宁波银行股份有限公司上海分行

  分行骨干网络系统等保二级复测  项目供应商召集公告

 根据业务发展需要，按照宁波银行股份有限公司采购相关管理办法，我行拟对《分行骨干网络系统等保二级复测项目》面向社会公开征集供应商，诚邀符合条件的供应商参与方案洽谈。

一、资质要求

1、公司经营正常并存续2年（含）以上；

2、投标单位须具有信息安全服务资质认证、信息安全管理体系认证、信息技术服务管理体系认证等；

3、企业或者其法人近两年内无行贿犯罪记录，未被列入失信执行人名单，无限制高消费、限制出入境等行为；

4、公司具备完善的组织架构和制度规范，拥有充足的技术、人员和设备资源；

5、同一法定代表人的两个及两个以上法人、母公司、全资子公司及其控股公司不得在同一次项目中参加报名；

6、报名供应商应符合宁波银行供应商管理相关要求；

7、本项目不接受联合体投标。

二、技术要求

1、供应商在银行/金融行业领域拥有等保服务实施项目案例；

2、项目负责人需持有中级以上的网络安全等级测评师证书，从事等保测评工作不少于3年；

3、投标单位应符合上海网安的等级保护测评要求，顺利完成我行骨干网络系统等保复测评工作。

三、报名方式及起始时间

请符合条件的供应商在  2024   年  10   月  11   日之前,通过报名链接“点击报名”方式进行报名，报名链接如下：https://cpms.nbcb.com.cn/cpms/ananymous/cms/，并按要求填写相关报名材料。

1、申请人报名时，应提供以下材料：

（1）供应商基本情况表、企业营业执照、资质证书等，格式详见附件1；

（2）拟派项目负责人简历表、执业资格证书、业绩证明，格式详见附件2；

（3）拟派项目人员配备情况表，格式详见附件3；

（4）银行/金融行业业绩及证明文件，格式详见附件4；

（5）单位授权书及授权、受托代表的身份证复印件附件5；

（6）召集公告要求的其它内容和文件；

（7）供应商认为其它需提供的文件或证书。

各类证件及其他各类资料的复印件均须加盖单位公章；

2、如分公司参与本次采购项目的，请提供总公司授权分公司参与此项目的授权书。授权书需单独加盖总公司及分公司的单位公章并经双方负责人授权认可（签章）；

3、参与报名的供应商应保证所提供材料的真实合法性，并承担由此产生的法律风险和赔偿责任。我行保留对相关材料进行核实的权利，如发现提供虚假材料的供应商，我行将取消其本次及以后的报名资格。

四、发布媒介

本次召集公告同时在宁波银行网站（https://cpms.nbcb.com.cn/cpms/ananymous/cms）、上海政采项目管理有限公司网站（http://www.shzfcg.cn/）、金采网（http://www.cfcpn.com/）上发布。

五、联系方式

联 系 人：王老师:021-31158028（采购部）

林老师:021-31155995（科技部）

联 系 人：戴小军:021-62091273-8009（招标代理机构）

电子邮件：daixiaojun@shzfcg.cn

 分行骨干网络系统等保二级复测 项目主要需求概述

为配合上海分行业务发展需求，保障分行网络系统安全，根据监管部门的要求，拟启动分行骨干网络系统等保二级复测项目。具体需求如下：

一、项目标准

安全等保测评应依据但不限于以下国家信息安全标准：

GB/T-22239-2019 《信息安全技术 信息系统安全等级保护基本要求》

GB/T-22240-2020 《信息安全技术 网络安全等级保护定级指南》

GB/T-25058-2010 《信息安全技术 信息系统安全等级保护实施指南》

GB/T-28448-2019 《信息安全技术 信息系统安全等级保护测评要求》

GB/T-28449-2018 《信息安全技术 信息系统安全等级保护测评过程指南》

二、技术要求

定级要求

实施方应根据《信息系统安全等级保护定级指南》要求，协助采购单位完成测评的信息系统定级备案工作，并编制信息系统《等级保护定级报告》和《备案表》等相关内容，评级分须满足2级等保通过要求。

测评内容

根据采购单位信息系统的安全保护等级，依据GB/T-22239-2019 《信息安全技术 信息系统安全等级保护基本要求》、GB/T-28448-2019 《信息安全技术 信息系统安全等级保护测评要求》的条款满足以下规范：

