信息安全咨詢項(xiàng)目

信息安全咨詢項(xiàng)目,.文檔說(shuō)明本文檔所涉及到的文字、圖表等，僅限于公司及被呈送方內(nèi)部使用，未經(jīng)被呈送方及公司書面許可，不得擴(kuò)散到第三方。目錄;.1 概述41.1 項(xiàng)目背景41.2 項(xiàng)目目標(biāo)41.3 項(xiàng)目實(shí)施思路61.4 參考標(biāo)準(zhǔn)62 項(xiàng)目實(shí)施方案73 一階段項(xiàng)目工作說(shuō)明83.1 充分定義83.2 量化控制103.3 運(yùn)行檢驗(yàn)124 二階段項(xiàng)目工作說(shuō)明124.1 充分定義134.2 量化控制144.3 運(yùn)行檢驗(yàn)155 三階段項(xiàng)目工作說(shuō)明165.1 充分定義165.2 量化控制175.3 運(yùn)行檢驗(yàn)181 概述1.1 項(xiàng)目背景醫(yī)療科技有限公司 （以下簡(jiǎn)稱） 是專業(yè)從事高端醫(yī)療設(shè)備及相關(guān)技術(shù)研發(fā)、生產(chǎn)、銷售的高新技術(shù)企業(yè)?？偛课挥谏虾＜味?，包含運(yùn)營(yíng)總部、研發(fā)中心及生產(chǎn)基地，一二期計(jì)劃占地 400 余畝，屆時(shí)將成為中國(guó)醫(yī)療行業(yè)最大規(guī)模的高技術(shù)產(chǎn)業(yè)化示范基地。同時(shí)在上海浦東新區(qū)張江高科園以及深圳育成中心分別建立了兩大基地，進(jìn)行以市場(chǎng)為導(dǎo)向的產(chǎn)品研發(fā)。 是目前國(guó)內(nèi)唯一一家產(chǎn)品線覆蓋全線高端醫(yī)療影像設(shè)備的大型醫(yī)療設(shè)備公司。在產(chǎn)品研發(fā)和技術(shù)創(chuàng)新方面 , 是首批獲得“上海市十大產(chǎn)學(xué)研合作創(chuàng)新示范基地” 稱號(hào)的企業(yè)之一，擁有行業(yè)領(lǐng)先的核心技術(shù)，獲得專利技術(shù) 240 余項(xiàng)，申請(qǐng)發(fā)明專利占 70%以上，以及在未來(lái) 3-5 年內(nèi)將形成一個(gè)跨各大產(chǎn)品線， 擁有 1000 項(xiàng)專利規(guī)模的大型醫(yī)療設(shè)備高科技企業(yè)。隨著的快速發(fā)展， 業(yè)務(wù)經(jīng)營(yíng)和管理對(duì)信息系統(tǒng)和核心數(shù)據(jù)依賴程度越來(lái)越廣泛和深入，對(duì) it 系統(tǒng)及信息的保密性、完整性和可用性的保護(hù)的要求也越來(lái)越高。為了加強(qiáng)信息安全建設(shè)，提升信息安全保障水平，落實(shí)信息安全體系規(guī)劃，提高員工的安全意識(shí)，啟動(dòng)了信息安全管理體系建設(shè)項(xiàng)目。1.2 項(xiàng)目目標(biāo)為了提升整體信息安全管理水平和抗風(fēng)險(xiǎn)能力，保障業(yè)務(wù)持續(xù)安全運(yùn)行，需要根據(jù)國(guó)際先進(jìn)信息安全管理機(jī)制，同時(shí)結(jié)合實(shí)際情況和需求來(lái)進(jìn)行信息安全體系的建 設(shè)。項(xiàng)目按照 iso/iec27001 標(biāo)準(zhǔn)體系，綜合信息安全現(xiàn)狀，從體系化角度，在已有信息安全技術(shù)評(píng)估的基礎(chǔ)上進(jìn)行信息安全管理調(diào)研，展開綜合風(fēng)險(xiǎn)評(píng)估（包含技術(shù)性分析與管理性分析），針對(duì)當(dāng)前保障機(jī)制下存在的問(wèn)題和安全薄弱環(huán)節(jié)，以體系化的思路提交整改策略、整改報(bào)告及形成建設(shè)研究實(shí)踐成果。