周口隆达发电有限公司
信息系统安全等级保护测评公开比价
招标编号：YTDL-2023-YDWZ-05-隆达-004

`











招标人：周口隆达发电有限公司
2023年05月


目 录
目 录. 1
第一章 招标公告. 2
第二章 评标方法和标准. 6
第三章 合同条款及格式. 8
第四章 技术规范书. 10
第五章 投标文件格式. 15
投标书格式. 16
一、开标一览表. 17
二、投标报价表. 19
三、商务、技术条款偏离表. 23
四、法定代表人授权书. 24
五、授权委托书. 25
六、投标人资格证明文件. 26




第一章 招标公告
1.周口隆达发电有限公司（以下简称“招标人”）采用国内公开比价、资格后审方式进行本项目的自主招标，欢迎符合要求的投标人（以下简称 “投标人”）提交密封的有竞争性的投标文件。
项目名称：周口隆达发电有限公司信息系统安全等级保护测评
招标编号：YTDL-2023-YDWZ-05-隆达-004
招标范围：周口隆达发电有限公司信息系统安全等级保护测评，具体内容和要求详见第四章技术规范。
施工工期：150天，具体时间以招标人通知为准。
2.投标人需满足以下基本要求：
2.1投标人须具有中华人民共和国独立法人资格；
2.2投标人须能够开具合法可抵扣的增值税专用发票；
2.3投标人资质要求：
投标人须具有网络安全等级保护测评与检测评估机构服务认证证书。
2.4投标人业绩要求：
投标人须具有自2020年1月1日之后签订的河南省内单机容量300MW及以上燃煤机组信息系统安全等级保护测评合同业绩。
2.5投标人须具有良好的银行资信和商业信誉，没有处于被责令停业，财产被接管、冻结、破产和重组状态。
2.6投标人及其分包商在近3年内不能在任何合同中因违约或属投标人及其分包商的原因而被终止合同，投标人和技术支持方没有中国国家有关部门所界定的腐败或欺诈行为。
2.7本项目不接受联合体投标。
2.8单位负责人为同一人或者存在控股、管理关系的不同单位，不得同时参加投标。
3.报名方式及招标文件售价：
3.1投标人须先填写投标登记表（附表一），并将投标登记表可编辑的word版发送至招标人邮箱。
3.2本项目不收取标书费。投标人发送投标登记表至招标人邮箱后，缴纳3000元投标保证金至招标人账户并电话通知招标人，投标人须以投标单位名义缴纳投标保证金并按照如下账户支付，未中标单位投标保证金在本项目合同签订后30个工作日内无息退还。
招标人名称：周口隆达发电有限公司
开户银行：建行周口黄金桥支行
账 号：4100 1554 9100 5000 0720
4.开标时间：2023年5月18日上午10:00。采用邮递投标的单位可以通过腾讯会议方式参加开标（腾讯会议号码：121 643 021）。进入腾讯会议后须将自己的名称改为公司名称。
5.开标地点：周口市商水县章华台路西段周口隆达发电有限公司一楼会议室，所有投标文件按照第五章投标文件格式要求制作一个正本文件，密封递交到开标地点。
6.投标文件递交
6.1邮递投标：邮递投标须出具开标委托函（详见第五章委托开标函），邮递投标文件送达时间以招标人签收时间为准，投标文件须先密封后邮递，逾期送达或不符合规定的投标文件恕不接受。
6.2现场接收投标文件：现场递交投标文件须于开标当日投标截止时间前递交至开标地点。逾期送达或不符合规定的投标文件恕不接受。
6.3邮箱报价：仅适用因疫情影响无法邮递或现场送达投标文件的投标人，将投标文件签字盖章扫描件和委托开标函于开标时间前发到指定邮箱zkldjzcg@126.com，逾期发送或不符合规定的投标文件恕不接受。投标人完成投标后将投标文件纸质版邮寄至招标人处。
7.该招标文件在（www.chinabidding.cn）中国采购与招标网和（www.dlzb.com）中国电力招标网上同时发布，对于因其他网站转载并发布的非完整版或修改版招标文件，而导致投标人造成损失，招标人不予承担责任。
8.踏勘现场:投标人需到招标人现场进行踏勘，由投标人自行安排，费用自理。除招标人的原因外，投标人自行负责在踏勘现场中所发生的人员伤亡和财产损失。
9.招标人：周口隆达发电有限公司
详细地址：河南省周口市商水县章华台路西段
邮编：466199
联系人：魏锦霞
电话：13663949952
邮箱：zkldzhaobiao@126.com





























附表一：投标登记表

投标单位名称
招标项目名称
招标文件编号
联系人	姓名
	移动电话
	电子邮箱
投标单位支付项目投标保证金时所用的银行详细名称及账号		开户银行： 账 号： (根据此银行账号退还投标保证金)
投标人签字

注：投标保证金必须注明“投标单位”及“（招标编号）保证金”字样，否则因款项用途不明导致后果由投标人自行承担。

单位公章：_____________________
日 期：2023年 月 日
















附表二：报名资格审核文件

招标公告要求提供证明文件		资质证明文件(投标方填写)	报名文件所在页码
1	营业执照
2	网络安全等级保护测评与检测评估机构服务认证证书	发证单位： 有效期：
3	2020年1月1日之后签订的河南省内单机容量300MW及以上燃煤机组信息系统安全等级保护测评合同业绩	合同（合同名称，承包范围，签订页面）

★注：
1、此表请投标人按公告中资格标准要求的资质、业绩认真填写【必须附相关资质及合同证明材料的PDF版扫描件】。
2、合同证明材料需附主要内容页（合同封面、签字盖章页、承包范围等），无相关合同证明或材料不全，在审核时将不予确认。



第二章 评标方法和标准
1.评标办法：经评审的最低投标价法。
1.1所有投标人必须按照投标报价表要求进行报价，不得少报、漏报，如出现此情况则按其投标单价或其他投标人的最高单价核算数量后计入投标总价。
1.2若单价计算的结果与总价不一致，以单价为准修改总价；若用文字表示的数值与用数字表示的数值不一致，以文字表示的数值为准，并对数字作相应的修正，但这些修正后的总价不得高于开标一览表中投标人签字确认的价格。如果投标人不接受对其错误的更正，其投标将被拒绝，投标保证金将被没收。
1.3若投标人报价税率不一致时，调整至统一税率或按税前价格作为其评标价格。
1.4当有效投标人不足3家时，招标人可根据实际情况，在征得有效投标人同意后，现场转为谈判。
2.招标人将审查投标文件是否完整、资格、业绩证明文件是否齐全，投标保证金是否合格等，只对确定为通过初审（符合性检查）的投标进行详细评审。招标人发现投标人有下列情况之一的，其投标将被拒绝：
2.1没有按照招标文件要求提供的投标文件或不满足技术主要参数要求和超出偏差范围的；
2.2超出经营范围的投标或资格标准、业绩不满足招标文件要求的；
2.3投标人有串通投标（按照招投标法实施条例认定）、弄虚作假、行贿等违法行为；
2.4投标文件无投标单位公章、无法定代表人或授权人签字，或签字人无法定代表人有效委托书的；
2.5未按规定递交投标保证金的；
2.6招标人未做额外要求，投标人在同一份投标文件中，对同一招标标的报有两个或多个报价，且未声明哪个为最终报价的；
2.7被招标人列入黑名单单位的；
2.8招标文件允许投标人为代理商时，未出具生产厂家的有效授权；
2.9投标文件附有招标人不能接受的条件，包括但不限于如合同条款付款偏差等；
2.10国家相关法规认定的其它无效投标或废标的。
3.中标候选人的确定方式
3.1评标组按照招标文件确定的评标标准和方法，向招标人推荐中标人，未中标不再通知，不对未中标原因作出解释。
3.2当投标人的有效报价相同时，以技术性能评审高者优先；价格相同且技术性能评审也相同，由招标人确定。
3.3招标人保留在授标之前任何时候接受或拒绝任何投标，以及宣布招标程序无效或拒绝所有投标的权力，对受影响的投标人不承担任何责任。
4.合同的授予
4.1投标人不得以低于成本的报价竞标，最低投标价不是被授予合同的唯一保证和条件。
4.2排名第一的中标候选人必须与招标人签订合同，否则扣除投标保证金并列入招标人黑名单，不得参加招标人以后任何项目投标。
4.3当排名第一的中标候选人放弃中标，则排名第二的中标候选人可转为第一中标候选人。




