思乐信息安全管理体系咨询方案

思乐信息安全管理体系咨询方案

（2004-1-2 下午04:42:00）来源：作者：引言

随着信息技术的不断发展和广泛应用，信息已成为政府机构及商业组织保持竞争力和业务持续运营的重要资产。而信息正面临着来各方面越来越多的威胁，如何保障信息安全已经成为亟待解决的关键问

题。

目前，在解决信息安全问题的过程中普遍存在一些问题，如信息安全的需求难以确定，信息安全要保护的对象和边界难以确定；缺乏系统、全面的信息安全风险评估和评价体系；普遍存在重产品、轻服务，重技术、轻管理的思想；缺乏整体、全面的信息安全保障体系等等。

要实现最大限度的信息安全，保障组织的正常运营和业务的连续性，就必须将解决信息安全问题的思路由“产品/技术导向”转变为“需求导向”，全面分析信息资产所面临的风险，从风险管理的角度出发，以管理求安全，并通过技术手段来保证管理目标的实现。

1 信息安全管理体系建设的参考标准

参考国际标准

ISO 17799:2000－信息安全管理体系国际标准

ISO 15408:1999(GB/T 18336:2001)－信息技术安全性评估准则

ISO 13335:1996－IT安全管理指南

ISO7498-2 安全体系结构

参考国内标准

国家标准《计算机安全保护条例》；

国家标准《计算站场地技术要求》（GB2887-89）；

国家标准《计算机机房用活动地板技术条件》（GB6650-86）；

国家标准《电子设备雷击保护导则》（GB7450-87）；

国家标准《信息技术设备的无线电干扰极限值和测量方法》（GB9254-88）；国家标准《计算站场地安全要求》（GB9361-88）；

相关法律、法规

《中华人民共和国保守国家秘密法》

《中华人民共和国保守国家秘密法实施办法》

《中华人民共和国计算机信息系统安全保护条例》

《中华人民共和国信息网络国际互联网管理暂行规定》

《计算机信息网络国际互联网安全保护管理办法》

《新闻出版保密规定》

2 信息安全管理体系咨询服务内容

思乐提供信息安全管理体系建设整体咨询服务或各模块的咨询服务，包括

确定ISMS范围和制订信息安全方针

风险评估和风险管理的方案设计及辅助实施

信息安全管理体系设计

体系文件编写辅导

体系试运行辅导

3 咨询方法

建立与客户联合工作的咨询项目组

客户方面将成立信息安全工作领导小组和信息安全管理体系建设工作组，信息安全领导小组对信息安全管理体系的建设提供总的指导和支持，信息安全管理体系建设工作组负责与思乐顾问组共同实施项目。

信息安全管理体系建设项目的具体工作将由思乐信息安全顾问师组成的信息安全顾问组和客户方体系建设工作组来共同执行。思乐顾问组负责提供实施方案建议及实施指导，客户方体系建设工作组负责具体的实施工作。

以咨询项目组方式进行咨询

思乐公司以项目小组的方式进行咨询，针对特定行业进行最佳的人员组合。每个项目小组将由一名思乐高级咨询顾问担任项目经理，负责领导项目小组工作、进行项目管理，并对最终项目成果的负责。

4 咨询服务流程

思乐咨询服务流程4.1 预咨询阶段

阶段工作目标

通过双方的初步接触与交流，明确咨询双方是否有合作意向协商并确定咨询的内容和范围

起草咨询项目建议书

签订咨询项目合同

工作内容

初步接洽

研究回复

预备调研

起草项目建议书

签订合同

工作成果

项目建议书

项目合同

4.2 项目培训及计划

阶段工作目标

培训相关人员

组建项目团队

制定项目计划

工作内容

项目动员大会

信息安全意识与管理体系基础培训风险评估与风险管理培训

组建项目团队

制订项目工作计划

工作成果

员工安全意识及安全知识提高

项目工作计划

项目组织结构及人员岗位、职责分工4.3 ISMS范围和方针制定

阶段工作目标

确定信息安全管理体系的范围

确定信息安全方针

工作内容

信息收集

调研信息分析

制订ISMS范围

制定信息安全方针

工作成果

ISMS范围文件

信息安全方针文件

4.4风险评估及管理

阶段工作目标

识别组织所面临的信息安全风险确定需处理的风险及安全保证程度工作内容

制定风险评估和风险管理方案

制定风险管理流程

风险评估和风险管理的实施

编制风险评估报告

工作成果

风险评估和风险管理方案

风险评估报告

4.5体系设计及文件编制

阶段工作目标

设计安全管理体系的框架

编制ISMS体系文件

工作内容

安全管理体系的框架设计

编制ISMS体系文件辅导

工作成果

安全管理体系的文件目录及内容框架ISMS体系文件辅导

4.6 体系试运行

阶段工作目标

发布和试运行ISMS

改进ISMS

工作内容

试运行前辅导

符合性评审

工作成果

改进ISMS

4.7 咨询结束阶段

阶段工作目标

结束咨询项目合同

工作内容

项目验收

付款及结束合同

结论