根據(jù)業(yè)務(wù)發(fā)展需要��,按照寧波銀行股份有限公司采購相關(guān)管理辦法�����,我行擬對《 安全運營提升與重保服務(wù) 項目》面向社會公開征集供應(yīng)商����,誠邀符合條件的供應(yīng)商參與方案洽談�����。
一��、資質(zhì)要求
1��、注冊資金人民幣200萬元(含)以上�����,財務(wù)狀況良好��;
2����、公司經(jīng)營正常并存續(xù)2年(含)以上;
3����、企業(yè)或者其法人近兩年內(nèi)無行賄犯罪記錄,未被列入失信執(zhí)行人名單�����,無限制高消費����、限制出入境等行為;
4��、公司具備完善的組織架構(gòu)和制度規(guī)范��,擁有充足的技術(shù)��、人員和設(shè)備資源�����;
5、同一法定代表人的兩個及兩個以上法人��、母公司�����、全資子公司及其控股公司不得在同一次項目中參加報名��;
6�����、參與報名的供應(yīng)商能作為簽約主體參與后期的商務(wù)流程��;
7��、設(shè)備和產(chǎn)品應(yīng)滿足《網(wǎng)絡(luò)安全法》等法律法規(guī)要求�����;
8�����、報名供應(yīng)商應(yīng)符合寧波銀行供應(yīng)商管理相關(guān)要求��;
9��、如報名供應(yīng)商為首次與我行合作供應(yīng)商�����,請按附件格式提供“供應(yīng)商盡職調(diào)查報告”����。
二、技術(shù)要求
1�����、公司擬參與項目經(jīng)理��、技術(shù)經(jīng)理必須通過寧波銀行面試����,人員面試不合格的公司不予準(zhǔn)入。
2�����、能夠提供完整�����、可落地的安全架構(gòu)提升、常態(tài)化安全運營機制優(yōu)化�����、重要日期網(wǎng)絡(luò)安全保障方案�����。
3�����、2020年至今����,服務(wù)廠商至少具有5家金融機構(gòu)總部全國性重要日期安全保障主防項目案例��;項目經(jīng)理至少具有3次金融機構(gòu)總部全國性重要日期保障主防項目經(jīng)理工作經(jīng)驗。且上述項目中����,防守單位均未被監(jiān)管部門通報或有較大失分��。
4、項目供應(yīng)商需具備以下資質(zhì):
①ISO27001認(rèn)證����;
②國家信息安全測評信息安全服務(wù)資質(zhì)證書-風(fēng)險評估類二級或安全運營類二級或安全開發(fā)類一級;
③CCRC信息安全服務(wù)資質(zhì)認(rèn)證證書-應(yīng)急處理一級或風(fēng)險評估二級��。
三�����、報名方式及起始時間
請符合條件的供應(yīng)商在 2024 年 11 月 25 日之前,通過報名鏈接“點擊報名”方式進(jìn)行報名��,報名鏈接如下:https://cpms.nbcb.com.cn/cpms/ananymous/cms/�����,并按要求填寫相關(guān)報名材料����。
四、聯(lián)系方式
聯(lián)系人: 張學(xué)輝 0574-83050673 (采購部)
徐 濤 0574-87077174 (業(yè)務(wù)部)
安全運營提升與重保服務(wù) 項目主要需求概述
一��、基本需求:
為進(jìn)一步增強我行及相關(guān)子公司(以下通稱“我行”)安全防護��,保障系統(tǒng)安全穩(wěn)定運行����,現(xiàn)邀請安全服務(wù)公司��,協(xié)助我行提升安全運營能力��,做好2025年重要日期安全保障等工作����。具體需求如下:
1����、提升安全防護架構(gòu):
(1) 結(jié)合我行資產(chǎn)特點及網(wǎng)絡(luò)架構(gòu),從互聯(lián)網(wǎng)邊界��、第三方邊界�����、內(nèi)網(wǎng)重要網(wǎng)絡(luò)橫向攻擊��、集權(quán)系統(tǒng)防護等方面����,梳理我行可面臨的攻擊路徑和攻擊場景�����。
(2) 針對梳理出的攻擊路徑,通過評估和測試等方式��,發(fā)現(xiàn)我行面臨的安全風(fēng)險��,并協(xié)助我行進(jìn)行整改和防護����。
(3) 基于攻擊路徑,評估我行安全設(shè)備部署情況及網(wǎng)絡(luò)架構(gòu)的覆蓋度和有效性�����,對安全架構(gòu)����、防護策略及監(jiān)控規(guī)則進(jìn)行優(yōu)化。
2����、優(yōu)化常態(tài)化安全運營機制:
(1) 協(xié)助我行完善常態(tài)化網(wǎng)絡(luò)安全保障方案,明確職責(zé)分工��、流程機制,提升應(yīng)急效率��。
(2) 協(xié)助我行制定并完善各攻擊場景下的應(yīng)急預(yù)案��,并進(jìn)行驗證����。
3、制定2025年重要日期網(wǎng)絡(luò)安全保障方案:
(1) 協(xié)助我行制定2025年安全重保方案��。
(2) 協(xié)助我行開展重保專項評估和排查��,發(fā)現(xiàn)安全風(fēng)險�����,提升防護能力��。
二�����、服務(wù)要求
1����、要求服務(wù)提供商原廠人員負(fù)責(zé)項目實施����,并在項目招標(biāo)前����,明確1名項目經(jīng)理��、1名技術(shù)經(jīng)理和不少于3名技術(shù)骨干人員��,上述人員原則上不允許更換����。
2、要求服務(wù)廠商承諾項目經(jīng)理����、技術(shù)經(jīng)理和項目骨干均全程參與2025年我行國家和省級重要日期保障值守工作(7×24小時)。
3����、服務(wù)提供商應(yīng)對我行漏洞(無論是否已修復(fù))、安全防護和防護情況進(jìn)行嚴(yán)格保密����,禁止在任何公共渠道�����、自媒體或向第三方透露我行信息�����。
附件:
寧波銀行信息科技服務(wù)提供商盡職調(diào)查報告
一����、基本信息
1.1服務(wù)提供商基本信息
服務(wù)提供商全稱 |
|
成立日期 |
| 法人代表 |
|
公司類型 |
| 注冊資本&幣種 |
|
統(tǒng)一社會信用代碼 |
|
公司地址 |
|
聯(lián)系人 |
| 聯(lián)系人電話 |
|
公司主營業(yè)務(wù) |
|
1.2監(jiān)管評價
(是否出現(xiàn)在監(jiān)管機構(gòu)的黑名單中)
(最近二年在政府或金融同業(yè)合作過程中是否受到處罰)
(是否存在未決訴訟)
1.3關(guān)聯(lián)公司或附屬機構(gòu)信息
(關(guān)聯(lián)公司或附屬機構(gòu)是否存在經(jīng)營危機��,該危機是否危及該服務(wù)提供商的正常經(jīng)營)
1.4主要客戶清單列表
(主要客戶群體)
二�����、服務(wù)提供商持續(xù)經(jīng)營能力
2.1財務(wù)情況
(近三年經(jīng)審計的財務(wù)報表)
三�����、服務(wù)提供商內(nèi)部控制和管理能力
3.1服務(wù)提供商內(nèi)控評估報告
(評估報告內(nèi)容如覆蓋以下3.2-3.6內(nèi)容�����,則將評估報告內(nèi)容對應(yīng)填寫至各個部分)
3.2服務(wù)提供商的組織結(jié)構(gòu)
(內(nèi)部控制部門����,如是否建立了內(nèi)部的使用工具的安全測試部門�����、內(nèi)控部門��、審計部門)
3.3 IT制度體系建設(shè)
(是否對其公司及項目的安全管理及流程管理建立了相應(yīng)的制度)
(項目過程中的項目管理(PMO)體系,包括例會��、溝通渠道等)
(服務(wù)質(zhì)量控制方法)
3.4培訓(xùn)體系建設(shè)
(是否對其員工定期開展技術(shù)技能以及安全防范相關(guān)的培訓(xùn)�����,提供培訓(xùn)計劃或培訓(xùn)材料)
3.5服務(wù)提供商人員離職率
(了解公司技術(shù)人員的離職率)
3.6IT風(fēng)險管控
(包括對公司本身的IT風(fēng)險管控及所承接外包項目的IT風(fēng)險管控情況)
四�����、服務(wù)提供商信息技術(shù)能力
4.1服務(wù)能力和支持技術(shù)
(服務(wù)提供商的技術(shù)能力資質(zhì)證明�����,專業(yè)認(rèn)證等)
(描述使用的工作方法�����、應(yīng)用軟件、技術(shù)文檔����、評估模型、評估工具等使用情況����、知識產(chǎn)權(quán)等)
4.2服務(wù)經(jīng)驗與市場評價
(服務(wù)提供商主要的服務(wù)行業(yè)、主營業(yè)務(wù)��、服務(wù)客戶)
(類似的服務(wù)項目經(jīng)驗及項目合同證明材料)
五����、服務(wù)提供商的網(wǎng)絡(luò)和信息安全保障能力
(該項評估內(nèi)容用于非駐場信息科技外包)
(描述內(nèi)容可包括網(wǎng)絡(luò)與信息安全管理體系建設(shè)情況、網(wǎng)絡(luò)與信息安全技術(shù)防護體系建設(shè)情況����、安全事件響應(yīng)和恢復(fù)能力、實踐經(jīng)驗等)