一、项目名称 晋商银行****年商用密码应用安全性评估项目二、项目背景 按照《中华人民共和国密码法》、《商用密码管理条例》及《商用密码应用安全性评估管理办法》要求，关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少开展一次商用密码应用安全性评估，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证。晋商银行希望通过对重要信息系统开展商用密码应用安全性评估和整改，使其安全保障能力符合国家的相关政策法规和自身业务的安全需求。三、询价邀请书 ******就以上项目进行询价采购，邀请贵公司提交密封的独立报价文件。*.采购人：*******.询价人报价地址：山西省太原市长风街**号晋商银行办公大楼**层*.报价内容：*）采购内容：本次采购内容为针对晋商银行*个三级系统开展商用密码应用安全性评估，报价表需包含全部服务内容。*）数量：*。 *）服务期：项目服务周期为合同签订之日起一年。四、工作内容 *.服务内容：供应商依据GB/T *****-****《信息安全技术 信息系统密码应用基本要求》、JR/T****-****《金融行业信息系统商用密码应用 基本要求》等标准规范，对晋商银行网上银行系统、核心业务系统、大数据平台系统和生产网络系统等*个三级系统提供信息系统商用密码应用安全性评估服务，包括密评（包括初测和复测）及协助备案服务，编制商用密码应用安全性评估报告服务，差距分析和整改建议方案服务，密码应用方案专家评审并支付评审费用服务，商用密码应用安全规划咨询服务，新建系统和系统改造密码应用方案和实施方案评估服务，商用密码相关培训和攻防对抗演习服务。评估过程需按照商用密码应用安全性评估相关标准要求，从密码算法和密码技术合规性、密钥管理安全性方面开展测评，包含信息系统物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等技术层面及管理制度、人员管理、建设运行和应急处置等管理方面。服务应至少涵盖以下内容：（*）通用要求测评测评密码算法、密码技术、密码产品和密码服务是否满足国家密码管理的相关标准规范或要求。（*）密码技术应用测评包括物理和环境安全密码测评、网络和通信安全密码测评、设备和计算安全密码测评、应用和数据安全密码测评。测评验证信息系统的商用密码应用是否达到具有对应安全等级的安全保护能力，是否满足对应安全等级的保护要求。（*）密钥管理测评测评信息系统密钥管理各环节，包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程是否符合要求。（*）安全管理测评从制度、人员、实施和应急四个方面，对目标系统的密码安全管理进行商用密码应用安全性管理测评。（*）差距分析及整改建议方案测评之后，针对目标系统，编制商用密码应用方案、差距分析及整改建议方案，对标《金融行业信息系统商用密码应用基本要求》梳理系统中不符合项、不适应项、符合项，制定详细密码整改方案，指导系统负责人对不符合项进行整改。（*）形成商用密码应用安全性评估报告系统整改完成之后，开展复测工作，编制通过评估的商用密码应用安全性评估报告，报告按照《商用密码应用安全性评估报告模板（****版）》模板编制。（*）密评结果备案及开展相关培训演练密评结束后，协助完成密评结果在密码管理局备案并开展相关技术培训，组织开展密码应用安全性评估及攻防对抗演习，并具有相应的密码应用安全性评估报告及攻防对抗演习报告。（*）密码应用方案专家评审负责组织专家，协调专家分别对被测评系统的密码应用方案进行专家评审并支付评审费用，根据专家评审意见和建议，对我行进一步指导和完善上述系统的密码应用方案。（*）商用密码应用安全规划咨询针对我行系统网络实际情况，开展对标分析，形成完整的密码应用安全规划，规划内容需结合银行业实际，满足各类场景下的使用情况。