根據(jù)業(yè)務(wù)發(fā)展需要,我行現(xiàn)公開征集供應(yīng)商,有關(guān)事宜公告如下:
一、征集時間
本次供應(yīng)商征集自即日起至2024年7月9日17:00止。
1、投標(biāo)人應(yīng)是在中華人民**國依法注冊,具有獨立承擔(dān)民事責(zé)任的能力;經(jīng)營范圍執(zhí)照范圍應(yīng)包含信息安全、網(wǎng)絡(luò)安全(或互聯(lián)網(wǎng)相關(guān)服務(wù))、計算機軟硬件等內(nèi)容;
2、投標(biāo)人應(yīng)具有良好的商業(yè)信譽和健全的財務(wù)會計制度。提供近三年的審計報告及財務(wù)報表;
3、投標(biāo)人應(yīng)具有信息安全運維服務(wù)或信息安全服務(wù),且同時具備信息安全應(yīng)急處理服務(wù)、國家信息安全漏洞庫(CNNVD)技術(shù)支撐、信息安全風(fēng)險評估等履行合同所必需的資質(zhì)和專業(yè)技術(shù)能力;
4、投標(biāo)人具有2021年1月1日以來(合同金額不低于80萬人民幣)網(wǎng)絡(luò)安全技術(shù)服務(wù)相關(guān)**服務(wù)案例。
5、投標(biāo)人須承諾,在本項目招標(biāo)過程中不存在下列情形。如存在下列情形之一,招標(biāo)人有權(quán)取消其投標(biāo)或中標(biāo)資格。情形包括但不限于:
a) 法定代表人(負(fù)責(zé)人)在生產(chǎn)經(jīng)營活動中受到刑事處罰;
b) 重大并購或重組,影響正常生產(chǎn)經(jīng)營;
c) 其他重大風(fēng)險事項,影響正常采購**。
6、本項目不接受轉(zhuǎn)包或分包,不接受聯(lián)合體投標(biāo)。
7、投標(biāo)人當(dāng)前未被“信用中國”網(wǎng)站列入重大稅收違法失信主體;未被“中國執(zhí)行信息公開網(wǎng)”列入失信被執(zhí)行人名單;未被“中國政府采購網(wǎng)”列入政府采購嚴(yán)重違法失信行為記錄名單;未被“國家企業(yè)信用信息公示系統(tǒng)”網(wǎng)站列入嚴(yán)重違法失信名單。
三、服務(wù)內(nèi)容
(一)特殊時段網(wǎng)絡(luò)安全防護(hù)及系統(tǒng)保障
1、準(zhǔn)備階段。調(diào)研項目基本情況,充分了解**行內(nèi)部的建設(shè)情況、系統(tǒng)和資產(chǎn)等信息。利用基線核查、漏洞掃描、滲透測試、日志分析等手段進(jìn)行安全風(fēng)險排查。依據(jù)調(diào)研結(jié)果,制定滿足需要的技術(shù)體系方案和技術(shù)檢查方案。
1.1現(xiàn)狀調(diào)研及安全風(fēng)險排查:****分行網(wǎng)絡(luò)信息系統(tǒng)現(xiàn)狀,****分行內(nèi)部的系統(tǒng)建設(shè)情況和資產(chǎn)信息。利用漏洞掃描、日志分析等手段進(jìn)行安全風(fēng)險排查。
①對于需進(jìn)行安全風(fēng)險排查的資產(chǎn),需經(jīng)我行書面同意。
②我行有權(quán)利在排查過程中隨時中止排查操作。
③排查完成后需對所有發(fā)現(xiàn)的問題提出加固建議并協(xié)助我行進(jìn)行加固。
④對于所有發(fā)現(xiàn)的安全漏洞需要保密,不可外泄。
1.2防御體系完善:****分行制定滿足護(hù)網(wǎng)需要的技術(shù)體系方案和技術(shù)檢查方案。
1.3互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)和品牌保護(hù):a、進(jìn)行互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn),通過互聯(lián)網(wǎng)發(fā)現(xiàn)存在的建行未知資產(chǎn),包括但不限于:未知服務(wù)、未知應(yīng)用、暴露的高危服務(wù)、技術(shù)資料。****分行在互聯(lián)網(wǎng)上暴露的資產(chǎn),形成明確的資產(chǎn)清單;b、進(jìn)行互聯(lián)網(wǎng)資產(chǎn)品牌保護(hù),定期提供當(dāng)前泄露到社交平臺、網(wǎng)盤文庫、代碼托管平臺、下載站渠道的建行敏感數(shù)據(jù)的排查服務(wù),并提供匯總報告。
