ISO27001信息安全管理体系咨询计划安排

合集下载

27001实施方案

27001实施方案首先，27001实施方案的第一步是确定信息安全管理体系的范围和目标。

组织需要明确确定信息安全管理体系所涵盖的范围，包括组织的整体范围、所涉及的部门和业务流程等。

同时，还需要确定信息安全管理体系的目标和目标，明确组织希望通过实施该体系达到的效果和改进目标。

其次，组织需要进行风险评估和风险处理。

风险评估是指组织对信息资产进行识别、价值评估和风险评估，以确定信息资产所面临的各种威胁和漏洞。

在完成风险评估后，组织需要采取相应的风险处理措施，包括风险规避、风险转移、风险减轻和风险接受等，以降低信息资产面临的风险。

然后，组织需要建立信息安全管理体系的文件和记录。

这包括编制信息安全管理手册、制定信息安全政策、建立信息安全程序和工作指导书等。

同时，还需要建立信息安全管理体系的记录，包括风险评估报告、内部审计报告、管理评审记录等。

接下来，组织需要进行内部审核和管理评审。

内部审核是指组织对信息安全管理体系的文件和记录进行审核，以确定其符合ISO/IEC 27001标准的要求。

管理评审是指组织对信息安全管理体系的运行情况进行定期评审，以确保其持续有效性和改进。

最后，组织需要进行认证审核和持续改进。

认证审核是指组织邀请认证机构对其信息安全管理体系进行审核，以确定其是否符合ISO/IEC 27001标准的要求。

持续改进是指组织不断监控和审查信息安全管理体系的运行情况，采取相应的措施和步骤，以不断改进信息安全管理体系的效果和绩效。

综上所述，27001实施方案是组织为了达到ISO/IEC 27001标准要求而采取的具体措施和步骤。

通过确定范围和目标、进行风险评估和风险处理、建立文件和记录、进行内部审核和管理评审、进行认证审核和持续改进等步骤，组织可以有效地实施信息安全管理体系，提高信息安全管理水平，确保信息资产的安全性和保密性。

ISO27001咨询方案-ISMS体系工作阶段

信息安全体系文件编写指导负责阶段文件发布试运行对体系文件的系统性和符合性进行修改负责配合根据具体情况核培训师与有关人员交换对体系的意见含文件修改意见体系文件打印装订和发放负责实施运行负责阶段内审指导管理评审信息安全体系审核知识技巧讲解负责配合根据具体情况核培训师对信息安全体系审核知识和技巧进行讲解和进行案例练信息安全体系内审员考试内审员考试合格者发证书现场指导信息安全体系的内部审核负责配合调度根据具体情况核培训师分组指导内审员对信息安全体系进行内审并提出整改和文件修改意见
ISO27001 信· 宣贯 · 标准讲解 · 信息资产识别方法讲解 · 信息资产识别 · 风险评估讲解 · 风险评估 · 确定信息安全方针、目标、指标 2 阶段体系策划文件编写 · 讲解信息安全体系文件的编制要求 · 信息安全体系文件编写 · 对体系文件的系统性和符合性进行修改 · 体系文件打印、装订和发放 · 实施运行 · 信息安全体系审核知识、技巧讲解 · 案例分析练习 · 信息安全体系内审员考试 · 现场指导信息安全体系的内部审核 · 不符合项目整改建议指导 · 体系文件可操作性修改建议 · 实施管理评审指导负责根据具体情况核算负责根据具体情况核算负责配合调度根据具体情况核算负责配合根据具体情况核算负责指导负责配合负责配合负责负责培训师对信息安全体系审核知识和技巧进行讲解和进行案例练习内审员考试，合格者发证书培训师分组指导内审员对信息安全体系进行内审，并提出整改和文件修改意见。此后，委托方继续进行运行适当时间培训师提出建议培训师模拟第三方认证审核的负责配合调度根据具体情况核算形式对体系进行全面的现场审核根据具体情况核算培训师与有关人员交换对体系的意见（含文件修改意见） · · 草拟信息方针、目标、指标工作内容实施方培训组负责负责负责指导负责指导指导指导委托方配合配合配合负责配合负责负责根据具体情况核算负责培训师指导委托方对信息安全体系进行策划，并与有关人员交换意见。 ·由培训师讲解，文件由委托方根据具体情况核算（现场）草拟初稿，培训师可以返回修改。根据具体情况核算由培训师在现场进行指导，培训师提出意见。人天数根据具体情况核算根据具体情况核算根据具体情况核算由培训师讲解由培训师讲解具体工作安排说明

