******银行2026-2027年度等级保护测评及信息安全风险评估项目供应商征集公告

一、项目名称：2026-2027年度等级保护测评及信息安全风险评估项目 
二、采购内容简介

（一）项目名称：2026-2027年度等级保护测评及信息安全风险评估项目。

（二）服务内容

拟对我行已报备的一级及以上13个信息系统，开展等级保护测评工作，出具测评报告，并对我行重要信息系统、互联网相关信息系统和新增等保三级信息系统开展信息安全风险评估工作（总系统个数不小于60个），按整体项目和系统维度出具评估报告。具体内容及要求包括：

1.等级保护测评

（1）实施范围

本次拟对我行6个等保三级信息系统、6个等保二级信息系统、1个等保一级信息系统开展等级保护测评工作，共包含152个子系统。具体子系统数量以实际项目实施时间点我行要求为准，按照实施当月我行《信息系统名录》进行调整。

（2）测评依据

我行等保二级及以上系统要求测评机构按照金融行业网络安全等级保护2.0标准（以下简称行标2.0）进行测评，由于行标2.0中未对等保一级系统做测评要求，本项目中我行等保一级系统参考国标2.0进行测评。

（3）工作内容

①等级保护测评

根据上述实施范围开展等级保护测评工作。由于包含应用创新项目大部分集中在每年下半年投产，要求本项目每年均分批次进行测评。第一批对非应用创新项目子系统进行测评并出具报告和整改意见，第二批对应用创新项目相关子系统进行测评并出具报告和整改意见。

②等级保护培训

网络安全等级保护相关标准培训、宣贯及2年内按需为我行提供等级保护定级意见，如参加我行架构评审会、远程提供咨询辅导等。

③辅导编制信息系统保护工作方案

完成6个等保三级信息系统保护工作方案。

④协助落实监管在等级保护测评方面的最新工作要求

对照监管每年下发的关于网络安全等级保护有关工作的通知要求，协助我行落实相关工作要求。

2.信息安全风险评估

（1）实施范围

本次拟对我行重要信息系统、互联网相关信息系统、新增等保三级信息系统，共计不少于60个信息系统开展信息安全风险评估工作。具体系统数量以实际项目实施时间点我行要求为准，按照实施当月我行《信息系统名录》进行调整。

（2）评估依据

按照《信息安全技术 信息安全风险评估方法》（GB/T 20984-2022）和我行信息安全风险评估管理相关制度进行实施。

（3）工作内容

信息安全风险评估工作包括以下内容：评估准备活动阶段、评估方案编制阶段、现场评估阶段、风险分析阶段、报告编制阶段、风险处置阶段。

①评估活动准备

在签订《合同》与《保密协议》并召开启动会之后，进行系统情况调研，包括资产信息收集、管理制度收集、已有安全措施收集等，掌握被评估系统的详细情况，为编制评估方案做好准备。

②评估方案编制

确定与被评估信息系统相适应的评估对象、评估指标及评估内容等，并根据需要重用或开发评估实施手册，形成评估方案。方案编制活动为现场评估提供最基本的文档依据和指导方案。

③现场评估

现场评估活动是开展风险评估工作的核心活动，包括资产识别、威胁性识别、脆弱性识别与分析、已有安全性措施识别等方面。此阶段的输出物为现场评估记录等。

④风险分析

根据现场评估结果，采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性，考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度，判断安全事件造成的损失对组织的影响。包括资产赋值、威胁赋值、脆弱性赋值和风险值计算。

⑤报告编制

根据风险分析结果，给出风险评估结论，形成评估报告文本和安全整改建议。评估报告主要包括：报告综述、项目概述、评估对象、风险计算方法、安全整改建议、附录-过程文档等部分。

⑥协助开展风险处置

协助我行根据评估报告和整改建议书开展整改工作。

⑦协助落实监管在信息安全风险评估方面的最新工作要求

对照监管每年下发的关于信息安全风险评估有关工作的通知要求，协助我行落实相关工作要求。

（三）服务期限

1.本项目服务期自合同签订之日起2年，每年均需进行1次等级保护测评和信息安全风险评估；

2.项目准备及主要实施时间：2026年6月-12月，2027年6月-12月；

3.项目结果交付：

（1）等级保护测评：测评第一批，2026年10月和2027年10月；测评第二批，2026年12月和2027年12月；系统保护工作方案，2026年12月和2027年12月；

（2）信息安全风险评估：评估报告在2026年12月和2027年12月交付；

（3）其他交付物（如增值服务等）：在合同签订后2年内交付。

（四）项目实施人员资质要求

要求等级保护测评项目组包含项目经理1人，项目成员至少5人（不包含项目经理），信息安全风险评估项目组包含项目经理1人，项目成员至少5人（不包含项目经理），应具备并符合以下要求：

（1）本项目项目经理及成员仅限于中华人民共和国境内的中国公民，且无犯罪记录。

（2）等级保护测评项目组项目经理及成员应取得公安部信息安全等级保护评估中心颁发的等级测评师证书。

（3）本项目项目经理及成员应具备从事等级保护测评工作或信息安全风险评估工作的工作经验。

（4）本项目项目经理及成员在对被测评单位开展等级保护测评和信息安全风险评估工作之前需与被测评单位签订保密协议。

（五）服务交付文档

1.等级保护测评

13个信息系统的等保测评报告（按照最新模板提供）、整改意见、测评过程文档、培训PPT、按需提供外部专家评审意见、6个等保三级信息系统保护工作方案、其他交付物（如增值服务等）等。

