ISO 27001综合项目关键技术需求书.docx

1、ISO 27001综合项目关键技术需求书ISO 27001项目技术需求书一、项目简介随着xx公司信息化迅速推动，对信息系统依赖限度日益加深，信息系统作为公司业务基本，保障其可用性、完整性和保密性，保护xx公司核心数据资产，维护公司核心利益，在当前形式下显得非常重要。为加强xx公司信息安全体系建设步伐，实现信息安全管理工作体系化和精细化，提高对信息安全风险管控能力，保护公司敏感数据；同步，借助ISO27001体系认证提高客户对公司信心，xx公司特启动信息安全体系建设项目。本项目应以ISO27001：原则为基准，结合xx公司信息安全现状，全面开展漏洞扫描、渗入测试、风险评价和风险处置等工作，在此基

2、本上完毕安全体系规划和中短期建设路线图，建立完备信息安全管理制度和配套技术规范；同步，以管理制度切实落地运营为基本规定，完善系统安全基线规范和补丁加固流程，细化信息系统运维IT服务交付流程建设，建立数据安全管控原则并逐渐深化管控流程，加强对第三方和合伙伙伴信息安全管控，强化安全组织建设和人员技能，规范员工行为，控制安全风险，最后完毕ISO27001体系搭建、建设并获得权威认证机构颁发ISO27001:体系证书，为将来信息安全管理各项规定深化落地奠定基本。二、商务规定1.资质规定参加提供服务征询服务供应商必要符合如下资质规定：（1）在中华人民共和国境内注册，可以独立承担民事责任独立公司法人；（2

3、）有依法税收良好记录；（3）公司经营状况良好；（4）具备征询服务、信息安全服务、质量管理等有关资质证书;供应商应提供营业执照（副本)组织机构代码证税务登记证复印件,以及增值税专用发票账户信息。2.报价阐明及规定1）针对本项目进行报价，以人民币元为单位进行报价。2）报价内容项如下：（1）信息安全体系建设征询费用，包括资产梳理、风险评估与处置、体系规划设计、管理制度流程和技术规范编写、体系落地试运营和外部认证审核现场支持和相应整治辅导等。（2）渗入测试服务费用，涉及对既有网络、系统和应用进行全面漏洞扫描和分析，确认信息系统脆弱性和面临威胁，并对高危漏洞提供加固办法。（3）培训费用，涉及2名ISO2

4、7001LA培训及认证机构颁发资质证书。（4）预估认证费用，规定推荐至少1家认证机构（BSI、DNV、SGS、ISCCC、华夏等，征询机构需承诺最后认证费用不超过本次预估费用，否则由征询机构弥补差价）。（5）工具平台费用，规定推荐业界成熟、口碑良好并得到广泛应用渗入测试工具和漏洞风险管理系统。三、技术规定本项目中，服务商应协助xx公司搭建完备信息安全管理体系并保证体系落地运营，并提供安全工具平台（渗入测试与漏洞风险管理系统），项目范畴涉及：（1）组织范畴：公司总部IS、IT、ERM、HR、财务部、采购部、CDIC共7个部门，员工数量约为130人； （2）应用系统范畴：ERP/PLM/文献服务器

5、/邮件服务器/邮件归档/反垃圾邮件系统/备份系统等；（3）物理范畴：办公场合&机房，位于xxxxxx。1、本项目工作内容和规定涉及但不限于：（1）推荐业界技术成熟、性价比高渗入测试工具和漏洞风险管理系统平台，保证产品先进性和实用性，可以符合xx公司信息系统环境并支持寻常信息安全工作开展。（2）全面梳理国家法律法规或行业原则规范、监管规定对于信息安全规定；对比国内领先行业监管规定和业界成熟规范/原则等，结合xx公司自身安全需求，全面分析xx公司信息安全管理现状，并出具差距分析报告，开展各类信息资产全面梳理和风险评估活动，明确xx公司信息安全风险级别和高风险项。（3）在上海、武汉等场合组织范畴内，

