中标
涉网系统设备等保测评采购公告
金额
-
项目地址
福建省
发布时间
2021/08/09
公告摘要
公告正文
采购公告
(非物资类)
采购编号:ZSSQ-PNHLX-20210809-001
*****公司:
本公司就涉网系统设备等保测评项目采购采用公开竞争性谈判,请按要求提供相关文件并准时参加谈判。
一、项目概况
1.工程概况或服务内容: 详见需求一览表 ;
2.谈判方式:线上谈判
3.谈判时间:以电工交易专区(https://sgccetp.com.cn/portal/#/)公告时间为准。
4.谈判地点:屏南县后垄溪一级水电厂2楼会议室;
5.谈判文件获取:电工交易专区(https://sgccetp.com.cn/portal/#/)采购公告。
6.供应商资格要求:1、投标方须为中华人民共和国国内的独立民事主体。
2、投标方须具有《网络安全等级保护测评推荐机构推荐证书》3、投标方须具有《信息安全风险评估服务资质》一级资质证书。
7.工程交付时间或服务期: 2021年9月1日至9月30日
8.工程服务地点: 后垄溪一级水电厂 ;
9.报价有效期:递交之日起60日内;
10.付款方式:工程交付或服务期满经验收或服务评价合格且提供增值税专用发票后30日内付清款项。(可以根据项目需求及财务相关规定分期付款)
11.本次采购供应商不需要提供保证金。
二、应答文件要求
1. 请严格按照本邀请函及附件中明确的技术要求、报价格式进行报价。
2. 应答文件组成(一式两份):
1) 报价说明及报价表(附件3、4);
2) 法定代表人授权书(附件5);
3) 技术规范中要求提供的其他文件;
3. 供应商专用资格条件:
4. 应答文件签署、包装、密封:
应答文件正本一份副本一份,需打印或用不褪色墨水书写,正本和副本须由供应商法定代表人或其授权代表签署,加盖骑缝章。
5. 应答文件递交截止时间和送达地点:
1)应答递交以电工交易专区电子投标文件为准,投标文件需打印盖章扫描件电子档上传。线下投标文件需按采购人联系方式寄出。
2)在报价截止时间之后,应答人不得撤回报价。
三、评审规则
1. 有下列情况之一者为无效报价文件
1) 应答文件未密封及密封处未加盖公章、未按邀请函要求进行报价。
2) 应答说明书无单位公章、法定代表人或授权代表签字。
3) 不满足邀请函要求的。
4) 逾期送达。
5) 法律法规规定的其他应否决的条款。
6) 评审原则以电工交易专区流程为主。
2. 成交原则:采用最低价评审法。评审小组初评阶段对技术和商务进行符合性审查,合格者进入详评;进入详评的供应商进行二次报价,最终报价(不含税总价)最低者推荐成交。
四、采购人联系方式:
联系人:张章宇(电话:17318393329邮箱:zhangzhangyu2003@163.com)
地 址:福建省宁德市屏南县古峰镇翠屏北路55号 邮编:353600
采购人:屏南县后垄溪水电有限公司(盖章)
2021年8月10 日
附件1需求一览表
附件2 技术规范
附件3报价说明书
附件4报价表
附件5 法定代表人授权书
附件1
项目需求一览表
采购编号:ZSSQ-PNHLX-20210809-001
| 序号 | 项目名称 | 项目概况 | 预计金额/最高限价(万元) |
| 1 | 包括不局限于以下内容: 1.项目情况简述 2.项目采购/服务范围 3 项目工期/服务期限 4.项目地点 5.项目验收标准及质量要求 6.其他说明 | 22 |
附件2
涉网系统设备安全测评项目
技术规范书
屏南县后垄溪水电有限公司
1 总则
1.1 引言
为了落实公安部、国家能源局关于电力监控系统安全等级保护要求,进一步增强电力监控系统安全防护能力,确保电力监控系统安全稳定运行,依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《电力行业信息系统安全等级保护基本要求》(电监信息〔2012〕62号)、《电力监控系统安全防护规定》(国家发展和改革委员会2014年第14号令)及《电力监控系统安全防护总体方案》等7份配套文件(国能安全〔2015〕36号)、《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)和《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)等制度和标准要求,进行本次电力监控系统等级保护测评与安全防护评估。
