2020-011-北京农商银行信息安全体系优化及治理项目建设公告

2020-011-北京农商银行信息安全体系优化及治理项目建设公告
　　一、项目概述 　　（一）项目建设概述 　　为加快我行信息安全体系建设，全面提升我行信息安全防护水平，我行拟采购信息安全体系优化及治理咨询服务。具体要求如下： 　　*．服务内容 　　（*）全面优化和完善信息安全制度和规范体系，通过顶层制度修订，梳理信息科技制度、运营制度和技术规范，查漏补缺，及时补足缺失领域的制度规范，完善信息安全体系，有效指导一线员工工作的开展和执行。 　　（*）进一步明确我行相关部门安全职责定位及配置*-*年规划，增加信息安全有生力量培养，包括人员岗位，数量，能力规划以及培训提高计划。 　　（*）围绕重点领域制定初步检查矩阵，初步开展针对制度和规范落实情况的检查。 　　（*）开展终端安全和准入治理，例外管理，实现覆盖申请、审批、实施、管理、退出等全生命周期的安全例外管理流程，及时发现和控制风险。 　　（*）开展网络边界安全治理，对网点网络、互联网接入、技术类用户管理、数据中心及ECC等方面完善安全制度。 　　（*）实现IT信息资产自动发现，显著提升资产管理水平。 　　（*）引入威胁情报管理，通过收集相关漏洞信息并及时在行内进行整改，有效提升漏洞防护水平。 　　（*）优化重要信息系统双园区灾备部署的原则。定期更新业务连续性管理交付物，确保其有效性、完整性和准确性。 　　（*）开展数据安全专项治理，重点关注外网引入软件、工具、升级补丁包等过程在线可管理可审计，数据变形管理，建立与第三方数据交互工作的安全管理，数据防泄漏管理，密钥安全管理，数据安全审计管理和数据备份管理等内容。 　　（**）开展应用安全专项治理，包括定期开展安全开发培训管理、安全开发全流程管理、开源软件管理、第三方软件管理、应用漏洞整改管理，安全应急响应治理，应用数据采集合规管理等内容。 　　（**）实现服务器运行程序白名单管理，使用新技术提升服务器主动安全防护水平。 　　（**）增强对于重要应用版本上线前安全措施审查，逐步加强测试和研发环境的安全设备部署，保障应用交付与运营环境的安全策略适配；另外治理研发测试环境，提升测试研发环境的数据防泄漏防护水平。 　　（**）开展信息安全攻防演练，提升自主安全体系建设能力和安全运维能力。 　　（**）加强数据分级管理，提升文档加密管理安全策略方案，通过硬控制提升信息安全防泄漏水平。 　　（**）对互联网应用开展渗透测试，针对账户安全，业务交易安全方面提升防护水平，并评估现有互联网应用安全运营水平。 　　（**）针对邮件系统移动端提升邮件信息防泄漏能力。 　　（**）针对本项目进行复评，验证治理效果。 　　*．服务方式 　　本项目拟采用现场调研和远程服务的方式完成。 　　*.付款方式要求： 　　合同签订后支付合同额的**%，完成咨询评估工作并交付产出物后支付合同额的**%，完成项目复评并通过验收支付合同额**%。 　　（二）服务商准入标准 　　*.公司为独立法人。 　　*.具有良好的商业信誉和健全的财务会计制度。 　　*.无不良记录，未纳入监管部门或同业黑名单。 　　*.如代理商参与，需提供原服务商对本项目唯一的授权。 　　请有意参与我行项目**且符合准入条件的公司，从该网站下载并填写《**农商银行代码检查项目服务商自荐表》，于****年*月**日下午**点前发送至***********邮箱中（注：该邮箱不支持云附件下载，请以常规方式黏贴附件，并将自荐材料大小控制在**M以内）。 　　二、其它事项 　　（一）请在规定时间内参与报名，截至报名日期后我行将不再接受任何形式的申请材料。 　　（二）请提供服务商的有效联系方式，并保持通讯畅通，我行将电话联系入选的服务商，对于需要产品测评的项目，后续我行会组织服务商进行测评，测评未通过者将不能作为候选服务商；对未入选的服务商不另行通知。 　　（三）存在关联的公司在同一项目中只能参选*家公司。 　　（四）需要产品代理商参与的，需产品厂商指定唯一代理商，对于无法指定唯一代理商的，我行有权取消其产品参与资格。 　　（五）我行尊重参选服务商的隐私权，对服务商的信息严格保密，参选服务商应当对所提交资料的真实性承担责任，我行在参选服务商过程中的任何阶段发现参选服务商提交的材料不实，有权取消其参选资格。 　　三、联系人及咨询电话 　　联系人：郭女士 　　咨询电话：******** 　 　**农商银行信息科技部 　　 ****年*月**日