根據(jù)業(yè)務(wù)發(fā)展需要，按照寧波銀行股份有限公司采購相關(guān)管理辦法，我行擬對《  數(shù)據(jù)安全網(wǎng)關(guān)  項(xiàng)目》面向社會公開征集供應(yīng)商，誠邀符合條件的供應(yīng)商參與方案洽談。

一、資質(zhì)要求

1、注冊資金人民幣200萬元（含）以上，財(cái)務(wù)狀況良好；

2、公司經(jīng)營正常并存續(xù)2年（含）以上；

3、企業(yè)或者其法人近兩年內(nèi)無行賄犯罪記錄，未被列入失信執(zhí)行人名單，無限制高消費(fèi)、限制出入境等行為；

4、公司具備完善的組織架構(gòu)和制度規(guī)范，擁有充足的技術(shù)、人員和設(shè)備資源；

5、同一法定代表人的兩個及兩個以上法人、母公司、全資子公司及其控股公司不得在同一次項(xiàng)目中參加報(bào)名；

6、參與報(bào)名的供應(yīng)商能作為簽約主體參與后期的商務(wù)流程；

7、設(shè)備和產(chǎn)品應(yīng)滿足《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等法律法規(guī)要求；

8、報(bào)名供應(yīng)商應(yīng)符合寧波銀行供應(yīng)商管理相關(guān)要求；

9、如報(bào)名供應(yīng)商為首次與我行合作供應(yīng)商，請按附件格式提供“供應(yīng)商盡職調(diào)查報(bào)告”。

二、技術(shù)要求

1、產(chǎn)品有銀行業(yè)合作案例或項(xiàng)目經(jīng)驗(yàn)（僅限原廠），并提供項(xiàng)目合同等證明材料（開具發(fā)票證明）；

2、公司產(chǎn)品應(yīng)有銀行業(yè)實(shí)施案例，且現(xiàn)場部署和運(yùn)維人員須有銀行業(yè)實(shí)施經(jīng)驗(yàn)；

3、需適配行內(nèi)技術(shù)平臺，滿足我行非功能性需求（高可用、高性能、安全性等）。

4、產(chǎn)品軟件的性能、響應(yīng)和異常等指標(biāo)符合用戶體驗(yàn)基礎(chǔ)要求；

5、提供軟件原廠標(biāo)準(zhǔn)服務(wù)（支持內(nèi)網(wǎng)私有化部署）；

6、提供原廠7X24小時（含節(jié)假日）電話支持和相關(guān)技術(shù)咨詢服務(wù)（項(xiàng)目實(shí)施、售后服務(wù)等）；

7、提供軟件補(bǔ)丁安裝及版本升級服務(wù)。

8、產(chǎn)品需參與我行現(xiàn)場POC 測試。

三、報(bào)名方式及起始時間

請符合條件的供應(yīng)商在 2024 年 10 月 2 日之前,通過“點(diǎn)擊報(bào)名”方式進(jìn)行報(bào)名，報(bào)名鏈接如下：https://cpms.nbcb.com.cn/cpms/ananymous/cms/，并按要求填寫相關(guān)報(bào)名材料。

四、聯(lián)系方式

聯(lián)系人： 張學(xué)輝  0574-83050673  （采購部）

         程福挺  0574-81892839  （業(yè)務(wù)部）

    數(shù)據(jù)安全網(wǎng)關(guān)  項(xiàng)目主要需求概述

一、 基本需求：

1、敏感數(shù)據(jù)識別

提供自動測繪接入系統(tǒng)所有數(shù)據(jù)接口，解析每個接口詳細(xì)數(shù)據(jù)結(jié)構(gòu)的能力，支持對JSON、HTML和XML格式的字符串文本解析，識別其中的敏感數(shù)據(jù)；支持根據(jù)數(shù)據(jù)內(nèi)容建立不同維度的數(shù)據(jù)識別規(guī)則進(jìn)行管理，接口測繪時將數(shù)據(jù)內(nèi)容與識別規(guī)則進(jìn)行適配判斷，實(shí)現(xiàn)接口數(shù)據(jù)分級分類識別和打標(biāo)。

