上海农商银行2024年度互联网全量系统渗透测试及安全维护服务（年度渗透3）项目供应商征集公告
发布时间：** 13:50:06
类型：竞争性磋商

项目编号：ITCG*

为服务我行2024互联网全量系统渗透测试及安全维护服务（年度渗透3）项目，现向全社会公开征服务供应商，请有意者并具备下列要求的供应商前来我行报名。

一、采购内容及要求

（一）采购内容

满足2024年7月（起始时间自中标通知书发送之日起）至**日的互联网全量系统渗透测试及安全维护服务工作。包含不少于以下内容：

（二）技术要求

1、服务要求

（1）供应商承诺无论出现任何情况，都将优先配置资源为采购人提供服务，包括但不限于渗透测试及新业务功能上线后的生产环境渗透测试人天服务；

（2）互联网全量系统渗透测试服务（年度渗透3）要求如下：

a.按银保监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、人民银行颁布的《网上银行信息安全通用规范》、《金融网络安全相关测试标准》以及《金融行业网络安全等级保护测评指南》、《金融网络安全web应用服务安全通用规范》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全检测规范》等要求对采购人全量互联网系统提供现场内、外部渗透测试；

b.按采购人的时间点要求完成现场内、外部渗透测试，并且尽量减少渗透测试对采购人的影响与风险。

c.根据内、外部渗透测试发现问题情况，对问题进行归类汇总并分析原因，按采购人实际情况提供切实可行的整改建议或补偿控制措施；

d.在发生监管部门定义的信息科技突发事件时，应及时向采购人报告，报告内容包括但不限于：事件的影响范围和严重程度，以及对应的处置和纠正措施；

e.配合采购人的内、外部审计机构和监管机构的检查；

f.应在采购人规定时间内提交渗透测试方案、计划以及渗透测试报告；

g.在采购人进行漏洞问题修补时提供现场支持、分析整改影响、对整改情况进行验证。

(3)对新上线互联网系统渗透测试服务要求如下：

a.提供安全应急响应、安全事件处置与风险排查服务；

b.根据采购人需求提供7*24小时应急事件响应并提供处置建议；

c.针对上级部门、监管机构的安全风险提示、应急事件处置以及专项安全检查要求，配合开展相应的风险排查并提供处置建议；

d.针对监管机构通报漏洞的排查和验证；

e.其他一切服务要求同互联网全量系统渗透测试服务。

(4)应具备中国网络安全审查技术与认证中心信息安全服务资质认证证书（信息安全风险评估）一级或以上；应具备国家信息安全测评信息安全服务资质证书（风险评估类）二级或以上；应是国家计算机网络应急技术处理协调中心(CNCERT/CC)应急服务支撑单位；应具备中国信息安全漏洞库（CNNVD）技术支撑单位资质；以上要求需提供响应资质证明文件。

2、服务人员要求

（1）安排至少有三年以上类似安全项目工作经验的人员担任服务人员，人员资质、数量要能满足工作内容与时间节点要求，如果不满足，采购人有权要求更换项目成员。保证参加本项目实施人员的稳定，原则上团队负责人不得变动，人员流动比例不得超过15%，人员流动必须经采购人书面同意。

（2）每次现场渗透性测试人员投入总计不少于3人，且全部投入人员近三年内具有3家以上国有银行或全国性股份制银行渗透测试项目经验，且至少2人具备漏洞研究经验和独立漏洞发掘能力。

3、交付成果

（1）渗透测试方案，并且尽量减少渗透测试的影响与风险；

（2）渗透测试发现问题情况，对问题进行归类汇总并分析原因，按实际情况提供切实可行的整改建议或补偿控制措施；

（3）渗透测试报告，应体现技术风险分析与评估、控制措施的有效性，剩余风险等，包括纸质版与电子版；

（4）安全人天服务报告，含采购人认可的服务人员名称、服务事项描述、服务时长、遗留事项。

4、验收标准

本行负责本合同服务内容的验收。

5、知识产权要求

本项目产生成果的知识产权及相关专利归采购人所有。采购人保证维护成果不会侵犯任何第三方知识产权。

6、中标要求

为确保项目完成质量，同时满足人民银行发布《金融网络安全相关测试标准》等监管要求，本项目不接受已中标本行同期（2024）年度渗透1项目、年度渗透2项目的中标供应商投标。

二、资质要求

1、中华人民共和国境内合法注册的独立法人，公司经营正常并存续3年（含）以上，具有良好的商业信誉和健全的财务会计制度，近三年财务状况良好，经营活动中没有重大违法记录。

2、有依法缴纳税收和社会保障资金的良好记录，近三年无重大违法违规行为。

3、近五年具有工农中建交邮储总行级或政策性银行总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级（ (略) 和信用卡中心）同类项目应用案例（需包含“渗透测试”或“安全测试”等字样）不少于3个（同一法人单位案例不可重复计算）；

