根據(jù)業(yè)務(wù)發(fā)展需要,按照寧波銀行股份有限公司采購(gòu)相關(guān)管理辦法���,我行擬對(duì)《 分行子公司及基礎(chǔ)業(yè)務(wù)類(lèi)系統(tǒng)群安全測(cè)試駐場(chǎng)服務(wù) 項(xiàng)目》面向社會(huì)公開(kāi)征集供應(yīng)商���,誠(chéng)邀符合條件的供應(yīng)商參與方案洽談。
一�、資質(zhì)要求
1、注冊(cè)資金人民幣200萬(wàn)元(含)以上�,財(cái)務(wù)狀況良好;
2�、公司經(jīng)營(yíng)正常并存續(xù)2年(含)以上;
3���、企業(yè)或者其法人近兩年內(nèi)無(wú)行賄犯罪記錄���,未被列入失信執(zhí)行人名單,無(wú)限制高消費(fèi)�����、限制出入境等行為�;
4、公司具備完善的組織架構(gòu)和制度規(guī)范���,擁有充足的技術(shù)���、人員和設(shè)備資源;
5���、同一法定代表人的兩個(gè)及兩個(gè)以上法人�、母公司�����、全資子公司及其控股公司不得在同一次項(xiàng)目中參加報(bào)名��;
6���、參與報(bào)名的供應(yīng)商能作為簽約主體參與后期的商務(wù)流程��;
7���、設(shè)備和產(chǎn)品應(yīng)滿足《網(wǎng)絡(luò)安全法》等法律法規(guī)要求����;
8����、報(bào)名供應(yīng)商應(yīng)符合寧波銀行供應(yīng)商管理相關(guān)要求;
9����、如報(bào)名供應(yīng)商為首次與我行合作供應(yīng)商,請(qǐng)按附件格式提供“供應(yīng)商盡職調(diào)查報(bào)告”�。
二、技術(shù)要求
1����、公司擬參與項(xiàng)目人員必須通過(guò)寧波銀行面試����,人員面試不合格的公司不予準(zhǔn)入����。其中���,參與面試的人員要求為與服務(wù)提供商原廠/分公司/全資子公司簽訂正式勞動(dòng)合同的員工�。
三����、報(bào)名方式及起始時(shí)間
請(qǐng)符合條件的供應(yīng)商在 2025 年 4 月 12 日之前�,通過(guò)報(bào)名鏈接“點(diǎn)擊報(bào)名”方式進(jìn)行報(bào)名���,報(bào)名鏈接如下:https://cpms.nbcb.com.cn/cpms/ananymous/cms/���,并按要求填寫(xiě)相關(guān)報(bào)名材料��。
四、聯(lián)系方式
聯(lián)系人: 張學(xué)輝 0574-83050673 (采購(gòu)部)
毛耀升 0574-81892209 (業(yè)務(wù)部)
分行子公司及基礎(chǔ)業(yè)務(wù)類(lèi)系統(tǒng)群安全測(cè)試駐場(chǎng)服務(wù) 項(xiàng)目主要需求概述
為進(jìn)一步提升我行對(duì)公系統(tǒng)群互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全質(zhì)量,及時(shí)發(fā)現(xiàn)系統(tǒng)安全隱患,現(xiàn)公開(kāi)召集供應(yīng)商�����,采購(gòu)8名安全測(cè)試人員駐場(chǎng)服務(wù),工作量為85人月�。項(xiàng)目周期為:2025年5月1日至2026年3月31日���。每月需完成不少于24個(gè)項(xiàng)目上線前安全測(cè)試��。
其中5名安全測(cè)試人員負(fù)責(zé)分行子公司系統(tǒng)群安全測(cè)試駐場(chǎng)服務(wù)�����,工作量為55人月����;3名安全測(cè)試人員負(fù)責(zé)基礎(chǔ)業(yè)務(wù)類(lèi)系統(tǒng)群安全測(cè)試駐場(chǎng)服務(wù),工作量為30人月(2025年6月1日起)����。
崗位職責(zé):
1���、負(fù)責(zé)對(duì)Web系統(tǒng)、APP��、小程序等進(jìn)行滲透測(cè)試�����;
2�、協(xié)助開(kāi)發(fā)人員修復(fù)漏洞����,并及時(shí)復(fù)核漏洞的整改情況;
3、完成《項(xiàng)目安全測(cè)試報(bào)告》《安全測(cè)試案例執(zhí)行報(bào)告》和《漏洞復(fù)測(cè)報(bào)告》
4、協(xié)助完善安全測(cè)試案例庫(kù)�。
人員要求:
1�����、本科及以上學(xué)歷�����,計(jì)算機(jī)相關(guān)專業(yè);
2�����、具備一年以上安全測(cè)試工作經(jīng)驗(yàn),參與過(guò)城商行及以上規(guī)模銀行安全測(cè)試駐場(chǎng)服務(wù)項(xiàng)目��;
