性评估,包含各安全区中业务系统网络架构合理性评估。
(4)边界完成性评估
对安全I、II和III区之间的边界连接情况进行审核,确定在规定的边界点外没有短路情况。
(5)节点通信关系分析
通过对业务系统数据流和业务网络结构审核,对电力监控系统节点间通信关系进行分析安全区中哪些业务系统功能模块需要同其他安全区进行通信及安全要求。
(6)边界安全性评估
对安全区边界点的防护强度、访问机制力度和粒度的审核,评估安全区边界的防护是否符合总体方案要求。
(7)主机安全评估
对业务系统范围内的主机记性安全漏洞扫描、设备审计,评估系统漏洞及风险。
(8)网络系统评估
对调度数据网、本地局域网的网络结构、网络设备的安全性、网络管理情况、网络配置评估。
(9)安全管理评估
评估包括管理策略和管理制度、业务系统管理分析,安全管理制度文档分析发现制度中的缺陷。
(10)业务系统安全评估
对业务系统软件提供的安全功能和自身的安全配置审核评估,确实能够业务系统软件安全缺陷。
(11)现有安全技术措施评估
对现有安全技术措施,安全分区情况、安全隔离装置、防火墙和防病毒系统等部署情况、管理运维情况进行审核评估,确定防护措施存在问题。
(12)测评交付成果
2.2.3电力监控系统等级保护测及备案
对电力监控系统的业务系统的安全防护情况进行测评,包括应用系统层面的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、用系统的**控制等方面的安全状况。
(5)数据安全及备份恢复
数据安全及备份恢复测评是对电力监控系统的数据安全保护情况进行测评,包括数据在传输和存储过程中的完整性、保密性措施,数据备份和恢复措施。
(6)安全管理制度
安全管理制度测评是对电力监控系统的安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。
(7)安全管理机构
安全管理机构测评是对电力监控系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和**、审核和检查等情况进行测评。
(8)人员安全管理
人员安全管理测评是对电力监控系统相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训,以及外部人员访问管理等情况进行测评。
(9)系统建设管理
系统建设管理测评是对电力监控系统建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择等情况进行测评。
(10)系统运维管理
系统运维管理测评是对电力监控系统运行维护过程中的环境管理、资产管理、介质管理、设备管理、****管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、急预案管理等情况进行测评。
2.2.4服务质量要求
(1)安全要求:严格按照调度、光伏电站操作规程进行操作,确保不发生安全事故、不影响系统的正常运行。
(2)提供服务中,需保护甲方机房内的各种设施设备完好无损。如乙方在服务期间,发现机房硬件设备有破损现象,应及时保护现场,并立即向甲方通报;
(3)乙方服务人员对因服务工作需要而接触到的甲方机密信息或暂时未公开的信息负有保密义务,并保证不擅自将甲方提供的纸质及电子文档泄露给其他单位或者个人。
(4)电力监控系统等级保护测评和安全防护评估工作等均应以满足2024年《2024****电厂电力监控系统网络安全重点工作》****公司最新下发文件要求为准,并出具报告成功备案调度无异议,技术质保期发生技术问题原则上立即派人处理。安全防护评估报告应由电力行业五大实验出具(**卓识****公司、****研究院有限公司、****研究院有限公司、国电南****公司、****研究院有限公司)。
(5)提供相关技术指导,完成调度对此工作计划申报、审批、排序等合理要求,****设备厂家及时的协调,并寻求厂家提供相应的技术支持。
2.2.5技术要求
必须遵循但不限于以下法律法规《中华人民**国网络安全法》、《网络安全等级保护管理办法》(公通字[20017]43号)、《电力监控系统安全防护规定》****委员会2014第14号令)、《电力行业网络安全等级保护管理办法》(国能安全[2014]318号)的要求开展我司涉网部分电力监控系统等级保护安全评估工作。按照《电力行业网络安全等级保护管理办法》(国能安全[2014]318号)的要求定级,并按照国家级行业相关要求完成等级保护测评工作****机关备案工作,同步开展安全防护评估。出具等级保护测评报告并根据测评报告。
2.3服务期限:自服务合同生效之日起至2024年10月31日
2.4服务地点:****光伏电站
2.5服务要求或服务质量标准:符合采购方要求
2.6采购控制价:121500元
3.供应商资格要求:
3.1具有独立承担民事责任能力的法人或其他组织,在中华人民**国境内注册的法人;具有独立法人资格,依法取得营业执照,营业执照在有效期内;营业范围涵盖我司本次招标项目;具有履行合同所必需的设备和专业技术能力。
3.2资质要求:具有“信息安全风险评估服务资质三级认证证书”及“信息安全管理体系认证证书”;
3.3 业绩要求:近三年内须具有类似服务业绩,不少于5项;
3.4供应商不****机关在“国家企业信用信息公示系统”(www.****.cn)中列入“严重违法失信名单(黑名单)”(事业单位除外);****人民法院在“信用中国”网站(www.****.cn)被列入“严重失信主体名单 ”;
3.5单位负责人为同一人或者存在控股、管理关系的不同单位,不得同时参加同一标段或者未划分标段的同一项目的采购活动;
3.6调试人员需持有“信息安全保障人员认证证书”,认证方向:风险管理(专业级);
3.7本项目不允许联合体。
4.报名时间和响应文件要求
4.1报名时间:2024年9月6日17时30分至2024年9月11日17时30分(5天)
4.2响应文件递交方式:凡有意参加者,请于公告后评审前,将响应资料完整密封于档案袋中,封面标注项目名称,****公司公章,递交至:**省**市**区**东街533号晋能****公司门卫处;
或邮寄至:**省**市**区**东街533号晋能****公司。收件人:评审委员会,电话:131****3639
4.3 公告结****小组评审。
5.评审方式
5.1经评审的最低价法:****委员会进行综合评审,综合价格最低者为成交供应商。
6.响应文件要求:(一式三到五份)
所必须需提交的响应文件资料(全部加盖公章)至少包括:1、报价函;2、企业联系人、联系方式及身份证复印件,如非法人本人,需法定代表人授权委托书;3、企业营业执照(副本)复印件;4、****公司业绩;5、提供质量保证及服务承诺书,并提交切实可行的方案及合理化建议;6、“国家企业信用信息公示系统”(www.****.cn)未列入“严重违法失信名单(黑名单)”(事业单位除外);和 “信用中国”网站(www.****.cn)未列入“严重失信主体名单”的截图。
7.报价函格式:
****电力监控系统网络安全风险评估及电力监控系统等级保护测评服务项目采购的报价函
****:
我方己仔细研究了****电力监控系统网络安全风险评估及电力监控系统等级保护测评服务项目采购文件的全部内容,愿意以人民币(大写)******元整(¥***** 元)的报价(未税金额***元,税金***元,含***的增值税)按甲方要求或质量标准完成本项目服务,并按合同约定履行义务。
付款条件:待完成电力监控系统网络安全防护评估和加固工作及保测评及备案工作并上传OMS系统服务工作,且通过国家电网及所******部的验收后,一次性全款支付。
供应商:***公司(盖单位公章)
法定代表人(单位负责人)或其委托代理人:(签字或盖章)
202* 年*月*日
8.监督部门
监督部门名称:晋能****公司党群工作部
监督电话:035****8117
9.业务联系方式
联系人:文晓东
联系电话:136****9189
采购人:晋能****公司/晋能****公司
(签章)