安全管理體系ISO27001認(rèn)證咨詢服務(wù)介紹課件_第1頁
安全管理體系ISO27001認(rèn)證咨詢服務(wù)介紹課件_第2頁
安全管理體系ISO27001認(rèn)證咨詢服務(wù)介紹課件_第3頁
安全管理體系ISO27001認(rèn)證咨詢服務(wù)介紹課件_第4頁
安全管理體系ISO27001認(rèn)證咨詢服務(wù)介紹課件_第5頁
已閱讀5頁,還剩99頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

安永安全管理體系ISO27001認(rèn)證咨詢服務(wù)介紹安永安全管理體系ISO27001認(rèn)證咨詢服務(wù)介紹第一部分:安永介紹Page2第一部分:安永介紹Page2關(guān)于安永—安永的全球規(guī)模安永是全球領(lǐng)先的專業(yè)服務(wù)公司,在140多個國家及地區(qū)設(shè)有約700多個辦事處,擁有超過152,000名專業(yè)人才,2011年度全球總收入約230億美元。除了提供審計服務(wù)外,安永提供的咨詢服務(wù)包括稅務(wù)、收購合并、改善內(nèi)控制度、風(fēng)險管理、信息安全以及公司治理方案等。我們?yōu)椤敦敻弧?00強(qiáng)中超過75%、標(biāo)準(zhǔn)普爾指數(shù)成份股中65%的企業(yè),提供審計、稅務(wù)、風(fēng)險管理和其他咨詢服務(wù)。《財富》全球500強(qiáng)企業(yè)—安永服務(wù)的企業(yè)所占百分比審計客戶稅務(wù)、風(fēng)險管理等非審計咨詢服務(wù)客戶指數(shù)中所有其他客戶標(biāo)準(zhǔn)普爾1200指數(shù)成份股企業(yè)—安永服務(wù)的企業(yè)所占百分比審計客戶稅務(wù)、風(fēng)險管理等非審計咨詢服務(wù)客戶指數(shù)中所有其他客戶關(guān)于安永安永是全球領(lǐng)先的專業(yè)服務(wù)公司,在140多個國家及地區(qū)全球前十大風(fēng)險管理咨詢企業(yè)為財富500強(qiáng)中75%的企業(yè)、國內(nèi)60%的上市公司提供專業(yè)服務(wù)與國資委、財政部、發(fā)改委、保監(jiān)會、銀監(jiān)會、證監(jiān)會等管理部門建立了良好的關(guān)系,由于安永的良好聲譽(yù),安永得以入選國資委09年度央企審計項目入圍會計師事務(wù)所

北美洲:38,000人分布于119個城市中南美洲:10,000人分布于30個城市中東及非洲:9,000人分布于77個城市澳大利亞/新西蘭:9,000人分布于16個城市歐洲:41,000人分布于362個城市日本:3,000人分布于30個城市亞洲:20,000人分布于75個城市信息安全管理咨詢服務(wù)IT服務(wù)管理咨詢服務(wù)IT風(fēng)險評估服務(wù)IT內(nèi)部審計服務(wù)IT內(nèi)控合規(guī)及優(yōu)化服務(wù)IT績效評估服務(wù)安永信息科技專業(yè)服務(wù)Ernst&YoungisaleaderinInformationSecurityandRiskConsultingServices.

Source:TheForresterWave?:InformationSecurityandRiskConsultingServices,Q32010,ForresterResearch,Inc.,August2nd,2010國際著名IT咨詢機(jī)構(gòu)Forrester發(fā)布的全球信息科技安全與風(fēng)險咨詢報告關(guān)于安永—信息科技風(fēng)險咨詢服務(wù)全球前十大風(fēng)險管理咨詢企業(yè)北美洲:38,000人安永及其信息科技風(fēng)險咨詢服務(wù)一直被視為信息系統(tǒng)審計與信息安全咨詢行業(yè)的領(lǐng)導(dǎo)者,在國際著名IT咨詢機(jī)構(gòu)Forrester發(fā)布的全球信息科技安全與風(fēng)險咨詢報告中,安永連續(xù)被評為信息安全與信息風(fēng)險服務(wù)行業(yè)的最佳咨詢公司之一。我們已經(jīng)連續(xù)十四年在全球范圍內(nèi)進(jìn)行信息安全調(diào)查(GISS),調(diào)查的參與者包括了52個國家中的1700個不同行業(yè)的企業(yè),調(diào)查問卷參考了ISO27001信息安全管理體系框架,為各企業(yè)管理層做出信息安全方面的重要決策提供深入的參考信息。安永在中國大陸和香港地區(qū)的信息科技風(fēng)險咨詢服務(wù)部門目前正為中國大陸和香港地區(qū)的200多家企業(yè)提供科技與信息安全方面的服務(wù),這些公司中包括了上市公司、國有企業(yè)、金融機(jī)構(gòu)、政府部門、以及跨國企業(yè)等。關(guān)于安永—信息科技風(fēng)險咨詢服務(wù)安永及其信息科技風(fēng)險咨詢服務(wù)一直被視為信息系統(tǒng)審計與信息安全在中國的專業(yè)IT咨詢服務(wù)團(tuán)隊安永在大中華區(qū)有超過300人的IT風(fēng)險咨詢顧問,其中在北京,上海,廣州,深圳,香港,臺灣等地更是具有專注在IT咨詢服務(wù)的團(tuán)隊。安永IT咨詢服務(wù)團(tuán)隊上海香港

廣州深圳北京臺北武漢我們在中國地區(qū)的IT咨詢服務(wù)團(tuán)隊介紹:在中國有超過300位專注于IT咨詢領(lǐng)域的顧問專家。安全顧問有不同的背景專長,技能覆蓋信息安全的各個方面。擁有下面專業(yè)證書資質(zhì):CISSPCISMCISABS25999LAISO27001LAISO20000LAPMPITIL在中國的專業(yè)IT咨詢服務(wù)團(tuán)隊安永在大中華區(qū)有超過300人的I安永信息科技管理咨詢服務(wù)科技與信息安全咨詢服務(wù)(ITRA)在中國有超過300人的專業(yè)服務(wù)團(tuán)隊,在華北、華中與華南三大區(qū)域為客戶提供信息系統(tǒng)審計、信息安全、及信息技術(shù)相關(guān)咨詢等方面的專業(yè)服務(wù),主要服務(wù)類型如下:IT戰(zhàn)略規(guī)劃IT治理數(shù)據(jù)管理IT服務(wù)管理咨詢服務(wù)第三方報告信息安全咨詢服務(wù)IT鑒證審計ERP系統(tǒng)咨詢IT內(nèi)部控制評估IT內(nèi)部審計安永信息科技管理咨詢服務(wù)科技與信息安全咨詢服務(wù)(ITRA)在全面的信息科技管理咨詢業(yè)務(wù)(續(xù))全生命周期的管理咨詢服務(wù)ISO20000咨詢服務(wù)ISO27001咨詢服務(wù)安全策