信息安全風(fēng)險(xiǎn)需求方案

1、<p>　　信息安全風(fēng)險(xiǎn)評(píng)估需求方案</p><p><b>　　一、項(xiàng)目背景</b></p><p>　　多年來，天津市財(cái)政局（地方稅務(wù)局）在加快信息化建設(shè)和信息系統(tǒng)開發(fā)應(yīng)用的同時(shí)，高度重視信息安全工作，采取了很多防范措施，取得了較好的工作效果，但同新形勢(shì)、新任務(wù)的要求相比，還存在有許多不相適應(yīng)的地方。2009年，國家稅務(wù)總局和市政府分別對(duì)我局信息系統(tǒng)安全

2、情況進(jìn)行了抽查，在充分肯定成績的同時(shí)，也指出了我局在信息安全方面存在的問題。通過抽查所暴露的這些問題，給我們敲響了警鐘，也對(duì)我局信息安全工作提出了新的更高的要求。</p><p>　　因此，天津市財(cái)政局（地方稅務(wù)局）在對(duì)現(xiàn)有信息安全資源進(jìn)行整合、整改的同時(shí)，按照國家稅務(wù)總局信息安全管理規(guī)定，結(jié)合本單位實(shí)際情況確定實(shí)施信息安全評(píng)估、安全加固、應(yīng)急響應(yīng)、安全咨詢、安全事件通告、安全巡檢、安全值守、安全培訓(xùn)、應(yīng)急演練服

3、務(wù)等工作內(nèi)容（以下簡稱“安全風(fēng)險(xiǎn)評(píng)估”），形成安全規(guī)劃、實(shí)施、檢查、處置四位一體的長效機(jī)制。 </p><p><b>　　二、項(xiàng)目目標(biāo)</b></p><p>　　通過開展信息“安全風(fēng)險(xiǎn)評(píng)估”, 完善安全管理機(jī)制；通過安全服務(wù)的引入，進(jìn)一步建立健全財(cái)稅系統(tǒng)安全管理策略，實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可知、可控和可管理；通過建立財(cái)稅系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制，實(shí)現(xiàn)財(cái)稅系統(tǒng)信息安全風(fēng)險(xiǎn)的

4、動(dòng)態(tài)跟蹤分析，為財(cái)稅系統(tǒng)信息安全整體規(guī)劃提供科學(xué)的決策依據(jù)，進(jìn)一步加強(qiáng)財(cái)稅內(nèi)部網(wǎng)絡(luò)的整體安全防護(hù)能力，全面提升我局信息系統(tǒng)整體安全防范能力，極大提高財(cái)稅系統(tǒng)網(wǎng)絡(luò)與信息安全管理水平；通過深入挖掘網(wǎng)絡(luò)與信息系統(tǒng)存在的脆弱點(diǎn)，并以業(yè)務(wù)系統(tǒng)為關(guān)鍵要素，對(duì)現(xiàn)有的信息安全管理制度和技術(shù)措施的有效性進(jìn)行評(píng)估，不斷增強(qiáng)系統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)抵御風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)能力，促進(jìn)我局安全管理水平的提高，增強(qiáng)信息安全風(fēng)險(xiǎn)管理意識(shí)，培養(yǎng)信息安全專業(yè)人才，為財(cái)稅系統(tǒng)各項(xiàng)業(yè)務(wù)

5、提供安全可靠的支撐平臺(tái)。</p><p><b>　　三、項(xiàng)目需求</b></p><p><b>　　（一）服務(wù)要求</b></p><p><b>　　1基本要求</b></p><p>　　“安全風(fēng)險(xiǎn)評(píng)估服務(wù)”全過程要求有據(jù)可依，并在產(chǎn)品使用有據(jù)可查，并保持項(xiàng)目之后的持續(xù)

