中信银行股份有限公司DevSecOps安全开发体系升级项目征集公告

（略）DevSecOps安全开发体系升级项目征集公告（（略）：2024-ZJZH-004）
项目所（略）：（略）一、招标条件
（略）DevSecOps安全开发体系升级项目已由项目审批/核准/备案机关批准，项目资金来源为自筹资金0万元，（略）。本项目已具备招标条件，现招标方式：（略）
二、项目概况和招标范围规模：详见公开征集公告范围：本招标项目划分为1个标段，本次招标为其中的：(001)/;三、投标人资格要求(001/)的投标人资格能力要求：详见公开征集公告;本项目不允许联合体投标。
四、招标文件的获取：（略）
九、联系方式：（略）
招标人：（略）
招标代理：（略）
招标人：（略）
招标人：（略）
中信银行“DevSecOps安全开发体系升级项目”供应商征集公告
根据我行业务需求，现开展中信银行DevSecOps安全开发体系升级项目项目供应商公开征集工作。凡符合本公告要求的企业均可自愿报名，并提交相关证明文件和材料。具体情况如下：
一、（略）：2024-ZJZH-004二、项目名称：（略）
2．安全开发体系建设（1）根据差距分析结果进行安全开发管控体系升级规划设计。
（2）工作组织形式和责任压实：制定详细的组织结构图，明确开发团队和安全团队的安全角色和职责。完善工作流程和责任矩阵，确保职责清晰。
（3）安全左移流程机制的全面落地：开展流程和工具评估，结合差距分析结果明确适用安全左移流程的安全需求分析、安全设计、安全开发、持续集成和自动化安全测试工具等优化内容。提供工具优化需求，协助行方完善工具并完成验收，确保全面满足安全左移的要求。
（4）安全开发知识库建设：结合金融行业制度规范及行内实际业务场景梳理分析监管合规要求，形成一套可落地的闭环的条目化的安全需求、安全设计、安全测试和安全编码等方面的知识库，设计知识库的持续更新机制，确保涵盖金融行业最新的安全威胁和防护技术，提高全员的安全能力和意识，将行业最佳实践在行方研发过程管控体系中全面落地。
（6）度量和评价：结合可信研发及运营安全能力成熟度模型、研发运营一体化（DevOps）能力成熟度模型、OWASPDevSecOps成熟度模型等国内外权威评估模型辅助行内对于DevSecOps安全开发体系进行度量、评价与认证。
（7）文化建设和意识宣贯：结合差距分析结果以及行内实际情况开发定制的培训课程，覆盖安全形势认识、安全左移理念和具体实践技能，并对管理人员、安全人员、开发人员、测试人员分场景分对象制定不同的培训内容，以结果为导向，使全员提升安全主体意识，深入理解、认同和践行全员全过程的安全理念。
3．针对2个试点项目，进行安全开发体系落地辅导。
（1）针对试点项目，通过分析需求规格说明书等设计文档，进行安全需求分析。包括但不限于：①威胁识别和风险定级；②结合需满足的政策条例，梳理需满足的安全要求；③形成安全需求说明文档。
（2）针对试点项目，通过分析设计文档，进行安全设计。包括但不限于：①（略）进行攻击面分析、威胁建模；②结合安全需求，输出安全设计方案。形成安全设计文档。
（3）针对试点项目，对开发测试阶段进行安全跟踪，包括但不限于：①针对开发过程中的某一稳定版本，采用自动化工具和人工审查的方式：（略）
②针对测试过程中，采用自动化工具实现安全测试，同时针对安全需求关联的相关测试用例实现需求验证闭环，最终输出安全测试报告与安全需求验证结果报告。
4．（略）建设规划需求服务提供方在安全开发管控体系评估及建设阶段，需要提出安全开发管控工具建设规划，（略），提出优化改进需求，并协助行方完成验收，推进安全开发工具体系的完善。
5．辅助安全开发体系全面推广服务提供方需要根据行内工作目标和计划，辅助行方对升级后的安全开发体系进行全面推广（（略）），结合安全
开发体系建设目标要求，评估是否符合推广准出条件，并在推广验收过程中总结经验和不足，形成能力成熟度评估报告和安全开发体系未来三年建设规划报告。
6．项目总结根据行内需求提供项目相关安全知识培训服务、试点推广各阶段工作启动材料和总结报告、能力成熟度评估报告和安全开发体系未来三年建设规划报告等。