略標(biāo)準(zhǔn)規(guī)劃等級化安全體系規(guī)劃信息科技績效考核全面的信息科技管理咨詢業(yè)務(wù)(續(xù))全生命周期的管理咨詢服務(wù)IS安永的行業(yè)經(jīng)驗—信息科技風(fēng)險咨詢服務(wù)及優(yōu)勢安永近期安全項目:信息系統(tǒng)風(fēng)險評估服務(wù)幫助企業(yè)發(fā)現(xiàn)存在的安全漏洞和威脅,并提供技術(shù)、流程層面的建議信息安全管理咨詢服務(wù)信息安全管理體系實(shí)施及信息安全路線圖規(guī)劃業(yè)務(wù)連續(xù)性管理服務(wù)防患未然,提升企業(yè)應(yīng)對災(zāi)難保持業(yè)務(wù)連續(xù)性的能力隱私和數(shù)據(jù)保護(hù)服務(wù)數(shù)據(jù)分級保護(hù),使用DLP技術(shù)來保護(hù)敏感數(shù)據(jù)身份認(rèn)證與訪問管理服務(wù)幫助客戶定義與統(tǒng)一管理授權(quán)流程與角色職能,提升防范惡意訪問的能力云安全服務(wù)立足于云服務(wù)生命周期的安全需求,提供相應(yīng)的安全服務(wù)信息安全快速評估服務(wù)用最短的周期和成本,為客戶快速診斷信息安全癥結(jié)所在熱門話題客戶數(shù)據(jù)與機(jī)密數(shù)據(jù)保護(hù)業(yè)務(wù)連續(xù)性管理信息安全治理身份認(rèn)證與訪問控制管理虛擬化技術(shù)與云計算安永提供的熱門服務(wù):世界最大電力企業(yè)之一信息安全體系和數(shù)據(jù)保護(hù)咨詢國內(nèi)最大的新能源企業(yè)ISO27001服務(wù)管理體系實(shí)施國內(nèi)最大的保險公司信息安全I(xiàn)SO27001管理體系實(shí)施全球最大的白色家電制造商信息安全I(xiàn)SO27001管理體系與數(shù)據(jù)泄漏保護(hù)實(shí)施全球某大芯片制造商數(shù)據(jù)泄漏保護(hù)實(shí)施(R&D)國內(nèi)第二大銀行信息科技等級保護(hù)體系建設(shè)安永的行業(yè)經(jīng)驗—信息科技風(fēng)險咨詢服務(wù)及優(yōu)勢安永近期安全項目:第二部分:信息安全管理體系建設(shè)Page10第二部分:信息安全管理體系建設(shè)Page10安永信息安全管理咨詢服務(wù)安永的信息安全管理咨詢服務(wù)根據(jù)組織的不同需求為其量身定做適合自己的信息安全管理體系,幫助企業(yè)更好的加強(qiáng)自身信息安全管理水平,降低企業(yè)業(yè)務(wù)運(yùn)作過程中的風(fēng)險。并采用可信任的控制措施,提供行業(yè)解決方案,滿足客戶的不同需求。根據(jù)ISO27001,信息安全管理體系包括:11個詳細(xì)的控制子條款39個控制目標(biāo)133個控制業(yè)務(wù)連續(xù)性管理權(quán)限控制系統(tǒng)獲取開發(fā)維護(hù)管理溝通與運(yùn)營管理人力資源安全合規(guī)性資產(chǎn)管理信息安全組織物理環(huán)境安全信息安全事故管理信息客戶記錄個人記錄法律記錄安全策略策略程序、流程工作指導(dǎo)書、操作說明、模板、檢查表等文檔、記錄安永信息安全管理咨詢服務(wù)安永的信息安全管理咨詢服務(wù)根據(jù)組織的安永ISO27001實(shí)施方法論(1/2)計劃(PLAN)實(shí)施(DO)檢查(CHECK)改進(jìn)(Act)業(yè)務(wù)現(xiàn)狀了解信息資產(chǎn)識別威脅脆弱性當(dāng)前控制措施風(fēng)險評價風(fēng)險處置制定風(fēng)險接受標(biāo)準(zhǔn)制定ISMS文檔架構(gòu)策略程序與流程指導(dǎo)書、模板等文檔、記錄等1級2級3級4級可能性嚴(yán)重性持續(xù)改進(jìn)機(jī)制管理層評審內(nèi)部ISMS審計持續(xù)的風(fēng)險評估ISMS體系度量與監(jiān)控體系運(yùn)行

符合性指標(biāo)效能指標(biāo)損失性指標(biāo)改進(jìn)需求預(yù)防性措施糾正性措施風(fēng)險評估風(fēng)險處置計劃識別不合格項根源分析記錄與追蹤識別潛在不合格項制定預(yù)防措施記錄與追蹤體系發(fā)布安永的項目方法將基于貴公司的業(yè)務(wù)現(xiàn)狀、對信息安全的要求及建立信息安全策略和目標(biāo)。在貴公司的整體業(yè)務(wù)風(fēng)險框架內(nèi),依據(jù)ISO27001標(biāo)準(zhǔn),以風(fēng)險評估為基礎(chǔ),根據(jù)風(fēng)險處置計劃建立和實(shí)施信息安全管理體系(ISMS)以管理信息安全風(fēng)險。并通過建立相關(guān)監(jiān)控體系評估ISMS的有效性,最終將針對監(jiān)測結(jié)果對信息安全管理體系進(jìn)行持續(xù)改進(jìn)。安永ISO27001實(shí)施方法論(1/2)計劃實(shí)施檢安永ISO27001實(shí)施方法論(2/2)項目實(shí)施采取的程序項目可能用到的工具訪談文檔審閱調(diào)查問卷現(xiàn)場檢查系統(tǒng)檢查技術(shù)掃描信息安全風(fēng)險評估工具網(wǎng)絡(luò)脆弱性評估服務(wù)器端口掃描資產(chǎn)識別工具滲透測試信息安全控制審計序號標(biāo)準(zhǔn)名稱1ISO27001:2005信息安全管理體系要求3ISO27002-27005信息安全管理使用規(guī)則實(shí)施指南風(fēng)險評估4SP800-美國國家標(biāo)準(zhǔn)技術(shù)委員會信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南5《信息系統(tǒng)安全等級保護(hù)基本要求》6《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》7GB22080-2008-T信息技術(shù)安全技術(shù)信息安全管理體系要求8GB22081-2008-T信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則9GB50174-2008電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范10GBT20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求11GBT21028-2007信息安全技術(shù)服務(wù)器安全技術(shù)要求12GBT21