信息安全体系建设咨询服务项目
信息安全体系建设咨询服务项目
中车戚墅堰机车有限公司信息安全体系建设咨询服务项目
询比价招标公告
中车戚墅堰机车有限公司现对信息安全体系建设咨询服务项目组织招标,欢迎符合条件的投标人参加投标。
1.项目名称:信息安全体系建设咨询服务项目
资金来源:自筹
项目预算:4.9万(人民币)
4.投标人资格要求
4.1投标人必须是中华人民共和国境内注册并合法经营的法人或其他组织,经营范围涵盖本招标内容;
4.2投标人公司注册资金不得低于100万元;须具有与本次标的相类似的供货经验,提供2019年以来的相关合同业绩证明(不少于2份);
4.3投标人须提供营业执照、组织机构代码证及税务登记证影印件(或三证合一营业执照影印件);
4.4投标人须提供近3年内无严重违法失信公示信息截屏资料(企查查或天眼查);
4.5投标人应有良好的财务状况、银行信用和商业信誉,没有处于财产被接管、破产或者其他关、停、并、转状态,需提供近两年(2022年和2023年)的财务报告;
4.6投标人须能开具各类产品对应税率的增值税专用发票;
4.7本项目不接受挂靠、分包、转包、联合体单位参与投标;
4.8本项目不接受不同单位为同一法人或者存在控股、管理关系的不同单位同时参加。
4.9本项目原则上需由原制造商参加投标;制造商实行区域经销商代理制的,经销商需提供法律关系的市级区域代理证明;禁止区域经销商再委托其他代理商参加投标;
5.招投标流程:
招投标流程:招标公告发布→投标报名→资质审核通过→标书购置费缴纳→招标文件发放→投标文件提交→开标。
6.投标报名
6.1 满足本公告第4条(投标人资格要求)有意向的潜在投标人可参与报名,报名前须将本公告第4条(投标人资格要求)中所要求的影印件(影印件加盖公章(红章))发送至邮箱010*****4452@crrcgc.cc,联系人:刘剑峰,
联系电话:0519-********,由本公司招标工作组对投标人资质进行投标资质审核,通过审核后方可完成报名。
6.2 自本公告在中车戚墅堰机车有限公司门户网站(www.crrcgc.cc/qsy)之日起3个工作日内,逾期不予受理。
7.投标保证金
7.1 投标保证金的金额:无;
7.2 递交投标保证金的时间:无;
7.3 未按照要求缴纳投标保证金的投标人将无获取竞标文件资格;
8.招标文件发放
8.1招标文件发放时间:自资质审核通过起,每天上午9:00至11:30,下午13:30至16:30,未完成报名及递交投标保证金的投标人将不被授予招标文件;
8.2 招标文件售价人民币0元整(只接受投标人电汇,注明招标编号,项目名称,项目标书费,并传真汇款凭证,招标文件售后不退,标书购置发票在开标时出具);
标书购置费汇款账户信息:
单位名称:中车戚墅堰机车有限公司
开户银行:工行常州经济开发区支行
单位地址:江苏省常州市延陵东路358号
电话:0519—********
8.3 未按规定获取的竞标文件不受法律保护,由此引起的一切后果,投标人自负。
9.投标文件的递交
9.1 递交投标文件时间:以招标文件为准;
9.2 递交投标文件地点:中车戚墅堰机车有限公司招标中心(地址:江苏省常州市延陵东路戚厂工房二区18号);
9.3 开标时间:以招标文件为准,逾期递交或者未送达指定地点的投标文件不予接受。
10.交货期及付款方式:按合同履行。
特别提醒:请投标人在购买招标文件前务必先以邮件或电话的方式与联系人取得联系,以便及时沟通及获取详细信息。
联系人:刘剑峰
电 话:139*****711
E-mail:010*****4452@crrcgc.cc
本公告在中车戚墅堰机车有限公司门户网站(www.crrcgc.cc/qsy)发布。
中车戚墅堰机车有限公司
资产管理部
2024年9月20日
附技术要求
信息安全体系建设咨询服务项目技术要求
戚墅堰公司于2018年建立了以《GB/T *****-2016/ISO/IEC *****:2013》信息安全管理体系标准为框架的信息安全管理体系,编制了体系管理手册、程序文件和适用性声明A版。公司按照信息安全管理体系相关标准要求开展风险评估、内审、管理评审、监督审核等各项工作,确保信息安全管理体系的日常运行正常、适宜、充分和有效,并通过体系的持续改进,不断提升公司的信息安全管理水平。