1.2 适用范围
本技术规范适用于电力监控系统等级保护测评及安全防护评估技术服务项目的采购,包括技术服务要求和验收要求。
1.2.1 本技术规范提出的是最低限度的技术要求。凡本技术规范中未规定,但在相关国家标准、电力行业标准或IEC标准中有规定的规范条文,供应商应按相应标准的条文进行服务供应说明。
1.2.2 如果供应商没有以书面形式对本技术规范的条文提出异议,则采购方认为供应商提供的服务完全符合本技术规范。
1.2.3 本技术规范所建议使用的标准如与供应商所执行的标准不一致,供应商应按更严格标准的条文执行或按双方商定的标准执行。
1.3 标准和规范
下列文件中的条款通过本规范的引用而成为本规范的条款,除本技术规范书特别规定外,供应商所提供的测评标准均应遵循公安部、能源局相关文件要求和采购方的相关文件要求,所用的标准必须是其最新版本;如果这些标准内容矛盾时,应按最高标准的条款执行或按双方商定的标准执行;如果供应商选用本技术规范书规定以外的标准时,需提交与这种替换标准相当的或优于规定标准的证明,供采购方确认。
Ø Ø《中华人民共和国网络安全法》
Ø Ø《信息安全等级保护管理办法》(公通字43号)
Ø Ø《计算机信息系统安全保护等级划分标准》(GB 17859-1999)
Ø Ø《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》
Ø Ø《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》
Ø Ø《GB/T 25058-2019信息安全技术 网络安全等级保护实施指南》
Ø Ø《GB/T 28448-2019信息安全技术 网络安全等级保护测评要求》
Ø Ø《GB/T 28449-2018信息安全技术 网络安全等级保护测评过程指南》
Ø Ø《GB/T 25070-2019信息安全技术网络安全等级保护设计技术要求》
Ø Ø《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)
Ø Ø《电力监控系统安全防护规定》(国家发展和改革委员会14号令)
Ø Ø《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)
Ø Ø《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)
Ø Ø《电力行业信息系统等级保护定级工作指导意见》(电监信息〔2007〕44号)
Ø Ø《电力行业信息系统安全等级保护基本要求》(电监信息〔2012〕62号)
Ø Ø《电力监控系统安全防护总体方案》等7份配套文件(国能安全〔2015〕36号)
Ø Ø《信息安全技术 网络安全等级保护定级指南》GA/T1389-2017号)
1.4 权利和职责
为切实保障本项目的工作质量,确保测评及评估工作达到预期目标,对采购方及项目实施方双方技术工作责任约定如下:
1.4.1 采购方责任
Ø 负责测评实施过程中同相关单位和部门的协调。
Ø 为项目实施方提供良好的工作场地和环境。
Ø 按工作要求提供相关的资料和信息。
Ø 准备应急措施,负责实施过程中的紧急情况的处理。
1.4.2 项目实施方责任
Ø 按照采购方工作章程开展工作。
Ø 项目内容的变更及时与采购方代表沟通。
Ø 按照协议要求提供技术服务和成果。
Ø 确保测评及评估工作质量。
Ø 配合采购方准备应急预案和实施过程中的紧急情况处理。
Ø 负责按时完成所有工作。
同时,双方都必须遵循保密要求。
1.5 项目范围
电力监控系统信息安全等级保护测评与安全防护评估范围如下:
(1)水电厂计算机监控系统(2级包含五防系统)等级保护测评、水情测报系统(2级)等级保护测评
