ISO 27001项目技术需求书.docx

ISO 27001 项目技术需求书一、项目介绍随着 xx 公司信息化的快速推进，对信息系统的依赖程度日益加深，信息系统作为公司业务的基础，保障其可用性、完整性和保密性, 保护 xx 公司的关键数据资产 , 维护企业核心利益 , 在当前形式下显得非常重要。为加强 xx 公司信息安全体系的建设步伐，实现信息安全管理工作体系化和精细化， 提高对信息安全风险的管控能力， 保护企业敏感数据； 同时， 借助ISO27001 体系认证提升客户对企业的信心，xx 公司特启动信息安全体系建设项目。本项目应以 ISO27001 ：2013 标准为基准，结合 xx 公司信息安全现状，全面开展漏洞扫描、渗透测试、风险评价和风险处置等工作，在此基础上 完成安全体系规划和中短期建设的路线图， 建立完备的信息安全管理制度和配套技术规范； 同时，以管理制度的切实落地运行为基本要求，完善系统安全基线规范和补丁加固流程，细化信息系统运维IT 服务交付流程建设，建立数据安全管控标准并逐步深化管控流程，加强对第三方和合作伙伴的信息安全管控，强化安全组织建设和人员技能，规范员工行为，控制安全风险，最终完成ISO27001 体系搭建、建设并获得权威认证机构颁发的ISO27001:2013体系证书，为将来信息安全管理各项要求的深化落地奠定基础。二、商务要求1. 资质要求参与提供服务的咨询服务供应商必须符合以下资质要求：（1） 在中华人民共和国境内注册，能够独立承担民事责任的独立企业法人；（2） 有依法税收的良好记录；（3） 企业经营状况良好；（4） 具有咨询服务、信息安全服务、质量管理等相关资质证书;供应商应提供营业执照（副本) 组织机构代码证 税务登记证复印件 ,以及增值税专用发票账户信息。2. 报价说明及要求 1）针对本项目进行报价，以人民币元为单位进行报价。.Printed copies are uncontrolled.Version: 01Page7of 72）报价内容项如下：（1） 信息安全体系建设咨询费用，包含资产梳理、风险评估与处置、体系规划设计、管理制度流程和技术规范编写、体系落地试运行和外部认证审核的现场支持和相应整改的辅导等。（2） 渗透测试服务费用，包括对现有网络、系统和应用进行全面漏洞扫描和分析，确认信息系统的脆弱性和面临的威胁，并对高危漏洞提供加固措施。（3） 培训费用，包括 2 名 ISO27001LA 的培训及认证机构颁发的资质证书。（4） 预估的认证费用， 要求推荐至少1 家认证机构（BSI 、DNV 、SGS 、ISCCC 、华夏等，咨询机构需承诺最终的认证费用不超过此次预估费用，否则由咨询机构弥补差价）。（5） 工具平台费用，要求推荐业界成熟的、口碑良好并得到广泛应用的渗透测试工具和漏洞风险管理系统。三、技术要求本项目中，服务商应协助xx 公司搭建完备的信息安全管理体系并保证体系的落地运行，并提供安全工具平台（渗透测试与漏洞风险管理系统），项目范围包括：（1） 组织范围：公司总部IS、IT、ERM 、HR、财务部、采购部、CDIC 共7 个部门，员工数量约为130 人；（2） 应用系统范围： ERP/PLM/ 文件服务器 /邮件服务器 /邮件归档 /反垃圾邮件系统 /备份系统等；（3） 物理范围：办公场所&机房，位于 xxxxxx 。1、本项目的工作内容和要求包括但不限于：（1）推荐业界技术成熟、性价比高的渗透测试工具和漏洞风险管理系统平台，确保产品的先进性和实用性，能够符合xx 公司的信息系统环境并支持日常信息安全工作的开展。（2）全面梳理国家法律法规或行业标准规范、监管要求对于信息安全的要求；对比国内领先行业的监管要求和业界成熟的规范/标准等，结合 xx 公司的自身安全需求，全面分析xx 公司的信息安全管理现状，并出具差距分析报告，开展各类信息资产的全面梳理和风险评估活动，明确xx 公司信息安全的风险级别和高风险项。（3）在上海、武汉等场所的组织范围内，针对现有的网络、操作系统和应用系统进行渗透测试服务，包括全面漏洞扫描和分析，确认信息资产的脆弱性和面临的威胁并提交报告，以期全面地发现信息系统、数据、人员、供应商等资产中存在的风险和问题；同时，对发现的高危漏洞提供加固整改措施，协助xx 公司进行整改。（4） 根据信息安全管理要求及信息安全检查和渗透、扫描、风险评估中发现的相关问题，进行汇总和全面的分析，完成xx 公司信息安全体系中各个子体系的规划和架构设计，明确未来三年信息安全管理、技术和产品、流程等各项建设任务的路线图和优先级；（5） 根据 xx 公司信息安全管理的需求,完善变更、事件等IT 服务交付等流程的细化，结合VPN 、桌面终端管控等平台和产品的推广应用，确保信息安全的要求和具体控制点嵌入到员工的日常工作流程中，推动信息安全制度的落地运行；（6） 根据 xx 公司信息安全管理目标，开展相应配套的应用安全、系统基线等安全技术规范和本企业安全技术标准的建设，从应用系统的开发设计、外包外购软件系统的安全验收、服务端安全基线规范等源头进行控制，避免引入代码级的安全隐患，建立新系统上线基线安全检查和加固的实施方法，逐步强化xx 公司的信息安全管控能力。