4、同一法定代表人的两个及两个以上法人、母公司、全 (略) 不得在同一次项目中参加报名。

5、本项目不接受联合体投标，不接受挂靠、借用资质投标，不允许转包或分包。

6、本项目接受具备服务资质和能力的服务商参与报名。

三、报名须知

申请人报名时，应提供以下材料：

1、公司信息及资质证明文件：“三证合一”营业执照；具备增值税专用发票开票资质（提供书面承诺保证，格式不限）；

2、近6个月内任意1个月的缴税证明、与本项目有关的技术资质文件；

3、代表人的身份证明、公司法人委托授权书、公司开户行及账号信息， (略) 授权代表姓名、联系电话和邮箱等；

4、最近三年财务报表；

5、案例中标/成交通知书、合同或客户证明材料，并另以清单形式列明案例；

6、关于公司近三年无重大违法违规行为的书面承诺；

7、无不可抗力原因，报名供应商不得中途退出。报名供应商一年内累计二次及以上无不可抗力原因退出响应的，将列入本行灰名单级供应商，实施相应处罚。

8、报名供应商须仔细阅读供应商须知内容（详见附件1），如违反须知条款内容，将依据本行供应商管理相关制度实施相应的处罚。

以上请根据资质要求和报名须知进行材料的准备，所提供的复印件均需加盖单位公章，由法定代表人或被授权人签字，留存我行。并以电子文档形式发送至：*@*hrcb.com、*@*hrcb.com；（邮件内容必须清楚写明：公司全称、被授权人姓名、联系方式、邮箱地址）。请根据附件2在我行供应商门户做好注册。

同时递送纸质材料，材料必须双面打印并装订成册，否则概不受理报名，后果将由报名方自行承担。现场报名地址：上海农商银行集中采购中心（ (略) 黄浦区中山东二路70号D栋7楼701室）。纸质报名材料可接受快递方式寄送。

报名截止时间：**日15：00。

四、联系方式

联 系 人：张颖莹、*丽娟

联系电话：021-*、*

电子邮件：*@*hrcb.com、*@*hrcb.com

地 址：上海农商银行集中采购中心（ (略) 黄浦区中山东二路70号D栋7楼）

邮 编：*

上海农商银行集中采购中心

二〇二四年七月

上海农商银行2024年度互联网全量系统渗透测试及安全维护服务（年度渗透3）项目供应商征集公告
发布时间：** 13:50:06
类型：竞争性磋商

项目编号：ITCG*

为服务我行2024互联网全量系统渗透测试及安全维护服务（年度渗透3）项目，现向全社会公开征服务供应商，请有意者并具备下列要求的供应商前来我行报名。

一、采购内容及要求

（一）采购内容

满足2024年7月（起始时间自中标通知书发送之日起）至**日的互联网全量系统渗透测试及安全维护服务工作。包含不少于以下内容：

（二）技术要求

1、服务要求

（1）供应商承诺无论出现任何情况，都将优先配置资源为采购人提供服务，包括但不限于渗透测试及新业务功能上线后的生产环境渗透测试人天服务；

（2）互联网全量系统渗透测试服务（年度渗透3）要求如下：

a.按银保监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、人民银行颁布的《网上银行信息安全通用规范》、《金融网络安全相关测试标准》以及《金融行业网络安全等级保护测评指南》、《金融网络安全web应用服务安全通用规范》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全检测规范》等要求对采购人全量互联网系统提供现场内、外部渗透测试；

b.按采购人的时间点要求完成现场内、外部渗透测试，并且尽量减少渗透测试对采购人的影响与风险。

c.根据内、外部渗透测试发现问题情况，对问题进行归类汇总并分析原因，按采购人实际情况提供切实可行的整改建议或补偿控制措施；

d.在发生监管部门定义的信息科技突发事件时，应及时向采购人报告，报告内容包括但不限于：事件的影响范围和严重程度，以及对应的处置和纠正措施；

e.配合采购人的内、外部审计机构和监管机构的检查；

f.应在采购人规定时间内提交渗透测试方案、计划以及渗透测试报告；

g.在采购人进行漏洞问题修补时提供现场支持、分析整改影响、对整改情况进行验证。

(3)对新上线互联网系统渗透测试服务要求如下：

a.提供安全应急响应、安全事件处置与风险排查服务；

b.根据采购人需求提供7*24小时应急事件响应并提供处置建议；

c.针对上级部门、监管机构的安全风险提示、应急事件处置以及专项安全检查要求，配合开展相应的风险排查并提供处置建议；

d.针对监管机构通报漏洞的排查和验证；

e.其他一切服务要求同互联网全量系统渗透测试服务。

(4)应具备中国网络安全审查技术与认证中心信息安全服务资质认证证书（信息安全风险评估）一级或以上；应具备国家信息安全测评信息安全服务资质证书（风险评估类）二级或以上；应是国家计算机网络应急技术处理协调中心(CNCERT/CC)应急服务支撑单位；应具备中国信息安全漏洞库（CNNVD）技术支撑单位资质；以上要求需提供响应资质证明文件。