項(xiàng)目建設(shè)按照 iso27001 信息安全體系標(biāo)準(zhǔn)和國(guó)家信息系統(tǒng)等級(jí)保護(hù)規(guī)定要求，做好與的結(jié)合點(diǎn)研究與建設(shè)，其研究與建設(shè)應(yīng)覆蓋組織、管理、技術(shù)三個(gè)領(lǐng)域進(jìn)行。通過(guò) iso27001體系的研究，實(shí)踐并規(guī)范信息安全風(fēng)險(xiǎn)評(píng)估方法、技術(shù)監(jiān)測(cè)監(jiān)管、應(yīng)急響應(yīng)機(jī)制，完成基于iso27001國(guó)際標(biāo)準(zhǔn)的信息安全體系建設(shè)。本項(xiàng)目的具體建設(shè)目標(biāo)是：(1) 安全體系調(diào)研及分析：完成信息安全體系調(diào)研及綜合分析。(2) 信息安全體系建設(shè)：根據(jù)iso27001 安全管理體系規(guī)范對(duì)當(dāng)前的信息安全管理制度、規(guī)范、應(yīng)急體系等內(nèi)容的完整性、規(guī)范性和可操作性進(jìn)行管理對(duì)標(biāo)，查找差 距和存在問(wèn)題并完成相應(yīng)的改進(jìn)。并制訂信息系統(tǒng)和安全設(shè)施的防護(hù)配置的基線標(biāo)準(zhǔn)，同時(shí)完成一體化的安全運(yùn)行監(jiān)管方法。(3) 協(xié)助建立信息安全管理、治理基礎(chǔ)能力。經(jīng)過(guò)項(xiàng)目的推進(jìn)和落實(shí)，信息安全的管理和科學(xué)決策水平將顯著提高。信息安全將成為加強(qiáng)內(nèi)部控制和優(yōu)化內(nèi)部管理，降低運(yùn)營(yíng)風(fēng)險(xiǎn)，建立高效、統(tǒng)一、運(yùn)轉(zhuǎn)協(xié)調(diào)的安全管理體制的重要因素。通過(guò)pdca過(guò)程方法和相應(yīng)的組織保障體系，使安全管理從“無(wú)序、零散、被動(dòng)”的風(fēng)險(xiǎn)補(bǔ)救行為轉(zhuǎn)變?yōu)椤跋到y(tǒng)、科學(xué)、連貫、主動(dòng)”的風(fēng)險(xiǎn)駕馭狀態(tài)，防止走回頭路。1.3 項(xiàng)目實(shí)施思路本項(xiàng)目旨在協(xié)助建立和完善基于iso27000的信息安全管理體系，通過(guò)現(xiàn)狀調(diào)研、差距分析、組織設(shè)計(jì)、制度編寫、技術(shù)定義、推行輔導(dǎo)等方式。在建立信息安全組織，明確組織職能，建立有效的流程制度，并將相應(yīng)的技術(shù)技能進(jìn)行匹配，同時(shí)協(xié)助進(jìn)行同步的宣貫推行。在建立了信息安全管理體系后，為了使得信息安全管理體系更好的運(yùn)行，同時(shí)還協(xié)助建立信息安全的治理能力，對(duì)公司信息安全現(xiàn)狀進(jìn)行評(píng)估、知道和監(jiān)督；同時(shí)建立信息安全的管理能力，對(duì)信息安全進(jìn)行規(guī)劃、建 設(shè)、運(yùn)維和評(píng)估，并通過(guò)專家宣講、實(shí)踐經(jīng)驗(yàn)交流、案例介紹、項(xiàng)目輔導(dǎo)、技術(shù)技能培訓(xùn)、推薦外部培訓(xùn)等方式加強(qiáng)的信息安全治理和管理能力。