2016年天津銀行電子渠道安全評估項目需求書

一、 總體目標

1. 項目背景：

根據銀監會《電子銀行安全評估指引》第三條要求，“開展電子銀行業務的金融機構，應根據其電子銀行發展和管理的需要，至少每2年對電子銀行進行一次全面的安全評估。”隨著網絡與信息技術的發展，電子渠道已經成為任何一家金融機構的命脈，網銀、手機銀行、微信銀行等系統的重要程度不言而喻。同時，這些系統也面臨著來自互聯網的多種攻擊威脅，一旦被攻擊成功，不僅會對行內業務系統造成巨大影響甚至重大信息泄露，甚至還會給我行造成財產及名譽損失，所以我部擬每年對我行的電子渠道進行一次全面的安全評估。依照規劃，今年，我部擬計劃對我行全部的電子渠道業務系統，其中包括網銀、網站、微信銀行、銀銀平臺、大宗交易平臺、供應鏈，以及即將上線的新手機銀行、汽車金融平臺等系統進行一次全面性的安全評估，防患于未然。

2. 項目內容：

從我行自身安全需求出發，以《電子銀行安全評估指引》、《網上銀行系統信息安全通用規范》為主要依據，參考國內其他電子銀行典型的情況與問題，形成評估之前的初始模型，然后進行逐項的分析，說明差距，提出解決方案并協助整改。

3. 項目目標：

（1）通過滲透性測試及時發現我行電子渠道類業務硬件架構、系統架構、應用架構的不足并加以整改，防患于未然。

（2）通過購買第三方的安全運維及安全檢測服務，來加強我行面對互聯網惡意攻擊的應急響應能力。

二、 項目基本要求

1. 標的名稱：

天津銀行電子渠道安全評估項目

2. 供應商資質要求：

參加本次招標的供應商須滿足下列要求：

1）具有獨立法人資格；

2）具有國家級信息安全風險評估服務資質；

3）提供營業執照副本復印件（注冊資本人民幣300萬元以上）；

4) 提供蓋章的稅務登記證復印件；

5）提供蓋章的組織機構代碼證復印件；

6）提供認證體系證書復印件(如: ISO9001認證，ISO27001認證等）

7）提供法人身份證復印件及授權書；

8）提供資格資質證明文件（中國信息安全認證中心信息安全服務資質認證證書，國家信息安全測評信息安全服務資質證書等等）；

9）提供金融行業信息安全評估或服務業績案例（提供合同復印件）；

10）提供其它材料：本地化服務人員資格證明（專業證書)等。

三、 項目（技術、系統、配置等）要求

（一）網絡和信息系統安全風險評估

1.信息系統評估。包括對互聯網業務系統（包括個人網上銀行、企業網銀、手機銀行、微信銀行、銀銀平臺、大宗交易平臺、供應鏈，以及即將上線的新手機銀行、汽車金融平臺等）、門戶網站、移動門戶、電子支付平臺、人行二代支付系統、核心系統、ATM和POS系統、銀行卡系統（包括借記卡系統、銀聯數據前置、銀聯前置）等系統的網絡攻擊威脅、失泄密風險和防護能力是否有效進行安全評估工作，符合國家、銀行業的相關政策法規監管部門的要求（如《網上銀行信息系統通用規范》《電子銀行安全評估指引》）及相關的安全檢查。在評估過程中，對排查發現的風險，按照對業務造成的危害、損失、程度及重要性提出整改計劃，并協助我行按時進行整改。保障天津銀行系統自身安全、穩健、持續運行，適合銀行業務發展的需求。

2.數據中心基礎設施。包括對機房供電、空調、網絡、通訊等基礎設施抵御各種網絡攻擊場景的有效性，評估現有技術防護措施、安全管理措施的針對性和有效性。

3.專項攻擊評估。包括針對高級可持續威脅、精準式網絡攻擊進行安全評估，對威脅和攻擊進行場景設定，有針對性地排查系統漏洞、分析脆弱性。

（二）網絡安全應急預案評估

要根據不同的網絡攻擊、安全威脅場景對數據中心基礎設施、網絡通訊、信息系統服務的應急預案進行評估，重點要加強機房供電、空調、通信、關鍵網絡設備等基礎設施服務的預案評估。應急預案評估的主要內容包括：評估預案描述的應急準備是否充分，組織人員職責是否清晰，業務與科技跨部門協同機制是否充分有效；應急預案執行程序是否可行可靠，并識別存在的缺陷和不足。評估完成后，協助我行制定并完善應急預案。