信息安全管理体系已于2023年换版为《GB/T *****-2016/ISO/IEC *****:2022》,需要重新进行体系文件的换版,并按新版要求开展体系风险评估、内审、管理评审、监督审核等各项工作,通过最新的国际信息安全管理理论体系指导,打造一个全方位、高标准、高质量的信息安全管理体系。
乙方需提供必要服务,确保戚墅堰公司达成以下项目目标:
1)以《GB/T *****-2016/ISO/IEC *****:2022》信息安全管理体系标准为框架,建立戚墅堰公司基于机车产品的设计开发、工艺开发以及向公司内部客户提供软件、硬件和基础设施运行维护服务相关的信息安全管理体系;
2)信息安全管理体系在戚墅堰公司基于机车产品研发所涉及的应用系统、工艺设计、IT基础架构和IT运维相关部门内得以有效运行,各核心业务信息系统建设及运维活动符合信息安全管理体系标准要求;对现有的各项信息安全管理文件进行梳理、优化和补充,形成完整的信息安全控制体系。包括纲领性文件(如信息安全方针及政策等)、程序文件(如风险管理及评估程序、内部审核程序、第三方和外包管理规定等)、具体的作业指导书(操作步骤和方法)、各种记录文件(流程实施记录和表格)等,并进行信息安全体系发布和宣导。
3)按新版信息安全管理标准,结合的信息安全管理现状,对各个信息安全管理领域进行差距分析。包括:安全方针,信息安全组织,资产管理,人力资源安全,物理和环境安全,通信和操作安全,访问控制,信息系统获取、开发和支持,信息安全事件响应,业务持续性管理,以及合规性管理等方面。
4)以专门的交流和培训等方式实现对信息安全管理的知识、方法、技术和工具等的知识转移,并对公司团队成员的培养和对用户进行信息安全意识教育。
5)在2025年1月31日前通过由中国国家认证认可监督管理委员会认可的审核机构的现场审核,并获得认证证书。
位于常州市延陵东路358号(生产车间除外)中车戚墅堰机车有限公司范围内的机车产品的设计开发、工艺开发以及向公司内部客户提供软件、硬件和基础设施运行维护服务相关的信息安全管理活动。适用性声明B版。
1) 认证地点:中车戚墅堰机车有限公司(常州市延陵东路358号,生产车间除外);
2) 认证范围内人员:与戚墅堰公司机车产品研发所涉及的应用系统、工艺设计、IT基础架构和IT运维相关的部门及人员,共计900人左右。
3) 认证范围内业务:基于戚墅堰公司机车产品研发所涉及的应用系统、工艺设计、IT基础架构和IT运维相关的工作活动。
4) 涉及部门:全公司单位(生产车间除外)。
1) 2024年9月,完成项目启动;
2) 2024年9月30日前,完成体系基础培训、现状调研、差距分析等前期准备工作;
3) 2024年10月31日前,完成体系规划与体系文件编写工作,正式发布体系;
4) 2024年10月31日前,完成体系试运行及内部审核、管理评审工作;
5) 2025年1月31日前,完成体系所有审核及整改工作,并取得体系认证证书。
本次咨询服务项目主要包含以下板块的工作内容:
| 序号 | 工作内容 | 简要说明 |
| 差距分析与风险识别 | 完成基于信息资产的管理、操作和技术的信息安全风险识别,制定风险处置计划 | |
| 体系建设 | 参照《GB/T *****-2016/ISO/IEC *****:2022》的相关要求,建立适合戚墅堰公司的完整的信息安全管理体系,负责完成体系文件B版的编写。 | |
| 体系运行管控 | 协助戚墅堰公司体系运行和日常检查,全程参与戚墅堰公司信息安全管理体系内部审核,给予指导、解答过程中的疑问,并提出改进建议 | |
| 外部认证 | 负责戚墅堰公司外部认证前的各项准备工作 |
1)根据IT风险管理方法论、信息安全最佳实践,并结合监管要求及上级规范,制定详细的现状调查方案。
2)信息安全现状调研的内容包括资料收集、现场访谈、问卷调研、技术调研等。
3)最终形成《信息安全现状调研与差距分析报告》。