2、服务人员要求

（1）安排至少有三年以上类似安全项目工作经验的人员担任服务人员，人员资质、数量要能满足工作内容与时间节点要求，如果不满足，采购人有权要求更换项目成员。保证参加本项目实施人员的稳定，原则上团队负责人不得变动，人员流动比例不得超过15%，人员流动必须经采购人书面同意。

（2）每次现场渗透性测试人员投入总计不少于3人，且全部投入人员近三年内具有3家以上国有银行或全国性股份制银行渗透测试项目经验，且至少2人具备漏洞研究经验和独立漏洞发掘能力。

3、交付成果

（1）渗透测试方案，并且尽量减少渗透测试的影响与风险；

（2）渗透测试发现问题情况，对问题进行归类汇总并分析原因，按实际情况提供切实可行的整改建议或补偿控制措施；

（3）渗透测试报告，应体现技术风险分析与评估、控制措施的有效性，剩余风险等，包括纸质版与电子版；

（4）安全人天服务报告，含采购人认可的服务人员名称、服务事项描述、服务时长、遗留事项。

4、验收标准

本行负责本合同服务内容的验收。

5、知识产权要求

本项目产生成果的知识产权及相关专利归采购人所有。采购人保证维护成果不会侵犯任何第三方知识产权。

6、中标要求

为确保项目完成质量，同时满足人民银行发布《金融网络安全相关测试标准》等监管要求，本项目不接受已中标本行同期（2024）年度渗透1项目、年度渗透2项目的中标供应商投标。

二、资质要求

1、中华人民共和国境内合法注册的独立法人，公司经营正常并存续3年（含）以上，具有良好的商业信誉和健全的财务会计制度，近三年财务状况良好，经营活动中没有重大违法记录。

2、有依法缴纳税收和社会保障资金的良好记录，近三年无重大违法违规行为。

3、近五年具有工农中建交邮储总行级或政策性银行总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级（ (略) 和信用卡中心）同类项目应用案例（需包含“渗透测试”或“安全测试”等字样）不少于3个（同一法人单位案例不可重复计算）；

4、同一法定代表人的两个及两个以上法人、母公司、全 (略) 不得在同一次项目中参加报名。

5、本项目不接受联合体投标，不接受挂靠、借用资质投标，不允许转包或分包。

6、本项目接受具备服务资质和能力的服务商参与报名。

三、报名须知

申请人报名时，应提供以下材料：

1、公司信息及资质证明文件：“三证合一”营业执照；具备增值税专用发票开票资质（提供书面承诺保证，格式不限）；

2、近6个月内任意1个月的缴税证明、与本项目有关的技术资质文件；

3、代表人的身份证明、公司法人委托授权书、公司开户行及账号信息， (略) 授权代表姓名、联系电话和邮箱等；

4、最近三年财务报表；

5、案例中标/成交通知书、合同或客户证明材料，并另以清单形式列明案例；

6、关于公司近三年无重大违法违规行为的书面承诺；

7、无不可抗力原因，报名供应商不得中途退出。报名供应商一年内累计二次及以上无不可抗力原因退出响应的，将列入本行灰名单级供应商，实施相应处罚。

8、报名供应商须仔细阅读供应商须知内容（详见附件1），如违反须知条款内容，将依据本行供应商管理相关制度实施相应的处罚。

以上请根据资质要求和报名须知进行材料的准备，所提供的复印件均需加盖单位公章，由法定代表人或被授权人签字，留存我行。并以电子文档形式发送至：*@*hrcb.com、*@*hrcb.com；（邮件内容必须清楚写明：公司全称、被授权人姓名、联系方式、邮箱地址）。请根据附件2在我行供应商门户做好注册。

同时递送纸质材料，材料必须双面打印并装订成册，否则概不受理报名，后果将由报名方自行承担。现场报名地址：上海农商银行集中采购中心（ (略) 黄浦区中山东二路70号D栋7楼701室）。纸质报名材料可接受快递方式寄送。

报名截止时间：**日15：00。

四、联系方式

联 系 人：张颖莹、*丽娟

联系电话：021-*、*

电子邮件：*@*hrcb.com、*@*hrcb.com

地 址：上海农商银行集中采购中心（ (略) 黄浦区中山东二路70号D栋7楼）

邮 编：*

上海农商银行集中采购中心

二〇二四年七月