（7） 以典型事业部为样本，开展针对数据资产的分级标准和保护规范建设, 纳入层次化的信息安全管理体系文件制度中，并配合相关产品的部署确保数据安 全的落地执行。（8） 按照 ISO27001 认证标准开展相应的体系建设活动，包括信息资产梳理、风险评估与处置、体系规划设计、管理制度流程和技术规范编写、体系落地试运行和外部认证审核的现场支持和相应整改的辅导，确保在xx 公司指定的时间内获得权威认证机构颁发的ISO27001:2013认证证书。证机构，咨询单位需承诺：如果最终的认证费用（按照国家规定，认证合同必须由认证机构与最终客户直接签署）超过报价表中预估的认证费用，则由咨询机构弥补相应的差价。（9） 作为咨询单位，“客观、独立、负责”地向xx 公司推荐业界权威的ISO27001认证机构( 至少 1 家国际认证机构) 并详细阐明推荐理由, 确保ISO27001认证过程 符合国家 相关法规政 策和CNAS的监管规定要求 ， 确保ISO27001证书的含金量（面向xx 公司的国内外客户）。同时，对于推荐的认（10） 深入开展知识转移工作，与认证培训机构紧密合作，为 xx 公司培养2 名 ISO27001LA( 主任审核员 )，提升人员管理体系推进和 IT 审核的专业技能， 确保信息安全制度要求在企业的执行能得到的有效执行。（11） 项目实施方案应保证项目能够有序、高效地推进，项目建设工程方法应成熟并在其他项目中已经得到验证。2、服务要求供应商在投标时，应提交项目管理方案，方案应至少包括项目组织结构、人员安排、进度计划、项目管理机制等内容，并具有可操作性。具体要求如下：（1） 服务能力：供应商应在信息安全管理规划和实施领域具有较强的技术实力，以及稳定的顾问人员队伍。由于项目内容复杂，长期驻场的项目人员上海不得至少 2 人，武汉不得少于1 人。所有顾问必须具有ISO27001 LA 、CISSP 、CISA 、CISP 、PMP 等资格证书，且具备丰富的信息安全规划和体系建设咨询实施类项目的建设经验，严禁使用实习生或中初级顾问人员来凑人天。（2） 组织结构：供应商应建立该项目的人员组织架构。供应商提出的项目组织架构和参与人员需得到xx 公司的认可。供应商的服务团队中，应当至少包含以下关键角色，并符合相应的人员资质要求：角色主要职责及参与要求1、组织与协调双方项目组完成双方同意的工作任务，协调建立项目环境；资质要求10 年以上信息安全咨询项目管理经验，具备大型企业的安人数ü资深安全2、共同制定详细项目计划及关键路径， 全架构规划设计经验，拥有协调项目资源及具体工作安排CISSP 、 CISA 、 CISP 、至少 3ü顾问3、承担该项目的总体设计与规划工作， ISO27001 LA 等多项证书负责提出前瞻性的体系建设方案与技术路线规划；4、项目经理必须为资深级别的安全顾问人ü高级咨询1、负责项目具体实施工作，建立安全流8 年以上信息安全咨询项目程并负责推动各部门完成完全的落地；实施经验，良好的技术功底和2、负责资产重要性判别、威胁分析、风 文字表达能力，具备安全架构至少顾问险评价和风险处置等安全专业判断和分析，给出专业的安全整改建议；规划设计经验，能够推动各部门完成风险评估、安全审计等3 人3、负责管理制度、规范、表单和流程文 工作的开展，具备CISA 、高级技术工程师/渗件的编写和宣导；4、负责体系建设各项目活动的推进和回顾改进。1、进行漏洞扫描、渗透测试等工作；2、进行技术方面的风险评估以及技术规范的建立CISP、ISO27001 LA、ITIL、ISO20000LA、PMP 等多项证书5 年以上的信息安全工作经验具有 CCIERHCE 等网络、数至少透测试工程师3、配套安全基线技术规范的建设和推进据库、存储、web 应用安全4、安全产品与管理制度、流程的结合、 等相关专业资质证书3 人知识的转移（3） 对渗透测试工具和漏洞风险管理系统平台的指标要求供应商应推荐业界技术成熟、性价比高的工具平台，供xx 公司选择：名称渗透测试工具技术指标1. 开源框架，具有大型开源社区支持（必须提供开源社区网址）2. 使用脚本语言 Ruby 开发3. 智能渗透测试（自动选择所有匹配的模块进行攻击，支持 dry-run 功能）；同时支持手工渗透4. 基线渗透测试报告自动生成（必须提供报告样本）5. Web 界面（必须提供截图）6. 网络发现功能7. 可以导入世界级主流漏洞报告，如Nexpose、APPSCAN、AWVS，并进行漏洞自动验证8. 