还剩34页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
广西北部湾银行新一代反洗钱监测系统项目需求书
一、系统概述随着我国反洗钱、反恐怖融资、反逃税力度不断加强,国内反洗钱监管要求日趋严格,为适应新的监管要求,我行决定重新建设一套专业性更强、更加符合监管要求,能够以有效性分析为设计基础的反洗钱监测系统
二、采购清单本次招标采购的软件如下表
三、系统建设目标在监管新规出台的大背景下,我行积极顺应当前反洗钱形势,在完善相关制度、流程的同时,加大系统建设力度,提升反洗钱管理精细化水平,按照“风险为本”、法人监管等要求新建反洗钱监测系统具体目标包括
(一)建立完善的反洗钱处理流程,满足监管要求通过反洗钱监测系统建立完善反洗钱报送业务处理流程,实现大额和可疑交易的监测、预警以及报告、洗钱和恐怖融资风险评估,并通过反洗钱监测系统的运行、自评估,检查确认我行各级机构与部门在反洗钱内部控制制度的制定、执行等各个环节存在的缺陷,监督各级机构完善和健全系统内部的反洗钱机制体制,促进全行加强管理、全面满足
(7)提供持续的可疑模型更新及优化机制反洗钱监测系统免费维保期内,中标方每年给行方提供模型更新及优化建议不低于一次,且提供的新研发模型不低于新反洗钱监测系统交付时模型量10%o若行方发现原模型明显存在问题的,中标方应立即协助行方更新改造模型直至问题解决,以确保持续丰富我行可疑交易监测标准,不断提高监测标准的有效性、覆盖面和准确度.名单管理能对接行方名单系统,能够有效开展名单检索,支持对名单精确检索和模糊检索,模糊检索匹配度可以行方自行配置支持在行方名单库更新后自动启动全行近三年交易的回溯性筛查,并能够自定义配置筛查、检索条件能有效辅助开展客户身份识别、风险等级评定、可疑交易报告,及满足监管机构及行方的各类需求.现场检查数据管理按照监管接口规范标准,依据行方业务开展情况,准确、及时提取现场检查数据报文报文内容应严格按照接口规范所列字段定义及监管机构现场要求增加的字段内容提取数据,统计范围涵盖本行各类业务,涉及客户信息、账户信息、交易信息、联网核查等多类型数据,且能提供可靠的数据校验规则和功能,以及上传下载功能.反洗钱工作管理平台提供反洗钱工作管理平台功能,以满足我行自身反洗钱工作的统一管理、实现工作留痕、制度归集、信息报送、信息统计、事项审批、考核积分等,主要功能如下
(1)按层级反映并记录反洗钱内控制度建设情况及变化更新情况,协助我行的内部控制体系建设工作,进行内部控制评价并完成内控评价报告;
(2)能够根据各层级相关部门职责特点设计个性化工作模板等管理功能;
(3)反映并记录各层级反洗钱人员岗位设置及反洗钱人员情况;
(4)提供各层级上传反洗钱会议记录、学习培训记录、宣传记录、反洗钱内外部检查和审计记录、自查自评记录等信息的平台,并能分层级分机构管理;
(5)支持对各层级上传的反洗钱工作信息资料的查询、调用、上传、下载及统计功能,且涉及资料支持文档、电子表格、PPT、图片及视频等格式;
(6)提供反洗钱工作考核平台,包括各层级的自评工作及管理部门的考核工作对各层级应完成的工作设置自动提示,如未及时完成,反洗钱监测系统自动累积考核积分对于反洗钱监测系统无法自主考核的项目由相关管理人员手工录入,考核结果实时反映总行及各机构的反洗钱工作的管理水平和执行能力;
(7)支持管理部门或机构发起任务功能,通过任务下达相关机构及人员进行工作征询或督办;
(8)支持各业务管理部门对发起的新产品、新业务开展洗钱风险评估功能
(9)支持设计各层级反洗钱工作审批流程.报表统计管理
(1)监管机构要求定期上交的季度、半年度及年度监管报表、报告,反洗钱检查与自我评估报告,以及监管机构及行方临时要求填报的报表、报告,提供逐级填报功能(反洗钱监测系统能自动获取的数据由系统自动填入,系统无法获取的数据提供人工录入功能,并能根据校验规则自动校验),填报时限到期前系统能对各机构作相应提示,对于未按时填报的机构及时将信息反馈给总行相关用户,并根据填报结果进行积分考核各机构填报完毕后,系统能自动整合数据统计生成各类报表,可直接上报人民银行等相关监管机构
(2)支持对接报表系统,并能以图形、表格等方式提供包括但不限于以下报表
(3)满足各类业务查询统计功能,包括但不限于业务轨迹查询、业务汇总查询、业务明细查询、用户当日及历史交易查询、用户日志查询等等,能生成相关报表并提供导出功能允许用户自定义查询条件对反洗钱监测系统内的数据进行查询操作,同时应考虑用户权限问题,防止数据泄露