第三章 合同条款及格式
本合同条款将作为中标合同的基础，若投标人对合同条款有异议，请在商务偏离表和技术偏离表中列出，否则视为接受。
重大的偏离可能导致投标被拒绝。
周口隆达发电有限公司
信息系统安全等级保护测评合同
甲方：周口隆达发电有限公司
乙方：（中标单位）
根据《中华人民共和国民法典》及相关法律法规的规定，就甲方委托乙方进行信息系统安全等级保护测评事宜，经甲、乙双方协商，本着平等互利和诚实信用的原则，双方达成一致意见，签订以下合同条款。
第一条、 项目名称
项目名称：周口隆达发电有限公司信息系统安全等级保护测评。
第二条、服务内容
具体服务内容详见《周口隆达发电有限公司信息系统安全等级保护测评技术协议》。
第三条、合同价款
1.本项目固定总价承包，合同价款为：人民币 （小写：¥ ）含税价，税率为 %的可抵扣增值税，其中不含税额为 元。
合同实施期间如遇国家税收政策调整，按不含税净价不变、仅对税款部分进行调整的原则予以调整。
2.合同价款含劳务费、测评服务费、报告编制费、食宿费、管理费、协调费及税金等完成本项目所发生的费用。
第四条、履约保证金
1.本合同签字生效后，乙方对于本项目的投标保证金将自动转为履约保证金。
2.本合同双方权利义务履行完毕后，乙方在履约期间无违约行为，乙方提供有效收据，甲方在30个工作日内全额退还履约保证金（无息）。若乙方违约，则甲方可从履约保证金中优先抵扣相应数额的违约金。
第五条、付款方式
1.乙方完成本合同约定所有工作后，向甲方提交验收申请，经甲方验收合格后，乙方向甲方开具与结算金额等额增值税专用发票，甲方收到有效票据后30个工作日内向乙方支付结算金额的100%。
结算金额：合同总价款＋考核金额（奖励为正值，处罚为负值）-乙方应承担费用，结算金额以甲方核定数据为准。
乙方应承担费用：如因乙方提供的发票不符合本合同约定，给甲方造成可抵扣税金损失的费用等。
2.乙方指定收款账户信息：
开户名称：
开户行：
账号：
第六条、双方职责
1. 甲方职责
（1）甲方在项目实施过程中，及时安排人员为乙方提供测评所需要的技术文档，并监督乙方的施工质量；
（2）参与项目验收工作，并签字确认；
（3）按照合同约定，及时向乙方支付合同约定相关费用。
2. 乙方职责
（1）乙方向甲方提供符合公安机关及电力主管部门要求的信息安全等级测评报告；
（2）乙方按合同规定组织人员现场信息收集，现场测评，按期完成项目实施工作；
（3）如发生工伤、安全事故及因乙方原因造成设备损坏，全部由乙方负责；
（4）完成合同中所规定的各项承诺、责任与义务。
第七条、项目工期
工期150天，具体开始时间以甲方通知为准。
第八条、测评项目验收
1．在测评结束提交正式报告后，由甲方协调相关部门组织验收工作，验收通过标准为乙方提供第五条交付的6项服务产品内容。
2．由于乙方的原因造成未能达到验收标准，甲方有权要求乙方进行整改，双方签署整改意见书，所产生的相关费用由乙方自行承担。
第九条、违约责任
1.除不可抗力外，甲、乙双方应严格遵守本合同各项条款的规定，并按本合同规定履行其职责，否则即视为违约，另一方有权要求违约方按本合同规定履行其职责。若违约方的违约行为导致另一方遭受经济损失，另一方有权向违约方要求赔偿，赔偿金额和支付形式由甲乙双方另行协商确定, 协商不成的按照相关法律规定解决。
2. 项目实施质量不符合合同规定的，乙方负责无偿返工。由于返工造成逾期交付或未能按合同规定工期交付使用的，偿付逾期违约金1000元，每超过一天再扣除200元，累计不超过合同金额的30%。造成严重损失的，并赔偿由此给甲方造成的全部经济损失。
第十条、不可抗力
1. 本条所述的“不可抗力”是指甲乙双方在订立和合同时无法控制、不可预见，并且通常情况下不可避免和克服的事件，包括但不限于：战争、政变、洪水、火灾、台风、地震、冰雹以及甲乙双方同意成为不可抗力的其他事件。如果由于不可抗力致使本合同任何一方无法按时履行合同义务，则在受不可抗力影响的时间和范围内该方有权中止对其义务的履行。
2. 发生不可抗力事件时，受不可抗力影响的一方应尽快以书面形式将不可抗力的情况和原因通知另一方。同时必须在不可抗力发生后10日内，以挂号信形式递交当地有关公证机关的证明。在任何情况下，如果不可抗力事件持续超过90天，则任何一方有权在向对方发出终止通知后终止本合同。
第十一条、通知与送达
1．双方联系人及联系方式：
甲方联系人： 魏锦霞 联系方式：0394-8706032
乙方联系人： 联系方式：
2．双方履行本合同过程中相互发送的函件或通知应按照上述联系方式和地址进行，并特别约定：
（1）如为信函，以收件人签收日期为送达之日。如果是他人代收，则代收人签收日期为送达之日。如果拒收，则以记载的拒收日期或为送达之日；如果无人签收，函件交邮日期视为送达之日；
（2）如为传真，发送之日即为送达之日；
（3）如为专人递送，收件人签收之日为送达之日。拒绝签收的，函件落款日期视为送达之日；
（4）如用电子邮件送达，电子邮件发出之日为送达之日。
3．一方变更其联系人、联系方式或地址应及时书面通知另一方，否则另一方仍有权将变更前的联系方式视为有效，变更方承担一切不利后果。
第十二条、争议解决
合同履行过程中发生争议时，双方应本着真诚合作的精神，通过友好协商解决。如协商不成，任何一方可申请上级业务主管部门进行调解，调解不成时可向合同履行地商水县人民法院诉讼解决，在进行诉讼审理期间，除提交诉讼审理的事项外，合同仍应继续履行。
第十三条、其他事项
1. 本合同一式 陆 份，甲乙双方各执 叁 份，具有同等法律效力。
2. 本合同自双方法定代表人或授权代表签字并盖章之日起生效。
3. 本合同签订前，乙方应与甲方先签订《技术协议》；合同签订后、施工前与甲方签订《安健环管理协议》，协议作为本合同附件，与合同具有同等法律效力。
4. 合同生效后任何变更必须经甲乙双方共同签署方可有效。
第十四条、合同附件
1. 周口隆达发电有限公司信息系统安全等级保护测评技术协议（另附）；
2. 周口隆达发电有限公司信息系统安全等级保护测评安健环管理协议（另附）；
3. 廉洁自律公约（另附）。





















第四章 技术规范书




信息系统安全等级保护测评技术规范书
一、 总则
1、本技术协议适用于周口隆达发电有限公司 信息系统安全等级保护测评项目。
2、本合同价格是为完成本合同范围内信息系统安全等级保护测评工作而发生的各项应有费用，其中主要包括人工费、企业管理费、措施费、完工后场地清理费、政策性文件的调价、利润、规费、税金、现行取费中的其它费用、各种施工措施费、安全文明施工费用、保险、合同执行期间的政策性调整、所有乙供材料的价差以及在工程实施期间各类风险等一切费用。
3、本技术协议书中涉及有关商务方面的内容，如与招标文件的商务部分有矛盾时，以商务部分为准。
4、投标人投标前须自行进行现场踏勘。
二、 项目简介
为深入贯彻《中华人民共和国网络安全法》，全面落实《关于加强电力行业网络安全工作的指导意见》(国能发安全[2018] 72号)，认真履行电力监控系统技术监督职责，周口隆达发电有限公司组织开展#1机组DCS系统、#2机DCS系统 、NCS系统、SIS系统的网络安全等级保护工作。开展两个机组的信息系统安全管理制度建设、技术措施建设和等级测评工作，全面提高周口隆达发电有限公司的网络安全防护能力，有效保障业务系统的健康发展。
三、 投标人资质及业绩要求
见商务。
四、投标人负责项目内容
4.1物理安全测评
物理安全涉及的测评对象包括:物理机房。
物理安全测评所使用的核查记录表包括：《物理安全核查记录表》。
各个测评指标的具体内容、测评对象和测评方法见表3.1。
表3.1 物理安全测评实施内容表