2.信息安全风险评估

每个测评信息系统的信息安全风险评估报告、整改意见、评估过程文档、其他交付物（如增值服务等）等。

（六）项目验收要求及付款方式

分6笔支付，具体如下：

1.合同签订后，乙方等级保护测评项目团队和信息安全风险评估项目团队均至少3名人员入场，召开了两个项目第一年的项目启动会，服务商提供了两个项目第一年的项目实施方案和时间计划后，服务商向我行提供正式发票，我行向服务商支付合同总价的5%；

2.服务商完成2026年度等级保护测评，提交相应交付物并通过我行验收后，服务商向我行提供正式发票，我行向服务商支付合同总价中等级保护测评部分价格的40%；

3.服务商完成2026年度信息安全风险评估，提交相应交付物并通过我行验收后，服务商向我行提供正式发票，我行向服务商支付合同总价中信息安全风险评估部分价格的40%；

4.服务商完成2027年度等级保护测评，提交相应交付物并通过我行验收后，服务商向我行提供正式发票，我行向服务商支付合同总价中等级保护测评部分价格的45%；

5.服务商完成2027年度信息安全风险评估，提交相应交付物并通过我行验收后，服务商向我行提供正式发票，我行向服务商支付合同总价中信息安全风险评估部分价格的45%；

6.服务商将剩余交付物提交我行并通过我行验收后，服务商向我行提供正式发票，我行向服务商支付合同总价的10%。

（七）履约保证金

本项目不收取履约保证金。

三、意向供应商资质要求及提交材料要求

（一）供应商资质要求 

1、基本要求：

（1）具有独立承担民事责任的能力；

（2）具有良好的商业信誉和健全的财务会计制度；

（3）具有履行合同所必需的设备和专业技术能力；

（4）有依法缴纳税收和社会保障资金的良好记录；

（5）参加采购活动前三年内，在经营活动中没有重大违法违规记录；

（6）存在关联关系的不同单位，不得同时参与本项目；

（7）本项目不接受联合体参与，不接受分包、转包。

2.针对本项目供应商应具备的具体要求：

（1）资质要求：按照相关监管要求和项目需要，提供等级保护测评和信息安全风险评估服务的供应商应同时具备以下资质：

t商用密码应用安全性评估资质。

t《网络安全服务认证证书等级保护测评服务认证》。

t******委员会检验机构认可证书和实验室认可证。

t中国网络安全审查技术与认证中心颁发的证书，证书名称：《信息安全风险评估服务资质（一级）》。

（2）提供的产品或服务须具有近5年（自2021年起至今）的项目案例。

       t 同业同类案例

（3）其他

******银行业渗透测试成功案例。

（二）提交材料内容 

1.供应商情况表需提供盖章扫描件及Word可编辑版。

2.具有良好的商业信誉和健全的财务会计制度书面声明并加盖公章，此项材料要求为PDF格式文件。

3.具有依法缴纳税收和社会保障资金的良好记录书面声明并加盖公章，此项材料要求为PDF格式文件。

4.在“国家企业信用信息公示系统”、“信用中国”系统提供查询结果(截屏盖章），包括不限于经营异常、行政处罚、变更记录、重大税收违法失信情况等。  

5.近三年内在经营活动中没有重大违法记录书面声明并加盖公章，此项材料要求为PDF格式文件。

6.提交加盖单位公章的载有统一社会信用代码的营业执照，材料需为PDF格式文件。

7.提交无关联关系公司参与本项目承诺函并加盖公章。

8.提交符合前述案例要求的合同扫描件（1个及以上，包括不限于合同首尾页、盖章页、服务内容页等）并加盖公章。此项材料要求为PDF格式文件。

9.提供上述要求的资质文件扫描件

10.提供银行业渗透测试成功案例证明材料。

（三）提交材料要求
　　1.邮件主题：项目名称 公司名称；邮件主题、正文、附件中不能含敏感字。
　　2.邮件正文中要写明公司的联系人姓名、手机号、邮箱。
　　3.须以传统方式黏贴附件，不能发云附件；发送的附件（压缩文件、文档等）不得设置密码或编辑权限；单个邮件大小控制在50MB以内（如果超限，可分几个邮件发）。
　　4.报名资料未按要求提供或提供不全的情况，采购人将拒绝其报名。

5.采购人视收到的上述材料不涉及商业秘密。

6.采购人可能根据项目情况取消采购，供应商应予接受。

7.前来报名的供应商应保证所提供材料的真实合法性，并由此承担法律风险和赔偿责任。采购人保留对相关材料进一步核实的权利，如发现提供虚假材料的供应商，采购人将取消其本次及以后的报名资格。

8.存在关联的公司在同一项目中只能参选1家公司。

四、征集期

自2025年11月21日起至2025年11月27日16时止。

请在规定时间内参与报名，截至报名日期后我行将不再接受任何形式的申请材料。
    联系人及电话：刘老师  010-******

邮箱地址（专用）：******

                               北京农村商业银行******有限公司

2025年11月21日

供应商情况表.doc