(完整版)ISO 27001项目技术需求书

ISO 27001项目技术需求书
一、项目介绍
随着xx公司信息化的快速推进,对信息系统的依赖程度日益加深，信息系统作为公司业务的基础，保障其可用性、完整性和保密性, 保护xx公司的关键数据资产，维护企业核心利益，在当前形式下显得非常重要。

为加强xx公司信息安全体系的建设步伐，实现信息安全管理工作体系化和精细化,提高对信息安全风险的管控能力，保护企业敏感数据；同时,借助ISO27001体系认证提升客户对企业的信心，xx公司特启动信息安全体系建设项目。

本项目应以ISO27001：2013标准为基准，结合xx公司信息安全现状，全面开展漏洞扫描、渗透测试、风险评价和风险处置等工作，在此基础上完成安全体系规划和中短期建设的路线图，建立完备的信息安全管理制度和配套技术规范；同时，以管理制度的切实落地运行为基本要求,完善系统安全基线规范和补丁加固流程，细化信息系统运维IT 服务交付流程建设，建立数据安全管控标准并逐步深化管控流程，加强对第三方和合作伙伴的信息安全管控，强化安全组织建设和人员技能，规范员工行为，控制安全风险，最终完成ISO27001体系搭建、建设并获得权威认证机构颁发的ISO27001:2013体系证书，为将来信息安全管理各项要求的深化落地奠定基础.
二、商务要求
1。

资质要求
参与提供服务的咨询服务供应商必须符合以下资质要求：
（1）在中华人民共和国境内注册,能够独立承担民事责任的独立企业法人；
（2）有依法税收的良好记录；
（3）企业经营状况良好；
（4）具有咨询服务、信息安全服务、质量管理等相关资质证书;
供应商应提供营业执照（副本)\组织机构代码证\税务登记证复印件,以及增值税专用发票账户信息。

2.报价说明及要求
1)针对本项目进行报价,以人民币‘元’为单位进行报价。

2）报价内容项如下：
(1）信息安全体系建设咨询费用，包含资产梳理、风险评估与处置、体系规划设计、管理制度流程和技术规范编写、体系落地试运行和外部认证审核的现场支持和相应整改的辅导等。

（2）渗透测试服务费用，包括对现有网络、系统和应用进行全面漏洞扫描和分析，确认信息系统的脆弱性和面临的威胁，并对高危漏洞提供加固措施.
（3）培训费用,包括2名ISO27001LA的培训及认证机构颁发的资质证书。

（4）预估的认证费用，要求推荐至少1家认证机构（BSI、DNV、SGS、ISCCC、华夏等，咨询机构需承诺最终的认证费用不超过此次预估费用，否则由咨询机构弥补差价).
(5）工具平台费用，要求推荐业界成熟的、口碑良好并得到广泛应用的渗透测试工
具和漏洞风险管理系统。

三、技术要求
本项目中，服务商应协助xx公司搭建完备的信息安全管理体系并保证体系的落地运行，并提供安全工具平台（渗透测试与漏洞风险管理系统），项目范围包括:
(1)组织范围：公司总部IS、IT、ERM、HR、财务部、采购部、CDIC共7个部门，员工数量约为130人；
(2）应用系统范围：ERP/PLM/文件服务器/邮件服务器/邮件归档/反垃圾邮件系统/备份系统等；
(3)物理范围:办公场所&机房，位于xxxxxx。

1、本项目的工作内容和要求包括但不限于：
(1)推荐业界技术成熟、性价比高的渗透测试工具和漏洞风险管理系统平台，确保产品的先进性和实用性，能够符合xx公司的信息系统环境并支持日常信息安全工作的开展。

(2）全面梳理国家法律法规或行业标准规范、监管要求对于信息安全的要求;对比国内领先行业的监管要求和业界成熟的规范/标准等,结合xx公司的自身安全需求，全面分析xx公司的信息安全管理现状,并出具差距分析报告，开展各类信息资产的全面梳理和风险评估活动，明确xx公司信息安全的风险级别和高风险项.
（3）在上海、武汉等场所的组织范围内，针对现有的网络、操作系统和应用系统进行渗透测试服务，包括全面漏洞扫描和分析,确认信息资产的脆弱性和面临的威胁并提交报告，以期全面地发现信息系统、数据、人员、供应商等资产中存在的风险和问题；同时，对发现的高危漏洞提供加固整改措施,协助xx公司进行整改。

（4)根据信息安全管理要求及信息安全检查和渗透、扫描、风险评估中发现的相关问题，进行汇总和全面的分析，完成xx公司信息安全体系中各个子体系的规划和架构设计，明确未来三年信息安全管理、技术和产品、流程等各项建设任务的路线图和优先级；
（5）根据xx公司信息安全管理的需求,完善变更、事件等IT服务交付等流程的细化，结合VPN、桌面终端管控等平台和产品的推广应用，确保信息安全的要求和具体控制点嵌入到员工的日常工作流程中，推动信息安全制度的落地运行;
（6）根据xx公司信息安全管理目标，开展相应配套的应用安全、系统基线等安全技术规范和本企业安全技术标准的建设，从应用系统的开发设计、外包外购软件系统的安全验收、服务端安全基线规范等源头进行控制，避免引入代码级的安全隐患,建立新系统上线基线安全检查和加固的实施方法，逐步强化xx公司的信息安全管控能力。

