ISO27000信息安全管理体系建设咨询服务7.doc

ISO27000信息安全管理体系建设咨询服务
7
ISO27000信息安全管理体系建设咨询服务
目录
1概述(3)
2准备(5)
2.1确定ISMS范围(5)
2.2确定信息安全总体方针政策(6)
2.3定义风险评估与管理方法(8)
2.4项目准备(9)
3风险评估(13)
3.1现状分析(13)
3.2风险评价(15)
3.3风险处置(17)
4安全体系规划与设计(19)
4.1安全体系规划(19)
4.2编写安全体系文档(20)
5安全体系实施、调整、评审(22)
5.1体系实施(22)
5.2体系调整(23)
5.3体系评审(24)
附件1：项目主要任务及活动列表(26)
附件2：项目主要文档列表(27)
1概述
ISO27000信息安全管理体系建设咨询服务阶段流程如下图：
实践证明，按照BS7799/ISO27000的要求在组织内部建立并运行信息安全管理体系（ISMS），强化信息安全管理体系的运行审核和管理评审，不断改进优化组织的信息安全管理体系，是处理组织信息安全问题有效手段之一。

根据BS7799/ISO27000要求，在建立、实施、运行、监控、评审、保持与改进组织ISMS 时采用PDCA的过程模型，即首先依据组织的信息安全总体方针政策，通过对ISMS涉及范围内的所有信息资产进行风险评估，选取合适的安全控制措施，建立包括安全策略、控制程序、操作指南/手册在内的文件化的信息安全管理体系，然后在组织内部实施并运行ISMS信息安全策略、控制程序及措施，并通过ISMS运行监控、内部审计及管理评审，发现ISMS存在的问题及弱点，及时采取适当的纠正或预防措施，
实现ISMS的持续改进。

信息安全管理体系咨询服务的目的就是根据ISO27001标准的要求，采用PDCA的过程模型，通过基于资产的风险评估，帮助客户建立文件化的信息安全管理体系，辅导客户在其组织范围内实施、运行、评审信息安全管理体系，从而确保客户信息系统的正常运行，提高服务竞争力，最终促进客户业务的开展。

如上图所示，信息安全管理体系建设咨询服务包括准备、风险评估、安全体系规划与设计、安全体系实施/调整/评审四个阶段，各个阶段说明如下:
第一阶段：准备
准备阶段主要完成信息安全管理体系建设项目的前期准备工作。

包括四个工作任务，分别是：
1)确定ISMS范围
根据组织业务需要确定ISMS涵盖的范围，包括地理位置、部门或信息系统等。

2)确定信息安全总体方针政策
分析ISMS范围内的业务及系统安全需求，确定ISMS的总体方针政策。

3)定义风险评估与管理方法
确定风险评估模型，确定风险评估指标，定义风险评估及管理程序。

4)项目准备
制定实施计划、成立项目组、整理开发相关工具模板、召开启动会，进行项目背景知识培训等。

第二阶段：风险评估
分析ISMS范围内的信息安全现状，针对ISMS范围内的所有信息资产，识别并评价其面临的安全风险，提出对应的控制措施。

包括三大工作任务，分别为：
1)现状分析
通过访谈、检查及测试了解ISMS范围内的信息安全现状，形成现状报告，并将获取的安全现状与ISO27002中的安全控制措施进行差距分析。

2)风险评价
按照确定的风险评估模型，评价现状分析阶段识别的资产、威胁及弱点，确定资产风险等级。

3)风险处置
确定风险处置方式，选择安全控制措施，制定风险处置计划，进行残余风险分析。

第三阶段：安全体系规划与设计
根据差距分析和风险评估结果规划安全体系建设任务，落实本期建设规划。

包括两大工作任务，分别为：
1)安全体系规划
规划信息安全体系建设项目、任务、计划等。

2)编写安全体系文档
设计信息安全体系管理文档或技术方案。

第四阶段：安全体系实施、调整、评审
落实信息安全管理措施，部署信息安全技术措施，运行信息安全管理体系，改进信息安全管理体系不足，按照ISO27001要求进行信息安全管理体系内部审核和管理评审。