①****分行互聯(lián)網(wǎng)資產(chǎn),形成資產(chǎn)清單,包括但不限于:資產(chǎn)對外IP、提供服務(wù)的端口、對外提供的服務(wù)、服務(wù)所用的中間件等信息。
②****分行互聯(lián)網(wǎng)資產(chǎn),形成資產(chǎn)清單,包括但不限于:資產(chǎn)對外IP、提供服務(wù)的端口、對外提供的服務(wù)、服務(wù)所用的中間件等信息。
③對于所有發(fā)現(xiàn)的互聯(lián)網(wǎng)資產(chǎn)需要保密,不可外泄。
④要排查的互聯(lián)網(wǎng)渠道除了覆蓋常規(guī)渠**,還需要覆蓋我行提供的具體網(wǎng)站列表。
⑤排查內(nèi)容要覆蓋我行提供的個性化關(guān)鍵字。
⑥根據(jù)需要單獨提供報告。
1.4日常安全咨詢和安全培訓(xùn):根據(jù)我行實際需要,作為安全專家支持我行系統(tǒng)安全建設(shè)。對我行全員的意識教育培****科技部的安全技術(shù)培訓(xùn)。
2、實施階段。在我行應(yīng)對總行、**部、人民銀行等組織的網(wǎng)絡(luò)攻防演練階段,在重要時期網(wǎng)絡(luò)安全保障階段,及其它專項任務(wù)階段,提供安全專家現(xiàn)場服務(wù),現(xiàn)場監(jiān)控網(wǎng)絡(luò)安全情況及應(yīng)急處置。
2.1現(xiàn)場監(jiān)控及應(yīng)急處置: ******部重要演練階段,在重要時期網(wǎng)絡(luò)安全保障階段,提供安全專家現(xiàn)場服務(wù),負(fù)責(zé)互聯(lián)網(wǎng)攻擊及內(nèi)網(wǎng)攻擊的監(jiān)測分析,服務(wù)內(nèi)容包括:a、入侵痕跡檢測,對監(jiān)控及策略范圍內(nèi)的設(shè)備進(jìn)行排查,發(fā)現(xiàn)是否存在入侵痕跡;b、應(yīng)急處置,在發(fā)生信息破壞事件(篡改、泄露、竊取、丟失等)、大規(guī)模病毒事件、網(wǎng)站漏洞事件等信息安全事件時,提供應(yīng)急響應(yīng)專家協(xié)助處置。
①根據(jù)我行要求進(jìn)行入侵檢測策略的調(diào)整,實時監(jiān)控入侵檢測日志,發(fā)現(xiàn)可疑記錄并及時上報。
②駐場工程師需具備安全判斷分析能力,發(fā)生特殊事件時,能及時響應(yīng),并根據(jù)告警信息和日志進(jìn)行分析,判斷是否屬于外來攻擊,并提出處置措施及加固措施。
2.2滲透檢查:對分行所有互聯(lián)網(wǎng)資產(chǎn)進(jìn)行一次滲透檢查,發(fā)現(xiàn)常見的安全漏洞。****分行所有互聯(lián)網(wǎng)應(yīng)用資產(chǎn)的滲透掃描和安全性測試,發(fā)現(xiàn)系統(tǒng)存在的安全問題,提出整改建議,對整改結(jié)果進(jìn)行確認(rèn)。
2.3每年至少開展一次互聯(lián)網(wǎng)數(shù)據(jù)泄露排查,提供排查結(jié)果并出具排查報告。
2.4每年至少開展一次“眾測”工作。協(xié)助查找發(fā)現(xiàn)**建行互聯(lián)網(wǎng)系統(tǒng)漏洞,上報總行;****分行互聯(lián)網(wǎng)系統(tǒng)漏洞,及時組織漏洞修復(fù)和整改工作,提高我行網(wǎng)絡(luò)安全防護(hù)能力。
2.5協(xié)助整改:提供整改建議,****分行完**全整改。
2.6其它:護(hù)網(wǎng)階段提供答疑、協(xié)助分析、處置建議等服務(wù)。
3、總結(jié)階段。網(wǎng)絡(luò)攻防演練、重保、其它專項任務(wù)結(jié)束后,及時總結(jié),必要時提供實施網(wǎng)絡(luò)安全方面的整改服務(wù)。
總結(jié)與報告:待到演練成果下發(fā)之后對護(hù)網(wǎng)進(jìn)行復(fù)盤和后續(xù)能力建設(shè)規(guī)劃。