信息安全管理体系咨询

信息安全管理体系咨询信息安全管理体系咨询信息安全信息化的浪潮席卷全球，一种全新的先进技术之出现，把人类的生活引导至知识经济的数字社会。

信息技术的应用，摧化人们的工作方式、生活环境与思维观念的具大变化，大步地推动人类社会的发展及文明的进步，把人类带入新时代。

然而，人们在享受数字社会带来的巨大利益与方便的同时，也面临着信息安全严峻考验。

信息安全管理体系国际标准ISO27000 标准介绍ISO/IEC 27000 Fundamentals and vocabulary(信息安全管理体系基础与术语)ISO/IEC 27001 ISMS-Requirements(revised BS 7799 Part 2:2005)-Published 15th Oct 2005(信息安全管理体系要求事项，认证要求)ISO/IEC 27002 Code of practice for information security management as from April 2007-currently ISO/IEC 17799:2005, published 15th June 2005(信息安全管理最佳实践)ISO/IEC 27003 ISMS implementation guidance(under development)(信息安全管理体系实施指南)ISO/IEC 27004 Information security management measurement(under development)(信息安全管理体系测量) ISO/IEC 27005 Information security risk management(based on and incorporating ISO/IEC 13335 MICTS Part 2)(under development)(信息安全风险管理)ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems- Published 15th February 2007(信息安全管理体系认证机构认可要求事项)ISO/IEC 27007 Guidelines for information securitymanagement systems auditing (under development)(信息安全管理体系审核指南)ISO/IEC27001:2005 标准的架构：ISO27001共分成11个主题，39个控制目标，133个控制措施。

iso27001 信息安全管理体系

iso27001 信息安全管理体系
ISO 27001是一项关于信息安全管理体系（ISMS）的国际标准。

它为组织提供了一个框架，用于在管理信息安全风险方面进行规划、建立、实施、运行、监控、评审、维护和改进。

该标准的目标是确保组织能够合理地管理其信息资产，以防止信息泄露、数据丢失、未经授权的访问和其他与信息安全相关的风险。

在ISO 27001中，一些重要的方面包括：
1. 风险评估：组织需要确定其面临的信息安全风险，并确定适当的控制措施来减轻这些风险。

2. 安全策略和目标：组织需要制定明确的安全策略和目标，以确保信息安全的重要性在组织中得到适当的认可并得以实现。

3. 安全控制：组织需要实施一系列安全控制措施，以确保对信息资产的适当保护，包括访问控制、密码策略、物理安全等。

4. 管理体系：组织需要建立一个信息安全管理体系，包括定义职责和权限、确保员工培训、保持记录和进行内部审核等。

通过遵循ISO 27001的要求，组织可以建立一个有效的信息安
全管理体系，从而提高信息安全意识和能力，减少信息泄露和数据安全事故的风险。

这有助于组织保护其核心业务和客户利益，并维护其声誉和信誉。

ISO 27001信息安全管理体系介绍及咨询说明

一、前言:信息是一种资产，就象其它重要的商业资产一样，它对一个组织来说是有价值的，因此需要妥善进行保护。

信息资产包括文件、数据、软件、硬件、人力资源等。

随着信息化的日益发展，全球化时代给企业带来日益激烈的竞争，各企业、事业和政府行政机构的信息资产的保护也受到严重的挑战，如网络攻击、病毒、信息丢失、篡改、销毁、内外部泄密等。

在信息安全方面的纰漏对于很多机构，特别是对金融机构、政府行政机构和技术保密较严的高科技企业的影响往往是灾难性的，所以事前控制确保数据安全就显得尤为重要。

因此，建立一套完整的信息安全管理体系已成为各企业、政府和行业组织的共同期待。

二、ISO/IEC27001信息安全管理体系标准的起源和发展:信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。

1999年BSI重新修改了该标准。

BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。

第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO17799标准。

BS7799-2在2002年也由BSI进行了重新的修订。

ISO组织在2005年对ISO17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。

三、ISO/IEC27001信息安全管理体系标准的主要内容：ISO/IEC17799-2000（BS7799-1）对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。

