广东电网有限责任公司2025年信息化项目提升网络安全保障能力专项采购(数据安全风险评估、信息系统源代码及应用组件安全审计等)招标公告
(项目编号:CG0300022002029629)
1.招标条件
本招标项目广东电网有限责任公司2025年信息化项目提升网络安全保障能力专项采购(数据安全风险评估、信息系统源代码及应用组件安全审计等),招标人为广东电网有限责任公司,项目资金来自自筹资金,出资比例为 100% ,资金已落实。该项目已具备招标条件,现对本项目进行公开招标。
2.项目概况和招标范围
2.1项目概述:标的1:数据安全风险评估:广东电网有限责任公司及下属各单位管理类信息系统(1)遵循《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及《关于印发数据安全风险评估工作指引的通知》(南网办数字〔2023〕25号),在2025年对广东电网现存及拟新增的等保二级及以上管理类信息系统进行数据安全风险评估。(2)依据国家标准GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》,将围绕与用户敏感信息相关的业务流程进行评估,理清各流程中信息数据的流转和使用情况,重点评估那些在信息流转和使用的过程中,能够直接或间接接触到这些数据信息的情况,通过了解业务流程的特性,对用户信息资料保护的评估采取基于业务流程的方式进行评估,通过理清各系统在业务操作过程中使用用户数据的情况来梳理公司内部用户信息流向和控制措施。
标的2:信息系统源代码及应用组件安全审计:(1)针对公司关键信息基础设施、企业信息系统、互联网应用(含移动应用)等信息系统开展源代码安全审计工作,包括代码安全审计规范规则优化、测试脚本调优,以及协助对地市单位代码安全审计报告开展技术评审。(2)信息系统应用组件安全审计重点关注代码依赖包、组件等安全问题,迅速、及时地查询依赖包、组件漏洞数据库,及时对受影响系统进行排查及审计。
标的3:商用密码应用安全性评估:对PKI/CA数字证书系统、4A平台、营销管理系统(大集中版本)、广东电力市场零售平台、南网云平台(广东)、广东电力市场交易系统、统一密码服务平台等共30个安全保护等级三级(含拟定三级)的应用系统进行商用密码应用安全评估工作。
标的4:网络安全等级保护测评:(1)根据国家《信息安全等级保护管理办法》、《信息安全技术-网络安全等级保护基本要求》等要求,对广东电网(不包括广州供电局和新兴业务单位)定级为等保二级及以上约284个系统(含预计新建等保二级100个系统,具体清单以实际工作为准)相关的全部资产进行全面、完整的测评评估。(2)协助定级备案:对于服务期(签订合同时规定)内规划建设的未定级或需重新定级的信息系统,根据信息系统的业务要求、实际情况,为公司各业务系统提供定级咨询服务,协助进行专家评审和审批,完成定级备案所需的全流程工作。(3)完成对广东电网(不包括广州供电局和新兴业务单位)预计新建的200套信息系统(预计100套新建二级以及100套新建一级信息系统,具体清单以实际工作为准),开展入网安评工作。
标的5:仿真环境安全运营等同管理:网级仿真环境和东莞(省级)仿真环境网络安全运营工作,需遵循“等同生产、从严管控”原则,建立网络环境等同安全运营能力,对照生产环境等同从严管理。核心工作包括:(1)开展仿真测试系统上线下线过程的安全管理工作;(2)开展仿真测试系统部署边界防护隔离监管和运营。仿真系统内部安全等级不同,需要加强安全配置隔离,并加强测试系统的防护监管工作;(3)针对仿真环境与生产环境交换过程的数据进行安全管理;(4)针对仿真环境中的数据存储进行安全管理;(5)开展攻防演练等特殊时期的安全运营;(6)开展常态化安全监测;(7)开展安全指令排查;(8)问题分析溯源工作支撑。
