2016年天津银行电子渠道安全评估项目需求书
一、 总体目标
1. 项目背景:
根据银监会《电子银行安全评估指引》第三条要求,“开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,至少每2年对电子银行进行一次全面的安全评估。”随着网络与信息技术的发展,电子渠道已经成为任何一家金融机构的命脉,网银、手机银行、微信银行等系统的重要程度不言而喻。同时,这些系统也面临着来自互联网的多种攻击威胁,一旦被攻击成功,不仅会对行内业务系统造成巨大影响甚至重大信息泄露,甚至还会给我行造成财产及名誉损失,所以我部拟每年对我行的电子渠道进行一次全面的安全评估。依照规划,今年,我部拟计划对我行全部的电子渠道业务系统,其中包括网银、网站、微信银行、银银平台、大宗交易平台、供应链,以及即将上线的新手机银行、汽车金融平台等系统进行一次全面性的安全评估,防患于未然。
2. 项目内容:
从我行自身安全需求出发,以《电子银行安全评估指引》、《网上银行系统信息安全通用规范》为主要依据,参考国内其他电子银行典型的情况与问题,形成评估之前的初始模型,然后进行逐项的分析,说明差距,提出解决方案并协助整改。
3. 项目目标:
(1)通过渗透性测试及时发现我行电子渠道类业务硬件架构、系统架构、应用架构的不足并加以整改,防患于未然。
(2)通过购买第三方的安全运维及安全检测服务,来加强我行面对互联网恶意攻击的应急响应能力。
二、 项目基本要求
1. 标的名称:
天津银行电子渠道安全评估项目
2. 供应商资质要求:
参加本次招标的供应商须满足下列要求:
1)具有独立法人资格;
2)具有国家级信息安全风险评估服务资质;
3)提供营业执照副本复印件(注册资本人民币300万元以上);
4) 提供盖章的税务登记证复印件;
5)提供盖章的组织机构代码证复印件;
6)提供认证体系证书复印件(如: ISO9001认证,ISO27001认证等)
7)提供法人身份证复印件及授权书;
8)提供资格资质证明文件(中国信息安全认证中心信息安全服务资质认证证书,国家信息安全测评信息安全服务资质证书等等);
9)提供金融行业信息安全评估或服务业绩案例(提供合同复印件);
10)提供其它材料:本地化服务人员资格证明(专业证书)等。
三、 项目(技术、系统、配置等)要求
(一)网络和信息系统安全风险评估
1.信息系统评估。包括对互联网业务系统(包括个人网上银行、企业网银、手机银行、微信银行、银银平台、大宗交易平台、供应链,以及即将上线的新手机银行、汽车金融平台等)、门户网站、移动门户、电子支付平台、人行二代支付系统、核心系统、ATM和POS系统、银行卡系统(包括借记卡系统、银联数据前置、银联前置)等系统的网络攻击威胁、失泄密风险和防护能力是否有效进行安全评估工作,符合国家、银行业的相关政策法规监管部门的要求(如《网上银行信息系统通用规范》《电子银行安全评估指引》)及相关的安全检查。在评估过程中,对排查发现的风险,按照对业务造成的危害、损失、程度及重要性提出整改计划,并协助我行按时进行整改。保障天津银行系统自身安全、稳健、持续运行,适合银行业务发展的需求。
2.数据中心基础设施。包括对机房供电、空调、网络、通讯等基础设施抵御各种网络攻击场景的有效性,评估现有技术防护措施、安全管理措施的针对性和有效性。
3.专项攻击评估。包括针对高级可持续威胁、精准式网络攻击进行安全评估,对威胁和攻击进行场景设定,有针对性地排查系统漏洞、分析脆弱性。
(二)网络安全应急预案评估