该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。

iso27001推行计划

iso27001推行计划ISO27001推行计划ISO27001是国际标准化组织（ISO）制定的信息安全管理体系标准，它为企业和组织提供了一套全面的信息安全管理框架，以确保其信息资产得到充分保护。

推行ISO27001的计划是企业建立和实施信息安全管理体系的关键步骤，本文将对ISO27001推行计划进行详细介绍。

一、制定推行计划的重要性推行ISO27001需要有一个详细的计划来指导整个过程。

制定推行计划的重要性体现在以下几个方面：1. 有计划地推行ISO27001可以确保推行过程的顺利进行，避免遗漏关键步骤。

2. 推行计划可以帮助企业合理安排资源，提高效率和效果。

3. 推行计划可以帮助企业制定明确的目标和时间表，从而更好地进行监控和评估。

二、推行计划的制定步骤1. 确定推行的范围：首先要确定推行ISO27001的范围，包括推行的部门、业务流程和信息系统等。

这有助于明确推行的重点和目标。

2. 进行风险评估：风险评估是推行ISO27001的基础，通过对信息资产进行风险评估，可以确定关键的风险和威胁，以便制定相应的控制措施。

3. 制定安全政策和目标：安全政策是信息安全管理的基础，它应该体现企业的管理意识和战略目标。

制定安全目标可以帮助企业明确推行的方向和目标。

4. 制定风险处理策略：根据风险评估的结果，制定相应的风险处理策略，包括风险的防范措施、应急响应和持续改进等。

5. 制定详细的工作计划：根据安全政策和目标，制定详细的工作计划，明确推行的具体步骤、时间和责任人等。

工作计划要具体可行，确保每个步骤都能得到有效执行。

6. 实施推行计划：按照工作计划的要求，组织推行ISO27001的工作。

在实施过程中，要注意及时解决问题和调整计划，确保推行的顺利进行。

7. 监控和评估：在推行过程中，要进行监控和评估，及时发现问题并采取措施加以解决。

同时，要定期进行内审和管理评审，确保信息安全管理体系的持续改进。

三、推行计划的关键要素推行ISO27001的计划要考虑以下几个关键要素：1. 高层支持：推行ISO27001需要得到企业高层的支持和重视，只有高层意识到信息安全的重要性，才能确保推行计划的顺利进行。

安永安全管理体系ISO27001认证咨询服务介绍

根据ISO 27001，信息安全管理体系包括： ►11 个详细的控制子条款 ►39 个控制目标
业务连续性管理
合规性
安全策略
►133 个控制
策略程序、流程工作指导书、操作说明、模板、检查表等文档、记录
系统获取开发维护管理
信息安全事故管理
权限控制
信息客户记录个人记录法律记录
信息安全组织资产管理
我们为《财富》500强中超过75%、标准普尔指数成份股中65%的企业，提供审计、税务、风险管理和其他咨询服务。
《财富》全球500强企业 — 安永服务的企业所占百分比
审计客户
税务、风险管理等非审计咨询服务客户指数中所有其他客户
标准普尔1200指数成份股企业 — 安永服务的企业所占百分比
审计客户
税务、风险管理等非审计咨询服务客户
5
《信息系统安全等级保护基本要求》
6
《信息系统安全等级保护实施指南》
7
GB22080-2008-T 信息技术安全技术信息安全管理体系要求
8
GB22081-2008-T 信息技术安全技术信息安全管理实用规则
9
GB50174-2008 电子信息系统机房设计规范
10
GBT 20270-2006 信息安全技术网络基础安全技术要求
国内第二大银行 ► 信息科技等级保护体系建设
e 10
第二部分：信息安全管理体系建设
安永信息安全管理咨询服务
安永的信息安全管理咨询服务根据组织的不同需求为其量身定做适合自己的信息安全管理体系，帮助企业更好的加强自身信息安全管理水平，降低企业业务运作过程中的风险。并采用可信任的控制措施，提供行业解决方案，满足客户的不同需求。

