广东揭阳晋商银行重要信息系统等级保护测评 项目供应商征集公告
查看隐藏内容(*)需先登录
截止日期:****-**-**公告说明:晋商银行重要信息系统等级保护测评
项目供应商征集公告采购需求描述:晋商银行重要信息系统等级保护测评项目供应商征集公告一、项目名称 晋商银行重要信息系统等级保护测评项目二、项目背景 根据《信息安全等级保护管理办法》(公通字〔****〕**号)第十四条“信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准及监管要求,定期对信息系统安全等级状况开展等级测评。现需对我行**个二级系统开展等级保护测评工作,切实保障信息系统安全。我行希望通过等级保护测评工作的开展,信息系统安全防护情况符合监管单位要求和自身业务的安全需求,提升我行信息系统的服务能力,增强用户的使用信心、提升客户体验,从而提高我行的市场竞争力。三、项目要求 严格按照《信息系统等级保护测评范围及要求》对以上**个二级信息系统全面开展等级保护测评工作,测评内容包括:①技术方面:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复;②管理方面:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理十个模块。四、实施内容 对我行**个二级信息系统开展等级保护测评工作,等级保护测评主要依据有《信息安全技术 信息系统安全等级保护基本要求》(GB/T *****—****)和《金融行业信息系统信息安全等级保护实施指引》(JR/T****-****)。其中,通用类信息系统应按照《信息安全技术 信息系统安全等级保护基本要求》进行测评,金融类系统应按照《金融行业信息系统信息安全等级保护实施指引》进行测评。等级保护测评应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要通过安全控制间、层面间以及区域间的相互关联关系,测评分析信息系统的整体安全性。测评内容应涵盖基本要求和实施指引中二级系统所要求的全部控制点和测评项。(一)安全技术测评内容物理安全:物理位置的选择、物理访问控制、防盗窃和防破环、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。网络安全:结构安全、边界完整性检查、入侵防范、访问控制、安全审计、网络设备防护。主机安全:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制。应用安全:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制。数据安全及备份恢复:数据完整性、数据保密性、备份和恢复。(二)安全管理测评内容安全管理制度:管理制度、制定和发布、评审和修订。安全管理机构:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。人员安全管理:人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。系统建设管理:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择。系统运维管理:环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处理、应急预案管理。在实施现场测评时,应严格按照《金融行业信息安全等级保护测评服务安全指引》(JR/T****—****)中对于测评人员、测评工具和测评过程的相关要求执行,有效规避等级保护测评工作中的风险。测评工作结束后,应分别出具符合《信息系统安全等级测评报告模版(****年版)》(公信安[****]****号)要求的测评报告,并对测评中发现的问题提出可行的改进建议与措施。信息系统测评报告包括以下内容:信息系统等级测评基本信息表声明等级测评结论总体评价主要安全问题问题处置建议测评项目概述被测信息系统情况等级测评范围与方法单元测评整体测评总体安全状况分析问题处置建议附录:等级测评结果记录五、潜在供应商资格要求 (一)资质和能力要求 *、具备独立法人资格,具有完成项目的技术力量,财务能力和良好的信誉; *、供应商应具有公安部认可的信息安全等级保护测评资质,并在公安部等级保护测评机构推荐目录中;*、****年至今(以合同签署时间为准)具备*个及以上银行业信息系统等级保护测评的案例; *、与其它报名的供应商不存在任何关联关系。 (三)其它要求 *、理解我行项目实施、人员管理、财务管理的相关规定; *、响应我行签订服务项目管理协议的要求,包括但不限于保密协议、服务承诺书、工作计划任务书、等级保护测评及工具测试方案; *、接受我行内部、第三方机构、上级监管部门的检查、监督及审计等。*、等级保护测评过程中,严格遵守保密要求,发现漏洞后,第一时间通知晋商银行有关人员,未经许可,不可将任何漏洞有关信息泄露给第三方; *、如供应商相关人员未遵守晋商银行要求,造成晋商银行经济损失或声誉损失,晋商银行可依法追究相关责任。六、潜在供应商需提交的材料及方式、时间 *、需提交材料:(一)营业执照、税务(国税、地税)登记证、组织机构代码证副本或统一社会信用代码证;(二)信息安全等级保护测评机构推荐证书;(三)企业及服务团队简介; (四)****年至今(以合同签署时间为准),公司或实施团队所承接的相关案例清单、简介、合同等证明材料;(五) 提供公司联系人、电话、电子邮箱、地址等。注:上述资料均需提供加盖公章的扫描件。 *、提交方式:电子邮件wangqing@jshbank.com,邮件名称:晋商银行信息系统等级保护测评项目+供应商名称; *、提交时间:****年*月*日—****年*月**日。 *、我行将根据潜在供应商报名情况安排后续商务、技术交流时间。七、联系方式 商务联系人:王青联系电话:***********邮箱地址:wangqing@jshbank.com技术联系人:李娟联系电话:***********邮箱:******
