安全管理體系ISO27001認(rèn)證咨詢服務(wù)介紹

安永安全管理體系IS027001認(rèn)證咨詢服務(wù)介紹ERNST&

YOUNG安

永第一部分：安永介紹安永是全球領(lǐng)先的專業(yè)服務(wù)公司，在140多個(gè)國家及地區(qū)設(shè)有約700多個(gè)辦事處，擁有超過152,000名專

業(yè)人才，2011年度全球總收入約230億美元。除了提供審計(jì)服務(wù)外，安永提供的咨詢服務(wù)包括稅務(wù)、收

購合并、改善內(nèi)控制度、風(fēng)險(xiǎn)管理、信息安全以及公司治理方案等。我們?yōu)椤敦?cái)富》500強(qiáng)中超過75%、標(biāo)準(zhǔn)普爾指數(shù)成份股中65%的企業(yè)，提供審計(jì)、稅務(wù)、風(fēng)險(xiǎn)管理和其他咨詢服務(wù)。一安永服務(wù)的企業(yè)所占百分比關(guān)于安永—

安

永

的

全

球

規(guī)

模審計(jì)客戶稅務(wù)、風(fēng)險(xiǎn)管理等非審計(jì)咨詢服務(wù)客戶指數(shù)中所有其他客戶審計(jì)客戶稅務(wù)、風(fēng)險(xiǎn)管理等非

審計(jì)咨詢服務(wù)客戶指數(shù)中所有其他客戶標(biāo)準(zhǔn)普爾1200指數(shù)成份股企業(yè)

一安永服務(wù)的企業(yè)所占百分比ERNST&

YOUNG《財(cái)富》全球500強(qiáng)企業(yè)安

永關(guān)于安永

信息科技風(fēng)險(xiǎn)咨詢服務(wù)

全球前十大風(fēng)險(xiǎn)管理咨詢企業(yè)

Figure

3

Forrester

Wave":Information

Security

And

Risk

Consulting,Q3'10

Risky

StrongBots

Contenders

Pertormon

LosdorsStrongPwCEmat&

YounaccentureO

KPMGBMProtivu

·

AaTOCurrentofferingMarkotpresengeWoakWeok

Stiategy

Strong為財(cái)富500強(qiáng)中75%的企業(yè)、國內(nèi)60%的上市公司提供專業(yè)服務(wù)與國資委、財(cái)政部、發(fā)改委、保監(jiān)會、銀監(jiān)會、證監(jiān)會等管理部門建立了良好的關(guān)系，由于安永的良好聲譽(yù)，安永得

以入選國資委09

年度央企審計(jì)項(xiàng)目入圍會計(jì)師事務(wù)所安永信息科技專業(yè)服務(wù)

信息安全管理咨詢服務(wù)IT服

務(wù)

管

理

咨

詢

服

務(wù)IT

風(fēng)

險(xiǎn)

評

估

服

務(wù)IT

內(nèi)

部

審

計(jì)

服

務(wù)IT

內(nèi)

控

合

規(guī)

及

優(yōu)

化

服

務(wù)IT

績

效

評

估

服

務(wù)中東及非洲：9.000人分布于77個(gè)城市澳大利亞/新西蘭：

9,000

人分布于16個(gè)城市Souce:

Forrester

Research

Ine.因

際

著

名

懺

咨

詢

機(jī)

構(gòu)Forrester

發(fā)

布

的

全

球

倍

息

科

技

安全

與

風(fēng)險(xiǎn)

咨

詢

振

告ERNST&

YOUNG安

永歐洲：41,000人分布于362個(gè)城市亞洲：20.000人分布于75個(gè)城市

分布于30個(gè)城市HP

wiproBT

Global

Servikes中南美洲：10.000人

分布于30個(gè)城市北美洲：38,000人

分布于119個(gè)城市◎

Verizon

Business日本：3,000人安永及其信息科技風(fēng)險(xiǎn)咨詢服務(wù)一直被視為信息系統(tǒng)

審計(jì)與信息安全咨詢行業(yè)的領(lǐng)導(dǎo)者，在國際著名IT咨詢機(jī)構(gòu)Forrester

發(fā)布的全球信息科技安全與風(fēng)險(xiǎn)咨

詢報(bào)告中，安永連續(xù)被評為信息安全與信息風(fēng)險(xiǎn)服務(wù)

行業(yè)的最佳咨詢公司之一。我們已經(jīng)連續(xù)十四年在全球范圍內(nèi)進(jìn)行信息安全調(diào)查(GISS),

調(diào)查的參與者包括了52個(gè)國家中的1700個(gè)不

同行業(yè)的企業(yè)，調(diào)查問卷參考了IS027001信息安全管

理體系框架，為各企業(yè)管理層做出信息安全方面的重

要決策提供深入的參考信息。安永在中國大陸和香港地區(qū)的信息科技風(fēng)險(xiǎn)咨詢服務(wù)

部門目前正為中國大陸和香港地區(qū)的200多家企業(yè)提

供科技與信息安全方面的服務(wù)，這些公司中包括了上

市公司、國有企業(yè)、金融機(jī)構(gòu)、政府部門、以及跨國

企業(yè)等。關(guān)于安永—

信

息

科

技

風(fēng)

險(xiǎn)

咨

詢

服

務(wù)撥開迷霧入云端安永2011年全球信息安全調(diào)查ERNST&

YOUNG

安

永ERNST&

YOUNC

安

永安永在大中華區(qū)有超過300人的IT風(fēng)險(xiǎn)咨詢顧問，其中在北京，上海，廣州，深圳，香港，臺灣等地更是具有專注在IT咨詢服務(wù)的團(tuán)隊(duì)。我們在中國地區(qū)的IT咨詢服務(wù)團(tuán)隊(duì)介紹：在中國有超過300位專注于IT咨詢領(lǐng)域的顧問專家。安全顧問有不同的背景專長，技能覆蓋信息

安全的各個(gè)方面。擁有下面專業(yè)證書資質(zhì)：CISSPCISMCISABS25999

LAISO27001

LAISO20000LAPMP北京安永IT咨詢服務(wù)團(tuán)隊(duì)武漢廣州深圳香港在中國的專業(yè)IT咨詢服務(wù)團(tuán)隊(duì)讓海臺北ERNST&

YOUNG

安

永科技與信息安全咨詢服務(wù)

(ITRA)

在中國有超過300人的專業(yè)服務(wù)團(tuán)隊(duì)，在華北、華中與華

南三大區(qū)域?yàn)榭蛻籼峁┬畔⑾到y(tǒng)審計(jì)、信息安全、及信息技術(shù)相關(guān)咨詢等方面的專業(yè)服務(wù)

,主要服務(wù)類型如下：安永信息科技管理咨詢服務(wù)ERNST&

YOUNG安

永全面的信息科技管理咨詢業(yè)務(wù)(續(xù))全生命周期的管理咨詢服務(wù)評估階段

規(guī)劃階段

實(shí)施階段

運(yùn)行階段IT安全

的

戰(zhàn)略

建設(shè)規(guī)劃IT安全

技術(shù)

方案

設(shè)計(jì)規(guī)劃IS027001咨詢服務(wù)

IS020000咨詢服務(wù)

安全策略標(biāo)準(zhǔn)規(guī)劃

等級化安全體系規(guī)劃

信息科技績效考核安全GRC平臺方案規(guī)劃

防欺詐平臺方案規(guī)劃

SOC平臺方案規(guī)劃IAM平臺方案規(guī)劃

DLP平臺方案規(guī)劃信息安全管理體系

預(yù)控制評估人力安全評估IT隱私安全

預(yù)控制評估數(shù)據(jù)生命周期評估靜態(tài)代碼評估滲透測試評估

威脅路徑評估日常運(yùn)維流預(yù)評估電子交易安全評估BIA安全評估IRP能力評估社會工程評估安全開發(fā)生命周期體系規(guī)劃

安全事故響應(yīng)計(jì)劃體系規(guī)劃安全運(yùn)行中心(SOC)體系規(guī)劃

業(yè)務(wù)連續(xù)性管理體系設(shè)計(jì)

安全托管服務(wù)體系規(guī)劃IT

合規(guī)

遵從

安全性評估IT

技術(shù)

脆弱性評估IT控制

過程

脆弱性評估安全

技術(shù)

產(chǎn)品

選型

咨詢安全

威脅

場景策略

分析ERNST&

YOUNG安

永BCP&DRP優(yōu)化與演練安全專家

代維服務(wù)信息安全

意識教育信息安全

知識培訓(xùn)信“息安全的項(xiàng)目監(jiān)理業(yè)務(wù)信息系統(tǒng)的流程梳理與資產(chǎn)識別信息安全的審計(jì)支持全維詢務(wù)

安運(yùn)咨服安全

技術(shù)

咨詢

服務(wù)安全管理咨詢

服務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評估服務(wù)幫助企業(yè)發(fā)現(xiàn)存在的安全漏洞和威脅，并提供技術(shù)、流程層面的建議信息安全管理咨詢服務(wù)信息安全管理體系實(shí)施及信息安全路線圖

