厦门农商银行采购招标文件
第一章投标人须知
厦门农村商业银行股份有限公司(以下简称厦门农商银行)采取公开招标的方式确定满足招标参数并符合其它要求的供货单位,现请有意向的单位前来提交密封的投标,并详细阅读以下相关招标文件,未按照相关规定操作将作为废标处理。
一、项目名称:厦门农村商业银行重要系统安全评估项目
二、招标内容及要求
招标参数及要求详见《招标文件》第二章。
三、投标人的资格要求
(一)投标方必须是具有独立承担民事责任的在中华人民共和国境内注册的法人或其他组织,通过2018年工商年审。投标方注册地在厦门。
(二)投标方近三年财务状况良好,须提供加盖公章的近三年财务报表扫描件。
(三)投标厂商如与厦门农村商业银行股份有限公司、省联社有合作关系的,可适当加分。
(四)投标人及投标厂商提供专业领域相关能力及资质证明,提供产品解决方案。
四、书面投标书制作要求:
(一)投标人法人营业执照复印件和税务登记证复印件(对已实行“三证合一、一证一码”登记的企业只需提供统一社会信用代码的营业执照复印件),投标人法定代表人授权书(详见附件1),被授权人身份证复印件及无违法记录声明书(详见附件2),作为资质审核材料单独封存。
(二)投标书必须用标准文件袋密封完整,文件袋密封处加盖投标人公章;投标书需按一式二份制作,即:一份正本、一份副本。正副本分2个文件袋分别密封!
(三)投标书必须含有:(以下文件必须加盖投标人公章)
1、报价书,含单价和总价。报价中应明确不含税总价、增值税金额。同时投标人应注明其属于一般纳税人、小规模纳税人或其他,以及明确其提供的增值税专用发票税率;
2、服务承诺书;
3、公司驻厦技术人员规模;
4、如可提供其它特色安全服务内容,可备注说明。
5、报价总价包括投标方完成本项目所发生的一切费用,估算错误或漏项的风险一律由投标方承担。
五、投标人投标方法、方式和标书送达地点:
(一)本次招标采取公开招标方式,本次投标的起止时间是2020 年5 月8 日9 时至 2020 年 5 月 18 日 18 时(北京时间)。投标书必须包含资质审核材料、标书正副本两份,以书面方式送达厦门农商银行。如逾期或未送达指定地点的投标文件,将视为自动放弃投标资格。
(二)招标文件送达地点与联系人:厦门市湖里区东港北路31号17楼监察部倪斌晟0592-2682036。报名材料可以与标书同时送达,但需分开封装。
(三)项目联系人:李健,电话:0592-6012697
六、评标、定标办法:
(一)由厦门农商银行各相关部门组成评标小组评标。
(二)评标按实质性响应本招标书的前提下按照最佳性价比以及售后服务质量原则进行评判。
(三)中标结果以收到厦门农商银行发出的中标通知书为准,中标人应在收到中标通知书30个工作日内与招标人签订书面合同。
七、以下情况招标人有权认为是废标:
(一)书面投标报价书未加盖投标人公章。
(二)书面投标书未密封,或投标书密封处未加盖投标人公章。
(三)未按招标文件格式、内容要求编写的,投标文件有遗漏、不完整的;
(四)超出经营范围投标的;
(五)资格证明文件不全的;
(六)投标书无投标单位公章、无法定代表人签字,或签字人无法定代表人有效委托书的;
(七)资格标准不满足招标文件要求的;
(八)有视为投标方相互串通投标情形之一的:
1、不同投标方委托同一单位或者个人办理投标事宜;
2、不同投标方的投标文件载明的项目管理成员为同一人;
3、不同投标方的投标文件相互混装。
八、有关本项目招标的相关信息(包括招标文件若有修改)都将在厦门农商银行官方网站http://www.rcbxm.com/上公布,请投标人随时关注相关网站,以免错漏重要信息。
九、其它注意事项:
(一)无论是否中标,投标书及投标人提交的与本项招标有关的相关材料恕不退还。
(二)招标人没有对未中标人解释未中标原因的义务。
(三)投标人参加投标即视为同意以下条款:
1、遵守相关招标法律法规,严格按照招标人的要求参加投标,不进行任何破坏招标活动的行为。
2、投标人已全文阅读本招标书和相关要求,理解并同意招标书所述内容及条件。
3、投标方保证所提供的证明、材料是真实、完整、合法。
4、投标方同意招标文件,招标人发出的中标通知书、邀请文件为中选人及需方双方有效之合约,对双方有约束力,并可直接成为合同的附件。
第二章 招标内容及要求
一、 招标标的及报价格式
1.1. 标的
| 项目
|
单位
|
