根據業務發展需要,按照寧波銀行股份有限公司采購相關管理辦法,我行擬對《網絡安全威脅情報服務項目》面向社會公開征集供應商,誠邀符合條件的供應商參與方案洽談。
一、資質要求
1、注冊資金人民幣200萬元(含)以上,財務狀況良好;
2、公司經營正常并存續2年(含)以上;
3、企業或者其法人近兩年內無行賄犯罪記錄,未被列入失信執行人名單,無限制高消費、限制出入境等行為;
4、公司具備完善的組織架構和制度規范,擁有充足的技術、人員和設備資源;
5、同一法定代表人的兩個及兩個以上法人、母公司、全資子公司及其控股公司不得在同一次項目中參加報名;
6、參與報名的供應商能作為簽約主體參與后期的商務流程;
7、設備和產品應滿足《網絡安全法》等法律法規要求;
8、報名供應商應符合寧波銀行供應商管理相關要求;
9、如報名供應商為首次與我行合作供應商,請按附件格式提供“供應商盡職調查報告”。
二、技術要求
1、服務提供商通過互聯網SaaS平臺,使用API方式提供威脅情報查詢服務,查詢內容包括IP、域名等。
2、服務提供商需同時具備以下資質:
①ISO27001認證;
②CCRC信息安全服務資質認證證書-應急處理一級或風險評估二級。
3、服務提供商需要具備中國系統重要性銀行總行威脅情報服務項目(服務周期不少于1年)的案例。
三、報名方式及起始時間
請符合條件的供應商在 2025 年 10 月 08 日之前,通過“點擊報名”方式進行報名,并按要求填寫相關報名材料。
四、聯系方式
聯系人: 張學輝 0574-83050673 (采購部)
張 濤 0574-87096187 (業務部)
網絡安全威脅情報服務 項目主要需求概述
為進一步增強我行及相關子公司(以下通稱“我行”)網絡安全分析能力,我行計劃引入網絡安全威脅情報。具體需求如下:
一、 基本需求:
1、 威脅情報及API接口需求:
1) 廠商為我行提供HTTP API查詢接口,我行可一次查詢域名或IP所需的所有情報數據。
2) 每天查詢量IP及域名情報查詢總數10萬次,按照一個IP或域名查詢記入次數。
3) API支持每秒至少100個IP的數據查詢,且在3秒內返回查詢結果,查詢成功率不低于99%。
4) IP情報:包括情報標簽(C2遠控、僵尸網絡、漏洞利用、惡意軟件、IDC主機、動態IP、VPN、Tor)、惡意評分、置信度、所在區域(至少到城市)、IP反查域名、端口開放信息、歷史信息等內容。
5) 域名情報:包括情報標簽、惡意評分、置信度、是否APT、WHOIS、域名解析、子域名、關聯組織等、歷史信息等內容。
2、 提供云端威脅情報中心高級帳號訂閱授權,可查詢更豐富的關聯數據及更深度的分析結果,批量提交文件/列表,異步任務查詢與結果下載,每天查詢量1000次。
二、 可靠性要求
1、 服務必須穩定可靠,可靠性至少達到99.9%。
2、 服務發生故障中斷時,不影響其他系統的正常使用。
三、 服務要求:
1、 報名廠商必須為服務提供商,不得對服務進行分包或轉包。
2、 項目周期為一年,從我行完成API調試和試運行(不短于一周)后開始計算。
3、 要求原廠提供7×24小時的技術支持。
4、 當出現重大故障,要求原廠需安排工程師提供緊急故障救援,并提交分析及解決報告。
5、 提供完整的實施和運行維護有關的全套技術資料文檔和培訓服務。
附件:
寧波銀行信息科技服務提供商盡職調查報告
一、基本信息
1.1服務提供商基本信息
服務提供商全稱 |
|
成立日期 |
| 法人代表 |
|
公司類型 |
| 注冊資本&幣種 |
|
統一社會信用代碼 |
|
公司地址 |
|
聯系人 |
| 聯系人電話 |
|
公司主營業務 |
|
1.2監管評價
(是否出現在監管機構的黑名單中)
(最近二年在政府或金融同業合作過程中是否受到處罰)
(是否存在未決訴訟)
1.3關聯公司或附屬機構信息
(關聯公司或附屬機構是否存在經營危機,該危機是否危及該服務提供商的正常經營)
1.4主要客戶清單列表
(主要客戶群體)
二、服務提供商持續經營能力
2.1財務情況
(近三年經審計的財務報表)
三、服務提供商內部控制和管理能力
3.1服務提供商內控評估報告
(評估報告內容如覆蓋以下3.2-3.6內容,則將評估報告內容對應填寫至各個部分)
3.2服務提供商的組織結構
(內部控制部門,如是否建立了內部的使用工具的安全測試部門、內控部門、審計部門)
3.3 IT制度體系建設
(是否對其公司及項目的安全管理及流程管理建立了相應的制度)
(項目過程中的項目管理(PMO)體系,包括例會、溝通渠道等)
(服務質量控制方法)
3.4培訓體系建設
(是否對其員工定期開展技術技能以及安全防范相關的培訓,提供培訓計劃或培訓材料)
3.5服務提供商人員離職率
(了解公司技術人員的離職率)
3.6IT風險管控
(包括對公司本身的IT風險管控及所承接外包項目的IT風險管控情況)
四、服務提供商信息技術能力
4.1服務能力和支持技術
(服務提供商的技術能力資質證明,專業認證等)
(描述使用的工作方法、應用軟件、技術文檔、評估模型、評估工具等使用情況、知識產權等)
4.2服務經驗與市場評價
(服務提供商主要的服務行業、主營業務、服務客戶)
(類似的服務項目經驗及項目合同證明材料)
五、服務提供商的網絡和信息安全保障能力
(該項評估內容用于非駐場信息科技外包)
(描述內容可包括網絡與信息安全管理體系建設情況、網絡與信息安全技術防護體系建設情況、安全事件響應和恢復能力、實踐經驗等)