(4)应提供自定义报表管理功能,让行方能方便灵活地自行设计所需报表,以满足行方的个性化需求.系统管理1)权限管理须综合考虑我行核心系统现有柜员、机构的维护方式,建立统一的增、改、停规则系统角色权限设计灵活、清晰,支持分层级管理能灵活自主维护各类用户的用户类别、用户角色、用户组、功能权限和数据权限等属性2)规则参数管理系统管理员可以对大额可疑、风险评级等业务既定规则参数及阀值进行调整和配置,以适应本行实际情况3)公共管理支持行方指定的日始签到方式(如指纹、指静脉等);支持日间的临时签退及锁屏功能;支持用户在规定时间内无操作的自动退出;支持当前用户各类待办工作事宜置顶展示4)批处理管理反洗钱监测系统支持后台批处理进度管理,所有批处理业务能一一校验并记录,确保无一遗漏,批处理报错时能立即短信通知科技人员处理5)文件管理提供文件传阅和管理功能文件可逐级或平级传阅,设置阅读提醒及阅读时限,系统详细记录阅读人及阅读时间,并可列入积分考核文件库可在线查看、模糊检索及下载可设定目录树,用户可通过逐级向下检索找到需要的知识可自动将最新文件及点击率较高的文件置顶展示6)工作进度督办上级可查看下级机构、操作员工作任务的处理情况,能实现对每个机构或岗位的大额、可疑交易、风险评级、报表填报等任务处理时限的系统自动控制,详细记录每个机构或岗位处理的时间、用户等信息,并可在系统内向相关人员发出催办(督办)提示(通知),支持通过我行短信平台发布短信通知和督办7)公告栏管理公告栏的展示有滚动及弹出两种形式支持公告栏历史信息的查询功能,可选定公告信息同步更新到文件库中8)跨网点协查系统支持总行对网点、支行对网点、网点对网点发起协查功能,并对协查网点回复时限进行控制
五、技术要求
(一)总体要求
(二)系统要求.系统架构要求反洗钱数据一般来源于ODS/EDW以风险业务及监管要求驱动为主,辅以数据驱动的多层次数据访问服务体系故反洗钱系统需满足以下架构要求
(1)通过分层架构的设计方式,实现数据、服务、交易和展示的有效分离,实现业务数据和业务逻辑的分离,系统模块间松耦合,功能分布合理,以适应IT系统、服务、产品、流程的变化
(2)系统开发遵循组件化、模块化、参数化设计原则,保持软件系统架构的易于改造和扩展,满足新业务功能的不断扩充,不影响应用系统的各种原有功能,可通过组件替换进行功能升级及扩充,保证软件系统架构的易于改造和可扩展性.可靠性栗求
(1)系统具备7x24小时持续、高效、稳定可靠的运行能力,具备异常或故障处理能力并提供系统服务的启停机制
(2)采用高可靠性的产品和技术,充分考虑整个系统运行的安全策略和机制,具有较强的容错能力和良好的恢复能力,保障系统安全、稳定、高效的运行
(3)面对可能突然爆发的服务请求,要求系统具备流量控制、服务分级、应用分级等功能,以保证系统的稳定运行并能在大压力情况下,优先满足关键渠道、关键应用、关键交易的请求,进而保证全行日常经营活动正常运转
(4)面对可能发生的单点故障(服务、节点、服务器等),要求系统设计具备一定恢复能力.安全性要求
(1)系统要配置和构建可靠实用的安全策略和机制,保证系统安全和数据安全,满足招标人和相关监管部门对安全和风险管理的要求
(2)根据不同的业务要求和应用处理方式,设置不同的安全措施和环节,满足业务管理、业务授权以及流程管理中的业务安全性要求
(3)对系统用户采用身份验证和权限控制,包括机构、角色、用户组、用户、权限管理等,用户登录认证,交易发起方的验证具有完善的安全机制以防止非授权的访问和使用,具有完善的机构、用户、角色、权限管理体系以确保客户信息能够在授权范围内合理地使用
(4)确保数据在传输及业务处理过程中的正确性、完整性、一致性、安全性、不可抵赖性和防篡改性
(5)敏感数据信息(密码等)须加密存储,不能以明文方式保存能够与业内主流厂商的加密设备、系统对接,能够与招标人的加密平台对接,支持国密算法加密方式符合人民银行、银监会等监管部门的规定及要求
(6)系统中如需使用第三方开源或商业组件,应使用没有已知安全漏洞的版本,并协助招标人进行第三方安全评估负责组织实施系统的安全整改工作
(7)要求应用部署不得使用root等超级用户权限
(8)要求密码不得出现在应用程序源码、脚本中如必需使用密码,应使用配置文件方式,并进行加密处理系统支持对配置文件中密码进行修改并提供修改的工具和方法
(9)系统必须具有严谨周密的安全体系结构,必须能够提供有效、全方位、多层次的安全机制,抵御可能产生的恶意和覆盖最新监管要求,以支撑我行未来几年的反洗钱管理工作
