赣州永正工程造价咨询有限公司关于赣州银行股份有限公司2025年信息科技风险管理全面审计项目（项目编号：GZYZ2025-GZYH-ZC008）的公开招标公告

赣州永正工程造价咨询有限公司受赣州银行股份有限公司的委托，现就2025年信息科技风险管理全面审计项目进行公开招标，现欢迎国内符合资格条件的投标供应商前来参加投标。

   （一）项目编号：GZYZ2025-GZYH-ZC008

   （二）招标方式：公开招标

   （三）招标内容：

（四）投标方式：本项目不接受联合体投标。投标报价为一次性不得更改的最终报价，只允许一个报价，任何有选择的报价都将被拒绝。

（五）投标供应商资格要求：

1、具有独立承担民事责任能力的法人或其他组织或自然人；

2、具有良好的商业信誉和健全的财务会计制度；

3、具有履行合同所必需的设备和专业技术能力；

4、有依法缴纳税收和社会保障资金的良好记录；

5、参加采购活动前三年内，在经营活动中没有重大违法记录。

（六）本项目特定资格要求：

1、投标人应提供近3年（自2022年1月1日至投标截止日，以合同签订日期为准）在总行级银行机构承担过信息科技全面审计成功案例1个，合同名称含有“审计”或“评估”关键字，且含有“全面”关键字，只针对单个系统的审计或评估不得作为全面审计案例。提供加盖投标供应商公章的项目合同关键页（至少包含首页、盖章页、内容页）复印件佐证，同时提供以下任一材料证明项目的真实性：①项目合同原件（开评标现场提供相应的原件给代理机构）；②加盖公章的官网中标公告截图及公告网址；③中标通知书原件。

（七）招标文件的购买： 2025年05月14日至2025年05月20日（工作日内）上午08∶30——12∶00， 下午14∶30——17∶30，在赣州永正工程造价咨询有限公司购买，招标文件工本费300元/份，文件售后不退（供应商将招标文件工本费转入采购代理机构的指定账户【户名：赣州永正工程造价咨询有限公司丰德分公司，开户银行: 赣州银行营业部，账号：2886000103080012625，转账时须备注项目编号及用途】，并填写好供应商报名登记表，将供应商报名登记表和工本费转账凭证通过电子邮件发送至gzyz8401693@163.com邮箱，代理机构核实无误后，通过电子邮件将招标文件电子版发送至供应商所填写的邮箱中）。

（八）招标公告期限：发布之日起 5 个工作日。

（九）投标截止时间和开标时间、地点：2025年06月04日15：00（北京时间）。开标地点：赣州永正工程造价咨询有限公司开标室（江西省赣州市章贡区长征大道12号金鹏大厦1楼），届时请各投标供应商的投标代表携带投标文件及投标代表本人身份证明原件出席开标会，签到时间以递交投标文件及投标代表本人身份证明原件时间为准，逾期递交投标文件或投标代表本人身份证明原件的将不予受理，作无效投标处理。

（十）投标保证金及履约保证金: 投标保证金皆为人民币壹仟元整（￥1000.00），应当以支票或汇票或本票或银行转账或金融机构、担保机构出具的保函等非现金形式提交。投标供应商采用银行转账方式的，应从各自银行基本账户（自然人参加投标的，从自然人的同名账户银行账户）全额转入采购代理机构的指定账户【户名：赣州永正工程造价咨询有限公司丰德分公司，开户银行: 赣州银行营业部，账号：2886000103080012625，转账时须备注项目编号及用途】，并于2025年06月03日17：30（北京时间）前到账，否则投标无效；投标供应商采用支票或汇票或本票或保函方式的，须于2025年06月03日17：30（北京时间）前将支票或汇票或本票或保函原件递交给采购代理机构，否则投标无效。未中标供应商的投标保证金,在《中标通知书》发出之日起五个工作日内无息退还，质疑或投诉时，在质疑或投诉处理完毕后五个工作日内无息退还。中标供应商的投标保证金,在采购合同签订后五个工作日内无息退还。

中标供应商须在发放中标通知书后30日内向采购人缴足中标总价5%的履约保证金。履约保证金在项目验收后无息退还给中标供应商，中标供应商未按合同约定履行义务时，履约保证金不予退还。

