民生金租互联网系统渗透测试项目报名公告
一、项目名称:民生金租互联网系统渗透测试项目
二、项目背景:随着我公司业务的不断发展,数字化转型和金融科技创新方面不断加深,互联网系统逐渐增多。这些互联网系统的推出可能引入更多的安全隐患。从公司的发展必要和民生总行的安全要求来看,公司必须持续强化网络安全防护,确保系统和数据的安全性。当前,我公司面临的信息安全问题主要包括系统漏洞频发及外部网络攻击风险增加等。在我司的安全检查中,我们在多个系统中发现了潜在的安全隐患,这些隐患如果不及时解决,将可能导致客户数据泄露、财务损失及声誉受损,严重影响公司的可持续发展。因此我司需增加互联网系统网络安全渗透测试服务,以进一步提前发现并解决系统漏洞,降低信息安全风险。
三、资格要求:
1.供应商必须是在中华人民共和国境内依法注册的独立法人,具有有效的营业执照、税务登记证和组织机构代码证(或三证合一的营业执照),公司注册资本应不少于1000万元。
2.未被列入严重违法失信名单、失信被执行人、被采取限制消费措施、经营异常名录、税收违法黑名单、政府采购严重违法失信行为记录名单等(在处罚期内),须在报价文件中提供纸质承诺并加盖响应方公章(查询方法详见指引)。
四、采购要求:
(一)项目目标
针对互联网渗透测试服务,本项目的整体建设目标是通过聘请第三方安全服务商的安全工程师对我司互联网系统实施渗透测试,发现我公司互联网系统的安全漏洞薄弱点,识别并修复潜在的安全漏洞,以增强系统网络安全防护能力。具体目标包括:
1. 漏洞风险识别:识别各业务系统及应用程序中的安全漏洞和配置错误。
2. 漏洞安全加固:提供针对识别漏洞的整改建议,以提高系统的安全性和抗攻击能力。
3.安全能力提升:通过测试过程中的发现与整改,提高人员的能力和对网络安全的进一步认知。
(二)实施周期
项目的实施周期为自合同签订之日起,预计在1年内完成。具体实施计划如下:
| 序号 | 项目阶段 | 开始日期 | 结束日期 |
| 1 | 召开启动会 | T | T+1 |
| 2 | 需求分析与渗透测试方案设计 | T+1 | T+15 |
| 3 | 循环迭代进行互联网系统渗透测试 | T+345 | T+355 |
| 4 | 验收 | T+355 | T+365 |
(三)建设内容
本项目的实施内容包括:
本项目的实施内容包括:
1. 渗透测试方案设计:根据公司现有重点互联网系统特性,制定详细的渗透测试方案,包括测试范围、方法和工具选择。
2. 渗透测试实施:对指定的互联网系统进行全面的渗透测试,包括网络层、应用层的攻击尝试。
3. 漏洞评估与整改建议:对渗透测试中发现的漏洞进行详细评估,提供整改建议,并协助技术团队进行修复和复测。
4. 提供测试报告:针对测试报告,组织复盘和交流,提高人员的能力和对网络安全的认知。
(四)人员要求
至少1名拥有pmp资质的原厂项目经理负责全过程服务,包括但不限于协调优质资源、服务期内一切测试相关事情的处理。需提供自公示日起的半年内社保证明、身份证复印件、PMP有效证书复印件。
(五)服务期: 自合同签订之日起一年,完成四轮互联网系统的完整渗透测试服务。
五、结算方式
合同签订后开始实施支付合同款项的40%,项目实施结束并验收后支付剩余的70%。
六、评分标准:
请根据表格内容提供相应证明材料
| 总项 | 分项 | 细项 | 分值 |
| 项目报价 | 报价得分 | 1、不接受选择性报价或者具有附加条件的报价,报价不得高于最高限价;
2、征询响应文件中如果申报了非征询文件所要求的服务,评审时不予以折价降低评审价;
3、报价须按本征询文件第四部分征询响应文件格式要求报出;
4、征询响应方的报价经勘误和缺漏项修正后的累计值作为该征询响应方的评审价(含税价),具体计算方式如下:
A、以各响应方评审价的算数平均值作为基准价;
B、评审价等于基准价,得分为20分;评审价每高于基准价1%,报价得分扣减0.5分;评审价每低于基准价1%,报价得分扣减0.3分。不足1%按实际比例计算,减至0分为止。计算时按四舍五入计算保留2位小数。 | 20 |
| 商务部分 | 企业实力规模 | 根据响应方的企业规模、知名度、近两年财务状况、服务内容、行业地位等情况评分。 | 4 |
| 项目案例 | 根据响应方同行业类似项目的成功案例情况进行评分。(合同签署时间在2022年1月1日之后): 在国有6******银行及12******银行渗透测试项目案例(直签类金额在100万或以上);每项案例2分,最高4分。 ******银行总行有渗透测试项目案例的得4分。 其他金融机构渗透测试项目案例每项1分,最高4分。
以上案例证明材料至少包括:案例合同复印件的首页、甲乙双方盖章页、体现时间页、金额页、体现服务内容页,并加盖响应方公章。 | 12 |
| 供应商资质 | 根据响应方安全服务相关资质能力进行评分,响应方应具备: 1)ISO9000质量管理体系认证; 2)ISO27001信息安全管理体系认证; 3)ISO20000信息技术服务管理体系认证; 4)中国信息安全测评中心颁发的信息安全服务资质(风险评估类一级)认证; 5)中国网络安全审查技术与认证中心颁发的信息安全风险评估一级服务资质认证; 6)中国网络安全审查技术与认证中心颁发的信息安全应急处理一级服务资质认证; 7) 国家信息安全漏洞库(CNNVD)技术支撑单位(二级)及以上证书; 每具备一项以上一项有效的证书并提供复印件得1分。 | 7 |