五、供应商资质要求（一）基本资质1.投标人必须在中国境内注册，具备独立的法人资格，成立时间不少于5年，持有合法的营业执照；2.企业运营正常、财务状况良好；3.投标人未被列入“信用中国”网站（（略）.cn）、“失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为”记录名单。
（二）产品资质及服务要求1.具备央行、国有大型商业银行、（略）至少有一个SDL或DevSecOps体系设计、安全开发咨询方面的服务案例经验，并提供有效证明材料。
2.团队成员应在SDL或DevSecOps体系设计、安全开发咨询方向上具有相关优秀实践案例和经验。
五、交付物要求根据甲方要求，需要准备包括但不限于以下交付物，详细要求如下：
阶段成果文件
准备阶段1.项目实施方案2.项目实施计划
安全开发体系评估阶段1.安全开发现状调研表2.安全开发访谈总结报告3.安全开发体系差距分析报告
安全开发体系建设阶段制订或修订：1.安全开发体系建设实施方案2.安全开发工作流程和责任矩阵3.安全开发安全管理办法4.安全漏洞管理办法5.开发测试环境安全管理办法6.开源组件安全管理方法7.新技术引进安全评估指南8.安全开发工作实施细则9.安全开发管控等级评定指南10.源代码漏洞等级评定指南11.安全需求分析指导手册12.安全设计指导手册13.代码安全审计指导手册14.（工具及非工具）渗透测试指导手册15.漏洞扫描指导手册16.安全开发工具规划建议17.安全开发知识库
试点阶段1.试点工作方案2.试点项目安全管控等级评估模型说明3.试点项目安全需求分析文档4.试点项目安全设计文档5.试点项目开源组件审计和代码审计报告6.试点项目安全需求验证测试报告
推广阶段1.项目推广工作方案2.安全意识培训课件3.威胁建模培训课件4.安全需求培训课件5.安全设计培训课件6.安全编码培训课件7.安全测试培训课件8.安全体系培训课件9.项目推广总结报告10.安全开发能力成熟度评估报告11.安全开发体系未来三年规划报告
六、其他要求1.在约定的价格有效期内，若乙方产品价格水平、折扣幅度或
其他价格政策发生更有利于甲方的调整，该更优惠的价格政策自动
适用于甲方，甲方有权按照该更优惠的价格政策采购乙方产品。乙方有义务及时、主动告知甲方该种价格调整。
2.如乙方响应产品停产或因其他不可抗力而不能向甲方供货，乙方承诺将提前1个月通知甲方，并向甲方提供经甲方同意的技术能力、性能不低于约定产品的替代品，且价格不高于投标的产品价格。
3.乙方提供给甲方的采购价格适用于甲方（包括甲方分行、支行、全资及控股的企业）的全部采购（包括零星采购和批量采购）。乙方产品价格与甲方采购数量无关。
4.如因国家税务政策调整，造成税率变化的，乙方应保持产品净值不变，产品税率随国家政策调整而调整。
5.乙方应提供明确的售后服务方案。
七、报名资料按照报名模板文件制作报名材料，包含EXECL版《供应商信息登记表》及PDF版本的报名文件（（略）径：（略）https://（略），“业务公告”-“征集公告”本采购项目栏目内）。
八、报名资料提交方式：（略）
ank.com，“业务公告”-
“征集公告”本采购项目栏目内；同时，还应同步进行电子邮件报名，报名文件应在15M以内。
九、报名截止时间：2024年2月29日
十、相关说明1.上述内容为我行采购相关工作的初步安排，具体采购项目情况以相关采购公告或采购文件为准。
2.收到报名材料后，我行将在2个工作日内通过邮件回复“报名成功”，供应商不需要电话确认。
3.报名成功并不表示我行通过其资格审核。我行有权对供应商报名审核结果及参与后续项目的采购工作不做任何说明。4.供应商提交资料中如有虚假信息，我行将取消其报名资格、记入供应商诚信档案并限制其后续参加我行采购项目。
5.其他内容详见《供应商报名文件》中的“报名须知”。
十一、联系人：（略）
附件：1.供应商报名文件2.供应商报名表
（略）2024年2月6日
中信银行
CHINACITICBANK
供应商报名文件
（（略）：2024-ZJZH-XXX）
企业名称：（略）
报名日期：年月日
报名文件清单
（请按照下列顺序和内容编制）
一、报名须知
二、承诺书
三、业务代表授权书
四、企业法人营业执照
五、企业社保缴纳证明
六、本项目涉及的行业资质证明
七、企业及竞争能力介绍
