资通安全管理制度(isms)辅导验证顾问服务

財團法人台灣網路資訊中心

資通安全管理制度（ISMS）輔導驗證顧問服務徵求建議書財團法人台灣網路資訊中心臺北市100中正區羅斯福路二段9號4樓之2電話:02-2341-1313傳真:02-2396-8832目錄TOC\o"1-5"\h\z査、專案名稱 5貳、徴求對象 5參、專案目標 5肆、專案範圍 6伍、專案工作項目 6陸、建置時程 15柒、交付項目 15捌、專案管理需求 17玖、建議書製作規定 19畫拾、徴求方式 22査拾壹、建議書評選 23建拾貳、決選方式 25豊拾參、其他事項 26附件一、導入專案組織 27附件二、驗證資訊系統名稱 29附件三、現行資安管理文件列表 31豊、專案名稱台灣網路資訊中心資通安全管理制度（ISMS爾導驗證顧問服務案（以下簡稱本專案）貳、徵求對象應具備下列資格:一、領有經濟部核發執照之公司行號,或依法核准設立或登記有案之法人機構。二、合法繳納營業稅捐。三、資本額新台幣貳仟萬元（含）以上參、專案目標本中心一向致力於維護資訊環境之安全,然因應環境變遷迅速,業務多元發展,亟須持續加強資通安全管理,整合現行管理制度,以確保本中心資訊資產之機密性、完整性與可用性。擬就本中心所負責之全國DNS註冊及解析系統（簡稱DNS系統）,徵求具實務輔導資通安全管理制度能力之專業機構或單位（以下簡稱「輔導單位」）,依據BS7799-2:2002標準，並參考其他國際相關標準,規劃並輔導建立本中心之整合性資通安全管理制度（InformationSecurityManagementSystem,ISMS）X規劃並提供資安推廣及教育訓練課程、規劃並輔導資安監控中心預警及通告作業機制與制度,同時通過BS7799-2:2002標準驗證以及取得資安管理稽核、資安技術相關專業證照,期望藉由完成本專案達成落實強化我國DNS系統之資通安全。本專案主要是藉由輔導單位提供必要之輔導、顧問服務，來達成下列所有專案目標:ー、規劃並建立本中心具持續改善能力之整合性資通安全管理制度;二、規劃並提供本中心資安推廣及教育訓練課程,以提昇本專案相關人員之資安管理與技術專業能力，並取得資安管理稽核、資安技術相關必要之專業證照;三、規劃本中心資安監控中心預警及通告作業制度;四、輔導本中心取得本專案範圍之資通安全管理制度通過BS7799-2:2002標準驗證;五、協助本專案範圍建立相關維運機制,以確保不因人員異動而導致業務中斷。肆、專案範圍本專案範圍說明如下:ー、導入專案組織本中心組織圖如附件ー,本專案僅以本中心技術組及網域名稱服務組為範圍。二、驗證資訊系統名稱如附件二。三、現行資安文件列表如附件三。伍、專案工作項目本案以達成下列工作項目為基準,並參照行政院國家資通安全會報技術服務中心出版之「資訊安全管理制度導入手冊」步驟與方法完成本專案。本專案之服務內容必須包含下列工作項目：ー、規劃並輔導建立本中心整合性資通安全管理制度及通過BS7799-2:2002標準驗證輔導單位應以符合BS7799-2:2002標準為架構,並得參酌其他資通安全相關國際標準,結合本中心現行管理制度,規劃並輔導建立本中心資安管理制度,並提供必要之輔導協助本中心通過BS7799-2:2002驗證。培訓本中心具備計畫、執行、檢查、行動(Plan-Do-Check-Act,PDCA)能力之資安管理制度維運團隊。輔導單位為達成此エ作項目至少須完成下列重要作業：(-)執行風險評鑑作業協助本中心建立風險管理制度、協助進行選定範圍內之資訊資產風險評鑑作業,其內容包括:.現況診斷了解本中心企業文化、業務特性、組織架構與人員職責(2)對資通安全管理現況進行診斷與評估(3)提供資通安全管理制度細部規劃之建議及依據2鑑別與評價資訊資產(1)協助建立重要資訊資產之資料庫(2)確認資訊資產分類法則(3)評價資訊資產(4)規劃不同安全等級,做為資產保護措施選取之基礎3威脅與衝撃分析(1)分析既存的威脅及潛在的問題(2)辨別威脅來源與脆弱點(3)釐清現存減輕風險的安全控制點(4)進行衝擊分析(5)計算並決定可接受風險等級(6)選取適當的安控目標與控制點4撰寫風險管理計畫(1)中心將風險評鑑的結果,彙整成風險管理計畫,做為實施安控機制之依據。(二)建立資通安全管理制度及文件體系檢討現有資通安全政策文件,整合現行管理制度進行必要之調整修正,並協助建立適用性聲明(Statementofapplicability)文件。依據BS7799-2:2002標準之要求、整合現行管理制度、BS7799-2:2002風險管理計畫,協助本中心撰寫或修訂程序及管理辦法,建立文件與紀錄管理及四階文件體系,建置符合PDCA持續改進精神之資安管理制度。上述制度及文件具體範圍必須包括:.資訊安全政策•涵蓋本中心之資訊安全政策審查與評估等。.資訊安全組織資訊安全基礎架構第三方存取之安全委外作業.人員安全管理工作說明及資源分配的安全使用者訓練安全及失效事件的反應處理.資產分類與控管«資產可歸責性•資訊分類方式.實體及環境安全管理安全區域設備安全一般控制措施.通訊與操作管理作業程序與責任系統規劃與驗收惡意軟體的防範日常事務管理網路管理儲存媒體的處理與安全資訊及軟體交換.存取控制存取控制之營運要求使用者存取管理使用者責任網路存取控制措施作業系統存取控制措施應用系統之存取控制«監控系統之存取與使用行動式電腦作業與遠距工作存取控管.系統開發與維護系統之安全要求應用系統之安全密碼控制措施系統檔案之安全開發及支援作業的安全.營運持續管理營運持續管理過程營運持續及衝撃分析營運持續計畫之撰寫及實施營運持續規劃框架營運持續計畫之測試、維護及重新評鑑.資訊安全稽核•遵守法規要求•系統稽核的考量（三）ISMS內部稽核作業之規劃及輔導.協助培訓本中心內部稽核人員.輔導內部稽核作業之制度確立、實務規劃、執行與追雖,以持續提昇資通安全品質（四）提供輔導過程所須之相關教育訓練課程配合本專案輔導資安管理制度建立、推動作業階段,提供本專案相關人員下列必要之教育訓練課程:1.BS7799-2:2002標準相關之教育訓練課程輔導階段所需之必備資訊安全相關教育訓練課程.輔導階段所需具備之資通安全基本概念等教育訓練課程.加強技術組與相關部門及人員必備之資安管理、技術教育訓練課程（有關開班方式、課程類別、課程名稱、課程大綱、課程時數、預定上課時間、講師姓名及背景資歷等規劃請於建議書中詳述）（五）預評.協助本中心進行模擬評鑑,以瞭解資通安全管理制度施行狀況.提出改善建議,以利後續正式評鑑（六）正式評鑑協助本中心進行正式評鑑,參與討論改善建議,並取得BS7799-2:2002標準證照。（七）技術移轉專案進行過程中輔導單位必須協助本中心培養ISMS團隊,俾利本中心自行維護與持續改善資通安全管理制度。二、規劃及提供資安推廣及教育訓練課程（-）輔導單位至少於92年12月底前及本專案結束前,分兩梯次各培訓及輔導本中心人員取得資安管理稽核（LeadAuditor:LAY資安技術（CISSP）證照各一名（共LA二名,CISSP二名ト輔導單位應善盡輔導之責,若有不可歸責於輔導單位者,不影響驗收作業。（二）另針對本中心所有與本專案相關之部門與人員,應於92年12月底前及本專案結束前,分兩梯次各提供下列類別及時數之資安教育訓練課程（總時數192小時）:參加人員課程類別時數主管人員資安觀念及危機處理講習宣導課程8非資訊人員資安管理宣導課程16資訊人員資安管理課程40資安技術課程32每階段時數小計96兩階段總時數192（三）針對上述（一）（二）項需求之開班方式、課程類別、課程名稱、課程大綱、課程時數、預定上課時間、講師姓名及背景資歷等規劃請於建議書中詳述。三、規劃並輔導建立資安監控中心預警及通告作業機制與制度本中心已建置相關網管系統,並已使用Snort作為入侵偵測系統、Nessus作為弱點掃描系統、Tripware作為檔案稽核系統,並已開發集中式SyslogServer及事件紀錄資料分析介面。（-）依據本中心組織架構及業務特性,輔導本中心規劃建立整合資安管理制度之監控中心預警及通告作業機制與制度,包含監控中心預警及通告作業機制之組織、作業對象、作業範圍、管理制度,作業程序及統計分析等。（二）輔導單位所提之計劃需能補強或改善本中心現有之運作方式（如何改善之構想,請於建議書中詳細說明,如需額外經費亦請詳細列出作為參考b陸、建置時程於得標後九個月內完成本專案。各專案工作項目如有階段性之時程需求,請依本專案相關之規定完成。柒、交付項目顧問服務執行期間輔導單位應交付下列項目:ー、專案執行計畫書輔導單位於專案開始後應提交經本中心同意之「專案執行計畫書」,內容應包括專案需備妥的資訊、文件或設備、工作人員之分派與職責、工作時程表、專案進行方式說明、預計成果等。二、風險評鑑報告（包括風險管理計畫）進行伍、「專案工作項目」第一項「規劃並輔導建立本中心整合性資通安全管理制度及通過BS7799-2:2002標準驗證」之「執行風險評鑑作業」工作項目,輔導單位應交付風險評鑑報告（包括風險管理計畫、資產資料表、資產價值表、威脅與弱點分析表、法令與合約需求表、業務需求表等分析表單,並依照本中心實際需求進行修改。三、資通安全管理制度文件進行伍、「專案工作項目」第一項「規劃並輔導建立本中心整合性資通安全管理制度及通過BS7799-2:2002標準驗證」之「建立資通安全管理制度及文件體系」工作項目,輔導單位應交付與現行制度文件整合之資通安全管理制度文件,包括「文件範本」、經必要增刪修改過之「所有文件」之電子檔。