为服务我行2023互联网全量系统渗透测试及安全维护服务项目,现向全社会公开征服务供应商,请有意者并具备下列要求的供应商前来我行报名。
一、采购内容及要求
(一)采购内容
满足2023年7月1日至2024年6月30日的互联网全量系统渗透测试及安全维护服务工作。
包一:2023年互联网全量系统渗透测试及安全维护服务(年度渗透1),包含不少于以下内容:
1、1次互联网全量系统渗透测试服务;
2、50人天新上线互联网系统渗透测试服务;
3、64人天安全基线检查服务。
包二:2023年互联网全量系统渗透测试及安全维护服务(年度渗透2),包含不少于以下内容:
1、1次互联网全量系统渗透测试服务;
2、50人天新上线互联网系统渗透测试服务。
(二)技术要求
包一:2023年互联网全量系统渗透测试及安全维护服务(年度渗透1)
1.服务要求
(1)供应商承诺无论出现任何情况,都将优先配置资源为采购人提供服务,包括但不限于渗透测试、安全人天服务以及新业务功能上线后的生产环境渗透测试人天服务。
(2)互联网全量系统渗透测试服务要求按银保监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、人民银行颁布的《网上银行信息安全通用规范》、《金融网络安全相关测试标准》以及《金融行业网络安全等级保护测评指南》、《金融网络安全web应用服务安全通用规范》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全检测规范》等要求对采购人全量互联网系统提供现场内、外部渗透测试;
(3)对安全人天服务(新上线互联网系统渗透测试、安全基线检查),一是要求根据监管要求、采购人安全需求以及行业内安全配置基线更新情况,为采购人提供安全配置基线咨询和修订工作;二是提供7*24小时应急事件响应并提供处置建议;
(4)应具备中国网络安全审查技术与认证中心信息安全服务资质认证证书(信息安全风险评估)一级或以上;应具备国家信息安全测评信息安全服务资质证书(风险评估类)二级或以上;应具备中国信息安全漏洞库(CNNVD)技术支撑单位资质;应是国家计算机网络应急技术处理协调中心(CNCERT/CC)应急服务支撑单位;应是应用安全联盟成员单位;以上要求需提供响应资质证明文件。
2.验收标准
供应商完成技术服务后,应通知本行验收,并与本行共同提出验收大纲(验收的具体标准、方法和步骤),该验收大纲经本行确认后方可作为最终验收标准的依据。本行负责本合同服务内容的验收。
3.知识产权要求
(1)本项目不涉及知识产权转移;
(2)供应商应保证其拥有从事本项目服务工作的资质及能力,并保证维护成果不会侵犯任何第三方知识产权。如果由于供应商提供的本合同项下服务侵犯他人的知识产权,而导致本行涉及相关诉讼或争议纠纷的话,供应商必须代本行参加此类诉讼案件,并赔偿本行由此而支出的一切费用及遭受的一切损失(包括但不限本行为合法使用该等知识产权而向第三方支付的费用、律师费、其他人力费用等)。
4.中标要求
为确保项目完成质量,同时满足人民银行发布《金融网络安全相关测试标准》等监管要求,本次年度渗透1项目、年度渗透2项目的中标供应商不得为同一家,如发生供应商同时中标年度渗透1和年度渗透2的情况,采购人有权根据供应商实际服务能力与供应商协商,优先中标年度渗透2。
包二:2023年互联网全量系统渗透测试及安全维护服务(年度渗透2)
1.服务要求
(1)供应商承诺无论出现任何情况,都将优先配置资源为采购人提供服务,包括但不限于渗透测试、安全人天服务以及新业务功能上线后的生产环境渗透测试人天服务;
(2)互联网全量系统渗透测试服务(年度渗透2)要求按银保监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、人民银行颁布的《网上银行信息安全通用规范》、《金融网络安全相关测试标准》以及《金融行业网络安全等级保护测评指南》、《金融网络安全web应用服务安全通用规范》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全检测规范》等要求对采购人全量互联网系统提供现场内、外部渗透测试;