規(guī)劃業(yè)務(wù)連續(xù)性管理服務(wù)防患未然，提升企業(yè)應(yīng)對災(zāi)難保持業(yè)務(wù)連續(xù)

性的能力隱私和數(shù)據(jù)保護(hù)服務(wù)數(shù)據(jù)分級保護(hù)，使用DLP技術(shù)來保護(hù)敏感數(shù)據(jù)身份認(rèn)證與訪問管理服務(wù)幫助客戶定義與統(tǒng)一管理授權(quán)流程與角色

職能，提升防范惡意訪問的能力云安全服務(wù)立足于云服務(wù)生命周期的安全需求，提供

相應(yīng)的安全服務(wù)信息安全快速評估服務(wù)用最短的周期和成本，為客戶快速診斷信

息安全癥結(jié)所在世界最大電力企業(yè)之一信息安全體系和數(shù)據(jù)保護(hù)咨詢國內(nèi)最大的新能源企業(yè)IS027001服務(wù)管理體系實(shí)施國內(nèi)最大的保險(xiǎn)公司信息安全I(xiàn)S027001管理體系實(shí)施全球最大的白色家電制造商信息安全I(xiàn)S027001管理體系與數(shù)據(jù)泄

漏保護(hù)實(shí)施全球某大芯片制造商數(shù)據(jù)泄漏保護(hù)實(shí)施(R&D)國內(nèi)第二大銀行信息科技等級保護(hù)體系建設(shè)安永的行業(yè)經(jīng)驗(yàn)—信息科技風(fēng)險(xiǎn)咨詢服務(wù)及優(yōu)執(zhí)分

安永提供的熱門服務(wù)：

安永近期安全項(xiàng)目：熱門話題客戶數(shù)據(jù)與機(jī)密數(shù)據(jù)保護(hù)業(yè)務(wù)連續(xù)性管理信

息安全治理身份認(rèn)證與訪問控制管理虛擬化技術(shù)與云計(jì)算ERNST&

YOUNG安

永第二部分：信息安全管理體系建設(shè)業(yè)務(wù)連續(xù)性

管理系統(tǒng)獲取開發(fā)維護(hù)管理信息安全事故管理權(quán)限控制法律記錄安全策略信息安全組織資產(chǎn)管理人力資源安全根

據(jù)ISO

27001,

信息安全管理體系包括：11個(gè)詳細(xì)的控制子條款39

個(gè)控制目標(biāo)133

個(gè)

控

制安永的信息安全管理咨詢服務(wù)根據(jù)組織的不同需求為其量身定做適合自己的信息安全管理體系

幫助企業(yè)更好的加強(qiáng)自身信息安全管理水平，降低企業(yè)業(yè)務(wù)運(yùn)作過程中的風(fēng)險(xiǎn)。并采用可信任的控制措施，提供行業(yè)解決方案，滿足客戶的不同需求。安永信息安全管理咨詢服務(wù)程序、流程工作指導(dǎo)書、操作說

明、模板、檢查表等ERNST&

YOUNG

Quality

In

Everything

We

Do溝通與運(yùn)營

管理物理環(huán)境

安全合規(guī)性安永ISO27001

實(shí)施方法論(1/2)安永的項(xiàng)目方法將基于貴公司的業(yè)務(wù)現(xiàn)狀、對信息安全的要求及建立信息安全策略和目標(biāo)

。在貴公司的整體業(yè)務(wù)風(fēng)險(xiǎn)框架內(nèi)，依據(jù)1S027001標(biāo)準(zhǔn)，以風(fēng)險(xiǎn)評估為基礎(chǔ)，根據(jù)風(fēng)險(xiǎn)處

置計(jì)劃建立和實(shí)施信息安全管理體系

(ISMS)

以營理信息安全風(fēng)險(xiǎn)。并通過建立相關(guān)監(jiān)控

體系評估ISMS

的有效性，最終將針對監(jiān)測結(jié)果對信息安全管理體系進(jìn)行持續(xù)改進(jìn)。檢

查(CHECK)持續(xù)改進(jìn)機(jī)制管理層評審內(nèi)

部ISMS

審

計(jì)持續(xù)的風(fēng)險(xiǎn)評估實(shí)

施(DO)制定風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)風(fēng)險(xiǎn)處置計(jì)劃制定15

文檔架構(gòu)計(jì)

劃(PLAN)業(yè)務(wù)現(xiàn)狀了解信息資產(chǎn)識別改

進(jìn)(Act)識別潛在不合制定預(yù)防措施記錄與追蹤損失性指效能指標(biāo)符合性指識別不合格項(xiàng)根源分析記錄與追蹤ERNST&YOUNG

Quality

In

Everything

We

Do風(fēng)險(xiǎn)處置改進(jìn)需求體系運(yùn)行風(fēng)險(xiǎn)評價(jià)體系發(fā)布序號標(biāo)準(zhǔn)名稱1ISO

27001:2005信息安全管理體系要求3ISO

27002-27005信息安全管理使用規(guī)則實(shí)施指南風(fēng)險(xiǎn)評估4SP800-美國國家標(biāo)準(zhǔn)技術(shù)委員會信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南5《信息系統(tǒng)安全等級保護(hù)基本要求》6《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》7GB22080-2008-T信息技術(shù)安全技術(shù)信息安全管理體系要求8GB22081-2008-T信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則9GB50174-2008電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范10GBT

20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求11GBT

21028-2007信息安全技術(shù)服務(wù)器安全技術(shù)要求12GBT

21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求項(xiàng)目實(shí)施采取的程序項(xiàng)目可能用到的工具安永ISO27001

實(shí)施方法論(2/2)ERNST&

YOUNGQuality

In

Everything

We

Do制定資產(chǎn)識別標(biāo)準(zhǔn)(包含保密級別劃

分

)資產(chǎn)收集及風(fēng)險(xiǎn)評

估方法培訓(xùn)信息資產(chǎn)收集識別威脅、脆弱性

、并安全漏洞掃描評估風(fēng)險(xiǎn)，劃分風(fēng)險(xiǎn)等級階段項(xiàng)目總結(jié)會議確定風(fēng)險(xiǎn)容忍度和

風(fēng)險(xiǎn)偏好確定風(fēng)險(xiǎn)處置措施

并實(shí)施整改計(jì)劃制度整合及信息安

全管理體系文檔編寫信息安全體系技術(shù)

控制及管理落地建議信息安全管理體系

發(fā)布及培訓(xùn)階段項(xiàng)目總結(jié)會議項(xiàng)目啟動會議，確定項(xiàng)目團(tuán)隊(duì)、建立

項(xiàng)目組管理架構(gòu)信息安全管理現(xiàn)狀

的快速評估信息安全管理體系

差異分析設(shè)計(jì)信息安全方針

設(shè)計(jì)信息安全管理組織架構(gòu)信息安全管理培訓(xùn)

階段項(xiàng)目總結(jié)會議ISMS

內(nèi)審培訓(xùn)?

ISMS內(nèi)審?

ISMS外審?

ISMS管理評審糾正、預(yù)防措施持

續(xù)改進(jìn)建議項(xiàng)目總結(jié)會議協(xié)助后續(xù)的內(nèi)審和

臨審項(xiàng)

目

計(jì)

劃差異分析報(bào)告信息安全管理組織架構(gòu)信息安全方針I(yè)SMS

內(nèi)審報(bào)告ISMS

外審報(bào)告及改進(jìn)?

ISMS

管理評審報(bào)告

項(xiàng)目總結(jié)報(bào)告風(fēng)險(xiǎn)容忍標(biāo)準(zhǔn)及風(fēng)

險(xiǎn)處置計(jì)劃適用性聲明ISMS

制度和流程ISMS

體系、事故響

應(yīng)培訓(xùn)信息安全體系技術(shù)

落地建議書資產(chǎn)收集及風(fēng)險(xiǎn)評

估方法與標(biāo)準(zhǔn)資產(chǎn)級別劃分標(biāo)準(zhǔn)技術(shù)弱點(diǎn)掃描報(bào)告資產(chǎn)清單、威脅列表、脆弱性列表、風(fēng)險(xiǎn)列表風(fēng)險(xiǎn)評估報(bào)告制定信息安全管理

績效監(jiān)控流程信息安全管理體系

試運(yùn)行體系運(yùn)行監(jiān)控業(yè)務(wù)連續(xù)性管理培訓(xùn)階段項(xiàng)目總結(jié)會議主要任務(wù)2風(fēng)險(xiǎn)評估項(xiàng)目實(shí)施步驟4體系運(yùn)行與監(jiān)控3體系設(shè)計(jì)與發(fā)布5認(rèn)證及持續(xù)改進(jìn)主要交付品ERNST&

