ISO 27001综合项目关键技术需求书.docVIP

ISO 27001项目技术需求书 一、项目介绍 伴随xx企业信息化快速推进，对信息系统依靠程度日益加深，信息系统作为企业业务基础，保障其可用性、完整性和保密性, 保护xx企业关键数据资产, 维护企业关键利益, 在目前形式下显得很关键。 为加强xx企业信息安全体系建设步伐，实现信息安全管理工作体系化和精细化，提升对信息安全风险管控能力，保护企业敏感数据；同时，借助ISO27001体系认证提升用户对企业信心，xx企业特开启信息安全体系建设项目。 本项目应以ISO27001：标准为基准，结合xx企业信息安全现实状况，全方面开展漏洞扫描、渗透测试、风险评价和风险处理等工作，在此基础上完成安全体系计划和中短期建设路线图，建立完备信息安全管理制度和配套技术规范；同时，以管理制度切实落地运行为基础要求，完善系统安全基线规范和补丁加固步骤，细化信息系统运维IT服务交付步骤建设，建立数据安全管控标准并逐步深化管控步骤，加强对第三方和合作伙伴信息安全管控，强化安全组织建设和人员技能，规范职员行为，控制安全风险，最终完成ISO27001体系搭建、建设并取得权威认证机构颁发ISO27001:体系证书，为未来信息安全管理各项要求深化落地奠定基础。 二、商务要求 1.资质要求 参与提供服务咨询服务供给商必需符合以下资质要求： 在中国境内注册，能够独立负担民事责任独立企业法人； 有依法税收良好统计； 企业经营情况良好； 含有咨询服务、信息安全服务、质量管理等相关资质证书; 供给商应提供营业执照（副本)\组织机构代码证\税务登记证复印件,和增值税专用发票账户信息。 2.报价说明及要求 1）针对本项目进行报价，以人民币‘元’为单位进行报价。 2）报价内容项以下： （1）信息安全体系建设咨询费用，包含资产梳理、风险评定和处理、体系计划设计、管理制度步骤和技术规范编写、体系落地试运行和外部认证审核现场支持和对应整改教导等。 （2）渗透测试服务费用，包含对现有网络、系统和应用进行全方面漏洞扫描和分析，确定信息系统脆弱性和面临威胁，并对高危漏洞提供加固方法。 （3）培训费用，包含2名ISO27001LA培训及认证机构颁发资质证书。 （4）预估认证费用，要求推荐最少1家认证机构（BSI、DNV、SGS、ISCCC、华夏等，咨询机构需承诺最终认证费用不超出此次预估费用，不然由咨询机构填补差价）。 （5）工具平台费用，要求推荐业界成熟、口碑良好并得到广泛应用渗透测试工具和漏洞风险管理系统。 三、技术要求 本项目中，服务商应帮助xx企业搭建完备信息安全管理体系并确保体系落地运行，并提供安全工具平台（渗透测试和漏洞风险管理系统），项目范围包含： （1）组织范围：企业总部IS、IT、ERM、HR、财务部、采购部、CDIC共7个部门，职员数量约为130人； （2）应用系统范围：ERP/PLM/文件服务器/邮件服务器/邮件归档/反垃圾邮件系统/备份系统等； （3）物理范围：办公场所机房，在xxxxxx。 1、本项目标工作内容和要求包含但不限于： （1）推荐业界技术成熟、性价比高渗透测试工具和漏洞风险管理系统平台，确保产品优异性和实用性，能够符合xx企业信息系统环境并支持日常信息安全工作开展。 （2）全方面梳理国家法律法规或行业标准规范、监管要求对于信息安全要求；对比中国领先行业监管要求和业界成熟规范/标准等，结合xx企业本身安全需求，全方面分析xx企业信息安全管理现实状况，并出具差距分析汇报，开展各类信息资产全方面梳理和风险评定活动，明确xx企业信息安全风险等级和高风险项。 （3）在上海、武汉等场所组织范围内，针对现有网络、操作系统和应用系统进行渗透测试服务，包含全方面漏洞扫描和分析，确定信息资产脆弱性和面临威胁并提交汇报，以期全方面地发觉信息系统、数据、人员、供给商等资产中存在风险和问题；同时，对发觉高危漏洞提供加固整改方法，帮助xx企业进行整改。 （4）依据信息安全管理要求及信息安全检验和渗透、扫描、风险评定中发觉相关问题，进行汇总和全方面分析，完成xx企业信息安全体系中各个子体系计划和架构设计，明确未来三年信息安全管理、技术和产品、步骤等各项建设任务路线图和优先级； （5）依据xx企业信息安全管理需求,完善变更、事件等IT服务交付等步骤细化，结合VPN、桌面终端管控等平台和产品推广应用，确保信息安全要求和具体控制点嵌入到职员日常工作步骤中，推进信息安全制度落地运行； （6）依据xx企业信息安全管理目标，开展对应配套应用安全、系统基线等安全技术规范和本企业安全技术标准建设，从应用系统开发设计、外包外购软件系统安全验收、服务端安全基线规范等源头进行控制，避免引入代码级安全隐患，建立新系统上线基线安全检验和加固实施方法，逐步强化xx企业信息安全管控能力。 （7）以经典事业部为样本，