为进一步提升我行整体的信息安全水平，满足相关法律、法规和监管要求，我行计划开展信息安全综合服务（应用安全服务）现场服务。现向全社会公开征集供应商，请有意者并具备以下要求的供应商前来我行报名。

一、采购内容及要求

（一）采购内容

2023年9月1日至2024年6月30日的应用安全现场服务。

（二）技术要求

1、服务要求

（1）依据相关监管要求、行业标准规范以及我行规范要求，开展信息系统上线前的应用安全服务，包括但不限于以下标准规范要求：

《中华人民共和国网络安全法》

《信息安全技术 网络安全等级保护基本要求》等等保2.0相关标准

《银行业金融机构信息科技外包风险监管指引》

《金融行业信息系统信息安全等级保护测评指南》

《网上银行系统信息安全通用规范》

《移动金融客户端应用软件安全管理规范》

《商业银行应用程序接口安全管理规范》

《个人金融信息保护技术规范》

《上海农商银行信息科技部系统建设应用安全技术规范》

《上海农商银行安全漏洞分类和等级评定表》等

若项目实施过程中，监管提出新的安全要求，需按照最新的监管要求开展应用安全服务。

（2）根据我行实际情况和流程开展信息系统上线前的应用渗透测试服务，并优化与完善相关的应用安全测评流程、测评要求、测评内容以及测评方法，并开展相关培训（每年不少于5次）。

（3）根据我行要求开展相应信息系统的整体应用安全测评，从业务合规和业务场景的角度模拟风险场景，给出有效的建议和安全开发要求。

（4）安全事件处置与风险排查。针对上级部门、监管机构的安全风险提示、应急事件处置以及专项安全检查要求，配合开展相应的风险排查与处置建议。

（5）本地化部署应用安全服务所需的工具或软件。

（6）应具备国家信息安全测评信息安全服务资质证书（安全工程类三级）；具有中国网络安全审查技术与认证中心信息安全服务资质（一级信息安全风险评估服务）证书；是国家互联网应急中心(CNCERT)网络安全应急服务支撑单位及具有中国国家信息安全漏洞库（CNNVD）技术支撑单位一级资质。

（7）其他要求

7.1 须承诺本项目实施过程中及实施后，未经上海农商银行书面许可，不向外界泄露任何涉及上海农商银行系统、网络配置等各方面信息。双方在合同签订的同时，签订相关保密协议。

7.2 在实施测评服务过程中，若采用必要的技术手段（如渗透性测试等）对系统进行测试，应不影响应用系统尤其是实时交易的安全稳定运行。

2、人员要求

（1）供应商需指派一名项目经理负责整体项目实施，包括不限于项目沟通、人员安排、项目质量保证等，且项目经理需要具备三年及以上的金融行业项目管理经验。

（2）驻场服务人员能满足以下要求

2.1项目人员学历要求为全日制本科及以上，应为在供应商公司工作半年以上的正式员工；

2.2至少三年的银行业安全服务经验；

2.3参与过至少银行总行级的3个互联网系统应用安全服务项目的实施（其中至少有网上银行、手机银行系统、微信银行）；

2.4至少具备CISAW、CISP或CISSP等同等资质证书；

二、资质要求

（一）中华人民共和国境内合法注册的独立法人，公司经营正常并存续3年（含）以上，具有良好的商业信誉和健全的财务会计制度，近三年财务状况良好，经营活动中没有重大违法记录；

（二）有依法缴纳税收和社会保障资金的良好记录，近三年无重大违法违规行为；

（三）近五年具有工农中建交总行级或全国股份制商业银行总行级或与我行资产规模相同及以上的城商行、农信社/农商银行总行级同类项目应用案例（包含“应用安全”或“渗透测试”或“人天”等字样）不少于3个；

（四）同一法定代表人的两个及两个以上法人、母公司、全资子公司及其控股公司不得在同一次项目中参加报名；

（五）本项目不接受联合体投标，不接受挂靠、借用资质投标，不允许转包或分包；

（六）本项目接受具备服务资质和能力的服务商参与报名。

三、报名须知

申请人报名时，应提供以下材料：

1、公司信息及资质证明文件：“三证合一”营业执照、一般纳税人资格证明；

2、近6个月内任意1个月的缴税证明、与本项目有关的技术资质文件等；

3、代表人的身份证明、公司法人委托授权书、公司开户行及账号信息，内容包括但不限于公司授权代表姓名、联系电话和邮箱等；

4、最近三年财务报表；

5、案例中标/成交通知书、合同或客户证明材料，并另以清单形式列明案例；

6、关于公司近三年无重大违法违规行为的书面承诺。

7、无不可抗力原因，报名供应商不得中途退出。报名供应商一年内累计二次及以上无不可抗力原因退出响应的，将列入本行灰名单级供应商，实施相应处罚。

8、报名供应商须仔细阅读供应商须知内容（详见附件），如违反须知条款内容，将依据本行供应商管理相关制度实施相应的处罚。

以上请根据资质要求和报名须知进行材料的准备，所提供的复印件均需加盖单位公章，由法定代表人或被授权人签字，留存我行。并以电子文档形式发送至：dinglj@shrcb.com（邮件内容必须清楚写明：公司全称、被授权人姓名、联系方式、邮箱地址）。

同时递送纸质材料，材料必须双面打印并装订成册，否则概不受理报名，后果将由报名方自行承担。现场报名地址：上海农商银行集中采购中心（上海市黄浦区中山东二路70号D栋7楼）。可接受快递方式寄送纸质报名材料。

报名截止时间：2023年8月8日15：00。

四、联系方式

联 系 人：丁丽娟

联系电话：021-61899040

电子邮件：dinglj@shrcb.com

地  址：上海农商银行集中采购中心（上海市黄浦区中山东二路70号D栋7楼）

邮  编：200002

上海农商银行集中采购中心

二〇二三年八月