(2)电力监控系统等级保护测评工作需提交公安部门和国家能源局认可的等级保护测评报告,电力监控系统安全防护评估工作交付物为国家能源局认可的安全防护评估报告。
(3)根据国家等级保护相关标准,电力监控系统的安全等级保护测评应包括以下内容:
包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等十个方面的安全测评;
电力监控系统安全防护评估的主要内容包括:资产评估、威胁评估、脆弱性评估、现有安全措施有效性评估等。
2 技术规范
2.1 测评及评估原则
本项目实施方案设计与具体实施应满足以下原则:
2.1.1 保密性原则:项目实施方应与采购方签订保密协议,对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据侵害采购方的权益,否则采购方有权追究供应商的责任。
2.1.2 标准性原则:测评及评估方案的设计与实施应依据国家的相关标准进行。
2.1.3 规范性原则:项目实施方工作中的过程和文档,应具有规范性,便于项目跟踪和控制。
2.1.4 可控性原则:项目的进度应符合进度安排,保证采购方对测评工作的可控性。
2.1.5 整体性原则:测评及评估的范围和内容应系统、全面、规范,满足等级保护和安全防护评估的相关基本要求。
2.1.6 最小影响原则:技术测评及评估工作应尽可能小的影响在线系统和网络的正常运行,不能对现有运行系统造成影响。在线测评及评估应在采购方许可的条件下进行。
2.2 实施要求
供应商应详细描述电力监控系统等级保护测评及安全防护评估的整体实施方案,包括项目概述、等保测评方案、安全防护评估方案、项目实施方案、时间安排、阶段性文档提交和验收标准等。供应商应详细描述测评及评估人员的组成、资质及各自职责的划分。供应商应配置经验丰富的测评及评估人员进行电力监控系统等级保护测评及安全防护评估工作。
2.2.1 测评及评估方法
1.访谈
测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效的一张方法。在访谈的广度上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样;在访谈的深度上,应较全面,需包含通用和高级的问题以及一些有难度和探索性的问题。
2.检查
指测评人员通过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。在检查的广度上,应基本覆盖所有的对象种类(文档、机制等),数量上可以抽样;在检查的深度上,应较为全面,要有详细、彻底的分析、观察和研究。
3.测试
指测评人员通过对测评对象按照预定的方法/工具使其产生特定的响应的活动,查看、分析响应输出结果,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。在测试的广度上,应基本覆盖不同类型的机制,在数量、范围上可以抽样;在测试的深度上,应执行安全测试和渗透测试,安全测试可能涉及机制的功能规范、高级设计和操作规程等文档,渗透测试可能涉及机制的所有可用文档,并试图智取进入信息系统。
2.2.2 工作进度
2.2.2.1 筹划准备阶段
工作周期:1~2周
工作内容:对被测评及评估系统防护现状进行详细分析和调研,初步确定测评及评估实施方案、范围,收集材料,签署保密协议,组建测评及评估项目组,并进行进场实施前的安全教育工作,同时完成检测工具、装备配置等各项准备工作。
2.2.2.2 启动阶段
工作周期:1~2个工作日
工作内容:项目组进驻被测单位,收集分析信息资产资料、网络资料、业务系统资料和信息安全管理制度方针等相关测评所需材料,并召开启动会,就测评及评估工作具体事宜进行落实,包括确定测评及评估计划安排、测评及评估范围、测评及评估内容和配合需求等。
2.2.2.3 现场测评
工作周期:4-5个工作日
工作内容:项目组从管理和技术两个方面入手,开展被测单位测评及评估工作,包括安全区划分、网络专用,评估管理和制度、基础网络、业务系统、通用服务、主机系统、数据库系统、现有安全措施等。