1.4 參考標(biāo)準(zhǔn)在本項(xiàng)目執(zhí)行過(guò)程中，將參考如下標(biāo)準(zhǔn)：信息安全等級(jí)保護(hù)管理辦法、計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則信息安全風(fēng)險(xiǎn)管理指南信息安全風(fēng)險(xiǎn)評(píng)估指南、iso 13335iso 27000iso 15408/cc行業(yè)及最佳實(shí)踐2 項(xiàng)目實(shí)施方案本項(xiàng)目將對(duì)安全現(xiàn)狀進(jìn)行科學(xué)的評(píng)估和分析，以了解的信息安全現(xiàn)狀，得出符合的安全需求。根據(jù)公司安全現(xiàn)狀和業(yè)務(wù)安全需求，從安全技術(shù)、安全管理等方面來(lái)設(shè)計(jì)未來(lái)三年信息安全建設(shè)的發(fā)展規(guī)劃。根據(jù)安全規(guī)劃的結(jié)果，進(jìn)行信息安全管理體系的具體設(shè)計(jì)。本項(xiàng)目中開展的工作將包括以下內(nèi)容： 信息安全現(xiàn)狀評(píng)估和需求分析企業(yè)信息安全體系架構(gòu)設(shè)計(jì)信息安全管理體系建設(shè)及輔導(dǎo)落地在本項(xiàng)目實(shí)施過(guò)程中， 本項(xiàng)目總共分為三階段。在項(xiàng)目一階段，主要完成信息安全現(xiàn)狀調(diào)研，并進(jìn)行風(fēng)險(xiǎn)評(píng)估，建立信息安全管理體系框架，并針對(duì)部分控制域進(jìn) 行三級(jí)文件的編寫；在項(xiàng)目二階段階段，對(duì)一階段編寫完成的文件體系進(jìn)行培訓(xùn)， 并貫徹到實(shí)際應(yīng)用中去，并同時(shí)針對(duì)第二部分控制域進(jìn)行編寫；在項(xiàng)目三階段階段，對(duì)現(xiàn)有體系進(jìn)行試運(yùn)行，并針對(duì)剩余的控制域進(jìn)行體系文件編寫，協(xié)助客戶對(duì)已經(jīng)制定好的體系進(jìn)行評(píng)估、指導(dǎo)和監(jiān)督。具體的控制域編寫順序如下：3 一階段項(xiàng)目工作說(shuō)明結(jié)合體系規(guī)劃及落地的整體思路,在項(xiàng)目一階段重點(diǎn)開展包括充分定義階段(理解業(yè)務(wù)對(duì)安全的需求，確定總體策略和組織，信息資產(chǎn)識(shí)別和分類，差距評(píng)估，明確解決方案框架 ),量化控制階段 (管理制度 /流程建設(shè)，人員技術(shù)技能培養(yǎng)，軟硬件平臺(tái)獲取),運(yùn)行檢驗(yàn)階段 (發(fā)布執(zhí)行，運(yùn)行輔導(dǎo)，優(yōu)化調(diào)整),等幾大環(huán)節(jié)。本階段預(yù)計(jì)工期 3個(gè)月，需要投入資深顧問(wèn)1名、高級(jí)顧問(wèn) 4名。通過(guò)結(jié)合的安全現(xiàn)狀及 iso27001相關(guān)控制域，在安全咨詢服務(wù)一階段中重點(diǎn)完成以下幾個(gè)階段的內(nèi)容：3.1 充分定義工作名稱充分定義簡(jiǎn)要描述此活動(dòng)旨在理解日常業(yè)務(wù)對(duì)信息安全的需求，是信息安全管理體系建設(shè)的關(guān)鍵活動(dòng)之一。