二、服务内容及技术要求.docVIP

二、服务内容和技术要求 1. 安全服务内容： 安全服务应至少包括以下内容：漏洞扫描、渗透测试、电子银行安全评估、源代码安全审计、日志分析、漏洞应对、网站监测、安全培训。 ①对我行互联网应用系统进行公网漏洞扫描检测，及时发现漏洞风险并配合进行修复整改。 ② 针对我行现有开展和后续上线的电子渠道业务系统等重要业务（门户网站、滨海汇赢金融服务平台、滨海·滨乐购、网上银行、手机银行、微银行、现金管理平台系统；移动APP有手机银行等）进行全面的安全评估工作。 ③ 根据银监会《电子银行安全评估指引》要求，针对我行电子银行进行安全评估，出具评估报告，并按照银监会要求完成相关的报送备案工作。 ④ 根据我行应用系统需求，对我行“微银行”互联网金融综合服务平台进行源代码安全审计，配合进行问题修复，排除代码安全隐患，提升代码层系统安全等级。 ⑤ 对我行生产互联网信息安全数据和流量数据汇总整理，并进行有效分析，定期出具直观报表、报告。形成我行生产互联网安全态势的整体感知和全面反映。 ⑥ 针对突发的大范围高危漏洞影响事件，协助进行漏洞技术分析及配合进行防护工作。 ⑦ 对我行门户网站、滨海汇赢网站和网上银行等重要网站进行7*24小时监控，保证我行门户及重要网站健康平稳运行，保持良好企业形象。 ⑧ 对我行相关人员进行信息安全意识或技术培训，提升人员信息安全意识水平和技术能力。 在合同签署之日起1年内提供包年安全服务（包括后续新上线的系统），提供符合国家、银行业的相关政策法规监管部门的要求及相关的安全检查。在评估过程中，对排查发现的风险，按照对业务造成的危害、损失、程度及重要性提出整改计划，并协助我行按时进行整改。保障我行电子银行等重要系统自身安全、稳健、持续运行，适合银行业务发展的需求。 2. 项目技术要求： ① 漏洞扫描： (1)对我行现有及后续上线的互联网系统进行全面的公网漏洞扫描工作，协助我行发现操作系统、应用、通讯传输层面安全漏洞。 (2)供应商需要提前制定信息系统主机扫描计划（包含扫描时间、扫描设备信息、负责人等），并严格按照扫描计划开展信息系统公网漏洞扫描工作。 (3)供应商在扫描开始前须对使用的扫描设备进行升级操作，确保扫描设备处于必威体育精装版更新状态。 (4)扫描时间须由行方统一安排指定业务闲暇时段。 (5)对于扫描过程中由扫描工具等因素造成的潜在风险需提前告知行方，经行方认可允许后，方可进行扫描。 (6)扫描结束后，编制主机信息系统漏洞扫描报告包括详细的修复方案 （4）当安全评估发现安全问题时，应提供领域、主机、等高级技术专家高级资质认证的专业技术人员行方进行问题分析及制定整改计划。5）项目所有实施成员必须为竞争性磋商时递交材料中的原厂人员，未经采购人允许不得更换。 （6）当发生重大信息安全事件时，专业工程师须15分钟内响应并在1小时内到达现场提供技术服务，给出应对加固、整改方案，并对业务部门的加固整改进行指导，故障问题必须在4小时内处理完毕；对已经发生的并处理完毕的安全事件撰写分析处理报告，就风险或事件的描述，危害内容，发生的原因、排查过程、处置方法进行详细说明. （7）合同期内，供应商需按照行方的服务管理规范和业务管理规范提供规范服务。 6.项目验收考核标准 供应商完成合同所约定之工作内容，提交合同规定之评估报告。项目的最终验收需双方在提供的验收报告上签字盖章。 7.成果版权要求 如无特殊说明，知识产权归我行所有。 8. 其他： (1)供应商需提供银行业安全服务案例（合同关键页并盖公章）。 (2)供应商需承诺提供有价值的与电子银行安全相关的其他免费安全服务。 (3)供应商应保证提供的服务工具不违反国家法律法规的规定，不侵犯任何第三方的专利、商标或版权。 9