测评及评估方法有顾问访谈、日志审计、人工查看、漏洞扫描等。
现场工作结束后,测评及评估工作小组对现场测评情况进行初步整理汇总,向被测单位领导和系统管理员等汇报现场阶段工作情况。
2.2.2.4 结论分析报告编制阶段
工作周期:3~4周
工作内容:项目组对检测情况和采集的数据进行分类统计、风险计算、综合分析与评估,撰写被测单位系统《等级保护测评报告》及《电力监控系统安全防护评估报告》。
2.2.2.5 整改技术支持阶段
工作周期:根据整改进度而定
工作内容:项目组针对现场测评及评估发现的问题,出具整改建议后,向被测单位提供整改技术咨询支持。
2.2.3 风险控制
测评及评估工作本身也会引入安全风险,必须加强测评及评估过程中的风险控制。项目实施前,双方应充分讨论并明确测评及评估对系统可能带来的风险和隐患,确定测评及评估对象、测评及评估方法和工具,并制定应急恢复措施。
(1)操作的申请和监护
测评及评估操作必须遵守现场运行规章制度,确保系统安全稳定运行。如需在线测试,按照相关工作规程,事前申请,并在专责人员的指导和监护下进行。
(2)人员与数据管理
重视保密工作,加强测评及评估过程中的保密管理,确保参与测评工作人员的可靠、稳定,防止敏感信息泄漏。
(3)测评对象选择
优先选择备用设备(系统)或临时搭建的模拟环境进行测评及评估,避免影响在线系统运行。
(4)制定应急预案
根据被测系统情况,在测评及评估实施前制定应急预案,加强系统在线应急处置能力。
(5)关键业务系统风险控制
生产控制大区在线运行系统禁止采用渗透测试工具进行测评。
2.3 等级保护测评内容
根据国家等级保护2.0相关标准,本次项目的安全等级保护测评应包括安全通用要求及工业控制系统安全扩展要求等内容:
安全通用要求测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等十个方面的安全测评;
2.3.1 安全物理环境
安全通用要求中的安全物理环境部分是针对物理机房提出的安全控制要求。主要对象为物理环境、物理设备和物理设施等;涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。
2.3.2 安全通信网络
安全通信网络部分是针对通信网络提出的安全控制要求。主要对象为广域网、城域网和局域网等;涉及的安全控制点包括网络架构、通信传输和可信验证。
2.3.3 安全区域边界
安全区域边界部分是针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。
2.3.4 安全计算环境
安全计算环境部分是针对边界内部提出的安全控制要求。主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。
2.3.5 安全管理中心
安全管理中心部分是针对整个系统提出的安全管理方面的技术控制要求,通过技术手段实现集中管理。涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。
2.3.6 安全管理制度
安全管理制度部分是针对整个管理制度体系提出的安全控制要求,涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。
2.3.7 安全管理机构
安全管理机构部分是针对整个管理组织架构提出的安全控制要求,涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。
2.3.8 安全管理人员
安全管理人员部分是针对人员管理模式提出的安全控制要求,涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理。
2.3.9 安全建设管理
安全建设管理部分是针对安全建设过程提出的安全控制要求,涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。
2.3.10 安全运维管理
