北京农商银行2026年应用动态安全测试服务项目供应商征集公告

一、项目名称：2026年应用动态安全测试服务项目 
二、采购内容简介：

（一）服务内容

应用动态安全测试工作需对我行重要信息系统以及互联网类信息系统，在开展全量安全测试基础上，继续针对每月的增量开发内容开展迭代测试，保障我行系统上线前达到最大的安全防护水平。具体如下：

1.测试内容

在测试服务期内，根据我行信息系统项目投产周期及时间计划，针对我行月版项目、周版项目及缺陷版项目，于项目投产前，按要求完成关联系统的应用动态安全测试，确保测试用例覆盖投产功能。

应用动态安全测试需通过自动化漏洞扫描工具、人工检测分析、渗透测试等安全测试手段对被测应用系统的客户端安全性、认证机制安全性、业务数据安全性、业务流程安全性等进行检测，从程序、数据、通信、业务、系统环境等多个方面进行深度安全评估，并给出安全测评报告及加固整改建议。

2.测试系统范围

应用动态安全测试需覆盖我行重要信息系统以及互联网类信息系统。如项目实施过程中，我行重要信息系统、互联网类信息系统范围发生变更（新增或减少），需根据最新信息系统名录开展测试。

3.测试环境：本次应用动态安全测试需在我行测试环境下开展实施。

4.时效要求：

（1）需根据我行信息系统月版、周版及缺陷版项目投产周期及时间计划，于项目投产前按要求对关联系统的增量版本完成应用动态安全测试；

（2）在服务项目实施周期内，需针对测试系统范围中的各重要信息系统和互联网类信息系统，至少开展一次全量版本的应用动态安全测试；

5.测试轮次：需根据我行信息系统月版、周版及缺陷版投产周期及时间计划，至少开展两轮应用动态安全测试。第一轮测试发现问题并给出整改意见，第二轮测试验证整改问题并评估最终测试结果。

（二）人员要求：

应用动态安全测试服务项目共入围2家服务商，每家至少安排2名驻场服务人员，提供5*8时长的驻场测试服务。2家公司采用竞争性测试策略，提升漏洞发现质量和测试水平。若因我行项目临时增加，服务商能够按要求补充临时人员支持，以确保我行项目安全测试工作有序开展。各类人员要求如下：

①项目经理：负责项目整体的管控，包括组织项目的调研、实施、检验、鉴定、进度控制和质量控制；为保证项目正常实施而进行组织协调、资源调配、异常情况的处置等与项目相关的工作落实。能够指导其他安全测试工程师完成各阶段的工作以及技术咨询。要求技术过硬，熟悉研发及架构管理，5年以上信息安全领域开发测试经验，具有至少1年以上银行同类项目工作经验。

②渗透测试及漏洞分析工程师：通过自动化漏洞扫描工具、人工检测分析等方式进行渗透测试和漏洞挖掘，全面发现被测系统的安全漏洞问题并提供修复建议。要求熟练掌握常用安全测试工具以及各类安全漏洞测试方法，熟悉常见安全漏洞原理、危害以及防御方案，具备安全漏洞问题的分析能力。具备至少1年以上安全测试工作经验。

（三）服务交付文档：《应用动态安全测试案例》《测试执行记录》《问题缺陷清单》《测试报告》。

（四）服务期限：自合同签订之日起12个月。

（五）验收要求：

1.项目验收由我行组织、服务商协助，对应用动态安全测试服务过程及结果进行验收。

2.服务商按我行管理要求，在项目实施过程中及时提交相关项目文档，作为对测试服务过程验收的依据。

3.服务商提交的测试结果记录，各类问题需给出明确的解释说明或整改建议。测试报告中需对问题数量、严重级别、问题类型、整改情况进行说明，并能依据我行准出标准给出明确的测试结论。测试结果记录和测试报告作为对测试结果验收的依据。