2、接口數(shù)據(jù)動態(tài)脫敏功能

依據(jù)業(yè)內(nèi)及本行敏感數(shù)據(jù)脫敏要求配置脫敏策略，對系統(tǒng)頁面展示和下載導(dǎo)出文件等業(yè)務(wù)場景中涉及的敏感數(shù)據(jù)進(jìn)行實(shí)時脫敏，降低數(shù)據(jù)泄露風(fēng)險(xiǎn)；

支持根據(jù)當(dāng)前請求的上下文屬性靈活管控敏感信息是否脫敏，如根據(jù)不同用戶當(dāng)前請求的訪問屬性靈活管控敏感信息是否脫敏；

3、脫敏數(shù)據(jù)還原

提供脫敏數(shù)據(jù)還原功能，支持用戶根據(jù)工作需要點(diǎn)擊還原明文數(shù)據(jù)，可根據(jù)用戶敏感數(shù)據(jù)訪問點(diǎn)擊等操作進(jìn)行數(shù)據(jù)審計(jì)日志記錄。

4、接入方式

4.1網(wǎng)關(guān)接入

支持系統(tǒng)不做任何改造接入數(shù)據(jù)動態(tài)脫敏平臺，平臺可根據(jù)上下文中的用戶、業(yè)務(wù)類別、授權(quán)情況等屬性執(zhí)行數(shù)據(jù)動態(tài)脫敏。

4.2 SDK集成

支持SDK方式集成、適配行內(nèi)不同開發(fā)語言/不同開發(fā)框架的應(yīng)用系統(tǒng)。

集成方式需簡單易于實(shí)施，在應(yīng)用系統(tǒng)統(tǒng)一位置集成SDK，無需每個交易改造，無需為SDK額外部署獨(dú)立進(jìn)程。

SDK應(yīng)具備容錯機(jī)制，執(zhí)行策略異常時（如發(fā)生處理超時、策略邏輯錯誤等問題），即返回原始數(shù)據(jù)或不執(zhí)行過濾。

脫敏策略執(zhí)行消耗的CPU、內(nèi)存可控制在設(shè)定閾值內(nèi)。

5、水印功能

支持應(yīng)用系統(tǒng)敏感數(shù)據(jù)訪問頁面、下載的文件等場景增加水印。支持水印參數(shù)自定義配置，包括顯示客戶端IP、賬號、時間等信息。

6、審計(jì)溯源

具備詳細(xì)記錄人員訪問及操作等能力，記錄行為包括但不限于登錄登出、頁面訪問、文件下載和框選復(fù)制等，并支持多種檢索條件提供靈活查詢。具備對數(shù)據(jù)使用的追蹤溯源能力，實(shí)現(xiàn)訪問鏈路和用戶行為軌跡的追溯還原，定位數(shù)據(jù)泄露源頭。支持對風(fēng)險(xiǎn)操作行為以截屏、錄屏方式記錄。

二、 服務(wù)要求

1、要求原廠全程參與系統(tǒng)規(guī)劃，安裝和部署。

2、包含三年維保服務(wù)，維保期內(nèi)提供系統(tǒng)升級服務(wù)。

3、定期的系統(tǒng)巡檢服務(wù)，服務(wù)商工程師1年提供至少2次常規(guī)上門的產(chǎn)品服務(wù)。

4、提供7×24小時的技術(shù)支持。

5、現(xiàn)場緊急故障救援服務(wù)，當(dāng)系統(tǒng)出現(xiàn)緊急或重大故障，服務(wù)商需安排工程師前往現(xiàn)場提供緊急故障救援，工程師需在6小時內(nèi)到達(dá)現(xiàn)場提供服務(wù)支持，并向?qū)幉ㄣy行提交故障分析及解決報(bào)告。

6、提供完整的安裝配置和運(yùn)行維護(hù)有關(guān)的全套技術(shù)資料文檔，寧波銀行技術(shù)人員根據(jù)文檔即可重新完成系統(tǒng)的安裝配置和維護(hù)工作。