标的6:网络安全能力成熟度优化评估:通过调研网络安全最新要求和新趋势,梳理归纳国家、行业和企业层面新发布的相关法律法规、标准规范,对《广东电网网络安全成熟度模型标准》进行迭代优化,包括但不限于标准优化、指标优化和评分设计优化等;依据《广东电网网络安全能力成熟度模型标准》对广东电网全省范围内33家直属单位(具体单位数量以实际为准)开展网络安全能力成熟度评估并提供提升建议,指导相关单位网络安全能力提升;协调相关资源开展网络安全能力成熟度模型团体标准或行业标准的申请。
标的7:信息化评测实验室质量管理体系运行技术支撑:开展广东电网有限责任公司信息化评测实验室质量管理体系运行技术支撑服务,包括实验室质量管理体系修编、体系运行、能力验证或比对开展、评审准备及整改、培训等相关服务工作。
2.2招标范围:标的1:数据安全风险评估:广东电网有限责任公司及下属各单位管理类信息系统(1)遵循《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及《关于印发数据安全风险评估工作指引的通知》(南网办数字〔2023〕25号),在2025年对广东电网现存及拟新增的等保二级及以上管理类信息系统进行数据安全风险评估。(2)依据国家标准GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》,将围绕与用户敏感信息相关的业务流程进行评估,理清各流程中信息数据的流转和使用情况,重点评估那些在信息流转和使用的过程中,能够直接或间接接触到这些数据信息的情况,通过了解业务流程的特性,对用户信息资料保护的评估采取基于业务流程的方式进行评估,通过理清各系统在业务操作过程中使用用户数据的情况来梳理公司内部用户信息流向和控制措施。
标的2:信息系统源代码及应用组件安全审计:(1)针对公司关键信息基础设施、企业信息系统、互联网应用(含移动应用)等信息系统开展源代码安全审计工作,包括代码安全审计规范规则优化、测试脚本调优,以及协助对地市单位代码安全审计报告开展技术评审。(2)信息系统应用组件安全审计重点关注代码依赖包、组件等安全问题,迅速、及时地查询依赖包、组件漏洞数据库,及时对受影响系统进行排查及审计。
标的3:商用密码应用安全性评估:对PKI/CA数字证书系统、4A平台、营销管理系统(大集中版本)、广东电力市场零售平台、南网云平台(广东)、广东电力市场交易系统、统一密码服务平台等共30个安全保护等级三级(含拟定三级)的应用系统进行商用密码应用安全评估工作。
标的4:网络安全等级保护测评:(1)根据国家《信息安全等级保护管理办法》、《信息安全技术-网络安全等级保护基本要求》等要求,对广东电网(不包括广州供电局和新兴业务单位)定级为等保二级及以上约284个系统(含预计新建等保二级100个系统,具体清单以实际工作为准)相关的全部资产进行全面、完整的测评评估。(2)协助定级备案:对于服务期(签订合同时规定)内规划建设的未定级或需重新定级的信息系统,根据信息系统的业务要求、实际情况,为公司各业务系统提供定级咨询服务,协助进行专家评审和审批,完成定级备案所需的全流程工作。(3)完成对广东电网(不包括广州供电局和新兴业务单位)预计新建的200套信息系统(预计100套新建二级以及100套新建一级信息系统,具体清单以实际工作为准),开展入网安评工作。
标的5:仿真环境安全运营等同管理:网级仿真环境和东莞(省级)仿真环境网络安全运营工作,需遵循“等同生产、从严管控”原则,建立网络环境等同安全运营能力,对照生产环境等同从严管理。核心工作包括:(1)开展仿真测试系统上线下线过程的安全管理工作;(2)开展仿真测试系统部署边界防护隔离监管和运营。仿真系统内部安全等级不同,需要加强安全配置隔离,并加强测试系统的防护监管工作;(3)针对仿真环境与生产环境交换过程的数据进行安全管理;(4)针对仿真环境中的数据存储进行安全管理;(5)开展攻防演练等特殊时期的安全运营;(6)开展常态化安全监测;(7)开展安全指令排查;(8)问题分析溯源工作支撑。
