2024年上海農(nóng)商銀行2024年度互聯(lián)網(wǎng)全量系統(tǒng)滲透測試及安全維護服務(年度滲透1、2)項目供應商第二輪征集公告


為服務我行2024年度互聯(lián)網(wǎng)全量系統(tǒng)滲透測試及安全維護服務（年度滲透1、2）項目，現(xiàn)向全社會公開征服務供應商，請有意者并具備下列要求的供應商前來我行報名。

一、采購內(nèi)容及要求

滿足2024年7月1日至2025年6月30日的互聯(lián)網(wǎng)全量系統(tǒng)滲透測試及安全維護服務工作。本項目分為2個包件，報名時可以選擇一個或多個包件報名，具體內(nèi)容如下：

（一）采購內(nèi)容

包件一：年度滲透1

包含不少于以下內(nèi)容：


序號

名稱

規(guī)格

數(shù)量

備注


1

互聯(lián)網(wǎng)相關系統(tǒng)滲透測試服務

次

1

1、1次滲透測試互聯(lián)網(wǎng)系統(tǒng)全覆蓋，完成現(xiàn)場內(nèi)外網(wǎng)滲透測試以及滲透所發(fā)現(xiàn)漏洞的修補與驗證支持、總結(jié)分析與報告整理工作

2、現(xiàn)場滲透性測試人員投入總計不得少于3人，至少3人近三年內(nèi)具有3家以上國有銀行或全國性股份制銀行滲透測試項目經(jīng)驗，且至少2人具備三年以上漏洞研究經(jīng)驗和獨立漏洞發(fā)掘能力（需提供服務人員名單及簡歷）


2

新上線互聯(lián)網(wǎng)系統(tǒng)滲透測試服務

人/天

50

1、提供50個人天的新業(yè)務功能上線后的生產(chǎn)環(huán)境現(xiàn)場滲透測試服務及發(fā)現(xiàn)漏洞問題的修補支持與驗證服務。

2、其他一切要求同互聯(lián)網(wǎng)全量系統(tǒng)滲透測試服務


3

安全基線檢查服務

人/天

64

1、提供64個人天的安全配置基線檢查和整改支持服務。

2、其他一切要求同互聯(lián)網(wǎng)全量系統(tǒng)滲透測試服務


包件二：年度滲透2

包含不少于以下內(nèi)容：


序號

名稱

規(guī)格

數(shù)量

備注


1

互聯(lián)網(wǎng)相關系統(tǒng)滲透測試服務

次

1

1、1次滲透測試互聯(lián)網(wǎng)系統(tǒng)全覆蓋，完成現(xiàn)場內(nèi)外網(wǎng)滲透測試以及滲透所發(fā)現(xiàn)漏洞的修補與驗證支持、總結(jié)分析與報告整理工作

2、現(xiàn)場滲透性測試人員投入總計不得少于3人，至少3人近三年內(nèi)具有3家以上國有銀行或全國性股份制銀行滲透測試項目經(jīng)驗，且至少2人具備三年以上漏洞研究經(jīng)驗和獨立漏洞發(fā)掘能力（需提供服務人員名單及簡歷）


2

新上線互聯(lián)網(wǎng)系統(tǒng)滲透測試服務

人/天

50

1、提供50個人天的新業(yè)務功能上線后的生產(chǎn)環(huán)境現(xiàn)場滲透測試服務及發(fā)現(xiàn)漏洞問題的修補支持與驗證服務。

2、其他一切要求同互聯(lián)網(wǎng)全量系統(tǒng)滲透測試服務




（二）技術要求

包件一：年度滲透1

1、服務要求

（1）供應商承諾無論出現(xiàn)任何情況，都將優(yōu)先配置資源為采購人提供服務，包括但不限于滲透測試、安全人天服務以及新業(yè)務功能上線后的生產(chǎn)環(huán)境滲透測試人天服務。

（2）互聯(lián)網(wǎng)全量系統(tǒng)滲透測試服務要求按銀保監(jiān)會頒布的《電子銀行業(yè)務管理辦法》、《電子銀行安全評估指引》、人民銀行頒布的《網(wǎng)上銀行信息安全通用規(guī)范》、《金融網(wǎng)絡安全相關測試標準》以及《金融行業(yè)網(wǎng)絡安全等級保護測評指南》、《金融網(wǎng)絡安全web應用服務安全通用規(guī)范》、《個人金融信息保護技術規(guī)范》、《移動金融客戶端應用軟件安全檢測規(guī)范》等要求對采購人全量互聯(lián)網(wǎng)系統(tǒng)提供現(xiàn)場內(nèi)、外部滲透測試。

（3）對安全人天服務（新上線互聯(lián)網(wǎng)系統(tǒng)滲透測試、安全基線檢查），一是要求根據(jù)監(jiān)管要求、采購人安全需求以及行業(yè)內(nèi)安全配置基線更新情況，為采購人提供安全配置基線咨詢和修訂工作；二是提供724小時應急事件響應并提供處置建議。

