某咨詢安全管理體系ISO認證咨詢服務介紹

安永安全管理體系ISO27001

認證咨詢服務介紹第一部分：安永介紹關(guān)于安永—安永的全球規(guī)模安永是全球領(lǐng)先的專業(yè)服務公司，在140多個國家及地區(qū)設(shè)有約700多個辦事處，擁有超過152,000名專業(yè)人才，2011年度全球總收入約230億美元。除了提供審計服務外，安永提供的咨詢服務包括稅務、收購合并、改善內(nèi)控制度、風險管理、信息安全以及公司治理方案等。我們?yōu)椤敦敻弧?00強中超過75%、標準普爾指數(shù)成份股中65%的企業(yè)，提供審計、稅務、風險管理和其他咨詢服務?！敦敻弧啡?00強企業(yè)—安永服務的企業(yè)所占百分比審計客戶稅務、風險管理等非審計咨詢服務客戶指數(shù)中所有其他客戶標準普爾1200指數(shù)成份股企業(yè)—安永服務的企業(yè)所占百分比審計客戶稅務、風險管理等非審計咨詢服務客戶指數(shù)中所有其他客戶全球前十大風險管理咨詢企業(yè)為財富500強中75%的企業(yè)、國內(nèi)60%的上市公司提供專業(yè)服務與國資委、財政部、發(fā)改委、保監(jiān)會、銀監(jiān)會、證監(jiān)會等管理部門建立了良好的關(guān)系,由于安永的良好聲譽，安永得以入選國資委09年度央企審計項目入圍會計師事務所

北美洲：38,000

人分布于119個城市中南美洲：10,000人分布于30個城市中東及非洲：9,000人分布于77個城市澳大利亞/新西蘭：9,000人分布于16個城市歐洲：41,000人分布于362個城市日本：3,000人分布于30個城市亞洲：20,000人

分布于75個城市信息安全管理咨詢服務IT服務管理咨詢服務IT風險評估服務IT內(nèi)部審計服務IT內(nèi)控合規(guī)及優(yōu)化服務IT績效評估服務安永信息科技專業(yè)服務Ernst&YoungisaleaderinInformationSecurityandRiskConsultingServices.

Source:TheForresterWave?:InformationSecurityandRiskConsultingServices,Q32010,ForresterResearch,Inc.,August2nd,2010國際著名IT咨詢機構(gòu)Forrester發(fā)布的全球信息科技安全與風險咨詢報告關(guān)于安永—信息科技風險咨詢服務安永及其信息科技風險咨詢服務一直被視為信息系統(tǒng)審計與信息安全咨詢行業(yè)的領(lǐng)導者，在國際著名IT咨詢機構(gòu)Forrester發(fā)布的全球信息科技安全與風險咨詢報告中，安永連續(xù)被評為信息安全與信息風險服務行業(yè)的最佳咨詢公司之一。我們已經(jīng)連續(xù)十四年在全球范圍內(nèi)進行信息安全調(diào)查(GISS)，調(diào)查的參與者包括了52個國家中的1700個不同行業(yè)的企業(yè)，調(diào)查問卷參考了ISO27001信息安全管理體系框架，為各企業(yè)管理層做出信息安全方面的重要決策提供深入的參考信息。安永在中國大陸和香港地區(qū)的信息科技風險咨詢服務部門目前正為中國大陸和香港地區(qū)的200多家企業(yè)提供科技與信息安全方面的服務，這些公司中包括了上市公司、國有企業(yè)、金融機構(gòu)、政府部門、以及跨國企業(yè)等。關(guān)于安永—信息科技風險咨詢服務在中國的專業(yè)IT咨詢服務團隊安永在大中華區(qū)有超過300人的IT風險咨詢顧問，其中在北京,上海,廣州,深圳,香港,臺灣等地更是具有專注在IT咨詢服務的團隊。安永IT咨詢服務團隊上海香港

廣州深圳北京臺北武漢我們在中國地區(qū)的IT咨詢服務團隊介紹：在中國有超過300位專注于IT咨詢領(lǐng)域的顧問專家。安全顧問有不同的背景專長，技能覆蓋信息安全的各個方面。擁有下面專業(yè)證書資質(zhì):CISSPCISMCISABS25999LAISO27001LAISO20000LAPMPITIL安永信息科技管理咨詢服務科技與信息安全咨詢服務（ITRA）在中國有超過300人的專業(yè)服務團隊，在華北、華中與華南三大區(qū)域為客戶提供信息系統(tǒng)審計、信息安全、及信息技術(shù)相關(guān)咨詢等方面的專業(yè)服務，主要服務類型如下：IT戰(zhàn)略規(guī)劃IT治理數(shù)據(jù)管理IT服務管理咨詢服務第三方報告信息安全咨詢服務IT鑒證審計ERP系統(tǒng)咨詢IT內(nèi)部控制評估IT內(nèi)部審計全面的信息科技管理咨詢業