ISO 27001项目技术需求书.docVIP

PAGE 1 For internal use only. Copyright @ xx. All rights reserved. Printed copies are uncontrolled. Version: 01 Page PAGE 1of 7 ISO 27001项目技术需求书 一、项目介绍 随着xx公司信息化的快速推进，对信息系统的依赖程度日益加深，信息系统作为公司业务的基础，保障其可用性、完整性和保密性, 保护xx公司的关键数据资产, 维护企业核心利益, 在当前形式下显得非常重要。 为加强xx公司信息安全体系的建设步伐，实现信息安全管理工作体系化和精细化，提高对信息安全风险的管控能力，保护企业敏感数据；同时，借助ISO27001体系认证提升客户对企业的信心，xx公司特启动信息安全体系建设项目。 本项目应以ISO27001：2013标准为基准，结合xx公司信息安全现状，全面开展漏洞扫描、渗透测试、风险评价和风险处置等工作，在此基础上完成安全体系规划和中短期建设的路线图，建立完备的信息安全管理制度和配套技术规范；同时，以管理制度的切实落地运行为基本要求，完善系统安全基线规范和补丁加固流程，细化信息系统运维IT服务交付流程建设，建立数据安全管控标准并逐步深化管控流程，加强对第三方和合作伙伴的信息安全管控，强化安全组织建设和人员技能，规范员工行为，控制安全风险，最终完成ISO27001体系搭建、建设并获得权威认证机构颁发的ISO27001:2013体系证书，为将来信息安全管理各项要求的深化落地奠定基础。 二、商务要求 1.资质要求 参与提供服务的咨询服务供应商必须符合以下资质要求： 在中华人民共和国境内注册，能够独立承担民事责任的独立企业法人； 有依法税收的良好记录； 企业经营状况良好； 具有咨询服务、信息安全服务、质量管理等相关资质证书; 供应商应提供营业执照（副本)\组织机构代码证\税务登记证复印件,以及增值税专用发票账户信息。 2.报价说明及要求 1）针对本项目进行报价，以人民币‘元’为单位进行报价。 2）报价内容项如下： （1）信息安全体系建设咨询费用，包含资产梳理、风险评估与处置、体系规划设计、管理制度流程和技术规范编写、体系落地试运行和外部认证审核的现场支持和相应整改的辅导等。 （2）渗透测试服务费用，包括对现有网络、系统和应用进行全面漏洞扫描和分析，确认信息系统的脆弱性和面临的威胁，并对高危漏洞提供加固措施。 （3）培训费用，包括2名ISO27001LA的培训及认证机构颁发的资质证书。 （4）预估的认证费用，要求推荐至少1家认证机构（BSI、DNV、SGS、ISCCC、华夏等，咨询机构需承诺最终的认证费用不超过此次预估费用，否则由咨询机构弥补差价）。 （5）工具平台费用，要求推荐业界成熟的、口碑良好并得到广泛应用的渗透测试工具和漏洞风险管理系统。 三、技术要求 本项目中，服务商应协助xx公司搭建完备的信息安全管理体系并保证体系的落地运行，并提供安全工具平台（渗透测试与漏洞风险管理系统），项目范围包括： （1）组织范围：公司总部IS、IT、ERM、HR、财务部、采购部、CDIC共7个部门，员工数量约为130人； （2）应用系统范围：ERP/PLM/文件服务器/邮件服务器/邮件归档/反垃圾邮件系统/备份系统等； （3）物理范围：办公场所机房，位于xxxxxx。 1、本项目的工作内容和要求包括但不限于： （1）推荐业界技术成熟、性价比高的渗透测试工具和漏洞风险管理系统平台，确保产品的先进性和实用性，能够符合xx公司的信息系统环境并支持日常信息安全工作的开展。 （2）全面梳理国家法律法规或行业标准规范、监管要求对于信息安全的要求；对比国内领先行业的监管要求和业界成熟的规范/标准等，结合xx公司的自身安全需求，全面分析xx公司的信息安全管理现状，并出具差距分析报告，开展各类信息资产的全面梳理和风险评估活动，明确xx公司信息安全的风险级别和高风险项。 （3）在上海、武汉等场所的组织范围内，针对现有的网络、操作系统和应用系统进行渗透测试服务，包括全面漏洞扫描和分析，确认信息资产的脆弱性和面临的威胁并提交报告，以期全面地发现信息系统、数据、人员、供应商等资产中存在的风险和问题；同时，对发现的高危漏洞提供加固整改措施，协助xx公司进行整改。 （4）根据信息安全管理要求及信息安全检查和渗透、扫描、风险评估中发现的相关问题，进行汇总和全面的分析，完成xx公司信息安全体系中各个子体系的规划和架构设计，明确未来三年信息安全管理、技术和产品、流程等各项建设任务的路线图和优先级； （5）根据xx公司信息安全管理的需求,完善变更、事件等IT服务交付等流程的细化，结合VPN、桌面终端管控等平台和产品的推广应用，确保信息安全的要求