周口隆达发电有限公司信息系统安全等级保护测评公开比价
周口隆达发电有限公司信息系统安全等级保护测评公开比价
周口隆达发电有限公司
信息系统安全等级保护测评公开比价
招标编号:YTDL-2024-YDWZ-06-隆达-006
`
招标人:周口隆达发电有限公司
2024年06月
目 录
1.周口隆达发电有限公司(以下简称“招标人”)采用国内公开比价、资格后审方式进行本项目的自主招标,欢迎符合要求的投标人(以下简称“投标人”)提交密封的有竞争性的投标文件。
项目名称:周口隆达发电有限公司信息系统安全等级保护测评
招标编号:YTDL-2024-YDWZ-06-隆达-006
招标范围:负责招标人信息系统安全等级保护测评工作,具体内容和要求详见第四章技术规范。
施工工期:150天,具体开始时间以招标人书面通知为准。
2.投标人需满足以下基本要求:
2.1投标人须具有中华人民共和国独立法人资格;
2.2投标人须能够开具合法可抵扣的增值税专用发票;
2.3投标人资质要求:
投标人须具有网络安全等级保护测评与检测评估价机构服务认证证书。
2.4投标人业绩要求:
投标人须具有2021年1月1日之后签订的河南省内单机容量300MW及以上燃煤机组信息系统安全等级保护测评合同业绩。
2.5投标人须具有良好的银行资信和商业信誉,没有处于被责令停业,财产被接管、冻结、破产和重组状态。
2.6投标人及其分包商在近3年内不能在任何合同中因违约或属投标人及其分包商的原因而被终止合同,投标人和技术支持方没有中国国家有关部门所界定的腐败或欺诈行为。
2.7本项目不接受联合体投标。
2.8单位负责人为同一人或者存在控股、管理关系的不同单位,不得同时参加投标。
3.报名方式及招标文件售价:
3.1投标人须先填写投标登记表(附表一),并将投标登记表可编辑的word版发送至招标人邮箱。
3.2本项目不收取标书费。投标人发送投标登记表至招标人邮箱后,缴纳1000元投标保证金至招标人账户并电话通知招标人,投标人须以投标单位名义缴纳投标保证金并按照如下账户支付,未中标单位投标保证金在本项目合同签订后30个工作日内无息退还。
招标人名称:周口隆达发电有限公司
开户银行:建行周口黄金桥支行
账 号:4100 1554 9100 5000 0720
4.开标时间:2024年6月18日上午10:00。采用邮递投标的单位可以通过腾讯会议方式参加开标(腾讯会议号码:626 ******)。进入腾讯会议后须将自己的名称改为公司名称。
5.开标地点:周口市商水县章华台路西段周口隆达发电有限公司一楼会议室,所有投标文件按照第五章投标文件格式要求制作一个正本文件,密封递交到开标地点。
6.投标文件递交
6.1邮递投标:邮递投标须出具开标委托函(详见第五章委托开标函),邮递投标文件送达时间以招标人签收时间为准,投标文件须先密封后邮递,逾期送达或不符合规定的投标文件恕不接受。
6.2现场接收投标文件:现场递交投标文件须于开标当日投标截止时间前递交至开标地点。逾期送达或不符合规定的投标文件恕不接受。
6.3邮箱报价:仅适用因疫情影响无法邮递或现场送达投标文件的投标人,将投标文件签字盖章扫描件和委托开标函于开标时间前发到指定邮箱zkldjzcg@126.com,逾期发送或不符合规定的投标文件恕不接受。投标人完成投标后将投标文件纸质版邮寄至招标人处。
7.该招标文件在和(www.dlzb.com)中国电力招标网上同时发布,对于因其他网站转载并发布的非完整版或修改版招标文件,而导致投标人造成损失,招标人不予承担责任。
8.踏勘现场:投标人需到招标人现场进行踏勘,由投标人自行安排,费用自理。除招标人的原因外,投标人自行负责在踏勘现场中所发生的人员伤亡和财产损失。
9.招标人:周口隆达发电有限公司
详细地址:河南省周口市商水县章华台路西段
邮编:******
联系人:魏锦霞
电话:136*****952
附表一:投标登记表
| 投标单位名称 | ||
| 招标项目名称 | ||
| 招标文件编号 | ||
| 联系人 | 姓名 | |
| 移动电话 | ||
| 电子邮箱 | ||
| 投标单位支付项目投标保证金时所用的银行详细名称及账号 | 开户银行: 账 号: (招标人后期将根据此银行账号退还投标保证金,如有变更请及时通知招标人,否则后果自负。) | |
| 投标人签字 | ||
注:投标保证金必须注明“投标单位”及“(招标编号)保证金”字样,否则因款项用途不明导致后果由投标人自行承担。
单位公章:_____________________
日 期:2024年月 日
附表二:报名资格审核文件
| 招标公告要求提供证明文件 | 资质证明文件(投标方填写) | 报名文件所在页码 | |
| 1 | 营业执照 | ||
| 2 | 网络安全等级保护测评与检测评估价机构服务认证证书 | 发证单位: 有效期 | |
| 3 | 2021年1月1日之后签订的河南省内单机容量300MW及以上燃煤机组信息系统安全等级保护测评合同业绩 | 合同:(合同名称,机组容量,承包范围,签订日期) | |
★注:
1、此表请投标人按公告中资格标准要求的资质、业绩认真填写【必须附相关资质及合同证明材料的PDF版扫描件】。
2、合同证明材料需附主要内容页(合同封面、签字盖章页、承包范围等),无相关合同证明或材料不全,在审核时将不予确认。
1.评标办法:经评审的最低投标价法。
1.1所有投标人必须按照投标报价表要求进行报价,不得少报、漏报,如出现此情况则按其投标单价或其他投标人的最高单价核算数量后计入投标总价。
1.2若单价计算的结果与总价不一致,以单价为准修改总价;若用文字表示的数值与用数字表示的数值不一致,以文字表示的数值为准,并对数字作相应的修正;但上述修正后的总价不得高于开标一览表中投标人签字确认的价格。如果投标人不接受对其错误的更正,其本项目或标段的投标将被拒绝。
1.3若投标人报价税率不一致时,调整至统一税率或按税前价格作为其评标价格。
1.4当有效投标人不足3家时,招标人可根据实际情况,在征得有效投标人同意后,现场转为谈判。
2.招标人将审查投标文件是否完整、资格、业绩证明文件是否齐全,投标保证金是否合格等,只对确定为通过初审(符合性检查)的投标进行详细评审。招标人发现投标人有下列情况之一的,其投标将被拒绝:
2.1没有按照招标文件要求提供的投标文件或不满足技术主要参数要求和超出偏差范围的;
2.2超出经营范围的投标或资格标准、业绩不满足招标文件要求的;
2.3投标人有串通投标(按照招投标法实施条例认定)、弄虚作假、行贿等违法行为;
2.4投标文件无投标单位公章、无法定代表人或授权人签字,或签字人无法定代表人有效委托书的;
2.5未按规定递交投标保证金的;
2.6招标人未做额外要求,投标人在同一份投标文件中,对同一招标标的报有两个或多个报价,且未声明哪个为最终报价的;
2.7被招标人列入黑名单单位的;
2.8招标文件允许投标人为代理商时,未出具生产厂家的有效授权;
2.9投标文件附有招标人不能接受的条件,包括但不限于如合同条款付款偏差等;
2.10国家相关法规认定的其它无效投标或废标的。
3.中标候选人的确定方式
3.1评标组按照招标文件确定的评标标准和方法,向招标人推荐中标人,未中标不再通知,不对未中标原因作出解释。
3.2当投标人的有效报价相同时,以技术性能评审高者优先;价格相同且技术性能评审也相同,由招标人确定。
3.3招标人保留在授标之前任何时候接受或拒绝任何投标,以及宣布招标程序无效或拒绝所有投标的权力,对受影响的投标人不承担任何责任。
4.合同的授予
4.1投标人不得以低于成本的报价竞标,最低投标价不是被授予合同的唯一保证和条件。
4.2排名第一的中标候选人必须与招标人签订合同,否则扣除投标保证金并列入招标人黑名单,不得参加招标人以后任何项目投标。
4.3当排名第一的中标候选人放弃中标,则排名第二的中标候选人可转为第一中标候选人。
本合同条款将作为中标合同的基础,若投标人对合同条款有异议,请在商务偏离表和技术偏离表中列出,否则视为接受。
重大的偏离可能导致投标被拒绝。
周口隆达发电有限公司
信息系统安全等级保护测评合同
乙方:(中标单位)
根据《中华人民共和国民法典》及相关法律法规的规定,就甲方委托乙方进行信息系统安全等级保护测评事宜,经甲、乙双方协商,本着平等互利和诚实信用的原则,双方达成一致意见,签订以下合同条款。
第一条、 项目名称
项目名称:周口隆达发电有限公司信息系统安全等级保护测评。
第二条、服务内容
具体服务内容详见《周口隆达发电有限公司信息系统安全等级保护测评技术协议》。
第三条、合同价款
1.本项目固定总价承包,合同价款为:人民币 (小写:¥ )含税价,税率为%的可抵扣增值税,其中不含税额为 元。
合同实施期间如遇国家税收政策调整,按不含税净价不变、仅对税款部分进行调整的原则予以调整。
2.合同价款含劳务费、测评服务费、报告编制费、食宿费、管理费、协调费及税金等完成本项目所发生的费用。
第四条、履约保证金
1.本合同签字生效后,乙方对于本项目的投标保证金将自动转为履约保证金。
2.本合同双方权利义务履行完毕后,乙方在履约期间无违约行为,甲方在30个工作日内全额退还履约保证金(无息)。若乙方违约,则甲方可从履约保证金中优先抵扣相应数额的违约金。
第五条、付款方式
1.乙方完成本合同约定所有工作后,向甲方提交验收申请,经甲方验收合格后,乙方向甲方开具与结算金额等额增值税专用发票,甲方收到有效票据后30个工作日内向乙方支付结算金额的100%。
结算金额:合同总价款+考核金额(奖励为正值,处罚为负值)-乙方应承担费用,结算金额以甲方核定数据为准。
乙方应承担费用:如因乙方提供的发票不符合本合同约定,给甲方造成可抵扣税金损失的费用等。
2.乙方指定收款账户信息:
开户名称:
开户行:
账号:
第六条、双方职责
1. 甲方职责
(1)甲方在项目实施过程中,及时安排人员为乙方提供测评所需要的技术文档,并监督乙方的实施质量;