数量
|
| 一、互联网接入系统安全渗透服务
|
年
|
1
|
| 二、网站安全监测服务
|
年
|
1
|
备注:
1、投标人对合同包内所有品目号内容投标时必须完整。
2、投标人报价不高于60万。
3、内容详见“二、招标内容及要求”。
1.2. 报价格式:(单位:元人民币)
| 产品名称型号/服务
|
描述
|
数量
|
单价
|
总价
|
| 合计
|
||||
二、 招标内容及要求
2.1 项目概述
为保障厦门农商银行信息系统的安全,将定期对我行互联网接入系统、进行漏洞扫描、渗透测试、客户端检测等工作,对存在安全隐患的系统进行整改,从而消除潜在的危险,使我行的信息安全水平保持在一个较高的水平。
2.2 招标货物及主要要求
(1)安全渗透服务
| 序号
|
服务项目
|
项目描述
|
频度
/年
|
备注
|
交付物
|
| 1
|
直销平台APP客户端安全评估
|
对移动APP程序进行安全测试,发现可能存在的安全缺陷,提供安全测试报告和改进建议。目前可测试的移动APP程序包括:Android,IOS。(如果APP加了类似VMP的复杂壳,部分项目可能无法测试,需要提供无壳程序。)
|
2
|
提供一年两次,Android,IOS客户端安全评估服务
|
《直销平台APP安全评估报告》
《直销平台APP漏洞验证报告》
《直销平台后端安全渗透报告》
《直销平台后端漏洞验证报告》
|
| 2
|
直销平台后端安全渗透
|
针对直销平台系统业务流程评估主要通过对直销平台系统的业务流进行评估,通常对涉及资金交易、财务内容等重要的业务流程进行验证,确认是否存在安全隐患。
|
2
|
提供一年两次安全渗透
|
|
| 3
|
移动OA APP客户端安全评估
|
对移动APP程序进行安全测试,发现可能存在的安全缺陷,提供安全测试报告和改进建议。目前可测试的移动APP程序包括:Android,IOS。(如果APP加了类似VMP的复杂壳,部分项目可能无法测试,需要提供无壳程序。)及后端业务系统进行安全渗透及业务流评估。
|
2
|
提供一年两次,Android,IOS客户端安全评估服务
|
《移动OAAPP安全评估报告》
《移动OAAPP漏洞验证报告》
《移动OA后端安全渗透报告》
《移动OA后端漏洞验证报告》
|
| 4
|
移动OA后端安全渗透
|
针对移动OA系统业务流程评估主要通过对移动OA系统的业务流进行评估,通常对涉及资金交易、财务内容等重要的业务流程进行验证,确认是否存在安全隐患。
|
2
|
提供一年两次安全渗透
|
|
| 5
|
资金存管系统安全渗透
|
针对目前流行的Web安全问题分别从外部和内部进行黑盒和白盒安全评估。根据资金存管系统Web多层面组成的特性,通过对资金存管系统Web的每一个层面进行评估和综合的关联分析,从而查找资金存管系统Web站点中可能存在的安全问题和安全隐患。针对资金存管系统业务流程评估主要通过对资金存管系统的业务流进行评估,通常对涉及资金交易、财务内容等重要的业务流程进行验证,确认是否存在安全隐患。
|
2
|
提供资金存管系统一年两次,安全渗透服务及业务流程验证服务
|
《资金存管系统安全渗透报告》
《资金存管系统漏洞验证报告》
|
| 6
|
微信营销系统安全渗透
|
针对目前流行的Web安全问题分别从外部和内部进行黑盒和白盒安全评估。根据微信营销系统Web多层面组成的特性,通过对微信营销系统Web的每一个层面进行评估和综合的关联分析,从而查找微信营销系统Web站点中可能存在的安全问题和安全隐患。针对微信营销系统业务流程评估主要通过对微信营销系统的业务流进行评估,通常对涉及资金交易、财务内容等重要的业务流程进行验证,确认是否存在安全隐患。
|
2
|
提供微信营销系统一年两次,安全渗透服务及业务流程验证服务
|
《微信营销系统安全渗透报告》
《微信营销系统漏洞验证报告》
|
| 7
|
微信公众号安全渗透
|
针对目前流行的Web安全问题分别从外部和内部进行黑盒和白盒安全评估。根据微信公众号Web多层面组成的特性,通过对微信公众号Web的每一个层面进行评估和综合的关联分析,从而查找微信公众号Web站点中可能存在的安全问题和安全隐患。
|
2
|
提供微信公众号一年两次安全渗透服务
|
《微信公众号安全渗透报告》
《微信公众号漏洞验证报告》
|
| 8
|
ATM巡检系统安全渗透
|