序号	测评指标	测评内容	测评方法
1	物理位置的选择	应访谈物理安全负责人，询问现有机房和办公场地（放置终端计算机设备）的环境条件是否能够满足信息系统业务需求和安全管理需求，是否具有基本的防震、防风和防雨等能力； 应检查机房和办公场地的设计/验收文档，是否有机房和办公场地所在建筑具有防震、防风和防雨等能力的说明； 应检查机房和办公场地是否在具有防震、防风和防雨等能力的建筑内。	访谈、核查
2	物理访问控制	应访谈机房安全负责人，了解具有哪些控制机房进出的能力； 应检查机房安全管理制度，查看是否有关于机房出入方面的规定； 应检查机房是否有进出机房的登记记录； 应检查机房出入口是否有专人值守，是否有值守记录，以及进出机房的人员登记记录；检查机房是否不存在专人值守之外的出入口； 应检查机房是否有进入机房的人员身份鉴别措施，如戴有可见的身份辨识标识； 应检查是否有来访人员进入机房的审批记录； 访谈机房安全负责人，了解通过哪些措施限制和监控来访人员的活动范围。	访谈、核查
3	防盗窃和防破坏	应访谈机房安全负责人，询问目前采取了哪些防止设备、介质等丢失的保护措施； 应检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内； 应检查是否有设备管理制度文档； 应检查主要设备或设备的主要部件的固定情况，是否不易被移动或被搬走，是否设置明显的无法除去的标记； 应访谈机房维护人员，询问通信线缆是否铺设在隐蔽处,并检查通信线缆铺设是否在隐蔽处（如铺设在地下或管道中等）； 应检查是否有通信线路布线文档； 应访谈资产管理员，在介质管理中，是否进行了分类标识，是否存放在介质库或档案室中； 应检查介质的管理情况，查看介质是否有正确的分类标识，是否存放在介质库或档案室中； 应检查是否有介质管理制度文档，介质清单和使用记录； 应检查机房是否安装了防盗报警设施，设施是否正常运行； 应访谈机房维护人员，询问是否对机房安装的防盗报警设施进行定期维护检查，并查看运行和报警记录； 应检查是否有机房防盗报警设施的安装测试/验收报告。	访谈、核查
4	防雷击	应访谈物理安全负责人，询问为防止雷击事件导致重要设备被破坏采取了哪些防护措施，机房建筑是否设置了避雷装置，是否通过验收或国家有关部门的技术检测； 应访谈机房维护人员，询问机房建筑避雷装置是否有人定期进行检查和维护； 应检查机房是否有建筑防雷设计/验收文档； 应访谈物理安全负责人，询问机房计算机供电系统是否有交流电源地线； 应访谈机房维护人员，询问机房计算机系统接地（交流工作接地、安全保护接地、防雷接地）是否符合GB50174－93《电子计算机机房设计协议》的要求（交流工作接地的接地电阻不应大于4Ω，安全保护地的接地电阻不应大于4Ω；防雷保护地（处在有防雷设施的建筑群中可不设此地）的接地电阻不应大于10Ω）； 查看建筑防雷设计/验收文档中是否有地线连接要求的描述。	访谈、核查
5	防火	应访谈物理安全负责人，询问机房是否设置了灭火设备，是否设置了火灾自动报警系统,是否有人负责维护该系统的运行； 应访谈机房值守人员，询问对机房出现的消防安全隐患是否能够及时报告并得到排除；是否能够正确使用灭火设备和火灾自动报警系统； 应检查机房是否设置了灭火设备，摆放位置是否合理，有效期是否合格； 应检查机房火灾自动报警系统是否正常工作，查看是否有运行记录、报警记录、定期检查和维修记录；应检查是否有有关机房消防的管理制度文档，机房防火设计/验收文档，火灾自动报警系统的设计/验收文档。	访谈、核查
6	防水和防潮	应访谈物理安全负责人，询问机房建设是否有防水防潮措施；如果机房内有上/下水管安装，是否穿过屋顶和活动地板下，穿过墙壁和楼板的水管是否采取了可靠的保护措施； 应访谈机房维护人员，询问机房是否出现过漏水和返潮事件；如果机房内有上下水管安装，是否经常检查是否有漏水情况； 应检查机房是否有建筑防水和防潮设计/验收文档，是否能够满足机房防水和防潮的需求；如果有管道穿过主机房墙壁和楼板处，应检查是否置套管，管道与套管之间是否采取可靠的密封措施； 应检查机房是否不存在屋顶和墙壁等出现过漏水、渗透和返潮现象，机房及其环境是否不存在明显的漏水和返潮的威胁；如果出现漏水、渗透和返潮现是否能够及时修复解决； 应访谈物理安全负责人，询问在湿度较高地区或季节是否有人负责机房防水防潮事宜，配备除湿装置，并有湿度记录； 应访谈机房维护人员，如果出现机房水蒸气结露和地下积水的转移与渗透现象是否及时采取防范措施； 应访谈机房维护人员，询问是否有防止出现机房地下积水的转移与渗透的措施，是否有防水防潮处理记录。	访谈、核查
7	防静电	应访谈物理安全负责人，询问机房关键设备是否采用必要的接地防静电措施； 应访谈机房维护人员，询问机房是否存在静电问题或因静电引起的故障事件； 应检查机房是否有防静电设计/验收文档； 应检查机房是否有安全接地，查看机房是否明显存在静电现象。	访谈、核查
8	温湿度控制	应访谈物理安全负责人，询问机房是否配备了温湿度自动调节设施，保证温湿度能够满足计算机设备运行的要求，是否在机房管理制度中规定了温湿度控制的要求，是否有人负责此项工作； 应访谈机房维护人员，询问是否定期检查和维护机房的温湿度自动调节设施，询问是否出现过温湿度影响系统运行的事件； 应检查机房是否有温湿度控制设计/验收文档； 应检查温湿度自动调节设施是否能够正常运行，查看温湿度记录、运行记录和维护记录；查看机房温湿度是否满足GB 2887-89《计算站场地技术条件》的要求（A级：温度夏季23±2℃，冬季20±2℃，湿度45~65%；B级：温度15~30℃，湿度40~70%）。	访谈、核查
9	电力供应	应访谈物理安全负责人，询问计算机系统供电线路上是否设置了稳压器和过电压防护设备； 应检查机房，查看计算机系统供电线路上的稳压器和过电压防护设备是否正常运行； 应访谈机房维护人员，询问是否对在计算机系统供电线路上的稳压器、过电压防护设备等进行定期检查和维护，是否有检查和维护记录；是否能够控制电源稳压范围满足计算机系统运行正常； 应检查机房是否有电力供应安全设计/验收文档，是否在其中标明配备稳压器、过电压防护设备等要求； 应访谈物理安全负责人，询问是否设置了短期备用电源设备（如UPS），供电时间是否满足系统最低电力供应需求； 应检查机房，查看计算机系统供电线路上的短期备用电源设备是否正常运行； 应访谈机房维护人员，询问是否对在计算机系统供电线路上的短期备用电源设备等进行定期检查和维护，是否有检查和维护记录； 应检查机房是否有电力供应安全设计/验收文档，是否在其中标明配备短期备用电源设备等要求。	访谈、核查
10	电磁防护	应访谈机房维护人员，询问是否做到电源线和通信线缆隔离；是否出现过因外界电磁干扰等问题引发的故障； 应检查机房是否有电磁防护设计/验收文档； 应检查机房布线，查看是否做到电源线和通信线缆隔离。	访谈、核查

4.2网络安全测评
网络安全涉及的测评对象包括：网络全局、核心交换机、接入交换机、各区域交换机。
各个测评指标的具体内容、测评对象和测评方法见表3.2。
表3.2 网络安全测评实施内容表

序号	测评指标	测评内容	测评方法
1	结构安全	1、访谈关键网络设备的业务处理能力情况； 2、通过监控平台查看关键网络设备的业务处理能力； 1、访谈接入网络和核心网络的带宽使用情况； 2、通过监控平台查看接入网络和核心网络的使用情况； 检查网络拓扑结构图； 子网或网段的划分，以及为各子网、网段分配的地址段。	访谈、核查
2	访问控制	1、询问网络访问控制措施有哪些；询问访问控制策略的设计原则是什么； 2、登录相关设备查看访问控制功能的启用情况； 1、检查边界网络设备，查看其是否根据会话状态信息对数据流进行控制，控制粒度是否为网段级； 2、网络边界的设备是否了不必要的服务； 查看是否有正确的访问控制列表（如ACL）限制拨号用户对系统资源的访问； 查看是否限制了拨号用户的数量。	访谈、核查
3	边界完整性检查	查看检查边界完整性检查设备，或确定其他同等的监控措施。	访谈、核查
4	入侵防范	系统在网络边界安装的入侵检测设备。	访谈、核查
5	安全审计	查看设备是否开启了日志审计功能； 查看设备操作日志、运行状况的记录内容。	访谈、核查
6	网络设备防护	口令的设置； 远程管理的访问控制； 用户标识的唯一性； 采用口令加密及高强度口令； 非授权登录失败次数限制及登录超时措施； 启用SSH方式进行远程管理，HTTP服务及SNMP服务，若启用SNMP服务则应修改默认通信字并对其访问进行控制。	访谈、核查

4.3主机安全测评
主机安全涉及的测评对象包括：系统所在的服务器以及数据库管理系统和数据库管理系统所在的服务器。
各个测评指标的具体内容、测评对象和测评方法见表3.3。
表3.3 主机安全测评实施内容表

