ISO27001咨詢認(rèn)證剖析課件_第1頁
ISO27001咨詢認(rèn)證剖析課件_第2頁
ISO27001咨詢認(rèn)證剖析課件_第3頁
ISO27001咨詢認(rèn)證剖析課件_第4頁
ISO27001咨詢認(rèn)證剖析課件_第5頁
已閱讀5頁,還剩31頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

ISO27001信息安全管理體系

咨詢服務(wù)及認(rèn)證實(shí)施ISO27001信息安全管理體系

咨詢服務(wù)及認(rèn)證實(shí)施目錄一、ISO27001標(biāo)準(zhǔn)簡介二、ISO27001信息安全項(xiàng)目實(shí)施流程三、ISO27001認(rèn)證的價(jià)值目錄一、ISO27001標(biāo)準(zhǔn)簡介一、

ISO27000系列標(biāo)準(zhǔn)簡介ISO27000標(biāo)準(zhǔn)族介紹27000~27009:ISMS基本標(biāo)準(zhǔn),27010~27019:ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔認(rèn)證機(jī)構(gòu)認(rèn)可要求

一、ISO27000系列標(biāo)準(zhǔn)簡介ISO27000標(biāo)準(zhǔn)族介紹信息安全基本目標(biāo)信息安全通常強(qiáng)調(diào)所謂CIA三元組的目標(biāo),即保密性、完整性和可用性。CIA概念的闡述源自信息技術(shù)安全評估標(biāo)準(zhǔn)(InformationTechnologySecurityEvaluationCriteria,ITSEC),它也是信息安全的基本要素和安全建設(shè)所應(yīng)遵循的基本原則。信息安全基本目標(biāo)信息安全通常強(qiáng)調(diào)所謂CIA三元組的目標(biāo),即保2005與2013區(qū)別:正文2005與2013區(qū)別:正文2005與2013區(qū)別:附錄2005與2013區(qū)別:附錄信息安全管理咨詢服務(wù)將根據(jù)組織的不同需求為其量身定做適合自己的信息安全管理體系,幫助企業(yè)更好的加強(qiáng)自身信息安全管理水平,降低企業(yè)業(yè)務(wù)運(yùn)作過程中的風(fēng)險(xiǎn)。并采用可信任的控制措施,提供行業(yè)解決方案,滿足客戶的不同需求。根據(jù)ISO27001,信息安全管理體系包括:14個(gè)控制域35個(gè)控制目標(biāo)114個(gè)控制措施業(yè)務(wù)連續(xù)性管理訪問控制系統(tǒng)獲取開發(fā)維護(hù)管理通信安全人力資源安全合規(guī)性資產(chǎn)管理信息安全組織物理環(huán)境安全信息安全事件管理信息客戶記錄個(gè)人記錄法律記錄安全策略策略程序、流程工作指導(dǎo)書、操作說明、模板、檢查表等文檔、記錄密碼學(xué)操作安全供應(yīng)商關(guān)系安全管理ISO27001信息安全管理體系信息安全管理咨詢服務(wù)將根據(jù)組織的不同需求為其量身定做適合自己計(jì)劃(PLAN)實(shí)施(DO)檢查(CHECK)改進(jìn)(Act)業(yè)務(wù)現(xiàn)狀了解信息資產(chǎn)識別威脅脆弱性當(dāng)前控制措施風(fēng)險(xiǎn)評價(jià)風(fēng)險(xiǎn)處置制定風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)制定ISMS文檔架構(gòu)策略程序與流程指導(dǎo)書、模板等文檔、記錄等1級2級3級4級可能性嚴(yán)重性持續(xù)改進(jìn)機(jī)制管理層評審內(nèi)部ISMS審計(jì)持續(xù)的風(fēng)險(xiǎn)評估ISMS體系度量與監(jiān)控體系運(yùn)行

符合性指標(biāo)效能指標(biāo)損失性指標(biāo)改進(jìn)需求預(yù)防性措施糾正性措施風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)處置計(jì)劃識別不合格項(xiàng)根源分析

記錄與追蹤識別潛在不合格項(xiàng)

