一、採購內容:網際網路防火牆系統汰換專案(案號:HNB-108043)
華南商業銀行股份有限公司購置定製財物投標須知
一、採購內容:網際網路防火牆系統汰換專案(案號:HNB-108043)
(採購物資品名、規格、數量及條款詳如另附之規格說明。)
二、投標資格:凡廠商執有政府核發之公司執照或公司登記證明書,公會會員證暨投標比價證明書、最近一期納稅證明及本行資訊安全部發給之合格證明書者,均可參加投標,如另有規定者從其規定並由本行全權審查。以上各種證明文件請檢附影本各一份裝入證件封。
三、押標金:(一)投標金額之 5%以上。
(二)限金融業所簽發之本行支票或同業支票,抬頭:華南商業銀行股份有限公司,開標後未得標者,所交押標金依投標人所填「退還押標金申請書」選定方式,於 5 個銀行營業日內無息發還,得標廠商之押標金留作為履約保證金,履約保證金於交貨驗收合格後無息發還。
四、索取投標須知:凡合乎上列廠商資格者,請自 108 年 10 月 5 日至 108 年 10 月 8 日於銀
行辦公時間內駕臨xxxxxxxxx000 x00 x本行行政管理部事務科領取。
五、投標:參加投標廠商應將押標金、公司執照或公司登記證明書或經濟部商業司網站查詢之公司及分公司基本資料、公會會員證暨投標比價證明書及最近一期納稅證明文件等影本、退還押標金申請書、印章印模單、切結書、授權書、合格證明書、供應商承諾書各一份連同押標金裝入「證件封」與「標單封」併裝入標封內。投標廠商應於 108 年 10 月 14 日下午 17 時前以掛號寄達台北市信義區松仁路 123 號,如有延誤,本行概不負責,經郵寄之標封,投標廠商不得以任何理由請求發還、更改或作廢。
六、開標時間及地點:108 年 10 月 15 日上午 10 時在xxxxxxxxx 000 x 00 x行政管理部會議室當眾開標。
七、開標:(一)開標時以標單中文大寫總價在底價以內之最低價為得標。兩家以上同為最低標價,應由最低標者當場以比價方式決定,投標廠商未在現場,視同自願放棄比價權利。
(二)投標廠商有下列情形之一者,其所投標單無效,但得退還已繳押標金: 1.標單未密封或未以掛號郵件交寄者。
2.標封內未附標單封或證件封或標單以鉛筆填寫或未依規定填齊者。
3.投標廠商未附全部證件影本或經審查不合格者。
4.標單所列財物名稱不符者。
5.標單未蓋與印模單相符之印章者。
6.標單未加蓋主辦單位戳章者。
7.證件封標單封未依第三條、第五條規定裝封者。
8.變更標單式樣或塗改字句者。
9.投標廠商或負責人名稱與登記執照不符者。
10.未依規定之票據、金額繳付押標金者。
11.未附切結書或切結書未經蓋章者。
12.未依規定格式填寫標單或塗改後未加蓋投標廠商(或負責人)印章、或字跡模糊不能辨認者。
13.標封或標單內另附條件者。
14.投標廠商對同一物品投有效標封二封以上者。
15.標單未以中文大寫填寫總價或金額文義不清者。
16.受停業處份或被停止投標者。
八、投標廠商或負責人,依金融控股公司暨本行規範為利害關係人或實質關係人者,於得標後仍須依規踐行相關程序後,始得訂立契約。
九、得標廠商或負責人若為本行「國內各單位辦理資恐防制及制裁作業須知」規定禁止承作對象,取消其得標資格。
十、決標後得標廠商應於接獲通知日起 2 個銀行營業日內將各項證件正本送主辦單位查驗,如影印本與正本不符,查係偽造或變造者,則取消得標資格,押標金不予發還;得標及違規者所繳證件影印本應由主辦單位保留存檔備查。
十一、得標廠商應於決標日起 7 個銀行營業日內攜帶與印模單相符之印章辦理簽訂契約手續;逾期無故不辦理簽約者,取消其得標資格,押標金不予退還。
十二、參加投標之合格廠商未達 3 家時或另有其他原因,本行得停止開標,其所投標封由廠商出據領回,並無息發還其押標金,押標金退還手續,依據第三條(二)之規定辦理,投標廠商不得異議。
十三、決標:(一)標價以總價為準,但投標廠商必須列出各項之單價,並以低於本行核定底價之最低標者得標,如最低標價超過本行底價時,得優先減價,以 1 次為限,減價後如標價仍未能達到本行底價以下時,應由在場投標廠商重新填單比價,至標價降至底價以內時決標。
(二)開標結果如 2 家之最低標價相同,而又低於本行底價時,得當場比價方式決定之,投標廠商不得異議。
(三)開標結果,各廠商所投標價均超過底價時,主辦單位為應緊急或其他需要,得當場要求最低標之廠商減價 1 次,如仍超過底價時,由各投標廠商重新比減價格,其最低價格仍超過底價者得予以決標或辦理保留手續。前項保留標,經報奉核准後,通知被保留廠商得標承辦,保留期限為自開標之日起 30 日,如逾越保留期限,始通知保留廠商承辦者,保留廠商得予拒絕,主辦單位無息退還押標金。
十四、交貨期限:依規格說明方式交貨。
十五、逾期罰款:每逾 1 日按承作總價千分之一計罰,若逾期 60 日仍未能交貨完畢,則視為無力履行合約,本行得不經催告解除合約,沒收保證金。
十六、交貨地點:依照本行指定地點。 十七、驗收方式:依規格說明方式驗收。
十八、付款方式:驗收合格後依規格說明方式付款。
十九、保固期限:自驗收合格之日起由廠商負責售後服務,並繳交保固金(決標價之 5%)保固屆滿時無息退還。
二十、得標廠商一切投標手續,須依照本投標須知辦理之。本須知未盡事宜,依照本行於開標前提出補充或修正,或「開標紀錄」所載辦理,開標時投標廠商對規格或其他事項有爭議時,以本行解釋為準,投標廠商不得異議。
二十一、本投標須知為契約條件之一,其效力視同契約。
華南商業銀行
網際網路防火牆系統汰換專案採購規格
設備名稱及數量:
項次 | 設 備 名 稱 | 數量 |
硬體 | ||
一 | 網際網路防火牆 | 4 台 |
二 | 防火牆中控管理設備 | 2 台 |
三 | 網路交換器 | 4 台 |
軟體 | ||
四 | 整合式威脅管理功能授權 | 4 套 |
其他 | ||
五 | 專案建置服務 | 一式 |
廠商申訴 Email 信箱: xxxxxxxx@xxxx.xxx.xx
壹、一般規格
一、投標廠商履約能力資格:
投標廠商應於最近五年內(103.5.1 迄今)主包國內大型商業銀行 (100 家分行以上)或國內金融控股公司或(應含 100 家分行以上之銀行)之網際網路防火牆或核心防火牆相關系統建置專案,且系統已上線並驗收合格。
