一、项目名称：2025年勒索病毒安全事件演练服务采购项目 
二、采购内容简介

本次采购20人天的现场服务，具体需求如下：

（一）服务内容及要求

1.技术需求：

（1）要求从互联网侧进行渗透，发现安全漏洞并对该漏洞是否可以利用进行文件上传进行验证，或以社会工程学的方式植入勒索病毒程序。

（2）要求制作有勒索病毒特征的恶意文件，用户电脑感染勒索病毒后会被加密，导致重要资料无法使用，对文件进行加密后能够解密。

2.演练阶段要求：

模拟演练服务主要分为三个阶段，包括演练准备阶段、演练实施阶段和演练收尾阶段。在准备阶段提供演练计划咨询、演练方案设计撰写与修订、演练前培训等工作。在演练实施和收尾阶段提供全程化的指导与咨询。具体内容如下：

3.售后服务：

（1）对勒索病毒演练中获取北京农商银行员工信息、系统防护体系等材料，严格保密，活动结束后及时销毁，不得留存。服务期内不得违法收集我行及其他机构敏感信息，不得散布关于我行的任何敏感信息；

（2）需设有24小时服务热线，并对我行所反映的问题于2小时内响应；对需现场支持的事项，达到现场时间应小于4小时；

（3）勒索病毒演练服务报告：勒索病毒演练活动结束后，即时出具勒索病毒演练服务报告，包括勒索病毒活动期间的整体情况总结、分析被勒索用户的行为、定制化提供整改建议等内容。

（二）服务期限：自合同签订之日起现场服务满20人天。

（三）工作模式

采用现场服务方式。

（四）项目实施人员资质要求

3年以上安全防护工作经验，具有信息安全相关的资质证书。安全资质证书符合如下之一：CISP、CISP-PTE、CISP-IRE。

（五）项目验收要求：乙方根据服务范围和进度将各阶段的提交成果（或过程性材料）提交甲方审查、检验或测试。若甲方指出存在的问题和修改意见，乙方应根据甲方意见并经双方充分讨论达成一致，对相应的提交成果（或过程性材料）进行修改，直到得到甲方的同意。

（六）付款方式

服务商提供项目实施各阶段文档和成果交付物，我行验收通过后一次性支付合同总价的100%。如存在扣款项，按照合同约定进行扣款。

三、意向供应商资质要求及提交材料要求

（一）供应商资质要求

1.具有独立承担民事责任的能力。

2.具有良好的商业信誉和健全的财务会计制度。

3.具有履行合同所必需的设备和专业技术能力。

4.有依法缴纳税收和社会保障资金的良好记录。

5.最近三年内，在经营活动中没有重大违法记录。

6.法律、行政法规规定的其他条件。

7.公司具有为同业提供勒索病毒安全事件模拟演练或处置服务的成功案例（需同时提供案例名称、合同关键页扫描件）。

8.本项目不接受代理商报名。
　　（二）提交材料内容

1.供应商自荐表需提供盖章扫描件及Word可编辑版。

2.在“国家企业信用信息公示系统”、“信用中国”系统提供查询结果(截屏盖章），包括不限于经营异常、行政处罚、变更记录、重大税收违法失信情况等。

3.提交加盖单位公章的载有统一社会信用代码的营业执照，材料需为PDF格式文件。

4.公司具有为银行同业提供勒索病毒演练服务的成功案例（需同时提供案例名称、合同关键页扫描件，提供的案例须是2022年1月1日以来签署的案例。）

5.提交加盖单位公章的能证明满足供应商资质要求的文件。

（三）提交材料要求
　　1.邮件主题：项目名称+公司名称；邮件主题、正文、附件中不能含敏感字。
　　2.邮件正文中要写明公司的联系人姓名、手机号、邮箱。
　　3.须以传统方式黏贴附件，不能发云附件；发送的附件（压缩文件、文档等）不得设置密码或编辑权限；单个邮件大小控制在50MB以内（如果超限，可分几个邮件发）。
　　4.报名资料未按要求提供或提供不全的情况，采购人将拒绝其报名。

5.采购人视收到的上述材料不涉及商业秘密。

6.采购人可能根据项目情况取消采购，供应商应予接受。

7.不接受联合体参与报名，不得以任何形式转包或分包。

8.前来报名的供应商应保证所提供材料的真实合法性，并由此承担法律风险和赔偿责任。采购人保留对相关材料进一步核实的权利，如发现提供虚假材料的供应商，采购人将取消其本次及以后的报名资格。

四、征集期

自2025年6月16日起至2025年6月20日止。

请在规定时间内参与报名，截至报名日期后我行将不再接受任何形式的申请材料。
    联系人及电话：宋老师 58727335
　　邮箱地址（专用）：xinxjsh_shangwu@bjrcb.com

                                                      北京农商银行

2025年6月16日