安全管理体系ISO27001认证咨询服务介绍课件

1、安永安全管理体系ISO27001认证咨询服务介绍第一部分：安永介绍Page 2关于安永安永的全球规模安永是全球领先的专业服务公司，在140多个国家及地区设有约700多个办事处，拥有超过152,000名专业人才，2011年度全球总收入约230亿美元。除了提供审计服务外，安永提供的咨询服务包括税务、收购合并、改善内控制度、风险管理、信息安全以及公司治理方案等。我们为财富500强中超过75%、标准普尔指数成份股中65%的企业，提供审计、税务、风险管理和其他咨询服务。财富全球500强企业 安永服务的企业所占百分比审计客户税务、风险管理等非审计咨询服务客户指数中所有其他客户标准普尔1200指数成份股企业

2、 安永服务的企业所占百分比审计客户税务、风险管理等非审计咨询服务客户指数中所有其他客户全球前十大风险管理咨询企业为财富500强中75%的企业、国内60%的上市公司提供专业服务与国资委、财政部、发改委、保监会、银监会、证监会等管理部门建立了良好的关系,由于安永的良好声誉，安永得以入选国资委09年度央企审计项目入围会计师事务所北美洲：38,000 人 分布于 119 个城市中南美洲：10,000人 分布于30个城市中东及非洲：9,000人分布于77个城市澳大利亚/新西兰：9,000人分布于16个城市欧洲：41,000人 分布于362个城市日本：3,000人 分布于30个城市亚洲：20,000人 分

3、布于75个城市信息安全管理咨询服务IT服务管理咨询服务IT风险评估服务IT内部审计服务IT内控合规及优化服务IT绩效评估服务安永信息科技专业服务Ernst & Young is a leader in Information Security and Risk Consulting Services.Source: The Forrester Wave: Information Security and Risk Consulting Services, Q3 2010, Forrester Research, Inc., August 2nd, 2010国际著名IT咨询机构Forrester

4、发布的全球信息科技安全与风险咨询报告关于安永信息科技风险咨询服务安永及其信息科技风险咨询服务一直被视为信息系统审计与信息安全咨询行业的领导者，在国际著名IT咨询机构Forrester发布的全球信息科技安全与风险咨询报告中，安永连续被评为信息安全与信息风险服务行业的最佳咨询公司之一。我们已经连续十四年在全球范围内进行信息安全调查(GISS)，调查的参与者包括了52个国家中的1700个不同行业的企业，调查问卷参考了ISO27001信息安全管理体系框架，为各企业管理层做出信息安全方面的重要决策提供深入的参考信息。安永在中国大陆和香港地区的信息科技风险咨询服务部门目前正为中国大陆和香港地区的200多家

5、企业提供科技与信息安全方面的服务，这些公司中包括了上市公司、国有企业、金融机构、政府部门、以及跨国企业等。关于安永信息科技风险咨询服务在中国的专业IT咨询服务团队安永在大中华区有超过300人的IT风险咨询顾问，其中在北京,上海,广州,深圳,香港,台湾等地更是具有专注在IT咨询服务的团队。安永IT咨询服务团队上海香港 广州深圳 北京台北 武汉我们在中国地区的IT咨询服务团队介绍：在中国有超过300位专注于IT咨询领域的顾问专家。安全顾问有不同的背景专长，技能覆盖信息安全的各个方面。拥有下面专业证书资质:CISSPCISMCISABS25999 LAISO27001 LAISO20000 LAPM

6、PITIL安永信息科技管理咨询服务科技与信息安全咨询服务（ITRA）在中国有超过300人的专业服务团队，在华北、华中与华南三大区域为客户提供信息系统审计、信息安全、及信息技术相关咨询等方面的专业服务，主要服务类型如下：IT战略规划IT治理数据管理IT服务管理咨询服务第三方报告信息安全咨询服务IT鉴证审计ERP系统咨询IT内部控制评估IT内部审计全面的信息科技管理咨询业务(续)全生命周期的管理咨询服务ISO20000咨询服务ISO27001咨询服务安全策略标准规划等级化安全体系规划信息科技绩效考核安永的行业经验信息科技风险咨询服务及优势安永近期安全项目：信息系统风险评估服务帮助企业发现存在的安全

