安永安全管理体系ISO27001认证咨询服务介绍

中南美洲：10,000人 分布于30个城市
►
中东及非洲：9,000人
分布于77个城市
澳大利亚/新西兰：9,000 人分布于16个城市
►
►
► ►
IT内部审计服务
IT内控合规及优化服务 IT绩效评估服务
关于安永
—信息科技风险咨询服务
安永及其信息科技风险咨询服务一直被视为信息系统 审计与信息安全咨询行业的领导者，在国际著名IT咨 询机构Forrester发布的全球信息科技安全与风险咨 询报告中，安永连续被评为信息安全与信息风险服务 行业的最佳咨询公司之一。
在中国的专业IT咨询服务团队
► 安永在大中华区有超过300人的IT风险咨询顾问，其中在北京,上海,广州,深圳,香港,台湾等地更是具有 专注在IT咨询服务的团队。 我们在中国地区的IT咨询服务团队介绍：
► 在中国有超过300位专注于IT咨询领域的 顾问专家。
北京
► 安全顾问有不同的背景专长，技能覆盖 信息安全的各个方面。
IT战略规划 IT治理
信息安全咨询服务 IT服务管理咨询服务 IT内部审计 第三方报告 数据管理
IT内部控制评估
ERP系统咨询 IT鉴证审计
全面的信息科技管理咨询业务(续)
全生命周期的管理咨询服务
ISO27001咨询服务
ISO20000咨询服务
安全策略标准规划
等级化安全体系规划
信息科技绩效考核
安永的行业经验—信息科技风险咨询服务及优势
《财富》全球500强企业 — 安永服务的企业所占百分比
23%
审计客户 税务、风险管理等非 审计咨询服务客户
标准普尔1200指数成份股企业 — 安永服务的企业所占百分比
审计客户
40%
35%
税务、风险管理等非 审计咨询服务客户 指数中所有其他客户
52% 25%
指数中所有其他客户
25%
关于安永
—信息科技风险咨询服务
业务现状了解
信息资产识别
威胁 脆弱 性
当前 控制 措施
实 施 (DO)
制定风险接受标准 风险处置计划
检 查 (CHECK)
持续改进机制 管理层评审 内部ISMS审计 持续的风险评估
改 进 （Act）
预防性措施
识别潜在不合 格项 制定预防措 施
可 能 性
严 重 性 风险评价 风险评估
风 险 处 置
制定ISMS文档架构
阶 段 一
项目启动 和差异分析
► 确定项目范围、建立项目
信息安全现状诊断主要范围 现有制度与流程 组织架构与职责
组管理架构，并完成现状 分析
► 对项目范围内现有管理体
系、流程，包含内部控制 制度等进行分析
► 业务与信息管理架构分析
主 要 任 务
与设计
► 项目范围內信息平台、应
用系统分析
► ISMS内审报告 ► ISMS外审报告及改
进
► ISMS管理评审报告 ► 项目总结报告
应培训
► 信息安全体系技术
落地建议书
Plan
Do
Check
Act
1、现状调研
项目启动和差异分析 风险评估 体系设计与发布 体系运行与监控 认证及持续改进
► 目标 ► 对信息安全的要求、信息安全组织 架构、ISMS文件体系、信息安全流 程、信息安全技术架构和技术设施 管理情况、以及员工的信息安全意 识进行综合调研分析。 ► 通过管理和技术手段并用的方式全 面了解贵公司的信息安全现状，为 后续的工作打好基础 ► 实现方法 ► 资料收集及分析
项目实施采取的程序
► 访谈 ► 文档审阅 ► 调查问卷 ► 现场检查 ► 系统检查 ► 技术扫描 ► 网络脆弱性评估 ► 服务器端口扫描
项目可能用到的工具
► 信息安全风险评估工具 ► 资产识别工具 ► 渗透测试 ► 信息安全控制审计
参考的相关标准
序号
1 3 4 5 6 7 8 9 10 11 12 ISO 27001 ：2005信息安全管理体系要求 ISO 27002 -27005 信息安全管理 使用规则 实施指南 风险评估 SP800 - 美国国家标准技术委员会信息安全技术和管理领域的实践参考指南 《信息系统安全等级保护基本要求》 《信息系统安全等级保护实施指南》 GB22080-2008-T 信息技术 安全技术 信息安全管理体系 要求 GB22081-2008-T 信息技术 安全技术 信息安全管理实用规则 GB50174-2008 电子信息系统机房设计规范 GBT 20270-2006 信息安全技术 网络基础安全技术要求 GBT 21028-2007 信息安全技术 服务器安全技术要求 GBT 21052-2007 信息安全技术 信息系统物理安全技术要求
