招标
上海农商银行2023年网络安全重大保障服务供应商征集公告
金额
-
项目地址
上海市
发布时间
2023/10/25
公告摘要
公告正文
编号:ITCG202300384
为服务本行2023年网络安全重大保障服务需求:一是需沿用现有安全设备厂商人员服务,提升重要时点针对高等级威胁和安全事件的分析和处置能力。二是基于本年度新增专项保障需求加强演习期间7*24小时的值守力量和安全事件处置速度。
一、采购内容及要求
(一)采购内容
满足2023年10月至2024年6月30日的重大保障时期网络安全值守和保障工作。包含不少于以下内容:
(二)技术要求
包件1:
1.服务要求
(1)作为网络安全重大保障项目外部专家全程参与本行网络安全重大保障;
(2)具有应对并指导本行妥善处置重保期间发生的社会工程学攻击事件的能力;
(3)协助本行重保期间社会工程学攻击事件的响应、分析、回溯、处置,负责整理各类网络安全事件形成汇报材料;
(4)须同时具有CNCERT网络安全应急服务支持单位(省级或以上)、中国信息安全测评中心信息安全服务资质-安全工程类(三级)以及CNNVD技术支撑单位(一级)资质。
2.服务人员要求
(1)至少2年的网络安全重大保障项目中社会工程学攻击防范方向服务经验和至少8年的网络安全行业工作经验;
(2)曾经作为外部专家主导过金融机构网络安全重大保障项目中的社会工程学攻击事件的分析、处置和溯源分析工作;
(3)至少具备CSSLP、CISP或CISSP等同等资质证书;
(4)以上须提供相关证明。
3.交付成果
供应商应提交相关服务技术文档,包含但不限于以下内容:
(1)网络安全重大保障服务工作日报;
(2)整个重大保障期间采购人技战法分析和提升建议报告。
包件2:
1.服务要求
(1)作为网络安全重大保障项目外部专家全程参与本行网络安全重大保障;
(2)具有应对并指导本行妥善处置重保期间发生的互联网攻击事件的能力;
(3)协助本行重保期间互联网攻击事件的响应、分析、回溯、处置,负责整理各类网络安全事件形成汇报材料;
(4)须同时具有CNCERT网络安全应急服务支持单位(省级或以上)、中国信息安全测评中心信息安全服务资质-安全工程类(三级)以及CNNVD技术支撑单位(一级)资质。
2.服务人员要求
(1)至少8年的网络安全事件分析和处置服务经验;
(2)曾经作为外部专家主导过金融机构互联网攻击事件的分析、处置和溯源分析工作;
(3)至少具备CSSLP、CISP或CISSP等同等资质证书;
(4)以上须提供相关证明。
3.交付成果
供应商应提交相关服务技术文档,包含但不限于以下内容:
(1)网络安全重大保障服务工作日报;
(2)整个重大保障期间采购人技战法分析和提升建议报告。
包件3~包件14:
1.服务要求
(1)作为网络安全重大保障项目外部专家全程参与本行网络安全重大保障;
(2)具有设备攻击日志监控、安全策略调整及攻击事件研判能力;
(3)具有应对并指导本行妥善处置重保期间发生的安全事件的能力;
(4)协助本行重保期间安全事件的响应、分析、回溯、处置,负责整理各类网络安全事件形成汇报材料。
2.服务人员要求
(1)高级资质
至少5年的网络安全行业工作经验和至少2年的网络安全重大保障项目服务经验;
曾经作为外部专家主导过金融机构网络安全重大保障项目中的网络安全事件的分析、处置和溯源分析工作;
至少具备CSSLP、CISP或CISSP等同等资质证书;
以上须提供相关证明。
(2)中级资质
3年或以上网络安全保障、告警监控和事件研判分析经验;
曾经作为外部安全服务专家参加过至少2个以上金融机构网络安全重大保障服务;
以上须提供相关证明。
3.交付成果
供应商应提交相关服务技术文档,包含但不限于以下内容:
(1)网络安全重大保障服务工作日报;
(2)整个重大保障期间采购人技战法分析和提升建议报告。
包件15:
1.服务要求
(1)作为网络安全重大保障项目外部专家全程参与本行网络安全重大保障;
(2)具有应对并指导本行妥善监控和处置重保期间发生的社工安全事件的能力;
(3)协助本行重保期间社工安全事件的响应、分析、回溯、处置,负责整理各类网络安全事件形成汇报材料;
(4)须同时具有CNCERT网络安全应急服务支持单位(省级或以上)、中国信息安全测评中心信息安全服务资质-安全工程类(三级)以及CNNVD技术支撑单位(一级)资质。
