一、招标条件

本招标项目2021年数据中心风险评估，招标人为贵州省农村信用社联合社，该项目已具备招标条件，现对该项目的风险评估服务采购进行邀请招标，特邀请贵单位参加投标。

二、项目概况与招标范围

（一）招标编号：GZNX-2021-09-27

（二）项目名称：2021年数据中心风险评估

（三）资金来源：企业自筹

（四）项目地址：贵州省贵阳市观山湖区长岭北路51号

（五）项目内容：

1.项目目标：

根据《商业银行信息科技风险管理指引》（银监发〔2009〕19号）和《商业银行数据中心监管指引》（银监办发〔2010〕114号）要求，结合银行业金融机构同业的先进实践，借助外部专业咨询服务公司的力量，开展观山湖数据中心和贵安灾备中心风险评估工作，以识别当前数据中心管理中的薄弱环节，以问题为导向，结合同行业优秀实践经验提出专业整改建议，以提升贵州农信数据中心信息科技风险防控能力，完善数据中心风险管理体系。

2.项目范围和内容。

本次评估内容包含但不限于：数据中心管理体系风险评估、数据中心物理环境与基础设施风险评估、数据中心和灾备中心网络架构评估、存储架构评估、网络监控有效性评估、互联网的网络安全防御措施评估、重要信息系统软硬件的运行状况评估、重要信息系统的性能和容量状况评估、重要信息系统的备份及其有效性评估、其他涉及重要信息系统运行状况的评估和业务连续性风险评估等。具体内容以下：

（1）数据中心管理体系风险评估

数据中心管理体系构建、数据中心管理流程、各条线部门管理职责及联动机制，数据中心重大事宜决策等内容。

（2）物理环境与基础设施安全风险评估

数据中心访问控制、数据中心监控管理、数据中心环境管理、数据中心基础设施巡检维护与检测、数据中心安保,数据中心事件及问题管理、数据中心变更管理、资产管理等。

（3）数据中心和灾备中心网络架构评估

生产中心和灾备中心的网络架构，两中心之间联动性的风险评估，数据传输采用技术的风险评估。

（4）存储架构评估

数据的机密性、完整性、可用性评估，数据存储防范措施风险评估包括病毒防护、区域隔离、安全的访问控制、存储架构冗余、身份认证、权限控制、数据加密、加密强度、用户账户控制、磁盘冗余、传输安全、光纤通道安全等内容。

（5）网络监控有效性评估

异常流量监控采取的措施和流程评估、监控内容的完整性评估、出现问题后的处理流程与处置结果有效性评估。

（6）互联网的网络安全防御措施评估

网络带宽冗余、网络负载、抗DDOS（拒绝服务攻击）设备、网络防火墙、架构冗余、抗病毒能力等。

（7）重要信息系统软硬件的运行状况评估

服务器、存储、网络设备、中间件、数据库等软硬件的运行情况评估。

（8）重要信息系统的性能和容量状况评估

一是性能评估包含服务水平、资源使用率、网络数据传输、QOS（网络服务质量）设置、服务优先级、性能预警、重要信息系统压测、重要信息系统历史性能记录、性能要求与现状差异性、性能指标与监测等。二是容量状况评估包含数据中心区域容量规划、网络设备容量规划（cpu（中央处理器）、内存、存储）、主机系统容量规划（cpu（中央处理器）、内存、存储）、应用系统容量规划（cpu（中央处理器）、内存、存储）、数据库系统容量规划（cpu（中央处理器）、内存、存储）、容量监控、监测、预警等。

（9）重要信息系统的备份及其有效性评估

备份技术（远程镜像）、备份方式（全备、增量、差异）、备份场所（物理场地）、备份频率（每天增量、每周全备）、备份介质安全（磁带、磁盘）、备份介质有效期、备份对象（日志、网络设备、系统、应用、数据）、备份数据销毁（制定备份数据销毁的策略，数据达到一定期限，对数据进行销毁处理）、备份数据有效性的验证、数据恢复，抽检策略等。

（10）其他涉及重要信息系统运行状况的评估

一是安全策略管理，包含安全管理制度制定、版本控制、发布管理、修订管理、系统测试与验收安全策略、系统备份与应急相关策略和客户信息安全策略等内容。二是密钥安全管理，包含密钥安全管理包含密码/密钥管理职责、超级用户密码管理、数据库用户密码管理、应用系统用户密码管理、生产管理和维护的用户密码管理、临时用户密码管理、密钥管理、内控系统系统管理员密钥管理、RA（数字证书注册审批）系统管理员密码管理等内容。