YOUNG

Quality

In

Everything

We

DoISMS

績效監(jiān)控流程

信息安全推廣培訓(xùn)項(xiàng)目啟動和差異分析階段1目標(biāo)對信息安全的要求、信息安全組織架構(gòu)ISMS文件體系、信息安全流程、信息

安全技術(shù)架構(gòu)和技術(shù)設(shè)施管理情況、以

及員工的信息安全意識進(jìn)行綜合調(diào)研分

析。通過管理和技術(shù)手段并用的方式全面了

解貴公司的信息安全現(xiàn)狀，為后續(xù)的工

作打好基礎(chǔ)實(shí)現(xiàn)方法資料收集及分析問卷調(diào)查現(xiàn)場訪談實(shí)地走查技術(shù)調(diào)研等方式信息安全標(biāo)準(zhǔn)及監(jiān)管要求安永信息安全管理最佳實(shí)踐貴公司信息安全需求制定調(diào)研方案資料收集

現(xiàn)場訪談技術(shù)調(diào)研文件審核

問卷調(diào)查1、現(xiàn)狀調(diào)研信息安全現(xiàn)狀調(diào)研總結(jié)報(bào)告ERNST&

YOUNG

Quality

In

Everything

We

Do項(xiàng)目啟動和差異分析確定項(xiàng)目范圍、建立項(xiàng)目組管理架構(gòu)，并完成現(xiàn)狀

分析對項(xiàng)目范圍內(nèi)現(xiàn)有管理體

系、流程，包含內(nèi)部控制

制度等進(jìn)行分析業(yè)務(wù)與信息管理架構(gòu)分析

與設(shè)計(jì)項(xiàng)目范圍內(nèi)信息平臺、應(yīng)

用系統(tǒng)分析項(xiàng)目范圍內(nèi)相關(guān)部門與重

要信息資產(chǎn)的互動與權(quán)限分析信息安全管理體系與國際

標(biāo)準(zhǔn)ISO27001

對標(biāo)信息安全方針設(shè)計(jì)1、現(xiàn)狀調(diào)研信息安全現(xiàn)狀診斷主要范圍ERNST&

YOUNG

Quality

In

Everything

We

Do組織架構(gòu)與職責(zé)信息技術(shù)與平臺現(xiàn)有制度與流程主要任務(wù)各職能部門階段aalasnial0m

m

sLa面atiVeaawMMaa00Nwroa網(wǎng)國望密可NwWFOGINahmicnaN1Wabtbs近ahCPa

hnN可簽s工P01b間風(fēng)四aa可NjWMFO4amomaNVbt網(wǎng)的N寫1WaF8寫Nabt從即而1E四aoMbUWU08團(tuán)寫N0國e

四J等NMUnoM閱見MMWNnNbtuwn四MhRmdNNabt四毫N0N13UPM閱四g麗M寫wsMN圖M寫NwbWO力間以國里MjWFCFicna高除Nabt*60M子WbWafafn189tNgWwowf5aeea0Nwn四GmnaAhNFO44四NvabtWfeiN691工

置16a童系*4snart

a

0

0

電量nt通

通重Lnai

out大a重4重nt大6**H文

善H量

卷出

情fna

lat重

毒為責(zé)量

系I4人為責(zé)eir再

其

士比

海

時(shí)

isarr收集項(xiàng)目相關(guān)的文檔，通過對收集的資料進(jìn)行分析，快速了解貴公司信息安全基本情況為后續(xù)工作打好基礎(chǔ)。1.1、資料收集&YOUNGxuamy

m

cverything

We

DoERNSTS

YOUNG安

承5.設(shè)

備

資

產(chǎn)3.數(shù)據(jù)查產(chǎn)對貴公司現(xiàn)存的信息安全管理制度、管理流程、記錄文檔等文件進(jìn)行審核，深入了解管理體系是否健全，以及技術(shù)和數(shù)據(jù)保護(hù)體系是否落實(shí)到位。1.2、文件審核ERNST&

YOUNG

Quality

In

Everything

We

Do唐息安全職責(zé)矩陣及工作職責(zé)文檔Itosbu訪談目的和范圍賀授理曼落用業(yè)剪譽(yù)幸父員管理層訪談主要是了解相關(guān)人員對當(dāng)前公訪談安排制定訪談計(jì)劃訪談綱要根據(jù)不同對象設(shè)計(jì)訪談綱要，

一般

包括管理層代表、量要部門業(yè)務(wù)骨

干等訪談綱要。01-物理安全訪談表.doc可

02-網(wǎng)絡(luò)安全訪談表.doc03-主機(jī)系統(tǒng)安全訪談表.doc

04

應(yīng)用安全訪談表，doc05-數(shù)據(jù)安全訪談表.doc06-安全管理機(jī)構(gòu)訪談表.doc

07-安全管理制度訪談表，doc08-人員安全管理訪談表，doc]

09-系統(tǒng)建設(shè)管理訪談表.doc10-采統(tǒng)運(yùn)維管理訪談表，o向信

工

作

的

看

法

、

關(guān)

注

的

風(fēng)險(xiǎn)發(fā)對未來的期望，了解貧土的信

息安全意識情況。1.3、人員訪談ERNST&

YOUNG

Quality

In

Everything

We

Do問卷調(diào)研的對象：信息安全及主要業(yè)務(wù)系統(tǒng)和IT基礎(chǔ)設(shè)施的管理、維護(hù)人員。根據(jù)不同的對象設(shè)計(jì)不同的調(diào)研問卷，充分了解相關(guān)領(lǐng)域的信息安全管理現(xiàn)狀，具體事例如下：坊戰(zhàn)項(xiàng)獨(dú)據(jù)保密性訪項(xiàng)談備管理1.坊談網(wǎng)絡(luò)管理員，詢問

信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備的

鑒列世息、韻感的系抗管

理救據(jù)和數(shù)感的用戶數(shù)據(jù)

是香采用加密或其他有效

描施實(shí)現(xiàn)傳輸保密性□是

口香

□其他2.是否采用加密惑其他保

護(hù)措施實(shí)現(xiàn)存情保密性

O是O否

□其他3.訪談系統(tǒng)管理員，詢問

信息系婉中的報(bào)作系統(tǒng)的

業(yè)別信息、的感的系統(tǒng)管理數(shù)據(jù)和放盛的用戶數(shù)據(jù)

是否采用加密或其他有效措施實(shí)現(xiàn)傳輸保密性口是

口青

□其他4.是否采用加密惑其他保

護(hù)措施實(shí)現(xiàn)存儲保密性

O是O否

〇其他訪談()1.新談資產(chǎn)管理員，問是否時(shí)各關(guān)設(shè)赫、設(shè)備指定走人成卻們斷定

期

護(hù)

，0是0否〇其他3訪談資產(chǎn)管理員，目問

是后對設(shè)備選用的各個(gè)環(huán)

節(jié)(進(jìn)型、采、發(fā)放等)

進(jìn)行審批控制0是0否(其他訪系管理員，調(diào)間其射努是礎(chǔ)征

醋

，0是O否0其他7.訪談審計(jì)務(wù)器的操作志日ま文0是0E.由何部門洞人維護(hù)，連護(hù)周多長4是否樹設(shè)備帶離機(jī)構(gòu)進(jìn)行審北控制，設(shè)備的操作

和使用是否要求規(guī)范化

管

醒0是0否()他6對服務(wù)器的操作是否投操作視程進(jìn)行0是O否0其他B.是否定蹴訪談(A)0是0否5.坊資敗據(jù)庫管理員，詢

問信息系統(tǒng)中的數(shù)規(guī)車管

理系統(tǒng)的監(jiān)別信息，敏感

的系統(tǒng)管理數(shù)據(jù)和的題的

用戶缺據(jù)是否采用加密或

具他有效描箱實(shí)現(xiàn)情輸保

密

性O(shè)

是

O

否

O

其

他6.是否采用如密或其他保

護(hù)措蒸實(shí)現(xiàn)存情保密性

O

是

O

否

口

其

他7.訪談責(zé)全員，詢問情息

系統(tǒng)中的應(yīng)用系統(tǒng)的鑒別

信息、敬感的系統(tǒng)管迎數(shù)

據(jù)和的惑的用戶數(shù)據(jù)是否

采用加密或其他有效措施

實(shí)現(xiàn)恃輸保密性□是

口香

□其他8.是否采用如密或具他保

護(hù)措菊實(shí)現(xiàn)存能保密性

〇是

O否O其他9.訪談安全員，詢問當(dāng)使用使執(zhí)式和移動式設(shè)備時(shí)，

是否加密琪者采用可移動藏盤存能動原信息口是

O否

〇其他10.詢問系統(tǒng)采用的密碼算馬管理規(guī)定D是

口

否

01.4、

問卷調(diào)查ERNST&YOUNG

Quality

In

Everything

We

Do

A

用戶名

C

ID

D

創(chuàng)建時(shí)間

E

上次登錄

F

上次修改密碼

H

密碼過期+

Authentication

System

Resourcestsadmin2005/7/278:3222011/5/514:42TROEkrbtgt2005/7/27

8:442005/7/2716:44TRUE+

Custom

MIC

Consoles

Guest2005/7/278:322006/11/611:09FALSEIISR

TIME2005/7/289:202007/3/721:29FALSE+

DefaultAdministrative

Shares

IUSR

TINE2005/7/289:202005/8/1911:56FALSEIVAN

SERV2005/8/108:062005/8/1016:06FALSEAdmin

Shares

IUSR

SERV2005/8/108:062005/8/1016:06FALSEShare

Name

-

[Path]

