关于实施《南方电网公司供应商私设互联网应用失信行为扣分工作指引试行》招标公告
关于实施《南方电网公司供应商私设互联网应用失信行为扣分工作指引试行》招标公告
关于实施《南方电网公司供应商私设互联网应用失信行为扣分工作指引(试行)》的公告
为进一步规范供应商管理工作,助力营造良好营商环境,根据中央网信办《国家网络安全事件应急预案》(中网办发文〔2017〕4号)、国家能源局《重大活动电力安全保障工作规定》(国能发安全〔2020〕18号)、《电力行业网络安全管理办法》(国能发安全规〔2022〕100号)等有关要求,结合南方电网公司有关规定,现实施《南方电网公司供应商私设互联网应用失信行为扣分工作指引(试行)》,以规范在南方电网公司范围内出现相关供应商私自在互联网上搭建带有南方电网VI标识或相关信息的各类应用系统(含公众号、微博、小程序等)等情况的扣分工作。现就有关内容公告如下:
一、制度依据
依据《公司供应商失信扣分管理细则(2023年版)》附录C“南方电网公司供应商扣分条款”第*****项,“供应商私自在互联网上搭建带有南方电网VI标识及相关信息的演示系统的;导致南方电网系统内相关单位数据泄露的;违反《网络安全法》等法律法规或合同关于网络安全要求的,根据供应商失信行为的事实、性质、类型、情节和危害程度,对供货商进行扣分。每发现1起,扣1-12分(★★★)”。
二、扣分方法
(一)计算方法
综合考虑事件定级标准、数据重要性、损失严重性、违规行为发生时期、触犯次数等因素,设置计算公式如下:
扣分=发生时期因子*违规次数因子*基准扣分值
根据《中央网信办关于印发<国家网络安全事件应急预案>的通知》(中网办发文〔2017〕4号),网络安全事件指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件。结合公司有关规定划分为五级:由高到低依次为特别重大事件级(I级)、重大事件级(II级)、较大事件级(III级)、一般事件级(IV级),轻微事件级(V级)。
(二)发生时期因子
发生时期是指发现私设互联网应用事件的时期。根据国家能源主管部门《重大活动电力安全保障工作规定》(国能发安全〔2020〕18号)等有关规定,根据保障级别确定发生时期因子。发生时期因子按特级保障期、重要保障期、日常时期等进行分类,对应的因子系数按下表取值:
发生时期 | 因子取值 |
日常时期 | 1.0 |
重要保障期 | 1.1 |
特级保障期 | 1.25 |
(三)违规次数因子
违规次数因子用于区分违规行为是否初犯,杜绝屡禁不止现象。
违规次数 | 因子取值 |
第1次 | 1.0 |
第2次 | 1.5 |
第3次 | 3.0 |
第4次及以上 | 不接受投标(处罚解除后违规次数重新计算) |
(四)基准扣分值
依据中央网信办《国家网络安全事件应急预案》(中网办发文〔2017〕4号)、国家能源局《电力行业网络安全管理办法》(国能发安全规〔2022〕100号)要求,结合公司有关规定,综合考虑违规行为在业务损失、经济损失、社会影响等方面造成的实际后果,设置基准扣分值。对于符合多项条款的,执行分值最高的条款。
影响程度 | 影响描述 | 基准扣分值 | 备注 | |
轻微影响 | 数据隐患 | 供应商私设应用中未存储有真实业务数据或存储真实业务数据小于等于1000条,未造成其它不良影响。 | 1 | 1.存储的真实业务数据量可采用后台导出比对或其它有效的方式确认; 2.安全漏洞已被利用,但未造成不良影响或构成网络安全事件,该种情况对应表中的轻微影响情形; 3.已造成不良影响,但未构成网络安全事件,该种情况对应表中的较大影响情形。 |
供应商私设应用中存储真实业务数据大于1000条小于等于1万条,未造成其它不良影响。 | 1.2 | |||
供应商私设应用中存储真实业务数据大于1万条小于等于10万条,未造成其它不良影响。 | 1.4 | |||
供应商私设应用中存储真实业务数据大于10万条小于等于100万条,未造成其它不良影响。 | 1.6 | |||
供应商私设应用中存储真实业务数据大于100万条,未造成其它不良影响。 | 1.8 | |||
漏洞隐患 | 供应商私设应用不存在安全漏洞或仅存在低危漏洞。 | 1 | ||
