2016年天津銀行電子渠道安全評估項目需求書

一、 總體目標(biāo)

1. 項目背景：

根據(jù)銀監(jiān)會《電子銀行安全評估指引》第三條要求，“開展電子銀行業(yè)務(wù)的金融機構(gòu)，應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要，至少每2年對電子銀行進行一次全面的安全評估�！彪S著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展，電子渠道已經(jīng)成為任何一家金融機構(gòu)的命脈，網(wǎng)銀、手機銀行、微信銀行等系統(tǒng)的重要程度不言而喻。同時，這些系統(tǒng)也面臨著來自互聯(lián)網(wǎng)的多種攻擊威脅，一旦被攻擊成功，不僅會對行內(nèi)業(yè)務(wù)系統(tǒng)造成巨大影響甚至重大信息泄露，甚至還會給我行造成財產(chǎn)及名譽損失，所以我部擬每年對我行的電子渠道進行一次全面的安全評估。依照規(guī)劃，今年，我部擬計劃對我行全部的電子渠道業(yè)務(wù)系統(tǒng)，其中包括網(wǎng)銀、網(wǎng)站、微信銀行、銀銀平臺、大宗交易平臺、供應(yīng)鏈，以及即將上線的新手機銀行、汽車金融平臺等系統(tǒng)進行一次全面性的安全評估，防患于未然。

2. 項目內(nèi)容：

從我行自身安全需求出發(fā)，以《電子銀行安全評估指引》、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》為主要依據(jù)，參考國內(nèi)其他電子銀行典型的情況與問題，形成評估之前的初始模型，然后進行逐項的分析，說明差距，提出解決方案并協(xié)助整改。

3. 項目目標(biāo)：

（1）通過滲透性測試及時發(fā)現(xiàn)我行電子渠道類業(yè)務(wù)硬件架構(gòu)、系統(tǒng)架構(gòu)、應(yīng)用架構(gòu)的不足并加以整改，防患于未然。

（2）通過購買第三方的安全運維及安全檢測服務(wù)，來加強我行面對互聯(lián)網(wǎng)惡意攻擊的應(yīng)急響應(yīng)能力。

二、 項目基本要求

1. 標(biāo)的名稱：

天津銀行電子渠道安全評估項目

2. 供應(yīng)商資質(zhì)要求：

參加本次招標(biāo)的供應(yīng)商須滿足下列要求：

1）具有獨立法人資格；

2）具有國家級信息安全風(fēng)險評估服務(wù)資質(zhì)；

3）提供營業(yè)執(zhí)照副本復(fù)印件（注冊資本人民幣300萬元以上）；

4) 提供蓋章的稅務(wù)登記證復(fù)印件；

5）提供蓋章的組織機構(gòu)代碼證復(fù)印件；

6）提供認(rèn)證體系證書復(fù)印件(如: ISO9001認(rèn)證，ISO27001認(rèn)證等）

7）提供法人身份證復(fù)印件及授權(quán)書；

8）提供資格資質(zhì)證明文件（中國信息安全認(rèn)證中心信息安全服務(wù)資質(zhì)認(rèn)證證書，國家信息安全測評信息安全服務(wù)資質(zhì)證書等等）；

