一、项目名称

晋商银行商用密码应用安全性评估项目

二、项目背景

为落实金融领域密码应用相关文件精神，我行展开商用密码应用安全性评估和国产密码应用验收评估。

1、我行针对网银系统针对商用密码算法、密码技术、密码产品和密码服务的合规性、正确性和有效性进行改造。并根据《中华人民**国密码法》第二十七条“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”规定开展商用密码应用安全性评估。系统评估按照《信息系统密码应用基本要求》(GB/T 39786-2021)实施。

2、根据人行下发140 号文，2022年我行按照要求完成核心类系统、综合前置类系统、网上银行类系统、中间业务类系统、银企直连类系统、综合收单类系统和自助设备类等9类系统的商用密码改造及验收评估工作。

为确保在人行要求时限内完成我行相关系统的商用密码改造工作并达到验收标准，以及确保我行密码体系安全，需聘请经国家密码局****银行密码算法改造现场排查工作的商用密码检测机构，对行内国产密码改造情况进行技术咨询及评估和商用密码应用安全性评估，为后续信息系统进行改造提供指导意见。

三、询价邀请书

****就以上项目进行询价采购，****公司提交密封的独立报价文件。

1.采购人：****

2.询价人报价地址：**省**市长风街59****银行办公大楼21层

3.报价内容：

1）采购内容：系统商用密码应用安全性评估及国密码改造验收评估。

2）数量： 1个系统商用密码应用安全性评估，9个项目国密码改造验收评估。

3）交付期限： 验收评估报告交付为11月中旬前。

四、工作内容

以金融领域国产密码改造评价指标体系和改造基线及其他监管文件为指引，通过监管政策的解读和我行信息系统现状诊断分析，明确我行国产密码改造差异，结合现阶段实际情况，提供国产密码算法改造咨询服务和商用密码应用安全性评估服务，设计包括但不限于对我行国产密码改造项目实施咨询工作涉及的差异分析评估、出具差异分析报告、提出整改建议，并协助后续实施方对咨询方案落地实施，以满足相关监管部门要求。包括但不限于以下事项：

一、根据我行信息系统国产密码改造现状，开展差异分析与测评，明确现状与基线的主要差距，给出差距分析报告。

二、针对基础设施如安全网关、安全控件、加密机、等进行商用密码改造情况的评估、改造方案的审核并提出改造建议。

三、根据前面编写的差距分析报告，为我行提供可行的、有效的商用密码改造方案，并协助我行完成相应改造。

四、针对核心类系统、综合前置类系统、网上银行类系统、中间业务类系统、银企直连类系统、综合首单类系统及自助设备类系统等9类系统，对相关系统在对客户端到系统之间，运维终端到系统之间，系统与系统之间的所有特性（包含身份鉴别、传输机密性、传输完整性、数据原发抗抵赖、数据接收抗抵赖等方面）进行商用密码改造情况的评估、改造方案的审核、对标国密改造各项标准对强制项和增强项逐一分析和测评，给出差距分析报告并提出改造建议。

五、对于强制项改造指标的功能点改造后经评估性能指标无法达到业务要求的，协助我行逐项说明不能改造的原因、出具符合监管机构要求的评估报告。

六、对照改造基线和效果评估方法，对我行以上7类信息系统进行预验收，并出具预验收报告和建议，存在差距项的，给出建议改造方案并协助我行进行改造，****银行商用密码改造的验收工作。

七、对我行网银系统开展一次商用密码应用安全性评估，针对系统现状从系统总体架构、物理环境、网络通信、硬件设备、应用系统、安全设备等方面展开测评，协助编写商用密码应用方案及评审，出具商用密码应用安全性评估报告、差距分析及整改建议报告，完成复测并协助进行密评备案工作。相关标准参考

GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》

GM/T 0115—2021《信息系统密码应用测评要求》

GM/T 0116—2021《信息系统密码应用测评过程指南》

《信息系统密码应用高风险判定指引》

《商用密码应用安全性评估量化评估规则》

服务要求：

协助我行完成商用密码改造咨询以及商用密码应用安全性评估的各项工作，包括但不限于咨询范围界定、咨询和评估方案设计、系统架构梳理、环境评估、相关文档撰写、改造方案建议、落地实施及实施后的相关工作。确保我行国密改造项目通过监管部门验收。具体服务内容如下：

