北京农商银行2025年应用动态安全测试服务项目供应商征集公告
发布时间：2024-12-16 14:52:49
北京农商银行
类型：征集公告

北京农商银行2025年应用动态安全测试服务项目供应商征集公告

一、项目名称：2025年应用动态安全测试服务项目
二、采购内容简介：

（一）服务内容

本次应用动态安全测试工作需对我行重要信息系统以及互联网类信息系统，在开展全量安全测试基础上，继续针对每月的增量开发内容开展迭代测试，保障我行系统上线前达到最大的安全防护水平。具体如下：

1.测试内容

在测试服务期内，根据我行信息系统项目投产周期及时间计划，针对我行月版项目及紧急项目，于项目投产前，按要求完成关联系统的应用动态安全测试。

应用动态安全测试需通过自动化漏洞扫描工具、人工检测分析、渗透测试等安全测试手段对被测应用系统的客户端安全性、认证机制安全性、业务数据安全性、业务流程安全性等进行检测，从程序、数据、通信、业务、系统环境等多个方面进行深度安全评估，并给出安全测评报告及加固整改建议。

2.测试系统范围

应用动态安全测试需覆盖我行重要信息系统以及互联网类信息系统，共计82个。如项目实施过程中，我行重要信息系统、互联网类信息系统范围发生变更（新增或减少），需根据最新系统范围清单开展测试。

3.测试环境：本次应用动态安全测试需在我行测试环境下开展实施；

4.时效要求：

（1）需根据我行信息系统月版和紧急项目投产周期及时间计划，于项目投产前按要求对关联系统的增量版本完成应用动态安全测试内容；

（2）在本动态安全测试服务项目实施周期内，需针对测试系统范围中的各重要信息系统和互联网类信息系统，至少开展一次全量版本的应用动态安全测试；

5.测试轮次：需根据我行信息系统月版和紧急项目投产周期及时间计划，至少开展两轮应用动态安全测试。第一轮测试发现问题并给出整改意见，第二轮测试验证整改问题并评估最终测试结果。

（二）人员要求：

服务商驻场测试人员需不少于2人，若因我行项目临时增加，服务商能够按要求补充临时人员支持，以确保我行项目安全测试工作有序开展。各类人员要求如下：

①项目经理：负责项目整体的管控，包括组织项目的调研、实施、检验、鉴定、进度控制和质量控制；为保证项目正常实施而进行组织协调、资源调配、异常情况的处置等与项目相关的工作落实。能够指导其他安全测试工程师完成各阶段的工作以及技术咨询。要求技术过硬，熟悉研发及架构管理，5年以上信息安全领域开发测试经验，具有至少1年以上银行同类项目工作经验。具有CISSP等信息安全相关资质认证。

②渗透测试及漏洞分析工程师：通过自动化漏洞扫描工具、人工检测分析等方式进行渗透测试和漏洞挖掘，全面发现被测系统的安全漏洞问题并提供修复建议。要求熟练掌握常用安全测试工具以及各类安全漏洞测试方法，熟悉常见安全漏洞原理、危害以及防御方案，具备安全漏洞问题的分析能力。具备至少1年以上安全测试工作经验。具有CISSP等信息安全相关资质认证优先。

（三）服务交付文档：《应用动态安全测试案例》《测试执行记录》《问题缺陷清单》《测试报告》。

（四）服务期限：自合同签订之日起12个月。

（五）验收要求：

1.项目验收由我行组织、乙方协助，对应用动态安全测试服务过程及结果进行验收。

2.乙方按我行管理要求，在项目实施过程中及时提交相关项目文档，作为对测试服务过程验收的依据。提供的文档需符合我行TMMi3标准要求。

3.乙方提交的测试结果记录，各类问题需给出明确的解释说明或整改建议。测试报告中需对问题数量、严重级别、问题类型、整改情况进行说明，并能依据我行准出标准给出明确的测试结论。测试结果记录和测试报告作为对测试结果验收的依据。

（六）付款方式：合同签订后支付30%，完成服务期内全部工作并完成项目初验支付60%，项目服务期满后一年完成项目终验支付10%。

（七）履约保证金：无。

三、意向供应商资质要求及提交材料要求

（一）供应商资质要求

1.具有独立承担民事责任的能力。

2.具有良好的商业信誉和健全的财务会计制度。

3.具有履行合同所必需的设备和专业技术能力。

4.有依法缴纳税收和社会保障资金的良好记录。

5.最近三年内，在经营活动中没有重大违法记录。

6.法律、行政法规规定的其他条件。

7.具有银行同业同类型项目实施案例经验。

　　（二）提交材料内容

1.供应商情况表需提供盖章扫描件及Word可编辑版。

2.在“国家企业信用信息公示系统”、“信用中国”系统提供查询结果(截屏盖章），包括不限于经营异常、行政处罚、变更记录、重大税收违法失信情况等。

3.提交加盖单位公章的载有统一社会信用代码的营业执照，材料需为PDF格式文件。

（三）提交材料要求
　　1.邮件主题：项目名称+公司名称；邮件主题、正文、附件中不能含敏感字。
　　2.邮件正文中要写明公司的联系人姓名、手机号、邮箱。
　　3.须以传统方式黏贴附件，不能发云附件；发送的附件（压缩文件、文档等）不得设置密码或编辑权限；单个邮件大小控制在50MB以内（如果超限，可分几个邮件发）。
　　4.报名资料未按要求提供或提供不全的情况，采购人将拒绝其报名。

5.采购人视收到的上述材料不涉及商业秘密。

6.采购人可能根据项目情况取消采购，供应商应予接受。

7.不接受联合体参与报名，不得以任何形式转包或分包。

8.前来报名的供应商应保证所提供材料的真实合法性，并由此承担法律风险和赔偿责任。采购人保留对相关材料进一步核实的权利，如发现提供虚假材料的供应商，采购人将取消其本次及以后的报名资格。

四、征集期

自2024年12月16日起至2024年12月20日16时止。

请在规定时间内参与报名，截至报名日期后我行将不再接受任何形式的申请材料。
联系人及电话：韩凯荣 138*****791
　　邮箱地址（专用）：jhcw_gyszj@bjrcb.com

北京农村商业银行股份有限公司

2024年12月16日