97国产精品视频|欧美国产偷国产精品三区|在线欧美成人网站网址|亚洲在线色情日本无码视频网|高潮喷水在线日韩精品操|真真操逼视频国产免费啪啪片|超大波少妇欧美亚洲精品日韩一区|久久视频精品91午夜视频|亚洲无码成人动漫精品一区二区|中文字幕久久成人

中國建設(shè)銀行移動APP外部評估服務(wù)采購需求說明書一、概述甲方中國建設(shè)銀行股份有限公司（以下簡稱“建行”）將向乙方采購移動APP安全管理規(guī)范評估服務(wù)，以滿足金融行業(yè)客戶端軟件的安全合規(guī)要求，按計劃開展移動金融客戶端應(yīng)用軟件的年度外部評估工作。本工作任務(wù)說明書定義乙方為甲方提供的服務(wù)內(nèi)容、服務(wù)要求及雙方在服務(wù)進程中的責任。二、服務(wù)采購列表1要求乙方按以下要求給出相關(guān)報價：服務(wù)項目技術(shù)支持響應(yīng)時間服務(wù)對象報價折扣率（OFF）最終價格提供移動APP三端（安卓/iOS/鴻蒙）的檢測評估服務(wù)，包括檢測、認證、備案及證書制作等服務(wù)7*24小時移動APP應(yīng)用三、服務(wù)目標甲方通過采購乙方專業(yè)、成熟的檢測認證服務(wù)，評估甲方移動APP產(chǎn)品能夠滿足中國互聯(lián)網(wǎng)金融協(xié)會發(fā)布的移動金融客戶端應(yīng)用軟件備案外部評估要求，主要包括：1《移動金融客戶端應(yīng)用軟件安全管理規(guī)范》（JR/T0092-2019）的全部要求，即金融科技產(chǎn)品認證（客戶端軟件）包含的內(nèi)容；2《個人金融信息保護技術(shù)規(guī)范》（JR/T0171-2020）要點；3關(guān)于金融行業(yè)貫徹《推進互聯(lián)網(wǎng)協(xié)議第6版（Ipv6）規(guī)劃部署行動計劃》的實施意見（銀發(fā)[2018]343號）要點；4《信息安全技術(shù)個人信息安全規(guī)范》（GB/T35273-2020）要點；5《App違法違規(guī)手機使用個人信息行為認定方法》要點；6《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》要點。具體應(yīng)以檢測前移動金融客戶端應(yīng)用軟件備案管理系統(tǒng)（https://finappnifaorgcn）最新發(fā)布為準，最終交付金融科技產(chǎn)品認證結(jié)果（即認證證書）和其他項目測評結(jié)果。四、服務(wù)商要求1乙方必須為由國家認證認可監(jiān)督管理委員會認可的具有金融科技產(chǎn)品認證資格的認證機構(gòu)和檢測機構(gòu)；2乙方應(yīng)具有豐富的安全評測經(jīng)驗，能夠提供規(guī)范的信息安全服務(wù)，工作過程中的過程和文檔具有良好的規(guī)范性，在檢測過程中遵循行內(nèi)相關(guān)的工作規(guī)范和要求；3乙方應(yīng)具備足夠的評估服務(wù)人力資源，能夠并行開展評估實施服務(wù)，同時確保項目組成員工作的穩(wěn)定性，保證項目在計劃期限內(nèi)按時保質(zhì)完成；4根據(jù)實際項目需求，乙方可能涉及出差至產(chǎn)品研發(fā)歸屬地提供現(xiàn)場檢測認證服務(wù)，具體將由甲乙雙方根據(jù)實際情況協(xié)商確認；5針對檢測出的待整改問題，乙方需提供具有可行性的整改建議并協(xié)助甲方完成問題復測；6乙方需對甲方提供服務(wù)的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人。五、服務(wù)工作范圍1工作內(nèi)容外部評估服務(wù)主要包括以下內(nèi)容：?乙方受理甲方的客戶端軟件外部評估需求，依據(jù)中國互聯(lián)網(wǎng)金融協(xié)會最新的相關(guān)標準和要求，對甲方進行金融客戶端應(yīng)用軟件的檢測評估工作，并交付符合驗收標準的檢測報告；?乙方根據(jù)前期對甲方需求的了解，制定合理的安全測試方案，明確檢測人員、實施階段以及具體實施要求；?協(xié)助配合甲方確認發(fā)現(xiàn)問題列表、核對分析整改方案、整改情況驗證、整改結(jié)果匯總等工作；?依甲方需求制定相應(yīng)的測試里程碑計劃，跟蹤檢測過程風險進度，組織建立檢測相關(guān)方的溝通機制。2實施方式包括但不限于問卷調(diào)查、人員訪談、文檔查看、自動掃描、手工核驗。?問卷調(diào)查?在項目啟動前，由乙方發(fā)起通過一組相關(guān)的封閉式或開放式問題組成的問卷調(diào)查，用于在評估過程中獲取客戶端軟件在部分檢測項的安全狀況，判斷是否需要更詳盡的風險評估。?人員訪談?檢測評估開始前由乙方發(fā)起甲方相關(guān)人員的業(yè)務(wù)訪談與溝通事項，獲取相應(yīng)信息驗證，初步了解甲方客戶端軟件的基礎(chǔ)情況。?文檔查看?乙方應(yīng)查看最新政策法規(guī)、指導性文檔等策略文檔要求，甲方根據(jù)乙方的需求配合提供客戶端軟件的用戶手冊、系統(tǒng)設(shè)計和需求文檔等材料，協(xié)助了解業(yè)務(wù)系統(tǒng)現(xiàn)有的安全控制措施。?自動掃描?乙方在檢測評估過程中應(yīng)通過自研及業(yè)內(nèi)通用的安全自動化掃描工具軟件輔助進行安全評估工作，提高安全風險評估效率。?手工核驗?乙方在檢測評估過程中應(yīng)以手工測試為主結(jié)合自動化掃描的方式對可能導致用戶敏感信息泄露、應(yīng)用安全漏洞、個人信息違規(guī)等風險點進行評估。3實施周期?乙方需根據(jù)甲方項目需求及截止時間要求，在項目啟動階段、測試準備階段、初次測試階段、整改建議階段、問題整改階段、整改復審階段、報告編寫階段、項目驗收階段制定合理的測試里程碑計劃。六、服務(wù)工作內(nèi)容及要求1前期溝通?乙方在正式項目啟動前的準備溝通階段，通過問卷調(diào)查、人員訪談、小組討論及文檔審閱等方式對甲方當前業(yè)務(wù)系統(tǒng)的基礎(chǔ)情況及安全控制措施進行初步評估；?根據(jù)實際需求，需乙方出差至產(chǎn)品研發(fā)歸屬地提供現(xiàn)場檢測認證服務(wù)，則需乙方提前確認并提交參與本次檢測認證服務(wù)的人員分工信息；2初次檢測?項目啟動后，乙方根據(jù)里程碑計劃節(jié)點進行初次檢測，檢測需依據(jù)外部評估要求的所有檢測范圍，逐項分析識別安全風險，依據(jù)業(yè)務(wù)等級重要程度綜合評估安全風險狀況并出具初次檢測報告；?檢測報告內(nèi)容包括但不限于檢測依據(jù)、檢測目的、檢測范圍、檢測