（7）以典型事业部为样本,开展针对数据资产的分级标准和保护规范建设，纳入层次化的信息安全管理体系文件制度中,并配合相关产品的部署确保数据安全的落地执行。

（8)按照ISO27001认证标准开展相应的体系建设活动，包括信息资产梳理、风险评估与处置、体系规划设计、管理制度流程和技术规范编写、体系落地试运行和外部认证审核的现场支持和相应整改的辅导,确保在xx公司指定的时间内获得权威认证机构颁发的ISO27001：2013认证证书。

（9）作为咨询单位，“客观、独立、负责"地向xx公司推荐业界权威的ISO27001认证机构(至少1家国际认证机构)并详细阐明推荐理由,确保ISO27001认证过程符合国家相关法规政策和CNAS的监管规定要求，确保ISO27001证书的含金量（面向xx公司的
国内外客户）.同时,对于推荐的认证机构,咨询单位需承诺：如果最终的认证费用(按照国家规定,认证合同必须由认证机构与最终客户直接签署）超过报价表中预估的认证费用，则由咨询机构弥补相应的差价。

（10）深入开展知识转移工作,与认证培训机构紧密合作,为xx公司培养2名ISO27001LA(主任审核员）,提升人员管理体系推进和IT审核的专业技能,确保信息安全制度要求在企业的执行能得到的有效执行。

(11)项目实施方案应保证项目能够有序、高效地推进,项目建设工程方法应成熟并在其他项目中已经得到验证。

2、服务要求
供应商在投标时,应提交项目管理方案，方案应至少包括项目组织结构、人员安排、进度计划、项目管理机制等内容，并具有可操作性。

具体要求如下：
（1)服务能力：供应商应在信息安全管理规划和实施领域具有较强的技术实力,以及稳定的顾问人员队伍。

由于项目内容复杂，长期驻场的项目人员上海不得至少2人，武汉不得少于1人。

所有顾问必须具有ISO27001 LA、CISSP、CISA、CISP、PMP等资格证书，且具备丰富的信息安全规划和体系建设咨询实施类项目的建设经验，严禁使用实习生或中初级顾问人员来凑人天。

（2）组织结构：供应商应建立该项目的人员组织架构。

供应商提出的项目组织架构和参与人员需得到xx公司的认可。

供应商的服务团队中，应当至少包含以下关键角色，并符合相应的人员资质要求：
（3) 对渗透测试工具和漏洞风险管理系统平台的指标要求
（4）人员安排:
为确保本项目的交付质量,避免安全管理制度流于形式,供应商应按要求协调相应资源保质保量地投入到本项目，并及时正确地完成所分配的任务，项目组中禁止使用初级人员或实习生.本项目中，项目经理/资深顾问的投入不得少于150人天（现场), 体系建设咨询服务的总投入不得少于280人天(包括上海和北京现场) ，渗透测试服务的总投入不得少于30人天.
在供应商入场前，应向xx公司提供实施团队的人员详细资料,xx公司有权根据项目实际情况要求调换。

供应商应在合同期内保证项目人员稳定性。

如果根据项目需要、或xx公司/供应商请求、或不可抗拒的原因，需要对于供应商参与本项目的相关人员进行调整(包括人员的增减和更换)时，双方将本着对项目负责的原则，在进行充分协商并取得xx公司同意后尽快完成人员的调整。

另外xx公司对于供应商不能胜任项目工作的人员,有权提出调整要求。

（5）进度安排：供应商应提交详细的咨询工作计划,以及相应的人员等资源配备和投入情况，并明确提供每个阶段的阶段目标、阶段应交付的成果、验收依据、双方的责任和义务。

(6）知识产权要求
供应商为采购人编制的所有的文档、报告或其他服务成果(无论是临时版本、中间版本还是最终版本),采购人享有全部的知识产权。

(7）保密要求
供应商对在本项目中从xx公司所获取的任何信息，不论是以口头、书面、电子还是其他形式为载体,均负有永久保密义务，事先未经采购人书面同意，供应商不得将合同文件及xx公司提供的有关业务需求、设计、标准、计划等文档资料泄露给供应商在本合同中雇用的人以外的其他人.
（8）服务能力证明材料
供应商提供的产品和服务必须达到或超出需求描述中的相关指标要求，并提供证明材料，包括但不限于
a、27001管理体系咨询服务方案；
b、渗透测试服务的详细描述；
c、投标产品的技术指标(含漏扫及风险管理平台）；
d、可供参与本项目的人力资源、主要成员的简历和项目经验；
e、项目实施进度计划；
f、项目知识转移；
g、各项支持和服务承诺;
h、对IT运维流程建设和ISO20000体系融合的考虑和建议；
i、对敏感数据信息资产安全保护和建议;
j、对风险评估工作开展的建议；
k、对安全基线管理和流程的建议；
l、对安全体系架构设计的考虑和建议;
m、ISO27001管理体系建设的主要输出文档的模板
n、安全基线配置技术规范的样本（例如Linux、web服务器等）
o、对证书和认证机构的推荐选择，以及相应理由;
p、投标人认为需要提供的其他技术材料.。