(完整版)ISO 27001項目技術需求書

1、Forinternaluseonly.Copyrightxx.Allrightsreserved.Printedcopiesareuncontrolled.Version:01Page of7ISO27001項目技術需求書一、項目介紹隨著xx公司信息化的快速推進,對信息系統(tǒng)的依賴程度日益加深，信息系統(tǒng)作為公司業(yè)務的基礎，保障其可用性、完整性和保密性,保護xx公司的關鍵數據資產，維護企業(yè)核心利益，在當前形式下顯得非常重要。為加強xx公司信息安全體系的建設步伐，實現信息安全管理工作體系化和精細化,提高對信息安全風險的管控能力，保護企業(yè)敏感數據；同時,借助ISO27001體系認證提升客戶對企業(yè)的信心

2、，XX公司特啟動信息安全體系建設項目。本項目應以IS027001:2013標準為基準，結合XX公司信息安全現狀，全面開展漏洞掃描、滲透測試、風險評價和風險處置等工作，在此基礎上完成安全體系規(guī)劃和中短期建設的路線圖，建立完備的信息安全管理制度和配套技術規(guī)范；同時，以管理制度的切實落地運行為基本要求,完善系統(tǒng)安全基線規(guī)范和補丁加固流程，細化信息系統(tǒng)運維IT服務交付流程建設，建立數據安全管控標準并逐步深化管控流程，加強對第三方和合作伙伴的信息安全管控，強化安全組織建設和人員技能，規(guī)范員工行為，控制安全風險，最終完成ISO27001體系搭建、建設并獲得權威認證機構頒發(fā)的ISO27001:2013體系證

3、書，為將來信息安全管理各項要求的深化落地奠定基礎.二、商務要求1。資質要求參與提供服務的咨詢服務供應商必須符合以下資質要求：（1）在中華人民共和國境內注冊,能夠獨立承擔民事責任的獨立企業(yè)法人；（2）有依法稅收的良好記錄；（3）企業(yè)經營狀況良好；（4）具有咨詢服務、信息安全服務、質量管理等相關資質證書;供應商應提供營業(yè)執(zhí)照（副本）組織機構代碼證稅務登記證復印件,以及增值稅專用發(fā)票賬戶信息。2.報價說明及要求1）針對本項目進行報價,以人民幣元為單位進行報價。2）報價內容項如下：（1）信息安全體系建設咨詢費用，包含資產梳理、風險評估與處置、體系規(guī)劃設計、管理制度流程和技術規(guī)范編寫、體系落地試運行和外

4、部認證審核的現場支持和相應整改的輔導等。（2）滲透測試服務費用，包括對現有網絡、系統(tǒng)和應用進行全面漏洞掃描和分析，確認信息系統(tǒng)的脆弱性和面臨的威脅，并對高危漏洞提供加固措施.（3）培訓費用，包括2名ISO27001LA的培訓及認證機構頒發(fā)的資質證書。（4）預估的認證費用，要求推薦至少1家認證機構（BSI、DNV、SGS、ISCCC、華夏等，咨詢機構需承諾最終的認證費用不超過此次預估費用，否則由咨詢機構彌補差價）.（5）工具平臺費用，要求推薦業(yè)界成熟的、口碑良好并得到廣泛應用的滲透測試工(完整版)ISO27001項目技術需求書Forinternaluseonly.Copyrightxx.Allr

5、ightsreserved.Printedcopiesareuncontrolled.Version:01Page of7具和漏洞風險管理系統(tǒng)。三、技術要求本項目中，服務商應協助xx公司搭建完備的信息安全管理體系并保證體系的落地運行，并提供安全工具平臺(滲透測試與漏洞風險管理系統(tǒng))，項目范圍包括:組織范圍：公司總部IS、IT、ERM、HR、財務部、采購部、CDIC共7個部門，員工數量約為130人；應用系統(tǒng)范圍：ERP/PLM/文件服務器/郵件服務器/郵件歸檔/反垃圾郵件系統(tǒng)/備份系統(tǒng)等；物理范圍:辦公場所&機房，位于xxxxxx。1、本項目的工作內容和要求包括但不限于：推薦業(yè)界技術成熟、性價比

6、高的滲透測試工具和漏洞風險管理系統(tǒng)平臺，確保產品的先進性和實用性，能夠符合xx公司的信息系統(tǒng)環(huán)境并支持日常信息安全工作的開展。全面梳理國家法律法規(guī)或行業(yè)標準規(guī)范、監(jiān)管要求對于信息安全的要求；對比國內領先行業(yè)的監(jiān)管要求和業(yè)界成熟的規(guī)范/標準等，結合xx公司的自身安全需求，全面分析xx公司的信息安全管理現狀,并出具差距分析報告，開展各類信息資產的全面梳理和風險評估活動，明確xx公司信息安全的風險級別和高風險項.在上海、武漢等場所的組織范圍內，針對現有的網絡、操作系統(tǒng)和應用系統(tǒng)進行滲透測試服務，包括全面漏洞掃描和分析，確認信息資產的脆弱性和面臨的威脅并提交報告，以期全面地發(fā)現信息系統(tǒng)、數據、人員、供

