信息安全咨询项目

1、信息安全咨询项目_精品资料_文档说明本文档所涉及到的文字、图表等，仅限于公司及被呈送方内部使用，未经被呈送方及公司书面许可，不得扩散到第三方。目录1概述.51.1项目背景 .51.2项目目标 .51.3项目实施思路 .71.4参考标准 .72项目实施方案 .83一阶段项目工作说明 .9精品资料_3.1充分定义 .93.2量化控制 .123.3运行检验 .134二阶段项目工作说明 .144.1充分定义 .154.2量化控制 .164.3运行检验 .185三阶段项目工作说明 .185.1充分定义 .195.2量化控制 .205.3运行检验 .21精品资料_1 概述1.1 项目背景医疗科技有限公司

2、（以下简称）是专业从事高端医疗设备及相关技术研发、生产、销售的高新技术企业。总部位于上海嘉定，包含运营总部、研发中心及生产基地，一二期计划占地 400 余亩，届时将成为中国医疗行业最大规模的高技术产业化示范基地。同时在上海浦东新区张江高科园以及深圳育成中心分别建立了两大基地，进行以市场为导向的产品研发。 是目前国内唯一一家产品线覆盖全线高端医疗影像设备的大型医疗设备公司。在产品研发和技术创新方面,是首批获得“上海市十大产学研合作创新示范基地”称号的企业之一，拥有行业领先的核心技术，获得专利技术 240 余项，申请发明专利占 70% 以上，以及在未来 3-5 年内将形成一个跨各大产品线，拥有 1

3、000 项专利规模的大型医疗设备高科技企业。随着的快速发展， 业务经营和管理对信息系统和核心数据依赖程度越来越广泛和深入，对 IT 系统及信息的保密性、完整性和可用性的保护的要求也越来越高。为了加强信息安全建设，提升信息安全保障水平，落实信息安全体系规划，提高员工的安全意识，启动了信息安全管理体系建设项目。1.2 项目目标为了提升整体信息安全管理水平和抗风险能力，保障业务持续安全运行，需要根据国际先进信息安全管理机制，同时结合实际情况和需求来进行信息安全体系的建设。精品资料_项目按照 ISO/IEC27001 标准体系，综合信息安全现状，从体系化角度，在已有信息安全技术评估的基础上进行信息安全

4、管理调研，展开综合风险评估（包含技术性分析与管理性分析），针对当前保障机制下存在的问题和安全薄弱环节，以体系化的思路提交整改策略、整改报告及形成建设研究实践成果。项目建设按照 ISO27001 信息安全体系标准 和国家信息系统等级保护规定要求，做好与的结合点研究与建设，其研究与建设应覆盖组织、管理、技术三个领域进行。通过 ISO27001 体系的研究，实践并规范信息安全风险评估方法、技术监测监管、应急响应机制，完成基于ISO27001 国际标准的信息安全体系建设。本项目的具体建设目标是：(1) 安全体系调研及分析：完成信息安全体系调研及综合分析。(2) 信息安全体系建设：根据 ISO27001

5、 安全管理体系规范对当前的信息安全管理制度、规范、应急体系等内容的完整性、规范性和可操作性进行管理对标，查找差距和存在问题并完成相应的改进。并制订信息系统和安全设施的防护配置的基线标准，同时完成一体化的安全运行监管方法。(3) 协助建立信息安全管理、治理基础能力。经过项目的推进和落实，信息安全的管理和科学决策水平将显著提高。信息安全将成为加强内部控制和优化内部管理，降低运营风险，建立高效、统一、运转协调的安全管理体制的重要因素。通过PDCA过程方法和相应的组织保障体系，使安全管理从“无序、零散、被动”的风险补救行为转变为“系统、科学、连贯、主动”的风险驾驭状态，防止走回头路。精品资料_1.3

6、项目实施思路本项目旨在协助建立和完善基于ISO27000 的信息安全管理体系，通过现状调研、差距分析、组织设计、制度编写、技术定义、推行辅导等方式。在建立信息安全组织，明确组织职能，建立有效的流程制度，并将相应的技术技能进行匹配，同时协助进行同步的宣贯推行。在建立了信息安全管理体系后，为了使得信息安全管理体系更好的运行，同时还协助建立信息安全的治理能力，对公司信息安全现状进行评估、知道和监督；同时建立信息安全的管理能力，对信息安全进行规划、建设、运维和评估，并通过专家宣讲、实践经验交流、案例介绍、项目辅导、技术技能培训、推荐外部培训等方式加强的信息安全治理和管理能力。1.4 参考标准在本项目执

7、行过程中，将参考如下标准：信息安全等级保护管理办法、计算机信息系统安全等级保护划分准则信息安全风险管理指南信息安全风险评估指南、ISO 13335 ISO 27000 ISO 15408/CC 精品资料_行业及最佳实践2 项目实施方案本项目将对安全现状进行科学的评估和分析，以了解的信息安全现状，得出符合的安全需求。根据公司安全现状和业务安全需求，从安全技术、安全管理等方面来设计未来三年信息安全建设的发展规划。根据安全规划的结果，进行信息安全管理体系的具体设计。本项目中开展的工作将包括以下内容：信息安全现状评估和需求分析企业信息安全体系架构设计信息安全管理体系建设及辅导落地在本项目实施过程中，

8、本项目总共分为三阶段。在项目一阶段，主要完成信息安全现状调研，并进行风险评估，建立信息安全管理体系框架，并针对部分控制域进行三级文件的编写；在项目二阶段阶段，对一阶段编写完成的文件体系进行培训，并贯彻到实际应用中去，并同时针对第二部分控制域进行编写；在项目三阶段阶段，对现有体系进行试运行，并针对剩余的控制域进行体系文件编写，协助客户对已经制定好的体系进行评估、指导和监督。具体的控制域编写顺序如下：精品资料_3 一阶段项目工作说明结合体系规划及落地的整体思路,在项目一阶段重点开展包括充分定义阶段(理解业务对安全的需求，确定总体策略和组织，信息资产识别和分类，差距评估，明确解决方案框架 ),量化控

9、制阶段 (管理制度 /流程建设，人员技术技能培养，软硬件平台获取 ),运行检验阶段 (发布执行，运行辅导，优化调整),等几大环节。本阶段预计工期 3个月，需要投入资深顾问1名、高级顾问 4名。通过结合的安全现状及 ISO27001 相关控制域，在安全咨询服务一阶段中重点完成以下几个阶段的内容：3.1 充分定义工作名称充分定义此活动旨在理解日常业务对信息安全的需求，是信息安全管理简要描述体系建设的关键活动之一。通过对企业日常业务的充分理解，设计出企业信息安全管理的总体策略，并明确信息安全组织结精品资料_构，以及信息安全组织在企业内的汇报关系。为了更好的进行差距分析，资产的识别和分类是必要的输入条

10、件。根据风险评估和处理的结果，根据总体安全方针，参考ISO27001对文档体系的要求，编写诸多信息安全策略文档，最终形成文档化的ISMS 体系。制定文件编写工作计划；理解业务对信息安全的需求审查现有文档（对客户现有信息安全管理制度进行充分的了解）；此项任务在充分定义阶段即开始实施。其目的在于审查评估客户现有的信息安全相关文档， 包括规章制度、行业规范、程序文件、操作手册、工作流程等；并对现有文档体系的运行状况做初步适用性分析，结合业务的运行情况进行文档审阅。与相关人员进行访谈（通过与相关工作人员沟通了解业务工作内容运行中涉及的安全问题）。此项任务在充分定义阶段开始实施，其目的在于充分了解日常运

11、营过程中涉及到的安全问题，并对信息安全的现状做初步的访谈分析确定总体的策略与方针根据业务对信息安全的需求，确定信息安全管理体系（ ISMS ）的范围、目标，并制定适用于业务需要的安全策略和方针。资产识别与分类识别对组织有价值的事务，并按照资产的价值进行分类，确保在信息安全管理体系建设中对不同价值的资产实施不精品资料_同的安全保护措施。差距评估根据 ISO27001 标准及业界最佳实践，对安全管理现状进行差距评估。文档初步编写；由供应商顾问做指导，由客户特定人员和供应商顾问共同负责编写。最终得到系列化的策略文档，文档编写可能分阶段进行。根据现状调查及差距分析结果，建立安全管理体系框架ISO 27

12、001 标准访谈提纲输入内容现状调查问卷信息资产调查表风险评估模板项目实施计划文档审阅记录分析现状调研分析报告信息资产调查表工作成果差距分析报告ISMS-SOA安全策略蓝图信息安全方针政策信息安全组织管理办法精品资料_3.2 量化控制工作名称量化控制此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程简要描述在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：A7 资产管理A10.1 操作程序及职责A10.4 防范恶意代码和移动代码A10.6 网络安全管理工作内容A10.7 介质管理A10.10

13、监督A11 访问控制A13 信息安全事件管理A15 符合性在编写文档的过程中，对企业信息安全管理人员进行技能的培养和储备，具体包括进行针对性的培训，宣贯与演练ISO 27001 标准差距分析报告输入内容ISMS-SOA安全策略蓝图精品资料_信息安全方针政策信息安全组织管理办法资产清单资产分类定级标准IT 设备加固管理办法IT 设备上线指南IT 变更管理指南应用系统安全开发指南终端防病毒安全管理规定网络安全管理办法工作成果介质安全管理规定日常维护操作管理规定互联网访问控制策略操作系统访问控制策略信息安全事件管理规定信息安全管理体系评审规范信息安全管理培训PPT信息安全宣传管理办法3.3 运行检验

14、工作名称运行检验精品资料_将前两个阶段所编写的安全管理流程文档进行落地实施，并在简要描述落地实施过程中进行优化。将编写的文档在公司全员进行发布，并进行全员信息安全意识培训以及信息安全管理体系的介绍培训将制定的安全管理体系落实到企业日常工作中去，在试运行过工作内容程中给予客户响应的指导针对在试运行过程中发现的问题，对现有体系进行优化。加强企业信息安全管理人员的信息安全管理能力，提升其安全管理技能。ISO 27001 标准输入内容信息安全管理体系文档管理体系发布邮件全员培训 PPT工作成果试运行记录体系改进实施计划4 二阶段项目工作说明在一阶段项目验收合格后，着手对二阶段分配的控制域进行规划和落地

15、。本阶段预计工期 3个月，需要投入资深顾问1名、高级顾问 3名。通过结合的安全现状及 ISO27001 相关控制域，在安全咨询服务二阶段中重点完成以下几个阶段的内容：精品资料_4.1 充分定义工作名称充分定义针对二阶段定义的部分控制域，结合控制域的具体控制点进行具体的了解。简要描述工作内容结合一阶段风险评估和处理的结果，根据总体安全方针，参考ISO27001对文档体系的要求，编写诸多信息安全策略文档，最终将二阶段要求的控制域形成文档化的ISMS 体系。制定文件编写工作计划；理解业务对信息安全的需求审查现有文档（对客户现有信息安全管理制度进行充分的了解）；此项任务在充分定义阶段即开始实施。其目的

16、在于审查评估客户现有的信息安全相关文档， 包括规章制度、行业规范、程序文件、操作手册、工作流程等；并对现有文档体系的运行状况做初步适用性分析，结合业务的运行情况进行文档审阅。与相关人员进行访谈（通过与相关工作人员沟通了解业务运行中涉及的安全问题）。此项任务在充分定义阶段开始实施，其目的在于充分了解日常运营过程中涉及到的安全问题，并对信息安全的现状做初步的访谈分析差距评估根据 ISO27001 标准及业界最佳实践，对二阶段覆盖的控制域的安全管理现状进行差距评估。文档初步编写；由供应商顾问做指导，由客户特定人员和供应商顾问共同精品资料_负责编写。最终得到系列化的策略文档，文档编写可能分阶段进行。根

17、据现状调查及差距分析结果，完善安全管理体系ISO 27001 标准输入内容访谈提纲安全管理体系框架项目实施计划文档审阅记录分析工作成果现状调研分析报告差距分析报告4.2 量化控制工作名称量化控制此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程简要描述在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：A8 人力资源安全工作内容A9 物理环境安全A10.2 第三方交付和管理A10.3 系统规划和验收精品资料_A10.5 备份A10.8 信息交换在编写文档的过程中，对企业信息安全管理人员进行技能

18、的培养和储备，具体包括进行针对性的培训，宣贯与演练。ISO 27001 标准差距分析报告ISMS-SOA输入内容安全策略蓝图信息安全方针政策信息安全组织管理办法人力资源安全管理制度人员离调职管理流程第三方安全管理规定物理访问控制程序计算机管理程序移动设备使用安全管理程序工作成果信息处理设施维护管理程序重要信息备份管理流程信息交换管理办法差距分析报告相关培训 PPT相关作业文件精品资料_4.3 运行检验工作名称运行检验将前两个阶段所编写的安全管理流程文档进行落地实施，并在简要描述落地实施过程中进行优化。将编写的文档在公司全员进行发布，并进行全员信息安全意识培训以及信息安全管理体系的介绍培训将制定

19、的安全管理体系落实到企业日常工作中去，在试运行过工作内容程中给予客户响应的指导针对在试运行过程中发现的问题，对现有体系进行优化。加强企业信息安全管理人员的信息安全管理能力，提升其安全管理技能。ISO 27001 标准输入内容信息安全管理体系文档管理体系发布邮件全员培训 PPT工作成果试运行记录体系改进实施计划5 三阶段项目工作说明在二阶段项目验收合格后，着手对三阶段分配的控制域进行规划和落地。在三阶段控制域落地的同时，对整个信息安全管理体系在运行的情况进行管理评审。并协助进行第一次内部审核，以检验信息安全管理体系运行状况，并根据审计结果进行优化。精品资料_本阶段预计工期 2个月，需要投入资深顾

20、问1名、高级顾问 3名。通过结合的安全现状及 ISO27001 相关控制域，在安全咨询服务三阶段中重点完成以下几个阶段的内容：5.1 充分定义工作名称简要描述工作内容充分定义针对三阶段定义的部分控制域，结合控制域的具体控制点进行具体的了解。结合一阶段风险评估和处理的结果，根据总体安全方针，参考ISO27001对文档体系的要求，编写诸多信息安全策略文档，最终将二阶段要求的控制域形成文档化的ISMS 体系。在编写完成了文档体系后，并协助进行第一次内部审核，以检验信息安全管理体系运行状况，并根据审计结果进行优化。在完成了体系优化计划后，进行管理评审。制定文件编写工作计划；理解业务对信息安全的需求审查

21、现有文档（对客户现有信息安全管理制度进行充分的了解）；此项任务在充分定义阶段即开始实施。其目的在于审查评估客户现有的信息安全相关文档， 包括规章制度、行业规范、程序文件、操作手册、工作流程等；并对现有文档体系的运行状况做初步适用性分析，结合业务的运行情况进行文档审阅。与相关人员进行访谈（通过与相关工作人员沟通了解业务精品资料_输入内容工作成果运行中涉及的安全问题）。此项任务在充分定义阶段开始实施，其目的在于充分了解日常运营过程中涉及到的安全问题，并对信息安全的现状做初步的访谈分析差距评估根据 ISO27001 标准及业界最佳实践，对二阶段覆盖的控制域的安全管理现状进行差距评估。文档初步编写；由供应商顾问做指导，由客户特定人员和供应商顾问共同负责编写。最终得到系列化的策略文档，文档编写可能分阶段进行。根据现状调查及差距分析结果，完善安全管