(yè)務(續(xù))全生命周期的管理咨詢服務ISO20000咨詢服務ISO27001咨詢服務安全策略標準規(guī)劃等級化安全體系規(guī)劃信息科技績效考核安永的行業(yè)經(jīng)驗—信息科技風險咨詢服務及優(yōu)勢安永近期安全項目：信息系統(tǒng)風險評估服務幫助企業(yè)發(fā)現(xiàn)存在的安全漏洞和威脅，并提供技術(shù)、流程層面的建議信息安全管理咨詢服務信息安全管理體系實施及信息安全路線圖規(guī)劃業(yè)務連續(xù)性管理服務防患未然,提升企業(yè)應對災難保持業(yè)務連續(xù)性的能力隱私和數(shù)據(jù)保護服務數(shù)據(jù)分級保護,使用DLP技術(shù)來保護敏感數(shù)據(jù)身份認證與訪問管理服務幫助客戶定義與統(tǒng)一管理授權(quán)流程與角色職能，提升防范惡意訪問的能力云安全服務立足于云服務生命周期的安全需求，提供相應的安全服務信息安全快速評估服務用最短的周期和成本，為客戶快速診斷信息安全癥結(jié)所在熱門話題客戶數(shù)據(jù)與機密數(shù)據(jù)保護業(yè)務連續(xù)性管理信息安全治理身份認證與訪問控制管理虛擬化技術(shù)與云計算安永提供的熱門服務:世界最大電力企業(yè)之一信息安全體系和數(shù)據(jù)保護咨詢國內(nèi)最大的新能源企業(yè)ISO27001服務管理體系實施國內(nèi)最大的保險公司信息安全ISO27001管理體系實施全球最大的白色家電制造商信息安全ISO27001管理體系與數(shù)據(jù)泄漏保護實施全球某大芯片制造商數(shù)據(jù)泄漏保護實施(R&D)國內(nèi)第二大銀行信息科技等級保護體系建設(shè)第二部分：信息安全管理體系建設(shè)安永永信信息息安安全全管管理理咨咨詢詢服服務務安永永的的信信息息安安全全管管理理咨咨詢詢服服務務根根據(jù)據(jù)組組織織的的不不同同需需求求為為其其量量身身定定做做適適合合自自己己的的信信息息安安全全管管理理體體系系，，幫幫助助企企業(yè)業(yè)更更好好的的加加強強自自身身信信息息安安全全管管理理水水平平，，降降低低企企業(yè)業(yè)業(yè)業(yè)務務運運作作過過程程中中的的風風險險。。并并采采用用可可信信任任的的控控制制措措施施，，提提供供行行業(yè)業(yè)解解決決方方案案，，滿滿足足客客戶戶的的不不同同需需求求。。根據(jù)ISO27001，信息安全全管理體體系包括：11個詳細的的控制子子條款39個控制目目標133個控制業(yè)務連續(xù)性管理權(quán)限控制系統(tǒng)獲取開發(fā)維護管理溝通與運營管理人力資源安全合規(guī)性資產(chǎn)管理信息安全組織物理環(huán)境安全信息安全事故管理信息客戶記錄個人記錄法律記錄安全策略策略程序、流程工作指導書、操作說明、模板、檢查表等文檔、記錄安永ISO27001實施方法法論(1/2)計劃（PLAN）實施(DO)檢查(CHECK)改進（Act）業(yè)務現(xiàn)狀了解信息資產(chǎn)識別威脅脆弱性當前控制措施風險評價風險處置制定風險接受標準制定ISMS文檔架構(gòu)策略程序與流程指導書、模板等文檔、記錄等1級2級3級4級可能性嚴重性持續(xù)改進機制管理層評審內(nèi)部ISMS審計持續(xù)的風險評估ISMS體系度量與監(jiān)控體系運行

符合性指標效能指標損失性指標改進需求預防性措施糾正性措施風險評估風險處置計劃識別不合格項根源分析

記錄與追蹤識別潛在不合格項

制定預防措施

記錄與追蹤體系發(fā)布安永的項項目方法法將基于于貴公司司的業(yè)務務現(xiàn)狀、、對信息息安全的的要求及及建立信信息安全全策略和和目標。。在貴公公司的整整體業(yè)務務風險框框架內(nèi)，，依據(jù)ISO27001標準，以以風險評評估為基基礎(chǔ)，根根據(jù)風險險處置計計劃建立立和實施施信息安安全管理理體系（（ISMS）以管理理信息安安全風險險。并通通過建立立相關(guān)監(jiān)監(jiān)控體系系評估ISMS的有效性性，最終終將針對對監(jiān)測結(jié)結(jié)果對信信息安全全管理體體系進行行持續(xù)改改進。