IVAN

CWSE2005/8/122:272005/8/1210:27FALSEIUSR

CWSE2005/8/122:282005/8/1210:28FALSE-[c:\]默認(rèn)共享IVAK

INTEIUSR

INTE_2005/8/217:032005/8/2115:03FALSE2005/8/217:032005/8/2115:03FALSEWNUS

TIXE2005/10/616:202005/10/70:20FALSEshare-[C:\share]

TsInterne2006/3/81:152006/3/89:15FALSEIUSR

TINE2006/3/105:212006/3/1013:22FALSEIUSR

EXCB2006/3/113:542006/3/1111:54FALSEIPC$-

[]

salsrvsqlsrv2005/7/2710:504602005/7/2718:50TRUE遠(yuǎn)程IPC

文志強(qiáng)

wenzhiqia2006/10/109:31蘋古薦青花古豐苷老苷半苷豐苷IRUEADHIN3

-

[C:\WINDOWS]

linvcimir2005/8/36:4802010/12/168:47TRUE遠(yuǎn)程管理

hualang2005/8/36:4882011/5/1817:37TRUEts

ts2006/10/108:36森蘋容蘋容芋苷薦苷薦苷半苷半花IRUESYSVOL-

[C:\WINDOWS]SYSVOL\sysvol]

信誠管理員xcadmin2005/10/82:1832010/1/191209TROELogon

server

share

bak

bak2006/10/243:05200779

10:03

TRUEaa

aa2007/8/142:051276200712/4

權(quán)：40

IRUENETLOGON-

[C:\WINDOWS]SYSV0L\sysval\tinesgroup.cn\SCRIPTS]

vavicl

vavicl2007/9/202:4380480972

28

TRUELogon

server

share

vavic2

vavic2Path:HKLM\SYSTEN\CurrentContralSct\Services\lanmanserver\Paraneters\AutoShareServerValue:1Interpretation:

Shares

are

created

automatically

on

Servers2007/9/202:448882009/2

TRUE通過安永的技術(shù)工具及人工檢查等手段對不同類型的系統(tǒng)進(jìn)行調(diào)研。1.5、技術(shù)調(diào)研ERNST&

YOUNG

Quality

In

Everything

We

Do

安全技術(shù)現(xiàn)狀英難民支全指

證

鋼

制

容全

腦

復(fù)

計(jì)

腺標(biāo)化煤人控判

振神針木應(yīng)用民安全

應(yīng)明天全致

我安全據(jù)安全管理現(xiàn)狀15027001相關(guān)的文件管理體系第一層

安全手冊組織架構(gòu)，風(fēng)險(xiǎn)評估應(yīng)用性說明現(xiàn)狀調(diào)研階段工作成果月絡(luò)民安全解安全數(shù)建民支全ERNST&

YOUNGQuality

In

Everything

We

Do信息安全現(xiàn)狀

調(diào)研報(bào)告第四園

提供遵守信息安全管理體系要求的客現(xiàn)證據(jù)操作指南.核對清單表格等.記錄第三層

描述任務(wù)和具體工作如何完成描述流程-責(zé)任人，內(nèi)

容、地點(diǎn)、位置設(shè)監(jiān)統(tǒng)，冗來，消驗(yàn)制認(rèn)陪

孩而妹第二是泄爬雪穩(wěn)規(guī)范Eeoraoune信息安全風(fēng)險(xiǎn)評估制定信息資產(chǎn)識別標(biāo)準(zhǔn)(

包含保密級別劃分)資產(chǎn)識別及風(fēng)險(xiǎn)評估方法培訓(xùn)信息資產(chǎn)收集識別關(guān)鍵信息資產(chǎn)，并評

估價(jià)值評估公司層面信息安全控

制措施安全漏洞掃描針對關(guān)鍵信息資產(chǎn)進(jìn)行威

脅、弱點(diǎn)及影響程度評估,計(jì)算出風(fēng)險(xiǎn)值風(fēng)險(xiǎn)分析2、風(fēng)險(xiǎn)評估ERNST&YOUNGQuality

In

Everything

We

Do主要任務(wù)階段二確定信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)確定信息安全評估范圍識別信息資產(chǎn)與安全現(xiàn)狀文檔審閱調(diào)查協(xié)助培訓(xùn)信息流分析抽樣測試修正分析與評價(jià)信息安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)回慎風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)降低價(jià)值分析信風(fēng)險(xiǎn)控制

矩陣分析確定信息資產(chǎn)分類標(biāo)準(zhǔn)確定信息資產(chǎn)安全風(fēng)險(xiǎn)評估方法、標(biāo)準(zhǔn)和模信息流風(fēng)險(xiǎn)評價(jià)本次阻SOW值息風(fēng)險(xiǎn)年估標(biāo)準(zhǔn)信息風(fēng)險(xiǎn)外置計(jì)劃信息遍里現(xiàn)狀信息風(fēng)險(xiǎn)評估報(bào)告目標(biāo)叢業(yè)務(wù)的角度分析貴公司對信息安全管

理和技術(shù)的首身要求識別與國內(nèi)、國際最佳信息安全實(shí)踐之

間的差距并改進(jìn)。識別各級監(jiān)管部門發(fā)布的有關(guān)信息安全

監(jiān)管要求的差距并改進(jìn)發(fā)現(xiàn)主要信息安全管理和技術(shù)風(fēng)險(xiǎn)并改

進(jìn)

。實(shí)現(xiàn)方法通過“資產(chǎn)風(fēng)險(xiǎn)評估”

“流程風(fēng)險(xiǎn)評通過分析風(fēng)險(xiǎn)評使的結(jié)果，監(jiān)管要爽以

及

國際

的

信

息

安

全

最

佳

實(shí)

踐

標(biāo)

準(zhǔn)

，

描

述合應(yīng)的

退

色

委

大

類

品

叁

企

學(xué)

上

是

里

一貴公司對信

建立安全管彈與技呆體系模型并對論貴

公司自前的安全現(xiàn)狀，我出薄弱點(diǎn)并提

出整改方案。式安/文土XlgJ日

LE白

信息安全技術(shù)架構(gòu)評數(shù)據(jù)安全”的結(jié)果，匯總分析形成最

終的風(fēng)險(xiǎn)評估報(bào)告。2、信息安全風(fēng)險(xiǎn)評估ERNST&YOUNGQuality

In

Everything

We

Do技術(shù)檢查現(xiàn)場訪談?wù){(diào)查問卷風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)制定信息安全

風(fēng)險(xiǎn)處百計(jì)信息資產(chǎn)

風(fēng)險(xiǎn)評價(jià)信息風(fēng)險(xiǎn)處置客戶信息分市視圖信息資產(chǎn)分類基于信息資產(chǎn)的重要等級分類，深入分析貴公司的業(yè)務(wù)目標(biāo)和流程透徹分析和識別出在業(yè)務(wù)活動和所有不同信息系統(tǒng)架構(gòu)層中的信息資產(chǎn)根據(jù)安全的三個(gè)特性緯度(機(jī)密性，完整性，可用性)來判斷信息資產(chǎn)的價(jià)值識別信息資產(chǎn)定義信息資產(chǎn)的自然屬性決定信息資產(chǎn)的屬性分類的信息資產(chǎn)2.1、信息資產(chǎn)風(fēng)險(xiǎn)評估(1/2)ERNST&

YOUNG

Quality

In

Everything

We

Do風(fēng)險(xiǎn)等級劃分標(biāo)準(zhǔn)風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級定

義20-25很高一旦發(fā)生將造成非常嚴(yán)重的經(jīng)濟(jì)或社會影響，如組織信譽(yù)嚴(yán)重破

壞，嚴(yán)重影響組織的正常經(jīng)營，經(jīng)濟(jì)損失重大，社會影響惡劣。15-20高一旦發(fā)生將造成較大的經(jīng)濟(jì)或社會影響，在一定范圍內(nèi)給組織的敬

意和信譽(yù)造成損害。10-15中一旦發(fā)生將造成一定的經(jīng)濟(jì)，社會或生產(chǎn)經(jīng)營影響，但影響面和程

度不大。5-10低一旦發(fā)生造成的影響程度較低，

一般僅限于組織內(nèi)部，通過一定的

手段能夠很快解決。0-4很低一旦發(fā)生造成的影響幾乎可以忽略，通過簡單的措施可以完全彌威脅賦值標(biāo)準(zhǔn)賦值級別定

義5很高威脅出現(xiàn)的可能性很高(>1次/周),或者己證實(shí)經(jīng)常：4高威脅出現(xiàn)的可能性較高(>1次/月),或者已證實(shí)苦多：3中威脅出現(xiàn)的可能性一般(>1次/半年),或者已證實(shí)只：

生

。2低威脅出現(xiàn)的可能性較低((1次/年),或者尚未證實(shí)發(fā)1很低威脅出現(xiàn)的可能性很低，只有在非常平見的情況下才能一

湖

→系比及

數(shù)

