您与金融客户只差一个“金采网+” 注册 | 登录
位置:

晋商银行重要信息系统安全测评入围 项目供应商征集公告

发布时间:2018-02-12 14:25:40


截止日期:2018-02-28
公告说明:晋商银行重要信息系统安全测评入围 项目供应商征集公告
采购需求描述:

一、项目名称

晋商银行重要信息系统安全测评入围项目

二、项目背景   

根据《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发〔2006〕123号)第七条“要适时、有效开展风险评估,重要信息系统至少每2年进行一次评估”;银监会《电子银行安全评估指引》第三条“开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,至少每2年对电子银行进行一次全面的安全评估”。

为了更加全面和深入的发现我行重要信息系统的安全隐患,服务采用供应商入围(X选3)的方式进行,现拟将服务项目分成新系统上线服务、基础服务和众测服务三部分。新系统上线评估在服务期限内按照监管要求提供系统上线评估服务;基础服务为配合我行日常的信息安全管理工作,覆盖监管检查、安全事件应急响应、重大问题讨论与研究、重要时期保障等方面。众测服务环节由多家著名的安全厂商和团队共同进行安全测评和交叉测试(简称众测),可以效弥补传统测试方式覆盖面不全的问题。希望通过上述模式,同时进一步提升我行信息系统的服务能力,增强用户的使用信心、提升客户体验,从而提高我行的市场竞争力。

三、项目要求

服务期限:一年

(一)新系统上线评估服务要求:

按照单价提供新系统上线评估服务,评估完成后出具相关报告。如涉及监管材料报送,需协助我行人员完成相关工作。

(二)基础服务要求:

     针对我行情况每家供应商需提供部分基础服务内容,包括但不限于:应急响应;专家顾问咨询、监管检查配合、上市期间重保(为期1个月):专项信息安全培训(包含全行安全专项培训2次、第三方认证考试1个名额)等内容。

(三)众测服务要求:

众测服务款项以每家厂商测试出的最终漏洞数量以及质量进行结算,工作量无上限。要求测试厂商在规定的时间、资产范围内,在现场对我行系统实施安全测试,挖掘潜在漏洞。我们将为第一时间发现漏洞的厂商给予记录(发送到指定邮箱),对单个漏洞的出现不重复记录。

四、实施内容

(一)新系统上线评估:

1、新系统上线评估:为我行提供新系统上线的评估工作(主机漏洞扫描、基线检查、渗透测试、源代码审计),评估完成后出具相关报告。

(二)基础服务:

2、应急响应:为我行突发事件、安全事件提供现场与非现场的应急响应支撑工作,并出具应急响应报告。

3、专家顾问咨询:为我行重要信息投产、上线、变更以、专项研究、重大问题讨论提供技术支持及咨询服务。

4、监管配合:协助我行根据监管发文或者检查进行相关技术工作的配合工作。

5、上市期间重保:在我行上市时期(为期一个月),提供专项的重要时期保障工作。

6、专项培训:为我行提供专项课题的安全培训工作,同时为我行信息团队提供专项培训的名额。

    (三)众测服务:由我行指定的测评站点/应用/域名/IP,进行安全测试和漏洞挖掘,以最终漏洞数量以及风险等级进行结算。

五、潜在供应商资格要求

(一)技术要求

1、供应商入围后,根据我行要求对指定系统进行漏洞挖掘技术评比,评比结果将作为招标时重要指标。

2、供应商须成立固定的服务团队,做好技术、业务的合理配置,团队应指定项目经理1名,需具备5年以上的工作经验。

    (二)资质和能力要求

1、具备中国信息安全认证中心颁布的信息安全风险评估(二级及以上)和应急处理服务(二级及以上)资质;

2、服务商应具备完善的安全服务体系和质量管理体系,2015年至今(以合同签署时间为准),具备3个及以上的安全评估服务案例;

    (三)其它要求

    1、理解我行项目实施、人员管理、财务管理的相关规定;

    2、响应我行签订服务项目管理协议的要求,包括但不限于保密协议、服务承诺书、工作计划任务书;

3、接受我行内部、第三方机构、上级监管部门的检查、监督及审计等。

4、安全测评过程中,严格遵守保密要求,发现漏洞后,第一时间通知晋商银行有关人员,未经许可,不可将任何漏洞有关信息泄露给第三方;

5、安全测评过程中,遵循测试规范,在不响应晋商银行系统可用性的前提下进行,如发现可能影响可用性的漏洞,应停止测试,第一时间通知晋商银行有关人员;

6、安全测评前,需对漏洞挖掘参与人员进行安全意识教育,将挖掘过程中的保密要求、安全要求传达给相关人员;

7、如供应商相关人员未遵守晋商银行要求,造成晋商银行经济损失或声誉损失,晋商银行可依法追究相关责任。

六、潜在供应商需提交的材料及方式、时间

    1、需提交材料:

(一)营业执照、税务(国税、地税)登记证、组织机构代码证副本或统一社会信用代码证;

(二) 企业及服务团队简介;

(三)2015年至今(以合同签署时间为准),公司或实施团队所承接的相关案例清单、简介、合同等证明材料;

(四) 提供公司联系人、电话、电子邮箱、地址等。

    注:上述资料均需提供加盖公章的扫描件。

2、提交方式:电子邮件wangqing@jshbank.com,邮件名称:晋商银行重要信息系统安全测评入围项目+供应商名称;

3、提交时间:2018年2月12日—2018年2月28日

4、我行将根据潜在供应商报名情况安排后续商务、技术交流时间。

七、联系方式

商务联系人:王青

联系电话:13753130403

邮箱地址:wangqing@jshbank.com

 

技术联系人:周扬

联系电话:15513019190

邮箱:zhouyang@jshbank.com



广告位290*350 广告位290*350