吉利汽车研究院（宁波）有限公司 2024-中央研究院-信息安全和数据安全开发及测试项目招标公告 采购品类：研发服务类 1.项目名称：2024-中央研究院-信息安全和数据安全开发及测试项目 2.项目概况与招标范围 2.1项目概况： 随着国内外信息安全法律法规的日渐严格，信息安全和数据安全的开发和测试的难度和工作量就逐渐增加，故需通过此项目，联合合作伙伴进行信息安全和数据安全的开发及测试工作； 2.2招标范围： 项目地点：浙江省宁波市杭州湾新区滨海四路918号 计划工期：2024年10月到2026年9月 招标范围及技术等信息： 一、信息安全和数据安全开发 1、功能的信息安全和数据安全方案设计 根据甲方功能的信息安全开发流程完成信息安全方案的设计，主要包含的工作和要求如下：

No.	工作内容	要求
1	TARA/DPRA 威胁分析和风险评估/数据保护和风险评估	基于功能的描述，根据甲方或者双方协商好的方法论完成TARA/DPRA的分析。时间要求：在每个开发loop的功能释放节点之前完成初步威胁分析和风险评估，软件需求释放节点完成冻结。
2	信息安全和数据安全概念和规范制定	基于TARA的信息安全目标在功能释放节点前制定信息安全概念方案 基于信息安全概念的方案制定具体的技术方案。
3	规范评审并和相关方握手	完成内外部评审，并同承接方完成握手。在每个开发loop的软件需求释放节点释放给到下游的承接方（比如甲方ECU供应商）

2、零部件的信息安全开发和管理 基于甲方的信息安全工作说明书和零部件的信息安全需求，管理甲方零部件供应商并确保能按需按时交付，主要包括的工作和要求如下：

No.	工作内容	要求
1	信息安全工作说明书和信息安全需求的澄清	根据项目时间要求完成需求的澄清，并根据甲方零部件供应商反馈更新需求
2	CSJR信息安全联合评审	完成甲方零部件供应商的信息安全联合评审，根据模板输出评审报告，审核的内容可查看甲方信息安全工作说明书。
3	甲方零部件供应商的进度管控	根据甲方零部件供应商开发情况，设定周期的会议，追踪供应商的开发进展，并处理零部件供应商相应的问题。 管理和推动解决零部件的测试问题和其他相应的问题。
4	ECU TARA 威胁分析和风险评估	完成零部件的TARA分析
5	ECU信息安全规范	根据TARA分析的风险和甲方的需求制定零部件ECU的信息安全规范
6	ECU信息安全案例	基于甲方的模板要求完成信息安全案例的编写。

二、信息安全和数据安全测试 1.功能和零部件信息安全和数据安全测试 基于甲方的一致性和渗透测试策略和要求，完成功能，零部件的一致性测试和渗透测试，主要包括的工作和要求如下：

No.	工作内容	工作内容细化	要求
1	一致性测试	1.制定测试计划 2.编写测试用例 3.完成测试并形成测试报告 4.复测	根据车型计划和平台功能的开发计划，制定测试计划。 根据功能和零部件的信息安全规范，制定相应的测试用例，并完成评审。 根据项目要求完成功能和零部件的一致性测试，并形成测试报告。
2	渗透测试	1.制定测试计划 2.编写测试用例 3.完成测试并形成测试报告 4.复测	根据车型计划和平台功能的开发计划，制定测试计划。 根据功能和零部件的信息安全规范，制定相应的测试用例，并完成评审。 根据项目要求完成功能和零部件的渗透测试，并形成测试报告。
3	测试问题澄清和管理	完成测试并形成测试报告	同相关方（ECU Owner，甲方零部件供应商等）澄清相关的问题(在JIRA管理问题，G-SOC管理漏洞)，支持开发团队完成整改，并最后复测和审核，完成问题的关闭。

2.3标段划分： 标段一：信息安全和数据安全开发 标段二：信息安全和数据安全测试 3.投标人资格要求 3.1本次招标要求投标人满足如下资格条件： 3.1.1 现场部署人员必须属于乙方人员，不能来自外部。 3.1.2 乙方应保持项目咨询组人员的稳定性，未经甲方同意不得变更项目成员。如有变动，需与甲方达成共识和同意。 3.1.3 乙方应根据项目要求、工作范围和潜在风险，安排有能力和资格的合格技术人员，并通过甲方的技术审核。 3.1.4 乙方技术人员工作年限要求：

工作内容	年限要求
功能的信息安全和数据安全方案设计	3-10年
零部件的需求实现	3-5年
甲方零部件供应商的零部件信息安全开发	3-5年
信息安全测试	3-10年

3.2本次招标 不接受 联合体投标。 3.3本次招标 不接受 分包。 4.投标报名 4.1报名方式 4.1.1 *凡有意参加报名的投标人，请至吉利集团电子招标采购平台（https://glzb.geely.com）注册报名，可在平台网站首页点击下载"门户操作手册"，投标人根据手册要求进行注册，企业认证完成即为注册成功。供应商根据公告项目名称，按照报名要求上传资料。未按照此方式报名的，视作无效报名。 4.1.2 *报名截止时间：2024年10月16日。 4.2报名资料 报名资料于报名截止时间前上传至吉利集团招标采购平台，报名资料包含但不限于以下内容：（说明：报名资料需命名清楚、分门别类，可快速识别） a、三证合一的营业执照副本、组织机构代码副本、税务登记证副本（如有请上传）； b、资质等级证书 c、类似项目业绩清单及证明材料（提供如合同扫描件等类似文件，须可以证明业绩的真实性，涉及机密部分可隐去）； d、企业概况及履约能力说明； e、近三年的财务报表资料； 5.招标文件的获取 5.1报名截止后，对所有报名单位进行资格审核，合格后 发放招标文件； 6.发布公告的媒介 本次招标公告只在吉利集团招标采购平台glzb.geely.com上发布，其他媒体转载无效。 7.联系方式 招标人： 吉利汽车研究院（宁波）有限公司 招标人地址： 浙江省宁波市杭州湾新区滨海四路918号 开标地址： 浙江省宁波市杭州湾新区滨海四路918号 邮编： 315336 商务: 潘君尧 手机号:13304311104 E-mail: Junyao.Pan@zeekrlife.com 技术1: 张帅琦 手机号:13115419735 E-mail:Shuaiqi.Zhang2@geely.com 技术2: 赵攀峰 手机号: 13670131861 E-mail: Panfeng.Zhao@geely.com 开户户名： 吉利汽车研究院（宁波）有限公司 开户银行： 中国银行股份有限公司宁波杭州湾新区支行 开户账号： 389671976138 注：无论投标结果如何，投标人自行承担所有与参加投标活动有关的全部费用。 投诉、举报电话：0574-23725709（吉利集团招标管理部） 举报邮箱：jilizhaobiao@geely.com 招标人：吉利汽车研究院（宁波）有限公司 日期：2024年10月10日