云南电网有限责任公司2022-2024年第四批信息化项目服务类框架采购（公开招标）[CG0500022001549090]--澄清汇总

序号

问题内容

范围内容

回复内容

1

关于《标05：信息中心2023年数据安全合规评估项目-技术规范书1102》中的一些问题想跟您请教下，问题如下：
1.在《技术服务规范书》第二部分“技术服务内容”中，第二条和第三条的标题相同，均为“数据资产和数据流识别”，您看第二条标题是否为“数据资产和数据流识别”第三条标题是否为“数据风险分析及监管优化”，如有误请指正。
2.在《技术服务规范书》第二部分“技术服务内容”中的第二条“数据资产和数据流识别”，要求从从人员、过程、技术、资源四个安全要素维度梳理公司核心管理信息系统数据安全合规性及安全风险检测；但在《招标文件》的技术评审部分第二项“技术服务内容”中的要求是：(2)数据资产和数据流识别：数据资产梳理、敏感数据流动梳理、数据使用安全梳理、数据安全策略梳理、数据风险管理机制梳理。两者梳理维度不同，请问以哪个为准。
3.在《招标文件》的技术评审部分第二项“技术服务内容”中的要求(2)和(3)均提及“数据风险管理机制梳理”，请问按照甲方要求，该内容应该是在（2）还是（3）环节实施？

标05：信息中心2023年数据安全合规评估

1.在《技术服务规范书》第二部分“技术服务内容”中，第二条标题为“数据资产和数据流识别”，第三条标题为“数据风险分析及监管优化”。
2.《技术服务规范书》第二部分“技术服务内容”中的第二条“数据资产和数据流识别”，要求从从人员、过程、技术、资源四个安全要素维度梳理公司核心管理信息系统数据安全合规性及安全风险检测，这是从评估对象要素的考虑；在《招标文件》的技术评审部分第二项“技术服务内容”中的要求是：(2)数据资产和数据流识别：数据资产梳理、敏感数据流动梳理、数据使用安全梳理、数据安全策略梳理、数据风险管理机制梳理，这是从评估过程要素考虑。两者不冲突，评估过程对象应该考虑到评估对象，两者都需要满足。
3.“数据风险管理机制梳理”内容应该是在（2）环节实施环节实施。“（3）数据风险分析及监管优化：数据安全评估和数据风险分析。”按照技术规范要求。

2

请问有几个系统

标01：2023-2024年网络安全测试专项服务[包5：商用密码应用安全性评估]

本项目是框架采购，不确定采购数量，确切数量在成交后签订的订单合同中约定。按照往年云南电网有限责任公司商用密码应用安全性评估的需求规模估计，预计2023年至2024年开展商用密码应用安全性评估的信息系统每年约有4个。

3

云南电网有限责任公司2022-2024年第四批信息化项目服务类框架采购（公开招标）招标编号：CG0500022001549090，标06包2：信息中心2023年网络安全技术服务（网络安全运营监控及供应链安全风险监测技术支持服务），技术规范书中：六、 项目管理要求中（一）质量保证要求的“4.中标人在合同签订后30日内未按要求提供数据安全检测类工具支撑数据安全评估服务工作，扣合同暂定价款的 5 %；合同签订后60日内仍未按要求提供数据安全检测类工具，招标人有权解除合同，并按《中国南方电网有限责任公司供货商扣分处罚实施细则》进行考核。”鉴于本标包技术服务内容未涉及数据安全检测工作，并且该项内容与标05：信息中心2023年数据安全合规评估项目-技术规范书1102.docx相同位置内容一致，请招标方确认标06包2中该项要求是否非本标包的质量管理要求。

标06：信息中心2023年网络安全技术服务

数据安全检测类工具要求非“标06包2：信息中心2023年网络安全技术服务（网络安全运营监控及供应链安全风险监测技术支持服务）”的要求