根據(jù)業(yè)務(wù)發(fā)展需要�����,按照寧波銀行股份有限公司采購(gòu)相關(guān)管理辦法�����,我行擬對(duì)《 數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)項(xiàng)目》面向社會(huì)公開征集供應(yīng)商�����,誠(chéng)邀符合條件的供應(yīng)商參與方案洽談���。
一��、資質(zhì)要求
1����、注冊(cè)資金人民幣200萬(wàn)元(含)以上�����,財(cái)務(wù)狀況良好�;
2、公司經(jīng)營(yíng)正常并存續(xù)2年(含)以上��;
3�����、企業(yè)或者其法人近兩年內(nèi)無(wú)行賄犯罪記錄�,未被列入失信執(zhí)行人名單,無(wú)限制高消費(fèi)���、限制出入境等行為�;
4、公司具備完善的組織架構(gòu)和制度規(guī)范��,擁有充足的技術(shù)���、人員和設(shè)備資源���;
5、同一法定代表人的兩個(gè)及兩個(gè)以上法人��、母公司�����、全資子公司及其控股公司不得在同一次項(xiàng)目中參加報(bào)名�;
6、參與報(bào)名的供應(yīng)商能作為簽約主體參與后期的商務(wù)流程�;
7、設(shè)備和產(chǎn)品應(yīng)滿足《網(wǎng)絡(luò)安全法》等法律法規(guī)要求��;
8�����、報(bào)名供應(yīng)商應(yīng)符合寧波銀行供應(yīng)商管理相關(guān)要求�����;
9���、如報(bào)名供應(yīng)商為首次與我行合作供應(yīng)商���,請(qǐng)按附件格式提供“供應(yīng)商盡職調(diào)查報(bào)告”。
二����、技術(shù)要求
1、產(chǎn)品為本地部署的產(chǎn)品���,支持通過(guò)syslog方式對(duì)接我行安全運(yùn)營(yíng)平臺(tái)�����,將數(shù)據(jù)風(fēng)險(xiǎn)告警和事件處置結(jié)果及推理過(guò)程內(nèi)容通過(guò)API等方式發(fā)送至我行安全運(yùn)營(yíng)平臺(tái)��。
2�、系統(tǒng)支持數(shù)據(jù)使用風(fēng)險(xiǎn)的告警分析研判��、異常用數(shù)分析�����、數(shù)據(jù)風(fēng)險(xiǎn)事件應(yīng)急處置等功能,增強(qiáng)我行數(shù)據(jù)安全事件分析監(jiān)測(cè)能力��,提升數(shù)據(jù)安全運(yùn)營(yíng)效率����。
3、要求原廠商具有如下全部資質(zhì):
①ISO27001認(rèn)證��。
②國(guó)家信息安全測(cè)評(píng)信息安全服務(wù)資質(zhì)證書-風(fēng)險(xiǎn)評(píng)估類二級(jí)�����、安全運(yùn)營(yíng)類二級(jí)��、安全工程類二級(jí)�����。
③CCRC信息安全服務(wù)資質(zhì)認(rèn)證證書-應(yīng)急處理一級(jí)��、安全運(yùn)維一級(jí)��。
④國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位(甲級(jí))���。
4�����、要求原廠商具備至少1個(gè)中國(guó)系統(tǒng)重要性銀行總行數(shù)據(jù)安全系統(tǒng)建設(shè)項(xiàng)目案例��。
三�����、報(bào)名方式及起始時(shí)間
請(qǐng)符合條件的供應(yīng)商在 2025 年 8 月 16 日之前,通過(guò)報(bào)名鏈接“點(diǎn)擊報(bào)名”方式進(jìn)行報(bào)名�,報(bào)名鏈接如下:https://cpms.nbcb.com.cn/cpms/ananymous/cms/����,并按要求填寫相關(guān)報(bào)名材料。
四����、聯(lián)系方式
聯(lián)系人: 張學(xué)輝 0574-83050673 (采購(gòu)部)
徐 娟 0574-81896506 (業(yè)務(wù)部)
數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)項(xiàng)目主要需求概述