2.服务人员要求
(1)至少1年的网络安全重大保障项目中社工安全方向服务经验和至少3年的网络安全行业工作经验;
(2)曾经作为外部专家参加过金融机构网络安全重大保障项目中的社工安全事件的监控、分析和处置工作;
(3)以上须提供相关证明。
3.交付成果
供应商应提交相关服务技术文档,包含但不限于以下内容:
(1)网络安全重大保障服务工作日报;
(2)整个重大保障期间采购人技战法分析和提升建议报告。
二、资质要求
包件1、包件2、包件15:
1.中华人民共和国境内合法注册的独立法人,公司经营正常并存续3年(含)以上,具有良好的商业信誉和健全的财务会计制度,近三年财务状况良好,经营活动中没有重大违法记录;
2.有依法缴纳税收和社会保障资金的良好记录,近三年无重大违法违规行为;
3.近五年具有工农中建交总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级同类(需包含“网络安全人天”或““网络安全服务”或“安全人天”或“安全服务”或“安全高级服务人天”或“网络安全重大保障”等字样)项目应用案例不少于3个;
4.同一法定代表人的两个及两个以上法人、母公司、全资子公司及其控股公司不得在同一次项目中参加报名;
5.本项目不接受联合体投标,不接受挂靠、借用资质投标,不允许转包或分包;
6.本项目仅接受具备服务资质和能力的原厂商参与报名。
包件3~包件14:
1.中华人民共和国境内合法注册的独立法人,公司经营正常并存续3年(含)以上,具有良好的商业信誉和健全的财务会计制度,近三年财务状况良好,经营活动中没有重大违法记录;
2.有依法缴纳税收和社会保障资金的良好记录,近三年无重大违法违规行为;
3.近五年具有工农中建交总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级同类(需包含“网络安全人天”或““网络安全服务”或“安全人天”或“安全服务”或“安全高级服务人天”或“网络安全重大保障”等字样)项目应用案例不少于3个;
4.同一法定代表人的两个及两个以上法人、母公司、全资子公司及其控股公司不得在同一次项目中参加报名;
5.本项目不接受联合体投标,不接受挂靠、借用资质投标,不允许转包或分包;
6.本项目仅接受具备服务资质和能力的代理商参与报名,须同时出具原厂针对本项目的授权书原件。涉及原厂支持服务,因原厂服务或产品缺陷造成损失的,由原厂承担,需原厂出具产品缺陷承诺书(详见附件3),并与我行签订保密协议(详见附件1)。
三、报名须知
申请人报名时,应提供以下材料:
1.公司信息及资质证明文件:“三证合一”营业执照、一般纳税人资格证明;
2.与本项目有关的技术资质文件等、原厂可与我行签订保密协议和产品缺陷的承诺书等;
3.代表人的身份证明、公司法人委托授权书、公司开户行及账号信息,内容包括但不限于公司授权代表姓名、联系电话和邮箱等;
4.最近三年财务报表;
5.案例中标/成交通知书、合同或客户证明材料,并另以清单形式列明案例;
6.关于公司近三年无重大违法违规行为的书面承诺。
7.无不可抗力原因,报名供应商不得中途退出。报名供应商一年内累计二次及以上无不可抗力原因退出响应的,将列入本行灰名单级供应商,实施相应处罚。
8.报名供应商须仔细阅读供应商须知内容(详见附件2),如违反须知条款内容,将依据本行供应商管理相关制度实施相应的处罚。
9. 报名时可以选择一个或多个包件报名。
以上请根据资质要求和报名须知进行材料的准备,所提供的复印件均需加盖单位公章,由法定代表人或被授权人签字,留存我行。并以电子文档形式发送至:fanweiwei@shrcb.com、fuxh@shrcb.com;(邮件内容必须清楚写明:公司全称、被授权人姓名、联系方式、邮箱地址)。
同时递送纸质材料,材料必须双面打印并装订成册,否则概不受理报名,后果将由报名方自行承担。现场报名地址:上海农商银行集中采购中心(上海市黄浦区中山东二路70号D栋7楼)。纸质报名材料可接受快递方式寄送。
报名截止时间:2023年11月1日15:00。
四、联系方式
联 系 人:樊魏伟、傅晓华
联系电话:021-60110714、61898992
