2019-091-北京农商银行渗透测试众测平台服务项目公告

　　北京农商银行渗透测试众测平台服务项目公告
　　一、项目概述
　　根据我行业务发展需要，现启动渗透测试众测平台服务项目。中选服务商与我行签订服务合同。详细要求如下：
　　（一）项目服务内容及要求
　　1.服务内容
　　1)包1:
　　测试管理服务：
　　a.该系统应该能包含不同渗透测试人员和项目发布方的用户和角色管理功能。
　　b.流经该系统的测试流量应为加密流量。
　　c.该系统应能对测试流量进行回溯和审计。
　　d.该系统能支持发布项目。
　　e.该系统应该能支持审核漏洞及调整漏洞级别的功能，以及相关的统计功能（统计不同服务商提交的漏洞级别和数量等）。
　　f.以上测试管理服务，我行采用租用的方式，租用的时间为最短6个月，最长9个月。
　　g.提供不超过1个人月的现场支持服务。
　　h.本服务采用云部署方式。
　　2)包2:
　　漏洞管理服务：
　　a.提供漏洞管理的功能（应该包括漏洞序号、测试单位名称、漏洞名称、漏洞证明截图或者视频（单独附件）、漏洞位置、漏洞所在系统名称、  整改建议、漏洞类型 、漏洞级别（高危、中危、低危）、 漏洞危害、整改责任部门、提交的日期、提交时间、 漏洞是否属实（如不属实，请项目经理说明情况） 、整改计划、整改措施等）。
　　b.能够导入之前的漏洞信息。
　　c.能跟踪漏洞实时的整改状态以及整改责任部门。
　　d.能从各个维度（比如从整改状态、所属系统、所属整改部门、漏洞级别等）对漏洞进行统计。
　　e.对漏洞的级别进行审核及调整，并留存级别调整的记录以及级别调整的依据。
　　f.漏洞管理的角色至少需要有安全人员、项目经理、测试人员三类。
　　g.提供不超过1个人月的现场支持服务。
　　h.本服务采取本地化部署方式。

　　2.交付成果
　　1)通过包1达到以下效果：
　　a.能够监测服务商在测试过程中是否有数据泄露的问题发生，并能详细的定位到IP地址和测试人员。
　　b.能够在测试过程中区分服务商正常的测试和黑客的攻击行为。
　　c.能够给对每个测试人员的测试过程进行溯源，并留存日志，后续可以进行审计。
　　2)通过包2达到以下效果，详见包2的服务内容。       
　　3.服务费支付要求
　　服务商将所有的交付物提交我行并通过我行验收后，服务商向我行提供正式发票，我行向服务商支付合同总价的100%。
　　（二）服务商准入标准
　　1.公司为独立法人。
　　2.注册资本不低于200万元人民币。
　　3.公司具有与本项目相关的成功案例（需同时提供案例名称、合同关键页扫描件，连同自荐表一并发往报名邮箱）。
　　4.具有至少5年开展信息安全服务的经历,具有银行业丰富的风险评估、安全保障服务经验和良好的用户信誉；
　　请有意参与我行项目合作且符合准入条件的公司，从该网站下载并填写《北京农商银行xxx项目服务商自荐表》，于2019年8月2日下午17点前发送至xinxjsh_shangwu@bjrcb.com邮箱中。

　　二、其它事项
　　（一）请在规定时间内参与报名，截至报名日期后我行将不再接受任何形式的申请材料。
　　（二）请提供服务商的有效联系方式***
　　（三）存在关联的公司在同一项目中只能参选1家公司。
　　（四）我行尊重参选服务商的隐私权，对服务商的信息严格保密，参选服务商应当对所提交资料的真实性承担责任，我行在参选服务商过程中的任何阶段发现参选服务商提交的材料不实，有权取消其参选资格。
　　（五）包1和包2需要分开报名，可以同时报名包1和包2。
　　三、联系人***
　　联系人***
　　咨询电话：***

　　北京农商银行信息科技部          
　　2019年7月30日