上海农商银行研发安全平台项目（POC）项目二轮征集公告

为实现安全需求设计和分析线上化，实现安全左移，拟搭建研发安全平台，提供安全知识库、安全需求建模和线上化流程管理能力，现向全社会公开征集供应商，请有意者并具备以下要求的供应商前来我行报名。

（一）采购内容

本次预评估采购内容是研发安全平台软件，主要功能包括：

1、安全知识库。安全知识库覆盖国家标准、行业标准、监管合规要求以及行内标准规范等。具备结构化的安全基线条目，涵盖安全需求、安全设计、安全编码建议与测试案例等内容，并支持对具体条目内容进行增删调整和审批。具备不同业务场景标签，包括交易、营销和内管等，以及web、客户端、APP和小程序等应用场景。

2、安全需求建模。支持自动化安全合规分析能力，基于问卷机制和预设的行业场景标签，结合知识库内容自动生成相应的安全需求，生成的安全需求应具有对应的设计方案和测试方案，使开发团队能在需求分析阶段自主识别和修复安全风险。

3、流程管理。具备完整的安全需求分析流程，包括需求接收，问卷选择、安全需求生成、结果输出，并与我行研发协同平台实现对接。具备流程管理视图，可总览需求项目的基本信息、建模进度、结果、变更记录等。

（二）技术要求

1、支持主流数据库、中间件，支持前后端分离、分布式架构，且具备良好的可扩展性。

2、支持与gitee、自动化构建部署平台（DevOps）、研发协同平台、源代码安全检测工具和统一认证平台等对接。

3、支持安全备份国产操作系统、数据库、中间件、桌面及浏览器。

4、产品需符合信息安全等级保护二级标准规范，重要数据加密传输、加密存储，支持国密算法。

（三）其他要求

1、供应商提供的软硬件应为成熟产品，已有多个应用案例。

2、实施时，供应商需提供包括启停在内的产品维护手册，并指导我行人员实施。实施结束后，相关产品需保留在我行预评估环境，根据我行有关规定作进一步检查核实。核实完成后，相关产品予以删除清理。期间若我行需要，需协助我行重新启动其产品。

二、供应商资格要求

（一）一般资格要求

1、具有独立承担民事责任能力的法人或具备国家认可经营资格的其他组织，公司经营正常并存续3年（含）以上，营业执照中含本项目相关业务。（提供有效营业执照复印件并加盖公章，非企业性单位提供相应的有效登记证书复印件并加盖公章；如分支机****公司出具的授****公司公章）

2、提供被授权人委托授权书原件（授权书需包含授权项目名称、授权事项、法人身份信息、被授权人姓名/联系电话/邮箱等内容，且须由法人及被授权人签字，并加盖公章）、法人及被授权人身份证复印件、被授权人在本单位的近期社保缴纳证明复印件（加盖公章）。

3、具有良好的商业信誉和健全的财务会计制度，近三年财务状况良好。（提供最近三年财务报表复印件，至少包括资产负债表、利润表、现金流量表）

4、可开具合法的增值税专用发票。（若为增值税一般纳税人，须提供国税网站查找的增值税一般纳税人证明截图的复印件；若非增值税一般纳税人须承诺能开具增值税专用发票，提供书面承诺，格式自拟）

5、供应商当前未被信用中国（http://www.****.cn）列入 失信被执行人、重大税收违法失信主体、政府采购严重违法失信行为记录名单 ，以三张页面查询结果截图为准。（提供查询结果截图）

6、供应商近三年内（从2022年1月1日至今）在经营活动中没有重大违法记录，以国家企业信用公示系统（http://www.****.cn）中有关 列入经营异常名录信息、行政处罚信息、列入严重违法失信企业名单（黑名单）信息 的三张页面查询结果截图为准。（提供查询结果截图）

7、供应商及其法定代表人在近三年内（从2022年1月1日至今）无行贿犯罪记录，以中国裁判文书网（https://wenshu.****.cn）在 高级检索 案由 刑事案由 内选择 贪污贿赂罪 （含企业名称和法定代表人姓名）的查询结果截图为准（查询结果无行贿犯罪记录）。（提供查询结果截图）