安全运维管理部分是针对安全运维过程括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。
2.4 安全防护评估内容
根据电力监控系统安全防护评估相关标准,在系统等级保护测评的基础上,增加如下评估项:资产评估、威胁评估、通用应用评估、基础设施安全评估、体系结构安全评估、系统本体安全评估、全面安全管理评估、安全应急能力评估、现有安全措施有效性评估等。
2.4.1 资产评估
资产评估对象包括:网络、主机、安全防护措施、应用系统等。根据安全防护评估有关技术要求,资产评估主要考虑两个方面的内容:一是信息系统中所存储、处理、传输的主要信息,二是信息系统所提供的主要服务。通过对每一类信息和服务等级的分析,最终确定信息系统的重要性级别。资产评估具体步骤包括:资产数据整理与核实、资产重要程度分析。其中,资产数据整理与核实是根据被评估单位前期提交的资料,进行资产数据的真实性的查证与确认。资产重要程度分析是根据资产承载的数据、提供的服务,判定资产重要程度的过程。
2.4.2 威胁评估
威胁评估是对被评估单位业务系统、网络与信息系统面临的威胁进行分析的过程。威胁评估依据《电力监控系统安全防护评估规范》提供的威胁列表,以运行与管理人员访谈的方式进行。如被评估单位能够提供历史信息安全事件统计,也可作为威胁评估的补充内容。通过威胁评估,要达到明确被评估单位信息系统面临的主要威胁,以及这些威胁的等级的目的。
2.4.3 通用应用评估
通用应用评估是对信息系统中的数据库服务、Web服务等通用应用进行的安全配置检查,达到发现通用应用安全漏洞的目的。通用应用评估也采用人工审计和漏洞扫描两种方式进行。
2.4.4 基础设施安全评估
基础设施评估是对电力监控系统所处机房的物理安全防护情况,包括防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施实施情况,电子门禁的使用情况等进行评估。
电力监控系统设备及线缆的部署情况,包括服务器、网络设备、安全设备的安装情况,通信线缆和电源线的铺设情况,设备电力供应情况等
2.4.5 体系结构安全评估
体系结构评估应重点检查16字方针“安全分区、网络专用、横向隔离、纵向认证”的落实情况,重点针对网络边界防护措施、横向隔离、纵向认证等关键防护措施的执行情况,安全接入区的设置情况、无线网络防护等。
2.4.6 系统本体安全评估
系统本体安全评估是对电力监控系统自身安全防护情况,包括软、硬件使用和策略配置等进行评估:
1. 移动存储介质使用情况,包括硬盘、U盘或其它存储设备;
2. 操作系统、网络设备、应用系统用户口令使用情况;
3. 操作系统、网络设备、应用系统用户权限分配情况;
4. 主机、交换机、路由器等设备、应用系统的安全策略配置及加固情况,尤其是Windows系统、非国产网络及安全设备。
5. 终端检测:主要为抽查被评估单位办公终端和上网终端是否有驻留木马、蠕虫、恶意软件,是否存在自定义共享文件夹,系统补丁是否及时更新安装,关键工作文件存放是否恰当等情况。主要通过人工查看和工具检测两种方式来进行。
6. 外设检测:主要检测带有硬盘、内存或其它存储设备和简易操作系统的网络打印机、传真机等智能设备。
2.4.7 全面安全管理评估
全面安全管理评估是从管理角度对单位电力监控系统概况进行评估,重点检查安全防护规定落实情况;
制度建立及主管领导、管理机构和工作人员履职情况,信息安全责任制落实情况;
运维人员的安全管控情况;
电力监控系统安全防护评估工作开展情况;
信息安全宣传教育、领导干部及各级人员网络与信息安全基础培训、信息安全人员专业技术培训情况等。
2.4.8 安全应急能力评估
安全应急能力评估是对系统的安全有效性、业务的连续性和备用、灾备能力进行评估。
备用与容灾能力的建设情况,包括系统的冗余设备部署情况,设备配置的备份情况等;
网络与信息安全应急预案的制定、修订情况,包括应急预案是否健全,是否具有针对性和可操作性等;
应急技术支撑队伍建设、应急演练的执行情况;
重大网络安全事件处置情况。