7、漏洞和威胁，并提供技术、流程层面的建议信息安全管理咨询服务信息安全管理体系实施及信息安全路线图规划业务连续性管理服务防患未然,提升企业应对灾难保持业务连续性的能力隐私和数据保护服务数据分级保护, 使用DLP技术来保护敏感数据身份认证与访问管理服务帮助客户定义与统一管理授权流程与角色职能，提升防范恶意访问的能力云安全服务立足于云服务生命周期的安全需求，提供相应的安全服务信息安全快速评估服务用最短的周期和成本，为客户快速诊断信息安全症结所在热门话题客户数据与机密数据保护 业务连续性管理信息安全治理身份认证与访问控制管理虚拟化技术与云计算安永提供的热门服务:世界最大电力企业之一信息安全体系和数据保护

8、咨询国内最大的新能源企业ISO27001服务管理体系实施国内最大的保险公司信息安全ISO27001管理体系实施全球最大的白色家电制造商信息安全ISO27001管理体系与数据泄漏保护实施全球某大芯片制造商数据泄漏保护实施(R&D)国内第二大银行信息科技等级保护体系建设第二部分：信息安全管理体系建设Page 10安永信息安全管理咨询服务安永的信息安全管理咨询服务根据组织的不同需求为其量身定做适合自己的信息安全管理体系，帮助企业更好的加强自身信息安全管理水平，降低企业业务运作过程中的风险。并采用可信任的控制措施，提供行业解决方案，满足客户的不同需求。根据ISO 27001，信息安全管理体系包括：11

9、 个详细的控制子条款39 个控制目标133 个控制业务连续性管理权限控制系统获取开发维护管理沟通与运营管理人力资源安全合规性资产管理信息安全组织物理环境安全信息安全事故管理信息客户记录个人记录法律记录安全策略策略程序、流程工作指导书、操作说明、模板、检查表等文档、记录安永ISO27001实施方法论(1/2)计 划（PLAN） 实 施(DO) 检 查(CHECK) 改 进（Act）业务现状了解信息资产识别威胁脆弱性当前控制措施风险评价风险处置制定风险接受标准制定ISMS文档架构策略程序与流程指导书、模板等文档、记录等1级2级3级4级可能性严重性持续改进机制管理层评审内部ISMS审计持续的风险评估

10、ISMS体系度量与监控体系运行 符合性指标效能指标损失性指标改进需求预防性措施纠正性措施风险评估风险处置计划识别不合格项根源分析 记录与追踪识别潜在不合格项 制定预防措施 记录与追踪体系发布安永的项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标。在贵公司的整体业务风险框架内，依据ISO27001标准，以风险评估为基础，根据风险处置计划建立和实施信息安全管理体系（ISMS）以管理信息安全风险。并通过建立相关监控体系评估ISMS的有效性，最终将针对监测结果对信息安全管理体系进行持续改进。安永ISO27001实施方法论(2/2)项目实施采取的程序项目可能用到的工具访谈文档审阅

11、调查问卷现场检查系统检查技术扫描信息安全风险评估工具网络脆弱性评估服务器端口扫描资产识别工具渗透测试信息安全控制审计序号标准名称1ISO 27001 ：2005信息安全管理体系要求3ISO 27002 -27005 信息安全管理 使用规则 实施指南 风险评估4SP800 - 美国国家标准技术委员会信息安全技术和管理领域的实践参考指南5信息系统安全等级保护基本要求6信息系统安全等级保护实施指南7GB22080-2008-T 信息技术 安全技术 信息安全管理体系 要求8GB22081-2008-T 信息技术 安全技术 信息安全管理实用规则9GB50174-2008 电子信息系统机房设计规范10GB

12、T 20270-2006 信息安全技术 网络基础安全技术要求11GBT 21028-2007 信息安全技术 服务器安全技术要求12GBT 21052-2007 信息安全技术 信息系统物理安全技术要求参考的相关标准项目实施采取的程序和可能用到的工具项目启动和差异分析项目启动会议，确定项目团队、建立项目组管理架构信息安全管理现状的快速评估信息安全管理体系差异分析设计信息安全方针设计信息安全管理组织架构信息安全管理培训阶段项目总结会议项目计划差异分析报告信息安全管理组织架构信息安全方针阶段主要任务主要交付品项目实施步骤风险评估资产收集及风险评估方法与标准资产级别划分标准技术弱点扫描报告资产清单、威胁

13、列表、脆弱性列表、风险列表风险评估报告制定资产识别标准（包含保密级别划分）资产收集及风险评估方法培训信息资产收集识别威胁、脆弱性、并安全漏洞扫描评估风险，划分风险等级阶段项目总结会议体系设计与发布风险容忍标准及风险处置计划适用性声明ISMS制度和流程ISMS体系、事故响应培训信息安全体系技术落地建议书体系运行与监控ISMS绩效监控流程信息安全推广培训认证及持续改进ISMS内审报告ISMS外审报告及改进ISMS管理评审报告项目总结报告12345确定风险容忍度和风险偏好确定风险处置措施并实施整改计划制度整合及信息安全管理体系文档编写信息安全体系技术控制及管理落地建议信息安全管理体系发布及培训阶段项

14、目总结会议制定信息安全管理绩效监控流程信息安全管理体系试运行体系运行监控业务连续性管理培训阶段项目总结会议ISMS内审培训ISMS内审ISMS外审ISMS管理评审纠正、预防措施持续改进建议项目总结会议协助后续的内审和临审目标对信息安全的要求、信息安全组织架构、ISMS文件体系、信息安全流程、信息安全技术架构和技术设施管理情况、以及员工的信息安全意识进行综合调研分析。通过管理和技术手段并用的方式全面了解贵公司的信息安全现状，为后续的工作打好基础实现方法资料收集及分析问卷调查现场访谈实地走查技术调研等方式安永信息安全管理最佳实践信息安全标准及监管要求贵公司信息安全需求信息安全现状调研总结报告制定调

15、研方案现场访谈问卷调查技术调研资料收集文件审核1、现状调研1、现状调研项目启动和差异分析确定项目范围、建立项目组管理架构，并完成现状分析对项目范围内现有管理体系、流程，包含内部控制制度等进行分析业务与信息管理架构分析与设计项目范围內信息平台、应用系统分析项目范围內相关部门与重要信息资产的互动与权限分析信息安全管理体系与国际标准ISO27001对标信息安全方针设计阶段一主要任务现有制度与流程组织架构与职责信息技术与平台各职能部门信息安全现状诊断主要范围收集项目相关的文档，通过对收集的资料进行分析，快速了解贵公司信息安全基本情况为后续工作打好基础。1.1、资料收集范例对贵公司现存的信息安全管理制度

16、、管理流程、记录文档等文件进行审核，深入了解管理体系是否健全，以及技术和数据保护体系是否落实到位。信息安全管理制度信息安全职责矩阵及工作职责文档信息安全测量体系文档信息安全考核文档数据备份和恢复策略信息安全培训文档1.2、文件审核范例访谈目的和范围根据项目范围，访谈贵公司管理层以及重要部门业务骨干人员。访谈主要是了解相关人员对当前公司信息安全工作的看法、关注的风险及对未来的期望，了解员工的信息安全意识情况。访谈安排制定访谈计划访谈纲要根据不同对象设计访谈纲要，一般包括管理层代表、重要部门业务骨干等访谈纲要。1.3、人员访谈范例问卷调研的对象：信息安全及主要业务系统和IT基础设施的管理、维护人员

17、。根据不同的对象设计不同的调研问卷，充分了解相关领域的信息安全管理现状，具体事例如下：1.4、问卷调查范例通过安永的技术工具及人工检查等手段对不同类型的系统进行调研。1.5、技术调研范例现状调研阶段工作成果信息安全现状调研报告安全管理现状安全技术现状2、风险评估阶段二主要任务信息安全风险评估制定信息资产识别标准（包含保密级别划分）资产识别及风险评估方法培训信息资产收集识別关键信息资产，并评估价值评估公司层面信息安全控制措施安全漏洞扫描针对关键信息资产进行威胁、弱点及影响程度评估，计算出风险值风险分析风险评估成果示例识別关键信息资产公司层面控制信息安全管理成熟度风险评估目标从业务的角度分析贵公司

18、对信息安全管理和技术的自身要求识别与国内、国际最佳信息安全实践之间的差距并改进。识别各级监管部门发布的有关信息安全监管要求的差距并改进发现主要信息安全管理和技术风险并改进。实现方法通过“资产风险评估”、“流程风险评估”、“信息安全技术架构评估”、“数据安全” 的结果，汇总分析形成最终的风险评估报告。通过分析风险评估的结果、监管要求以及国际的信息安全最佳实践标准，描述贵公司对信息安全管理和技术的要求，建立安全管理与技术体系模型并对比贵公司目前的安全现状，找出薄弱点并提出整改方案。2、信息安全风险评估风险评估标准2.1、信息资产风险评估(1/2)业务流程业务活动信息资产信息载体业务目标终端设备应用

19、系统存储网络机密性完整性可用性信息资产分类基于信息资产的重要等级分类，深入分析贵公司的业务目标和流程透彻分析和识别出在业务活动和所有不同信息系统架构层中的信息资产根据安全的三个特性纬度（机密性，完整性，可用性）来判断信息资产的价值识别信息资产定义信息资产的自然属性决定信息资产的属性分类的信息资产2.1、信息资产风险评估(2/2)范例在对IT流程评估需要对现有流程设计文档分析，对流程的角色、职责、活动、输入输出、KPI等分析，识别关键控制点。IT流程风险评估为后续的流程优化打下了基础。2.2、IT流程评估范例2.3、信息安全技术架构风险评估物理终端主机应用网络身份认证访问控制内容安全审核跟踪响应

20、恢复工具扫描文档审阅配置检查渗透测试安全技术风险评估评估技术评估工具对贵公司的物理、网络、主机、应用、终端等方面的信息安全风险进行评估。风险评估阶段工作成果信息安全风险评估报告3、体系建立与发布建立适合贵公司的信息安全管理体系阶段三主要任务体系设计与发布确定风险接受标准制定风险处置计划管理层汇报定制风险处置实施整改计划依据信息与业务重要性，制定各级信息安全管理制度和流程信息安全体系技术控制落地及管理落地建议依据不同对象与时机，按需制定支持上述流程的工作指导书信息安全管理体系发布及培训ISMS策略ISMS制度和流程工作指导书、操作手册、模板、检查表等表单、记录1级2级3级4级信息安全管理体系文件

21、第一级信息安全方针信息安全管理评审程序信息安全内审管理程序纠正和预防措施管理程序文档记录管控程序有效性测量程序信息资产分类标准风险评估实施指南信息保密管理办法人员安全管理程序培训管理规定第三方安全管理规定机房安全管理规定办公区域安全管理规定系统试运行审查规定系统安全管理规范网络运维管理规范IT终端设备使用管理规范变更管理规定帐户安全管理规范防病毒管理策略第二级第三级脆弱性检查列表威胁检查表内部审计检查项第四级审计报告日志检查表文件加密指南移动办公守则信息安全管理手册其它表單风险处置方法风险处置计划序号 整改类型 负责部门 风险描述 优先等级 整改措施 完成时间 责任人管理是否已确定1物理安全

22、运维部机房湿度过低，容易造成电火花以及静电，给IDC业务带来风险高调整机房湿度至合适范围，并设置远程监控与报警机制。2009年9月7日 张三是2法律法规合规运维部单位或个人通过托管的服务器，利用IDC中心从事危害国家安全、泄露国家机密等违法犯罪活动高1.与责任单位签订信息安全责任保障书，明确责任与义务2.IDC建立相应的管理、监督和检查机制,实现实时的监控2009年10月17日 张三审批中3.1、信息安全管理框架设计安永将根据贵公司实际情况和信息安全统一要求，建立适合于贵公司的信息安全管理框架，用于指导信息安全工作的实施。管理技术组织业务驱动风险战略合规、监控和报告风险识别与描述流程与运作程序

23、工具与技术治理、制度与标准人员和组织管理数据安全框架3.2、体系与安全制度的对标整合从管理措施和管理方法两方面，进行ISMS制度与现存运行的安全制度的对标。确保符合集团信息安全要求，并将现存的安全风险控制和管理方法融入ISMS制度中，从而达到制度整合的目标，使信息安全管理成为一个整体，成为一套管理程序。贵公司 XXX工作管理指引贵公司 信息安全管理体系对应要求贵公司 现有制度体系，包括集团信息安全要求控制程序作业指导书、表格、文档模版以及报告等总体规定软件需求管理办法信息系统项目管理办法外包项目管理办法安全管理制度框架及管理规定 软件需求管理控制程序项目管理控制程序应用系统安全管理规定计算机机

24、房管理控制程序运行维护文档管理控制程序 应用软件程序维护作业指导书 安全服务管理业务指导书 网络配置变更作业指导书 应用软件程序维护作业流程图网管系统维护记录周报 信息安全技术信息系统安全等级保护对应要求对应要求3.3、信息安全组织体系建设安永将根据贵公司实际情况设计信息安全组织架构及各部门职责。范例3.4、信息安全制度体系建设安永将根据ISO27001标准要求，并结合贵公司自身需求，按照分类分级的原则，设计完整的信息安全管理制度及文档体系。范例3.5、信息安全技术体系建设满足国家标准、监管、行业最佳实践的安全技术要求，从业务出发，识别和满足用户对信息安全技术需求，掌握信息系统安全保护重点领域