序号	测评指标	测评内容	测评方法
1	身份鉴别	1、登录系统或访问系统资源是否需要密码； 检查服务器操作系统的身份鉴别策略，查看是否提供了身份鉴别措施； 检查是否提供了身份鉴别措施，身份鉴别信息是否具有不易被冒用的特定，如对用户登录口令的最小长度、复杂度和更换周期进行了要求和限制； 密码策略： 1、密码必须符合复杂性要求； 2、密码长度最小值； 3、密码最长使用期限； 4、密码最短使用期限； 5、强制密码历史； 6、密码永不过期属性； 帐户锁定策略： 1、复位帐户锁定计数器； 2、帐户锁定时间； 3、帐户锁定阈值； 检查服务器操作系统的身份鉴别策略，查看是否配置了鉴别失败功能，并设置了非法登录次数的限制值；查看是否设置网络登录连接超时，并自动退出； 如果服务器操作系统采用远程管理方式，查看是否具有防止鉴别信息在网络传输过程中被窃听的措施； 1、禁用telnet服务； 2、查看是否启用Terminal Services服务（远程桌面）； 3、询问是否采取其它安全的远程管理方式； 询问是否存在多个用户使用同一帐户的情况； 检查服务器操作系统和数据库管理系统账户列表，查看管理员用户名分配是否唯一；询问管理员，是否存在多个用户使用同一帐户的情况； 检查数据库系统是否对登录用户进行身份标识和鉴别； 检查所有用户的口令长度及复杂度； 查看SQL Server是否可对登录失败进行处理；如：采取结束会话、限制非法登录次数和自动退出等措施； 1、询问是否加密； 2、使用截包工具进行分析。	访谈、核查
2	访问控制	1、查看服务器操作系统管理员是否能提供用户权限对照表； 2、设置的用户是否与权限表一致； 查看用户权限表； 权限分离； 检查数据库管理系统的特权用户和服务器操作系统的特权用户，查看不同管理员的系统账户权限是否不同，且不应由同一人担任； 检查服务器操作系统的访问控制策略，查看是否已禁用或者限制匿名/默认账户的访问权限，是否重命名系统默认账户、修改这些账户的默认口令； 重命名来宾和系统管理员帐户； 删除多余过期帐户； 检查服务器操作系统的访问控制策略，是否删除了系统中多余的、过期的以及共享的账户； 1、查看数据库管理员是否能提供用户权限对照表； 2、设置的用户是否与权限表一致； 3、是否将应用系统所使用的数据库的操作权限授予适合的用户； 查看是否重命名了系统默认帐户，并对修改了默认用户口令； 删除多余过期帐号。	访谈、核查
3	安全审计	检查服务器操作系统的安全审计策略，查看安全审计配置是否包括系统内重要用户行为、系统资源的异常和重要系统命令的使用等重要的安全相关事件； 审核策略； 审核策略： 1、审核策略更改； 2、审核登录事件； 3、审核对象访问； 4、审核过程跟踪； 5、审核目录服务访问； 6、审核特权使用； 7、审核系统事件； 8、审核帐户登录事件； 9、审核帐户管理； 检查服务器操作系统的安全审计策略，查看安全审计内容是否包括系统内重要用户行为、系统资源的异常和重要系统命令的使用等重要的安全相关事件； 检查服务器操作系统的安全审计策略，查看审计记录信息是否包括事件发生的日期与时间、出发时间的主体与客体、事件的类型、事件成功或失败、事件的结果等内容； 询问是否保护审计记录，避免受到未预期的删除、修改或覆盖等； 检查服务器和重要客户端操作系统的安全审计策略，查看是否通过日志覆盖周期、存储方式、日志文件/空间大小、日志文件操作权限等设置，实现了对审计记录的保护，使其避免受到未预期的删除、修改或覆盖等； 通过SQL Server管理程序查看是否开启日志审计功能； 审计策略； 审计日志开启； 查看是否对审计日志进行了保护、是否配有审计员权限的用户。	访谈、核查
4	入侵防范	1、检查服务器操作系统中所安装的系统组件和应用程序是否都是必须的； 2、检查是否设置了专门的升级服务器实现对服务器操作系统的升级，是否具有操作系统补丁更新策略； 3、检查服务器操作系统的补丁是否得到了及时更新； 1、系统安全补丁安装； 2、补丁更新方式； 3、是否启用必要的端口服务； 4、最小安装； 5、是否了默认共享； 1、数据库安全补丁安装； 2、补丁更新方式。	访谈、核查
5	恶意代码防范	1、查看安装的防病毒软件； 2、查看恶意代码库版本； 3、是否开启Windows Defender； 防病毒软件； 防恶意代码的各类软件、设备应进行统一管理； 防病毒软件的统一管理。	访谈、核查
6	资源控制	终端限制； 检查服务器操作系统的资源访问策略，查看是否设定了终端接入方式、网络地址范围等条件限制终端登录； 检查访问服务器操作系统的终端是否都设置了操作超时锁定的配置； 1、是否启用屏保密码； 2、空闲的会话时间； 1、是否对主机资源的使用情况进行监控； 2、是否采取了措施限制单个用户对系统资源的最大使用限度（如：启用了服务器磁盘配额管理措施等）； 3、主机当前的资源使用情况是否满足实际需要； 检查服务器操作系统的资源访问策略，查看是否设置了单个用户或应用对系统资源最大值或最小使用限度； 询问管理员，是否对终端连接方式、对登录的终端进行限制； 远程查询超时值； 询问管理员，并查看是否对系统资源的最大或最小使用限度进行了限制。	访谈、核查

4.4应用安全测评
应用安全涉及的测评对象包括：应用系统
应用安全测评所使用的核查记录表包括：《应用安全核查记录表》。
各个测评指标的具体内容、测评对象和测评方法见表3.4。

序号	测评指标	测评内容	测评方法
1	身份鉴别	系统设置专用登录控制模块，使用户在系统内实施任何其它操作之前先识别自己； 1、应确保用户身份标识具有唯一性； 2、系统要求具备对提供的秘密（如口令等）执行规定的质量量度和生成满足规定的量度的秘密的机制； 对应用系统用户登录失败次数设置一定门限，超过门限次数时应采取一定行动（如锁定、报警等措施）； 应将代表用户活动的主体与用户的安全属性关联；应确保用户身份标识具有唯一性；系统要求具备对提供的秘密（如口令等）执行规定的质量量度和生成满足规定的量度的秘密的机制；系统具有登录失败处理处理措施。	访谈、核查
2	访问控制	应用系统访问控制功能的设计实现机制中的“客体”是文件、数据库表而不是应用菜单或功能等界面或访问路径； 系统应能根据访问控制规则正确实施对资源的控制； 系统中应有专门的用户管理模块对用户的安全属性进行配置，对用户可访问资源进行授权；若存在默认用户的，检查默认赋予的访问权限是否会产生风险； 1、系统应维护不同的管理角色； 2、特权用户的权限分离，例如将管理与审计的权限分配给不同的用户； 3、权限分离应采用最小授权原则。	访谈、核查
3	安全审计	系统有审计功能，能够对用户的重要操作进行记录； 审计记录不能删除、修改或覆盖； 审计记录包含对事件操作的关键记录。	访谈、核查
4	通信完整性	系统采用校验码技术保证通信过程中数据的完整性。	访谈、核查
5	通信保密性	系统采用加密方式建立会话； 系统采用加密方式对敏感信息的数据包进行加密。	访谈、核查
6	软件容错	系统在数据输入界面提供数据有效性检验功能； 系统提供对输入数据进行保护的功能。	访谈、核查
7	资源控制	系统应具有超时结束会话功能； 应用系统有最大并发会话连接数限制； 系统限制单个用户多重并发会话数。	访谈、核查

4.5数据安全及备份恢复测评
数据安全测评所使用的核查记录表包括：《数据安全及备份恢复核查表》。
各个测评指标的具体内容、测评对象和测评方法见表3.5。
表3.5 数据安全及备份恢复测评实施内容表

序号	测评指标	测评内容	测评方法
1	数据完整性	关键主机操作系统、关键网络设备操作系统、关键数据库管理系统和关键应用系统的鉴别信息和重要业务数据在网络传输中是否采取完整性检测措施,采取什么样的检测措施，具体如何实现； 。	访谈、核查
2	数据保密性	关键主机操作系统、关键网络设备操作系统、关键数据库管理系统和关键应用系统的鉴别信息和重要业务数据是否采用加密或其他有效措施保护其存储保密性，具体采取什么样的保护措施，如何实现。	访谈、核查
3	备份和恢复	1、主要网络设备的配置文件是否进行备份，备份和恢复策略具体是什么； 2、主要主机操作系统的重要信息是否进行备份，备份和恢复策略具体是什么； 3、主要数据库管理系统的关键数据是否备份，备份和恢复策略是什么； 4、主要应用系统的应用程序是否备份，备份和恢复策略是什么； 1、关键网络设备、安全设备是否采取备份措施，具体采取什么措施； 2、通信线路是否采取备份措施，具体采取什么措施； 3、关键服务器是否采取硬件冗余措施，具体采取什么措施。	访谈、核查

4.6安全管理制度测评
注：安全管理的测评（包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理）采用人员访谈和文档核查方式，测评对象为安全管理文档及相关执行记录，以下具体章节中对测评对象不再进行赘述。
安全管理（包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理）的安全测评所使用的核查记录表包括：《安全管理制度核查记录表》。
各个测评指标的具体内容、测评对象和测评方法见表3.6。
表3.6 安全管理制度测评实施内容表

