一、采购内容及要求满足207月至2025年6月3****网全量系统渗透测试及安全维护服务工作。本项目分为2个包件，报名时可以选择一个或多个包件报名，具体内容如下：（一）采购内容包件一：年度渗透1包含不少于以下内容：序号名称规格数量****网相关系统渗透测试服务次11、1次渗****网系统全覆盖，完****网渗透测试以及渗透所发现漏洞的修补与验证支持、总结分析与报告整理工作2、现场渗透性测试人员投入总计不得少于3人，至少3人近三年内具有3家以上国有银行或全国性股份制银行渗透测试项目经验，且至少2人具备三年以上漏洞研究经验和独立漏洞发掘能力（需提供服务人员名单及简历）2****网系统渗透测试服务人/天501、提供50个人天的新业务功能上线后的生产环境现场渗透测试服务及发现漏洞问题的修补支持与验证服务。2、其他一切****网全量系统渗透测试服务3安全基线检查服务人/天641、提供64个人天的安全配置基线检查和整改支持服务。2、其他一切****网全量系统渗透测试服务包件二：年度渗透2包含不少于以下内容：序号名称规格数量****网相关系统渗透测试服务次11、1次渗****网系统全覆盖，完****网渗透测试以及渗透所发现漏洞的修补与验证支持、总结分析与报告整理工作2、现场渗透性测试人员投入总计不得少于3人，至少3人近三年内具有3家以上国有银行或全国性股份制银行渗透测试项目经验，且至少2人具备三年以上漏洞研究经验和独立漏洞发掘能力（需提供服务人员名单及简历）2****网系统渗透测试服务人/天501、提供50个人天的新业务功能上线后的生产环境现场渗透测试服务及发现漏洞问题的修补支持与验证服务。2、其他一切****网全量系统渗透测试服务 （二）技术要求包件一：年度渗透11、服务要求（1）供应商承诺无论出现任何情况，都将优先配置资源为采购人提供服务，包括但不限于渗透测试、安全人天服务以及新业务功能上线后的生产环境渗透测试人天服务。****网全量系统渗透测试服务要求按银保监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、人民银****网上银行信息安全通用规范****网络安全相关测试标准》以及****网络安全等级保护测评指南****网络安全web应用服务安全通用规范》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全检测规范》等要求对采购****网系统提供现场内、外部渗透测试；（3）对安全人天服务（****网系统渗透测试、安全基线检查），一是要求根据监管要求、采购人安全需求以及行业内安全配置基线更新情况，为采购人提供安全配置基线咨询和修订工作；二是提供7*24小时应急事件响应并提供处置建议；（4）****网络安全审查技术与认证中心信息安全服务资质认证证书（信息安全风险评估）一级或以上；应具备国家信息安全测评信息安全服务资质证书（风险评估类）二级或以上；应具备国家信息安全测评信息安全服务资质证书（安全工程类）三级或以上；以上要求需提供响应资质证明文件。2、服务人员要求（1）安排至少有三年以上类似安全项目工作经验的人员担任服务人员，人员资质、数量要能满足工作内容与节点要求，如果不满足，采购人有权要求更换项目成员。保证参加本项目实施人员的稳定，原则上团队负责人不得变动，人员流动比例不得超过15%，人员流动必须经采购人书面同意。（2）每次现场渗透性测试人员投入总计不少于3人，且全部投入人员近三年内具有3家以上国有银行或全国性股份制银行渗透测试项目经验，且至少2人具备三年以上漏洞研究经验和独立漏洞发掘能力。3、交付成果（1）渗透测试方案，并且尽量减少渗透测试的影响与风险。（2）渗透测试发现问题情况，对问题进行归类汇总并分析原因，按实际情况提供切实可行的整改建议或补偿控制措施。（3）渗透测试报告，应体现技术风险分析与评估、控制措施的有效性，剩余风险等，包括纸质版与电子版。（4）漏洞扫描报告，对每次漏洞扫描发现的漏洞进行分析和风险评估，并提供处置建议，根据要求提供季度漏洞扫描报告和漏洞风险评估结果。（5）新上线系统基线检查报告，根据要求对新上线系统开展基线检查，并提供检查结果报告。（6）根据监管要求、采购人安全需求以及行业内安全配置基线更新情况，为采购人提供安全配置基线咨询和修订工作。（7）安全人天服务报告，含采购人认可的服务人员名称、服务事项描述、服务时长、遗留事项。4、验收标准供应商完成技术服务后，应通知本行验收，并与本行共同提出验收大纲（验收的具体标准、方法和步骤），该验收大纲经本行确认后方可作为最终验收标准的依据。本行负责本合同服务内容的验收。包件二：年度渗透21、服务要求（1）供应商承诺无论出现任何情况，都将优先配置资源为采购人提供服务，包括但不限于渗透测试及新业务功能上线后的生产环境渗透测试人天服务。