（4）應具備中國網(wǎng)絡安全審查技術與認證中心信息安全服務資質(zhì)認證證書（信息安全風險評估）一級或以上；應具備國家信息安全測評信息安全服務資質(zhì)證書（風險評估類）二級或以上；應具備國家信息安全測評信息安全服務資質(zhì)證書（安全工程類）三級或以上；應具備中國信息安全漏洞庫（CNNVD）技術支撐單位資質(zhì)；以上要求需提供響應資質(zhì)證明文件。

2、服務人員要求

（1）安排至少有三年以上類似安全項目工作經(jīng)驗的人員擔任服務人員，人員資質(zhì)、數(shù)量要能滿足工作內(nèi)容與時間節(jié)點要求，如果不滿足，采購人有權要求更換項目成員。保證參加本項目實施人員的穩(wěn)定，原則上團隊負責人不得變動，人員流動比例不得超過15%，人員流動必須經(jīng)采購人書面同意。

（2）每次現(xiàn)場滲透性測試人員投入總計不少于3人，且全部投入人員近三年內(nèi)具有3家以上國有銀行或全國性股份制銀行滲透測試項目經(jīng)驗，且至少2人具備三年以上漏洞研究經(jīng)驗和獨立漏洞發(fā)掘能力。

3、交付成果

（1）滲透測試方案，并且盡量減少滲透測試的影響與風險。

（2）滲透測試發(fā)現(xiàn)問題情況，對問題進行歸類匯總并分析原因，按實際情況提供切實可行的整改建議或補償控制措施。

（3）滲透測試報告，應體現(xiàn)技術風險分析與評估、控制措施的有效性，剩余風險等，包括紙質(zhì)版與電子版。

（4）漏洞掃描報告，對每次漏洞掃描發(fā)現(xiàn)的漏洞進行分析和風險評估，并提供處置建議，根據(jù)要求提供季度漏洞掃描報告和漏洞風險評估結(jié)果。

（5）新上線系統(tǒng)基線檢查報告，根據(jù)要求對新上線系統(tǒng)開展基線檢查，并提供檢查結(jié)果報告。

（6）根據(jù)監(jiān)管要求、采購人安全需求以及行業(yè)內(nèi)安全配置基線更新情況，為采購人提供安全配置基線咨詢和修訂工作。

**信息由招標與采購網(wǎng)發(fā)布**此行內(nèi)容正式會員可見，請登錄中國招標與采購網(wǎng)后查看**

4、驗收標準

供應商完成技術服務后，應通知本行驗收，并與本行共同提出驗收大綱（驗收的具體標準、方法和步驟），該驗收大綱經(jīng)本行確認后方可作為最終驗收標準的依據(jù)。本行負責本合同服務內(nèi)容的驗收。

包件二：年度滲透2

1、服務要求

（1）供應商承諾無論出現(xiàn)任何情況，都將優(yōu)先配置資源為采購人提供服務，包括但不限于滲透測試及新業(yè)務功能上線后的生產(chǎn)環(huán)境滲透測試人天服務。

（2）互聯(lián)網(wǎng)全量系統(tǒng)滲透測試服務要求按銀保監(jiān)會頒布的《電子銀行業(yè)務管理辦法》、《電子銀行安全評估指引》、人民銀行頒布的《網(wǎng)上銀行信息安全通用規(guī)范》、《金融網(wǎng)絡安全相關測試標準》以及《金融行業(yè)網(wǎng)絡安全等級保護測評指南》、《金融網(wǎng)絡安全web應用服務安全通用規(guī)范》、《個人金融信息保護技術規(guī)范》、《移動金融客戶端應用軟件安全檢測規(guī)范》等要求對采購人全量互聯(lián)網(wǎng)系統(tǒng)提供現(xiàn)場內(nèi)、外部滲透測試。

（3）對新上線互聯(lián)網(wǎng)系統(tǒng)滲透測試服務,一是提供安全應急響應、安全事件處置與風險排查服務；二是針對上級部門、監(jiān)管機構(gòu)的安全風險提示、應急事件處置以及專項安全檢查要求，配合開展相應的風險排查并提供處置建議；三是其他一切服務要求同互聯(lián)網(wǎng)全量系統(tǒng)滲透測試服務。

（4）應具備信息安全管理體系（27001）認證證書；中國網(wǎng)絡安全審查技術與認證中心（CCRC）信息安全服務資質(zhì)認證證書-信息安全風險評估；中國網(wǎng)絡安全審查技術與認證中心（CCRC）信息安全服務資質(zhì)認證證書-信息安全應急處理；公安部第三研究所認證發(fā)放的《網(wǎng)絡安全等級測評與檢測評估機構(gòu)服務認證證書》；國家信息安全漏洞共享平臺（CNVD）技術組成員單位資質(zhì)以上要求；需提供響應資質(zhì)證明文件。

（5）投標人必須是網(wǎng)信辦、公安部、工信部等國家網(wǎng)絡安全主管部門或監(jiān)管部門的國家級支撐保障單位，需提供相關職責說明材料。

2、服務人員要求

（1）安排至少有三年以上類似安全項目工作經(jīng)驗的人員擔任服務人員，人員資質(zhì)、數(shù)量要能滿足工作內(nèi)容與時間節(jié)點要求，如果不滿足，采購人有權要求更換項目成員。保證參加本項目實施人員的穩(wěn)定，原則上團隊負責人不得變動，人員流動比例不得超過15%，人員流動必須經(jīng)采購人書面同意。

