2024年上海农商银行2024年度互联网全量系统渗透测试及安全维护服务(年度渗透1、2)项目供应商第二轮征集公告

2024年上海农商银行2024年度互联网全量系统渗透测试及安全维护服务(年度渗透1、2)项目供应商第二轮征集公告


为服务我行2024年度互联网全量系统渗透测试及安全维护服务（年度渗透1、2）项目，现向全社会公开征服务供应商，请有意者并具备下列要求的供应商前来我行报名。

一、采购内容及要求

满足2024年7月1日至2025年6月30日的互联网全量系统渗透测试及安全维护服务工作。本项目分为2个包件，报名时可以选择一个或多个包件报名，具体内容如下：

（一）采购内容

包件一：年度渗透1

包含不少于以下内容：


序号

名称

规格

数量

备注


1

互联网相关系统渗透测试服务

次

1

1、1次渗透测试互联网系统全覆盖，完成现场内外网渗透测试以及渗透所发现漏洞的修补与验证支持、总结分析与报告整理工作

2、现场渗透性测试人员投入总计不得少于3人，至少3人近三年内具有3家以上国有银行或全国性股份制银行渗透测试项目经验，且至少2人具备三年以上漏洞研究经验和独立漏洞发掘能力（需提供服务人员名单及简历）


2

新上线互联网系统渗透测试服务

人/天

50

1、提供50个人天的新业务功能上线后的生产环境现场渗透测试服务及发现漏洞问题的修补支持与验证服务。

2、其他一切要求同互联网全量系统渗透测试服务


3

安全基线检查服务

人/天

64

1、提供64个人天的安全配置基线检查和整改支持服务。

2、其他一切要求同互联网全量系统渗透测试服务


包件二：年度渗透2

包含不少于以下内容：


序号

名称

规格

数量

备注


1

互联网相关系统渗透测试服务

次

1

1、1次渗透测试互联网系统全覆盖，完成现场内外网渗透测试以及渗透所发现漏洞的修补与验证支持、总结分析与报告整理工作

2、现场渗透性测试人员投入总计不得少于3人，至少3人近三年内具有3家以上国有银行或全国性股份制银行渗透测试项目经验，且至少2人具备三年以上漏洞研究经验和独立漏洞发掘能力（需提供服务人员名单及简历）


2

新上线互联网系统渗透测试服务

人/天

50

1、提供50个人天的新业务功能上线后的生产环境现场渗透测试服务及发现漏洞问题的修补支持与验证服务。

2、其他一切要求同互联网全量系统渗透测试服务




（二）技术要求

包件一：年度渗透1

1、服务要求

（1）供应商承诺无论出现任何情况，都将优先配置资源为采购人提供服务，包括但不限于渗透测试、安全人天服务以及新业务功能上线后的生产环境渗透测试人天服务。

（2）互联网全量系统渗透测试服务要求按银保监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、人民银行颁布的《网上银行信息安全通用规范》、《金融网络安全相关测试标准》以及《金融行业网络安全等级保护测评指南》、《金融网络安全web应用服务安全通用规范》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全检测规范》等要求对采购人全量互联网系统提供现场内、外部渗透测试。

（3）对安全人天服务（新上线互联网系统渗透测试、安全基线检查），一是要求根据监管要求、采购人安全需求以及行业内安全配置基线更新情况，为采购人提供安全配置基线咨询和修订工作；二是提供724小时应急事件响应并提供处置建议。

（4）应具备中国网络安全审查技术与认证中心信息安全服务资质认证证书（信息安全风险评估）一级或以上；应具备国家信息安全测评信息安全服务资质证书（风险评估类）二级或以上；应具备国家信息安全测评信息安全服务资质证书（安全工程类）三级或以上；应具备中国信息安全漏洞库（CNNVD）技术支撑单位资质；以上要求需提供响应资质证明文件。

2、服务人员要求

（1）安排至少有三年以上类似安全项目工作经验的人员担任服务人员，人员资质、数量要能满足工作内容与时间节点要求，如果不满足，采购人有权要求更换项目成员。保证参加本项目实施人员的稳定，原则上团队负责人不得变动，人员流动比例不得超过15%，人员流动必须经采购人书面同意。

（2）每次现场渗透性测试人员投入总计不少于3人，且全部投入人员近三年内具有3家以上国有银行或全国性股份制银行渗透测试项目经验，且至少2人具备三年以上漏洞研究经验和独立漏洞发掘能力。

3、交付成果

（1）渗透测试方案，并且尽量减少渗透测试的影响与风险。

（2）渗透测试发现问题情况，对问题进行归类汇总并分析原因，按实际情况提供切实可行的整改建议或补偿控制措施。

（3）渗透测试报告，应体现技术风险分析与评估、控制措施的有效性，剩余风险等，包括纸质版与电子版。

（4）漏洞扫描报告，对每次漏洞扫描发现的漏洞进行分析和风险评估，并提供处置建议，根据要求提供季度漏洞扫描报告和漏洞风险评估结果。

（5）新上线系统基线检查报告，根据要求对新上线系统开展基线检查，并提供检查结果报告。

（6）根据监管要求、采购人安全需求以及行业内安全配置基线更新情况，为采购人提供安全配置基线咨询和修订工作。

**信息由招标与采购网发布**此行内容正式会员可见，请登录中国招标与采购网后查看**

4、验收标准

供应商完成技术服务后，应通知本行验收，并与本行共同提出验收大纲（验收的具体标准、方法和步骤），该验收大纲经本行确认后方可作为最终验收标准的依据。本行负责本合同服务内容的验收。