二、投標廠商保證:
(一)投標廠商應於開標日 5 個營業日前提供建議書、過去類似投標項目實作經驗證明文件(如合約書影本)及本案採購之軟硬體設備原廠經銷授權證明送本行審核。建議書之內容除應完全符合本規格書之規格外,建議書內並應含軟硬體規格、機器型錄、功能說明、提供服務之人/日及實作經驗說明等,依規格所訂事項逐一測試、審核,合格後由本行資訊安全部發給合格證明書始得參與投標,否則投標無效。
(二)投標廠商應視本行需要,配合提供書面保證,證明參與本次投標所提供之軟、硬體設備及型錄、規格、說明文件等均為合法持有且屬實,否則應承擔一切法律責任,若由於規格不合、不實、不法造成本行任何損害,並應負所有賠償責任。
(三)本規格及上述各項之證明,投標廠商應於投標時連同標單一併提出,於承作後視為合約之一部份。
(四)投標廠商所提供之硬體設備,應為原製造廠商仍在生產之新品且未經使用、污損或浸水者。
(五)投標廠商於得標後應於本案採購之硬體設備產品交付本行前,提供原廠保固證明(含人力技術支援)。
(六)投標廠商於得標後安裝本案採購之軟體前,應取得合法之原廠軟體授權證明文件並交付本行。
(七)本投標案為整體決標,不得為分項決標。
(八)投標廠商於得標後,應配合本案系統之建置,成立系統建置專案小組,並於簽訂合約後 7 日內將專案負責人與專案小組成員名單以書面通知本行。專案成員之專案經理(負責人)、系統分析及系統設計等人員異動時,應於 1 個月前以書面事先通知本行,而除上
述成員外之人員異動,應於半個月前以書面事先通知本行。所有人員異動應取得本行書面同意後,始得更換。
三、技術移轉及諮詢服務:
(一)得標廠商應免費提供與本案相關所需之技術移轉訓練及操作手冊。
(二)得標廠商應依本行需求,免費提供技術移轉相關問題之諮詢服務。四、工作時程 :
自簽約日起 8 個月內,完成上線。五、交貨、驗收:
得標廠商完成全案建置並處理完成所生之各項後續相關事宜且系統運作正常,經本行驗收合格後,本行支付總報酬。
六、履約保證金
為確保得標廠商履行本案之義務,本行得要求得標廠商應繳納履約保證金。該履約保證金於全案驗收合格後,可轉作保固保證金,保固期滿由本行發還(如屬現金無息發還)。
七、保固、維護:
(一)得標廠商自本案全案驗收合格日起,應負責所有硬體保固期間 3年(每週 7 天*24 小時)、軟體保固期間 3 年 (每週 7 天*24 小時),保固期滿 2 個月前,得標廠商應配合本行需要簽訂維護合約;前
開維護合約期間屆滿 2 個月前得標廠商負有續約之義務,其後亦同。
(二)得標廠商同意於軟硬體保固及維護期間,應持續取得原製造廠商軟體產品版本及版次升級、授權、技術支援及更新服務。
(三)得標廠商同意硬體年維護費不得高於承作價額之 15%,其中網路交換器不得高於承作價額之 6%。
(四)得標廠商同意軟體年維護費不得高於承作價額之 15%。
(五)得標廠商同意若違反(一)~(四)約定,本行得沒收保固保證金。
(六)保固期間內,如因系統發生故障錯誤,本行得以傳真、電話、email等方式於所約定維修時間內通知維修服務,得標廠商於接獲維修服務之需求通知時,應於下述所列約定期間內到達及完成維護。
嚴重程度 | 到達時間 | 完成維護時間 |
P1 | 2 小時內 | 4 小時內 |
P2 | 4 小時內 | 8 小時內 |
P3 | 1 個工作天內 | 2 個工作天內 |
備註: 1.依據系統之嚴重程度,分為以下等級: P1:系統無法運作。
P2:系統可運作,但嚴重影響系統功能。 P3:系統可運作,但不符合作業手冊所描述
或客戶使用上問題或作業手冊記載錯誤。 2.起算時間點依本行通知時點為計算基準,解決方案應由得標廠商提出,經由本行同意後
始得為之。
(七)保固期間內,若本行對於得標廠商所交付之系統仍有疑難時,應以書面詳細載明事實及理由通知得標廠商,得標廠商應於接到書面通知後 5 個工作天內回覆本行,必要時並應派員協助本行解決問題。
(八)保固期間內,得標廠商應負責提供軟硬體設備之免費保養與維護、功能諮詢、除錯及其他必要之維護。軟硬體定期維護,應每月至少實施 1 次,得標廠商應提供硬體必要之檢查、清潔、調整或更換零件,以及軟體系統 Log、參數之檢查調校等預防保養服務,以維持標的物之正常運作功能,且定期維護記錄應經本行簽章。本案於保固期滿時,得標廠商應檢附保固期間,每年至少 12 次之軟硬體設備保養與維護記錄,若每年少於 12 次,於保固期間屆滿後,得標廠商仍應再補作,軟體維護達 36 次、硬體維護達 36 次後,本行始同意退還得標廠商保固保證金。
(九)保固期間內,得標廠商應提供原廠軟體產品版本升級、授權、技術支援及更新服務,軟體如有新版本發表,並經本行同意更新時,得標廠商應無條件免費提供新版本軟體及其文件,並配合本行需求免費到場負責更新。
(十)於本案保固及維護期間,得標廠商應於接獲本行通知後,依據
「壹、七、 (六)」系統之嚴重程度、區分等級到達時間,若得標廠商無法於「完成維護時間」內修復,得標廠商應於「完成維護時間」內免費提供同等規格及品質之硬體設備,供甲方使用至修復為止。
八、保密義務及賠償責任:
(一)得標廠商應制訂嚴格之保密措施,要求得標廠商及得標廠商之代理人、受僱人、履行輔助人或得標廠商指定之人,對本行及本行客戶之資料、文書、消息、物品等負有保密義務,非經本行書面同意不得複製、洩露予第三人、植入不當軟硬體,或其他損害本行作業安全及其他不法之利用。保密義務於本行與得標廠商間之合約期間屆滿、終止或解除後仍持續有效。
(二)得標廠商同意對得標廠商之代理人、受僱人、履行輔助人或得標廠商指定之人,於違反保密義務時,應與其負連帶賠償責任。
九、違約、遲延及終止
(一)得標廠商未能依本採購規格「壹、四、工作時程」各階段完成系統之建置,每逾 1 日,按承作總報酬千分之一計付懲罰性違約金,其超逾 60 日者,本行並得終止合約。
(二)得標廠商專案成員異動,若未事前以書面方式通知本行,且取得本行書面同意,得標廠商任意更換專案人員,自實際異動日期開始,按日依承作總報酬千分之一計付懲罰性違約金,至本行同意改善結果為止,其超逾 60 日者,本行並得終止合約。
