ISO 信息安全管理体系建设咨询服务

ISO27000信息安全管理体系建设咨询服务

目录

1概述 (3)

2准备 (5)

2.1确定ISMS范围 (5)

2.2确定信息安全总体方针政策 (6)

2.3定义风险评估与管理方法 (8)

2.4项目准备 (9)

3风险评估 (13)

3.1现状分析 (13)

3.2风险评价 (15)

3.3风险处置 (17)

4安全体系规划与设计 (19)

4.1安全体系规划 (19)

4.2编写安全体系文档 (20)

5安全体系实施、调整、评审 (22)

5.1体系实施 (22)

5.2体系调整 (23)

5.3体系评审 (24)

附件1：项目主要任务及活动列表 (26)

附件2：项目主要文档列表 (27)

1概述

ISO27000信息安全管理体系建设咨询服务阶段流程如下图：

实践证明，按照BS7799/ISO27000的要求在组织内部建立并运行信息安全管理体系（ISMS），强化信息安全管理体系的运行审核和管理评审，不断改进优化组织的信息安全管理体系，是处理组织信息安全问题有效手段之一。

根据BS7799/ISO27000要求，在建立、实施、运行、监控、评审、保持与改进组织ISMS 时采用PDCA的过程模型，即首先依据组织的信息安全总体方针政策，通过对ISMS涉及范围内的所有信息资产进行风险评估，选取合适的安全控制措施，建立包括安全策略、控制程序、操作指南/手册在内的文件化的信息安全管理体系，然后在组织内部实施并运行ISMS信息安全策略、控制程序及措施，并通过ISMS运行监控、内部审计及管理评审，发现ISMS存在的问题及弱点，及时采取适当的纠正或预防措施，实现ISMS的持续改进。

信息安全管理体系咨询服务的目的就是根据ISO27001标准的要求，采用PDCA的过程模型，通过基于资产的风险评估，帮助客户建立文件化的信息安全管理体系，辅导客户在其组织范围内实施、运行、评审信息安全管理体系，从而确保客户信息系统的正常运行，提高服务竞争力，最终促进客户业务的开展。

如上图所示，信息安全管理体系建设咨询服务包括准备、风险评估、安全体系规划与设计、安全体系实施/调整/评审四个阶段，各个阶段说明如下:

第一阶段：准备

准备阶段主要完成信息安全管理体系建设项目的前期准备工作。包括四个工作任务，分别是：

1)确定ISMS范围

根据组织业务需要确定ISMS涵盖的范围，包括地理位置、部门或信息系统等。

2)确定信息安全总体方针政策

分析ISMS范围内的业务及系统安全需求，确定ISMS的总体方针政策。

3)定义风险评估与管理方法

确定风险评估模型，确定风险评估指标，定义风险评估及管理程序。

4)项目准备

制定实施计划、成立项目组、整理开发相关工具模板、召开启动会，进行项目背景知识培训等。

第二阶段：风险评估

分析ISMS范围内的信息安全现状，针对ISMS范围内的所有信息资产，识别并评价其面临的安全风险，提出对应的控制措施。包括三大工作任务，分别为：

1)现状分析

通过访谈、检查及测试了解ISMS范围内的信息安全现状，形成现状报告，并将获取的安全现状与ISO27002中的安全控制措施进行差距分析。

2)风险评价

按照确定的风险评估模型，评价现状分析阶段识别的资产、威胁及弱点，确定资产风险等级。

3)风险处置

确定风险处置方式，选择安全控制措施，制定风险处置计划，进行残余风险分析。

第三阶段：安全体系规划与设计

根据差距分析和风险评估结果规划安全体系建设任务，落实本期建设规划。包括两大工作任务，分别为：

1)安全体系规划

规划信息安全体系建设项目、任务、计划等。

2)编写安全体系文档

设计信息安全体系管理文档或技术方案。

第四阶段：安全体系实施、调整、评审

落实信息安全管理措施，部署信息安全技术措施，运行信息安全管理体系，改进信息安全管理体系不足，按照ISO27001要求进行信息安全管理体系内部审核和管理评审。包括三大工作任务，分别为：

1)体系实施

落实或部署信息安全管理体系的相关管理及技术措施，运行信息安全管理体系。

2)体系调整

针对实施和运行中存在的问题，对信息安全管理体系进行调整改进。

3)体系评审

按照ISO27001要求进行信息安全管理体系内部审核和管理评审。

2准备

2.1确定ISMS范围

根据组织的业务特征、组织结构、地理位置、资产和技术定义ISMS范围和边界。

⏹主要工作任务及内容（活动）

1)信息安全与业务战略及规划一致性分析

针对组织内部安全状况与组织业务战略及规划一致性的分析，主要从客户、合作方等外部角度考虑ISMS需要涵盖的范围。

2)信息安全与相关法规/制度符合性分析

针对组织内部安全状况与法律/法规/制度符合性的分析，主要从合规性方面考虑ISMS 范围需要涵盖的范围。

3)信息安全与业务运营影响分析

针对组织内部安全状况对业务运营影响的分析，主要从内部风险管理角度考虑ISMS需要涵盖范围

4)确定ISMS范围

根据上述分析结果确定ISMS范围（包括涉及的物理位置、业务[流程]、部门、系统等）。

⏹主要工作方式/方法（工作方式、职责划分、工作方法）

组织要建立信息安全管理体系，首先需要划定其范围。确定ISMS的过程如下：

信息安全管理体系是为保障组织信息系统而建立的，而信息系统建设与运行的目标是确保组织业务目标的实现，因此信息安全管理体系建设的最终目的是确保组织业务目标的实现。所以确定ISMS范围时需要从内部业务需求和外部合规性要求出发，对信息安全与组织业务发展战略及规划的一致性、信息安全与与相关法规/制度的符合性、信息安全对业务运营的影响进行综合分析形成与业务目标相一致的ISMS范围。

应该对确定的ISMS范围进行书面说明（可以放在信息安全管理手册或总体方针文件中），对ISMS涉及的部门，位置、业务以及主要资产（主要信息系统或设备）进行描述。

⏹主要输入

⏹主要输出

⏹主要工具/模板

2.2确定信息安全总体方针政策

分析ISMS范围内的业务及系统安全需求，确定ISMS的总体方针政策。

⏹主要工作任务及内容（活动）

1)业务及系统初步安全需求分析

根据组织业务及系统特点进行初步安全需求分析，形成总体安全需求。

2)确定ISMS总体方针政策

在初步安全需求分析结果基础上，确定组织信息安全的总体方针政策，包括ISMS范围、总体目标、安全组织结构、安全管理框架、