制定預(yù)防措施

記錄與追蹤體系發(fā)布項(xiàng)目方法將基于貴公司的業(yè)務(wù)現(xiàn)狀、對信息安全的要求及建立信息安全策略和目標(biāo)。在貴公司的整體業(yè)務(wù)風(fēng)險(xiǎn)框架內(nèi),依據(jù)ISO27001標(biāo)準(zhǔn),以風(fēng)險(xiǎn)評估為基礎(chǔ),根據(jù)風(fēng)險(xiǎn)處置計(jì)劃建立和實(shí)施信息安全管理體系(ISMS)以管理信息安全風(fēng)險(xiǎn)。并通過建立相關(guān)監(jiān)控體系評估ISMS的有效性,最終將針對監(jiān)測結(jié)果對信息安全管理體系進(jìn)行持續(xù)改進(jìn)。ISO27001信息安全管理體系實(shí)施方法計(jì)劃實(shí)施檢查改進(jìn)業(yè)務(wù)現(xiàn)狀了解信息資產(chǎn)識別威項(xiàng)目實(shí)施采取的程序項(xiàng)目可能用到的工具訪談文檔審閱調(diào)查問卷現(xiàn)場檢查系統(tǒng)檢查技術(shù)掃描信息安全風(fēng)險(xiǎn)評估工具網(wǎng)絡(luò)脆弱性評估服務(wù)器端口掃描資產(chǎn)識別工具滲透測試信息安全控制審計(jì)序號標(biāo)準(zhǔn)名稱1ISO27001:2005信息安全管理體系要求3ISO27002-27005信息安全管理使用規(guī)則實(shí)施指南風(fēng)險(xiǎn)評估4煙草行業(yè)信息安全等級保護(hù)規(guī)范5《信息系統(tǒng)安全等級保護(hù)基本要求》6《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》7GB22080-2008-T信息技術(shù)安全技術(shù)信息安全管理體系要求8GB22081-2008-T信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則9GB50174-2008電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范10GBT20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求11GBT21028-2007信息安全技術(shù)服務(wù)器安全技術(shù)要求12GBT21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求參考的相關(guān)標(biāo)準(zhǔn)項(xiàng)目實(shí)施采取的程序和可能用到的工具ISO27001信息安全管理體系實(shí)施方法(2)項(xiàng)目實(shí)施采取的程序項(xiàng)目可能用到的工具訪談現(xiàn)場檢查信息安全風(fēng)險(xiǎn)項(xiàng)目啟動和差異分析項(xiàng)目啟動會議,確定項(xiàng)目團(tuán)隊(duì)、建立項(xiàng)目組管理架構(gòu)信息安全管理現(xiàn)狀的快速評估信息安全管理體系差異分析設(shè)計(jì)信息安全方針設(shè)計(jì)信息安全管理組織架構(gòu)信息安全管理培訓(xùn)階段項(xiàng)目總結(jié)會議項(xiàng)目計(jì)劃差異分析報(bào)告信息安全管理組織架構(gòu)信息安全方針階段主要任務(wù)主要交付品風(fēng)險(xiǎn)評估資產(chǎn)收集及風(fēng)險(xiǎn)評估方法與標(biāo)準(zhǔn)資產(chǎn)級別劃分標(biāo)準(zhǔn)技術(shù)弱點(diǎn)掃描報(bào)告資產(chǎn)清單、威脅列表、脆弱性列表、風(fēng)險(xiǎn)列表風(fēng)險(xiǎn)評估報(bào)告制定資產(chǎn)識別標(biāo)準(zhǔn)