我们已经连续十四年在全球范围内进行信息安全调查 (GISS)，调查的参与者包括了52个国家中的1700个不 同行业的企业，调查问卷参考了ISO27001信息安全管 理体系框架，为各企业管理层做出信息安全方面的重 要决策提供深入的参考信息。
安永在中国大陆和香港地区的信息科技风险咨询服务 部门目前正为中国大陆和香港地区的2 0 0多家企业提 供科技与信息安全方面的服务，这些公司中包括了上 市公司、国有企业、金融机构、政府部门、以及跨国 企业等。
► ►
全球前十大风险管理咨询企业 为财富500强中75%的企业、国内60%的上市公司提供专业 服务
►
与国资委、财政部、发改委、保监会、银监会、证监会等 管理部门建立了良好的关系,由于安永的良好声誉，安永得 以入选国资委09年度央企审计项目入围会计师事务所
Ernst & Young is a leader in Information Security and Risk Consulting Services. Source: The Forrester Wave™: Information Security and Risk Consulting Services, Q3 2010, Forrester Research, Inc., August 2nd, 2010
安永提供的热门服务:
热门话题 客户数据与机密数据保护 业务连续性管理 信息安全治理 身份认证与访问控制管理 虚拟化技术与云计算
安永近期安全项目：
世界最大电力企业之一 ► 信息安全体系和数据保护咨询 国内最大的新能源企业 ► ISO27001服务管理体系实施 国内最大的保险公司 ► 信息安全ISO27001管理体系实施 全球最大的白色家电制造商 ► 信息安全ISO27001管理体系与数 据泄漏保护实施 全球某大芯片制造商 ► 数据泄漏保护实施(R&D) 国内第二大银行 ► 信息科技等级保护体系建设
信息安全标准及监管要求 安永信息安全管理最佳实践 贵公司信息安全需求 制定调研方案
资料收集 文件审核
现场访谈 技术调研 问卷调查
► 问卷调查
► 现场访谈 ► 实地走查 ► 技术调研等方式
信息安全现状调研总结报告
1、现状调研
项目启动和差异分析 风险评估 体系设计与发布 体系运行与监控 认证及持续改进
安永IT咨询服务团队
► 拥有下面专业证书资质: • CISSP • CISM • CISA • BS25999 LA • ISO27001 LA • ISO20000 LA • PMP • ITIL
武汉
上海 台北
广州 深圳
香港
安永信息科技管理咨询服务
科技与信息安全咨询服务（ITRA）在中国有超过300人的专业服务团队，在华北、华中与华 南三大区域为客户提供信息系统审计、信息安全、及信息技术相关咨询等方面的专业服 务，主要服务类型如下：
►
►
►
►
►
第二部分：信息安全管理体系建设
Page 10
安永信息安全管理咨询服务
安永的信息安全管理咨询服务根据组织的不同需求为其量身定做适合自己的信息安全管理体系 ，帮助企业更好的加强自身信息安全管理水平，降低企业业务运作过程中的风险。并采用可信 任的控制措施，提供行业解决方案，满足客户的不同需求。
信息系统风险评估服务 ► 帮助企业发现存在的安全漏洞和威胁， 并提供技术、流程层面的建议 信息安全管理咨询服务 ► 信息安全管理体系实施及信息安全路线 图规划 业务连续性管理服务 ► 防患未然,提升企业应对灾难保持业务 连续性的能力 隐私和数据保护服务 ► 数据分级保护, 使用DLP技术来保护敏 感数据 身份认证与访问管理服务 ► 帮助客户定义与统一管理授权流程与角 色职能，提升防范恶意访问的能力 云安全服务 ► 立足于云服务生命周期的安全需求，提 供相应的安全服务 信息安全快速评估服务 ► 用最短的周期和成本，为客户快速诊断 信息安全症结所在