25、，建立信息系统安全技术基准，实现可组合安全技术保护。范例3.6、信息安全监督体系建设通过定期实施内审与管理评审发现贵公司体系运行中存在的不足并进行整改，从而达到内部不断改进的目的，以保持信息安全保障体系的有效性、适宜性、充分性。范例3.7、信息安全技术和管理落地（1/2）建设紧迫性分析合规方面的强制要求;法律诉讼、人身安全等可能性业务中断、IT全局崩溃等可能性分布与影响的范围、危害严重性破坏后恢复时间与投入、发生频率信息安全战略规划分析模型建设可行性分析外部策略允许程度内部管理条件是否具备所需的技术是否成熟内部支持条件是否具备外部支持条件是否具备建设效果性分析见效速度对于数据安全的直接效果对于

26、业务的直接促进安全体系的提升与促进建设难易度分析资金、时间、人力等投入大小技术难度、人员能力的要求对业务和运行的触动大小对企业和组织的触动大小根据贵公司信息安全战略规划及目前的信息安全风险现状，设计信息安全建设任务的优先级路线路。3.7、信息安全技术和管理落地（2/2）优先级排序结果任务顺序/关联关系根据规划分析和贵公司目前的信息安全项目实施的实际情况，设计出未来三年的安全建设蓝图。4、体系运行与监控阶段四主要任务体系运行与监控制定绩效监控流程体系运行监控信息安全推广培训信息安全宣传内部审计培训信息安全管理体系内部审计信息安全管理体系管理评审会议纠正措施、预防措施、持续改进建议项目总结会体系运

27、行与监控审计报告内部审计文件适用性按规范执行内审计划信息安全体系改进方案实施成果审计 执 行 记 录信息 安全管理体系信息安全管理体系内部审计报告4.1、安全职责细化（1/2）信息安全职责是否清晰并可落实是关系到信息安全工作能否到位的关键，因此制定信息安全职责矩阵，细化每个岗位的信息安全职责，确保其可操作对于ISMS体系的落实发挥重要作用。范例4.1、安全职责细化（2/2）落地示例信息安全责任落实到“人”信息安全指南落实到“步骤”信息安全度量落实到“指标”范例4.2、安全测量指标为了有效的监控ISMS体系运行的效果，及时发现ISMS存在的不足并改进，应建立ISMS运行有效性测量体系，测量体系应

28、至少包括测量指标、测量数据来源、测量周期、测量防范、测量责任人、测量结果等要素。范例4.3、安全考核体系建立有效的信息安全管理KPI制定合理的信息安全管理KPI，评价信息安全管理执行情况和反馈改进建议。角色类型指标范围指标定义成熟度业务连续性管理软件开发安全管理变更配置安全管理符合性 管理IT终端 安全管理移动介质安全管理系统补丁安全管理防病毒 安全管理物理环境安全管理数据备份安全管理帐号权限安全管理安全监控管理安全事故管理第三方安全 管理实施类用于度量安全策略的实施情况，主要考核事前安全工作。效能类用于度量安全服务的工作效力和效率，主要考核事中安全工作。影响类用于度量安全事件对业务的影响，主

29、要考核事后安全工作。1级已定义 安全策略2级已定义 安全流程和控制方法3级已实施 安全流程和控制方法4级已验证 安全流程和控制方法5级已集成并持续改进 安全流程和控制方法决策层为信息安全考核计划提供高层支持和监督。管理层为信息安全考核计划提供支持，协调有关工作。执行层为安全指标的制定和数据采集提供支持。 监督层负责信息安全日常工作，收集数据和计算安全指标。4.4、安全意识推广（1/2）通过多种手段提升员工信息安全意识，比如安全手册、安全海报、安全屏保、电子壁纸、FLASH动画、鼠标垫、便利贴等。范例4.4、安全意识推广（2/2）定期的信息安全宣导及培训签署劳动合同(含安全职责)入职的安全意识培

30、训网络自助式的安全知识考试学习安全规章制度员工转正申请员工转正申请奖惩机制人力资源安全培训违规行为的报告安全信用等级系统技术分析举报信息收集确认违规等级安全系统部用人部门安全系统部用人部门严重一般处理正式发布人力部门发布4.5、人员安全培训安永将根据不同的培训对象，安永设计了信息安全意识培训，IT风险管理培训，ISO27001培训等。其中信息安全意识培训适用于全体员工，IT风险管理培训适用于IT内控及风险管理人员，ISO27001适用于信息安全体系管理人员。范例目标推动ISMS体系在贵公司运行，并获得审核机构颁发的27001认证。实现方法ISMS体系文件编制完成后，应按照文件的控制要求进行审核与批准并发布实施，体