（11）业务连续性风险评估

信息科技层面的突发场景、应急预案、应急演练、应急处置、灾难恢复等内容的科学性/合理性、完整性和有效性。

（12）外包管理风险评估

外包服务商向数据中心机房和设备提供服务的风险评估和外包服务商应急管理的风险评估。

（13）其他影响机房正常运营因素的风险评估

对其他能影响机房正常运营的因素进行风险评估。

（六）质量标准：

1.投标人拟派遣的项目实施人员应具有国际信息系统审计师(CISA)、注册信息安全专业人员（CISP）、注册信息系统安全专家(CISSP)等一项或者多项专业资质，熟悉数据中心建设、信息科技风险管理、业务连续性管理和灾难恢复管理等的有关政策、法规和规定；项目经理应有7年以上经验，且至少参与过3家银行数据中心变更投产风险评估项目；项目组成员要求至少具备3年以上风险评估实施经验。

2.投标人拟派遣的项目经理和项目组核心成员需要通过本行的审核，通过审核的项目经理和项目核心成员原则上不允许调整，如有变动需事前征得本行的同意，项目现场实施人员不少于5人。

3.易于沟通，具有较强的风险识别评估能力，能够依据数据中心整体项目计划，按时按质完成风险评估工作，并协助完成相关监管报备工作。

4.根据相关监管要求制定合理、详细、具有可操作性的实施方案，在项目方案中详细描述风险评估范围、内容、方法、工具、步骤和成果，并基于自身的理解和经验进行独立的设计和描述。

5.具有银行数据中心变更投产风险评估项目相关案例。

6.投标人应提供项目实施方案，包含风险评估范围、内容、方法、工具、步骤和成果，项目实施人员简历及主要资质证书等。

（七）计划工期：3个月，以合同签订之日起计算。

三、投标人资格要求

（一）基本要求：

1.投标人具有国内工商行政管理部门颁发的《营业执照》、《中华人民共和国组织机构代码证》、《税务登记证》（可“三证合一”），并符合相关法律法规要求条件。

2.投标人遵守《中华人民共和国招标投标法》及国家相关法律、法规和规章，且在以往经营及投标活动中无违法、违规、违纪、违约行为，没有发生过重大质量、安全事故等记录（提供相关证明材料或《承诺函》）。

3.投标人具备履行合同能力，具备相应服务能力的公司（企业），须提供至少1项银行业金融机构数据中心风险评估成功实施案例，实施案例编制要求，每个案例均必须依次包含以下内容：

（1）银行业金融机构数据中心风险评估成功实施案例。

（2）合同复印件（原件备查）（至少包含合同封面和双方签章页，缺少不予认可）。

（3）合同项下工作内容证明文件（如合同项目范围、工作任务书等，缺少不予认可（原件备查））。

（二）相关要求：

1.投标人与招标人存在利害关系可能影响招标公正性的法人、其他组织或个人，不得参加投标；投标人为同一法人的，其母公司、全资子公司及其控股公司等关联公司不得在本项目中同时投标。

2.投标人提供参与投标的软件产品必须为投标人公司所拥有，并在项目实施过程中由投标人公司相关人员进行项目实施。

3.投标人必须具备针对本项目涉及各项产品的完全自主知识产权。

4.本项目不接受联合体投标。

四、招标文件的获取
（一）招标人仅对收到“投标确认”的投标人发放招标文件，并明确以电子邮件方式向所有符合条件投标人及指定的邮箱发送相关资料。

（二）招标文件不设售价。

（三）只向投标确认函（单位介绍信）载明的电子邮箱发放招标文件。

（四）获取招标文件后应提供如下材料：

1.企业法人营业执照副本、组织机构代码证正本、税务登记证正本（可为“三证合一”）原件及复印件（复印件加盖公章，代理商需同时提供设备生产商加盖印章的复印件资料）；

2.法人代表证明书、法人代表委托书（代理商需同时提供设备生产商加盖印章的资料）；

3.投标近三年业绩证明材料（如：合同能证明部分复印件）；

五、投标文件的递交

（一）投标文件递交的截止时间（投标截止时间，下同）为2021年9月15日9时30分（以招标人通知时间为准），地址为贵州省贵阳市观山湖区长岭北路51号（贵州农信2614室）。

（二）逾期送达或者未送达指定地点的投标文件，招标人不予受理。

六、投标确认

邀请对象以收到本邀请书电子邮件为准。你单位收到本邀请书后，请于2021年9月10日17:00时前，以书面形式确认是否参加投标。在本邀请书规定的时间内未表示是否参加投标或明确表示不参加投标的，不得再参加投标。

七、联系方式

招标人：贵州省农村信用社联合社

地址：贵州省贵阳市观山湖区长岭北路51号（贵州农信2614室）

联系人：代老师0851－********

电子邮件：gzhzyh@qq.com

网址：www.gznxbank.comwww.gzzbw.cn

贵州省农村信用社联合社

2021年9月10日