版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
ISO27000信息安全管理体系建设咨询服务ISO27000信息安全管理体系建设咨询服务目录1概述(3)2准备(5)2.1确定ISMS范围(5)2.2确定信息安全总体方针政策(6)2.3定义风险评估与管理方法(8)2.4项目准备(9)3风险评估(13)3.1现状分析(13)3.2风险评价(15)3.3风险处置(17)4安全体系规划与设计(19)4.1安全体系规划(19)4.2编写安全体系文档(20)
5安全体系实施、调整、评审(22)5.1体系实施(22)5.2体系调整(23)5.3体系评审(24)附件1:项目主要任务及活动列表(26)附件2:项目主要文档列表(27)1概述ISO27000信息安全管理体系建设咨询服务阶段流程如下图:实践证明,按照BS7799/ISO27000的要求在组织内部建立并运行信息安全管理体系(ISMS),强化信息安全管理体系的运行审核和管理评审,不断改进优化组织的信息安全管理体系,是处理组织信息安全问题有效手段之一。根据BS7799/ISO27000要求,在建立、实施、运行、监控、评审、保持与改进组织ISMS时采用PDCA的过程模型,即首先依据组织的信息安全总体方针政策,通过对ISMS涉及范围内的所有信息资产进行风险评估,选取合适的安全控制措施,建立包括安全策略、控制程序、操作指南/手册在内的文件化的信息安全管理体系,然后在组织内部实施并运行ISMS信息安全策略、控制程序及措施,并通过ISMS运行监控、内部审计及管理评审,发现ISMS存在的问题及弱点,及时采取适当的纠正或预防措施,
实现ISMS的持续改进。信息安全管理体系咨询服务的目的就是根据ISO27001标准的要求,采用PDCA的过程模型,通过基于资产的风险评估,帮助客户建立文件化的信息安全管理体系,辅导客户在其组织范围内实施、运行、评审信息安全管理体系,从而确保客户信息系统的正常运行,提高服务竞争力,最终促进客户业务的开展。如上图所示,信息安全管理体系建设咨询服务包括准备、风险评估、安全体系规划与设计、安全体系实施/调整/评审四个阶段,各个阶段说明如下:第一阶段:准备准备阶段主要完成信息安全管理体系建设项目的前期准备工作。包括四个工作任务,分别是:1) 确定ISMS范围根据组织业务需要确定ISMS涵盖的范围,包括地理位置、部门或信息系统等。2) 确定信息安全总体方针政策分析ISMS范围内的业务及系统安全需求,确定ISMS的总体方针政策。3) 定义风险评估与管理方法确定风险评估模型,确定风险评估指标,定义风险评估及管理程序。
4)项目准备制定实施计划、成立项目组、整理开发相关工具模板、召开启动会,进行项目背景知识培训等。第二阶段:风险评估分析ISMS范围内的信息安全现状,针对ISMS范围内的所有信息资产,识别并评价其面临的安全风险,提出对应的控制措施。包括三大工作任务,分别为:1) 现状分析通过访谈、检查及测试了解ISMS范围内的信息安全现状,形成现状报告,并将获取的安全现状与ISO27002中的安全控制措施进行差距分析。2) 风险评价按照确定的风险评估模型,评价现状分析阶段识别的资产、威胁及弱点,确定资产风险等级。3) 风险处置确定风险处置方式,选择安全控制措施,制定风险处置计划,进行残余风险分析。第三阶段:安全体系规划与设计根据差距分析和风险评估结果规划安全体系建设任务,落实本期建设规划。包括两大工作任务,分别为:
1)安全体系规划规划信息安全体系建设项目、任务、计划等。2)编写安全体系文档设计信息安全体系管理文档或技术方案。第四阶段:安全体系实施、调整、评审落实信息安全管理措施,部署信息安全技术措施,运行信息安全管理体系,改进信息安全管理体系不足,按照ISO27001要求进行信息安全管理体系内部审核和管理评审。包括三大工作任务,分别为:1) 体系实施落实或部署信息安全管理体系的相关管理及技术措施,运行信息安全管理体系。2) 体系调整针对实施和运行中存在的问题,对信息安全管理体系进行调整改进。3) 体系评审按照ISO27001要求进行信息安全管理体系内部审核和管理评审。2准备