安全管理体系(ISO27001)信息安全事件管理策略

信息安全事件管理策略1目的 (1)2范围 (1)3职责 (1)4策略内容 (1)4.1信息安全事件 (1)4.2信息安全事件分类 (2)4.3信息安全事件分级 (3)4.4报告信息安全事件和弱点 (4)4.5信息安全违法事件 (4)4.6信息安全事件上报 (4)4.7信息安全事件的响应、处置及取证 (5)4.8信息安全事件回顾 (6)5相关文件 (6)6相关记录 (7)附件：信息安全事件处理流程 (8)1 目的为规范公司信息安全事件的报告、处理、回顾和改进机制，明确信息安全事件的管理职责和管理流程，确保信息安全事件发生后能得到及时处置，特制定本策略。

2 范围本策略适用于公司信息安全事件的处置活动。

3 职责4 策略内容4.1 信息安全事件信息安全事件是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件，详见《信息安全事件说明细则》。

信息安全事件的分类分级主要参照《GB/Z 20986—2007 信息安全事件分类分级指南》的要求进行。

一体化质量管理体系的《事件管理程序》中所描述的事件包含信息安全事件。

根据信息安全事件发生的原因、表现形式等，将信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施安全故障、灾害性事件、其它事件，具体如下表所示：表1 信息安全事件分类说明根据各种信息安全事件对公司经营管理的影响范围、程度，以及可能造成的后果和损失，将信息安全事件划分为一般信息安全事件、较大信息安全事件、重大信息安全事件和特别重大信息安全事件四个级别，如下表所示：表2 信息安全事件分级描述按照信息安全事件的影响范围、程度可以确定信息安全事件级别，满足多个定级条件时按照最高级别定义，级别定义矩阵如下：表3 信息安全事件影响范围和影响程度矩阵4.4 报告信息安全事件和弱点1) 各部门可通过网络系统监控、日志审核、安全扫描、杀毒软件、风险评估等手段发现信息安全事件及系统和设备的安全弱点；2) 所有员工和第三方人员应接受培训，使之认识到有责任和义务发现并及时报告信息安全事件和弱点；3) 所有员工和第三方人员发现疑似信息安全事件和弱点后，应根据信息安全事件分类、分级的定义进行初步判断，按照本策略定义的信息安全事件上报流程进行报告和配合处理；4) 事件报告时应尽可能将事件描述清晰，报告内容应包括但不限于事件的性质、发生的时间、现象、影响范围、严重程度以及已经采取的措施和下一步计划；5) 任何企图或实施阻拦、干扰、报复事件报告者的行为都视为违反本策略，将给予相应的处罚；6) 所有员工不得以任何原因或借口延误信息安全事件的上报，更不能隐瞒不报，由于报告不及时而产生的一切后果由责任部门或个人承担；7) 重大级及以上信息安全事件处置策略需由管理者代表批准，若造成重要信息系统中断，则需由信息安全领导小组批准。

ISO27000信息安全管理体系建设咨询服务7.doc

ISO27000信息安全管理体系建设咨询服务7ISO27000信息安全管理体系建设咨询服务目录1概述(3)2准备(5)2.1确定ISMS范围(5)2.2确定信息安全总体方针政策(6)2.3定义风险评估与管理方法(8)2.4项目准备(9)3风险评估(13)3.1现状分析(13)3.2风险评价(15)3.3风险处置(17)4安全体系规划与设计(19)4.1安全体系规划(19)4.2编写安全体系文档(20)5安全体系实施、调整、评审(22)5.1体系实施(22)5.2体系调整(23)5.3体系评审(24)附件1：项目主要任务及活动列表(26)附件2：项目主要文档列表(27)1概述ISO27000信息安全管理体系建设咨询服务阶段流程如下图：实践证明，按照BS7799/ISO27000的要求在组织内部建立并运行信息安全管理体系（ISMS），强化信息安全管理体系的运行审核和管理评审，不断改进优化组织的信息安全管理体系，是处理组织信息安全问题有效手段之一。

根据BS7799/ISO27000要求，在建立、实施、运行、监控、评审、保持与改进组织ISMS 时采用PDCA的过程模型，即首先依据组织的信息安全总体方针政策，通过对ISMS涉及范围内的所有信息资产进行风险评估，选取合适的安全控制措施，建立包括安全策略、控制程序、操作指南/手册在内的文件化的信息安全管理体系，然后在组织内部实施并运行ISMS信息安全策略、控制程序及措施，并通过ISMS运行监控、内部审计及管理评审，发现ISMS存在的问题及弱点，及时采取适当的纠正或预防措施，实现ISMS的持续改进。