(二)实现模型定制管理系统建设厂商能提供经过实践检验的健全、成熟、有效的可疑监测模型,模型覆盖我行所有业务场景,通过数据分析、外部案件分析和监管文件解读,挖掘可疑事件,设计定制反洗钱模型,并对模型进行验证、审核、投产的发布管理过程,实现反洗钱监测模型全生命周期管理后续对模型的有效性、真实性、完整性、命中率等进行持续跟踪分析,及时进行优化调整,提高反洗钱工作效率
(三)实现报告自动化并提升报告的规范性反洗钱监测系统须具备可靠、强大的校验功能,可实现洗钱交易的监测、调查、跟踪与上报处理流程的自动化系统生成的报告文件应该完全符合上级监管机构的监管要求,能按照正确的文件格式要求及时进行上报,准确及时地向监管机构提交大额可疑交易报告
(四)提高全行风险管控水平通过建设高质高效的反洗钱监测系统,借助完善的系统功能促进全行操作风险的管控能力和水平的提高,有效防范操作风险,确保合规工作持续、安全、健康发展,有效促进各项业务稳定发展
四、业务需求
(一)总体要求
1.满足国家反洗钱监管机构对各金融机构的监管要求攻击和病毒侵蚀,并且在运行安全、网络安全和应用系统安全等方面有合理可靠的策略
4.扩展性栗求
(1)系统设计具有前瞻性,系统在满足现有业务要求的基础上,必须为未来业务发展变化留有拓展空间,应具有较强的开放性和可维护性
(2)采用先进的、成熟的、可靠的技术与软硬件平台,保证系统易扩展、易升级、易操作、易维护等特性.审计要求
(1)对重要信息的变更要保留变更历史记录,可以进行数据回退,敏感数据的查询和使用必须严格授权,用户使用系统进行的各种操作,必须记录日志,对日志记录可以进行方便的查询和管理.软硬件要求
(1)硬件环境支持x86服务器、IBM小型机
(2)操作系统支持Linux、AIX、Windows
(3)数据库支持mysql、oracleDB
2、sqlserver
(4)中间件Tomcat、WebSphere、WebLogic.运维管理要求
(1)提供应用系统监控功能,包括但不限于系统的运行状态监控、系统服务(进程、线程、队列、端口、连接池)状态监控、系统吞吐量(处理能力)监控、交易执行情况(交易平均响应时间,平均处理时间,成功率)监控
(2)提供应用系统异常情况报警功能,包括但不限于对系统运行状态、系统服务状态、系统资源使用情况、异常交易的监控,及时了解系统运行情况,故障发生时能够准确定位故障点
(3)提供应用系统参数维护的功能,以便根据需要按照维护文档规定的步骤调整参数数据参数维护功能应有清晰、简单的人机交互界面,应能对参数维护过程进行安全审计
(4)提供应用系统运行管理功能,包括但不限于服务、进程、线程的启动、关闭、暂停、重启,并显示操作后的结果系统应提供终止问题交易等故障隔离的手段和功能,以防止生产故障范围的扩大
(5)提供日志的管理与查阅功能,应能提供详细程度适当的各类日志信息,包括但不限于业务运行日志、应用运行日志、错误日志等日志应记录足够的关键信息,便于事后分析和故障定位日志中应有唯一的关键字段(如流水号)用于标识一个交易处理过程、操作处理过程
(6)提供应用系统的数据迁移清理策略和功能,包括但不限于数据库历史表、临时表、日志文件、临时文件等的备份、迂移和清理功能,应根据不同的数据迁移清理原则,设计合理的迁移清理策略应实现将历史数据与联机业务数据分离的原则,减少历史数据对生产系统的性能影响应具备灵活和可配置的自动化清理机制,可通过配置支持多种数据清理策略
(7)提供系统运行版本管理工具,系统可在不中断应用服务的情况下进行程序版本发布、更新、回退,提供应用系统的灰度发布功能.开发环境要求
(1)提供可视化的开发平台,通过开发平台,开发人员能够完成系统开发、接口配置、服务配置、报文配置等日常开发任务
(2)开发平台有清晰的指引说明文档,对开发流程的说明有清晰描述
(3)开发平台能够集成SVN、GIT、CVS等版本管理工具并提供严格良好的代码开发规范,对开发规范性有严格检查和约束,对于变量、类名、程序包名、数据字典等有标准化命名方式.知识产权及转移
(1)中标人保证其提供的产品、工具、模型、方法论、源代码、文档、知识资产及服务没有任何权利瑕疵,没有侵犯任何第三方权利招标人在使用该产品或服务的任何一部分时,免受第三方提出的任何侵犯其知识产权的权利主张如果任何人对招标人使用该产品及服务主张权利,由中标人负责处理一切纠纷及相关事宜,由此给招标人造成的损失,由中标人承担
(2)招标人可以在机构内及招标人下辖的所有机构使用、复制、改编、修改投标人为本标提供的所有系统或所有平台.
