招标
晋商银行2021年等级保护服务项目供应商征集公告
金额
-
项目地址
-
发布时间
2021/05/19
公告摘要
公告正文
一、项目名称
晋商银行2021年系统等级保护服务项目
二、项目背景
网络安全等级保护制度2.0已正式实施,根据《网络安全等级保护条例》(征求意见稿)要求,第三级以上网络运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患。
根据《中华人民共和国网络安全法》第三十八条要求,“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估”。
通过开展等级保护项目,协助我行将落实等保2.0要求,并将相关要求作为我行系统安全建设和整改工作的依据,完善网络系统安全管理体系和技术防护体系。
三、项目要求(包括工作的范围、内容、期限)
(一)工作范围
该项目工作范围包括系统等级保护测评、信息安全风险评估、关键信息基础设施检查评估、金融行业等保2.0安全合规基线建设、安全培训、应急支持等内容。
(二)工作内容
1、等级保护测评
按照国家网络安全等级保护的相关政策和标准,依据《信息安全技术 网络安全等级保护基本要求》(GB/T22239-2019)和《金融行业网络安全等级保护实施指引》(JR/T0071-2020)中第三级和第二级系统的要求,对我行4个三级系统和2个二级系统开展等级保护测评工作。
网络安全等级保护测评内容包括:①技术方面:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;②管理方面:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理十个模块。
2、信息安全风险评估
按照《信息安全风险评估实施指南》(GB/T 31509-2015)要求,对我行被测评系统开展风险评估服务。
风险评估应从技术和管理层面上对系统综合安全状态进行全面评估,包括识别信息系统的所有资产,对资产进行威胁分析、脆弱性分析,对系统进行配置核查、漏洞扫描和渗透测试等工作。
3、关键信息基础设施检查评估
按照《信息安全技术 关键信息基础设施安全检查评估指南》(征求意见稿)对我行2个关键信息基础设施开展检查评估,并出具符合评估指南要求的报告。
4、金融行业等保2.0安全合规基线建设
依据《金融行业网络安全等级保护实施指引》(JR/T0071-2020)、《金融行业网络安全等级保护测评指南》(JR/T0072-2020)和《网络安全等级保护测评高风险判定指引》(T/ISEAA 001-2020)等标准,对我行现有安全体系进行梳理并进行差距分析,建立符合我行实际的金融行业等保2.0安全合规基线,需包含我行主流网络设备、安全设备、操作系统、中间件和数据库,同时需配合我行信创试点工作的开展,指导完成信创产品安全部署,制定安全配置手册。配合我行自动化作业平台,编写自动化基线检查和加固脚本。
4、安全培训
对我行总行科技信息部全体人员开展金融行业等保2.0安全合规基线培训,对被测评系统相关人员开展等保测评培训,对我行信息安全人员进行网络安全专业培训。
5、应急支持
服务周期内如被测评系统发生网络安全问题提供应急支持和人员保障,网络安全特殊时期提供应急保障和宣传教育支持等。
(三)工作期限
本项目服务期限为中标后一年。
(四)服务要求
在实施现场测评时,应严格按照《金融行业信息安全等级保护测评服务安全指引》(JR/T0073-2012)中对于测评人员、测评工具和测评过程的相关要求执行,有效规避等级保护测评工作中的风险。
测评工作结束后,按照统一模板出具网络安全等级测评报告和风险评估报告,并对测评中发现的问题提出可行的改进建议与措施,协助我行对相关系统问题进行整改,整改完成后开展回归测评。
五、潜在供应商资格要求
(一)资质和能力要求
1、具备独立法人资格,具有完成项目的技术力量;
2、具有良好的商业信誉和健全的财务会计制度;
3、具有依法缴纳税收和社会保障资金的良好记录;
4、具有履行合同所必需的设备和专业技术能力;
5、具有网络安全等级保护测评机构证书,并在征集期内可正常开展等级测评业务;
6、具有信息安全风险评估服务资质;