安永ISO27001實施方法法論(2/2)項目實施采取的程序項目可能用到的工具訪談文檔審閱調(diào)查問卷現(xiàn)場檢查系統(tǒng)檢查技術(shù)掃描信息安全風險評估工具網(wǎng)絡(luò)脆弱性評估服務器端口掃描資產(chǎn)識別工具滲透測試信息安全控制審計序號標準名稱1ISO27001：2005信息安全管理體系要求3ISO27002-27005信息安全管理使用規(guī)則實施指南風險評估4SP800-美國國家標準技術(shù)委員會信息安全技術(shù)和管理領(lǐng)域的實踐參考指南5《信息系統(tǒng)安全等級保護基本要求》6《信息系統(tǒng)安全等級保護實施指南》7GB22080-2008-T信息技術(shù)安全技術(shù)信息安全管理體系要求8GB22081-2008-T信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則9GB50174-2008電子信息系統(tǒng)機房設(shè)計規(guī)范10GBT20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求11GBT21028-2007信息安全技術(shù)服務器安全技術(shù)要求12GBT21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求參考的相相關(guān)標準準項目實施施采取的的程序和和可能用用到的工工具項目啟動動和差異異分析項目啟動動會議，，確定項項目團隊隊、建立立項目組組管理架架構(gòu)信息安全全管理現(xiàn)現(xiàn)狀的快快速評估估信息安全全管理體體系差異異分析設(shè)計信息息安全方方針設(shè)計信息息安全管管理組織織架構(gòu)信息安全全管理培培訓階段項目目總結(jié)會會議項目計劃劃差異分析析報告信息安全全管理組組織架構(gòu)構(gòu)信息安全全方針階段主要任務務主要交付付品項目實施施步驟風險評估估資產(chǎn)收集集及風險險評估方方法與標標準資產(chǎn)級別別劃分標標準技術(shù)弱點點掃描報報告資產(chǎn)清單單、威脅脅列表、、脆弱性性列表、、風險列列表風險評估估報告制定資產(chǎn)產(chǎn)識別標標準（（包含保保密級別別劃分））資產(chǎn)收集集及風險險評估方方法培訓訓信息資產(chǎn)產(chǎn)收集識別威脅脅、脆弱弱性、并并安全漏漏洞掃描描評估風險險，劃分分風險等等級階段項目目總結(jié)會會議體系設(shè)計計與發(fā)布布風險容忍忍標準及及風險處處置計劃劃適用性聲聲明ISMS制度和流流程ISMS體系、事事故響應應培訓信息安全全體系技技術(shù)落地地建議書書體系運行行與監(jiān)控控ISMS績效監(jiān)控控流程信息安全全推廣培培訓認證及持持續(xù)改進ISMS內(nèi)審報告ISMS外審報告告及改進進ISMS管理評審審報告項目總結(jié)結(jié)報告12345確定風險險容忍度度和風險險偏好確定風險險處置措措施并實實施整改改計劃制度整合合及信息息安全管管理體系系文檔編編寫信息安全全體系技技術(shù)控制制及管理理落地建建議信息安全全管理體體系發(fā)布布及培訓訓階段項項目總總結(jié)會會議制定信信息安安全管管理績績效監(jiān)監(jiān)控流流程信息安安全管管理體體系試試運行行體系運運行監(jiān)監(jiān)控業(yè)務連連續(xù)性性管理理培訓訓階段項項目總總結(jié)會會議ISMS內(nèi)審培培訓ISMS內(nèi)審ISMS外審ISMS管理評評審糾正、、預防防措施施持續(xù)續(xù)改進進建議議項目總總結(jié)會議協(xié)助后后續(xù)的的內(nèi)審審和臨臨審PlanDoCheckAct目標對信息息安全全的要要求、信息安安全組組織架構(gòu)、ISMS文件體系、信息息安全全流程程、信信息安安全技技術(shù)架架構(gòu)和和技術(shù)術(shù)設(shè)施施管理理情況況、以以及員員工的的信息息安全全意識識進行綜綜合調(diào)研分分析。通過管管理和和技術(shù)術(shù)手段段并用用的方方式全全面了了解貴貴公司司的信息安安全現(xiàn)現(xiàn)狀，，為后后續(xù)的工作作打好基礎(chǔ)實現(xiàn)方法資料收收集及及分析析問卷調(diào)調(diào)查現(xiàn)場訪訪談實地走走查技術(shù)調(diào)調(diào)研等等方式式安永信信息安全管管理最最佳實實踐信息安安全標標準及及監(jiān)管管要求求貴公司司信息息安全全需求求信息安安全現(xiàn)現(xiàn)狀調(diào)調(diào)研總總結(jié)報報告制定調(diào)調(diào)研方方案現(xiàn)場訪訪談問卷調(diào)調(diào)查技術(shù)調(diào)調(diào)研資料收收集文件審審核1、現(xiàn)狀狀調(diào)研研項目啟動和差異分析風險評估體系設(shè)計與發(fā)布體系運行與監(jiān)控認證及持續(xù)改進1、現(xiàn)狀狀調(diào)研研項目啟動和差異分析風險評估體系設(shè)計與發(fā)布體系運行與監(jiān)控認證及持續(xù)改進項目啟啟動和差異異分析析確定項項目范范圍、、建立立項目目組管管理架架構(gòu)，，并完完成現(xiàn)現(xiàn)狀分分析對項目目范圍圍內(nèi)現(xiàn)現(xiàn)有管管理體系、流程程，包包含內(nèi)內(nèi)部控控制制制度等等進行行分析析業(yè)務與與信息息管理理架構(gòu)構(gòu)分析析與設(shè)設(shè)計項目范范圍內(nèi)信息平平臺、、應用用系統(tǒng)統(tǒng)分析析項目范范圍內(nèi)相關(guān)部部門與與重要要信息息資產(chǎn)產(chǎn)的互動與與權(quán)限限分析析信息安安全管管理體體系與與國際際標準準ISO27001對標信息安安全方方針設(shè)設(shè)計階段一主要任任務現(xiàn)有制制度與與流程程組織架構(gòu)與職責信息技技術(shù)與與平臺臺各職能能部門門信息安安全現(xiàn)現(xiàn)狀診診斷主主要范范圍收集項項目相相關(guān)的的文檔檔，通通過對對收集集的資資料進進行分分析，，快速速了解貴貴公司司信息息安全基本情況為為后續(xù)續(xù)工作作打好好基礎(chǔ)礎(chǔ)。1.1、資料料收集集范例對貴公公司現(xiàn)現(xiàn)存的的信息息安全全管理理制度度、管管理流流程、、記錄錄文檔檔等文文件進進行審審核，，深入入了解解管理理體系系是否否健全全，以以及技技術(shù)和和數(shù)據(jù)據(jù)保護護體系系是否否落實實到位位。信息安全管理制度信息安全職責矩陣及工作職責文檔信息安全測量體系文檔信息安全考核文檔數(shù)據(jù)備份和恢復策略信息安全培訓文檔1.2、文件件審核核范例訪談目目的和和范圍圍根據(jù)項項目范范圍，，訪談談貴公公司管管理層層以及及重要要部門門業(yè)務務骨干干人員員。訪談主主要是是了解解相關(guān)關(guān)人員員對當當前公公司信信息安安全工工作的的看法法、關(guān)關(guān)注的的風險險及對對未來來的期期望，，了解解員工工的信信息安安全意意識情情況。。訪談安排制定訪訪談計計劃訪談綱綱要根據(jù)不不同對對象設(shè)設(shè)計訪訪談綱綱要，，一般般包括括管理理層代代表、、重要要部門門業(yè)務務骨干干等訪訪談綱綱要。。1.3、人員訪談談范例問卷調(diào)研的的對象：信信息安全及及主要業(yè)務務系統(tǒng)和IT基礎(chǔ)設(shè)施的的管理、維維護人員。。根據(jù)不同的的對象設(shè)計計不同的調(diào)調(diào)研問卷，，充分了解解相關(guān)領(lǐng)域域的信息安安全管理現(xiàn)現(xiàn)狀，具體體事例如下下：1.4、問卷調(diào)查范例通過安永的的技術(shù)工具具及人工檢檢查等手段段對不同類類型的系統(tǒng)統(tǒng)進行調(diào)研研。1.5、技術(shù)調(diào)研范例現(xiàn)狀調(diào)研階階段工作成成果信息安全現(xiàn)狀調(diào)研報告安全管理現(xiàn)現(xiàn)狀安全技術(shù)現(xiàn)現(xiàn)狀2、風險評估項目啟動和差異分析風險評估體系設(shè)計與發(fā)布體系運行與監(jiān)控認證及持續(xù)改進階段二主要任務信息安全風風險評估制定信息資資產(chǎn)識別標標準（包含含保密級別別劃分）資產(chǎn)識別及及風險評估方方法培訓信息資產(chǎn)收收集識別關(guān)鍵信息資資產(chǎn)，并評評估價值評估公司層層面信息安安全控制措措施安全漏洞掃掃描針對關(guān)鍵信信息資產(chǎn)進進行威脅、、弱點及影影響程度評評估，計算算出風險值值風險分析風險評估成成果示例識別關(guān)鍵信息資產(chǎn)公司層面控制信息安全管理成熟度風險評估目標從業(yè)務的角角度分析貴貴公司對信信息安全管管理和技術(shù)術(shù)的自身要要求識別與國內(nèi)、國國際最佳信信息安全實實踐之間的的差距并改進。識別各級監(jiān)監(jiān)管部門發(fā)發(fā)布的有關(guān)關(guān)信息安全全監(jiān)管要求求的差距并并改進發(fā)現(xiàn)主要信信息安全管管理和技術(shù)術(shù)風險并改進。實現(xiàn)方法通過“資產(chǎn)風險險評估”、、“流程風風險評估””、“信息安全全技術(shù)架構(gòu)構(gòu)評估”、“數(shù)據(jù)安安全”的結(jié)果，匯匯總分析形形成最終的的風險評估估報告。通過分析風風險評估的的結(jié)果、監(jiān)監(jiān)管要求以以及國際的的信息安全全最佳實踐踐標準，描描述貴公司司對信息安安全管理和和技術(shù)的要要求，建立立安全管理理與技術(shù)體體系模型并并對比貴公公司目前的的安全現(xiàn)狀狀，找出薄薄弱點并提提出整改方方案。