通過(guò)對(duì)企業(yè)日常業(yè)務(wù)的充分理解， 設(shè)計(jì)出企業(yè)信息安全管理的總體策略，并明確信息安全組織結(jié)構(gòu)，以及信息安全組織在企業(yè)內(nèi)的匯報(bào)關(guān)系。為了更好的進(jìn)行差距分析，資產(chǎn)的識(shí)別和分類是必要的輸入條件。根 據(jù)風(fēng)險(xiǎn) 評(píng)估和處理的結(jié)果 ， 根 據(jù)總體安全方針， 參考iso27001 對(duì)文檔體系的要求，編寫諸多信息安全策略文檔，最終形成文檔化的isms體系。制定文件編寫工作計(jì)劃； 理解業(yè)務(wù)對(duì)信息安全的需求審查現(xiàn)有文檔（對(duì)客戶現(xiàn)有信息安全管理制度進(jìn)行充分的了解）；此項(xiàng)任務(wù)在充分定義階段即開始實(shí)施。其目的在于審查評(píng)估客戶現(xiàn)有的信息安全相關(guān)文檔，包括規(guī)章制度、行業(yè)規(guī)范、程序文件、操作手冊(cè)、工作流程等；并對(duì)現(xiàn)有文檔體系的運(yùn)行狀況做初步適用性分析，結(jié)合業(yè)務(wù)的運(yùn)行情況進(jìn)行文檔審閱。工作內(nèi)容與相關(guān)人員進(jìn)行訪談（通過(guò)與相關(guān)工作人員溝通了解業(yè)務(wù)運(yùn)行中涉及的安全問(wèn)題）。此項(xiàng)任務(wù)在充分定義階段開始實(shí)施，其目的在于充分了解日常運(yùn)營(yíng)過(guò)程中涉及到的安全問(wèn)題，并對(duì)信息安全的現(xiàn)狀做初步的訪談分析確定總體的策略與方針根據(jù)業(yè)務(wù)對(duì)信息安全的需求，確定信息安全管理體系（ isms）的范圍、目標(biāo)，并制定適用于業(yè)務(wù)需要的安全策略和方針。資產(chǎn)識(shí)別與分類識(shí)別對(duì)組織有價(jià)值的事務(wù)，并按照資產(chǎn)的價(jià)值進(jìn)行分類， 確保在信息安全管理體系建設(shè)中對(duì)不同價(jià)值的資產(chǎn)實(shí)施不同的安全保護(hù)措施。差距評(píng)估根據(jù) iso27001 標(biāo)準(zhǔn)及業(yè)界最佳實(shí)踐， 對(duì)安全管理現(xiàn)狀進(jìn)行差距評(píng)估。文檔初步編寫；由供應(yīng)商顧問(wèn)做指導(dǎo)，由客戶特定人員和供應(yīng)商顧問(wèn)共同負(fù)責(zé)編寫。最終得到系列化的策略文檔，文檔編寫可能分階段進(jìn)行。根據(jù)現(xiàn)狀調(diào)查及差距分析結(jié)果，建立安全管理體系框架iso 27001 標(biāo)準(zhǔn)輸入內(nèi)容訪談提綱現(xiàn)狀調(diào)查問(wèn)卷 信息資產(chǎn)調(diào)查表風(fēng)險(xiǎn)評(píng)估模板工作成果項(xiàng)目實(shí)施計(jì)劃文檔審閱記錄分析現(xiàn)狀調(diào)研分析報(bào)告信息資產(chǎn)調(diào)查表 差距分析報(bào)告isms-soa安全策略藍(lán)圖信息安全方針政策信息安全組織管理辦法3.2 量化控制工作名稱量化控制簡(jiǎn)要描述此活動(dòng)旨根據(jù)本期項(xiàng)目定義的控制域范圍，編寫具體的管理制度和流程在文檔編寫過(guò)程中，對(duì)企業(yè)相關(guān)信息安全管理人員進(jìn)行安全技術(shù)技能的培養(yǎng)工作內(nèi)容根據(jù)本期項(xiàng)目所涉及的控制領(lǐng)域編寫適用于企業(yè)現(xiàn)狀的流程管理文檔，其中主要包括：a7 