的

→資產(chǎn)A1面臨的主要威脅包括T1,

威脅T1可以利用的資產(chǎn)A1存在的

脆弱性有V1,

我們應(yīng)用公式z=f(x,y)=√xxy計(jì)算其風(fēng)險(xiǎn)值：首先，我們計(jì)算安全事件發(fā)生的

可能性：威脅級別：

T1=1脆弱性級別：V1=3可能性=

√

1*3

=

√

3下一步計(jì)算安全事件導(dǎo)致的損失：資產(chǎn)價(jià)值：

A1=4脆弱性級別：

VI=3損

失

=

√

4

*

3

=

√

1

22.1、

信息資產(chǎn)風(fēng)險(xiǎn)評估(2/2)ERNST&

YOUNGQuality

In

Everything

We

Do最后計(jì)算風(fēng)險(xiǎn)值風(fēng)

險(xiǎn)

值

=

可

能

性

×

損

失

=

√

3

×

√i風(fēng)險(xiǎn)評估原理隨性一供性在對IT流程評估需要對現(xiàn)有流程設(shè)計(jì)文檔分析，對流程的角色、職責(zé)、活動、輸入輸出、

KPI等分析，識別關(guān)鍵控制點(diǎn)。

IT流程風(fēng)險(xiǎn)評估為后續(xù)的流程優(yōu)化打下了基礎(chǔ)。信息安全事件處理流程業(yè)

務(wù)

門

信

脈

安

全

經(jīng)

營

體

PSI

法

務(wù)

部

/

紀(jì)

委

人

力

資

源

部2.2、IT流程評估ERNST&

YOUNGQuality

In

Everything

We

Do以

電

植

術(shù)

用

測

說

方鋼

安

管

理

幫

制

解

決

方

室執(zhí)

行

管

理

助

詞

解

油

方

率信息皮象流程唐計(jì)排行演程事樣楚是管程熱

行

技

術(shù)

測

洲

解

治

力針

對

審

計(jì)

日

標(biāo)

行

協(xié)

查滿

程

開

始流

程

開

編述

版

文

油可

法

程

序確

查

結(jié)

用性

集

信

區(qū)流

屋

開

始例

T

中

計(jì)事

件

中

計(jì)協(xié)

助

中

計(jì)平

險(xiǎn)

理行

政團(tuán)

壞Naa*計(jì)計(jì)*8應(yīng)用工具掃描終端安全技術(shù)風(fēng)

險(xiǎn)評估滲透測試響應(yīng)恢復(fù)評估技術(shù)評估工具對貴公司的物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、終端等方面的信息安全風(fēng)

險(xiǎn)進(jìn)行評估。2.3、

信息安全技術(shù)架構(gòu)風(fēng)險(xiǎn)評估ERNST&

YOUNG

Quality

In

Everything

We

Do安考眼祭文檔審閱配置檢查物理主機(jī)網(wǎng)絡(luò)叫曰1評估對象概述1.1系統(tǒng)概述1.2管理制度1.3信息安全管理組織機(jī)構(gòu)曰2風(fēng)險(xiǎn)評估方法論曰2.1

風(fēng)險(xiǎn)評估方法2.1.1資產(chǎn)識別與評估方法2.1.2威脅識別與評估方法2.1.3脆弱性識別與評估方法2.1.4管理評估方法2.1.5綜合風(fēng)險(xiǎn)分析曰2.2風(fēng)險(xiǎn)評估工作內(nèi)容2.2.1資產(chǎn)評估2.2.2威脅評估2.2.3脆弱點(diǎn)評估2.2.4管理評估2.2.5綜合風(fēng)險(xiǎn)評估2.3風(fēng)險(xiǎn)評估流程曰2.4風(fēng)險(xiǎn)評估項(xiàng)目管理曰2.4.1項(xiàng)目組織計(jì)劃2.4.1.1項(xiàng)目組織架構(gòu)2.4.1.2項(xiàng)目人員安排口2.4.2項(xiàng)目溝通2.4.2.1

日常溝通，記錄和備忘錄2.4.2.2報(bào)告2.4.2.3正式會議2.4.3項(xiàng)目控制2.5風(fēng)險(xiǎn)評估配置管理曰2.6風(fēng)險(xiǎn)評估質(zhì)量官理2.6.1項(xiàng)目管理方法學(xué)2.6.2變更控制管理2.6.3參考的信息安全標(biāo)準(zhǔn)和規(guī)范3物理環(huán)境風(fēng)險(xiǎn)評估4網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估曰5主機(jī)安全風(fēng)險(xiǎn)評估5.1總體概述曰5.2關(guān)鍵資產(chǎn)分析5.2.1

關(guān)鍵資產(chǎn)5.2.2資產(chǎn)賦值口5.3威脅分析5.3.1威脅賦值5.3.2威脅分析曰5.4脆弱性分析5.4.15.4.2脆弱點(diǎn)賦值5.5風(fēng)險(xiǎn)綜合評估曰6應(yīng)用系統(tǒng)基礎(chǔ)平臺風(fēng)險(xiǎn)評估

6.1總體概述曰6.2關(guān)鍵資產(chǎn)分析6.2.1關(guān)鍵資產(chǎn)6.2.2資產(chǎn)賦值日6.3威脅分析6.3.1威脅賦值6.3.2威脅分析日6.4脆弱性分析6.4.1脆弱點(diǎn)識別6.4.2脆弱點(diǎn)賦值6.5風(fēng)險(xiǎn)綜合評估曰7數(shù)據(jù)安風(fēng)險(xiǎn)評估7.1總體概述日7.2關(guān)鍵資產(chǎn)分析7.2.1關(guān)鍵資產(chǎn)7.2.2資產(chǎn)賦值曰7.3威脅分析7.3.1威脅賦值7.3.2威脅分析7.4脆弱性分析7.4.1脆弱點(diǎn)識別曰7.4脆弱性分析7.4.1脆弱點(diǎn)識別7.4.2脆弱點(diǎn)賦值7.5風(fēng)險(xiǎn)綜合評估曰8信息安全管理風(fēng)險(xiǎn)評估曰6.1管理人員評估0.1.1資產(chǎn)識別及賦值

8.1.2威脅賦值8.1.3脆弱點(diǎn)識別及賦值

曰8.2管理制度評估8.2.1資產(chǎn)識別及賦值8.2.2威脅賦值8.2.3脆弱點(diǎn)識別及賦值8.3風(fēng)險(xiǎn)綜合評估曰9風(fēng)險(xiǎn)評估結(jié)果匯總9.1匯總表9.2總結(jié)風(fēng)險(xiǎn)評估階段工作成果ERNST&YOUNGQuality

In

Everything

We

Do信息安全管理體系文件ISMS策略ISMS制度和流程工作指導(dǎo)書、操作手

冊、模板、檢查表等表單、記錄第一級第二級第三級第四級·信息安全方針·信息安全管理評審程序·信息安全內(nèi)審管理程序·糾正和預(yù)防措施管理程序·文檔記錄管控程序·有效性測量程序·信息資產(chǎn)分類標(biāo)準(zhǔn)·風(fēng)險(xiǎn)評估實(shí)施指南·信息保密管理辦法·人員安全管理程序·培訓(xùn)管理規(guī)定·脆弱性檢查列表·

威脅檢查表·

內(nèi)部審計(jì)檢查項(xiàng)·

審計(jì)報(bào)告·

日志檢查表·信息安全管理手冊·第三方安全管理規(guī)定·機(jī)房安全管理規(guī)定·辦公區(qū)域安全管理規(guī)定·系統(tǒng)試運(yùn)行審查規(guī)定·系統(tǒng)安全管理規(guī)范·

網(wǎng)絡(luò)運(yùn)維管理規(guī)范·

IT

終端設(shè)備使用管理規(guī)范·變更管理規(guī)定·

帳戶安全管理規(guī)范·

防病毒管理策略·文件加密指南·移動辦公守則·

其它表單體系設(shè)計(jì)與發(fā)布確定風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)制定風(fēng)險(xiǎn)處置計(jì)劃管理層匯報(bào)定制風(fēng)險(xiǎn)處置實(shí)施整改計(jì)

劃依據(jù)信息與業(yè)務(wù)重要性，

制定各級信息安全管理制

度和流程信息安全體系技術(shù)控制落

地及管理落地建議依據(jù)不同對象與時(shí)機(jī)，按

需制定支持上述流程的工

作指導(dǎo)書信息安全管理體系發(fā)布及

培訓(xùn)類型負(fù)責(zé)

部門風(fēng)險(xiǎn)描述優(yōu)先等級整改措施完成時(shí)詞責(zé)任人管理是

已確苯同調(diào)整機(jī)房濕度至合透范圍，并

設(shè)置選程醫(yī)控與數(shù)量機(jī)制。2005年9月7日張三是法律法

規(guī)合規(guī)運(yùn)維單位填個(gè)人通過托

管的服務(wù)器，利用

IDC中心從事危害國

家安全，泄露國家

機(jī)密等造法犯罪活

動高1.與責(zé)任單位簽訂信息安全責(zé)

