“技術(shù)方案和報(bào)價(jià)都通過了，最后因?yàn)槿绷艘粡堊C書，連投標(biāo)資格都沒有?！?br />   這是一家做政務(wù)軟件開發(fā)的企業(yè)負(fù)責(zé)人王總的真實(shí)經(jīng)歷。他們參與某市大數(shù)據(jù)局的項(xiàng)目招標(biāo)，團(tuán)隊(duì)加班兩周做方案，報(bào)價(jià)也比競(jìng)爭(zhēng)對(duì)手低，結(jié)果在資格預(yù)審環(huán)節(jié)被直接刷下。原因很簡(jiǎn)單：招標(biāo)文件明確規(guī)定，投標(biāo)人須具備ISO 27001信息安全管理體系認(rèn)證。
  王總這才意識(shí)到，在政府信息化項(xiàng)目領(lǐng)域，技術(shù)能力只是入場(chǎng)的基本條件，而某些證書才是真正的“門票”。

  一、政府項(xiàng)目招標(biāo)中的ISO 27001：不是加分項(xiàng)，是敲門磚

  近兩年，政府信息化項(xiàng)目的招標(biāo)文件中，ISO 27001的出現(xiàn)頻率明顯上升。從智慧城市、政務(wù)云平臺(tái)，到數(shù)據(jù)治理、網(wǎng)絡(luò)安全運(yùn)維，越來越多的項(xiàng)目將這項(xiàng)認(rèn)證列為實(shí)質(zhì)性要求。
  具體來說，ISO 27001在政府招標(biāo)中通常扮演以下角色：
  資格性審查項(xiàng)：沒有證書，直接失去投標(biāo)資格，報(bào)價(jià)和技術(shù)方案不會(huì)被打開評(píng)審。
  技術(shù)評(píng)分項(xiàng)：即便不設(shè)為資格審查，也往往占據(jù)相當(dāng)分值，通常在2到5分之間。在競(jìng)爭(zhēng)激烈的項(xiàng)目中，這個(gè)分差足以決定中標(biāo)結(jié)果。
  供應(yīng)商入庫條件：很多地方政府建立信息化供應(yīng)商庫，入庫的基本要求之一就是通過ISO 27001認(rèn)證。沒有入庫，連收到招標(biāo)邀請(qǐng)的機(jī)會(huì)都沒有。

  二、政府為什么如此看重ISO 27001？

  政府部門對(duì)信息安全的風(fēng)險(xiǎn)容忍度遠(yuǎn)低于商業(yè)機(jī)構(gòu)。一個(gè)政務(wù)系統(tǒng)的數(shù)據(jù)泄露，影響的可能不是單個(gè)企業(yè)，而是大量市民的個(gè)人信息和政府的公信力。
  ISO 27001是國際通行的信息安全管理體系標(biāo)準(zhǔn)，它要求企業(yè)建立系統(tǒng)化的信息安全管理機(jī)制，包括：
  資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估：知道有什么數(shù)據(jù)、存在什么風(fēng)險(xiǎn)、風(fēng)險(xiǎn)有多高
  訪問控制與權(quán)限管理：誰能接觸什么數(shù)據(jù)、誰能做什么操作、誰在什么時(shí)候做了什么事
  漏洞管理與事件響應(yīng)：如何發(fā)現(xiàn)漏洞、如何應(yīng)對(duì)安全事件、如何從中改進(jìn)
  業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)：系統(tǒng)出問題后多久能恢復(fù)、數(shù)據(jù)會(huì)不會(huì)丟

  對(duì)于采購方而言，一張有效的ISO 27001證書意味著供應(yīng)商具備了一套經(jīng)過第三方驗(yàn)證的信息安全管理能力。這是降低采購風(fēng)險(xiǎn)、保障政務(wù)數(shù)據(jù)安全的重要依據(jù)。