信息安全管理体系咨询服务的目的就是根据ISO27001标准的要求，采用PDCA的过程模型，通过基于资产的风险评估，帮助客户建立文件化的信息安全管理体系，辅导客户在其组织范围内实施、运行、评审信息安全管理体系，从而确保客户信息系统的正常运行，提高服务竞争力，最终促进客户业务的开展。

ISO27000信息安全管理体系建设咨询服务

ISO27000信息安全管理体系建设咨询服务目录1概述 (3)2准备 (5)2.1确定ISMS范围 (5)2.2确定信息安全总体方针政策 (6)2.3定义风险评估与管理方法 (8)2.4项目准备 (9)3风险评估 (13)3.1现状分析 (13)3.2风险评价 (15)3.3风险处置 (17)4安全体系规划与设计 (19)4.1安全体系规划 (19)4.2编写安全体系文档 (20)5安全体系实施、调整、评审 (22)5.1体系实施 (22)5.2体系调整 (23)5.3体系评审 (24)附件1：项目主要任务及活动列表 (26)附件2：项目主要文档列表 (27)1概述ISO27000信息安全管理体系建设咨询服务阶段流程如下图：实践证明，按照BS7799/ISO27000的要求在组织内部建立并运行信息安全管理体系（ISMS），强化信息安全管理体系的运行审核和管理评审，不断改进优化组织的信息安全管理体系，是处理组织信息安全问题有效手段之一。

ISO27001：2013信息安全管理体系一整套程序

文件控制制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.管理内容及控制要求 (3)4.1文件的分类 (3)4.2文件编制 (3)4.3文件标识 (4)4.4文件的发放 (5)4.5文件的控制 (5)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (6)4.6.4版本控制 (6)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (7)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。

企业27001信息安全管理体系

企业27001信息安全管理体系一、安全生产方针、目标、原则企业27001信息安全管理体系旨在确保企业信息资产的安全，降低信息安全风险，保障企业正常运行。

安全生产方针、目标、原则如下：1. 安全生产方针：以人为本，预防为主，全面管理，持续改进。

2. 安全生产目标：确保信息安全风险控制在可接受范围内，保障企业信息资产不受损害，实现业务连续性。

3. 安全生产原则：（1）合法性原则：遵循国家法律法规、行业标准和公司制度，确保信息安全管理工作合法合规。

（2）全面性原则：全面识别信息资产，全面排查安全隐患，全面实施安全防护措施。

（3）预防性原则：强化安全意识，预防信息安全风险，降低安全事故发生概率。

（4）动态管理原则：根据企业业务发展和信息安全形势，不断调整和优化信息安全管理体系。

二、安全管理领导小组及组织机构1. 安全管理领导小组成立企业27001信息安全管理体系建设领导小组，负责组织、协调和监督信息安全管理工作。

领导小组由企业负责人担任组长，各部门负责人担任副组长和成员。

2. 工作机构（1）设立信息安全管理部门，负责企业信息安全日常管理工作，包括制定信息安全策略、制度、标准和流程，组织信息安全培训，开展信息安全检查和评估等。

（2）设立信息安全技术支持部门，负责企业信息安全技术保障工作，包括信息安全防护体系建设、信息安全事件应急处置、信息安全技术研究和应用等。

（3）设立信息安全审计部门，负责对企业信息安全管理工作进行审计和监督，确保信息安全管理体系的有效运行。

三、安全生产责任制1、项目经理安全职责项目经理作为项目安全生产的第一责任人，其主要安全职责如下：（1）负责组织制定项目安全生产计划，确保项目安全生产目标符合企业27001信息安全管理体系要求。