「文件範本」、「所有文件」涵蓋下列類別文件:（-）資訊安全政策（-）資訊安全組織之架構與權責說明文件（三）人員安全管理作業說明文件（四）資產分類與控管管理文件（五）實體及環境安全管理文件（六）通訊與操作管理文件（七）存取控制規範與管理文件（A）電腦化資訊系統管理制度文件（九）業務永續經營管理文件（十）內部稽核及其他相關文件四、資安推廣及教育訓練課程教材進行伍、「專案工作項目」之第一項「規劃並輔導建立本中心整合性資通安全管理制度及通過BS779922002標準驗證」、第二項「規劃及提供資安推廣及教育訓練課程」工作項目,輔導單位應依上課時程之需求,同時交付足夠上課份數之教育訓練使用之教材資料。五、資安監控中心相關機制與制度文件進行伍、「專案工作項目」之第三項「規劃並輔導建立資安監控中心預警及通告作業之機制與制度」工作項目,輔導單位應交付下列類別之文件:（-）相關之軟、硬體規劃之建議。（二）資安監控中心預警及通告作業機制與制度管理規劃文件。（三）監控中心預警及通告作業機制之組織、作業對象、作業範圍、管理制度,作業程序及統計分析等相關必要文件。六、其他專案文件除上述專案文件外,輔導單位應衡酌各工作項目之性質與內容,詳述擬交付之文件或資料。捌、專案管理需求ー、專案組織與管理輔導單位必須於建議書中說明針對本專案擬執行之工作範圍、工作時程、運作管理方式及檢查時間點。(-)專案工作規劃說明專案工作範圍、執行專案工作項目所需成立之專案組織、具體可行之專案執行策略與建議方案、以及專案進行過程中所建立之執行與管制紀錄。(-)專案組織與人カ說明預計投入本專案之人數、組織架構、職責分エ、人力配置與人員資歷(學經歷背景與技術專長)。專案人員應具備資通安全相關資歷、尤以具備資通安全管理制度之實務輔導經歷者為佳。(三)專案管制專案進行期間,對於專案之進度與品質應建立監控方法,以期有效解決問題與異常狀況,並明確說明雙方應配合與協調之事實。二、雙方配合事項說明(-)輔導單位輔導單位應依據本徵求建議書之要求、善盡誠實建議義務,不得作虛偽不實之敘述。對於因執行本專案所取得之本中心各項文件與資料,應負保密責任。專案產出之各項文件屬本中心之著作財產,非經本中心正式書面同意,不得轉載或引用。（―）本中心對於執行本專案所需之相關文件與資訊,應詳實並依照時程提供。輔導單位提供之建議書應妥善保護,不得任意複製與散播。玖、建議書製作規定ー、建議書製作原則（-）輔導廠商製作建議書時,其內容編排請參考下一節「建議書內容大綱」,並以本徵求建議書中相對應之需求為依據。對於伍、「專案工作項目」中所列舉之各項需求,建議書均必須提出說明或建議。（二）輔導廠商對於建議書範圍如有額外建議或補充,得於建議書中另作註解或另闢附件加以描述。增列之項目請於適當章節內說明,並標註「増列」字樣。（三）建議書不得逾期交付,截止交付後不得主動提出修改或増訂。本中心得視實際需要,要求輔導廠商澄清建議書內容,輔導廠商必須於接獲通知後三日內提出補充或修正。（四）輔導廠商製作之建議書及其相關附件皆為本專案契約之一部分,與契約具同等效カ。二、建議書內容大綱第一章概述輔導廠商對此建議書之整体說明。第二章輔導廠商簡介輔導廠商基本資料、營運現況、人力資源與技術能力第三章輔導單位經驗與能力本專案擬徵求具規劃實施資通安全管理制度能力與實務輔導經驗之輔導單位,提供本中心必要之顧問服務以期達成專案目標與提供本中心未來發展之建議。輔導單位應說明是否具備下列資格,以作為評選之參考:一、承辦類似本專案之建置或輔導實績（例如參考客戶、專案規模、專案內容與是否取得相關安全認證）。二、輔導單位於資通安全領域之實務經驗（例如實務年資、專業人力、參考客戶與專案名稱或內容）。三、輔導取得BS7799-2驗證案件之實績（例如是否曾輔導客戶成功取得BS7799-2認證）。第四章專案工作規劃初步構想與建議方案:包括具体可行之方法策略,與預期效益專案管制:本案進行過程中之專案監控與管制方式、問題與異常狀況處理,管制紀錄之產出表單雙方配合事項第五章專案工作項目說明就達成伍、「專案工作項目」詳細規劃並列出所有必要之工作項目,並詳細說明各工作項目之工作內容、作業方式。另外請針對下列工作項目詳加說明:A關於伍、「專案工作項目」之第一項「規劃並輔導建立本中心整合性資通安全管理制度及通過BS7799-2:2002標準驗證」、第二項「規劃及提供資安推廣及教育訓練課程」工作項目所規劃提供之教育訓練課程：請分別詳述開班方式、課程類別、課程名稱、課程大綱、課程時數、預定上課時間、講師姓名及背景資歷等規劃。»關於伍、「專案工作項目」之第三項「規劃並輔導建立資安監控中心預警及通告作業機制與制度」：請詳述所規劃之機制、制度、架構及所需搭配另行採購之軟體產品或硬體設備,並詳列各項成本費用分析及總額。（本項所建議另行採購之軟體產品或硬體設備,不在本專案採購範圍內,但所提規劃列入評選考量）第六章預計工作時程«對於陸、「建置時程」與捌、「專案管理需求」之需求,請說明各工作項目細部時程。第七章專案組織與人員«詳細專案組織架構、職責分工與人力配置,並配合伍、「專案工作項