（2）每次現(xiàn)場滲透性測試人員投入總計不少于3人，且全部投入人員近三年內(nèi)具有3家以上國有銀行或全國性股份制銀行滲透測試項目經(jīng)驗，且至少2人具備三年以上漏洞研究經(jīng)驗和獨立漏洞發(fā)掘能力。

3、交付成果

（1）滲透測試方案，并且盡量減少滲透測試的影響與風險；

（2）滲透測試發(fā)現(xiàn)問題情況，對問題進行歸類匯總并分析原因，按實際情況提供切實可行的整改建議或補償控制措施；

（3）滲透測試報告，應體現(xiàn)技術風險分析與評估、控制措施的有效性，剩余風險等，包括紙質(zhì)版與電子版；

（4）安全人天服務報告，含采購人認可的服務人員名稱、服務事項描述、服務時長、遺留事項。

4、驗收標準

供應商完成技術服務后，應通知本行驗收，并與本行共同提出驗收大綱（驗收的具體標準、方法和步驟），該驗收大綱經(jīng)本行確認后方可作為最終驗收標準的依據(jù)。本行負責本合同服務內(nèi)容的驗收。

（三）知識產(chǎn)權要求

供應商應保證其擁有從事本項目服務工作的資質(zhì)及能力，并保證維護成果不會侵犯任何第三方知識產(chǎn)權。如果由于供應商提供的本合同項下服務侵犯他人的知識產(chǎn)權，而導致本行涉及相關訴訟或爭議糾紛的話，供應商必須代本行參加此類訴訟案件，并賠償本行由此而支出的一切費用及遭受的一切損失（包括但不限本行為合法使用該等知識產(chǎn)權而向第三方支付的費用、律師費、其他人力費用等）。

（四）其他

為滿足人民銀行發(fā)布《金融網(wǎng)絡安全相關測試標準》等監(jiān)管要求，本次年度滲透1項目、年度滲透2項目的中標供應商不得為同一家，如發(fā)生供應商同時中標年度滲透1和年度滲透2的情況，采購人有權根據(jù)供應商實際服務能力（包括：受銀行業(yè)主管、監(jiān)管單位委托對銀行業(yè)金融機構(gòu)開展網(wǎng)絡安全測試或攻防演練服務的案例數(shù)量；是否為網(wǎng)信辦、公安部、工信部等國家網(wǎng)絡安全主管部門或監(jiān)管部門的國家級支撐保障單位）與供應商協(xié)商，優(yōu)先成交年度滲透2。

二、資質(zhì)要求

1、中華人民共和國境內(nèi)合法注冊的獨立法人，公司經(jīng)營正常并存續(xù)3年（含）以上，具有良好的商業(yè)信譽和健全的財務會計制度，近三年財務狀況良好，經(jīng)營活動中沒有重大違法記錄；

2、有依法繳納稅收和社會保障資金的良好記錄，近三年無重大違法違規(guī)行為；

3、近五年具有工農(nóng)中建交總行級或全國股份制商業(yè)銀行總行級或5000億元資產(chǎn)規(guī)模及以上的城商行、農(nóng)信社/農(nóng)商銀行總行級同類項目應用案例（滲透測試）不少于3個；

4、同一法定代表人的兩個及兩個以上法人、母公司、全資子公司及其控股公司不得在同一次項目中參加報名；

5、本項目不接受聯(lián)合體投標，不接受掛靠、借用資質(zhì)投標，不允許轉(zhuǎn)包或分包；

6、本項目接受具備服務資質(zhì)和能力的原廠商參與報名。

三、報名須知

申請人報名時，應提供以下材料：

1、公司信息及資質(zhì)證明文件：“三證合一”營業(yè)執(zhí)照、一般納稅人資格證明；

2、近6個月內(nèi)任意1個月的繳稅證明、與本項目有關的技術資質(zhì)文件；

3、代表人的身份證明、公司法人委托授權書、公司開戶行及賬號信息，內(nèi)容包括但不限于公司授權代表姓名、聯(lián)系電話和郵箱等；

4、最近三年財務報表；

5、案例中標/成交通知書、合同或客戶證明材料，并另以清單形式列明案例；

6、關于公司近三年無重大違法違規(guī)行為的書面承諾；

7、無不可抗力原因，報名供應商不得中途退出。報名供應商一年內(nèi)累計二次及以上無不可抗力原因退出響應的，將列入本行灰名單級供應商，實施相應處罰。

8、報名供應商須仔細閱讀供應商須知內(nèi)容（詳見附件1），如違反須知條款內(nèi)容，將依據(jù)本行供應商管理相關制度實施相應的處罰。

9、

報名截止時間：2024年4月18日15：00。




友情提醒：報名前與下方聯(lián)系人索取投標登記表，以及辦理后續(xù)事宜。
聯(lián)系人：郝亮
手機：13146799092(微信同號)
郵箱：1094372637@qq.com