3、掌握常見(jiàn)漏洞(如SQL注入�、文件上傳��、業(yè)務(wù)邏輯漏洞)產(chǎn)生原理、危害��、測(cè)試方法和防護(hù)方式;
4�����、熟練使用常見(jiàn)安全測(cè)試工具(如fiddler�、sqlmap)��;
5���、具有良好的溝通協(xié)調(diào)���、分析問(wèn)題和實(shí)際動(dòng)手能力�,具備一定的文檔撰寫(xiě)能力�����;
6��、需通過(guò)我行面試��,遵守我行外包人員管理要求���。
7����、漏洞逃逸率應(yīng)不高于所有2024年安全測(cè)試人員均值����。
附件:
寧波銀行信息科技服務(wù)提供商盡職調(diào)查報(bào)告
一���、基本信息
1.1服務(wù)提供商基本信息
服務(wù)提供商全稱 |
|
成立日期 |
| 法人代表 |
|
公司類(lèi)型 |
| 注冊(cè)資本&幣種 |
|
統(tǒng)一社會(huì)信用代碼 |
|
公司地址 |
|
聯(lián)系人 |
| 聯(lián)系人電話 |
|
公司主營(yíng)業(yè)務(wù) |
|
1.2監(jiān)管評(píng)價(jià)
(是否出現(xiàn)在監(jiān)管機(jī)構(gòu)的黑名單中)
(最近二年在政府或金融同業(yè)合作過(guò)程中是否受到處罰)
(是否存在未決訴訟)
1.3關(guān)聯(lián)公司或附屬機(jī)構(gòu)信息
(關(guān)聯(lián)公司或附屬機(jī)構(gòu)是否存在經(jīng)營(yíng)危機(jī)�,該危機(jī)是否危及該服務(wù)提供商的正常經(jīng)營(yíng))
1.4主要客戶清單列表
(主要客戶群體)
二��、服務(wù)提供商持續(xù)經(jīng)營(yíng)能力
2.1財(cái)務(wù)情況
(近三年經(jīng)審計(jì)的財(cái)務(wù)報(bào)表)
三、服務(wù)提供商內(nèi)部控制和管理能力
3.1服務(wù)提供商內(nèi)控評(píng)估報(bào)告
(評(píng)估報(bào)告內(nèi)容如覆蓋以下3.2-3.6內(nèi)容�,則將評(píng)估報(bào)告內(nèi)容對(duì)應(yīng)填寫(xiě)至各個(gè)部分)
3.2服務(wù)提供商的組織結(jié)構(gòu)
(內(nèi)部控制部門(mén)�,如是否建立了內(nèi)部的使用工具的安全測(cè)試部門(mén)、內(nèi)控部門(mén)��、審計(jì)部門(mén))
3.3 IT制度體系建設(shè)
(是否對(duì)其公司及項(xiàng)目的安全管理及流程管理建立了相應(yīng)的制度)
(項(xiàng)目過(guò)程中的項(xiàng)目管理(PMO)體系�����,包括例會(huì)�、溝通渠道等)
(服務(wù)質(zhì)量控制方法)
3.4培訓(xùn)體系建設(shè)
(是否對(duì)其員工定期開(kāi)展技術(shù)技能以及安全防范相關(guān)的培訓(xùn)����,提供培訓(xùn)計(jì)劃或培訓(xùn)材料)
3.5服務(wù)提供商人員離職率
(了解公司技術(shù)人員的離職率)
3.6IT風(fēng)險(xiǎn)管控
(包括對(duì)公司本身的IT風(fēng)險(xiǎn)管控及所承接外包項(xiàng)目的IT風(fēng)險(xiǎn)管控情況)
四、服務(wù)提供商信息技術(shù)能力
4.1服務(wù)能力和支持技術(shù)
(服務(wù)提供商的技術(shù)能力資質(zhì)證明����,專業(yè)認(rèn)證等)
(描述使用的工作方法��、應(yīng)用軟件、技術(shù)文檔����、評(píng)估模型����、評(píng)估工具等使用情況����、知識(shí)產(chǎn)權(quán)等)
4.2服務(wù)經(jīng)驗(yàn)與市場(chǎng)評(píng)價(jià)
(服務(wù)提供商主要的服務(wù)行業(yè)�����、主營(yíng)業(yè)務(wù)�����、服務(wù)客戶)
(類(lèi)似的服務(wù)項(xiàng)目經(jīng)驗(yàn)及項(xiàng)目合同證明材料)
五�����、服務(wù)提供商的網(wǎng)絡(luò)和信息安全保障能力
(該項(xiàng)評(píng)估內(nèi)容用于非駐場(chǎng)信息科技外包)
(描述內(nèi)容可包括網(wǎng)絡(luò)與信息安全管理體系建設(shè)情況�、網(wǎng)絡(luò)與信息安全技術(shù)防護(hù)體系建設(shè)情況、安全事件響應(yīng)和恢復(fù)能力�、實(shí)踐經(jīng)驗(yàn)等)