資產(chǎn)管理a10.1操作程序及職責(zé)a10.4防范惡意代碼和移動(dòng)代碼a10.6 網(wǎng)絡(luò)安全管理a10.7介質(zhì)管理輸入內(nèi)容a10.10監(jiān)督a11 訪問(wèn)控制a13 信息安全事件管理a15 符合性在編寫文檔的過(guò)程中，對(duì)企業(yè)信息安全管理人員進(jìn)行技能的培養(yǎng)和儲(chǔ)備，具體包括進(jìn)行針對(duì)性的培訓(xùn)，宣貫與演練iso 27001 標(biāo)準(zhǔn)差距分析報(bào)告isms-soa安全策略藍(lán)圖信息安全方針政策信息安全組織管理辦法工作成果資產(chǎn)清單資產(chǎn)分類定級(jí)標(biāo)準(zhǔn) it 設(shè)備加固管理辦法it 設(shè)備上線指南it 變更管理指南應(yīng)用系統(tǒng)安全開發(fā)指南 終端防病毒安全管理規(guī)定網(wǎng)絡(luò)安全管理辦法介質(zhì)安全管理規(guī)定日常維護(hù)操作管理規(guī)定互聯(lián)網(wǎng)訪問(wèn)控制策略 操作系統(tǒng)訪問(wèn)控制策略信息安全事件管理規(guī)定信息安全管理體系評(píng)審規(guī)范信息安全管理培訓(xùn)ppt信息安全宣傳管理辦法3.3 運(yùn)行檢驗(yàn)工作名稱運(yùn)行檢驗(yàn)簡(jiǎn)要描述將前兩個(gè)階段所編寫的安全管理流程文檔進(jìn)行落地實(shí)施，并在落地實(shí)施過(guò)程中進(jìn)行優(yōu)化。工作內(nèi)容將編寫的文檔在公司全員進(jìn)行發(fā)布，并進(jìn)行全員信息安全意識(shí)培訓(xùn)以及信息安全管理體系的介紹培訓(xùn)將制定的安全管理體系落實(shí)到企業(yè)日常工作中去，在試運(yùn)行過(guò)程中給予客戶響應(yīng)的指導(dǎo)針對(duì)在試運(yùn)行過(guò)程中發(fā)現(xiàn)的問(wèn)題，對(duì)現(xiàn)有體系進(jìn)行優(yōu)化。加強(qiáng)企業(yè)信息安全管理人員的信息安全管理能力，提升其安全管理技能。輸入內(nèi)容工作成果iso 27001 標(biāo)準(zhǔn)信息安全管理體系文檔管理體系發(fā)布郵件全員培訓(xùn) ppt試運(yùn)行記錄體系改進(jìn)實(shí)施計(jì)劃4 二階段項(xiàng)目工作說(shuō)明在一階段項(xiàng)目驗(yàn)收合格后，著手對(duì)二階段分配的控制域進(jìn)行規(guī)劃和落地。本階段預(yù)計(jì)工期 3個(gè)月，需要投入資深顧問(wèn)1名、高級(jí)顧問(wèn) 3名。通過(guò)結(jié)合的安全現(xiàn)狀及 iso27001相關(guān)控制域，在安全咨詢服務(wù)二階段中重點(diǎn)完成以下幾個(gè)階段的內(nèi)容：4.1 充分定義工作名稱充分定義簡(jiǎn)要描述針對(duì)二階段定義的部分控制域，結(jié)合控制域的具體控制點(diǎn)進(jìn)行具體的了解。結(jié)合一階段風(fēng)險(xiǎn)評(píng)估和處理的結(jié)果，根據(jù)總體安全方針，參考iso27001 對(duì)文檔體系的要求，編寫諸多信息安全策略文檔，最終將二階段要求的控制域形成文檔化的isms體系。制定文件編寫工作計(jì)劃； 理解業(yè)務(wù)對(duì)信息安全的需求審查現(xiàn)有文檔（對(duì)客戶現(xiàn)有信息安全管理制度進(jìn)行充分的了解）；此項(xiàng)任務(wù)在充分定義階段即開始實(shí)施。