一、项目名称

晋商银行移动客户端年度安全检测及防护服务项目

二、项目背景

为贯彻落实《中华人民共和国网络安全法》，中国人民银行于2019年12月下发了关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知（银发〔 2019〕237 号），要求加强客户端软件设计、开发、发布、维护等环节的安全管理，构建覆盖全生命周期的管理机制，切实保障客户端软件安全。落实网络安全主体责任，采取有效措施防范应对网络攻击，保障相关系统平稳安全运行。对于资金交易类客户端软件，应从资金安全、信息保护等方面开展外部评估。对于信息采集类客户端软件，应重点从信息保护方面开展外部评估。外部评估应每年至少开展一次，形成报告存档备查。

我行面向互联网移动的客户端在为用户提供便利服务的同时，也面临着客户端代码被反编译、被二次打包、被非法获取的安全风险。希望通过对移动客户端进行安全检测及防护服务，满足监管要求，同时提升我行信息系统的安全性，增强用户的使用信心、提升客户体验，从而提高我行的市场竞争力。

三、项目要求(包括维护工作的范围、内容、期限)

（一）服务期限

服务期限：一年。

（二）服务范围

个人版手机银行、企业版手机银行、直销银行、协同管理平台。

（三）服务内容

1、移动APP隐私合规检测：根据监管部门的要求，对APP应用违法行为、APP违法权限、第三方SDK、APP通信传输、APP数据存储、APP源文件安全、身份认证风险，行为合规检测、权限合规与第三方SDK合规为主要检测内容进行检测，出具检测报告及整改建议。

2、移动安全加固：针对我行全部移动客户端加固，提供不限次数的安全加固服务，加固产品包括但不限于全自动加固系统、源代码安全保护工具（安全编译器）、安全开发及通信组件（SDK）等。

3、安全检测及兼容性测试（加固完成后）：在安全加固后台再次对其应用做检测，并告知其残留安全漏洞及隐患，并出具正式的测试报告。加固后需真机测试要求测试并兼容主流一二三线机型、覆盖主流手机系统版本和定制手机版本，保障加固兼容性达到99%以上，测试完成后提供报告。

4、互联网客户端安全评估：通过人工方式对移动应用程序安全、密码策略、权限管理、数据存储安全、通讯安全、应用安全等方面进行人工安全评估。

5、移动应用资产梳理：为我行提供全面掌握应用在应用市场的安全合规状况监测手段，包含app安全合规情况、渠道发布情况、自身安全保护策略与合规条款匹配差异分析、安全合规条款梳理差异分析。

6、应急响应及重要时期保障（按需）：为我行突发事件、安全事件提供现场与非现场的应急响应支持；同时涉及到客户端的监管检查配合、重要客户端投产、变更应急专项研究、重大问题讨论提供技术支持。

四、潜在供应商资格要求

（一）潜在供应商资质和能力要求

1、具备独立法人资格，具有完成项目的技术力量，财务能力和良好的信誉；注册资本金1000万元以上；

2、具备ISO9001管理体系认证；

3、能够按照我行续保的时限要求正常下单；

4、2018年至今（以合同签署时间为准），公司或实施团队所承接的1个及以上客户端安全检测及防护服务案例清单、简介、合同等证明材料；

5、与其它报名的供应商不存在任何关联关系。

（二）其它要求

1、服从我行项目开发、人员管理、财务管理的相关规定；

2、响应我行签订项目管理协议的要求，提供项目服务的范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件，包括但不限于保密协议、服务承诺书、工作计划任务书；

3、合规与内控要求，对法律法规及我行内部的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施，应当配合内、外部审计机构检查及配合银行业监管机构检查的责任。我行保留对潜在供应商进行审计与检查的权利；

4、项目服务的业务连续性要求。在发生银监会规定的信息科技突发事件，或发生可能引发系统性、区域性银行信息科技风险类事件时，潜在服务商应及时向我行报告，包括事件的影响以及处置和纠正措施；

5、政策或环境变化因素等在内的合同变更或终止的触发条件，潜在供应商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排，包括信息、资料和设施的交接处置等过渡期间相关服务的安排。

五、潜在供应商需提交的材料及方式、时间

（一）需提交材料

1、营业执照、税务（国税、地税）登记证、组织机构代码证副本或统一社会信用代码证；

2、供应商提供ISO9001管理体系认证证书扫描件。

3、企业及服务团队简介；

5、2018年至今(以合同签署时间为准)，公司或实施团队所承接的客户端安全检测及防护服务案例清单、简介、合同等证明材料；

6、提供公司联系人、电话、电子邮箱、地址等。

注：上述资料均需提供加盖公章的扫描件。