包件二：年度渗透2

1、服务要求

（1）供应商承诺无论出现任何情况，都将优先配置资源为采购人提供服务，包括但不限于渗透测试及新业务功能上线后的生产环境渗透测试人天服务。

（2）互联网全量系统渗透测试服务要求按银保监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、人民银行颁布的《网上银行信息安全通用规范》、《金融网络安全相关测试标准》以及《金融行业网络安全等级保护测评指南》、《金融网络安全web应用服务安全通用规范》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全检测规范》等要求对采购人全量互联网系统提供现场内、外部渗透测试。

（3）对新上线互联网系统渗透测试服务,一是提供安全应急响应、安全事件处置与风险排查服务；二是针对上级部门、监管机构的安全风险提示、应急事件处置以及专项安全检查要求，配合开展相应的风险排查并提供处置建议；三是其他一切服务要求同互联网全量系统渗透测试服务。

（4）应具备信息安全管理体系（27001）认证证书；中国网络安全审查技术与认证中心（CCRC）信息安全服务资质认证证书-信息安全风险评估；中国网络安全审查技术与认证中心（CCRC）信息安全服务资质认证证书-信息安全应急处理；公安部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》；国家信息安全漏洞共享平台（CNVD）技术组成员单位资质以上要求；需提供响应资质证明文件。

（5）投标人必须是网信办、公安部、工信部等国家网络安全主管部门或监管部门的国家级支撑保障单位，需提供相关职责说明材料。

2、服务人员要求

（1）安排至少有三年以上类似安全项目工作经验的人员担任服务人员，人员资质、数量要能满足工作内容与时间节点要求，如果不满足，采购人有权要求更换项目成员。保证参加本项目实施人员的稳定，原则上团队负责人不得变动，人员流动比例不得超过15%，人员流动必须经采购人书面同意。

（2）每次现场渗透性测试人员投入总计不少于3人，且全部投入人员近三年内具有3家以上国有银行或全国性股份制银行渗透测试项目经验，且至少2人具备三年以上漏洞研究经验和独立漏洞发掘能力。

3、交付成果

（1）渗透测试方案，并且尽量减少渗透测试的影响与风险；

（2）渗透测试发现问题情况，对问题进行归类汇总并分析原因，按实际情况提供切实可行的整改建议或补偿控制措施；

（3）渗透测试报告，应体现技术风险分析与评估、控制措施的有效性，剩余风险等，包括纸质版与电子版；

（4）安全人天服务报告，含采购人认可的服务人员名称、服务事项描述、服务时长、遗留事项。

4、验收标准

供应商完成技术服务后，应通知本行验收，并与本行共同提出验收大纲（验收的具体标准、方法和步骤），该验收大纲经本行确认后方可作为最终验收标准的依据。本行负责本合同服务内容的验收。

（三）知识产权要求

供应商应保证其拥有从事本项目服务工作的资质及能力，并保证维护成果不会侵犯任何第三方知识产权。如果由于供应商提供的本合同项下服务侵犯他人的知识产权，而导致本行涉及相关诉讼或争议纠纷的话，供应商必须代本行参加此类诉讼案件，并赔偿本行由此而支出的一切费用及遭受的一切损失（包括但不限本行为合法使用该等知识产权而向第三方支付的费用、律师费、其他人力费用等）。

（四）其他

为满足人民银行发布《金融网络安全相关测试标准》等监管要求，本次年度渗透1项目、年度渗透2项目的中标供应商不得为同一家，如发生供应商同时中标年度渗透1和年度渗透2的情况，采购人有权根据供应商实际服务能力（包括：受银行业主管、监管单位委托对银行业金融机构开展网络安全测试或攻防演练服务的案例数量；是否为网信办、公安部、工信部等国家网络安全主管部门或监管部门的国家级支撑保障单位）与供应商协商，优先成交年度渗透2。

二、资质要求

1、中华人民共和国境内合法注册的独立法人，公司经营正常并存续3年（含）以上，具有良好的商业信誉和健全的财务会计制度，近三年财务状况良好，经营活动中没有重大违法记录；

2、有依法缴纳税收和社会保障资金的良好记录，近三年无重大违法违规行为；

3、近五年具有工农中建交总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级同类项目应用案例（渗透测试）不少于3个；

4、同一法定代表人的两个及两个以上法人、母公司、全资子公司及其控股公司不得在同一次项目中参加报名；

5、本项目不接受联合体投标，不接受挂靠、借用资质投标，不允许转包或分包；

6、本项目接受具备服务资质和能力的原厂商参与报名。

三、报名须知

申请人报名时，应提供以下材料：

1、公司信息及资质证明文件：“三证合一”营业执照、一般纳税人资格证明；

2、近6个月内任意1个月的缴税证明、与本项目有关的技术资质文件；

3、代表人的身份证明、公司法人委托授权书、公司开户行及账号信息，内容包括但不限于公司授权代表姓名、联系电话和邮箱等；

4、最近三年财务报表；

5、案例中标/成交通知书、合同或客户证明材料，并另以清单形式列明案例；

6、关于公司近三年无重大违法违规行为的书面承诺；

7、无不可抗力原因，报名供应商不得中途退出。报名供应商一年内累计二次及以上无不可抗力原因退出响应的，将列入本行灰名单级供应商，实施相应处罚。

8、报名供应商须仔细阅读供应商须知内容（详见附件1），如违反须知条款内容，将依据本行供应商管理相关制度实施相应的处罚。

9、

报名截止时间：2024年4月18日15：00。




友情提醒：报名前与下方联系人索取投标登记表，以及办理后续事宜。
联系人：郝亮
手机：13146799092(微信同号)
邮箱：1094372637@qq.com