中国农业发展银行开源管理体系建设和治理咨询项目潜在供应商征集公告
2026-03-26
北京 招标采购
中国农业发展银行开源管理体系建设和治理咨询项目潜在供应商征集公告
北京-2026-03-26 00:00:00

中国农业发展银行开源管理体系建设和治理咨询项目潜在供应商征集公告

中钢招标有限责任公司受中国农业发展银行的委托,现对中国农业发展银行开源管理体系建设和治理咨询项目市场调研阶段进行潜在供应商征集,具体内容如下:

一、采购单位

中国农业发展银行

二、采购项目名称

开源管理体系建设和治理咨询项目

三、采购内容

详见附件

四、潜在供应商要求

*.中华人民共和国境内合法注册的独立法人,具有独立承担民事责任的能力;

*.具有良好的商业信誉和健全的财务会计制度;

*.近三年内,在经营活动中没有因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额(***万元及以上)罚款等行政处罚;

*.未被信用中国网站列入失信被执行人和重大税收违法失信主体、未被中国政府采购网网站列入政府采购严重违法失信行为记录名单;

*.近1个自然年内未有监管部门问题通报;

*.报名材料递交。本项目仅接受邮件递交电子报名材料,电子报名材料一份。

递交时间:*****************:**

递交方式:邮件发送电子版报名文件

报名邮箱:***********@******.***

五、递交材料:

*.营业执照(扫描件);

*.上述四、潜在供应商要求项目需求书要求的相关资质证明材料;

*.供应商认为有必要提供的其他材料;

*.代表供应商参与本项目的联系人、联系电话、单位邮箱,以及公司授权说明文件、授权人身份证明复印件等材料;

以上材料均需加盖单位公章。

注:

*)以上报名材料均须加盖单位公章,形成一份完整的电子版文档(***格式)。

*)以上报名材料发送邮件时须注明报名项目名称。

*)采购人接收报名并不表示接收供应商参与本次项目后续采购等工作,且采购人有权对供应商征集结果不做任何说明。

本项目其余相关信息均在中国招标投标公共服务平台中国采购与招标网金采网中钢招标有限责任公司官网媒体上发布。

代理公司联系人及电话

代理机构:中钢招标有限责任公司

址:北京市海淀区海淀大街*号中钢国际广场

项目联系人:梁爽

话:************

电子邮箱:***********@******.***

*******


附件:

中国农业发展银行开源管理体系建设和

治理咨询项目服务供应商征集主要需求

一、服务内容要求

本次开源管理体系建设和治理咨询服务内容为在协议时间内提供开源软件管理机制建设、存量开源软件治理、开源治理平台建设、开源治理专家驻场服务等。具体需求包括:

需求项

需求内容

开源软件管理体系和机制建设

安全、合规、高效为基本原则,结合开源治理方法论,从岗位职责、制度体系、生命周期流程管理、存量治理、工具平台建设等方面构建开源治理体系。

*.调研分析开源治理现状

通过文件查阅、平台工具查看、人员访谈、开源资产管理记录查看等方式调研农发行开源治理现状,对照《金融业开源软件应用 管理指南》等国家及行业标准规范及监管部门要求进行差距分析,形成差距分析报告。

*.建立开源软件管理岗位职责

依据《金融行业开源软件应用 管理指南》等标准和同业良好实践,结合农发行信息科技管理特点和开源技术应用及管理现状和治理需求,形成开源管理机制和岗位角色体系,设置明确的开源治理职责分工,将开源治理的工作和责任具体落实到岗位。

*.开源软件管理制度完善

①建立健全开源软件全生命周期管理细则

梳理分析开源技术及开源软件应用和管理现状,参照《金融业开源软件应用 管理指南》《金融业开源软件应用 评估规范》等标准和同业实践,对开源技术进行分类分级差异化管理。管理流程包含:

*)开源软件引入管理流程

按照分级分类思路,形成开源软件差异化引入流程,明确引入申请、引入评审、软件入库、清单登记等各环节工作职责及责任部门,实现增量开源软件的有效管理。

*)开源软件使用管理流程

对开源软件的下载使用提出管理要求,实现开源软件制品的统一纳管,为各研发部门使用开源软件统一下载源头,建立开源软件使用台账,做到开源软件、应用系统及责任人的关联,实现开源软件风险的快速追踪及定位。

*)开源软件持续评估管理

在开源软件运维阶段,建立持续跟踪开源软件安全风险、许可证风险、社区风险、停服风险、供应链风险等相关信息的机制,完善风险识别、记录、下发、处置、跟踪的管理流程,实现开源风险及软件物料清单(****)的持续更新。

*)开源软件退出管理

建立开源软件退出机制,实现开源软件在出现不可修复的重大安全或合规风险、停服或无系统使用等突发情况时的有效退出。

*)供应商管理

针对外包开发和购买商业解决方案在机构业务系统构建中占据比重较大的特点,制定针对外包商和供应商的开源治理措施,要求外包商和供应商提供开源组件清单和漏洞清单。

②开源软件管理和治理操作标准。

在引入、使用、持续评估、退出等环节进行安全风险、法律合规风险、知识产权风险、技术风险等的管控,结合研发体系设计相关管控节点,明确开源软件管理各环节评估和管控具体内容,形成操作标准,通过黑白名单等管理方式,从源头和过程中确保开源软件的安全引入和合理应用。

存量开源软件治理

*.梳理识别盘点存量开源软件资产

通过专业工具+人工全面识别盘点农发行当前服务器和终端存量开源软件资产情况,对比开源知识库进行数据清洗,补充完善开源软件基础信息,形成较为完整准确的机构存量开源软件资产清单和应用台账。