2、信息安全風風險評估項目啟動和差異分析風險評估體系設(shè)計與發(fā)布體系運行與監(jiān)控認證及持續(xù)改進風險評估標標準2.1、信息資產(chǎn)風風險評估(1/2)業(yè)務流程業(yè)務活動信息資產(chǎn)信息載體業(yè)務目標終端設(shè)備應用系統(tǒng)存儲網(wǎng)絡(luò)機密性完整性可用性信息資產(chǎn)分分類基于信息資資產(chǎn)的重要要等級分類類，深入分分析貴公司司的業(yè)務目目標和流程程透徹徹分分析析和和識識別別出出在在業(yè)業(yè)務務活活動動和和所所有有不不同同信信息息系系統(tǒng)統(tǒng)架架構(gòu)構(gòu)層層中中的的信信息息資資產(chǎn)產(chǎn)根據(jù)據(jù)安安全全的的三三個個特特性性緯緯度度（（機機密密性性，，完完整整性性，，可可用用性性））來來判判斷斷信信息息資資產(chǎn)產(chǎn)的的價價值值識別別信信息息資資產(chǎn)產(chǎn)定義義信信息息資資產(chǎn)產(chǎn)的的自自然然屬屬性性決定定信信息息資資產(chǎn)產(chǎn)的的屬屬性性分類類的的信信息息資資產(chǎn)產(chǎn)2.1、信息息資資產(chǎn)產(chǎn)風風險險評評估估(2/2)范例在對IT流程程評評估估需需要要對對現(xiàn)現(xiàn)有有流流程程設(shè)設(shè)計計文文檔檔分分析析，對對流流程程的的角色色、、職職責責、、活動動、、輸入入輸輸出出、、KPI等分分析析，，識識別別關(guān)關(guān)鍵鍵控控制制點點。。IT流程程風風險險評估估為為后后續(xù)續(xù)的的流流程程優(yōu)優(yōu)化化打打下下了了基基礎(chǔ)礎(chǔ)。。2.2、IT流程程評評估估范例2.3、信信息息安安全全技技術(shù)術(shù)架架構(gòu)構(gòu)風風險險評評估估物理終端主機應用網(wǎng)絡(luò)身份認證訪問控制內(nèi)容安全審核跟蹤響應恢復工具具掃掃描描文檔檔審審閱閱配置置檢檢查查滲透透測測試試安全全技技術(shù)術(shù)風風險險評評估估評估估技技術(shù)術(shù)評評估估工工具具對對貴貴公公司司的的物物理理、、網(wǎng)網(wǎng)絡(luò)絡(luò)、、主主機機、、應應用用、、終終端端等等方方面面的的信信息息安安全全風風險險進進行行評評估估。。風險險評評估估階階段段工工作作成成果果信息息安安全全風風險險評估估報報告告3、體系系建建立立與發(fā)發(fā)布布建立立適適合合貴公公司司的信息息安安全全管理理體系系階段段三主要要任任務務體系系設(shè)計計與與發(fā)發(fā)布布確定定風風險險接接受受標標準準制定定風風險險處處置置計計劃劃管理理層層匯匯報報定制制風風險險處處置置實實施施整整改改計計劃劃依據(jù)據(jù)信信息息與與業(yè)業(yè)務務重重要要性性，，制制定定各各級級信信息息安安全全管管理理制制度度和和流流程程信息息安安全全體體系系技技術(shù)術(shù)控制制落地地及管管理理落落地地建議議依據(jù)據(jù)不不同同對對象象與與時時機機，，按按需需制制定定支支持持上上述述流流程程的的工工作作指指導導書書信息息安安全全管管理理體體系系發(fā)發(fā)布布及培訓ISMS策略ISMS制度和流程工作指導書、操作手冊、模板、檢查表等表單、記錄1級2級3級4級信息安全管理理體系文件第一級信息安全方針信息安全管理評審程序信息安全內(nèi)審管理程序糾正和預防措施管理程序文檔記錄管控程序有效性測量程序信息資產(chǎn)分類標準風險評估實施指南信息保密管理辦法人員安全管理程序培訓管理規(guī)定第三方安全管理規(guī)定機房安全管理規(guī)定辦公區(qū)域安全管理規(guī)定系統(tǒng)試運行審查規(guī)定系統(tǒng)安全管理規(guī)范網(wǎng)絡(luò)運維管理規(guī)范IT終端設(shè)備使用管理規(guī)范變更管理規(guī)定帳戶安全管理規(guī)范防病毒管理策略第二級第三級脆弱性檢查列表威脅檢查表內(nèi)部審計檢查項第四級審計報告日志檢查表文件加密指南移動辦公守則信息安全管理手冊其它表單風險處置方法法風險處置計劃劃序號整改類型負責部門風險描述優(yōu)先等級整改措施完成時間責任人管理是否已確定1物理安全運維部機房濕度過低，容易造成電火花以及靜電，給IDC業(yè)務帶來風險高調(diào)整機房濕度至合適范圍，并設(shè)置遠程監(jiān)控與報警機制。2009年9月7日張三是2法律法規(guī)合規(guī)運維部單位或個人通過托管的服務器，利用IDC中心從事危害國家安全、泄露國家機密等違法犯罪活動高1.與責任單位簽訂信息安全責任保障書，明確責任與義務2.IDC建立相應的管理、監(jiān)督和檢查機制,實現(xiàn)實時的監(jiān)控2009年10月17日張三審批中項目啟動和差異分析風險評估體系設(shè)計與發(fā)布體系運行與監(jiān)控認證及持續(xù)改進3.1、信息安全管理理框架設(shè)計安永將根據(jù)貴公司實際情情況和信息安全統(tǒng)統(tǒng)一要求，建建立適合于貴公司的信息安全管管理框架，用用于指導信息息安全工作的的實施。管理技術(shù)組織業(yè)務驅(qū)動風險戰(zhàn)略合規(guī)、監(jiān)控和報告風險識別與描述流程與運作程序工具與技術(shù)治理、制度與標準人員和組織管理數(shù)據(jù)安全框架3.2、體系與安全制度的的對標整合從管理措施和管管理方法兩方方面，進行ISMS制度與現(xiàn)存運運行的安全制制度的對標。確保符合集集團信息安全全要求，并將將現(xiàn)存的安全風險控控制和管理方方法融入ISMS制度中，從而而達到制度整整合的目標，，使信息安全全管理成為一一個整體，成為一一套管理程序序。《貴公司XXX工作管理指引》《貴公司

信息安全管理體系》對應要求《貴公司

現(xiàn)有制度體系，包括集團信息安全要求》控制程序作業(yè)指導書、表格、文檔模版以及報告等總體規(guī)定軟件需求管理辦法信息系統(tǒng)項目管理辦法外包項目管理辦法安全管理制度框架及管理規(guī)定……軟件需求管理控制程序項目管理控制程序應用系統(tǒng)安全管理規(guī)定計算機機房管理控制程序運行維護文檔管理控制程序……應用軟件程序維護作業(yè)指導書安全服務管理業(yè)務指導書網(wǎng)絡(luò)配置變更作業(yè)指導書應用軟件程序維護作業(yè)流程圖網(wǎng)管系統(tǒng)維護記錄周報……《信息安全技術(shù)信息系統(tǒng)安全等級保護》對應要求對應要求…3.3、信息安全組組織體系建設(shè)設(shè)安永將根據(jù)貴貴公司實際情況設(shè)計計信息安全組組織架構(gòu)及各各部門職責。。范例3.4、信息安全制制度體系建設(shè)設(shè)安永將根據(jù)ISO27001標準要求，并并結(jié)合貴公司司自身需求，，按照分類分分級的原則，，設(shè)計完整的的信息安全管管理制度及文文檔體系。范例3.5、信息安全技技術(shù)體系建設(shè)設(shè)滿足國家標準準、監(jiān)管、行行業(yè)最佳實踐踐的安全技術(shù)術(shù)要求，從業(yè)業(yè)務出發(fā)，識識別和滿足用用戶對信息安安全技術(shù)需求求，掌握信息息系統(tǒng)安全保保護重點領(lǐng)域域，建立信息息系統(tǒng)安全技技術(shù)基準，實實現(xiàn)可組合安安全技術(shù)保護護。范例3.6、信息安全監(jiān)監(jiān)督體系建設(shè)設(shè)通過定期實施施內(nèi)審與管理理評審發(fā)現(xiàn)貴公司體體系運行中存存在的不足并并進行整改，從而達到內(nèi)內(nèi)部不斷改進進的目的，以以保持信息安安全保障體系系的有效性、、適宜性、充充分性。范例3.7、信息安全技技術(shù)和管理落落地（1/2）建設(shè)緊迫性分析合規(guī)方面的強制要求;法律訴訟、人身安全等可能性業(yè)務中斷、IT全局崩潰等可能性分布與影響的范圍、危害嚴重性破壞后恢復時間與投入、發(fā)生頻率信息安全戰(zhàn)略規(guī)劃分析模型建設(shè)可行性分析外部策略允許程度內(nèi)部管理條件是否具備所需的技術(shù)是否成熟內(nèi)部支持條件是否具備外部支持條件是否具備建設(shè)效果性分析見效速度對于數(shù)據(jù)安全的直接效果對于業(yè)務的直接促進安全體系的提升與促進建設(shè)難易度分析資金、時間、人力等投入大小技術(shù)難度、人員能力的要求對業(yè)務和運行的觸動大小對企業(yè)和組織的觸動大小根據(jù)貴公司信息安全戰(zhàn)略規(guī)劃劃及目前的信息安全風險險現(xiàn)狀，設(shè)計信息安安全建設(shè)任務務的優(yōu)先級路路線路。3.7、信息安全技技術(shù)和管理落落地（2/2）優(yōu)先級排序結(jié)結(jié)果任務順序/關(guān)聯(lián)關(guān)關(guān)系根據(jù)規(guī)劃分分析和貴公公司目目前的信息息安全全項目目實施施的實實際情情況，，設(shè)計計出未未來三三年的的安全全建設(shè)設(shè)藍圖圖。