为服务我行2024年度互联网全量系统渗透测试及安全维护服务((略)、2)项目,现向全社会公开征服务供应商,请有意者并具备下列要求的供应商前来我行报名。
一、采购内容及要求
满足(略)互联网全量系统渗透测试及安全维护服务工作。本项目分为2个包件,报名时可以选择一个或多个包件报名,具体内容如下:
(一)采购内容
包件一:(略)
包含不少于以下内容:
序号 | 名称 | 规格 | 数量 | 备注 |
1 | 互联网相关系统渗透测试服务 | 次 | 1 | 1、1次渗透测试互联网系统全覆盖,完成现场内外网渗透测试以及渗透所发现漏洞的修补与验证支持、总结分析与报告整理工作 2、现场渗透性测试人员投入总计不得少于3人,至少3人近三年内具有3家以上国有银行或全国性股份制银行渗透测试项目经验,且至少2人具备三年以上漏洞研究经验和独立漏洞发掘能力(需提供服务人员名单及简历) |
2 | 新上线互(略) | 人/天 | 50 | 1、提供50个人天的新业务功能上线后的生产环境现场渗透测试服务及发现漏洞问题的修补支持与验证服务。 2、其他一切要求同互联网全量系统渗透测试服务 |
3 | 安全基线检查服务 | 人/天 | 64 | 1、提供64个人天的安全配置基线检查和整改支持服务。 2、其他一切要求同互联网全量系统渗透测试服务 |
包件二:(略)
包含(略):
序号 | 名称 | 规格 | 数量 | 备注 |
1 | 互联网相关系统渗透测试服务 | 次 | 1 | 1、1次渗透测试互联网系统全覆盖,完成现场内外网渗透测试以及渗透所发现漏洞的修补与验证支持、总结分析与报告整理工作 2、现(略),至少3人(略)项目经验,且至少2人具备三年以上漏洞研究经验和独立漏洞发掘能力(需提供服务人员名单及简历) |
2 | 新上线互联网系统渗透测试服务 | 人/天 | 50 | 1、提供50个人天的新业务功能上线后的生产环境现场渗透测试服务及发现漏洞问题的修补支持与验证服务。 2、其他一(略) |
(二)技术要求
包件一:(略)
1、服务要求
(1)供应商承诺无论出现任何情况,都将优先配置**为采购人提供服务,包括但不限于渗透测试、安全人天服务以及新业务功能上线后的生产环境渗透测试人天服务。
(2)互联网全量系统渗透测试服务要求按银保监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、人民银行颁布的《网上银行信息安全通用规范》、《金融网络安全相关测试标准》以及《金融行业网络安全等级保护测评指南》、《金融网络安全web应用服务安全通用规范》、《个人金融信息保(略)
(3)对安全人天服务(新上线互联网系统渗透测试、安全基线检查),一是要求根据监管要求、采购人安全需求以及行业内安全配置基线更新情况,为采购人提供安全配置基线咨询和修(略)
(4)应具备中国网络安全审查技术与认证中心信息安全服务资质认证证书(信息(略))一级或以上;应具备国家信息安全测评信息安全服务资质证书(风险评估类)二级或以上;应具备国家信息安全测评信息安全服务资质证书(安全工程类)三级或(略)(CNNVD)技术支撑单位资质;以上要求需提供响应资质证明文件。
2、服务人员要求
(1)安排至少有三年以上类似安全项目工作经验的人员担任服务人员,人员资质、数量要能满足工作内容与时间节点要求,如果不满足,采购人有权要求更换项目成员。保证参加本项目实施人员的稳定,原则上团队负责人不得变动,人员流动比例不得超过15%,人员流动必须经采购人书面同意。
(2)每次现场渗透性测试人员投入总计不少于3人,且全部投入人员近三年(略)至少2人具备三年以上漏洞研究经验和独立漏洞发掘能力。
3、交付成果
(1)渗透测试方案,并且尽量减少渗透测试的影响与风险。
(2)渗透测试发现问题情况,对问题进行归类汇总并分析原因,按实际情况提供切实可行的整改建议或补偿控制措施。
(3)渗透测试报告,应体现技术风险分析与评估、控制措施的有效性,剩余风险等,包括纸质版与电子版。
(4)漏洞扫描报告,对每次漏洞扫描发现的漏洞进行分析和风险评估,并提供处置建议,根据要(略)。
(5)新上线系统基线检查报告,根据要求对新(略),并提(略)。
(6)根据监管要求、采购人安全需求以及行业内安全配置基线更新情况,为采购人提供安全配置基线咨询和修订工作。
(7)安全人天服务报告,含采购人认可的服务人员名称、服务事项描述(略)
4、验收标准
供应商完成技术服务后,应通知本行验收,并与本行共同提出验收大纲(验收的具体标准、方法和步骤),该验收大纲经本行确认后方可作为最终验收标准的依据。本行负责本合同服务内容的验收。
包件二:(略)
1、(略)
(1)供应商承诺无论出现任何情况,都将优先配置**为采购人提供服务,包括但不限于渗透测试及新业务功能上线后的生产环境渗透测试人天服务。
(2)互联网全量系统渗透测试服务要求按银保监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、人民银行颁布的《网上银行信息安全通用规范》、《金融网络安全相关测试标准》以及《金融行业网络安全等级保护测评指南》、《金(略)