标的6:网络安全能力成熟度优化评估:通过调研网络安全最新要求和新趋势,梳理归纳国家、行业和企业层面新发布的相关法律法规、标准规范,对《广东电网网络安全成熟度模型标准》进行迭代优化,包括但不限于标准优化、指标优化和评分设计优化等;依据《广东电网网络安全能力成熟度模型标准》对广东电网全省范围内33家直属单位(具体单位数量以实际为准)开展网络安全能力成熟度评估并提供提升建议,指导相关单位网络安全能力提升;协调相关资源开展网络安全能力成熟度模型团体标准或行业标准的申请。
标的7:信息化评测实验室质量管理体系运行技术支撑:开展广东电网有限责任公司信息化评测实验室质量管理体系运行技术支撑服务,包括实验室质量管理体系修编、体系运行、能力验证或比对开展、评审准备及整改、培训等相关服务工作。
2.3招标项目所在地区:广东省内。
2.4资格审查方式:资格后审。
2.5招标分类:专项。
2.6标的清单及分包情况:
序号 | 标的 | 标的预计采购金额(万元) | 标包号 | 标包名称 | 标包预计采购金额(万元) | 最高投标限价(万元) | 最大中标数量 | 工期/服务期 | 是否特殊包 | 建设单位 | 招标文件收取费用(元) | 投标保证金(元) |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | 数据安全风险评估 | 404.488 | 1 | 数据安全风险评估 | 404.488 | 详见最高限价明细表 | 1 | 合同规定的服务生效日期起至2026年6月30日 | 否 | 广东电网有限责任公司信息中心 | 不收取 | 10000.00 |
2 | 信息系统源代码及应用组件安全审计 | 397.2 | 1 | 信息系统源代码及应用组件安全审计 | 397.2 | 详见最高限价明细表 | 1 | 自合同约定服务生效之日起至2026年9月30日 | 否 | 广东电网有限责任公司信息中心 | 10000.00 | |
3 | 商用密码应用安全性评估 | 171.504 | 1 | 商用密码应用安全性评估 | 171.504 | 详见最高限价明细表 | 1 | 自合同约定服务生效之日起一年 | 否 | 广东电网有限责任公司信息中心 | 10000.00 | |
4 | 网络安全等级保护测评 | 703.4985 | 1 | 网络安全等级保护测评 | 703.4985 | 详见最高限价明细表 | 1 | 2025年9月5日至2026年9月5日 | 否 | 广东电网有限责任公司信息中心 | 50000.00 | |
5 | 仿真环境安全运营等同管理 | 140 | 1 | 仿真环境安全运营等同管理 | 140 | 详见最高限价明细表 | 1 | 自合同约定服务生效之日起一年 | 否 | 广东电网有限责任公司信息中心 | 10000.00 | |
6 | 网络安全能力成熟度优化评估 | 109.284 | 1 | 网络安全能力成熟度优化评估 | 109.284 | 109.284 | 1 | 自合同约定服务生效之日起至2026年9月30日 | 否 | 广东电网有限责任公司信息中心 | 10000.00 | |
7 | 信息化评测实验室质量管理体系运行技术支撑 | 20.2956 | 1 | 信息化评测实验室质量管理体系运行技术支撑 | 20.2956 | 20.2956 | 1 | 自合同约定服务生效起12个月 | 否 | 广东电网有限责任公司信息中心 | 0 |
备注:(1)除不受限制的特殊包外,一个投标人在一个标的中最多只能中不超过最大中标包数的标包。
2.7其它关键要素:
1、 项目类别:服务