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求參考的相關(guān)標(biāo)準(zhǔn)項目實(shí)施采取的程序和可能用到的工具安永ISO27001實(shí)施方法論(2/2)項目實(shí)施采取的程序項項目啟動和差異分析項目啟動會議,確定項目團(tuán)隊、建立項目組管理架構(gòu)信息安全管理現(xiàn)狀的快速評估信息安全管理體系差異分析設(shè)計信息安全方針設(shè)計信息安全管理組織架構(gòu)信息安全管理培訓(xùn)階段項目總結(jié)會議項目計劃差異分析報告信息安全管理組織架構(gòu)信息安全方針階段主要任務(wù)主要交付品項目實(shí)施步驟風(fēng)險評估資產(chǎn)收集及風(fēng)險評估方法與標(biāo)準(zhǔn)資產(chǎn)級別劃分標(biāo)準(zhǔn)技術(shù)弱點(diǎn)掃描報告資產(chǎn)清單、威脅列表、脆弱性列表、風(fēng)險列表風(fēng)險評估報告制定資產(chǎn)識別標(biāo)準(zhǔn)

(包含保密級別劃分)資產(chǎn)收集及風(fēng)險評估方法培訓(xùn)信息資產(chǎn)收集識別威脅、脆弱性、并安全漏洞掃描評估風(fēng)險,劃分風(fēng)險等級階段項目總結(jié)會議體系設(shè)計與發(fā)布風(fēng)險容忍標(biāo)準(zhǔn)及風(fēng)險處置計劃適用性聲明ISMS制度和流程ISMS體系、事故響應(yīng)培訓(xùn)信息安全體系技術(shù)落地建議書體系運(yùn)行與監(jiān)控ISMS績效監(jiān)控流程信息安全推廣培訓(xùn)認(rèn)證及持續(xù)改進(jìn)ISMS內(nèi)審報告ISMS外審報告及改進(jìn)ISMS管理評審報告項目總結(jié)報告12345確定風(fēng)險容忍度和風(fēng)險偏好確定風(fēng)險處置措施并實(shí)施整改計劃制度整合及信息安全管理體系文檔編寫信息安全體系技術(shù)控制及管理落地建議信息安全管理體系發(fā)布及培訓(xùn)階段項目總結(jié)會議制定信息安全管理績效監(jiān)控流程信息安全管理體系試運(yùn)行體系運(yùn)行監(jiān)控業(yè)務(wù)連續(xù)性管理培訓(xùn)階段項目總結(jié)會議ISMS內(nèi)審培訓(xùn)ISMS內(nèi)審ISMS外審ISMS管理評審糾正、預(yù)防措施持續(xù)改進(jìn)建議項目總結(jié)會議協(xié)助后續(xù)的內(nèi)審和臨審項目啟動和差異分析項目啟動會議,確定項目團(tuán)隊、建立項目組管理目標(biāo)對信息安全的要求、信息安全組織架構(gòu)、ISMS文件體系、信息安全流程、信息安全技術(shù)架構(gòu)和技術(shù)設(shè)施管理情況、以及員工的信息安全意識進(jìn)行綜合調(diào)研分析。通過管理和技術(shù)手段并用的方式全面了解貴公司的信息安全現(xiàn)狀,為后續(xù)的工作打好基礎(chǔ)實(shí)現(xiàn)方法資料收集及分析問卷調(diào)查現(xiàn)場訪談實(shí)地走查技術(shù)調(diào)研等方式安永信息安全管理最佳實(shí)踐信息安全標(biāo)準(zhǔn)及監(jiān)管要求貴公司信息安全需求信息安全現(xiàn)狀調(diào)研總結(jié)報告制定調(diào)研方案現(xiàn)場訪談問卷調(diào)查技術(shù)調(diào)研資料收集文件審核1、現(xiàn)狀調(diào)研目標(biāo)安永信息安全管理最佳實(shí)踐信息安全標(biāo)準(zhǔn)及監(jiān)管要求貴公司信息1、現(xiàn)狀調(diào)研項目啟動和差異分析確定項目范圍、建立項目組管理架構(gòu),并完成現(xiàn)狀分析對項目范圍內(nèi)現(xiàn)有管理體系、流程,包含內(nèi)部控制制度等進(jìn)行分析業(yè)務(wù)與信息管理架構(gòu)分析與設(shè)計項目范圍內(nèi)信息平臺、應(yīng)用系統(tǒng)分析項目范圍內(nèi)相關(guān)部門與重要信息資產(chǎn)的互動與權(quán)限分析信息安全管理體系與國際標(biāo)準(zhǔn)ISO27001對標(biāo)信息安全方針設(shè)計階段一主要任務(wù)現(xiàn)有制度與流程組織架構(gòu)與職責(zé)信息技術(shù)與平臺各職能部門信息安全現(xiàn)狀診斷主要范圍1、現(xiàn)狀調(diào)研項目啟動確定項目范圍、建立項目組管理架構(gòu),并完成收集項目相關(guān)的文檔,通過對收集的資料進(jìn)行分析,快速了解貴公司信息安全基本情況為后續(xù)工作打好基礎(chǔ)。1.1、資料收集范例收集項目相關(guān)的文檔,通過對收集的資料進(jìn)行分析,快速了解貴公司對貴公司現(xiàn)存的信息安全管理制度、管理流程、記錄文檔等文件進(jìn)行審核,深入了解管理體系是否健全,以及技術(shù)和數(shù)據(jù)保護(hù)體系是否落實(shí)到位。信息安全管理制度信息安全職責(zé)矩陣及工作職責(zé)文檔信息安全測量體系文檔信息安全考核文檔數(shù)據(jù)備份和恢復(fù)策略信息安全培訓(xùn)文檔1.2、文件審核范例對貴公司現(xiàn)存的信息安全管理制度、管理流程、記錄文檔等文件進(jìn)行訪談目的和范圍根據(jù)項目范圍,訪談貴公司管理層以及重要部門業(yè)務(wù)骨干人員。訪談主要是了解相關(guān)人員對當(dāng)前公司信息安全工作的看法、關(guān)注的風(fēng)險及對未來的期望,了解員工的信息安全意識情況。訪談安排制定訪談計劃訪談綱要根據(jù)不同對象設(shè)計訪談綱要,一般包括管理層代表、重要部門業(yè)務(wù)骨干等訪談綱要。1.3、人員訪談范例訪談目的和范圍1.3、人員訪談范例問卷調(diào)研的對象:信息安全及主要業(yè)務(wù)系統(tǒng)和IT基礎(chǔ)設(shè)施的管理、維護(hù)人員。根據(jù)不同的對象設(shè)計不同的調(diào)研問卷,充分了解相關(guān)領(lǐng)域的信息安全管理現(xiàn)狀,具體事例如下:1.4、問卷調(diào)查范例問卷調(diào)研的對象:信息安全及主要業(yè)務(wù)系統(tǒng)和IT基礎(chǔ)設(shè)施的管理、通過安永的技術(shù)工具及人工檢查等手段對不同類型的系統(tǒng)進(jìn)行調(diào)研。