(三)得標廠商逾時未能到達、逾時未能修復完成或雖已修復惟因可歸責於得標廠商之事由,致該維護標的物所屬系統仍無法正常運作時,保固期間內,本行得自通知故障時起算,每日按該故障標的物及其他因之無法使用之標的物合約價金千分之一計算懲罰性違約金,並以不超過保固保證金為上限。
(四)如因事變或不可抗力事由(如颱風、洪水、戰爭、暴亂、禁運、政府法令限制等),致一方發生遲延或不能履行合約之任一約定時,不負遲延或違約責任,並應於該事由發生日起 10 日內以書面通知他方,雙方同意屆時將本於誠信,共同協商解決辦法或修改合約有關規定。得標廠商履約有遲延者,在遲延中,對於因事變或不可抗力而生之損害,仍應負責。
(五)除合約另有約定外,任一方有違約情事,他方得以書面通知違約方於一定期間內改正(至少 10 日),逾期未改正者,他方得終止合約。如違約情形屬無法改正者,他方得不通知違約方改正,逕行終止合約。
(六)得標廠商對本行及其使用單位承辦人員不得給予期約、賄賂、佣金、比例金、仲介費、後xx、回扣、餽贈、招待或其他不正利益。分包廠商亦同。違反規定者,本行得終止或解除合約,或將溢價及利益自承作總報酬中扣除。
(七)如因得標廠商違約致本行受有損害、額外支出費用或受行政機關裁罰所繳付之罰鍰等一切損失,得標廠商均應賠償之;惟如非得標廠商之故意或重大過失所致者,則以合約總報酬為賠償之上限。
十、其他:
(一)得標廠商就受託事項範圍,同意本行主管機關、中央銀行、中央存款保險股份有限公司或本行董事會稽核部、財務會計部人員得
取得相關資料或報告,及進行金融檢查,或於要求期限內提供相關資料或報告。
(二)得標廠商同意本規格內容均為可接受且無疑義,且不得於得標後以任何理由與本行發生爭議。得標廠商如違反合約約定或違反誠信原則,經本行處罰違約金在案者,日後本行得不再受理得標廠商或其關係企業相關產品之投標。
(三)得標廠商提供之伺服器主機(or 硬體設備)應為交貨日前 6 個月內製造之全新品,並應提供證明所交設備為全新出廠之新品證明書
(國內產品應附全新出廠證明文件,國外產品應另附進口證明文件);若於交貨時有最新型機種發表,得標廠商可提供較原建議書內所建議之設備更新且功能相同或更佳之全新品機種(應附相關證明文件,並經本行書面同意)。
(四)得標廠商提供系統文件,若使用電子郵件(Email)收送時應加密處理。
(五)得標廠商之系統架構規劃應符合本行「系統架構標準檢核表」之規範及建議事項(本行另行提供)。
(六)得標廠商及其人員應確實瞭解本行之「資訊安全聲明」(如附錄五)及「資訊服務聲明」(如附錄六)。
貳、系統環境與架構
一、作業現況
x行網際網路防火牆,建置於台北資訊中心 2 台、第二資訊中心 1
台,透過負載xx系統讓 3 台防火牆可同時運行,為降低作業風險並持續提供最佳網路營運環境及安全防護管理機制,進行防火牆系統汰換。
二、專案目標
(一) 達到防火牆高度可用性(Active-Active)架構需求。
(二) 支援多種高速網路傳輸埠,增加頻寬,提升網路傳輸速率。 (三) 優化現有網際網路防火牆系統架構,精簡網路連線設備,減少
問題故障點。
(四) 因應未來機房搬遷規劃,增加防火牆數量,規劃購置 4 台防火牆設備,以彈性調整配置。
三、專案範圍
(一) 汰換現行台北與第二資訊中心共三台防火牆,與本行現有負載xx系統整合,建立防火牆設備及網際網路線路雙中心同時運跑架構。
(二) 轉換本行現有流經防火牆各網段控管之業務規則,提供流量分流之功能。
(三) 整併防火牆xx之網路交換器,精簡網路架構。
(四) 接收防火牆所有流量日誌,產製本行需求相關客製化報表。四、專案硬體環境說明
說明:示意圖
1. 防火牆設備
控管本行對外網際網路之安全連線,採用雙中心高可用度(High Availability)運作模式,當同地或異地設備發生故障無法運作時,可自動切換導引流量至其他設備接續網路運作。
2. 防火牆中控管理設備
控管台北資訊中心及第二資訊中心的網際網路防火牆設備,採用相互備援機制,當台北資訊中心設備發生故障無法運作時,可切換至異地備援設備接續管理。
3. 網路交換器
整併現有防火牆及負載xx設備之間各網段使用之網路交換器,減少問題故障點並提供同異地連線高速傳輸能力。
參、系統功能及特性需求
x專案得標廠商應提供或滿足下列服務和品質要求。一、系統及設備需求
(一)硬體採購清單
x專案所需伺服器硬體、作業系統等均須支援 IPv6
項次 | 設備名稱 | 數量 |
1 | 網際網路防火牆 | 4 台 |
2 | 防火牆中控管理設備 | 2 台 |
3 | 網路交換器 | 4 台 |
1. 網際網路防火牆 4 台(每台規格如下)
安裝地點:本行台北資訊中心 2 台,第二資訊中心 2 台。
(1) 須為軟硬體整合式防火牆設備(Appliances),可直接固定於標準 19 吋機櫃中。
(2) 須具備獨立運算晶片模組或透過獨立 CPU 處理,且提供無使用人數限制(Unlimited User Licenses)之最新合法版本機型。
(3) 為加強資安防護能力,本案之防火牆須與本行現行核心防火牆不同廠牌。
(4) 須使用嵌入式或強化作業系統,且系統管理提供 console/https/snmp/ssh 等管理設定方式。
(5) 須具備至少 16 個(含)以上 GE RJ45 介面,及 2 個 10Gbps SFP+超高速網路連接介面,並依本行所需提供原廠網路介接轉換器。
(6) 須具備 1 顆 200GB SSD 硬碟(含)以上。
(7) 須具備 2 個(含)以上電源供應模組,電源供應模組具備備援(Redundant)及熱抽換(Hot-Plug or Hot-Swap)功能。
(8) 須具備高可用性架構 HA (High Availability),且支援叢集(Cluster) 功能,至少須達 4 台( 含) 以上 Cluster Active-Active 運作。
(9) 廠商需提供佐證文件或測試數據,防火牆 TCP 最大同時連線數(Maximum concurrent session)須達 900 萬(含)以上,啟用「應用程式控管」及「入侵防禦系統」功能後,
整體效能至少需達 7Gbps。
(10) 需能搭配本行現有負載xx系統架構,建置 HA 或cluster並為active-active mode 運作,防火牆間的 session 需同步,以確保單一防火牆故障時,能維持連線不中斷。