2、中标人放弃中标资格、出现拒签合同等违约情况或出现被责令停业、财产被接管、冻结、破产等情况,招标人将依法追究投标人责任,有权按照《中国南方电网有限责任公司供应商失信扣分管理细则》进行处理。投标人参与本项目投标,必须充分认识和无条件承担上述风险。
3、结算方式:
标的1:按每套系统数据安全风险评估以及每项数据安全能力成熟度提升技术支持工作实际中标单价据实进行(阶段)结算,实际中标单价=单价最高限价×中标费率,阶段结算按实际中标单价*实际服务数量进行计算,总结算金额不超过标的预计采购金额和项目总预算,当年总结算金额不能超招标方当年预算。
标的2-3:每套系统实际单价=单价最高限价*中标费率,阶段结算按每套系统实际单价*实际服务数量进行计算,总结算金额不超过标的预计采购金额和项目总预算,当年总结算金额不能超招标方当年预算。
标的4:分成2部分进行结算:(1)网络安全等级保护测评部分:总结算金额由每套系统实际中标单价(实际中标单价=本项目可研估算的系统测评费×中标费率)总和进行结算,总结算金额不超过标的预计采购金额和项目总预算,当年总结算金额不能超招标方当年预算。(2)信息系统入网安全测评部分:每套系统实际单价=单价最高限价*中标费率,按每套信息系统实际单价*实际服务数量进行(阶段)结算,且标的年度总结算金额不能超标的最高限价。每套信息系统的测试工作项应包括1个操作系统、1个数据库数据、1个应用系统和1个中间件系统的测试工作量;若在项目实施过程中因招标方实际工作需要引起被测试系统的测试工作项内容或数量发生变化的,每套信息系统实际单价=原每套信息系统实际单价÷每套信息系统标准工作日×实际工作工日进行计算,且每套信息系统结算金额不超过单价报价。
标的5:结算实际单价为单价最高限价*中标费率,按实际完成工时进行(阶段)结算。
标的6-7:结算金额=最高限价*费率,总结算金额不超过该标包预计采购金额和该项目总预算,当年总结算金额不能超招标方当年预算。
4、报价方式:
标的1:数据安全风险评估:本招标项目采用费率组合形式报价,信息系统数据安全风险评估、数据安全能力成熟度提升技术支持费率分开报价,投标函只能有一个有效报价组合,且投标费率<100%且投标报价不低于其成本为有效报价,但投标费率在85%以下(不含本身)的须在投标文件中附成本分析报告,未提供成本分析报告或提供的成本分析报告不符合上述要求视为原则性不响应招标文件要求,作否决投标处理。评审时价格分计算采用以下方式(计算费率仅用于招标评审最终计算价格分,与结算无关):价格评审计算费率=(∑费率)/具体工作项数量(比如信息系统数据安全风险评估报价a,数据安全能力成熟度提升技术支持报价b,价格评审计算平均费率=(a+b)/2)
标的2-标的7:项目采用费率形式报价,投标费率在100%以下(不含本身)且投标报价不低于其成本均为有效报价,但投标费率在85%以下(不含本身)的须在投标文件中附成本分析报告,未提供成本分析报告或提供的成本分析报告不符合上述要求视为原则性不响应招标文件要求,作否决投标处理。
3.投标人资格要求
3.1通用资格要求
序号 | 内容 |
1 | 投标人必须按照南方电网公司要求,在南方电网供应链统一服务平台(www.bidding.csg.cn)上完整办理完成供应商登记。 |
2 | 投标人必须是中华人民共和国境内注册合法运作的法人或其他组织,具有独立承担民事责任的能力、独立承担招标项目的能力和独立履行合同的能力。 |
3 | 投标人须具备有效的营业执照或其他行政主管部门核发的有效登记注册证明(须提供营业执照或其他登记注册证明文件扫描件)。 |
4 | 存在以下情形的不同投标人,不得同时参加同一标包的投标:单位负责人为同一人或者存在控股、管理关系的不同单位。 |
5 | 不得存在的情形:投标人被南方电网公司供应链管理部门暂停或取消其投标资格,且未解除的。 |