人力资源安全 物理环境 安全
沟通与运营 管理
安永ISO27001实施方法论(1/2)
安永的项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标 。在贵公司的整体业务风险框架内，依据ISO27001标准，以风险评估为基础，根据风险处 置计划建立和实施信息安全管理体系（ISMS）以管理信息安全风险。并通过建立相关监控 体系评估ISMS的有效性，最终将针对监测结果对信息安全管理体系进行持续改进。 计 划 （PLAN）
风险偏好
► 确定风险处置措施
（包含保密级别划 分） ► 资产收集及风险评 估方法培训 ► 信息资产收集 ► 识别威胁、脆弱性、 并安全漏洞扫描 ► 评估风险，划分风 险等级 ► 阶段项目总结会议
► ISMS内审培训 ► 制定信息安全管理 ► ISMS内审 ► ISMS外审 ► ISMS管理评审 ► 纠正、预防措施持
根据ISO 27001，信息安全管理体系包括： ►11 个详细的控制子条款 ►39 个控制目标 ►133 个控制
合规性 业务连续性 管理 系统获取 开发维护管理
安全策略
信息 客户记录
信息安全组织
策略
信息安全 事故管理
权限控制
个人记录
法律记录
资产管理
程序、流程 工作指导书、操作说 明、模板、检查表等 文档、记录
标准名称
项目实施步骤
1 阶 段 项目启动和差异分析 2 风险评估
3
体系设计与发布
4
体系运行与监控
5
认证及持续改进
► 项目启动会议，确
► 确定风险容忍度和 ► 制定资产识别标准
主 要 任 务
定项目团队、建立 项目组管理架构 ► 信息安全管理现状 的快速评估 ► 信息安全管理体系 差异分析 ► 设计信息安全方针 ► 设计信息安全管理 组织架构 ► 信息安全管理培训 ► 阶段项目总结会议
安永安全管理体系ISO27001 认证咨询服务介绍
Biblioteka Baidu
第一部分：安永介绍
Page 2
关于安永
—安永的全球规模
安永是全球领先的专业服务公司，在140多个国家及地区设有约700多个办事处，拥有超过152,000名专 业人才，2011年度全球总收入约230亿美元。除了提供审计服务外，安永提供的咨询服务包括税务、收 购合并、改善内控制度、风险管理、信息安全以及公司治理方案等。 我们为《财富》500强中超过75%、标准普尔指数成份股中65%的企业，提供审计、税务、风险管理和其 他咨询服务。
临审
► 资产收集及风险评
► 风险容忍标准及风
主 要 交 付 品
► 项目计划 ► 差异分析报告 ► 信息安全管理组织
架构 ► 信息安全方针
估方法与标准 ► 资产级别划分标准 ► 技术弱点扫描报告 ► 资产清单、威胁列 表、脆弱性列表、 风险列表 ► 风险评估报告
险处置计划
► 适用性声明 ► ISMS制度和流程 ► ISMS体系、事故响 ► ISMS绩效监控流程 ► 信息安全推广培训
并实施整改计划 ► 制度整合及信息安 全管理体系文档编 写 ► 信息安全体系技术 控制及管理落地建 议 ► 信息安全管理体系 发布及培训 ► 阶段项目总结会议
绩效监控流程 ► 信息安全管理体系 试运行 ► 体系运行监控 ► 业务连续性管理培 训 ► 阶段项目总结会议
续改进建议
► 项目总结会议 ► 协助后续的内审和
策略
程序与流程 指导书、模板等 文档、记录等 1级 2级 3级 4级
体 系 运 行
改 进 需 求
记录与追踪
纠正性措施
识别不合格项 根源分析 记录与追踪
ISMS体系度量与监 控 效 损 符
合 性 指 标 能 指 标 失 性 指 标
体系发布
安永ISO27001实施方法论(2/2)
项目实施采取的程序和可能用到的工具
北美洲：38,000 人 分布于 119 个城市
欧洲：41,000人 分布于362个城市 亚洲：20,000人 分布于75个城市 日本：3,000人 分布于30个城市
国际著名IT咨询机构Forrester发布的全球信息科技安 全与风险咨询报告
安永信息科技专业服务
►
信息安全管理咨询服务 IT服务管理咨询服务 IT风险评估服务