《某银行数据中心信息安全咨询项目需求书.docx》由会员分享,可在线阅读,更多相关《某银行数据中心信息安全咨询项目需求书.docx(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、需求书一、招标人保存的权利招标人有在工程实施过程中调整设计和实施的权力。二、投标人本卷须知1、请投标人仔细阅读招标文件的全部条文,对于招标文件中存在的任何含 糊、遗漏、相互矛盾之处,或对于技术规格以及其他条件不清楚的情况,投标人 应在递交投标文件裁止日期之前向招标人寻求书面澄清。2、本招标文件所提供的咨询服务需求是最低限度的要求,并未对一切技术 细节做出规定,也未充分引述有关标准和规范的条文,投标人应保证提供符合招 标文件要求和IS027001标准和中国认证认可监督管理委员会其他规范性文件要 求的合规、优质的服务和产品。3、投标人应需提供一份为执行合同配备的人员名单,包括但不限于实施本 工程相
2、关的关键人员,如果投标人中标,这些为本合同配备的人员在未得到招标 人书面确认同意的情况下不得更换。4、中标人在开展工程活动过程中,应当主动、积极、适时的开展各项工作, 合理安排时间和工作顺序,在未经招标人同意的前提下不得更换工程经理、工程 组其他成员。当工程经理、工程组其他成员有不适合履行合同义务的行为时,招 标人有权要求更换相关人员。5、在工程后期验收过程中,对于中标人提交的文件,招标人提供的书面答 复是验收工作的唯一方式,验收时间由招标人确定。6、在工程进行过程中,中标人须提供可随时响应的技术顾问支持。三、工程背景和目标XXX银行股份数据中心目前已建立了比较完整的信息安全管理体 系,设立了
3、信息安全归口管理部门,设置了专门的信息安全岗位,建立了比较完 备的人员管理、资产管理、采购管理、工程建设管理、运行维护管理、应急管理、 教育培训等多项安全管理制度。通过前期对IS027001的预研认为,目前XXX银 行数据中心的信息安全管理体系同IS027001标准相比仍有一定差距,各领域仍 需不同程度的完善或加强,但基本具备了引入IS027001标准对信息安全管理体 系进行完善并进而获得认证的条件。四、工程范围咨询和认证主体:xxx银行股份数据中心。服务内容:在整个数据中心范围内,围绕信息系统建设、运行和管理为中心, 以6027001:2013信息安全管理体系标准为基准(包括安全方针、信息安
4、全组织、 人力资源安全、资产管理、访问控制、密码学、物理与环境安全、操作安全、通 信安全、信息系统获取开发和维护、供应关系、信息安全事件管理、信息安全方 面的业务连续性管理、符合性共计14个安全控制域),中标人协助数据中心评估 现有信息安全管理体系与IS027001标准的差距,并制定可行有效的改进和完善 措施并加以落实,建立满足IS027001标准要求的信息安全管理体系,并协助数 据中心通过国家专业机构认可的IS027001标准认证。涉及部门及人数:根据前期调研,涉及的组织范围为xxx银行股份 数据中心,各部门包括xxxx,目前约为xxx人。最终的部门及人员数量以实际 实施时的统计为准。五、
5、内容框架见下表:现状评估 了解组织业务链和安全管理现状 启开工程并开展体系导入培训 优化ISMS差距评估方法并进行普及培训 开展ISMS差距评估并汇报评估结果 制定体系改进方案及实施计划体系设计 建立信息安全管理体系规划路径 开展体系评估和标准精讲培训 建立信息安全管理体系框架体系建设 建立并完善信息资产管理机制 建立并完善安全风险评估和控制机制 结合实际编写安全管理必须的体系文件 建设持续改进机制,融入ISMS建设各个环节 开展体系全面技能培训 定期开展体系文件的评审和发布体系试运行 继续开展体系文件评审和发布 开会启动体系试运行工作 开展体系内审技能培训,建立内审管理机制 开展体系试运行宣
6、传推广活动和引导工作 开展ISMS度量并评估体系的成熟度和适用性 开展ISMS内审并定期跟踪体系整改完善情况协助通过认证审核 负责联系并配合国家认可的认证审核机构开展体系预审 开展迎接外审培训 应对外部认证审核机构质疑,及时采取纠正措施,确保顺利通过外部认证审核 开展体系推广培训协助提交认证申请并获得证书六、详细需求投标人作为整个工程的管理方,应有丰富IS027001体系建设咨询、培训及 协助通过认证的工程管理经验,帮助招标人进行IS027001体系建设、IS027001 人员团队培养及协助顺利通过IS027001认证,并进行工程合规达标文档的制作 及知识转移。具体为:1、IS027001 培
7、训提供IS027001相关培训,协助xxx银行数据中心培养IS027001体系人员 队伍、掌握IS02700I信息安全管理体系相关理论知识,并协助建立相应的 IS027001体系管理团队(该团队由服务范围涉及的所有部门的相关人员组成, 负责IS027001服务实施及后期维护)。同时,确保与本服务工程相关的每个部 门平均至少有2名人员获得IS027001内审员资质,整个数据中心至少有2名人 员获得IS027001外审员资质。2、现场调研在xxx银行数据中心范围内,协助对现有信息安全管理现状进行现场调研;明确中心IS027001信息安全管理体系完善的范围、控制目标和控制项;并协助 确定中心IS02
