ISO27000信息安全管理体系建设咨询服务7.docVIP

1、谢谢你的观赏ISO27000 信息安全管理体系建设咨询服务7ISO27000信息安全管理体系建设咨询服务目录1 概述(3)2 准备(5)2.1 确定 ISMS 范围 (5)2.2 确定信息安全总体方针政策(6)2.3 定义风险评估与管理方法 (8)2.4 项目准备(9)3 风险评估 (13)3.1 现状分析(13)3.2 风险评价(15)3.3 风险处置(17)4 安全体系规划与设计(19)4.1 安全体系规划 (19)4.2 编写安全体系文档(20)5 安全体系实施、调整、评审(22)5.1 体系实施(22)5.2 体系调整(23)5.3 体系评审(24)附件 1：项目主要任务及活动列表(2

2、6)附件 2：项目主要文档列表(27)1 概述ISO27000 信息安全管理体系建设咨询服务阶段流程如下图：实践证明， 按照 BS7799/ISO27000 的要求在组织内部建立并运行信息安全管理体系( ISMS ) ，强化信息安全管理体系的运行审核和管理评审， 不断改进优化组织的信息安全管理体系， 是处 理组织信息安全问题有效手段之一。根据 BS7799/ISO27000 要求，在建立、实施、运行、监控、评审、保持与改进组织 ISMS 时采用 PDCA 的过程模型，即首先依据组织的信息安全总体方针政策， 通过对 ISMS 涉及范围内的所有信息资产进行风险评估， 选取合适的安全控制措施， 建立

3、包括安全策略、控制程序、操作指南/手册在内的文件化的信息安全管理体系， 然后在组织内部实施并运行ISMS 信息安全策略、控制程序及措施， 并通过 ISMS 运行监控、 内部审计及管理评审，发现 ISMS 存在的问题及弱点， 及时采取适当的纠正或预防措施，实现 ISMS 的持续改进。信息安全管理体系咨询服务的目的就是根据ISO27001 标准的要求， 采用 PDCA 的过程模型， 通过基于资产的风险评估， 帮助客户建立文件化的信息安全管理体系， 辅导客户在其组织范围内实施、运行、评审信息安全管理体系，从而确保客户信息系统的正常运行，提高服务竞争力，最终促进客户业务的开展。如上图所示， 信息安全管

4、理体系建设咨询服务包括准备、 风险评估、安全体系规划与设计、安全体系实施/调整/评审四个阶段，各个阶段说明如下 :第一阶段：准备准备阶段主要完成信息安全管理体系建设项目的前期准备工作。包括四个工作任务，分别是：1）确定ISMS 范围根据组织业务需要确定ISMS 涵盖的范围，包括地理位置、部门或信息系统等。2）确定信息安全总体方针政策分析 ISMS 范围内的业务及系统安全需求，确定ISMS 的总体方针政策。3）定义风险评估与管理方法确定风险评估模型， 确定风险评估指标， 定义风险评估及管理程序。4）项目准备制定实施计划、成立项目组、整理开发相关工具模板、召开启动会，进行项目背景知识培训等。第二阶

5、段：风险评估分析 ISMS 范围内的信息安全现状，针对ISMS 范围内的所有信息资产， 识别并评价其面临的安全风险， 提出对应的控制措施。包括三大工作任务，分别为：1）现状分析通过访谈、检查及测试了解 ISMS 范围内的信息安全现状，形成现状报告，并将获取的安全现状与ISO27002 中的安全控制措施进行差距分析。2）风险评价按照确定的风险评估模型，评价现状分析阶段识别的资产、威胁及弱点，确定资产风险等级。3）风险处置确定风险处置方式， 选择安全控制措施， 制定风险处置计划，进行残余风险分析。第三阶段：安全体系规划与设计根据差距分析和风险评估结果规划安全体系建设任务， 落实本期建设规划。包括两

6、大工作任务，分别为：1）安全体系规划规划信息安全体系建设项目、任务、计划等。2）编写安全体系文档设计信息安全体系管理文档或技术方案。第四阶段：安全体系实施、调整、评审落实信息安全管理措施， 部署信息安全技术措施， 运行信息安全管理体系，改进信息安全管理体系不足，按照 ISO27001 要求进行信息安全管理体系内部审核和管理评审。 包括三大工作任务，分别为：1）体系实施落实或部署信息安全管理体系的相关管理及技术措施， 运行信息安全管理体系。2）体系调整针对实施和运行中存在的问题， 对信息安全管理体系进行调整改进。3）体系评审按照 ISO27001 要求进行信息安全管理体系内部审核和管理评审。2 准备2.1 确定 ISMS 范围根据组织的业务特征、组织结构、地理位置、资产和技术定义 ISMS 范围和边界。?主要工作任务及内容（活动）1）信息安全与业务战略及规划一致性分析针对组织内部安全状况与组织业务战略及规划一致性的分析， 主要从客户、 合作方等外部角度考虑 ISMS 需要涵盖的范围。2）信息安全与相关法规/制度符合性分析针对组织内部安全状况与法律/法规/制度符合性的分析，主要从合规性方面考虑ISMS 范围需要涵盖的范围。3）信息安全与业务运营影响分析针对组织内部安全状况对业务运营影响的分析， 主要从内部风险管理角度考虑 ISMS 需要涵盖范围4）确定ISMS 范围根据上述分