（六）付款方式：本项目费用分为两部分，一是基础服务费，二是竞争服务费。

基础服务费部分：合同签订且项目组人员全部进场后30天支付5%，项目验收后支付65%，项目验收满一年后支付30%。基础服务部分设定每家服务商至少应发现的高危、中危、低危漏洞数量。如合同期满，服务商发现的漏洞数未达到要求数量，则进行相应扣减。

竞争服务费部分：超过基础服务费包括的漏洞数量，开始计算竞争服务费。竞争服务费按照发现并经确认的漏洞等级和数量进行计费，每满6个月支付一次。相同漏洞仅给先发现的服务商结算费用，漏洞发现时间以提交系统时间为准。竞争服务费设置总封顶费用，为2家入围服务商获得的竞争服务费之和，达到封顶费用后则不再支付。在一年合同期内，如果竞争服务费提前使用完，要求入围服务商正常进行动态安全测试。

（七）履约保证金：无。

三、意向供应商资质要求及提交材料要求

（一）供应商资质要求

1、基本要求：

（1）具有独立承担民事责任的能力；

（2）具有良好的商业信誉和健全的财务会计制度；

（3）具有履行合同所必需的设备和专业技术能力；

（4）有依法缴纳税收和社会保障资金的良好记录；

（5）参加采购活动前三年内，在经营活动中没有重大违法违规记录；

（6）存在关联关系的不同单位，不得同时参与本项目；

（7）本项目不接受联合体参与，不接受分包、转包。

2.针对本项目供应商应具备的具体要求：

（1）资质要求：

t具有信息安全管理体系认证证书。

（2）提供的产品或服务须具有近5年（自2021年起至今）的项目案例。

       t 同业同类案例

　　（二）提交材料内容 

1.供应商情况表需提供盖章扫描件及Word可编辑版。

2.具有良好的商业信誉和健全的财务会计制度书面声明并加盖公章，此项材料要求为PDF格式文件。

3.具有依法缴纳税收和社会保障资金的良好记录书面声明并加盖公章，此项材料要求为PDF格式文件。

4.在“国家企业信用信息公示系统”、“信用中国”系统提供查询结果(截屏盖章），包括不限于经营异常、行政处罚、变更记录、重大税收违法失信情况等。  

5.近三年内在经营活动中没有重大违法记录书面声明并加盖公章，此项材料要求为PDF格式文件。

6.提交加盖单位公章的载有统一社会信用代码的营业执照，材料需为PDF格式文件。

7.提交无关联关系公司参与本项目承诺函并加盖公章。

8.提交符合前述案例要求的合同扫描件（1个及以上，包括不限于合同首尾页、盖章页、服务内容页等）并加盖公章。此项材料要求为PDF格式文件。

9.提供上述要求的资质文件扫描件。

（三）提交材料要求
　　1.邮件主题：项目名称+公司名称；邮件主题、正文、附件中不能含敏感字。
　　2.邮件正文中要写明公司的联系人姓名、手机号、邮箱。
　　3.须以传统方式黏贴附件，不能发云附件；发送的附件（压缩文件、文档等）不得设置密码或编辑权限；单个邮件大小控制在50MB以内（如果超限，可分几个邮件发）。
　　4.报名资料未按要求提供或提供不全的情况，采购人将拒绝其报名。

5.采购人视收到的上述材料不涉及商业秘密。

6.采购人可能根据项目情况取消采购，供应商应予接受。

7.前来报名的供应商应保证所提供材料的真实合法性，并由此承担法律风险和赔偿责任。采购人保留对相关材料进一步核实的权利，如发现提供虚假材料的供应商，采购人将取消其本次及以后的报名资格。

8.存在关联的公司在同一项目中只能参选1家公司。

四、征集期

自2025年11月10日起至2025年11月14日16时止。

请在规定时间内参与报名，截至报名日期后我行将不再接受任何形式的申请材料。
    联系人及电话：张老师  010-58727336

邮箱地址（专用）：jhcw_gyszj@bjrcb.com

                               北京农村商业银行股份有限公司

2025年11月10日