(包含保密級別劃分)資產(chǎn)收集及風(fēng)險(xiǎn)評估方法培訓(xùn)信息資產(chǎn)收集識別威脅、脆弱性、并安全漏洞掃描評估風(fēng)險(xiǎn),劃分風(fēng)險(xiǎn)等級階段項(xiàng)目總結(jié)會議體系設(shè)計(jì)與發(fā)布風(fēng)險(xiǎn)容忍標(biāo)準(zhǔn)及風(fēng)險(xiǎn)處置計(jì)劃適用性聲明ISMS制度和流程ISMS體系、事故響應(yīng)培訓(xùn)信息安全體系技術(shù)落地建議書體系運(yùn)行與監(jiān)控ISMS績效監(jiān)控流程信息安全推廣培訓(xùn)認(rèn)證及持續(xù)改進(jìn)ISMS內(nèi)審報(bào)告ISMS外審報(bào)告及改進(jìn)ISMS管理評審報(bào)告項(xiàng)目總結(jié)報(bào)告12345確定風(fēng)險(xiǎn)容忍度和風(fēng)險(xiǎn)偏好確定風(fēng)險(xiǎn)處置措施并實(shí)施整改計(jì)劃制度整合及信息安全管理體系文檔編寫信息安全體系技術(shù)控制及管理落地建議信息安全管理體系發(fā)布及培訓(xùn)階段項(xiàng)目總結(jié)會議制定信息安全管理績效監(jiān)控流程信息安全管理體系試運(yùn)行體系運(yùn)行監(jiān)控業(yè)務(wù)連續(xù)性管理培訓(xùn)階段項(xiàng)目總結(jié)會議ISMS內(nèi)審培訓(xùn)ISMS內(nèi)審ISMS外審ISMS管理評審糾正、預(yù)防措施持續(xù)改進(jìn)建議項(xiàng)目總結(jié)會議協(xié)助后續(xù)的內(nèi)審和臨審PlanDoCheckAct項(xiàng)目實(shí)施步驟項(xiàng)目啟動和差異分析項(xiàng)目啟動會議,確定項(xiàng)目團(tuán)隊(duì)、建立項(xiàng)目組管理項(xiàng)目啟動和差距分析風(fēng)險(xiǎn)評估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)項(xiàng)目啟動和差距分析確定項(xiàng)目范圍、建立項(xiàng)目組管理架構(gòu),并完成現(xiàn)狀分析對項(xiàng)目范圍內(nèi)現(xiàn)有管理體系、流程,包含內(nèi)部控制制度等進(jìn)行分析業(yè)務(wù)與信息管理架構(gòu)分析與設(shè)計(jì)項(xiàng)目范圍內(nèi)信息平臺、應(yīng)用系統(tǒng)分析項(xiàng)目范圍內(nèi)相關(guān)部門與重要信息資產(chǎn)的互動與權(quán)限分析信息安全管理體系與國際標(biāo)準(zhǔn)ISO27001對標(biāo)信息安全方針設(shè)計(jì)階段一主要任務(wù)現(xiàn)有制度與流程組織架構(gòu)與職責(zé)信息技術(shù)與平臺各職能部門信息安全現(xiàn)狀診斷主要范圍1.項(xiàng)目啟動及差距分析項(xiàng)目啟動和差距分析風(fēng)險(xiǎn)評估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及項(xiàng)目啟動和差異分析風(fēng)險(xiǎn)評估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)階段二主要任務(wù)信息安全風(fēng)險(xiǎn)評估制定信息資產(chǎn)識別標(biāo)準(zhǔn)(包含保密級別劃分)資產(chǎn)識別及風(fēng)險(xiǎn)評估方法培訓(xùn)信息資產(chǎn)收集識別關(guān)鍵信息資產(chǎn),并評估價(jià)值評估公司層面信息安全控制措施安全漏洞掃描針對關(guān)鍵信息資產(chǎn)進(jìn)行威脅、弱點(diǎn)及影響程度評估,計(jì)算出風(fēng)險(xiǎn)值風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評估成果示例識別關(guān)鍵信息資產(chǎn)公司層面控制信息安全管理成熟度風(fēng)險(xiǎn)評估2.風(fēng)險(xiǎn)評估項(xiàng)目啟動和差異分析風(fēng)險(xiǎn)評估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及建立適合貴公司的信息安全管理體系階段三主要任務(wù)體系設(shè)計(jì)與發(fā)布確定風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)制定風(fēng)險(xiǎn)處置計(jì)劃管理層匯報(bào)定制風(fēng)險(xiǎn)處置實(shí)施整改計(jì)劃依據(jù)信息與業(yè)務(wù)重要性,制定各級信息安全管理制度和流程信息安全體系技術(shù)控制落地及管理落地建議依據(jù)不同對象與時(shí)機(jī),按需制定支持上述流程的工作指導(dǎo)書信息安全管理體系發(fā)布及培訓(xùn)ISMS策略ISMS制度和流程工作指導(dǎo)書、操作手冊、模板、檢查表等表單、記錄1級2級3級4級信息安全管理體系文件第一級信息安全方針信息安全管理評審程序信息安全內(nèi)審管理程序糾正和預(yù)防措施管理程序文檔記錄管控程序有效性測量程序信息資產(chǎn)分類標(biāo)準(zhǔn)風(fēng)險(xiǎn)評估實(shí)施指南信息保密管理辦法人員安全管理程序培訓(xùn)管理規(guī)定第三方安全管理規(guī)定機(jī)房安全管理規(guī)定辦公區(qū)域安全管理規(guī)定系統(tǒng)試運(yùn)行審查規(guī)定系統(tǒng)安全管理規(guī)范網(wǎng)絡(luò)運(yùn)維管理規(guī)范IT終端設(shè)備使用管理規(guī)范變更管理規(guī)定帳戶安全管理規(guī)范防病毒管理策略第二級第三級脆弱性檢查列表威脅檢查表內(nèi)部審計(jì)檢查項(xiàng)第四級審計(jì)報(bào)告日志檢查表文件加密指南移動辦公守則信息安全管理手冊其它表單風(fēng)險(xiǎn)處置方法風(fēng)險(xiǎn)處置計(jì)劃序號整改類型負(fù)責(zé)部門風(fēng)險(xiǎn)描述優(yōu)先等級整改措施完成時(shí)間責(zé)任人管理是否已確定1物理安全運(yùn)維部機(jī)房濕度過低,容易造成電火花以及靜電,給IDC業(yè)務(wù)帶來風(fēng)險(xiǎn)高調(diào)整機(jī)房濕度至合適范圍,并設(shè)置遠(yuǎn)程監(jiān)控與報(bào)警機(jī)制。2009年9月7日張三是2法律法規(guī)合規(guī)運(yùn)維部單位或個(gè)人通過托管的服務(wù)器,利用IDC中心從事危害國家安全、泄露國家機(jī)密等違法犯罪活動高1.與責(zé)任單位簽訂信息安全責(zé)任保障書,明確責(zé)任與義務(wù)2.IDC建立相應(yīng)的管理、監(jiān)督和檢查機(jī)制,實(shí)現(xiàn)實(shí)時(shí)的監(jiān)控2009年10月17日張三審批中項(xiàng)目啟動和差異分析風(fēng)險(xiǎn)評估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)3.體系設(shè)計(jì)及發(fā)布建立適合貴公司的信息安全管理體系階段三主要任務(wù)體系確定風(fēng)險(xiǎn)接項(xiàng)目啟動和差異分析風(fēng)險(xiǎn)評估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)階段四主要任務(wù)體系運(yùn)行與監(jiān)控制定績效監(jiān)控流程體系運(yùn)行監(jiān)控信息安全推廣培訓(xùn)信息安全宣傳內(nèi)部審計(jì)培訓(xùn)信息安全管理體系內(nèi)部審計(jì)信息安全管理體系管理評審會議糾正措施、預(yù)防措施、持續(xù)改進(jìn)建議項(xiàng)目總結(jié)會體系運(yùn)行與監(jiān)控審計(jì)報(bào)告內(nèi)部審計(jì)文件適用性按規(guī)范執(zhí)行內(nèi)審計(jì)劃信息安全體系改進(jìn)方案實(shí)施成果審計(jì)執(zhí)行記錄信息安全管理體系信息安全管理體系內(nèi)部審計(jì)報(bào)告4.體系運(yùn)行及監(jiān)控項(xiàng)目啟動和差異分析風(fēng)險(xiǎn)評估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及目標(biāo)推動ISMS體系在貴公司運(yùn)行,并獲得審核機(jī)構(gòu)頒發(fā)的27001認(rèn)證。實(shí)現(xiàn)方法ISMS體系文件編制完成后,應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施,體系運(yùn)行初期處于體系的磨合期,一般稱為試運(yùn)行期,在此期間運(yùn)行的目的是要在實(shí)踐中檢驗(yàn)體系的充分性、適用性和有效性。試運(yùn)行3個(gè)月后,并完成內(nèi)審和管理評審后,在收集到一些ISMS運(yùn)行記錄后,可以根據(jù)貴公司需求選擇認(rèn)證機(jī)構(gòu)并協(xié)助貴公司通過認(rèn)證。信息安全管理體系認(rèn)證ISMS體系試運(yùn)行ISMS內(nèi)審ISMS管理評審認(rèn)證前培訓(xùn)外審初審支持外審終審支持項(xiàng)目啟動和差異分析風(fēng)險(xiǎn)評估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)5.認(rèn)證及持續(xù)改進(jìn)目標(biāo)信息安全管理體系認(rèn)證ISMS體系試運(yùn)行ISMS內(nèi)審ISM項(xiàng)目實(shí)施流程計(jì)劃項(xiàng)目實(shí)施流程計(jì)劃形成企業(yè)信息安全等級保護(hù)長效機(jī)制信息安全等級保護(hù)規(guī)范制度(1)資產(chǎn)信息及安全評估批量錄入資產(chǎn)配置,自動獲取詳細(xì)資產(chǎn)IT屬性,資產(chǎn)安全等級評估,資產(chǎn)關(guān)聯(lián)連接信息。確保資產(chǎn)信息及安全風(fēng)險(xiǎn)評估高度可見(2)閉環(huán)控制密碼管理和訪問審計(jì),告警和信息推送,監(jiān)督流程,KPI通告等手段確保運(yùn)維安全風(fēng)險(xiǎn)管控(4)保持高可用性主動預(yù)警、主動運(yùn)維,過程監(jiān)督,高效協(xié)同,SLA管控等手段,大幅度提高可用性(5)重大事故應(yīng)急機(jī)制重大事故應(yīng)急流程,事故處置關(guān)注信息推送,監(jiān)督監(jiān)聽,多層次協(xié)調(diào)機(jī)制確保重大事故發(fā)生時(shí)能得到及時(shí)處置(3)信息安全事件管理流程權(quán)責(zé)管控,任務(wù)計(jì)劃,監(jiān)督流程,過程控制,痕跡化,將信息安全規(guī)范制度的執(zhí)行融入日常運(yùn)維工作持續(xù)進(jìn)行融合到業(yè)務(wù)員過程節(jié)點(diǎn)的信息安全保護(hù)規(guī)范制度,持續(xù)執(zhí)行管控,形成長效機(jī)制形成企業(yè)信息安全等級保護(hù)長效機(jī)制信息安全等級保護(hù)(1)資產(chǎn)信維護(hù)單位品牌信譽(yù)履行好信息安全管理職責(zé)的證明保持業(yè)務(wù)持續(xù)發(fā)展和競爭優(yōu)勢增強(qiáng)員工安全意識、責(zé)任感和安全技能保持業(yè)務(wù)持續(xù)發(fā)展和競爭優(yōu)勢更好的實(shí)現(xiàn)風(fēng)險(xiǎn)管控減少損失、降低成本

