中信银行“DevSecOps安全开发体系升级项目”供应商征集公告

中信银行“DevSecOps安全开发体系升级项目”供应商征集公告

根据我行业务需求，现开展中信银行DevSecOps安全开发体系升级项目项目供应商公开征集工作。凡符合本公告要求的企业均可自愿报名，并提交相关证明文件和材料。具体情况如下：
一、（略）：2024-ZJZH-004
二、项目名称：（略）
三、项目地点：（略）
四、项目内容
为提升研发全过程安全质量管控能力，对中信银行安全开发体系实施全面升级。供应商应能够提供体系升级的相关支撑服务，相关服务内容应覆盖瀑布式开发模式与敏捷开发模式，应符合金融行业SDL和DevSecOps最佳实践理念。主要工作如下：
1．安全开发体系评估
通过梳理行内制度、流程、规范、工具等材料，并借助调研、访谈、专题讨论等方式：（略）
2．安全开发体系建设
（1）根据差距分析结果进行安全开发管控体系升级规划设计。
（2）工作组织形式和责任压实：制定详细的组织结构图，明确开发团队和安全团队的安全角色和职责。完善工作流程和责任矩阵，确保职责清晰。
（3）安全左移流程机制的全面落地：开展流程和工具评估，结合差距分析结果明确适用安全左移流程的安全需求分析、安全设计、安全开发、持续集成和自动化安全测试工具等优化内容。提供工具优化需求，协助行方完善工具并完成验收，确保全面满足安全左移的要求。
（4）安全开发知识库建设：结合金融行业制度规范及行内实际业务场景梳理分析监管合规要求，形成一套可落地的闭环的条目化的安全需求、安全设计、安全测试和安全编码等方面的知识库，设计知识库的持续更新机制，确保涵盖金融行业最新的安全威胁和防护技术，提高全员的安全能力和意识，将行业最佳实践在行方研发过程管控体系中全面落地。
（6）度量和评价：结合可信研发及运营安全能力成熟度模型、研发运营一体化（DevOps）能力成熟度模型、OWASPDevSecOps成熟度模型等国内外权威评估模型辅助行内对于DevSecOps安全开发体系进行度量、评价与认证。
（7）文化建设和意识宣贯：结合差距分析结果以及行内实际情况开发定制的培训课程，覆盖安全形势认识、安全左移理念和具体实践技能，并对管理人员、安全人员、开发人员、测试人员分场景分对象制定不同的培训内容，以结果为导向，使全员提升安全主体意识，深入理解、认同和践行全员全过程的安全理念。
3．针对2个试点项目，进行安全开发体系落地辅导。
（1）针对试点项目，通过分析需求规格说明书等设计文档，进行安全需求分析。包括但不限于：
①威胁识别和风险定级；
②结合需满足的政策条例，梳理需满足的安全要求；
③形成安全需求说明文档。
（2）针对试点项目，通过分析设计文档，进行安全设计。包括但不限于：
①（略）进行攻击面分析、威胁建模；
②结合安全需求，输出安全设计方案。形成安全设计文档。
（3）针对试点项目，对开发测试阶段进行安全跟踪，包括但不限于：
①针对开发过程中的某一稳定版本，采用自动化工具和人工审查的方式：（略）
②针对测试过程中，采用自动化工具实现安全测试，同时针对安全需求关联的相关测试用例实现需求验证闭环，最终输出安全测试报告与安全需求验证结果报告。
4．（略）建设规划需求
服务提供方在安全开发管控体系评估及建设阶段，需要提出安全开发管控工具建设规划，（略），提出优化改进需求，并协助行方完成验收，推进安全开发工具体系的完善。
5．辅助安全开发体系全面推广
服务提供方需要根据行内工作目标和计划，辅助行方对升级后的安全开发体系进行全面推广（（略）），结合安全开发体系建设目标要求，评估是否符合推广准出条件，并在推广验收过程中总结经验和不足，形成能力成熟度评估报告和安全开发体系未来三年建设规划报告。
6．项目总结
根据行内需求提供项目相关安全知识培训服务、试点推广各阶段工作启动材料和总结报告、能力成熟度评估报告和安全开发体系未来三年建设规划报告等。
五、供应商资质要求
（一）基本资质
1.投标人必须在中国境内注册，具备独立的法人资格，成立时间不少于5年，持有合法的营业执照；
2.企业运营正常、财务状况良好；
