ISO27001咨詢認(rèn)證剖析課件_第1頁(yè)
ISO27001咨詢認(rèn)證剖析課件_第2頁(yè)
ISO27001咨詢認(rèn)證剖析課件_第3頁(yè)
ISO27001咨詢認(rèn)證剖析課件_第4頁(yè)
ISO27001咨詢認(rèn)證剖析課件_第5頁(yè)
已閱讀5頁(yè),還剩31頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

ISO27001信息安全管理體系

咨詢服務(wù)及認(rèn)證實(shí)施ISO27001信息安全管理體系

咨詢服務(wù)及認(rèn)證實(shí)施目錄一、ISO27001標(biāo)準(zhǔn)簡(jiǎn)介二、ISO27001信息安全項(xiàng)目實(shí)施流程三、ISO27001認(rèn)證的價(jià)值目錄一、ISO27001標(biāo)準(zhǔn)簡(jiǎn)介一、

ISO27000系列標(biāo)準(zhǔn)簡(jiǎn)介ISO27000標(biāo)準(zhǔn)族介紹27000~27009:ISMS基本標(biāo)準(zhǔn),27010~27019:ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔認(rèn)證機(jī)構(gòu)認(rèn)可要求

一、ISO27000系列標(biāo)準(zhǔn)簡(jiǎn)介ISO27000標(biāo)準(zhǔn)族介紹信息安全基本目標(biāo)信息安全通常強(qiáng)調(diào)所謂CIA三元組的目標(biāo),即保密性、完整性和可用性。CIA概念的闡述源自信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)(InformationTechnologySecurityEvaluationCriteria,ITSEC),它也是信息安全的基本要素和安全建設(shè)所應(yīng)遵循的基本原則。信息安全基本目標(biāo)信息安全通常強(qiáng)調(diào)所謂CIA三元組的目標(biāo),即保2005與2013區(qū)別:正文2005與2013區(qū)別:正文2005與2013區(qū)別:附錄2005與2013區(qū)別:附錄信息安全管理咨詢服務(wù)將根據(jù)組織的不同需求為其量身定做適合自己的信息安全管理體系,幫助企業(yè)更好的加強(qiáng)自身信息安全管理水平,降低企業(yè)業(yè)務(wù)運(yùn)作過(guò)程中的風(fēng)險(xiǎn)。并采用可信任的控制措施,提供行業(yè)解決方案,滿足客戶的不同需求。根據(jù)ISO27001,信息安全管理體系包括:14個(gè)控制域35個(gè)控制目標(biāo)114個(gè)控制措施業(yè)務(wù)連續(xù)性管理訪問(wèn)控制系統(tǒng)獲取開(kāi)發(fā)維護(hù)管理通信安全人力資源安全合規(guī)性資產(chǎn)管理信息安全組織物理環(huán)境安全信息安全事件管理信息客戶記錄個(gè)人記錄法律記錄安全策略策略程序、流程工作指導(dǎo)書、操作說(shuō)明、模板、檢查表等文檔、記錄密碼學(xué)操作安全供應(yīng)商關(guān)系安全管理ISO27001信息安全管理體系信息安全管理咨詢服務(wù)將根據(jù)組織的不同需求為其量身定做適合自己計(jì)劃(PLAN)實(shí)施(DO)檢查(CHECK)改進(jìn)(Act)業(yè)務(wù)現(xiàn)狀了解信息資產(chǎn)識(shí)別威脅脆弱性當(dāng)前控制措施風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)處置制定風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)制定ISMS文檔架構(gòu)策略程序與流程指導(dǎo)書、模板等文檔、記錄等1級(jí)2級(jí)3級(jí)4級(jí)可能性嚴(yán)重性持續(xù)改進(jìn)機(jī)制管理層評(píng)審內(nèi)部ISMS審計(jì)持續(xù)的風(fēng)險(xiǎn)評(píng)估ISMS體系度量與監(jiān)控體系運(yùn)行

符合性指標(biāo)效能指標(biāo)損失性指標(biāo)改進(jìn)需求預(yù)防性措施糾正性措施風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處置計(jì)劃識(shí)別不合格項(xiàng)根源分析

記錄與追蹤識(shí)別潛在不合格項(xiàng)

