江苏国信泗阳太阳能发电有限公司网络安全等级保护测评及安全防护评估工程招标

****

网络安全等级保护测评及安全 防护评估工程

招标文件

招标人:****

2025年11月21日

第一部分 综合说明

一、招标邀请

****网络安全等级保护测评及安全防护评估工程招标，现邀请贵单位参加本项目投标。

二、项目概况

****项目地点位于**省**县

1.项目名称：****网络安全等级保护测评及安全防护评估工程

2.项目内容：网络安全等级保护测评及安全防护评估

3.项目地点：**省**县

4.服务期限：45天

5.质量要求：合格

三、评标办法

经评审的最低价评分法(不承诺投标报价最低者中标）

四、付款方式

中标单位提供合格的等保测评报告及安全防护评估报告（纸质版各两份，电子版一份），经****确认、****支队审核通过后付100%全款。

五、资格审核

本项目实行资格后审，由招标人、评委在开标后对投标人资质按照招标要求进行审查资格,审查不合格的投标文件作废标处理。标书代写

六、投标人资格要求(资格审查必须具备以下所有的必要合格条件）

1.具有独立法人资格。（提供企业年检有效的营业执照）。

2.未处于被责令停业、投标资格被取消或者财产被接管、冻结和破产状态（由企业承诺）。

3.企业没有因骗取中标或者严重违约以及发生重大工程质量、安全生产事故等问题，被有关部门暂停投标资格并在暂停期内的（由企业承诺）。

4.无弄虚作假承诺书及无转包分包挂靠行为的承诺书（由企业承诺）。

5.申请人资质：具有《网络安全服务认证证书（等级保护测评服务认证）》，在网络安全等级保护测评机构服务认证获证机构名录中。

七、投标文件的组成(所有文件需盖公章、加盖骑缝章)

1.投标函

2.承诺函

3.法定代表人身份证明

4.授权委托书

5.受委托人身份证明

6.项目负责人任命书

7.项目负责人身份证明

8.资格证明材料：企业营业执照、企业资质证书

9.提供近2年内电力监控系统网络安全等级保护测评或安全防护评估业绩不少于2个（提供合同业绩扫描件等相关证明材料，包含在**系统上传报告结论证明）。

10.报价表

11.其他证明材料:项目负责人需持有高级测评师资格证书、测评人员需持有中级测评师资格证书等。

12.服务承诺和保障（格式自拟)

13.差异表

八、招标文件的获取

1.招标方将招标文件以电子形式发送给投标方，投标方应在规定的时间内递交投标文件。

2.招标方将招标文件发送至微信公众号“国信**生物质”平台，关注的合适投标方在规定的时间内递交投标文件。

九、投标文件递交份数和签署标书代写

1.投标人必须编制壹份投标文件“正本”和壹份投标文件“副本”，并在文件封面右上角醒目处注明“正本”或“副本”。投标文件正本和副本如有不一致之处，以正本为准。

2.投标文件正本与副本均应按要求由投标人加盖公章和法定代表人印鉴和签字（不得复印）。

3.全套投标文件应无涂改和行间插字。

4.投标文件需胶装,确保不可拆卸，否则按废标处置。

十、投标文件接收截止时间与地点标书代写

1.投标截止时间:2025年12月1日上午10:00标书代写

2.投标文件递交（开标）地点：****综合管理部。标书代写

3.开标时须提供所有招标文件要求的原件，否则不予认可。标书代写

十一、联系方式

联系人：刘莉萍

电话：152****9262

标书邮寄地址：**省**县东经济 开发区众兴东路262号 ****

第二部分 技术要求

1、招标人现有系统定级情况及生产后台情况：

序号	系统名称	定级情况
1	Eyewin20光伏电站监控系统	二级
2	NS2005光伏电站监控（二三五期）系统	二级
3	NS2005光伏电站监控（四期）系统	二级

招标人所有生产后台均为国电南瑞****公司系统，投标人需有扫描生产后台的能力。

2、中标单位需根据《信息安全等级保护管理办法》以及《中华人民**国网络安全法》，编制相关文件，配合招标人完成等级保护定级、备案工作。之后再开展等级保护测评及电力监控系统安全防护评估工作。

