《2022年某银行数据中心信息安全咨询项目需求书 .pdf》由会员分享,可在线阅读,更多相关《2022年某银行数据中心信息安全咨询项目需求书 .pdf(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1 需求书一、招标人保留的权利招标人有在项目实施过程中调整设计和实施的权力。二、投标人注意事项1、请投标人仔细阅读招标文件的全部条文,对于招标文件中存在的任何含糊、遗漏、相互矛盾之处,或对于技术规格以及其他条件不清楚的情况,投标人应在递交投标文件截止日期之前向招标人寻求书面澄清。2、本招标文件所提供的咨询服务需求是最低限度的要求,并未对一切技术细节做出规定, 也未充分引述有关标准和规范的条文,投标人应保证提供符合招标文件要求和 ISO27001 标准和中国认证认可监督管理委员会其他规范性文件要求的合规、优质的服务和产品。3、投标人应需提供一份为执行合同配备的人员名单,包括但不限于实施本项目相关
2、的关键人员, 如果投标人中标, 这些为本合同配备的人员在未得到招标人书面确认同意的情况下不得更换。4、中标人在开展项目活动过程中, 应当主动、积极、适时的开展各项工作,合理安排时间和工作顺序, 在未经招标人同意的前提下不得更换项目经理、项目组其他成员。 当项目经理、 项目组其他成员有不适合履行合同义务的行为时,招标人有权要求更换相关人员。5、在项目后期验收过程中,对于中标人提交的文件,招标人提供的书面答复是验收工作的唯一方式,验收时间由招标人确定。6、在项目进行过程中,中标人须提供可随时响应的技术顾问支持。三、项目背景和目标xxx 银行股份有限公司数据中心目前已建立了比较完整的信息安全管理体系
3、,设立了信息安全归口管理部门,设置了专门的信息安全岗位,建立了比较完备的人员管理、资产管理、采购管理、项目建设管理、 运行维护管理、 应急管理、教育培训等多项安全管理制度。通过前期对ISO27001的预研认为,目前xxx 银名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 6 页 - - - - - - - - - 2 行数据中心的信息安全管理体系同ISO27001 标准相比仍有一定差距,各领域仍需不同程度的完善或加强,但基本具备了引入ISO27001标准对信息安全管理体系
4、进行完善并进而获得认证的条件。四、项目范围咨询和认证主体: xxx 银行股份有限公司数据中心。服务内容:在整个数据中心范围内, 围绕信息系统建设、运行和管理为中心,以 ISO27001:2013信息安全管理体系标准为基准 (包括安全方针、信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理与环境安全、操作安全、通信安全、信息系统获取开发和维护、供应关系、信息安全事件管理、信息安全方面的业务连续性管理、 符合性共计 14 个安全控制域),中标人协助数据中心评估现有信息安全管理体系与ISO27001标准的差距,并制定可行有效的改进和完善措施并加以落实,建立满足ISO27001标准要求的信息
5、安全管理体系,并协助数据中心通过国家专业机构认可的ISO27001标准认证。涉及部门及人数: 根据前期调研, 涉及的组织范围为xxx 银行股份有限公司数据中心,各部门包括xxxx,目前约为xxx 人。最终的部门及人员数量以实际实施时的统计为准。五、内容框架见下表:现状评估了解组织业务链和安全管理现状启动项目并开展体系导入培训优化 ISMS 差距评估方法并进行普及培训开展 ISMS 差距评估并汇报评估结果制定体系改进方案及实施计划体系设计建立信息安全管理体系规划路径开展体系评估和标准精讲培训建立信息安全管理体系框架名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -
6、- - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 6 页 - - - - - - - - - 3 体系建设建立并完善信息资产管理机制建立并完善安全风险评估和控制机制结合实际编写安全管理必须的体系文件建设持续改进机制,融入ISMS 建设各个环节开展体系全面技能培训定期开展体系文件的评审和发布体系试运行继续开展体系文件评审和发布开会启动体系试运行工作开展体系内审技能培训,建立内审管理机制开展体系试运行宣传推广活动和引导工作开展 ISMS 度量并评估体系的成熟度和适用性开展 ISMS 内审并定期跟踪体系整改完善情况协 助 通 过 认证审核负责联系并配合国家认可
7、的认证审核机构开展体系预审开展迎接外审培训应对外部认证审核机构质疑,及时采取纠正措施,确保顺利通过外部认证审核开展体系推广培训协助提交认证申请并获得证书六、详细需求投标人作为整个项目的管理方,应有丰富ISO27001 体系建设咨询、培训及协助通过认证的项目管理经验,帮助招标人进行ISO27001体系建设、 ISO27001人员团队培养及协助顺利通过ISO27001认证,并进行项目合规达标文档的制作及知识转移。具体为:1、ISO27001培训提供 ISO27001 相关培训,协助 xxx 银行数据中心培养ISO27001体系人员队伍、掌握ISO27001 信息安全管理体系相关理论知识,并协助建立
8、相应的ISO27001 体系管理团队(该团队由服务范围涉及的所有部门的相关人员组成,负责 ISO27001 服务实施及后期维护)。同时,确保与本服务项目相关的每个部门平均至少有 2 名人员获得 ISO27001内审员资质,整个数据中心至少有2 名人员获得 ISO27001外审员资质。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 6 页 - - - - - - - - - 4 2、现场调研在 xxx 银行数据中心范围内,协助对现有信息安全管理现状进行现场调研;明确中心 I
