<百年人寿2025年度安全服务项目需求<一、项目背景：为保障我司信息系统的安全运行，需定期对我司信息系统开展渗透测试、代码审计、APP隐私保护测评、漏洞扫描等安全服务，以发现信息系统存在的漏洞，并及时修复。<<二、项目需求：(一)、渗透测试服务需求1、已上线互联系统渗透测试：每季度对甲方已有的互联网信息系统进行渗透测试，在保障安全评估工作安全可控的前提下，识别潜在脆弱性，提供加固方案，并跟踪复核。2、拟上线互联网系统渗透测试：在新系统上线前，需安排渗透测试人员，对新系统进行测试，识别潜在脆弱性，提供加固方案，并跟踪复核。3、整改咨询服务：在渗透测试报告中，需对问题的整改方式进行详细描述，同时提供我方开发人员有关漏洞整改的咨询服务。4、规范要求：<<<1）项目实施人员需对测试账号、测试结果等信息严格保密。<<<2)<项目实施人员需对测试结果全部以渗透测试报告形式输出，不能隐瞒测试出的问题。5、项目工时：平均每月保持10人日以上的项目工时（包括远程和现场），每月至少保证3人日现场。<(二)、代码审计服务需求1、已上线互联网系统代码审计：每季度对已上线的互联网信息系统以及等保二级及以上的信息系统进行代码审计。待我方修复完成后，一周内完成复测并输出复测报告。2、对新上线系统进行代码审计：在新系统上线前，安排服务人员，对新系统代码进行审计。待我方修复完成后，一周内完成复测并输出复测报告。3、整改咨询服务：对代码审记中发现的问题，给出详细的整改方案，协助开发人员进行整改。4、规范要求：<<<<<1）代码保密：服务人员不得未经授权拷贝、传播我司信息系统代码。<<<<<2)<在审计过程中发现的问题，应全部体现在审计报告中，不得有所保留。5、项目工时：平均每月保持10人日以上的项目工时（包括远程和现场），每月至少保证3人日现场。<(三)、漏洞扫描漏洞扫描从互联网云端对我司互联网资产进行分布式的漏洞扫描，所用漏洞库要确保更新及时，及时发现我司互联网资产的高危、中危漏洞。漏洞扫描报告每月1份，共12份，新系统上线1-2自然日内，多1次漏扫；现有系统大版本升级后，多1次漏扫，所有系统漏扫完成后提供复测。<(四)、APP隐私保护测评需求为我司目前现有的三个APP提供隐私保护测评，以及根据我司需求对服务年度内，我司新上线的APP开展隐私保护测评。<(五)、安全保障服务1、提供全年7天×24小时响应用户电话服务请求，服务商需配备专业的应急响应与售后服务团队，接到应急响应要求15分钟内回复，2小时内派遣专家抵达现场提供应急响应支持服务。2、对于国家/省/市级重保期间，每次需安排服务人员进行远程或现场技术支持，工作内容包含但不限于对我司的WAF、态势感知等安全设备提供防护策略调整及监控服务。3、在我方临时接受监管检查期间内，提供相关安全问题解决方案咨询及工作辅助。4、每年协助我司组织安排，至少一次信息安全应急演练活动。5、重大紧急安全信息、高威胁漏洞即时通告。需第一时间针对甲方信息资产进行排查，确保在漏洞爆发前，保障系统安全性。<(六)、技术培训服务周期内，服务商每年应提供4课时（每课时45分钟）线上安全意识培训，须提供课件并录制视频；提供网络安全专业技能培训12学时，须提供课件。培训以有效、经济、合理为原则，时间、培训内容由双方在实际工作中协商。<(七)、项目团队要求安全服务商应为本项目配置专业的项目团队，应为本项目配置专业的项目经理，项目经理应具备不少于3年的安全服务经验，具备至少2年金融机构信息安全服务经验，至少具备一个如 CISAW、CISP、CISSP 等专业资质，具有良好的沟通协调能力和深厚的文字功底，能够编写各类安全技术方案和整体解决方案。其他团队成员应至少精通以下一种技术能力，如渗透测试、代码审计、漏洞扫描、应用安全测试、应急保障等工作，所有参与项目服务的人员必须为投标人原厂人员。<(八)、供应商资质要求（此要求为准入项，如下两项需同时具备）1、CNNVD国家信息安全漏洞库等级证书二级。2、中国信息安全测评中心－《国测信息安全服务资质-安全工程类》二级。<(九)、责任承担1、在测试过程中，使用的工具对我司生产系统运行造成影响的风险。2、我司收到监管有关信息系统风险通报，但厂商对相关漏洞无预警或未检测出。3、发生信息安全事件，对我司造成经济损失和声誉损失。但厂商对引起安全事件的漏洞并未发现的。4、如发生以上问题，厂商需按照以下约定承担责任：1)出具正式责任认定书，确认厂商自身责任；2)根据安全事件实际情况，一周内完成解决方案的实施，并出具承诺书。<(十)、保密要求应针对本项目签订保密协议，保证项目过程中和项目结束后不会向第三方泄漏机密信息。本项目涉及的服务范围、渗透测试、代码审计、APP隐私保护测评报告、漏洞扫描等信息，需严格遵守保密协议中规定的要求，确保在整个项目过程中的信息安全。<(十一)、知识产权我方拥有服务期内项目成果物的知识产权，我方可永久使用本项目所涉项目成果。