要根据不同的网络攻击、安全威胁场景对数据中心基础设施、网络通讯、信息系统服务的应急预案进行评估,重点要加强机房供电、空调、通信、关键网络设备等基础设施服务的预案评估。应急预案评估的主要内容包括:评估预案描述的应急准备是否充分,组织人员职责是否清晰,业务与科技跨部门协同机制是否充分有效;应急预案执行程序是否可行可靠,并识别存在的缺陷和不足。评估完成后,协助我行制定并完善应急预案。
(三)评估内容还需覆盖安全管理评估、安全技术评估和业务安全评估
其中,安全管理评估应包括管理体系审核、安全策略评估、管理问卷调查和安全顾问访谈;安全技术评估应包括漏洞扫描、安全配置检查、安全渗透测试、网络架构分析、移动应用安全测试。
具体要求:
确定渗透性测试、现场核查等测评的方法和工具;分析银行各业务中的风险类型与分布环节,找出我行银行业务的安全威胁、安全脆弱点;对银行系统安全技术层面的物理安全、网络安全、主机安全、应用安全、数据安全等方面和管理层面的安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面进行全面的安全测评;分析评估我行系统的安全状况,包括控制措施的有效性、剩余风险状况等级及是否在我行可承受的范围内等;提出整改的建议,提供电子银行系统运营的安全防范、加强等策略及计划。
根据《网上银行信息系统通用规范》、《电子银行安全评估指引》要求和我行实际,采取科学的、通用的方法、模型和工具,对我行电子银行系统的制度、流程进行梳理,找出管理流程中存在的风险点,从防范风险、提高效率的角度提出优化流程和加强制度控制措施的建议。
形成安全评估报告,并对各类银行系统的安全状况做出明确的结论,报告应列明评估的范围、内容和方法,应列明评估所依据的国内、国际标准和监管法规,分析标准和法规提出的具体要求,分析评估我行制度与标准和法规要求的差异,分析评估我行银行系统风险管理现状与标准和法规要求及我行制度之间的差异;报告应指出具体的安全隐患、问题、差异、不足,并提出整改建议,对银行系统的安全状况做出明确结论。
丰富和完善银行系统运营过程中安全保障的相关计划、防范策略,制定银行系统业务连续性计划,银行系统应急计划和事故处理预案。
安全预警信息提供服务,项目验收后,及时通告我行最新的安全动态、安全技术的发展趋势,包括时效性很强的漏洞、攻击手法、病毒码的预先通知,帮助我行电子银行系统的安全管理人员在最快的时间内了解重要的安全信息。
四、 项目实施要求
1、 供应商应列出项目组成员名单以及简历。
如下表:
姓 名 | 性 别 | 职务/职称 | 分 工 | 工作经历(学历、资历、 参与过的系统工程项目) | 备 注 |
说明:
a、 此表所列人员应为项目组主要成员,供应商应承诺未征得天津银行书面同意情况下不得更换上述成员。
b、 供应商在“备注”栏说明所列人员的工作比重或具体时长。
2、 交货、竣工或提供服务的时间:
该项目全部工作要求两个月之内完成。
3、 文档交付品的要求:
按照我行项目管理的相关规定提交相应的文档。
4、 在项目实施过程中,能够提供符合要求的人员。
5、 项目实施应有成熟的项目管理及质量管理控制。
五、 项目验收
项目的最终验收需双方在天津银行提供的验收报告上签字盖章。
六、 培训要求
针对我行相关员工提供至少3门课程的安全培训,培训内容包括安全意识类和安全技术类相关课程。
七、 技术支持和售后服务
提供服务期内的应急响应工作,现场协助处理信息安全事件。
八、 付款方式
合同签订后,乙方开具合法有效票据,15个工作日内,支付合同总价的50%,完成安全评估且交付评估报告和结项报告后支付合同50%尾款(特殊情况以合同为准)。
九、报名时间和联系方式:
1、报名截止时间:2016年8月18日-2016年9月7日
2、联系方式:刘经理 电话010-88485056 邮箱:liuchen_8010@163.com
3、报名申请表