(3)对新上线互联网系统渗透测试服务要求提供安全应急响应、安全事件处置与风险排查服务并根据采购人需求提供7*24小时应急事件响应并提供处置建议;
(4)应具备信息安全管理体系(27001)认证证书;中国网络安全审查技术与认证中心(CCRC)信息安全服务资质认证证书-信息安全风险评估;中国网络安全审查技术与认证中心(CCRC)信息安全服务资质认证证书-信息安全应急处理;国家网络安全等级保护工作协调小组办公室出具的网络安全等级保护测评机构推荐证书;国家信息安全漏洞共享平台(CNVD)技术组成员单位资质以上要求;需提供响应资质证明文件;
(5)投标人必须是网信办、公安部、工信部等国家网络安全主管部门或监管部门的国家级支撑保障单位,需提供相关职责说明材料。
2.验收标准
供应商完成技术服务后,应通知本行验收,并与本行共同提出验收大纲(验收的具体标准、方法和步骤),该验收大纲经本行确认后方可作为最终验收标准的依据。本行负责本合同服务内容的验收。
3.知识产权要求
(1)本项目不涉及知识产权转移;
(2)供应商应保证其拥有从事本项目服务工作的资质及能力,并保证维护成果不会侵犯任何第三方知识产权。如果由于供应商提供的本合同项下服务侵犯他人的知识产权,而导致本行涉及相关诉讼或争议纠纷的话,供应商必须代本行参加此类诉讼案件,并赔偿本行由此而支出的一切费用及遭受的一切损失(包括但不限本行为合法使用该等知识产权而向第三方支付的费用、律师费、其他人力费用等)。
4.中标要求
为确保项目完成质量,同时满足人民银行发布《金融网络安全相关测试标准》等监管要求,本次年度渗透1项目、年度渗透2项目的中标供应商不得为同一家,如发生供应商同时中标年度渗透1和年度渗透2的情况,采购人有权根据供应商实际服务能力与供应商协商,优先中标年度渗透2。
(一)中华人民共和国境内合法注册的独立法人,公司经营正常并存续3年(含)以上,具有良好的商业信誉和健全的财务会计制度,近三年财务状况良好,经营活动中没有重大违法记录;
(二)有依法缴纳税收和社会保障资金的良好记录,近三年无重大违法违规行为;
(三)近五年具有工农中建交邮储总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级同类项目应用案例(渗透测试)不少于3个;
(四)同一法定代表人的两个及两个以上法人、母公司、全资子公司及其控股公司不得在同一次项目中参加报名;
(五)本项目不接受联合体投标,不接受挂靠、借用资质投标,不允许转包或分包;
(六)本项目接受具备服务资质和能力的服务商参与报名。
申请人报名时,应提供以下材料:
1、公司信息及资质证明文件:“三证合一”营业执照、一般纳税人资格证明;
2、与本项目有关的技术资质文件等;
3、代表人的身份证明、公司法人委托授权书、公司开户行及账号信息,内容包括但不限于公司授权代表姓名、联系电话和邮箱等;
4、最近三年财务报表;
5、案例中标/成交通知书、合同或客户证明材料,并另以清单形式列明案例;
6、关于公司近三年无重大违法违规行为的书面承诺。
7、无不可抗力原因,报名供应商不得中途退出。报名供应商一年内累计二次及以上无不可抗力原因退出响应的,将列入本行灰名单级供应商,实施相应处罚。
8、报名供应商须仔细阅读供应商须知内容(详见附件),如违反须知条款内容,将依据本行供应商管理相关制度实施相应的处罚。
以上请根据资质要求和报名须知进行材料的准备,所提供的复印件均需加盖单位公章,由法定代表人或被授权人签字,留存我行。并以电子文档形式发送至:zhaof1@shrcb.com(邮件内容必须清楚写明:公司全称、被授权人姓名、联系方式、邮箱地址)。
同时递送纸质材料,材料必须双面打印并装订成册,否则概不受理报名,后果将由报名方自行承担。现场报名地址:上海农商银行集中采购中心(上海市黄浦区中山东二路70号D栋7楼)。可接受快递方式寄送纸质报名材料。
报名截止时间:2023年7月17日15:00。
联 系 人:赵峰
联系电话:021-61899037
电子邮件:zhaof1@shrcb.com
地 址:上海农商银行集中采购中心(上海市黄浦区中山东二路70号D栋7楼)
邮 编:200002
上海农商银行集中采购中心
二〇二三年七月