（十一）付款方式：

中标供应商按照合同要求完成服务后，提供合同金额100%的增值税专用发票给采购人，采购人将发票对应金额的款项支付给中标供应商。

（十二）联系方法：

采购代理机构：赣州永正工程造价咨询有限公司

地址：赣州市章贡区长征大道12号金鹏大厦1楼

电话：0797-8401693

邮箱: gzyz8401693@163.com

联系人：陈女士

开户行：中国银行赣州市长征大道支行

户名：赣州永正工程造价咨询有限公司丰德分公司

账号：203726922308

网址：赣州银行官网（网址：http://www.bankgz.com/）、中国金融集中采购网（www.cfcpn.com）

采购单位：赣州银行股份有限公司

地址：赣州市赣江源大道26号

电话：0797-8100953

联系人：李先生、邓先生

    附件1:采购项目需求

一、投标供应商须提供全新、原装，并符合标准的货物与服务。

二、所有标的的知识产权问题，由各投标供应商自行负责。

三、本招标文件提出的是最低限度的要求，投标供应商的方案应达到或优于本招标文件要求，且符合国家有关标准和规范要求。

四、主要服务内容：

一、总体要求

根据国家、监管部门和赣州银行信息科技方面的要求，依据法律法规、技术标准、行业规范、银行监管制度和评级细则和行内制度规范，对赣州银行2022年8月至2025年5月止的包括但不限于信息科技治理和组织架构、信息科技风险管理、信息安全管理、信息系统开发测试和维护、信息科技运行和操作管理、业务连续性管理、信息科技外包风险、数据中心管理、信息项目或系统投产后评价等方面进行全面审计，充分有效揭示和发现问题，综合分析存在的风险和主要问题，提出相应的整改方案，确保本项目的所有成果、方案和措施具有高实际可用性、可具体落地使用。审计对象范围：重要信息系统（约15个）审计覆盖率100%，重大信息科技项目（100万元以上）审计覆盖率100%，重要外包商审计覆盖率100%，单个项目全生命周期检查数不少于8个（由行方提供相应清单），数据中心全覆盖（主中心、同城灾备中心、深圳异地灾备中心）。协助赣州银行审计部完成信息科技审计检查要点、检查方法、问题词条、制度依据的梳理，形成信息科技审计指南（包括但不限于业务连续性、信息科技外包、网络安全、数据治理、数据中心、运维管理、重大项目、投产及变更、重大事件等信息科技专项审计）。

最终提交的审计成果包括不限于《审计方案及手册》、《作业底稿》、《审计点清单》、《与监管要求详细差距分析说明表》及最终《全面审计结论》、《全面审计报告》、《管理建议书》、《信息科技外包专项审计报告》、《业务连续性管理专项审计报告》、《信息科技重大项目专项审计报告》、《信息系统投产及变更专项审计报告》（新核心项目群）等。

二、审计内容范围

审计范围包含但不限于以下内容：

（一）信息科技治理和组织架构

1.信息科技治理组织及职责

2.信息科技团队的组织架构及职责

3.信息科技制度体系建设

4.信息科技战略规划

5.信息科技预算管理

6.信息沟通渠道和机制

7.信息科技团队和人员的绩效考核

8.信息科技人员的招聘及培训

（二）信息科技风险管理

1.信息科技风险管理规划和策略

2.信息科技风险管职责和管控边界

3.信息科技风险管理的组织架构

4.人员配备和报告路线

5.信息科技风险管理体系和流程的制定

6.风险识别、评估、计量、监测制度流程

7.信息科技风险监控指标的建立

8.信息科技风险防范措施执行情况及效果

9.持续改进情况

10.信息科技风险的披露

11.监督及合规管理

（三）信息安全管理

1.信息安全管理策略设置及有效性

2.信息分类及数据保护

3.数据安全管理及数据治理体系有效性

4.信息系统分级保护

5.信息安全的基本规划和技术体系

6.信息访问的风险与控制

7.物理、主机、网络、应用、终端、数据安全控制有效性

8.生产运维操作安全

9.信息资产管理

10.用户账户、权限、认证和密码管理

11.涉密信息及加密设备管理

12.日志管理

13.软件的风险与控制

14.人员安全

15.对所有的重要信息系统进行安全基线监测、漏洞扫描

16.对网上银行、手机银行、微信银行、支付系统、互联网业务平台、企业官方网站、企业邮箱等对外提供互联网服务的系统进行渗透测试（具体根据行方所给清单为准）。

（四）信息系统开发测试和维护

1.信息系统建设规划情况

2.信息系统全生命周期（含系统分析、采购、立项、需求、测试、变更、评审、上线投产、退出等）管理及风险管控（需100%覆盖我行近三年重大项目，且出具单独的专项审计报告）