3、除本技术规范书特别规定外，投标人所提供的******部、能源局相关文件要求和招标人的相关文件要求，所用的标准必须是其最新版本;如果这些标准内容矛盾时，应按最高标准的条款执行或按双方商定的标准执行;如果投标人选用本技术规范书规定以外的标准时，需提交与这种替换标准相当的或优于规定标准的证明，供招标人确认。

项目遵循的设计标准及协议包括但不限于以下标准：

《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2025

《关于进一步做好网络安全等级保护有关工作的函》（**网〔2025〕1001号）

《关于对网络安全等级保护有关工作事项进一步说明的函》（**网〔2025〕1846号）

《网络安全等级保护测评工作管理办法》（**网〔2025〕2001号）

《网络安全等级测评报告模版（2025版）》

《网络安全等级保护测评高风险判断实施指引（试行）》

《信息安全技术信息系统安全等级保护定级指南》GB/T 22240-2022

《信息安全技术信息系统安全等级保护实施指南》GB/T 25058-2022

《信息安全技术信息安全风险评估协议》GB/T 20984-2022

《电力行业网络安全等级保护基本要求》（DL/T2637-2023）

《电力监控系统安全防护评估规范》（DL/T2638-2023）

《电力行业网络安全等级保护测评规范》（DL/T 2639-2023）

《信息安全技术信息系统安全等级保护测评要求》GB/T 28448-2022

《信息安全技术信息系统安全等级保护测评过程指南》GB/T 8449-2022

《电力行业网络安全等级保护管理办法》（国能发安全〔2023〕1号）

《电力行业网络安全管理办法》（国能发安全〔2023〕2号））

《电力监控系统安全防护规定》（2023年修订版）

《信息安全技术网络安全等级保护测评机构能力要求》GB/T 44140-2024

《信息安全技术网络安全等级保护测评工具安全技术要求》GB/T 44141-2024

投标人提供的所有测试设备、软件系统，除本协议书中更优的技术参数和要求外，其余均应遵照最新版本的中国信息产业部颁布的标准、国际电信同盟(ITU)、****委员会标准(IEC)、国际公制(SI)、国际化标准组织（ISO）及国家标准，这是对设备的最低要求。

如果投标人有自己的专有标准或协议,应在标书中具体说明，并附上相应的详细技术资料，但必须不低于上述标准的有关规定。

4、投标人应详细描述管理信息系统等级保护测评及风险评估的整体实施方案，包括项目概述、等保测评方案、风险评估方案、项目实施方案、时间安排、阶段性文档提交和验收标准等。投标人应详细描述测评及评估人员的组成、资质及各自职责的划分。投标人应配置经验丰富的测评及评估人员进行管理信息系统等级保护测评及风险评估工作。

5、测评方法

测评及评估方法包括访谈、检查和测试三种方法，可细化为文档审查、配置检查、工具测试和实地察看等多种方法。

如需在管理信息系统等级保护测评及风险评估实施过程中采用在线测评工具，各种工具软件由投标人推荐，经招标人确认后由项目实施方提供并在工作中使用。

安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等投标人推荐，经招标人确认后由投标人提供并在测评中使用。安全测评需要的运行环境（如场地、网络环境等）由招标人提供，投标人应详细描述需要的运行环境的具体要求。

6、工作进度

6.1进度要求

总体要求，合同签订15天内，配合招标人完成等级保护定级、备案工作。合同签订30天内，完成各信息系统的安全等级保护测评及安全防护评估工作，合同签订45天内，出具合格的测评、安全防护评估报告（经招标人确认后，****支队审核），具体开工时间以合同签署后招标人通知的实际开工时间为准。

系统实施的执行工作进度计划包括启动准备进度、现场服务与报告编制进度。

6.2筹划准备阶段

工作内容：对被测评系统防护现状进行详细分析和调研，初步确定测评施方案、范围，收集材料，签署保密协议，组建测评项目组，并进行进场实施前的安全教育工作，同时完成了检测工具、装备配置等各项准备工作。