针对目前流行的Web安全问题分别从外部和内部进行黑盒和白盒安全评估。根据ATM巡检系统Web多层面组成的特性,通过对ATM巡检系统Web的每一个层面进行评估和综合的关联分析,从而查找ATM巡检系统Web站点中可能存在的安全问题和安全隐患。
|
2
|
提供ATM巡检系统一年两次安全渗透服务
|
《ATM巡检系统安全渗透报告》
《ATM巡检系统漏洞验证报告》
|
| 9
|
支行维护系统安全渗透
|
针对目前流行的Web安全问题分别从外部和内部进行黑盒和白盒安全评估。根据支行维护系统Web多层面组成的特性,通过对支行维护系统Web的每一个层面进行评估和综合的关联分析,从而查找支行维护系统Web站点中可能存在的安全问题和安全隐患。
|
2
|
提供支行维护系统一年两次安全渗透服务
|
《支行维护系统安全渗透报告》
《支行维护系统漏洞验证报告》
|
(2)网站安全监测服务
| 序号
|
服务项
|
服务内容
|
服务频次与告警时间
|
交付物
|
| 1
|
网站挂马检测服务
|
定期对网站页面进行挂马检测,包括iframe框架挂马,scripts挂马等,并定期提供挂马检测报告。
|
每周检查1次
|
《网站安全监测周报》
《网站安全监测月报》
|
| 2
|
网站可用性监测
|
对网站可用性进行实时监测,持续跟踪访问情况,并根据严重程度及时发出报警信号,第一时间通知管理员,减少网站中断对业务的影响,协助保障网站的可用性。
时监测目标站点的访问速度、页面加载时间等网站性能参数。
支持多协议平稳度监测,监测协议包括HTTP,HTTPS,TCP,Ping,SMTP。
支持多种报警事件通告,通告内容包括通断,延迟,波动,异常返回码
|
每15分钟监测一次(1次/15分钟),发现疑似问题,25分钟之内验证确认,然后5分钟之内告警通知,总响应时间不超过30分钟。
|
《网站安全监测周报》
《网站安全监测月报》
|
| 3
|
页面篡改监测
|
实时监测目标站点的页面状况,当网页篡改发生时,第一时间通知管理员,减少响应时间,降低篡改事件带来的政治、法律、经济等方面的影响,协助保障网站的完整性。
|
对首页每15分钟监测一次(1次/15分钟),发现疑似问题,25分钟之内验证确认,然后5分钟之内告警通知,总响应时间不超过30分钟。
|
《网站安全监测周报》
《网站安全监测月报》
|
| 4
|
域名解析监测
|
实时远程监测目标网站DNS服务器及ISP的DNS缓存服务器对目标网站域名的解析情况,如发现无法解析或者解析错误,将第一时间通知管理员,减少响应时间,降低相关事件带来的政治、法律、经济等方面的影响。要求支持各省主流ISP的递归查询服务器,在全国各地部署多个监测节点,用以监控各地ISP的缓存服务器对目标站点的解析结果,确保各地用户都能正常访问用户站点,列举不少于三个监测点。
|
对目标域名在其授权域服务器及各省主流ISP的DNS缓存服务器的解析结果每15分钟监测一次(1次/15分钟),对授权域服务器DNS记录(包括:A记录、CNAME记录、NS记录、MX记录、SOA记录、PTR记录等)每月检查一次
|
《网站安全监测周报》
《网站安全监测月报》
|
| 5
|
敏感内容监测
|
实时监测网站上出现的低俗内容、敏感言论,一旦出现违规,将及时通知管理人员,减少及避免政治和法律方面的风险。
|
对首页每15分钟监测一次(1次/15分钟),发现疑似问题,25分钟之内验证确认,然后5分钟之内告警通知,总响应时间不超过30分钟。
|
《网站安全监测周报》
《网站安全监测月报》
|
| 7
|
漏洞扫描
|
应用漏洞定期扫描,具体如下:客户端攻击类型:跨站脚本攻击、内容欺骗;逻辑攻击类型:拒绝服务攻击、过程验证不充分、反自动化不充分、功能滥用;信息泄露类型:目录索引信息泄露、信息泄露、目录遍历、资源位置可预测;命令执行类型:缓冲区溢出、系统命令执行、格式化字符串攻击、SQL注入、Xpath注入;LDAP注入、SSI注入;认证类型:暴力猜测、认证不充分、弱口令验证;
授权类型:凭据/会话预测、授权不充分、会话期限不足、会话固定;
其他类型;
|
提供每月一次漏洞扫描及验证
|
《网站安全漏洞扫描报告月报》
|
| 服务对象
|
直销平台后端系统
资金存管系统
微信营销系统
微信公众号
提供官网ipv6地址网站可用性监测
|
|||
| 报告周期
|
每周提供1次监测报告
|
|||
2.3 售后服务要求
