项目编号:JZCG2026000273
为服务我行互联网全量系统渗透测试及安全维护服务(年度渗透1、2、3)项目,实现互联网全量系统开展交叉测试及新上线系统开展专项测试目标,拟采购互联网全量系统渗透测试服务(年度渗透1、2、3)、安全人天服务(新上线互联网系统渗透测试、安全基线检查)。现向全社会公开征集服务供应商,请有意者并具备下列要求的供应商前来我行报名。
一、采购内容及要求
(一)采购内容
本项目分为3个包件,报名时可以选择一个或多个包件报名,具体内容如下:
包件一:年度渗透1
|
序号 |
服务名称 |
服务内容 |
服务期限 |
备注 |
|
1 |
互联网全量系统渗透测试服务(年度渗透1) |
2次年度现场渗透测试服务 |
2026.7(具体自合同签订之日起)-2027.6.30 |
|
|
2 |
安全人天服务(新上线互联网系统渗透测试) |
50人天 |
2026.7(具体自合同签订之日起)-2027.6.30 |
|
|
3 |
安全人天服务(安全基线检查) |
64人天 |
2026.7(具体自合同签订之日起)-2027.6.30 |
|
包件二:年度渗透2
|
序号 |
服务名称 |
服务内容 |
服务期限 |
备注 |
|
1 |
互联网全量系统渗透测试服务(年度渗透2) |
2次年度现场渗透测试服务 |
2026.7(具体自合同签订之日起)-2027.6.30 |
|
|
2 |
安全人天服务(新上线互联网系统渗透测试) |
50人天 |
2026.7(具体自合同签订之日起)-2027.6.30 |
|
包件三:年度渗透3
|
序号 |
服务名称 |
服务内容 |
服务期限 |
备注 |
|
1 |
互联网全量系统渗透测试服务(年度渗透3) |
4次年度现场渗透测试服务 |
2026.7(具体自合同签订之日起)-2027.6.30 |
|
|
2 |
安全人天服务(新上线互联网系统渗透测试) |
100人天 |
2026.7(具体自合同签订之日起)-2027.6.30 |
|
(二)最高限价
本项目分三个包件均设有最高限价,包件一最高限价为89.6万元,包件二最高限价为78.4万元,包件三最高限价为148万元,供应商响应报价不得超出各包件的最高限价,若超出最高限价的,其响应将被否决。
(三)技术要求
1、服务要求
(1)当接到采购人的服务申请电话后,维护工程师应在10分钟内电话响应;2个小时内,维护工程师应到达现场;8个小时内提供分析报告和初步处置建议。
(2)采购人系统调整若涉及到本合同维护服务的,供应商提供协助。
(3)供应商对于采购人有关数据、配置、结构、文档等敏感信息实施保密,不得向供应商无关人员及第三方传播。
(4)供应商承诺无论出现任何情况,都将优先配置资源为采购人提供服务,包括但不限于渗透测试、安全人天服务以及新业务功能上线后的生产环境渗透测试人天服务。
(5)互联网全量系统渗透测试服务(年度渗透1、2、3)要求如下:一是按银保监会颁布的《电子银行业务管理办法》、《电子银行安全评估指引》、人民银行颁布的《网上银行信息安全通用规范》、《金融网络安全相关测试标准》以及《金融行业网络安全等级保护测评指南》、《金融网络安全web应用服务安全通用规范》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全检测规范》等要求对采购人全量互联网系统提供现场渗透测试;二是应在采购人规定时间内提交渗透测试方案、计划以及渗透测试报告,并且尽量减少渗透测试对采购人的影响与风险;三是根据渗透测试发现问题情况,对问题进行归类汇总并分析原因,按采购人实际情况提供切实可行的整改建议或补偿控制措施;四是在发生监管部门定义的信息科技突发事件时,应及时向采购人报告,报告内容包括但不限于:事件的影响范围和严重程度,以及对应的处置和纠正措施;五是配合采购人的内、外部审计机构和监管机构的检查;六是在采购人进行漏洞问题修补时提供现场支持、分析整改影响、对整改情况进行验证;七是针对渗透测试发现漏洞的复测时间要求:高危漏洞在接到采购人复测通知2日内完成漏洞复测并提供复测报告,中低危漏洞在接到采购人复测通知6日内完成漏洞复测并提供复测报告;
(6)安全人天服务(新上线互联网系统渗透测试)要求如下:一是根据采购人需求提供7*24小时应急事件响应并提供处置建议;二是针对上级部门、监管机构的安全风险提示、应急事件处置以及专项安全检查要求,配合开展相应的风险排查并提供处置建议;三是针对监管机构通报漏洞的排查和验证:根据采购人要求提供对上级部门、监管机构通报漏洞的排查:高危漏洞在接到采购人排查通知6小时内完成漏洞排查并提供排查报告,中低危漏洞在接到采购人排查通知2日内完成漏洞复测并提供复测报告;其他一切服务要求同互联网全量系统渗透测试服务。
(7)安全人天服务(安全基线检查)要求如下:一是根据监管要求、采购人安全需求以及行业内安全配置基线更新情况,为采购人提供安全配置基线咨询和修订工作;二是提供采购人新上线系统的安全配置基线检查和整改支持服务;三是提供安全应急响应、安全事件处置与风险排查服务;四是漏洞扫描现场支持,并提供漏洞分析、验证和报告整理:对每次漏洞扫描发现的漏洞协助采购人进行风险评估,并提供处置建议;在采购人进行漏洞问题修补时提供现场支持、分析整改影响、对整改情况进行验证。
2、服务人员要求
(1)安排一位有渗透测试经验和项目管理经验的人员担任项目经理,全程参与本项目整体统筹管理,包括但不限于:项目实施、进度管控、质量监督、风险排查、成果审核、沟通协调及文档交付等工作。
(2)安排至少有三年以上类似安全项目工作经验的人员担任服务人员,人员资质、数量要能满足工作内容与时间节点要求,如果不满足,采购人有权要求更换项目成员。保证参加本项目实施人员的稳定,原则上项目经理不得变动,人员流动比例不得超过15%,人员流动必须经采购人书面同意。
(3)具有相应岗位的工作能力和良好的沟通能力,身体健康,并应通过相关供应商认证。
(4)在服务人员入场之后,采购人有权根据各个人员的具体工作表现,提出人员更换要求,供应商需在1周内及时更换具有相应能力的替代候选人,并在2周内到位。
(5)每次现场渗透性测试人员投入总计不少于3人,且全部投入人员近三年内具有3家以上国有银行或全国性股份制银行渗透测试项目经验,且至少2人具备三年以上漏洞研究经验和独立漏洞发掘能力。
(6)所有人员必须为供应商或其分公司自有员工,如分公司投标可选用对应分公司及总公司员工,不得为其母公司、子公司、关联公司人员。
3、中标要求
本项目为实现交叉测试目标,确保项目完成质量,同时满足人民银行发布《金融网络安全相关测试标准》等监管要求,本项目划分为包件一、包件二、包件三共3个独立包件,若同一供应商在2个或以上包件中综合得分排名第一,则供应商将成交“项目预算金额最高”的包件。根据不兼中原则,该供应商须自动放弃其他包件的成交资格,将由该包件的下一顺位候选人(即原第二名)依序递补成交资格。
二、供应商资格要求
(一)一般资格要求
1、具有独立承担民事责任能力的法人或具备国家认可经营资格的其他组织,公司经营正常并存续3年(含)以上,营业执照中含本项目相关业务。(提供有效营业执照复印件并加盖公章,非企业性单位提供相应的有效登记证书复印件并加盖公章;如分支机构参加报名的还须提供总公司出具的授权书复印件并加盖公章)
2、提供被授权人委托授权书原件(授权书需包含授权项目名称、授权事项、法人身份信息、被授权人姓名/联系电话/邮箱等内容,且须由法人及被授权人签字,并加盖公章)、法人及被授权人身份证复印件、截止报名时间前三个月(其中任意一月)被授权人在响应人单位的社保缴纳证明(加盖公章)。
3、具有良好的商业信誉和健全的财务会计制度,近三年财务状况良好。(提供2023-2025年财务报表复印件,至少包括资产负债表、利润表、现金流量表,复印件清晰并加盖公章)
4、可开具合法的增值税专用发票。(若报名人为增值税一般纳税人,须提供国税网站查找的增值税一般纳税人证明截图的复印件;若报名人非增值税一般纳税人须承诺能开具增值税专用发票,提供书面承诺,格式自拟,加盖公章)
5、供应商当前未被信用中国(http://www.creditchina.gov.cn)列入“失信被执行人、重大税收违法失信主体、政府采购严重违法失信行为记录名单”,以三张页面查询结果截图为准。(提供查询结果截图)