6、针对既有网络、操作系统和应用系统进行渗入测试服务，涉及全面漏洞扫描和分析，确认信息资产脆弱性和面临威胁并提交报告，以期全面地发现信息系统、数据、人员、供应商等资产中存在风险和问题；同步，对发现高危漏洞提供加固整治办法，协助xx公司进行整治。（4）依照信息安全管理规定及信息安全检查和渗入、扫描、风险评估中发现有关问题，进行汇总和全面分析，完毕xx公司信息安全体系中各个子体系规划和架构设计，明确将来三年信息安全管理、技术和产品、流程等各项建设任务路线图和优先级；（5）依照xx公司信息安全管理需求,完善变更、事件等IT服务交付等流程细化，结合VPN、桌面终端管控等平台和产品推广应用，保证信息安全规定

7、和详细控制点嵌入到员工寻常工作流程中，推动信息安全制度落地运营；（6）依照xx公司信息安全管理目的，开展相应配套应用安全、系统基线等安全技术规范和本公司安全技术原则建设，从应用系统开发设计、外包外购软件系统安全验收、服务端安全基线规范等源头进行控制，避免引入代码级安全隐患，建立新系统上线基线安全检查和加固实行办法，逐渐强化xx公司信息安全管控能力。（7）以典型事业部为样本，开展针对数据资产分级原则和保护规范建设,纳入层次化信息安全管理体系文献制度中，并配合有关产品布置保证数据安全落地执行。（8）按照ISO27001认证原则开展相应体系建设活动，涉及信息资产梳理、风险评估与处置、体系规划设计、管

8、理制度流程和技术规范编写、体系落地试运营和外部认证审核现场支持和相应整治辅导，保证在xx公司指定期间内获得权威认证机构颁发ISO27001:认证证书。（9）作为征询单位，“客观、独立、负责”地向xx公司推荐业界权威ISO27001认证机构(至少1家国际认证机构)并详细阐明推荐理由,保证ISO27001认证过程符合国家有关法规政策和CNAS监管规定规定，保证ISO27001证书含金量（面向xx公司国内外客户）。同步，对于推荐认证机构，征询单位需承诺：如果最后认证费用（按照国家规定，认证合同必要由认证机构与最后客户直接订立）超过报价表中预估认证费用，则由征询机构弥补相应差价。（10）进一步开展知识

9、转移工作，与认证培训机构紧密合伙，为xx公司培养2名ISO27001LA(主任审核员)，提高人员管理体系推动和IT审核专业技能，保证信息安全制度规定在公司执行能得到有效执行。（11）项目实行方案应保证项目可以有序、高效地推动，项目建设工程办法应成熟并在其她项目中已经得到验证。2、服务规定供应商在投标时，应提交项目管理方案，方案应至少涉及项目组织构造、人员安排、进度筹划、项目管理机制等内容，并具备可操作性。详细规定如下：（1）服务能力：供应商应在信息安全管理规划和实行领域具备较强技术实力，以及稳定顾问人员队伍。由于项目内容复杂，长期驻场项目人员上海不得至少2人，武汉不得少于1人。所有顾问必要具备

10、ISO27001 LA、CISSP、CISA、CISP、PMP等资格证书，且具备丰富信息安全规划和体系建设征询实行类项目建设经验，禁止使用实习生或中初级顾问人员来凑人天。（2）组织构造：供应商应建立该项目人员组织架构。供应商提出项目组织架构和参加人员需得到xx公司承认。供应商服务团队中，应当至少包括如下核心角色，并符合相应人员资质规定：角色重要职责及参加规定资质规定人数资深安全顾问1、组织与协调双方项目组完毕双方批准工作任务，协调建立项目环境；2、共同制定详细项目筹划及核心途径，协调项目资源及详细工作安排3、承担该项目总体设计与规划工作，负责提出前瞻性体系建设方案与技术路线规划；4、项目经理必

