ISO 27001综合项目关键技术需求书.docx
《ISO 27001综合项目关键技术需求书.docx》由会员分享,可在线阅读,更多相关《ISO 27001综合项目关键技术需求书.docx(9页珍藏版)》请在冰豆网上搜索。
ISO27001综合项目关键技术需求书
ISO27001项目技术需求书
一、项目简介
随着xx公司信息化迅速推动,对信息系统依赖限度日益加深,信息系统作为公司业务基本,保障其可用性、完整性和保密性,保护xx公司核心数据资产,维护公司核心利益,在当前形式下显得非常重要。
为加强xx公司信息安全体系建设步伐,实现信息安全管理工作体系化和精细化,提高对信息安全风险管控能力,保护公司敏感数据;同步,借助ISO27001体系认证提高客户对公司信心,xx公司特启动信息安全体系建设项目。
本项目应以ISO27001:
原则为基准,结合xx公司信息安全现状,全面开展漏洞扫描、渗入测试、风险评价和风险处置等工作,在此基本上完毕安全体系规划和中短期建设路线图,建立完备信息安全管理制度和配套技术规范;同步,以管理制度切实落地运营为基本规定,完善系统安全基线规范和补丁加固流程,细化信息系统运维IT服务交付流程建设,建立数据安全管控原则并逐渐深化管控流程,加强对第三方和合伙伙伴信息安全管控,强化安全组织建设和人员技能,规范员工行为,控制安全风险,最后完毕ISO27001体系搭建、建设并获得权威认证机构颁发ISO27001:
体系证书,为将来信息安全管理各项规定深化落地奠定基本。
二、商务规定
1.资质规定
参加提供服务征询服务供应商必要符合如下资质规定:
(1)在中华人民共和国境内注册,可以独立承担民事责任独立公司法人;
(2)有依法税收良好记录;
(3)公司经营状况良好;
(4)具备征询服务、信息安全服务、质量管理等有关资质证书;
供应商应提供营业执照(副本)\组织机构代码证\税务登记证复印件,以及增值税专用发票账户信息。
2.报价阐明及规定
1)针对本项目进行报价,以人民币‘元’为单位进行报价。
2)报价内容项如下:
(1)信息安全体系建设征询费用,包括资产梳理、风险评估与处置、体系规划设计、管理制度流程和技术规范编写、体系落地试运营和外部认证审核现场支持和相应整治辅导等。
(2)渗入测试服务费用,涉及对既有网络、系统和应用进行全面漏洞扫描和分析,确认信息系统脆弱性和面临威胁,并对高危漏洞提供加固办法。
(3)培训费用,涉及2名ISO27001LA培训及认证机构颁发资质证书。
(4)预估认证费用,规定推荐至少1家认证机构(BSI、DNV、SGS、ISCCC、华夏等,征询机构需承诺最后认证费用不超过本次预估费用,否则由征询机构弥补差价)。
(5)工具平台费用,规定推荐业界成熟、口碑良好并得到广泛应用渗入测试工具和漏洞风险管理系统。
三、技术规定
本项目中,服务商应协助xx公司搭建完备信息安全管理体系并保证体系落地运营,并提供安全工具平台(渗入测试与漏洞风险管理系统),项目范畴涉及:
(1)组织范畴:
公司总部IS、IT、ERM、HR、财务部、采购部、CDIC共7个部门,员工数量约为130人;
(2)应用系统范畴:
ERP/PLM/文献服务器/邮件服务器/邮件归档/反垃圾邮件系统/备份系统等;
(3)物理范畴:
办公场合&机房,位于xxxxxx。
1、本项目工作内容和规定涉及但不限于:
(1)推荐业界技术成熟、性价比高渗入测试工具和漏洞风险管理系统平台,保证产品先进性和实用性,可以符合xx公司信息系统环境并支持寻常信息安全工作开展。
(2)全面梳理国家法律法规或行业原则规范、监管规定对于信息安全规定;对比国内领先行业监管规定和业界成熟规范/原则等,结合xx公司自身安全需求,全面分析xx公司信息安全管理现状,并出具差距分析报告,开展各类信息资产全面梳理和风险评估活动,明确xx公司信息安全风险级别和高风险项。