(11) 可設定至少 10,000 條(含)以上的防火牆規則。
(12) 具備 Port Channel 功能,至少可以將 4 個(含)以上實體介面進行Port Channel 設定。
(13) 須具備網路位址轉譯(Network Address Translation,
NAT)、埠位址轉譯(Port Address Translation, PAT)功能。
(14) 須具備靜態 IPv4 和 IPv6 路由通訊協定(Static Route)以及動態 IPv4 和 IPv6 路由通訊協定 RIP/RIPng 、 OSPF/OSPFv3 等。
(15) 須具備在IEEE 802.1q VLAN 和 802.3ad LACP 環境下進行控管,並可針對不同 VLAN 使用不同防火牆規則。
(16) 須具備兩種防護操作模式:路由模式、透通模式,並同時支援IPv4 和IPv6 安全管控。
(17) 設定防火牆規則時,須有備註相關資訊之欄位,及具備建立單一物件整批( 如 IP 及 Domain) 匯入之功能( 如 txt\csv\xml 或其他通用格式擇一)。
(18) 須具備同時支援多種使用者資料庫(Radius、LDAP、AD、 TACACS+、Local DB)之使用者、管理者驗證,以利符合多元網路使用者環境之佈署與控管。
(19) 須具備阻擋 DoS/DDoS 攻擊能力,以確保遭受攻擊時,能保持網路的正常服務。
(20) 須具備記錄管理(Syslog/Event logs)和警訊(alarm) ,另可透過本機或是經由中央管控系統,以電子郵件寄送告警予指定人員並 用syslog 方式整合至SOC 機制中。
(21) 本機或中央管控系統須具備網路管理協定 SNMP 方式,將設備狀態資料提供到本單位現有監控系統,其監控範圍包含:設備異常事件、系統效能(含 CPU 使用率、記憶體效能、網路傳輸流量等)。
(22) 須具備管理員密碼強度限制,並制定定期強迫管理者變更密碼,以確保系統本身管理上的安全。
(23) 廠商技術須通過 ICSA Firewall 或 NSS Firewall 等國際第三方實測安全認證,廠商須提供至今仍然有效的證明文件。
(24) 廠商技術須通過美國聯邦資訊處理標準之 FIPS 140-2 認證,及通過資訊安全共通性準則 Common Criteria EAL4+認證或 Protection Profile(PP)認證。
(25) 至少應具備應用程式控管、入侵防禦系統及防毒軟體之功能。
2. 防火牆中控管理設備 2 台(每台規格如下)
安裝地點:本行台北資訊中心 1 台,第二資訊中心 1 台。
(1) 須為軟硬體整合式設備(Appliances),可直接固定於標準 19 吋機櫃中。
(2) 須具備 2 顆(含)以上硬碟,並具備 RAID1 或 RAID5 功能,啟用RAID1 或 RAID5 功能之後儲存空間至少 900G 以上。
(3) 須提供集中化控管防火牆規則功能,可控管本案所有防火牆系統及規則同步。
(4) 具備備份本案所有防火牆之設定及回復功能。
(5) 須具備韌體更新系統及組態異動比較功能,提供多組韌體檔儲存能力。
(6) 支援IPv6 環境,同時也適用於 IPv4 與IPv6 雙軌運行的環境。
(7) 提供中文化使用者管理界面,並可設定不同層級之管理人員。
(8) 須具備管理員密碼強度限制,並制定定期強迫管理者變更密碼,以確保系統本身管理上的安全。
(9) 可管理 8 台以上防火牆設備。
(10) 須與本案防火牆同一廠牌。
(11)須支援防火牆規則尋找功能,可輸入來源或目的介面(位址)、協定後,快速找到符合的防火牆規則。
(12)具備高可用性架構HA (High Availability),達 2 台(含)以上Active-Standby 運作雙主機備援架構功能。
(13)須具備同時支援多種使用者資料庫(Radius、LDAP、AD、、 Local DB)之使用者、管理者驗證,以利符合多元網路使用者環境之佈署與控管。
(14) 須能產出TOP N 之流量資訊、流量使用報表、入侵偵測事件報表、效能使用率、自訂期間之防火牆規則使用率報表、稽核報表等,報表須能夠輸出成 PDF、HTML 等格式。
3. 網路交換器 4 台(每台規格如下)
安裝地點:本行台北資訊中心 2 台,第二資訊中心 2 台。
(1) 設備須可安裝在標準 19 吋機架上。
(2) 具備 24 個(含)以上 10/100/1000Base-T 乙太網路埠,及 8 個(含)以上 10GB SFP+ uplinks 埠。
(3) 須提供2 個符合本行界接DWDM 之單模模組與6 個10GB SFP+多模模組。
(4) 提供至少 16 GB(含)以上的 Flash 快閃記憶體及 8 GB(含)以上DRAM 作為系統運作所需。
(5) 本機具備 208 Gbps(含)以上交換頻寬(Switching Bandwidth)。
(6) 具備 64-Byte 封包轉送能力可達 154 Mpps(含)以上。
(7) 具備 4000 個(含)以上 IEEE 802.1Q 虛擬網路(VLAN)。
(8) 具備 32000 (含)以上 MAC addresses。
(9) 具備最大Ethernet Frame (Jumbo frame)size 為 9198 bytes。
(10) 提供獨立堆疊接口及線路,利用堆疊線路(Stack Cable)
可達到 480 Gbps 背板頻寬,最高可堆疊至 8 台(含以上),可用單一 IP 管理。
(11) 須提供備用電源供應裝置,避免因電源故障造成設備無法運作。
(12) 具備IPv4/IPv6 路由協定:RIPv1/v2、RIPng、OSPF、 OSPFv3、BGPv4。
(13) 具備符合IEEE 802.3ad(LACP)標準之跨設備頻寛聚合功能。
(14) 具備Netflow 功能或可外掛設備達成相同功能並且提供 Full Flow 或 1:1 Flow 輸出。
(二)軟體採購清單
項目 | 軟體名稱 | 數量 |
1 | 整合式威脅管理功能授權(UTM) (按設備數計算) | 4 |
1.提供無人數限制,且功能應至少須包含應用程式控管、入侵防禦偵測及病毒防禦。
(三)專案建置服務