根据戚墅堰公司信息安全现状调研报告和差距分析报告为参考,开展以下基于信息资产的管理、操作和技术的信息安全风险识别。
最终形成以下可交付物:
1)《信息资产识别表》
2)《信息资产风险识别表》
3)《风险识别报告》
4)《风险处置实施计划》
根据信息安全管理体系建设内容,建立戚墅堰公司自己的信息安全管理体系文件,内容包括但不限于如下内容:
1)《公司信息安全管理体系》系列文件B版(包括1-4级文件,《风险评估流程》、《文件编、审、批、发布、回收流程》、《信息安全内审流程》、《管理评审流程》等隶属其中文件之一)
2)《信息安全管理体系》系列文件记录的修订跟踪确认表
3)《信息安全技术管理体系文件宣贯材料》
提供体系建立后至体系通过认证期间的运行维护工作,主要内容包括:
实施方在提供服务期间,在项目实施范围内必须服从招标方对于项目的工作任务安排,按时保质完成工作任务。遵循戚墅堰公司在项目管理、正常工作时间、工作形象等方面的统一要求。
自合同签订之日起至戚墅堰公司获得《GB/T *****-2016/ISO/IEC *****:2022》证书。
乙方在提供服务时,必须遵循戚墅堰公司制定的应用规范、技术规范。
中车戚墅堰机车有限公司。
在项目实施各阶段阶段,应提交但不限于以下交付物:
| 项目阶段 | 交付物 |
| 项目启动 | 项目实施计划 项目成员表 保密承诺书 |
| 管理咨询 | 现状调研报告 风险识别报告 风险处置计划 体系规划方案 全套体系文件 体系文件/记录跟踪修订表 内审审核报告 管理评审报告 |
ISMS要求的文件体系应该是一个层次化的体系,按照一般管理体系的惯例,通常是由四个层次构成的:
一级文件:全组织范围内的信息安全方针,以及下属各个方面的策略方针等。这需要从组织整体考虑来制定,应该能够反映组织最高管理者对信息安全工作所下达的旨意,应该能为所有下级文件的编写指引方向。
二级文件:各类程序文件。这些程序文件应该是针对信息安全某方面工作的,是对信息安全方针内容的进一步落实,应该是不同部门都能适用的。
三级文件:具体的作业指导书。描述了某项任务具体的操作步骤和方法,是对各个程序文件所规定的领域内工作的细化。
四级文件:各种记录文件,包括实施各项流程的记录成果。这些文件通常表现为记录表格,应该成为ISMS 得以持续运行的有力证据,由各个相关部门自行维护。
文件体系清单| 一级文件: | 《信息安全管理体系手册》(含信息安全方针) 《适用性声明(SOA)》 |
| 二级文件(暂定,依据实际情况确定): | 《风险评估流程》 《风险管理流程》 《风险处理计划》 《管理评审程序》 《信息设备管理程序》 《信息安全组织建设规定》 《新设施管理程序》 《内部审核程序》 《第三方和外包管理规定》 《信息资产管理规定》 《工作环境安全管理规定》 《介质处理与安全规定》 《系统开发与维护程序》 《业务连续性管理程序》 《法律符合性管理规定》 《信息系统安全审计规定》 《文件及材料控制程序》 《安全事件处理流程》 《变更控制程序》 《记录控制程序》 《纠正预防措施程序》 《数据安全控制程序》等 |
| 三级文件(暂定,依据实际情况增删): | 《介质销毁办法》 《保安管理规定》 《中心主机房管理制度》 《中心信息安全处罚规定》 《密码管理规定》 《安全人员考察与保密管理程序》 《开发岗位工作标准》 《信息系统访问权限说明》 《信息销毁制度》 《可移动媒体使用与处置管理规定》 《数据加密管理规定》 《文件审批规定》 《机房安全管理规定》 《法律法规与符合性评估程序》 《业务连续性管理计划》 《监视系统管理规定》 《岗位工作标准》 《信息事故处理规定》 《信息安全岗位职责规定》 《计算机机房管理规定》 《部门访问权限说明》 《网站信息发布管理程序》 《网络中间设备安全配置管理规定》 《网络通信岗位工作标准》 《计算机硬件管理维护规定》 《远程工作控制程序》等 |
| 四级文件 | 体系运行记录等 |
提供《GB/T *****-2016/ISO/IEC *****:2022》标准和体系讲解。
