ISO27001信息安全管理体系实施方案.doc

ISO27001信息安全管理体系实施方案7信息安全管理体系认证咨询

项目实施方案

目录

1项目重点与体系设计(2)

1.1评估现状与标准间的差异(2)

1.2ISO/IEC27001：2013差距分析(2)

1.3基于ISO/IEC27001：2013的管理体系设计(4)

2建设与实施(6)

2.1管理体系建设方法论(6)

2.2实施计划(7)

3交付物一览表(9)

1项目重点与体系设计

1.1评估现状与标准间的差异

在正式开展信息安全管理体系建设项目之初，咨询顾问为了熟悉客户业务流程、组织架构以及信息安全管控现状，通过深入现场、人员访谈、发放问卷、文件审阅等途径，对客户业务状况以及由此引发的问题和需求进行全面了解，发掘潜在问题，并做分类描述和分析。同时，将客户的现状和国际标准进行对比，找

到现实差距。差距分析的结果，将成为项目实施的主要依据，以及下阶段风险评估和体系建设的基础。

咨询顾问实施差距分析的方法，是借助咨询方开发的专用差距分析工具，在采集包括信息安全管理相关的信息之后，按照标准要求，全方位展示客户的差距，找到突出的问题所在。差距分析的结果，可以让客户对自身现状有个直观判断，便于为将来的工作指出重点，也便于通过项目实施之后的再次评估看到项目的绩效。

1.2ISO/IEC27001：2013 差距分析

此项差距分析是基于ISO27001:2013版正文条款和附录A的内容分别进行差距分析。正文条款：差距分析的实质内容共计7章，主要说明了如何建立、实施、维护和持续改进信息安全管理体系（ISMS），以保证在制度层面对信息安全进行有效管理。附录A：差距分析的内容包括具体的14个控制领域、35个控制目标和114个具体的控制措施，以保证在技术层面对信息安全的有效管理。

我们从体系的运行管理和114个控制项2个部分为客户进行差距分析。体系的运行管理部分主要评估客户现有的组织架构、信息安全管理活动的成熟度与标准间的差异，此项评估结果会在项目实施阶段组织架构设计和体系运行管理活动设置过程中提供关键的信息。

体系运行管理差距分析示例

附录A 部分的差距分析主要通过对114个控制项的逐一比对，分析客户目前信息安全控制措施与标准间的差距，此项评估结果会在项目实施阶段信息安全管理策略及控制措施编写时提供主要依据和方向。

114控制项差距分析示例

标准要求

成熟度得分

合规要求4 组织环境

7.008.005 领导8.67

8.006 规划

6.008.007 支持

7.14

8.008 运行 6.008.009 绩效评价10.008.0010 改进

10.008.00

标准正文部分得分小计：

78.30

符合

符合

差距分析过程工作表

为了让差距分析的结果更加直观有效，我们以CMMI成熟度评估为模型，已量化的方式向客户展示当前组织信息安全管理成熟度级别以及与标准间存在的差距。

SEI的能力成熟度模型（Capacity Maturity Model）

1.3基于ISO/IEC 27001：2013的管理体系设计

ISO/IEC 27001:2013版对标准架构进行了大幅修改，以适应未来管理体系