为深入贯彻落实《数据安全法》《个人信息保护法》《银行保险机构数据安全管理办法》等法律法规及金融监管要求，全面提升我行数据安全管理能力，夯实数据安全防护体系，我行计划引入外部专业咨询机构，对我行数据安全管理现状进行系统梳理、诊断评估与提升规划。现就咨询服务需求公告如下，诚邀具备丰富金融行业（银行/金融机构）数据安全咨询经验的专业机构参与交流讨论。

一、 咨询服务主要内容

（一）现状分析

对标各法律法规及金融监管要求，系统开展我行数据安全现状分析，重点涵盖数据安全治理架构、制度体系、运营管理及合规差距等方面，为后续提升工作提供客观依据。

1、与监管要求的合规差距分析

结合国家及金融监管最新要求，对我行数据安全治理架构、制度体系、技术防护、运营机制等进行全面对标分析，明确存在的合规差距，识别主要风险点、缺陷与不足，按影响程度和优先级形成差距清单及初步改进建议。

2、数据安全治理组织与制度策略梳理

评估我行现有数据安全治理组织架构，提出优化建议，包括落实数据安全责任制、“谁管业务、谁管业务数据、谁管数据安全”原则在总行、各分支行及各个业务/职能部门的落地机制，以及董事会/高管层职责分工、分支机构属地管理责任等。

全面梳理现有数据安全相关制度、办法、规范，评估其完整性、适用性和合规性；补充完善覆盖数据全生命周期（采集、传输、存储、使用、加工、共享、提供、出境、销毁等）的制度体系，形成覆盖总分行及各部门、可操作的制度规范包，并明确跨部门协同、执行要求及问责机制。

梳理并优化数据安全技术策略（加密、访问控制、脱敏、备份恢复、监控审计等），提出与业务发展相适应的技术策略体系。

3、数据运营管理现状梳理

评估我行现有数据运营管理体系，包括数据运营组织与角色职责、日常运营流程、数据质量控制、共享协作与授权、监控预警、绩效评估等机制，分析其与数据安全要求的融合程度，识别运营效率与安全防护的短板，为构建安全高效的数据运营体系提供基础。

（二）数据分类分级

1、数据资产清理

全面梳理我行各类数据资产（包括业务系统数据、客户信息、交易数据、运营管理数据、日志数据等），摸清数据规模、分布位置、流动路径、存储介质及责任主体，形成完整的数据资产清单和可视化地图（数据资产地图），为后续治理、分类分级及运营管理工作提供准确基础。

2、数据分类分级与目录维护

协助建立科学、统一的数据分类分级标准和打标规则，对现有数据进行分类、分级标识，对已分级分类的数据进行复查完善。

维护完善我行现有分类分级规则，整合分类分级工具，实现自动化或半自动化打标；建立动态维护机制（含定期审查与更新）。

同时，维护和完善企业级数据资源目录，实现数据资产的目录化、可视化、动态管理，支持数据安全治理、合规审计、风险评估及业务应用。

（三）数据安全技术路线设计

系统梳理我行现有数据安全技术架构、防护手段和工具的有效性与先进性。

结合我行实际业务场景、监管要求及未来数字化转型需求，设计数据安全技术提升路线图，包括技术选型建议、架构优化方案、关键能力建设路径（监测预警、行为审计、隐私计算、数据防泄漏等），确保技术措施具有可行性、前瞻性和业务适配性。

(四)数据安全风险评估

采用规范方法和工具，对我行数据安全现状开展全面风险评估，重点覆盖数据全生命周期风险、重要/核心数据处理风险、个人信息保护风险、数据出境/共享/委托处理/外包风险等。

明确我行在数据安全合规方面的差距，识别主要缺陷与隐患，按优先级提出针对性、可落地整改措施，形成《数据安全风险评估报告》（含风险清单、影响分析、防控建议）。

(五)、三年数据安全工作规划

基于上述成果，结合我行数据安全现状、监管趋势及业务发展战略，制定未来三年（分年度）数据安全工作规划。

规划应包含：总体目标、分阶段重点任务、实施路径、资源需求（人力、预算、技术）、预期成果、考核指标、持续改进与评估机制等，形成可执行、可考核的《数据安全三年工作规划》。

二、 参加本次报名的供应商基本要求：

（一）具有独立承担民事责任的能力；

（二）具有良好的商业信誉和健全的财务会计制度；

（三）具有履行合同所必需的设备和专业技术能力；

（四）有依法缴纳税收和社会保障资金的良好记录；

（五）参加采购活动前三年内，在经营活动中没有重大违法违规记录；

（六）本项目不接受联合体参与；

（七）本项目不接受分包、转包；

（八）针对本项目供应商应具备的其他条件：

1、团队资质：咨询团队应具备金融行业数据安全咨询经验，熟悉国家及金融监管法律法规（《数据安全法》《个人信息保护法》《银行保险机构数据安全管理办法》等）、等保2.0、JR/T系列金融数据安全标准。优先具备相关信息安全服务资质或从业案例。

2、服务规范：严格遵守我行保密要求，签署保密协议；服务过程中确保不影响我行业务正常运行；提供必要的知识转移和内部能力建设支持。

3、咨询方式与周期：可采用现场调研、访谈、文档审查、工具辅助评估、专题讨论等方式。具体周期、人员配置、交付时间表及报价模式，可在后续交流中协商确定。

三、 禁止参加本次报名的供应商

通过“信用中国”网站（www.creditchina.gov.cn）、“中国政府采购网”网站（www.ccgp.gov.cn）等渠道中，供应商信用记录被列入失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单中的供应商（以联合体形式参加采购活动，联合体成员存在不良信用记录的，视同联合体存在不良信用记录），资格审查不予通过，取消其报名资格。若被列入采购人禁用供应商名单中的，将取消其报名资格。

四、 报名时间及材料要求

（一）报名截止时间：2026年4月15日

（二）报名方式：邮件报名（邮件主题：绵阳市商业银行数据安全咨询服务征集报名+单位名称）。

1.只接受邮件方式报名，不接收纸质报名材料；

2.报名邮件正文需有负责本次项目的公司名称、联系人、联系方式、邮箱、否则视为无效报名。

（三）报名联系人信息

1.联系人：张卓

2.联系电话：18983976531

3.联系邮箱：zzglfe@163.com

4.地址：四川省绵阳市涪城区临园路西段文竹街3号绵阳市商业银行总行大楼207室

（四）报名材料（以下资料需加盖公章）：

1.营业执照扫描件（未换证的提供营业执照、税务登记证及组织机构代码证扫描件）；

2.2023年、2024年经审计的财务报告；

3.2024年任意三个月的税收证明材料；

4.2024年任意三个月的社会保障资金证明材料；

5.2024年1月1日之后的数据安全咨询服务案例清单及合同扫描件，要求合同扫描件能准确体现数据安全的相关内容。如主合同不能体现，可提供工作说明书等扫描件，并在扫描件上进行重点标注。

                              2026年3月31日