*.存量开源软件风险分析

结合信息系统重要程度、开源软件依赖方式、风险暴露方式和机构安全合规风险管控要求,对存量开源软件的安全漏洞、许可证、版本风险进行分析评估,提出风险处置优先级建议,形成存量开源软件风险清单。

*.制定存量开源软件治理工作方案

根据存量开源软件风险分析结果和影响范围,结合处置优先级提出安全和合规风险处置措施,对高风险开源软件进行升级或替换,对冗余开源软件进行退出,形成存量开源软件分期分批治理工作方案,逐步收敛开源软件版本,减少开源软件应用风险,降低开源管理成本。

*.开源组件漏洞排序

可结合****评分、漏洞利用方式、利用成熟度、互联网暴露面(内网/外网)以及威胁情报中漏洞相关信息,对现存开源组件安全漏洞风险等级进行综合排序。

开源治理相关工具平台功能需求

承接开源软件管理机制的各项管理要求,重点围绕开源软件/组件生命周期流程管理和安全合规管理需求,通过建设开源治理平台或优化现有系统功能,支撑开源软件生命周期管理、台账管理、安全和合规风险管理等日常运行需求。服务商应根据农发行岗位职责、开源制度等实际情况,提供相关平台功能需求。

*.开源软件及组件全生命周期管理

开源软件及组件的引入、使用、维护到退出的全生命周期管理功能,确保开源软件在各个环节中的合规性和安全性。通过全生命周期的管理,有效控制开源软件的使用风险,确保其在信息系统中的合理应用。同时有助于提升开源软件管理效率,降低因开源软件使用不当带来的合规风险。

*.开源软件清单台账管理

建立全面的开源软件及组件应用线上台账,记录软件及组件的详细信息及其对应的信息系统,清晰掌握开源资产的使用情况。通过台账管理实现对开源资产的精细化管理,快速定位风险影响范围。具体功能包括基本信息登记、资产分类、定期盘点、多维度查询等。

*.开源软件商店功能

提供开源基础软件和开源工具的查询、软件信息展示、推荐版本管理等功能,并建立软件与产品、项目的关联关系。对接行内已有渠道提供可信开源软件下载。

金融业开源软件可信中心仓订阅服务

提供开源软件安全风险识别、许可证合规风险识别、产品活跃度、产品认可度、社区风险、行业支持情况、功能特性及供应链风险识别等的查询订阅服务,提供稳定、可信开源软件下载源,减少开源软件引入评估工作量。

该项服务期限为*年,需提供支持****等常见开发语言的订阅服务,提供相应服务接口并定期更新以上内容。

开源治理专家技术支持服务

专家需具备开源软件管理、开源组件管理等方面专业知识,拥有*年以上金融行业开源治理相关实施和技术支持工作经验。该项服务期限为*年。

*.开源许可证分析服务。依据开源软件的使用方法,结合项目场景,提供开源许可证分析服务,确保农发行开源软件应用场景符合许可证条款要求。

*.开源软件安全风险处置服务

*)市场上出现的最新漏洞,最新发布的开源软件漏洞,以及最新的应对策略,定期提供给行内相关人员。

*)可结合***扫描工具,分析实际资产/业务中开源漏洞的可达性,结合资产/业务价值、存量治理工作中对开源漏洞等级的排序情况以及是否为**及攻防常用组件漏洞等信息,对开源漏洞级别进行场景化判定与排序,并根据实际情况开展定制化检查服务,对结果进行人工分析及复核,提供准确的安全漏洞信息,避免安全误报。

开源管理和治理培训服务

提供开源标准解读、开源软件管理、开源许可证合规管理培训,培训次数不少于*次。通过课程培训,提升农发行开源治理人员管理技能,实现开源治理工作的快速落地。课程包含:

*)开源制度宣贯、开源技术全生命周期管理、开源安全及合规风险与应对、开源许可证解析;

*)开源政策文件标准规范解读等;

二、资质及能力要求

1、供应商必须是中华人民共和国境内合法注册的独立法人,具有独立承担民事责任的能力。

2、近*个自然年内,服务商在经营活动中没有因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚。

3、服务商未被“信用中国”网站列入失信被执行人和重大税收违法案件当事人名单、未被“中国政府采购网”网站列入政府采购严重违法失信行为记录名单。

4、服务商近1个自然年内未有监管部门问题通报。

三、材料及格式要求

1、案例要求。提供近三年(****年*月*日至今)参与本项目同类型服务合同案例,包括:采购合同首页、合同服务内容、甲乙双方盖章页。上述材料如果为复印件,需要加盖原厂商公章,如果提供的材料为多页,还需要在每页加盖骑缝章。案例范围包括以下银行总行:中国人民银行;中国农业发展银行、国家开发银行和中国进出口银行;列入系统重要性银行的国有大型银行,包括中国工商银行、中国银行、中国建设银行、中国农业银行、交通银行、中国邮政储蓄银行;股份制商业银行,包括招商银行、浦发银行、中信银行、中国光大银行、华夏银行、中国民生银行、广发银行、兴业银行、平安银行、浙商银行、恒丰银行、渤海银行;城市商业银行,包括宁波银行、上海银行、江苏银行、南京银行、北京银行。

2、其他材料要求。提供供应商参与本项目的联系人、联系电话、单位邮箱,针对联系人参与本项目的授权书(加盖公章),授权人身份证明复印件等材料。

微信客服
公众号
小程序