八、案例合同的首页及签章页，或成交证明文件（如中标通知
书）
九、最近两年审计报告（可不含附注）或财务报表
十、其他相关材料
报名材料一：报名须知
一、原厂需要授权代理商开展业务的，代理商可以报名，原则上原厂也应报名，并在报名文件中说明采用代理的原因；二、报名文件应按照“报名文件清单”要求的先后顺序制作。
三、报名文件语言应为中文，如果原件为英文（或其他语言）版文件，须同时提供中文版翻译文件；中文版翻译文件与原英文（或其他语言）版文件存在不一致或存有歧义的，以中文版为准。
四、报名文件中除单独要求盖章的文件外，其他内容可以盖骑缝章；五、报名文件应包括：1个PDF格式的《供应商报名文件》和1个EXECL格式的《供应商报名表》;报名文件不得为压缩文件、下载链接;也不可分拆为多份文件、多个压缩包或多个邮件;六、（略）址为：（略）
https://（略），“业务公告”-
“征集公告”本采购项目栏目内；同时，还应同步进行电子邮件报名，邮箱：（略）
七、在报名审核及后续采购工作程序中，我行集中采购部门如认为必要，可安排对供应商进行实地考察；八、我行收到报名材料后，将在2个工作日内通过邮件回复“报名成功”，供应商不需要电话确认；但报名成功并不表示我行通过其资格审核，或接受其参与本项目的采购工作；且我行有权对供应商报名审核结果不做任何说明；
九、我行禁止近三年内存在强迫或强制劳工等违反社会责任的供应商参与我行采购业务。
十、报名审核通过后，我行将根据项目进度通过电话或邮件通知进行技术交流；未通过审核的，不另行通知；十一、供应商应确保报名文件内容真实、准确、完整。如有虚假信息，或无正当理由不参加技术交流的，我行将取消其报名资格、记入供应商诚信档案并限制其后续参加我行采购项目；十二、我行集中采购部门（团队）对供应商提交的报名信息承担保密责任。
十三、所有报名供应商均视为已无保留地同意我行在采购业务范围内使用其报名信息。
十四、在供应商报名审核及后续技术交流等工作中，我行不收取任何费用。
（略）
（略）已仔细阅读并完全理解上述《报名须知》的全部内容和要求,承诺接受并遵守本须知的各项要求。
企业名称：（略）
报名材料二：
承诺书
（略）：为了保证采购工作的公平、公正、公开，以及与贵行建立平等互利、长期稳定共赢的业务合作关系，我公司郑重作出以下承诺和声明：一、我公司充分了解国家有关反洗钱、反不正当竞争、反商业贿赂、招标采购及绿色采购等法律法规；充分理解贵行采购制度和程序的严肃性；在采购活动中，将严格遵守以上相关法律法规及贵行制度的规定。
二、我公司自成立至今，公司实际控制人、主要负责人、法定代表人、（略），没有从事过通过各种方式：（略）
三、我公司承诺严格按照“廉洁守法、诚实信用”原则与贵行开展采购活动，坚决杜绝以下（包括但不限于）各类违法违规行为：1.围标串标、单独或与一致行动人共同操纵、影响采购活动；2.单独或伙同采购单位：（略）
票、股权、债券、期权、各种有价证券及支付凭证、艺术品及不动产等各种资产；5.支付、报销应由采购人：（略）
7.为采购人：（略）
四、我公司承诺在提高集约化管理水平、推行绿色办公等减少资源环境损耗，以及维护职工职业健康与合法权益等方面履行社会责任；近三年内不存在强迫或强制劳工等违反社会责任的情形。
五、我公司在与贵行合作中，如果出现上述违法、违规行为，（略）的处理，包括但不限于：警告、禁用、退出、扣罚保证金、列入本行或行业诚信档案等；如对有关处理意见持有异议，将按照贵行规定程序提出复议。涉嫌违反国家法律法规的，按照国家相关法规执行。
六、我公司完全理解贵行关于供应商资料的全部内容和要求，并承诺严格按照贵行要求提供各项供应商资料。
七、我公司承诺向贵行提供的各项供应商资料是真实、准确、完整和有效的。（略）提供的资料存在瑕疵，（略）参与采购项目的资格,并记入供应商诚信档案。
八、我公司承诺配合贵行就上述资料的真实性、准确性、完整性和有效性进行调查和考察，并根据贵行需要及时补充相关资料。
特此承诺
企业名称：（略）
法定代表人（负责人）签字：
年月日
报名材料三：
业务代表授权书
（略）：
（略）工作人员
先生/（略）对贵行的业务代表，（略）与贵行开展采购业务及其他银行业务的工作联络，递交或接收相关文件。本授权有效期1年，自年月日至年月日。（略）变更业务代表，将重新向贵行提交业务代表授权书，（略）中进行变更。