1.5、技術(shù)調(diào)研范例通過安永的技術(shù)工具及人工檢查等手段對不同類型的系統(tǒng)進(jìn)行調(diào)研?,F(xiàn)狀調(diào)研階段工作成果信息安全現(xiàn)狀調(diào)研報告安全管理現(xiàn)狀安全技術(shù)現(xiàn)狀現(xiàn)狀調(diào)研階段工作成果信息安全現(xiàn)狀調(diào)研報告安全管理現(xiàn)狀安全技術(shù)2、風(fēng)險評估階段二主要任務(wù)信息安全風(fēng)險評估制定信息資產(chǎn)識別標(biāo)準(zhǔn)(包含保密級別劃分)資產(chǎn)識別及風(fēng)險評估方法培訓(xùn)信息資產(chǎn)收集識別關(guān)鍵信息資產(chǎn),并評估價值評估公司層面信息安全控制措施安全漏洞掃描針對關(guān)鍵信息資產(chǎn)進(jìn)行威脅、弱點(diǎn)及影響程度評估,計算出風(fēng)險值風(fēng)險分析風(fēng)險評估成果示例識別關(guān)鍵信息資產(chǎn)公司層面控制信息安全管理成熟度風(fēng)險評估2、風(fēng)險評估階段二主要任務(wù)信息安全風(fēng)險評估制定信息資產(chǎn)識別標(biāo)目標(biāo)從業(yè)務(wù)的角度分析貴公司對信息安全管理和技術(shù)的自身要求識別與國內(nèi)、國際最佳信息安全實(shí)踐之間的差距并改進(jìn)。識別各級監(jiān)管部門發(fā)布的有關(guān)信息安全監(jiān)管要求的差距并改進(jìn)發(fā)現(xiàn)主要信息安全管理和技術(shù)風(fēng)險并改進(jìn)。實(shí)現(xiàn)方法通過“資產(chǎn)風(fēng)險評估”、“流程風(fēng)險評估”、“信息安全技術(shù)架構(gòu)評估”、“數(shù)據(jù)安全”的結(jié)果,匯總分析形成最終的風(fēng)險評估報告。通過分析風(fēng)險評估的結(jié)果、監(jiān)管要求以及國際的信息安全最佳實(shí)踐標(biāo)準(zhǔn),描述貴公司對信息安全管理和技術(shù)的要求,建立安全管理與技術(shù)體系模型并對比貴公司目前的安全現(xiàn)狀,找出薄弱點(diǎn)并提出整改方案。2、信息安全風(fēng)險評估風(fēng)險評估標(biāo)準(zhǔn)目標(biāo)2、信息安全風(fēng)險評估風(fēng)險評估標(biāo)準(zhǔn)2.1、信息資產(chǎn)風(fēng)險評估(1/2)業(yè)務(wù)流程業(yè)務(wù)活動信息資產(chǎn)信息載體業(yè)務(wù)目標(biāo)終端設(shè)備應(yīng)用系統(tǒng)存儲網(wǎng)絡(luò)機(jī)密性完整性可用性信息資產(chǎn)分類基于信息資產(chǎn)的重要等級分類,深入分析貴公司的業(yè)務(wù)目標(biāo)和流程透徹分析和識別出在業(yè)務(wù)活動和所有不同信息系統(tǒng)架構(gòu)層中的信息資產(chǎn)根據(jù)安全的三個特性緯度(機(jī)密性,完整性,可用性)來判斷信息資產(chǎn)的價值識別信息資產(chǎn)定義信息資產(chǎn)的自然屬性決定信息資產(chǎn)的屬性分類的信息資產(chǎn)2.1、信息資產(chǎn)風(fēng)險評估(1/2)業(yè)務(wù)流程業(yè)務(wù)活動信息資產(chǎn)信2.1、信息資產(chǎn)風(fēng)險評估(2/2)范例2.1、信息資產(chǎn)風(fēng)險評估(2/2)范例在對IT流程評估需要對現(xiàn)有流程設(shè)計文檔分析,對流程的角色、職責(zé)、活動、輸入輸出、KPI等分析,識別關(guān)鍵控制點(diǎn)。IT流程風(fēng)險評估為后續(xù)的流程優(yōu)化打下了基礎(chǔ)。2.2、IT流程評估范例在對IT流程評估需要對現(xiàn)有流程設(shè)計文檔分析,對流程的角色、職2.3、信息安全技術(shù)架構(gòu)風(fēng)險評估物理終端主機(jī)應(yīng)用網(wǎng)絡(luò)身份認(rèn)證訪問控制內(nèi)容安全審核跟蹤響應(yīng)恢復(fù)工具掃描文檔審閱配置檢查滲透測試安全技術(shù)風(fēng)險評估評估技術(shù)評估工具對貴公司的物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、終端等方面的信息安全風(fēng)險進(jìn)行評估。2.3、信息安全技術(shù)架構(gòu)風(fēng)險評估物理終端主機(jī)應(yīng)用網(wǎng)絡(luò)身份認(rèn)證風(fēng)險評估階段工作成果信息安全風(fēng)險評估報告風(fēng)險評估階段工作成果信息安全風(fēng)險3、體系建立與發(fā)布建立適合貴公司的信息安全管理體系階段三主要任務(wù)體系設(shè)計與發(fā)布確定風(fēng)險接受標(biāo)準(zhǔn)制定風(fēng)險處置計劃管理層匯報定制風(fēng)險處置實(shí)施整改計劃依據(jù)信息與業(yè)務(wù)重要性,制定各級信息安全管理制度和流程信息安全體系技術(shù)控制落地及管理落地建議依據(jù)不同對象與時機(jī),按需制定支持上述流程的工作指導(dǎo)書信息安全管理體系發(fā)布及培訓(xùn)ISMS策略ISMS制度和流程工作指導(dǎo)書、操作手冊、模板、檢查表等表單、記錄1級2級3級4級信息安全管理體系文件第一級信息安全方針信息安全管理評審程序信息安全內(nèi)審管理程序糾正和預(yù)防措施管理程序文檔記錄管控程序有效性測量程序信息資產(chǎn)分類標(biāo)準(zhǔn)風(fēng)險評估實(shí)施指南信息保密管理辦法人員安全管理程序培訓(xùn)管理規(guī)定第三方安全管理規(guī)定機(jī)房安全管理規(guī)定辦公區(qū)域安全管理規(guī)定系統(tǒng)試運(yùn)行審查規(guī)定系統(tǒng)安全管理規(guī)范網(wǎng)絡(luò)運(yùn)維管理規(guī)范IT終端設(shè)備使用管理規(guī)范變更管理規(guī)定帳戶安全管理規(guī)范防病毒管理策略第二級第三級脆弱性檢查列表威脅檢查表內(nèi)部審計檢查項第四級審計報告日志檢查表文件加密指南移動辦公守則信息安全管理手冊其它表單風(fēng)險處置方法風(fēng)險處置計劃序號整改類型負(fù)責(zé)部門風(fēng)險描述優(yōu)先等級整改措施完成時間責(zé)任人管理是否已確定1物理安全運(yùn)維部機(jī)房濕度過低,容易造成電火花以及靜電,給IDC業(yè)務(wù)帶來風(fēng)險高調(diào)整機(jī)房濕度至合適范圍,并設(shè)置遠(yuǎn)程監(jiān)控與報警機(jī)制。