(一)采购内容
满足2024年7月(起始时间自中标通知书发送之日起)至2025年6月30日的互联网全量系统渗透测试及安全维护服务工作。包含不少于以下内容:
|
序号 |
名称 |
规格 |
数量 |
备注 |
|
1 |
互联网相关系统渗透测试服务 |
次 |
2 |
1、2次渗透测试互联网系统全覆盖,完成现场内外网渗透测试以及渗透所发现漏洞的修补与验证支持、总结分析与报告整理工作 2、每次现场渗透性测试人员投入总计不得少于3人,至少3人近三年内具有3家以上工农中建交邮储或全国性股份制银行渗透测试项目经验,且至少2人具备漏洞研究经验和独立漏洞发掘能力(需提供服务人员名单及简历) |
|
2 |
新上线互联网系统渗透测试服务 |
人/天 |
100 |
1、提供100个人天的新业务功能上线后的生产环境现场渗透测试服务及发现漏洞问题的修补支持与验证服务。 2、人员要求同互联网全量系统渗透测试服务 |
(二)技术要求
1、服务要求
(1)供应商承诺无论出现任何情况,都将优先配置资源为采购人提供服务,包括但不限于渗透测试及新业务功能上线后的生产环境渗透测试人天服务;
(2)互联网全量系统渗透测试服务(年度渗透3)要求如下:
a.按银保监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、人民银行颁布的《网上银行信息安全通用规范》、《金融网络安全相关测试标准》以及《金融行业网络安全等级保护测评指南》、《金融网络安全web应用服务安全通用规范》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全检测规范》等要求对采购人全量互联网系统提供现场内、外部渗透测试;
b.按采购人的时间点要求完成现场内、外部渗透测试,并且尽量减少渗透测试对采购人的影响与风险。
c.根据内、外部渗透测试发现问题情况,对问题进行归类汇总并分析原因,按采购人实际情况提供切实可行的整改建议或补偿控制措施;
d.在发生监管部门定义的信息科技突发事件时,应及时向采购人报告,报告内容包括但不限于:事件的影响范围和严重程度,以及对应的处置和纠正措施;
e.配合采购人的内、外部审计机构和监管机构的检查;
f.应在采购人规定时间内提交渗透测试方案、计划以及渗透测试报告;
g.在采购人进行漏洞问题修补时提供现场支持、分析整改影响、对整改情况进行验证。
(3)对新上线互联网系统渗透测试服务要求如下:
a.提供安全应急响应、安全事件处置与风险排查服务;
b.根据采购人需求提供7*24小时应急事件响应并提供处置建议;
c.针对上级部门、监管机构的安全风险提示、应急事件处置以及专项安全检查要求,配合开展相应的风险排查并提供处置建议;
d.针对监管机构通报漏洞的排查和验证;
e.其他一切服务要求同互联网全量系统渗透测试服务。
(4)应具备中国网络安全审查技术与认证中心信息安全服务资质认证证书(信息安全风险评估)一级或以上;应具备国家信息安全测评信息安全服务资质证书(风险评估类)二级或以上;应是国家计算机网络应急技术处理协调中心(CNCERT/CC)应急服务支撑单位;应具备中国信息安全漏洞库(CNNVD)技术支撑单位资质;以上要求需提供响应资质证明文件。
2、服务人员要求
(1)安排至少有三年以上类似安全项目工作经验的人员担任服务人员,人员资质、数量要能满足工作内容与时间节点要求,如果不满足,采购人有权要求更换项目成员。保证参加本项目实施人员的稳定,原则上团队负责人不得变动,人员流动比例不得超过15%,人员流动必须经采购人书面同意。
(2)每次现场渗透性测试人员投入总计不少于3人,且全部投入人员近三年内具有3家以上国有银行或全国性股份制银行渗透测试项目经验,且至少2人具备漏洞研究经验和独立漏洞发掘能力。
3、交付成果
(1)渗透测试方案,并且尽量减少渗透测试的影响与风险;
(2)渗透测试发现问题情况,对问题进行归类汇总并分析原因,按实际情况提供切实可行的整改建议或补偿控制措施;
(3)渗透测试报告,应体现技术风险分析与评估、控制措施的有效性,剩余风险等,包括纸质版与电子版;
(4)安全人天服务报告,含采购人认可的服务人员名称、服务事项描述、服务时长、遗留事项。
4、验收标准
本行负责本合同服务内容的验收。
5、知识产权要求
本项目产生成果的知识产权及相关专利归采购人所有。采购人保证维护成果不会侵犯任何第三方知识产权。
6、中标要求
为确保项目完成质量,同时满足人民银行发布《金融网络安全相关测试标准》等监管要求,本项目不接受已中标本行同期(2024)年度渗透1项目、年度渗透2项目的中标供应商投标。
二、资质要求
1、中华人民共和国境内合法注册的独立法人,公司经营正常并存续3年(含)以上,具有良好的商业信誉和健全的财务会计制度,近三年财务状况良好,经营活动中没有重大违法记录。
2、有依法缴纳税收和社会保障资金的良好记录,近三年无重大违法违规行为。
3、近五年具有工农中建交邮储总行级或政策性银行总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级(含银行科技公司和信用卡中心)同类项目应用案例(需包含“渗透测试”或“安全测试”等字样)不少于3个(同一法人单位案例不可重复计算);
4、同一法定代表人的两个及两个以上法人、母公司、全资子公司及其控股公司不得在同一次项目中参加报名。
5、本项目不接受联合体投标,不接受挂靠、借用资质投标,不允许转包或分包。
6、本项目接受具备服务资质和能力的服务商参与报名。
三、
报名截止时间:2024年7月9日15:00。
本招标项目仅供 正式会员查阅,您的权限不能浏览详细信息,请点击注册/登录,请联系工作人员办理入网升级。
联系人:程姣
电话:010-53605906
手机:15010770853 (欢迎拨打手机/微信同号)
邮箱:chengjiao@zbytb.com
