ISO27001信息安全管理体系咨询 计划安排
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
阶段
13 10 ISMS文件的编写 天 DXC
11 文件审查
2天 DXC
12 文件修订及发布 DXC
程序等,以及信 息安全组织、信 息安全职责要 求、服务器配置 和安全管理规 定、移动存储介 质安全管理规 定、资产安全管 理规定、网络设 备安全管理规 定、信息分级保 护管理规定等作 业文件,有效文 件共70分左右, 作业表单约90份 左右,当然这只 是经验值,具体 主管部 操作要按贵公司 门或文 的实际情况进行 件编写 调整。 组
2010-8 中、下旬
根据公司信息安 全管理目标要求 对风险等级进行 管理者 划分,以便针对 代表、 不同级别风险, 主管部 实施相应的控制 门全 手段,形成资产 体、各 清单、重要资产
信息安全风险评
8估
DXC
建立ISMS文件框 10
9架
天 DXC
部门指 清单,风险评估 定体系 报告、风险建议 负责人 残余风险报告
管理者 代表、 主管部 根据风险评估的 门全体 结果以及公司的 或文件 组织架构,确定 编写组 体系文件的框架
文件 编写
2010.9.19.30
可以采取两种不 同的方式完成体 系文件的编写, 其一为统一确定 编写小组成员集 中编写,也可按 照职能分配到各 个部门进行编 写,建议集中编 写更适合该体 系。ISMS文件包 括手册、信息安 全风险评估程 序、信息安全控 制措施测量程 序、计算机网络 安全防护程序、 物理和环境安全 管理程序、计算 机病毒安全防护 程序、访问控制 程序、信息系统 备份和恢复管理 程序、文件控制 程序、记录控制 程序、内部审核 程序、管理评审
3、体系运行宣贯培训
领导 正式审核工作按
层、全 照国家规定的审
体部门 核人日管理要求
实施,要标准的
实施流程以及标
2011.1中 下旬
准的工作文档, 审核结论可以 为:通过、不通
过或延期通过三
种,我们保证组
织在我们双方的
积极配合和努力
下顺利通过认证
审核,获得认证
证书。
培训分三个阶段:1、信息安全管理体系标准及内审员培训 2、信息安全风险识别及评估培训
管理者 提出体系运行总
18 体情况报告 1天 DXC
代表 体情况汇报。
19 采取纠正措施 2天 DXC
相关部 不断的过程改进
门
要求
20 接受认证结构正 式评估计划
按照正式审核计
正 式
划进行相应的备 21 审工作
审 22 正式现场审核
核 23 审核问题纠正 阶
段
认
证
机 构 颁发ISMS认证证
24 书
ISO27001信息安全管理体系咨询计划安排
咨询公司投入
计划投入(天) 编 工作任务WBS分
号
解
咨
工询
期 师 开始时间
甲方参 加人员
说明
对公司进行信息
管理现状调查,
了解公司现有经
营战略、规划、 体 组织、资源的理 系 解,确定目标, 策 初步确定过程改 划 进的体制,明确 阶 过程推进核心小 段 1 组组长和成员
16 管理评审
1天 DXC
评估ISMS运行的 成果,需要解决 的重点问题,决 定是否可以提请 领导层 外审
咨询组Байду номын сангаас据体系
的运行情况,做
好体系改善计
划,通过体系改
改 善 计 17 制订改善计划 划
提交体系运行总
进,可以帮助组
2011.1上
织提升对体系的
旬 管理者 认识,以便顺利
DXC
代表 接受正式审核
包括各部门运行
成果要求、内审
体系 试运
14
制定ISMS体系试 运行计划
1天
DXC
管理者 2010.10.1- 代表
计划、管理评审 计划
行阶
2011.1.1
需要进行1-2次
段
内部体系运行的
审核,发现体系
运行当中的问
题,采取纠正、
预防措施加以整
改,保证体系运
行的符合性以及
15 内审
3天 DXC
内审员 有效性
最高管 理者、 管理者 保证体系的顺利 代表 贯彻、执行
4 项目启动会 2天 DXC
全体员 保证体系的顺利 工参加 贯彻、执行
全体员 工参加1 天,各 让参与信息安全 部门指 管理的人员了解 定的体 信息安全管理的 系负责 要求,内审员掌
人、内 握标准及审核知
ISMS标准及内审
2010.8上 审员3天 识,培养体系运
咨询师负责审查 对标准的符合 性,公司相关人 管理者 员负责审查可操 代表 作性
管理者
代表、
主管部
门或文
件编写 保证文件的可执
组
行性
管理者 代表、 主管部 让所有涉及的人 门全 员了解自身的信
ISMS实施宣贯培
13 训
1天 DXC
体、各 息安全管理职 部门指 责、控制要求, 定体系 保证体系的贯 负责人 彻、执行
5 员培训
3天 DXC 旬
均参加 行骨干
管理者
代表、
信息安全风险识
标准培训 后一周左 右
主管部 门全 体、各 部门指 建立风险意识,
别及评估方法培
定体系 为全面识别信息
6训
2天 DXC
负责人 安全风险做准备
标 准 培 训 及 风 险 评 估 阶 段
信息安全风险识 7 别、差距分析
2010-8 DXC 中、下旬
10.8.1
进行信息安全管
理制度以及其他
管理者 管理性文件的收
代表、 集,包括公司经
主管部 营战略订定,规
门负责 划方式,相关单
人
位的权责与接口
明确ISMS所覆盖 的组织内部的范 2围
管理者 对于覆盖的范围
代表、 进行确认,并规
主管部 划ISMS涉及的组
门负责 织范围,以保证
人
体系的系统性
成立ISMS推进领 3 导组、推进小组
所有涉及到信息 管理的部门、人 员、流程全部参 与,保证尽量无 遗漏的识别出信 息安全风险。 进行漏洞扫描, 以便掌握当前设 系统的安全状态 管理者 从安全制度建 代表、 立、安全管理机 主管部 构、资金保障、 门全 人员安全管理、 体、各 系统建设管理、 部门指 系统运维管理等 定体系 方面进行差距分 负责人 析