6 | 投标人没有被国家市场监督管理机关在国家企业信用信息公示系统(www.gsxt.gov.cn)中列入严重违法失信企业名单。 |
7 | 没有被“信用中国”网站(www.creditchina.gov.cn)?或“中国执行信息公开网”(http://zxgk.court.gov.cn?/shixin)列入失信被执行人名单。 |
8 | 不接受联合体投标。 |
3.2专用资格要求
序号 | 内容 | 关联品类/标的/标包 |
1 | 1.供应商必须满足以下条件:应具备国家密码管理局认定的商用密码应用安全性测评机构资质并列入国家密码管理局2024年11月(国家密码管理局公告(49号))明确的《商用密码检测机构(商用密码应用安全性评估业务)目录》。(投标时提供目录) | 商用密码应用安全性评估 |
2 | 1.投标人应当获得由国家认证认可监督管理委员会批准的认证机构发放(如公安部第三研究所)的《网络安全服务认证证书等级保护测评服务认证》(在有效期内,提供证书扫描件,证书名称以国家颁证机构最新颁发的为准) | 网络安全等级保护测评 |
4.招标文件获取
4.1招标文件获取方式
本招标项目采用电子招标投标方式,根据《电子招标投标办法》规定,投标人应当在招标公告载明的电子招标投标交易平台注册登记,如实递交有关信息,并经电子招标投标交易平台运营机构验证。凡有意参加投标者,在招标文件发售截止时间前通过南方电网公司供应链统一服务平台(www.bidding.csg.cn)完成供应商登记并免费获取电子招标文件,在投标文件递交截止时间前完成供应商数字证书(电子印章)办理、投标文件编制加密及递交。供应商要为数字证书办理预留足够的时间,由于自身原因造成无法投标的,后果由供应商自行承担。
电子化投标操作路径如下:
获取路径:门户网站->点击供应商登录->选择供应链统一服务平台(新系统)->购标管理;
投标路径:门户网站->点击供应商登录->选择供应链统一服务平台(新系统)->投标管理;
投标助手下载路径:门户网站->点击供应商登录->选择供应链统一服务平台(新系统)->购标管理-项目参加及文件下载-可下载项目。
供应商登记咨询电话:4008100100转1
供应链统一服务平台操作咨询电话:4008100100转3
数字证书办理咨询电话:400-666-3999
电话咨询时间:周一至周五 上午8:30-12:00,下午14:00-17:00
4.2招标文件获取时间
获取开始时间:2025年05月27日20时00分00秒
获取结束时间:2025年06月04日20时00分00秒
4.3投标人要求澄清招标文件截止时间:2025年06月10日09时00分00秒
5.投标文件的递交
5.1投标文件递交方式:通过南方电网供应链统一服务平台(www.bidding.csg.cn)递交投标文件。
5.2投标文件递交截止时间:2025年06月20日09时00分00秒
6.开标时间及地点
本项目通过南方电网供应链统一服务平台线上方式开标。
6.1开标时间:2025年06月20日09时00分00秒
6.2开标地点:广东省广州市。
7.发布公告的媒介
本次招标公告在“中国招标投标公共服务平台(www.cebpubservice.com)及南方电网公司供应链统一服务平台(www.bidding.csg.cn)”上发布。
8.计算机硬件特征码审查要求、违法行为处理
8.1计算机硬件特征码审查要求
为进一步规范招投标活动,维护公平竞争的市场环境,本项目对投标人在招标文件下载、投标文件制作及上传过程中产生的计算机硬件特征码严格审查。投标人如存在以下任一情形,由评标委员会对其作否决投标处理:
(1)与其他投标人下载招标文件的IP地址、投标文件的CPU序列号及硬盘序列号三者同时一致;
(2)与其他投标人上传投标文件的IP地址、投标文件的CPU序列号及硬盘序列号三者同时一致;
