贵州银行2020年度生产办公系统安全测试项目供应商征集公告

内容
 
发送至邮箱

贵州银行2020年度生产办公系统安全测试项目供应商征集公告



(略)

截止日期: * 日 * : * 止

公告说明: (略) * 年度生产办公系统安全测试项目供应商征集

采购需求描述:

* 、项目名称

(略) * 年度生产办公系统安全测试项目

* 、项目背景

为加强生产办公系统安全管理力度, (略) 生产办公系统存在的漏洞及安全隐患,从而达到及时发现安全漏洞并做出整改的目标。根据监管要求,需定期对生产 (略) 渗透测试、安全测评等工作,故拟启动本次安全测试项目。

* 、潜在供应商资格要求

1.公司注册资金 * 万元以上,提供营业执照等证明文件;

2.具备独立法人资格,至少需具备ISO * 1信息安全管理体系认证、 (略) 应急服务支撑单位证书、国家信息安全漏洞库(CNNVD)技术支撑单位证书、信息系统安全集成服务资质或中国信 (略) 颁发的“信息安全风险评估服务资质”证书中的任意2种,并提供相关资质文件;

3.供应商需提供近3年内至 (略) 商行及 (略) 业金融机构的渗透测试或安全测评等相关案例, (略) 业案例无效,需提供合同首页、标的物页、盖章页复印件,可隐去公司名称和价格;

(略)

截止日期: * 日 * : * 止

公告说明: (略) * 年度生产办公系统安全测试项目供应商征集

采购需求描述:

* 、项目名称

(略) * 年度生产办公系统安全测试项目

* 、项目背景

为加强生产办公系统安全管理力度, (略) 生产办公系统存在的漏洞及安全隐患,从而达到及时发现安全漏洞并做出整改的目标。根据监管要求,需定期对生产 (略) 渗透测试、安全测评等工作,故拟启动本次安全测试项目。

* 、潜在供应商资格要求

1.公司注册资金 * 万元以上,提供营业执照等证明文件;

2.具备独立法人资格,至少需具备ISO * 1信息安全管理体系认证、 (略) 应急服务支撑单位证书、国家信息安全漏洞库(CNNVD)技术支撑单位证书、信息系统安全集成服务资质或中国信 (略) 颁发的“信息安全风险评估服务资质”证书中的任意2种,并提供相关资质文件;

3.供应商需提供近3年内至 (略) 商行及 (略) 业金融机构的渗透测试或安全测评等相关案例, (略) 业案例无效,需提供合同首页、标的物页、盖章页复印件,可隐去公司名称和价格;

4.供应商需根据相关标准制定渗透测试或安全测评技术方案或操作手册:技术方案完整、详细、科学、合理,具有较强的可操作性,需提供功能方案的盖章文档;

5.提供“信用中国”网站查询结果(近 * 年)的打印件或自拟的信用情况说明;

6.提供公司近两年财务报表(年报);

7.提供公司联系人、电话、电子邮箱、地址等;

8.最近 * 年内,各项经营活动没有重大违法记录,没 (略) 会责任的不良信息;

9.与其它报名的供应商不存在任何关联关系。

* 、项目要求( * )项目要求

1.在实施渗透测试或安全测评工作前, (略) 对服务相关的 (略) 详细沟通,制定服务方案。渗透测试方案内容主要包括:确认系统接口、渗透测试环境、测试数据,测试方法, (略) 的主要渗透风险点(如对于登 (略) 暴力破解、SQL注入、重放、越权、敏感信息泄露,加密算法不合理 (略) 渗透),系统初测、复测总体时间预估等内容。安全测评方案内容主要包括:确认的服务范围、最终对象、实施方式、实施要求的时间等内容。

2.在服务实施过程中,供应商按照既定的服务方案开展渗透测试或安全测评工作,输出结果编制成渗透测试初测报告或安全测评初评报告等文档。

3.初测报告或初评报告提交后, (略) 详细讲解, (略) 对渗透测试或安全测评中发现的漏 (略) 整改或加固,等待漏洞或问题完成整改或加固后, (略) 复测或复评。复测或复评结束后提交最终的复测、复评报告,报告需给出漏洞或问题已整改或加固的详细说明或截图。