(3)系统进行横向扩展和纵向扩展时,新部署的系统不存在知识产权争议,无需向中标人支付额外费用
(4)中标人须提供本标自有软件产品的全部源代码,全部源代码包括但不限于底层平台源代码、产品源代码、客户化源代码、运行平台源代码、开发平台源代码等及源代码说明文档,进行无保留的知识转移源代码须采用明文方式提供,不得采用混淆等技术手段对源代码进行处理,招标人有在源代码基础上进行改造或二次开发的权利
(5)本次项目实施过程中产生的所有客户化部分源代码的知识产权,归招标人与中标人共同所有
(6)中标人在向招标人提供软件产品的同时,应提供相应的技术文档及转移本标包含的所有系统或平台的开发、运行、维护等技能中标人所提供的技术文档应能够满足招标人使用和掌握中标人所提供的软件安装、使用、维护、应用开发的需要中标人提供的技术文档至少应包括系统的概要设计说明书、详细设计说明书、数据库设计说明书、系统使用和操作说明书、系统的运行维护说明书.批量处理要求
(1)系统须具备稳定高效的批量处理机制,支持联机交易处理与批量处理的有效分离,保证批量处理过程中联机业务的正常执行
(2)提供可视化批处理调度工具,具备多任务并发调度与监控能力,具备人工干预、重做、续做、中断、暂停、人工启动、忽略、设置断点、强制成功等功能
(3)提供批处理状态监控和报警功能
(4)可灵活配置批处理任务的相互依赖关系,通过依赖关系来控制批量处理流程
(5)提供批量处理调度接口,支持通过招标人统一调度平台调用、监控、管理批处理作业.通讯及接口要求
(1)系统须遵循招标人的服务/接口标准要求,支持招标人相应的开发规范,通讯协议、接口格式满足招标人标准要求
(2)提供准确的服务接口文档,完成与外围系统的对接包括但不限于联机交互服务、文件交互服务等
(3)接口具有很强的转换和适应能力,可以适应现有各系统的数据交互需求,并可根据用户需要灵活定义和配置新的接口
(4)系统须记录完整的通讯日志,提供完善的监控和重启机制,能对所有交易或单个交易并发会话数进行限制,应能够对系统的最大并发会话连接数进行限制.性能要求业务按年增长30%估算,同时支持至少200人在线,系统响应时间(200用户同时在线查询小于3s查询大于1年数据小于10s)o
六、项目实施要求
(一)实施计划要求.要求投标人从确定中标之日起,在4个月内完成项目主要功能的开发、测试、投产准备,具备上线运行的条件要求投标方在6个月内完成全部工作.投标人在投标文件中应制定切实可行的、确保平稳上线的实施时间计划.要求投标人从公司内部定期监督项目进度,及时汇报项目风险,确保项目按计划完成.投标人在实施计划中,应充分考虑到各项工作并行既要保证项目进度,又要保证项目质量.投标人在实施计划中,应明确标明里程碑,明确各阶段交付物
(二)项目管理要求L要求投标人制定完善的例会制度,包括项目例会、阶段性评审会等.要求投标人在中标后,在整个项目实施周期内,需配合招标人、PM0共同对项目进行全程管理及监督.按项目计划提交招标人认可的阶段文档.项目实施的各个阶段工作划分清晰,阶段性延误同样视为项目延期的整体考核依据.严格遵守我方工作纪律要求,包括工作时间、工作着装、办公环境、安全管理等项目实施期间,项目经理、核心人员等除特殊原因外不得请假超出1天,若确因特殊情况请假超过1天的,投标人出具情况说明函项目实施和验收阶段,问题24小时内给出分析结果并评估修复时间处理,问题不得超过48小时,超过则投标人需制定惩罚措施,并由招标人和投标人双方协商确定
(三)实施团队要求.在项目实施阶段,项目实施团队以中标人的项目团队为主,负责整个项目的设计、实施、进度和质量控制等,对整个项目的完成进度负责招标人将派出一定数量的业务与技术人员配合项目建设,审核设计方案,明确细化业务需求,掌握全系统的各项技术,为将来的运行维护、功能扩充作技术准备,并监督项目的质量,确保按时完成项目建设.在项目实施期间,包括项目经理在内项目实施成员需全职在现场提供开发服务,未经招标人许可,不得更换项目组成员.招标人将对中标人参与项目的核心人员如项目经理、需求分析师、核心开发人员等项目组成员进行资质考察.中标人要保持项目实施团队的稳定性,项目组主要实施成员未经招标人允许,不得擅自调离项目组.中标人项目团队至少应包括以下角色项目经理负责本项目的计划、组织、实施、协调、人员配置并监督工作情况及进度等工作,负责各方的沟通联系,对项目领导组负责项目经理要求具有5年以上、2个以上反洗钱系统管理经验;具有业务场景分析、集成、实施项目的丰富经验和较强的沟通协调能力;具有预见和应对项目风险能力在项目验收前全程驻场项目顾问提供资深业务顾问,且参加过多个反洗钱系统实施,具备丰富的反洗钱业务咨询及实施经验技术经理技术经理具有丰富的开发经验、系统分析经验及软件架构设计经验,有独当一面的技术能力;具有同类项目实施经历,具备技术架构制定、技术方案编写、项目技术管理和支持能力在项目验收前全程驻场需求分析师专职负责项目需求分析及咨询工作,并根据需求分析结果形成完整功能需求说明书;具备5年以上银行业务需求分析、咨询工作经验,具有至少2个本产品系统项目的经验;熟悉银行业务,深度参与需求分析和咨询工作核心开发人员具有3年以上反洗钱系统开发经验,熟悉银行业务及产品配置,具有系统开发和设计能力,解决技术难题,负责相关的技术支持在项目验收前全程驻场质量管理员具有至少2个以上同类项目的质量管理经验,负责实施团队交付质量的控制、缺陷分析及措施改进,并具有较好的沟通能力配置管理员具有至少2个以上同类项目的配置管理经验,负责实施团队的项目文档及程序代码的版本控制,并具有较好的沟通能力
