上海农商银行2024年度互联网全量系统渗透测试及安全维护服务(年度渗透1、2)项目供应商征集公告
| 招标编号 | 【正式会员登录后可浏览】 | 采购业主 | 【正式会员登录后可浏览】 |
招标公司 | 【正式会员登录后可浏览】 |
|---|---|---|---|---|---|
| 联系人 | 【正式会员登录后可浏览】 | 联系电话 | 【正式会员登录后可浏览】 | 通讯地址 | 【正式会员登录后可浏览】 |
| 邮政编码 | 【正式会员登录后可浏览】 | 截止日期 | 【正式会员登录后可浏览】 |
公告摘要
各有关单位请于2024.04.02前与公告中联系人联系,及时参与投标等相关工作,以免错失商业机会。
部分信息内容如下:(查看详细信息请登录)
一、采购内容及要求
满足****年*月*日至****年*月**日的互联网全量系统渗透测试及安全维护服务工作。本项目分为*个包件,报名时可以选择一个或多个包件报名,具体内容如下:
(一)采购内容
包件一:年度渗透*
包含不少于以下内容:
序号
名称
规格
数量
备注
*
互联网相关系统渗透测试服务
次
*
*、*次渗透测试互联网系统全覆盖,完成现场内外网渗透测试以及渗透所发现漏洞的修补与验证支持、总结分析与报告整理工作
*、现场渗透性测试人员投入总计不得少于*人,至少*人近三年内具有*家以上国有银行或全国性股份制银行渗透测试项目经验,且至少*人具备三年以上漏洞研究经验和独立漏洞发掘能力(需提供服务人员名单及简历)
*
新上线互联网系统渗透测试服务
人/天
**
*、提供**个人天的新业务功能上线后的生产环境现场渗透测试服务及发现漏洞问题的修补支持与验证服务。
*、其他一切要求同互联网全量系统渗透测试服务
*
安全基线检查服务
人/天
**
*、提供**个人天的安全配置基线检查和整改支持服务。
*、其他一切要求同互联网全量系统渗透测试服务
包件二:年度渗透*
包含不少于以下内容:
序号
名称
规格
数量
备注
*
互联网相关系统渗透测试服务
次
*
*、*次渗透测试互联网系统全覆盖,完成现场内外网渗透测试以及渗透所发现漏洞的修补与验证支持、总结分析与报告整理工作
*、现场渗透性测试人员投入总计不得少于*人,至少*人近三年内具有*家以上国有银行或全国性股份制银行渗透测试项目经验,且至少*人具备三年以上漏洞研究经验和独立漏洞发掘能力(需提供服务人员名单及简历)
*
新上线互联网系统渗透测试服务
人/天
**
*、提供**个人天的新业务功能上线后的生产环境现场渗透测试服务及发现漏洞问题的修补支持与验证服务。
*、其他一切要求同互联网全量系统渗透测试服务
(二)技术要求
包件一:年度渗透*
*、服务要求
(*)供应商承诺无论出现任何情况,都将优先配置**为采购人提供服务,包括但不限于渗透测试、安全人天服务以及新业务功能上线后的生产环境渗透测试人天服务。
(*)互联网全量系统渗透测试服务要求按银保监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、人民银行颁布的《网上银行信息安全通用规范》、《金融网络安全相关测试标准》以及《金融行业网络安全等级保护测评指南》、《金融网络安全web应用服务安全通用规范》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全检测规范》等要求对采购人全量互联网系统提供现场内、外部渗透测试;
(*)对安全人天服务(新上线互联网系统渗透测试、安全基线检查),一是要求根据监管要求、采购人安全需求以及行业内安全配置基线更新情况,为采购人提供安全配置基线咨询和修订工作;二是提供****小时应急事件响应并提供处置建议;
(*)应具备中国网络安全审查技术与认证中心信息安全服务资质认证证书(信息安全风险评估)一级或以上;应具备国家信息安全测评信息安全服务资质证书(风险评估类)二级或以上;应具备国家信息安全测评信息安全服务资质证书(安全工程类)三级或以上;应具备中国信息安全漏洞库(CNNVD)技术支撑单位资质;以上要求需提供响应资质证明文件。
*、服务人员要求
(*)安排至少有三年以上类似安全项目工作经验的人员担任服务人员,人员资质、数量要能满足工作内容与时间节点要求,如果不满足,采购人有权要求更换项目成员。保证参加本项目实施人员的稳定,原则上团队负责人不得变动,人员流动比例不得超过**%,人员流动必须经采购人书面同意。
