信息安全體系建設(shè)咨詢服務(wù)項目

****信息安全體系建設(shè)咨詢服務(wù)項目

詢比價招標(biāo)公告

****現(xiàn)對信息安全體系建設(shè)咨詢服務(wù)項目組織招標(biāo)，歡迎符合條件的投標(biāo)人參加投標(biāo)。
1.項目名稱：信息安全體系建設(shè)咨詢服務(wù)項目

資金來源：自籌

項目預(yù)算：4.9萬（人民幣）
4.投標(biāo)人資格要求

4.1投標(biāo)人必須是中華人民**國境內(nèi)注冊并合法經(jīng)營的法人或其他組織，經(jīng)營范圍涵蓋本招標(biāo)內(nèi)容；

4.2****公司注冊資金不得低于100萬元；須具有與本次標(biāo)的相類似的供貨經(jīng)驗，提供2019年以來的相關(guān)合同業(yè)績證明(不少于2份)；

4.3投標(biāo)人須提供營業(yè)執(zhí)照、組織機構(gòu)代碼證及稅務(wù)登記證影印件（或三證合一營業(yè)執(zhí)照影印件）；

4.4投標(biāo)人須提供近3年內(nèi)無嚴(yán)重違法失信公示信息截屏資料(企查查或天眼查）；

4.5投標(biāo)人應(yīng)有良好的財務(wù)狀況、銀行信用和商業(yè)信譽，沒有處于財產(chǎn)被接管、破產(chǎn)或者其他關(guān)、停、并、轉(zhuǎn)狀態(tài)，需提供近兩年（2022年和2023年）的財務(wù)報告；

4.6投標(biāo)人須能開具各類產(chǎn)品對應(yīng)稅率的增值稅專用發(fā)票；

4.7本項目不接受掛靠、分包、轉(zhuǎn)包、聯(lián)合體單位參與投標(biāo)；

4.8本項目不接受不同單位為同一法人或者存在控股、管理關(guān)系的不同單位同時參加。

4.9本項目原則上需由原制造商參加投標(biāo)；制造商實行區(qū)域經(jīng)銷商代理制的，經(jīng)銷商需提供法律關(guān)系的市級區(qū)域代理證明；禁止區(qū)域經(jīng)銷商再委托其他代理商參加投標(biāo)；

5.招投標(biāo)流程：

招投標(biāo)流程：招標(biāo)公告發(fā)布→投標(biāo)報名→資質(zhì)審核通過→標(biāo)書購置費繳納→招標(biāo)文件發(fā)放→投標(biāo)文件提交→開標(biāo)。

6.投標(biāo)報名

6.1 滿足本公告第4條（投標(biāo)人資格要求）有意向的潛在投標(biāo)人可參與報名，報名前須將本公告第4條（投標(biāo)人資格要求）中所要求的影印件(影印件加蓋公章（紅章））發(fā)送至郵箱****@crrcgc.cc，聯(lián)系人：劉劍峰，

聯(lián)系電話：0519-****1200，由本公司招標(biāo)工作組對投標(biāo)人資質(zhì)進行投標(biāo)資質(zhì)審核，通過審核后方可完成報名。

6.2 自本公告在****門戶網(wǎng)站（www.****.cc/qsy）之日起3個工作日內(nèi)，逾期不予受理。

7.投標(biāo)保證金

7.1 投標(biāo)保證金的金額：無；
7.2 遞交投標(biāo)保證金的時間：無；

7.3 未按照要求繳納投標(biāo)保證金的投標(biāo)人將無獲取競標(biāo)文件資格；

8.招標(biāo)文件發(fā)放

8.1招標(biāo)文件發(fā)放時間：自資質(zhì)審核通過起，每天上午9:00至11:30，下午13:30至16:30，未完成報名及遞交投標(biāo)保證金的投標(biāo)人將不被授予招標(biāo)文件；

