《咨询项目采购需求说明【模板】.docx》由会员分享,可在线阅读,更多相关《咨询项目采购需求说明【模板】.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、咨询项目采购需求说明一、技术需求说明1.项目背景随着信息化程度不断加深,IT系统的复杂度与开放度的提升;伴有云计 算、大数据、人工智能等新兴技术的飞速发展,数据作为支撑国航存在与发展 的重要生产资料,已经成为国航核心资产,数据的安全问题已经成为当前社会 中的一项重大的安全问题。当前,无论是灰色数据和地下交易市场的形成,还 是各类网络攻击以及勒索病毒的不断演进,都在证明数据面临的风险越来越 大。针对航空领域来讲,数据安全安全形势异常严峻,特殊是在2022年泄露事 件频繁发生:加拿大航空公司约2万名客户数据发生泄露已影响其170万挪移 应用用户。英航约38万条交易信息发生重大泄露(2022年7月被
2、罚1.8339亿 英镑)。国泰航空公约940万客户数据泄露。从国航整体数据运营层面,国航客户数据包括用户身份和鉴权信息、客户基 本信息及服务信息、客户服务相关辅助信息等,而在这些信息中,包含了身份标 识、基本资料、鉴权信息、使用黝居、航程及消费信息等诸多不同类型的辘。 这就导致在实际工作落地中,往往很难进行全量的识别,导致对这些客户数据进 行管理时,无法进行全部监控,于是不能在第T寸间发现风险。同时,在现有的 扬居安全机制下,存在缺乏客户期居分级衡量的细化标准,安全管理职责不明确 等情况。梳理数据或者进行业务调研工作时,与国航沟通并制定应急方案。进行 数据库漏洞验证工作时,会避开业务高峰期。6
3、 .项目管理要求6.1. 项目组织和人员要求应为本项目配备专职的安全咨询服务团队,配备充足的人员(为国航指定项 目经理1名,安全咨询专家及服务人员不少于5人),在现场进行咨询服务。需提供项目组织构成、人员简历、人员资质证明等相关资料。项目实施人员需具备资质包括:a项目经理,必须主持或者负责数据安全合规相关的咨询服务(民航领域 优先),并提供相关证明;A安全服务专家应具有8年以上安全领域工作经验,担任过大型安全服务、 评估或者咨询类项目经验。应具备数据安全合规咨询项目的实施经验。A服务人员具有2年以上安全领域工作经验,须至少具备CISP、QSA、 CISSP证书中的一种。必须为服务商正式在职员工
4、。A为国航服务的所有项目组人员需提供社保证明。不得将此项目中的工作 以件可方式让第三方人员完成。所有实施人员及专家必须到北京国航现场实施咨询工作内容,不接受专 家远程督导、指导的工作方式;服务商不能擅自更换项目组人员,如有特殊情况需要更换,需提前一个月告 知国航,经国航允许后更换相关人员。6.2. 项目管理要求安全服务商依据本项目实际项目情况,给出相应项目管理方案,包括项目进 度计划、项目交付成果、项目质量管理、项目风险管理、项目变更管理、项目沟 通管理等。并根据服务方案实施严格的质量保证和质副空制,确保各个阶段工作 满足国航对质量的要求。根据服务计划,对月瑛进行审查,并向国般是交工作成 果。
5、7 .知识转移要求/开展GDPR. ISO27701标准内容的培训/开展客户数据防护安全意识培训/开展信息泄露摹拟演练/开展相关制度、技术框架和解决方案的解读及宣贯8 .项目案例要求服务商应具有同等服务规模的客户信息保护合规咨询成功经验,应答文件内 的案例选取应至少有一个(如有民航领域咨询服务,则建议优先选取),并进行 讲解。9 .保密要求在项目实施过程中和结束后,未经国航书面授权不得对国航所提供的安全现 状文件及项目相关交付物、其他具有保密标识的文件向第三方透露。这些事件的分析来看,既有黑客的攻击,更有内部工作人员的信息贩卖、离 职员工的信息泄露、第三方外包人员的交易行为、数据共享第三方的数
6、据泄露、 开辟测试人员的违规等;究其原因既有安全意识的薄弱,也有由于安全体系的老 旧或者安全策略的过时而导致的数据泄露。这些复杂的泄露途径无一不在证明: 在当前的信息化下,传统数据安全策略和安全管理体系已经很难适应数据安全 所面临的新形势。国航前期已开展了一些相关的数据安全防护工作,但仅仅是从数据库审计、 邮件防泄漏等集中点上进行防护,一定程度上加强了客户黝居的安全手段,但这 些方式并不全面,往往还存在一些漏洞,当前虽具备了一定的基础性防护能力, 但并未形成整体性的防护体系框架,使用敏感数据依然存在一定的安全隐患。随着合规监管力度的增大,数据泄露安全形势日益严峻,为了能够最大程度 的满足各类合