序号	测评指标	测评内容	测评方法
1	管理制度	应检查总体方针、政策性文件和安全策略文件，查看文件是否明确机构安全工作的总体目标、范围、方针、原则、责任等； 1、应检查安全管理制度清单，查看是否覆盖文件控制、安全检查、人力资源及培训、设备管理、软件开发/外包开发项目管理，机房安全管理、信息分类及管理、网络安全管理、系统安全管理、恶意代码管理、变更控制、备份及介质管理、事件管理、应急预案等； 应检查是否具有重要管理操作的操作规程，如系统维护手册和用户操作规程等。	访谈、核查
2	制定和发布	应访谈安全主管，询问是否有专人负责制订安全管理制度，负责人是何人； 应访谈是否对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等），应检查管理制度评审记录，查看是否具有相关人员的评审意见； 应访谈管理人员（负责制定管理制度的人员），询问安全管理制度的制定程序，发布方式有哪些。	访谈、核查
3	评审和修订	应访谈管理人员（负责定期评审、修订和日常维护的人员），询问定期对安全管理制度的评审、修订情况和日常维护情况，评审周期多长，评审、修订程序如何，维护措施如何。	访谈、核查

4.7安全管理机构测评
各个测评指标的具体内容、测评对象和测评方法见表3.7。
表3.7安全管理机构测评实施内容表

序号	测评指标	测评内容	测评方法
1	岗位设置	应访谈管理人员，询问是否设立安全主管、安全管理各方面的负责人，并定义了各负责人的职责； 应访谈安全主管，询问单位设置了哪些工作岗位（如安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员和安全员等重要岗位），是否明确各个岗位的职责分工。	访谈、核查
2	人员配备	应访谈安全主管，询问各岗位（包括机房管理员、系统管理员、数据库管理员、网络管理员、安全管路员等重要岗位人员）人员配备情况，包括数量、专职还是兼职等； 应检查管理人员名单，查看其是否明确机房管理员、系统管理员、数据库管理员、网络管理员、安全员等重要岗位人员的信息，确认安全管理员是专职，没有兼任网络管理员、系统管理员、数据库管理员等。	访谈、核查
3	授权和审批	应访谈安全主管，询问是否对信息系统中的关键活动进行审批(包括系统投入运行、网络系统接入和重要资源的访问等)，审批部门是何部门，批准人是何人，他们的审批活动是否得到授权； 应访谈安全主管，询问是否对信息系统中的关键活动建立审批程序，检查是否明确须审批事项、审批部门、批准人及审批程序等；检查相关记录是否有批准人批准。	访谈、核查
4	沟通和合作	应访谈安全主管，询问是否召开部门间协调会议，是否召开信息安全职能部门内部工作会议； 应访谈安全主管，询问是否经常与公安机关、电信公司和兄弟单位联系，联系方式有哪些，与组织机构内其他部门之间有哪些合作内容，沟通、合作方式有哪些。	访谈、核查
5	审核和检查	应访谈安全主管，询问安全员是否定期对信息系统进行安全检查，检查周期多长，是否明确检查内容； 应访谈安全员，询问安全检查包含哪些内容，检查人员有哪些，检查程序是否按照系统相关策略和要求进行，检查结果如何； 应检查安全检查记录，查看记录时间与检查周期是否一致，文档中是否有检查内容、检查人员、检查结果等的描述。	访谈、核查

4.8人员安全管理测评
各个测评指标的具体内容、测评对象和测评方法见表3.8。
表3.8人员安全管理测评实施内容表

序号	测评指标	测评内容	测评方法
1	人员录用	询问是否有授权专门部门或人员负责人员录用； 应检查是否具有人员录用时对录用人身份、专业资格等进行审查的相关文档或记录，查看是否记录审查内容和审查结果等； 应检查保密协议，查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人签字等。	访谈、核查
2	人员离岗	应访谈安全主管，询问是否及时终止离岗人员所有访问权限； 应检查是否具有对离岗人员的安全处理记录，如取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等登记记录； 应访谈人事工作人员，询问调离手续包括哪些，是否要求调离人员承诺相关保密义务后方可离开；应检查保密承诺文档，查看是否有调离人员的签字。	访谈、核查
3	人员考核	应访谈安全主管，询问是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核。	访谈、核查
4	安全意识教育和培训	应访谈安全主管，询问是否制定安全教育和培训计划并按计划对各个岗位人员进行安全教育和培训，以什么形式进行，效果如何； 应访谈安全员、系统管理员、网络管理员和数据库管理员，考查其对工作相关的信息安全基础知识、安全责任和惩戒措施等的理解程度； 应检查安全教育和培训计划文档，查看是否具有不同岗位的培训计划；查看计划是否明确了培训目的、培训方式、培训对象、培训内容、培训时间和地点等，培训内容是否包含信息安全基础知识、岗位操作规程等。	访谈、核查
5	外部人员访问管理	应访谈安全管理人员，询问对第三方人员访问重要区域（如访问主机房等）采取哪些措施，是否经有关负责人批准才能访问，是否由专人陪同或监督，是否进行记录并备案管理。	访谈、核查

4.9系统建设管理测评
各个测评指标的具体内容、测评对象和测评方法见表3.9。
表3.9系统建设管理测评实施内容表

序号	测评指标	测评内容	测评方法
1	系统定级	应访谈安全主管，询问确定信息系统安全保护等级的方法是否参照定级指南的指导，是否对其进行明确描述； 应检查系统属性说明文档，查看文档是否明确了系统边界； 应检查系统定级文档，查看文档是否给出信息系统的安全保护等级； 应访谈安全主管，询问定级结果是否获得了相关部门（如上级主管部门）的批准； 应检查系统定级文档，查看定级结果是否有相关部门的批准盖章。	访谈、核查
2	安全方案设计	应访谈系统建设负责人，询问是否根据系统的安全级别选择基本安全措施，是否依据风险评估的结果补充和调整安全措施，做过哪些调整； 应访谈系统建设负责人，询问是否制定系统的安全方案； 应检查系统的安全方案，查看方案是否描述系统的安全保护要求，是否详细描述了系统的安全策略，是否详细描述了系统对应的安全措施等内容； 应访谈系统建设负责人，询问是否根据安全方案制定出系统详细设计方案指导安全系统建设和安全产品采购； 应检查系统的详细设计方案，查看详细设计方案是否对应安全方案进行细化，是否有安全建设方案和安全产品采购方案； 应访谈系统建设负责人，询问是否组织相关部门和有关安全技术专家对安全设计方案进行论证和审定，安全设计方案是否经过安全主管领导或管理层的批准； 应检查系统的详细设计方案，查看方案是否有经过安全主管领导或管理部门的批准盖章； 应检查专家论证文档，查看是否有相关部门和有关安全技术专家对安全设计方案的评审意见。	访谈、核查
3	产品采购和使用	应访谈系统建设负责人，询问系统信息安全产品的采购情况，是否有产品采购清单指导产品采购，采购过程如何控制； 应检查系统使用的有关信息安全产品（边界安全设备、重要服务器操作系统、数据库等）是否符合国家的有关规定； 应访谈系统建设负责人，询问系统是否采用了密码产品，密码产品的使用是否符合国家密码主管部门的要求； 应检查密码产品的品牌及型号，确认该产品是否经过国家密码主管部门许可；应检查密码产品的使用情况是否符合密码产品使用、管理的相关规定，例如《商用密码管理条例》规定任何单位只能使用经过国家密码管理机构认可的商用密码产品，商用密码产品发生故障，必须有国家密码管理机构指定的单位维修，报废商用密码产品应向国家密码管理机构备案，《计算机信息系统保密工作暂行规定》规定涉密系统配置合格的保密专用设备，所采取的保密措施应与所处理信息的密级要求相一致等； 应访谈安全主管，询问是否有专门的部门负责产品的采购，由何部门负责。	访谈、核查
4	自行软件开发	应访谈系统建设负责人，询问系统是否自主开发软件，自主开发是否有相应的控制措施，是否在独立的模拟环境中编写、调试和完成； 应检查软件开发环境与系统运行环境在物理上是否是分开的； 应访谈系统建设负责人，询问是否将自行软件开发过程的控制方法和人员行为准则协议制度化； 应检查软件开发管理制度，查看其是否规定软件开发过程的控制方法和人员的各种行为等方面内容； 应访谈系统建设负责人，询问软件设计的相关文档和使用指南文档是否由专人负责保管，负责人是何人，如何控制使用（如限制使用人员范围并做使用登记等）； 应检查是否具有软件设计的相关文档（应用软件设计程序文件、源代码说明文档等）和软件使用指南或操作手册和维护手册等；是否具有软件设计相关文档的使用控制记录。	访谈、核查
5	外包软件开发	应访谈系统建设负责人，询问软件交付前是否依据开发协议的技术指标对软件功能和性能等进行验收检测，验收检测是否是由开发商和委托方共同参与；询问在外包软件前是否对软件开发单位以书面文档形式（如软件开发安全协议）协议软件开发单位的责任、开发过程中的安全行为、开发环境要求、软件质量、开发后的服务承诺等内容； 应访谈系统建设负责人，询问是否具有独立对软件进行日常维护和使用所需的文档，开发单位是否为软件的正常运行和维护提供过技术支持，以何种方式进行； 应检查是否具有需求分析说明书、软件设计说明书、软件操作手册等开发文档以及用户培训计划、程序员培训手册等后期技术支持文档； 应访谈系统建设负责人，询问软件安装之前是否检测软件中的恶意代码，检测工具是否是第三方的商业产品； 应访谈系统建设负责人，询问是否会审查软件中可能存在的后门； 应检查软件开发协议是否要求开发单位提供源代码。	访谈、核查
6	工程实施	应访谈系统建设负责人，询问是否指定专门人员或部门按照工程实施方案的要求对工程实施过程进行进度和质量控制； 应检查工程实施方案，查看其是否规定工程时间限制、进度控制、质量控制等方面内容，工程实施过程是否按照实施方案形成各种文档，如阶段性工程报告。	访谈、核查
7	测试验收	应访谈系统建设负责人，询问是否对系统进行安全性测试验收； 应访谈系统建设负责人，询问是否根据设计方案或合同要求组织相关部门和人员对测试报告进行符合性审定； 应检查工程测试方案，查看其是否对参与测试部门、人员、现场操作过程等进行要求；查看测试记录是否详细记录了测试时间、人员、操作过程、测试结果等方面内容；查看测试报告是否提出存在问题及改进意见等； 应访谈系统建设负责人，询问是否组织相关部门和相关人员，哪些部门哪些人员，对系统测试验收报告进行审定，是否由双方签字进行确认； 应检查系统测试验收报告，是否有审定部门的人员的签字。	访谈、核查
8	系统交付	应访谈系统建设负责人，询问交接手续是什么，系统交接工作是否由专门部门按照该手续办理，是否根据交付清单对所交接的设备、文档、软件等进行清点，交付清单是否满足合同的有关要求；是否对交付工作进行制度化要求； 应检查系统交付清单，查看其是否具有系统建设文档（如系统建设方案）、指导用户进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档名称； 应访谈系统建设负责人，询问目前的信息系统是否由内部人员独立运行维护，如果是，系统建设实施方是否对运维技术人员进行过培训，针对哪些方面进行过培训； 应检查是否具有对系统运维技术人员进行的培训记录； 应访谈系统建设负责人，询问系统是否具有支持其独立运行维护所需的文档； 应检查系统交付清单，查看其是否具有系统建设文档（如系统建设方案）、指导用户进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档名称。	访谈、核查
9	安全服务商选择	应访谈系统建设负责人，询问对信息系统进行安全规划、设计、实施、维护、测评等服务的安全服务单位是否符合国家有关规定； 应访谈系统建设负责人，询问是否与选定的安全服务商签订与安全相关的协议，在协议内明确约定相关责任； 应查看与安全服务商签订的协议中是否有安全要求，是否明确约定相关责任； 应访谈系统建设负责人，询问选定的安全服务商是否提供技术支持和服务承诺，是否与其签订服务合同； 应查看与安全服务商签订的协议中是否包含技术支持和服务承诺的相关条款。	访谈、核查