(四)实施过程要求为确保项目的顺利上线,在本项目实施过程中,中标人实施团队须承担下述工作.中标人应安排经验丰富的人员负责完成项目实施过程中的项目管理工作.安排技术专家就系统整体架构、数据架构、系统流程、系统部署等方面与招标人人员进行讨论,以确定系统实施方案和技术规范.组织并完成单元测试、集成测试、压力测试等工作并提供相应测试报告,并根据测试结果进行性能调优;.需要提供测试案例,协助招标人完成编写测试案例工作;.配合招标人的测试人员完成UAT测试.完成项目知识转移工作,完成全面的项目培训工作;.完成系统部署与上线工作
(五)测试验收要求.测试验收的范围为招标文件及项目实施过程中明确的所有需求.项目交付物全部提交完成,在此基础上形成的《交付物交付情况一览表》获得招标人认可,并且所有交付物已进入配置管理系统.测试验收小组由招标人、专家及中标人等有关人员组成,负责对建设项目进行验收.中标人完成系统整体上线并稳定运行3个月,完全满足招标人的使用要求;达到合同、附件以及在开发过程中双方认同的其他各项业务功能、技术指标,并由中标人提请验收,开展验收程序
(六)文档要求中标人在项目执行过程中,根据项目进度按时向招标人提供相应文档,中标人应配合行方领导组、项目组、PMO团队进行阶段性、里程碑节点的项目交付物的评审要求中标人在标书中提供各阶段交付物清单,包括不限于如下系统功能说明书系统建设方案项目计划项目管理周报业务功能说明书需求规格说明书/差异分析报告详细设计说明书概要设计说明书接口设计规格说明书数据字典数据库说明文档系统单元测试报告系统集成测试方案以客户为基本单位,实现大额可疑交易监测报告与客户、产品、机构、服务、业务风险评级功能的统一信息管理平台构建有效利用监测模型进行可疑量化与预警处理,提供多种分析手段和方法进行调查分析为KYC服务,自动化地进行反洗钱案例及报告的生成、校验、审核、报告以及反馈的全过程处理,满足客户风险等级评定,有效支持业务端信息查询具备稽核(审计)功能,满足监管机构非现场监管检查的要求2反洗钱监测系统应以有效性分析为设计基础,功能灵活高效,参数化程度高应实现页面友好、简洁,操作简易、高效的特点,并且具备较好的可扩展性,便于根据未来业务需要添加新的系统功能系统模块全部采用参数化配置,增加功能做到只修改参数,不修改相应程序3反洗钱监测系统支持多种作业模式,包括分散作业、集中作业、集中+分散作业等模式,能够根据行方需求灵活切换作业模式支持多法人机构和多核心系统的业务办理模式.反洗钱监测系统应当与核心系统、名单系统、信贷系统、信用卡系统、客户关系管理系统等多个业务关联系统实现信息交互,确保每日能及时、便利、完整地输入、输出相关客户尽职调查、风险等级划分、黑名单、有关部门调查和查处洗钱案件等相关信息,保障监测标准运行的数据要求.对核心系统及外围系统等交易源系统采集的交易数据的完整性及时进行自动检测校验,杜绝因交易源系统供数系统集成测试案例系统集成测试报告系统性能测试案例系统性能测试报告用户验收测试方案用户验收测试案例用户验收测试报告用户培训课件用户使用手册开发培训手册上线计划和方案上线报告系统应急预案系统运维手册上线版本(源代码、安装包)项目全部源代码源代码说明和开发手册
(七)项目培训要求为使项目成果能够更好的被招标人理解、利用,以及使项目成果的维护和更新成本低、难度小,中标人须本着全面共享知识和经验的宗旨,根据招标人要求提供技术培训和业务培训,培训地点为招标人指定场地,培训内容为系统设计、开发、运维及业务等,具体培训时间与招标人协商确定,相关的培训费用由中标人承担培训全部采用现场培训方式进行将培训分为以下两种类型.技术培训面向招标人技术人员中标人对相关技术人员开展技术培训培训完成后技术人员能够掌握系统的设计思想、系统架构、源代码,具备独立的系统设计、应用开发以及系统运维管理能力.业务培训面向招标人业务人员中标人对相关业务人员开展业务培训使业务人员熟悉系统的功能特点,熟练掌握相关的业务操作
七、维保服务要求
(一)总体要求中标人需须提供至少1年的免费维保服务维保服务期从完成竣工验收之日起开始计算中标人提供特殊时段(春节、国庆节、年终、重大应用系统测试、投产、灾备演练等),以及产品安装、硬件升级、操作系统或中间件变更、迁移、升级时等的现场支持服务每次现场服务后中标人均须向招标人提交《维护技术服务工作报告》,对现场服务工程师未能解决的问题,中标人应组织相关技术人员分析问题,制定解决方案,直至问题解决中标人须定期(至少每季度一次)进行现场维护、咨询、升级服务,及时发现并解决问题,并提交相应健康检查报告免费维保服务期满后因中标人提供的产品本身缺陷造成各种故障应由中标人免费提供技术支持和服务免费维保服务期满后重复出现免费维保服务期内出现过的故障,仍属免费服务范围投标人须提供处理各种突发事件的应急预案