為進(jìn)一步增強(qiáng)我行數(shù)據(jù)安全事件分析監(jiān)測(cè)能力,我行擬引入本地部署的安全平臺(tái)��,監(jiān)測(cè)敏感及以上數(shù)據(jù)在不同區(qū)域(邊界區(qū)域)異常流動(dòng)���,提升我行網(wǎng)絡(luò)和外部數(shù)據(jù)交互的過(guò)程中����,越權(quán)訪問(wèn)、遍歷攻擊��、批量敏感數(shù)據(jù)爬取等數(shù)據(jù)安全風(fēng)險(xiǎn)的監(jiān)測(cè)能力��。項(xiàng)目需求如下:
基本需求:
1�、梳理API數(shù)據(jù)資產(chǎn):通過(guò)對(duì)應(yīng)用和API等進(jìn)行智能數(shù)據(jù)采集和自動(dòng)化梳理,形成應(yīng)用/API數(shù)據(jù)資產(chǎn)分布���、敏感數(shù)據(jù)資產(chǎn)清單�����、敏感數(shù)據(jù)流轉(zhuǎn)視圖和數(shù)據(jù)權(quán)責(zé)清單�。
2��、監(jiān)測(cè)API安全風(fēng)險(xiǎn)���,接口風(fēng)險(xiǎn)實(shí)時(shí)感知:通過(guò)數(shù)據(jù)安全大模型技術(shù)�,對(duì)用戶數(shù)據(jù)訪問(wèn)流量進(jìn)行建模���,自動(dòng)生成安全基線��,基于安全基線以及異常行為特征模型對(duì)數(shù)據(jù)訪問(wèn)行為進(jìn)行研判�����,實(shí)時(shí)感知風(fēng)險(xiǎn)并告警�。
3���、分析API的訪問(wèn)風(fēng)險(xiǎn)���,基于數(shù)據(jù)安全模型實(shí)現(xiàn)數(shù)據(jù)安全告警智能消減,進(jìn)行主動(dòng)研判分析�。
4、使用數(shù)據(jù)安全大模型對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)事件開展分析���,發(fā)現(xiàn)異常風(fēng)險(xiǎn)事件并能夠結(jié)合實(shí)戰(zhàn)經(jīng)驗(yàn)研判分析�。關(guān)聯(lián)分析和推理舉證實(shí)現(xiàn)如口令認(rèn)證類�����、安全規(guī)范類����、訪問(wèn)權(quán)限類���、數(shù)據(jù)暴露類、接口未授權(quán)訪問(wèn)�����、敏感信息泄漏等類型的API脆弱性檢測(cè)�。
5、為了提升數(shù)據(jù)安全事件可運(yùn)營(yíng)性�����,需要本次軟件平臺(tái)能夠滿足對(duì)接我行現(xiàn)有的安全運(yùn)營(yíng)平臺(tái)�����,完全融入到我行現(xiàn)有的安全運(yùn)營(yíng)體系中�����。
6�、系統(tǒng)管理
支持通過(guò)syslog等方式接收我行安全運(yùn)營(yíng)平臺(tái)告警數(shù)據(jù)。
支持將告警和事件處置結(jié)果及推理過(guò)程內(nèi)容通過(guò)API等方式發(fā)送至我行安全運(yùn)營(yíng)平臺(tái)�����。
系統(tǒng)兼容國(guó)產(chǎn)芯片和系統(tǒng)。
可用性要求
系統(tǒng)運(yùn)行穩(wěn)定可靠�,可靠性至少達(dá)到99.9%。
服務(wù)要求
要求產(chǎn)品原廠商全程負(fù)責(zé)系統(tǒng)規(guī)劃����、安裝和部署�����,完成系統(tǒng)上線運(yùn)行后�����,協(xié)助我行開展模型調(diào)優(yōu)和本地化適配工作���。
包含三年產(chǎn)品維保���,維保期內(nèi)提供系統(tǒng)優(yōu)化、升級(jí)服務(wù)及模型更新服務(wù)�����。
定期的系統(tǒng)巡檢服務(wù),每年提供4次常規(guī)上門的產(chǎn)品巡檢和不少于15人天的模型優(yōu)化服務(wù)���。
提供應(yīng)急響應(yīng)服務(wù)�����,提供7×24小時(shí)技術(shù)支持���,系統(tǒng)出現(xiàn)故障時(shí),需在半小時(shí)內(nèi)響應(yīng)�,并在2小時(shí)內(nèi)提供解決方案,事后出具原廠故障分析報(bào)告��。