1)为保证提供优质的实施效果及售后支持,要求原厂商必须获得ISO27001信息安全管理体系认证证书、ISO9001质量管理体系认证证书及ISO20000服务管理体系认证证书,并具备“向外部客户提供整体安全解决方案、安全相关的SaaS及运营服务”能力。
2)项目经理人选需在应答书中详细介绍。项目经理应具有金融行业安全服务工作经验5年以上,若项目经理为通过CISAW认证的本地工程师,可适当加分。(需提供近半年本地社保缴纳证明)
3)为我行提供7x24小时的响应,配合我行以最快速恢复系统的可用性、完整性和保密性,阻止和降低安全威胁事件带来的影响,包括:安全事件研判、安全事件应急响应与处置、事件追踪溯源等。提供应急响应方案,方案要包含对信息安全突发事件进行分类以及对各类事件进行响应的流程、响应时间、人员分工、所需工具等方法和资源。
4)除以上服务条件,若能承诺更多的增值安全服务可适当加分。
5)投标人若能提供近三年内金融行业相关单位针对重要时期保障所出具的感谢信复印件(原件备查),可适当加分。
第三章 服务承诺
一、相关要求
1、上述为本项目基本方案,招标方只对主要的技术规格做出要求,对于其他未提及的配套性必要附件投标方应予充分的考虑,具体情况可来电咨询;
2、投标方应投入足够的人力,能在合同签订后在规定时间内按照上述服务要求提供相应服务;
3、招标方有权对投标方派出的项目经理及实施人员的资质进行考核,发现有不合格的人员,招标方有权要求投标方立即进行更换;
4、对标书约定提供的(包含但不限于)资质、注册资本、实施人员简历等重要要素进行造假的,一经发现视为废标,如果已进入实施阶段则视为违约,投标方需承担所有责任。
二、服务质量承诺
1、投标方需保持技术团队稳定,若项目经理变更或团队成员变更,需提前一个月告知我行,经我行同意后方可更换。
2、项目实施过程需输出详细实施文档;
3、投标人保证提供服务的技术人员的数量和素质满足履行本合同的要求;保证人员的稳定性,未经我行同意不得随意更换;如果我行要求更换服务人员的,投标人应根据我行的要求更换;
4、投标人提供7x24x365的故障应急反应机制。我行系统一旦出现重大故障,则马上启动故障应急反应程序,提供远程技术支持,并承诺采用最快的交通工具赶到现场,提供现场的技术支持和技术保障,以协助生产和运行的顺利进行。到达现场后,投标人将协助客户进行故障诊断和排除。如故障发生的原因是由投标人提供的服务引起的,则投标人会调集技术人员以尽早修复,并提出书面故障分析报告;如确认故障发生的原因是由第三方提供的服务引起的,则投标人向客户提供书面故障诊断分析报告,在提供书面故障诊断分析报告之前,投标人将口头报告故障原因,并协助客户与该第三方交涉,配合第三方排除故障。
三、付款方式
以我行的合同模板为准,具体情况可来电咨询。
厦门农村商业银行股份有限公司
2020年 5 月 8 日
附件1:
法定代表人授权书
本授权书声明:注册于中华人民共和国的(投标方名称)的在下面签字的(法定代表人姓名、职务)代表本公司授权(单位名称)的在下面签字的(被授权人的姓名、职务)为本公司的合法代理人,就(项目名称)项目的投标,以本公司名义处理一切与之有关的事务。
本授权书于 年 月 日签字或盖章生效,特此声明。
法定代表人(单位负责人)签字或盖章:
被授权人签字:
单位公章:
被授权人姓名:
职务:
详细通讯地址:
邮政编码:
传真:
电话:
附件2:
无违法记录声明
公司:
我单位在参加本次项目投标活动前三年内,在经营活动中没有重大违法记录。
特此声明!
法定代表人或被授权人签字:
投标方(加盖公章):
日期: 年 月 日
附件3:
项目主要人员一览表格式
| 序号
|
姓名
|
性别
|
年龄
|
学历
|
专业
|
职称
|
本项目中拟承担职责或工作内容
|
投标方代表签字:
日期:
附件4:
参与本项目主要人员简历表
| 姓名
|
年龄
|
身份证号码
|
||||
| 毕业学校
|
专业
|
|||||
| 学位
|
职称
|
职务
|
||||
| 现所在机构或部门
|
服务时间
|
|||||
| 主要经历
|
||||||
| 日期
|
参加过的项目名称
|
担任何职
|
备注
|
|||
注:“主要人员”是指实际参加本合同规定的现场技术服务人员,其资质如果低于招标文件技术部分对相关人员要求,将可能导致其投标被拒绝。
投标方代表签字:
日期: