尋源單號(hào): 報(bào)名聯(lián)系人:許冰倩 報(bào)名聯(lián)系電話(優(yōu)先聯(lián)系):- 辦公電話: 項(xiàng)目所在地:河北省保定市 品類:信息安全風(fēng)險(xiǎn)評(píng)估外包 項(xiàng)目概況與招標(biāo)范圍:為快速建立信息安全風(fēng)險(xiǎn)閉環(huán)管理機(jī)制,長(zhǎng)城汽車計(jì)劃引入供應(yīng)商一起建立主動(dòng)發(fā)現(xiàn)信息系統(tǒng)安全風(fēng)險(xiǎn)的能力,對(duì)套信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估工作,形成常態(tài)化風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)發(fā)現(xiàn)、風(fēng)險(xiǎn)修復(fù)的閉環(huán)管理機(jī)制,確保公司信息系統(tǒng)的安全性與合規(guī)性。 .項(xiàng)目合同周期:簽訂為期一年的服務(wù)合同。 .項(xiàng)目開展形式:項(xiàng)目外包形式。 .服務(wù)內(nèi)容: ①風(fēng)險(xiǎn)評(píng)估工作:中標(biāo)方對(duì)套重要信息系統(tǒng)開展信息安全風(fēng)險(xiǎn)評(píng)估工作,主要為滲透測(cè)試和基于成果目標(biāo)的紅隊(duì)攻擊工作,由中標(biāo)方輸出滲透測(cè)試報(bào)告、紅隊(duì)攻擊報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告。 ②風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)化:中標(biāo)方應(yīng)將項(xiàng)目實(shí)施過(guò)程中采用的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)、流程、方法、工具及其使用方法等內(nèi)容編制成標(biāo)準(zhǔn)化文檔,并交付招標(biāo)方,另需輸出不低于份應(yīng)用系統(tǒng)評(píng)估標(biāo)準(zhǔn)清單。 .工作范圍: ①風(fēng)險(xiǎn)評(píng)估工作的范圍:招標(biāo)方與中標(biāo)方基于長(zhǎng)城集團(tuán)所有信息系統(tǒng)的重要程度共同定義的套信息系統(tǒng)。 ②風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)化的范圍:項(xiàng)目實(shí)施過(guò)程中采用的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)、流程、方法、工具及其使用方法等。 投標(biāo)主體報(bào)名要求 一、技術(shù)要求:投標(biāo)方需要根據(jù)招標(biāo)方的招標(biāo)文件進(jìn)行實(shí)施方案、技術(shù)方案的編制和細(xì)化,經(jīng)過(guò)招標(biāo)方認(rèn)可后開展信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作,過(guò)程中需要根據(jù)同類項(xiàng)目的經(jīng)驗(yàn)、國(guó)標(biāo)、行業(yè)最佳實(shí)踐等開展包括但不限于重要信息系統(tǒng)評(píng)估標(biāo)準(zhǔn)制定、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)報(bào)告等工作,同時(shí)需要將整個(gè)評(píng)估過(guò)程詳細(xì)記錄,輸出信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)作業(yè)程序,以供招標(biāo)方內(nèi)部風(fēng)險(xiǎn)整改。 否決項(xiàng): ①針對(duì)方案編制、紅隊(duì)攻擊、滲透測(cè)試、風(fēng)險(xiǎn)評(píng)估、內(nèi)部賦能相關(guān)工作不提供駐場(chǎng)工程師服務(wù); ②在紅隊(duì)攻擊方案中,未明確出紅隊(duì)攻擊方法和攻擊成果目標(biāo)的; ③在滲透測(cè)試方案中,未明確出滲透測(cè)試方法,或測(cè)試方法為某一種安全問題的測(cè)試方法(如字符型注入)而非某一類安全問題的測(cè)試方法(如注入); ④紅隊(duì)攻擊方法與滲透測(cè)試方法一致的; ⑤投標(biāo)方向招標(biāo)方提供的項(xiàng)目團(tuán)隊(duì)成員不滿足至少一人年至今給國(guó)家信息安全漏洞庫(kù)或提交的漏洞數(shù)量不少于個(gè)的; ⑥投標(biāo)方向招標(biāo)方提供的項(xiàng)目團(tuán)隊(duì)成員不滿足至少一人具備或或或-....
快捷閱讀