4.10系统运维管理测评
各个测评指标的具体内容、测评对象和测评方法见表3.10
表3.10系统运维管理测评实施内容表

序号	测评指标	测评内容	测评方法
1	环境管理	应访谈物理安全负责人，询问是否指定专人或部门对机房基本设施（如空调、供配电设备等）进行定期维护，由何部门/何人负责，维护周期多长； 应检查机房基础设施维护记录，查看是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容； 应访谈物理安全负责人，询问是否指定人员负责机房安全管理工作，对机房的出入管理是否要求进行制度化和文档化； 应检查机房进出登记表，查看其是否记录外来人员进出时间、人员姓名和访问原因等方面内容； 应检查机房安全管理制度，查看其内容是否覆盖机房物理访问、物品带进、带出机房和机房环境安全等方面； 应访谈物理安全负责人，询问是否对保证办公环境的保密性采取相应措施，如人员调离后权力收回等。	访谈、核查
2	资产管理	应访谈安全主管，询问是否指定资产管理的责任人员或部门，由何部门/何人负责； 应检查资产清单，查看其内容是否覆盖资产责任人、所属级别、所处位置和所属部门等方面； 应检查资产安全管理制度，询问是否明确资产管理的责任部门、责任人等方面要求,协议资产管理和使用 。	访谈、核查
3	介质管理	应访谈资产管理员，询问介质的存放环境是否有保护措施，防止其被盗、被毁、被未授权修改以及信息的非法泄漏，是否有专人管理； 应访谈资产管理员，询问是否对介质的使用管理要求文档化，是否根据介质的目录清单对介质的使用现状进行定期检查; 应检查介质管理记录，查看其是否记录介质的存储、归档和借用等情况； 应访谈资产管理员，询问对送出维修或销毁介质之前是否做过安全处理（如清除其中的敏感数据）； 应访谈资产管理员，询问是否对介质进行分类和标识管理； 应检查介质，查看是否对其进行了分类，并具有不同标识。	访谈、核查
4	设备管理	应访谈资产管理员，询问是否对各类设施、设备指定专人或专门部门进行定期维护，由何部门/何人维护，维护周期多长； 应访谈资产管理员，询问是否对设备选用的各个环节（选型、采购和发放等）进行审批控制，设备的操作和使用是否要求协议化管理； 应检查设备审批、发放管理文档，查看其内容是否对设备选型、采购和发放等环节的申报和审批作出规定； 应访谈系统管理员，询问是否对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行协议化管理； 应检查设备使用管理文档，查看其内容是否覆盖终端计算机、便携机和网络设备等使用、操作原则、注意事项等方面； 应检查服务器操作规程，查看其内容是否覆盖服务器如何启动、停止、加电、断电等操作； 应访谈资产管理员，是否对设备带离机构进行审批控制。	访谈、核查
5	网络安全管理	应访谈安全主管，询问是否指定专人负责维护网络运行日志、监控记录和分析处理报警信息等网络安全管理工作； 应检查网络安全管理制度，查看其是否覆盖网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志内容、日志保存时间等方面内容； 应访谈网络管理员，询问是否根据厂家提供的软件升级版本对网络设备进行过升级，目前的版本号为多少，升级前是否对重要文件（帐户数据、配置数据等）进行备份，采取什么方式进行备份； 应访谈网络管理员，询问是否对网络设备进行过漏洞扫描，对扫描出的漏洞是否及时修补； 应访谈网络管理员，询问是否对网络设备的配置文件进行定期备份； 应访谈安全员，询问系统网络的外联种类有哪些（互联网、合作伙伴企业网、上级部门网络等），是否都得到授权与批准，由何部门/何人批准； 应检查是否具有内部网络外联的授权批准书。	访谈、核查
6	系统安全管理	应访谈安全主管，询问是否指定专人负责系统安全管理； 应访谈安全员，询问是否根据业务需求和系统安全分析确定系统访问控制策略； 应访谈安全员，是否对系统进行过漏洞扫描，发现漏洞是否及时修补； 应访谈系统管理员，询问是否定期对系统安装安全补丁程序，在安装系统补丁前是否对重要文件（系统配置、系统用户数据等）进行备份，采取什么方式进行； 应访谈系统管理员，询问是否对系统安全进行制度化管理； 应检查系统安全管理制度，查看其内容是否覆盖系统安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志、系统帐户等方面做出具体要求； 应访谈系统管理员，询问是否有系统的操作手册；是否详细记录操作日志； 应访谈审计员，询问是否规定系统审计日志的保存时间，多长时间；是否对运行日志和审计数据进行分析； 应检查在规定的保存时间范围内是否存在系统审计日志。	访谈、核查
7	恶意代码防范管理	应访谈系统运维负责人，询问是否对员工进行基本恶意代码防范意识的教育，如告知应及时升级软件版本，使用外来设备、网络上接收文件和外来计算机或存储设备接入网络系统之前进行病毒检查； 应访谈系统运维负责人，询问是否指定专人对恶意代码进行检测，并保存记录； 应检查是否具有恶意代码检测记录； 应检查恶意代码防范管理文档，查看其内容是否对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面作出规定。	访谈、核查
8	密码管理	应访谈安全员，询问密码算法和密钥的使用是否遵照国家密码管理规定。	访谈、核查
9	变更管理	应访谈系统运维负责人，询问是否制定变更方案指导系统执行变更； 应检查系统变更方案，查看其是否对变更类型、变更原因、变更过程、变更前评估等方面进行说明； 应访谈系统运维负责人，询问重要系统变更前是否得到有关领导的批准，由何人批准，对发生的变更情况是否通所有相关人员，以何种方式通知； 应检查重要系统的变更申请书，查看其是否有主管领导的批准。	访谈、核查
10	备份与恢复管理	应访谈系统管理员和数据库管理员，询问是否识别出需要定期备份的业务信息、系统数据和软件系统，主要有哪些； 对其备份工作是否以文档形式协议了备份方式、频度、介质和保存期等内容； 应检查备份管理文档，查看其是否规定备份方式、频度、介质和保存期等方面内容； 应检查是否具有规定备份方式、频度、介质、保存期的文档； 应访谈系统管理员和数据库管理员，询问是否制定了数据的备份策略和恢复策略； 应检查数据备份和恢复策略文档，查看其内容是否覆盖数据的存放场所、文件命名规则、介质替换频率、数据离站传输方法等方面。	访谈、核查
11	安全事件处置	应访谈系统运维负责人，询问是否告知用户在发现安全弱点和可疑事件时应及时报告； 应访谈系统运维负责人，询问是否对安全事件进行分类处置管理；询问是否制定了安全事件报告和处理管理制度文件； 应检查安全事件报告和处置管理制度，查看其是否明确与安全事件有关的工作职责，包括报告单位（人）、接报单位（人）和处置单位等职责； 应访谈系统运维负责人，询问本系统已发生的和需要防止发生的安全事件主要有哪几类，对识别出的安全事件是否根据其对系统的影响程度划分不同等级，划分为几级； 应检查安全事件定级文档，查看其内容是否明确安全事件的定义、安全事件等级划分的原则、等级描述等方面内容； 应访谈系统运维负责人，询问是否对所报告的安全事件进行记录并保存； 应检查安全事件记录分析文档，查看其是否记录引发安全事件的原因，是否记录事件处理过程，是否采取措施避免其再次发生。	访谈、核查
12	应急预案管理	应访谈系统运维负责人，询问是否制定不同事件的应急预案； 应检查应急预案文档，查看其内容是否覆盖启动预案的条件、应急处理流程、系统恢复流程和事后教育等内容； 是否对系统相关人员进行应急预案培训，培训内容是什么，多长时间举办一次； 应检查是否具有应急预案培训记录。	访谈、核查