（一）项目启动阶段

1、制定国产商用密码改造咨询项目的实施工作计划，提出各阶段工作步骤、工作方法与成果、**需求等内容，明确项目实施的阶段性目标。

2、梳理项目实施的范围，对我行9类系统国产密码改造情况进行梳理，明确项目实施范围，并对相关政策进行分析解读。

3、协助我行项目人员制定工作计划、系统改造计划和项目验收计划。

（二）现状诊断和差距分析，包括但不限于环境、设备、网络、应用系统等分析

1、调研了解我行国产密码改造情况和密码应用架构体系，分析现有9套系统特征，开展相应案例评测，了解我行7套系统大概国密改造现状和密码应用架构体系；

2、了解我行国产密码改造政策执行现状和密码应用架构体系，并针对性的制定改造实施方案；

3、基于国产密码改造基线要求，根据上述梳理、调研及测试的结果，总结现状与基线要求的差距，并汇总生成差距分析报告，同时输出商用密码应用安全性评估报告。

4、根据差距分析报告，给出不合符项整改建议和整体安排，分析相关改造工作的紧急程度、难易程度、建议方案以及潜在风险，确定我行国密改造实施整体规划方案。

（三）改造方案设计阶段，包括但不限于应用系统、网络通信、安全管理等方面的实施方案及相关系统改造方案

在差距分析的基础上，与我行相关部门人员协调沟通，完成不符合项改造实施方案设计工作，具体实施工作包括但不限于：

1、对现有系统提出改造建议，协助制定对应改造方案，并参与改造方案评审；

2、对于强制项改造指标的功能点改造后经评估性能指标无法达到业务要求的，协助我行逐项说明不能改造的原因、出具符合监管机构要求的评估报告；

3、对改造方案评审未通过的，协助我行修改或重新设计可行的改造方案；

4、根据差距分析报告和改造方案对我行9套系统做国国产密码改造预验收。

（四）系统改造实施阶段

1、根据确定的系统改造方案，协助我行开展系统改造实施。

2、对我行改造实施阶段产生的新问题或技术难点提供咨询服务。

3、在我行开展系统改造实施过程中，提供技术支持；包括协助各技术部门进行相关信息系统改造，提供专业知识支持；参与进行信息系统测试与验收，开展系统上线培训。

（五）第五阶段：培训与后续服务支持

为我行国密改造项目和商用密码应用安全性评估提供后续技术支持，持续跟踪政策法规，准备相关培训资料，并进行专业培训。

项目咨询要求：

本次实施咨询项目旨在对国产算法密码改造政策进行深入解读的基础上，对我行以上9类系统进行全面梳理，定性、精准分析我行实施国产密码改造和密码应用架构体系的方案和现状；出具差距分析报告和商用密码应用安全性评估报告，提出系统改造建议方案，并协助我社完成系统改造；做好项目统筹管理等工作，顺利实施本咨询和评估项目。改造完成后使我社以上9类系统顺**过人行验收，提高我社信息系统安全、降低政策执行风险。

在项目实施过程中，针对关键或重大问题，应承诺调动中标人全部**给予支持，委派专家到现场解决问题，并不得影响项目的整体进程。在项目管理上，投标人必须在本项目中采用成熟科学的项目管理方法，管理理论结合实际。

1、进度要求

中标确认后5日内，项目人员须到达现场,现场位于**省**市。

11月中旬前，咨询项目全部实施完毕并出具国产密码验收评估报告，确保行内通过人行国密改造验收，同时输出商用密码应用安全性评估报告。

注：实施支持阶段时间以行内系统改造安排为依据，其时间将根据行内最终系统实施安排而调整。

项目实施人员要求

投标人应具有履行合同约定服务内容所要求的各项工作能力，项目实施团队关键成员应具备丰富密码咨询服务经验，清晰把握监管政策方向，在规定工作时间内有能力调配较强工作力量，按时保质完成工作任务。提供固定工作团队，全程参与项目实施，团队成员咨询经验丰富，责任感强，善于沟通与交流。高级经理、经****公司提供的同类项目案例的关键成员。