4.针对已渗透测试发现的漏洞,在测试环境复测通过后,还需在生产环境再开展复测,直至测试环境及生产环境漏洞均修复为止。

5.服务开展形式分 (略) 开展,具体采用 (略) 需要结合项目紧急度等实际情况, (略) 和供应商共同协商决定。

( * )人员要求

1.须为本次安全测试项目建立渗透工程师、安全测评工程师的人力资源 (略) 选用,名单内工程师不得少于8人,且名单内 (略) 具有全日 (略) 校大学本科及以上学历,3 (略) 业渗透测试或安全测评相关的工作经验。

2.渗透测试及安全测评人力资源名单库中的人员要求背景干净,无违法犯罪记录,没有黑色产业工作经历。

3.本次项目原则上不得在服务期内更换人力资源名单库中的人员,若需更换人员,供应商应提前 * (略) , (略) 项目经理同意后方可更换, (略) 要求的人员资格条件。

( * )合同签订模式要求

1.本次采购拟采用签订框架合同的方式,入围两家供应商。合同中明确每家供应商的人月单价和人员质量要求。有渗透测试或安全测评工作需求时,行方向入围的两家供应商发出需求,供应商反馈工作量和拟派入项目的人力资源,行方按照人力资源投入最优、工作量评估最优等原则选择其中 * 家供应商派发任务并下发订单,订单实施完成并通过验收后,由供应商发起 (略) 费用结算。

2.供应 (略) 专业服务的工作人 (略) 工作要求, (略) 人员要求需达到的条件。供应商保证技术服务人员资质的真实性,我行有权对供 (略) 服务的工作 (略) 评估,评估方式包括但不限于笔试、面试,如供应商工作人员资 (略) 要求,我行有权要求更换,供应 (略) 要求在 * 个工作日内予以更换,由此造成的成本和费用(包括但不限于项目延误损失、供应商人员成本) (略) 承担。

( * )安全要求

1. (略) 用安全检测工具、方法应确保安全,供应商应确保渗透测试或安全 (略) (略) (略) 造成显著影响。

2.供应商应采取适当措施,避免因使用不当工具而将病毒和 (略) 的网络或系统。

3.供应商应合理制定测试策略,合理选择测试时间,以 (略) 络和业务系统主机的影响。

4.如在渗透测试或安全测评过程中被测试系统发生异常,供应商应 (略) 评估或测试, (略) 的相关人员分析情况,确定原因并 (略) 。同时采取必要的预防措施,调整评估或测试策略, (略) 同意后 (略) 评估或测试。

5.对于可能存在风险的测试或评估步骤,供应商 (略) 认 (略) ,以免对生产系统产生影响。如供应商未经 (略) 存在风险的操作, (略) 生产系统受到影响,则供应商应承担相应的责任。

6.供应商应保证在开展渗透测试或安全测评时,系统的安全漏洞以及已公布的CVE和CNNVD漏洞可被充分发现。因供应商测试评估不到位导致测试时的业务系统版本被找出安全漏洞并符合下述安全事件的,将根据对应的影响级别按照 (略) 理方式要求供应商承担违约责任并保留进 * 步追究的权利。安全事件按等级标准可分为:

影响级别

系统服务能力

监管机构措施

直接经济损失

* 级

(略) 渠道业务系统 * %以上客户受到影响

被监管机构通报存在较低威胁级别的业务安全缺陷

不超过人民币 * 十万元

* 级

(略) 渠道业务系统 * %以上客户受到影响

被监管机构通报存在较为严重的应用安全缺陷

超过人民币 * 十万元,不超过人民币 * 十万元

* 级

(略) 渠道业务系统 * %以上用户受到影响

被监管机构通报存在特别严重的应用安全缺陷

超过人民币 * 十万元

7.对罚则如下表描述:

序号

影响级别

罚则描述

1

* 级

在服务期限内,出现1次,我行终止服务并有权按照已发生订单总金额的 * %要求供应商支付违约金。

2

* 级

在服务期限内,每出现1次,我行有权按照已发生订单总金额的 * %要求供应商支付违约金;累计不能超出3次,超出,我行终止服务,并有权按照已发生订单总金额的 * %要求供应商支付违约金。

3

* 级

在服务期限内,每出现 * 次,我行有权按照订单最终总金额的 * %要求供应商支付违约金;累计不能超出4次,超出,我行终止服务,并有权按照已发生订单总金额的 * %要求供应商支付违约金。

* 、潜在供应商需提交的材料

要求潜在供应商针对资格要求和项目要求逐条提供相关证明材料。我行会组织人员严格按照资格审查标准对报 (略) 审查。(资格审查标准详见https:/ 点击查看>>

注:资料每页均需提供加盖公章的扫描件,并形成 * 个PDF或WORD格式文件(形成多个文件的不符合要求)。供应商须对资料的清晰程度负责,若因资料模糊不清导致的此次征集审查不通过,自行承担相关责任。上述资料中禁止出现任何附加条件的声明、说明等,若出现上述情 (略) 理。

* 、提交方式及时间1.报名截止时间: * 日 * : *

2.报名方式:供应商请于上述规定时间内 (略) 集采平台(https:/ 点击查看>> )进行注册,注册过程中,请选择注册成为供应商,并且申请类型选择“ (略) ””(注册步骤详见https:/ 点击查看>> ),审核通过后,在线上传报名材料。如已注册,可直接报名, (略) 查看审核信息。(注:供应商须对报名信息和资料的真实性负责,如提供虚假资料,并由此承担法律风险和赔偿责任。)

* 、联系方式

联系人:邹迪( (略) )

电话: 点击查看>>

邮箱: * gzc 点击查看>>

平台技术支持电话: 点击查看>>

(略) :中国金 (略) 、 (略) 省招标投标公共服务平台、 (略) (略)

(略)

* 日



(略)

截止日期: * 日 * : * 止

公告说明: (略) * 年度生产办公系统安全测试项目供应商征集

采购需求描述:

* 、项目名称

(略) * 年度生产办公系统安全测试项目

* 、项目背景

为加强生产办公系统安全管理力度, (略) 生产办公系统存在的漏洞及安全隐患,从而达到及时发现安全漏洞并做出整改的目标。根据监管要求,需定期对生产 (略) 渗透测试、安全测评等工作,故拟启动本次安全测试项目。

* 、潜在供应商资格要求

1.公司注册资金 * 万元以上,提供营业执照等证明文件;

2.具备独立法人资格,至少需具备ISO * 1信息安全管理体系认证、 (略) 应急服务支撑单位证书、国家信息安全漏洞库(CNNVD)技术支撑单位证书、信息系统安全集成服务资质或中国信 (略) 颁发的“信息安全风险评估服务资质”证书中的任意2种,并提供相关资质文件;

3.供应商需提供近3年内至 (略) 商行及 (略) 业金融机构的渗透测试或安全测评等相关案例, (略) 业案例无效,需提供合同首页、标的物页、盖章页复印件,可隐去公司名称和价格;

(略)

截止日期: * 日 * : * 止

公告说明: (略) * 年度生产办公系统安全测试项目供应商征集

采购需求描述:

* 、项目名称

(略) * 年度生产办公系统安全测试项目

* 、项目背景

为加强生产办公系统安全管理力度, (略) 生产办公系统存在的漏洞及安全隐患,从而达到及时发现安全漏洞并做出整改的目标。根据监管要求,需定期对生产 (略) 渗透测试、安全测评等工作,故拟启动本次安全测试项目。

* 、潜在供应商资格要求

1.公司注册资金 * 万元以上,提供营业执照等证明文件;