11、要为资深级别安全顾问以上信息安全征询项目管理经验，具备大型公司安全架构规划设计经验，拥有CISSP、CISA、CISP、ISO27001 LA等多项证书至少3人高档征询顾问1、负责项目详细实行工作，建立安全流程并负责推动各部门完毕完全落地；2、负责资产重要性鉴别、威胁分析、风险评价和风险处置等安全专业判断和分析，给出专业安全整治建议；3、负责管理制度、规范、表单和流程文献编写和宣导；4、负责体系建设各项目活动推动和回顾改进。8年以上信息安全征询项目实行经验，良好技术功底和文字表达能力，具备安全架构规划设计经验，可以推动各部门完毕风险评估、安全审计等工作开展，具备CISA、CISP、ISO270

12、01 LA、ITIL、ISO0LA、PMP等多项证书至少3人高档技术工程师/渗入测试工程师1、进行漏洞扫描、渗入测试等工作；2、进行技术方面风险评估以及技术规范建立3、配套安全基线技术规范建设和推动4、安全产品与管理制度、流程结合、知识转移5年以上信息安全工作经验具备CCIERHCE等网络、数据库、存储、web应用安全等有关专业资质证书至少3人（3） 对渗入测试工具和漏洞风险管理系统平台指标规定供应商应推荐业界技术成熟、性价比高工具平台，供xx公司选取：名称技术指标渗入测试工具1.开源框架，具备大型开源社区支持（必要提供开源社区网址）2.使用脚本语言Ruby开发3.智能渗入测试（自动选取所有匹

13、配模块进行袭击，支持dry-run功能）；同步支持手工渗入4.基线渗入测试报告自动生成（必要提供报告样本）5.Web界面（必要提供截图）6.网络发现功能7.可以导入世界级主流漏洞报告，如Nexpose、APPSCAN、AWVS，并进行漏洞自动验证8.漏洞运用模块不少于1400个，总模块数量不少于1900个（必要提供截屏）9.自动证据收集功能（涉及截屏、密码和哈希值以及系统信息等）10.脚本重放（生成脚本进行袭击重放，从而可以测试补救办法与否启作用）11.安装环境：Windows、Linux12.至少每2周更新一次13.必要和漏洞风险管理系统是同一厂商，完全兼容。可以直接在操作界面上启动漏洞扫描

14、系统，并且成果自动导入（须提供截屏）14.集成NMAP扫描（须提供截屏）15.密码暴力猜测功能（尝试最常使用或在渗入过程中捕抓到密码，密码哈希值可以被自动破解）16.代理跳板功能（运用一台攻陷机器发动针对另一种目的袭击）17.无限制IP18.数据管理（通过可搜索数据库跟踪所有发现数据）19.必要提供可以试用license（不少于14天），以及在线下载地址20.需要提供原厂授权漏洞风险管理系统1.漏洞库数量不少于6万（须提供截屏）2.检查项不少于12万3.漏洞分类不少于150个（须提供截屏）4.扫描引擎数量=2个5.可以扫描各种操作系统（Windows，Linux，Unix）、数据库(SQL S

15、erver，DB2，Oracle，MySQL等)、Web应用、中间件、浏览器、Adobe应用、路由器、互换机等等6.自动更新（涉及微软周二补丁更新后24小时之内完毕相应更新）7.报告类型至少涉及审计报告、补救报告、管理报告，并且规定补救报告非常详细（例如在报告中直接体现补丁下载链接，预计下载所需时间，打补丁后可以解决问题等等），须提供各种报告样本8.定期扫描和告警（须提供截屏）9.动态IT资产组管理（须提供截屏）10.满足PCI合规规定（需提供有关报告，以及PCI委员会网站有关信息截屏证明）11.支持报表和扫描定制功能12.提供API接口（须提供API使用指南）13.分布式扫描14.安装环境（Windows，Linux）15.必要和渗入测试工具是同一厂商，保证可以完全兼容16. 必要提供可以试用license（不少于14天），以及在线下载地址17. 需要提供原厂授权（4）人员安排:为保证本项目交付质量，避免安全管理制度流于形式，供应商应按规定协调相应资源保质保量地投入到本项目，并及时对的地完毕所分派任务，项目组中禁止使用初级人员或实习生。本项目中，项目经理/资深顾问投入不得少于150人天(现场)， 体系建设征询服务总投入不得少于280人天(涉及上海和北京现场) ，渗入测试服务总