电子邮件: fanweiwei@shrcb.com、fuxh@shrcb.com
地 址:上海农商银行集中采购中心(上海市黄浦区中山东二路70号D栋7楼)
邮 编:200002
上海农商银行集中采购中心
二〇二三年十月
附件:1、附件1:保密协议.docx2、附件2:供应商须知.docx3、附件3:产品缺陷承诺书.docx
为服务本行2023年网络安全重大保障服务需求:一是需沿用现有安全设备厂商人员服务,提升重要时点针对高等级威胁和安全事件的分析和处置能力。二是基于本年度新增专项保障需求加强演习期间7*24小时的值守力量和安全事件处置速度。
一、采购内容及要求
(一)采购内容
满足2023年10月至2024年6月30日的重大保障时期网络安全值守和保障工作。包含不少于以下内容:
序号 | 专业类别 | 人员种类 | 数量(人天) | 备注 |
包件1 | 网络安全重大保障服务(延续性保障)-社会工程学攻击防范方向 | 高级资质 | 28 | 负责重保期间社会工程学攻击事件的研判分析、应急处置和溯源 |
包件2 | 网络安全重大保障服务(延续性保障)-互联网攻击防范方向 | 高级资质 | 28 | 负责重保期间互联网攻击事件的研判分析、应急处置和溯源 |
包件3 | 网络安全重大保障服务(延续性保障)-勒索病毒防范方向 | 高级资质 | 28 | 沿用行内现有亚信防病毒软件厂商人员服务进行重保期间勒索病毒事件的研判分析、应急处置和溯源 |
网络安全重大保障服务(延续性保障)-主动防御平台 | 中级资质 | 28 | 沿用行内现有亚信主动防御平台厂商人员服务进行攻击日志监控、预警 | |
网络安全重大保障服务(延续性保障)-TDA\IMSA\DDEI\DDAN | 中级资质 | 28 | 沿用行内现有亚信TDA\IMSA\DDEI\DDAN厂商人员服务进行攻击日志监控、预警 | |
包件4 | 网络安全重大保障服务(延续性保障)-内网安全 | 高级资质 | 28 | 沿用行内现有绿盟IDS\ESPC\RSAS厂商人员服务进行内网安全事件研判,应急处置服务 |
网络安全重大保障服务(延续性保障)-入侵检测设备 | 中级资质 | 28 | 沿用行内现有绿盟入侵检测设备厂商人员服务进行攻击日志监控、预警 | |
包件5 | 网络安全重大保障服务(延续性保障)-网页防篡改 | 中级资质 | 28 | 沿用行内现有天存网页防篡改厂商人员服务进行攻击日志监控、预警 |
包件6 | 网络安全重大保障服务(延续性保障)-办公互联网应用防火墙 | 中级资质 | 28 | 沿用行内现有飞塔应用防火墙厂商人员服务进行攻击日志监控、预警 |
包件7 | 网络安全重大保障服务(延续性保障)-业务互联网应用防火墙 | 中级资质 | 28 | 沿用行内现有英普华应用防火墙厂商人员服务进行攻击日志监控、预警 |
包件8 | 网络安全重大保障服务(延续性保障)-入侵防御设备 | 中级资质 | 28 | 沿用行内现有派拓入侵防御设备厂商人员服务进行攻击日志监控、预警 |
包件9 | 网络安全重大保障服务(延续性保障)-威胁情报 | 中级资质 | 28 | 沿用行内现有微步威胁情报厂商人员服务进行攻击日志监控、预警 |
包件10 | 新增保障-主机入侵检测 | 中级资质 | 28 | 沿用行内现有青藤主机入侵检测(HIDS)厂商人员服务进行攻击日志监控、预警 |
包件11 | 新增保障-欺骗防御 | 中级资质 | 28 | 沿用行内现有默安欺骗防御(蜜罐)厂商人员服务进行攻击日志监控、预警 |
包件12 | 新增保障-网络安全流量分析 | 中级资质 | 28 | 沿用行内现有科来网络安全流量分析(NTA)厂商人员服务进行攻击日志监控、预警 |
包件13 | 新增专项保障-网页安全 | 中级资质 | 28 | 沿用行内现有天存网页防篡改厂商人员服务,增加对全集团(含村行、子公司)网页安全的防护和事件应急处置速度,及时发现和阻止非正常的网页攻击和修改行为 |
包件14 | 新增专项保障-内网安全 | 中级资质 | 28 | 沿用行内现有绿盟IDS\ESPC\RSAS厂商人员服务,增加对全集团(含村行、子公司)内网安全的防护和事件应急处置速度,及时发现和阻止内网渗透攻击和终端钓鱼行为 |