（2）负责项目安全生产资源的配置，包括人员、设备、材料等。

（3）组织项目安全生产教育和培训，提高项目团队成员的安全意识。

（4）监督项目安全生产的执行，确保安全防护措施得到有效落实。

ISO27001咨询认证剖析

风险偏好
► 确定风险处置措施
（包含保密级别划分） ► 资产收集及风险评估方法培训 ► 信息资产收集 ► 识别威胁、脆弱性、并安全漏洞扫描 ► 评估风险，划分风险等级 ► 阶段项目总结会议
► ISMS内审培训 ► 制定信息安全管理 ► ISMS内审 ► ISMS外审 ► ISMS管理评审 ► 纠正、预防措施持
ISO27001信息安全管理体系
咨询服务及认证实施
目录
一、ISO27001标准简介
二、ISO27001信息安全项目实施流程
三、ISO27001认证的价值
一、 ISO27000系列标准简介
ISO27000标准族介绍
认证机构认可要求
27000～27009：ISMS基本标准， 27010～27019：ISMS标准族的解释性指南与文档
标准名称
项目实施步骤
1 阶段项目启动和差异分析 2 风险评估
3
体系设计与发布
4
体系运行与监控
5
认证及持续改进
► 项目启动会议，确
► 确定风险容忍度和 ► 制定资产识别标准
主要任务
定项目团队、建立项目组管理架构 ► 信息安全管理现状的快速评估 ► 信息安全管理体系差异分析 ► 设计信息安全方针 ► 设计信息安全管理组织架构 ► 信息安全管理培训 ► 阶段项目总结会议
并实施整改计划 ► 制度整合及信息安全管理体系文档编写 ► 信息安全体系技术控制及管理落地建议 ► 信息安全管理体系发布及培训 ► 阶段项目总结会议
绩效监控流程 ► 信息安全管理体系试运行 ► 体系运行监控 ► 业务连续性管理培训 ► 阶段项目总结会议
续改进建议
► 项目总结会议 ► 协助后续的内审和

ISO27001信息安全管理体系咨询计划安排

改善计划
17
制订改善计划
1天
DXC
2011．1上旬
管理者代表
咨询组根据体系的运行情况，做好体系改善计划，通过体系改进，可以帮助组织提升对体系的认识，以便顺利接受正式审核
18
提交体系运行总体情况报告
DXC
管理者代表
提出体系运行总体情况汇报。
19
采取纠正措施
2天
DXC
相关部门
不断的过程改进要求
正式审核阶段
保证体系的顺利贯彻、执行
4
项目启动会
全体员工参加
保证体系的顺利贯彻、执行
标准培训及风险评估阶段
5
ISMS标准及内审员培训
3天
DXC
2010.8上旬
全体员工参加1天，各部门指定的体系负责人、内审员3天均参加
让参与信息安全管理的人员了解信息安全管理的要求，内审员掌握标准及审核知识，培养体系运行骨干
6
信息安全风险识别及评估方法培训
管理者代表、
主管部门负责人
进行信息安全管理制度以及其他管理性文件的收集，包括公司经营战略订定，规划方式，相关单位的权责与接口
2
明确ISMS所覆盖的组织内部的范围
管理者代表、
主管部门负责人
对于覆盖的范围进行确认，并规划ISMS涉及的组织范围，以保证体系的系统性
3
成立ISMS推进领导组、推进小组
最高管理者、管理者代表
文件编写阶段
9
建立ISMS文件框架
DXC
2010.9.1-9.30
管理者代表、主管部门全体或文件编写组
根据风险评估的结果以及公司的组织架构，确定体系文件的框架
10
ISMS文件的编写
13天

安全服务-信息安全管理体系咨询服务方案

信息安全管理体系咨询服务方案一.服务的实施标准或原则1.1ISO27000标准族介绍1.1.1什么是ISO27000ISO27000--“Information security management system fundamentals and vocabulary”(《信息安全管理体系原理和术语》)该标准主要用于阐述ISMS的基本原理和术语。

ISO27000正式定义这一系列标准中所使用的特定技术词汇。

信息安全和其它大多数技术主题一样包括很多复杂的术语，但很少有人给出严格定义。

这在标准来说是不可接受的，因为这会导致混淆以及正式评估和认证的效果削弱。

ISO27000希望可以成为公认的信息安全术语参考标准。

1.1.2ISO27000标准以及发展历程ISO27000标准族共有以下几个主要标准：27000ISMS综述与术语；27001ISMS要求；27002ISMS实践规范；27003ISMS实施指南；27004ISMS测量；27005信息安全风险管理；27006认证机构要求；27007ISMS审核指南；◆发展历史：✓ISO27000信息安全管理体系(Information Security Management System，ISMS)是ISO发展的一个信息安全管理标准族。