8、同一法定代表人的两个及两个以上法人，母公司、****公司****公司，不得同时参与本项目。（提供书面承诺，格式自拟）

9、本项目不接受联合体投标，不接受挂靠、借用资质投标，不允许转包或分包。（提供书面承诺，格式自拟）

（二）特殊资格要求

1、****银行机构总行级同类项目（ 研发安全 或 安全开发平台 或 安全知识库 或 安全生命周期管理 或 威胁建模 等字样）1个案例。

2、供应商至少具有以下一个资质证书：软件能力成熟度、质量管理体系认证、技术服务管理体系、信息安全管理体系及其他相关专业资质认证证书。

3、源代码交付要求

□供应商承诺向我行交付软件全部源代码并出具承诺函。要求：供应商入场时，应向我行交付软件全部源代码，并按照我行软件开发相关管理办法进行项目的开发、测试及上线工作。

□供应商承诺向我行交付本项目的软件全部定制化开发源代码，产品底层源代码进行第三方托管，供应商需出具承诺函。要求：供应商完成开发实施、提交测试前，应向我行交付本项目的软件全部定制化开发源代码，并出具产品底层源代码的第三方托管协议书（相关托管费用由供应商承担）。若底层源代码进行第三方托管，需承诺按照我行模板（见附件2：__系统软件源代码托管及保密协议）提交托管及保密协议。供应商需在响应文件中提供上述承诺函。标书代写

4、参与POC现场测试人员必须均为本单位人员，在POC人员入场前须提供参与现场测试人员的名单、劳动合同和在本单位的近期社保缴纳证明复印件。（提供书面承诺，格式自拟，加盖公章）

（三）供应商须知要求

报名供应商须仔细阅读本行供应商须知内容（详见****供应商门户网站-重要通知-供应商须知），如违反须知条款内容，将依据本行供应商管理相关制度实施相应的处罚。严禁列入本行黑、灰名单的供应商在禁入期和禁入处罚期内参与项目。无不可抗力原因，报名供应商不得中途退出，一年内累计二次及以上无不可抗力原因退出响应的，将列入本行灰名单级供应商，实施相应处罚。

三、项目报名

1、项目报名时间：即日起至2025年7月22日15：00时。逾期系统上无法递交材料也不支持后补材料。

2、供应商注册：尚未注册的供应商，须先登录 ****供应商门户 （网址：https://pms2g.****.com/）完成注册工作，成为****系统在册供应商。未注册或系统使用有问题的供应商将无法参与本项目报名。已注册的供应商，请查验账户联系人是否正确，密码是否过期等问题。（具体系****中心-注册指南）

3、项目报名：供应商登录****供应商门户(https://pms2g.****.com/）后，点击 项目管理 我要报名 POC报名 ，选择所要参与的项目，并按照上述第二款要求按序准备报名材料，在报名截止时间前，填写相关报名信息并提交报名材料（盖章扫描件）并附保证金回单。系统上传报名材料时选择的供应商联系人需为本项目的授权代表，并确保授权代表的姓名、联系电话、电子邮箱的准确性。并同步准备纸质报名材料1份（须双面打印并装订成册），在截止时间****采购中心或快递方式寄送。（具体系****中心-常见问题-供应商参与项目指南）标书代写

4、特别提醒：对于新供应商注册、供应商联系人录入、系统递交报名材料需预留时间，避免逾期无法上传报名材料。

四、递交保证金账户信息

本次报名时需缴纳保证金叁万元，请供应商在汇款时务必注明所参加项目编号：****，否则，因款项用途不明导致无效等后果由供应商自行承担。具体操作详见附件：1《****投标保证金缴纳和退还操作须知》。

户名：****银行****公司

账号： 501********476666

开户行：****营业部

五、联系人及联系方式

联 系 人：张颖莹、丁丽娟

联系电话：021-****9383、****9040

电子邮件：****@shrcb.com、****@shrcb.com

地 址：********中心（**市**区中**二路70号D栋7楼）

邮 编：200002

********中心

二〇二五年七月