①按照演練要求,乙方結(jié)合建行防護(hù)體系,分析實戰(zhàn)演練的得失,提出增強防護(hù)建議并落實,建立和完善護(hù)網(wǎng)保障方案。
②編制網(wǎng)絡(luò)安全監(jiān)測和應(yīng)急保障工作指導(dǎo)手冊。
③總結(jié)有效應(yīng)對攻擊手段,編寫護(hù)網(wǎng)保障方案及護(hù)網(wǎng)保障期間相關(guān)工作指導(dǎo)手冊。
(二)終端安全技術(shù)支持服務(wù)(現(xiàn)場駐場)
為提升我行信息系統(tǒng)網(wǎng)絡(luò)安全健壯性,保障我行終端安全,保證信創(chuàng)工作正常開展,確保終端管控系統(tǒng)正常運轉(zhuǎn),及時發(fā)現(xiàn)信息安全風(fēng)險隱患,彌補信息安全漏洞,協(xié)助進(jìn)行常態(tài)化網(wǎng)絡(luò)安全防護(hù)工作。工作內(nèi)容主要包括:
1.配合“國芯”產(chǎn)品安全客戶端等網(wǎng)絡(luò)安全防護(hù)軟件測試和推廣。
2.協(xié)助安全客戶端、水印等軟件的主程序和病毒庫升級。
3.提供全行員工終端安全軟件的故障受理及技術(shù)支持。
4.提供終端安全策略管控、終端BIOS設(shè)置支持。
5.協(xié)助注冊U盤及U盤白名單控制和管理。
6.協(xié)助移動辦公軟件安裝推廣、故障處理,移動令牌發(fā)放及用戶權(quán)限分配。
7.配合終端準(zhǔn)入管控。
8.協(xié)助終端病毒查殺、非法外聯(lián)情況跟蹤、敏感信息攔截分析等日常事務(wù)。
9.終端相關(guān)指標(biāo)收集及通報;終端風(fēng)險情況分析及總結(jié)。
10.協(xié)助進(jìn)行其它信息安全類系統(tǒng)的日常運維,安全風(fēng)險情況數(shù)據(jù)收集、分析及整理等。
四、服務(wù)質(zhì)量要求
(一)人員配置及要求:
乙方為甲方提供服務(wù)的工程師需遵守我行相關(guān)管理方法,配合我行工作安排;
乙方為甲方提供服務(wù)的工程師,需大專及以上學(xué)歷,具有計算機中級工程師(及以上)職稱,并有三年以上原廠工作經(jīng)驗(需提供供應(yīng)商工作證明及社保繳交信息等相關(guān)證明材料)。特殊時段網(wǎng)絡(luò)安全防護(hù)及系統(tǒng)保障人員需具備滲透攻擊、安全防護(hù)等能力,參加過國內(nèi)外CTF比賽,能協(xié)助我行排查風(fēng)險及指導(dǎo)網(wǎng)絡(luò)攻防;終端安全技術(shù)支持服務(wù)人員需要具備扎實的網(wǎng)絡(luò)安全及信息系統(tǒng)運維技能,有豐富的運維經(jīng)驗,熟練掌握主機、網(wǎng)絡(luò)、文檔處理、報表分析等知識。
乙方為甲方提供“特殊時段網(wǎng)絡(luò)安全防護(hù)及系統(tǒng)保障”服務(wù)的工程師,若具有安全相關(guān)專業(yè)資質(zhì)水平認(rèn)證,如CISP類、CISSP類等證書;或通過**計算機技術(shù)與軟件專業(yè)技術(shù)資格考試中的高級資格考試;******部千人計劃的網(wǎng)絡(luò)信息安全類人員名單;或在CNVD/CVE等權(quán)威組織提交過自主挖掘漏洞,或在國家級攻防大賽中取得優(yōu)異成績并能提供證明材料。可不受學(xué)歷和工作年限要求限制。
乙方應(yīng)提前向甲方提供工程師名單列表,一旦經(jīng)甲方審核確定后,每次必須從該名單列表中派遣人員。無特殊情況,該名單列表不得變動。
乙方還應(yīng)安排一名負(fù)責(zé)人員,主要工作職責(zé)為:
①統(tǒng)一領(lǐng)導(dǎo)乙方技術(shù)支持服務(wù)團(tuán)隊,并負(fù)責(zé)與甲方的總體協(xié)調(diào)工作;
②負(fù)責(zé)緊急情況下人員、工具等**的協(xié)調(diào);
③負(fù)責(zé)乙方服務(wù)質(zhì)量的管理和監(jiān)督。
(二)時間要求
1. 特殊時段網(wǎng)絡(luò)安全防護(hù)及系統(tǒng)保障