（三）評估內容還需覆蓋安全管理評估、安全技術評估和業務安全評估

其中，安全管理評估應包括管理體系審核、安全策略評估、管理問卷調查和安全顧問訪談；安全技術評估應包括漏洞掃描、安全配置檢查、安全滲透測試、網絡架構分析、移動應用安全測試。

具體要求：

確定滲透性測試、現場核查等測評的方法和工具；分析銀行各業務中的風險類型與分布環節，找出我行銀行業務的安全威脅、安全脆弱點；對銀行系統安全技術層面的物理安全、網絡安全、主機安全、應用安全、數據安全等方面和管理層面的安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等方面進行全面的安全測評；分析評估我行系統的安全狀況，包括控制措施的有效性、剩余風險狀況等級及是否在我行可承受的范圍內等；提出整改的建議，提供電子銀行系統運營的安全防范、加強等策略及計劃。

根據《網上銀行信息系統通用規范》、《電子銀行安全評估指引》要求和我行實際，采取科學的、通用的方法、模型和工具，對我行電子銀行系統的制度、流程進行梳理，找出管理流程中存在的風險點，從防范風險、提高效率的角度提出優化流程和加強制度控制措施的建議。

形成安全評估報告，并對各類銀行系統的安全狀況做出明確的結論，報告應列明評估的范圍、內容和方法，應列明評估所依據的國內、國際標準和監管法規，分析標準和法規提出的具體要求，分析評估我行制度與標準和法規要求的差異，分析評估我行銀行系統風險管理現狀與標準和法規要求及我行制度之間的差異；報告應指出具體的安全隱患、問題、差異、不足，并提出整改建議，對銀行系統的安全狀況做出明確結論。

豐富和完善銀行系統運營過程中安全保障的相關計劃、防范策略，制定銀行系統業務連續性計劃，銀行系統應急計劃和事故處理預案。

安全預警信息提供服務，項目驗收后，及時通告我行最新的安全動態、安全技術的發展趨勢，包括時效性很強的漏洞、攻擊手法、病毒碼的預先通知，幫助我行電子銀行系統的安全管理人員在最快的時間內了解重要的安全信息。

四、 項目實施要求

1、 供應商應列出項目組成員名單以及簡歷。

如下表：

說明：

a、 此表所列人員應為項目組主要成員，供應商應承諾未征得天津銀行書面同意情況下不得更換上述成員。

b、 供應商在“備注”欄說明所列人員的工作比重或具體時長。

2、 交貨、竣工或提供服務的時間：

該項目全部工作要求兩個月之內完成。

3、 文檔交付品的要求：

按照我行項目管理的相關規定提交相應的文檔。

4、 在項目實施過程中，能夠提供符合要求的人員。

5、 項目實施應有成熟的項目管理及質量管理控制。

五、 項目驗收

項目的最終驗收需雙方在天津銀行提供的驗收報告上簽字蓋章。

六、 培訓要求

針對我行相關員工提供至少3門課程的安全培訓，培訓內容包括安全意識類和安全技術類相關課程。

七、 技術支持和售后服務

提供服務期內的應急響應工作，現場協助處理信息安全事件。

八、 付款方式

合同簽訂后，乙方開具合法有效票據，15個工作日內，支付合同總價的50%，完成安全評估且交付評估報告和結項報告后支付合同50%尾款（特殊情況以合同為準）。

九、報名時間和聯系方式：

1、報名截止時間：2016年8月18日-2016年8月24日

2、聯系方式：劉經理 電話010-88485056 郵箱：liuchen_8010@163.com

3、報名申請表