任保障書，明確責(zé)任與義務(wù)2.IDC建立積應(yīng)的管理，監(jiān)督和

檢查機(jī)制，實(shí)現(xiàn)實(shí)時(shí)的監(jiān)控2009

年10月17

日張三審拱中3、體系建立與發(fā)布建立適合貴公司的信息安全管理體系ERNST&

YOUNG

Quality

In

Everything

We

Do主要任務(wù)風(fēng)險(xiǎn)處置方法風(fēng)險(xiǎn)處置計(jì)劃階段三3級1級4

級2級香定型

計(jì)業(yè)務(wù)驅(qū)動風(fēng)險(xiǎn)戰(zhàn)略治理、制度與標(biāo)準(zhǔn)風(fēng)險(xiǎn)識別與描述流程與運(yùn)作程序合規(guī)、監(jiān)控和報(bào)告組織安永將根據(jù)貴公司實(shí)際情況和信息安全統(tǒng)一要求，建立適合于貴

公司的信息安全管理框架，用于

指導(dǎo)信息安全工作的實(shí)施。3.1、

信息安全管理框架設(shè)計(jì)ERNST&YOUNGQuality

In

Everything

We

Do人員和

組織管理工具與技術(shù)《貴公司

現(xiàn)有制度體系，

.包括集團(tuán)信息安全要求》對應(yīng)要求總體規(guī)定控制程序作業(yè)指導(dǎo)書、表格、文檔模版以及報(bào)告等軟件需求管理辦法信息系統(tǒng)項(xiàng)目管理辦法外包項(xiàng)目管理辦法安全管理制度框架及管理規(guī)定軟件需求管理控制程序項(xiàng)目管理控制程序應(yīng)用系統(tǒng)安全管理規(guī)定計(jì)算機(jī)機(jī)房管理控制程序運(yùn)行維護(hù)文檔管理控制程序應(yīng)用軟件程序維護(hù)作業(yè)指導(dǎo)書安全服務(wù)管理業(yè)務(wù)指導(dǎo)書

網(wǎng)絡(luò)配置變更作業(yè)指導(dǎo)書應(yīng)用軟件程序維護(hù)作業(yè)流程圖網(wǎng)管系統(tǒng)維護(hù)記錄周報(bào)《貴公司

信息安全管理體系》對應(yīng)四

、

安

全

保

障

與

風(fēng)

險(xiǎn)

控

制第

二

十

四

條

各

公

司

應(yīng)

加

條

信

業(yè)

安

全

與

信

息

系

統(tǒng)

的

同

步

規(guī)

劉

和

同

步

建

進(jìn)，

構(gòu)

建

完

善

的信息安全保障體系

。

應(yīng)通過管理機(jī)制和執(zhí)術(shù)于段

，

確保估意系統(tǒng)安全

，

保證重要

信

息

的

可

用。

保

密

，

完

整

及

真

害

，

保

障

業(yè)

務(wù)

活

動

的

連

性

。第二十五條

各公同應(yīng)抗阻“值主音、證負(fù)責(zé)，誰運(yùn)營、證負(fù)責(zé)，讓使用、證負(fù)責(zé)

的原則

，

明確信息安全卷相關(guān)方的責(zé)任

，

加強(qiáng)人員管理

，

強(qiáng)化信息安全意識

，

全而落實(shí)信息安全色理責(zé)任制

。第二十六條各公司應(yīng)建立健全信是安全監(jiān)控體系和報(bào)告機(jī)制，明確風(fēng)位預(yù)警標(biāo)

逃

，

加強(qiáng)信息安全的監(jiān)控和預(yù)警

，

挽高風(fēng)險(xiǎn)防范處置能力

。第

二

十

七

條

各

公

司

應(yīng)

按

照

國

東

有

關(guān)

規(guī)

定

和

監(jiān)

管

要

中

。

對

信

息

系

統(tǒng)

進(jìn)

行

寄

全

等

器

力

分

，

扶

職

安

全

等

級

實(shí)

施

信

息

不

統(tǒng)

安

全

等

級

保

護(hù)

。第二十八條各公司應(yīng)制訂重要教據(jù)的備價(jià)制度和策略，實(shí)做有效的數(shù)據(jù)備份措

施

，

并

按

用

監(jiān)

管

部

門

有

關(guān)

要

求

，

推

進(jìn)

信

忠

系

統(tǒng)

內(nèi)

姓

恢

復(fù)

建

設(shè)

工

作

。對應(yīng)要求技

主

機(jī)安令國

路突份營期容令術(shù)要求整

案樹今系

統(tǒng)監(jiān)維

管理器塊得

的人頁茶理

理安

個(gè)管理制度

案

管物意求應(yīng)魚預(yù)案要明確啟動機(jī)制

、

責(zé)任人員

、

處置流程

、

具體方案和外部寬源

，

并根據(jù)

工作實(shí)際進(jìn)行動態(tài)調(diào)整和定期應(yīng)條流練

，

硝保應(yīng)急瓊家的可提作性

，《貴公司XXX工作管理指引》信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)從管理措施和管理方法兩方面，進(jìn)行ISMS制度與現(xiàn)存運(yùn)行的安全制度的對標(biāo)。確保符合

集團(tuán)信息安全要求，并將現(xiàn)存的安全風(fēng)險(xiǎn)控制和管理方法融入ISMS制度中，從而達(dá)到制度整合的目標(biāo)，使信息安全管理成為一個(gè)整體，成為一套管理程序。3.2、

體系與安全制度的對標(biāo)整合ERNST&

YOUNG

Quality

In

Everything

We

Do第二十九條各公司應(yīng)建立信息系統(tǒng)重大突發(fā)事件的應(yīng)色處理機(jī)制，制定應(yīng)色預(yù)軍基本要求管理要求要信息科技部門組織架構(gòu)圖總經(jīng)理XXX副總經(jīng)理XXX新業(yè)務(wù)開發(fā)組機(jī)房管理組安全管理組

中間業(yè)務(wù)開發(fā)組MS開發(fā)組安全審計(jì)員網(wǎng)絡(luò)安全員安永將根據(jù)貴公司實(shí)際情況設(shè)計(jì)信息安全

組織架構(gòu)及各部門職

責(zé)。3.3、信息安全組織體系建設(shè)ERNST&

YOUNG

Quality

In

Everything

We

Do副總經(jīng)理XXX副總經(jīng)理XXX安全監(jiān)控員應(yīng)用安全員主機(jī)安全員系統(tǒng)運(yùn)維組方針、策略規(guī)范、程序二級文件作業(yè)指導(dǎo)書三級文件記錄、表單四級文件安永將根據(jù)IS027001標(biāo)準(zhǔn)要求，并結(jié)合貴

公司自身需求，按照

分類分級的原則，設(shè)

計(jì)完整的信息安全管

理制度及文檔體系。3.4、

信息安全制度體系建設(shè)ERNST&

YOUNG

Quality

In

Everything

We

Do滿足國家標(biāo)準(zhǔn)、監(jiān)管、行業(yè)最佳實(shí)踐的安全技術(shù)要求，從業(yè)務(wù)出發(fā)，識別和滿足用

戶對信息安全技術(shù)需

求，掌握信息系統(tǒng)安

全保護(hù)重點(diǎn)領(lǐng)域，建

立信息系統(tǒng)安全技術(shù)

基準(zhǔn)，實(shí)現(xiàn)可組合安全技術(shù)保護(hù)。安全域安全功能1.安全審計(jì)2

.

通信3.

數(shù)據(jù)保護(hù)4.標(biāo)識與鑒別5

.

安全管理6.安全功能保護(hù)7.

資源利用8.

系統(tǒng)訪問

9.可信信道10.惡意代碼防范11.脆弱性管理12

.物理要求3.5、

信息安全技術(shù)體系建設(shè)高等級系統(tǒng)中等級系統(tǒng)ERNST&YOUNGQuality

In

Everything

We

Do檢測

響應(yīng)

恢復(fù)低等級系統(tǒng)安全運(yùn)行應(yīng)用系統(tǒng)防護(hù)數(shù)據(jù)主機(jī)會議時(shí)間地點(diǎn)主排人路

：口例行評□臨時(shí)評審□其他參如評神的人：評市內(nèi)容預(yù)要：(媽不下，另顧)評審健論：部門π日

期2011年5月12日服SE內(nèi)部審核發(fā)現(xiàn)在《家的英業(yè)務(wù)應(yīng)用系統(tǒng)授權(quán)過程中，系統(tǒng)音理頁可以對非會員管理的系統(tǒng)功能“證奔編因系級”進(jìn)行報(bào)權(quán)。這不符倉標(biāo)準(zhǔn)要，11.2.2的相關(guān)要求。組/質(zhì)防措施下達(dá)人，信息安全工作小

日第：2011年5月12日腿

困

新

：情況普遍存在，登議由系統(tǒng)開發(fā)部、系統(tǒng)運(yùn)行包對相關(guān)系統(tǒng)權(quán)限進(jìn)行調(diào)基采的征/預(yù)措施向相關(guān)部門提出權(quán)限申請測基。預(yù)完成日限：211年5月30日趕們數(shù)人Ⅲ

