某银行数据中心信息安全咨询项目需求书.docxVIP

需求书 一、招标人保存的权利 招标人有在工程实施过程中调整设计和实施的权力。 二、投标人本卷须知 1、请投标人仔细阅读招标文件的全部条文，对于招标文件中存在的任何含 糊、遗漏、相互矛盾之处，或对于技术规格以及其他条件不清楚的情况，投标人 应在递交投标文件裁止日期之前向招标人寻求书面澄清。 2、本招标文件所提供的咨询服务需求是最低限度的要求，并未对一切技术 细节做出规定，也未充分引述有关标准和规范的条文，投标人应保证提供符合招 标文件要求和IS027001标准和中国认证认可监督管理委员会其他规范性文件要 求的合规、优质的服务和产品。 3、投标人应需提供一份为执行合同配备的人员名单，包括但不限于实施本 工程相关的关键人员，如果投标人中标，这些为本合同配备的人员在未得到招标 人书面确认同意的情况下不得更换。 4、中标人在开展工程活动过程中，应当主动、积极、适时的开展各项工作， 合理安排时间和工作顺序，在未经招标人同意的前提下不得更换工程经理、工程 组其他成员。当工程经理、工程组其他成员有不适合履行合同义务的行为时，招 标人有权要求更换相关人员。 5、在工程后期验收过程中，对于中标人提交的文件，招标人提供的书面答 复是验收工作的唯一方式，验收时间由招标人确定。 6、在工程进行过程中，中标人须提供可随时响应的技术顾问支持。 三、工程背景和目标 XXX银行股份数据中心目前已建立了比较完整的信息安全管理体 系，设立了信息安全归口管理部门，设置了专门的信息安全岗位，建立了比较完 备的人员管理、资产管理、采购管理、工程建设管理、运行维护管理、应急管理、 教育培训等多项安全管理制度。通过前期对IS027001的预研认为，目前XXX银 行数据中心的信息安全管理体系同IS027001标准相比仍有一定差距，各领域仍 需不同程度的完善或加强，但基本具备了引入IS027001标准对信息安全管理体 系进行完善并进而获得认证的条件。 四、工程范围 咨询和认证主体：xxx银行股份数据中心。 服务内容:在整个数据中心范围内，围绕信息系统建设、运行和管理为中心， 以6027001:2013信息安全管理体系标准为基准（包括安全方针、信息安全组织、 人力资源安全、资产管理、访问控制、密码学、物理与环境安全、操作安全、通 信安全、信息系统获取开发和维护、供应关系、信息安全事件管理、信息安全方 面的业务连续性管理、符合性共计14个安全控制域），中标人协助数据中心评估 现有信息安全管理体系与IS027001标准的差距，并制定可行有效的改进和完善 措施并加以落实，建立满足IS027001标准要求的信息安全管理体系，并协助数 据中心通过国家专业机构认可的IS027001标准认证。 涉及部门及人数：根据前期调研，涉及的组织范围为xxx银行股份 数据中心，各部门包括xxxx,目前约为xxx人。最终的部门及人员数量以实际 实施时的统计为准。 五、 内容框架见下表： 现状评估 了解组织业务链和安全管理现状 启开工程并开展体系导入培训 优化ISMS差距评估方法并进行普及培训 开展ISMS差距评估并汇报评估结果 制定体系改进方案及实施计划 体系设计 建立信息安全管理体系规划路径 开展体系评估和标准精讲培训 建立信息安全管理体系框架  体系建设 建立并完善信息资产管理机制 建立并完善安全风险评估和控制机制 结合实际编写安全管理必须的体系文件 建设持续改进机制，融入ISMS建设各个环节 开展体系全面技能培训 定期开展体系文件的评审和发布 体系试运行 继续开展体系文件评审和发布 开会启动体系试运行工作 开展体系内审技能培训，建立内审管理机制 开展体系试运行宣传推广活动和引导工作 开展ISMS度量并评估体系的成熟度和适用性 开展ISMS内审并定期跟踪体系整改完善情况 协助通过认 证审核 负责联系并配合国家认可的认证审核机构开展体系预审 开展迎接外审培训 应对外部认证审核机构质疑，及时采取纠正措施，确保顺利 通过外部认证审核 开展体系推广培训协助提交认证申请并获得证书 六、详细需求 投标人作为整个工程的管理方，应有丰富IS027001体系建设咨询、培训及 协助通过认证的工程管理经验，帮助招标人进行IS027001体系建设、IS027001 人员团队培养及协助顺利通过IS027001认证，并进行工程合规达标文档的制作 及知识转移。具体为： 1、IS027001 培训 提供IS027001相关培训，协助xxx银行数据中心培养IS027001体系人员 队伍、掌握IS02700I信息安全管理体系相关理论知识，并协助建立相应的 IS027001体系管理团队（该团队由服务范围涉及的所有部门的相关人员组成， 负责IS027001服务实施及后期维护）。同时，确保与本服务工程相关的每个部 门平均至少有2名人员获得IS