思樂信息安全管理體系咨詢方案

1、思樂信息安全管理體系咨詢方案引言隨著信息技術(shù)的不斷發(fā)展和廣泛應(yīng)用，信息已成為政府機構(gòu)及商業(yè)組織保持競爭力和業(yè)務(wù)持續(xù)運營的重要資產(chǎn)。而信息正面臨著來各方面越來越多的威脅，如何保障信息安全已經(jīng)成為亟待解決的關(guān)鍵問題。目前，在解決信息安全問題的過程中普遍存在一些問題，如信息安全的需求難以確定，信息安全要保護的對象和邊界難以確定；缺乏系統(tǒng)、全面的信息安全風(fēng)險評估和評價體系；普遍存在重產(chǎn)品、輕服務(wù)，重技術(shù)、輕管理的思想；缺乏整體、全面的信息安全保障體系等等。要實現(xiàn)最大限度的信息安全，保障組織的正常運營和業(yè)務(wù)的連續(xù)性，就必須將解決信息安全問題的思路由“產(chǎn)品/技術(shù)導(dǎo)向”轉(zhuǎn)變?yōu)椤靶枨髮?dǎo)向”，全面分析信息資產(chǎn)所

2、面臨的風(fēng)險，從風(fēng)險管理的角度出發(fā)，以管理求安全，并通過技術(shù)手段來保證管理目標的實現(xiàn)。1 信息安全管理體系建設(shè)的參考標準參考國際標準ISO 17799:2000信息安全管理體系國際標準ISO 15408:1999(GB/T 18336:2001)信息技術(shù)安全性評估準則ISO 13335:1996IT安全管理指南ISO7498-2 安全體系結(jié)構(gòu)參考國內(nèi)標準國家標準計算機安全保護條例；國家標準計算站場地技術(shù)要求（GB2887-89）；國家標準計算機機房用活動地板技術(shù)條件（GB6650-86）；國家標準電子設(shè)備雷擊保護導(dǎo)則（GB7450-87）；國家標準信息技術(shù)設(shè)備的無線電干擾極限值和測量方法（GB9

3、254-88）；國家標準計算站場地安全要求（GB9361-88）；相關(guān)法律、法規(guī)中華人民共和國保守國家秘密法中華人民共和國保守國家秘密法實施辦法中華人民共和國計算機信息系統(tǒng)安全保護條例中華人民共和國信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法新聞出版保密規(guī)定2 信息安全管理體系咨詢服務(wù)內(nèi)容思樂提供信息安全管理體系建設(shè)整體咨詢服務(wù)或各模塊的咨詢服務(wù)，包括確定ISMS范圍和制訂信息安全方針風(fēng)險評估和風(fēng)險管理的方案設(shè)計及輔助實施信息安全管理體系設(shè)計體系文件編寫輔導(dǎo)體系試運行輔導(dǎo)3 咨詢方法建立與客戶聯(lián)合工作的咨詢項目組客戶方面將成立信息安全工作領(lǐng)導(dǎo)小組和信息安全管理體系建設(shè)

4、工作組，信息安全領(lǐng)導(dǎo)小組對信息安全管理體系的建設(shè)提供總的指導(dǎo)和支持，信息安全管理體系建設(shè)工作組負責(zé)與思樂顧問組共同實施項目。信息安全管理體系建設(shè)項目的具體工作將由思樂信息安全顧問師組成的信息安全顧問組和客戶方體系建設(shè)工作組來共同執(zhí)行。思樂顧問組負責(zé)提供實施方案建議及實施指導(dǎo)，客戶方體系建設(shè)工作組負責(zé)具體的實施工作。以咨詢項目組方式進行咨詢思樂公司以項目小組的方式進行咨詢，針對特定行業(yè)進行最佳的人員組合。每個項目小組將由一名思樂高級咨詢顧問擔(dān)任項目經(jīng)理，負責(zé)領(lǐng)導(dǎo)項目小組工作、進行項目管理，并對最終項目成果的負責(zé)。4 咨詢服務(wù)流程思樂咨詢服務(wù)流程4.1 預(yù)咨詢階段階段工作目標通過雙方的初步接觸與交

5、流，明確咨詢雙方是否有合作意向協(xié)商并確定咨詢的內(nèi)容和范圍起草咨詢項目建議書簽訂咨詢項目合同工作內(nèi)容初步接洽研究回復(fù)預(yù)備調(diào)研起草項目建議書簽訂合同工作成果項目建議書項目合同4.2 項目培訓(xùn)及計劃階段工作目標培訓(xùn)相關(guān)人員組建項目團隊制定項目計劃工作內(nèi)容項目動員大會信息安全意識與管理體系基礎(chǔ)培訓(xùn)風(fēng)險評估與風(fēng)險管理培訓(xùn)組建項目團隊制訂項目工作計劃工作成果員工安全意識及安全知識提高項目工作計劃項目組織結(jié)構(gòu)及人員崗位、職責(zé)分工4.3 ISMS范圍和方針制定階段工作目標確定信息安全管理體系的范圍確定信息安全方針工作內(nèi)容信息收集調(diào)研信息分析制訂ISMS范圍制定信息安全方針工作成果ISMS范圍文件信息安全方針文

6、件4.4風(fēng)險評估及管理階段工作目標識別組織所面臨的信息安全風(fēng)險確定需處理的風(fēng)險及安全保證程度工作內(nèi)容制定風(fēng)險評估和風(fēng)險管理方案制定風(fēng)險管理流程風(fēng)險評估和風(fēng)險管理的實施編制風(fēng)險評估報告工作成果風(fēng)險評估和風(fēng)險管理方案風(fēng)險評估報告4.5體系設(shè)計及文件編制階段工作目標設(shè)計安全管理體系的框架編制ISMS體系文件工作內(nèi)容安全管理體系的框架設(shè)計編制ISMS體系文件輔導(dǎo)工作成果安全管理體系的文件目錄及內(nèi)容框架ISMS體系文件輔導(dǎo)4.6 體系試運行階段工作目標發(fā)布和試運行ISMS改進ISMS工作內(nèi)容試運行前輔導(dǎo)符合性評審工作成果改進ISMS4.7 咨詢結(jié)束階段階段工作目標結(jié)束咨詢項目合同工作內(nèi)容項目驗收付款及結(jié)束合同結(jié)論越來越多的組織已經(jīng)認識到信息是組織的關(guān)鍵資產(chǎn)，信息資產(chǎn)應(yīng)該得到有效的保護。而僅通過技術(shù)的方法所能達到的安全是非常有限的，如果沒有一個系統(tǒng)的方法對信息資產(chǎn)的風(fēng)險進行管理和控制，就不能實現(xiàn)有效的安全。ISO 17799作為一個被世界范圍廣泛接受的國際標準，集中