安全技术测评：安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等；

安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等。

测评原则

本次分行骨干网络系统等保二级复测实施方案设计与具体实施应满足以下原则：

1、标准性：测评方案的设计与实施应依据国家等级保护相关标准进行；

2、规范性：实施过程和文档，具有很好的规范性，便于项目的跟踪和控制；

3、可控性：测评服务的进度要满足采购单位要求，保证采购方对于测评工作的可控性。

4、整体性：测评的范围和内容应当整体全面，包括国家等保要求的各层面；

5、最小影响：测评工作应尽可能小的影响系统和网络，并在可控范围内，测评工作不能对现有信息系统的正常运行、业务正常开展产生任何影响。

实施方应严格依据上述原则和国家等级保护相关标准开展项目实施工作。

测评要求

1、实施方应在采购方系统详细了解的基础上，编制针对性的等级保护测评整体实施方案，包括项目概述、等保测评范围和内容、项目实施流程、测评过程中需使用的测试设备清单、时间安排、阶段性文档提交和验收标准等；

2、实施方应详细描述测评人员的组成、资质及各自职责的划分。配置有经验的测评人员进行本次等级保护复测评工作；

3、本次等级保护测评实施过程中所使用的工具软件由实施方推荐，经采购方确认后由实施方提供并在测评中使用。工具软件推荐方案中应详细描述软件工具名称、功能和性能、使用方式、使用时间、对环境和平台的要求以及可能对系统造成的风险等；

4、对于在测评过程中采用的测评方法、测评使用的工具、测评覆盖的各方面，需要符合信息安全等级保护主管部门的要求，包括但不限于网络隐患检测工具、数据库漏洞检测工作、应用安全检测工具、网站安全检测工具等；

5、实施方应详细描述需要运行环境的具体要求；

6、项目完成后须提交完整的技术文档、测评报告、整改意见等。

实施要求

1、实施方应确保项目在采购方条件成熟时立即开展项目实施；

2、实施方在项目实施过程中应服从采购方的统一领导和协调，采购方有权裁决实施方的责任范围，实施方须在采购方的时间要求内解决问题。如果实施方不能按时完成测评内容，采购方有权中止项目、索赔或拒付款项；

3、实施方需根据自己的工程实施经验结合采购方的实际需求进一步细化和完善工作任务书，作为工程实施的指导性文件

4、实施方应根据采购方工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划，对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细说明，以确保项目按时保质的完成；

5、本次项目负责人须持有中级以上测评师认证证书，项目参与人员应具有信息安全保障人员认证；

实施周期

本次分行骨干网络系统等保二级复测工作须在正式合同签订后3个月内完成。

项目验收

实施方应在测评工作结束后，协助采购方完成系统备案工作。服务完成后经采购方验收合格支付合同金额。本项目输出包括但不限于以下成果：《网络安全等级保护测评报告》

、《网络安全整改意见书》、信息系统安全等级保护备案。

保密要求

    实施方应对项目实施过程中获取的信息系统数据采取严格的保密措施，防止数据泄露。

附件1：

供应商基本情况表

注：后附企业营业执照、资质证书等复印

附件2：

拟派项目负责人简历表

注：后附拟派项目负责人的执业资格证书、银行或金融行业业绩证明（体现项目负责人姓名的合同复印件或其他证明材料）。

附件3：

拟派项目人员配备情况表

注：后附拟派项目成员的执业资格证书。一旦入围，将实现项目负责人负责制，并配备上述项目管理班子。保证上述填报内容真实，若不真实，愿按有关规定接受处理。项目管理班子机构设置、职责分工等情况另附资料说明。

附件4：

银行/金融行业业绩及证明文件

注：后附证明以上业绩的中标通知书或合同复印件

附件5

法定代表人授权委托书

本人             （姓名）系                       （投标人名称）的法定代表人，现授权         （姓名）为我方代理人。代理人根据授权，以我方名义签署、澄清、说明、提交、撤回、修改             （项目名称）投标文件、签订合同和处理有关事宜，其法律后果由我方承担。

委托期限：     年     月     日起     年     月     日止

                                                           。

代理人无转委托权。

投  标  人：                      （单位公章）

法定代表人：                      （签字或盖章）

身份证号码：                     

委托代理人：                      （签字或盖章）

身份证号码：