6、改進(jìn)。針對(duì)用戶單位網(wǎng)絡(luò)中的IT設(shè)備及應(yīng)用軟件，需要有軟件產(chǎn)品識(shí)別所有設(shè)備及其安全配置，或以其他方式收集、保存設(shè)備明細(xì)及安全配置，進(jìn)行資產(chǎn)收集作為建立信息安全體系的基礎(chǔ)。安全評(píng)估的過程及結(jié)果要求通過軟件或其他形式進(jìn)行展示。對(duì)于風(fēng)險(xiǎn)的處理包括：協(xié)助用戶制定安全加固方案、在工程建設(shè)及日常運(yùn)維中提供安全值守、咨詢及支持服務(wù)，通過安全產(chǎn)品解決已知的安全風(fēng)險(xiǎn)。在日常安全管理方面提供安全支持服務(wù)，并根據(jù)國家及行業(yè)標(biāo)準(zhǔn)制定信息安全管理體系，針對(duì)安全管理

7、員提供安全培訓(xùn)，遇有可能的安全事件發(fā)生時(shí)，提供應(yīng)急的安全分析、緊急響應(yīng)服務(wù)。</p><p><b>　　2安全評(píng)估</b></p><p>　　評(píng)估的范圍應(yīng)全面，涉及到網(wǎng)絡(luò)信息系統(tǒng)的各個(gè)方面，包括物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、服務(wù)器及網(wǎng)絡(luò)安全設(shè)備的安全性、安全產(chǎn)品和技術(shù)的應(yīng)用狀況以及管理體系是否完善等等；同時(shí)對(duì)管理風(fēng)險(xiǎn)、綜合安全風(fēng)險(xiǎn)以及應(yīng)用系統(tǒng)安全性進(jìn)行評(píng)估

8、；</p><p>　　評(píng)估采用專業(yè)工具掃描（漏洞掃描、數(shù)據(jù)庫掃描采用產(chǎn)品必須為商業(yè)化產(chǎn)品）、人工評(píng)估、滲透測(cè)試三種相結(jié)合的方式，對(duì)各種操作系統(tǒng)進(jìn)行評(píng)估，包括：帳戶與口令安全、網(wǎng)絡(luò)服務(wù)安全、內(nèi)核參數(shù)安全、文件系統(tǒng)安全、日志安全等；從應(yīng)用系統(tǒng)相關(guān)硬件、軟件和數(shù)據(jù)等方面來審核應(yīng)用所處環(huán)境下存在哪些威脅，根據(jù)應(yīng)用系統(tǒng)所存在的威脅，來確定需要達(dá)到哪些系統(tǒng)安全目標(biāo)才能保證應(yīng)用系統(tǒng)能夠抵擋預(yù)期的安全威脅。其他評(píng)估內(nèi)容應(yīng)至少包

9、括以下幾方面：</p><p>　　安全評(píng)估服務(wù)范圍應(yīng)包括但不只限于協(xié)助用戶完成2010年度信息安全專項(xiàng)檢查工作。 </p><p><b>　　3安全加固</b></p><p>　　每次對(duì)用戶單位網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行全面評(píng)估后應(yīng)立即制定安全加固方案，另外如用戶單位有緊急需求時(shí)可隨時(shí)安排制定安全加固方案。安全加固方案應(yīng)覆蓋用戶單位IT系統(tǒng)中所有服

10、務(wù)器和網(wǎng)絡(luò)設(shè)備，以及不同類別的操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)。</p><p>　　安全加固方案不能影響用戶單位各項(xiàng)業(yè)務(wù)的正常進(jìn)行，如果加固過程需要暫時(shí)中斷業(yè)務(wù)，須設(shè)計(jì)具體的解決方案。</p><p>　　同時(shí)，隨著信息技術(shù)的發(fā)展，當(dāng)新的漏洞出現(xiàn)時(shí)，評(píng)估單位有責(zé)任和義務(wù)告知用戶，并配合用戶判定是否進(jìn)行相應(yīng)的加固工作；</p><p><b>　　4緊急響應(yīng)&l