認(rèn)證的價(jià)值維護(hù)單位品牌信譽(yù)認(rèn)證的價(jià)值ISO27001信息安全管理體系

咨詢服務(wù)及認(rèn)證實(shí)施ISO27001信息安全管理體系

咨詢服務(wù)及認(rèn)證實(shí)施目錄一、ISO27001標(biāo)準(zhǔn)簡介二、ISO27001信息安全項(xiàng)目實(shí)施流程三、ISO27001認(rèn)證的價(jià)值目錄一、ISO27001標(biāo)準(zhǔn)簡介一、

ISO27000系列標(biāo)準(zhǔn)簡介ISO27000標(biāo)準(zhǔn)族介紹27000~27009:ISMS基本標(biāo)準(zhǔn),27010~27019:ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔認(rèn)證機(jī)構(gòu)認(rèn)可要求

一、ISO27000系列標(biāo)準(zhǔn)簡介ISO27000標(biāo)準(zhǔn)族介紹信息安全基本目標(biāo)信息安全通常強(qiáng)調(diào)所謂CIA三元組的目標(biāo),即保密性、完整性和可用性。CIA概念的闡述源自信息技術(shù)安全評估標(biāo)準(zhǔn)(InformationTechnologySecurityEvaluationCriteria,ITSEC),它也是信息安全的基本要素和安全建設(shè)所應(yīng)遵循的基本原則。信息安全基本目標(biāo)信息安全通常強(qiáng)調(diào)所謂CIA三元組的目標(biāo),即保2005與2013區(qū)別:正文2005與2013區(qū)別:正文2005與2013區(qū)別:附錄2005與2013區(qū)別:附錄信息安全管理咨詢服務(wù)將根據(jù)組織的不同需求為其量身定做適合自己的信息安全管理體系,幫助企業(yè)更好的加強(qiáng)自身信息安全管理水平,降低企業(yè)業(yè)務(wù)運(yùn)作過程中的風(fēng)險(xiǎn)。并采用可信任的控制措施,提供行業(yè)解決方案,滿足客戶的不同需求。根據(jù)ISO27001,信息安全管理體系包括:14個(gè)控制域35個(gè)控制目標(biāo)114個(gè)控制措施業(yè)務(wù)連續(xù)性管理訪問控制系統(tǒng)獲取開發(fā)維護(hù)管理通信安全人力資源安全合規(guī)性資產(chǎn)管理信息安全組織物理環(huán)境安全信息安全事件管理信息客戶記錄個(gè)人記錄法律記錄安全策略策略程序、流程工作指導(dǎo)書、操作說明、模板、檢查表等文檔、記錄密碼學(xué)操作安全供應(yīng)商關(guān)系安全管理ISO27001信息安全管理體系信息安全管理咨詢服務(wù)將根據(jù)組織的不同需求為其量身定做適合自己計(jì)劃(PLAN)實(shí)施(DO)檢查(CHECK)改進(jìn)(Act)業(yè)務(wù)現(xiàn)狀了解信息資產(chǎn)識別威脅脆弱性當(dāng)前控制措施風(fēng)險(xiǎn)評價(jià)風(fēng)險(xiǎn)處置制定風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)制定ISMS文檔架構(gòu)策略程序與流程指導(dǎo)書、模板等文檔、記錄等1級2級3級4級可能性嚴(yán)重性持續(xù)改進(jìn)機(jī)制管理層評審內(nèi)部ISMS審計(jì)持續(xù)的風(fēng)險(xiǎn)評估ISMS體系度量與監(jiān)控體系運(yùn)行