(2)参与项目验收工作,并签字确认;
(3)按照合同约定,及时向乙方支付合同约定相关费用。
2. 乙方职责
(1)乙方向甲方提供符合公安机关及电力主管部门要求的信息安全等级测评报告;
(2)乙方按合同规定组织人员现场信息收集,现场测评,按期完成项目实施工作;
(3)如发生工伤、安全事故及因乙方原因造成设备损坏,全部由乙方负责;
(4)完成合同中所规定的各项承诺、责任与义务。
第七条、项目工期
工期150天,具体开始时间以甲方书面通知为准。
第八条、测评项目验收
详见技术协议。
第九条、违约责任
1.除不可抗力外,甲、乙双方应严格遵守本合同各项条款的规定,并按本合同规定履行其职责,否则即视为违约,另一方有权要求违约方按本合同规定履行其职责。若违约方的违约行为导致另一方遭受经济损失,另一方有权向违约方要求赔偿,赔偿金额和支付形式由甲乙双方另行协商确定, 协商不成的按照相关法律规定解决。
2. 项目实施质量不符合合同规定的,乙方负责无偿返工。由于返工造成逾期交付或未能按合同规定工期交付使用的,偿付逾期违约金1000元,每超过一天再扣除200元,累计不超过合同金额的30%。造成严重损失的,并赔偿由此给甲方造成的全部经济损失。
第十条、不可抗力
1. 本条所述的“不可抗力”是指甲乙双方在订立和合同时无法控制、不可预见,并且通常情况下不可避免和克服的事件,包括但不限于:战争、政变、洪水、火灾、台风、地震、冰雹以及甲乙双方同意成为不可抗力的其他事件。如果由于不可抗力致使本合同任何一方无法按时履行合同义务,则在受不可抗力影响的时间和范围内该方有权中止对其义务的履行。
2. 发生不可抗力事件时,受不可抗力影响的一方应尽快以书面形式将不可抗力的情况和原因通知另一方。同时必须在不可抗力发生后10日内,以挂号信形式递交当地有关公证机关的证明。在任何情况下,如果不可抗力事件持续超过90天,则任何一方有权在向对方发出终止通知后终止本合同。
第十一条、通知与送达
1.双方联系人及联系方式:
甲方联系人: 魏锦霞 联系方式:0394-*******
乙方联系人: 联系方式:
2.双方履行本合同过程中相互发送的函件或通知应按照上述联系方式和地址进行,并特别约定:
(1)如为信函,以收件人签收日期为送达之日。如果是他人代收,则代收人签收日期为送达之日。如果拒收,则以记载的拒收日期或为送达之日;如果无人签收,函件交邮日期视为送达之日;
(2)如为传真,发送之日即为送达之日;
(3)如为专人递送,收件人签收之日为送达之日。拒绝签收的,函件落款日期视为送达之日;
(4)如用电子邮件送达,电子邮件发出之日为送达之日。
3.一方变更其联系人、联系方式或地址应及时书面通知另一方,否则另一方仍有权将变更前的联系方式视为有效,变更方承担一切不利后果。
第十二条、争议解决
合同履行过程中发生争议时,双方应本着真诚合作的精神,通过友好协商解决。如协商不成,任何一方可申请上级业务主管部门进行调解,调解不成时可向合同履行地商水县人民法院诉讼解决,在进行诉讼审理期间,除提交诉讼审理的事项外,合同仍应继续履行。
第十三条、其他事项
1. 本合同一式 陆 份,甲乙双方各执 叁 份,具有同等法律效力。
2. 本合同自双方法定代表人签字并盖章之日起生效。
3. 本合同签订前,乙方应与甲方先签订《技术协议》;合同签订后、施工前与甲方签订《安健环管理协议》,协议作为本合同附件,与合同具有同等法律效力。
4. 合同生效后任何变更必须经甲乙双方共同签署方可有效。
第十四条、合同附件
1. 周口隆达发电有限公司信息系统安全等级保护测评技术协议(另附);
2. 周口隆达发电有限公司信息系统安全等级保护测评安健环管理协议(另附);
3. 廉洁自律公约(另附)。
信息系统安全等级保护测评技术规范书
1、本技术协议适用于周口隆达发电有限公司 信息系统安全等级保护测评项目。
2、本合同价格是为完成本合同范围内信息系统安全等级保护测评工作而发生的各项应有费用,其中主要包括人工费、企业管理费、措施费、完工后场地清理费、政策性文件的调价、利润、规费、税金、现行取费中的其它费用、各种施工措施费、安全文明施工费用、保险、合同执行期间的政策性调整、所有乙供材料的价差以及在工程实施期间各类风险等一切费用。
3、本技术协议书中涉及有关商务方面的内容,如与招标文件的商务部分有矛盾时,以商务部分为准。
4、投标人投标前须自行进行现场踏勘。
为深入贯彻《中华人民共和国网络安全法》,全面落实《关于加强电力行业网络安全工作的指导意见》(国能发安全[2018] 72号),认真履行电力监控系统技术监督职责,周口隆达发电有限公司组织开展#1机组DCS系统、#2机DCS系统 、NCS系统、SIS系统的网络安全等级保护工作。开展两个机组的信息系统安全管理制度建设、技术措施建设和等级测评工作,全面提高周口隆达发电有限公司的网络安全防护能力,有效保障业务系统的健康发展。
见商务。
四、投标人负责项目内容
1、安全物理环境测评
安全物理环境测评涉及的对象包括:物理机房。
安全物理环境所使用的核查记录表包括:《安全物理环境核查记录表》。
各个测评指标的具体内容、测评对象和测评方法见表3.1。
表3.1安全物理环境测评实施内容表
| 序号 | 测评指标 | 测评内容 | 测评方法 |
| 1 | 物理位置选择 | 访谈物理机房负责人,询问现有机房和办公场地(放置终端计算机设备)的环境条件是否能够满足信息系统业务需求和安全管理需求,是否具有基本的防震、防风和防雨等能力; 应检查机房和办公场地的设计/验收文档,是否有机房和办公场地所在建筑具有防震、防风和防雨等能力的说明; 应检查机房和办公场地是否在具有防震、防风和防雨等能力的建筑内。 | 访谈、核查 |
| 2 | 物理访问控制 | 访谈机房安全负责人,了解具有哪些控制机房进出的能力; 应检查机房安全管理制度,查看是否有关于机房出入方面的规定; 应检查机房是否有进出机房的登记记录; 应检查机房出入口是否有专人值守,是否有值守记录,以及进出机房的人员登记记录;检查机房是否不存在专人值守之外的出入口; 应检查机房是否有进入机房的人员身份鉴别措施,如戴有可见的身份辨识标识; 应检查是否有来访人员进入机房的审批记录; 访谈机房安全负责人,了解通过哪些措施限制和监控来访人员的活动范围。 | 访谈、核查 |
| 3 | 防盗窃和防破坏 | 访谈机房安全负责人,询问目前采取了哪些防止设备、介质等丢失的保护措施; 应检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内; 应检查是否有设备管理制度文档; 应检查主要设备或设备的主要部件的固定情况,是否不易被移动或被搬走,是否设置明显的无法除去的标记; 访谈机房维护人员,询问通信线缆是否铺设在隐蔽处,并检查通信线缆铺设是否在隐蔽处(如铺设在地下或管道中等); 应检查是否有通信线路布线文档; 访谈资产管理员,在介质管理中,是否进行了分类标识,是否存放在介质库或档案室中; 应检查介质的管理情况,查看介质是否有正确的分类标识,是否存放在介质库或档案室中; 应检查是否有介质管理制度文档,介质清单和使用记录; 应检查机房是否安装了防盗报警设施,设施是否正常运行; 访谈机房维护人员,询问是否对机房安装的防盗报警设施进行定期维护检查,并查看运行和报警记录; 应检查是否有机房防盗报警设施的安装测试/验收报告。 | 访谈、核查 |
| 4 | 防雷击 | 访谈物理安全负责人,询问为防止雷击事件导致重要设备被破坏采取了哪些防护措施,机房建筑是否设置了避雷装置,是否通过验收或国家有关部门的技术检测; 访谈机房维护人员,询问机房建筑避雷装置是否有人定期进行检查和维护; 应检查机房是否有建筑防雷设计/验收文档; 访谈物理安全负责人,询问机房计算机供电系统是否有交流电源地线; 访谈机房维护人员,询问机房计算机系统接地(交流工作接地、安全保护接地、防雷接地)是否符合GB*****-93《电子计算机机房设计协议》的要求(交流工作接地的接地电阻不应大于4Ω,安全保护地的接地电阻不应大于4Ω;防雷保护地(处在有防雷设施的建筑群中可不设此地)的接地电阻不应大于10Ω); 查看建筑防雷设计/验收文档中是否有地线连接要求的描述。 | 访谈、核查 |
| 5 | 防火 | 访谈物理安全负责人,询问机房是否设置了灭火设备,是否设置了火灾自动报警系统,是否有人负责维护该系统的运行; 访谈机房值守人员,询问对机房出现的消防安全隐患是否能够及时报告并得到排除;是否能够正确使用灭火设备和火灾自动报警系统; 应检查机房是否设置了灭火设备,摆放位置是否合理,有效期是否合格; 应检查机房火灾自动报警系统是否正常工作,查看是否有运行记录、报警记录、定期检查和维修记录;应检查是否有有关机房消防的管理制度文档,机房防火设计/验收文档,火灾自动报警系统的设计/验收文档。 | 访谈、核查 |
| 6 | 防水和防潮 | 访谈物理安全负责人,询问机房建设是否有防水防潮措施;如果机房内有上/下水管安装,是否穿过屋顶和活动地板下,穿过墙壁和楼板的水管是否采取了可靠的保护措施; 访谈机房维护人员,询问机房是否出现过漏水和返潮事件;如果机房内有上下水管安装,是否经常检查是否有漏水情况; 应检查机房是否有建筑防水和防潮设计/验收文档,是否能够满足机房防水和防潮的需求;如果有管道穿过主机房墙壁和楼板处,应检查是否置套管,管道与套管之间是否采取可靠的密封措施; 应检查机房是否不存在屋顶和墙壁等出现过漏水、渗透和返潮现象,机房及其环境是否不存在明显的漏水和返潮的威胁;如果出现漏水、渗透和返潮现是否能够及时修复解决; 访谈物理安全负责人,询问在湿度较高地区或季节是否有人负责机房防水防潮事宜,配备除湿装置,并有湿度记录; 访谈机房维护人员,如果出现机房水蒸气结露和地下积水的转移与渗透现象是否及时采取防范措施; 访谈机房维护人员,询问是否有防止出现机房地下积水的转移与渗透的措施,是否有防水防潮处理记录。 | 访谈、核查 |