1. 須將本行原舊有設備之規則及設定完整移轉至新採購設備上,並協助於新設備上設定 DDOS 參數及功能控管制訂。
2.須自動排程備份設定檔,並客製化自動產出,經與本行討論符合本行需求的各種防火牆報表。
3. 須建立系統備份計劃,含清檔設定、備援演練計畫、系統還原計畫等管理及維護上所需文件。
4.廠商須就本專案相關設備依制訂備援演練計畫做驗證及網路連線設備與問題解決。
5.需含設備所需之網路佈線工程、設備及線材。
6.含括整合本行負載xx設備之相關設定、測試、驗證及問題解決。
7.須於新採購之網路交換器上,依本行規劃之架構進行相關設定及問題排除。
8.須整合本行現有防火牆規則分析系統,應包含防火牆規則查詢及防火牆稽核報表查詢功能,或其他方式可達成防火牆規則分析系統相同功能需求。
(1) 防火牆規則查詢功能,可查詢欄位包含 :防火牆名稱、規則名稱、規則編號、來源區域、來源物件、目的區域、目的物件、服務物件、到期日、規則有效性等,並提供每天自動更新查詢規則和立即更新、匯出 csv 檔等功能。
(2) 防火牆稽核報表查詢功能,可查詢欄位包含:防火牆名稱、管理者名稱、管理者IP、起始時間、結束時間、
管理者執行的動作等,並提供匯出 csv 檔等功能。
9.須整合本行現有日誌收集系統,提供防火牆紀錄查詢功能,可查詢欄位包含 : 來源區域、來源物件、目的區域、目的物件、服務物件、協定、動作、流量等。
10.須整合本行現有資安監控系統,並協助調整告警規則。監控包含: 處理器使用率、記憶體使用率、流量使用率、介面狀態等。
11.須客製化本行所需的各種報表,須含下列但不限於:
(1) 容量管理報表(含 CPU、記憶體及網路傳輸流量使用趨勢)
(2) 設備異常報表
(3) 連線流量使用報表
(4) 特定黑名單規則報表
(5) VPN 使用連線報表
(6) 防火牆規則或物件觸發統計報表(Hit Rate)
(7) 防火牆管理者登入/登出報表
(8) 最高權限使用者登入/登出報表
(9) 防火牆物件異動報表
(10) 防火牆規則異動報表
(11) 防火牆帳號報表
(12) 防火牆規則報表
(13) 分散式阻斷服務攻擊(DDOS)報表
(14) 自訂區間之阻擋報表
(15) 應用程式控制報表
(16) 入侵防禦偵測報表
(17) 病毒防禦報表二、系統功能需求(功能)
(一)須提供多樣化報表,並可依本行需求客製化報表類型。
(二)報表須能夠輸出成 PDF、HTML 及CSV 等格式。
(三)可在防火牆政策中,依不同規則設定,深入檢查傳輸之協定或指令等,須支援 UDP(如 TFTP、DNS)及 TCP(如 HTTP、SSH/SFTP、HTTPS、 FTP)等設定,並可使用 Domain、FQDN 等方式設定來源與目的物件,且可正常連線運作。
三、系統效能需求
(一)得標廠商應於系統測試階段執行效能測試,並提出系統效能測試報告書。
(二)效能測試時,以本行環境架構驗證為準。 (三)測試情境:
模擬 200 個使用者同時連線至外部網際網路並下載檔案,其中一台防火牆故障或異常,在 Windows 平台使用ping 連線,檢測掉落之封包數。
(四)回應時間需求:
在Windows 平台使用ping 連線,掉落之封包需在 5 個以內。
四、資訊安全需求
(一)權限控管作業
1. 本系統須整合本行 OTP 一次性密碼驗證機制。
2. 本系統應保留使用者之登入/(強制)登出紀錄,其登入記錄至少應包含登入帳號、角色、單位、登入時間、登入 IP、登入結果。(強制)登出紀錄至少應包含帳號、登出時間、IP。
3. 本系統應建立登入逾時控制(TimeOut),對於登入後超過一定時間未動作之使用者將自動登出,且逾時時間應以參數設定。
4. 本系統之授權機制應採用角色(Role)或群組(Group)進行授 權。其授權機制應提供分層授權方式,可由應用系統最高權限帳號將應用系統之授權功能,往下授權給不同之安控人員帳號。
5. 本系統應建立授權異動紀錄保留授權之變更歷程,其異動記錄至少應包含帳號、變更時間、變更類別、變更前後內容。
6. 當應用系統不使用員工網站授權機制時,應提供系統權限清單報表或查詢功能,提供角色(群組)與功能之對應關係。
7. 使用者授權作業功能含新增、刪除、變更等。
8. 本系統應提供系統管理人員使用者帳號管理、使用者權限管理、使用者群組管理及使用者操作記錄查詢等使用者管理功能。
(二)系統之 LOG 設定
1. 應配合本行需求對於操作之執行建立執行紀錄,例如系統參數異動、授權異動、防火牆規則異動等。
2. 應建置定期清檔功能並排定時間執行,刪除系統執行過程產生之Log 或相關暫存檔(如文件檔、上傳檔等)。
(三)資訊安全管理需求
應符合本行資訊安全相關規定,檢核項目重點,說明如後:
1. 一般資通安全規範
(1)系統禁止將使用者或資料庫之帳號及密碼,寫入程式模組中或儲存於端末 PC。
(2)系統存放於 Config 檔或資料庫之密碼應加密保護。
(3)系統應不需使用系統最高權限帳號(administrator 或root)即可執行。
(4)系統不可使用網路芳鄰。
2. 系統帳號設計原則
應設帳號清查功能,供主管或稽核人員不定期檢查
3. 系統使用者密碼設定原則
非以本行 AD 系統進行使用者密碼認證之系統,得標廠商應遵守本行『SR-029_華南商業銀行資訊作業密碼設定注意事項』。
4. 弱點檢查(系統弱點掃描)
針對維護之系統進行安全性檢核及修補,以確保系統之安全 (如:弱點掃描報告)。
5. 資訊安全檢測
作業系統應啟用可以降低風險之安全組態設定(例如密碼原則、不允許匿名列舉資源等)。
五、系統操作需求
使用者端應可支援個人電腦 Windows 7、Windows 8、Windows10 及配合本行需要於本專案驗收前已發佈之 WINDOWS 作業系統平台,並支援 MS IE 11.0(含)以上及 Edge 之作業環境。
六、資料移轉需求
得標廠商應將本行現有規則設定移轉到新的防火牆,並應於作業前提供移轉計劃及驗證程序。
七、系統維護管理需求
(一)得標廠商應依本行伺服器弱點掃描軟體執行之結果,配合設定及安裝修正性軟體,並依本行開放環境伺服器作業安全標準,完成相關程序及文件,以保障本行伺服器之安全。
(二)得標廠商應提供本案之系統之安裝(包含全部線路耗材、配線工程及電源施工),及相關之資訊基礎架構建置服務。