6.3启动阶段

工作内容：测评****公司，收集分析信息资产资料、网络资料、业务系统资料和信息安全管理制度方针等相关测评所需材料，并召开启动会，就测评工作具体事宜进行落实，包括确定测评计划安排、测评范围、测评内容和配合需求等。

6.4现场测评

测评项目组从管理和技术两个方面入手，开展招标人系统测评工作，包括安全区划分、网络专用，评估管理和制度、基础网络、业务系统、通用服务、主机系统、数据库系统、现有安全措施等。

测评方法有顾问访谈、日志审计、人工查看、漏洞扫描、自动化工具采集、白客渗透等。

现场工作结束后，****小组对现场测评情况进行初步整理汇总，向招标人汇报现场阶段工作情况。

6.5结论分析报告编制阶段

工作内容：项目组对检测情况和采集的数据进行分类统计、风险计算、综合分析与评估，撰写招标人系统《信息系统安全等级保护测评报告》及《电力监控系统安全防护评估报告》。

6.6整改技术支持阶段

工作内容：项目组针对现场测评发现的问题，出具整改建议后，向招标人提供整改技术咨询支持。

6.7验收阶段

项目组派遣专员与招标人相关人员就招标人信息系统安全等级护测评及安全防护评估项目进行验收，出具的《信息系统安全等级保护测评报告》及《电力监控系统安全防护评估报告》（纸质版各两份，电子版一份）经招标人确认，并****支队审核通过后，出具竣工验收单。

7、等级保护测评内容

根据国家等级保护相关标准，本次项目的安全等级保护测评应包括以下内容：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心等五个方面的安全测评；

安全管理测评：包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。

7.1安全物理环境

测评内容主要包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。

7.2 安全通信网络

测评内容主要包括：网络架构、通信传输、可信验证等。

7.3 安全区域边界

测评内容主要包括：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。

7.4 安全计算环境

测评内容主要包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性[标注出来的为3级控制点]、数据备份恢复、剩余信息保护、个人信息保护等。

7.5 ****中心

测评内容主要包括：系统管理、审计管理、安全管理、集中管控等。

7.6 安全管理制度

测评内容主要包括：安全策略、管理制度、制定和发布、评审和修订等。

7.7 安全管理机构

测评内容主要包括：岗位设置、人员配备、授权和审批、沟通和**、审核和检查等。

7.8 安全管理人员

测评内容主要包括：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等。

7.9 安全建设管理

测评内容主要包括：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等。

7.10安全运维管理

测评内容主要包括：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等。

8、风险评估内容

根据管理信息系统风险评估相关标准，在系统等级保护测评的基础上，增加如下评估项：资产评估、威胁评估、通用应用评估、基础设施安全评估、体系结构安全评估、系统本体安全评估、全面安全管理评估、安全应急能力评估、现有安全措施有效性评估等。

8.1资产评估

资产评估对象包括：网络、主机、安全防护措施、应用系统等。根据风险评估有关技术要求，资产评估主要考虑两个方面的内容：一是信息系统中所存储、处理、传输的主要信息，二是信息系统所提供的主要服务。通过对每一类信息和服务等级的分析，最终确定信息系统的重要性级别。资产评估具体步骤包括：资产数据整理与核实、资产重要程度分析。其中，资产数据整理与核实是根据被评估单位前期提交的资料，进行资产数据的真实性的查证与确认。资产重要程度分析是根据资产承载的数据、提供的服务，判定资产重要程度的过程。

8.2威胁评估

威胁评估是对被评估单位业务系统、网络与信息系统面临的威胁进行分析的过程。威胁评估依据常见的威胁列表，以运行与管理人员访谈的方式进行。如被评估单位能够提供历史信息安全事件统计，也可作为威胁评估的补充内容。通过威胁评估，要达到明确被评估单位信息系统面临的主要威胁，以及这些威胁的等级的目的。

8.3通用应用评估

通用应用评估是对信息系统中的数据库服务、Web服务等通用应用进行的安全配置检查，达到发现通用应用安全漏洞的目的。通用应用评估也采用人工审计和漏洞扫描两种方式进行。

8.4基础设施安全评估

基础设施评估是对管理信息系统所处机房的物理安全防护情况，包括防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施实施情况，电子门禁的使用情况等进行评估。