2.具备独立法人资格,至少需具备ISO * 1信息安全管理体系认证、 (略) 应急服务支撑单位证书、国家信息安全漏洞库(CNNVD)技术支撑单位证书、信息系统安全集成服务资质或中国信 (略) 颁发的“信息安全风险评估服务资质”证书中的任意2种,并提供相关资质文件;

3.供应商需提供近3年内至 (略) 商行及 (略) 业金融机构的渗透测试或安全测评等相关案例, (略) 业案例无效,需提供合同首页、标的物页、盖章页复印件,可隐去公司名称和价格;

4.供应商需根据相关标准制定渗透测试或安全测评技术方案或操作手册:技术方案完整、详细、科学、合理,具有较强的可操作性,需提供功能方案的盖章文档;

5.提供“信用中国”网站查询结果(近 * 年)的打印件或自拟的信用情况说明;

6.提供公司近两年财务报表(年报);

7.提供公司联系人、电话、电子邮箱、地址等;

8.最近 * 年内,各项经营活动没有重大违法记录,没 (略) 会责任的不良信息;

9.与其它报名的供应商不存在任何关联关系。

* 、项目要求( * )项目要求

1.在实施渗透测试或安全测评工作前, (略) 对服务相关的 (略) 详细沟通,制定服务方案。渗透测试方案内容主要包括:确认系统接口、渗透测试环境、测试数据,测试方法, (略) 的主要渗透风险点(如对于登 (略) 暴力破解、SQL注入、重放、越权、敏感信息泄露,加密算法不合理 (略) 渗透),系统初测、复测总体时间预估等内容。安全测评方案内容主要包括:确认的服务范围、最终对象、实施方式、实施要求的时间等内容。

2.在服务实施过程中,供应商按照既定的服务方案开展渗透测试或安全测评工作,输出结果编制成渗透测试初测报告或安全测评初评报告等文档。

3.初测报告或初评报告提交后, (略) 详细讲解, (略) 对渗透测试或安全测评中发现的漏 (略) 整改或加固,等待漏洞或问题完成整改或加固后, (略) 复测或复评。复测或复评结束后提交最终的复测、复评报告,报告需给出漏洞或问题已整改或加固的详细说明或截图。

4.针对已渗透测试发现的漏洞,在测试环境复测通过后,还需在生产环境再开展复测,直至测试环境及生产环境漏洞均修复为止。

5.服务开展形式分 (略) 开展,具体采用 (略) 需要结合项目紧急度等实际情况, (略) 和供应商共同协商决定。

( * )人员要求

1.须为本次安全测试项目建立渗透工程师、安全测评工程师的人力资源 (略) 选用,名单内工程师不得少于8人,且名单内 (略) 具有全日 (略) 校大学本科及以上学历,3 (略) 业渗透测试或安全测评相关的工作经验。

2.渗透测试及安全测评人力资源名单库中的人员要求背景干净,无违法犯罪记录,没有黑色产业工作经历。

3.本次项目原则上不得在服务期内更换人力资源名单库中的人员,若需更换人员,供应商应提前 * (略) , (略) 项目经理同意后方可更换, (略) 要求的人员资格条件。

( * )合同签订模式要求

1.本次采购拟采用签订框架合同的方式,入围两家供应商。合同中明确每家供应商的人月单价和人员质量要求。有渗透测试或安全测评工作需求时,行方向入围的两家供应商发出需求,供应商反馈工作量和拟派入项目的人力资源,行方按照人力资源投入最优、工作量评估最优等原则选择其中 * 家供应商派发任务并下发订单,订单实施完成并通过验收后,由供应商发起 (略) 费用结算。

2.供应 (略) 专业服务的工作人 (略) 工作要求, (略) 人员要求需达到的条件。供应商保证技术服务人员资质的真实性,我行有权对供 (略) 服务的工作 (略) 评估,评估方式包括但不限于笔试、面试,如供应商工作人员资 (略) 要求,我行有权要求更换,供应 (略) 要求在 * 个工作日内予以更换,由此造成的成本和费用(包括但不限于项目延误损失、供应商人员成本) (略) 承担。