符合性指標(biāo)效能指標(biāo)損失性指標(biāo)改進(jìn)需求預(yù)防性措施糾正性措施風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)處置計(jì)劃識別不合格項(xiàng)根源分析

記錄與追蹤識別潛在不合格項(xiàng)

制定預(yù)防措施

記錄與追蹤體系發(fā)布項(xiàng)目方法將基于貴公司的業(yè)務(wù)現(xiàn)狀、對信息安全的要求及建立信息安全策略和目標(biāo)。在貴公司的整體業(yè)務(wù)風(fēng)險(xiǎn)框架內(nèi),依據(jù)ISO27001標(biāo)準(zhǔn),以風(fēng)險(xiǎn)評估為基礎(chǔ),根據(jù)風(fēng)險(xiǎn)處置計(jì)劃建立和實(shí)施信息安全管理體系(ISMS)以管理信息安全風(fēng)險(xiǎn)。并通過建立相關(guān)監(jiān)控體系評估ISMS的有效性,最終將針對監(jiān)測結(jié)果對信息安全管理體系進(jìn)行持續(xù)改進(jìn)。ISO27001信息安全管理體系實(shí)施方法計(jì)劃實(shí)施檢查改進(jìn)業(yè)務(wù)現(xiàn)狀了解信息資產(chǎn)識別威項(xiàng)目實(shí)施采取的程序項(xiàng)目可能用到的工具訪談文檔審閱調(diào)查問卷現(xiàn)場檢查系統(tǒng)檢查技術(shù)掃描信息安全風(fēng)險(xiǎn)評估工具網(wǎng)絡(luò)脆弱性評估服務(wù)器端口掃描資產(chǎn)識別工具滲透測試信息安全控制審計(jì)序號標(biāo)準(zhǔn)名稱1ISO27001:2005信息安全管理體系要求3ISO27002-27005信息安全管理使用規(guī)則實(shí)施指南風(fēng)險(xiǎn)評估4煙草行業(yè)信息安全等級保護(hù)規(guī)范5《信息系統(tǒng)安全等級保護(hù)基本要求》6《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》7GB22080-2008-T信息技術(shù)安全技術(shù)信息安全管理體系要求8GB22081-2008-T信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則9GB50174-2008電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范10GBT20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求11GBT21028-2007信息安全技術(shù)服務(wù)器安全技術(shù)要求12GBT21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求參考的相關(guān)標(biāo)準(zhǔn)項(xiàng)目實(shí)施采取的程序和可能用到的工具ISO27001信息安全管理體系實(shí)施方法(2)項(xiàng)目實(shí)施采取的程序項(xiàng)目可能用到的工具訪談現(xiàn)場檢查信息安全風(fēng)險(xiǎn)項(xiàng)目啟動和差異分析項(xiàng)目啟動會議,確定項(xiàng)目團(tuán)隊(duì)、建立項(xiàng)目組管理架構(gòu)信息安全管理現(xiàn)狀的快速評估信息安全管理體系差異分析設(shè)計(jì)信息安全方針設(shè)計(jì)信息安全管理組織架構(gòu)信息安全管理培訓(xùn)階段項(xiàng)目總結(jié)會議項(xiàng)目計(jì)劃差異分析報(bào)告信息安全管理組織架構(gòu)信息安全方針階段主要任務(wù)主要交付品風(fēng)險(xiǎn)評估資產(chǎn)收集及風(fēng)險(xiǎn)評估方法與標(biāo)準(zhǔn)資產(chǎn)級別劃分標(biāo)準(zhǔn)技術(shù)弱點(diǎn)掃描報(bào)告資產(chǎn)清單、威脅列表、脆弱性列表、風(fēng)險(xiǎn)列表風(fēng)險(xiǎn)評估報(bào)告制定資產(chǎn)識別標(biāo)準(zhǔn)