9、SO27001信息安全管理体系完善的范围、控制目标和控制项;并协助确定中心 ISO27001服务实施计划。3、差距分析根据评估结果, 对照 ISO27001:2013进行差距分析, 并确定 xxx 银行数据中心信息安全管理体系改进方案和改进计划。本阶段中标人应随时应招标人要求到招标人现场给予支持。4、体系设计与完善主要包括:信息安全风险分析、体系架构完善、体系文件编制三个阶段。其中信息安全风险分析阶段,选择合理的、充分的信息安全风险分析方法和工具,确保完成信息安全风险分析工作,同时要尽量降低对生产系统的影响,确保系统安全稳定运行;体系架构完善阶段,协助xxx 银行数据中心按照 ISO27001
10、 标准完善信息安全体系架构, 落实改进方案, 全方位改进信息安全管理, 健全信息安全管理体系、制度、流程等;体系文件编制阶段,明确体系文件层级,编制ISO27001 体系文件包括信息安全方针目标、信息安全手册、信息安全管理制度和流程文件、 程序文件、 记录文件等。 本阶段中标人应随时应招标人要求到招标人现场给予支持。5、体系试运行ISO27001体系设计完善后,新体系开始试运行3 个月,逐步达到 ISO27001所要求的控制目标, 并在试运行阶段完成内部评审和管理评审。本阶段中标人应随时应招标人要求到招标人现场给予支持。6、体系认证协助 xxx 银行数据中心进行ISO27001认证的相关准备,
11、并负责联系有资质的认证机构,协助并确保顺利通过认证审核、获得ISO27001认证证书。本阶段中标人应随时应招标人要求到招标人现场给予支持。7、项目方案针对上述需求,投标人需向招标人提供ISO27001咨询及认证相关的服务实施方案、服务管理方案、人员培养方案、项目服务人员团队投入和使用计划等,名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 6 页 - - - - - - - - - 5 并明确项目工作量估算、服务方式和服务时段、服务质量保证等其它相关内容。七、投标产品所遵循
12、的标准和质量保证1、投标人提供的ISO27001 相关服务应符合中国国家认证认可监督管理委员会所有规范性文件要求。2、投标人所提供的所有技术文件中的技术指标均应符合招标文件技术要求规定,同时符合相应的国家标准、行业标准和国际标准。3、投标人应遵守有关的地方法规、法令和规定的有关要求。八、项目实施9.1 项目实施安排1、中标人应按招标文件和合同的要求组织项目实施。2、投标人应按照项目管理的要求向招标人提供开发计划、时间进度。投标人应明确提出参与本项目的工作人员构成、职责、学历背景、 从业背景及参与本职工作的时间 ,并且在项目实施过程中如有人员变更,必须获得招标人的书面同意,同时,项目实施人员不得
13、在项目现场实施期间同时兼有别的项目。具体要求如下 : (1)投标人指定的服务经理必须具有5 年以上 ISO27001 体系建设从业经验,具备金融行业 3 年或 3 个以上金融类机构 (或其它较大型机构) 的 ISO27001建设工作经验及项目管理经验。所有服务人员应具备国际/国内注册的信息安全及 IT 服务管理相关讲师 /审核员资质,并具备相关工作经验3 年以上。(2)投标人必须承诺所提供服务人员是投标人自有员工,不得采用转包、合作的形式。(3)投标人应承诺配备齐备的技术素质过硬的人员服务队伍,配备的人员都具有类似此项规模工程的经历和必要的经验及必要的服务意识,承诺各项目组的人员服务队伍在售前
14、和售后相对固定。(4)投标人提供服务人员应事先将简历发至招标人,招标人认可后,方可作为正式服务人员。(5)如有特殊情况,中标人需要对服务人员进行更换时,须提前一个月提出更换申请, 取得招标人的同意后方可更换。 招标人有权提出更换服务人员的要名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 6 页 - - - - - - - - - 6 求。3、在技术需求应答书中,投标人应明确项目组的概况、项目管理、项目组职责分担情况,清晰描述项目组工作任务。4、投标人应向招标人明确提出详细
15、的质量控制、风险控制措施,确保项目的顺利进行。5、售后支持项目完成后, 中标人需要提供至少一年的免费后续技术支持服务,及时帮助招标人解决项目实施的重点与难点,后续支持服务一般采用非现场服务的形式,必要时需提供现场指导。中标人应指定核心业务人员负责技术支持服务。6、其他增值服务。由投标人制定相关的增值服务方案。9.2 验收要求1、验收条件(1)中标人按照招标人要求,完成项目标的,即:完成ISO27001 相关咨询服务、培训服务并协助招标人顺利通过ISO27001 认证取得证书,且已将本次项目所有交付品全部交付, 并完全满足招标人的规划需求及本次招标项目的咨询及认证目标。(2)中标人按照招标人要求完成项目相关的知识转移。2、验收的范围验收的范围包括招标文件中的所有ISO27001 信息安全管理体系咨询及认证服务项目相关的内容。3、验收测试的规范中标人协助招标人为整个实施项目编写验收手册。验收手册的内容包括但不限于以下几个方面:(1)验收目的。(2)验收过程的描述。(3)验收结果及分析。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 6 页 - - - - - - - - -