7、2018年至今(以合同签署时间为准)具备3个及以上银行业信息系统等保测评及其他相关服务的案例;
8、与其它报名的供应商不存在任何关联关系。。
(三)其它要求
1、理解我行项目实施、人员管理、财务管理的相关规定;
2、响应我行签订服务项目管理协议的要求,包括但不限于保密协议、服务承诺书、工作计划任务书、等级保护测评及工具测试方案;
3、接受我行内部、第三方机构、上级监管部门的检查、监督及审计等。
4、中标后应立即开始项目实施,保证项目人员充足,参与项目的现场测评人员应不得少于4名,并应具有等级保护测评师资质,其中高、中级测评师各不少于1名;
5、等级保护测评过程中,严格遵守保密要求,发现漏洞后,第一时间通知晋商银行有关人员,未经许可,不可将任何漏洞有关信息泄露给第三方;
6、项目服务过程中产生的所有电子、纸质文档及研究成果归晋商银行所有,上述内容不得私自转让或披露给第三方;
7、如供应商相关人员未遵守晋商银行要求,造成晋商银行经济损失或声誉损失,晋商银行可依法追究相关责任。
六、潜在供应商需提交的材料及方式、时间
1、需提交材料:
(一)营业执照、税务(国税、地税)登记证、组织机构代码证副本或统一社会信用代码证;
(二)网络安全等级保护测评机构推荐证书;
(三)信息安全风险评估服务资质;
(四)企业及服务团队简介;
(五)2017年至今(以合同签署时间为准),公司或实施团队所承接的相关案例清单、简介、合同等证明材料;
(六)提供公司联系人、电话、电子邮箱、地址等;
(七)包含分项及总价的报价文件。
注:上述资料均需提供加盖公章的扫描件。
2、提交方式:电子邮件wangqing@jshbank.com,邮件名称:晋商银行信息系统等级保护测评项目+供应商名称;
3、提交时间:2020年5月19日—2020年5月25日。
4、我行将根据潜在供应商报名情况安排后续商务、技术交流时间。
七、联系方式
商务联系人:王青
联系电话:13753130403
邮箱地址:wangqing@jshbank.com
技术联系人:张青
联系电话:13835177173
邮箱:zhangqing@jshbank.com
晋商银行2021年系统等级保护服务项目
二、项目背景
网络安全等级保护制度2.0已正式实施,根据《网络安全等级保护条例》(征求意见稿)要求,第三级以上网络运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患。
根据《中华人民共和国网络安全法》第三十八条要求,“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估”。
通过开展等级保护项目,协助我行将落实等保2.0要求,并将相关要求作为我行系统安全建设和整改工作的依据,完善网络系统安全管理体系和技术防护体系。
三、项目要求(包括工作的范围、内容、期限)
(一)工作范围
该项目工作范围包括系统等级保护测评、信息安全风险评估、关键信息基础设施检查评估、金融行业等保2.0安全合规基线建设、安全培训、应急支持等内容。
(二)工作内容
1、等级保护测评
按照国家网络安全等级保护的相关政策和标准,依据《信息安全技术 网络安全等级保护基本要求》(GB/T22239-2019)和《金融行业网络安全等级保护实施指引》(JR/T0071-2020)中第三级和第二级系统的要求,对我行4个三级系统和2个二级系统开展等级保护测评工作。
网络安全等级保护测评内容包括:①技术方面:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;②管理方面:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理十个模块。
2、信息安全风险评估
按照《信息安全风险评估实施指南》(GB/T 31509-2015)要求,对我行被测评系统开展风险评估服务。
风险评估应从技术和管理层面上对系统综合安全状态进行全面评估,包括识别信息系统的所有资产,对资产进行威胁分析、脆弱性分析,对系统进行配置核查、漏洞扫描和渗透测试等工作。
3、关键信息基础设施检查评估