11、t;/b></p><p>　　當(dāng)用戶單位信息系統(tǒng)出現(xiàn)安全事件后，用戶可立即啟動(dòng)緊急響應(yīng)服務(wù)，服務(wù)應(yīng)包括遠(yuǎn)程緊急響應(yīng)和現(xiàn)場(chǎng)緊急響應(yīng)；緊急響應(yīng)均要求7×24小時(shí)提供。</p><p>　　緊急響應(yīng)要求在響應(yīng)請(qǐng)求發(fā)出2小時(shí)內(nèi)由工程師到達(dá)事故現(xiàn)場(chǎng)，協(xié)助用戶進(jìn)行處理； </p><p>　　響應(yīng)服務(wù)完成后評(píng)估單位需整理詳細(xì)的事故處理報(bào)告，內(nèi)容至少包括事故原因

12、分析、已造成的影響、處理辦法、處理結(jié)果、預(yù)防和改進(jìn)建議；</p><p><b>　　5安全咨詢</b></p><p>　　評(píng)估單位應(yīng)根據(jù)ISO17799等多個(gè)標(biāo)準(zhǔn)的相關(guān)要求對(duì)安全策略、安全制度、安全流程進(jìn)行審計(jì)，提供改進(jìn)建議，建立信息安全的“統(tǒng)一”策略管理機(jī)制，并對(duì)用戶單位信息安全體系建設(shè)規(guī)劃、信息安全管理體系、信息安全管理制度建設(shè)、安全域劃分等相關(guān)內(nèi)容提出符合國

13、家及行業(yè)標(biāo)準(zhǔn)的合理化建議，并制定完整的解決方案。</p><p>　　對(duì)于新建信息化項(xiàng)目應(yīng)從業(yè)務(wù)需求分析、系統(tǒng)設(shè)計(jì)、部署實(shí)施、測(cè)試驗(yàn)收等全周期提供技術(shù)咨詢支持。</p><p><b>　　6 安全事件通告</b></p><p>　　評(píng)估單位應(yīng)具備專門的安全研究人員以跟蹤最新安全技術(shù)發(fā)展、收集業(yè)界發(fā)布的最新安全信息及時(shí)通告用戶單位最新的安全動(dòng)

14、態(tài)、安全技術(shù)的發(fā)展趨勢(shì)，以及時(shí)效性很強(qiáng)的漏洞、攻擊手法、病毒碼的預(yù)先通知；</p><p>　　評(píng)估單位至少每月提供一次匯總的安全通告信息，當(dāng)廠商或安全組織發(fā)布緊急安全通告后評(píng)估單位應(yīng)在三天之內(nèi)提供給人保相關(guān)通告信息；</p><p>　　及時(shí)提供最新的設(shè)備補(bǔ)丁，隨時(shí)根據(jù)用戶需求，提供相應(yīng)安全漏洞與響應(yīng)的安全系統(tǒng)升級(jí)代碼；及時(shí)向招標(biāo)人提供國家頒發(fā)的最新安全制度與法規(guī)。</p>

15、<p><b>　　7安全巡檢</b></p><p>　　包括不限于以人工方式檢查主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的日志信息、安全配置以及審計(jì)信息等，提出安全策略建議；如發(fā)現(xiàn)異常現(xiàn)象或安全問題，及時(shí)向用戶單位反饋，并提供后續(xù)技術(shù)支持，配合問題的查處和解決。要求每月對(duì)安全防護(hù)產(chǎn)品進(jìn)行一次巡檢服務(wù)，并生成巡檢報(bào)告；每季度對(duì)所有主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)、安全產(chǎn)品進(jìn)行一次全面巡檢，并生成巡檢報(bào)告。<

16、/p><p><b>　　8安全值守服務(wù)</b></p><p>　　要求評(píng)估單位在重大節(jié)假日及特殊時(shí)期安排技術(shù)人員提供安全值守服務(wù)（包含在用戶單位值守及遠(yuǎn)程值守）。</p><p><b>　　9安全培訓(xùn)服務(wù)</b></p><p>　　要求每年安排兩次信息安全管理及技術(shù)培訓(xùn)（培訓(xùn)只負(fù)責(zé)提供師資及培訓(xùn)

17、教材，培訓(xùn)教材可為電子版），同時(shí)，要求提供四人次專業(yè)技術(shù)認(rèn)證培訓(xùn)（含食宿）。</p><p><b>　　10應(yīng)急演練服務(wù)</b></p><p>　　要求配合用戶制定信息系統(tǒng)風(fēng)險(xiǎn)應(yīng)急響應(yīng)方案，并每年至少安排一次信息系統(tǒng)風(fēng)險(xiǎn)應(yīng)急演練。</p><p><b>　?。ǘ┓?wù)原則</b></p><p&g

18、t;　　為保障安全風(fēng)險(xiǎn)評(píng)估工作的有序進(jìn)行，特提出以下原則：</p><p><b>　　1.保密性原則</b></p><p>　　要求評(píng)估單位與用戶簽訂保密協(xié)議，在進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的過程中，嚴(yán)格遵循保密原則，評(píng)估過程中采取嚴(yán)格的管理措施，確保所涉及到的任何用戶保密信息，不會(huì)泄露給第三方單位或個(gè)人，不得利用這些信息損害用戶利益。</p><p&

19、gt;<b>　　2.最小影響原則</b></p><p>　　要求從項(xiàng)目管理和技術(shù)應(yīng)用的層面，在風(fēng)險(xiǎn)評(píng)估工作實(shí)施過程對(duì)我局現(xiàn)有信息系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行所可能的影響降到最低程度；要求制定風(fēng)險(xiǎn)評(píng)估過程中的風(fēng)險(xiǎn)規(guī)避方案及應(yīng)急措施。</p><p><b>　　3.規(guī)范性原則</b></p><p>　　要求評(píng)估機(jī)構(gòu)在充分總結(jié)多

20、年開展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上，確定規(guī)范的方案；在此次信息安全風(fēng)險(xiǎn)評(píng)估任務(wù)執(zhí)行過程中，通過規(guī)范的項(xiàng)目管理，在人員、項(xiàng)目實(shí)施環(huán)節(jié)、質(zhì)量保障和時(shí)間進(jìn)度等方面進(jìn)行嚴(yán)格管控。</p><p><b>　　4.標(biāo)準(zhǔn)化原則</b></p><p>　　風(fēng)險(xiǎn)評(píng)估工作要求嚴(yán)格遵守國家和行業(yè)的相關(guān)法規(guī)、標(biāo)準(zhǔn)，并參考國際的標(biāo)準(zhǔn)來實(shí)施。</p><p>

21、<b>　　5.完整性原則</b></p><p>　　完整性原則包含以下兩個(gè)層次的內(nèi)容：</p><p>　　評(píng)估內(nèi)容的完整性——要求在風(fēng)險(xiǎn)評(píng)估工作中，要綜合考慮所評(píng)估信息系統(tǒng)的技術(shù)措施、人員、業(yè)務(wù)及運(yùn)行維護(hù)等方面，含蓋信息安全風(fēng)險(xiǎn)評(píng)估合同要求。</p><p>　　評(píng)估流程的完整性——要求信息安全評(píng)估過程應(yīng)遵循科學(xué)性、規(guī)范性、嚴(yán)謹(jǐn)性原則。&

22、lt;/p><p><b>　　6.互動(dòng)性原則</b></p><p>　　在進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估過程中，要求必須有用戶單位人員參與，雙方共同組成項(xiàng)目實(shí)施部門，進(jìn)行項(xiàng)目實(shí)施，從而保證項(xiàng)目執(zhí)行的效果并提高受我局的整體安全技能和安全意識(shí)。</p><p><b>　　（三）評(píng)估內(nèi)容</b></p><p>

23、　　1.信息系統(tǒng)安全管理狀況檢查</p><p>　　評(píng)估各種安全制度的建立情況，包括：對(duì)終端計(jì)算機(jī)訪問互聯(lián)網(wǎng)的相關(guān)制度；對(duì)終端計(jì)算機(jī)接入內(nèi)網(wǎng)的相關(guān)制度；使用移動(dòng)存儲(chǔ)介質(zhì)的制度；系統(tǒng)的業(yè)務(wù)應(yīng)用人員、系統(tǒng)的開發(fā)、維護(hù)、管理人員、系統(tǒng)開發(fā)、維護(hù)人員相關(guān)安全管理制度等。</p><p>　　2.網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)安全設(shè)備</p><p>　　評(píng)估范圍包括：業(yè)務(wù)辦公內(nèi)網(wǎng)、業(yè)務(wù)外

24、網(wǎng)、辦公外網(wǎng)、外部單位聯(lián)網(wǎng)等；分析網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否清晰劃分網(wǎng)絡(luò)邊界；評(píng)估網(wǎng)絡(luò)的安全區(qū)域劃分以及訪問控制措施。</p><p>　　3.對(duì)資產(chǎn)自身存在的脆弱性進(jìn)行收集和整理</p><p>　　物理環(huán)境， 包括 UPS、變電設(shè)備、空調(diào)、門禁等。</p><p>　　交換機(jī)，包括核心交換機(jī)20臺(tái)，接入交換機(jī)20臺(tái)。檢查安全漏洞和補(bǔ)丁的升級(jí)情況，各VLAN間的訪問控制策略

25、；口令設(shè)置和管理，口令文件的安全存儲(chǔ)形式；配置文件的備份。</p><p>　　路由器，包括核心路由器5臺(tái)，接入路由器10臺(tái)。檢查操作系統(tǒng)是否存在安全漏洞；配置方面，檢測(cè)端口開放、管理員口令設(shè)置與管理、口令文件安全存儲(chǔ)形式、訪問控制表；是否能對(duì)配置文件進(jìn)行備份和導(dǎo)出；關(guān)鍵位置路由器是否有冗余配置。</p><p>　　安全設(shè)備，包括防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)閘、防病毒、桌面管理、審計(jì)、加密機(jī)

26、、身份鑒別等；共約20臺(tái)。查看安全設(shè)備的部署情況。查看安全設(shè)備的配置策略；查看安全的日志記錄；通過漏洞掃描系統(tǒng)對(duì)安全進(jìn)行掃描。通過滲透性測(cè)試檢安全配置的有效性。</p><p>　　4.重要服務(wù)器的安全配置</p><p>　　小型機(jī)約60臺(tái)、服務(wù)器約200臺(tái)。登錄安全檢測(cè)；用戶及口令安全檢測(cè)；共享資源安全檢測(cè)；系統(tǒng)服務(wù)安全檢測(cè)；系統(tǒng)安全補(bǔ)丁檢測(cè)；日志記錄審計(jì)檢測(cè)；木馬檢測(cè)。</p&

27、gt;<p>　　5.核心業(yè)務(wù)系統(tǒng)的安全性</p><p>　　對(duì)我局核心業(yè)務(wù)信息系統(tǒng)，在需求分析和設(shè)計(jì)階段是否充分識(shí)別安全需求；是否能確保系統(tǒng)文件的安全；是否能采取措施保護(hù)應(yīng)用系統(tǒng)開發(fā)和維護(hù)過程中的信息安全。核查“津稅系統(tǒng)”“非稅收入”“稅管員平臺(tái)”等重要業(yè)務(wù)系統(tǒng)數(shù)據(jù)訪問控制情況，敏感文檔資料、服務(wù)器、用戶終端、數(shù)據(jù)庫等數(shù)據(jù)加密保護(hù)能力。對(duì)門戶網(wǎng)站進(jìn)行滲透性測(cè)試；對(duì)網(wǎng)上報(bào)稅等核心業(yè)務(wù)系統(tǒng)進(jìn)行滲透性

28、測(cè)試；對(duì)網(wǎng)絡(luò)邊界進(jìn)行滲透性測(cè)試；對(duì)內(nèi)網(wǎng)進(jìn)行滲透性測(cè)試。</p><p>　?。ㄋ模┰u(píng)估的應(yīng)用系統(tǒng)</p><p><b>　　1.應(yīng)用系統(tǒng)</b></p><p><b>　　2.數(shù)據(jù)庫</b></p><p>　?。?）外網(wǎng)遠(yuǎn)程電子報(bào)稅系統(tǒng)數(shù)據(jù)庫</p><p>　　（2）