(3)对新上线互联网系统渗透测试服务,一是提供安全应急响应、安全事件处置与风险排查服务;二是针对上级部门、监管机构的安全风险提示、应急事件处置以及专项安全检查要求,配合开展相应的风险排查并提供处置建议;三是其他一切服务要求同互联网全量系统渗透测试服务。
(4)应具备信息安全管理体系(27001)认证证书;(略)(CCRC)信息安全服务资质认证证书-信息安全风险评估;中国网络安全审查技术与认证中心(CCRC)信息安全服务资质认证证书-信息安全应急处理;**部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》;国家信息安全漏洞共享平台(CNVD)技术组成员单位资质以上要求;需提供响应资质证明文件。
(5)投标人必须是网信办、**部、工信部等国家网络安全主管部门或监管部门的国家级支撑保障单位,需提供相关(略)。
2、服务人员要求
(1)安排至少有三年以上类似安全项目工作经验的人员担任服务人员,人员资质、数(略),如果不满足,采购人有权要求更换项目成员。保证参加本项目实施人员的稳定,原则上团队负责人不得变动,人员流动比例不得超过15%,人员流动必须经采购人书面同意。
(2)每次现场渗透性测试人员投入总计不少于3人,且全部投入人员近三年内具有3家以上国有银行或全国性股份制银行渗透测试项目经验,且至少2人具备三年以上漏洞研究经验和独立漏洞发掘能力。
3、交付成果
(1)渗透(略),并且尽量减少渗透测试的影响与风险;
(2)渗透测试发现问题情况,对问题进行归类汇总并分析原因,按实际情(略)
(3)渗透测试报告,应体现技术风(略),剩余风险等,包括纸质版与电子版;
(4)安全人天服务报告,含采购人认可的服(略)长、遗留事项。
4、验收标准
供应商完成技术服务后,应通知本行验收,并与本行共同提出验收大纲(验收的具体标准、方法和步骤),该验收大纲经本行确认后方可作为最终验收标准的依据。本行负责本合同服务内容的验收。
(三)知识产权要求
供应商应保证(略),并保证维护成果不会侵犯任何第三方知识产权。如果由于供应(略),而导致(略),供应商必须代本行参加此类诉讼案件,并赔偿(略)(包括但不限本行为合法使用该等知识产权而向第三方支付的费用、律师费、其他人力费用等)。
(四)其他
为满足人民银行发布《金融网络安全相关测试标准》等监管要求,本次(略)项目、(略)项目的中标供应商不得为同一家,如发生供应商同时中标(略)和(略)的情况,采购人有权根据供应商实际服务能力(包括:受银行业主管、监管单位委托对银行业金融机构开展网络安全测试或攻防演练服务的案例数量;是否为网信办、**部、工信部等国家网络安全主管部门或监管部门的国家级支撑保障单位)与供应商协商,优先成交(略)。
二、资质要求
1、中华人民**国境内合法注册的独立法人,公司经营正常并存续3年(含)以上,具有良好的商业信誉和健全的财务会计制度,近三年财务状况良好,经营活动中没有重大违法记录;
2、有依法缴纳税收和社会保障资金的良好记录,近三年无重大违法违规行为;
3、近五年具有工农中建交总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级同类项目应用案例(渗透测试)不少于3个;
4、同一法定代表人的(略)
5、本项目不接受联合体投标,不接受挂靠、借用资质投标,不允许转包或分包;
6、本项目接受具备服务资质和能力的原厂商参与报名。
三、报名须知
申请人报名时,应提供以下材料:
1、公(略):“三证合一”营(略)
2、近6个月内任意1个月的缴税证明、与本项目有关的技术资质文件;
3、代表人的身份证明、公司法人委托授权书、公司开户行及账号信息,内容包括但不限于公司授权代表姓名、联系电话和邮箱等;
4、最近三年财务报表;
5、案例中标/成交通知书、合同或客户证明材料,并另以清单形式列明案例;
6、关于公司近三年无重大违法违规行为的书面承诺;
7、无不可抗力原因,报名供应商不得中途退出。报名供应商一年内累计二次及以上无不可抗力原因退出响应的,将列入本行灰名单级供应商,实施相应处罚。
8、报名供应商须仔细阅读供应商须知内容(详见附件1),如违反须知条款内容,将依据本行(略)。
9、报名时可以选择一个或多个包件报名。
以上请根据资质要求和报名须知进行材料的准备,所提供的复印件均需加盖单位公章,由法定代表人或被授权人签字,留存我行。并以电子文档形式发送至:(略)、(略);(邮件内容必须清楚写明:公司全称、被授权人姓名、联系方式、邮箱地址)。请根据附件2在我行供应商门户做好注册。
同时递送纸质材料,材料必须双面打印并装订成册,否则概不受理报名,后果将由报名方自行承担。现场报名地址:**农商银行集中采购中心(**市黄浦区中**二路70号D栋7楼701室)。纸质报名材料可接受快递方式寄送。
报名截止时间:(略)
四、联系方式
联 系 人:(略)
联系电话:(略)、(略)
电子邮件:(略)、(略)
地 址:**农商银行集中采购中心(**市黄浦区中**二路70号D栋7楼)
邮 编:(略)
**农商银行集中采购中心
二〇二四年四月
附件下载 | 附件1:供应商须知.docx 附件2:**农商银行供应商门户注册使用说明.docx |