(三)得標廠商應配合本行現有電腦防毒機制,對本案之系統為完整且相容的安裝及設定。
(四)應提供系統參數值定義功能,以供程式參考,提升系統彈性,如:作業畫面逾時時間、檔案資料保留日數等。
(五)得標廠商應對於系統內各種類之序時記錄檔(LOG)或緩衝檔與暫存檔(BUFFER)、資料庫等,明列清單;並將上列檔案,排程於批次作業,自動定期清檔。
(六)得標廠商應配合本行硬體設備之備援及備份機制,提供本專案系統所屬資料、檔案等自動排程及手動設定備份及回復程序,並製作災害復原作業手冊、訂定災害復原演練計畫及依據計畫實施演練。
(七)得標廠商須提供保證啟用防火牆所有功能(如應用程式控管、入侵防禦系統、防毒軟體等等)之後,整體效能至少需達 3Gbps。
八、處理「個人資料保護」需求
為保護客戶個人資料(以下稱個資),除考量特殊限制(如套裝軟體)並經本行同意外,開發之應用系統應符合下列規範。
(一)權限管理:應用系統之使用人員調離職時,系統應連結相關人事異動資料檔案自動刪除原有授權。
(二)個資遮蔽:應用系統開發應與本行業管單位確認是否遮蔽個資相關欄位。
(三)電子檔案加密:提供客戶含有個資之電子檔案應予加密處理。
(四)檔案集中管理:除下列項目可放置 EDW FTP Server 供本行業管單位下載外,與個資有關之電子檔案應集中管理,禁止複製、下載及列印。
1.報送外部監理機關資料
2.行銷活動資料
3.抽獎活動資料
4.提供本行副總經理以上高階長官之檔案
(五)交易紀錄:處理與個資有關之交易應留存交易紀錄(AP LOG)檔案,並提供本行 AP LOG 查詢系統以供調閱。
(六)當事人權利行使:應用系統應依本行帳務主機系統提供之當事人行使「停止蒐集、處理或利用」或「刪除」權利之註記資料,於其系統執行查詢類交易應顯示錯誤訊息、去識別化或不顯示,執行其他類交易應顯示相關錯誤訊息。
肆、專案交付項目與驗收
一、交付軟體授權證明
得標廠商應取得合法軟體授權證明文件並交付本行後,始得於本案安裝相關授權軟體。
二、交付方法與數量
(一)所有交付文件應包含 2 份實體書面文件(視本行需要交付)及 3 份光碟。
(二)所有交付文件應於系統驗收階段燒錄於光碟媒體交付本行。
(三)交付之各項應用系統、原始程式等,本行擁有免費使用之權利並得自行複製或修改。
三、專案交付項目
廠商應於建議書中載明下表項次 3~9 之實際交付時程。
項次 | 開發階段 | 交付項目 | 交付時程 |
1 | 專案前置階段 | 專案執行計畫書 | 簽約日起 7 個營業日內完 成交付 |
2 | 專案啟動階段 | 啟動會議簡報 需求訪談計畫 | 簽約日起 10 個營業日內完 成交付 |
3 | 需求分析階段 | 需求分析報告書 | 簽約日起 12 個營業日內完 成交付 |
4 | 系統建置測試階段 | 系統測試計畫書 系統測試報告書 系統安裝設定手冊系統維護手冊 系統建置(上線)計畫書災害、復原演練計畫 上線變更檢核表(附錄三) | 專案起動會議後 120 天內完成交付。 |
5 | 技術移轉訓練 | 使用者技術移轉訓練教材 系統維運技術移轉訓練教材 | 專案驗收前完成交付。 |
6 | 系統上線階段 | 系統安裝及環境設定手冊 | 專案驗收前完成交付。 |
7 | 系統驗收 | 交付清冊(附錄四) | 專案驗收前完成交付。 |
四、驗證審查要求項目 (一)文件驗證要求
1. 得標廠商交付之專案執行計畫書、需求分析報告書、系統測試計畫書等文件,應檢附系統之測試紀錄、文件驗證審查紀錄及文件品質度量分析資料。
2.得標廠商交付之文件品質度量分析資料,應包含加權缺失密 度,本行將透過此項度量值,與本行所驗證之加權缺失密度進行文件品質檢出率計算,公式如下。
檢出率(DR,Detect Rate)= VD:得標廠商文件品質度量
HD:本行審查得標廠商文件品質度量
檢出率(DR) 罰則 | 70%>DR>60% | 60%>DR>50% | 50%>DR |
延長保固時程 | 2 個月 | 6 個月 | 12 個月 |
2. 得標廠商之文件品質檢出率應達 70%以上,如得標廠商於全案驗收時,整體文件品質檢出率低於 70%,本行得依下列罰則標準要求得標廠商免費(保固時程):
(二)文件驗收要求
得標廠商所交付之文件,經本行審查後,所有缺失均矯正完畢並經本行確認無誤後,始得辦理驗收程序。
伍、專案規劃、實作與管理需求
一、專案規劃與管理 (一)專案時程規劃
廠商之時程規劃應包含查核點(里程碑)規劃、細部時程規劃,並
應規劃本行應參與或負責之活動。 (二)專案進度管理
廠商應於建議書中說明如何規劃本專案執行進度和查核點之管理方法。
(三)專案溝通管理
廠商應於建議書中說明如何規劃本專案之溝通管理方法。 (四)專案風險管理
廠商應於建議書中說明如何識別本專案之風險、風險分類、風險應對處理、風險狀態監控方法等。
(五)專案問題管理
廠商應於建議書中說明問題管理方法以管理本專案執行過程中衍生之問題,包括進度、品質、資源、變更、爭議、人員技能、服務態度等問題之處理。
二、工作報告
(一)專案狀態報告
自專案啟動會議日之次日起每雙週一前(如遇假日順延)交付前兩週之專案狀態報告,可參考本行提供之範本,報告內容至少應包括:
1.執行進度報告
2.品質控制報告
3.風險管理紀錄
4.問題矯正狀態及進度
5.建構狀態報告
6. 專案成員投入狀況維持率
7. 上述所提交之工作報告,應包含度量資料。 (二)專案規模估算
在本專案之專案啟動會議階段、需求分析階段及系統驗收階段執行專案規模重估算,並將重新估算的結果,合併到當期專案狀態報告,提交本行確認。
三、需求分析
投標廠商應在建議書中提供需求訪談計畫及變更管理程序範本,本專簽約後,得標廠商應依據其投標文件所說明的需求訪談計畫及變更管理程序,執行變更管理作業。
陸、支援活動規劃與管理需求
一、文件交付格式要求
得標廠商應提供執行本專案預定交付之需求分析報告書、系統測試計劃書及系統測試報告書等之樣本(Template)或範本(Sample),經本行審查同意後,作為本專案交付文件撰寫之依據。
二、人力資源異動管理
(一)投標廠商應在建議書中說明本專案規劃之工作團隊(含分包廠商人力),負責執行本案相關工作,其成員應包含專案經理(負責人)、系統分析及設計、系統測試等人員,並提出專案組織架構與職責分工、人員資歷說明(包含學經歷、專長、專業認證或實務經驗等)。
