宁夏庆阳新能源有限公司对电站信息安全等级保护测评、风险评估及问题整改项目采购公告
| 招标编号 | 【正式会员登录后可浏览】 | 采购业主 | 【正式会员登录后可浏览】 |
招标公司 | 【正式会员登录后可浏览】 |
|---|---|---|---|---|---|
| 联系人 | 【正式会员登录后可浏览】 | 联系电话 | 【正式会员登录后可浏览】 | 通讯地址 | 【正式会员登录后可浏览】 |
| 邮政编码 | 【正式会员登录后可浏览】 | 截止日期 | 【正式会员登录后可浏览】 |
公告摘要
各有关单位请于2023.05.29前与公告中联系人联系,及时参与投标等相关工作,以免错失商业机会。
部分信息内容如下:(查看详细信息请登录)
一、项目概况
项目名称:*****能源有限公司对电站信息安全等级保护测评、风险评估及问题整改项目
项目编号:NXQY-FW-GKXJ-**-****
交货/服务时间:合同签订后**天
交货/服务地点:****沙***腾格里沙漠迎闫公路收费站西侧*****能源有限公司
*.供货范围:
(一)主机加固服务
*、业务范围包括
*.* 根据等保测评检测结果及加固建议,对全网网络和安全设备实施安全加固,满足关于网络设备安全配置规范的要求。
*.* 根据边界防护需要按照安全最小授权原则,依据“缺省拒绝”的方式制定防护策略。防护策略只授权开放必要的访问权限,并保证数据安全的完整性、机密性、可用性;对业务系统访问需求进行详细调查,包括访问的源、目标地址、目标端口情况,并根据调研需求对防火墙策略进行分析,调整授权过大、无用的访问控制列表,增强网络控制能力,提**全性。
(二)防火墙升级服务
*、业务范围包括
防火墙病毒库升级更新,对引入威胁的网络关键环节加以控制,对新型病毒有效的防护,防止新型以及变种病毒绕过现有网络防护环境,解决病毒给机构带来的安全问题。
*、通过防火墙升级,实现如下安全目标:
*.*. 通过防火墙升级,可以满足信息系统安全等级保护基本要求中网络安全中的要求。
*.*. 满足等保测评整改要求。
(三)等级测评工作
*、测评的内容包括但不限于以下内容:
*.*安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;
*.*.* 物理安全
根据信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。
*.*.* 网络安全
根据信息系统网络安全测评记录,针对网络方面在“结构安全”、“网络访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“网络设备防护”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
*.*.* 主机安全
主机安全现场测评包括对信息系统服务器的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范” “**控制”。
*.*.* 应用安全
应用安全现场测评包括对信息系统的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、 “通信完整性”、“通信保密性”、“软件容错”、“**控制”方面。
*.*.* 数据安全及备份恢复
信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。
*.* 安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
*.*.*安全管理制度
根据现场安全测评记录,针对信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
*.*.*安全管理机构
根据现场安全测评记录,针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和**”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
*.*.*人员安全管理
根据现场安全测评记录,针对信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
*.*.*系统建设管理
根据现场安全测评记录,针对信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“安全服务商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
*.*.*系统运维管理
根据现场安全测评记录,针对信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标,判断出与其相对应的各测评项的测评结果。
*、其他要求
*.* 测评后的专项整改由承包方负责,直至测评合格。
*.* 确保本次测评执行等保*.*标准且协助采购方完成当地**局年度信息系统定级备案。
(四)信息安全风险评估
*、风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程;它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
*、信息安全风险评估对信息系统现有的网络架构、路由器、交换机、防火墙等网络设备及安全设备、数据库服务器、Web服务器、应用服务器等关键服务器、业务流程、安全策略的安全漏洞、安全威胁及潜在影响进行分析,以提出合理的安全建议以保证信息系统资产的保密性、完整性和可用性等基本安全属性。通过风险评估,了解目前系统安全情况和系统中存在的各种安全风险,并以此为依据有针对性地制**全策略和解决方案,针对系统中存在的各种安全风险进行相应的网络安全技术和安全产品的选用和部署,根据系统信息安全风险评估的结果指导信息系统下一步的安全建设。
*、信息安全风险评估具体内容如下:
*.*识别信息系统和关键活动,及其业务影响度;
*.*识别支撑信息系统和关键活动的重要资产;
*.*识别重要资产面临的外部威胁和自身存在的安全脆弱性(脆弱性);
*.*对各类风险进行分析、赋值及优先级排序,并确定可接受的风险水平;
*.*为信息安全方针策略及操作规程等文件体系的框架建立和编写工作提供指引。
*.质量要求:
*主机加固服务
针对现有系统漏洞进行主机加固服务,处理系统漏洞,完成周期性服务内容:服务周期为一年,定期巡检,进行系统运营维护,提供实时性服务内容:应急响应,出现入侵或系统问题**小时内技术人员赶到现场维护,服务的标准化要求,按等保*.*标准化实施、满足电网要求,此服务可满足等保*.*中对安全计算环境内控制点的要求。
*防火墙升级服务
通过防火墙升级,可以满足信息系统安全等级保护基本要求中网络安全中的要求,满足等保测评整改要求。
*等级测评及整改工作
*、测评的内容包括但不限于以下内容:
*.*安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;
*.*.* 物理安全
根据信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。
*.*.* 网络安全
根据信息系统网络安全测评记录,针对网络方面在“结构安全”、“网络访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“网络设备防护”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