五、工期
暂定于2023年6月1日至2023年11月30日，工期150天，具体时间以招标人通知为准。
六、技术要求
《中华人民共和国网络安全法》
《国家能源局关于加强电力行业网络安全工作的指导意见》(国能发安全[2018] 72号)
GB/T 22239-2008：《信息安全技术 信息系统安全等级保护基本要求》
GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》
GB/T 20984-2007 《信息安全技术 信息安全风险评估协议》
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）
《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）
《信息安全等级保护管理办法》（公通字[2007]43号）
七、双方基本责任
1、招标人责任
1.1负责提供原系统相关的图纸资料；
1.2对投标人安全、质量以及材料使用、文明生产等各方面进行监察；
1.3对施工质量进行检查验收；
1.4为投标人的服务提供必要的工作条件、工具和设备；招标人不具备的工具应由投标人自行解决。
2、投标人责任
2.1严格按照相关施工协议要求，对合同范围内的设备进行拆除、改造、设备供货、安装、调试；
2.2负责本工程所有乙供材的供应；
2.3负责办理工作票、工器具准备等工作，按照招标人进度计划和质量要求组织施工；
2.4负责投标人人员和设备的安全，人员防护；
2.5由于投标人原因或其他方原因造成投标人人身或设备事故时，由投标人承担责任，招标人应协助处理，并提供方便；
2.6在施工工作中，必须尽可能保护设备的完好，在施工中由于投标人原因造成设备和设备标牌损坏等,由投标人负责维修和修复,费用由投标人承担；
2.7负责施工范围内的设备及区域的卫生和文明生产工作；
2.8负责投标人人员的食宿，交通；
2.9提供设备的使用维护说明书、图纸、主要备品备件清单等技术资料；
2.10提供至少一次设备的操作及维护培训；
2.11提供一年期免费现场技术支持；
2.12负责保护隆达电厂涉网系统的核心数据安全，保证隆达电厂的涉网系统的核心数据不外传。
八、材料供应
1.甲供材：无
2.乙供材：
为了完成本工程所需要的所有设备、软件及工具等均由投标人负责。
九、安健环管理
贯彻“安全第一，预防为主，综合治理”的安全生产方针，严格遵守国家《安全生产法》、《建设工程安全生产管理条例》等有关安全生产和环境保护的法律法规、协议标准及相关要求，严格遵守《电力安全工作规程》和永泰能源股份公司、周口隆达发电有限公司的有关安全文明施工和环境保护管理规定，以有效落实安全生产责任为宗旨，以安全标准化管理为手段，全面执行安全“六化”管理（即安全管理制度化、安全设施标准化、现场布置条理化、机料摆放定置化、作业行为协议化、环境影响最小化），全面接受招标人的监督、管理、检查，确保施工人员的安全和健康、招标人财产免遭损失，环境免遭破坏。保证安全施工、文明施工、绿色施工。
1.投标人必须建立健全完善的“安全生产保证体系”和“安全监督监察体系”，并统一纳入招标人安全管理体系，接受招标人安全管理职能部门的监督和领导。
2.投标人进场前须与招标人签订安全协议。
3.投标人必须坚决贯彻执行党和国家及招标人所在地各级人民政府，关于安全生产的一系列方针、政策、法规、条例和规定，必须采取一切必要措施和手段强化安全管理，提高安全生产水平，维持安全生产秩序，以保证现场人员和设备的安全与健康。
4.投标人必须贯彻执行“安全第一、预防为主,综合治理”的方针，严格执行《电力生产安全工作规程》、《安全生产工作规定》、《防止电力生产重大事故的二十五项重点要求》和招标人有关安全工作的其它规定，确保人身及设备事故零目标。
5.由于投标人人员违反招标人相关的安全工作规定、规程，造成人员伤亡和设备、设施损坏事故，责任完全由投标人独立承担，造成的经济损失招标人可从应付给或将要付给投标人的款项中扣回，不足部分从履约保证金中扣除。
6.投标人派驻现场人员（含管理人员及作业人员）总人数超过30人的，应出具专职安全生产管理人员的有效的安全资格或安全培训证明材料；投标人派驻现场人员（含管理人员及作业人员）总人数在30人以下的，应出具兼职安全生产管理人员（或安全员）的有效的安全资格或安全培训证明材料。在30人以内配备1名兼职安全员；
7.投标人检修工作票、动火工作票的工作负责人资格必须经招标人通过考试确认，工作票执行中的相关事项依据《电力生产安全工作规程》和招标人有关工作票的相关规定执行。
8.投标人在本合同开始履行前，应组织其人员认真听取招标人安监管理人员的安全技术交底，制定出检修工作安全技术措施和防火防盗措施，经招标人安监管理人员审核批准后方可开工。
9.投标人人员在现场检修工作过程中，应接受招标人管理人员的安全技术监督与管理。
10.劳动保护防护用品及安全工器具由投标人按国家规定配备齐全，特殊工种配备相应的劳动防护用品。
11.投标人检修所用的安全工器具必须按国家规定报请当地劳动部门检验后方可使用。
12.安全目标是不发生人身轻伤及以上人身伤亡事故、不发生人员责任事故、不发生一般及以上设备事故，杜绝恶性误操作事故、不发生一般及以上火灾事故、不发生一般及以上交通事故、不发生一般环境污染事故。
13.投标人应持有与合同业务相对应的经行业主管部门颁发的有效的承揽业务的资质证明材料。
14.从事建筑施工，投标人须持有行业主管部门颁发的有效的《安全生产许可证》。
15.投标人或投标人的现场承包方须具有相应的合同设备系统的等保测评资质。。
16.合同工作有特殊要求的，投标人须持有特殊要求证书。
17.投标人现场负责人（或项目经理）应持有承包单位或法人出具的法人授权委托或任命证明材料，投标人现场负责人（或项目经理）应持有有效的安全资格或安全培训证明材料。
18.投标人应出具全部拟派驻现场人员（含管理人员及作业人员）与投标人之间的有效的劳务关系证明（包括且不仅限于用工合同、用工协议、社保缴纳证明等）。
19.投标人应出具为全部拟派驻现场人员（含管理人员及作业人员）办理的有效的人身保险证明（包括且不仅限于工伤保险、商业人身意外险等）。
20.投标人现场作业若存在电工作业、金属焊接切割作业、高处作业、制冷与空调作业、危险化学品安全作业等特种作业行为，投标人应出具拟派驻现场的相应作业行为人员的由应急管理部门颁发的有效的《特种作业操作证》。
21.保持施工场所整洁，做到“工完、料尽、场地清”，设备材料堆放有序、标识清楚，保持施工道路畅通，保持排水设施完好；
22.场区文明施工标志、重点防火部位标志及紧急救护标志醒目、齐全。
十、验收
1.验收
过程验收投标人分项按工序完成后通知招标人按等保测评标准质量验收点验收。
2.竣工验收
本工程完成一个月内，投标人向招标人提交竣工验收申请，投标人向招标人提供四个系统的信息系统安全等级保护备案证明、四个系统的三级测评报告、四个系统的整改建议书等，招标人组织热态验收，投标人参与，验收合格后即为竣工验收合格。
十一、考核与质保
1.由于投标人原因造成合同范围内的等保测评不能按时完成，考核投标人1000元，每延长1天，再考核200元。
2.等保测评过程中发生设备系统损坏、数据传输中断、瘫痪、告警等，给招标人造成损失，投标人除照价赔偿外，视具体情况考核投标人5000-10000元。
十二、差异表
投标人要将投标文件和招标文件的差异之处汇集成表。技术部分和商务部分要单独列表，技术偏差内容包括技术要求、等所有与招标文件技术部分要求的不一致的内容。投标人未在差异表中列出差异则视为完全响应招标文件要求。
差异表