(二)投標廠商在建議書文件中應說明如何管理專案人員異動及因應人員異動衝擊之方法。
(三)得標廠商專案成員之專案經理(負責人)、系統分析及系統設計等人員異動時,應於 1 個月前以書面事先通知本行。前 2 週由得標
廠商內部培訓依本案範圍需要之技能;後 2 週至本行端施予訓練或向本行提出說明該成員已具備本案之熟悉程度。
(四)得標廠商專案成員除上述成員外之人員異動,應於半個月前以書面事先通知本行。前 1 週由得標廠商內部培訓依本案範圍需要之
技能;後 1 週至本行端施予訓練或向本行提出說明該成員已具備本案之熟悉程度。
三、建構管理(Configuration Management)投標廠商應在建議書文件中說明:
(一)專案文件管理與維護
說明如何管理本專案發展過程中所產出之各項計畫、規格、程式碼、報告、紀錄、資料等,包括電子和實體文件管理、文件存取權限管理和文件備份管理,不同版本間之有效識別與存取,並對建構項目之變更進行追蹤管制。
四、技術移轉訓練
(一)系統營運管理訓練課程
1. 訓練對象:本行資安部人員。
2. 訓練內容:應包括系統概觀與架構、系統安裝及設定、系統操作與管理、系統開關機、系統監控、緊急應變程序、
災難還原程序備份與還原程序、同地備援機制與演練、權限管理架構說明與操作、常見問題及處理步驟等說明與實作課程。
3. 訓練時數:須能滿足上述訓練內容課程之合理時數,總時數須達 72 小時(含)以上。
4. 訓練地點:本行資訊中心。
5. 課程須於本專案全案上線前辦理完畢。
(二)得標廠商須提供防火牆原廠認證的講師及原廠教材之教育訓練課程,須達 8 人次,每人次至少達 18 小時。
(三)防火牆管理及報表系統教育訓練課程
1. 訓練對象:本行資安部人員。
2. 訓練內容:應包括防火牆管理、防火牆規則設定、功能設定、防火牆報表檢視及權限管理架構說明與操作、常見問題及處理步驟等說明與實作課程。
3. 訓練時數:須能滿足上述訓練內容課程之合理時數,總時數須達 36 小時(含)以上。
4. 訓練地點:本行資訊中心。
5. 課程須於本專案驗收前 1 個月辦理完畢。
(四)得標廠商須提供師資及教材,並準備訓練事宜。所使用之技術移轉訓練教材,應於訓練前交付本行審查同意後使用。
(五)得標廠商辦理技術移轉訓練前須提出技術移轉訓練計畫,內容應包含課程名稱、時數、師資、教材等,送交本行審核認可。
(六)得標廠商得視本行需要,提供本行易學網(eLearning)線上中英文版教材供行員上網學習。
柒、附錄
一、投標建議書內容 (一)編輯格式
1. 建議書之章節編號格式依次為壹、一、(一)、1、(1)。
2. 相關功能說明頁數:請填列相關軟體功能說明之頁數(例: P50~P55)。
3. 備註:所列功能如優於本專案所需功能需求,請於備註欄註明。 (二)投標建議書大綱
目錄
壹、專案目標與範圍
說明專案所要達到的目標與範圍。貳、系統架構說明
一、依本專案之目標與範圍,就所建議規劃之系統架構,將軟、硬體及網路配置以架構圖表示並說明。
二、投標廠商應就所提建議方案、未來擴充性、最佳效能、歷史資料、資料庫備份及回復策略等因素,完整規劃硬體設備及架構並應列表詳細說明用途、數量及容量。
叁、系統功能與特性說明
說明專案各項軟體功能需求之順序,分節或分段、以圖文方式,詳細說明投標廠商所提供之軟體功能與特性。
肆、專案交付項目
投標廠商應詳細說明專案各階段查核點之交付項目、交付時程、交付方法與數量等,並說明如何配合本行文件及程式之驗證與驗收要求。
伍、專案規劃、實作與管理
一、投標廠商應詳細說明專案規劃與管理事項,包括:
1.時程規劃,含查核點(里程碑)規劃、細部時程規劃,並應規劃本行應參與或負責之活動。
2.專案之溝通、問題、進度、風險等專案管理與監控的程序、工具與方法。專案人員參與、專案成員訓練規劃與方法。
3.需求收集、分析、確認及管理方法。
4.系統測試方法、程序等。
二、投標廠商如果持有 ISO 或 CMMI 國際認證或評鑑證書,應檢附證書影本,並說明過去在哪些和本專案相類似的環境、客戶或
系統中實際遵循 ISO 或 CMMI 要求,管理與執行專案活動,且提供專案實際執行績效參考資料。
陸、支援活動規劃與管理
投標廠商應詳細說明確保本專案各項規劃活動能夠順利執行之各項支援活動、資源與管理方法。
一、管理交付文件並符合本行格式要求之方法。二、管理本專案人力資源異動的程序與方法。 三、專案各項產出的管理方法。
四、收集、儲存及分析專案度量資料的方法。五、專案流程及產品品質保證的方法。
六、系統建置及驗收規劃。 七、技術移轉訓練規劃與管理八、系統保固維護服務規劃。
柒、專案組織:
一、說明參與本專案之組織結構。二、說明專案人力估算及配置。 三、工作人員履歷表。
四、公司簡介。
五、公司參考實績。捌、附件:
一、機器型錄。
二、實作經驗證明文件(如合約書影本)。
三、軟硬體設備原廠經銷授權證明、軟體原廠之授權計算說明文件。四、書面保證證明參與投標所提供之軟、硬體設備及型錄、規格、
說明文件等均為合法持有且屬實。五、其他。
二、建議書裝訂及交付
(一)投標廠商應製作並交付紙本建議書文件 3 份,同將建議書電子檔文件以 pdf 檔案格式燒錄 1 份光碟交付本行評估使用。
三、上線變更檢核表文件清單
編號 | 項目 | 備註 |
1 | 程式清單 | 本案無 |
2 | 資料庫 Table 清單 | 本案無 |
3 | 系統操作手冊 | |
4 | 應用程式版本控管機制與變更標準作業程序 | 本案無 |
5 | 測試報告(整合測試、使用者測試、壓力測試) | |
6 | 上線程序 | |
7 | 系統架構圖 | |
8 | 資料流向圖 | |
9 | 清檔作業說明 | |
10 | 批次流程圖與批次作業手冊 | 本案無 |
11 | 系統權限控管表 | |
12 | 應用系統權限控管手冊 | 本案無 |
13 | 弱點掃描與強化程序文件 | |
14 | 叫修流程窗口與問題通報流程 | |
15 | 系統安裝與開關機手冊 | |
16 | 系統備份及回復程序 | |
17 | 系統備援切換程序 | |
18 | 緊急應變程序 | |
19 | 開放系統應用程式碼安全性評估 | (源碼檢測) 本案無 |