其目的在于審查評(píng)估客戶現(xiàn)有的信息安全相關(guān)文檔，包括規(guī)章制度、行業(yè)規(guī)范、程序文件、操作手冊(cè)、工作流程等；并對(duì)現(xiàn)有文檔體系的運(yùn)行狀況做初步適用性分析，結(jié)合業(yè)務(wù)的運(yùn)行情況進(jìn)行文檔審閱。工作內(nèi)容輸入內(nèi)容與相關(guān)人員進(jìn)行訪談（通過(guò)與相關(guān)工作人員溝通了解業(yè)務(wù)運(yùn)行中涉及的安全問(wèn)題）。此項(xiàng)任務(wù)在充分定義階段開始實(shí)施，其目的在于充分了解日常運(yùn)營(yíng)過(guò)程中涉及到的安全問(wèn)題，并對(duì)信息安全的現(xiàn)狀做初步的訪談分析差距評(píng)估根據(jù) iso27001 標(biāo)準(zhǔn)及業(yè)界最佳實(shí)踐， 對(duì)二階段覆蓋的控制域的安全管理現(xiàn)狀進(jìn)行差距評(píng)估。文檔初步編寫；由供應(yīng)商顧問(wèn)做指導(dǎo)，由客戶特定人員和供應(yīng)商顧問(wèn)共同負(fù)責(zé)編寫。最終得到系列化的策略文檔，文檔編寫可能分階段進(jìn)行。根據(jù)現(xiàn)狀調(diào)查及差距分析結(jié)果，完善安全管理體系iso 27001 標(biāo)準(zhǔn)訪談提綱安全管理體系框架工作成果項(xiàng)目實(shí)施計(jì)劃文檔審閱記錄分析現(xiàn)狀調(diào)研分析報(bào)告差距分析報(bào)告4.2 量化控制工作名稱量化控制簡(jiǎn)要描述此活動(dòng)旨根據(jù)本期項(xiàng)目定義的控制域范圍，編寫具體的管理制度和流程在文檔編寫過(guò)程中，對(duì)企業(yè)相關(guān)信息安全管理人員進(jìn)行安全技術(shù)技能的培養(yǎng)工作內(nèi)容輸入內(nèi)容根據(jù)本期項(xiàng)目所涉及的控制領(lǐng)域編寫適用于企業(yè)現(xiàn)狀的流程管理文檔，其中主要包括：a8 人力資源安全a9 物理環(huán)境安全a10.2 第三方交付和管理a10.3 系統(tǒng)規(guī)劃和驗(yàn)收a10.5 備份a10.8信息交換在編寫文檔的過(guò)程中，對(duì)企業(yè)信息安全管理人員進(jìn)行技能的培養(yǎng)和儲(chǔ)備，具體包括進(jìn)行針對(duì)性的培訓(xùn)，宣貫與演練。iso 27001 標(biāo)準(zhǔn)差距分析報(bào)告isms-soa安全策略藍(lán)圖信息安全方針政策信息安全組織管理辦法工作成果人力資源安全管理制度人員離調(diào)職管理流程第三方安全管理規(guī)定物理訪問(wèn)控制程序 計(jì)算機(jī)管理程序移動(dòng)設(shè)備使用安全管理程序信息處理設(shè)施維護(hù)管理程序重要信息備份管理流程信息交換管理辦法差距分析報(bào)告相關(guān)培訓(xùn) ppt相關(guān)作業(yè)文件4.3 運(yùn)行檢驗(yàn)工作名稱運(yùn)行檢驗(yàn)簡(jiǎn)要描述將前兩個(gè)階段所編寫的安全管理流程文檔進(jìn)行落地實(shí)施，并在落地實(shí)施過(guò)程中進(jìn)行優(yōu)化。將編寫的文檔在公司全員進(jìn)行發(fā)布，并進(jìn)行全員信息安全意識(shí)培訓(xùn)以及信息安全管理體系的介紹培訓(xùn)工作內(nèi)容輸入內(nèi)容將制定的安全管理體系落實(shí)到企業(yè)日常工作中去，在試運(yùn)行過(guò)程中給予客戶響應(yīng)的指導(dǎo)針對(duì)在試運(yùn)行過(guò)程中發(fā)現(xiàn)的問(wèn)題，對(duì)現(xiàn)有體系進(jìn)行優(yōu)化。