7、规要求,为了能够充分快速的识别国航信息系统在客户数据安全方 面风险,并且针对差距提出切实可行的整改技术建议。因此,急需在当前信息系 统环境下,进行一次基于客户数据安全的全面性评估工作。2 .业务需求国航前期已经初步建立起数据安全管理工作的组织框架和管理权责划分,但 在工作推进过程中,规划发展部、信息管理部、商务委员会、法律部等部门尚未 形成跨部门的密切沟通,在公司层面推动客户信息保护合规工作还需进一步加强, 以满足全面开展日益严峻的合规需求。国航目前通过网站、旗舰店、APP、呼叫中心、营业部、伊里等多个渠道收 集旅客个人信息用于涉客核心业务,并在业务过程中产生大量个人信息,其中包 含大量敏感个
8、人信息。相关信息在业务过程中经由大量信息系统进行保存处理, 因为各个支撑信息系统开辟时间不同,且没有统一标准,数据安全保护状态参差 不齐。这些被采集和产生的个人信息绝大部份被永久保存,且受系统功能限制 无法有效的支持基于客户请求的数据删除。在GDPR生效之初,为确保旅客数据权利请求的实现,国航完成为了相关 的合规性的一些工作,但从进一步深化多法律法规下的系统层面的合规,将旅 客数据权利请求实现职责落实至各相关部门,形成完整的采集、反馈流程并获 得信息系统的有效支撑方面还需亟待加强。在业务开展过程中,国航与份子公司、大量第三方合作火伴存在大量的数据 传输与共享,涉及到系统前端、系统接口、数据接口
9、、人工请求等多种形式,在 这些数据传输共享过程中的个人信息保护合规与数据安全管控要求落实情况受 相关方数据安全成熟度等方面因素的影响存在较大差异尤,其是缺乏在数据安全 事件发生时有效的联动溯源和响应能力。为确保客户信息安全和对合规要求的遵循性,国航亟需在信息化层面梳理当 前现状与问题,落实数据安全管理职责的工作协同机制,强化旅客信息精细化管 理,加强信息系统数据安全保护和数据传输管控,建立全面的数据安全技术框架 和技术实现路线,强化数据安全事件应急响应机制。3 .项目目标此次以对标行业内外先进公司的最佳实践为基础,以满足国航信息系统在客 户数据安全合规性为前提,完成策略融合、建立面向未来甥居安
10、全保护框架、建 立可落地的客户数据全生命周期安全管理体系三个需求为目标,实现满足法律 法规的要求的安全技术策略的制定。在对本范围内含有客户敏感数据系统的评估过程中,项目将涵盖信息管理部 所有涉及客户信息的部门,同时联合国航法律部、规划发展部、商务委员会等多 部门一起,梳理并清晰信息化环境中客户数据安全管理责任,推动客户数据在各 个业务环节落地到系统时的分类分级,并按照不同级别的控制目标和控制行为, 给出合理化处理建议,以满足系统整体性的合规要求。通过对系统的安全差距评估,提升国航客户数据安全风险识别能力:针对含 有客户数据的系统,明确数据的访问者、访问对象、访问行为;并基于这些信息 结合法m的
11、要求制定不同的、有针对性的客户糊居安全策略。从合规角度提出当 前管理和系统的整改建议,制定客户数据未来的安全防护规划建议和安全技术方 案.评估范围:信息系统数据安全评估,针对目前国航主要涉及客户及员工数据 的25套系统进行评估。评估内容:1 .合规安全评估整合网络安全法、GDPR、个人信息安全规范、ISO27701、其它法律法 和标准和参考数据安全管理办法(征求意见稿)对于个人信息保护的要求, 从管理制度合规、系统合规、隐私保护合规等角度进行对国航现有的安全策略、 安全管理、安全运营、安全技术、合规现状、技术服务西等层面进行合规由古, 识别差距,提出整改建议。以合规为前提,优化客户数据安全总体
12、方针,清晰各 内部之间职责、与第三方合作过程的物酸全关系,确立信息化下的数据安全运 渤皿务安全运营的过程数据安全要求。咨询服务商应给出涉及法律法规的范围、合规评估的涔询思路、合规的难点以及解决的方法;给出评估的模型;给出评估 的合理化的工作建议。2 .系统安全评估从客户数据在信息系统的全生命周期的角度,从获取、存储、整合、分 析、应用、呈现、归档和销毁等环节,对国航涉及客户及客户数据的25套系统 的进行安全评估,与业务相结合,明确在系统中客户敏感数据的识别和分类、 分级。其次,根据客户数据的实际情况,制定出合理的安全标准,并且,在每 一类标准之中,详细的阐述具体的技术要求方法。增强国航后续数据
13、安全的建 设规划。通过对系统及信息化环境的整体评估,并给出系统的技术整改建议方 案。制定国航数据安全技术体系框架。根据评估结果完善国航信息化环境中的 数据安全管理制度、标准及流程。服务商应给出应用系统各层面的评估的方式 及方法;给出评估合理化的工作建议;如涉及工具类技术评估,给出工具名称 及影响。在评估过程中,给出针对国航已有的安全防护措施及未来待建的身份认证 等平台的集成中的数据安全建议;给出未来在数据安全监测、分析及响应方面 与态势感知之间的数据安全建议,以及后续系统建设的要求。3 .数据安全管理体系优化在整个数据安全评估的过程中,根据国航业务及信息化发展需要,完成信息化下委安全制度、标准