29、津稅系統(tǒng)數(shù)據(jù)庫</p><p>　?。?）津稅系統(tǒng)查詢機(jī)</p><p>　　（4）稅管員平臺(tái)數(shù)據(jù)庫</p><p>　?。?）稅管員平臺(tái)ODS數(shù)據(jù)庫</p><p><b>　?。?）非稅收入</b></p><p>　　（7）會(huì)計(jì)無紙化考試數(shù)據(jù)庫</p><p><

30、;b>　?。?）國庫集中支</b></p><p><b>　?。?）部門預(yù)算</b></p><p>　?。?0）財(cái)稅政務(wù)網(wǎng)、天津會(huì)計(jì)網(wǎng)</p><p>　?。?1）固定資產(chǎn)管理</p><p><b>　　3.外部數(shù)據(jù)交換</b></p><p>　　（

31、1）津稅系統(tǒng)人行數(shù)據(jù)交換</p><p>　?。?）津稅系統(tǒng)殘聯(lián)數(shù)據(jù)交換</p><p>　?。?）國稅聯(lián)合辦證數(shù)據(jù)交換</p><p><b>　?。?）國稅國地共享</b></p><p>　　（5）施管站數(shù)據(jù)交換</p><p>　?。?）車船稅數(shù)據(jù)交換</p><p&g

32、t;　?。?）房管局契稅數(shù)據(jù)交換</p><p><b>　?。?）非稅收入MQ</b></p><p><b>　　4.操作系統(tǒng)</b></p><p>　　應(yīng)用系統(tǒng)和數(shù)據(jù)庫涉及到的主機(jī)操作系統(tǒng)。</p><p><b>　　5.配電系統(tǒng)</b></p><

33、;p><b>　?。?）供電系統(tǒng)</b></p><p><b>　?。?）UPS</b></p><p><b>　?。?）應(yīng)急供電系統(tǒng)</b></p><p><b>　　6.機(jī)房環(huán)境系統(tǒng)</b></p><p><b>　?。?）市局

34、機(jī)房空調(diào)</b></p><p>　?。?）市局機(jī)房空間及設(shè)備擺放</p><p>　　（3）市局機(jī)房送回風(fēng)空調(diào)循環(huán)系統(tǒng)</p><p>　?。?）市局機(jī)房防火系統(tǒng)</p><p>　?。?）市局機(jī)房防雷系統(tǒng)、防靜電系統(tǒng)</p><p>　?。?）市局機(jī)房空調(diào)上水水質(zhì)、管道及下水路由</p>

35、<p><b>　?。ㄎ澹┵|(zhì)量控制</b></p><p>　　為保證信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目質(zhì)量，要求在風(fēng)險(xiǎn)評(píng)估過程中就風(fēng)險(xiǎn)評(píng)估過程控制、風(fēng)險(xiǎn)評(píng)估過程監(jiān)督、風(fēng)險(xiǎn)評(píng)估結(jié)果的驗(yàn)證等方面嚴(yán)格相關(guān)標(biāo)準(zhǔn)。</p><p><b>　　四、服務(wù)周期</b></p><p>　　信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)自2010年9月1日－2011

36、年8月31日。</p><p><b>　　五、服務(wù)資質(zhì)要求</b></p><p>　　1 評(píng)估機(jī)構(gòu)應(yīng)具備以下資質(zhì)（提供證明材料）：</p><p>　　2 對(duì)評(píng)估單位的其他要求</p><p>　　評(píng)估單位近3年內(nèi)具有3個(gè)以上金融行業(yè)或政府、企業(yè)（合同金額100萬元以上）同類項(xiàng)目經(jīng)驗(yàn)，并提供相關(guān)案例的合同復(fù)印件作為證

37、明資料。</p><p>　　評(píng)估單位應(yīng)具備以下資質(zhì)（提供證書復(fù)印件）：</p><p>　　計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)證書</p><p>　　質(zhì)量管理體系ISO 9001認(rèn)證證書</p><p>　　信息安全管理體系ISO 27001認(rèn)證證書 </p><p>　　評(píng)估單位需提供詳細(xì)的項(xiàng)目實(shí)施計(jì)劃，對(duì)供貨、安裝、調(diào)試、