華夏銀行股份有限公司(以下簡稱“華夏銀行”或“採購人”)擬對2024-2025年網路安全運營購買人力項目(外包資源服務部分)徵集意向供應商,誠邀符合要求的供應商報名參與,項目具體內容如下:
一、項目名稱
2024-2025年網路安全運營購買人力項目(外包資源服務部分)
二、 採購內容簡介
擬通過本項目補充我行網路安全運營隊伍,構建形成體系化、實戰化、常態化安全運營能力,人員級別包括高級主管、主管、高級、中級、初級5個級別。
主要工作內容:安全監控(産品監控、現場安全保障等)、攻防對抗(應急處置、安全事件深度分析、攻擊溯源)、安全評估與加固(安全測試、漏洞掃描、主動防禦、滲透測試、安全加固、安全功能開發等)、數據安全(數據安全技術建設、産品運營、數據安全策略優化、風險監測、告警監控、事件分析、應急處置、事件溯源)、資訊安全管理(資訊安全風險分析、監督檢查、資訊安全風險控制、資訊安全風險報告、商用密碼或資訊系統安全等級保護專項工作等)等安全服務。
三、 意向供應商及人員資質要求
(一)意向供應商資質要求
1.供應商應遵守國家法律法規,在中華人民共和國境內依法註冊的法定代表單位,具有獨立承擔民事責任的能力,近三年在經營活動中沒有重大違法或不良記錄。
2.供應商的註冊資本應在5000萬元(含)以上。
3.供應商應同時具有以下資質:供應商應通過ISO9001及以上品質管理體系或CMMI認證,ISO20000資訊技術服務管理體系認證、ISO27001資訊安全管理系統體系認證、CNCERT網路安全應急服務支撐單位、國家資訊安全漏洞庫(CNNVD)技術支撐單位等級證書、國家資訊安全測評資訊安全服務資質證書(包括安全運營類、風險評估類)。
4.2021年1月1日以來,具有至少4個國有銀行、全國性股份制商業銀行總部的安全運營人力駐場類的項目案例,且提供的服務符合國家、行業標準及華夏銀行要求。
5.供應商應具備相應的專業技術人員儲備,並保證參與項目90%以上人員的穩定性。
(二)人員資質要求
| 人員級別 | 人員基本要求 | 專業能力要求 |
| 高級主管 | 全日制本科電腦、資訊技術相關專業畢業7年以上,具用5年以上電腦網路安全領域相關工作經驗可放寬相關專業要求,具用金融行業從業經驗,可放寬至畢業6年以上 | 熟悉業界網路安全攻防動態;熟悉各類網路攻擊方法,如逆向工程、重放攻擊等;熟悉防火牆、入侵檢測系統、入侵防禦系統、高級持續威脅系統等安全設備、熟悉安全攻防、漏洞掃描、代碼審計、網路流量協議分析等安全技術;熟悉OWASP十大漏洞原因與修復方案;CISSP-ISSAP,TOGAF認證、SABSA特許安全架構師認證,CCSP認證等相關安全認證優先。 |
| 主管 | 全日制本科電腦、資訊技術相關專業畢業6年以上,具用4年以上電腦網路安全領域相關工作經驗可放寬相關專業要求,具用金融行業從業經驗,可放寬至畢業5年以上。 | 熟悉網路安全攻擊方法,如逆向工程、重放攻擊等;熟悉漏洞評估的規範,能夠獨立對漏洞風險狀況及修復結果進行分析與評估;熟悉防火牆、入侵檢測系統、入侵防禦系統、高級持續威脅系統等安全設備;熟悉安全攻防、漏洞掃描、代碼審計、網路流量協議分析等安全技術;熟悉安全理論基礎;有網路攻防賽事、網鼎杯獎項者優先;在漏洞響應平臺提交過漏洞者優先;CISSP-ISSAP,TOGAF認證、SABSA特許安全架構師認證,CCSP認證等相關安全認證優先。 |
| 高級 | 全日制本科電腦、資訊技術相關專業畢業5年以上,具用3年以上電腦網路安全領域相關工作經驗可放寬相關專業要求,具用金融行業從業經驗,可放寬至畢業4年以上。 | 至少熟練掌握其中一種編程語言(Java、Python、PHP),能夠編寫漏洞利用工具;掌握內網滲透相關知識、常見滲透測試工具(Metasploit、CobaltStrike等),了解其工作原理;熟悉APP滲透測試,了解主流CPU架構(Arm、X86)的彙編;熟悉使用常見逆向工具(OD、IDA);在各大漏洞響應平臺(SRC)提交過漏洞優先;有內網滲透經驗者優先;掌握主流的網路滲透技術,如資訊蒐集、SQL注入、XSS跨站腳本攻擊、文件上傳、反序列化攻擊、SSRF,CSRF、橫向移動、提權等;了解網路安全現狀、密碼學理論和技術、安全通信、網路安全協議、網路安全攻防等相關知識。 |
