现就江门农村商业银行股份有限公司数据安全风险评估项目发布分散采购预公告。

一、本项目初步计划实现目标与内容：

为贯彻落实《数据安全法》《个人信息保护法》《金融数据安全 数据生命周期安全规范》的工作要求，我行拟围绕数据全生命周期活动过程开展数据安全风险评估工作，具体内容如下：

1.数据安全现状调研。

基于《金融数据安全 数据安全评估规范》（征求意见稿）、JR/T 0223-2021《金融数据安全 数据生命周期安全规范》等相关监管要求，针对我行整体数据安全治理现状进行调研评估。同时明确我行重要信息系统或具有业务典型性的系统，至少包括业务交易类、数据应用类、办公管理类三大场景，在三大场景中分别挑选1个具备代表性的信息系统作为评估对象（业务交易类拟选取微金融平台、数据应用类拟选取阿里云BI报表平台、办公管理类拟选取协同办公平台），系统数据安全现状调研评估着重于系统本身的数据安全管理现状、部署位置、系统数据安全情况、数据安全防护能力等。

2.信息系统数据流转路线图绘制。

编制信息系统数据流转路线图，厘清我行信息系统数据在业务场景之间转移的路线，重点关注业务合作方调用数据的场景、业务人员访问数据的场景、第三方服务人员访问数据的场景等，涉及的数据活动包括但不限于数据提取、数据获取、数据整合、数据分析、结果存储、数据下载、数据外发、结果展示等。

3.信息系统数据安全技术测试。

通过人工黑盒的测试方式，发现网络和信息系统中存在的数据安全缺陷，提供数据安全测试报告和改进建议，同时检测网络设备、操作系统、数据库和应用服务中存在的安全漏洞，提供漏洞评估报告和修复建议。

4.数据安全风险评估分析。

基于我行《江门农村商业银行股份有限公司数据分类分级管理办法》所确定的数据目录，对我行当前边界防护、数据访问控制、数据脱敏、数据安全审计、数据安全监测预警、数据加密等数据安全保护能力进行风险评估分析，判断当前的数据安全保护体系的健壮性，形成数据安全风险清单，并从数据安全管理、数据安全保护、数据安全运维等方面输出风险处置建议。根据调研内容、风险分析内容，并经过风险确认后，最终形成数据安全风险评估报告。

二、资质要求

（一）需具有相关数据安全风险评估服务的同类案例经验，提供2021年1月1日至今国内金融机构相关数据安全风险评估服务案例合同，要求合同清晰显示项目关键信息，如：“数据安全评估”“数据安全风险评估”等任意一项关键词或含同类意思表述关键词 ；

（二）不得被列入失信被执行人、异常经营名录、税收违法黑名单及政府采购严重违法失信行为记录名单，提供“信用中国”和“中国政府采购网”查询结果材料{信用中国网站（www.creditchina.gov.cn）查询（失信被执行人、企业经营异常名录、重大税收违法案件当事人），中国政府采购网(www.ccgp.gov.cn)查询（严重违法失信行为记录名单）；

三、报名要求

（一）报名信息：公司简介、联系人、联系方式（比如：手机、电话、邮箱）。

（二）提供材料：包括营业执照复印件（加盖公章）、公司介绍、同类型项目案例清单（包括销售案例与实施案例，表格形式详细列举案例名称、客户名称、项目简介、案例年份等信息）、“信用中国”和“中国政府采购网”查询结果材料。

（三）报名时间：2024年8月20日至2024年8月26日止。

（四）报名方式：将以上信息及材料发送到邮箱（jmszyhb@163.com），邮件标题格式为”江门农村商业银行股份有限公司数据安全风险评估项目分散采购预公告报名-公司名称“完成报名，稍后我行会根据贵司材料情况由项目组安排时间交流，并结合交流情况按我行采购管理要求推进相关采购工作。

（五）欢迎各潜在供应商提出合理的意见和建议，有意者可于报名截止前于每天:9:00-17：00（工作日）致电采购联系人黄先生（0750-6339252）。

江门农村商业银行股份有限公司

2024年8月20日