管理信息系统设备及线缆的部署情况，包括服务器、网络设备、安全设备的安装情况，通信线缆和电源线的铺设情况，设备电力供应情况等。

8.5体系结构安全评估

体系结构评估重点检查管理信息系统的网络架构情况，包括网络拓扑情况，网络边界防护措施，网络安全设备部署情况、网络安全域划分等。

8.6系统本体安全评估

系统本体安全评估是对管理信息系统自身安全防护情况，包括软、硬件使用和策略配置等进行评估：

(1）.移动存储介质使用情况，包括硬盘、U盘或其它存储设备；

（2）.操作系统、网络设备、应用系统用户口令使用情况；

(3）.操作系统、网络设备、应用系统用户权限分配情况；

（4）.主机、交换机、路由器等设备、应用系统的安全策略配置及加固情况，尤其是Windows系统、非国产网络及安全设备。

(5）.终端检测：主要为抽查被评估单位办公终端和上网终端是否有驻留木马、蠕虫、恶意软件，是否存在自定义共享文件夹，系统补丁是否及时更**装，关键工作文件存放是否恰当等情况。主要通过人工查看和工具检测两种方式来进行。

（6）.外设检测：主要检测带有硬盘、内存或其它存储设备和简易操作系统的网络打印机、传真机等智能设备。

8.7全面安全管理评估

全面安全管理评估是从管理角度对单位管理信息系统概况进行评估，重点检查安全防护规定落实情况；

制度建立及主管领导、管理机构和工作人员履职情况，信息安全责任制落实情况；

运维人员的安全管控情况；

信息安全宣传教育、领导干部及各级人员网络与信息安全基础培训、信息安全人员专业技术培训情况等。

8.8安全应急能力评估

安全应急能力评估是对系统的安全有效性、业务的连续性和备用、灾备能力进行评估。

备用与容灾能力的建设情况，包括系统的冗余设备部署情况，设备配置的备份情况等；

网络与信息安全应急预案的制定、修订情况，包括应急预案是否健全，是否具有针对性和可操作性等；

应急技术支撑队伍建设、应急演练的执行情况；

重大网络安全事件处置情况。

8.9现有安全措施有效性评估

现有安全措施有效性评估是对信息系统中部署的主要安全防护措施进行的审计，达到确定这些安全措施的管理和使用情况是否存在重大漏洞和缺陷，明确现有安全措施的有效性程度的目的。现有安全措施的评估主要采用人工检查和访谈的方式进行。主要包括防火墙、防病毒系统、入侵检测/防御装置、防病毒网关等现有安全措施。

8.10白客渗透检测

白客渗透检测包括两个方面的内容：外部渗透和内部渗透。

外部渗透主要是检测被评估单位面对来自互联网恶意入侵者渗透的防御能力。主要范围为被评估单位对互联网发布节点的应用服务器、对外网站服务器及下属网站服务器等，模拟黑客进行渗透性测试。

内部渗透主要是检测被评估单位面对来自内部恶意破坏者渗透或窃密的防御能力。主要范围为被评估单位内网门户、内部网站等。

8.11终端检测

终端检测主要为抽查被评估单位办公终端和上网终端是否有驻留木马、蠕虫、恶意软件，是否存在自定义共享文件夹，系统补丁是否及时更**装，关键工作文件存放是否恰当等情况。主要通过人工查看和工具检测两种方式来进行。

8.12外设检测

外设检测主要面向带有硬盘、内存或其它存储设备和简易操作系统的网络打印机、传真机等智能设备。具体工作为判断外设是否未设置管理员口令；是否默认开放了FTP、TELNET、SNMP、WEB等服务，导致攻击者可以轻易控制该设备或发送大量请求而进行拒绝服务攻击，具体工作通过人工查看配合工具监测两种方式来进行。

9、其他要求：

中标单位与招标人签订网络安全等级保护测评及安全防护委托合同，并签订安全协议。项目进场前，测评人员需提供不低于50万的保险资料以及所有资质文件至招标人安全环保监督部进行备案，安全培训合格后方可开工。

