《iso-27001项目技术需求书》由会员分享,可在线阅读,更多相关《iso-27001项目技术需求书(7页珍藏版)》请在金锄头文库上搜索。
1、For internal use only. Copyright xx. All rights reserved. Printed copies are uncontrolled. Version: 01 Page1of 7 ISO 27001 项目技术需求书 一、项目介绍 随着 xx 公司信息化的快速推进,对信息系统的依赖程度日益加深,信息系统 作为公司业务的基础,保障其可用性、完整性和保密性 , 保护 xx 公司的关键数 据资产, 维护企业核心利益 , 在当前形式下显得非常重要。 为加强 xx 公司信息安全体系的建设步伐,实现信息安全管理工作体系化和精 细化,提高对信息安全风险的管控能力,
2、保护企业敏感数据;同时,借助 ISO27001 体系认证提升客户对企业的信心, xx 公司特启动信息安全体系建设 项目。 本项目应以 ISO27001:2013 标准为基准,结合 xx 公司信息安全现状 ,全 面开展漏洞扫描、渗透测试、风险评价和风险处置等工作,在此基础上 完成安 全体系规划和中短期建设的路线图 ,建立完备的信息安全 管理制度和配套技术规 范;同时,以管理制度的切实落地运行为基本要求 ,完善系统安全基线规范和补 丁加固流程,细化 信息系统运维 IT 服务交付流程建设, 建立数据安全管控标准 并逐步深化管控流程, 加强对第三方和合作伙伴的信息安全管控,强化安全组织 建设和人员技能
3、,规范员工行为,控制安全风险,最终 完成 ISO27001 体系搭 建、建设并获得权威认证机构颁发的 ISO27001:2013 体系证书,为将来信息安 全管理各项要求的深化 落地奠定基础。 二、商务要求 1.资质要求 参与提供服务 的咨询服务供应商 必须符合以下资质要求: (1) 在中华人民共和国境内注册,能够独立承担民事责任的独立企业法人; (2) 有依法税收的良好记录; (3) 企业经营状况良好; (4) 具有咨询服务、信息安全服务 、质量管理等 相关资质证书 ; 供应商应提供营业执照(副本 )组织机构代码证 税务登记证复印件 ,以及增 值税专用发票账户信息。 2.报价说明及要求 1)针
4、对本项目进行报价,以人民币 元为单位进行报价。For internal use only. Copyright xx. All rights reserved. Printed copies are uncontrolled. Version: 01 Page2of 7 2)报价内容项如下: (1)信息安全体系建设 咨询费用,包含资产梳理、风险评估与处置、体系 规划设计、 管理制度流程和技术规范编写、 体系落地试运行和外部认证审核的现 场支持和相应整改的辅导 等。 (2)渗透测试服务费用,包括对现有网络、系统和应用进行全面漏洞扫描和 分析,确认信息系统的脆弱性和面临的威胁, 并对高危漏洞提供加
5、固措施。 (3)培训费用,包括 2 名 ISO27001LA 的培训及认证机构颁发的资质证书。 (4)预估的认证费用,要求推荐至少 1 家认证机构 (BSI、DNV、SGS、ISCCC、华夏等,咨询机构需承诺最终的认证费用不超过此 次预估费用,否则由咨询机构弥补差价) 。 (5)工具平台费用,要求推荐业界成熟的、口碑良好并得到广泛应用 的渗 透测试工具和漏洞风险管理系统 。 三、技术要求 本项目中,服务商应协助 xx 公司搭建完备的信息安全管理体系 并保证体系 的落地运行 ,并提供安全工具平台(渗透测试与漏洞风险管理系统), 项目范 围包括: (1)组织范围:公司总部 IS、IT、ERM、HR