(*)每次现场渗透性测试人员投入总计不少于*人,且全部投入人员近三年内具有*家以上国有银行或全国性股份制银行渗透测试项目经验,且至少*人具备三年以上漏洞研究经验和独立漏洞发掘能力。
*、交付成果
(*)渗透测试方案,并且尽量减少渗透测试的影响与风险。
(*)渗透测试发现问题情况,对问题进行归类汇总并分析原因,按实际情况提供切实可行的整改建议或补偿控制措施。
(*)渗透测试报告,应体现技术风险分析与评估、控制措施的有效性,剩余风险等,包括纸质版与电子版。
(*)漏洞扫描报告,对每次漏洞扫描发现的漏洞进行分析和风险评估,并提供处置建议,根据要求提供季度漏洞扫描报告和漏洞风险评估结果。
(*)新上线系统基线检查报告,根据要求对新上线系统开展基线检查,并提供检查结果报告。
(*)根据监管要求、采购人安全需求以及行业内安全配置基线更新情况,为采购人提供安全配置基线咨询和修订工作。
(*)安全人天服务报告,含采购人认可的服务人员名称、服务事项描述、服务时长、遗留事项。
*、验收标准
供应商完成技术服务后,应通知本行验收,并与本行共同提出验收大纲(验收的具体标准、方法和步骤),该验收大纲经本行确认后方可作为最终验收标准的依据。本行负责本合同服务内容的验收。
包件二:年度渗透*
*、服务要求
(*)供应商承诺无论出现任何情况,都将优先配置**为采购人提供服务,包括但不限于渗透测试及新业务功能上线后的生产环境渗透测试人天服务。
(*)互联网全量系统渗透测试服务要求按银保监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、人民银行颁布的《网上银行信息安全通用规范》、《金融网络安全相关测试标准》以及《金融行业网络安全等级保护测评指南》、《金融网络安全web应用服务安全通用规范》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全检测规范》等要求对采购人全量互联网系统提供现场内、外部渗透测试;
(*)对新上线互联网系统渗透测试服务,一是提供安全应急响应、安全事件处置与风险排查服务;二是针对上级部门、监管机构的安全风险提示、应急事件处置以及专项安全检查要求,配合开展相应的风险排查并提供处置建议;三是其他一切服务要求同互联网全量系统渗透测试服务。
(*)应具备信息安全管理体系(*****)认证证书;中国网络安全审查技术与认证中心(CCRC)信息安全服务资质认证证书-信息安全风险评估;中国网络安全审查技术与认证中心(CCRC)信息安全服务资质认证证书-信息安全应急处理;国家网络安全等级保护工作协调小组办公室出具的网络安全等级保护测评机构推荐证书;国家信息安全漏洞共享平台(CNVD)技术组成员单位资质以上要求;需提供响应资质证明文件;
(*)投标人必须是网信办、**部、工信部等国家网络安全主管部门或监管部门的国家级支撑保障单位,需提供相关职责说明材料。
*、服务人员要求
(*)安排至少有三年以上类似安全项目工作经验的人员担任服务人员,人员资质、数量要能满足工作内容与时间节点要求,如果不满足,采购人有权要求更换项目成员。保证参加本项目实施人员的稳定,原则上团队负责人不得变动,人员流动比例不得超过**%,人员流动必须经采购人书面同意。
(*)每次现场渗透性测试人员投入总计不少于*人,且全部投入人员近三年内具有*家以上国有银行或全国性股份制银行渗透测试项目经验,且至少*人具备三年以上漏洞研究经验和独立漏洞发掘能力。
*、交付成果
(*)渗透测试方案,并且尽量减少渗透测试的影响与风险;
(*)渗透测试发现问题情况,对问题进行归类汇总并分析原因,按实际情况提供切实可行的整改建议或补偿控制措施;
(*)渗透测试报告,应体现技术风险分析与评估、控制措施的有效性,剩余风险等,包括纸质版与电子版;
(*)安全人天服务报告,含采购人认可的服务人员名称、服务事项描述、服务时长、遗留事项。
*、验收标准
供应商完成技术服务后,应通知本行验收,并与本行共同提出验收大纲(验收的具体标准、方法和步骤),该验收大纲经本行确认后方可作为最终验收标准的依据。本行负责本合同服务内容的验收。
(三)知识产权要求