按照《信息安全技术 关键信息基础设施安全检查评估指南》(征求意见稿)对我行2个关键信息基础设施开展检查评估,并出具符合评估指南要求的报告。
4、金融行业等保2.0安全合规基线建设
依据《金融行业网络安全等级保护实施指引》(JR/T0071-2020)、《金融行业网络安全等级保护测评指南》(JR/T0072-2020)和《网络安全等级保护测评高风险判定指引》(T/ISEAA 001-2020)等标准,对我行现有安全体系进行梳理并进行差距分析,建立符合我行实际的金融行业等保2.0安全合规基线,需包含我行主流网络设备、安全设备、操作系统、中间件和数据库,同时需配合我行信创试点工作的开展,指导完成信创产品安全部署,制定安全配置手册。配合我行自动化作业平台,编写自动化基线检查和加固脚本。
4、安全培训
对我行总行科技信息部全体人员开展金融行业等保2.0安全合规基线培训,对被测评系统相关人员开展等保测评培训,对我行信息安全人员进行网络安全专业培训。
5、应急支持
服务周期内如被测评系统发生网络安全问题提供应急支持和人员保障,网络安全特殊时期提供应急保障和宣传教育支持等。
(三)工作期限
本项目服务期限为中标后一年。
(四)服务要求
在实施现场测评时,应严格按照《金融行业信息安全等级保护测评服务安全指引》(JR/T0073-2012)中对于测评人员、测评工具和测评过程的相关要求执行,有效规避等级保护测评工作中的风险。
测评工作结束后,按照统一模板出具网络安全等级测评报告和风险评估报告,并对测评中发现的问题提出可行的改进建议与措施,协助我行对相关系统问题进行整改,整改完成后开展回归测评。
五、潜在供应商资格要求
(一)资质和能力要求
1、具备独立法人资格,具有完成项目的技术力量;
2、具有良好的商业信誉和健全的财务会计制度;
3、具有依法缴纳税收和社会保障资金的良好记录;
4、具有履行合同所必需的设备和专业技术能力;
5、具有网络安全等级保护测评机构证书,并在征集期内可正常开展等级测评业务;
6、具有信息安全风险评估服务资质;
7、2018年至今(以合同签署时间为准)具备3个及以上银行业信息系统等保测评及其他相关服务的案例;
8、与其它报名的供应商不存在任何关联关系。。
(三)其它要求
1、理解我行项目实施、人员管理、财务管理的相关规定;
2、响应我行签订服务项目管理协议的要求,包括但不限于保密协议、服务承诺书、工作计划任务书、等级保护测评及工具测试方案;
3、接受我行内部、第三方机构、上级监管部门的检查、监督及审计等。
4、中标后应立即开始项目实施,保证项目人员充足,参与项目的现场测评人员应不得少于4名,并应具有等级保护测评师资质,其中高、中级测评师各不少于1名;
5、等级保护测评过程中,严格遵守保密要求,发现漏洞后,第一时间通知晋商银行有关人员,未经许可,不可将任何漏洞有关信息泄露给第三方;
6、项目服务过程中产生的所有电子、纸质文档及研究成果归晋商银行所有,上述内容不得私自转让或披露给第三方;
7、如供应商相关人员未遵守晋商银行要求,造成晋商银行经济损失或声誉损失,晋商银行可依法追究相关责任。
六、潜在供应商需提交的材料及方式、时间
1、需提交材料:
(一)营业执照、税务(国税、地税)登记证、组织机构代码证副本或统一社会信用代码证;
(二)网络安全等级保护测评机构推荐证书;
(三)信息安全风险评估服务资质;
(四)企业及服务团队简介;
(五)2017年至今(以合同签署时间为准),公司或实施团队所承接的相关案例清单、简介、合同等证明材料;
(六)提供公司联系人、电话、电子邮箱、地址等;
(七)包含分项及总价的报价文件。
注:上述资料均需提供加盖公章的扫描件。
2、提交方式:电子邮件wangqing@jshbank.com,邮件名称:晋商银行信息系统等级保护测评项目+供应商名称;
3、提交时间:2020年5月19日—2020年5月25日。
4、我行将根据潜在供应商报名情况安排后续商务、技术交流时间。
七、联系方式
商务联系人:王青
联系电话:13753130403
邮箱地址:wangqing@jshbank.com
技术联系人:张青
联系电话:13835177173
邮箱:zhangqing@jshbank.com
解决方案
联系我们
返回顶部