6、、财务部、采购部、 CDIC 共 7 个部门,员工数量约为 130 人; (2)应用系统范围: ERP/PLM/文件服务器 /邮件服务器 /邮件归档/反垃圾 邮件系统/备份系统等; (3)物理范围: 办公场所&机房,位于 xxxxxx。 1、本项目的工作内容和要求包括但不限于: (1)推荐业界技术成熟、性价比高 的渗透测试工具和漏洞风险管理系统平 台,确保产品的先进性和实用性, 能够符合 xx 公司的信息系统环境并支持日常 信息安全工作的开展。 (2)全面梳理国家法律法规或行业标准规范、监管要求对于信息安全的要求; 对比国内领先行业的 监管要求和业界成熟的规范 /标准等,结合 xx 公司的自身
7、 安全需求, 全面分析 xx 公司的信息安全管理现状,并出具差距分析报告,开展各 类信息资产的全面梳理和风险评估活动,明确 xx 公司信息安全的风险级别和高 风险项。For internal use only. Copyright xx. All rights reserved. Printed copies are uncontrolled. Version: 01 Page3of 7 (3)在上海、武汉等场所 的组织范围 内,针对现有的网络、操作系统和应 用系统进行 渗透测试服务,包括 全面漏洞扫描和分析,确认信息资产的脆弱性和 面临的威胁并提交报告,以期全面地发现信息系统、数据、人员、供
8、应商等资产中 存在的风险和问题;同时,对发现的高危漏洞提供加固整改措施,协助 xx 公司 进行整改。 (4)根据信息安全管理要求及信息安全 检查和渗透、扫描、风险评估中发 现的相关问题,进行汇总和全面的分析 ,完成 xx 公司信息安全体系中各个子体 系的规划和架构设计,明确未来三年信息安全 管理、技术和产品、流程等 各项 建设任务的 路线图和优先级 ; (5)根据 xx 公司信息安全管理的需求 ,完善变更、事件等 IT 服务交付等流 程的细化,结合 VPN、桌面终端管控等平台和产品的推广应用,确保信息安全的 要求和具体控制点嵌入到员工的日常工作流程中,推动信息安全制度的落地运行; (6)根据
9、xx 公司信息安全管理 目标,开展相应配套的应用安全、系统基线 等安全技术规范和本企业安全技术标准的建设,从应用系统的开发设计、外包外购 软件系统的安全验收、服务端安全基线规范 等源头进行控制, 避免引入代码级的 安全隐患, 建立新系统上线基线安全检查和加固的实施方法, 逐步强化 xx 公司 的信息安全管控能力。 (7)以典型事业部为样本,开展针对数据资产的 分级标准和保护规范建设, 纳入层次化的信息安全管理体系文件 制度中,并配合相关产品的部署确保数据安 全的落地执行 。 (8)按照 ISO27001 认证标准开展相应的体系建设活动, 包括信息资产梳 理、风险评估与处置、体系规划设计、管理制
10、度流程和技术规范编写、体系落地试 运行和外部认证审核的现场支持和相应整改的辅导 ,确保在 xx 公司指定的时间 内获得权威认证机构颁发的 ISO27001:2013 认证证书。 (9)作为咨询单位, “客观、独立、负责 ”地向 xx 公司推荐业界权威的 ISO27001 认证机构(至少 1 家国际认证机构)并详细阐明推荐理由,确保 ISO27001 认证过程符合国家 相关法规政策和 CNAS 的监管规定要求 ,确保 ISO27001 证书的含金量(面向 xx 公司的国内外客户)。 同时,对于推荐的认 证机构,咨询单位需承诺:如果最终的认证费用(按照国家规定,认证合同必须 由认证机构与最终客户直
11、接签署)超过报价表中预估的认证费用,则由咨询机构弥 补相应的差价。For internal use only. Copyright xx. All rights reserved. Printed copies are uncontrolled. Version: 01 Page4of 7 (10)深入开展知识转移工作,与认证 培训机构紧密合作,为 xx 公司培养 2 名 ISO27001LA(主任审核员 ),提升人员管理体系推进和 IT 审核的专业技能, 确保信息安全制度要求在企业的执行 能得到的有效执行。 (11)项目实施方案应保证项目能够 有序、高效 地推进,项目建设工程方法 应成熟并在
