宁夏恒阳新能源有限公司 -宁夏恒阳新能源有限公司信息安全等级保护测评、风险评估及问题整改项目-询价采购公告

一、项目概况

1. 项目名称：宁夏恒阳新能源有限公司信息安全等级保护测评、风险评估及问题整改项目
2. 项目编号：NXHY-FW-GKXJ-23-0006
3. 交货/服务时间：合同签订后30天之内完成所有工作并提供成果资料
4. 交货/服务地点：宁夏中卫市沙坡头区迎水桥镇迎闫公路收费站西侧宁夏恒阳新能源有限公司
5. 供货范围：

（一）主机加固服务

1、业务范围包括

1.1 根据等保测评检测结果及加固建议，对全网网络和安全设备实施安全加固，满足关于网络设备安全配置规范的要求。

1.2 根据边界防护需要按照安全最小授权原则，依据“缺省拒绝”的方式制定防护策略。防护策略只授权开放必要的访问权限，并保证数据安全的完整性、机密性、可用性；对业务系统访问需求进行详细调查，包括访问的源、目标地址、目标端口情况，并根据调研需求对防火墙策略进行分析，调整授权过大、无用的访问控制列表，增强网络控制能力，提高安全性。

（二）防火墙升级服务

1、业务范围包括

防火墙病毒库升级更新，对引入威胁的网络关键环节加以控制，对新型病毒有效的防护，防止新型以及变种病毒绕过现有网络防护环境，解决病毒给机构带来的安全问题。

2、通过防火墙升级，实现如下安全目标：

2.1. 通过防火墙升级，可以满足信息系统安全等级保护基本要求中网络安全中的要求。

2.2. 满足等保测评整改要求。

（三）等级测评工作

1、测评的内容包括但不限于以下内容：

1.1安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；

1.1.1 物理安全

根据信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。

1.1.2 网络安全

根据信息系统网络安全测评记录，针对网络方面在“结构安全”、“网络访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“网络设备防护”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

1.1.3 主机安全

主机安全现场测评包括对信息系统服务器的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范” “资源控制”。

1.1.4 应用安全

应用安全现场测评包括对信息系统的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、 “通信完整性”、“通信保密性”、“软件容错”、“资源控制”方面。

1.1.5 数据安全及备份恢复

信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。

1.2 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

1.2.1安全管理制度

根据现场安全测评记录，针对信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。

1.2.2安全管理机构

根据现场安全测评记录，针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

1.2.3人员安全管理

根据现场安全测评记录，针对信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

1.2.4系统建设管理

根据现场安全测评记录，针对信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“安全服务商选择”等测评指标，判断出与其相对应的各测评项的测评结果。

1.2.5系统运维管理

根据现场安全测评记录，针对信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标，判断出与其相对应的各测评项的测评结果。

2、其他要求

2.1 测评后的专项整改由承包方负责，直至测评合格。

2.2 确保本次测评执行等保2.0标准且协助采购方完成当地公安局年度信息系统定级备案。

（四）信息安全风险评估

1、风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程；它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

2、信息安全风险评估对信息系统现有的网络架构、路由器、交换机、防火墙等网络设备及安全设备、数据库服务器、Web服务器、应用服务器等关键服务器、业务流程、安全策略的安全漏洞、安全威胁及潜在影响进行分析，以提出合理的安全建议以保证信息系统资产的保密性、完整性和可用性等基本安全属性。通过风险评估，了解目前系统安全情况和系统中存在的各种安全风险，并以此为依据有针对性地制定安全策略和解决方案，针对系统中存在的各种安全风险进行相应的网络安全技术和安全产品的选用和部署，根据系统信息安全风险评估的结果指导信息系统下一步的安全建设。

3、信息安全风险评估具体内容如下：

3.1识别信息系统和关键活动，及其业务影响度；

3.2识别支撑信息系统和关键活动的重要资产；

3.3识别重要资产面临的外部威胁和自身存在的安全脆弱性（脆弱性）；

3.4对各类风险进行分析、赋值及优先级排序，并确定可接受的风险水平；

3.5为信息安全方针策略及操作规程等文件体系的框架建立和编写工作提供指引。

6. 质量要求：1、标准按国家GB/T*****-2019《信息安全技术网络安全等级保护基本要求》中对于二级系统的安全要求及技术条款进行。

2、以复评单位现场测评为依据，满足等保2.0要求，并取得等保测评报告，完成宁夏公安部门备案工作。

二、供应商资格要求:

1、基本资格条件：

（一）复询人必须在在中华人民共和国境内注册的合法经营企业法人，具有独立法人资格的企业。提供投标人营业执照、组织机构代码证、税务登记证或者三证合一的营业执照。

（二）复询人的资质等级：出具有效期内《ISO 9001-质量管理体系认证证书》、《ISO *****-信息安全管理体系认证证书》、《ISO *****信息技术服务管理体系认证证书》资质文件复印件（盖章）。

（三）复询人不得在“信用中国”网站（www.creditchina.gov.cn）被列入“失信被执行人名单”（在投标期间尚未解除的）。

（四）提供参加本次采购活动前三年内，在经营活动中没有重大违法记录的声明。

（五）本项目不接受联合体投标。

（六）须提供入侵和审计设备原厂商授权函和服务承诺函。

（七）提供至少三份近三年内电力系统整改合同扫描件。

2、 专项资格条件：

无

三、报名方式

本项目采取公开方式选择供应商，有意参与本项目的潜在供应商请登录中核集团电子采购平台（https://www.cnncecp.com/）在2023年05月27日 10时00分前报名参加本项目。

四、采购文件的获取

1、采购文件获取地地址：本项目不再提供纸质采购文件，参与本项目的潜在供应商应报名后通过中核集团电子采购平台下载采购文件。

2、有意参与本项目的潜在供应商须先在中核集团电子采购平台进行注册。注册账号审核通过后，在首页“用户登录”，输入账号及密码登录系统，依次点击→系统功能菜单→项目管理→我要报名，找到《宁夏恒阳新能源有限公司-宁夏恒阳新能源有限公司信息安全等级保护测评、风险评估及问题整改项目》，点击“我要报名”，即可查看项目信息并报名参与项目。报名经我公司审核通过后即可下载本项目采购文件。

五、应答文件/报价文件的递交

1、应答文件递交截止时间：请参与本项目的应答人在（北京时间）2023年05月29日 10时00分前在中核集团电子采购平台（https://www.cnncecp.com/）登录并上传应答文件电子版。若采购方另有要求递交纸质应答文件的，请按采购方要求的时间及方式递交：。

2、提交应答文件的方式：在线上传应答文件。（若采购方另有要求递交纸质应答文件的，请按采购方要求递交，并以在线上传文件为准）

3、未在线报名、逾期上传/送达的、未上传的，采购人不予受理。

六、公告媒体

本公告在中核集团电子采购平台（https://www.cnncecp.com/）发布。对于其他媒介发布的本项目公告，采购人对其准确性不承担任何责任。本次采购活动的最终解释权在宁夏恒阳新能源有限公司。

七、联系方式

采购人：宁夏恒阳新能源有限公司

地址：中卫市沙坡头区腾格里沙漠迎闫公路收费站西侧

联系人：贾启福

电话：188*****803

宁夏恒阳新能源有限公司

2023年05月18日