第三部分 投标文件格式

（项目名称）招标项目

投标文件

投 标 人： （盖单位章）

法定代表人或委托代理人： （签字或盖章）

日期： 年 月 日

一、投标函

****:

我单位授权 (姓名) (职务)作为全权代表，为响应贵单位 （项目名称） 的招标提供如下内容：

1.我方愿意 元人民币为投标总价，即 （大写）。此报价为含税价，需提供增值税专用发票，税率为 %。投标人将按招标文件的规定履行合同责任和义务。

2.我方提交的投标文件为一正一副。

3.我方已详细审查全部招标文件，包括修改文件（如有的话）以及全部参考资料和有关附件,完全理解并同意放弃对这方面有不明及误解的权利。

4.我方同意提供按照贵方可能要求的与其投标有关的一切数据或资料，完全理解贵方要接受最低价的投标。

5.我方愿意按照招标文件中规定的条款、技术规范中的标准达到项目要求。

6.一旦我方中标，我方保证按照招标文件规定的时间内完工。

7.我方愿按民法典履行自己的全部责任。

8.****公司有关规定。

9.与本投标有关的一切正式往来通讯 请寄：

地址： 电话：

传真： 邮编：

投 标 人： （盖章）

单位地址：

法定代表人或其委托代理人（签字或盖章）:

邮政编码： 电话：

日期： 年 月 日

二、承诺函

**国信****公司:

我单位承诺贵单位 项目活动前：

1.未处于被责令停业、投标资格被取消或者财产被接管、冻结和破产状态。

2.企业没有因骗取中标或者严重违约以及发生重大工程质量、安全生产事故等问题，被有关部门暂停投标资格并在暂停期内的。

3.无弄虚作假行为及无转包分包挂靠行为。

我方愿意接受上级监管部门和各级领导审查、监督，如有不符，愿接受任何处罚。

单位名称（公章）：

法定代表人或者授权委托代表人（签字或盖章）：

日期： 年 月 日

三、法定代表人身份证明

投标人名称：

单 位 性 质：

地 址：

成 立 时 间： 年 月 日

经 营 期 限：

姓名： 性别：

年龄： 职务：

系 （投标人名称）的法定代表人。

特此证明。

投标人： （盖单位章）

日期： 年 月 日

四、授权委托书

本人 （姓名）系 （投标人名称）的法定代表人，现委托 （姓名）为我方代理人。代理人根据授权，以我方名义签署、澄清、说明、补正、递交、撤回、修改 （项目名称）投标文件、签订合同和处理有关事宜，其法律后果由我方承担。

委托期限：

代理人无转委托权

附：法定代表人身份证明

投 标 人： （盖单位章）

法定代表人： （签字）

身份证号码：

委托代理人： （签字）

身份证号码：

日期： 年 月 日

五、受委托人身份证明

......

六、项目负责人任命书

......

七、项目负责人身份证明

......

八、资格证明材料

（企业营业执照、企业资质证书）

九、同类业绩证明、企业业绩复印件

1. 相同或类似业绩清单

项目名称	公司名称	竣工时间	联系人及电话
……	……	……	……

2. 企业业绩复印件

......

十、报价

1.投标报价

(1)投标报价应是招标文件所确定的招标范围内的全部工作内容的价格体现。其应包括施工设备、劳务、管理、材料、安装、维护、利润及政策性文件规定的各项应有费用。

(2）有关文件：执行**省及地方现行有关文件。

2.投标报价编制要求

报价时应考虑法律法规规定的不可竞争费用。

3.投标人应充分考虑施工期间市场风险**策性调整确定风险系数 计入报价，今后不作调整，工程变更和****要求变动的内容除外。

4.报价为含税价格，另注明税率。

十一、其他证明材料

高级测评师、中级测评师等.

十二、服务承诺和保障

（格式自拟）

十三、差异表

如果投标文件与招标文件中的技术或商务条款有关要求有差异，投标方将差异之处汇集成表，逐项填写在本“差异表”中。如果投标方没有在本“差异表”中详细描述，则表示投标方提供的设备完全符合本招标文件的要求，如果投标方拒绝承认，则可能导致废标。

序号	招标文件		投标文件
	条目	简要内容	条目	简要内容