日8201年5月12日通過定期實(shí)施內(nèi)審與管理評審發(fā)現(xiàn)貴公司體系運(yùn)行中存在的不足并進(jìn)行整改，從而達(dá)到內(nèi)部不斷改進(jìn)的目的，以保持信息安全保障體系的有效性、適宜性、

充分性。3.6、

信息安全監(jiān)督體系建設(shè)ERNST&

YOUNGQuality

In

Everything

We

DoISMS

糾正和預(yù)防措施處理表格ISMS

管理評審報(bào)告序號安全規(guī)

劃因素賦值說明緊隨性2

可實(shí)施性3

難易程度4

預(yù)期果高(3分)中(2分)低(1分)必須盡快實(shí)施(一般

為一年內(nèi))需要盡快實(shí)施(一般

為二年內(nèi))不要求短期內(nèi)完成

(一般為三年內(nèi))現(xiàn)有條件下或申購的

資源到位后可實(shí)施需要再申請一定資源

后才可以實(shí)施或?qū)嵔?/p>

的前提條件不太成熟很難申請到必要的資源或目前不具備實(shí)防

的提條件實(shí)施準(zhǔn)度軟大有一定實(shí)施難度不存在實(shí)施準(zhǔn)度預(yù)期效果會非常好預(yù)期效果較好預(yù)期效果一般根據(jù)貴公司信息安全戰(zhàn)略規(guī)劃

及目前的信息安全風(fēng)險(xiǎn)現(xiàn)狀，

設(shè)計(jì)信息安全建設(shè)任務(wù)的優(yōu)先級路線路。3.7、

信息安全技術(shù)和管理落地(1/2)●

建設(shè)緊迫性分析合規(guī)方面的強(qiáng)制要求；法律訴訟、人身安全等可能性業(yè)務(wù)中斷、

IT全局崩潰等可能性分布與影響的范圍、危客嚴(yán)重性

破壞后恢復(fù)時(shí)間與投入、發(fā)生頻率●

建設(shè)難易度分析資金、時(shí)間、人力等投入大小

技術(shù)難度、人員能力的要求對業(yè)務(wù)和運(yùn)行的觸動大小對企業(yè)和組織的觸動大小●

建設(shè)可行性分析-

外部策略允許程度-

內(nèi)部管理?xiàng)l件是否具備-

所需的技術(shù)是否成熟-

內(nèi)部支持條件是否具備

外部支持條件是否具備●

建設(shè)效果性分析-

見效速度-

對于數(shù)據(jù)安全的直接效果

對于業(yè)務(wù)的直接促進(jìn)安全體系的提升與促進(jìn)信意安全載籍規(guī)分析模型ERNST&

YOUNGQuality

In

Everything

We

Do細(xì)名翁2910i監(jiān)疑女步監(jiān)是取生量日4***2?278給名建五金人燒4一2保條+檢制212587442素二合能余二有等機(jī)=52=

對31)*6±*鹽4

7

、

米

下

積4銀余增或性茶中資幽E41122*42范2*4評知五經(jīng)

備1代際2觀

成處班伍

處

在貌1“

計(jì)

溫

綠37用上交基認(rèn)生過進(jìn)縣1無動過美2歌P號別保E?41*256580方其成計(jì)是象文*B量E41制?8室3.7、

信息安全技術(shù)和管理落地(2/2)根據(jù)規(guī)劃分析和貴公司目前的信息

安全項(xiàng)目實(shí)施的實(shí)際情況，設(shè)計(jì)出

未來三年的安全建設(shè)藍(lán)圖。ERNST&

YOUNG

Quality

In

Everything

We

Do任務(wù)順序/美聯(lián)美系優(yōu)先級排序結(jié)果內(nèi)部審計(jì)培訓(xùn)信息安全管理體系內(nèi)部審

計(jì)信息安全管理體系管理評

審會議糾正措施、預(yù)防措施、持

續(xù)改進(jìn)建議項(xiàng)目總結(jié)會內(nèi)部審計(jì)文件適用性信息安全管理體系按規(guī)范執(zhí)行審計(jì)報(bào)告內(nèi)審計(jì)劃信息安全體系改進(jìn)方案實(shí)施成果制定績效監(jiān)控流程體系運(yùn)行監(jiān)控信息安全推廣培訓(xùn)信息安全宣傳4、體系運(yùn)行與監(jiān)控ERNST&YOUNGQuality

In

Everything

We

Do體系運(yùn)行與監(jiān)控體系運(yùn)行與監(jiān)控主要任務(wù)階段四審計(jì)執(zhí)行記錄職位名稱主要職責(zé)備注信息安全管理員1.組織識別信息安全需求2.組織制定信息安全方針、制度，

清晰說明當(dāng)遵循的標(biāo)準(zhǔn)和程序3根據(jù)組織的需求進(jìn)行信息安全風(fēng)

險(xiǎn)管理，確保建立了充分的4.組織信息安全意識培訓(xùn)，推廣信

息安全制度要求、行為準(zhǔn)則，促使

整個(gè)組織范圍內(nèi)的用戶遵守已發(fā)布

的信息安全制度等家統(tǒng)分析員1.依據(jù)業(yè)務(wù)需求進(jìn)行業(yè)務(wù)系統(tǒng)需求

分析2.根據(jù)組織對業(yè)務(wù)系統(tǒng)的信息安全

要求，完善開發(fā)需求和功能定義3.制定高級設(shè)計(jì)文檔系統(tǒng)管理員1.維護(hù)多用戶計(jì)算機(jī)系統(tǒng)2.設(shè)置用戶賬號3.安裝系統(tǒng)級軟件4.及時(shí)有效地更新系統(tǒng)補(bǔ)丁、修補(bǔ)

系統(tǒng)安全漏洞5.分配備份、儲存空間等網(wǎng)絡(luò)管理員1.網(wǎng)絡(luò)基礎(chǔ)設(shè)施的配置、故障處理

與管理2.及時(shí)有效地更新網(wǎng)絡(luò)基礎(chǔ)設(shè)施的系統(tǒng)補(bǔ)丁、修訂安全漏洞3.網(wǎng)絡(luò)運(yùn)行狀況監(jiān)控、檢查等數(shù)據(jù)庫管理員1.定義和維護(hù)組織數(shù)據(jù)庫務(wù)的數(shù)

據(jù)結(jié)構(gòu)2.理解數(shù)據(jù)和數(shù)根人系要求，線

數(shù)據(jù)褲的設(shè)計(jì)3.數(shù)據(jù)庫的訪問控制管理4.定期監(jiān)控、檢查和日常征護(hù)等最終用戸負(fù)責(zé)與業(yè)務(wù)應(yīng)用系結(jié)有關(guān)的操作，是T產(chǎn)品和服務(wù)的最終使用者信息安全職責(zé)是否清晰并可落實(shí)是關(guān)系到信息安全

工作能否到位的關(guān)鍵，因

此制定信息安全職責(zé)矩陣

,細(xì)化每個(gè)崗位的信息安

全職責(zé)，確保其可操作對于ISMS

體系的落實(shí)發(fā)揮重要作用。4.1、安全職責(zé)細(xì)化(1/2)ERNST&YOUNGQuality

In

Everything

We

Do落地示例序

號類別子類中文

編號翻要求內(nèi)容其它相關(guān)人員巴

口名稱★練名稱檢測方法加固直接責(zé)任人檢測操作害驟定條件補(bǔ)充說明險(xiǎn)別改進(jìn)建議類別4韓號口分管理辦法制號管

種

口

3PG-GL-ZH-3所有帳號責(zé)任人，均按規(guī)定申話表格式要習(xí)

提出了申詰。申詰表至少包含申詰人姓名、

聯(lián)系方式、中請人職責(zé)描述、中請時(shí)間、中

請目的、申請帳號所屬系統(tǒng)名稱、姚號類

、創(chuàng)建或者變吏或看圍院染作英型、帳號相

限描述、有效期、主管漢導(dǎo)中批意見、系對

管理員支更操作記錄及簽字確認(rèn)、權(quán)責(zé)推討

備注欄目等。相關(guān)申請表區(qū)有完整備宴，系統(tǒng)維護(hù)人品，工

程建設(shè)管理人員安全專職人員、

安全審計(jì)人員、

東統(tǒng)繼護(hù)部門負(fù)

負(fù)責(zé)人第三才人員、

一般員工1、從從檢查的相關(guān)部門的各系統(tǒng)對匝的8系統(tǒng)用戶中

號登記表》中隨機(jī)抽取2個(gè)普通權(quán)限核號，檢查是否有

情息填寫完壁的《系統(tǒng)用戶秋號權(quán)限審批表》:、從系統(tǒng)中各抽取1臺主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫和應(yīng)

用，檢查其中帳號是否與8系練用戶韓號登記表致

；3、隨機(jī)詢問兩個(gè)系統(tǒng)用戶自己中請帳號的時(shí)間、內(nèi)