(3)在上海、武汉等场合组织范畴内,针对既有网络、操作系统和应用系统进行渗入测试服务,涉及全面漏洞扫描和分析,确认信息资产脆弱性和面临威胁并提交报告,以期全面地发现信息系统、数据、人员、供应商等资产中存在风险和问题;同步,对发现高危漏洞提供加固整治办法,协助xx公司进行整治。
(4)依照信息安全管理规定及信息安全检查和渗入、扫描、风险评估中发现有关问题,进行汇总和全面分析,完毕xx公司信息安全体系中各个子体系规划和架构设计,明确将来三年信息安全管理、技术和产品、流程等各项建设任务路线图和优先级;
(5)依照xx公司信息安全管理需求,完善变更、事件等IT服务交付等流程细化,结合VPN、桌面终端管控等平台和产品推广应用,保证信息安全规定和详细控制点嵌入到员工寻常工作流程中,推动信息安全制度落地运营;
(6)依照xx公司信息安全管理目的,开展相应配套应用安全、系统基线等安全技术规范和本公司安全技术原则建设,从应用系统开发设计、外包外购软件系统安全验收、服务端安全基线规范等源头进行控制,避免引入代码级安全隐患,建立新系统上线基线安全检查和加固实行办法,逐渐强化xx公司信息安全管控能力。
(7)以典型事业部为样本,开展针对数据资产分级原则和保护规范建设,纳入层次化信息安全管理体系文献制度中,并配合有关产品布置保证数据安全落地执行。
(8)按照ISO27001认证原则开展相应体系建设活动,涉及信息资产梳理、风险评估与处置、体系规划设计、管理制度流程和技术规范编写、体系落地试运营和外部认证审核现场支持和相应整治辅导,保证在xx公司指定期间内获得权威认证机构颁发ISO27001:
认证证书。
(9)作为征询单位,“客观、独立、负责”地向xx公司推荐业界权威ISO27001认证机构(至少1家国际认证机构)并详细阐明推荐理由,保证ISO27001认证过程符合国家有关法规政策和CNAS监管规定规定,保证ISO27001证书含金量(面向xx公司国内外客户)。
同步,对于推荐认证机构,征询单位需承诺:
如果最后认证费用(按照国家规定,认证合同必要由认证机构与最后客户直接订立)超过报价表中预估认证费用,则由征询机构弥补相应差价。
(10)进一步开展知识转移工作,与认证培训机构紧密合伙,为xx公司培养2名ISO27001LA(主任审核员),提高人员管理体系推动和IT审核专业技能,保证信息安全制度规定在公司执行能得到有效执行。
(11)项目实行方案应保证项目可以有序、高效地推动,项目建设工程办法应成熟并在其她项目中已经得到验证。
2、服务规定
供应商在投标时,应提交项目管理方案,方案应至少涉及项目组织构造、人员安排、进度筹划、项目管理机制等内容,并具备可操作性。
详细规定如下:
(1)服务能力:
供应商应在信息安全管理规划和实行领域具备较强技术实力,以及稳定顾问人员队伍。
由于项目内容复杂,长期驻场项目人员上海不得至少2人,武汉不得少于1人。
所有顾问必要具备ISO27001LA、CISSP、CISA、CISP、PMP等资格证书,且具备丰富信息安全规划和体系建设征询实行类项目建设经验,禁止使用实习生或中初级顾问人员来凑人天。
(2)组织构造:
供应商应建立该项目人员组织架构。
供应商提出项目组织架构和参加人员需得到xx公司承认。
供应商服务团队中,应当至少包括如下核心角色,并符合相应人员资质规定:
角色
重要职责及参加规定
资质规定
人数
资深安全顾问
1、组织与协调双方项目组完毕双方批准工作任务,协调建立项目环境;
✓2、共同制定详细项目筹划及核心途径,协调项目资源及详细工作安排
✓3、承担该项目总体设计与规划工作,负责提出前瞻性体系建设方案与技术路线规划;
✓4、项目经理必要为资深级别安全顾问
以上信息安全征询项目管理经验,具备大型公司安全架构规划设计经验,拥有CISSP、CISA、CISP、ISO27001LA等多项证书
至少3人
高档征询顾问
1、负责项目详细实行工作,建立安全流程并负责推动各部门完毕完全落地;
2、负责资产重要性鉴别、威胁分析、风险评价和风险处置等安全专业判断和分析,给出专业安全整治建议;