目」與陸、「建置時程」,說明各階段之專業人員配置與分エ方式。«其他如專案人員資歷以及專案經驗證明文件。第八章成本分析•依伍、「專案工作項目」估算本專案所需之成本總額及報價,並詳列與分析對應各專案工作項目之單價、數量等成本之估算。第九章其他補充說明•輔導單位如需提出其他必要之說明或證明文件。豊拾、徴求方式輔導單位應於本中心所訂期間內將建議書送達本中心,並於建議書封面上標明本專案名稱,逾期者不予受理。豊拾豊、建議書評選ー、評選方式（-）建議書之簡報與評選如有一家（含）以上之輔導單位參與,即可進行。建議書評選之時間為中華民國九十二年七月二十五日（星期五）上午九時三十分整,地點於臺北市羅斯福路二段九號四樓之ニ,財團法人台灣網路資訊中心大會議室。（二）參選輔導單位應就所提建議書,對本專案評選小組進行二十分鐘之簡報,並接受評選小組二十分鐘之詢答,主持人得視情形延長詢答時間（三）參選輔導單位於評選時得依評選小組要求當場提供補充說明或承諾事項,並列入合約書內。二、評選標準建議書之評選項目與分配方式如下所示:總分100分,評選得分70（含）以上者為合格。評分項目配分主要考量因素經驗與能力30承辦類似本專案之建置或輔導實績（例如參考客戶、專案規模、專案內容與是否取得相關安全驗證）輔導單位於資訊安全領域之實務經驗（例如實務年資、專業