****网全量系统渗透测试服务要求按银保监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、人民银****网上银行信息安全通用规范****网络安全相关测试标准》以及****网络安全等级保护测评指南****网络安全web应用服务安全通用规范》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全检测规范》等要求对采购****网系统提供现场内、外部渗透测试；（3）对****网系统渗透测试服务,一是提供安全应急响应、安全事件处置与风险排查服务；二是针对上级部门、监管机构的安全风险提示、应急事件处置以及专项安全检查要求，配合开展相应的风险排查并提供处置建议；三是其他一切服务****网全量系统渗透测试服务。（4）应具备信息安全管理体系（********）认证****网络安全审查技术与认证中心（CCRC）信息安全服务资质认证证书-信息安全风险评估；公安部第三研究所认****网络安全等级测评与检测评估机构服务认证证书》；需提供响应资质证明文件；（5）投标****网信办、公安部、工****网络安全主管部门或监管部门的安全支撑保障工作，需提供相关证明材料。2、服务人员要求（1）安排至少有三年以上类似安全项目工作经验的人员担任服务人员，人员资质、数量要能满足工作内容与节点要求，如果不满足，采购人有权要求更换项目成员。保证参加本项目实施人员的稳定，原则上团队负责人不得变动，人员流动比例不得超过15%，人员流动必须经采购人书面同意。（2）每次现场渗透性测试人员投入总计不少于3人，且全部投入人员近三年内具有3家以上国有银行或全国性股份制银行渗透测试项目经验，且至少2人具备三年以上漏洞研究经验和独立漏洞发掘能力。3、交付成果（1）渗透测试方案，并且尽量减少渗透测试的影响与风险；（2）渗透测试发现问题情况，对问题进行归类汇总并分析原因，按实际情况提供切实可行的整改建议或补偿控制措施；（3）渗透测试报告，应体现技术风险分析与评估、控制措施的有效性，剩余风险等，包括纸质版与电子版；（4）安全人天服务报告，含采购人认可的服务人员名称、服务事项描述、服务时长、遗留事项。4、验收标准供应商完成技术服务后，应通知本行验收，并与本行共同提出验收大纲（验收的具体标准、方法和步骤），该验收大纲经本行确认后方可作为最终验收标准的依据。本行负责本合同服务内容的验收。（三）知识产权要求供应商应保证其拥有从事本项目服务工作的资质及能力，并保证维护成果不会侵犯任何第三方知识产权。如果由于供应商提供的本合同项下服务侵犯他人的知识产权，而导致本行涉及相关诉讼或争议纠纷的话，供应商必须代本行参加此类诉讼案件，并赔偿本行由此而支出的一切费用及遭受的一切损失（包括但不限本行为合法使用该等知识产权而向第三方支付的费用、律师费、其他人力费用等）。（四）其他为满足人民银行****网络安全相关测试标准》等监管要求，本次年度渗透1项目、年度渗透2项目的中标供应商不得为同一家，如发生供应商同时中标年度渗透1和年度渗透2的情况，采购人有权根据供应商实际服务能力（包括：受银行业主管、监管单位委托**或攻防演练服务的案例数****网信办、公安部、工****网络安全主管部门或监管部门的国家级支撑保障单位）与供应商协商，优先成交年度渗透2。二、资质要求1、中华人民共和国境内合法注册的****公司经营正常并存续3年（含）以上，具有良好的商业信誉和健全的财务会计制度，近三年财务状况良好，经营活动中没有重大违法记录；2、有依法缴纳税收和社会保障资金的良好记录，近三年无重大违法违规行为；3、项目案例要求：包件一：近五年具有工农中建交邮储总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级同类项目应用案例（渗透测试）不少于3个；    包件二：近五年具有工农中建交邮储总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级或政策性银行总行级同类项目应用案例（渗透测试）不少于3个；4、同一法定代表人的两个及两个以****公司****公司****公司不得在同一次项目中参加报名；5、本项目不接受联合体投标，不接受挂靠、借用资质投标，不允许转包或分包；6、本项目接受具备服务资质和能力的原厂商参与报名。

本招标项目仅供正式会员查阅，您的权限不能浏览详细信息,请点击注册/登录，联系工作人员办理入网升级。
联系人：刘欣
电话：010-68809590
手机：13522553206（欢迎拨打手机/微信同号）
邮箱：kefu@bidnews.cn