（**）新建系统和系统改造密码应用方案和实施方案评估服务周期内，参与我行需求评审，对于涉及密码应用的新建系统和系统改造进行常规密码应用方案和实施方案评审，提供评审建议并签署相关意见，确保密码应用方案合规，实施方案按照应用方案执行。*.检测依据（*）GB/T *****-**** 《信息安全技术 信息系统密码应用基本要求》（*）GM/T ****-****《信息系统密码应用测评要求》（*）GM/T ****-****《信息系统密码应用测评过程指南》（*）JR/T ****-**** 《金融行业信息系统商用密码应用 基本要求》（*）JR/T ****-**** 《金融行业信息系统商用密码应用 测评要求》（*）JR/T ****-****《金融行业信息系统商用密码应用 测评过程指南》（*）《信息系统密码应用高风险判定指引》（****版）（*）《商用密码应用安全性评估报告模板》（****版）（*）《商用密码应用安全性评估量化评估规则》（****版）*.服务要求：（一）项目总体要求供应商应在对我行信息系统详细了解的基础上，编制针对性的商用密码应用安全性评估的整体实施方案，包括项目概述、项目实施流程、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。（二）项目实施要求（*）人员配置要求为保障项目按质、按量、按时及有序实施，供应商应承诺对本项目建立稳定的项目团队、管理机构及执行流程。应详细描述测评人员的组成、资质及各自职责的划分。项目经理*人，现场测评实施人员不少于*人，供应商应配置有一定资历及金融行业密评经验的测评人员进行本次测评工作，具体要求如下：（*）项目经理要求项目经理具备《商用密码应用安全性评估人员能力测评能力考核》合格证书，考核结果为优秀，具有丰富的金融行业测评工作经验。（*）现场测评实施人员要求商用密码应用安全性评估现场测评人员具备《商用密码应用安全性评估人员能力测评能力考核》合格证书，具有金融行业商用密码应用安全性评估工作经验。如需变更，须提出申请并经采购人同意。若所派人员不称职，我行可要求增加或调换人员，应当在收到采购人要求之日起*日内响应，且由此造成的损失由服务单位承担。（三）测评实施要求（*）客观性和公正性要求：在最小主观判断情形下，按照双方相互认可的方案，基于明确定义的测评方式和解释，实施评估活动。供应商应是独立的第三方，可以比较客观地开展工作，在利益和管理上不受外部的控制，使密评工作更为彻底。（*）保密要求：供应商承担相关技术支持人员的安全和保密管理责任，参与本项目人员签订《保密承诺书》，对在工作中获取的采购人业务信息、数据、文件、数字以及项目成果承担保密义务。未经对方同意，供应商不得对采购人的资料及文件擅自修改、复制、传播、向第三方转让，如发生泄密情况，供应商需承担一切由此引起的后果并承担赔偿责任。（*）最小影响要求：测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应预先做出说明并经我行同意后实施，在项目实施过程中，需有可行性的风险规避处置措施。（*）规范性要求：供应商应严格依据相关国家标准和行业标准开展规范的密评工作。（四）测评工具要求供应商投入本项目的测评工具应为正版，能够保证测评工具产生的数据的可靠性，提供测评工具清单和正版软硬件采购合同。（五）项目交付物要求项目交付物至少包括以下：（*）《商用密码应用安全性评估项目实施方案》（*）《系统商用密码应用安全性评估报告》（*）《密评整改建议报告》（*）《系统商用密码应用方案专家评审报告》（*）《晋商银行商用密码培训及演练报告》（*）《晋商银行商用密码应用规划报告》五、合格报价人的资格要求（一）具有独立承担民事责任的能力；（二）具有良好的商业信誉和健全的财务会计制度；（三）具有履约所必需的专业技术能力、服务渠道支援能力和行业经验；（四）最近三年内，各项经营活动没有重大违法记录，没有出现违背社会责任的不良信息；（五）单位负责人为同一人或者存在控股、管理关系的不同单位，不得同时参加本项目投标；（六）****年至今(以合同签署时间为准)，公司所承接的同类项目在国内银行业的相关案例(*个以上)清单、简介、合同等证明材料；[if !supportLists]（七）[endif]供应商为国家密码管理部门认定的密码评测机构，在国家密码管理局发布的《商用密码应用安全性评估试点机构目录》内;[if !supportLists]（八）[endif]与其它报名的供应商不存在任何关联关系。