7、應商等資產中存在的風險和問題；同時，對發(fā)現的高危漏洞提供加固整改措施，協助xx公司進行整改。根據信息安全管理要求及信息安全檢查和滲透、掃描、風險評估中發(fā)現的相關問題，進行匯總和全面的分析，完成xx公司信息安全體系中各個子體系的規(guī)劃和架構設計，明確未來三年信息安全管理、技術和產品、流程等各項建設任務的路線圖和優(yōu)先級；根據xx公司信息安全管理的需求，完善變更、事件等IT服務交付等流程的細化，結合VPN、桌面終端管控等平臺和產品的推廣應用，確保信息安全的要求和具體控制點嵌入到員工的日常工作流程中，推動信息安全制度的落地運行；根據xx公司信息安全管理目標，開展相應配套的應用安全、系統(tǒng)基線等安全技術規(guī)范

8、和本企業(yè)安全技術標準的建設，從應用系統(tǒng)的開發(fā)設計、外包外購軟件系統(tǒng)的安全驗收、服務端安全基線規(guī)范等源頭進行控制，避免引入代碼級的安全隱患，建立新系統(tǒng)上線基線安全檢查和加固的實施方法，逐步強化xx公司的信息安全管控能力。以典型事業(yè)部為樣本，開展針對數據資產的分級標準和保護規(guī)范建設，納入層次化的信息安全管理體系文件制度中，并配合相關產品的部署確保數據安全的落地執(zhí)行。按照ISO27001認證標準開展相應的體系建設活動，包括信息資產梳理、風險評估與處置、體系規(guī)劃設計、管理制度流程和技術規(guī)范編寫、體系落地試運行和外部認證審核的現場支持和相應整改的輔導，確保在xx公司指定的時間內獲得權威認證機構頒發(fā)的IS

9、O27001:2013認證證書。作為咨詢單位，“客觀、獨立、負責地向xx公司推薦業(yè)界權威的ISO27001認證機構(至少1家國際認證機構)并詳細闡明推薦理由，確保ISO27001認證過程符合國家相關法規(guī)政策和CNAS的監(jiān)管規(guī)定要求，確保ISO27001證書的含金量(面向xx公司的Forinternaluseonly.Copyrightxx.Allrightsreserved.Printedcopiesareuncontrolled.Version:01Page of7(完整版)ISO27001項目技術需求書國內外客戶)同時，對于推薦的認證機構，咨詢單位需承諾：如果最終的認證費用(按照國家規(guī)定，

10、認證合同必須由認證機構與最終客戶直接簽署)超過報價表中預估的認證費用，則由咨詢機構彌補相應的差價。深入開展知識轉移工作，與認證培訓機構緊密合作，為xx公司培養(yǎng)2名IS027001LA(主任審核員)，提升人員管理體系推進和IT審核的專業(yè)技能，確保信息安全制度要求在企業(yè)的執(zhí)行能得到的有效執(zhí)行。(11)項目實施方案應保證項目能夠有序、高效地推進，項目建設工程方法應成熟并在其他項目中已經得到驗證。2、服務要求供應商在投標時，應提交項目管理方案，方案應至少包括項目組織結構、人員安排、進度計劃、項目管理機制等內容，并具有可操作性。具體要求如下：服務能力：供應商應在信息安全管理規(guī)劃和實施領域具有較強的技術實

11、力，以及穩(wěn)定的顧問人員隊伍。由于項目內容復雜，長期駐場的項目人員上海不得至少2人，武漢不得少于1人。所有顧問必須具有IS027001LA、CISSP、CISA、CISP、PMP等資格證書，且具備豐富的信息安全規(guī)劃和體系建設咨詢實施類項目的建設經驗，嚴禁使用實習生或中初級顧問人員來湊人天。組織結構：供應商應建立該項目的人員組織架構。供應商提出的項目組織架構和參與人員需得到xx公司的認可。供應商的服務團隊中，應當至少包含以下關鍵角色，并符合相應的人員資質要求：角色主要職責及參與要求資質要求人數資深安全顧問1、組織與協調雙方項目組完成雙方同意的工作任務，協調建立項目環(huán)境；2、共同制定詳細項目計劃及關

12、鍵路徑，協調項目資源及具體工作安排3、承擔該項目的總體設計與規(guī)劃工作，負責提出前瞻性的體系建設方案與技術路線規(guī)劃；4、項目經理必須為資深級別的安全顧問10年以上信息安全咨詢項目管理經驗，具備大型企業(yè)的安全架構規(guī)劃設計經驗，擁有CISSP、CISA、CISP、IS027001LA等多項證書至少3人高級咨詢顧問1、負責項目具體實施工作，建立安全流程并負責推動各部門完成完全的落地；2、負責資產重要性判別、威脅分析、風險評價和風險處置等安全專業(yè)判斷和分析，給出專業(yè)的安全整改建議；3、負責管理制度、規(guī)范、表單和流8年以上信息安全咨詢項目實施經驗，良好的技術功底和文字表達能力，具備安全架構規(guī)劃設計經驗，能