| 7 | 防静电 | 访谈物理安全负责人,询问机房关键设备是否采用必要的接地防静电措施; 访谈机房维护人员,询问机房是否存在静电问题或因静电引起的故障事件; 应检查机房是否有防静电设计/验收文档; 应检查机房是否有安全接地,查看机房是否明显存在静电现象。 | 访谈、核查 |
| 8 | 温湿度控制 | 访谈物理安全负责人,询问机房是否配备了温湿度自动调节设施,保证温湿度能够满足计算机设备运行的要求,是否在机房管理制度中规定了温湿度控制的要求,是否有人负责此项工作; 访谈机房维护人员,询问是否定期检查和维护机房的温湿度自动调节设施,询问是否出现过温湿度影响系统运行的事件; 应检查机房是否有温湿度控制设计/验收文档; 应检查温湿度自动调节设施是否能够正常运行,查看温湿度记录、运行记录和维护记录;查看机房温湿度是否满足GB 2887-89《计算站场地技术条件》的要求(A级:温度夏季23±2℃,冬季20±2℃,湿度45~65%;B级:温度15~30℃,湿度40~70%)。 | 访谈、核查 |
| 9 | 电力供应 | 访谈物理安全负责人,询问计算机系统供电线路上是否设置了稳压器和过电压防护设备; 应检查机房,查看计算机系统供电线路上的稳压器和过电压防护设备是否正常运行; 访谈机房维护人员,询问是否对在计算机系统供电线路上的稳压器、过电压防护设备等进行定期检查和维护,是否有检查和维护记录;是否能够控制电源稳压范围满足计算机系统运行正常; 应检查机房是否有电力供应安全设计/验收文档,是否在其中标明配备稳压器、过电压防护设备等要求; 访谈物理安全负责人,询问是否设置了短期备用电源设备(如UPS),供电时间是否满足系统最低电力供应需求; 应检查机房,查看计算机系统供电线路上的短期备用电源设备是否正常运行; 访谈机房维护人员,询问是否对在计算机系统供电线路上的短期备用电源设备等进行定期检查和维护,是否有检查和维护记录; 应检查机房是否有电力供应安全设计/验收文档,是否在其中标明配备短期备用电源设备等要求。 | 访谈、核查 |
| 10 | 电磁防护 | 访谈机房维护人员,询问是否做到电源线和通信线缆隔离;是否出现过因外界电磁干扰等问题引发的故障; 应检查机房是否有电磁防护设计/验收文档; 应检查机房布线,查看是否做到电源线和通信线缆隔离。 | 访谈、核查 |
2、安全通信网络测评
安全通信网络测评涉及的对象包括:网络架构、通信传输、可信验证。
安全通信网络所使用的核查记录表包括:《安全通信网络核查记录表》。
各个测评指标的具体内容、测评对象和测评方法见表3.2。
表3.2 安全通信网络测评实施内容表
| 序号 | 测评指标 | 测评内容 | 测评方法 |
| 1 | 网络架构 | 核查业务高峰时期一段时间内主要网络设备的cpu使用率和内存使用率是否满足需要。核查网络设备是否从未出现过因设备性能问题导致的宕机情况。测试验证设备是否满足业务高峰期需求。核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要;测试验证网络带宽是否满足业务高峰期需要。核查是否依据重要性、部门等因素划分不同网络区域;核查网络设备配置信息,验证划分的网络区域是否与划分原则一致。核查网络拓扑是否与实际运行环境一致;核查重要网络区域是否未部署在网络边界;核查重要区域与其他网络区域之间是否采取可靠的技术隔离手段(网闸、防火墙和ACL)。核查是否有关键网络设备、安全设备和关键计算设备的硬件冗余(主备或双活)和通信线路冗余。 | 访谈、核查 |
| 2 | 通信传输 | 核查是否在通信过程中使用校验技术或密码技术保证其完整性;测试验证密码技术设备或组件能否保证通信过程中数据的完整性。核查是否在通信过程中采取保密措施,具体采用哪些技术措施;测试验证通信过程中是否对数据进行加密。 | 访谈、核查 |
| 3 | 可信验证 | 核查是否基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证;核查是否在应用程序的关键执行环节进行动态可信验证;测试验证,当检测到通信设备的可信性受到破坏后是否进行报警;测试验证,验证结果是否以审计记录的形式送至安全管理中心。 | 访谈、核查 |
3、安全区域边界测评
安全区域边界测评涉及的对象包括:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
各个测评指标的具体内容、测评对象和测评方法见表3.3。
表3.3 网络安全测评实施内容表
| 序号 | 测评指标 | 测评内容 | 测评方法 |
| 1 | 边界防护 | 检查网络边界处是否部署访问控制设备;检查设备配置信息是否指定端口进行跨越边间的网络通信,指定端口是否配置并启用安全策略;采用其他技术手段(如非法无线网络设备定位、核查设备配置信息等)核查或测试验证是否不存在其他未受控端口进行跨越边界的网络通信。检查是否采用技术措施防止非授权设备接入内部网络;检查所有路由器和交换机相关设备闲置端口是否关闭。检查是否采用技术措施防止内部用户存在非法外联行为。检查无线网络的部署方式,是否单独组网后再连接到有线网络;检查无线网络是否通过受控的边界防护设备接入到内部有线网络。检查网络边界或区域之间是否部署访问控制设备并启用访问控制策略;检查设备最后一条访问控制策略是否禁止所有网络通信。应检查是否不存在多余或无效的访问控制策略;应检查不同的访问控制策略之间的逻辑关系和前后排序顺序是否合理。检查无线网络的部署方式,是否单独组网后再连接到有线网络;检查无线网络是否通过受控的边界防护设备接入到内部有线网络。 | 访谈、核查 |
| 2 | 访问控制 | 检查网络边界或区域之间是否部署访问控制设备并启用访问控制策略;检查设备最后一条访问控制策略是否禁止所有网络通信。应检查是否不存在多余或无效的访问控制策略;应检查不同的访问控制策略之间的逻辑关系和前后排序顺序是否合理。检查设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数;测试验证访问控制策略中设定的相关配置参数是否有效。检查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力;应测试验证是否为进出数据流提供明确的允许/拒绝访问的能力。检查是否部署访问控制设备并启用访问控制策略;测试验证设备访问控制策略是否能够对进出网络的数据流实现基于应用协议和应用内容的访问控制。 | 访谈、核查 |
| 3 | 入侵防范 | 核查相关系统或组件是否能够检测从外部发起的网络攻击行为;核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本;核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点;应测试验证相关系统或组件的配置信息或安全策略是否有效。核查相关系统或组件是否能够检测到从内部发起的网络攻击行为;核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本;核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点;应测试验证相关系统或组件的配置信息或安全策略是否有效。核查是否部署相关系统或组件对新型网络攻击进行检测和分析;应测试验证是否对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析。核查相关系统或组件的记录是否包括攻击源IP、攻击类型、攻击目标、攻击时间等相关内容;应测试验证相关系统或组件的报警策略是否有效。 | 访谈、核查 |
| 4 | 恶意代码和垃圾邮件防范 | 核查在关键网络节点处是否部署防恶意代码产品等技术措施;核查防恶意代码产品运行是否正常,恶意代码库是否已经更新到最新;应测试验证相关系统或组件的安全策略是否有效。核查在关键网络节点处是否部署了防垃圾邮件产品等技术措施;核查防垃圾邮件产品运行是否正常,防垃圾邮件规则库是否已经更新到最新;应测试验证相关系统或组件的安全策略是否有效。 | |
| 5 | 安全审计 | 核查是否部署了综合安全审计系统或类似功能的系统平台;核查安全审计范围是否覆盖到每个用户;核查是否对重要的用户行为和重要安全事件进行了审计。核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。核查是否采取了技术措施对审计记录进行保护;核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略。检查是否对远程访问用户及互联网访问用户行为单独进行审计分析。 | 访谈、核查 |
| 6 | 可信验证 | 检查是否基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证;检查是否在应用程序的关键执行环节进行动态可信验证;测试验证,当检测到通信设备的可信性受到破坏后是否进行报警;测试验证,验证结果是否以审计记录的形式送至安全管理中心。 | 访谈、核查 |
4、安全计算环境测评
安全计算环境测评所使用的核查记录表包括:《安全计算环境测评核查表》。
各个测评指标的具体内容、测评对象和测评方法见表3.4。
表3.4 安全计算环境测评实施内容表
| 序号 | 测评指标 | 测评内容 | 测评方法 |