( * )安全要求

1. (略) 用安全检测工具、方法应确保安全,供应商应确保渗透测试或安全 (略) (略) (略) 造成显著影响。

2.供应商应采取适当措施,避免因使用不当工具而将病毒和 (略) 的网络或系统。

3.供应商应合理制定测试策略,合理选择测试时间,以 (略) 络和业务系统主机的影响。

4.如在渗透测试或安全测评过程中被测试系统发生异常,供应商应 (略) 评估或测试, (略) 的相关人员分析情况,确定原因并 (略) 。同时采取必要的预防措施,调整评估或测试策略, (略) 同意后 (略) 评估或测试。

5.对于可能存在风险的测试或评估步骤,供应商 (略) 认 (略) ,以免对生产系统产生影响。如供应商未经 (略) 存在风险的操作, (略) 生产系统受到影响,则供应商应承担相应的责任。

6.供应商应保证在开展渗透测试或安全测评时,系统的安全漏洞以及已公布的CVE和CNNVD漏洞可被充分发现。因供应商测试评估不到位导致测试时的业务系统版本被找出安全漏洞并符合下述安全事件的,将根据对应的影响级别按照 (略) 理方式要求供应商承担违约责任并保留进 * 步追究的权利。安全事件按等级标准可分为:

影响级别

系统服务能力

监管机构措施

直接经济损失

* 级

(略) 渠道业务系统 * %以上客户受到影响

被监管机构通报存在较低威胁级别的业务安全缺陷

不超过人民币 * 十万元

* 级

(略) 渠道业务系统 * %以上客户受到影响

被监管机构通报存在较为严重的应用安全缺陷

超过人民币 * 十万元,不超过人民币 * 十万元

* 级

(略) 渠道业务系统 * %以上用户受到影响

被监管机构通报存在特别严重的应用安全缺陷

超过人民币 * 十万元

7.对罚则如下表描述:

序号

影响级别

罚则描述

1

* 级

在服务期限内,出现1次,我行终止服务并有权按照已发生订单总金额的 * %要求供应商支付违约金。

2

* 级

在服务期限内,每出现1次,我行有权按照已发生订单总金额的 * %要求供应商支付违约金;累计不能超出3次,超出,我行终止服务,并有权按照已发生订单总金额的 * %要求供应商支付违约金。

3

* 级

在服务期限内,每出现 * 次,我行有权按照订单最终总金额的 * %要求供应商支付违约金;累计不能超出4次,超出,我行终止服务,并有权按照已发生订单总金额的 * %要求供应商支付违约金。

* 、潜在供应商需提交的材料

要求潜在供应商针对资格要求和项目要求逐条提供相关证明材料。我行会组织人员严格按照资格审查标准对报 (略) 审查。(资格审查标准详见https:/ 点击查看>>

注:资料每页均需提供加盖公章的扫描件,并形成 * 个PDF或WORD格式文件(形成多个文件的不符合要求)。供应商须对资料的清晰程度负责,若因资料模糊不清导致的此次征集审查不通过,自行承担相关责任。上述资料中禁止出现任何附加条件的声明、说明等,若出现上述情 (略) 理。

* 、提交方式及时间1.报名截止时间: * 日 * : *

2.报名方式:供应商请于上述规定时间内 (略) 集采平台(https:/ 点击查看>> )进行注册,注册过程中,请选择注册成为供应商,并且申请类型选择“ (略) ””(注册步骤详见https:/ 点击查看>> ),审核通过后,在线上传报名材料。如已注册,可直接报名, (略) 查看审核信息。(注:供应商须对报名信息和资料的真实性负责,如提供虚假资料,并由此承担法律风险和赔偿责任。)

* 、联系方式

联系人:邹迪( (略) )

电话: 点击查看>>

邮箱: * gzc 点击查看>>

平台技术支持电话: 点击查看>>

(略) :中国金 (略) 、 (略) 省招标投标公共服务平台、 (略) (略)

(略)

* 日

    
查看详情》
相关推荐
 

招投标大数据

查看详情

收藏

首页

搜索

最近搜索

热门搜索