8.2 招標(biāo)文件售價人民幣0元整（只接受投標(biāo)人電匯，注明招標(biāo)編號，項目名稱，項目標(biāo)書費，并傳真匯款憑證，招標(biāo)文件售后不退，標(biāo)書購置發(fā)票在開標(biāo)時出具）；

標(biāo)書購置費匯款賬戶信息：

單位名稱：****

稅號：913********8182170

開戶銀行：****開發(fā)區(qū)支行

賬號：110********00200016

單位地址：**省**市延陵東路358號

電話：0519—****2332

8.3 未按規(guī)定獲取的競標(biāo)文件不受法律保護，由此引起的一切后果，投標(biāo)人自負(fù)。

9.投標(biāo)文件的遞交

9.1 遞交投標(biāo)文件時間：以招標(biāo)文件為準(zhǔn)；

9.2 遞交投標(biāo)文件地點：****招標(biāo)中心（地址：**省**市延陵東路戚廠工房二區(qū)18號）；

9.3 開標(biāo)時間：以招標(biāo)文件為準(zhǔn)，逾期遞交或者未送達指定地點的投標(biāo)文件不予接受。

10.交貨期及付款方式：按合同履行。
特別提醒：請投標(biāo)人在購買招標(biāo)文件前務(wù)必先以郵件或電話的方式與聯(lián)系人取得聯(lián)系，以便及時溝通及獲取詳細(xì)信息。
聯(lián)系人：劉劍峰
電 話：139****1711
E-mail：****@crrcgc.cc

本公告在****門戶網(wǎng)站（www.****.cc/qsy）發(fā)布。

****

資產(chǎn)管理部

2024年9月20日

附技術(shù)要求

信息安全體系建設(shè)咨詢服務(wù)項目技術(shù)要求

****公司于2018年建立了以《GB/T 22080-2016/ISO/IEC 27001：2013》信息安全管理體系標(biāo)準(zhǔn)為框架的信息安全管理體系，編制了體系管理手冊、程序文件和適用性聲明A版。公司按照信息安全管理體系相關(guān)標(biāo)準(zhǔn)要求開展風(fēng)險評估、內(nèi)審、管理評審、監(jiān)督審核等各項工作，確保信息安全管理體系的日常運行正常、適宜、充分和有效，并通過體系的持續(xù)改進，****公司的信息安全管理水平。

信息安全管理體系已于2023年換版為《GB/T 22080-2016/ISO/IEC 27001：2022》，需要重新進行體系文件的換版，并按新版要求開展體系風(fēng)險評估、內(nèi)審、管理評審、監(jiān)督審核等各項工作，通過最新的國際信息安全管理理論體系指導(dǎo)，打造一個全方位、高標(biāo)準(zhǔn)、高質(zhì)量的信息安全管理體系。

乙方需提供必要服務(wù)，****公司達成以下項目目標(biāo)：

1）以《GB/T 22080-2016/ISO/IEC 27001：2022》信息安全管理體系標(biāo)準(zhǔn)為框架，****公司基于機車產(chǎn)品的設(shè)計開發(fā)、****公司內(nèi)部客戶提供軟件、硬件和基礎(chǔ)設(shè)施運行維護服務(wù)相關(guān)的信息安全管理體系；

2）信息安全****公司基于機車產(chǎn)品研發(fā)所涉及的應(yīng)用系統(tǒng)、工藝設(shè)計、IT基礎(chǔ)架構(gòu)和IT運維相關(guān)部門內(nèi)得以有效運行，各核心業(yè)務(wù)信息系統(tǒng)建設(shè)及運維活動符合信息安全管理體系標(biāo)準(zhǔn)要求；對現(xiàn)有的各項信息安全管理文件進行梳理、優(yōu)化和補充，形成完整的信息安全控制體系。包括綱領(lǐng)性文件（如信息安全方針及政策等）、程序文件（如風(fēng)險管理及評估程序、內(nèi)部審核程序、第三方和外包管理規(guī)定等）、具體的作業(yè)指導(dǎo)書（操作步驟和方法）、各種記錄文件（流程實施記錄和表格）等，并進行信息安全體系發(fā)布和宣導(dǎo)。