2005年10月，BS7799-2正式成为ISO27001。

这是建立信息安全管理体系(ISMS)的-套规范(Specification for Information Security ManagementSystems)，其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO／IEC17799，其最终目的，在于建立适合企业需要的信息安全管理体系。

✓ISO27001信息技术-安全技术-信息安全管理体系要求。

ISO27001的特点在于定义了包括风险评估、风险处理和管理决策的风险管理方法持续改进的模型，有效性的衡量以及内部和外部可审计的规范。

ISO27001信息安全管理体系--咨询服务及认证实施 ppt课件

项目可能用到的工具
► 信息安全风险评估工具 ► 网络脆弱性评估 ► 服务器端口扫描
► 资产识别工具 ► 渗透测试 ► 信息安全控制审计
参考的相关标准
序号
标准名称
1
ISO 27001 ：2005信息安全管理体系要求
3
ISO 27002 -27005 信息安全管理使用规则实施指南风险评估
4
烟草行业信息安全等级保护规范
► 确定风险容忍度和风险偏好
► 确定风险处置措施并实施整改计划
► 制度整合及信息安全管理体系文档编写
► 信息安全体系技术控制及管理落地建议
► 信息安全管理体系发布及培训
► 阶段项目总结会议
► 制定信息安全管理绩效监控流程
► 信息安全管理体系试运行
► 体系运行监控 ► 业务连续性管理培
► 信息安全管理体系与国际标准ISO27001对标
► 信息安全方针设计
ISO27001信息安全管理体系咨询服务及认证实施
目录
一、ISO27001标准简介二、ISO27001信息安全项目实施流程三、ISO27001认证的价值
一、 ISO27000系列标准简介
ISO27000标准族介绍
认证机构认可要求
27000～27009：ISMS基本标准， 27010～27019：ISMS标准族的解释性指南与文档
访问控制
法律记录通信安全
人力资源安全
物理环境安全
ISO27001信息安全管理体系实施方法
项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标。在贵公司的整体业务风险框架内，依据ISO27001标准，以风险评估为基础，根据风险处置计划建立和实施信息安全管理体系（ISMS）以管理信息安全风险。并通过建立相关监控体系评估ISMS的有效性，最终将针对监测结果对信息安全管理体系进行持续改进。

信息安全管理体系咨询与规划服务预算方案

信息安全管理体系咨询与规划服务预算方案XXX信息安全管理体系建设咨询预算方案XXX年7月文档修订记录文档审批信息目录1需求分析 (1)2概述 (2)2.1目的 (2)2.2目标 (2)2.3范围 (2)3信息安全管理体系咨询服务 (2)3.1信息安全管里体系建设要求 (3)3.2应用于ISMS的PDCA模型 (3)3.3信息安全管理体系建设咨询服务内容 (3)3.4工作方式及报价 (7)1需求分析XXX的业务范围涵盖政府网站群、政务网核心应用和政务网托管应用。

这三类业务范围包含大量的服务器、网络支撑设备及安全设备。

而且有专门的运维商进行日常运维。

随着电子政务建设的不断发展和对信息技术的依赖性增强。

XXX的政府网站应用面临的信息安全环境也变的越来越严峻。

因为，互联网信息世界无时不刻不在发生变革。

尽管相关网站配套支持系统均有相关专业运维团队进行日常运维和技术支持，但XXX网站系统的安全管理状态或者如果有效地将安全技术、安全规范、安全流程落实到实处，从而真正能够缓解面临的风险。

用户也需要有的放矢的对自己的网站群和政务应用进行管理并了解安全管理的绩效。

因此，建立适合XXX网站群及政务应用的信息安全管理体系已成当务之急。

网站群系统及政务应用面临的主要威胁如下图所示：2概述2.1 目的通过为XXX建立有效的信息安全管理体系，将政府网站群及政务应用的技术建设、日常运维及电子政务的规划都纳入到一个可以考核和量化的信息安全管理体系之中。

通过标准化、规范化和流程化的管理措施和方法将“三分技术，七分管理”的全球流行安全理念融入到政务网络的实际建设中并不断发展。

2.2 目标结合国家等级保护建设的基本要求和相关政策，并结合国际流行信息安全管理标准建立一套适合XXX的信息安全管理体系。

以持续完善和改进XXX的政务应用及网站群的安全状况。

2.3 范围本次针对XXX的信息安全管理体系建设涉及以下三大部分的工作范围：●XXX政府网站群；●XXX政务网核心应用；●XXX政务网托管应用；3信息安全管理体系咨询服务信息安全管理体系，简称ISMS。