| 中級 | 全日制本科電腦、資訊技術相關專業畢業3年以上,具用2年以上電腦網路安全領域相關工作經驗可放寬相關專業要求,具用金融行業從業經驗,可放寬至畢業2年以上。 | 熟悉網路協議、Windows和Linux作業系統;至少熟練掌握其中一種編程語言(Java、Python、PHP);熟悉漏洞評估的規範,能夠獨立對漏洞風險狀況及修復結果進行分析與評估;熟悉主流安全技術及安全廠商産品,如WAF、IPS、HIDS、SOC等。 |
| 初級 | 全日制本科電腦、資訊技術相關專業畢業2年以上,具用1年以上電腦網路安全領域相關工作經驗可放寬相關專業要求,具用金融行業從業經驗,可放寬至畢業1年以上。 | 熟悉網路安全、APP安全、系統安全等基礎知識;熟悉網路協議、Windows和Linux作業系統;了解安全攻防技術,具有基本的漏洞挖掘或攻防經驗;熟悉常見的Web漏洞、系統漏洞和常見攻擊利用方式等安全知識,熟悉漏洞原理及解決方案。 |
四、提交材料要求
(一)提交材料內容
1.未實施“三證合一”的,請提交加蓋單位公章的營業執照副本複印件、稅務登記證副本複印件、組織機構代碼證副本複印件;實施“三證合一”的報價人請提交加蓋公章的載有統一社會信用代碼的營業執照。上述材料需為PDF格式文件。
2.加蓋公章的授權委託書(詳見附件1),需為PDF格式文件。
3.加蓋公章的供應商聲明書(詳見附件2),需為PDF格式文件。
4.在“信用中國”網站(www.creditchina.gov.cn)中未被列入失信被執行人、重大稅收違法案件當事人名單、採購嚴重違法失信行為記錄名單的查詢結果截屏並加蓋公章。查詢路徑:信用中國首頁-信用服務-各類名單。此項材料要求為PDF格式文件。
5.符合前述案例要求的合同掃描件(4個及以上,包括但不限于合同首尾頁、蓋章頁、服務內容頁等)並加蓋公章。此項材料要求為PDF格式文件。
6.ISO9001及以上品質管理體系或CMMI認證,ISO20000資訊技術服務管理體系認證、ISO27001資訊安全管理系統體系認證、CNCERT網路安全應急服務支撐單位、國家資訊安全漏洞庫(CNNVD)技術支撐單位等級證書、國家資訊安全測評資訊安全服務資質證書(包括安全運營類、風險評估類)。此項材料要求PDF格式文件。
7.華夏銀行集中採購供應商資訊表(詳見附件3)。標*字段必填,特別是近三年財務狀況,要求填寫營業收入和凈利潤數據,同時需另附審計簽字蓋章的財報備查(財報中應圈出與自薦表中營業收入、凈利潤相一致的匹配數據)。此項材料須同時提供EXCEL格式文件(請勿更改表樣)和加蓋公章的PDF格式文件。
8.人員儲備資訊表(詳見附件4)。此項材料須同時提供EXCEL格式文件和加蓋公章的PDF格式文件。
(二)提交材料要求
請將所有要求提交的材料打包壓縮為1個文件包,文件名格式為:公司全名+華夏銀行2024-2025年網路安全運營購買人力項目(外包資源服務部分)。
1.提交材料須按要求掃描並生成PDF文件或指定版本,對於未按要求加蓋公章的原件電子掃描件視為缺漏,採購人將拒絕其報名。
2.報名資料未按要求提供或提供不全的情況,採購人將拒絕其報名。
3.採購人視收到的上述材料不涉及商業秘密。
4.前來報名的供應商應保證所提供材料的真實合法性,並由此承擔法律風險和賠償責任。採購人保留對相關材料進一步核實的權利,如發現提供虛假材料的供應商,採購人將取消其本次及以後的報名資格。
(三)其他
1.凡是符合本項目資質條件的供應商,採購每人平均會向《華夏銀行集中採購供應商推薦(自薦)資訊表》登記的聯繫人郵箱發出正式邀請。採購時間及地點以邀請文件通知為準。
2.採購人可能根據項目情況取消採購,供應商應予接受。
五、公告發佈渠道
本次徵集公告在華夏銀行官網(www.hxb.com.cn)、金採網(www.cfcpn.com)、採購與招標網(www.chinabidding.cn)發佈
六、聯繫事項
採 購 人:華夏銀行股份有限公司
商務聯繫人:張女士010-85237160
業務聯繫人:賈先生 010-60879973
供應商材料提交郵箱地址:hxbjczx5@hxb.com.cn
徵 集 期:2024年6月25日—2024年7月1日
附件:1.授權委託書
2.聲明書
4.人員儲備資訊表
華夏銀行股份有限公司
2024年6月24日