包件15 | 新增专项保障-社工安全 | 中级资质 | 28 | 增加对全集团(含村行、子公司)社工安全的防护和事件应急处置速度,及时发现和阻止无人机、通讯干扰车及应聘厂商人员入场等社工行为。 |
(二)技术要求
包件1:
1.服务要求
(1)作为网络安全重大保障项目外部专家全程参与本行网络安全重大保障;
(2)具有应对并指导本行妥善处置重保期间发生的社会工程学攻击事件的能力;
(3)协助本行重保期间社会工程学攻击事件的响应、分析、回溯、处置,负责整理各类网络安全事件形成汇报材料;
(4)须同时具有CNCERT网络安全应急服务支持单位(省级或以上)、中国信息安全测评中心信息安全服务资质-安全工程类(三级)以及CNNVD技术支撑单位(一级)资质。
2.服务人员要求
(1)至少2年的网络安全重大保障项目中社会工程学攻击防范方向服务经验和至少8年的网络安全行业工作经验;
(2)曾经作为外部专家主导过金融机构网络安全重大保障项目中的社会工程学攻击事件的分析、处置和溯源分析工作;
(3)至少具备CSSLP、CISP或CISSP等同等资质证书;
(4)以上须提供相关证明。
3.交付成果
供应商应提交相关服务技术文档,包含但不限于以下内容:
(1)网络安全重大保障服务工作日报;
(2)整个重大保障期间采购人技战法分析和提升建议报告。
包件2:
1.服务要求
(1)作为网络安全重大保障项目外部专家全程参与本行网络安全重大保障;
(2)具有应对并指导本行妥善处置重保期间发生的互联网攻击事件的能力;
(3)协助本行重保期间互联网攻击事件的响应、分析、回溯、处置,负责整理各类网络安全事件形成汇报材料;
(4)须同时具有CNCERT网络安全应急服务支持单位(省级或以上)、中国信息安全测评中心信息安全服务资质-安全工程类(三级)以及CNNVD技术支撑单位(一级)资质。
2.服务人员要求
(1)至少8年的网络安全事件分析和处置服务经验;
(2)曾经作为外部专家主导过金融机构互联网攻击事件的分析、处置和溯源分析工作;
(3)至少具备CSSLP、CISP或CISSP等同等资质证书;
(4)以上须提供相关证明。
3.交付成果
供应商应提交相关服务技术文档,包含但不限于以下内容:
(1)网络安全重大保障服务工作日报;
(2)整个重大保障期间采购人技战法分析和提升建议报告。
包件3~包件14:
1.服务要求
(1)作为网络安全重大保障项目外部专家全程参与本行网络安全重大保障;
(2)具有设备攻击日志监控、安全策略调整及攻击事件研判能力;
(3)具有应对并指导本行妥善处置重保期间发生的安全事件的能力;
(4)协助本行重保期间安全事件的响应、分析、回溯、处置,负责整理各类网络安全事件形成汇报材料。
2.服务人员要求
(1)高级资质
至少5年的网络安全行业工作经验和至少2年的网络安全重大保障项目服务经验;
曾经作为外部专家主导过金融机构网络安全重大保障项目中的网络安全事件的分析、处置和溯源分析工作;
至少具备CSSLP、CISP或CISSP等同等资质证书;
以上须提供相关证明。
(2)中级资质
3年或以上网络安全保障、告警监控和事件研判分析经验;
曾经作为外部安全服务专家参加过至少2个以上金融机构网络安全重大保障服务;
以上须提供相关证明。
3.交付成果
供应商应提交相关服务技术文档,包含但不限于以下内容:
(1)网络安全重大保障服务工作日报;
(2)整个重大保障期间采购人技战法分析和提升建议报告。
包件15:
1.服务要求
(1)作为网络安全重大保障项目外部专家全程参与本行网络安全重大保障;
(2)具有应对并指导本行妥善监控和处置重保期间发生的社工安全事件的能力;
(3)协助本行重保期间社工安全事件的响应、分析、回溯、处置,负责整理各类网络安全事件形成汇报材料;
(4)须同时具有CNCERT网络安全应急服务支持单位(省级或以上)、中国信息安全测评中心信息安全服务资质-安全工程类(三级)以及CNNVD技术支撑单位(一级)资质。
2.服务人员要求
(1)至少1年的网络安全重大保障项目中社工安全方向服务经验和至少3年的网络安全行业工作经验;
(2)曾经作为外部专家参加过金融机构网络安全重大保障项目中的社工安全事件的监控、分析和处置工作;
(3)以上须提供相关证明。
3.交付成果