ISO27001信息安全管理体系实施方案

信息安全管理体系认证咨询项目实施方案目录1项目重点与体系设计 (2)1.1评估现状与标准间的差异 (2)1.2ISO/IEC27001：2013差距分析 (2)1.3基于ISO/IEC27001：2013的管理体系设计 (4)2建设与实施 (6)2.1管理体系建设方法论 (6)2.2实施计划 (7)3交付物一览表 (9)1项目重点与体系设计1.1评估现状与标准间的差异在正式开展信息安全管理体系建设项目之初，咨询顾问为了熟悉客户业务流程、组织架构以及信息安全管控现状，通过深入现场、人员访谈、发放问卷、文件审阅等途径，对客户业务状况以及由此引发的问题和需求进行全面了解，发掘潜在问题，并做分类描述和分析。

同时，将客户的现状和国际标准进行对比，找到现实差距。

差距分析的结果，将成为项目实施的主要依据，以及下阶段风险评估和体系建设的基础。

咨询顾问实施差距分析的方法，是借助咨询方开发的专用差距分析工具，在采集包括信息安全管理相关的信息之后，按照标准要求，全方位展示客户的差距，找到突出的问题所在。

差距分析的结果，可以让客户对自身现状有个直观判断，便于为将来的工作指出重点，也便于通过项目实施之后的再次评估看到项目的绩效。

1.2ISO/IEC27001：2013 差距分析此项差距分析是基于ISO27001:2013版正文条款和附录A的内容分别进行差距分析。

正文条款：差距分析的实质内容共计7章，主要说明了如何建立、实施、维护和持续改进信息安全管理体系（ISMS），以保证在制度层面对信息安全进行有效管理。

附录A：差距分析的内容包括具体的14个控制领域、35个控制目标和114个具体的控制措施，以保证在技术层面对信息安全的有效管理。

我们从体系的运行管理和114个控制项2个部分为客户进行差距分析。

体系的运行管理部分主要评估客户现有的组织架构、信息安全管理活动的成熟度与标准间的差异，此项评估结果会在项目实施阶段组织架构设计和体系运行管理活动设置过程中提供关键的信息。

iso27001体系标准ISO20000信息技术服务管理体系介绍及咨询说明

iso27001体系标准ISO20000信息技术服务管理体系介绍及咨询说明一、ISO/IEC__信息技术服务管理体系标准的起源和发展:1.1自20世纪80年代开始，信息技术（IT）发展对组织业务产生了很大影响。

个人PC、局领网（LAN）、服务器技术以及互联网技术的应用使组织能够以更快地速度向市场提供产品和服务。

随着信息技术的不断应用，组织的业务越来越依赖信息技术，特别是信息技术应用的可靠性，20世纪80年代，英国政府认为提供给他们的IT服务质量不能满足其业务要求，于是便指定中央计算机通信局CCTA(Central Computer and munications Agency,现在为英国贸工部OGC,Office ofGovernment Commerce)开发一套规范化的、可进行财务计量的IT资源使用方法以指导英国公共行政机构高效和经济地使用IT资源，这个项目最终促成信息技术基础设施库（Information Technology Infrastructure Library,ITIL）的产生，ITIL归纳了IT服务产业内的最佳实践，这便是ISO__IT 服务管理标准的前身。

尽管ITIL最初是为英国政府部门开发的，但很快在英国企业得到广发引用，20世纪90年代初期，ITIL被介绍到欧洲的许多国家并在这些国家应用，到90年代中期ITIL已经成为欧洲IT管理领域事实上的标准，90年代后期ITIL又被引入美国、南非以及澳大利亚等国。

1.2鉴于ITIL被广泛应用，英国标准协会在ITIL最佳实践基础上，于2000年11月发布了BS__IT服务管理标准（英国国家标准）。

该标准主要在ITIL基础上开发而成，并于2002年11月进行了修订。

1.3在BS__IT服务管理标准在业界使用的基础上，国际标准化组织于2005年12月15颁布了ISO__IT服务管理标准，成为在IT服务管理领域第一份IT服务管理标准。

为顺应上述的趋势，国标标准化组织开始建立ISO__标准。