面向范围:戚墅堰公司体系认证范围内的各部门人员,培训内容至少应包含:
1)信息安全管理体系基础培训;
2)信息安全风险识别方法及实施培训;
3)信息安全体系文件及流程推广培训;
4)信息安全管理体系内审员培训。
乙方根据本项目的工作需要,设置合理的项目组织结构,并给出甲乙双方的项目组织机构。乙方根据建立的项目组织机构情况,请进行详细描述。
乙方项目组作为本项目的乙方,请给出具体角色和职责,如下表所示举例供参考:
| 角色 | 拟派人员 | 职责 |
| 项目负责人 | xxxxxx | xxxxxx |
| 项目经理 | xxxxxx | xxxxxx |
| … | … | … |
1)要求乙方提供足够的顾问在项目现场进行服务,乙方可以根据所指派顾问熟悉范围及不同阶段适当调整人数,但无论人数多少,必须能胜任所分配的运维支持及实施工作,必须能够保证满足招标人全公司范围内的支持需求,否则招标人有权随时解除合同。
2)请提供所有人员的简历及乙方人员详细情况(如:在本项目中担当的角色、参与的阶段、参与的人天数等)。必须在投标书中指定将来用于本项目的人员的职责、计划安排在本项目上的时间。
3)项目组中的项目经理为乙方本公司具有多年同类工作经验、实施过多个大型特别是集团型项目经验的骨干人员,经招标方面试通过后方可入场提供服务。乙方应确保现场顾问在实施期间的稳定性,并且项目经理现场服务时间不得少于总的现场服务时间的50%,未经招标方许可不允许更换项目经理。
4)招标方有权要求乙方更换项目实施人员直至满意为止。在提供服务期间,招标方有权要求乙方更换不符合要求的顾问,乙方必须在5个工作日内提供适合的替换顾问到场。
5)在项目实施全过程中,招标方有对项目进度和质量进行监督控制的职责和权力,乙方应全面配合,确保人力、物力的足量投入,定期向招标方提交最新的进展情况和风险分析报告。
需要乙方从以下方面(包含但不仅限于):建立严格的质量保证体系;制定项目开发建设质量控制方案和实施措施;督促落实各环节质量控制内容和目标;保证总体规划设计、流程开发与实施、体系发布、体系运行与验收要求、里程碑工作成果等方面,进行详细阐述说明。
需要乙方从建立完善的风险识别管理机制、风险分析、风险预防与控制方法、风险应对及确保项目成功等方面,进行详细阐述说明。
需要乙方从以下方面(包含但不仅限于): 制定总体实施计划表和各阶段的详细实施计划表及人员分配等方面,进行详细阐述说明。
需要乙方从以下方面(包含但不仅限于):建立完善的文档管理体系(包括文档管理服务器的类型、文件命名规范、目录规范、文件传递规则等),在规定时间内向招标人提交项目建设各个阶段的计划、方案、报告、质量标准、项目进展状态文档等方面,进行详细阐述说明。
需要乙方详细阐述变更的管理与控制方案。
乙方在完成项目约定的工作内容、提交完整的项目资料并经甲方认可后,甲乙双方可对项目进行验收。
在整个咨询服务过程中,为了避免服务中涉及到的有关敏感信息,接触到核心业务系统与网络,因此在项目执行过程中为避免信息泄露、避免对核心业务系统造成影响,必须进行一系列安全控制活动,以保障在项目实施过程中,的信息安全。
为保证在项目前期准备、项目执行过程中、以及项目完成后一定时间内双方的因项目原因而互相接收的双方敏感信息的安全性,保证双方商业利益和符合法律规定,双方应在签订合同或敏感信息交互前,签署保密协议,履行保密职责。
通过项目的实施,完成项目目标,使能够清晰了解到当前存在的信息安全风险,已有的安全控制措施,识别出安全需求,构建出信息安全体系架构以及为实现该架构在一定时期内所需进行的符合利益的信息安全建设项目。
通过信息安全管理体系建设项目,建立并完善的信息安全管理,从管理层面对信息安全进行控制,通过试点逐步完善并进行全公司范围的推广应用;
在规划的信息安全建设项目完成后,将建立起信息安全体系、从管理控制层面,技术控制层面对的信息安全进行管控。
以下无正文
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
江苏
江苏
江苏
江苏
江苏
江苏
最近搜索
无
热门搜索
无