（1）至少配置1名高级经理、1名经理

高级经理应具有至少8年以上金融业服务经验，经理应具有至少6年以上金融行业服务经验，并具备以下专业技能：熟悉银行业务系统，能结合投标人系统特点和实际情况，协助制定科学合理的项目工作方案；熟悉银行系统架构、安全管理、风险评估、系统管理等相关工作；能结合招标人系统现状，提出合理咨询建议；****银行系统架构、安全管理、风险评估、系统管理等，能在充分理解和评估监管政策的基础上和结合我社系统现状，制定切实可行的实施方案、解决方案等。

（2）其他项目成员

其他项目成员应具备一定的金融行业服务经验或是类似项目实施经验，了解银行系统架构、密码安全知识等项目实施所需知识，且能快速有效地执行所承担的事务。驻场的项目成员数量应能保证项目各项工作正常开展，确保不因项目成员数量或能力不足影响项目的进度或质量。

项目验收

（1）对整个项目的验收包括检查所有输出是否实现了招标人在本标书中所要求的功能，是否与中标人提出的解决方案中既定目标功能完全一致。

（2）招标人将依据项目总体设计目标和中标人的解决方案，随项目进展提出分阶段验收规范，作为工程分阶段验收的最后依据。

知识产权要求

本项目中产生的报告、方案、总结、分析、工具等材料知识产权归甲方所有。

售后服务要求

（1）投标人提供相应售后服务，建立商用密码改造和密码应用安全性评估相关问题解答机制，提供解决因政策变动需调整的系统优化需求。

（2）咨询完成后，乙方按约定提供项目交付物，帮助甲方掌握咨询成果，至行内通过人行国密改造验收结束进行项目的最终验收。

供应商必须对项目技术文件以及由采购人提供的所有内部资料、技术文档、数据和信息予以保密。供应商必须遵守与采购人签订的保密协议，未经采购人书面许可，供应商不得以任何形式向第三方透露本项目标书以及本项目的任何内容。供应商必须严格遵守合同规定，执行国家《保密法》及有关保密的法律法规，选派具有良好职业道德的人员参与和从事本项目工作，教育相关人员恪守职业道德，服从采购人的管理，严格遵守采购人的保密规定和工作制度，并承担相应的保密责任。

供应商所有参与本项目的服务人员，都必须签订《保密承诺书》。《保密承诺书》交采购人归档保管。供应商要对承诺履行情况负有监督责任，一经发现违反承诺情况，要及时向采购人报告。

供应商自觉接受采购人的安全保密监督和管理，供应商如违反安全保密条款，采购人将追究其责任，对重大的泄密事件将移交司法部门追究其法律责任；对供应商泄露系统资料，造成伤害的，除依据有关规定追究有关责任人员法律责任外，还将依法承担相应的民事责任。

供应商在投标文件中必须书面说明具体的保密管理措施，确保保密承诺得以落实。

项目交付物包括以下：

《系统商用密码应用方案评估报告》

《系统商用密码应用安全性评估报告》

《系统商用密码应用差距分析及整改建议报告》

《系统商用密码应用安全性评估复测报告》

《密评整改建议报告》

《国密改造预测评差距分析报告》

《国密改造预测评报告》

五、合格报价人的资格要求

（一）具有独立承担民事责任的能力；

（二）具有良好的商业信誉和健全的财务会计制度；

（三）具有履约所必需的专业技术能力、服务渠道支援能力和行业经验；

（四）最近三年内，各项经营活动没有重大违法记录，没有出现违背社会责任的不良信息；

（五）单位负责人为同一人或者存在控股、管理关系的不同单位，不得同时参加本项目投标；

（六）2020年至今(以合同签署时间为准)，贵司所承接****银行业的商用密码改造咨询及商用密码应用安全性评估项目成功实施案例(2个以上)清单、简介、合同等证明材料；