提供完整的安裝配置和運(yùn)行維護(hù)有關(guān)的全套技術(shù)資料文檔���。
提供培訓(xùn)服務(wù)����,寧波銀行技術(shù)人員通過(guò)技術(shù)培訓(xùn)�����,當(dāng)出現(xiàn)系統(tǒng)問(wèn)題時(shí)�,能夠快速�、高效的響應(yīng)處理���。
附件:
寧波銀行信息科技服務(wù)提供商盡職調(diào)查報(bào)告
一�、基本信息
1.1服務(wù)提供商基本信息
服務(wù)提供商全稱 |
|
成立日期 |
| 法人代表 |
|
公司類型 |
| 注冊(cè)資本&幣種 |
|
統(tǒng)一社會(huì)信用代碼 |
|
公司地址 |
|
聯(lián)系人 |
| 聯(lián)系人電話 |
|
公司主營(yíng)業(yè)務(wù) |
|
1.2監(jiān)管評(píng)價(jià)
(是否出現(xiàn)在監(jiān)管機(jī)構(gòu)的黑名單中)
(最近二年在政府或金融同業(yè)合作過(guò)程中是否受到處罰)
(是否存在未決訴訟)
1.3關(guān)聯(lián)公司或附屬機(jī)構(gòu)信息
(關(guān)聯(lián)公司或附屬機(jī)構(gòu)是否存在經(jīng)營(yíng)危機(jī)�,該危機(jī)是否危及該服務(wù)提供商的正常經(jīng)營(yíng))
1.4主要客戶清單列表
(主要客戶群體)
二、服務(wù)提供商持續(xù)經(jīng)營(yíng)能力
2.1財(cái)務(wù)情況
(近三年經(jīng)審計(jì)的財(cái)務(wù)報(bào)表)
三����、服務(wù)提供商內(nèi)部控制和管理能力
3.1服務(wù)提供商內(nèi)控評(píng)估報(bào)告
(評(píng)估報(bào)告內(nèi)容如覆蓋以下3.2-3.6內(nèi)容,則將評(píng)估報(bào)告內(nèi)容對(duì)應(yīng)填寫至各個(gè)部分)
3.2服務(wù)提供商的組織結(jié)構(gòu)
(內(nèi)部控制部門���,如是否建立了內(nèi)部的使用工具的安全測(cè)試部門、內(nèi)控部門���、審計(jì)部門)
3.3 IT制度體系建設(shè)
(是否對(duì)其公司及項(xiàng)目的安全管理及流程管理建立了相應(yīng)的制度)
(項(xiàng)目過(guò)程中的項(xiàng)目管理(PMO)體系�,包括例會(huì)��、溝通渠道等)
(服務(wù)質(zhì)量控制方法)
3.4培訓(xùn)體系建設(shè)
(是否對(duì)其員工定期開展技術(shù)技能以及安全防范相關(guān)的培訓(xùn)�����,提供培訓(xùn)計(jì)劃或培訓(xùn)材料)
3.5服務(wù)提供商人員離職率
(了解公司技術(shù)人員的離職率)
3.6IT風(fēng)險(xiǎn)管控
(包括對(duì)公司本身的IT風(fēng)險(xiǎn)管控及所承接外包項(xiàng)目的IT風(fēng)險(xiǎn)管控情況)
四���、服務(wù)提供商信息技術(shù)能力
4.1服務(wù)能力和支持技術(shù)
(服務(wù)提供商的技術(shù)能力資質(zhì)證明�����,專業(yè)認(rèn)證等)
(描述使用的工作方法�����、應(yīng)用軟件���、技術(shù)文檔���、評(píng)估模型、評(píng)估工具等使用情況�、知識(shí)產(chǎn)權(quán)等)
4.2服務(wù)經(jīng)驗(yàn)與市場(chǎng)評(píng)價(jià)
(服務(wù)提供商主要的服務(wù)行業(yè)、主營(yíng)業(yè)務(wù)�����、服務(wù)客戶)
(類似的服務(wù)項(xiàng)目經(jīng)驗(yàn)及項(xiàng)目合同證明材料)
五����、服務(wù)提供商的網(wǎng)絡(luò)和信息安全保障能力
(該項(xiàng)評(píng)估內(nèi)容用于非駐場(chǎng)信息科技外包)
(描述內(nèi)容可包括網(wǎng)絡(luò)與信息安全管理體系建設(shè)情況、網(wǎng)絡(luò)與信息安全技術(shù)防護(hù)體系建設(shè)情況�、安全事件響應(yīng)和恢復(fù)能力��、實(shí)踐經(jīng)驗(yàn)等)