(3)与其他投标人的投标文件网卡MAC地址一致。
如采购项目最小独立评审单元(标的/标包/标段)出现上述任一情形,将否决投标人响应该采购项目及同一采购项目后续采购的全部投标文件。
如投标文件存在串通投标情形的,将依据南方电网公司相关规定,对相关投标人实施不接受投标处理。
8.2串通投标、弄虚作假、行贿等违法行为处理
投标人不得相互串通投标或者与招标人串通投标,不得以他人名义投标或者以其他方式弄虚作假骗取中标,不得向招标人或者评标委员会成员行贿谋取中标。请各投标人高度重视投标诚信,对投标文件中存在生产制造能力、服务网点、业绩(含合同、发票)等造假情形,或私下与评标委员会成员进行与投标内容有关的接触(如评标前通过电话、信息和会面等方式询问是否参加评标,请专家在评标中给予关照等)等各类违法违规行为,一经查实,招标人将严格按照国家法律法规及《南方电网公司供应商失信扣分管理细则》等有关规定进行严肃处理。
9.异议及投诉
9.1投标人或者其他利害关系人对本项目的招标文件、开标情况、评标结果有异议的,应当在法律规定的时间,以书面形式提出异议。异议文件应当包括下列内容:
(1)异议提出人的名称、地址及有效联系方式;
(2)异议事项;
(3)有效线索和相关证明材料。
异议提出人是法人的,异议文件必须由其法定代表人或者授权代表签字并盖章(授权代表同时还需提交授权委托书);其他组织或自然人提出异议的,异议文件必须由其主要负责人或提出异议人本人签字,并附有效身份证明复印件,由本人提交。
异议递交地点:广州市天河区黄埔大道中144-152号海景中心西塔5楼
异议递交方式:现场递交或邮寄(采用邮寄方式提出的异议,可以在规定时间内先以电子邮件方式提出,但异议书必须在电子邮件发出的当天同时寄出。受理邮箱:wuliufuwudating@gdwl.csg.cn)
异议递交电话:020-85120176、85124330、85125332
注:投标人对开标有异议的,在开标结果确认期间内通过南方电网公司供应链统一服务平台(www.bidding.csg.cn)按要求提交。
9.2投标人或者其他利害关系人认为本次招标活动不符合法律、法规、规章规定的,可以向有关监督部门投诉,投诉应有明确的请求和必要的证明材料。
监督投诉机构名称:广东电网有限责任公司供应链管理部
监督投诉机构电话:020-85126234
监督投诉机构邮箱:gdgyljd@gd.csg.cn
9.3投标人或者其他利害关系人对招标文件、开标和评标结果提出投诉的,应当先向招标人提出异议。异议提出人或投诉人不得以异议投诉为名排挤竞争对手,不得进行虚假、恶意投诉,阻碍招标投标活动的正常进行。经核查发现所提出的异议或投诉存在诬告、故意扰乱招投标秩序等恶意行为,将按照《中国南方电网有限责任公司供应商失信扣分管理细则》等制度进行处理。
10.联系方式
招 标 人:广东电网有限责任公司
地 址:广东省广州市越秀区东风东路 757 号
招标代理机构:南方电网供应链(广东)有限公司
地 址:广州市天河区黄埔大道中144-152号海景中心西塔5楼
联 系 人:何工
电 话:4008100100转2转1
11.公告的其他内容
无。
12.招标公告附件
(1)异议书模板
招标人(或招标代理机构)主要负责人或授权的项目负责人(签名):
招标人或其招标代理机构名称(盖章):南方电网供应链(广东)有限公司
2025年05月27日
附件 异议书模板
×××××××项目的异议书(模板)
异议提出日期: XX年XX月XX日
异议提出人名称 (投标单位或其他利害关系人) |
| 法定代表人及授权代表 (签字并盖公司章) |
|
联系邮箱 |
| 联系电话 |
|
异议的对象 |
| ||
提出异议的基本事实(法律依据) |
| ||
相关请求及主张 |
| ||
相关证明材料 有效线索和 | (可以以附件形式提供) | ||