2009年9月7日張三是2法律法規(guī)合規(guī)運(yùn)維部單位或個人通過托管的服務(wù)器,利用IDC中心從事危害國家安全、泄露國家機(jī)密等違法犯罪活動高1.與責(zé)任單位簽訂信息安全責(zé)任保障書,明確責(zé)任與義務(wù)2.IDC建立相應(yīng)的管理、監(jiān)督和檢查機(jī)制,實(shí)現(xiàn)實(shí)時的監(jiān)控2009年10月17日張三審批中3、體系建立與發(fā)布建立適合貴公司的信息安全管理體系階段三主要3.1、信息安全管理框架設(shè)計安永將根據(jù)貴公司實(shí)際情況和信息安全統(tǒng)一要求,建立適合于貴公司的信息安全管理框架,用于指導(dǎo)信息安全工作的實(shí)施。管理技術(shù)組織業(yè)務(wù)驅(qū)動風(fēng)險戰(zhàn)略合規(guī)、監(jiān)控和報告風(fēng)險識別與描述流程與運(yùn)作程序工具與技術(shù)治理、制度與標(biāo)準(zhǔn)人員和組織管理數(shù)據(jù)安全框架3.1、信息安全管理框架設(shè)計安永將根據(jù)貴公司實(shí)際情況和信息安3.2、體系與安全制度的對標(biāo)整合從管理措施和管理方法兩方面,進(jìn)行ISMS制度與現(xiàn)存運(yùn)行的安全制度的對標(biāo)。確保符合集團(tuán)信息安全要求,并將現(xiàn)存的安全風(fēng)險控制和管理方法融入ISMS制度中,從而達(dá)到制度整合的目標(biāo),使信息安全管理成為一個整體,成為一套管理程序?!顿F公司XXX工作管理指引》《貴公司信息安全管理體系》對應(yīng)要求《貴公司現(xiàn)有制度體系,包括集團(tuán)信息安全要求》控制程序作業(yè)指導(dǎo)書、表格、文檔模版以及報告等總體規(guī)定軟件需求管理辦法信息系統(tǒng)項目管理辦法外包項目管理辦法安全管理制度框架及管理規(guī)定……軟件需求管理控制程序項目管理控制程序應(yīng)用系統(tǒng)安全管理規(guī)定計算機(jī)機(jī)房管理控制程序運(yùn)行維護(hù)文檔管理控制程序……應(yīng)用軟件程序維護(hù)作業(yè)指導(dǎo)書安全服務(wù)管理業(yè)務(wù)指導(dǎo)書網(wǎng)絡(luò)配置變更作業(yè)指導(dǎo)書應(yīng)用軟件程序維護(hù)作業(yè)流程圖網(wǎng)管系統(tǒng)維護(hù)記錄周報……《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)》對應(yīng)要求對應(yīng)要求…3.2、體系與安全制度的對標(biāo)整合從管理措施和管理方法兩方面,3.3、信息安全組織體系建設(shè)安永將根據(jù)貴公司實(shí)際情況設(shè)計信息安全組織架構(gòu)及各部門職責(zé)。范例3.3、信息安全組織體系建設(shè)安永將根據(jù)貴公司實(shí)際情況設(shè)計信息3.4、信息安全制度體系建設(shè)安永將根據(jù)ISO27001標(biāo)準(zhǔn)要求,并結(jié)合貴公司自身需求,按照分類分級的原則,設(shè)計完整的信息安全管理制度及文檔體系。范例3.4、信息安全制度體系建設(shè)安永將根據(jù)ISO27001標(biāo)準(zhǔn)要3.5、信息安全技術(shù)體系建設(shè)滿足國家標(biāo)準(zhǔn)、監(jiān)管、行業(yè)最佳實(shí)踐的安全技術(shù)要求,從業(yè)務(wù)出發(fā),識別和滿足用戶對信息安全技術(shù)需求,掌握信息系統(tǒng)安全保護(hù)重點(diǎn)領(lǐng)域,建立信息系統(tǒng)安全技術(shù)基準(zhǔn),實(shí)現(xiàn)可組合安全技術(shù)保護(hù)。范例3.5、信息安全技術(shù)體系建設(shè)滿足國家標(biāo)準(zhǔn)、監(jiān)管、行業(yè)最佳實(shí)踐3.6、信息安全監(jiān)督體系建設(shè)通過定期實(shí)施內(nèi)審與管理評審發(fā)現(xiàn)貴公司體系運(yùn)行中存在的不足并進(jìn)行整改,從而達(dá)到內(nèi)部不斷改進(jìn)的目的,以保持信息安全保障體系的有效性、適宜性、充分性。范例3.6、信息安全監(jiān)督體系建設(shè)通過定期實(shí)施內(nèi)審與管理評審發(fā)現(xiàn)貴3.7、信息安全技術(shù)和管理落地(1/2)建設(shè)緊迫性分析合規(guī)方面的強(qiáng)制要求;法律訴訟、人身安全等可能性業(yè)務(wù)中斷、IT全局崩潰等可能性分布與影響的范圍、危害嚴(yán)重性破壞后恢復(fù)時間與投入、發(fā)生頻率信息安全戰(zhàn)略規(guī)劃分析模型建設(shè)可行性分析外部策略允許程度內(nèi)部管理條件是否具備所需的技術(shù)是否成熟內(nèi)部支持條件是否具備外部支持條件是否具備建設(shè)效果性分析見效速度對于數(shù)據(jù)安全的直接效果對于業(yè)務(wù)的直接促進(jìn)安全體系的提升與促進(jìn)建設(shè)難易度分析資金、時間、人力等投入大小技術(shù)難度、人員能力的要求對業(yè)務(wù)和運(yùn)行的觸動大小對企業(yè)和組織的觸動大小根據(jù)貴公司信息安全戰(zhàn)略規(guī)劃及目前的信息安全風(fēng)險現(xiàn)狀,設(shè)計信息安全建設(shè)任務(wù)的優(yōu)先級路線路。3.7、信息安全技術(shù)和管理落地(1/2)建設(shè)緊迫性分析信息安3.7、信息安全技術(shù)和管理落地(2/2)優(yōu)先級排序結(jié)果任務(wù)順序/關(guān)聯(lián)關(guān)系根據(jù)規(guī)劃分析和貴公司目前的信息安全項目實(shí)施的實(shí)際情況,設(shè)計出未來三年的安全建設(shè)藍(lán)圖。3.7、信息安全技術(shù)和管理落地(2/2)優(yōu)先級排序結(jié)果任務(wù)順4、體系運(yùn)行與監(jiān)控階段四主要任務(wù)體系運(yùn)行與監(jiān)控制定績效監(jiān)控流程體系運(yùn)行監(jiān)控信息安全推廣培訓(xùn)信息安全宣傳內(nèi)部審計培訓(xùn)信息安全管理體系內(nèi)部審計信息安全管理體系管理評審會議糾正措施、預(yù)防措施、持續(xù)改進(jìn)建議項目總結(jié)會體系運(yùn)行與監(jiān)控審計報告內(nèi)部審計文件適用性按規(guī)范執(zhí)行內(nèi)審計劃信息安全體系改進(jìn)方案實(shí)施成果審計執(zhí)行記錄信息安全管理體系信息安全管理體系內(nèi)部審計報告4、體系運(yùn)行與監(jiān)控階段四主要任務(wù)體系運(yùn)行與監(jiān)控制定績效監(jiān)控流4.1、安全職責(zé)細(xì)化(1/2)信息安全職責(zé)是否清晰并可落實(shí)是關(guān)系到信息安全工作能否到位的關(guān)鍵,因此制定信息安全職責(zé)矩陣,細(xì)化每個崗位的信息安全職責(zé),確保其可操作對于ISMS體系的落實(shí)發(fā)揮重要作用。