民生金租互联网系统渗透测试项目报名公告
一、项目名称:民生金租互联网系统渗透测试项目
二、项目背景:随着我公司业务的不断发展,数字化转型和金融科技创新方面不断加深,互联网系统逐渐增多。这些互联网系统的推出可能引入更多的安全隐患。从公司的发展必要和民生总行的安全要求来看,公司必须持续强化网络安全防护,确保系统和数据的安全性。当前,我公司面临的信息安全问题主要包括系统漏洞频发及外部网络攻击风险增加等。在我司的安全检查中,我们在多个系统中发现了潜在的安全隐患,这些隐患如果不及时解决,将可能导致客户数据泄露、财务损失及声誉受损,严重影响公司的可持续发展。因此我司需增加互联网系统网络安全渗透测试服务,以进一步提前发现并解决系统漏洞,降低信息安全风险。
三、资格要求:
1.供应商必须是在中华人民共和国境内依法注册的独立法人,具有有效的营业执照、税务登记证和组织机构代码证(或三证合一的营业执照),公司注册资本应不少于1000万元。
2.未被列入严重违法失信名单、失信被执行人、被采取限制消费措施、经营异常名录、税收违法黑名单、政府采购严重违法失信行为记录名单等(在处罚期内),须在报价文件中提供纸质承诺并加盖响应方公章(查询方法详见指引)。
四、采购要求:
(一)项目目标
针对互联网渗透测试服务,本项目的整体建设目标是通过聘请第三方安全服务商的安全工程师对我司互联网系统实施渗透测试,发现我公司互联网系统的安全漏洞薄弱点,识别并修复潜在的安全漏洞,以增强系统网络安全防护能力。具体目标包括:
1. 漏洞风险识别:识别各业务系统及应用程序中的安全漏洞和配置错误。
2. 漏洞安全加固:提供针对识别漏洞的整改建议,以提高系统的安全性和抗攻击能力。
3.安全能力提升:通过测试过程中的发现与整改,提高人员的能力和对网络安全的进一步认知。
(二)实施周期
项目的实施周期为自合同签订之日起,预计在1年内完成。具体实施计划如下:
| 序号 | 项目阶段 | 开始日期 | 结束日期 |
| 1 | 召开启动会 | T | T+1 |
| 2 | 需求分析与渗透测试方案设计 | T+1 | T+15 |
| 3 | 循环迭代进行互联网系统渗透测试 | T+345 | T+355 |
| 4 | 验收 | T+355 | T+365 |
(三)建设内容
本项目的实施内容包括:
本项目的实施内容包括:
1. 渗透测试方案设计:根据公司现有重点互联网系统特性,制定详细的渗透测试方案,包括测试范围、方法和工具选择。
2. 渗透测试实施:对指定的互联网系统进行全面的渗透测试,包括网络层、应用层的攻击尝试。
3. 漏洞评估与整改建议:对渗透测试中发现的漏洞进行详细评估,提供整改建议,并协助技术团队进行修复和复测。
4. 提供测试报告:针对测试报告,组织复盘和交流,提高人员的能力和对网络安全的认知。
(四)人员要求
至少1名拥有pmp资质的原厂项目经理负责全过程服务,包括但不限于协调优质资源、服务期内一切测试相关事情的处理。需提供自公示日起的半年内社保证明、身份证复印件、PMP有效证书复印件。
(五)服务期: 自合同签订之日起一年,完成四轮互联网系统的完整渗透测试服务。
合同签订后开始实施支付合同款项的40%,项目实施结束并验收后支付剩余的70%。
六、评分标准:
| 分项 | 细项 | 分值 | |
| 项目报价 | 报价得分 | 1、不接受选择性报价或者具有附加条件的报价,报价不得高于最高限价; | 20 |
| 商务部分 | 企业实力规模 | 根据响应方的企业规模、知名度、近两年财务状况、服务内容、行业地位等情况评分。 | 4 |
| 项目案例 | 根据响应方同行业类似项目的成功案例情况进行评分。(合同签署时间在2022年1月1日之后): 在国有6******银行及12******银行渗透测试项目案例(直签类金额在100万或以上);每项案例2分,最高4分。 ******银行总行有渗透测试项目案例的得4分。 其他金融机构渗透测试项目案例每项1分,最高4分。 | 12 | |
| 供应商资质 | 根据响应方安全服务相关资质能力进行评分,响应方应具备: 1)ISO9000质量管理体系认证; 2)ISO27001信息安全管理体系认证; 3)ISO20000信息技术服务管理体系认证; 4)中国信息安全测评中心颁发的信息安全服务资质(风险评估类一级)认证; 5)中国网络安全审查技术与认证中心颁发的信息安全风险评估一级服务资质认证; 6)中国网络安全审查技术与认证中心颁发的信息安全应急处理一级服务资质认证; 7) 国家信息安全漏洞库(CNNVD)技术支撑单位(二级)及以上证书; 每具备一项以上一项有效的证书并提供复印件得1分。 | 7 | |