13、夠推動各部門完成風險評估、安全審計等工作的開展，具備CISA、CISP、IS027001LA、ITIL、IS020000LA、PMP至少3人（完整版）ISO27001項目技術需求書Forinternaluseonly.Copyrightxx.Allrightsreserved.Printedcopiesareuncontrolled.Version:01Page of7程文件的編寫和宣導；4、負責體系建設各項目活動的推進和回顧改進。等多項證書高級技術工程師/滲透測試工程師1、進行漏洞掃描、滲透測試等工作；2、進行技術方面的風險評估以及技術規(guī)范的建立3、配套安全基線技術規(guī)范的建設和推進4、安全產

14、品與管理制度、流程的結合、知識的轉移5年以上的信息安全工作經驗具有CCIERHCE等網絡、數據庫、存儲、web應用安全等相關專業(yè)資質證書至少3人（3）對滲透測試工具和漏洞風險管理系統(tǒng)平臺的指標要求供應商應推薦業(yè)界技術成熟、性價比高的工具平臺，供xx公司選擇：名稱技術指標滲透測試工具開源框架，具有大型開源社區(qū)支持（必須提供開源社區(qū)網址）使用腳本語言Ruby開發(fā)智能滲透測試（自動選擇所有匹配的模塊進行攻擊，支持dry-run功能）；同時支持手工滲透基線滲透測試報告自動生成（必須提供報告樣本）Web界面（必須提供截圖）網絡發(fā)現功能可以導入世界級主流漏洞報告，如Nexpose、APPSCAN、AWVS

15、，并進行漏洞自動驗證漏洞利用模塊不少于1400個，總模塊數量不少于1900個（必須提供截屏）自動證據收集功能（包括截屏、密碼和哈希值以及系統(tǒng)信息等）腳本重放（生成腳本進行攻擊重放，從而可以測試補救措施是否啟作用）安裝環(huán)境：Windows、Linux至少每2周更新一次必須和漏洞風險管理系統(tǒng)是同一廠商，完全兼容?？梢灾苯釉诓僮鹘缑嫔蠁勇┒磼呙柘到y(tǒng)，并且結果自動導入（須提供截屏）集成NMAP掃描（須提供截屏）密碼暴力猜測功能（嘗試最常使用或在滲透過程中捕抓到的密碼，密碼哈希值可以被自動破解）代理跳板功能（利用一臺攻陷的機器發(fā)動針對另一個目標的攻擊）無限制IP數據管理（通過可搜索的數據庫跟蹤所有發(fā)現

16、的數據）必須提供可以試用的license（不少于14天），以及在線下載的地址需要提供原廠授權漏洞風險管理系統(tǒng)漏洞庫數量不少于6萬（須提供截屏）檢查項不少于12萬3漏洞分類不少于150個（須提供截屏）4。掃描引擎數量二2個5。可以掃描各種操作系統(tǒng)（Windows,Linux,Unix）、數據庫（SQLServer，DB2,Oracle,MySQL等）、Web應用、中間件、瀏覽器、Adobe應用、路由器、交換機等等自動更新（包括微軟周二補丁更新后的24小時之內完成對應更新）7。報告類型至少包括審計報告、補救報告、管理報告，并且要求補救報告非常詳細（例如在報告中直接體現補丁的下載鏈接，估計下載所需時

17、間，打補丁后可以解決的問題等等），須提供各種報告樣本定時掃描和告警（須提供截屏）9。動態(tài)IT資產組管理（須提供截屏）滿足PCI合規(guī)要求（需提供相關報告，以及PCI委員會網站相關信息截屏證明）支持報表和掃描的定制功能提供API接口（須提供API使用指南）13。分布式掃描安裝環(huán)境（Windows,Linux）15。必須和滲透測試工具是同一廠商，確保能夠完全兼容16。必須提供可以試用的license（不少于14天），以及在線下載的地址17。需要提供原廠授權（4）人員安排:為確保本項目的交付質量,避免安全管理制度流于形式,供應商應按要求協調相應資源保質保量地投入到本項目，并及時正確地完成所分配的任務，

18、項目組中禁止使用初級人員或實習生.本項目中，項目經理/資深顧問的投入不得少于150人天（現場），體系建設咨詢服務的總投入不得少于280人天（包括上海和北京現場），滲透測試服務的總投入不得少于30人天.在供應商入場前，應向XX公司提供實施團隊的人員詳細資料，xx公司有權根據項目實際情況要求調換。供應商應在合同期內保證項目人員穩(wěn)定性。如果根據項目需要、或xx公司/供應商請求、或不可抗拒的原因，需要對于供應商參與本項目的相關人員進行調整（包括人員的增減和更換）時，雙方將本著對項目負責的原則，在進行充分協商并取得xx公司同意后盡快完成人員的調整。另外xx公司對于供應商不能勝任項目工作的人員，有權提出調整要求。（5）進度安排：供應商應提交詳細的咨詢工作計劃，以及相應的人員等資源配備和投入情況，并明確提供