3.开发项目流程管理工具体系（含流程管理使用的工具平台、文档管理体系）

4.系统开发和代码管理

5.系统设计、开发缺陷管理

6.项目后评价管理

7.知识产权保护情况

（五）信息科技运行和操作管理

1.信息系统运行体系建设情况

2.系统监测和预警

3.系统运行过程中问题、故障和事件处置管理

4.生产数据安全管理

5.容量管理

6.系统运行中的变更管理

7.信息科技操作风险控制措施

（六）业务连续性管理

1.业务连续性制度和规范

2.业务连续性组织架构和战略规划

3.业务影响分析及评估

4.业务连续性计划制定、实施及演练

5.业务连续性资源建设

6.应急处置

7.灾难恢复管理机制与流程

8.业务连续性计划评估和改进

9.备份的管理与操作

（七）信息科技外包风险（覆盖所有重要外包活动的服务商）

1.外包管理组织框架、战略、风险管理

2.外包分类分级管理

3.外包商的引准入和退出机制

4.供应商风险管理

5.供应商尽职调查

6.外包采购流程

7.外包服务合同和服务水平协议

8.转包和分包限制

9.外包服务监控、评价及质量管理

10.外包信息安全管控（数据、网络、个人信息保护）

11.供应商集中度

12.非驻场外包管理

13.信息科技外包风险评估

14.外包连续性管理、中断应急管理

15.外包的监管报告

（八）数据中心管理

1.数据中心风险管理

2.数据中心运行环境管理

3.数据中心运营维护管理

4.数据中心基础设施生命周期管理

5.数据中心灾难恢复管理

6.灾备中心建设和运营管理情况（需对南康同城灾备中心、深圳异地灾备中心开展现场检查，对南康同城灾备中心机房环境、运维管理、建设情况进行全面评估）

（九）信息项目或系统投产后评价（效益）

1.系统构架与战略的吻合度

2.项目或系统效益评价

3.数据应用的能力和价值体现

4.技术发展对业务发展的支持

5.后期人力财力投入评估

（十）新核心项目群投产及变更专项审计

审计范围包括但不限于以下方面：

三、审计依据

响应人应依据国家法律、国家和行业相关标准、规范、监管指引等进行项目实施工作，依据标准包括但不限于如下标准：

《中华人民共和国个人信息保护法》；

《中华人民共和国数据安全法》；

《中华人民共和国网络安全法》；

《关键信息基础设施安全保护条例》；

《商业银行内部控制指引》；

《商业银行数据中心监管指引》；

《商业银行信息科技风险管理指引》；

《商业银行业务连续性监管指引》；

《银行保险机构数据安全管理办法》；

《银行保险机构信息科技外包风险监管办法》；

《银行业金融机构内部审计指引》；

《银行业金融机构数据治理指引》；

《银行业金融机构重要信息系统投产及变更管理办法》；

《银行业信息系统灾难恢复管理规范》；

《银行业重要信息系统突发事件应急管理规范（试行）》；

《中国银保监会办公厅关于银行业保险业数字化转型的指导意见》；

《银行计算机信息系统安全技术规范》；

《个人金融信息保护技术规范》；

《网上银行系统信息安全通用规范》；

《信息安全技术网络安全等级保护基本要求》；

《信息安全技术信息系统灾难恢复规范》；

《金融行业网络安全等级保护实施指引》；

《金融数据安全 数据生命周期安全规范》；

《信息安全技术 信息系统安全管理要求》；

《信息安全技术 网络基础安全技术要求》；

《金融数据安全 数据安全分级指南》；

《项目管理知识体系指南》等。

四、项目人员要求

参与本项目团队成员必须为响应人的正式员工且不少于6人（含6人），所有项目成员须具有1年（含）以上信息科技审计相关项目经验，实施期间项目成员不得随意变更，如有特殊原因（如员工离职），须经甲方同意后方可更换，更换后的项目成员必须达到或高于更换前成员的水平。

（一）拟投入本项目的人员要求

拟投入本项目的人员不少于6人（含6人），其中项目总监1人，需要具备8年以上银行信息科技审计与丰富的管理咨询经验。项目经理（主审）1人，需全程驻场，具有5年（含）以上信息科技审计相关从业经验，近3年有3次（含）以上独立领导团队实施银行业信息科技全面审计项目经验，熟悉国际国内信息科技审计行业标准和最佳实践，具有CISA、CISP、CISSP、CIA、ITIL、CobiT、PMP、CBCP、CCNP、CCIE等一项相关专业证书（CISA为必须持有的证书）。其他项目组成员（大于等于4人），其中：信息科技审计师（大于等于3人），需在现场工作不少于30个工作日或全程驻场，具有3年（含）以上信息科技审计相关从业经验，每个成员必须至少有CISA、CISP、CISSP、CIA、ITIL、CobiT、PMP、CBCP、CCNP、CCIE、CIW等相关专业证书中的一项（CISA为必须持有的证书）；安全测试人员（大于等于1人），根据行方要求对相关信息系统开展安全测试、渗透测试、漏洞扫描等工作（需要使用相关专业工具），现场工作时间合计不少于15个工作日，具有3年（含）以上安全测试、渗透测试、漏洞扫描相关经验，且具有CISP、CISSP、CIW等相关相关专业证书中的一项。投标文件中须提供劳动合同、社保缴纳证明(投标截止日前12个月)、个人简历、项目合同复印件、证书复印件等证明材料。

（二）项目团队驻场时限要求

响应人项目经理驻场工作时间不少于50个工作日，其他项目成员（不含项目经理）累计驻场工作时间不少于120个工作日。

五、工作期限为3个月。

附件2