一、项目名称

个人金融信息保护能力认证项目

二、项目背景

个人金融信息是金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化，是金融业机构在提供金融产品和服务过程中积累的重要基础数据，也是个人隐私的重要内容。《中华人民共和国数据安全法》与《中华人民共和国个人信息保护法》的出台，为进一步加强个人信息保护法制保障、维护网络空间良好生态、促进数字经济健康发展奠定了坚实基础。为最大程度保障个人金融信息主体的合法权益，维护金融市场稳定，加强个人金融信息安全管理，人民银行于2020年2月13日发布了JR/T 0171-2020《个人金融信息保护技术规范》，并推广实施。

为进一步提高山西省金融标准化工作水平，发挥金融标准化工作在深化金融改革、加强金融监管、支持实体经济、防范金融风险等方面的重要作用，2021年下半年山西省启动金融标准化工作。为推动JR/T 0171-2020《个人金融信息保护技术规范》标准的落地实施，经过人民银行太原中支的综合评估筛选，选定本行作为试点单位，开展个人金融信息保护能力认证。本行积极参与个人金融信息保护能力认证工作，助力标准的贯彻执行，防范化解金融风险，提高金融产品服务质量，保护消费者合法权益，促进金融科技稳固发展。

三、项目要求

为提高本行个人金融信息保护能力，及时发现短板，强化内部管理及责任意识，切实保护金融消费者权益，本行作为试点单位，积极参与个人金融信息保护能力认证工作。

四、实施内容

根据《JR/T 0171-2020 个人金融信息保护技术规范》、《JR/T 0197-2020 金融数据安全 数据安全分级指南》、《GB/T 35273-2020 信息安全技术 个人信息安全规范》、适用的法律法规及其他要求对我行开展个人金融信息保护标准符合性认证评估工作。

完成以下工作内容：

1.评价我行指定系统的个人金融信息保护体系标准符合性；

2.评价我行个人金融信息保护相关制度的标准符合性；

3.从安全技术要求方面检查系统的个人金融信息保护要求，主要包括生命周期技术要求和安全运行技术要求，覆盖收集、传输、存储、使用、删除、销毁环节；

4.从安全管理要求方面检查系统的个人金融信息保护要求，主要包括访问控制、安全监测和风险评估等，从个人金融信息访问控制、监控与审计、安全检查与评估等方面开展认证评估工作；

5.对于评估过程中发现的不符合项，协助我行进行整改，确保个人金融信息保护能力认证评估工作的完成。

五、潜在供应商资格要求

（一）潜在供应商资质和能力要求，包括但不限于以下内容：

1、具备独立法人资格，具有完成项目所必须的设备和专业技术能力，具有良好的商业信誉和财务能力，具有个人金融信息保护能力认证资质和经验。

2、2019年至今（以合同签署时间为准），公司有3个及以上同类项目的案例；

3、与其它报名的供应商不存在任何关联关系。

（二）潜在供应商在合同、安全和保密方面的责任，包括但不限于以下内容：

1、签订合同后，不得再与我行签订背离合同实质性内容的其他协议或声明。未经我行事先给予书面同意，不得将本项目服务转包、变相转包和分包，不得将合同全部及任何权利、义务向第三方转让。

2、潜在供应商要承诺保证技术服务人员的稳定，保证在服务期间不随意更换工程师，如遇特殊情况不得不更换工程师时，需提供响应性承诺。

3、未经我行书面同意的情况下，潜在供应商不得将本项目、与项目中相关的任何内容、资料（包括书面和磁介质资料）透露给任何人。否则，潜在供应商必须承担因此给我行造成的一切经济损失，我行保留追究其法律责任的权利。潜在供应商提供的技术服务人员入场后需根据我行要求，签订相应的保密协议。

4、全部及/或任何部分的相关知识产权，包括相关权益，均归我行所有。潜在供应商有不可争议的义务确保我行依据本次项目外包所获得的知识产权不存在任何瑕疵并且可以不受限制地行使相关权利，包括各项延伸权利。若因此发生任何争议应当由潜在供应商独自承担全部及/或任何责任，包括但不限于应当承担其自身及为排除任何争议及/或瑕疵所应当或所需要支付的一切相关及/或由此引起的费用。

5、潜在供应商应当保证其有关参与本次项目外包相关的活动包括履行本次项目外包的任何行为，以及本次项目外包结束之后的任何涉及到本次项目外包的行为，均不会侵犯任何第三方的知识产权。若因此发生任何争议、侵权，均应当由潜在供应商独自承担全部及/或任何责任，包括但不限于应当承担其自身为排除任何争议及/或赔偿侵权所应当或所需要支付的一切相关及/或由此引起的费用。

（三）其它要求，包括但不限于以下内容：

1、服从我行项目开发、人员管理、财务管理的相关规定；

2、响应我行签订项目管理协议的要求，提供项目服务的范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件，包括但不限于保密协议、服务承诺书、工作计划任务书；

3、合规与内控要求，对法律法规及我行内部的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施，应当配合内、外部审计机构检查及配合银行业监管机构检查的责任。我行保留对潜在供应商进行审计与检查的权利；

4、项目服务的业务连续性要求。在发生银监会规定的信息科技突发事件，或发生可能引发系统性、区域性银行信息科技风险类事件时，潜在服务商应及时向我行报告，包括事件的影响以及处置和纠正措施；

5、政策或环境变化因素等在内的合同变更或终止的触发条件，潜在供应商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排，包括信息、资料和设施的交接处置等过渡期间相关服务的安排。

六、潜在供应商需提交的材料及方式、时间

1、需提交材料：

（一）营业执照、税务（国税、地税）登记证、组织机构代码证副本或统一社会信用代码证；

（二）企业及服务团队简介；

（三）2019年至今(以合同签署时间为准)，公司或实施团队所承接3个相关案例清单、简介、合同等证明材料；

（四）提供公司联系人、电话、电子邮箱、地址等。

注：上述资料均需提供加盖公章的扫描件。

2、提交方式：电子邮件wangqing@jshbank.com，邮件名称：个人金融信息保护能力认证项目+供应商名称；

注意：

1）请按下表提供相关信息，并形成:附件1、项目名称+供应商全称.DOC格式文件，作为邮件附件与其他资料一并提供；

2）其他提交材料要求将相关资料文件统一为一个文件发送，文件名为：项目名称+公司全称.PDF格式文件，邮件附件总容量不得超过10M；

3）邮件必须用公司代表的企业邮箱发送；

4）不合格的提交资料，将作为初审不合格公司，不予参与后续项目交流及供应商推荐。

3、提交时间：2021年10月25日—2021年10月29日。

4、我行将根据潜在供应商报名情况安排后续商务、技术交流时间。

七、联系方式

商务联系人：王青

联系电话：137*****403

邮箱地址：wangqing@jshbank.com

技术联系人：冯毅

联系电话：186*****549

邮箱：fengyi1@jshbank.com