上海浦东发展银行总行 电子银行安全评估项目采购供应商征集公告

****银行总行

电子银行安全评估项目采购供应商征集公告

一、征集时间：2026年1月27日-2026年1月29日

二、项目需求

对我行截至2025年12****银行业务进行安全评估。

1.总体要求

根据中国银监会《电子银行安全评估指引》及相关监管要求所提出的要点，电子银行安全评估的内容应包括但不限于：安全策略；内控制度建设；风险管理状况；系统安全性；电子银行业务运行连续性计划；电子银行业务运行应急计划；电子银行风险预警体系以及其它重要安全环节和机制的管理。

（1）安全策略

电子银行安全策略的评估应包括下列内容：

①电子银行安全策略制定的流程和合理性；

②电子银行系统设计和开发的安全策略；

③电子银行系统测试和验收的安全策略；

④电子银行系统运行和维护的安全策略；

⑤电子银行系统备份和应急的安全策略；

⑥客户信息安全策略。

电子银行安全策略评估的范围应包括规章制度和程序的建设以及制度贯彻执行状况。

（2）内控制度建设。

电子银行内控制度的评估，应包括下列内容：

①内部控制体系总体建设的科学性与适宜性；

②****银行安全和风险管理体系中的职责，以及相关部门职责和责任的合理性；

③安全监控机制的建设与运行情况；

④内部审计制度的建设与运行情况。

（3）风险管理状况。

电子银行风险管理状况的评估，应包括下列内容：

①电子银行风险管理架构的适应性和合理性;

②****银行安全与风险管理的认知能力与相关政策、策略的制定执行情况；

③电子银行管理机构职责设置的合理性及对相关风险的管控能力；

④管理人员配备与培训情况；

⑤电子银行风险管理的规章制度与操作规定、程序等的执行情况；

⑥电子银行业务的主要风险及管理状况；

⑦业务外包管理制度建设与管理状况。

（4）系统安全性。

电子银行系统安性的评估，应包括下列内容：

①物理安全；

②数据通讯安全；

③应用系统安全；

④密钥管理；

⑤客户信息认证与保密；

⑥入侵监测机制和报告反映机制。

（5****银行业务运行连续性计划。

电子银行业务运行连续性计划的评估，应包括下列内容：

①保障业务连续运营的设备和系统能力；

②保证业务连续运营的制度安排和执行情况。

（6****银行业务运行应急计划。

电子银行业务运行应急计划的评估，应包括下列内容：

①电子银行应急制度建设与执行情况；

②电子银行应急设施设备配备情况；

③定期、持续性检测与演练情况；

④应对意外事故或外部攻击的能力。

（7****银行风险预警体系。

（8）其它重要安全环节和机制的管理。

2、评估报告的要求

根据中国银监会《电子银行安全评估指引》所提出的要求，供应****银行安全评定标准，在进行安全评估时，应根据我行的实际情况，确定不****银行总体风险影响程度的权重，对每项评估内容进行评分，综****银行的风险等级。评估完成后，供应商应及时撰写评估报告，并于评估完成后1个月内向我行提交由其法人代表或其授权委托人签字认可的评估报告。评估报告的内容应至少包括以下内容：

（1）评估项目概述,包括项目简介、评估时间、评估依据（法规、技术标准）、评估范围及其他协议中重要的约定。

（2）评估对象描述，包括系统逻辑架构、网络拓扑、业务情况介绍等。

（3）评估方法，包含评估的总体框架、程序、主要方法及主要评估人员介绍；不同评估内容风险权重的确定标准，风险等级的计算方法，以及风险等级的定义。

（4）评估内容与评估活动描述。对各项评估内容进行评估或评测，给出每项的现况、符合情况、分项结论（得分或评价）并注明使用技术评测的项目。

（5）评估结论，要明确指出评估是否通过。指出哪些评估要点需要改进和完善、****银行安全管理的建议，以及是否有保留意见。

（6）其他需要说明的问题。

（7）主要术语定义和所采用的国际或国内标准介绍（可作为附件）。

（8）评估工作流程记录底稿（可作为附件，包含审核内容、审核人、日期时间、证据、发现等）。

（9）评估机构参加评估人员名单（可作为附件）。

在评估结论中，供应商应采用量化的****银行的风险等级，****银行安全管理中存在的问题，并提出整改建议。

3、评估方案的要求

为全面了解供应商的评估能力，并确保最终的评估报告与监管要求相吻合，供应商应提供评估方案和评估报告样本。评估方案的内容应至少包括以下内容：

（1）评估计划。

（2）评估流程。

（3）评估的程序、方法以及评估的依据和标准。

（4）评估的范围、重点、时间与要求。

三、供应商基本资质要求

1.供应商通用资质要求

1）具有独立承担民事责任的能力；

2）具有良好的商业信誉和上年度经审计财务会计报告；

3）具有依法缴纳税收和社会保障资金的记录；

4）近3年内，在经营活动中没有重大违法记录、无重大事故。供应商及其法定代表人在近3年无行贿犯罪记录。

2.本项目供应商特定资质要求

1） 2021年1月1日起至今（以合同/框架协议项下有效期内订单签订日期为准），****银行总行或十二家****银行总行，有类似本项目成功项目案例或框架入围案例（例如：****银行产品提供安全评估相关服务，包括但不限于漏洞检测、安全加固、渗透测试等，提供项目合同复印件/发票证明复印件，或提供框架协议+有效订单/发票证明复印件）。

四、供应商报名提交资料

1.基本信息请在注册我行供应商门户时提供，报名阶段无需重复基本信息材料。

注：此表材料对应供应商通用资质要求。

2.本次报名****公司公章）

1）提供符合特定资质要求的合同案例扫描件。

五、报名资料提交方式

相关材料通过我行采购供应商门户-供应商征集板块对应项目征集公告报名提交。

门户主页访问地址：https://ebuy.****.cn

六、声明

1、我行接受报名并不表示接受报名供应商参与本项目后续采购等工作，且我行有权对供应商征集审核结果不做任何说明；

2、供应商须对提供的所有信息的真实性负责；

3、在审核过程中，我行如认为必要，将安排对供应商进行实地考察、邀请参加POC测试等；

4、我行保留要求报名服务供应商补充提交资料的权利；

5、本次公开征集不收取供应商任何费用。

七、联系人及联系方式

联系人：刘老师

电话：021-****8293

邮箱：liuxy7@spdb.****.cn

****

二〇二六年一月二十六日

附件列表： ****银行****银行安全评估项目采购供应商征集公告.doc