人力、參考客戶與專案名稱或內容）輔導取得BS7799-2驗證案件之實績（例如是否曾輔導客戶成功取得BS7799-2驗證）專案規劃與管理35規劃方案是否完整確實所採用之技術方法是否適切、爛熟工作項目是否明確周延時程與查核點之安排是否合理、可行交付項目是否為明確完整專案管理與品質保證措施是否確實專案組織15專案組織之編組與成員分工是否完整專案主持人之資訊安全專業資歷參與專案執行人員之資訊安全專業資歷資訊安全相關技術支援人力是否充裕成本分析15專案所需成本分析估算之合理性是否符合本中心需求其他5與本中心應注意與配合事項是否明確輔導單位公司資本與營運狀況輔導單位可提供之其他資訊安全相關服務合計100三、評選以優先序位之方式計算,如下:（-）各評審委員依各參選輔導單位之評分依序排列序位及標示合格與否。（二）各參選輔導單位之序位總和低者為優先,若有序位總和相同者,以獲得第一序位個數最多者為優先。（三）若經半數以上評審委員評為不合格,則視為不合格,不得參與決選。豊拾貳、決選方式ー、參加建議書評選之輔導單位應攜帶下列資格證明文件,其中（一）至（四）項必須於建議書評選之前繳交,審核通過者始得參加建議書評選。關於（五）押標金則於議價時繳交:（一）經濟部公司執照或法人登記證書影本（資本額新台幣貳仟萬（含）以上）（二）營利事業登記證或營業登記證影本（三）最近二期納稅證明文件影本（含繳款收據）（共四個月份）（四）投標廠商印模單（五）押標金（投標價百分之五之即期銀行本票或銀行支票,得標後轉為履約保證金,未得標者無息退還）（六）公司大小章二、建議書評選合格之輔導單位,本中心依下列方式在建議書評選當日,於評選後同一地點進行議價:（一）合格輔導單位僅一家時,由本中心通知該輔導單位辦理議價。（二）合格輔導單位達二家（含）以上時,由本中心與評選序位最優先之輔導單位優先議價。如議價不成,序位次優先之輔導單位依序遞補進行議價。豊拾參、其他事項ー、輔導單位簡報所需設備請自備,本中心僅提供投影設備。二、未盡事宜得另行公告之。附件ー、導入專案組織ー、台灣網路資訊中心組織圖BoardofDirector*

&Supervisors”長ChairmanofBoard阳域名烟委員・

DomainName

Committee網域名稱服務組Dept,ofDomain

NameServiceIP位址及網路協定

委・會IPAddressand

ProtocolCommittee局址及協定取物絹

0・pt.ofInternet

ResourceService・隐事務•公共

IH保絹D»pt.of

International

Affair*and