9）提供金融行業(yè)信息安全評估或服務(wù)業(yè)績案例（提供合同復(fù)印件）；

10）提供其它材料：本地化服務(wù)人員資格證明（專業(yè)證書)等。

三、 項目（技術(shù)、系統(tǒng)、配置等）要求

（一）網(wǎng)絡(luò)和信息系統(tǒng)安全風(fēng)險評估

1.信息系統(tǒng)評估。包括對互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)（包括個人網(wǎng)上銀行、企業(yè)網(wǎng)銀、手機銀行、微信銀行、銀銀平臺、大宗交易平臺、供應(yīng)鏈，以及即將上線的新手機銀行、汽車金融平臺等）、門戶網(wǎng)站、移動門戶、電子支付平臺、人行二代支付系統(tǒng)、核心系統(tǒng)、ATM和POS系統(tǒng)、銀行卡系統(tǒng)（包括借記卡系統(tǒng)、銀聯(lián)數(shù)據(jù)前置、銀聯(lián)前置）等系統(tǒng)的網(wǎng)絡(luò)攻擊威脅、失泄密風(fēng)險和防護能力是否有效進行安全評估工作，符合國家、銀行業(yè)的相關(guān)政策法規(guī)監(jiān)管部門的要求（如《網(wǎng)上銀行信息系統(tǒng)通用規(guī)范》《電子銀行安全評估指引》）及相關(guān)的安全檢查。在評估過程中，對排查發(fā)現(xiàn)的風(fēng)險，按照對業(yè)務(wù)造成的危害、損失、程度及重要性提出整改計劃，并協(xié)助我行按時進行整改。保障天津銀行系統(tǒng)自身安全、穩(wěn)健、持續(xù)運行，適合銀行業(yè)務(wù)發(fā)展的需求。

2.數(shù)據(jù)中心基礎(chǔ)設(shè)施。包括對機房供電、空調(diào)、網(wǎng)絡(luò)、通訊等基礎(chǔ)設(shè)施抵御各種網(wǎng)絡(luò)攻擊場景的有效性，評估現(xiàn)有技術(shù)防護措施、安全管理措施的針對性和有效性。

3.專項攻擊評估。包括針對高級可持續(xù)威脅、精準(zhǔn)式網(wǎng)絡(luò)攻擊進行安全評估，對威脅和攻擊進行場景設(shè)定，有針對性地排查系統(tǒng)漏洞、分析脆弱性。

（二）網(wǎng)絡(luò)安全應(yīng)急預(yù)案評估

要根據(jù)不同的網(wǎng)絡(luò)攻擊、安全威脅場景對數(shù)據(jù)中心基礎(chǔ)設(shè)施、網(wǎng)絡(luò)通訊、信息系統(tǒng)服務(wù)的應(yīng)急預(yù)案進行評估，重點要加強機房供電、空調(diào)、通信、關(guān)鍵網(wǎng)絡(luò)設(shè)備等基礎(chǔ)設(shè)施服務(wù)的預(yù)案評估。應(yīng)急預(yù)案評估的主要內(nèi)容包括：評估預(yù)案描述的應(yīng)急準(zhǔn)備是否充分，組織人員職責(zé)是否清晰，業(yè)務(wù)與科技跨部門協(xié)同機制是否充分有效；應(yīng)急預(yù)案執(zhí)行程序是否可行可靠，并識別存在的缺陷和不足。評估完成后，協(xié)助我行制定并完善應(yīng)急預(yù)案。

（三）評估內(nèi)容還需覆蓋安全管理評估、安全技術(shù)評估和業(yè)務(wù)安全評估

其中，安全管理評估應(yīng)包括管理體系審核、安全策略評估、管理問卷調(diào)查和安全顧問訪談；安全技術(shù)評估應(yīng)包括漏洞掃描、安全配置檢查、安全滲透測試、網(wǎng)絡(luò)架構(gòu)分析、移動應(yīng)用安全測試。

具體要求：

確定滲透性測試、現(xiàn)場核查等測評的方法和工具；分析銀行各業(yè)務(wù)中的風(fēng)險類型與分布環(huán)節(jié)，找出我行銀行業(yè)務(wù)的安全威脅、安全脆弱點；對銀行系統(tǒng)安全技術(shù)層面的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等方面和管理層面的安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等方面進行全面的安全測評；分析評估我行系統(tǒng)的安全狀況，包括控制措施的有效性、剩余風(fēng)險狀況等級及是否在我行可承受的范圍內(nèi)等；提出整改的建議，提供電子銀行系統(tǒng)運營的安全防范、加強等策略及計劃。

根據(jù)《網(wǎng)上銀行信息系統(tǒng)通用規(guī)范》、《電子銀行安全評估指引》要求和我行實際，采取科學(xué)的、通用的方法、模型和工具，對我行電子銀行系統(tǒng)的制度、流程進行梳理，找出管理流程中存在的風(fēng)險點，從防范風(fēng)險、提高效率的角度提出優(yōu)化流程和加強制度控制措施的建議。

