2023-202-北京农商银行2024-2026年渗透测试服务项目公告（二期）

2023-202-北京农商银行2024-2026年渗透测试服务项目公告（二期） 　　一、项目概述 　　我行启动2024-2026年渗透测试服务采购项目，具体需求如下： 　　（一）项目需求 　　1.服务内容 　　不损害我行信息系统的情况下，根据黑客攻击的思维，参考黑客攻击的手段，充分挖掘和暴露存在的安全弱点。 　　通过渗透测试服务检测网络安全纵深防护能力、检验安全技术防护措施的有效性和安全管理制度的执行情况。 　　渗透测试服务内容包括但不限于web应用层、操作系统层、网络层漏洞。 　　2.服务方式 　　本项目使用众测方式开展。服务商须通过我行指定的众测平台开展测试并提交漏洞信息。 　　3.渗透测试服务频率 　　我行根据实际的测试需求以及预算总额的限制，在服务期限内向服务商发布待测的系统清单。实施具体时间和频率由我行根据测试情况灵活调整。 　　4.服务商的数量 　　为了更好的验证渗透测试服务质量，本次拟入选3至4家服务商。 　　5.漏洞级别和统计说明 　　漏洞等级包含超危、高危、中危、低危四个等级。 　　漏洞统计将根据众测平台的漏洞上传时间及内容，对发现漏洞的厂商及漏洞级别进行统计、判定：对于相同漏洞，我行将对最先提交该漏洞的厂商，按其单价统计费用；如后续提交该漏洞的厂商存在利用深度增加等情况，我行将根据单价酌情统计费用；对后续重复提交相同情况漏洞的厂商则不予统计费用。 　　6.交付成果 　　根据渗透测试服务内容开展渗透测试服务，提交渗透测试报告，针对发现的问题提出有针对性的整改加固建议，并协助甲方开展整改加固工作，待我行整改完成之后再进行复测，之后出具复测报告。具体的交付物包括但不限于以下文档： 　　《北京农商银行信息系统渗透测试实施方案》 　　《北京农商银行信息系统渗透测试报告》 　　《北京农商银行信息系统渗透测试复测报告》 　　（二）服务期限 　　自合同签订之日起2年。 　　（三）商务要求 　　1.付款方式要求： 　　服务商按我行要求完成服务成果交付并通过我行验收后，每半年按照渗透测试发现的问题等级和个数支付相关费用。 　　2.商务合同要求 　　根据北京农商银行行内流程及要求，签订商务合同。 　　二、服务商准入标准 　　1．公司为独立法人。 　　2．服务商信誉良好，没有负面评价，在经营活动中没有重大违法记录。 　　3．服务商具有至少5年开展信息安全服务的经历,具有丰富的风险评估、安全保障服务经验。 　　4．服务商具有银行业信息系统渗透测试经验，具有网上银行系统、手机银行系统、门户网站渗透测试服务成功案例（需同时提供案例名称、合同关键页扫描件）。 　　5．服务商具有省级以上护网行动攻击队经验（需提供相关证明材料）。 　　6．本项目不接受代理商参与投标。 　　请有意参与我行项目合作且符合准入条件的公司，从该网站下载并填写《北京农商银行xxx项目服务商自荐表》，于2023年1月27日下午17点前发送至xinxjsh_shangwu@bjrcb.com邮箱中。 　　发送报名邮件要求： 　　1．该邮箱不支持云附件下载，请以常规方式黏贴附件，并将邮件大小控制在15M以内，如分成多个邮件，要说明本次报名材料共分成几封邮件。 　　2．邮件标题：公告编号+公告名称+公司名称。 　　3.邮件正文中须写明公司招标联系人姓名、手机号、邮箱。 　　4.请将服务商自荐表的盖章扫描件、Word可编辑版一并提供。 　　5.服务商自荐表后需附“国家企业信用信息公示系统”、“信用中国”、“天眼查”三个系统查询截图，截图中除公司基本信息外，还要包括各个明细项信息具体内容的截图，如经营异常、行政处罚、自身风险、周边风险、变更记录等。 　　6.邮件标题、正文、附件中不能含敏感字。 　　三、其它事项 　　（一）请在规定时间内参与报名，截至报名日期后我行将不再接受任何形式的申请材料。 　　（二）请提供服务商的有效联系方式，并保持通讯畅通，我行将电话联系入选的服务商，对于需要产品测评的项目，后续我行会组织服务商进行测评，测评未通过不能作为候选服务商，对未入选的服务商不另行通知。 　　（三）存在关联的公司在同一项目中只能参选1家公司。 　　（四）我行尊重参选服务商的隐私权，对服务商的信息严格保密，参选服务商应当按我行要求提交其所需材料，并对所提交资料的真实性承担责任，我行在参选服务商过程中的任何阶段发现参选服务商提交的材料不实，有权取消其参选资格。 　　四、联系人及咨询电话 　　项目联系人：潘老师，咨询电话：89198862 　　商务联系人：王老师，咨询电话：89198797 北京农商银行信息科技部2024年 1 月23 日