總行實戰(zhàn)演練期間、銀行業(yè)監(jiān)管機構(gòu)實戰(zhàn)演練期間、******廳攻防演練期間、重保期間、及其它專項任務(wù)期間;根據(jù)實際演練和護(hù)網(wǎng)、重保、根據(jù)實際需求的其它專項任務(wù)等時間進(jìn)行安排。(不少于198人天)。
2. 終端安全技術(shù)支持服務(wù)
常年正常工作時間,與建行員工作息時間一致,服從建行統(tǒng)一工作安排,常駐建行辦公場所。(1人年)
(三)培訓(xùn)要求
提供檢測工具使用培訓(xùn);提供安全意識培訓(xùn)和安全技術(shù)、網(wǎng)絡(luò)攻防培訓(xùn)。
(四)保密要求
1、服務(wù)商及所有服務(wù)人員應(yīng)根據(jù)我行要求在項目實施前簽訂保密承諾書。
2、按我行要求,提供信息技術(shù)外包管理規(guī)定中的相關(guān)資料。
(五)其他
根據(jù)實際工作需要,適當(dāng)調(diào)整網(wǎng)絡(luò)安全技術(shù)服務(wù)方案。
五、材料上傳要求
基本資料請按平臺注冊要求上傳,注冊后需繼續(xù)在平臺補充如下資料:
1.具有獨立法人資格,能獨立承擔(dān)民事責(zé)任,提供合法有效的營業(yè)執(zhí)照;
2.提供近3年(2021年-2023年度)經(jīng)第三方審計機構(gòu)出具的財務(wù)審計報告和財務(wù)審計報表(現(xiàn)金流量表、資產(chǎn)負(fù)債表、利潤表(損益表));新成立企業(yè)不滿三年的須提供成立至今經(jīng)第三方審計機構(gòu)出具的財務(wù)審計報告和財務(wù)審計報表;
3.同類采購成功案****公司“案例信息”欄新增);
4.從事行業(yè)所必須有的認(rèn)定資質(zhì)(如建筑業(yè)企業(yè)資質(zhì)證書、行業(yè)行政許可證書等,****公司“資質(zhì)信息”欄新增);
上述材料均需清晰掃描件并加蓋公章。
六、報名步驟
1.供應(yīng)商須首先在建行采購平臺(ibuy.****.com)注冊,注冊時請務(wù)必對最新企業(yè)財報、案例、資質(zhì)信息、納稅人類型、國別、企業(yè)性質(zhì)、組織類型等信息進(jìn)行維護(hù)。
重點提示:如系統(tǒng)中的企業(yè)信息未更新,可能影響投標(biāo)資格,請知悉。
2.審核通過后,您將會收到系統(tǒng)通知,請點擊本公告下方“征集報名”進(jìn)行報名,根據(jù)系統(tǒng)提示上傳報名材料,所有材料僅需提供電子版,無論報名是否通過,材料恕不退還。
3.已注冊供應(yīng)商可直接點擊下方“征集報名”按鈕登錄進(jìn)行報名,同時做好企業(yè)信息維護(hù):包括企業(yè)財報、案例、資質(zhì)信息、納稅人類型、國別、企業(yè)性質(zhì)、組織類型等信息維護(hù)。
龍集采系統(tǒng)操作問題可查看網(wǎng)站“供應(yīng)商指南”,或撥打客服電話****181908進(jìn)行咨詢。
七、注意事項
1.本次供應(yīng)商征集活動為建行企業(yè)采購,非政府采購或招標(biāo)。
2.本次公開征集不收取供應(yīng)商任何費用,能夠完全滿足我行采購需求、有采購**意向、無不良行為記錄的供應(yīng)商均可報名。
3.所有材料僅需提供電子掃描件,無論報名是否通過,材料恕不退還。供應(yīng)商須對報名信息和資料的真實性負(fù)責(zé)。如提供虛假材料,將取消報名資格并列入我行供應(yīng)商黑名單。
4.我行接收供應(yīng)商的報名文件或吸收供應(yīng)商進(jìn)入信息庫并不表示接受報名供應(yīng)商參加相關(guān)項目采購,我行擇優(yōu)選取審查合格的供應(yīng)商參加相關(guān)項目采購,征集結(jié)果無需向未入圍的供應(yīng)商做出任何書面原因解釋。
5.對于上述事項存在疑問的,請及時與我行聯(lián)系。
八、聯(lián)系方式
龍集采技術(shù)支持電話****181908
采購部門聯(lián)系人:王經(jīng)理
聯(lián)系電話:027-****6601
電子郵件:****@ccb.com
需求部門聯(lián)系人:牛經(jīng)理
聯(lián)系電話:027-****5306
電子郵件:****@ccb.com
****
2024年7月4日