ISO-27001综合项目关键技术需求书.doc

ISO 27001项目技术需求书 一、项目简介 随着xx公司信息化迅速推动，对信息系统依赖限度日益加深，信息系统作为公司业务基本，保障其可用性、完整性和保密性，保护xx公司核心数据资产，维护公司核心利益，在当前形式下显得非常重要。 为加强xx公司信息安全体系建设步伐，实现信息安全管理工作体系化和精细化，提高对信息安全风险管控能力，保护公司敏感数据；同步，借助ISO27001体系认证提高客户对公司信心，xx公司特启动信息安全体系建设项目。 本项目应以ISO27001：原则为基准，结合xx公司信息安全现状，全面开展漏洞扫描、渗入测试、风险评价和风险处置等工作，在此基本上完毕安全体系规划和中短期建设路线图，建立完备信息安全管理制度和配套技术规范；同步，以管理制度切实落地运营为基本规定，完善系统安全基线规范和补丁加固流程，细化信息系统运维IT服务交付流程建设，建立数据安全管控原则并逐渐深化管控流程，加强对第三方和合伙伙伴信息安全管控，强化安全组织建设和人员技能，规范员工行为，控制安全风险，最后完毕ISO27001体系搭建、建设并获得权威认证机构颁发ISO27001:体系证书，为将来信息安全管理各项规定深化落地奠定基本。 二、商务规定 1.资质规定 参加提供服务征询服务供应商必要符合如下资质规定： （1） 在中华人民共和国境内注册，可以独立承担民事责任独立公司法人； （2） 有依法税收良好记录； （3） 公司经营状况良好； （4） 具备征询服务、信息安全服务、质量管理等有关资质证书; 供应商应提供营业执照（副本)\组织机构代码证\税务登记证复印件,以及增值税专用发票账户信息。 2.报价阐明及规定 1）针对本项目进行报价，以人民币‘元’为单位进行报价。 2）报价内容项如下： （1）信息安全体系建设征询费用，包括资产梳理、风险评估与处置、体系规划设计、管理制度流程和技术规范编写、体系落地试运营和外部认证审核现场支持和相应整治辅导等。 （2）渗入测试服务费用，涉及对既有网络、系统和应用进行全面漏洞扫描和分析，确认信息系统脆弱性和面临威胁，并对高危漏洞提供加固办法。 （3）培训费用，涉及2名ISO27001LA培训及认证机构颁发资质证书。 （4）预估认证费用，规定推荐至少1家认证机构（BSI、DNV、SGS、ISCCC、华夏等，征询机构需承诺最后认证费用不超过本次预估费用，否则由征询机构弥补差价）。 （5）工具平台费用，规定推荐业界成熟、口碑良好并得到广泛应用渗入测试工具和漏洞风险管理系统。 三、技术规定 本项目中，服务商应协助xx公司搭建完备信息安全管理体系并保证体系落地运营，并提供安全工具平台（渗入测试与漏洞风险管理系统），项目范畴涉及： （1）组织范畴：公司总部IS、IT、ERM、HR、财务部、采购部、CDIC共7个部门，员工数量约为130人； （2）应用系统范畴：ERP/PLM/文献服务器/邮件服务器/邮件归档/反垃圾邮件系统/备份系统等； （3）物理范畴：办公场合&机房，位于xxxxxx。 1、本项目工作内容和规定涉及但不限于： （1）推荐业界技术成熟、性价比高渗入测试工具和漏洞风险管理系统平台，保证产品先进性和实用性，可以符合xx公司信息系统环境并支持寻常信息安全工作开展。 （2）全面梳理国家法律法规或行业原则规范、监管规定对于信息安全规定；对比国内领先行业监管规定和业界成熟规范/原则等，结合xx公司自身安全需求，全面分析xx公司信息安全管理现状，并出具差距分析报告，开展各类信息资产全面梳理和风险评估活动，明确xx公司信息安全风险级别和高风险项。 （3）在上海、武汉等场合组织范畴内，针对既有网络、操作系统和应用系统进行渗入测试服务，涉及全面漏洞扫描和分析，确认信息资产脆弱性和面临威胁并提交报告，以期全面地发现信息系统、数据、人员、供应商等资产中存在风险和问题；同步，对发现高危漏洞提供加固整治办法，协助xx公司进行整治。 （4）依照信息安全管理规定及信息安全检查和渗入、扫描、风险评估中发现有关问题，进行汇总和全面分析，完毕xx公司信息安全体系中各个子体系规划和架构设计，明确将来三年信息安全管理、技术和产品、流程等各项建设任务路线图和优先级； （5）依照xx公司信息安全管理需求,完善变更、事件等IT服务交付等流程细化，结合VPN、桌面终端管控等平台和产品推广应用，保证信息安全规定和详细控制点嵌入到员工寻常工作流程中，推动信息安全制度落地运营； （6）依照xx公司信息安全管理目的，开展相应配套应用安全、系统基线等安全技术规范和本公司安全技术原则建设，从应用系统开发设计、外包外购软件系统安全验收、服务端安全基线规范等源头进行控制，避免引入代码级安全隐患，建立新系统上线基线安全检查和加固实行办法，逐渐强化xx公司信息安全管控能力。 （7）以典型事业部为样本，开展针对数据资产分级原则和保护规范建设,纳入层次化信息安全管理体系文献制度中，并配合有关产品布置保证数据安全落地执行。 （8）按照ISO27001认证原则开展相应体系建设活动，涉及信息资产梳理、风险评估与处置、体系规划设计、管理制度流程和技术规范编写、体系落地试运营和外部认证审核现场支持和相应整治辅导，保证在xx公司指定期间内获得权威认证机构颁发ISO27001:认证证书。 （9）作为征询单位，“客观、独立、负责”地向xx公司推荐业界权威ISO27001认证机构(至少1家国际认证机构)并详细阐明推荐理由,保证ISO27001认证过程符合国家有关法规政策和CNAS监管规定规定，保证ISO27001证书含金量（面向xx公司国内外客户）。同步，对于推荐认证机构，征询单位需承诺：如果最后认证费用（按照国家规定，认证合同必要由认证机构与最后客户直接订立）超过报价表中预估认证费用，则由征询机构弥补相应差价。 （10）进一步开展知识转移工作，与认证培训机构紧密合伙，为xx公司培养2名ISO27001LA(主任审核员)，提高人员管理体系推动和IT审核专业技能，保证信息安全制度规定在公司执行能得到有效执行。 （11）项目实行方案应保证项目可以有序、高效地推动，项目建设工程办法应成熟并在其她项目中已经得到验证。 2、服务规定 供应商在投标时，应提交项目管理方案，方案应至少涉及项目组织构造、人员安排、进度筹划、项目管理机制等内容，并具备可操作性。 详细规定如下： （1）服务能力：供应商应在信息安全管理规划和实行领域具备较强技术实力，以及稳定顾问人员队伍。由于项目内容复杂，长期驻场项目人员上海不得至少2人，武汉不得少于1人。所有顾问必要具备ISO27001 LA、CISSP、CISA、CISP、PMP等资格证书，且具备丰富信息安全规划和体系建设征询实行类项目建设经验，禁止使用实习生或中初级顾问人员来凑人天。 （2）组织构造：供应商应建立该项目人员组织架构。供应商提出项目组织架构和参加人员需得到xx公司承认。供应商服务团队中，应当至少包括如下核心角色，并符合相应人员资质规定： 角色 重要职责及参加规定 资质规定 人数 资深安全顾问 1、组织与协调双方项目组完毕双方批准工作任务，协调建立项目环境； ü 2、共同制定详细项目筹划及核心途径，协调项目资源及详细工作安排 ü 3、承担该项目总体设计与规划工作，负责提出前瞻性体系建设方案与技术路线规划； ü 4、项目经理必要为资深级别安全顾问 以上信息安全征询项目管理经验，具备大型公司安全架构规划设计经验，拥有CISSP、CISA、CISP、ISO27001 LA等多项证书 至少3人 高档征询顾问 1、负责项目详细实行工作，建立安全流程并负责推动各部门完毕完全落地； 2、负责资产重要性鉴别、威胁分析、风险评价和风险处置等安全专业判断和分析，给出专业安全整治建议； 3、负责管理制度、规范、表单和流程文献编写和宣导； 4、负责体系建设各项目活动推动和回顾改进。 8年以上信息安全征询项目实行经验，良好技术功底和文字表达能力，具备安全架构规划设计经验，可以推动各部门完毕风险评估、安全审计等工作开展，具备CISA、CISP、ISO27001 LA、ITIL、ISO0LA、PMP等多项证书 至少 3人 高档技术工程师/渗入测试工程师 1、进行漏洞扫描、渗入测试等工作； 2、进行技术方面风险评估以及技术规范建立 3、配套安全基线技术规范建设和推动 4、安全产品与管理制度、流程结合、知识转移 5年以上信息安全工作经验 具备CCIE\RHCE等网络、数据库、存储、web应用安全等有关专业资质证书 至少 3人 （3） 对渗入测试工具和漏洞风险管理系统平台指标规定 供应商应推荐业界技术成熟、性价比高工具平台，供xx公司选取： 名称 技术指标 渗入测试工具 1.开源框架，具备大型开源社区支持（必要提供开源社区网址） 2.使用脚本语言Ruby开发 3.智能渗入测试（自动选取所有匹配模块进行袭击，支持dry-run功能）；同步支持手工渗入 4.基线渗入测试报告自动生成（必要提供报告样本） 5.Web界面（必要提供截图） 6.网络发现功能 7.可以导入世界级主流漏洞报告，如Nexpose、APPSCAN、AWVS，并进行漏洞自动验证 8.