(包含保密級別劃分)資產(chǎn)收集及風(fēng)險(xiǎn)評估方法培訓(xùn)信息資產(chǎn)收集識別威脅、脆弱性、并安全漏洞掃描評估風(fēng)險(xiǎn),劃分風(fēng)險(xiǎn)等級階段項(xiàng)目總結(jié)會議體系設(shè)計(jì)與發(fā)布風(fēng)險(xiǎn)容忍標(biāo)準(zhǔn)及風(fēng)險(xiǎn)處置計(jì)劃適用性聲明ISMS制度和流程ISMS體系、事故響應(yīng)培訓(xùn)信息安全體系技術(shù)落地建議書體系運(yùn)行與監(jiān)控ISMS績效監(jiān)控流程信息安全推廣培訓(xùn)認(rèn)證及持續(xù)改進(jìn)ISMS內(nèi)審報(bào)告ISMS外審報(bào)告及改進(jìn)ISMS管理評審報(bào)告項(xiàng)目總結(jié)報(bào)告12345確定風(fēng)險(xiǎn)容忍度和風(fēng)險(xiǎn)偏好確定風(fēng)險(xiǎn)處置措施并實(shí)施整改計(jì)劃制度整合及信息安全管理體系文檔編寫信息安全體系技術(shù)控制及管理落地建議信息安全管理體系發(fā)布及培訓(xùn)階段項(xiàng)目總結(jié)會議制定信息安全管理績效監(jiān)控流程信息安全管理體系試運(yùn)行體系運(yùn)行監(jiān)控業(yè)務(wù)連續(xù)性管理培訓(xùn)階段項(xiàng)目總結(jié)會議ISMS內(nèi)審培訓(xùn)ISMS內(nèi)審ISMS外審ISMS管理評審糾正、預(yù)防措施持續(xù)改進(jìn)建議項(xiàng)目總結(jié)會議協(xié)助后續(xù)的內(nèi)審和臨審PlanDoCheckAct項(xiàng)目實(shí)施步驟項(xiàng)目啟動和差異分析項(xiàng)目啟動會議,確定項(xiàng)目團(tuán)隊(duì)、建立項(xiàng)目組管理項(xiàng)目啟動和差距分析風(fēng)險(xiǎn)評估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)項(xiàng)目啟動和差距分析確定項(xiàng)目范圍、建立項(xiàng)目組管理架構(gòu),并完成現(xiàn)狀分析對項(xiàng)目范圍內(nèi)現(xiàn)有管理體系、流程,包含內(nèi)部控制制度等進(jìn)行分析業(yè)務(wù)與信息管理架構(gòu)分析與設(shè)計(jì)項(xiàng)目范圍內(nèi)信息平臺、應(yīng)用系統(tǒng)分析項(xiàng)目范圍內(nèi)相關(guān)部門與重要信息資產(chǎn)的互動與權(quán)限分析信息安全管理體系與國際標(biāo)準(zhǔn)ISO27001對標(biāo)信息安全方針設(shè)計(jì)階段一主要任務(wù)現(xiàn)有制度與流程組織架構(gòu)與職責(zé)信息技術(shù)與平臺各職能部門信息安全現(xiàn)狀診斷主要范圍1.項(xiàng)目啟動及差距分析項(xiàng)目啟動和差距分析風(fēng)險(xiǎn)評估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及項(xiàng)目啟動和差異分析風(fēng)險(xiǎn)評估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)階段二主要任務(wù)信息安全風(fēng)險(xiǎn)評估制定信息資產(chǎn)識別標(biāo)準(zhǔn)(包含保密級別劃分)資產(chǎn)識別及風(fēng)險(xiǎn)評估方法培訓(xùn)信息資產(chǎn)收集識別關(guān)鍵信息資產(chǎn),并評估價(jià)值評估公司層面信息安全控制措施安全漏洞掃描針對關(guān)鍵信息資產(chǎn)進(jìn)行威脅、弱點(diǎn)及影響程度評估,計(jì)算出風(fēng)險(xiǎn)值風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評估成果示例識別關(guān)鍵信息資產(chǎn)公司層面控制信息安全管理成熟度風(fēng)險(xiǎn)評估2.