（七） 供应商须在国家密码局42号公告公布的商用密码应用安全性评估试点机构目录中，并提供证明材料。

（八） ****银行邀请，参与密码算法改造现场排查，并提供证明材料。

（九） 与其它报名的供应商不存在任何关联关系。

六、报价供应商需提交的资质材料

（一）营业执照（副本）、组织机构代码证（副本）、税务登记证（副本）或三证合一；

（二）法定代表人（或单位负责人）授权委托书；授权代表身份证复印件；

（三）企业及服务团队简介；企业本地售后服务能力；与项目相关的企业及人员资质证书、社保证明等；

（四）投标人须具有有效的ISO9001质量管理体系认证证书；

（五）2020年至今(以合同签署时间为准)，贵司所承接****银行业的商用密码改造咨询及商用密码应用安全性评估项目成功实施案例(2个以上)清单、简介、合同等证明材料；

****法院在“中国执行信息公开网”列入失信被执行人名单；未被国家企业信用信息公示系统（http://www.****.cn/）中列入严重违法失信企业名单；

（七）附件：《晋商银行廉洁自律告知书》，供应商签字或盖章，如未提供，视为无效报价文件。

****公司联系人、电话、电子邮箱、地址等。

注：上述资料均需提供加盖公章的扫描件，请与报价文件相互独立封装。

（十） 供应商须在国家密码局42号公告公布的商用密码应用安全性评估试点机构目录中，并提供证明材料。

（十一） ****银行邀请，参与密码算法改造现场排查，并提供证明材料。

七、报价人意愿要求

1、服从我行人员管理、财务管理的相关规定；

2、同意与我行签订项目管理相关的协议，包括但不限于保密协议、服务承诺书、工作计划任务书；

3、同意按照我行规定对项目和供应商进行考核、评价、奖励和扣罚；

4、同意接受我行内部、我行聘请的外部机构、****管理部门进行监督、检查及审计等；

八、报价截止时间

所有报价文件及资质材料应于2022年9月30日18:00(**时间)前递交至**省**市长风街59****银行办公大楼21层。报价及资质材料递送出后，请及时电话同时商务联系人，如采用快递方式递交的，请在快递上备注清楚项目名称，报价文件中请明确联系人信息。迟到的报价文件将被视为无效报价文件拒绝接收。

九、联系方式

商务联系人：王青

联系电话：137****0403

邮箱地址：****@jshbank.com

技术联系人：闫广亮、张青

联系电话：134****3757、138****7173

邮箱：****@jshbank.com、****@jshbank.com

附件：

晋 商 银 行

廉洁自律告知书

尊敬的 ：

您好！****银行的信任和支持！

晋商银行自成立以来，始终秉承“诚信、创新、实干”的企业文化，积极践行“****中心”的服务理念，扎根三晋，服务地方经济，服务中小微企业，服务城乡居民。为大力弘扬清廉文化，构建“亲”“清”关系，实现互惠共赢，****银行从业人员廉洁自律要求告知如下，诚邀您进行监督，携手共建清廉**。

一、严禁索要或收受礼品、礼金、消费卡和有价证券、支付凭证、商业预付卡、股权、其他金融产品等财物。

二、严禁接受管理服务对象组织的宴请、旅游、健身、娱乐等活动安排。

三、严禁借用管理服务对象的钱款、住房、车辆等财物。

四、严禁在操办婚丧喜庆事宜中，邀请管理服务对象参加宴请或借机敛财。

五、严禁以各种名义向管理服务对象转嫁、摊派和报销费用。

六、严禁以任何形式从事民间借贷、资金掮客、经商办企业、参股入股等营利性活动。

七、严禁违反有关规定在其他单位兼职取酬。

八、严禁利用职务便利或职务影响力，在信贷业务、集中采购、工程建设、外包服务、业务**等方面为他人谋取利益。

九、严禁发生其他违反党纪国法行规的行为。

监督举报方式：

1.举报电话：0351-****987

2.电子邮箱：****@jshbank.com

3.来信来访：晋商银行办公大楼2817室（**市**区长风街59号）

客户签字（盖章）：

联系电话：

签收日期： 年 月 日