3、负责管理制度、规范、表单和流程文献编写和宣导;
4、负责体系建设各项目活动推动和回顾改进。
8年以上信息安全征询项目实行经验,良好技术功底和文字表达能力,具备安全架构规划设计经验,可以推动各部门完毕风险评估、安全审计等工作开展,具备CISA、CISP、ISO27001LA、ITIL、ISO0LA、PMP等多项证书
至少
3人
高档技术工程师/渗入测试工程师
1、进行漏洞扫描、渗入测试等工作;
2、进行技术方面风险评估以及技术规范建立
3、配套安全基线技术规范建设和推动
4、安全产品与管理制度、流程结合、知识转移
5年以上信息安全工作经验
具备CCIE\RHCE等网络、数据库、存储、web应用安全等有关专业资质证书
至少
3人
(3)对渗入测试工具和漏洞风险管理系统平台指标规定
供应商应推荐业界技术成熟、性价比高工具平台,供xx公司选取:
名称
技术指标
渗入测试工具
1.开源框架,具备大型开源社区支持(必要提供开源社区网址)
2.使用脚本语言Ruby开发
3.智能渗入测试(自动选取所有匹配模块进行袭击,支持dry-run功能);同步支持手工渗入
4.基线渗入测试报告自动生成(必要提供报告样本)
5.Web界面(必要提供截图)
6.网络发现功能
7.可以导入世界级主流漏洞报告,如Nexpose、APPSCAN、AWVS,并进行漏洞自动验证
8.漏洞运用模块不少于1400个,总模块数量不少于1900个(必要提供截屏)
9.自动证据收集功能(涉及截屏、密码和哈希值以及系统信息等)
10.脚本重放(生成脚本进行袭击重放,从而可以测试补救办法与否启作用)
11.安装环境:
Windows、Linux
12.至少每2周更新一次
13.必要和漏洞风险管理系统是同一厂商,完全兼容。
可以直接在操作界面上启动漏洞扫描系统,并且成果自动导入(须提供截屏)
14.集成NMAP扫描(须提供截屏)
15.密码暴力猜测功能(尝试最常使用或在渗入过程中捕抓到密码,密码哈希值可以被自动破解)
16.代理跳板功能(运用一台攻陷机器发动针对另一种目的袭击)
17.无限制IP
18.数据管理(通过可搜索数据库跟踪所有发现数据)
19.必要提供可以试用license(不少于14天),以及在线下载地址
20.需要提供原厂授权
漏洞风险管理系统
1.漏洞库数量不少于6万(须提供截屏)
2.检查项不少于12万
3.漏洞分类不少于150个(须提供截屏)
4.扫描引擎数量>=2个
5.可以扫描各种操作系统(Windows,Linux,Unix)、数据库(SQLServer,DB2,Oracle,MySQL等)、Web应用、中间件、浏览器、Adobe应用、路由器、互换机等等
6.自动更新(涉及微软周二补丁更新后24小时之内完毕相应更新)
7.报告类型至少涉及审计报告、补救报告、管理报告,并且规定补救报告非常详细(例如在报告中直接体现补丁下载链接,预计下载所需时间,打补丁后可以解决问题等等),须提供各种报告样本
8.定期扫描和告警(须提供截屏)
9.动态IT资产组管理(须提供截屏)
10.满足PCI合规规定(需提供有关报告,以及PCI委员会网站有关信息截屏证明)
11.支持报表和扫描定制功能
12.提供API接口(须提供API使用指南)
13.分布式扫描
14.安装环境(Windows,Linux)
15.必要和渗入测试工具是同一厂商,保证可以完全兼容
16.必要提供可以试用license(不少于14天),以及在线下载地址
17.需要提供原厂授权
(4)人员安排:
为保证本项目交付质量,避免安全管理制度流于形式,供应商应按规定协调相应资源保质保量地投入到本项目,并及时对的地完毕所分派任务,项目组中禁止使用初级人员或实习生。
本项目中,项目经理/资深顾问投入不得少于150人天(现场),体系建设征询服务总投入不得少于280人天(涉及上海和北京现场),渗入测试服务总
升级会员 