包括三大工作任务，分别为：
1)体系实施
落实或部署信息安全管理体系的相关管理及技术措施，运行信息安全管理体系。

2)体系调整
针对实施和运行中存在的问题，对信息安全管理体系进行调整改进。

3)体系评审
按照ISO27001要求进行信息安全管理体系内部审核和管理评审。

2准备
2.1确定ISMS范围
根据组织的业务特征、组织结构、地理位置、资产和技术定义ISMS范围和边界。

⏹主要工作任务及内容（活动）
1)信息安全与业务战略及规划一致性分析
针对组织内部安全状况与组织业务战略及规划一致性的分析，主要从客户、合作方等外部角度考虑ISMS需要涵盖的范围。

2)信息安全与相关法规/制度符合性分析
针对组织内部安全状况与法律/法规/制度符合性的分析，主要从合规性方面考虑ISMS 范围需要涵盖的范围。

3)信息安全与业务运营影响分析
针对组织内部安全状况对业务运营影响的分析，主要从内部风险管理角度考虑ISMS需要涵盖范围
4)确定ISMS范围
根据上述分析结果确定ISMS范围（包括涉及的物理位置、业务[流程]、部门、系统等）。

⏹主要工作方式/方法（工作方式、职责划分、工作方法）
组织要建立信息安全管理体系，首先需要划定其范围。

确定ISMS的过程如下：
ISO27001信息安全管理体系实施方案7 信息安全管理体系认证咨询
项目实施方案
目录
1项目重点与体系设计(2)
1.1评估现状与标准间的差异(2)
1.2ISO/IEC27001：2013差距分析(2)
1.3基于ISO/IEC27001：2013的管理体系设计(4)
2建设与实施(6)
2.1管理体系建设方法论(6)
2.2实施计划(7)
3交付物一览表(9)
1项目重点与体系设计
1.1评估现状与标准间的差异
在正式开展信息安全管理体系建设项目之初，咨询顾问为了
熟悉客户业务流程、组织架构以及信息安全管控现状，通过深入现场、人员访谈、发放问卷、文件审阅等途径，对客户业务状况以及由此引发的问题和需求进行全面了解，发掘潜在问题，并做分类描述和分析。

同时，将客户的现状和国际标准进行对比，找到现实差距。

差距分析的结果，将成为项目实施的主要依据，以及下阶段风险评估和体系建设的基础。

咨询顾问实施差距分析的方法，是借助咨询方开发的专用差距分析工具，在采集包括信息安全管理相关的信息之后，按照标准要求，全方位展示客户的差距，找到突出的问题所在。

差距分析的结果，可以让客户对自身现状有个直观判断，便于为将来的工作指出重点，也便于通过项目实施之后的再次评估看到项目的绩效。

1.2ISO/IEC27001：2013 差距分析
此项差距分析是基于ISO27001:2013版正文条款和附录A的内容分别进行差距分析。

正文条款：差距分析的实质内容共计7章，主要说明了如何建立、实施、维护和持续改进信息安全管理体系（ISMS），以保证在制度层面对信息安全进行有效管理。

附录A：差距分析的内容包括具体的14个控制领域、35个控制目标和114个具体的控制措施，以保证在技术层面对信息安全的有效管理。

我们从体系的运行管理和114个控制项2个部分为客户进行差距分析。

体系的运行管理部分主要评估客户现有的组织架构、信息安全管理活动的成熟度与标准间的差异，此项评估结果会在项目实施阶段组织架构设计和体系运行管理活动设置过程中提
供关键的信息。

体系运行管理差距分析示例
附录A 部分的差距分析主要通过对114个控制项的逐一比对，分析客户目前信息安全控制措施与标准间的差距，此项评估结果会在项目实施阶段信息安全管理策略及控制措施编写时提供主要依据和方向。

114控制项差距分析示例
标准要求
成熟度得分
合规要求4 组织环境
7.008.005 领导8.67
8.006 规划
6.008.007 支持
7.14
8.008 运行 6.008.009 绩效评价10.008.0010 改进
10.008.00
标准正文部分得分小计：
78.30
符合
符合
差距分析过程工作表
为了让差距分析的结果更加直观有效，我们以CMMI成熟度评估为模型，已量化的方式向客户展示当前组织信息安全管理成熟度级别以及与标准间存在的差距。

SEI的能力成熟度模型（Capacity Maturity Model）
1.3基于ISO/IEC 27001：2013的管理体系设计
ISO/IEC 27001:2013版对标准架构进行了大幅修改，以适应未来管理体系。