6、供应商近三年内(从2023年1月1日至今)在经营活动中没有重大违法记录,以国家企业信用公示系统(http://www.gsxt.gov.cn)中有关“列入经营异常名录信息、行政处罚信息、列入严重违法失信名单(黑名单)信息”的三张页面查询结果截图为准。(提供查询结果截图)
7、供应商及其法定代表人在近三年内(从2023年1月1日至今)无行贿犯罪记录,以中国裁判文书网(https://wenshu.court.gov.cn)在“高级检索”“案由”“刑事案由”内选择“贪污贿赂罪”(含企业名称和法定代表人姓名)的查询结果截图为准(查询结果无行贿犯罪记录)。(提供查询结果截图)
8、同一法定代表人的两个及两个以上法人,母公司、全资子公司及其控股公司,不得同时参与本项目。(提供书面承诺,格式自拟,加盖公章)
9、本项目不接受联合体投标,不接受挂靠、借用资质投标,不允许转包或分包。(提供书面承诺,格式自拟,加盖公章)
(二)特殊资格要求
1、需提供近五年内银行机构总行级同类项目(需包含关键字“渗透测试”或“安全测试”或“应用渗透”或“web渗透”等相关字样)1个案例。(1、提供合同/框架合同及其订单复印件,包括但不限于合同首页、项目内容、签署页,加盖公章;2、提供与上述合同/框架合同及其订单相对应的清晰可见的距本项目公告发布之日前可在网上税务系统(https://inv-veri.chinatax.gov.cn/)查询的发票复印件及发票真伪查询截图,复印件须清晰可见无任何遮挡,对于模糊看不清或不可查询的发票不予认可。)
2、包件一、三:供应商应具备中国网络安全审查认证和市场监管大数据中心(原名中国网络安全审查技术与认证中心,CCRC)信息安全服务资质认证证书(信息安全风险评估);中国信息安全测评中心(CNITSEC)国家信息安全测评信息安全服务资质证书(安全开发类)二级或以上。(提供有效证书复印件)
3、包件二:供应商应具备公安部第三研究所颁发的网络安全服务认证证书等级保护测评服务认证证书。(提供有效证书复印件)
(三)供应商须知要求
报名供应商须仔细阅读我行供应商须知内容(详见上海农商银行供应商门户网站-重要通知-供应商须知),如违反须知条款内容,将依据本行供应商管理相关制度实施相应的处罚。严禁列入本行黑、灰名单的供应商在禁入期和禁入处罚期内参与项目。无不可抗力原因,报名供应商不得中途退出,一年内累计二次及以上无不可抗力原因退出响应的,将列入本行灰名单级供应商,实施相应处罚。
三、项目报名
1、项目报名时间:即日起至2026年6月24日15:00时。逾期系统上无法递交材料也不支持后补材料。
2、供应商注册:尚未注册的供应商,须先登录“上海农商银行供应商门户”(网址:https://pms2g.shrcb.com/)完成注册工作,成为上海农商银行系统在册供应商。未注册或系统使用有问题的供应商将无法参与本项目报名。已注册的供应商,请查验账户联系人是否正确,密码是否过期等问题。(具体系统操作可详见帮助中心-注册指南)
3、项目报名:供应商登录上海农商银行供应商门户(https://pms2g.shrcb.com/)后,点击“项目管理→我要报名→报名”,选择所要参与的项目,并按照上述第二款要求按序准备报名材料,在报名截止时间前,填写相关报名信息并提交报名材料(盖章扫描件),报名材料格式需参照附件1征集报名文件模板进行编制。系统上传报名材料时选择的供应商联系人需为本项目的授权代表,并确保授权代表的姓名、联系电话、电子邮箱的准确性。并同步准备纸质报名材料1份(须双面打印并装订成册),在截止时间前递交至本行集中采购中心或快递方式寄送。(具体系统操作可详见帮助中心-常见问题-供应商参与项目指南)
4、特别提醒:对于新供应商注册、供应商联系人录入、系统递交报名材料需预留时间,避免逾期无法上传报名材料。
四、联系人及联系方式
联 系 人:张颖莹、丁丽娟
联系电话:021-61899383、61899040
电子邮件:zhangyy@shrcb.com、dinglj@shrcb.com
地 址:上海农商银行集中采购中心(上海市黄浦区中山东二路70号D栋7楼)
邮 编:200002
上海农商银行集中采购中心
二〇二六年六月
查看附件: 附件1 征集报名文件模板.docx