3）按新版信息安全管理標(biāo)準(zhǔn)，結(jié)合的信息安全管理現(xiàn)狀，對各個信息安全管理領(lǐng)域進行差距分析。包括：安全方針，信息安全組織，資產(chǎn)管理，人力**安全，物理和環(huán)境安全，通信和操作安全，訪問控制，信息系統(tǒng)獲取、開發(fā)和支持，信息安全事件響應(yīng)，業(yè)務(wù)持續(xù)性管理，以及合規(guī)性管理等方面。

4）以專門的交流和培訓(xùn)等方式實現(xiàn)對信息安全管理的知識、方法、技術(shù)和工具等的知識轉(zhuǎn)移，并對公司團隊成員的培養(yǎng)和對用戶進行信息安全意識教育。

5）在2025年1月31日前通過由中國****管理委員會認(rèn)可的審核機構(gòu)的現(xiàn)場審核，并獲得認(rèn)證證書。

位于**市延陵東路358號（生產(chǎn)車間除外）****范圍內(nèi)的機車產(chǎn)品的設(shè)計開發(fā)、****公司內(nèi)部客戶提供軟件、硬件和基礎(chǔ)設(shè)施運行維護服務(wù)相關(guān)的信息安全管理活動。適用性聲明B版。

1） 認(rèn)證地點：****（**市延陵東路358號，生產(chǎn)車間除外）；

2） 認(rèn)證范圍內(nèi)人員：****公司機車產(chǎn)品研發(fā)所涉及的應(yīng)用系統(tǒng)、工藝設(shè)計、IT基礎(chǔ)架構(gòu)和IT運維相關(guān)的部門及人員，共計900人左右。

3） 認(rèn)證范圍內(nèi)業(yè)務(wù)：****公司機車產(chǎn)品研發(fā)所涉及的應(yīng)用系統(tǒng)、工藝設(shè)計、IT基礎(chǔ)架構(gòu)和IT運維相關(guān)的工作活動。

4） 涉及部門：全公司單位（生產(chǎn)車間除外）。

1） 2024年9月，完成項目啟動；

2） 2024年9月30日前，完成體系基礎(chǔ)培訓(xùn)、現(xiàn)狀調(diào)研、差距分析等前期準(zhǔn)備工作；

3） 2024年10月31日前，完成體系規(guī)劃與體系文件編寫工作，正式發(fā)布體系；

4） 2024年10月31日前，完成體系試運行及內(nèi)部審核、管理評審工作；

5） 2025年1月31日前，完成體系所有審核及整改工作，并取得體系認(rèn)證證書。

本次咨詢服務(wù)項目主要包含以下板塊的工作內(nèi)容：

1）根據(jù)IT風(fēng)險管理方法論、信息安全最佳實踐，并結(jié)合監(jiān)管要求及上級規(guī)范，制定詳細(xì)的現(xiàn)狀調(diào)查方案。

2）信息安全現(xiàn)狀調(diào)研的內(nèi)容包括資料收集、現(xiàn)場訪談、問卷調(diào)研、技術(shù)調(diào)研等。

3）最終形成《信息安全現(xiàn)狀調(diào)研與差距分析報告》。

****公司信息安全現(xiàn)狀調(diào)研報告和差距分析報告為參考，開展以下基于信息資產(chǎn)的管理、操作和技術(shù)的信息安全風(fēng)險識別。

最終形成以下可交付物：

1)《信息資產(chǎn)識別表》

2)《信息資產(chǎn)風(fēng)險識別表》

3)《風(fēng)險識別報告》

4)《風(fēng)險處置實施計劃》

根據(jù)信息安全管理體系建設(shè)內(nèi)容，****公司自己的信息安全管理體系文件，內(nèi)容包括但不限于如下內(nèi)容：

1）《公司信息安全管理體系》系列文件B版（包括1-4級文件，《風(fēng)險評估流程》、《文件編、審、批、發(fā)布、回收流程》、《信息安全內(nèi)審流程》、《管理評審流程》等隸屬其中文件之一）