形成安全評估報告，并對各類銀行系統(tǒng)的安全狀況做出明確的結(jié)論，報告應(yīng)列明評估的范圍、內(nèi)容和方法，應(yīng)列明評估所依據(jù)的國內(nèi)、國際標(biāo)準(zhǔn)和監(jiān)管法規(guī)，分析標(biāo)準(zhǔn)和法規(guī)提出的具體要求，分析評估我行制度與標(biāo)準(zhǔn)和法規(guī)要求的差異，分析評估我行銀行系統(tǒng)風(fēng)險管理現(xiàn)狀與標(biāo)準(zhǔn)和法規(guī)要求及我行制度之間的差異；報告應(yīng)指出具體的安全隱患、問題、差異、不足，并提出整改建議，對銀行系統(tǒng)的安全狀況做出明確結(jié)論。

豐富和完善銀行系統(tǒng)運營過程中安全保障的相關(guān)計劃、防范策略，制定銀行系統(tǒng)業(yè)務(wù)連續(xù)性計劃，銀行系統(tǒng)應(yīng)急計劃和事故處理預(yù)案。

安全預(yù)警信息提供服務(wù)，項目驗收后，及時通告我行最新的安全動態(tài)、安全技術(shù)的發(fā)展趨勢，包括時效性很強的漏洞、攻擊手法、病毒碼的預(yù)先通知，幫助我行電子銀行系統(tǒng)的安全管理人員在最快的時間內(nèi)了解重要的安全信息。

四、 項目實施要求

1、 供應(yīng)商應(yīng)列出項目組成員名單以及簡歷。

如下表：

說明：

a、 此表所列人員應(yīng)為項目組主要成員，供應(yīng)商應(yīng)承諾未征得天津銀行書面同意情況下不得更換上述成員。

b、 供應(yīng)商在“備注”欄說明所列人員的工作比重或具體時長。

2、 交貨、竣工或提供服務(wù)的時間：

該項目全部工作要求兩個月之內(nèi)完成。

3、 文檔交付品的要求： 

按照我行項目管理的相關(guān)規(guī)定提交相應(yīng)的文檔。

4、 在項目實施過程中，能夠提供符合要求的人員。

5、 項目實施應(yīng)有成熟的項目管理及質(zhì)量管理控制。

五、 項目驗收

項目的最終驗收需雙方在天津銀行提供的驗收報告上簽字蓋章。

六、 培訓(xùn)要求

針對我行相關(guān)員工提供至少3門課程的安全培訓(xùn)，培訓(xùn)內(nèi)容包括安全意識類和安全技術(shù)類相關(guān)課程。

七、 技術(shù)支持和售后服務(wù)

提供服務(wù)期內(nèi)的應(yīng)急響應(yīng)工作，現(xiàn)場協(xié)助處理信息安全事件。

八、 付款方式

合同簽訂后，乙方開具合法有效票據(jù)，15個工作日內(nèi)，支付合同總價的50%，完成安全評估且交付評估報告和結(jié)項報告后支付合同50%尾款（特殊情況以合同為準(zhǔn)）。

關(guān)于天津銀行基本情況及相關(guān)資料，請前往公司官方網(wǎng)站：http://www.bank-of-tianjin.com.cn/自行查閱或參考其他公開披露信息，公司將不針對本次招標(biāo)單獨提供其他信息。
本公告在中國招標(biāo)網(wǎng)（http://tjfeld.cn）首次發(fā)布， 未經(jīng)發(fā)布人書面許可,其它任何網(wǎng)站或個人不得轉(zhuǎn)載。否則，發(fā)布人有權(quán)追究轉(zhuǎn)載者的責(zé)任。
 如有問題，聯(lián)系人：楊經(jīng)理
 聯(lián)系電話： 01059367890
 Email：yangheng@bidchance.com
天津銀行股份有限公司