風(fēng)險(xiǎn)評估項(xiàng)目啟動和差異分析風(fēng)險(xiǎn)評估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及建立適合貴公司的信息安全管理體系階段三主要任務(wù)體系設(shè)計(jì)與發(fā)布確定風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)制定風(fēng)險(xiǎn)處置計(jì)劃管理層匯報(bào)定制風(fēng)險(xiǎn)處置實(shí)施整改計(jì)劃依據(jù)信息與業(yè)務(wù)重要性,制定各級信息安全管理制度和流程信息安全體系技術(shù)控制落地及管理落地建議依據(jù)不同對象與時(shí)機(jī),按需制定支持上述流程的工作指導(dǎo)書信息安全管理體系發(fā)布及培訓(xùn)ISMS策略ISMS制度和流程工作指導(dǎo)書、操作手冊、模板、檢查表等表單、記錄1級2級3級4級信息安全管理體系文件第一級信息安全方針信息安全管理評審程序信息安全內(nèi)審管理程序糾正和預(yù)防措施管理程序文檔記錄管控程序有效性測量程序信息資產(chǎn)分類標(biāo)準(zhǔn)風(fēng)險(xiǎn)評估實(shí)施指南信息保密管理辦法人員安全管理程序培訓(xùn)管理規(guī)定第三方安全管理規(guī)定機(jī)房安全管理規(guī)定辦公區(qū)域安全管理規(guī)定系統(tǒng)試運(yùn)行審查規(guī)定系統(tǒng)安全管理規(guī)范網(wǎng)絡(luò)運(yùn)維管理規(guī)范IT終端設(shè)備使用管理規(guī)范變更管理規(guī)定帳戶安全管理規(guī)范防病毒管理策略第二級第三級脆弱性檢查列表威脅檢查表內(nèi)部審計(jì)檢查項(xiàng)第四級審計(jì)報(bào)告日志檢查表文件加密指南移動辦公守則信息安全管理手冊其它表單風(fēng)險(xiǎn)處置方法風(fēng)險(xiǎn)處置計(jì)劃序號整改類型負(fù)責(zé)部門風(fēng)險(xiǎn)描述優(yōu)先等級整改措施完成時(shí)間責(zé)任人管理是否已確定1物理安全運(yùn)維部機(jī)房濕度過低,容易造成電火花以及靜電,給IDC業(yè)務(wù)帶來風(fēng)險(xiǎn)高調(diào)整機(jī)房濕度至合適范圍,并設(shè)置遠(yuǎn)程監(jiān)控與報(bào)警機(jī)制。2009年9月7日張三是2法律法規(guī)合規(guī)運(yùn)維部單位或個(gè)人通過托管的服務(wù)器,利用IDC中心從事危害國家安全、泄露國家機(jī)密等違法犯罪活動高1.與責(zé)任單位簽訂信息安全責(zé)任保障書,明確責(zé)任與義務(wù)2.IDC建立相應(yīng)的管理、監(jiān)督和檢查機(jī)制,實(shí)現(xiàn)實(shí)時(shí)的監(jiān)控2009年10月17日張三審批中項(xiàng)目啟動和差異分析風(fēng)險(xiǎn)評估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)3.體系設(shè)計(jì)及發(fā)布建立適合貴公司的信息安全管理體系階段三主要任務(wù)體系確定風(fēng)險(xiǎn)接項(xiàng)目啟動和差異分析風(fēng)險(xiǎn)評估體系設(shè)計(jì)與發(fā)布體系運(yùn)行與監(jiān)控認(rèn)證及持續(xù)改進(jìn)階段四主要任務(wù)體系運(yùn)行與監(jiān)控制定績效監(jiān)控流程體系運(yùn)行監(jiān)控信息安全推廣培訓(xùn)信息安全宣傳內(nèi)部審計(jì)培訓(xùn)信息安全管理體系內(nèi)部審計(jì)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論