制定預(yù)防措施

記錄與追蹤體系發(fā)布項(xiàng)目方法將基于貴公司的業(yè)務(wù)現(xiàn)狀、對(duì)信息安全的要求及建立信息安全策略和目標(biāo)。在貴公司的整體業(yè)務(wù)風(fēng)險(xiǎn)框架內(nèi),依據(jù)ISO27001標(biāo)準(zhǔn),以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ),根據(jù)風(fēng)險(xiǎn)處置計(jì)劃建立和實(shí)施信息安全管理體系(ISMS)以管理信息安全風(fēng)險(xiǎn)。并通過(guò)建立相關(guān)監(jiān)控體系評(píng)估ISMS的有效性,最終將針對(duì)監(jiān)測(cè)結(jié)果對(duì)信息安全管理體系進(jìn)行持續(xù)改進(jìn)。ISO27001信息安全管理體系實(shí)施方法計(jì)劃實(shí)施檢查改進(jìn)業(yè)務(wù)現(xiàn)狀了解信息資產(chǎn)識(shí)別威項(xiàng)目實(shí)施采取的程序項(xiàng)目可能用到的工具訪談文檔審閱調(diào)查問(wèn)卷現(xiàn)場(chǎng)檢查系統(tǒng)檢查技術(shù)掃描信息安全風(fēng)險(xiǎn)評(píng)估工具網(wǎng)絡(luò)脆弱性評(píng)估服務(wù)器端口掃描資產(chǎn)識(shí)別工具滲透測(cè)試信息安全控制審計(jì)序號(hào)標(biāo)準(zhǔn)名稱1ISO27001:2005信息安全管理體系要求3ISO27002-27005信息安全管理使用規(guī)則實(shí)施指南風(fēng)險(xiǎn)評(píng)估4煙草行業(yè)信息安全等級(jí)保護(hù)規(guī)范5《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》6《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》7GB22080-2008-T信息技術(shù)安全技術(shù)信息安全管理體系要求8GB22081-2008-T信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則9GB50174-2008電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范10GBT20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求11GBT21028-2007信息安全技術(shù)服務(wù)器安全技術(shù)要求12GBT21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求參考的相關(guān)標(biāo)準(zhǔn)項(xiàng)目實(shí)施采取的程序和可能用到的工具ISO27001信息安全管理體系實(shí)施方法(2)項(xiàng)目實(shí)施采取的程序項(xiàng)目可能用到的工具訪談現(xiàn)場(chǎng)檢查信息安全風(fēng)險(xiǎn)項(xiàng)目啟動(dòng)和差異分析項(xiàng)目啟動(dòng)會(huì)議,確定項(xiàng)目團(tuán)隊(duì)、建立項(xiàng)目組管理架構(gòu)信息安全管理現(xiàn)狀的快速評(píng)估信息安全管理體系差異分析設(shè)計(jì)信息安全方針設(shè)計(jì)信息安全管理組織架構(gòu)信息安全管理培訓(xùn)階段項(xiàng)目總結(jié)會(huì)議項(xiàng)目計(jì)劃差異分析報(bào)告信息安全管理組織架構(gòu)信息安全方針階段主要任務(wù)主要交付品風(fēng)險(xiǎn)評(píng)估資產(chǎn)收集及風(fēng)險(xiǎn)評(píng)估方法與標(biāo)準(zhǔn)資產(chǎn)級(jí)別劃分標(biāo)準(zhǔn)技術(shù)弱點(diǎn)掃描報(bào)告資產(chǎn)清單、威脅列表、脆弱性列表、風(fēng)險(xiǎn)列表風(fēng)險(xiǎn)評(píng)估報(bào)告制定資產(chǎn)識(shí)別標(biāo)準(zhǔn)

(包含保密級(jí)別劃分)資產(chǎn)收集及風(fēng)險(xiǎn)評(píng)估方法培訓(xùn)信息資產(chǎn)收集識(shí)別威脅、脆弱性、并安全漏洞掃描評(píng)估風(fēng)險(xiǎn),劃分風(fēng)險(xiǎn)等級(jí)階段項(xiàng)目總結(jié)會(huì)議體系設(shè)計(jì)與發(fā)布風(fēng)險(xiǎn)容忍標(biāo)準(zhǔn)及風(fēng)險(xiǎn)處置計(jì)劃適用性聲明ISMS制度和流程ISMS體系、事故響應(yīng)培訓(xùn)信息安全體系技術(shù)落地建議書體系運(yùn)行與監(jiān)控ISMS績(jī)效監(jiān)控流程信息安全推廣培訓(xùn)認(rèn)證及持續(xù)改進(jìn)ISMS內(nèi)審報(bào)告ISMS外審報(bào)告及改進(jìn)ISMS管理評(píng)審報(bào)告項(xiàng)目總結(jié)報(bào)告12345確定風(fēng)險(xiǎn)容忍度和風(fēng)險(xiǎn)偏好確定風(fēng)險(xiǎn)處置措施并實(shí)施整改計(jì)劃制度整合及信息安全管理體系文檔編寫信息安全體系技術(shù)控制及管理落地建議信息安全管理體系發(fā)布及培訓(xùn)階段項(xiàng)目總結(jié)會(huì)議制定信息安全管理績(jī)效監(jiān)控流程信息安全管理體系試運(yùn)行體系運(yùn)行監(jiān)控業(yè)務(wù)連續(xù)性管理培訓(xùn)階段項(xiàng)目總結(jié)會(huì)議ISMS內(nèi)審培訓(xùn)ISMS內(nèi)審ISMS外審ISMS管理評(píng)審糾正、預(yù)防措施持續(xù)改進(jìn)建議項(xiàng)目總結(jié)會(huì)議協(xié)助后續(xù)的內(nèi)審和臨審PlanDoCheckAct項(xiàng)目實(shí)施步驟項(xiàng)目啟動(dòng)和差異分析項(xiàng)目啟動(dòng)會(huì)議,確定項(xiàng)目團(tuán)隊(duì)、建立項(xiàng)目組管理項(xiàng)目啟動(dòng)和差距分析風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)項(xiàng)目啟動(dòng)和差距分析確定項(xiàng)目范圍、建立項(xiàng)目組管理架構(gòu),并完成現(xiàn)狀分析對(duì)項(xiàng)目范圍內(nèi)現(xiàn)有管理體系、流程,包含內(nèi)部控制制度等進(jìn)行分析業(yè)務(wù)與信息管理架構(gòu)分析與設(shè)計(jì)項(xiàng)目范圍內(nèi)信息平臺(tái)、應(yīng)用系統(tǒng)分析項(xiàng)目范圍內(nèi)相關(guān)部門與重要信息資產(chǎn)的互動(dòng)與權(quán)限分析信息安全管理體系與國(guó)際標(biāo)準(zhǔn)ISO27001對(duì)標(biāo)信息安全方針設(shè)計(jì)階段一主要任務(wù)現(xiàn)有制度與流程組織架構(gòu)與職責(zé)信息技術(shù)與平臺(tái)各職能部門信息安全現(xiàn)狀診斷主要范圍1.項(xiàng)目啟動(dòng)及差距分析項(xiàng)目啟動(dòng)和差距分析風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及項(xiàng)目啟動(dòng)和差異分析風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)階段二主要任務(wù)信息安全風(fēng)險(xiǎn)評(píng)估制定信息資產(chǎn)識(shí)別標(biāo)準(zhǔn)(包含保密級(jí)別劃分)資產(chǎn)識(shí)別及風(fēng)險(xiǎn)評(píng)估方法培訓(xùn)信息資產(chǎn)收集識(shí)別關(guān)鍵信息資產(chǎn),并評(píng)估價(jià)值評(píng)估公司層面信息安全控制措施安全漏洞掃描針對(duì)關(guān)鍵信息資產(chǎn)進(jìn)行威脅、弱點(diǎn)及影響程度評(píng)估,計(jì)算出風(fēng)險(xiǎn)值風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估成果示例識(shí)別關(guān)鍵信息資產(chǎn)公司層面控制信息安全管理成熟度風(fēng)險(xiǎn)評(píng)估2.風(fēng)險(xiǎn)評(píng)估項(xiàng)目啟動(dòng)和差異分析風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及建立適合貴公司的信息安全管理體系階段三主要任務(wù)體系設(shè)計(jì)與發(fā)布確定風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)制定風(fēng)險(xiǎn)處置計(jì)劃管理層匯報(bào)定制風(fēng)險(xiǎn)處置實(shí)施整改計(jì)劃依據(jù)信息與業(yè)務(wù)重要性,制定各級(jí)信息安全管理制度和流程信息安全體系技術(shù)控制落地及管理落地建議依據(jù)不同對(duì)象與時(shí)機(jī),按需制定支持上述流程的工作指導(dǎo)書信息安全管理體系發(fā)布及培訓(xùn)ISMS策略ISMS制度和流程工作指導(dǎo)書、操作手冊(cè)、模板、檢查表等表單、記錄1級(jí)2級(jí)3級(jí)4級(jí)信息安全管理體系文件第一級(jí)信息安全方針信息安全管理評(píng)審程序信息安全內(nèi)審管理程序糾正和預(yù)防措施管理程序文檔記錄管控程序有效性測(cè)量程序信息資產(chǎn)分類標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估實(shí)施指南信息保密管理辦法人員安全管理程序培訓(xùn)管理規(guī)定第三方安全管理規(guī)定機(jī)房安全管理規(guī)定辦公區(qū)域安全管理規(guī)定系統(tǒng)試運(yùn)行審查規(guī)定系統(tǒng)安全管理規(guī)范網(wǎng)絡(luò)運(yùn)維管理規(guī)范IT終端設(shè)備使用管理規(guī)范變更管理規(guī)定帳戶安全管理規(guī)范防病毒管理策略第二級(jí)第三級(jí)脆弱性檢查列表威脅檢查表內(nèi)部審計(jì)檢查項(xiàng)第四級(jí)審計(jì)報(bào)告日志檢查表文件加密指南移動(dòng)辦公守則信息安全管理手冊(cè)其它表單風(fēng)險(xiǎn)處置方法風(fēng)險(xiǎn)處置計(jì)劃序號(hào)整改類型負(fù)責(zé)部門風(fēng)險(xiǎn)描述優(yōu)先等級(jí)整改措施完成時(shí)間責(zé)任人管理是否已確定1物理安全運(yùn)維部機(jī)房濕度過(guò)低,容易造成電火花以及靜電,給IDC業(yè)務(wù)帶來(lái)風(fēng)險(xiǎn)高調(diào)整機(jī)房濕度至合適范圍,并設(shè)置遠(yuǎn)程監(jiān)控與報(bào)警機(jī)制。2009年9月7日張三是2法律法規(guī)合規(guī)運(yùn)維部單位或個(gè)人通過(guò)托管的服務(wù)器,利用IDC中心從事危害國(guó)家安全、泄露國(guó)家機(jī)密等違法犯罪活動(dòng)高1.與責(zé)任單位簽訂信息安全責(zé)任保障書,明確責(zé)任與義務(wù)2.IDC建立相應(yīng)的管理、監(jiān)督和檢查機(jī)制,實(shí)現(xiàn)實(shí)時(shí)的監(jiān)控2009年10月17日張三審批中項(xiàng)目啟動(dòng)和差異分析風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)3.體系設(shè)計(jì)及發(fā)布建立適合貴公司的信息安全管理體系階段三主要任務(wù)體系確定風(fēng)險(xiǎn)接項(xiàng)目啟動(dòng)和差異分析風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)階段四主要任務(wù)體系運(yùn)行與監(jiān)控制定績(jī)效監(jiān)控流程體系運(yùn)行監(jiān)控信息安全推廣培訓(xùn)信息安全宣傳內(nèi)部審計(jì)培訓(xùn)信息安全管理體系內(nèi)部審計(jì)信息安全管理體系管理評(píng)審會(huì)議糾正措施、預(yù)防措施、持續(xù)改進(jìn)建議項(xiàng)目總結(jié)會(huì)體系運(yùn)行與監(jiān)控審計(jì)報(bào)告內(nèi)部審計(jì)文件適用性按規(guī)范執(zhí)行內(nèi)審計(jì)劃信息安全體系改進(jìn)方案實(shí)施成果審計(jì)執(zhí)行記錄信息安全管理體系信息安全管理體系內(nèi)部審計(jì)報(bào)告4.體系運(yùn)行及監(jiān)控項(xiàng)目啟動(dòng)和差異分析風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及目標(biāo)推動(dòng)ISMS體系在貴公司運(yùn)行,并獲得審核機(jī)構(gòu)頒發(fā)的27001認(rèn)證。實(shí)現(xiàn)方法ISMS體系文件編制完成后,應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施,體系運(yùn)行初期處于體系的磨合期,一般稱為試運(yùn)行期,在此期間運(yùn)行的目的是要在實(shí)踐中檢驗(yàn)體系的充分性、適用性和有效性。試運(yùn)行3個(gè)月后,并完成內(nèi)審和管理評(píng)審后,在收集到一些ISMS運(yùn)行記錄后,可以根據(jù)貴公司需求選擇認(rèn)證機(jī)構(gòu)并協(xié)助貴公司通過(guò)認(rèn)證。信息安全管理體系認(rèn)證ISMS體系試運(yùn)行ISMS內(nèi)審ISMS管理評(píng)審認(rèn)證前培訓(xùn)外審初審支持外審終審支持項(xiàng)目啟動(dòng)和差異分析風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)5.認(rèn)證及持續(xù)改進(jìn)目標(biāo)信息安全管理體系認(rèn)證ISMS體系試運(yùn)行ISMS內(nèi)審ISM項(xiàng)目實(shí)施流程計(jì)劃項(xiàng)目實(shí)施流程計(jì)劃形成企業(yè)信息安全等級(jí)保護(hù)長(zhǎng)效機(jī)制信息安全等級(jí)保護(hù)規(guī)范制度(1)資產(chǎn)信息及安全評(píng)估批量錄入資產(chǎn)配置,自動(dòng)獲取詳細(xì)資產(chǎn)IT屬性,資產(chǎn)安全等級(jí)評(píng)估,資產(chǎn)關(guān)聯(lián)連接信息。確保資產(chǎn)信息及安全風(fēng)險(xiǎn)評(píng)估高度可見(jiàn)(2)閉環(huán)控制密碼管理和訪問(wèn)審計(jì),告警和信息推送,監(jiān)督流程,KPI通告等手段確保運(yùn)維安全風(fēng)險(xiǎn)管控(4)保持高可用性主動(dòng)預(yù)警、主動(dòng)運(yùn)維,過(guò)程監(jiān)督,高效協(xié)同,SLA管控等手段,大幅度提高可用性(5)重大事故應(yīng)急機(jī)制重大事故應(yīng)急流程,事故處置關(guān)注信息推送,監(jiān)督監(jiān)聽(tīng),多層次協(xié)調(diào)機(jī)制確保重大事故發(fā)生時(shí)能得到及時(shí)處置(3)信息安全事件管理流程權(quán)責(zé)管控,任務(wù)計(jì)劃,監(jiān)督流程,過(guò)程控制,痕跡化,將信息安全規(guī)范制度的執(zhí)行融入日常運(yùn)維工作持續(xù)進(jìn)行融合到業(yè)務(wù)員過(guò)程節(jié)點(diǎn)的信息安全保護(hù)規(guī)范制度,持續(xù)執(zhí)行管控,形成長(zhǎng)效機(jī)制形成企業(yè)信息安全等級(jí)保護(hù)長(zhǎng)效機(jī)制信息安全等級(jí)保護(hù)(1)資產(chǎn)信維護(hù)單位品牌信譽(yù)履行好信息安全管理職責(zé)的證明保持業(yè)務(wù)持續(xù)發(fā)展和競(jìng)爭(zhēng)優(yōu)勢(shì)增強(qiáng)員工安全意識(shí)、責(zé)任感和安全技能保持業(yè)務(wù)持續(xù)發(fā)展和競(jìng)爭(zhēng)優(yōu)勢(shì)更好的實(shí)現(xiàn)風(fēng)險(xiǎn)管控減少損失、降低成本

認(rèn)證的價(jià)值維護(hù)單位品牌信譽(yù)認(rèn)證的價(jià)值ISO27001信息安全管理體系

咨詢服務(wù)及認(rèn)證實(shí)施ISO27001信息安全管理體系

咨詢服務(wù)及認(rèn)證實(shí)施目錄一、ISO27001標(biāo)準(zhǔn)簡(jiǎn)介二、ISO27001信息安全項(xiàng)目實(shí)施流程三、ISO27001認(rèn)證的價(jià)值目錄一、ISO27001標(biāo)準(zhǔn)簡(jiǎn)介一、

ISO27000系列標(biāo)準(zhǔn)簡(jiǎn)介ISO27000標(biāo)準(zhǔn)族介紹27000~27009:ISMS基本標(biāo)準(zhǔn),27010~27019:ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔認(rèn)證機(jī)構(gòu)認(rèn)可要求

一、ISO27000系列標(biāo)準(zhǔn)簡(jiǎn)介ISO27000標(biāo)準(zhǔn)族介紹信息安全基本目標(biāo)信息安全通常強(qiáng)調(diào)所謂CIA三元組的目標(biāo),即保密性、完整性和可用性。CIA概念的闡述源自信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)(InformationTechnologySecurityEvaluationCriteria,ITSEC),它也是信息安全的基本要素和安全建設(shè)所應(yīng)遵循的基本原則。信息安全基本目標(biāo)信息安全通常強(qiáng)調(diào)所謂CIA三元組的目標(biāo),即保2005與2013區(qū)別:正文2005與2013區(qū)別:正文2005與2013區(qū)別:附錄2005與2013區(qū)別:附錄信息安全管理咨詢服務(wù)將根據(jù)組織的不同需求為其量身定做適合自己的信息安全管理體系,幫助企業(yè)更好的加強(qiáng)自身信息安全管理水平,降低企業(yè)業(yè)務(wù)運(yùn)作過(guò)程中的風(fēng)險(xiǎn)。并采用可信任的控制措施,提供行業(yè)解決方案,滿足客戶的不同需求。根據(jù)ISO27001,信息安全管理體系包括:14個(gè)控制域35個(gè)控制目標(biāo)114個(gè)控制措施業(yè)務(wù)連續(xù)性管理訪問(wèn)控制系統(tǒng)獲取開(kāi)發(fā)維護(hù)管理通信安全人力資源安全合規(guī)性資產(chǎn)管理信息安全組織物理環(huán)境安全信息安全事件管理信息客戶記錄個(gè)人記錄法律記錄安全策略策略程序、流程工作指導(dǎo)書、操作說(shuō)明、模板、檢查表等文檔、記錄密碼學(xué)操作安全供應(yīng)商關(guān)系安全管理ISO27001信息安全管理體系信息安全管理咨詢服務(wù)將根據(jù)組織的不同需求為其量身定做適合自己計(jì)劃(PLAN)實(shí)施(DO)檢查(CHECK)改進(jìn)(Act)業(yè)務(wù)現(xiàn)狀了解信息資產(chǎn)識(shí)別威脅脆弱性當(dāng)前控制措施風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)處置制定風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)制定ISMS文檔架構(gòu)策略程序與流程指導(dǎo)書、模板等文檔、記錄等1級(jí)2級(jí)3級(jí)4級(jí)可能性嚴(yán)重性持續(xù)改進(jìn)機(jī)制管理層評(píng)審內(nèi)部ISMS審計(jì)持續(xù)的風(fēng)險(xiǎn)評(píng)估ISMS體系度量與監(jiān)控體系運(yùn)行

符合性指標(biāo)效能指標(biāo)損失性指標(biāo)改進(jìn)需求預(yù)防性措施糾正性措施風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處置計(jì)劃識(shí)別不合格項(xiàng)根源分析

記錄與追蹤識(shí)別潛在不合格項(xiàng)

制定預(yù)防措施

記錄與追蹤體系發(fā)布項(xiàng)目方法將基于貴公司的業(yè)務(wù)現(xiàn)狀、對(duì)信息安全的要求及建立信息安全策略和目標(biāo)。在貴公司的整體業(yè)務(wù)風(fēng)險(xiǎn)框架內(nèi),依據(jù)ISO27001標(biāo)準(zhǔn),以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ),根據(jù)風(fēng)險(xiǎn)處置計(jì)劃建立和實(shí)施信息安全管理體系(ISMS)以管理信息安全風(fēng)險(xiǎn)。并通過(guò)建立相關(guān)監(jiān)控體系評(píng)估ISMS的有效性,最終將針對(duì)監(jiān)測(cè)結(jié)果對(duì)信息安全管理體系進(jìn)行持續(xù)改進(jìn)。ISO27001信息安全管理體系實(shí)施方法計(jì)劃實(shí)施檢查改進(jìn)業(yè)務(wù)現(xiàn)狀了解信息資產(chǎn)識(shí)別威項(xiàng)目實(shí)施采取的程序項(xiàng)目可能用到的工具訪談文檔審閱調(diào)查問(wèn)卷現(xiàn)場(chǎng)檢查系統(tǒng)檢查技術(shù)掃描信息安全風(fēng)險(xiǎn)評(píng)估工具網(wǎng)絡(luò)脆弱性評(píng)估服務(wù)器端口掃描資產(chǎn)識(shí)別工具滲透測(cè)試信息安全控制審計(jì)序號(hào)標(biāo)準(zhǔn)名稱1ISO27001:2005信息安全管理體系要求3ISO27002-27005信息安全管理使用規(guī)則實(shí)施指南風(fēng)險(xiǎn)評(píng)估4煙草行業(yè)信息安全等級(jí)保護(hù)規(guī)范5《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》6《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》7GB22080-2008-T信息技術(shù)安全技術(shù)信息安全管理體系要求8GB22081-2008-T信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則9GB50174-2008電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范10GBT20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求11GBT21028-2007信息安全技術(shù)服務(wù)器安全技術(shù)要求12GBT21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求參考的相關(guān)標(biāo)準(zhǔn)項(xiàng)目實(shí)施采取的程序和可能用到的工具ISO27001信息安全管理體系實(shí)施方法(2)項(xiàng)目實(shí)施采取的程序項(xiàng)目可能用到的工具訪談現(xiàn)場(chǎng)檢查信息安全風(fēng)險(xiǎn)項(xiàng)目啟動(dòng)和差異分析項(xiàng)目啟動(dòng)會(huì)議,確定項(xiàng)目團(tuán)隊(duì)、建立項(xiàng)目組管理架構(gòu)信息安全管理現(xiàn)狀的快速評(píng)估信息安全管理體系差異分析設(shè)計(jì)信息安全方針設(shè)計(jì)信息安全管理組織架構(gòu)信息安全管理培訓(xùn)階段項(xiàng)目總結(jié)會(huì)議項(xiàng)目計(jì)劃差異分析報(bào)告信息安全管理組織架構(gòu)信息安全方針階段主要任務(wù)主要交付品風(fēng)險(xiǎn)評(píng)估資產(chǎn)收集及風(fēng)險(xiǎn)評(píng)估方法與標(biāo)準(zhǔn)資產(chǎn)級(jí)別劃分標(biāo)準(zhǔn)技術(shù)弱點(diǎn)掃描報(bào)告資產(chǎn)清單、威脅列表、脆弱性列表、風(fēng)險(xiǎn)列表風(fēng)險(xiǎn)評(píng)估報(bào)告制定資產(chǎn)識(shí)別標(biāo)準(zhǔn)

(包含保密級(jí)別劃分)資產(chǎn)收集及風(fēng)險(xiǎn)評(píng)估方法培訓(xùn)信息資產(chǎn)收集識(shí)別威脅、脆弱性、并安全漏洞掃描評(píng)估風(fēng)險(xiǎn),劃分風(fēng)險(xiǎn)等級(jí)階段項(xiàng)目總結(jié)會(huì)議體系設(shè)計(jì)與發(fā)布風(fēng)險(xiǎn)容忍標(biāo)準(zhǔn)及風(fēng)險(xiǎn)處置計(jì)劃適用性聲明ISMS制度和流程ISMS體系、事故響應(yīng)培訓(xùn)信息安全體系技術(shù)落地建議書體系運(yùn)行與監(jiān)控ISMS績(jī)效監(jiān)控流程信息安全推廣培訓(xùn)認(rèn)證及持續(xù)改進(jìn)ISMS內(nèi)審報(bào)告ISMS外審報(bào)告及改進(jìn)ISMS管理評(píng)審報(bào)告項(xiàng)目總結(jié)報(bào)告12345確定風(fēng)險(xiǎn)容忍度和風(fēng)險(xiǎn)偏好確定風(fēng)險(xiǎn)處置措施并實(shí)施整改計(jì)劃制度整合及信息安全管理體系文檔編寫信息安全體系技術(shù)控制及管理落地建議信息安全管理體系發(fā)布及培訓(xùn)階段項(xiàng)目總結(jié)會(huì)議制定信息安全管理績(jī)效監(jiān)控流程信息安全管理體系試運(yùn)行體系運(yùn)行監(jiān)控業(yè)務(wù)連續(xù)性管理培訓(xùn)階段項(xiàng)目總結(jié)會(huì)議ISMS內(nèi)審培訓(xùn)ISMS內(nèi)審ISMS外審ISMS管理評(píng)審糾正、預(yù)防措施持續(xù)改進(jìn)建議項(xiàng)目總結(jié)會(huì)議協(xié)助后續(xù)的內(nèi)審和臨審PlanDoCheckAct項(xiàng)目實(shí)施步驟項(xiàng)目啟動(dòng)和差異分析項(xiàng)目啟動(dòng)會(huì)議,確定項(xiàng)目團(tuán)隊(duì)、建立項(xiàng)目組管理項(xiàng)目啟動(dòng)和差距分析風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)項(xiàng)目啟動(dòng)和差距分析確定項(xiàng)目范圍、建立項(xiàng)目組管理架構(gòu),并完成現(xiàn)狀分析對(duì)項(xiàng)目范圍內(nèi)現(xiàn)有管理體系、流程,包含內(nèi)部控制制度等進(jìn)行分析業(yè)務(wù)與信息管理架構(gòu)分析與設(shè)計(jì)項(xiàng)目范圍內(nèi)信息平臺(tái)、應(yīng)用系統(tǒng)分析項(xiàng)目范圍內(nèi)相關(guān)部門與重要信息資產(chǎn)的互動(dòng)與權(quán)限分析信息安全管理體系與國(guó)際標(biāo)準(zhǔn)ISO27001對(duì)標(biāo)信息安全方針設(shè)計(jì)階段一主要任務(wù)現(xiàn)有制度與流程組織架構(gòu)與職責(zé)信息技術(shù)與平臺(tái)各職能部門信息安全現(xiàn)狀診斷主要范圍1.項(xiàng)目啟動(dòng)及差距分析項(xiàng)目啟動(dòng)和差距分析風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及項(xiàng)目啟動(dòng)和差異分析風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)階段二主要任務(wù)信息安全風(fēng)險(xiǎn)評(píng)估制定信息資產(chǎn)識(shí)別標(biāo)準(zhǔn)(包含保密級(jí)別劃分)資產(chǎn)識(shí)別及風(fēng)險(xiǎn)評(píng)估方法培訓(xùn)信息資產(chǎn)收集識(shí)別關(guān)鍵信息資產(chǎn),并評(píng)估價(jià)值評(píng)估公司層面信息安全控制措施安全漏洞掃描針對(duì)關(guān)鍵信息資產(chǎn)進(jìn)行威脅、弱點(diǎn)及影響程度評(píng)估,計(jì)算出風(fēng)險(xiǎn)值風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估成果示例識(shí)別關(guān)鍵信息資產(chǎn)公司層面控制信息安全管理成熟度風(fēng)險(xiǎn)評(píng)估2.