供应商应提交相关服务技术文档,包含但不限于以下内容:
(1)网络安全重大保障服务工作日报;
(2)整个重大保障期间采购人技战法分析和提升建议报告。
二、资质要求
包件1、包件2、包件15:
1.中华人民共和国境内合法注册的独立法人,公司经营正常并存续3年(含)以上,具有良好的商业信誉和健全的财务会计制度,近三年财务状况良好,经营活动中没有重大违法记录;
2.有依法缴纳税收和社会保障资金的良好记录,近三年无重大违法违规行为;
3.近五年具有工农中建交总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级同类(需包含“网络安全人天”或““网络安全服务”或“安全人天”或“安全服务”或“安全高级服务人天”或“网络安全重大保障”等字样)项目应用案例不少于3个;
4.同一法定代表人的两个及两个以上法人、母公司、全资子公司及其控股公司不得在同一次项目中参加报名;
5.本项目不接受联合体投标,不接受挂靠、借用资质投标,不允许转包或分包;
6.本项目仅接受具备服务资质和能力的原厂商参与报名。
包件3~包件14:
1.中华人民共和国境内合法注册的独立法人,公司经营正常并存续3年(含)以上,具有良好的商业信誉和健全的财务会计制度,近三年财务状况良好,经营活动中没有重大违法记录;
2.有依法缴纳税收和社会保障资金的良好记录,近三年无重大违法违规行为;
3.近五年具有工农中建交总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级同类(需包含“网络安全人天”或““网络安全服务”或“安全人天”或“安全服务”或“安全高级服务人天”或“网络安全重大保障”等字样)项目应用案例不少于3个;
4.同一法定代表人的两个及两个以上法人、母公司、全资子公司及其控股公司不得在同一次项目中参加报名;
5.本项目不接受联合体投标,不接受挂靠、借用资质投标,不允许转包或分包;
6.本项目仅接受具备服务资质和能力的代理商参与报名,须同时出具原厂针对本项目的授权书原件。涉及原厂支持服务,因原厂服务或产品缺陷造成损失的,由原厂承担,需原厂出具产品缺陷承诺书(详见附件3),并与我行签订保密协议(详见附件1)。
三、报名须知
申请人报名时,应提供以下材料:
1.公司信息及资质证明文件:“三证合一”营业执照、一般纳税人资格证明;
2.与本项目有关的技术资质文件等、原厂可与我行签订保密协议和产品缺陷的承诺书等;
3.代表人的身份证明、公司法人委托授权书、公司开户行及账号信息,内容包括但不限于公司授权代表姓名、联系电话和邮箱等;
4.最近三年财务报表;
5.案例中标/成交通知书、合同或客户证明材料,并另以清单形式列明案例;
6.关于公司近三年无重大违法违规行为的书面承诺。
7.无不可抗力原因,报名供应商不得中途退出。报名供应商一年内累计二次及以上无不可抗力原因退出响应的,将列入本行灰名单级供应商,实施相应处罚。
8.报名供应商须仔细阅读供应商须知内容(详见附件2),如违反须知条款内容,将依据本行供应商管理相关制度实施相应的处罚。
9. 报名时可以选择一个或多个包件报名。
以上请根据资质要求和报名须知进行材料的准备,所提供的复印件均需加盖单位公章,由法定代表人或被授权人签字,留存我行。并以电子文档形式发送至:fanweiwei@shrcb.com、fuxh@shrcb.com;(邮件内容必须清楚写明:公司全称、被授权人姓名、联系方式、邮箱地址)。
同时递送纸质材料,材料必须双面打印并装订成册,否则概不受理报名,后果将由报名方自行承担。现场报名地址:上海农商银行集中采购中心(上海市黄浦区中山东二路70号D栋7楼)。纸质报名材料可接受快递方式寄送。
报名截止时间:2023年11月1日15:00。
四、联系方式
联 系 人:樊魏伟、傅晓华
联系电话:021-60110714、61898992
电子邮件: fanweiwei@shrcb.com、fuxh@shrcb.com
地 址:上海农商银行集中采购中心(上海市黄浦区中山东二路70号D栋7楼)
邮 编:200002
上海农商银行集中采购中心
二〇二三年十月
附件:1、附件1:保密协议.docx2、附件2:供应商须知.docx3、附件3:产品缺陷承诺书.docx
返回顶部