范例4.1、安全職責(zé)細(xì)化(1/2)信息安全職責(zé)是否清晰并可落實(shí)是4.1、安全職責(zé)細(xì)化(2/2)落地示例信息安全責(zé)任落實(shí)到“人”信息安全指南落實(shí)到“步驟”信息安全度量落實(shí)到“指標(biāo)”范例4.1、安全職責(zé)細(xì)化(2/2)落地示例信息安全責(zé)任信息安全指4.2、安全測量指標(biāo)為了有效的監(jiān)控ISMS體系運(yùn)行的效果,及時發(fā)現(xiàn)ISMS存在的不足并改進(jìn),應(yīng)建立ISMS運(yùn)行有效性測量體系,測量體系應(yīng)至少包括測量指標(biāo)、測量數(shù)據(jù)來源、測量周期、測量防范、測量責(zé)任人、測量結(jié)果等要素。范例4.2、安全測量指標(biāo)為了有效的監(jiān)控ISMS體系運(yùn)行的效果,及4.3、安全考核體系建立有效的信息安全管理KPI制定合理的信息安全管理KPI,評價信息安全管理執(zhí)行情況和反饋改進(jìn)建議。角色類型指標(biāo)范圍指標(biāo)定義成熟度業(yè)務(wù)連續(xù)性管理軟件開發(fā)安全管理變更配置安全管理符合性管理IT終端安全管理移動介質(zhì)安全管理系統(tǒng)補(bǔ)丁安全管理防病毒安全管理物理環(huán)境安全管理數(shù)據(jù)備份安全管理帳號權(quán)限安全管理安全監(jiān)控管理安全事故管理第三方安全管理實(shí)施類用于度量安全策略的實(shí)施情況,主要考核事前安全工作。效能類用于度量安全服務(wù)的工作效力和效率,主要考核事中安全工作。影響類用于度量安全事件對業(yè)務(wù)的影響,主要考核事后安全工作。1級已定義安全策略2級已定義安全流程和控制方法3級已實(shí)施安全流程和控制方法4級已驗證安全流程和控制方法5級已集成并持續(xù)改進(jìn)安全流程和控制方法決策層為信息安全考核計劃提供高層支持和監(jiān)督。管理層為信息安全考核計劃提供支持,協(xié)調(diào)有關(guān)工作。執(zhí)行層為安全指標(biāo)的制定和數(shù)據(jù)采集提供支持。監(jiān)督層負(fù)責(zé)信息安全日常工作,收集數(shù)據(jù)和計算安全指標(biāo)。4.3、安全考核體系建立有效的信息安全管理KPI角指指成業(yè)務(wù)4.4、安全意識推廣(1/2)通過多種手段提升員工信息安全意識,比如安全手冊、安全海報、安全屏保、電子壁紙、FLASH動畫、鼠標(biāo)墊、便利貼等。范例4.4、安全意識推廣(1/2)通過多種手段提升員工信息安全意4.4、安全意識推廣(2/2)定期的信息安全宣導(dǎo)及培訓(xùn)簽署勞動合同(含安全職責(zé))入職的安全意識培訓(xùn)網(wǎng)絡(luò)自助式的安全知識考試學(xué)習(xí)安全規(guī)章制度員工轉(zhuǎn)正申請員工轉(zhuǎn)正申請獎懲機(jī)制人力資源安全培訓(xùn)違規(guī)行為的報告安全信用等級系統(tǒng)技術(shù)分析舉報信息收集確認(rèn)違規(guī)等級安全系統(tǒng)部用人部門安全系統(tǒng)部用人部門嚴(yán)重一般處理正式發(fā)布人力部門發(fā)布4.4、安全意識推廣(2/2)定期的信息安全宣導(dǎo)及培訓(xùn)簽署勞4.5、人員安全培訓(xùn)安永將根據(jù)不同的培訓(xùn)對象,安永設(shè)計了信息安全意識培訓(xùn),IT風(fēng)險管理培訓(xùn),ISO27001培訓(xùn)等。其中信息安全意識培訓(xùn)適用于全體員工,IT風(fēng)險管理培訓(xùn)適用于IT內(nèi)控及風(fēng)險管理人員,ISO27001適用于信息安全體系管理人員。范例4.5、人員安全培訓(xùn)安永將根據(jù)不同的培訓(xùn)對象,安永設(shè)計了信息目標(biāo)推動ISMS體系在貴公司運(yùn)行,并獲得審核機(jī)構(gòu)頒發(fā)的27001認(rèn)證。實(shí)現(xiàn)方法ISMS體系文件編制完成后,應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施,體系運(yùn)行初期處于體系的磨合期,一般稱為試運(yùn)行期,在此期間運(yùn)行的目的是要在實(shí)踐中檢驗體系的充分性、適用性和有效性。試運(yùn)行3個月后,并完成內(nèi)審和管理評審后,在收集到一些ISMS運(yùn)行記錄后,可以根據(jù)貴公司需求選擇認(rèn)證機(jī)構(gòu)并協(xié)助貴公司通過認(rèn)證。5、認(rèn)證及持續(xù)改進(jìn)信息安全管理體系認(rèn)證ISMS體系試運(yùn)行ISMS內(nèi)審ISMS管理評審認(rèn)證前培訓(xùn)外審初審支持外審終審支持目標(biāo)5、認(rèn)證及持續(xù)改進(jìn)信息安全管理體系認(rèn)證ISMS體系試運(yùn)行5、認(rèn)證及持續(xù)改進(jìn)階段五主要任務(wù)認(rèn)證及持續(xù)改進(jìn)內(nèi)審管理評審?fù)鈱彸掷m(xù)改進(jìn)內(nèi)審計劃和安排內(nèi)審檢查表和報告信息安全管理體系管理評審會議糾正措施、預(yù)防措施、持續(xù)改進(jìn)建議外審報告和改進(jìn)監(jiān)審及內(nèi)審支持認(rèn)證及持續(xù)改進(jìn)信息安全管理體系內(nèi)部審計報告信息安全管理體系認(rèn)證ISMS體系試運(yùn)行ISMS內(nèi)審ISMS管理評審認(rèn)證前培訓(xùn)外審支持監(jiān)審及后續(xù)內(nèi)審支持5、認(rèn)證及持續(xù)改進(jìn)階段五主要任務(wù)認(rèn)證及持續(xù)改進(jìn)內(nèi)審內(nèi)審計劃和ISMS內(nèi)審、管理評審:通過定期實(shí)施內(nèi)審與管理評審來查找已建立的信息安全管理體系與信息安全標(biāo)準(zhǔn)及法律法規(guī)之間的差距,從而達(dá)到內(nèi)部不斷改進(jìn)的目的,以保持信息安全保障體系的有效性、適宜性、充分性。