渗透测试招标技术规范doc内容摘要:
改。 评 估目 标 是否已 经 或可以被挂暗 链。 评 估目 标 系 统 是否已 经 或可以被挂 马。 评 估攻 击 者是否可以 获 取目 标 系 统 的后台管理路径,甚至后台管理 权 限。 评 估攻 击 者是否可以非法上 传 文件。 评 估从是否通 过 渗透 获 取目 标 系 统 ,并通 过 渗透 进 一步 扩 散到内网。 乙方需要 在投标材料中 ,对 测试 所 使用 的 技术 进行 明确。 如 信息收集、 溢出 攻击、 口令 猜测、 WEB 漏洞 挖掘 、 业务安全测试等。 乙方需要 在投标材料中 ,明确 渗透测试过程中的风险控制 措施。 乙方需要 在投标材料中 ,对 使用工具进行 介绍。 乙方需要 在投标材料中 ,对项目管理 进行明确。 二、对测评机构 及其服务的 要求 (一)测评应遵循的规范和标准 《 JR/T 00682020 网上银行系统信息安全通用规范》 (银发〔 2020〕121 号) ; 《商业银行信息科技风险管理指引》 ( 银监发〔 2020〕 19 号 ); 《银行业应用 安全 可控信息技术推进 指南( 20202020年 度 )》 ( 银监办发 〔 2020〕 317 号 )等。 (二 )保密要求 测评机构 在 开展测评过程中向我行借阅的文档资料应在测评工作结束后全部归还。 未经我行 书面 允许,不得擅自复制、 留存、 泄漏给第三方或其它无 关 人员。 未经本行书面许可不得将本项目相关信息泄露给任何第三方或其它无关人员。 测评机构 应 与其工作人员签订保密协议,并采取有效的内控措施确保其工作人员不泄露接触到的涉及 到 我行信息安全的相关信息。 如果服务提供商违反 上述要求 , 达州 市 商业银行 有权通过罚款、终止服务等方式进行处罚。 如果情节严重, 达州 市 商业银行 保留追究法律责任的权利。 ( 三 )安全要求 测评机构应在测评中遵守本行规章制度和要求,相关测评操作不得影响本行安全生产。 测评机构在实施 测评 过程中必须 确保 测评对象 系统 的安全,包括业务信息安全、系统服务安全和物理环境安全 等。 测评机构须确保所使用的测评工具不会对被测评系统的运行、配置等造成 影响。 测评机构使用测评工具对我行系统开展测评前需先取得我行许可,测评操作完成应尽快删除测评工具中。阅读剩余 0%
本站所有文章资讯、展示的图片素材等内容均为注册用户上传(部分报媒/平媒内容转载自网络合作媒体),仅供学习参考。
用户通过本站上传、发布的任何内容的知识产权归属用户或原始著作权人所有。如有侵犯您的版权,请联系我们反馈本站将在三个工作日内改正。