7、提供培訓(xùn)服務(wù)，寧波銀行技術(shù)人員通過技術(shù)培訓(xùn)，當(dāng)出現(xiàn)系統(tǒng)問題時，能夠快速、高效的響應(yīng)處理。

8、提供產(chǎn)品定制化開發(fā)服務(wù)，包括和行內(nèi)流程審批平臺、運(yùn)維管理類平臺、日志監(jiān)控平臺等對接。

附件：

寧波銀行信息科技服務(wù)提供商盡職調(diào)查報(bào)告

一、基本信息

1.1服務(wù)提供商基本信息

1.2監(jiān)管評價(jià)

（是否出現(xiàn)在監(jiān)管機(jī)構(gòu)的黑名單中）

（最近二年在政府或金融同業(yè)合作過程中是否受到處罰）

（是否存在未決訴訟）

1.3關(guān)聯(lián)公司或附屬機(jī)構(gòu)信息

（關(guān)聯(lián)公司或附屬機(jī)構(gòu)是否存在經(jīng)營危機(jī)，該危機(jī)是否危及該服務(wù)提供商的正常經(jīng)營）

1.4主要客戶清單列表

（主要客戶群體）

二、服務(wù)提供商持續(xù)經(jīng)營能力

2.1財(cái)務(wù)情況

 （近三年經(jīng)審計(jì)的財(cái)務(wù)報(bào)表）

三、服務(wù)提供商內(nèi)部控制和管理能力

3.1服務(wù)提供商內(nèi)控評估報(bào)告

 （評估報(bào)告內(nèi)容如覆蓋以下3.2-3.6內(nèi)容，則將評估報(bào)告內(nèi)容對應(yīng)填寫至各個部分）

3.2服務(wù)提供商的組織結(jié)構(gòu)

(內(nèi)部控制部門，如是否建立了內(nèi)部的使用工具的安全測試部門、內(nèi)控部門、審計(jì)部門)

3.3 IT制度體系建設(shè)

（是否對其公司及項(xiàng)目的安全管理及流程管理建立了相應(yīng)的制度）

（項(xiàng)目過程中的項(xiàng)目管理（PMO）體系，包括例會、溝通渠道等）

（服務(wù)質(zhì)量控制方法）

3.4培訓(xùn)體系建設(shè)

（是否對其員工定期開展技術(shù)技能以及安全防范相關(guān)的培訓(xùn)，提供培訓(xùn)計(jì)劃或培訓(xùn)材料）

3.5服務(wù)提供商人員離職率

（了解公司技術(shù)人員的離職率）

3.6IT風(fēng)險(xiǎn)管控

（包括對公司本身的IT風(fēng)險(xiǎn)管控及所承接外包項(xiàng)目的IT風(fēng)險(xiǎn)管控情況）

四、服務(wù)提供商信息技術(shù)能力

4.1服務(wù)能力和支持技術(shù)

（服務(wù)提供商的技術(shù)能力資質(zhì)證明，專業(yè)認(rèn)證等）

（描述使用的工作方法、應(yīng)用軟件、技術(shù)文檔、評估模型、評估工具等使用情況、知識產(chǎn)權(quán)等）

4.2服務(wù)經(jīng)驗(yàn)與市場評價(jià)

（服務(wù)提供商主要的服務(wù)行業(yè)、主營業(yè)務(wù)、服務(wù)客戶）

（類似的服務(wù)項(xiàng)目經(jīng)驗(yàn)及項(xiàng)目合同證明材料）

五、服務(wù)提供商的網(wǎng)絡(luò)和信息安全保障能力

（該項(xiàng)評估內(nèi)容用于非駐場信息科技外包）

（描述內(nèi)容可包括網(wǎng)絡(luò)與信息安全管理體系建設(shè)情況、網(wǎng)絡(luò)與信息安全技術(shù)防護(hù)體系建設(shè)情況、安全事件響應(yīng)和恢復(fù)能力、實(shí)踐經(jīng)驗(yàn)等）