项目编号:(略)
为进一步提升我行整体的信息安全水平,满足相关法律、法规和监管要求,我行计划开展信息安全综合服务(应用安全服务)驻场服务。现向全社会公开征集供应商,请有意者并具备以下要求的供应商前来我行报名。
一、采购内容及要求
(一)采购内容
(略)年7月1日至(略)年6月(略)日的应用安全驻场服务。
序号 | 名称 | 驻场人数 | 人月数 | 服务周期 |
1 | 信息安全综合服务(应用安全服务) | 4 | (略) | (略)年7月1日至(略)年6月(略)日 |
续签要求:(略)
(二)技术要求
(1)服务要求
1、依据相关监管要求、行业标准规范以及我行规范要求,开展信息系统上线前的应用安全服务,包括但不限于以下标准规范要求:
《中华人民共和国网络安全法》
《信息安全技术 网络安全等级保护基本要求》
《银行业金融机构信息科技外包风险监管指引》
《金融行业信息系统信息安全等级保护测评指南》
《网上银行系统信息安全通用规范》
《移动金融客户端应用软件安全管理规范》
《商业银行应用程序接口安全管理规范》
《个人金融信息保护技术规范》
《上海农商银行信息科技部系统建设应用安全技术规范》
《上海农商银行安全漏洞分类和等级评定表》等
若项目实施过程中,监管提出新的安全要求,需按照最新的监管要求开展应用安全服务。
根据我行实际情况和流程开展信息系统上线前的应用渗透测试服务,并优化与完善相关的应用安全测评流程、测评要求、测评内容以及测评方法。
3、根据我行要求开展相应信息系统的整体应用安全测评,从业务合规和业务场景的角度模拟风险场景,给出有效的建议和安全开发要求。
4、安全事件处置与风险排查。针对上级部门、监管机构的安全风险提示、应急事件处置以及专项安全检查要求,配合开展相应的风险排查与处置建议。
5、本地化部署应用安全服务所需的工具或软件。
6、其他要求
6.1 须承诺本项目实施过程中及实施后,未经上海农商银行书面许可,不向外界泄露任何涉及上海农商银行系统、网络配置等各方面信息。双方在合同签订的同时,签订相关保密协议。
6.2 在实施测评服务过程中,若采用必要的技术手段(如渗透性测试等)对系统进行测试,应不影响应用系统尤其是实时交易的安全稳定运行。
(2)人员要求
1. 供应商需指派一名项目经理负责整体项目实施,包括不限于项目沟通、人员安排、项目质量保证等,且项目经理需要具备三年及以上的银行总行服务经验。
2. 驻场服务人员能满足以下要求:
2.1 项目人员学历要求为全日制本科及以上,应为在供应商公司工作半年以上的正式员工;
2.2 至少两年的银行业安全服务经验;
2.3 参与过至少银行总行级的3个互联网系统应用安全服务项目的实施(其中至少有网上银行、手机银行系统、微信银行);
2.4 至少具备CISAW、CISP或CISSP等同等资质证书。
二、供应商资格要求
(一)一般资格要求
1、具有独立承担民事责任能力的法人或具备国家认可经营资格的其他组织,公司经营正常并存续3年(含)以上,营业执照中含本项目相关业务。(提供有效营业执照复印件并加盖公章,非企业性单位提供相应的有效登记证书复印件并加盖公章;如分支机构参加报名的还须提供总公司出具的授权书复印件并加盖公章)
2、提供被授权人委托授权书原件(授权书需包含授权项目名称、授权事项、法人身份信息、被授权人姓名/联系电话/邮箱等内容,且须由法人及被授权人签字,并加盖公章)、法人及被授权人身份证复印件、被授权人在本单位的近期社保缴纳证明复印件(加盖公章)。
3、具有良好的商业信誉和健全的财务会计制度,近三年财务状况良好。(提供最近三年财务报表复印件,至少包括资产负债表、利润表、现金流量表,复印件清晰并加盖公章)
4、可开具合法的增值税专用发票。(若报名人为增值税一般纳税人,须提供国税网站查找的增值税一般纳税人证明截图的复印件,加盖公章;若报名人非增值税一般纳税人须承诺能开具增值税专用发票,提供书面承诺,格式自拟,加盖公章)
5、供应商当前未被信用中国(http:(略)
6、供应商近三年内(从(略)年1月1日至今)在经营活动中没有重大违法记录,以国家企业信用公示系统(http:(略)
7、供应商及其法定代表人在近三年内(从(略)年1月1日至今)无行贿犯罪记录,以中国裁判文书网(https:(略)
8、同一法定代表人的两个及两个以上法人,母公司、全资子公司及其控股公司,不得同时参与本项目。(提供书面承诺,格式自拟,加盖公章)
9、本项目不接受联合体投标,不接受挂靠、借用资质投标,不允许转包或分包。(提供书面承诺,格式自拟,加盖公章)
(二)特殊资格要求
1、需提供近5年内同类项目(需包含关键字“应用安全”或“渗透测试”等安全类项目)1个案例。(提供合同复印件,合同需包含项目名称、项目内容、签署日期、签字盖章页,加盖公章)
(三)供应商须知要求
报名供应商须仔细阅读我行供应商须知内容(详见上海农商银行供应商门户网站-重要通知-供应商须知),如违反须知条款内容,将依据本行供应商管理相关制度实施相应的处罚。严禁列入本行黑、灰名单的供应商在禁入期和禁入处罚期内参与项目。无不可抗力原因,报名供应商不得中途退出,一年内累计二次及以上无不可抗力原因退出响应的,将列入本行灰名单级供应商,实施相应处罚。
三、项目报名
1、项目报名时间:(略)
2、供应商注册:(略)
3、项目报名:(略)
4、特别提醒:(略)
四、联系人及联系方式
联 系 人:(略)
联系电话:(略)
电子邮件:(略)
地址:(略)
邮编:(略)
上海农商银行集中采购中心
二〇二五年四月