8、7001服务实施计划。3、差距分析根据评估结果,对照6027(X)1:2013进行差距分析,并确定xxx银行数据中 心信息安全管理体系改进方案和改进计划。本阶段中标人应随时应招标人要求到 招标人现场给予支持。4、体系设计与完善主要包括:信息安全风险分析、体系架构完善、体系文件编制三个阶段。其 中信息安全风险分析阶段,选择合理的、充分的信息安全风险分析方法和工具, 确保完成信息安全风险分析工作,同时要尽量降低对生产系统的影响,确保系统 安全稳定运行;体系架构完善阶段,协助xxx银行数据中心按照IS027001标准 完善信息安全体系架构,落实改进方案,全方位改进信息安全管理,健全信息安 全管理体系
9、、制度、流程等;体系文件编制阶段,明确体系文件层级,编制 IS027001体系文件包括信息安全方针目标、信息安全手册、信息安全管理制度 和流程文件、程序文件、记录文件等。本阶段中标人应随时应招标人要求到招标 人现场给予支持。5、体系试运行IS027001体系设计完善后,新体系开始试运行3个月,逐步到达IS027001 所要求的控制目标,并在试运行阶段完成内部评审和管理评审。本阶段中标人应 随时应招标人要求到招标人现场给予支持。6、体系认证协助xxx银行数据中心进行IS027001认证的相关准备,并负责联系有资质 的认证机构,协助并确保顺利通过认证审核、获得IS027001认证证书。本阶段 中标
10、人应随时应招标人要求到招标人现场给予支持。7、工程方案针对上述需求,投标人需向招标人提供IS027001咨询及认证相关的服务实 施方案、服务管理方案、人员培养方案、工程服务人员团队投入和使用计划等,并明确工程工作量估算、服务方式和服务时段、服务质量保证等其它相关内容。七、投标产品所遵循的标准和质量保证1、投标人提供的1S027001相关服务应符合中国国家认证认可监督管理委 员会所有规范性文件要求。2、投标人所提供的所有技术文件中的技术指标均应符合招标文件技术 要求规定,同时符合相应的国家标准、行业标准和国际标准。3、投标人应遵守有关的地方法规、法令和规定的有关要求。八、工程实施9.1工程实施安
11、排1、中标人应按招标文件和合同的要求组织工程实施。2、投标人应按照工程管理的要求向招标人提供开发计划、时间进度。投标 人应明确提出参与本工程的工作人员构成、职责、学历背景、从业背景及参与本 职工作的时间,并且在工程实施过程中如有人员变更,必须获得招标人的书面同意, 同时.,工程实施人员不得在工程现场实施期间同时兼有别的工程。具体要求如下:(1)投标人指定的服务经理必须具有5年以上ISO27(X)1体系建设从业经 验,具备金融行业3年或3个以上金融类机构(或其它较大型机构)的IS027001 建设工作经验及工程管理经验。所有服务人员应具备国际/国内注册的信息安全 及IT服务管理相关讲师/审核员资
12、质,并具备相关工作经验3年以上。(2)投标人必须承诺所提供服务人员是投标人自有员工,不得采用转包、 合作的形式。(3)投标人应承诺配备齐备的技术素质过硬的人员服务队伍,配备的人员 都具有类似此项规模工程的经历和必要的经验及必要的服务意识,承诺各工程组 的人员服务队伍在售前和售后相对固定。(4)投标人提供服务人员应事先将简历发至招标人,招标人认可后,方可 作为正式服务人员。(5)如有特殊情况,中标人需要对服务人员进行更换时,须提前一个月提 出更换申请,取得招标人的同意后方可更换。招标人有权提出更换服务人员的要求。3、在技术需求应答书中,投标人应明确工程组的概况、工程管理、工程组 职责分担情况,清
13、晰描述工程组工作任务。4、投标人应向招标人明确提出详细的质量控制、风险控制措施,确保工程 的顺利进行。5、售后支持工程完成后,中标人需要提供至少一年的免费后续技术支持服务,及时帮助 招标人解决工程实施的重点与难点,后续支持服务一般采用非现场服务的形式, 必要时需提供现场指导。中标人应指定核心业务人员负责技术支持服务。6、其他增值服务。由投标人制定相关的增值服务方案。9.2验收要求1、验收条件(1)中标人按照招标人要求,完成工程标的,即:完成IS027001相关咨 询服务、培训服务并协助招标人顺利通过IS027001认证取得证书,且已将本次 工程所有交付品全部交付,并完全满足招标人的规划需求及本次招标工程的咨询 及认证目标。(2)中标人按照招标人要求完成工程相关的知识转移。2、验收的范围验收的范围包括招标文件中的所有IS027001信息安全管理体系咨询及认证 服务工程相关的内容。3、验收测试的规范中标人协助招标人为整个实施工程编写验收手册。验收手册的内容包括但不 限于以下几个方面:(1)验收目的。(2)验收过程的描述。(3)验收结果及分析。