2.1确定ISMS范围根据组织的业务特征、组织结构、地理位置、资产和技术定义ISMS范围和边界。主要工作任务及内容(活动)1) 信息安全与业务战略及规划一致性分析针对组织内部安全状况与组织业务战略及规划一致性的分析,主要从客户、合作方等外部角度考虑ISMS需要涵盖的范围。2) 信息安全与相关法规/制度符合性分析针对组织内部安全状况与法律/法规/制度符合性的分析,主要从合规性方面考虑ISMS范围需要涵盖的范围。3) 信息安全与业务运营影响分析针对组织内部安全状况对业务运营影响的分析,主要从内部风险管理角度考虑ISMS需要涵盖范围4) 确定ISMS范围根据上述分析结果确定ISMS范围(包括涉及的物理位置、业务[流程]、部门、系统等)。主要工作方式/方法(工作方式、职责划分、工作方法)组织要建立信息安全管理体系,首先需要划定其范围。确定ISMS的过程如下:
ISO27001信息安全管理体系实施方案7信息安全管理体系认证咨询项目实施方案目录1项目重点与体系设计(2)1.1评估现状与标准间的差异(2)1.2ISO/IEC27001:2013差距分析(2)1.3基于ISO/IEC27001:2013的管理体系设计(4)2建设与实施(6)2.1管理体系建设方法论(6)2.2实施计划(7)3交付物一览表(9)1项目重点与体系设计1.1评估现状与标准间的差异在正式开展信息安全管理体系建设项目之初,咨询顾问为了
熟悉客户业务流程、组织架构以及信息安全管控现状,通过深入现场、人员访谈、发放问卷、文件审阅等途径,对客户业务状况以及由此引发的问题和需求进行全面了解,发掘潜在问题,并做分类描述和分析。同时,将客户的现状和国际标准进行对比,找到现实差距。差距分析的结果,将成为项目实施的主要依据,以及下阶段风险评估和体系建设的基础。咨询顾问实施差距分析的方法,是借助咨询方开发的专用差距分析工具,在采集包括信息安全管理相关的信息之后,按照标准要求,全方位展示客户的差距,找到突出的问题所在。差距分析的结果,可以让客户对自身现状有个直观判断,便于为将来的工作指出重点,也便于通过项目实施之后的再次评估看到项目的绩效。1.2ISO/IEC27001:2013差距分析此项差距分析是基于ISO27001:2013版正文条款和附录A的内容分别进行差距分析。正文条款:差距分析的实质内容共计7章,主要说明了如何建立、实施、维护和持续改进信息安全管理体系(ISMS),以保证在制度层面对信息安全进行有效管理。附录A:差距分析的内容包括具体的14个控制领域、35个控制目标和114个具体的控制措施,以保证在技术层面对信息安全的有效管理。我们从体系的运行管理和114个控制项2个部分为客户进行差距分析。体系的运行管理部分主要评估客户现有的组织架构、信息安全管理活动的成熟度与标准间的差异,此项评估结果会在项目实施阶段组织架构设计和体系运行管理活动设置过程中提
供关键的信息。体系运行管理差距分析示例附录A部分的差距分析主要通过对114个控制项的逐一比对,分析客户目前信息安全控制措施与标准间的差距,此项评估结果会在项目实施阶段信息安全管理策略及控制措施编写时提供主要依据和方向。114控制项差距分析示例标准要求成熟度得分合规要求4组织环境7.008.005领导8.678.006规划6.008.007支持7.148.008运行6.008.009绩效评价10.008.0010改进10.008.00标准正文部分得分小计:78.30
符合符合差距分析过程工作表为了让差距分析的结果更加
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 灯具厂散水施工合同
- 医疗卫生供货施工合同范本
- 涂料施工保修合同
- 银行采购合同审核指南
- 2025货物进出口合同范文(中英文)
- 赛车场门窗施工合同协议书
- 2025用人企业短期用工合同
- 2025个人抵押的借款合同范本【下载】
- 建筑机械设备租赁合同
- 2025暖通工程安装合同
- SOP作业指导书模板
- 小学科学实验室仪器名称汇总
- 威信旅行社团体报价单
- 企业绩效考核大全设计包装人员绩效考核
- TPRI设计常用模块说明
- 山东昌乐二中“271高效课堂”教学模式
- (完整版)倍长中线法的应用教案
- GB 1886.304-2020 食品安全国家标准 食品添加剂 磷酸(湿法)_(高清-现行)
- VSD负压引流的护理PPT课件
- 物理知识在体育运动中几点应用
- 铁路专用线评价说明
评论
0/150
提交评论