| 安全服务能力与资质 | 项目管理人员能力 | 项目管理人员能力: 根据响应方项目管理团队的综合实力进行评分,本次服务项目的项目经理人选应具备:
(1)3******银行信息安全服务经验和2次及以上攻防演练活动相关项目经理经验;
(2)具备如CISAW、CISP-PTE、PMP或CISSP专业资格认证(具备以上之一即可);
(3)国际网络安全大赛获奖成绩;
(4)商用系统或软件的CVE高危漏洞自主挖掘证明;
以上四项要求每项3分,最高10分;
证明材料需提供合同证明、证书复印件、身份证复印件、获奖成绩证明、自主漏洞挖掘证明,并加盖响应方公章。 | 10 |
| 团队能力 | 团队能力: 根据响应方测试服务团队的综合实力进行评分,本次服务项目的技术人员应具备:
(1)服务人员具备CISP或CISSP证书资质的,每人具备一项得1分,最多得5分;
(2)服务人员在CNVD/CVE等权威组织提交过自主挖掘漏洞的,每人具备一项得0.5分,最多得5分;
证明材料需提供相应人员的证书复印件、身份证复印件、自主漏洞挖掘证明,并加盖响应方公章。 | 10 |
| 服务人员技能能力 | 服务人员安全攻防能力:
1、参与国家级网络安全竞赛获奖荣誉:自2022年1月1日以来在国内全国性网络安全赛事强网杯、网鼎杯等竞赛中获奖情况打分,每获得一个奖项即可得分,未获得不得分。其中一等奖得4分,二等奖得3分,三等奖得2分,优秀或其它得1分,提供证明材料,累计得分不超过6分。
2、国家级演习攻防比赛成绩:考察响应方2016年1月1日以来参加公安部相关行动的获奖情况,获得一个相关证书得2分,最多得4分,没有证书不得分,提供证明材料。 | 10 |
| 技术方案 | 服务方案 | 根据响应方编制的整体服务技术方案进行综合评分,方案中应包括采购要求中所有安全服务内容、安全测试内容、测试环境准备、渗透测试方法、测试流程、交付成果、项目实施计划等内容,且实施方案中应包括项目组织架构及人员分配情况、质量管理、进度管理、沟通管理、售后服务方案等内容。 | 17 |
| 交付能力 | 响应方根据征询方对于项目实施的要求和所提供的测试内容进行总结,拟制交付报告,提供网络安全漏洞事件应急服务,并对响应方渗透测试结果进行复测,反馈测试情况的整体安排综合评定。 | 12 |
| 合计(分) | 100 |
七、报价单及资格审查指引
报价单:
| 序号 | 产品/服务名称 | 不含税价格(元) | 含税价格(元) | 税率(%) |
| 1 | 渗透测试服务 | | | |
| 2 | 合计 | | | |
| 3 | 交货周期 | 签订合同后一年内完成交付 |
| 4 | 付款条件 | 合同签订后开始实施支付合同款项的30%,项目实施结束并验收后支付剩余的70%。 |
| 5 | 发票类型 | 增值税专用发票 |
| 6 | 备注 | |
资格审查指引:
1、“信用中国”网站(******)查询的全套“信用信息报告”操作示例如下(如遇网站改版,请以网站实际操作要求为准):
①第一步,在“信用中国”首页查询栏输入希望查询的公司全称,点击“查询”按钮;
②第二步,在搜索结果中点击对应的公司名称;
③第三步,点击“下载信用信息报告”按钮即可下载。
④第四步,在此处提供全套“信用信息报告”并加盖响应方公章。
(查询截图)
2、国家企业信用信息公示系统(******)查询的全套“信用信息公示报告”操作示例如下(如遇网站改版,请以网站实际操作要求为准):
①第一步,根据国家企业信用信息公示系统要求进行用户注册
②第二步,在首页查询栏输入希望查询的公司全称或统一社会信用代码,点击“查询”按钮;
③第三步,在搜索结果中点击对应的公司名称
④第四步,点击“发送报告”按钮即可发送注册用户的邮箱。
⑤第五步,在此处提供全套“企业信用信息公示报告”并加盖响应方公章。
(查询截图)
3、“中国政府采购网”(******/search/cr/)查询的“政府采购严重违法失信行为信息记录”操作示例如下(如遇网站改版,请以网站实际操作要求为准):
①第一步,在中国政府采购网首页点击“政府采购严重违法失信行为记录名单”按钮;
②第二步,在“企业名称”栏输入需要查询的公司全称,点击“查找”按钮即可。
③第三步,在此处提供查找后截图并加盖响应方公章。
4、重大税务违法风险查询
国家税务总局官网查询网址:******/chinatax/c101249/n******02/index.html
八、报名方式:
(1)报价文件递交截止时间:2025年7月18日9时00分00秒(北京时间)。
(2)报价文件递交方式:按照采购需求和报价指引(详见附件)制作报价文件,并将盖章版的报价文件邮件发送至******,******,******,抄送至******。
(3)联系人及电话:李斌,******。
八、注意事项
1.本项目非政府采购项目、非招标项目。
2.供应商提交报价即完全响应我方采购需求的各项要求,报价前请谨慎考虑。供应商报价前,需对采购需求仔细核对,如有不理解的地方要及时联系相关人员。
3.报名单位须对报名信息、所提交资料的真实性、有效性负责,征询人保留对报名单位所提交资料的真实性、有效性进行核查的权利、报名单位应全面、及时配合征询人的核查。
4.本次征集及报名不收取报名单位的任何费用。
5.本次采购结果无需向未中选单位做出任何书面或者口头原因解释,采购结果不另行通知。