2）《信息安全管理體系》系列文件記錄的修訂跟蹤確認(rèn)表

3）《信息安全技術(shù)管理體系文件宣貫材料》

提供體系建立后至體系通過認(rèn)證期間的運行維護工作，主要內(nèi)容包括：

實施方在提供服務(wù)期間，在項目實施范圍內(nèi)必須服從招標(biāo)方對于項目的工作任務(wù)安排，按時保質(zhì)完成工作任務(wù)。****公司在項目管理、正常工作時間、工作形象等方面的統(tǒng)一要求。

自合同簽****公司獲得《GB/T 22080-2016/ISO/IEC 27001：2022》證書。

乙方在提供服務(wù)時，****公司制定的應(yīng)用規(guī)范、技術(shù)規(guī)范。

****。

在項目實施各階段階段，應(yīng)提交但不限于以下交付物：

ISMS要求的文件體系應(yīng)該是一個層次化的體系，按照一般管理體系的慣例，通常是由四個層次構(gòu)成的：

一級文件：全組織范圍內(nèi)的信息安全方針，以及下屬各個方面的策略方針等。這需要從組織整體考慮來制定，應(yīng)該能夠反映組織最高管理者對信息安全工作所下達的旨意，應(yīng)該能為所有下級文件的編寫指引方向。

二級文件：各類程序文件。這些程序文件應(yīng)該是針對信息安全某方面工作的，是對信息安全方針內(nèi)容的進一步落實，應(yīng)該是不同部門都能適用的。

三級文件：具體的作業(yè)指導(dǎo)書。描述了某項任務(wù)具體的操作步驟和方法，是對各個程序文件所規(guī)定的領(lǐng)域內(nèi)工作的細(xì)化。

四級文件：各種記錄文件，包括實施各項流程的記錄成果。這些文件通常表現(xiàn)為記錄表格，應(yīng)該成為ISMS 得以持續(xù)運行的有力證據(jù)，由各個相關(guān)部門自行維護。

提供《GB/T 22080-2016/ISO/IEC 27001：2022》標(biāo)準(zhǔn)和體系講解。

面向范圍：****公司體系認(rèn)證范圍內(nèi)的各部門人員，培訓(xùn)內(nèi)容至少應(yīng)包含：

1）信息安全管理體系基礎(chǔ)培訓(xùn)；

2）信息安全風(fēng)險識別方法及實施培訓(xùn)；

3）信息安全體系文件及流程推廣培訓(xùn)；

4）信息安全管理體系內(nèi)審員培訓(xùn)。

乙方根據(jù)本項目的工作需要，設(shè)置合理的項目組織結(jié)構(gòu)，并給出甲乙雙方的項目組織機構(gòu)。乙方根據(jù)建立的項目組織機構(gòu)情況，請進行詳細(xì)描述。

乙方項目組作為本項目的乙方，請給出具體角色和職責(zé)，如下表所示舉例供參考：

1）要求乙方提供足夠的顧問在項目現(xiàn)場進行服務(wù)，乙方可以根據(jù)所指派顧問熟悉范圍及不同階段適當(dāng)調(diào)整人數(shù)，但無論人數(shù)多少，必須能勝任所分配的運維支持及實施工作，必須能夠****公司范圍內(nèi)的支持需求，否則招標(biāo)人有權(quán)隨時解除合同。

2）請?zhí)峁┧腥藛T的簡歷及乙方人員詳細(xì)情況（如：在本項目中擔(dān)當(dāng)?shù)慕巧?、參與的階段、參與的人天數(shù)等）。必須在投標(biāo)書中指定將來用于本項目的人員的職責(zé)、計劃安排在本項目上的時間。

3）項目組中的****公司具有多年同類工作經(jīng)驗、實施****集團型項目經(jīng)驗的骨干人員，經(jīng)招標(biāo)方面試通過后方可入場提供服務(wù)。乙方應(yīng)確?，F(xiàn)場顧問在實施期間的穩(wěn)定性，并且項目經(jīng)理現(xiàn)場服務(wù)時間不得少于總的現(xiàn)場服務(wù)時間的50%，未經(jīng)招標(biāo)方許可不允許更換項目經(jīng)理。