  三、哪些政府項(xiàng)目尤其看重ISO 27001？

  以下幾類招投標(biāo)場(chǎng)景中，ISO 27001的出現(xiàn)頻率較高：
  政務(wù)云與大數(shù)據(jù)平臺(tái)建設(shè)：涉及大量政務(wù)數(shù)據(jù)匯聚和處理的平臺(tái)類項(xiàng)目
  網(wǎng)絡(luò)安全運(yùn)維與等保服務(wù)：為政府部門提供安全監(jiān)測(cè)、應(yīng)急響應(yīng)等服務(wù)的項(xiàng)目
  智慧城市與數(shù)字政府項(xiàng)目：涉及公共服務(wù)數(shù)據(jù)采集和應(yīng)用的綜合性項(xiàng)目
  金融監(jiān)管與公共服務(wù)系統(tǒng)：涉及敏感個(gè)人信息或資金交易的系統(tǒng)開發(fā)
  涉密信息系統(tǒng)的配套服務(wù)：雖然涉密系統(tǒng)有專門資質(zhì)要求，但I(xiàn)SO 27001常作為基礎(chǔ)門檻
  在上述類型的項(xiàng)目中，招標(biāo)文件對(duì)ISO 27001的要求往往出現(xiàn)在“投標(biāo)人資格條件”或“技術(shù)評(píng)審標(biāo)準(zhǔn)”章節(jié)，建議企業(yè)在投標(biāo)前仔細(xì)閱讀。

  四、沒有認(rèn)證時(shí)如何應(yīng)對(duì)？

  如果招標(biāo)公告已經(jīng)發(fā)布，而企業(yè)尚未取得ISO 27001認(rèn)證，以下幾種策略可供參考：
  1. 聯(lián)合體投標(biāo)
  與具備ISO 27001認(rèn)證的企業(yè)組成聯(lián)合體參與投標(biāo)，由聯(lián)合體方承擔(dān)信息安全管理相關(guān)的職責(zé)。這種方式需要提前與潛在合作伙伴溝通，并在投標(biāo)文件中明確分工。
  2. 提供替代證明
  如果企業(yè)已通過其他信息安全管理相關(guān)的認(rèn)證或評(píng)估（如等保測(cè)評(píng)、CMMI、ISO 27001正在審核中的證明），可主動(dòng)向采購方說明情況，部分項(xiàng)目允許在評(píng)標(biāo)時(shí)酌情考慮。
  3. 提前布局認(rèn)證
  更根本的解決方式，是在日常經(jīng)營中提前完成認(rèn)證布局。ISO 27001認(rèn)證從啟動(dòng)到拿證通常需要4到6個(gè)月，包括體系搭建、試運(yùn)行、內(nèi)部審核和認(rèn)證審核。建議在業(yè)務(wù)相對(duì)從容的階段啟動(dòng)。

  五、企業(yè)如何推進(jìn)ISO 27001？

  對(duì)于信息類企業(yè)，尤其是希望拓展政府業(yè)務(wù)的企業(yè)，推進(jìn)ISO 27001認(rèn)證可以從以下幾個(gè)角度入手：
  1. 明確認(rèn)證范圍
  認(rèn)證范圍需要與實(shí)際業(yè)務(wù)匹配。例如，如果企業(yè)主要做政務(wù)軟件開發(fā)，認(rèn)證范圍應(yīng)覆蓋“軟件開發(fā)生命周期的信息安全管理”；如果還涉及系統(tǒng)運(yùn)維，需要將運(yùn)維服務(wù)也納入。
  2. 與現(xiàn)有體系整合
  很多信息類企業(yè)已經(jīng)通過了ISO 9001認(rèn)證。ISO 27001與ISO 9001采用相同的高層結(jié)構(gòu)，在文件控制、內(nèi)部審核、管理評(píng)審、糾正措施等方面可以整合運(yùn)行，降低維護(hù)成本。
  3. 關(guān)注客戶特定要求
  部分政府項(xiàng)目對(duì)信息安全有額外要求，如數(shù)據(jù)不出境、特定加密算法、日志留存時(shí)長等。ISO 27001是基礎(chǔ)框架，建議在項(xiàng)目執(zhí)行層面疊加客戶的具體要求。
  4. 獲證后持續(xù)維護(hù)
  證書每年需要接受監(jiān)督審核。建議設(shè)置內(nèi)部提醒，提前與認(rèn)證機(jī)構(gòu)確認(rèn)審核時(shí)間，避免因錯(cuò)過監(jiān)督審核導(dǎo)致證書暫?；虺蜂N。
  
  在政府信息化領(lǐng)域，技術(shù)能力決定了企業(yè)能做多好，而信息安全管理能力決定了企業(yè)有沒有資格去做。
  ISO 27001認(rèn)證不是一張可有可無的紙。它是進(jìn)入政府供應(yīng)商體系的資格憑證，是投標(biāo)時(shí)在資質(zhì)評(píng)審環(huán)節(jié)不丟分的基礎(chǔ)保障，也是客戶信任你能夠保護(hù)好其數(shù)據(jù)的D一印象。
  對(duì)于信息類企業(yè)而言，接政府項(xiàng)目，技術(shù)要過硬，資質(zhì)要齊全。ISO 27001，就是那張不能缺的資質(zhì)。