(二)服务内容中标人提供的维保服务应包括但不限于以下内容.提供中标人系统相关的技术支持、业务咨询服务.负责中标人系统相关的缺陷修复工作.对与中标人系统相关联的其他系统升级、例行维护、变更等提供相应的配合支持服务.提供软件产品兼容版本的免费升级服务.负责中标人提供的硬件、软件的日常管理、巡检、监控、优化等运维工作.提供定期的系统性能评估和健康检查,查找、分析存在的隐患,并提供相应的服务以消除隐患.系统的持续完善改进,系统功能新增和调整
(三)人员要求中标人派驻现场的服务人员应具备较强的投标产品开发、维护、故障处理能力,招标人有权对派驻现场的技术人员进行能力考核,对于不合格的,有权要求中标人予以更换
(四)工作规范要求.中标人必须严格遵循招标人信息系统运维工作流程、规范、标准和制度要求,在招标人指定平台中开展服务工作,做好各项工作的过程及结果的详细记录.中标人必须严格执行工作审批流程,未经许可不得擅自扩大工作范围.中标人在运维工作中必须严格遵循早发现、早汇报、早处理原则任何情况下,都不能向招标人隐瞒运维工作真实情况.中标人在运维工作中要做好备份、测试、监护等风险预防措施,杜绝工作失误造成的系统故障、数据丢失等事件
(五)考核规定招标人在根据下表所列考核方法对项目进行考核,从合同金额中扣除考核款项后支付予中标人
八、项目建设方案要求请投标人根据招标人的业务、技术、建设周期等要求,提供一份完整的项目建设方案,以满足项目建设的要求,项目建设方案包括但不限于需求说明书、技术方案、实施方案、维保服务方案等
(一)需求说明书提供基于投标人产品原型的需求说明书,格式和内容自拟
(二)技术方案要求技术方案包括但不限于以下内容.请投标人阐述所提供软件产品的技术架构.根据招标人对系统性能和可靠性等方面的要求,请投标人阐述推荐的硬件配置方案,包括但不限于主机(包括名称、设备型号、配置、数量)、网络设备、加解密设备等给出详细的部署图和方案描述.请列出本项目中的所有软件产品名称和版本(包括操作系统、数据库、中间件、应用软件、开发工具、管理工具、测试工具等).请投标人说明在推荐的软硬件方案下,系统所能达到的性能.请投标人阐述应用系统横向扩展和纵向扩展方案.请投标人阐述对系统同城灾备、异地灾备的支持情况,以及切换演练和应急切换步骤.请投标人阐述数据安全管理机制,包括数据存储、数据传输、数据访问安全.请投标人阐述系统访问控制策略,系统维护人员分级别、分角色、分权限管理的机制和策略.请投标人阐述系统对用户操作状态监控和系统运行状况监控的能力(如系统资源占用情况监控、系统业务响应时间监控、系统并发连接情况监控),说明预警、报警、故障隔离、故障恢复等策略.请投标人描述系统更新升级方案,说明不间断升级的条件.请投标人阐述数据备份/归档、清理与恢复的方法和策略.请投标人阐述本项目中所使用的开发语言,说明开发工具或开发平台的功能
(三)实施方案要求.提供本项目《项目组织架构说明》,包括对招标人技术和业务人员的要求,阐述各方职责与关系.请投标人阐述本项目的项目管理方法,包括需求管理、进度管理、风险管理、质量管理、配置管理、变更管理等.制定切实可行的、确保平稳上线的实施时间计划在实施计划中,应明确标明里程碑,明确各阶段交付物.投标人需提供参与本项目的人员名单和简历,列出项目组织结构中每个成员在项目中的参与阶段、参与时间和从事的工作内容
(四)维保服务方案要求.提供详细的维保服务方案,说明免费维保服务期内和期满后的维保服务范围、服务人员、服务内容和服务响应时间、排除故障时间等内容.请投标人根据下列故障级别定义,说明在维保期提供服务的方式(现场或远程)、到达现场的时间、故障解决时间一级系统安装、配置、调整、升级方面的信息及支持服务;二级应用系统性能受损,或偶尔出现的应用系统故障但应用系统仍可运行;三级应用系统性能严重受损,或出现的应用系统故障影响应用系统正常运行;四级由于软、硬件故障造成系统停止运行或服务中断;.请投标人根据下列缺陷级别定义,说明在维保期提供服务的方式(现场或远程)、到达现场的时间、缺陷解决时间紧急缺陷指系统存在异常,即将造成大量业务中断或存在高风险安全漏洞,随时可能发生系统故障或安全事件重大缺陷指系统存在异常,基本不影响系统整体运行即将或已经造成少量业务中断,对安全运行影响较大,尚能保持运行,不及时处理会造成信息系统停运等故障情况普通缺陷指系统发生异常,不影响系统整体运行,不影响业务运行,短时间内不会劣化为重大缺陷、紧急缺陷不全引起的大额可疑交易漏报风险6对用户密码保存、数据传输加密、关键数据的访问控制等安全保密的要求应符合我行内部管理规定和安全规范.反洗钱监测系统应当具有可追溯性,确保可以完整、准确、便利地重现系统所有数据及交易、故障情况、用户的操作痕迹等重要内容,特别是确保能对非正常状态用户操作痕迹进行回溯性调查.按照监管机构相关规定对客户身份资料和交易记录保存的要求,支持对行方各源系统抓取的数据进行数据清洗并导入反洗钱监测系统,支持对行方现有反洗钱系统数据的数据移植,满足监管要求系统数据在线查询时限不低于5年备份数据永久保留.反洗钱监测系统可提供包括人民银行等监管机构要求定期上报的各类监管报表、必要的行内监督检查报表,并可按我行需求设计开发自定义报表