14、和流程的优俗口补充工作,建立符合网络安全法、GDPR和ISO27701的数据安全管理体系:1、梳理出国航所需要遵循的外部政策,并从中梳理出与数据安全管理相关的内容;2、根据该国航的自身数据价值和特征,梳理出信息化下的核心数据资产, 并对其分级分类给出建议;3、理清国航信息系统中核陪户数据资产使用的状况(采集、存储、使甩 流转);4、分析客户数据资产面临的威胁和使用安全风险;5、明确核心客户数据安全访问控制的目标和安全访问控制流程;6、制订出对客户数据安全规范落实和安全风险进行定期核查的策略;7、整合客户数据安全策略的支撑规范。8、完善和建立信息管理部客户数据安全管理制度、规范和流程4 .咨询成
15、果交付物具体咨询交付成果(包括但不限于):/客户数据在业务流和业务系统中的盘点和分析:/分析客户涉客关键业务的业务流程及其与25套关键系统的对应关系,并形 成报告/分析25套系统中客户数据的类别及其处理过程中安全控制现状,并形成报口/分析五类关键业务中各类客户数据在25套关键系统中的流转情况,并形成 报告/分析整体IT环境中各类客户数据全生命周期管控情况,并形成报告各法规下系统合规差距分析和影响评估/国航与其它行业内外先进公司数据安全方面差距分析,并形成报告/进行客户数据保护管理架构的合规差距分析,并形成报告/进行客户数据处理过程的合规差距分析,并形成报告/进行客户数据安全防护的合规差距分析(
16、含渗透测试),并形成报告/进行客户数据主体权利保障的合规差距分析,并形成报告合规实施建设方案设计/给出客户数据保护管理机制优化建议书/设计客户数据技术保护框架,并形成框架报告/规划重点数据安全解决方案落地建设方案/拟定25套系统合规改造建议并协助制定25套系统合规技术改造方案信息化环境中的客户防护制度完善/制定客户数据保护业务技术指引 /完善信息管理部当前客户数据安全管理制度、规范和流程 /制定客户数据防护专项应急预案 /提供风险评估和数据流分析方法和工具 /制定国航数据管理管理建议 交付物提交形式: /现状分析报告/合规差距分析报告/合规差距整改报告 /客户数据保护体系及制度文件(含客户数据
17、保护应急预案)5.咨询实施方案要求本期本咨询服务主要涉及法规及标准(包括但不限于):/中华人民共和国网络安全法/普通数据保护条例(GDPR)/ ISO/IEC27001/ ISO/IEC27701/ PCI-DSS/信息安全技术网络安全等级保护基本要求(GB/T 22239-2022)/信息安全技术个人信息安全规范(GB/T 352732022 )/数据安全管理办法(征求意见稿)/中央企业商业秘密保护暂行规定咨询服务实施维度要求:a管理维度:协助国航完善信息化下现有的数据安全相关组织、岗位及职 责,修订及建立有针对性和可行的管理制度和规范,为国航构建客户数 据安全整体的管理体系。技术维度:针对
18、国航涉及系统中客户数据使用的各个功能,通过评估及 梳理了解当前数据资产状况和风险,系统评估后提出全面和先进的数据 安全技术建设方案;配合制度规范要求,提出不同的安全技术手段进行 数据使用过程中的管控建议和方案,同时针对访问行为的审查机制等方 面提出安全要求;依据合规要求,拟定25套关键系统的合规改造建议并 协助项目组形成改造方案A场景维度:数据安全咨询评估应涵盖数据在信息化下日常使用过程中面临的各种场景,具体包含开辟测试、运维、共享、分析、应用访问、内 部特权访问等场景。咨询服务实施评估原则:A关键数据原则需要以涉及系统范围内的关键客户数据作为评估工作核心,同时涵盖相 关网络、系统、数据,如基
19、础网络、网络、基础平台、应用平台、数据 存储平台等作为评估的重点。A可控性原则在评估实施过程中,对服务过程人员和工具等进行控制,以保证数据安 全评估过程中可控和安全。服务可控性:评估服务人员事先与国航开展评估工作沟通会,介绍评 估服务流程,明确评估对象以及需要配合的工作内容,以确保数据安 全风险评估的顺利进行。人员可控性:参预评估的服务人员需要签署协议,以保证评估服务的 安全性,并且对工作过程中数据和结果数据严格管理,未经授权不泄 露给第三方人员。过程可控性:成立评估服务团队,由项目组长负责整体管理,以达到 数据安全评估服务过程可控。工具可控性:评估服务人员使用的工 具,事先沟通,确保工具不对业务及数据造成影响。A最小影响原则评估服务人员对系统数据安全风险评估时,首要保障业务系统稳定运行,