3.投标人未被列入“信用中国”网站（（略）.cn）、“失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为”记录名单。
（二）产品资质及服务要求
1.具备央行、国有大型商业银行、（略）至少有一个SDL或DevSecOps体系设计、安全开发咨询方面的服务案例经验，并提供有效证明材料。
2.团队成员应在SDL或DevSecOps体系设计、安全开发咨询方向上具有相关优秀实践案例和经验。
五、交付物要求
根据甲方要求，需要准备包括但不限于以下交付物，详细要求如下：
阶段
成果文件
准备阶段
1.项目实施方案
2.项目实施计划
安全开发体系评估阶段
1.安全开发现状调研表
2.安全开发访谈总结报告
3.安全开发体系差距分析报告
安全开发体系建设阶段
制订或修订：
1.安全开发体系建设实施方案
2.安全开发工作流程和责任矩阵
3.安全开发安全管理办法
4.安全漏洞管理办法
5.开发测试环境安全管理办法
6.开源组件安全管理方法
7.新技术引进安全评估指南
8.安全开发工作实施细则
9.安全开发管控等级评定指南
10.源代码漏洞等级评定指南
11.安全需求分析指导手册
12.安全设计指导手册
13.代码安全审计指导手册
14.（工具及非工具）渗透测试指导手册
15.漏洞扫描指导手册
16.安全开发工具规划建议
17.安全开发知识库
试点阶段
1.试点工作方案
2.试点项目安全管控等级评估模型说明
3.试点项目安全需求分析文档
4.试点项目安全设计文档
5.试点项目开源组件审计和代码审计报告
6.试点项目安全需求验证测试报告
推广阶段
1.项目推广工作方案
2.安全意识培训课件
3.威胁建模培训课件
4.安全需求培训课件
5.安全设计培训课件
6.安全编码培训课件
7.安全测试培训课件
8.安全体系培训课件
9.项目推广总结报告
10.安全开发能力成熟度评估报告
11.安全开发体系未来三年规划报告
六、其他要求
1.在约定的价格有效期内，若乙方产品价格水平、折扣幅度或其他价格政策发生更有利于甲方的调整，该更优惠的价格政策自动适用于甲方，甲方有权按照该更优惠的价格政策采购乙方产品。乙方有义务及时、主动告知甲方该种价格调整。
2.如乙方响应产品停产或因其他不可抗力而不能向甲方供货，乙方承诺将提前1个月通知甲方，并向甲方提供经甲方同意的技术能力、性能不低于约定产品的替代品，且价格不高于投标的产品价格。
3.乙方提供给甲方的采购价格适用于甲方（包括甲方分行、支行、全资及控股的企业）的全部采购（包括零星采购和批量采购）。乙方产品价格与甲方采购数量无关。
4.如因国家税务政策调整，造成税率变化的，乙方应保持产品净值不变，产品税率随国家政策调整而调整。
5.乙方应提供明确的售后服务方案。
七、报名资料
按照报名模板文件制作报名材料，包含EXECL版《供应商信息登记表》及PDF版本的报名文件（（略）径：（略）https://（略），“业务公告”-“征集公告”本采购项目栏目内）。
八、报名资料提交方式：（略）
1.报名文件及邮件的标题为：（略）-XXX公司；
2.（略）址为：（略）https://（略），“业务公告”-“征集公告”本采购项目栏目内；同时，还应同步进行电子邮件报名，报名文件应在15M以内。
九、报名截止时间：2024年2月29日
十、相关说明
1.上述内容为我行采购相关工作的初步安排，具体采购项目情况以相关采购公告或采购文件为准。
2.收到报名材料后，我行将在2个工作日内通过邮件回复“报名成功”，供应商不需要电话确认。
3.报名成功并不表示我行通过其资格审核。我行有权对供应商报名审核结果及参与后续项目的采购工作不做任何说明。
4.供应商提交资料中如有虚假信息，我行将取消其报名资格、记入供应商诚信档案并限制其后续参加我行采购项目。
5.其他内容详见《供应商报名文件》中的“报名须知”。
十一、联系人：（略）
业务咨询：张老师（略）
（略）@citicbank.com
项目报名：谭老师（略）
（略）@citicbank.com

附件：1.供应商报名文件
2.供应商报名表


（略）
2024年2月6日