風(fēng)險(xiǎn)評(píng)估項(xiàng)目啟動(dòng)和差異分析風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及建立適合貴公司的信息安全管理體系階段三主要任務(wù)體系設(shè)計(jì)與發(fā)布確定風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)制定風(fēng)險(xiǎn)處置計(jì)劃管理層匯報(bào)定制風(fēng)險(xiǎn)處置實(shí)施整改計(jì)劃依據(jù)信息與業(yè)務(wù)重要性,制定各級(jí)信息安全管理制度和流程信息安全體系技術(shù)控制落地及管理落地建議依據(jù)不同對(duì)象與時(shí)機(jī),按需制定支持上述流程的工作指導(dǎo)書信息安全管理體系發(fā)布及培訓(xùn)ISMS策略ISMS制度和流程工作指導(dǎo)書、操作手冊(cè)、模板、檢查表等表單、記錄1級(jí)2級(jí)3級(jí)4級(jí)信息安全管理體系文件第一級(jí)信息安全方針信息安全管理評(píng)審程序信息安全內(nèi)審管理程序糾正和預(yù)防措施管理程序文檔記錄管控程序有效性測(cè)量程序信息資產(chǎn)分類標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估實(shí)施指南信息保密管理辦法人員安全管理程序培訓(xùn)管理規(guī)定第三方安全管理規(guī)定機(jī)房安全管理規(guī)定辦公區(qū)域安全管理規(guī)定系統(tǒng)試運(yùn)行審查規(guī)定系統(tǒng)安全管理規(guī)范網(wǎng)絡(luò)運(yùn)維管理規(guī)范IT終端設(shè)備使用管理規(guī)范變更管理規(guī)定帳戶安全管理規(guī)范防病毒管理策略第二級(jí)第三級(jí)脆弱性檢查列表威脅檢查表內(nèi)部審計(jì)檢查項(xiàng)第四級(jí)審計(jì)報(bào)告日志檢查表文件加密指南移動(dòng)辦公守則信息安全管理手冊(cè)其它表單風(fēng)險(xiǎn)處置方法風(fēng)險(xiǎn)處置計(jì)劃序號(hào)整改類型負(fù)責(zé)部門風(fēng)險(xiǎn)描述優(yōu)先等級(jí)整改措施完成時(shí)間責(zé)任人管理是否已確定1物理安全運(yùn)維部機(jī)房濕度過(guò)低,容易造成電火花以及靜電,給IDC業(yè)務(wù)帶來(lái)風(fēng)險(xiǎn)高調(diào)整機(jī)房濕度至合適范圍,并設(shè)置遠(yuǎn)程監(jiān)控與報(bào)警機(jī)制。2009年9月7日張三是2法律法規(guī)合規(guī)運(yùn)維部單位或個(gè)人通過(guò)托管的服務(wù)器,利用IDC中心從事危害國(guó)家安全、泄露國(guó)家機(jī)密等違法犯罪活動(dòng)高1.與責(zé)任單位簽訂信息安全責(zé)任保障書,明確責(zé)任與義務(wù)2.IDC建立相應(yīng)的管理、監(jiān)督和檢查機(jī)制,實(shí)現(xiàn)實(shí)時(shí)的監(jiān)控2009年10月17日張三審批中項(xiàng)目啟動(dòng)和差異分析風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)3.體系設(shè)計(jì)及發(fā)布建立適合貴公司的信息安全管理體系階段三主要任務(wù)體系確定風(fēng)險(xiǎn)接項(xiàng)目啟動(dòng)和差異分析風(fēng)險(xiǎn)評(píng)估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)階段四主要任務(wù)體系運(yùn)行與監(jiān)控制定績(jī)效監(jiān)控流程體系運(yùn)行監(jiān)控信息安全推廣培訓(xùn)信息安全宣傳內(nèi)部審計(jì)培訓(xùn)信息安全管理體系內(nèi)部審計(jì)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論