4、體系系運行行與監(jiān)監(jiān)控項目啟動和差異分析風險評估體系設(shè)計與發(fā)布體系運行與監(jiān)控認證及持續(xù)改進階段四主要任任務體系運運行與與監(jiān)控控制定績績效監(jiān)監(jiān)控流流程體系運運行監(jiān)監(jiān)控信息安安全推推廣培訓信息安安全宣宣傳內(nèi)部審審計培培訓信息安安全管管理體體系內(nèi)內(nèi)部審審計信息安安全管管理體體系管管理評評審會會議糾正措施、預防防措施施、持續(xù)改改進建建議項目總總結(jié)會會體系運行行與監(jiān)監(jiān)控審計報報告內(nèi)部審審計文件適用性性按規(guī)范范執(zhí)行內(nèi)審計計劃信息安安全體系系改進進方案案實施成果審計執(zhí)執(zhí)行行記記錄錄信息安全管管理體體系信息安全管理體系內(nèi)部審計報告4.1、安全全職責責細化化（1/2）信息安全職職責是是否清清晰并并可落落實是是關(guān)系系到信信息安安全工工作能能否到到位的的關(guān)鍵鍵，因因此制制定信信息安安全職職責矩矩陣，，細化化每個個崗位位的信信息安安全職職責，，確保保其可可操作作對于于ISMS體系的的落實實發(fā)揮揮重要要作用用。范例4.1、安全全職責責細化化（2/2）落地示例信息安安全責責任落實到到“人人”信息安安全指指南落實到到“步步驟””信息安安全度度量落實到到“指指標””范例4.2、安全全測量量指標標為了有效的的監(jiān)控控ISMS體系運運行的的效果果，及及時發(fā)發(fā)現(xiàn)ISMS存在的的不足并并改進進，應應建立ISMS運行有有效性性測量量體系系，測量量體系應應至少少包括括測量量指標標、測測量數(shù)數(shù)據(jù)來來源、、測量量周期期、測測量防防范、、測量量責任任人、、測量量結(jié)果果等要要素。。范例4.3、安全考核體體系建立有效的的信息息安全全管理理KPI制定合理的的信息息安全全管理理KPI，評價價信息息安全全管理理執(zhí)行行情況況和反反饋改改進建建議。。角色類型指標范圍指標定義成熟度業(yè)務連續(xù)性管理軟件開發(fā)安全管理變更配置安全管理符合性管理IT終端安全管理移動介質(zhì)安全管理系統(tǒng)補丁安全管理防病毒安全管理物理環(huán)境安全管理數(shù)據(jù)備份安全管理帳號權(quán)限安全管理安全監(jiān)控管理安全事故管理第三方安全管理實施類用于度量安全策略的實施情況，主要考核事前安全工作。效能類用于度量安全服務的工作效力和效率，主要考核事中安全工作。影響類用于度量安全事件對業(yè)務的影響，主要考核事后安全工作。1級已定義安全策略2級已定義安全流程和控制方法3級已實施安全流程和控制方法4級已驗證安全流程和控制方法5級已集成并持續(xù)改進安全流程和控制方法決策層為信息安全考核計劃提供高層支持和監(jiān)督。管理層為信息安全考核計劃提供支持，協(xié)調(diào)有關(guān)工作。執(zhí)行層為安全指標的制定和數(shù)據(jù)采集提供支持。監(jiān)督層負責信息安全日常工作，收集數(shù)據(jù)和計算安全指標。4.4、安全意意識推廣（（1/2）通過多種手手段提提升員員工信信息安安全意意識，，比如安全手冊、、安全海報、、安全屏保、電子子壁紙紙、FLASH動畫、、鼠標標墊、、便利利貼等。范例4.4、安全意意識推廣（（2/2）定期的信息息安全宣導導及培訓簽署勞動合同(含安全職責)入職的安全意識培訓網(wǎng)絡(luò)自助式的安全知識考試學習安全規(guī)章制度員工轉(zhuǎn)正申請員工轉(zhuǎn)正申請獎懲機制人力資源安安全培訓違規(guī)行為的報告安全信用等級系統(tǒng)技術(shù)分析舉報信息收集確認違規(guī)等級安全系統(tǒng)部用人部門安全系統(tǒng)部用人部門嚴重一般處理正式發(fā)布人力部門發(fā)布4.5、人員安全全培訓安永將根據(jù)據(jù)不同的培訓訓對象，安安永設(shè)計了了信息安全全意識培訓訓，IT風險管理培培訓，ISO27001培訓等。其其中信息安安全意識培培訓適用于于全體員工工，IT風險管理培培訓適用于于IT內(nèi)控及風險險管理人員員，ISO27001適用于信息息安全體系系管理人員員。范例目標推動ISMS體系在貴公公司運行，，并獲得審審核機構(gòu)頒頒發(fā)的27001認證。實現(xiàn)方法ISMS體系文件編編制完成后后，應按照照文件的控控制要求進進行審核與與批準并發(fā)發(fā)布實施，，體系運行行初期處于于體系的磨磨合期，一一般稱為試試運行期，，在此期間間運行的目目的是要在在實踐中檢檢驗體系的的充分性、、適用性和和有效性。。