12、其他项目中已经得到验证。 2、服务要求 供应商在投标时,应提交项目管理方案,方案应至少包括项目组织结构、人员 安排、进度计划、项目管理 机制等内容,并具有可操作性。 具体要求如下: (1)服务能力:供应商应在信息安 全管理规划和实施领域具有较强的技术 实力,以及稳定的顾问人员队伍。由于项目内容复杂,长期 驻场的项目人员上 海不得至少 2 人,武汉不得少于 1 人。所有顾问必须具有 ISO27001 LA、CISSP、CISA、CISP、PMP 等资格证书,且具备丰富的信息安全规划和 体 系建设咨询 实施类项目的建设经验 ,严禁使用实习生或中初级顾问人员来凑人天 。 (2)组织结构:供应商应建立
13、该项目的人员组织架构。供应商提出的 项目 组织架构和参与人员需得到 xx 公司的认可。供应商的服务团队中,应当至少包 含以下关键角色,并符合相应的人员资质要求: 角色 主要职责及参与要求 资质要求 人数 资深安全 顾问 1、组织与协调双方项目组完成双方同 意的工作任务,协调建立项目环境; 2、共同制定详细项目计划及关键路径, 协调项目资源及具体工作安排 3、承担该项目的总体设计与规划工作, 负责提出前瞻性的体系建设方案与技术 路线规划; 4、项目经理必须为资深级别的安全顾 问 10 年以上信息安全咨询项目 管理经验,具备大型企业的 安全架构规划设计经验,拥 有 CISSP、CISA、CISP、
14、ISO2 7001 LA 等多项证书 至少 3 人 高级咨询 1、负责项目具体实施工作,建立安全 流程并负责推动各部门完成完全的落地; 8 年以上信息安全咨询项目 实施经验,良好的技术功底 和文字表达能力,具备安全 至少For internal use only. Copyright xx. All rights reserved. Printed copies are uncontrolled. Version: 01 Page5of 7 顾问 2、负责资产重要性判别、威胁分析、 风险评价和风险处置等安全专业判断和 分析,给出专业的安全整改建议; 3、负责管理制度、规范、表单和流程 文件的编
15、写和宣导; 4、负责体系建设各项目活动的推进和 回顾改进。 架构规划设计经验,能够推 动各部门完成风险评估、安 全审计等工作的开展,具备 CISA、CISP、ISO27001 LA、ITIL、ISO20000LA、P MP 等多项证书 3 人 高级技术 工程师/渗 透测试工 程师 1、进行漏洞扫描、渗透测试等工作; 2、进行技术方面的风险评估以及技术 规范的建立 3、配套安全基线技术规范的建设和推 进 4、安全产品与管理制度、流程的结合、 知识的转移 5 年以上的信息安全工作经 验 具有 CCIERHCE 等网络、 数据库、存储、web 应用安 全等相关专业资质证书 至少 3 人 (3) 对渗
16、透测试工具和漏洞风险管理系统平台 的指标要求 供应商应推荐业界技术成熟、性价比高的工具平台,供 xx 公司选择: 名称 技术指标 渗透测试工具 1.开源框架,具有大型开源社区支持(必须提供开源社区网址) 2.使用脚本语言 Ruby 开发 3.智能渗透测试(自动选择所有匹配的模块进行攻击,支持 dry-run 功能) ; 同时支持手工渗透 4.基线渗透测试报告自动生成(必须提供报告样本) 5.Web 界面(必须提供截图) 6.网络发现功能 7.可以导入世界级主流漏洞报告,如 Nexpose、APPSCAN、AWVS,并 进行漏洞自动验证 8.漏洞利用模块不少于 1400 个,总模块数量不少于 1900 个(必须提供 截屏) 9.自动证据收集功能(包括截屏、密码和哈希值以及系统信息等) 10.脚本重放(生成脚本进行攻击重放,从而可以测试补救措施是否启作用) 11.安装环境:Windows、Linux 12.至少每 2 周更新一次 13.必须和漏洞风险管理系统是同一厂商,完全兼容。可以直接在操作界面 上启动漏洞扫描系统,并且结果自动导入(须提供
