雅砻江公司的主要业务是水力发电，根据国家发改委授权，负责实施雅砻江水能资源开发，全面负责雅砻江梯级水电站的建设和管理。现股东方为国家开发投资公司和四川省投资集团有限责任公司。雅砻江干流规划开发22级电站，规划可开发装机容量3000万千瓦，在全国规划的十三大水电基地中，装机规模排名第三。目前，公司装机规模达到1470万千瓦，拥有超过千亿元的优质资产。其中下游桐子林水电站投产发电，锦屏一级、锦屏二级、官地水电站已全部建成，二滩水电站已安全运行十多年，雅砻江流域开发战略第二阶段圆满收官；中游两河口水电站、杨房沟水电站相继核准开工，卡拉、牙根一级、牙根二级、楞古、孟底沟5个水电站前期工作有序推进；上游“一库十级”规划工作已启动。雅砻江流域开发建设重心向中上游全面转移。

二、招标范围及工作内容

本次招标的范围为结合公司发展战略和当前的信息安全建设现状，编制公司第二版的信息安全总体规划工作，提出未来3-5年信息安全建设目标和路线和未来5-10年的信息安全建设蓝图。具体包括：企业信息安全战略分析、信息安全风险评估和现状分析、信息安全建设总体目标分析、信息安全架构规划、信息安全治理规划、信息安全实施路线图规划、投资概算分析、信息安全培训等内容。详见第六章技术要求。其工作内容主要包括：

1.企业信息安全战略分析

根据发包人发展战略、信息化及信息安全建设现状，结合国家和行业信息安全应用发展趋势及信息技术发展趋势，提出符合发包人要求的信息安全发展战略。

2.信息安全风险评估和现状分析

基于对发包人信息安全建设的了解，充分总结信息安全总体规划第一版实施情况，并以国外类似企业或行业信息安全先进水平为参考，把握信息安全技术发展趋势，进行信息安全水平评估、对标分析、信息化差距诊断，改进点分析梳理分析。

3.信息安全建设总体目标分析

基于发包人信息安全现状分析，形成能实现发包人信息安全水平达到国内领先水平的信息安全建设总体目标。

4.信息安全架构规划

根据发包人发展战略、信息化及信息安全建设现状，结合国家和行业信息安全应用发展趋势及信息技术发展趋势，提出涵盖管理信息大区和生产控制大区的信息安全技术和管理架构。包含但不限于以下规划内容：

• 信息安全技术架构规划

根据业界常见的安全理论模型为依据，结合相关安全标准的要求，遵照纵深防御的思想将安全防护措施覆盖到信息安全技术的各个层次，并根据发包人的实际建设投入情况，按照设计完整性、技术先进性、系统可扩展性、方案可实施性为原则，从环境、网络、数据、文档、应用等各个方面的安全技术保障方面提供完整的技术架构方案。乙方应充分考虑新技术的引用，建设内容应至少包含以下部分：建立APT攻击检测手段，提升虚拟化平台安全防护水平；对老旧的防火墙、负载均衡、IPS等进行更新换代，利用超融合技术简化安全防护措施；研究两地三中心灾备体系总体安全防护方案；建立企业信息安全态势感知系统，充分利用已经部署的信息安全管理中心及各类信息安全检测和防护设备，设计安全态势指标体系和分析模型，综合运用数据融合技术、数据挖掘技术、模式识别技术，确定适合公司的表征态势指标体系、态势指标的呈现方式；对工业控制系统提出整体安全防护方案。

• 信息安全管理架构规划

乙方应设计满足要求的信息安全管理体系架构，设计内容切合实际，并具有前瞻性和可操作性。具体安全需求包括：协助确定信息安全管理体系的层次及建立方式，明确各层次在安全管理体系中的职责以及安全策略；协助制订一套全面的信息安全管理制度，在一个总体纲要的指导下涉及信息安全的各个方面；协助为信息安全服务工作建立一套切实可行的技术和管理规范和流程，以规范服务过程中的操作行为和责任落实。

5. 信息安全实施路线图规划

根据规划内容，对实施项目进行分解，根据时间顺序和优先级，根据不同阶段的不同重点，制定未来3到5年的实施路线图和未来5-10年建设蓝图，分年度确定实施建议计划。

6.投资概算

根据规划内容，对未来3到5年实施项目进行投资估算及分年度投资估算。

7.培训

为提高发包人IT人员的安全意识和安全防护能力，要求开展面向公司IT人员的信息安全意识和技术培训讲座各1次，培训方式为现场讲座或实验的形式，培训内容包括但不限于以下内容：

• 常见攻击方式介绍与案例分析；
• UNIX/WINDOWS系统安全配置和管理；
• 信息安全事件应急处理与分析；
• 信息安全等级保护/ ISO27001培训；
• 安全管理与理念培训。
•  
• 三、合同工期

投标人须在合同签订后6个月内完成所有工作内容。

四、项目发包人与资金来源

资金来源：企业自筹。

五、投标人资格条件

投标人应同时具备如下资格条件：

1.具有独立法人资格。

2.近5年具有类似项目业绩。

3.具备《信息安全服务资质证书》安全工程类一级及以上。

4.具备《信息安全风险评估服务资质》二级及以上。

5.具备《信息安全管理体系认证证书》（ISO/IEC 27001：2013）。

6.本项目不接受联合体。

六、发售招标文件事宜

获取方式

1.获取时间：2017年10月13日10:00:00至2017年10月19日15:00:00（北京时间）。

2.获取途径：登陆购买，不接受其他方式购买。