試運行3個月后，并并完成內(nèi)審審和管理評評審后，在在收集到一一些ISMS運行記錄后后，可以根根據(jù)貴公司司需求選擇擇認證機構(gòu)構(gòu)并協(xié)助貴貴公司通過過認證。5、認證及持續(xù)續(xù)改進信息安全管管理體系認認證ISMS體系試運行行ISMS內(nèi)審ISMS管理評審認證前培訓訓外審初審支支持外審終審支支持項目啟動和差異分析風險評估體系設(shè)計與發(fā)布體系運行與監(jiān)控認證及持續(xù)改進5、認證及持續(xù)續(xù)改進項目啟動和差異分析風險評估體系設(shè)計與發(fā)布體系運行與監(jiān)控認證及持續(xù)改進階段五主要任務認證及持續(xù)續(xù)改進內(nèi)審管理評審外審持續(xù)改進內(nèi)審計劃和和安排內(nèi)審檢查表表和報告信息安全管管理體系管管理評審會會議糾正措施、預防措施施、持續(xù)改進建建議外審報告和和改進監(jiān)審及內(nèi)審審支持認證及持續(xù)續(xù)改進信息安全管理體系內(nèi)部審計報告信息安全管管理體系認認證ISMS體系試運行行ISMS內(nèi)審ISMS管理評審認證前培訓訓外審支持監(jiān)審及后續(xù)續(xù)內(nèi)審支持ISMS內(nèi)審、管理理評審：通過定期實實施內(nèi)審與與管理評審審來查找已已建立的信信息安全管理體系與信息息安全標準準及法律法法規(guī)之間的的差距，從從而達到內(nèi)內(nèi)部不斷改改進的目的的，以保持持信息安全全保障體系系的有效性性、適宜性性、充分性性。認證前培訓訓：為了確保保通過外審審，顧問將將對ISMS范圍內(nèi)的各各部門安全全管理員進進行培訓，，介紹外審審過程和關(guān)關(guān)注要點。。外審支持：安永的顧顧問將全程程協(xié)助貴公公司外審的的整個過程程，包括初初審、終審審等，直到到獲得ISO27001認證。后續(xù)內(nèi)審和和監(jiān)控支持持：安永負責責為貴公司司通過ISO27001認證后的后后續(xù)支持工工作，包括括下一年的的ISO27001的內(nèi)審及監(jiān)監(jiān)審支持，，以確保貴貴公司按照照ISO27001的要求進行行執(zhí)行。5、認證及持續(xù)續(xù)改進項目啟動和差異分析風險評估體系設(shè)計與發(fā)布體系運行與監(jiān)控認證及持續(xù)改進5、信息安全管管理體系運運行和認證證第三部分：安永典型案例安永的行業(yè)業(yè)經(jīng)驗—部分安全咨咨詢項目案例項目內(nèi)容客戶名稱信息安全體系和隱私保護咨詢世界最大的電力公司之一信息安全管理體系ISO27001建設(shè)與實施中國最大石油公司之一信息安全管理體系建設(shè)與實施中國最大移動電信運營商信息安全管理體系實施國內(nèi)最大的新型能源企業(yè)信息技術(shù)安全等級保護建設(shè)中國第二大商業(yè)銀行ISO27001信息安全管理體系建設(shè)及認證中國最大財險公司ISO27001信息安全管理體系咨詢中國銀行卡聯(lián)合組織機構(gòu)信息安全管理體系建設(shè)與實施中國最大航空結(jié)算中心ISO27001信息安全管理體系建設(shè)及認證中國領(lǐng)先的體彩服務商信息安全管理體系ISO27001建設(shè)與實施中國最大的家電制造企業(yè)ISO27001信息安全管理體系咨詢?nèi)蜃畲蟊ｋU集團廣州分中心Ernst&Young安永Assurance審計|Tax稅務|Transactions財務交易|Advisory咨詢9、靜夜夜四無無鄰，，荒居居舊業(yè)業(yè)貧。。。1月-231月-23Friday,January6,202310、雨中黃黃葉樹，，燈下白白頭人。。。01:33:1701:33:1701:331/6/20231:33:17AM11、以以我我獨獨沈沈久久，，愧愧君君相相見見頻頻。。。。1月月-2301:33:1701:33Jan-2306-Jan-2312、故人人江海海別，，幾度度隔山山川。。。01:33:1701:33:1701:33Friday,January6,202313、乍見翻疑夢夢，相悲各問問年。。1月-231月-2301:33:1701:33:17January6,202314、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國國見見青青山山。。。。06一一月月20231:33:17上上午01:33:171月-2315、比不了得就就不比，得不不到的就不要要。。。一月231:33上上午1月-2301:33January6,202316、行動出成成果，工作作出財富