認(rèn)證前培訓(xùn):為了確保通過外審,顧問將對ISMS范圍內(nèi)的各部門安全管理員進(jìn)行培訓(xùn),介紹外審過程和關(guān)注要點(diǎn)。外審支持:安永的顧問將全程協(xié)助貴公司外審的整個過程,包括初審、終審等,直到獲得ISO27001認(rèn)證。后續(xù)內(nèi)審和監(jiān)控支持:安永負(fù)責(zé)為貴公司通過ISO27001認(rèn)證后的后續(xù)支持工作,包括下一年的ISO27001的內(nèi)審及監(jiān)審支持,以確保貴公司按照ISO27001的要求進(jìn)行執(zhí)行。5、認(rèn)證及持續(xù)改進(jìn)ISMS內(nèi)審、管理評審:通過定期實(shí)施內(nèi)審與管理評審來查找已建5、信息安全管理體系運(yùn)行和認(rèn)證5、信息安全管理體系運(yùn)行和認(rèn)證第三部分:安永典型案例Page51第三部分:安永典型案例Page51安永的行業(yè)經(jīng)驗—部分安全咨詢項目案例項目內(nèi)容客戶名稱信息安全體系和隱私保護(hù)咨詢世界最大的電力公司之一信息安全管理體系ISO27001建設(shè)與實(shí)施中國最大石油公司之一信息安全管理體系建設(shè)與實(shí)施中國最大移動電信運(yùn)營商信息安全管理體系實(shí)施國內(nèi)最大的新型能源企業(yè)信息技術(shù)安全等級保護(hù)建設(shè)中國第二大商業(yè)銀行ISO27001信息安全管理體系建設(shè)及認(rèn)證中國最大財險公司ISO27001信息安全管理體系咨詢中國銀行卡聯(lián)合組織機(jī)構(gòu)信息安全管理體系建設(shè)與實(shí)施中國最大航空結(jié)算中心ISO27001信息安全管理體系建設(shè)及認(rèn)證中國領(lǐng)先的體彩服務(wù)商信息安全管理體系ISO27001建設(shè)與實(shí)施中國最大的家電制造企業(yè)ISO27001信息安全管理體系咨詢?nèi)蜃畲蟊kU集團(tuán)廣州分中心安永的行業(yè)經(jīng)驗—部分安全咨詢項目案例項目內(nèi)容客戶名稱信息安全安永安全管理體系ISO27001認(rèn)證咨詢服務(wù)介紹安永安全管理體系ISO27001認(rèn)證咨詢服務(wù)介紹第一部分:安永介紹Page2第一部分:安永介紹Page2關(guān)于安永—安永的全球規(guī)模安永是全球領(lǐng)先的專業(yè)服務(wù)公司,在140多個國家及地區(qū)設(shè)有約700多個辦事處,擁有超過152,000名專業(yè)人才,2011年度全球總收入約230億美元。除了提供審計服務(wù)外,安永提供的咨詢服務(wù)包括稅務(wù)、收購合并、改善內(nèi)控制度、風(fēng)險管理、信息安全以及公司治理方案等。我們?yōu)椤敦敻弧?00強(qiáng)中超過75%、標(biāo)準(zhǔn)普爾指數(shù)成份股中65%的企業(yè),提供審計、稅務(wù)、風(fēng)險管理和其他咨詢服務(wù)?!敦敻弧啡?00強(qiáng)企業(yè)—安永服務(wù)的企業(yè)所占百分比審計客戶稅務(wù)、風(fēng)險管理等非審計咨詢服務(wù)客戶指數(shù)中所有其他客戶標(biāo)準(zhǔn)普爾1200指數(shù)成份股企業(yè)—安永服務(wù)的企業(yè)所占百分比審計客戶稅務(wù)、風(fēng)險管理等非審計咨詢服務(wù)客戶指數(shù)中所有其他客戶關(guān)于安永安永是全球領(lǐng)先的專業(yè)服務(wù)公司,在140多個國家及地區(qū)全球前十大風(fēng)險管理咨詢企業(yè)為財富500強(qiáng)中75%的企業(yè)、國內(nèi)60%的上市公司提供專業(yè)服務(wù)與國資委、財政部、發(fā)改委、保監(jiān)會、銀監(jiān)會、證監(jiān)會等管理部門建立了良好的關(guān)系,由于安永的良好聲譽(yù),安永得以入選國資委09年度央企審計項目入圍會計師事務(wù)所

北美洲:38,000人分布于119個城市中南美洲:10,000人分布于30個城市中東及非洲:9,000人分布于77個城市澳大利亞/新西蘭:9,000人分布于16個城市歐洲:41,000人分布于362個城市日本:3,000人分布于30個城市亞洲:20,000人分布于75個城市信息安全管理咨詢服務(wù)IT服務(wù)管理咨詢服務(wù)IT風(fēng)險評估服務(wù)IT內(nèi)部審計服務(wù)IT內(nèi)控合規(guī)及優(yōu)化服務(wù)IT績效評估服務(wù)安永信息科技專業(yè)服務(wù)Ernst&YoungisaleaderinInformationSecurityandRiskConsultingServices.

Source:TheForresterWave?:InformationSecurityandRiskConsultingServices,Q32010,ForresterResearch,Inc.,August2nd,2010國際著名IT咨詢機(jī)構(gòu)Forrester發(fā)布的全球信息科技安全與風(fēng)險咨詢報告關(guān)于安永—信息科技風(fēng)險咨詢服務(wù)全球前十大風(fēng)險管理咨詢企業(yè)北美洲:38,000人安永及其信息科技風(fēng)險咨詢服務(wù)一直被視為信息系統(tǒng)審計與信息安全咨詢行業(yè)的領(lǐng)導(dǎo)者,在國際著名IT咨詢機(jī)構(gòu)Forrester發(fā)布的全球信息科技安全與風(fēng)險咨詢報告中,安永連續(xù)被評為信息安全與信息風(fēng)險服務(wù)行業(yè)的最佳咨詢公司之一。我們已經(jīng)連續(xù)十四年在全球范圍內(nèi)進(jìn)行信息安全調(diào)查(GISS),調(diào)查的參與者包括了52個國家中的1700個不同行業(yè)的企業(yè),調(diào)查問卷參考了ISO27001信息安全管理體系框架,為各企業(yè)管理層做出信息安全方面的重要決策提供深入的參考信息。安永在中國大陸和香港地區(qū)的信息科技風(fēng)險咨詢服務(wù)部門目前正為中國大陸和香港地區(qū)的200多家企業(yè)提供科技與信息安全方面的服務(wù),這些公司中包括了上市公司、國有企業(yè)、金融機(jī)構(gòu)、政府部門、以及跨國企業(yè)等。關(guān)于安永—信息科技風(fēng)險咨詢服務(wù)安永及其信息科技風(fēng)險咨詢服務(wù)一直被視為信息系統(tǒng)審計與信息安全在中國的專業(yè)IT咨詢服務(wù)團(tuán)隊安永在大中華區(qū)有超過300人的IT風(fēng)險咨詢顧問,其中在北京,上海,廣州,深圳,香港,臺灣等地更是具有專注在IT咨詢服務(wù)的團(tuán)隊。安永IT咨詢服務(wù)團(tuán)隊上海香港

