北京农商银行2025年信息安全风险评估项目供应商征集公告

一、项目名称:2025年信息安全风险评估项目
二、采购内容简介

(一)项目名称:2025年信息安全风险评估项目

(二)服务内容

拟对我行60个信息系统开展信息安全风险评估工作,并按整体项目和系统维度出具评估报告。具体内容及要求包括:

1.服务要求

1)实施范围

本次拟对我行23个重要信息系统、36个互联网相关信息系统、1个新增等保三级信息系统,共计60个信息系统开展信息安全风险评估工作。

2)评估依据

本项目要求服务商按照《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)和我行信息安全风险评估管理相关制度进行实施。

3)工作内容

本项目服务周期1年,服务内容具体如下:

评估工作包括以下内容:评估准备活动阶段、评估方案编制阶段、现场评估阶段、风险分析阶段、报告编制阶段、风险处置阶段。

① 评估准备活动阶段

a. 签订《合同》与《保密协议》。

首先,被评估评单位在选定评估机构后,双方需要先签订《评估服务合同》,合同中对项目范围、项目周期、项目实施方案(评估工作的步骤)、项目人员、项目验收标准、付款方式、违约条款等内容逐一进行约定。同时,被评估评单位应与评估机构签署《保密协议》。

b. 项目启动会

在双方签完委托评估合同之后,双方即可约定召开项目启动会时间。项目启动会的目的,主要是由被评估单位领导对公司内部涉及的部门进行动员、提请各相关部门重视、协调内部资源、介绍评估方项目实施人员、计划安排等内容,为整个信息安全风险评估项目的实施做基本准备。

c. 系统情况调研

启动会后,评估方开展调研,包括:资产信息收集、管理制度收集、已有安全措施收集等,掌握被评估系统的详细情况,为编制评估方案做好准备。

评估准备活动是开展风险评估工作的前提和基础,是整个风险评估过程有效性的保证。评估准备工作是否充分,直接关系到后续工作能否顺利开展。

② 评估方案编制阶段

该阶段的主要任务是确定与被评估信息系统相适应的评估对象、评估指标及评估内容等,并根据需要重用或开发评估实施手册,形成评估方案。方案编制活动为现场评估提供最基本的文档依据和指导方案。

③ 现场评估阶段

现场评估活动是开展风险评估工作的核心活动,包括资产识别、威胁性识别、脆弱性识别与分析、已有安全性措施识别等方面。此阶段的输出物为现场评估记录等。

④ 风险分析阶段

此阶段主要任务是根据现场评估结果,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度,判断安全事件造成的损失对组织的影响。包括资产赋值、威胁赋值、脆弱性赋值和风险值计算。

⑤ 报告编制阶段

根据风险分析结果,给出风险评估结论,形成评估报告文本。评估报告主要包括:报告综述、项目概述、评估对象、风险计算方法、安全整改建议、附录-过程文档等部分。

此阶段的输出物为《xxx系统信息安全风险评估报告》和《xxx系统安全整改建议》等。

⑥ 风险处置阶段

被评估评单位根据评估机构出具的评估报告和整改建议书进行整改,被评估单位可以根据自身的实际情况进行风险处置及整改。评估机构协助被评估单位开展整改工作。

2.服务期限:

(1) 本项目服务期自合同签订之日起1年;

(2) 评估准备及实施:2025年9月-11月;

(3) 评估结果交付:评估报告在2025年12月交付;其他交付物(如增值服务等),在合同签订后一年内交付。

3.项目实施人员资质要求

要求本项目包含项目经理1人,项目成员至少5人(不包含项目经理),应具备并符合以下要求:

1)本项目项目经理及成员仅限于中华人民共和国境内的中国公民,且无犯罪记录。

2)本项目项目经理及成员应至少具备从事信息安全风险评估工作2年以上工作经验,参与金融行业信息安全风险评估项目不少于两个。

3)评估技术人员针对信息安全方面应至少两人持有相关技术资格证书。

4)本项目项目经理及成员在对被评估评单位开展风险评估工作之前需与被评估评单位签订保密协议。

4.服务交付文档

60个信息系统的信息安全风险评估报告、整改意见、评估过程文档、其他交付物(如增值服务等)等。

5.项目验收要求及付款方式

合同签订后,乙方项目团队至少5人入场、完成需求分析、实施进度明确、召开了项目启动会后,服务商向我行提供正式发票,我行向服务商支付合同总价的30%;服务商将交付物提交我行并通过我行验收后,服务商向我行提供正式发票,我行向服务商支付合同总价的70%。

6.履约保证金。

本项目不收取履约保证金。

、意向供应商资质要求及提交材料要求

(一)供应商资质要求

1.具有独立承担民事责任的能力。

2.具有良好的商业信誉和健全的财务会计制度。

3.具有履行合同所必需的设备和专业技术能力。

4.有依法缴纳税收和社会保障资金的良好记录。

5.最近三年内,在经营活动中没有重大违法记录。

6.法律、行政法规规定的其他条件。

7.具有中国合格评定国家认可委员会检验机构认可证书和实验室认可证书。具有银行业信息系统安全风险评估项目成功案例。

8.具有银行业渗透测试成功案例。

(二)提交材料内容

1.供应商情况表需提供盖章扫描件及Word可编辑版。

2.“国家企业信用信息公示系统”、“信用中国”系统提供查询结果(截屏盖章),包括不限于经营异常、行政处罚、变更记录、重大税收违法失信情况等。

3.提交加盖单位公章的载有统一社会信用代码的营业执照,材料需为PDF格式文件。

4.提交加盖单位公章的能证明满足供应商资质要求的文件。

(三)提交材料要求
  1.邮件主题:项目名称+公司名称;邮件主题、正文、附件中不能含敏感字。
  2.邮件正文中要写明公司的联系人姓名、手机号、邮箱。
  3.须以传统方式黏贴附件,不能发云附件;发送的附件(压缩文件、文档等)不得设置密码或编辑权限;单个邮件大小控制在50MB以内(如果超限,可分几个邮件发)。
  4.报名资料未按要求提供或提供不全的情况,采购人将拒绝其报名。

5.采购人视收到的上述材料不涉及商业秘密。

6.采购人可能根据项目情况取消采购,供应商应予接受。

7.不接受联合体参与报名,不得以任何形式转包或分包。

8.前来报名的供应商应保证所提供材料的真实合法性,并由此承担法律风险和赔偿责任。采购人保留对相关材料进一步核实的权利,如发现提供虚假材料的供应商,采购人将取消其本次及以后的报名资格。

 

四、征集期

自2025年4月15日起至2025年4月21日16时止。

请在规定时间内参与报名,截至报名日期后我行将不再接受任何形式的申请材料。

联系人及电话:张老师 010-58727337

邮箱地址(专用):jhcw_gyszj@bjrcb.com

                                           北京农村商业银行股份有限公司

                          2025年4月15日



供应商情况表.doc