(二)反洗钱监测系统主要功能模块及需求说明我行反洗钱监测系统具体需求在中标方进场后,以与我行相关业务和技术部门共同确定的功能需求说明为准,包括但不限于以下功能需求.客户识别与调查1建立客户统一视图,能查询展现客户身份信息、交易数据、产品信息、负债信息、特殊事件、影像等,用户在执行其他交易时可随时调用客户查询交易,而不必退出原交易画面2根据交易特征指标,进行客户交易行为在不同时间频度下的特征分析,提供多种图形展现与分析功能能通过资金网络分析以图表等形式展示客户-账户关系、客户-对手关系、客户-员工等关系及资金流向动态分析3提供客户识别信息人工录入功能,强化对客户的身份识别及尽职调查工作的执行与管理.大额可疑交易报告1按监管机构最新报告标准、新报告要素和新接口规范建设大额可疑交易报告功能,满足大额可疑交易的报送要求支持以总对总方式对大额可疑交易报告进行打包和报送、报告回执的上传和处理,错误回执率不超过万分之一,支持未上报报文和未上传回执提醒及自动重发2根据监管机构的大额交易和可疑交易报告的数据标准,提示相关人员对不符合规范的数据进行补录,提示正确的补录数据格式,且能准确定位需要补录的位置补录的各栏位具有记忆和重现功能,能保存常用对手信息及对方机构信息,减少操作员补录工作量3反洗钱监测系统对每个抓取出来的异常交易案例可自动对客户身份信息、交易进行统计分析,能以图表等形式展示客户资金流向、对手信息、资金网络等相关信息,并形成分析报告甄别人员经分析后自主决定是否作为可疑交易上报,并填写可疑特征(或不可疑的理由)、甄别结论及后续管控措施对于决定作为可疑交易上报的案例,除系统自动抓取出来的交易数据外,操作员还可方便地自行追溯选取客户之前的交易数据合并上报
(4)支持手工增录大额交易和可疑交易数据(包括单个录入及批量导入),支持对手工生成的大额和可疑报告的校验、纠错、重报、补报、删除等功能
(5)按照监管机构要求的接口规范生成正常、重发、补报、补正、纠错、删除等各类型报文(数据包),并可下载、删除、重新生成报文(数据包)能够从监管机构反馈的回执文件中自动定位上报错误记录,并提示相关单位和人员进行纠正或补录在满足现有反洗钱监测中心报送的前提下,具备监管机构最新相关规定要求的报送条件,并支持随时切换,无需二次开发测试
(6)对于已上报过可疑交易的相关客户,反洗钱监测系统可自动将其纳入关注库进行管理,支持自动预警并人工调高其风险等级须对关注库的客户账户及交易进行持续监测,过后经分析认为可疑特征没有发生显著变化的,自上一次提交可疑交易报告之日起每3个月自动生成一次接续报告接续报告应当涵盖3个月监测期内的新增可疑交易,并注明首次提交可疑交易报告号、报告紧急程度和追加次数7支持大额数据报送情况回溯机制,定期核对大额数据报送、入库、回执情况,及时发现漏报风险.风险评估与管理1需具备完整的风险评估模块,采用科学的风险评级方法,建立灵活的评级规则与评级模板,支持对客户、产品、机构、业务、服务进行有效评估及风险等级分类,能够对评估过程以及结果进行有效记载2对风险分类的等级以及分类标准能够进行动态、持续的维护及管理,支持对已完成评级的客户、产品、机构、业务、服务的风险状况进行持续跟踪在评级周期内,客户信息和交易出现异动时,及时提示风险变化以支撑风险等级的动态调整评级到期前一个月自动提取需要重新评级的客户、产品、机构、业务、服务信息,作为待办事项推送给相关用户3可根据我行需要灵活配置客户评级归属行,如根据交易量占比或最先开立账户机构进行归属4可以按评级要素组合进行查询,并导出查询结果及评级报表;能将行方原反洗钱监测系统内登记的客户风险等级数据平移至新反洗钱监测系统5建立有效的系统信息沟通机制,顺畅对接名单系统及各相关业务系统,实现系统间数据和信息的互联互通.