供应商私设应用存在中危安全漏洞,未被利用。 | 1.2 | |||
供应商私设应用存在高危安全漏洞,未被利用。 | 1.5 | |||
供应商私设应用存在中危安全漏洞,经核实已被利用,但未造成不良后果。 | 1.5 | |||
供应商私设应用存在高危安全漏洞,经核实已被利用,但未造成不良后果。 | 1.8 | |||
较大影响 | 业务损失 | 因供应商私设应用,引起业务数据被泄露、丢失或被窃取、篡改,数量小于等于5万条,未构成网络安全事件的。 | 3 | 受影响的数据数量较多或涉及商业秘密,已构成网络安全事件的,按事件级别确定扣分值 |
因供应商私设应用,引起业务数据被泄露、丢失或被窃取、篡改,数量大于5万条小于等于100万条,未构成网络安全事件的。 | 4.5 | |||
因供应商私设应用,引起业务数据被泄露、丢失或被窃取、篡改,数量大于100万条小于等于500万条,未构成网络安全事件的。 | 6 | |||
因供应商私设应用,对公司业务系统、网络等其它设施运行造成影响或其他造成业务损失的情形,但未构成网络安全事件的。 | 3 | 已构成网络安全事件的,按事件级别确定扣分值 | ||
经济损失 | 因供应商私设应用,造成公司被上级主管部门罚款等方面的经济损失,损失额度小于5万元,未构成网络安全事件的。 | 4 | 经济损失达10万元以上,已构成网络安全事件的,按事件级别确定扣分值 | |
因供应商私设应用,造成公司被上级主管部门罚款等方面的经济损失,损失额度为5-10万元,未构成网络安全事件的。 | 6 | |||
社会影响 | 因供应商私设应用存在安全漏洞、被用作跳板攻击或其它原因,被公司内部上级单位正式通报或对业绩考核造成影响,未构成网络安全事件的。 | 3 | 已构成网络安全事件的,按事件级别确定扣分 | |
因供应商私设应用存在安全漏洞、被用作跳板攻击或其它原因,被政府主管部门正式通报,未构成网络安全事件的。 | 6 | 已构成网络安全事件的,按事件级别确定扣分 | ||
因供应商私设应用,造成与公司外部人员发生法律纠纷,未构成网络安全事件的。 | 3 | 法律纠纷已构成网络安全事件的,按事件级别确定扣分值 | ||
供应商私设应用因存在安全漏洞或其它原因,页面被恶意篡改,未构成网络安全事件的。 | 4.5 | 若篡改已构成网络安全事件,按事件级别确定扣分值 | ||
重大影响 | 因供应商私设应用,引起I级网络安全事件。 | 12 | 造成网络安全事件。 | |
因供应商私设应用,引起II级网络安全事件。 | ||||
因供应商私设应用,引起III级网络安全事件。 | ||||
因供应商私设应用,引起IV级网络安全事件。 | 10 | |||
因供应商私设应用,引起V级网络安全事件。 | 8 | |||
(五)其他注意事项
1.同一扣分周期内的多次扣分结果进行累加计算,最高扣分不超过12分。
2.对于私设互联网应用归属明确的,由应用归属的二级或以下单位进行扣分;对于涉及多家单位或应用归属不明确的,由南方电网公司统筹扣分。
3.对于在南方电网供应商名录中的供应商,其导致的私设互联网应用事件,无论是否有明确的合同关系,均适用本指引。
4.各分子公司完成扣分事项处理后2个工作日内,在系统中录入扣分结果,一处扣分,全网适用。
三、评标应用
扣分在有效期内应用于评标工作中,在评标综合分的基础上扣除折算后的扣分,扣分的折算方法以招标文件的要求为准。具体计算方法为:
最终评标综合分=原始评标综合分-∑a*(n2/12)
其中,a为根据扣分时段与投标截止日的间隔期长短所确定的差异化的折算系数。投标截止日前12个月内的扣分,a取100%;投标截止日前13-24个月内的扣分,a取50%;投标截止日前25-36个月内的扣分,a取25%。n为相应时期内的供应商扣分,按四舍五入保留小数点后两位。
四、案例
某供货商在采购项目投标截止日前12个月内扣分为6分,13-24个月内扣分为3分,25-36个月内扣分为6分。该供货商本次原始评标综合分为92。则最终评标综合分为:
92-100%*62/12-50%*32/12-25%*62/12=87.88分。
南方电网公司
2023年7月20日
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