六、报价供应商需提交的资质材料（一）营业执照（副本）、组织机构代码证（副本）、税务登记证（副本）或三证合一；（二）法定代表人（或单位负责人）授权委托书；授权代表身份证复印件；（三）企业及服务团队简介；企业本地售后服务能力；与项目相关的企业及人员资质证书、社保证明、服务方案等；（四）供应商为国家密码管理部门认定的密码评测机构，提供在国家密码管理局发布的《商用密码应用安全性评估试点机构目录》内的证明文件及相关资质文件；（五）****年至今(以合同签署时间为准)，公司所承接的同类项目在国内银行业的相关案例(*个以上)清单、简介、合同等证明材料；（六）未被最高法院在“中国执行信息公开网”列入失信被执行人名单；未被国家企业信用信息公示系统（http://***.******.***.cn/）中列入严重违法失信企业名单；（七）附件：《晋商银行廉洁自律告知书》，供应商签字或盖章，如未提供，视为无效报价文件。（八）提供公司联系人、电话、电子邮箱、地址等。注：上述资料均需提供加盖公章的扫描件，请与报价文件相互独立封装。七、报价人意愿要求*、服从我行人员管理、财务管理的相关规定；*、同意与我行签订项目管理相关的协议，包括但不限于保密协议、服务承诺书、工作计划任务书；*、同意按照我行规定对项目和供应商进行考核、评价、奖励和扣罚；*、同意接受我行内部、我行聘请的外部机构、我行的上级管理部门进行监督、检查及审计等；八、报价截止时间 所有报价文件及资质材料应于****年**月*日**:**(北京时间)前递交至山西省太原市长风街**号晋商银行办公大楼**层。报价及资质材料递送出后，请及时电话同时商务联系人，如采用快递方式递交的，请在快递上备注清楚项目名称，报价文件中请明确联系人信息。迟到的报价文件将被视为无效报价文件拒绝接收。九、联系方式 商务联系人：韩昱联系电话：***********邮箱地址：hanyu@jshbank.com技术联系人：张青联系电话：***********邮箱：************ ****年**月*日附件：晋 商 银 行廉洁自律告知书尊敬的 ：您好！衷心感谢您对晋商银行的信任和支持！晋商银行自成立以来，始终秉承“诚信、创新、实干”的企业文化，积极践行“以客户为中心”的服务理念，扎根三晋，服务地方经济，服务中小微企业，服务城乡居民。为大力弘扬清廉文化，构建“亲”“清”关系，实现互惠共赢，现将晋商银行从业人员廉洁自律要求告知如下，诚邀您进行监督，携手共建清廉山西。一、严禁索要或收受礼品、礼金、消费卡和有价证券、支付凭证、商业预付卡、股权、其他金融产品等财物。二、严禁接受管理服务对象组织的宴请、旅游、健身、娱乐等活动安排。三、严禁借用管理服务对象的钱款、住房、车辆等财物。四、严禁在操办婚丧喜庆事宜中，邀请管理服务对象参加宴请或借机敛财。五、严禁以各种名义向管理服务对象转嫁、摊派和报销费用。六、严禁以任何形式从事民间借贷、资金掮客、经商办企业、参股入股等营利性活动。七、严禁违反有关规定在其他单位兼职取酬。八、严禁利用职务便利或职务影响力，在信贷业务、集中采购、工程建设、外包服务、业务合作等方面为他人谋取利益。九、严禁发生其他违反党纪国法行规的行为。监督举报方式：*.举报电话：****-********.电子邮箱：jsyhjw@jshbank.com*.来信来访：晋商银行办公大楼****室（太原市小店区长风街**号）客户签字（盖章）：联系电话：签收日期： 年 月 日