模型设计与管理1能提供通过实践检验的完整有效的可疑自主监测模型,模型设计简单高效、参数化程度高提供的模型包括但不限于以下类型走私、诈骗、赌博、传销、套现、涉恐、涉毒、逃税、腐败犯罪、非法集资、虚假出资、外逃人员、非法经营票据、结算型地下钱庄、汇兑型地下钱庄、境外ATM异常取现等等,并能根据内外部风险环境的变化提供新的可疑交易监测模型2可疑自主监测模型支持对我行指定地区分支机构或客户的局部预警,支持按不同地区分支机构或客户设定模型参数和预警阈值,以适应不同地区犯罪特点3支持模型验证功能,能够利用生产环境数据对新投产或修改的模型、指标的准确性进行试验、调试,提高预警准确性模型验证功能应支持监测、统计每个模型、规则、指标的触发次数和触发率,能够提示某些不常用,预警效率低的模型和规则,并自动形成模型、规则优化建议,供行方参考使用支持行方有权限的业务人员自行定义和维护规则、调试模型及确定模型上线、停用时间4模型除了能捕捉单个客户的可疑行为及可疑交易外,还能捕捉团伙犯罪的可疑行为及可疑交易,并自动生成可疑交易分析报告,同时生成可直接报送人行的独立报文5对于人工识别的定性规则可录入反洗钱监测系统并作为模型的计分指标要素6在模型上线运行后,能定期对该模型进行测评并出具相关报告,监测各类可疑模型的预警率、报告率等指标并支持对可疑模型相关指标预警效果进行统计分析功能,对监测标准进行全面性、准确性、灵活性评估序号名称数量1反洗钱监测系统1序号表格名称备注1客户信息要素不全报表可以分机构清单式提取客户身份基本信息要素缺失记录2客户证件过期报表3存量客户风险等级报表4被执行查冻扣客户报表能够按照机构、时间汇总被执行查冻扣客户数,并支持查询、导出5协助人行、公安部调查情况统计表6被采取中止或终止措施客户报表7高风险客户风险管控措施报表8大额交易和可疑交易的采集、上报情况统计表9大额现金监测报表和报告••••••序号技术要求要点1系统架构要求采用面向服务的SOA架构系统开发遵循组件化、模块化、参数化设计原则2可靠性要求系统具备7x24小时持续、高效、稳定可靠的运行能力具有较强的容错能力和良好的恢复能力具备流量控制、服务分级、应用分级等功能3安全性要求满足招标人和相关监管部门对安全和风险管理的要求对系统用户采用身份验证和权限控制确保数据在传输及业务处理过程中的正确性、完整性、一致性、安全性、不可抵赖性和防篡改性敏感数据信息(密码等)须加密存储4扩展性要求在不依赖外部软硬件支持的情况下,提供应用级负载均衡、高可靠性集群部署能力提供横向扩展和纵向扩展能力5审计要求对重要信息的变更要保留变更历史记录,可以进行数据回退,敏感数据的查询和使用必须严格授权,用户使用系统进行的各种操作,必须记录日志,对日志记录可以进行方便的查询和管理6软硬件要求硬件环境支持x86服务器、IBM小型机操作系统:支持Linux、AIXWindowso数据库支持mysqloracleDB
2、sqlserver中间件TomcatsWebSphereWebLogic7运维管理要求提供应用系统监控、报警功能提供应用系统参数维护的功能提供应用系统运行管理功能提供日志的管理、查阅功能提供应用系统的数据迁移清理策略和功能提供系统运行版本管理工具8开发环境要求提供可视化的开发平台9知识产权及转移提供本标软件产品的全部源代码10批量处理要求提供批量处理调度接口,支持通过招标人统一调度平台调用、监控、管理批处理作业11通讯及接口要求系统须遵循招标人的服务/接口标准要求系统须遵循招标人的ESB服务规范要求提供准确的服务接口文档,完成与外围系统的对接12性能要求同时支持至少200人在线系统响应时间(200用户同时在线查询小于3s查询大于1年数据,小于10s)考核点考核标准系统不可用超标一年内,系统不可用时间每增加8小时,扣除5%合同款发生信息安全事件每发生有责任的1起信息安全事件,扣除10%合同款故障处理超时四级故障处理超时,每发生1次,扣除2%合同款三级故障处理超时,每发生1次,扣除1%合同款二级故障处理超时,每发生1次,扣除
0.K合同款缺陷处理超时紧急或重大缺陷处理超时,每发生1次,扣除1%合同款一般缺陷处理超时,每发生1次,扣除
0.1%合同款不遵守招标人信息系统运维工作相关规定,进行违规操作每发生1次,扣除1%合同款工作失误每发生1次,扣除
0.5%合同款造成重大影响的,酌情加重考核客户投诉如经查实确为中标人原因造成客户投诉,每投诉1次,扣除
0.5%合同款中标人未经招标人书面同意,擅自更换服务人员每发生1人次,考核1%合同款服务人员不遵守招标人工作纪律每发生1人次,考核
0.1%合同款在遇到紧急事件处理时,服务人员电话未能及时接通每发生1人次考核
0.5%合同款序号功能模块需求说明1客户识别与调查实现对全量客户的身份识别及尽职调查工作的执行与管理并能以简洁明了的方式全面展现客户信息2大额可疑交易报告能准确、及时上报大额可疑交易,实现上报流程自动化,满足各级监管机构的监管要求3风险评估与管理具备完整的风险评估模块,支持对客户、机构、产品、业务、服务进行有效评估4模型设计与管理能提供健全有效的可疑监测模型,能覆盖我行现有业务场景满足自主监测模型灵活定制、发布要求及模型全生命周期管理功能;提供模型设计与演练实验室环境,且满足建模业务诊断分析功能5名单管理能满足监管机构及行方各类名单标识、查询、回溯性筛查等需求6现场检查数据管理能及时准确地提供符合监管机构规范要求的检查数据7反洗钱工作管理平台提供学习培训、宣传、检查等材料的接收平台及反洗钱工作考核平台8报表统计管理能自动生成监管机构及我行要求的各类报表、并具备自定义报表功能9系统管理包括不同层级的权限设置管理、参数规则管理、公共管理、批处理管理等。