註.以上文件可提供投標廠商於本行內翻閱,不得複製或照相,如投標廠商有需要可與本行連絡。
四、系統交付清冊文件清單
編號 | 項目 | 備註 |
1 | 附件一_專案工作說明書/建議書電子檔 | |
2 | 附件二_Windows/UNIX 作業系統安裝與參數指引 | 本案無 |
3 | 附件三_開放式系統MSSQL 資料庫安裝與參數設定指引/ 附件三_開放式系統 DB2 資料庫安裝與參數指引 | 本案無 |
4 | 附件四_合約影本或掃描電子檔 | |
5 | 附件五_硬體設備機房變更申請單 | 申請單 |
6 | 附件六_開放系統備份建置/變更申請單 | 申請單 |
7 | 附件七_儲域網路 SAN Storage 建置變更申請單 | 本案無 |
8 | 附件八_專案分價表 | |
9 | 附件十_開放系統_監控建置變更申請單 | 本案無 |
10 | 附件十一_網路連線架構圖 | |
11 | 附件十二_作業系統強化程序 A.附件十二 資料庫基本安全設定及檢查表 B.附件十二_Windows 基本安全設定及檢查表 C.附件十二_AIX&Unix 基本安全設定及檢查表 | A 必要 B 及 C 擇一本案無 |
12 | 附件十三_伺服器弱點掃描工作檢核表(弱點掃描) | |
13 | 附件十四_防火牆設定建置申請單 | 申請單 |
14 | 附件十六~十九_XXX 專案系統權限控管表_日期 | |
15 | 附件二十_資料庫 Table 權限控管表 | 本案無 |
16 | 附件二十二_應用系統帳號/權限操作手冊、程序及架構 | 本案無 |
17 | 附件二十四_變更流程圖及變更標準作業程序 | 如韌體更新作業程 序 |
18 | 附件二十五_應用系統自動編譯自動部署導入程序 | 本案無 |
19 | 附件二十六_程式碼(Source code)交付 | 本案無 |
20 | 附件二十七_變更控管系統 Agent 安裝 | 本案無 |
21 | 附件二十八_管理程式 | 本案無 |
22 | 附件二十九_系統測試報告書(以壓力測試報告為主) | |
23 | 附件三十_備援演練及系統還原記錄 | |
24 | 附件三十一_教育訓練簽名表 | |
25 | 附件三十二_系統維運手冊 | |
26 | 附件三十三_開放式系統資料庫備份/還原作業指引 | 本案無 |
填寫「系統專案交付清冊」(107/09/20 版本)內容,並依清冊要求交付相關附件如下:
註.以上文件可提供投標廠商於本行內翻閱,不得複製或照相,如投標廠商有需要可與本行連絡。
五、資訊安全聲明
華南商業銀行資訊安全聲明(SR-001-001_資訊安全聲明-1040721_v1.1)
華南商業銀行(以下簡稱為本行)秉持維護客戶交易作業環境之資訊安全理念,對於本行資訊系統暨所儲存、處理、傳遞或揭露之資料作周全保護與防範,以杜絕毀損、失竊、洩漏、竄改、濫用與侵權等事故,特訂定本資訊安全聲明,相關資訊安全聲明如下:
1. 本行資訊安全組織,負責督導資訊安全管理制度之運作,提供必要之資源,鑑識資訊安全管理制度之各項議題與利害相關團體對本行資訊安全之需求及期望。
2. 本行管理階層應宣示支持資訊安全之決心,持續改善資訊安全體質,降低資訊安全事故可能帶來之衝擊,以保障客戶之權益。
3. 本行資訊安全管理制度文件及紀錄應有明確之管理機制,以確保資訊安全管理制度文件之適時更新及作業紀錄之保護。
4. 本行應進行資訊資產分類與風險評鑑,並採行適當之管控機制,以降低或控制資訊風險。
5. 本行所有員工皆有責任及義務保護所擁有、保管或使用之資訊資產,以防止遭未經授權之存取、竄改、破壞或不當揭露。
6. 本行所有員工工作分派應考量職能分工,職務責任範圍應予區分,以避免資訊或服務遭未經授權修改或誤用。
7. 與本行有業務往來之廠商及其員工應進行必要之審核及參與資訊安全教育訓練,其所擁有、保管或使用本行之資訊資產皆負保護之責任。
8. 本行定期檢測資訊安全指標,以改進資訊安全管理制度及管控程序實施之有效性。
9. 本行應使用適當的資訊加密保護,以確保資訊之機密性、鑑別性及完整性。
10. 本行應確保工作區域的實體安全,防範資訊資產遭意外或蓄意之竊取或毀損。
11. 本行應落實資訊通訊安全管理,以確保交易處理與日常作業之資料傳輸及通訊安全。
12. 本行所有資訊安全控制或程序之開發、修改及建置,皆須符合並遵循資訊安全管理之規定。
13. 本行應確保所有委託他人處理內部資訊作業符合本行之資訊安全要求。
14. 本行所有人員對於有發生安全事件、安全弱點及違反安全政策與規範之虞者,應隨時保持警戒,並依程序進行通報。
15. 本行應遵循內外部相關法令規定,建立應有之管控程序,定期執行資訊安全查核作業,以確保資訊安全管理制度之持續有效運作。
本聲明之頒布,明確宣示維護資訊安全的重要性,本行全體人員、與本行有業務往來之廠商及其員工或臨時雇員等應確實瞭解資訊安全聲明,以維護本行所有業務之資訊安全與永續經營。
六、資訊服務聲明
華南商業銀行資訊服務聲明(SR-042-003_資訊服務聲明-1060405_v1.0)
華南商業銀行資訊科技管理群為提供良好之資訊服務,落實資訊服務管理制度之相關規定,特訂定本資訊服務聲明,相關資訊服務聲明如下:
一、資訊服務管理目標係指:
(一) 建立標準化、制度化、具效率之資訊服務管理流程。
(二) 達成與業管單位議定之服務內容與服務水準,並提供業管單位良好之資訊服務。
(三) 強化服務品質、持續改善服務績效。
二、資訊服務聲明係參考最新版國際資訊服務管理標準ISO 20000所建立與運作。
三、建立資訊服務組織、分配協調資訊服務管理權責及實施各項資訊服務控制措施。
四、識別業管單位或合作廠商之資訊服務流程,確保該流程之有效性。五、持續監控及審查資訊服務管理運作之績效及可用性。
六、擬定具體之資訊服務水準協議,並訂定客觀之量測方式。七、依據簽署之資訊服務水準協議,定期產出服務報告。
八、本行應遵循內外部相關法令規定,建立應有之管控程序,定期執行資訊服務查核作業,以確保資訊服務管理制度之持續有效運作。
本聲明之頒布,明確宣示資訊服務之重要性,本行資訊科技管理群全體人員、業管單位、與本行有業務往來之合作廠商及其人員,應確實瞭解資訊服務聲明,以維護資訊服務之水準。