申詩、具體流程，看是否與置記表一致。點(diǎn)要求部滿足為合格；要有一條不滿足則不合1技照米號口令

管理辦加強(qiáng)管理5韓號口分管理為法賬號管理-

管理-ZH-4對于程序運(yùn)行或者程序自身曲于普理需要訂

問其它系統(tǒng)所使用的專用帳號，座符合如要

求

：(一)只尤許系統(tǒng)和設(shè)備之間通信使用，不

得作為用戶置錄帳號使用；(二)將此類帳號的維護(hù)管理權(quán)限統(tǒng)一授權(quán)

給該系統(tǒng)的系統(tǒng)管理員，由后者歸口管理

三)該系統(tǒng)的管理員負(fù)責(zé)建立該類賬號列

衷，并進(jìn)行變更維護(hù)。系統(tǒng)維護(hù)人員安全寺職人員、

安全審計(jì)人員1、檢查系統(tǒng)是否有《系統(tǒng)程序帳號列表；2、檢查列表中專用帳號的責(zé)任人是否與系統(tǒng)管理員

應(yīng)

：是舌有措施眼制專用帳號只能用于系統(tǒng)與設(shè)備之問

的通信，不得作為用戶置錄帳號使用點(diǎn)要求部兩足為合格；

要有一條不滿足則不合技照《

π

味號口令

管理辦加強(qiáng)管理6韓號口令管理辦法賬號-磨PG-GL-ZH-5弟三方公司人員為向XX系坑報(bào)供系玩維護(hù)

調(diào)叫、技術(shù)支持服務(wù)，需要使用系統(tǒng)煉號

時(shí)，第三方公司應(yīng)首先與總部或相關(guān)省公司

簽訂保密協(xié)以。座有對弟三方超級權(quán)限味

的授機(jī)書，授權(quán)書內(nèi)當(dāng)包括權(quán)限、使用期時(shí)等內(nèi)容系統(tǒng)灘護(hù)人員安全寺職人員、

安全審計(jì)人員1、檢查第三方公司是否簽訂了保密協(xié)議；2、如第三方人員需要使用坦領(lǐng)權(quán)限核號，檢查是否有

對第三方人員超細(xì)機(jī)喝能號的投權(quán)書，授權(quán)書應(yīng)當(dāng)至

少包括申語人員、根限、使用期限；3.核查系統(tǒng)中對應(yīng)裝號的權(quán)限，有效期等設(shè)置是否

授權(quán)書

一致。點(diǎn)要求部兩足為合格；要有一務(wù)不滿足則不合是否技照《味號口令

管理辦加強(qiáng)管理7韓號口守管理辦法來號姜系所-

管理-

N-GL-ZH-6共享賬號：原則上，除低權(quán)限的查詢賬號

外，各系統(tǒng)不允許存在其它共享依號，必明確每個(gè)秋號責(zé)任人，不得以部門求用戶經(jīng)作為量終責(zé)任人。如因系統(tǒng)能力或者管理原因無法按用戶時(shí)

族號時(shí)，應(yīng)采取加下管理措施：1、明確共享核號責(zé)任人，責(zé)任人負(fù)責(zé)技照

上述流程要求提出共享帳號審批表，并在審

批表中注明該共享暢號的所有用戶名單；2、限制共享精號的使用人數(shù)，建立相關(guān)覺

理制度保證系統(tǒng)的每頂需作均可以對應(yīng)到

行操非的且體人員：系統(tǒng)維護(hù)人品、工

程建設(shè)管理人員安全專職人員、

安全審計(jì)人易、第三方人員、

一

質(zhì)工1、檢在是否具有必須設(shè)查共享帳號的證據(jù)，如系統(tǒng)

能不支持或者管理方面的原因等等，系統(tǒng)功能問題需進(jìn)行北證.、檢在共立帳號的權(quán)限是否滿足要求；3、檢查

號口令修改記錄表8是否有共享味號更

密碼的記示4.檢態(tài)共享嵌號是否已經(jīng)采取要求中所列的項(xiàng)管理法坑點(diǎn)要求都兩足谷格；

要有一務(wù)不滿足則不臺技帳號口令

管理辦加強(qiáng)苦諸4.1、

安全職責(zé)細(xì)化(2/2)信息安全指南

落實(shí)到"步驟"信息安全度量

落實(shí)到"指標(biāo)"信息安全責(zé)任

落實(shí)到"人"Quality

In

Everything

We

Do署名是否合格月題

指述號

令-要

系安統(tǒng)-控制類1S027001控制項(xiàng)控制措旌測量指標(biāo)測量參考評分標(biāo)準(zhǔn)測量結(jié)果信息安全方

針A.8、1.1信患安全方針文件信患安全方針文件應(yīng)經(jīng)過管

通屬的批在，并傳達(dá)給所有

員工和外部相關(guān)方情息安全目標(biāo)、方計(jì)第略完較，具在文件通

立后規(guī)在至少一個(gè)月內(nèi)

強(qiáng)交管罐展審批，并正

式崖布(XX方計(jì)》《XX度《XX政策8分：已正式x患安全方針和策xxx過管理展審控，內(nèi)警符合標(biāo)準(zhǔn)要求4分：制定了信患安全方針和策路并發(fā)布，且經(jīng)過曾理展審拉

但內(nèi)彎有少數(shù)聯(lián)失3分：刺定了x安全方針和策暗并文市，但未強(qiáng)過管理墨審批

且內(nèi)高有少數(shù)缺失2分，制應(yīng)了發(fā)，金方計(jì)和策陵，相大起的屈墊生，且貴經(jīng)過本所全體西工部應(yīng)知縫

本所情毒安全方針《XX方針)(XX劑度》管理屋承陸石實(shí)干達(dá)到x管課屋承儲落實(shí)平達(dá)到的管調(diào)展派諾落實(shí)率達(dá)到xxxA.5、1、2信愿安全方針評常應(yīng)按計(jì)劃的時(shí)間閱周或當(dāng)貧

生重大完化時(shí)，對偏息安全

方升進(jìn)行評審，以確像其持

順的適宣性、究分性和有效

性每年軍少對情思安全目

標(biāo)、方計(jì)和策略進(jìn)行

次評市《XX方斜》(XX刺度》(XX政策)5分：制定制x貴任清策。定zx行評事和作護(hù)，徐護(hù)記錄

符合關(guān)求4分：定期xx行詳用和煤護(hù)。但相關(guān)的記票有個(gè)別缺失3分：定期對制度xooxxxxxx關(guān)的津種記景2分：僅對個(gè)xxxxxxxxxxxx和濾種。且沒有相關(guān)的牌護(hù)記票1分：米定葫進(jìn)行評市A.5信息安全組職A.6、1.1曾理墨對借患實(shí)全的承儲管理督應(yīng)通過造謂的能明。

可證實(shí)的承進(jìn)，朋確的估息

安全職責(zé)及確認(rèn)，來支持組

職的安全性惠安全承謝的需實(shí)比

例達(dá)到90%管理座承進(jìn)落賣本達(dá)到x管源屋承進(jìn)落實(shí)本達(dá)到管溫展承儲器實(shí)本達(dá)到xxx管理墨錄絡(luò)落夾率達(dá)到：A.6、1、2信思安全情詞懂思安全活動應(yīng)由來自調(diào)織

不同部門并具有相關(guān)角色和

工作職責(zé)的代表進(jìn)行協(xié)調(diào)信思安全承增的落實(shí)比

例達(dá)到90%8分：所有部門xx理員都得到本部門正式的授權(quán)。并存在相關(guān)

的撞權(quán)記景4分：80%-100%部門的xxxx西都隔到本部門正式的搖權(quán)，并得在相關(guān)的接權(quán)記錄3分：60%-80^部門的x都得則本部門正式的城權(quán)。并存在相的面權(quán)記示2分：30%0063門的催息xx得到本部門正式的報(bào)權(quán)。并存度相關(guān)的模權(quán)記票1

分

：

%

-結(jié)場道8分：信愿安全酒級英構(gòu)合理。都門和人員責(zé)任活河井有書面為了有效的監(jiān)控ISMS體系運(yùn)行的效果，及時(shí)發(fā)現(xiàn)ISMS存在的不足并改進(jìn)，應(yīng)建立ISMS

運(yùn)行有效性測量體系，測量體系應(yīng)至少包括測量指標(biāo)、測量數(shù)據(jù)來源、

測量周期、測量防范、測量責(zé)任人、測量結(jié)果等要素。4.2、

安全測量指標(biāo)ERNST&

YOUNG

Quality

In

Everything

We

Do建立有效的信息安全管理KPI制定合理的信息安全管理KPI,

評價(jià)信息安全管理執(zhí)行情況和反饋改進(jìn)建議。4.3、

安全考核體系效能類用于度量安全服務(wù)的工作效力和效

率，主要考核事中安全工作。實(shí)施類用于度量安全策略的實(shí)施情況，主

要考核事前安全工作。影響類用于度量安全事件對業(yè)務(wù)的影響，

主要考核事后安全