供应商应保证其拥有从事本项目服务工作的资质及能力,并保证维护成果不会侵犯任何第三方知识产权。如果由于供应商提供的本合同项下服务侵犯他人的知识产权,而导致本行涉及相关诉讼或争议纠纷的话,供应商必须代本行参加此类诉讼案件,并赔偿本行由此而支出的一切费用及遭受的一切损失(包括但不限本行为合法使用该等知识产权而向第三方支付的费用、律师费、其他人力费用等)。
(四)其他
为满足人民银行发布《金融网络安全相关测试标准》等监管要求,本次年度渗透*项目、年度渗透*项目的中标供应商不得为同一家,如发生供应商同时中标年度渗透*和年度渗透*的情况,采购人有权根据供应商实际服务能力(包括:受银行业主管、监管单位委托对银行业金融机构开展网络安全测试或攻防演练服务的案例数量;是否为网信办、**部、工信部等国家网络安全主管部门或监管部门的国家级支撑保障单位)与供应商协商,优先成交年度渗透*。
二、资质要求
*、中华人民**国境内合法注册的独立法人,公司经营正常并存续*年(含)以上,具有良好的商业信誉和健全的财务会计制度,近三年财务状况良好,经营活动中没有重大违法记录;
*、有依法缴纳税收和社会保障资金的良好记录,近三年无重大违法违规行为;
*、近五年具有**中建交总行级或全国股份制商业银行总行级或****亿元资产规模及以上的城商行、农信社/农商银行总行级同类项目应用案例(渗透测试)不少于*个;
*、同一法定代表人的两个及两个以上法人、母公司、全资子公司及其控股公司不得在同一次项目中参加报名;
*、本项目不接受联合体投标,不接受挂靠、借用资质投标,不允许转包或分包;
*、本项目接受具备服务资质和能力的原厂商参与报名。
三、报名须知
申请人报名时,应提供以下材料:
*、公司信息及资质证明文件:“三证合一”营业执照、一般纳税人资格证明;
*、近*个月内任意*个月的缴税证明、与本项目有关的技术资质文件;
*、代表人的身份证明、公司法人委托授权书、公司开户行及账号信息,内容包括但不限于公司授权代表姓名、联系电话和邮箱等;
*、最近三年财务报表;
*、案例中标/成交通知书、合同或客户证明材料,并另以清单形式列明案例;
*、关于公司近三年无重大违法违规行为的书面承诺;
*、无不可抗力原因,报名供应商不得中途退出。报名供应商一年内累计二次及以上无不可抗力原因退出响应的,将列入本行灰名单级供应商,实施相应处罚。
*、报名供应商须仔细阅读供应商须知内容(详见附件*),如违反须知条款内容,将依据本行供应商管理相关制度实施相应的处罚。
*、报名时可以选择一个或多个包件报名。
以上请根据资质要求和报名须知进行材料的准备,所提供的复印件均需加盖单位公章,由法定代表人或被授权人签字,留存我行。并以电子文档形式发送至:***********、***********;(邮件内容必须清楚写明:公司全称、被授权人姓名、联系方式、邮箱地址)。请根据附件*在我行供应商门户做好注册。
同时递送纸质材料,材料必须双面打印并装订成册,否则概不受理报名,后果将由报名方自行承担。现场报名地址:******集中采购中心(*********二路**号D栋*楼***室)。纸质报名材料可接受快递方式寄送。
报名截止时间:****年*月*日**:**。
四、联系方式
联 系 人:张颖莹、丁丽娟
联系电话:***-********、********
电子邮件:***********、***********
地 址:******集中采购中心(*********二路**号D栋*楼)
邮 编:******
******集中采购中心
二〇二四年三月
- 招标导航
-
施工准备 土地整理 三通一平
工程施工 地基与基础工程 桩基工程 预应力工程 防水工程 保温工程 爆破工程 加固除险工程 改造改建工程 回填工程 燃气工程 防腐工程 电气防雷工程 空调采暖工程 地下室 停车场 钢结构 膜结构 给排水 声屏障 道路工程 桥梁工程 市政工程
园林景观绿化 古建筑 喷泉 水幕 雕塑 草坪 亮化工程 照明 灯光
弱电 安防 综合布线 消防工程 门禁 救生 智能建筑 有线电视 数字会议 广播 音响工程 大屏幕
装饰装修 吊顶 粉刷 彩绘 幕墙 外立面
工程服务 审计 监理 勘察 规划 设计
建筑材料 门窗 座椅 地板 混凝土构件 水泥 建筑钢材 木构件 涂料 拦污栅 除尘器 管材 土工材料 土工格栅 土工布
更多>>
为保证您能够顺利投标,请在投标或购买招标文件前向招标代理机构或招标人咨询投标详细要求,有关招标的具体要求及情况以招标代理机构或招标人的解释为准。