| 1 | 身份鉴别 | 核查用户在登录时是否采用了身份鉴别措施;否具有唯一性;核查用户配置信息或测试验证是否不存在空口令用户;核查用户鉴别信息是否具有复杂度要求并定期更换。核查是否配置并启用了登录失败处理功能;核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账户锁定等;核查是否配置并启用了登录连接超时及自动退出功能。核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。核查是否采用动态口令 、数字证书 、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别;核查其中一种鉴别技术是否使用密码技术来实现。 | 访谈、核查 |
| 2 | 访问控制 | 核查是否为用户分配了账户和权限及相关设置悄况;核查是否已禁用或限制匿名、默认账户的访问权限。核查是否已经重命名默认账户或默认账户已被删除;核查是否已修改默认账户的默认口令。核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应;应测试验证多余的、过期的账户是否被删除或停用。核查是否进行角色划分;核查管理用户的权限是否已进行分离;核查管理用户权限是否为其工作任务所需的最小权限。核查是否由授权主体(如管理用户)负责配置访问控制策略;核查授权主体是否依据安全策略配詈了主体对客体的访问规则;应测试验证用户是否有可越权访问情形。核查访问控制策略的控制粒度是否达到主体为用户级或进程级,客体为文件、数据库表 、记录或字段级。核查是否对主体、客体设置了安全标记;应测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略。 | 访谈、核查 |
| 3 | 安全审计 | 核查是否开启安全审计功能;核查安全审计范围是否覆盖到每个用户;核查是否对重要的用户行为和重要安全事件进行审计。核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。核查是否采取了保护措施对审计记录进行保护;核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略。测试验证通过非审计管理员的其他账户来中断审计进程,验证审计进程是否受到保护。 | 访谈、核查 |
| 4 | 入侵防范 | 核查是否遵循最小安装原则;核查是否未安装非必要的组件和应用程序。核查是否关闭了非必要的系统服务和默认共享;核查是否不存在非必要的高危端口。核查配置文件或参数是否对终端接入范围进行限制。核查系统设计文档的内容是否包括数据有效性校验功能的内容或模块;应测试验证是否对人机接口或通信接口输入的内容进行有效性检验。应通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞;核查是否在经过充分测试评估后及时修补漏洞。访谈并核查是否有入侵检测的措施;核查在发生严重入侵事件时是否提供报告。 | 访谈、核查 |
| 5 | 恶意代码防范 | 核查是否安装了防恶意代码软件或相应功能的软件,定期进行升级和更新防恶意代码库;核查是否采用主动免疫可信验证技术及时识别人侵和病毒行为;核查当识别入侵和病毒行为时是否将其有效阻断。 | 访谈、核查 |
| 6 | 可信验证 | 核查是否基千可信根对计舞设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;核查是否在应用程序的关键执行环节进行动态可信验证;应测试验证当检测到计算设备的可信性受到破坏后是否进行报菩;应测试验证结果是否以审计记录的形式送至安全管理中心。 | 访谈、核查 |
| 7 | 数据完整性 | 核查系统设计文档,鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在传输过程中是否采用了校验技术或密码技术保证完整性;应测试验证在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,是否能够检测到数据在传输过程中的完整性受到破坏并能够及时恢复。核查设计文档,是否采用了校验技术或密码技术保证鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性;核查是否采用技术措施(如数据安全保护系统等)保证鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性;应测试验证在存储过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,是否能够检测到数据在存储过程中的完整性受到破坏并能够及时恢复。 | 访谈、核查 |
| 8 | 数据保密性 | 核查系统设计文档,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否采用密码技术保证保密性;应通过嗅探等方式抓取传输过程中的数据包,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否进行了加密处理。核查系统设计文档,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否采用密码技术保证保密性;核查是否采用技术措施(如数据安全保护系统等)保证鉴别数据、重要业务数据和重要个人信息等在存储过程中的保密性;应测试验证是否对指定的数据进行加密处理。 | 访谈、核查 |
| 9 | 数据备份恢复 | 核查是否按照备份策略进行本地备份;核查备份策略设置是否合理、配置是否正确;核查备份结果是否与备份策略一致;核查近期恢复测试记录是否能够进行正常的数据恢复。核查是否提供异地实时备份功能,并通过网络将主要配置数据、主要业务数据实时备份至备用场地。核查重要数据处理系统(包括边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器等)是否采用热冗余方式部署。 | 访谈、核查 |
| 10 | 剩余信息保护 | 核查相关配詈信息或系统设计文档,用户的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。核查相关配置信息或系统设计文档,敏感数据所在的存储空间被释放或重新分配给其他用户前是否得到完全清除。 | 访谈、核查 |
5、安全管理中心测评
注:安全管理的测评(包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)采用人员访谈和文档核查方式,测评对象为安全管理文档及相关执行记录,以下具体章节中对测评对象不再进行赘述。
安全管理中心测评涉及的测评对象包括:系统管理、审计管理、安全管理、集中管控。
各个测评指标的具体内容、测评对象和测评方法见表3.5。
表3.5 安全管理中心测评实施内容表
| 序号 | 测评指标 | 测评内容 | 测评方法 |
| 1 | 系统管理 | 核查是否对网络设备、安全设备、服务器等设备进行集中管理(集中管理可以通过堡垒机等系统集中进行管理,也可以通过专用终端和区域进行远程管理),核查是否对系统管理员进行身份鉴别;核查是否只允许系统管理员通过特定的命令或操作界面进行系统管理操作,即:是否通过权限控制的方式,使用各个被管理对象的系统管理员账号进行系统管理操作。核查是否对系统管理员的操作进行审计。核查各个被管理设备是否对系统管理员进行权限划分;核查系统管理员权限是否有别于安全管理员与审计管理员;核查只能通过系统管理员对系统的资源和运行进行配置、控制和管理。 | 访谈、核查 |
| 2 | 审计管理 | 检查是否具有集中审计管理设备,集中审计范围是否覆盖网络设备、安全设备、服务器、数据库、业务应用软件等重要设备;使用专用终端进行审计管理的设备是否通过审计管理员进行审计管理;是否对审计管理员进行身份鉴别;核查是否只允许审计管理员通过特定的命令或操作界面进行审计管理操作;核查是否对审计管理员的操作进行审计。核查是否对审计管理员进行权限划分。核查审计管理员的权限是否有别于系统管理员和安全管理员。核查是否只有审计管理员可以查看和分析审计数据。 | 访谈、核查 |
| 3 | 安全管理 | 检查是否对网络设备、安全设备、服务器等设备进行集中管理;且集中管理设备是否通过安全管理员进行安全管理,并对安全管理员进行身份鉴别;核查是否只允许安全管理员通过特定的命令或操作界面进行安全管理操作;即:是否通过权限控制的方式,使用各个被管理对象的安全管理员账号进行系统管理操作。核查是否对安全管理员的操作进行审计。核查是否已对安全管理员进行权限划分。核查安全管理员的权限是否有别于系统管理员和审计管理员。核查是否只有安全管理员可以配置与安全策略有关的参数。 | 访谈、核查 |
| 4 | 集中管控 | 核查网络拓扑结构图,是否划分出单独的网络区域用于部署安全设备或安全组件;核查各个安全设备或安全组件的配置等,管理工作是否均由管理区域内的设备完成。核查网络设备/安全设备或相关组件(如堡垒机、安全运维平台)是否采用安全的管理方式;或者核查是否使用独立的带外管理网络对安全设备或安全组件进行管理。核查是否部署了具备运行状态监测功能的系统或设备,以及是否能对网络链路、 安全设备、网络设备和服务器等的运行状况进行集中监测。测试验证运行状态监测系统或设备是否能根据网络链路、安全设备、网络设备和服务器等的工作状态及设定的闾值(或默认阀值)进行实时报警。核查各个设备是否配置并启用了相关策略,以及是否已将审计数据发送到独立于设备的外部集中安全审计系统中;核查是否部署了集中安全审计系统,统一收集和存储各设备日志,并根据需要进行集中审计分析;核查审计记录的留存时间是否至少为6个月。核查是否采用加密/完整性校验方式传输审计数据。核查是否采用加密/完整性校验方式存储审计数据。核查是否能对安全策略(如防火墙访问控制策略、入侵保护系统防护策略、WAF安全防护策略等)进行集中管理;核查是否实现对操作系统防恶意代码系统及网络恶意代码防护设备的集中管理,实现防恶意代码产品特征库升级的集中管理;核查是否实现对各个系统或设备的补丁升级进行集中管控。核查是否部署集中安全管控系统,对安全事件进行分析并通过声光等方式实时报警;核查监测范围是否能够覆盖网络所有关键路径,如网络边界、不同区域之间等。 | 访谈、核查 |
6、安全管理制度测评
安全管理制度测评所使用的核查记录表包括:《安全管理制度核查记录表》。
各个测评指标的具体内容、测评对象和测评方法见表3.6。
表3.6安全管理制度测评实施内容表
| 序号 | 测评指标 | 测评内容 | 测评方法 |
| 1 | 安全策略 | 核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略。 | 访谈、核查 |
| 2 | 管理制度 | 核查是否有安全管理制度。管理制度是否覆盖物理、网络、主机系统、数据、应用、建设和运维等管理内容。核查是否具有日常管理操作的操作规程,如系统维护手册和用户操作规程等。核查是否具有总体方针策略文件、管理制度和操作规程、记录表单等。核查管理体系是否全面并且和各要素之间是否具有关联性和一致性。 | 访谈、核查 |
| 3 | 制定和发布 | 访谈是否由专门的部门或人员负责制定安全管理制度及参与制定人员有哪些。核查人员职责、岗位设置等相关管理制度文档是否明确由专门的部门或人员负责安全管理制度的制定工作。核查制度制定和发布要求管理文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容。核查安全管理制度的收发登记记录是否通过正式、有效的方式收发,如正式发文、领导签署和单位盖章等,是否注明发布范围。 | 访谈、核查 |
| 4 | 集评审和修订 | 访谈信息/网络安全主管是否定期对安全管理制度体系的合理性和适用性进行审定。核查是否具有安全管理制度的审定或论证记录,如果对制度做过修订,核查是否有修订版本的安全管理制度。 | 访谈、核查 |
7、安全管理机构测评
安全管理机构测评所使用的核查记录表包括:《安全管理机构核查记录表》。
各个测评指标的具体内容、测评对象和测评方法见表3.7。
表3.7 安全管理机构测评实施内容表
| 序号 | 测评指标 | 测评内容 | 测评方法 |
| 1 | 岗位设置 | 访谈网络安全负责人,是否成立网络安全领导小组,核查相关文档是否明确了网络安全工作委员会或领导小组构成情况和相关职责,询问小组组长由谁担任,核查是否是单位领导。访谈网络安全负责人,是否设立网络安全管理工作的职能部门,部门名称是什么,核查文档内容是否明确网络安全职能部门和负责人职责,核查文档内容是否包含安全管理各个方面的负责人岗位,都由谁担任。访谈网络安全负责人,是否设立安全管理岗位,分别由谁担任,核查部门职责文档,否明确了各部门及各岗位职责。 | 访谈、核查 |
| 2 | 人员配备 | 访谈网络安全负责人,是否配备系统管理员、审计管理员和安全管理员,分别由谁担任,核查部门职责文档,内容是否包含各岗位人员配备情况。核查记录表单类文档,安全管理员是否专职。 | 访谈、核查 |
| 3 | 授权和审批 | 核查管理制度类文档和记录表单类文档,是否明确各部门、各岗位审批事项;核查部门职责文档是否明确各岗位审批事项。 核查操作规程类文档和记录表单类文档,是否明确重要操作过程中的逐级审批程序;核查相关记录是否与相关制度规范一致。访谈网络安全负责人,是否对各类审批事项进行更新;核查是否具有定期审查审批事项的记录。 | 访谈、核查 |
| 4 | 沟通和合作 | 访谈网络安全负责人,是否定期组织各类管理人员、部门开会,共同协作处理网络安全问题,核查是否具有各类管理人员之间、组织内部机构和网络安全管理部门之间的会议记录文档。 访谈网络安全负责人,是否定期与网络安全职能部门、各类供应商、业界专家及安全组织开展合作和沟通;核查是否具有与网络安全职能部门、各类供应商、业界专家及安全组织等会议记录文档。核查是否建立外联单位联系列表,内容是否包含外联单位名称、合作内容、联系人和联系方式等信息。 | 访谈、核查 |
| 5 | 审核和检查 | 访谈网络安全负责人,是否定期进行安全检查;核查相应记录是否包括了系统日常运行、系统漏洞和数据备份等情况。 访谈网络安全负责人,是否定期进行全面安全检查;核查相应记录是否包括了现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。核查是否制定安全检查表格实施安全检查,并查看通报记录。 | 访谈、核查 |
8、安全管理人员测评
各个测评指标的具体内容、测评对象和测评方法见表3.8。
表3.8安全管理人员测评实施内容表
| 序号 | 测评指标 | 测评内容 | 测评方法 |
| 1 | 人员录用 | 询问是否有授权专门部门或人员负责人员录用; 应检查是否具有人员录用时对录用人身份、专业资格等进行审查的相关文档或记录,查看是否记录审查内容和审查结果等; 应检查保密协议,查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人签字等。 | 访谈、核查 |
| 2 | 人员离岗 | 访谈安全主管,询问是否及时终止离岗人员所有访问权限; 应检查是否具有对离岗人员的安全处理记录,如取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等登记记录; 访谈人事工作人员,询问调离手续包括哪些,是否要求调离人员承诺相关保密义务后方可离开;应检查保密承诺文档,查看是否有调离人员的签字。 | 访谈、核查 |
| 3 | 安全意识教育和培训 | 核查管理制度类文档,是否规定各类人员进行安全意识教育和岗位技能培训,核查培训记录;核查安全责任和惩戒措施管理文档是否包含具体的安全责任和惩戒措施。核查是否具有安全教育和培训计划文档,内容是否具有不同岗位的培训计划;核查培训记录表单类文档,是否包含安全基础知识、岗位操作规程;核查培训记录是否有培训人员、培训内容、培训结果等描述。访问网络安全负责人多久对人员进行技能考核;核查记录表单类文档,是否具有技能记录。 | 访谈、核查 |
| 4 | 外部人员访问管理 | 核查管理制度类文档,是否明确外部人员访问内容;核查记录表单类文档是否具有审批记录;核查《外部人员访问记录》,内容包含进入时间、离开时间、访问区域及陪同人。核查管理制度类文档,是否明确外部人员访问管理;核查记录表单类文档是否具有审批记录;核查登记记录是否记录访问的权限、时限、账户等内容。 核查管理制度类文档,是否明确外部人员离场后清除权限内容;核查记录表单类文档是否具有清除记录。核查记录表与外部人员签署的保密协议。 | 访谈、核查 |
9、安全建设管理测评
各个测评指标的具体内容、测评对象和测评方法见表3.9。
表3.9安全建设管理测评实施内容表
| 序号 | 测评指标 | 测评内容 | 测评方法 |
| 1 | 定级和备案 | 核查网络安全等级保护定级报告是否是否说明定级的方法和理由。访谈网络安全负责人系统是否经过专家定级评审,检查定级评审意见或其他佐证文件。核查主管部门的审批意见表。访谈网络安全负责人系统是否已备案,检查系统备案证。 | 访谈、核查 |
| 2 | 安全方案设计 | 核查是否具有系统安全建设方案或系统整个建议。核查是否具有系统详细设计方案,是否包含总体规划和安全设计方案等配套文件。访谈网络安全负责人是否组织相关部门和专家对系统设计方案进行评审、检查是否具有设计方案评审意见。 | 访谈、核查 |
| 3 | 产品采购和使用 | 核查管理制度类文档是否明确采购流程,核查产品销售许可证书。访谈网络安全负责人系统是否使用了密码产品,核查密码产品证书是否符合国家要求。访谈建设负责人产品采购流程;核查产品采购管理制度或要求;核查采购管理内容是否覆盖产品的选择方式以及定期审定和更新产品列表。 | 访谈、核查 |
| 4 | 自行软件开发 | 访谈建设负责人是否将开发环境与实际运行环境物理分开;检查测试数据和结果是否受控使用。核查软件开发管理制度是否明确开发过程中的控制方法和人员行为准则,是否明确哪些开发活动应经过授权和审批。访谈系统建设负责人是否有代码编写安全规范,核查代码编写规范是否明确代码的编写规则,访谈系统建设负责人是否有人负责对软件设计的相关文档进行管控;核查被测评系统是否有开发文档和使用说明文档。访谈开发负责人是否对系统进行过安全性测试;核查是否具有《软件安全测试报告》和《代码审计报告》。访谈建设负责人是否对程序资源库进行管控,核查对程序资源库的修改、更新、发布进行授权和审批的文档或记录是否有批准人的签字。访谈建设负责人开发人员是否为专职人员;访谈建设负责人开发人员是否为专职、检查保密协议。 | 访谈、核查 |
| 5 | 外包软件开发 | 访谈建设负责人是否做了恶意代码检测;核查是否具有交付前的恶意代码检测报告。核查是否具有软件开发的相关文档。访谈建设负责人委托开发单位是否提供了软件源代码;检查软件测试报告是否审查了软件可能存在的后门和隐蔽信道。 | 访谈、核查 |
| 6 | 工程实施 | 访谈建设负责人是否对测试验收进行管控;核查是否制定了验收方案和验收报告,验收报告是否具有审定意见。访谈建设方负责人,系统上线前是否开展安全性测试;核查是否具有安全测试报告,报告是否包含密码应用安全性测试相关内容。 | 访谈、核查 |
| 7 | 测试验收 | 访谈系统建设负责人,询问是否对系统进行安全性测试验收; 访谈系统建设负责人,询问是否根据设计方案或合同要求组织相关部门和人员对测试报告进行符合性审定; 应检查工程测试方案,查看其是否对参与测试部门、人员、现场操作过程等进行要求;查看测试记录是否详细记录了测试时间、人员、操作过程、测试结果等方面内容;查看测试报告是否提出存在问题及改进意见等; 访谈系统建设负责人,询问是否组织相关部门和相关人员,哪些部门哪些人员,对系统测试验收报告进行审定,是否由双方签字进行确认; 应检查系统测试验收报告,是否有审定部门的人员的签字。 | 访谈、核查 |
| 8 | 系统交付 | 访谈建设方负责人是否对系统交付建立管控流程以及交付清单;核查交付清单内容。访谈建设方负责人是否对运维人员进行技能培训;核查是否具有技能培训记录,记录是否包括培训内容、培训时间和参与人员等。核查承建单位是否提供了系统操作或运维说明书。 | 访谈、核查 |
| 9 | 等级测评 | 访谈运维负责人本次测评是否为首次,若非首次,是否根据以往测评结果进行相应的安全整改;检查是否具有等级测评报告或整改方案。访谈运维负责人系统是否发生过重大变化或因发生重大变更后是否进行等级测评,若有发生重大变更则检查否具有相应情况下的等级测评报告。核查以往等级测评的测评单位是否具有等级测评机构资质。 | 访谈、核查 |
| 10 | 服务供应商选择 | 访谈建设负责人如何选择服务商;检查服务商资质文件。核查用户单位是否与安全服务商签订服务合同。核查服务商是否定期提供安全服务报告;核查服务供应商服务报告或服务审核报告;检查是否具有服务商的评价审核管理制度。 | 访谈、核查 |
10、安全运维管理测评
各个测评指标的具体内容、测评对象和测评方法见表3.10
表3.10安全运维管理测评实施内容表
| 序号 | 测评指标 | 测评内容 | 测评方法 |
| 1 | 环境管理 | 访谈物理安全负责人是否指定部门和人员负责机房安全管理工作,对机房的出入进行管理,对基础设施(如空调、供配电设备、灭火设备等)定期维护;核查部门或人员岗位职责文档是否明确机房安全的责任部门及人员;核查机房的出入登记记录是否记录来访人员、来访时间、离开时间、携带物品等信息;核查机房的基础设施的维护记录是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容,核查机房安全管理制度是否覆盖物理访问、物品进出和环境安全等方面内容;核查物理访问、物品带出和环境安全等相关记录是否与制度相符。核查机房安全管理制度是否明确来访人员的接待区域;核查办公桌面上等位置是否未随意放置含有敏感信息的纸档文件和移动介质。 | 访谈、核查 |
| 2 | 资产管理 | 核查资产清单是否包括资产类别(设备设施、软件、文档等)、资产责任部门、重要程度和所处位置等内容。访谈资产管理员是否依据资产的重要程度对资产进行标识,不同类别的资产在管理措施的选取上是否不同;核查资产管理制度是否明确资产的标识方法以及不同资产的管理措施要求;核查资产清单中的设备是否具有相应标识,标识方法是否符合相关要求。核查分类文档是否规定了分类标识的原则和方法(如根据信息的重要程度、名程度或用途不同进行分类);核查信息资产管理办法是否规定了不同类信息的使用、传输和存储要求。 | 访谈、核查 |
| 3 | 介质管理 | 访谈资产管理员介质存放环境是否安全,存放环境是否专人管理;核查介质管理记录是否记录介质归档、使用和定期盘点等情况。访谈资产管理员介质在物理传输过程中的人员选择、打包、交付等情况是否进行控制;核查是否对介质的归档和查询进行登记记录。 | 访谈、核查 |
| 4 | 设备维护管理 | 访谈设备管理员是否对各类设备、线路指定专人或专门部门进行定期维护;核查部门或人员岗位职责文档是否明确设备维护管理的责任部门。核查设备维护管理制度是否明确维护人员的责任、维修和服务的审批、维修过程的监督控制等方面内容;2.核查是否留有维修和服务的审批、维修过程等记录,审批、记录内容是否与制度相符。访谈设备管理员含有重要数据的设备带出工作环境是否有加密措施;访谈设备管理员对带离机房的设备是否经过审批;核查是否具有设备带离机房或办公地点的审批记录。访谈设备管理员含有存储介质的设备在报废或重用前,是否采取措施完全清除或安全覆盖。 | 访谈、核查 |
| 5 | 漏洞和风险管理 | 核查是否有识别安全漏洞和隐患的安全报告或记录(如漏洞扫描报告、渗透测试报告和安全通报等);核查相关记录是否对发现的漏洞及时进行修补或评估可能的影响后进行修补。访谈安全管理员是否定期对信息系统开展安全测评;核查是否具有安全测评报告;核查是否具有安全整改应对措施文档。 | 访谈、核查 |
| 6 | 网络和系统安全管理 | 核查网络和系统安全管理文档,系统管理员是否划分不同角色,并定义各个角色的责任和权限。访谈运维负责人是否指定专门的部门或人员进行账户管理;核查相关审批记录或流程是否对申请账户、建立账户、删除账户进行控制。核查网络和系统安全管理制度是否覆盖网络和系统的安全策略、账户管理(用户责任、义务、风险、权限审批、权限分配、账户注销等)、配置文件的生成及备份、变更审批、授权访问、最小服务、升级与打补丁、审计日志管理、登录设备和系统的口令更新周期等方面。核查重要设备和系统(操作系统、数据库、网络设备、安全设备、应用和组件)的配置和操作手册是否明确操作步骤,参数配置等内容。核查运维操作日志是否覆盖网络和系统的日常巡检、运行维护、参数的设置和修改等内容。访谈网络和系统相关人员是否指定专门部门或人员对日志、监测和报警数据进行分析统计;核查是否具有对日志、监测和报警数据等进行分析统计的报告。访谈网络和系统相关人员调整配置参数结束后是否同步更新配置信息库,并核实配置信息库是否为最新版本;核查是否具有变更运维的审批记录,如系统连接、安装系统组件或调整配置参数等活动;核查是否具有变更运维的操作过程记录。访谈系统管理员使用运维工具结束后是否删除工具中的敏感数据;核查是否具有运维工具接入系统的审批记录;核查运维工具的审计日志记录,审计日志是否不可以更改。访谈系统相关人员日常运维过程中是否存在远程运维,若存在,远程运维结束后是否立即关闭接口或通道;核查开通远程运维的审批记录;核查针对远程运维的审计日志是否不可以更改。访谈系统相关人员网络外联连接(如互联网、合作伙伴企业网、上级部门网络等)是否都得到授权与批准;访谈网络管理员是否定期核查违规联网行为;核查是否具有外联授权的记录文件。 | 访谈、核查 |
| 7 | 恶意代码防范管理 | 访谈运维负责人是否采取培训和告知等方式提升员工的防恶意代码意识;核查恶意代码防范管理制度是否明确对外来计算机或存储设备接入系统前进行恶意代码核查。采用可信验证技术,访谈安全管理员是否发生过恶意代码攻击事件;采用防恶意代码产品,访谈安全管理员是否定期对恶意代码特征库进行升级,且对升级情况进行记录,对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报,是否未出现过大规模的病毒事件;核查是否具有恶意代码检测记录,恶意代码库升级记录和分析报告。 | 访谈、核查 |
| 8 | 配置管理 | 访谈系统管理员是否对基本配置信息进行记录和保存;访谈配置管理人员基本配置信息改变后是否及时更新基本配置信息库;核查配置信息的变更流程是否具有相应的申报审批程序,并核查审批记录。 | 访谈、核查 |
| 9 | 密码管理 | 访谈安全管理员,密码管理过程中是否遵循密码相关的国家标准和行业标准要求。核查相关产品是否获得有效的国家密码管理主管部门规定的检测报告或密码产品型号证书。 | 访谈、核查 |
| 10 | 变更管理 | 核查系统变更管理制度,是否包含变更管理流程、变更内容分析与论证、变更方案审批流程等相关内容;核查变更方案是否包含变更方案是否包含变更类型、变更原因、变更过程、变更前评估等内容;核查是否具有变更方案评审记录和变更过程记录文档。核查变更控制的申报、审批程序是否规定需要申报的类型、申报流程、审批部门、批准人等方面内容;核查是否具有变更实施过程的记录文档。访谈运维负责人变更中止或失败后的恢复程序、工作方法和职责是否文档化,恢复过程是否经过演练;核查是否具有变更恢复演练记录;核查变更程序是否规定变更中止或失败后的恢复流程。 | 访谈、核查 |
| 11 | 备份与恢复管理 | 访谈系统管理员有哪些需要定期备份的业务信息、系统数据及软件系统;核查是否具有定期备份的重要业务信息、系统数据、软件系统的列表或清单,并确认备份策略是与制度要求一致。核查备份和恢复管理制度是否明确备份方式、频度、介质、保存期等内容。访谈系统管理员是否建立有数据备份和恢复策略管理制度;核查备份文件和备份数据恢复测试文档,确认是否与备份策略一致。 | 访谈、核查 |
| 12 | 安全事件处置 | 访谈运维负责人是否告知用户再发现安全弱点和可以事件时及时向安全管理部门报告;核查发现安全弱点和可疑事件后是否具备对应的报告和相关文档。核查安全事件报告和处置管理制度是否明确了与安全事件有关的工作职责、不同安全事件的报告、处置和响应流程等。核查安全事件报告和响应处置记录是否记录引发安全事件的原因、证据、处置过程、经验教训、补救措施等内容。访谈运维负责人不同的安全事件的报告流程;核查针对重大安全事件是否制定不同安全事件报告和处理流程,是否明确具体报告方式、报告内容、报告人数等内容。 | 访谈、核查 |
| 13 | 应急预案管理 | 核查应急预案框架是否覆盖启动应急预案的条件、应急组织构成、应急资源保障、事后教育和培训等方面;核查是否具有重要事件的应急预案(如针对机房、系统、网络等各个方面)。访谈运维负责人是否定期对相关人员进行应急预案培训和演练;核查应急预案培训记录是否明确培训对象、培训内容和培训结构;核查应急预案演练记录是否记录演练时间、主要操作内容、演练结构等。核查应急预案修订记录是否定期评估并修订完善。 | 访谈、核查 |
| 14 | 外包运维管理 | 访谈运维负责人是否有外包运维服务的情况;访谈运维负责人外包运维服务单位是否符合国家有关规定,是否具有相应的资质证件。核查外包运维服务协议是否明确约定外包运维的范围和工作内容。核查与外部运维服务商签订的协议中是否明确其具有等级保护要求的服务能力。核查外包运维服务协议是否包含可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等内容。 | 访谈、核查 |
五、工期
暂定于2024年6月1日至2024年11月30日,工期150天,具体时间以招标人通知为准。
《中华人民共和国网络安全法》
《国家能源局关于加强电力行业网络安全工作的指导意见》(国能发安全[2018] 72号)
GB/T *****-2019:《信息安全技术 信息系统安全等级保护基本要求》
GB/T *****-2010 《信息安全技术 信息系统安全等级保护实施指南》
GB/T *****-2022:《信息安全技术 信息安全风险评估方法》
GB *****-1999 《计算机信息系统安全保护等级划分准则》
GB/T *****-2018:《信息安全技术 网络安全等级保护测评过程指南》
《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
《信息安全等级保护管理办法》(公通字[2007]43号)
1、招标人责任
1.1负责提供原系统相关的图纸资料;
1.2对投标人安全、质量以及材料使用、文明生产等各方面进行监察;
1.3对施工质量进行检查验收;
1.4为投标人的服务提供必要的工作条件、工具和设备;招标人不具备的工具应由投标人自行解决。
2、投标人责任
2.1严格按照相关施工协议要求,对合同范围内的设备进行拆除、改造、设备供货、安装、调试;
2.2负责本工程所有乙供材的供应;
2.3负责办理工作票、工器具准备等工作,按照招标人进度计划和质量要求组织施工;
2.4负责投标人人员和设备的安全,人员防护;
2.5由于投标人原因或其他方原因造成投标人人身或设备事故时,由投标人承担责任,招标人应协助处理,并提供方便;
2.6在施工工作中,必须尽可能保护设备的完好,在施工中由于投标人原因造成设备和设备标牌损坏等,由投标人负责维修和修复,费用由投标人承担;
2.7负责施工范围内的设备及区域的卫生和文明生产工作;
2.8负责投标人人员的食宿,交通;
2.9提供设备的使用维护说明书、图纸、主要备品备件清单等技术资料;
2.10提供至少一次设备的操作及维护培训;
2.11提供一年期免费现场技术支持;
2.12负责保护隆达电厂涉网系统的核心数据安全,保证隆达电厂的涉网系统的核心数据不外传。
1、甲供材:无
2、乙供材:
为了完成本工程所需要的所有设备、软件及工具等均由投标人负责。
贯彻“安全第一,预防为主,综合治理”的安全生产方针,严格遵守国家《安全生产法》、《建设工程安全生产管理条例》等有关安全生产和环境保护的法律法规、协议标准及相关要求,严格遵守《电力安全工作规程》和永泰能源股份公司、周口隆达发电有限公司的有关安全文明施工和环境保护管理规定,以有效落实安全生产责任为宗旨,以安全标准化管理为手段,全面执行安全“六化”管理(即安全管理制度化、安全设施标准化、现场布置条理化、机料摆放定置化、作业行为协议化、环境影响最小化),全面接受招标人的监督、管理、检查,确保施工人员的安全和健康、招标人财产免遭损失,环境免遭破坏。保证安全施工、文明施工、绿色施工。
1、投标人必须建立健全完善的“安全生产保证体系”和“安全监督监察体系”,并统一纳入招标人安全管理体系,接受招标人安全管理职能部门的监督和领导。
2、.投标人进场前须与招标人签订安全协议。
3、.投标人必须坚决贯彻执行党和国家及招标人所在地各级人民政府,关于安全生产的一系列方针、政策、法规、条例和规定,必须采取一切必要措施和手段强化安全管理,提高安全生产水平,维持安全生产秩序,以保证现场人员和设备的安全与健康。
4、投标人必须贯彻执行“安全第一、预防为主,综合治理”的方针,严格执行《电力生产安全工作规程》、《安全生产工作规定》、《防止电力生产重大事故的二十五项重点要求》和招标人有关安全工作的其它规定,确保人身及设备事故零目标。
5、由于投标人人员违反招标人相关的安全工作规定、规程,造成人员伤亡和设备、设施损坏事故,责任完全由投标人独立承担,造成的经济损失招标人可从应付给或将要付给投标人的款项中扣回,不足部分从履约保证金中扣除。
6、投标人派驻现场人员(含管理人员及作业人员)总人数超过30人的,应出具专职安全生产管理人员的有效的安全资格或安全培训证明材料;投标人派驻现场人员(含管理人员及作业人员)总人数在30人以下的,应出具兼职安全生产管理人员(或安全员)的有效的安全资格或安全培训证明材料。在30人以内配备1名兼职安全员;
7、投标人检修工作票、动火工作票的工作负责人资格必须经招标人通过考试确认,工作票执行中的相关事项依据《电力生产安全工作规程》和招标人有关工作票的相关规定执行。
8、投标人在本合同开始履行前,应组织其人员认真听取招标人安监管理人员的安全技术交底,制定出检修工作安全技术措施和防火防盗措施,经招标人安监管理人员审核批准后方可开工。
9、投标人人员在现场检修工作过程中,应接受招标人管理人员的安全技术监督与管理。
10、.劳动保护防护用品及安全工器具由投标人按国家规定配备齐全,特殊工种配备相应的劳动防护用品。
11、投标人检修所用的安全工器具必须按国家规定报请当地劳动部门检验后方可使用。
12、安全目标是不发生人身轻伤及以上人身伤亡事故、不发生人员责任事故、不发生一般及以上设备事故,杜绝恶性误操作事故、不发生一般及以上火灾事故、不发生一般及以上交通事故、不发生一般环境污染事故。
13、投标人应持有与合同业务相对应的经行业主管部门颁发的有效的承揽业务的资质证明材料。
14、从事建筑施工,投标人须持有行业主管部门颁发的有效的《安全生产许可证》。
15、投标人或投标人的现场承包方须具有相应的合同设备系统的等保测评资质。。
16、合同工作有特殊要求的,投标人须持有特殊要求证书。
17、投标人现场负责人(或项目经理)应持有承包单位或法人出具的法人授权委托或任命证明材料,投标人现场负责人(或项目经理)应持有有效的安全资格或安全培训证明材料。
18、投标人应出具全部拟派驻现场人员(含管理人员及作业人员)与投标人之间的有效的劳务关系证明(包括且不仅限于用工合同、用工协议、社保缴纳证明等)。
19、投标人应出具为全部拟派驻现场人员(含管理人员及作业人员)办理的有效的人身保险证明(包括且不仅限于工伤保险、商业人身意外险等)。
20、投标人现场作业若存在电工作业、金属焊接切割作业、高处作业、制冷与空调作业、危险化学品安全作业等特种作业行为,投标人应出具拟派驻现场的相应作业行为人员的由应急管理部门颁发的有效的《特种作业操作证》。
21、保持施工场所整洁,做到“工完、料尽、场地清”,设备材料堆放有序、标识清楚,保持施工道路畅通,保持排水设施完好;
22、场区文明施工标志、重点防火部位标志及紧急救护标志醒目、齐全。
1、验收
过程验收投标人分项按工序完成后通知招标人按等保测评标准质量验收点验收。
2、竣工验收
本工程完成一个月内,投标人向招标人提交竣工验收申请,投标人完成在当地公安备案、四个系统的三级测评报告、四个系统的整改建议书等,招标人组织热态验收,投标人参与,验收合格后即为竣工验收合格。
1、由于投标人原因造成合同范围内的等保测评不能按时完成,考核投标人1000元,每延长1天,再考核200元。
2、等保测评过程中发生设备系统损坏、数据传输中断、瘫痪、告警等,给招标人造成损失,投标人除照价赔偿外,视具体情况考核投标人5000-*****元。
投标人要将投标文件和招标文件的差异之处汇集成表。技术部分和商务部分要单独列表,技术偏差内容包括技术要求、等所有与招标文件技术部分要求的不一致的内容。投标人未在差异表中列出差异则视为完全响应招标文件要求。
差异表
| 序号 | 招标文件 | 投标文件 | ||
| 条目 | 简要内容 | 条目 | 简要内容 | |
致:周口隆达发电有限公司
在审阅了招标文件所有内容后,签字代表_________(姓名)经正式授权并代表__________________(投标单位名称) 提交下述文件:
1.开标一览表;
2.投标报价表;
3.商务、技术差异表;
4.法定代表人身份证明;
5.授权委托书;
6.委托开标函(如需);
7.投标人资格证明文件;
8.施工组织
我方决定按照招标文件的规定和投标报价表确定的价格,参与投标并承诺:
1.如果我方中标,我方将按照招标文件中有关条款的要求履行合同义务。
2.我方同意本投标书在招标人规定的投标截止日期起_90天内有效,并对我方具有约束力。我方投标在有效期期满前均有可能被接受,如在投标有效期内撤回投标,则我方的投标保证金将被贵公司没收。如果我方中标,在正式合同准备好和签字前,本投标书将构成约束我们双方的合同。
3.我方已详细审查全部招标文件,保证不会在竞争性投标过程中有不正当竞争行为,同时完全理解贵公司不一定接受最低投标报价的投标或收到的任何投标。
4.我方已知悉若资质及业绩不满足要求、投标文件不符合技术要求,投标将会被拒绝。
投标人(盖章):
法定代表人或授权代表签字(签字):
日期: 年 月 日
投标人名称:
招标编号:
| 项目名称 | 投标报价 | 工期 | 投标声明(明确税率) | |
| 小写(万元人民币) | 大写 | |||
| 150天 | ||||
以上均为含税价,税率为 %可抵扣增值税。增值税专用发票中“货物或应税劳务、服务名称”栏的填写须与招标文件中实施内容相符,并符合国家对商品和服务税收分类的要求。
投标日期:
报价有效期90天
投标人名称:(加盖公章)
法定代表人或授权代表签字:
日期:
注:此表应按“投标人须知”的规定密封标记密封单独提交。
委托开标函(投标人无法赴开标现场,邮递投标文件须提供)
致:周口隆达发电有限公司
我司(投标人单位名称)因自身原因,不能于XX年X月X日X点参加贵公司组织的(项目名称)现场开标,现委托周口隆达发电有限公司全权处理现场开标等事宜,对开标现场任何结果予以承认并接受,同时承担由此引起的全部法律风险。
特此证明!
投标人名称(盖章):
法定代表人或授权代表签字:
日期: 年 月 日
二、投标报价表(2)总报价万元(大写:人民币 ),含税价,税率为 %可抵扣增值税。
(3)报价表应注明日期、有效期和法定代表或其授权委托人的签章。
附表1 信息系统安全等级保护测评总报价表
金额单位:万元
| 序号 | 工程项目或费用名称 | 价格(万元) | 备 注 |
| 合 计 |
注:本表也可按照预算软件格式编制,内容可扩充,但须列明项目,不可漏项。
报价总计(大写):合计人民币。
投 标 人:------------------------------ (全称、盖章)
法定代表人:--------------------------------------- (签字)
或
委托代理人:--------------------------------------- (签字)
日 期:---------------- 年 ------月----- 日
投标人需将投标文件和招标文件的商务及技术差异之处汇集成表,如无请填写“无”。如不填写视为完全响应招标文件要求。
| 序号 | 招标文件 | 投标文件 | ||
| 条目 | 简要内容 | 条目 | 简要内容 | |
投标人(盖章):
法定代表人或授权代表签字(签字):
日期: 年 月 日
兹有,____________同志,性别:_____,民族________,身份证号码____________________,在我单位担任_________职务,系我单位的法定代表人。
特此证明。
投标人(盖章):____________________
日期: 年 月 日
本人________(姓名)系___________(投标人名称)的法定代表人,现委托___________(身份证号:_____________)为我单位代理人。
代理人根据授权,以我单位名义参加(项目名称)项目投标活动。代理人进行的签署、澄清、说明、补正、递交、撤回、修改的投标文件,参与投标、开标、合同谈判、签订合同和处理其他有关事宜,其法律后果由我单位承担。
委托期限:。
代理人无转委托权。
投标人:(盖章)
法定代表人:(签字)
委托代理人:(签字)
日期: 年 月 日
1.营业执照复印件
2.资质、业绩证明文件
七、施工组织(如有)
请投标人依据自身情况并结合本工程要求进行编制,投标人应递交完整的施工组织措施、控制措施。其主要包括:
组织机构图;
项目经理及主要管理人员、技术人员名单、业绩及资历【须提供本项目经理、专职安全人员的安全资格证书】;
各专业拟投入人员配置数量及名单;
特种作业人员配置情况表(特种作业人员须具有与所承包工程有关的特殊工种要求的有效证件,登高作业还须提供作业者体检合格证。投标文件中所列有效资格证书须提供复印件备查,证书复印件须装订入投标文件中);
项目管理流程;
为说明投标人的过程质量控制和项目管理能力,请投标人提供本项目详细工程施工控制网络图(必须包含相关配合、辅助工作),以供招标方评估;
主要项目工程施工技术方案;
安全控制及保证措施;
质量控制及保证措施;
工期控制保证措施;
环境、文明生产控制措施;
附表1:人员及设备配置(格式)
(1)参加本项目的负责人简历
| 姓名 | 年龄 | |||
| 职称 | 职务 | |||
| 从事专业 | 在本合同本项目中担任的职务 | |||
| 身份证号码 | ||||
| 主要经历 | ||||
| 年~年 | 曾参加项目名称 | 担任职务 | 备注 | |
| 投标人(公章)负责人(签名) 日期: | ||||
注:1.职称和执业资格证书有则填,没有不填。如有,本表须后附证书、身份证扫描件或复印件。
2.本表可按同样的格式扩展。
(2)参加本项目的专职安全员简历
| 姓名 | 年龄 | |||
| 职称 | 职务 | |||
| 从事专业 | 在本合同本项目中担任的职务 | |||
| 身份证号码 | ||||
| 主要经历 | ||||
| 年~年 | 曾参加项目名称 | 担任职务 | 备注 | |
| 投标人(公章)负责人(签名) 日期: | ||||
注:1.职称和执业资格证书有则填,没有不填。如有,本表须后附证书、身份证扫描件或复印件。
2.本表可按同样的格式扩展。
(3)参加本项目的技术骨干
| 姓名 | 年龄 | 职称或 技术等级 | 专业或工种 | 专业工龄 | 曾参加项目名称 | 在项目中担任的工作 | 身份证号码 |
| 投标人(公章)负责人(签名) 日期: | |||||||
注:1.名单一经确定即不可更改。本表须后附人员身份证复印件。
2.职称和执业资格证书有则填,没有不填。如有,本表须后附证书扫描件或复印件。
3.本表可按同样的格式扩展。
(4)参加本项目的特殊工种人员情况表
| 序号 | 姓名 | 职务 | 职称 | 专业 | 特殊工种证书编号及发证机构 | 身份证号码 | 备注 |
注:1.职称和执业资格证书有则填,没有不填。本表须后附身份证、证书扫描件或复印件。
2.本表可按同样的格式扩展。
(5)为本项目配备的机具、试验、测量、质检仪器设备表
| 序号 | 机具仪器设备名称 | 型号及规范 | 单位 | 数量 | 备注 |
附表1:人员及设备配置(格式)
(1)参加本项目的负责人简历
| 姓名 | 年龄 | |||
| 职称 | 职务 | |||
| 从事专业 | 在本合同本项目中担任的职务 | |||
| 身份证号码 | ||||
| 主要经历 | ||||
| 年~年 | 曾参加项目名称 | 担任职务 | 备注 | |
| 投标人(公章)负责人(签名) 日期: | ||||
注:1.职称和执业资格证书有则填,没有不填。如有,本表须后附证书、身份证扫描件或复印件。
2.本表可按同样的格式扩展。
(2)参加本项目的专职安全员简历
| 姓名 | 年龄 | |||
| 职称 | 职务 | |||
| 从事专业 | 在本合同本项目中担任的职务 | |||
| 身份证号码 | ||||
| 主要经历 | ||||
| 年~年 | 曾参加项目名称 | 担任职务 | 备注 | |
| 投标人(公章)负责人(签名) 日期: | ||||
注:1.职称和执业资格证书有则填,没有不填。如有,本表须后附证书、身份证扫描件或复印件。
2.本表可按同样的格式扩展。
(3)参加本项目的技术骨干
| 姓名 | 年龄 | 职称或 技术等级 | 专业或工种 | 专业工龄 | 曾参加项目名称 | 在项目中担任的工作 | 身份证号码 |
| 投标人(公章)负责人(签名) 日期: | |||||||
注:1.名单一经确定即不可更改。本表须后附人员身份证复印件。
2.职称和执业资格证书有则填,没有不填。如有,本表须后附证书扫描件或复印件。
3.本表可按同样的格式扩展。
(4)参加本项目的特殊工种人员情况表
| 序号 | 姓名 | 职务 | 职称 | 专业 | 特殊工种证书编号及发证机构 | 身份证号码 | 备注 |
注:1.职称和执业资格证书有则填,没有不填。本表须后附身份证、证书扫描件或复印件。
2.本表可按同样的格式扩展。
(5)为本项目配备的机具、试验、测量、质检仪器设备表
| 序号 | 机具仪器设备名称 | 型号及规范 | 单位 | 数量 | 备注 |
标签: 信息系统安全
0人觉得有用|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