*.*.* 主机安全
主机安全现场测评包括对信息系统服务器的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范” “**控制”。
*.*.* 应用安全
应用安全现场测评包括对信息系统的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、 “通信完整性”、“通信保密性”、“软件容错”、“**控制”方面。
*.*.* 数据安全及备份恢复
信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。
*.* 安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
*.*.*安全管理制度
根据现场安全测评记录,针对信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
*.*.*安全管理机构
根据现场安全测评记录,针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和**”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
*.*.*人员安全管理
根据现场安全测评记录,针对信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
*.*.*系统建设管理
根据现场安全测评记录,针对信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“安全服务商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
*.*.*系统运维管理
根据现场安全测评记录,针对信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标,判断出与其相对应的各测评项的测评结果。
*、其他要求
*.* 测评后的专项整改由承包方负责,直至测评合格。
*.* 确保本次测评执行等保*.*标准且协助采购方完成当地**局年度信息系统定级备案;
*信息安全风险评估
*、风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程;它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
*、信息安全风险评估对信息系统现有的网络架构、路由器、交换机、防火墙等网络设备及安全设备、数据库服务器、Web服务器、应用服务器等关键服务器、业务流程、安全策略的安全漏洞、安全威胁及潜在影响进行分析,以提出合理的安全建议以保证信息系统资产的保密性、完整性和可用性等基本安全属性。通过风险评估,了解目前系统安全情况和系统中存在的各种安全风险,并以此为依据有针对性地制**全策略和解决方案,针对系统中存在的各种安全风险进行相应的网络安全技术和安全产品的选用和部署,根据系统信息安全风险评估的结果指导信息系统下一步的安全建设。
*、信息安全风险评估具体内容如下:
*.*识别信息系统和关键活动,及其业务影响度;
*.*识别支撑信息系统和关键活动的重要资产;
*.*识别重要资产面临的外部威胁和自身存在的安全脆弱性(脆弱性);
*.*对各类风险进行分析、赋值及优先级排序,并确定可接受的风险水平;
*.*为信息安全方针策略及操作规程等文件体系的框架建立和编写工作提供指引。
二、供应商资格要求:
*、基本资格条件:
(一)复询人必须在在中华人民**国境内注册的合法经营企业法人,具有独立法人资格的企业。提供投标人营业执照、组织机构代码证、税务登记证或者三证合一的营业执照。
(二)复询人的资质等级:出具有效期内《ISO ****-质量管理体系认证证书》、《ISO *****-信息安全管理体系认证证书》、《ISO *****信息技术服务管理体系认证证书》资质文件复印件(盖章)。
(三)复询人不得在“信用中国”网站(www.creditchina.gov.cn)被列入“失信被执行人名单”(在投标期间尚未解除的)。
(四)提供参加本次采购活动前三年内,在经营活动中没有重大违法记录的声明。
(五)本项目不接受联合体投标。
(六)须提供入侵和审计设备原厂商授权函和服务承诺函。
(七)提供至少三份近三年内电力系统整改合同扫描件。
*、 专项资格条件:
无
三、报名方式
本项目采取公开方式选择供应商,有意参与本项目的潜在供应商请登录中核集团电子采购平台(https://www.cnncecp.com/)在****年**月**日 **时**分前报名参加本项目。
四、采购文件的获取
*、采购文件获取地地址:本项目不再提供纸质采购文件,参与本项目的潜在供应商应报名后通过中核集团电子采购平台下载采购文件。
*、有意参与本项目的潜在供应商须先在中核集团电子采购平台进行注册。注册账号审核通过后,在首页“用户登录”,输入账号及密码登录系统,依次点击→系统功能菜单→项目管理→我要报名,找到《*****能源有限公司-*****能源有限公司对电站信息安全等级保护测评、风险评估及问题整改项目》,点击“我要报名”,即可查看项目信息并报名参与项目。报名经我公司审核通过后即可下载本项目采购文件。
五、应答文件/报价文件的递交
*、应答文件递交截止时间:请参与本项目的应答人在(**时间)****年**月**日 **时**分前在中核集团电子采购平台(https://www.cnncecp.com/)登录并上传应答文件电子版。若采购方另有要求递交纸质应答文件的,请按采购方要求的时间及方式递交:。
*、提交应答文件的方式:在线上传应答文件。(若采购方另有要求递交纸质应答文件的,请按采购方要求递交,并以在线上传文件为准)
*、未在线报名、逾期上传/送达的、未上传的,采购人不予受理。
六、公告媒体
本公告在中核集团电子采购平台(https://www.cnncecp.com/)发布。对于其他媒介发布的本项目公告,采购人对其准确性不承担任何责任。本次采购活动的最终解释权在*****能源有限公司。
七、联系方式
采购人:*****能源有限公司
地址:***沙波头区腾格里沙漠迎闫公路收费测站西侧
联系人:邢猛
电话:***********
*****能源有限公司
****年**月**日
- 招标导航
-
施工准备 土地整理 三通一平
工程施工 地基与基础工程 桩基工程 预应力工程 防水工程 保温工程 爆破工程 加固除险工程 改造改建工程 回填工程 燃气工程 防腐工程 电气防雷工程 空调采暖工程 地下室 停车场 钢结构 膜结构 给排水 声屏障 道路工程 桥梁工程 市政工程
园林景观绿化 古建筑 喷泉 水幕 雕塑 草坪 亮化工程 照明 灯光
弱电 安防 综合布线 消防工程 门禁 救生 智能建筑 有线电视 数字会议 广播 音响工程 大屏幕
装饰装修 吊顶 粉刷 彩绘 幕墙 外立面
工程服务 审计 监理 勘察 规划 设计
建筑材料 门窗 座椅 地板 混凝土构件 水泥 建筑钢材 木构件 涂料 拦污栅 除尘器 管材 土工材料 土工格栅 土工布
更多>>
为保证您能够顺利投标,请在投标或购买招标文件前向招标代理机构或招标人咨询投标详细要求,有关招标的具体要求及情况以招标代理机构或招标人的解释为准。