漏洞运用模块不少于1400个，总模块数量不少于1900个（必要提供截屏） 9.自动证据收集功能（涉及截屏、密码和哈希值以及系统信息等） 10.脚本重放（生成脚本进行袭击重放，从而可以测试补救办法与否启作用） 11.安装环境：Windows、Linux 12.至少每2周更新一次 13.必要和漏洞风险管理系统是同一厂商，完全兼容。可以直接在操作界面上启动漏洞扫描系统，并且成果自动导入（须提供截屏） 14.集成NMAP扫描（须提供截屏） 15.密码暴力猜测功能（尝试最常使用或在渗入过程中捕抓到密码，密码哈希值可以被自动破解） 16.代理跳板功能（运用一台攻陷机器发动针对另一种目的袭击） 17.无限制IP 18.数据管理（通过可搜索数据库跟踪所有发现数据） 19.必要提供可以试用license（不少于14天），以及在线下载地址 20.需要提供原厂授权 漏洞风险管理系统 1.漏洞库数量不少于6万（须提供截屏） 2.检查项不少于12万 3.漏洞分类不少于150个（须提供截屏） 4.扫描引擎数量>=2个 5.可以扫描各种操作系统（Windows，Linux，Unix）、数据库(SQL Server，DB2，Oracle，MySQL等)、Web应用、中间件、浏览器、Adobe应用、路由器、互换机等等 6.自动更新（涉及微软周二补丁更新后24小时之内完毕相应更新） 7.报告类型至少涉及审计报告、补救报告、管理报告，并且规定补救报告非常详细（例如在报告中直接体现补丁下载链接，预计下载所需时间，打补丁后可以解决问题等等），须提供各种报告样本 8.定期扫描和告警（须提供截屏） 9.动态IT资产组管理（须提供截屏） 10.满足PCI合规规定（需提供有关报告，以及PCI委员会网站有关信息截屏证明） 11.支持报表和扫描定制功能 12.提供API接口（须提供API使用指南） 13.分布式扫描 14.安装环境（Windows，Linux） 15.必要和渗入测试工具是同一厂商，保证可以完全兼容 16. 必要提供可以试用license（不少于14天），以及在线下载地址 17. 需要提供原厂授权 （4）人员安排: 为保证本项目交付质量，避免安全管理制度流于形式，供应商应按规定协调相应资源保质保量地投入到本项目，并及时对的地完毕所分派任务，项目组中禁止使用初级人员或实习生。本项目中，项目经理/资深顾问投入不得少于150人天(现场)， 体系建设征询服务总投入不得少于280人天(涉及上海和北京现场) ，渗入测试服务总投入不得少于30人天。 在供应商入场前，应向xx公司提供实行团队人员详细资料，xx公司有权依照项目实际状况规定调换。 供应商应在合同期内保证项目人员稳定性。如果依照项目需要、或xx公司/供应商祈求、或不可抗拒因素，需要对于供应商参加本项目有关人员进行调节（涉及人员增减和更换）时，双方将本着对项目负责原则，在进行充分协商并获得xx公司批准后尽快完毕人员调节。此外xx公司对于供应商不能胜任项目工作人员，有权提出调节规定。 （5） 进度安排:供应商应提交详细征询工作筹划，以及相应人员等资源配备和投入状况，并明确提供每个阶段阶段目的、阶段应交付成果、验收根据、双方责任和义务。 （6）知识产权规定 供应商为采购人编制所有文档、报告或其她服务成果（无论是暂时版本、中间版本还是最后版本），采购人享有所有知识产权。 （7）保密规定 供应商对在本项目中从xx公司所获取任何信息，无论是以口头、书面、电子还是其她形式为载体，均负有永久保密义务，事先未经采购人书面批准，供应商不得将合同文献及xx公司提供关于业务需求、设计、原则、筹划等文档资料泄露给供应商在本合同中雇用人以外其她人。 (8) 服务能力证明材料 供应商提供产品和服务必要达到或超过需求描述中有关指标规定，并提供证明材料，涉及但不限于 a、27001管理体系征询服务方案； b、渗入测试服务详细描述； c、投标产品技术指标(含漏扫及风险管理平台)； d、可供参加本项目人力资源、重要成员简历和项目经验； e、项目实行进度筹划； f、项目知识转移； g、各项支持和服务承诺； h、对IT运维流程建设和ISO0体系融合考虑和建议； i、对敏感数据信息资产安全保护和建议； j、对风险评估工作开展建议； k、对安全基线管理和流程建议； l、对安全体系架构设计考虑和建议； m、ISO27001管理体系建设重要输出文档模板 n、安全基线配备技术规范样本（例如Linux、web服务器等） o、对证书和认证机构推荐选取，以及相应理由； p、投标人以为需要提供其她技术材料。