| 安全服务能力与资质 | 项目管理人员能力 | 项目管理人员能力: 根据响应方项目管理团队的综合实力进行评分,本次服务项目的项目经理人选应具备: | 10 |
| 团队能力 | 团队能力: 根据响应方测试服务团队的综合实力进行评分,本次服务项目的技术人员应具备: | 10 | |
| 服务人员技能能力 | 服务人员安全攻防能力: | 10 | |
| 技术方案 | 服务方案 | 根据响应方编制的整体服务技术方案进行综合评分,方案中应包括采购要求中所有安全服务内容、安全测试内容、测试环境准备、渗透测试方法、测试流程、交付成果、项目实施计划等内容,且实施方案中应包括项目组织架构及人员分配情况、质量管理、进度管理、沟通管理、售后服务方案等内容。 | 17 |
| 交付能力 | 响应方根据征询方对于项目实施的要求和所提供的测试内容进行总结,拟制交付报告,提供网络安全漏洞事件应急服务,并对响应方渗透测试结果进行复测,反馈测试情况的整体安排综合评定。 | 12 | |
| 合计(分) | 100 | ||
七、报价单及资格审查指引
报价单:
| 产品/服务名称 | 不含税价格(元) | 含税价格(元) | 税率(%) | |
| 1 | 渗透测试服务 |
|
|
|
| 2 | 合计 |
|
|
|
| 3 | 交货周期 | 签订合同后一年内完成交付 | ||
| 4 | 付款条件 | 合同签订后开始实施支付合同款项的30%,项目实施结束并验收后支付剩余的70%。 | ||
| 5 | 发票类型 | 增值税专用发票 | ||
| 6 | 备注 |
| ||
资格审查指引:
1、“信用中国”网站(******)查询的全套“信用信息报告”操作示例如下(如遇网站改版,请以网站实际操作要求为准):
①第一步,在“信用中国”首页查询栏输入希望查询的公司全称,点击“查询”按钮;
②第二步,在搜索结果中点击对应的公司名称;
③第三步,点击“下载信用信息报告”按钮即可下载。
④第四步,在此处提供全套“信用信息报告”并加盖响应方公章。
(查询截图)
2、国家企业信用信息公示系统(******)查询的全套“信用信息公示报告”操作示例如下(如遇网站改版,请以网站实际操作要求为准):
①第一步,根据国家企业信用信息公示系统要求进行用户注册
②第二步,在首页查询栏输入希望查询的公司全称或统一社会信用代码,点击“查询”按钮;
③第三步,在搜索结果中点击对应的公司名称
④第四步,点击“发送报告”按钮即可发送注册用户的邮箱。
⑤第五步,在此处提供全套“企业信用信息公示报告”并加盖响应方公章。
(查询截图)
3、“中国政府采购网”(******/search/cr/)查询的“政府采购严重违法失信行为信息记录”操作示例如下(如遇网站改版,请以网站实际操作要求为准):
①第一步,在中国政府采购网首页点击“政府采购严重违法失信行为记录名单”按钮;
②第二步,在“企业名称”栏输入需要查询的公司全称,点击“查找”按钮即可。
③第三步,在此处提供查找后截图并加盖响应方公章。
4、重大税务违法风险查询
国家税务总局官网查询网址:******/chinatax/c101249/n******02/index.html
八、报名方式:
(1)报价文件递交截止时间:2025年7月18日9时00分00秒(北京时间)。
(2)报价文件递交方式:按照采购需求和报价指引(详见附件)制作报价文件,并将盖章版的报价文件邮件发送至******,******,******,抄送至******。
(3)联系人及电话:李斌,******。
1.本项目非政府采购项目、非招标项目。
2.供应商提交报价即完全响应我方采购需求的各项要求,报价前请谨慎考虑。供应商报价前,需对采购需求仔细核对,如有不理解的地方要及时联系相关人员。
3.报名单位须对报名信息、所提交资料的真实性、有效性负责,征询人保留对报名单位所提交资料的真实性、有效性进行核查的权利、报名单位应全面、及时配合征询人的核查。
4.本次征集及报名不收取报名单位的任何费用。
5.本次采购结果无需向未中选单位做出任何书面或者口头原因解释,采购结果不另行通知。