4）招標(biāo)方有權(quán)要求乙方更換項目實施人員直至滿意為止。在提供服務(wù)期間，招標(biāo)方有權(quán)要求乙方更換不符合要求的顧問，乙方必須在5個工作日內(nèi)提供適合的替換顧問到場。

5）在項目實施全過程中，招標(biāo)方有對項目進度和質(zhì)量進行監(jiān)督控制的職責(zé)和權(quán)力，乙方應(yīng)全面配合，確保人力、物力的足量投入，定期向招標(biāo)方提交最新的進展情況和風(fēng)險分析報告。

需要乙方從以下方面（包含但不僅限于）：建立嚴(yán)格的質(zhì)量保證體系；制定項目開發(fā)建設(shè)質(zhì)量控制方案和實施措施；督促落實各環(huán)節(jié)質(zhì)量控制內(nèi)容和目標(biāo)；保證總體規(guī)劃設(shè)計、流程開發(fā)與實施、體系發(fā)布、體系運行與驗收要求、里程碑工作成果等方面，進行詳細(xì)闡述說明。

需要乙方從建立完善的風(fēng)險識別管理機制、風(fēng)險分析、風(fēng)險預(yù)防與控制方法、風(fēng)險應(yīng)對及確保項目成功等方面，進行詳細(xì)闡述說明。

需要乙方從以下方面（包含但不僅限于）： 制定總體實施計劃表和各階段的詳細(xì)實施計劃表及人員分配等方面，進行詳細(xì)闡述說明。

需要乙方從以下方面（包含但不僅限于）：建立完善的文檔管理體系（包括文檔管理服務(wù)器的類型、文件命名規(guī)范、目錄規(guī)范、文件傳遞規(guī)則等），在規(guī)定時間內(nèi)向招標(biāo)人提交項目建設(shè)各個階段的計劃、方案、報告、質(zhì)量標(biāo)準(zhǔn)、項目進展?fàn)顟B(tài)文檔等方面，進行詳細(xì)闡述說明。

需要乙方詳細(xì)闡述變更的管理與控制方案。

乙方在完成項目約定的工作內(nèi)容、提交完整的項目資料并經(jīng)甲方認(rèn)可后，甲乙雙方可對項目進行驗收。

在整個咨詢服務(wù)過程中，為了避免服務(wù)中涉及到的有關(guān)敏感信息，接觸到核心業(yè)務(wù)系統(tǒng)與網(wǎng)絡(luò)，因此在項目執(zhí)行過程中為避免信息泄露、避免對核心業(yè)務(wù)系統(tǒng)造成影響，必須進行一系列安全控制活動，以保障在項目實施過程中，的信息安全。

為保證在項目前期準(zhǔn)備、項目執(zhí)行過程中、以及項目完成后一定時間內(nèi)雙方的因項目原因而互相接收的雙方敏感信息的安全性，保證雙方商業(yè)利益和符合法律規(guī)定，雙方應(yīng)在簽訂合同或敏感信息交互前，簽署保密協(xié)議，履行保密職責(zé)。

通過項目的實施，完成項目目標(biāo)，使能夠清晰了解到當(dāng)前存在的信息安全風(fēng)險，已有的安全控制措施，識別出安全需求，構(gòu)建出信息安全體系架構(gòu)以及為實現(xiàn)該架構(gòu)在一定時期內(nèi)所需進行的符合利益的信息安全建設(shè)項目。

通過信息安全管理體系建設(shè)項目，建立并完善的信息安全管理，從管理層面對信息安全進行控制，通過試點****公司范圍的推廣應(yīng)用；

在規(guī)劃的信息安全建設(shè)項目完成后，將建立起信息安全體系、從管理控制層面，技術(shù)控制層面對的信息安全進行管控。

以下無正文