序号	招标文件		投标文件
	条目	简要内容	条目	简要内容

十三、附件
附件：无

































第五章 投标文件格式














致：周口隆达发电有限公司
在审阅了招标文件所有内容后，签字代表_________（姓名）经正式授权并代表__________________（投标单位名称） 提交下述文件:
1.开标一览表；
2.投标报价表；
3.商务、技术差异表；
4.法定代表人身份证明；
5.授权委托书；
6.委托开标函（如需）；
7.投标人资格证明文件；
8.施工组织
我方决定按照招标文件的规定和投标报价表确定的价格，参与投标并承诺：
1.如果我方中标，我方将按照招标文件中有关条款的要求履行合同义务。
2.我方同意本投标书在招标人规定的投标截止日期起_90天内有效，并对我方具有约束力。我方投标在有效期期满前均有可能被接受，如在投标有效期内撤回投标，则我方的投标保证金将被贵公司没收。如果我方中标，在正式合同准备好和签字前，本投标书将构成约束我们双方的合同。
3.我方已详细审查全部招标文件，保证不会在竞争性投标过程中有不正当竞争行为，同时完全理解贵公司不一定接受最低投标报价的投标或收到的任何投标。
4.我方已知悉若资质及业绩不满足要求、投标文件不符合技术要求，投标将会被拒绝。



投标人（盖章）：
法定代表人或授权代表签字（签字）：
日期： 年 月 日


投标人名称：
招标编号：

项目名称	投标报价		工期	投标声明（明确税率）
	小写（万元人民币）	大写
			150天

以上均为含税价，税率为 %可抵扣增值税。增值税专用发票中“货物或应税劳务、服务名称”栏的填写须与招标文件中实施内容相符，并符合国家对商品和服务税收分类的要求。
投标日期：
报价有效期90天
投标人名称：（加盖公章）
法定代表人或授权代表签字：
日期：
注：此表应按“投标人须知”的规定密封标记密封单独提交。


委托开标函（投标人无法赴开标现场，邮递投标文件须提供）
致：周口隆达发电有限公司
我司（投标人单位名称）因自身原因，不能于XX年X月X日X点参加贵公司组织的（项目名称）现场开标，现委托周口隆达发电有限公司全权处理现场开标等事宜，对开标现场任何结果予以承认并接受，同时承担由此引起的全部法律风险。
特此证明！




投标人名称（盖章）：

法定代表人或授权代表签字：

日期： 年 月 日





























（1）本表中的分项须与承包范围中的分项内容一致。
（2）总报价 万元（大写：人民币 ），含税价，税率为 %可抵扣增值税。
（3）报价表应注明日期、有效期和法定代表或其授权委托人的签章。






























附表1信息系统安全等级保护测评总报价表
金额单位：万元

序号	费用名称	价格（：万元）	备 注
	合 计

注：本表也可按照预算软件格式编制，内容可扩充，但须列明项目，不可漏项。

报价总计（大写）：合计人民币。

投 标 人：------------------------------ (全称、盖章)
法定代表人：--------------------------------------- (签字)
或
委托代理人：--------------------------------------- (签字)
日 期：---------------- 年 ------月----- 日



三、商务、技术条款偏离表
投标人需将投标文件和招标文件的商务及技术差异之处汇集成表，如无请填写“无”。如不填写视为完全响应招标文件要求。

序号	招标文件		投标文件
	条目	简要内容	条目	简要内容

投标人（盖章）：
法定代表人或授权代表签字（签字）：
日期： 年 月 日



四、法定代表人授权书

致：周口隆达发电有限公司

兹有，____________同志，性别：_____，民族________,身份证号码____________________，在我单位担任_________职务，系我单位的法定代表人。
特此证明。


投标人（盖章）：____________________
日期： 年 月 日








五、授权委托书

本人________（姓名）系___________（投标人名称）的法定代表人，现委托___________（身份证号：_____________）为我单位代理人。
代理人根据授权，以我单位名义参加（项目名称）项目投标活动。代理人进行的签署、澄清、说明、补正、递交、撤回、修改的投标文件，参与投标、开标、合同谈判、签订合同和处理其他有关事宜，其法律后果由我单位承担。
委托期限：。
代理人无转委托权。






投标人：（盖章）
法定代表人：（签字）
委托代理人：（签字）
日期： 年 月 日




六、投标人资格证明文件
1.营业执照复印件
2.资质、业绩证明文件




七、施工组织(如有)
请投标人依据自身情况并结合本工程要求进行编制，投标人应递交完整的施工组织措施、控制措施。其主要包括：
组织机构图；
项目经理及主要管理人员、技术人员名单、业绩及资历【须提供本项目经理、专职安全人员的安全资格证书】；
各专业拟投入人员配置数量及名单；
特种作业人员配置情况表（特种作业人员须具有与所承包工程有关的特殊工种要求的有效证件，登高作业还须提供作业者体检合格证。投标文件中所列有效资格证书须提供复印件备查，证书复印件须装订入投标文件中）；
项目管理流程；
为说明投标人的过程质量控制和项目管理能力，请投标人提供本项目详细工程施工控制网络图（必须包含相关配合、辅助工作），以供招标方评估；
主要项目工程施工技术方案；
安全控制及保证措施；
质量控制及保证措施；
工期控制保证措施；
环境、文明生产控制措施；



附表1：人员及设备配置（格式）
（1）参加本项目的负责人简历

姓名			年龄
职称			职务
从事专业			在本合同本项目中担任的职务
身份证号码
主要经历
年～年	曾参加项目名称		担任职务	备注
投标人（公章）负责人（签名） 日期：

注：1.职称和执业资格证书有则填，没有不填。如有，本表须后附证书、身份证扫描件或复印件。
2.本表可按同样的格式扩展。

（2）参加本项目的专职安全员简历

姓名			年龄
职称			职务
从事专业			在本合同本项目中担任的职务
身份证号码
主要经历
年～年	曾参加项目名称		担任职务	备注
投标人（公章）负责人（签名） 日期：

注：1.职称和执业资格证书有则填，没有不填。如有，本表须后附证书、身份证扫描件或复印件。
2.本表可按同样的格式扩展。









（3）参加本项目的技术骨干

姓名	年龄	职称或 技术等级	专业或工种	专业工龄	曾参加项目名称	在项目中担任的工作	身份证号码
投标人（公章）负责人（签名） 日期：

注：1.名单一经确定即不可更改。本表须后附人员身份证复印件。
2.职称和执业资格证书有则填，没有不填。如有，本表须后附证书扫描件或复印件。
3.本表可按同样的格式扩展。



（4）参加本项目的特殊工种人员情况表

序号	姓名	职务	职称	专业	特殊工种证书编号及发证机构	身份证号码	备注

注：1.职称和执业资格证书有则填，没有不填。本表须后附身份证、证书扫描件或复印件。
2.本表可按同样的格式扩展。


（5）为本项目配备的机具、试验、测量、质检仪器设备表

序号	机具仪器设备名称	型号及规范	单位	数量	备注

附表1：人员及设备配置（格式）
（1）参加本项目的负责人简历

姓名			年龄
职称			职务
从事专业			在本合同本项目中担任的职务
身份证号码
主要经历
年～年	曾参加项目名称		担任职务	备注
投标人（公章）负责人（签名） 日期：

注：1.职称和执业资格证书有则填，没有不填。如有，本表须后附证书、身份证扫描件或复印件。
2.本表可按同样的格式扩展。

（2）参加本项目的专职安全员简历

姓名			年龄
职称			职务
从事专业			在本合同本项目中担任的职务
身份证号码
主要经历
年～年	曾参加项目名称		担任职务	备注
投标人（公章）负责人（签名） 日期：

注：1.职称和执业资格证书有则填，没有不填。如有，本表须后附证书、身份证扫描件或复印件。
2.本表可按同样的格式扩展。









（3）参加本项目的技术骨干

姓名	年龄	职称或 技术等级	专业或工种	专业工龄	曾参加项目名称	在项目中担任的工作	身份证号码
投标人（公章）负责人（签名） 日期：

注：1.名单一经确定即不可更改。本表须后附人员身份证复印件。
2.职称和执业资格证书有则填，没有不填。如有，本表须后附证书扫描件或复印件。
3.本表可按同样的格式扩展。



（4）参加本项目的特殊工种人员情况表

序号	姓名	职务	职称	专业	特殊工种证书编号及发证机构	身份证号码	备注

注：1.职称和执业资格证书有则填，没有不填。本表须后附身份证、证书扫描件或复印件。
2.本表可按同样的格式扩展。


（5）为本项目配备的机具、试验、测量、质检仪器设备表

序号	机具仪器设备名称	型号及规范	单位	数量	备注