（略）业务代表基本信息：
姓名性别所在部门职务手机邮箱：（略）
授权单位：（略）
法定代表人（负责人）签字：
业务代表（被授权人）签字：
年月日
报名材料三（附件）：
（企业全称）
业务代表身份证复印件粘贴处（企业盖章）
报名材料四：企业法人营业执照
报名材料五：
企业社保缴纳证明
1.本证明是指：通过企业所（略）人力资源和社会保障部门“（略）”下载的，本单位：（略）
其具体形制（样例）如下：
（略）社会保险个人权益记录（单位：（略）
个人权益记录
专用章
校验码：
sk3
（略）：22316
查询日期：2019年03月至2019年03月
名称：（略）
（略）
（略）：
9111P
单位：（略）
统一社会信用代码
(组织机构代码)：
9111XP
单位：（略）
企业
隶属关系：
其他
2019年03月
养老保险：
227
人医疗保险：
227
人
缴费人数
失业保险：
227
人工伤保险：
227
人
生育保险：
227
人
养老保险
2019年03月至2019年03月
缴费情况
医疗保险
2019年03月至2019年03月
缴费情况
2019年03月至2019年03月
失业保险
缴费情况
2019年03月至2019年03月
工伤保险
缴费情况
2019年03月至2019年03月
生育保险
缴费情况
备注：1、如需鉴定真伪，请自2019年05月19日起30日内通过登录http:/（略）.cn/csibiz/,
进入“我要验证个人权益记录”，（略）进行甄别，黑色与红色印章效力相同。
2、为保证信息安全，请妥善保管个人权益记录。
（略）
日期：
年月日
第1页（共1页）
2.企业委托第三方代为缴纳社保的，应提供与第三方签署的委托合同，以及最近一期支付给第三方的付款记录。
报名材料六：本项目涉及的行业资质证明
报名材料七：
企业及竞争能力介绍（请按照下列顺序和内容逐一应答）一、企业基本概况（一）企业经营发展历史；（二）企业控股股东或实际控制人基本情况；（三）企业董事、监事及高级管理人员基本情况；
姓名职务出生年月国籍职称学历任职经历
（五）（略）、分公司及办事处名录；二、企业关键业务资源（一）企业核心技术（二）特许经营权情况（三）企业人员状况
按岗位结构人数占比按教育程度人数占比
管理人员博士研究生
财务人员硕士研究生
技术人员本科
销售人员大专
生产人员其他
其他-
合计合计
三、企业业务概况
（一）主要业务介绍（二）主要产品/服务
应用领域产品类别产品明细主要特点产品图示
四、企业竞争环境
（一）企业所在行业发展现状及竞争格局（（略）名称：（略）
（一）企业目前销售政策能否与我行直接签署合同（二）如果企业目前销售政策不能与我行直签，只能通过代理商签约，请就以下情况说明：1.不能直签的原因；2.对代理商的管理方式：（略）
（一）本项目竞争优势；1.管理团队和技术团队的优势2.设备、技术的优势3.企业供应链优势4.其他优势（二）银行业同类项目的技术方案或实施方案（最多不超过三个）
报名材料八：案例合同（首页及签章页）或成交证明文件
报名材料九：最近两年审计报告（可不含附注）或财务报表
报名材料十：其他相关材料
供应商报名表（请在（略）域填列，不得修改与合并任何单元格）
一、（略）核心业务或产品50字以内
企业类型（工商登记）上市地点：（略）
注册地址：（略）
注册资金(折人民币)增值税一般纳税人/（略）核心业务的行业地位/市场份额50字以内
分支机构数量在本企业缴纳社保的员工人数
二、联系方式：（略）
三、获奖情况获奖名称：（略）
--
--
--
四、股权信息股东名称：（略）
-
-
-
-
-
五、财务信息指标（合并口径）/年度本年最近一个月最近三年（由近到远排序）-
20**年20**年20**年
总资产（万元）-
净资产（万元）-
销售额（万元）-
净利润（万元）-
总资产利润率（保留小数点后两位）-
资产负债率-
经营活动现金流量净额（万元）-
期末现金及现金等价物余额（万元）-
期末货币资金占流动资产比例-
近三年同类项目主要合作案例（应与报名文件提交的材料相互对应）
客户名称：（略）
中信银行（总分支级别）
其他银行或金融机构（总分支级别）
非金融类客户
原文图片下载1