加強(qiáng)企業(yè)信息安全管理人員的信息安全管理能力，提升其安全管理技能。iso 27001 標(biāo)準(zhǔn)信息安全管理體系文檔工作成果管理體系發(fā)布郵件全員培訓(xùn) ppt試運(yùn)行記錄體系改進(jìn)實(shí)施計(jì)劃5 三階段項(xiàng)目工作說(shuō)明在二階段項(xiàng)目驗(yàn)收合格后，著手對(duì)三階段分配的控制域進(jìn)行規(guī)劃和落地。在三階段控制域落地的同時(shí)，對(duì)整個(gè)信息安全管理體系在運(yùn)行的情況進(jìn)行管理評(píng)審。并協(xié)助進(jìn)行第一次內(nèi)部審核，以檢驗(yàn)信息安全管理體系運(yùn)行狀況，并根據(jù)審計(jì)結(jié)果進(jìn)行優(yōu)化。本階段預(yù)計(jì)工期 2個(gè)月，需要投入資深顧問(wèn)1名、高級(jí)顧問(wèn) 3名。通過(guò)結(jié)合的安全現(xiàn)狀及 iso27001相關(guān)控制域，在安全咨詢服務(wù)三階段中重點(diǎn)完成以下幾個(gè)階段的內(nèi)容：5.1 充分定義工作名稱充分定義簡(jiǎn)要描述針對(duì)三階段定義的部分控制域，結(jié)合控制域的具體控制點(diǎn)進(jìn)行具體的了解。結(jié)合一階段風(fēng)險(xiǎn)評(píng)估和處理的結(jié)果，根據(jù)總體安全方針，參考iso27001 對(duì)文檔體系的要求，編寫諸多信息安全策略文檔，最終將二階段要求的控制域形成文檔化的isms體系。在編寫完成了文檔體系后，并協(xié)助進(jìn)行第一次內(nèi)部審核，以檢驗(yàn)信息安全管理體系運(yùn)行狀況，并根據(jù)審計(jì)結(jié)果進(jìn)行優(yōu)化。在完成了體系優(yōu)化計(jì)劃后，進(jìn)行管理評(píng)審。工作內(nèi)容制定文件編寫工作計(jì)劃； 理解業(yè)務(wù)對(duì)信息安全的需求審查現(xiàn)有文檔（對(duì)客戶現(xiàn)有信息安全管理制度進(jìn)行充分的了解）；此項(xiàng)任務(wù)在充分定義階段即開始實(shí)施。其目的在于審查評(píng)估客戶現(xiàn)有的信息安全相關(guān)文檔，包括規(guī)章制度、行業(yè)規(guī)范、程序文件、操作手冊(cè)、工作流程等；并對(duì)現(xiàn)有文檔體系的運(yùn)行狀況做初步適用性分析，結(jié)合業(yè)務(wù)的運(yùn)行情況進(jìn)行文檔審閱。與相關(guān)人員進(jìn)行訪談（通過(guò)與相關(guān)工作人員溝通了解業(yè)務(wù)運(yùn)行中涉及的安全問(wèn)題）。此項(xiàng)任務(wù)在充分定義階段開始實(shí)施，其目的在于充分了解日常運(yùn)營(yíng)過(guò)程中涉及到的安全問(wèn)題，并對(duì)信息安全的現(xiàn)狀做初步的訪談分析差距評(píng)估根據(jù) iso27001 標(biāo)準(zhǔn)及業(yè)界最佳實(shí)踐， 對(duì)二階段覆蓋的控制域的安全管理現(xiàn)狀進(jìn)行差距評(píng)估。文檔初步編寫；由供應(yīng)商顧問(wèn)做指導(dǎo)，由客戶特定人員和供應(yīng)商顧問(wèn)共同負(fù)責(zé)編寫。最終得到系列化的策略文檔，文檔