2.4.9 现有安全措施有效性评估
现有安全措施有效性评估是对信息系统中部署的主要安全防护措施进行的审计,达到确定这些安全措施的管理和使用情况是否存在重大漏洞和缺陷,明确现有安全措施的有效性程度的目的。现有安全措施的评估主要采用人工检查和访谈的方式进行。主要包括防火墙、防病毒系统、入侵检测/防御装置、防病毒网关、单向隔离装置、纵向认证装置等现有安全措施。
2.5 测评及评估流程
根据国家等级保护相关标准,电力监控系统安全等级保护测评流程分为四个阶段:测评准备阶段、方案编制阶段、现场测评阶段、分析与报告编制阶段。测评完成后,提供整改建议书,配合采购方根据测评范围进行整改实施。
电力监控系统的安全等级保护测评流程如下图所示:
电力监控系统安全防护评估工作基本流程将依照《电力监控系统安全防护评估规范》进行,分前期交流和启动准备阶段、现场数据采集和评估阶段、风险计算和分析阶段,以及总结阶段。
3 项目服务商要求
3.1 服务团队技术要求
供应商应仔细阅读本技术规范书所列的各项规范,所提供的安全服务应满足本技术规范书提出的要求。供应商也可以推荐满足本技术规范的其他方案,但必须对其在技术规范方面与本技术规范书之间所存在的差异加以详细说明。若无说明,则按对供应商不利的方面理解。
供应商及投标产品应满足以下要求:
① 供应商须具有《网络安全等级保护测评推荐机构推荐证书》;
② 供应商须具有《信息安全风险评估服务资质》一级资质;
③ 供应商应具有信息安全等级保护测评项目实施经验并提供相关业绩证明;
④ 供应商应承诺在检测过程中所使用的工具软件本身不能有任何安全隐患,对此应承担责任。同时提供的安全服务必须在技术上先进和成熟,使用工具软件版本是最新的并且成熟稳定,供应商应在整改加固过程中保证系统的稳定性;
⑤ 服务团队现场工作结束后,如果采购方对提出的安全问题有疑义,服务团队应予解答。
3.2 驻场服务人员要求
供应商应与采购方签订保密协议,对检测和加固过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据侵害采购方的权益,否则采购方有权追究供应商的责任。
供应商工作中的过程和文档,应具有规范性,便于项目跟踪和控制。
3.3 技术支持服务要求
测评及评估工作本身也会引入安全风险,必须加强测评及评估过程中的风险控制。项目实施前,双方应充分讨论并明确测评及评估对系统可能带来的风险和隐患,确定测评及评估对象、测评及评估方法和工具,并制定应急恢复措施。
(1)操作的申请和监护
测评及评估操作必须遵守现场运行规章制度,确保系统安全稳定运行。如需在线测试,按照相关工作规程,事前申请,并在专责人员的指导和监护下进行。
(2)人员与数据管理
重视保密工作,加强测评及评估过程中的保密管理,确保参与测评工作人员的可靠、稳定,防止敏感信息泄漏。
(3)测评对象选择
优先选择备用设备(系统)或临时搭建的模拟环境进行测评及评估,避免影响在线系统运行。
(4)制定应急预案
根据被测系统情况,在测评及评估实施前制定应急预案,加强系统在线应急处置能力。
(5)关键业务系统风险控制
生产控制大区在线运行系统禁止采用渗透测试工具进行测评。
4 工程管理
4.1 项目验收
验收应按照采购方确认的验收测试大纲进行,全过程必须由采购方在场见证。
Ø 等级保护测评及安全防护评估项目目标是输出等级保护测评及安全防护评估报告,该项目将产生一定数量的文档。
Ø 供应商应对所有正式交付件的综合质量审查负责,指定各交付件的相关责任人,明确相关职责。
Ø 供应商应提交验收流程、验收方法和验收依据。
Ø 供应商应提供交付件归档办法和方式。
Ø 供应商应提供详细的验收测试大纲或计划,大纲中应明确规定验收项目和必须满足的要求。大纲必须经采购方确认后方可生效。
Ø 验收报告需双方代表签字认可。
4.2 项目文档
4.2.1 供应商提供的资料应使用国际单位制(SI),语言为中文。
4.2.2 资料的组织结构清晰、逻辑性强。资料内容要正确、准确、一致、清晰完整。如所供资料不能达到要求时,供应商应免费给予补充。
4.2.3 供应商资料的提交应及时充分,满足项目进度要求。
