中煤平朔发展集团有限公司

中煤平朔发展集团有限公司（以下简称“采购人”），就里必瓦斯电厂110KV变电站电力监控系统（包括DCS分散控制系统）网络安全测评工作项目询价，欢迎符合条件的潜在供应商前来报价。

一、询价书编号：XJ**********

二、询价书名称：里必瓦斯电厂网络安全测评

三、项目内容

1.项目概况及服务内容

依据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》的相关要求，对里山西中煤平朔清洁能源有限责任公司里必电厂所属110KV变电站电力监控系统（包括DCS分散控制系统）进行投运前的第一次等级保护测评工作，包括：安全技术测评，安全管理测评，工具测试，编制系统安全整改方案，编制测评报告等。

2.项目实施范围

本次参于网络安全等级保护测评的系统如下：

3.指导思想和基本准则

根据公安部、国家保密局、国家密码管理局、国信办联合印发的《信息系统安全等级保护管理办法》（公通字〔2007〕43号）、《关于信息系统安全等级保护工作的实施意见》（公通字〔2004〕66号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861 号）、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）等文件精神，现拟对里山西中煤平朔清洁能源有限责任公司里必电厂所属110KV变电站电力监控系统（包括DCS分散控制系统）进行投运前的第一次等级保护测评工作，以进一步完善信息系统安全管理体系和技术防护体系，切实提高系统信息安全防护能力。

4.等级保护测评主要包括以下几个方面：

（1）等保测评：完成包括安全物理环境、安全计算环境、安全区域边界、安全通信网络、安全管理中心和安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理方面的测评工作；

（2）工具测试：针对重要信息系统进行漏洞扫描、渗透测试等安全服务工作；

（3）等级测评结果

对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为符合、基本符合、不符合）。

（4）制定《系统安全建设、整改方案》

投标人应根据现场测评中发现的问题，分析与GB/T *****-2019、ISO/IEC *****、ISO/IEC *****、ISO *****、ITIL和ITSS等行业最佳实践之间的差距，按照网络安全等级保护标准要求，针对我系统存在的主要问题提出安全建设、整改建议，制订符合我单位信息系统的《系统安全建设方案和整改方案》。

（5）协助等保整改工作

针对系统存在的主要问题提出安全建设、整改建议，协助完成系统整改工作。

（6）出具符合标准要求的测评报告（需通过山西省公安厅和山西省能源局验收）。

5.工作要求：

（1）实施原则

规范性原则：成交供应商工作中的过程和文编制测评报告：完成上述测评工作和整改加固实施后，投标人最后出具符合标准要求的信息系统网络安全等级保护测评报告。

标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

可控性原则：测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排，保证采购人对服务工作的可控性；

整体性原则：测评和分析的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；

最小影响原则：测评工作应尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述)；

保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人网络的行为，否则采购人有权追究责任。

（2）测评依据

《信息安全技术 网络安全等级保护基本要求》（GB/T *****-2019）

《信息安全技术 网络安全等级保护定级指南》（GB/T *****-2020）

《信息安全技术 网络安全等级保护测评要求》（GB/T *****-2019）

《信息安全技术 网络安全等级保护测评过程指南》（GB/T *****-2018）

（3）等级保护测评内容

根据国家等级保护相关标准，本次项目的网络安全等级保护测评应包括以下内容：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；

安全管理测评：包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。

a）安全物理环境

安全物理环境是对机房和办公场所的物理环境安全防护情况进行测评，包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。

b）安全通信网络

安全通信网络测评是对网络系统安全防护情况进行测评，包括网络架构、通信传输、可信验证等方面的安全状况。

c）安全区域边界

安全区域边界是对边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等方面的测评。

d）安全计算环境

安全计算环境是对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的测评。

e）安全管理中心

安全管理中心是对系统管理、审计管理、安全管理、集中管控等方面的测评。

f）安全管理制度

安全管理制度测评是对安全策略、管理制度、制定和发布、评审和修订进行测评。

g）安全管理机构

安全管理机构测评是对岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。

h）安全管理人员

安全管理人员测评是对人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等情况进行测评。

i）安全建设管理

安全建设管理测评是对建设过程中安全方案设计、产品采购和使用、自行软件开发、外包软件开发、 工程实施、测试验收、系统交付、 等级测评、服务供应商选择等情况进行测评。

j）安全运维管理

安全运维管理测评是对环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、 应急预案管理、外包运维管理等情况进行测评。

6、供应商资质要求：

（1）投标人提供自2019年01月01日以来等保测评服务业绩合同（以合同签订日期为准）；

（2）投标人需具有《网络安全等级测评与检测评估机构服务认证证书》，可在网络安全等级保护网查询；相关测评人员应具有初级（含）以上等级测评师证书；具有ISO9001质量管理体系认证证书、ISO*****环境管理体系认证证书和ISO*****职业健康安全管理体系认证证书；

（3）外省测评机构如在山西开展测评工作，须在山西省安全等级保护工作协调小组办公室备案后方可开展测评工作；

（4）本项目不接受联合体投标。

7.报价要求

（1）各报价单位务必严格按照要求报价，报价必须符合各单位实际经营范围，否则视为无效报价，同时取消该单位报价资格。

（2）各报价单位请在报价单的附件中上传法人授权及报价人联系方式，如为代理商附授权书等技术部分资料，未上传的视为无。

（3）各报价单位严肃报价，报价单位需报出最具竞争力的价格，所报价格为不含税价，如对报价物资有疑义或需要澄清落实，请与技术或商务联系人联系、落实。

本项目报总价，报价包含完成本项目服务期间所产生的一切费用（不含税），采购人后期不再另行追加费用。

8.验收标准

本项目服务的验收将以成交供应商提交《测评报告》并在山西省公安厅和山西省能源局登记管理系统填报结果为准。

四、报名、报价方式：

报名流程：

（1）参与报名单位请登录中煤易购网（http://ego.chinacoal.com）进行在线报名。

（2）已注册用户的供应商直接登录，通过系统网上报名，报名时必须将加盖公章的营业执照、开户许可证、委托授权书等相关资料上传；报名审核方式为资格后审，报名后进行网上报价。

（3）未注册的供应商请直接在该网站进行注册，注册时准入单位选平朔发展公司，待报名通过后可以进行报价。

（4）在报价录入页面选中参与项目，点击“录入报价”在系统中进行价格录入。

（5）报价时需上传相关资料，未上传视为无。

五、郑重声明：

参与报价单位必须对报价及供应物资来源的合法性负责，由报价方造成的一切经济及法律责任我公司不负责。

六、具体时间安排如下：

报价开始时间：2023年02月14日 08:00:00（北京时间）

报价截止时间：2023年02月17日 09:00:00（北京时间）

报价揭示时间：2023年02月17日 09:00:00（北京时间）

采购单位：中煤平朔发展集团有限公司

地 址：山西省朔州市平朔生活区

评标地点：山西省朔州市平朔设备物资采购管理中心111

联系人：张志青 联系电话：*******

供应商管理联系人：王会娥 0349-*******

纪检监督专员：王治国监督专线：0349-*******

监督邮箱：yxzx@chinacoal.com