漏洞利用模块不少于 1400 个，总模块数量不少于1900 个（必须提供截屏）9. 自动证据收集功能（包括截屏、密码和哈希值以及系统信息等）10. 脚本重放（生成脚本进行攻击重放，从而可以测试补救措施是否启作用） 11.安装环境：Windows、Linux12. 至少每 2 周更新一次13. 必须和漏洞风险管理系统是同一厂商，完全兼容。可以直接在操作界面上启动漏洞扫描系统，并且结果自动导入（须提供截屏）14. 集成 NMAP 扫描（须提供截屏）15. 密码暴力猜测功能（尝试最常使用或在渗透过程中捕抓到的密码，密码哈希值可以被自动破解）16. 代理跳板功能（利用一台攻陷的机器发动针对另一个目标的攻击）17. 无限制 IP18. 数据管理（通过可搜索的数据库跟踪所有发现的数据）19. 必须提供可以试用的 license（不少于 14 天），以及在线下载的地址20. 需要提供原厂授权漏洞风险 管 理1.漏洞库数量不少于 6 万（须提供截屏）系统2.检查项不少于 12 万3. 漏洞分类不少于 150 个（须提供截屏）4. 扫描引擎数量>=2 个5. 可以扫描各种操作系统（Windows, Linux, Unix ）、数据库(SQL Server, DB2, Oracle, MySQL 等)、Web 应用、中间件、浏览器、Adobe 应用、路由器、交换机等等6. 自动更新（包括微软周二补丁更新后的24 小时之内完成对应更新）7. 报告类型至少包括审计报告、补救报告、管理报告，并且要求补救报告非常详细（例如在报告中直接体现补丁的下载链接，估计下载所需时间，打补丁后可以解决的问题等等），须提供各种报告样本8. 定时扫描和告警（须提供截屏）9. 动态 IT 资产组管理（须提供截屏）10. 满足 PCI 合规要求（需提供相关报告，以及PCI 委员会网站相关信息截屏证明）11. 支持报表和扫描的定制功能12. 提供 API 接口（须提供 API 使用指南）13. 分布式扫描14. 安装环境（Windows, Linux）15. 必须和渗透测试工具是同一厂商，确保能够完全兼容16. 必须提供可以试用的 license（不少于 14 天），以及在线下载的地址17. 需要提供原厂授权（4） 人员安排 :为确保本项目的交付质量，避免安全管理制度流于形式，供应商应按要求协调相应资源保质保量地投入到本项目，并及时正确地完成所分配的任务，项目组30 人天。中禁止使用初级人员或实习生。本项目中，项目经理/资深顾问的投入不得少于150 人天(现场)， 体系建设咨询服务的总投入不得少于280 人天(包括上海和北京现场 ) ，渗透测试服务的总投入不得少于在供应商入场前，应向xx 公司提供实施团队的人员详细资料，xx 公司有权根据项目实际情况要求调换。供应商应在合同期内保证项目人员稳定性。如果根据项目需要、或xx 公司/ 供应商请求、或不可抗拒的原因，需要对于供应商参与本项目的相关人员进行调整（包括人员的增减和更换）时，双方将本着对项目负责的原则，在进行充分协商并取得 xx 公司同意后尽快完成人员的调整。另外 xx 公司对于供应商不能胜任项目工作的人员，有权提出调整要求。（5） 进度安排 :供应商应提交详细的咨询工作计划，以及相应的人员等资源配备和投入情况，并明确提供每个阶段的阶段目标、阶段应交付的成果、验收依据、双方的责任和义务。（6） 知识产权要求供应商为采购人编制的所有的文档、报告或其他服务成果 （无论是临时版本、中间版本还是最终版本），采购人享有全部的知识产权。（7） 保密要求供应商对在本项目中从xx 公司所获取的任何信息，不论是以口头、书面、电子还是其他形式为载体，均负有永久保密义务，事先未经采购人书面同意，供应商不得将合同文件及xx 公司提供的有关业务需求、设计、标准、计划等文档资料泄露给供应商在本合同中雇用的人以外的其他人。(8) 服务能力证明材料供应商提供的产品和服务必须达到或超出需求描述中的相关指标要求，并提供证明材料，包括但不限于a、27001 管理体系咨询服务方案； b、渗透测试服务的详细描述；c、投标产品的技术指标(含漏扫及风险管理平台)；d、可供参与本项目的人力资源、主要成员的简历和项目经验； e、项目实施进度计划；f、项目知识转移；g、各项支持和服务承诺；h、对 IT 运维流程建设和ISO20000 体系融合的考虑和建议； i、对敏感数据信息资产安全保护和建议；j、对风险评估工作开展的建议；k、对安全基线管理和流程的建议；l、对安全体系架构设计的考虑和建议；m、ISO27001 管理体系建设的主要输出文档的模板n、安全基线配置技术规范的样本（例如Linux 、web 服务器等） o、对证书和认证机构的推荐选择，以及相应理由；p、投标人认为需要提供的其他技术材料。