农村商业银行电子银行风险评估项目招标文件.docx

农村商业银行电子银行风险评估项目招标文件为提升电子银行业务系统的安全性，防范电子银行系统建设、运维以及与技术相关的关键业务运作的风险，整改电子银行银行系统安全隐患，有效提高金融信息化安全保障能力。我行决定对电子银行业务系统做全面的风险评估。为了确保项目建设的质量，依据中华人民共和国招标投标法和国家的有关规定，对该项目采用公开招标方式进行本次招标工作。一、 招标项目1、 招标文件编号：WRCB-2016-12-12-xx；2、 项目名称：农村商业银行电子银行风险评估项目；3、 招标内容：电子银行业务系统风险评估；4、 项目实施地点：农村商业银行；5、 项目工期要求：项目签订1月内；6、 投标截止时间：7、 开标日期：招标方另行通知；8、 投标和开标地点：农村商业银行；9、 本项目采购人：农村商业银行；10、 投标方式：密封投标。11、 联系方式地址：江苏省市金融二街9号邮政编码：电话： 传真：联系人：二、 投标人资格要求1、 在中华人民共和国境内注册、具有独立法人资格、有能力提供招标项目要求的技术及服务，且具有良好的财务状况和商业信誉;2、 注册资金不少于500万元人民币；3、 投标人需具备丰富的国内银行业科技风险咨询、IT治理、IT审计、信息安全咨询、安全评估等方面的经验，熟悉商业银行重要业务系统和管理流程，并具有多个国内银行业信息安全审计、咨询、评估方面的项目案例;4、 投标人需具有中国信息安全认证中心相关的信息安全风险评估服务资质认证；5、 项目组成员必须（但不限于）具备以下资质：项目成员须具有3年以上的商业银行科技风险咨询项目经验；至少具备CISSP、CISA、ISO27001LA等资质；负责过银行科技风险管理和信息安全评估项目；以下要求需要提供相应证明复印件，包括但不限于以下文件：(1)企业法人营业执照副本复印件；(2)税务登记证副本复印件；(3)组织机构代码证复印件；(4)投标人代表及法定代表人的有效身份证明；(5)法定代表人授权书原件（投标代表是法定代表人无需）；（6）服务对象、项目经理以及项目成员风险评估案例实施证明复印件；投标人必须提交以上文件或证明的复印件，所有复印件应是有效、清晰，注明“与原件一致”并加盖投标人公章，否则无效。三、 招标项目内容和要求1、 投标方以书面的形式提供：机构介绍、主要业务领域，项目组成员的名单和详细技术背景资料，包括：学历、项目经验，技术职称，在本项目当中担任的职务; 项目建设实施方案及建议；各项服务承诺，如售后服务体系、服务条款、培训服务及其他优惠条件；项目投标价格等；2、 本项目的主要内容见附件;3、 投标人需提供承担过金融行业信息科技风险评估相关合同证明复印件;4、 投标方提供详细的售后服务方案、投标人必须承诺从接到招标书之日起，对从招标活动中获得的招标人相关资料承担保密责任；5、 提供书面投标书二份（正本一份，副本一份）。四、 投标文件的递交1、投标方应将投标文件用信封密封,并标明招标编号、投标项目名称及正本或副本。2、密封信封上注明“开标前不准启封”的字样。3、招标方将拒收在投标截止时间后送达的投标文件。4、招标方将拒收投标方通过电报、电子邮件或传真送达的投标文件。农村商业银行二一六年十二月十二日附件：一、风险评估的对象此次项目针对我行电子银行渠道业务系统。具体包括：新上线直销银行、互联网支付平台以及原有门户网银、手机银行、微信银行等业务系统。二、风险评估的目的1、通过本次风险评估找到与监管部门要求的差距，按照商业银行科技风险指引、网上银行信息安全通用安全规范、电子银行业务管理办法和电子银行安全评估指引等要求，对我行的电子银行业务系统在安全策略、内控制度、风险管理、系统安全、客户保护、电子银行业务运行连续性计划、电子银行业务运行应急计划、电子银行风险预警体系、其他重要安全环节和机制的管理等方面进行安全和管控能力的全面考察与评估。2、对电子银行系统基础设施，根据风险分析和差异分析，提出整改方案与措施，完善内控管理制度及运维流程。3、通过本次风险评估的项目知识转移（包括：方法论和测评技术），实现对评估知识、方法、技术和工具等的知识转移和团队培养。三、电子银行风险评估内容电子银行风险评估内容包括但不限于以下方面：1、管理体系审核通过对农商行现有的安全管理体系进行审核，了解现有管理体系文档与相关国家和行业标准的符合情况。安全管理体系的文档包括现有的安全管理策略文档、制度文档、流程文档、方案文档、规范文档、应急计划、连续性计划等。2、病毒木马分析病毒木马检测是风险评估中开展威胁分析的重要方法之一，能够切实发现信息系统遭受的网络攻击，实现网络攻击行为取证、攻击链还原等。病毒木马检测主要通过对操作系统注册表、运行进程、文件目录等静态信息进行检查，并与网络监测相结合，综合分析判断主机系统关键位置是否存在病毒木马，并对病毒木马进行分析，查找病毒木马感染途径，查找风险源头。3、专项日志分析日志分析可以发现系统曾实际遭受过的威胁，是风险评估过程中威胁识别的重要方法之一。日志分析利用系统内产生的各种日志对可能存在的安全威胁进行收集分析，使管理者和工作人员能够掌握系统内切实存在的威胁行为，从而制定有针对性的防御措施，维护系统的安全性。日志分析的对象包括各类主机系统、网络设备、数据库、应用系统等。4、渗透测试渗透测试是指在获取用户授权后，通过真实模拟实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效的发现最严重的安全漏洞。（1）漏洞挖掘：漏洞范围覆盖到OWASP Top 10漏洞类型。覆盖自研系统、中间件、WEB框架、文件上传组件等。（2）漏洞跟踪：建立漏洞跟踪机制，关注CNNVD、CNVD、CVE、Wooyun、Sebug、Scap、Exploit-db、Freebuf等漏洞披露平台，及时检测农商银行网站是否存在同类安全漏洞。5、安全漏洞扫描安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。6、网络架构分析针对ATM机、营业网点、异地支行等接入过程中带来的病毒威胁，通过在网络边界采取病毒防护措施，将病毒扼杀的网络边界处，防止病毒传播进行内网。7、安全配置核查配置核查是通过现场人工核查的方式，对安全设备、应用系统、网络设备等基础设施的配置进行核查，分析现有安全配置是否满足安全防护的需求。系统的网络设备和主机的配置核查应主要考虑以下几个方面：（1） 是否最优的划分了VLAN和不同的网段，保证了每个用户的最小权限原则；（2）内外网之间、重要的网段之