4.2.4 供应商完成项目后应提供以下文档:
表3-1 供应商完成项目提供文档列表
| 序号 | 文档名称 | 提交时间 | 备注 |
| 1 | 《测评方案》 | 签署合同后1周 | 电子版 |
| 2 | 《系统自查指南》 | 签署合同后1周 | 电子版 |
| 3 | 《系统安全等级保护测评报告》 | 现场测评后4周 | 正式版 |
| 4 | 《电力监控系统安全防护评估报告》 | 现场测评后4周 | 正式版 |
| 5 | 《整改建议书》 | 现场测评后4周 | 电子版 |
供应商在项目方案设计、实施、验收的各个阶段,均应满足电力监控系统正常稳定运行的要求。
供应商出具的相关报告应得到行业主管单位认定。
4.4 保密要求
供应商承担被测评及评估单位敏感信息的保密责任,在项目实施过程中,双方需要复制对方提供的相关资料时,应提交书面申请,在得到对方书面同意后方可复制,并将数据内容记录成表,签字确认。
未经双方书面同意,不得向第三方透露项目和涉及双方企业信息安全、技术成果的任何内容。
项目结束后,双方必须互相确认测评过程中提供的相关资料,相互承担保密责任。
【正文结束】
附件3
报价说明书
致:XXXX公司
经研究,我们决定参加项目采购编号为_____________(采购编号、项目名称)项目项下设备及服务的谈判采购活动并提交采购文件。为此,我方郑重声明以下诸点,并负法律责任。
1 我方提交的采购文件,正本一份、副本一份。
2 按所附报价表中规定的应提交和交付的(项目名称)总报价为 即 (文字表述)。折扣或优惠: 。
3 如果我们的采购文件被接受,我们将履行谈判邀请函中规定的每一项要求,并按我们采购文件中的承诺按期、按质、按量提供服务。
4 我们理解,最低报价不是成交的唯一条件,你们有选择成交供应商的权力。
5 我们同意按采购邀请函规定遵守采购人有关采购的各项规定。
6 我方若未成为成交供应商,采购人有权不做任何解释。
7 我方的采购文件有效期为自首次报价截止日或经采购人同意提出报价日起(两者以较迟者为准)至首次报价截止日后第60个日历日。
8 与本报价有关的一切正式往来通讯请寄:
地址: 传真:
电话: 电子函件:
法定代表人或授权代理人签字:
供应商名称:
公章:
日期:
附件4
一次报价表
采购编号ZSSQ-PNHLX-20210809-001
金额单位:¥万元
| 序号 | 名称 | 税率 | 总价 (不含税) | 总价 (含税) | 备注 |
分项报价表:
法定代表人或授权代理人签字:
供应商名称:
公章:
日期:
二次报价表
采购编号:ZSSQ-PNHLX-20210809-001
金额单位:¥万元
| 序号 | 名称 | 税率 | 总价 (不含税) | 总价 (含税) | 备注 |
备注:二次报价表是在谈判后确认最终价格,须签字盖章,现场谈判的可签字按压指纹确认。
法定代表人或授权代理人签字:
供应商名称:
公章:
日期:
附件5:
法定代表人授权书
致: ___________公司:
(服务商名称),中华人民共和国合法企业,法定地址:。
(法定代表人姓名)特授权(被法定代表人姓名)代表我公司全权办理 (项目编号、名称:)的谈判、签约、执行等具体工作,并签署全部有关的文件、协议及合同。
我公司对被授权人签署的所有文件、协议及合同负全部责任。
在采购人收到撤销本授权的通知以前,本授权书一直有效。被授权人已签署的所有文件、协议和合同不因授权的撤销而失效。
被授权人不得转授权。
被授权人签名(章):_____________ 授权人签名(章):_______________
职务:____________ 职务:______________
公章
年 月 日
注:1、若被授权人有两名或两名以上,如未特别声明,则任一被授权人签署的有关文件、协议、合同或处理的相关事务均应视为有效;若供应商对同类型业务进行年度授权备案的,可无需反复提供授权文件。
2、需提供法定代表人和被授权人的身份证复印件。
3、最终报价需法定代表人或被授权人本人持身份证原件参加。
'
解决方案
联系我们
返回顶部