廣州深圳北京臺北武漢我們在中國地區(qū)的IT咨詢服務(wù)團(tuán)隊介紹:在中國有超過300位專注于IT咨詢領(lǐng)域的顧問專家。安全顧問有不同的背景專長,技能覆蓋信息安全的各個方面。擁有下面專業(yè)證書資質(zhì):CISSPCISMCISABS25999LAISO27001LAISO20000LAPMPITIL在中國的專業(yè)IT咨詢服務(wù)團(tuán)隊安永在大中華區(qū)有超過300人的I安永信息科技管理咨詢服務(wù)科技與信息安全咨詢服務(wù)(ITRA)在中國有超過300人的專業(yè)服務(wù)團(tuán)隊,在華北、華中與華南三大區(qū)域為客戶提供信息系統(tǒng)審計、信息安全、及信息技術(shù)相關(guān)咨詢等方面的專業(yè)服務(wù),主要服務(wù)類型如下:IT戰(zhàn)略規(guī)劃IT治理數(shù)據(jù)管理IT服務(wù)管理咨詢服務(wù)第三方報告信息安全咨詢服務(wù)IT鑒證審計ERP系統(tǒng)咨詢IT內(nèi)部控制評估IT內(nèi)部審計安永信息科技管理咨詢服務(wù)科技與信息安全咨詢服務(wù)(ITRA)在全面的信息科技管理咨詢業(yè)務(wù)(續(xù))全生命周期的管理咨詢服務(wù)ISO20000咨詢服務(wù)ISO27001咨詢服務(wù)安全策略標(biāo)準(zhǔn)規(guī)劃等級化安全體系規(guī)劃信息科技績效考核全面的信息科技管理咨詢業(yè)務(wù)(續(xù))全生命周期的管理咨詢服務(wù)IS安永的行業(yè)經(jīng)驗—信息科技風(fēng)險咨詢服務(wù)及優(yōu)勢安永近期安全項目:信息系統(tǒng)風(fēng)險評估服務(wù)幫助企業(yè)發(fā)現(xiàn)存在的安全漏洞和威脅,并提供技術(shù)、流程層面的建議信息安全管理咨詢服務(wù)信息安全管理體系實(shí)施及信息安全路線圖規(guī)劃業(yè)務(wù)連續(xù)性管理服務(wù)防患未然,提升企業(yè)應(yīng)對災(zāi)難保持業(yè)務(wù)連續(xù)性的能力隱私和數(shù)據(jù)保護(hù)服務(wù)數(shù)據(jù)分級保護(hù),使用DLP技術(shù)來保護(hù)敏感數(shù)據(jù)身份認(rèn)證與訪問管理服務(wù)幫助客戶定義與統(tǒng)一管理授權(quán)流程與角色職能,提升防范惡意訪問的能力云安全服務(wù)立足于云服務(wù)生命周期的安全需求,提供相應(yīng)的安全服務(wù)信息安全快速評估服務(wù)用最短的周期和成本,為客戶快速診斷信息安全癥結(jié)所在熱門話題客戶數(shù)據(jù)與機(jī)密數(shù)據(jù)保護(hù)業(yè)務(wù)連續(xù)性管理信息安全治理身份認(rèn)證與訪問控制管理虛擬化技術(shù)與云計算安永提供的熱門服務(wù):世界最大電力企業(yè)之一信息安全體系和數(shù)據(jù)保護(hù)咨詢國內(nèi)最大的新能源企業(yè)ISO27001服務(wù)管理體系實(shí)施國內(nèi)最大的保險公司信息安全I(xiàn)SO27001管理體系實(shí)施全球最大的白色家電制造商信息安全I(xiàn)SO27001管理體系與數(shù)據(jù)泄漏保護(hù)實(shí)施全球某大芯片制造商數(shù)據(jù)泄漏保護(hù)實(shí)施(R&D)國內(nèi)第二大銀行信息科技等級保護(hù)體系建設(shè)安永的行業(yè)經(jīng)驗—信息科技風(fēng)險咨詢服務(wù)及優(yōu)勢安永近期安全項目:第二部分:信息安全管理體系建設(shè)Page10第二部分:信息安全管理體系建設(shè)Page10安永信息安全管理咨詢服務(wù)安永的信息安全管理咨詢服務(wù)根據(jù)組織的不同需求為其量身定做適合自己的信息安全管理體系,幫助企業(yè)更好的加強(qiáng)自身信息安全管理水平,降低企業(yè)業(yè)務(wù)運(yùn)作過程中的風(fēng)險。并采用可信任的控制措施,提供行業(yè)解決方案,滿足客戶的不同需求。根據(jù)ISO27001,信息安全管理體系包括:11個詳細(xì)的控制子條款39個控制目標(biāo)133個控制業(yè)務(wù)連續(xù)性管理權(quán)限控制系統(tǒng)獲取開發(fā)維護(hù)管理溝通與運(yùn)營管理人力資源安全合規(guī)性資產(chǎn)管理信息安全組織物理環(huán)境安全信息安全事故管理信息客戶記錄個人記錄法律記錄安全策略策略程序、流程工作指導(dǎo)書、操作說明、模板、檢查表等文檔、記錄安永信息安全管理咨詢服務(wù)安永的信息安全管理咨詢服務(wù)根據(jù)組織的安永ISO27001實(shí)施方法論(1/2)計劃(PLAN)實(shí)施(DO)檢查(CHECK)改進(jìn)(Act)業(yè)務(wù)現(xiàn)狀了解信息資產(chǎn)識別威脅脆弱性當(dāng)前控制措施風(fēng)險評價風(fēng)險處置制定風(fēng)險接受標(biāo)準(zhǔn)制定ISMS文檔架構(gòu)策略程序與流程指導(dǎo)書、模板等文檔、記錄等1級2級3級4級可能性嚴(yán)重性持續(xù)改進(jìn)機(jī)制管理層評審內(nèi)部ISMS審計持續(xù)的風(fēng)險評估ISMS體系度量與監(jiān)控體系運(yùn)行

符合性指標(biāo)效能指標(biāo)損失性指標(biāo)改進(jìn)需求預(yù)防性措施糾正性措施風(fēng)險評估風(fēng)險處置計劃識別不合格項根源分析記錄與追蹤識別潛在不合格項制定預(yù)防措施記錄與追蹤體系發(fā)布安永的項目方法將基于貴公司的業(yè)務(wù)現(xiàn)狀、對信息安全的要求及建立信息安全策略和目標(biāo)。在貴公司的整體業(yè)務(wù)風(fēng)險框架內(nèi),依據(jù)ISO27001標(biāo)準(zhǔn),以風(fēng)險評估為基礎(chǔ),根據(jù)風(fēng)險處置計劃建立和實(shí)施信息安全管理體系(ISMS)以管理信息安全風(fēng)險。并通過建立相關(guān)監(jiān)控體系評估ISMS的有效性,最終將針對監(jiān)測結(jié)果對信息安全管理體系進(jìn)行持續(xù)改進(jìn)。安永ISO27001實(shí)施方法論(1/2)計劃實(shí)施檢安永ISO27001實(shí)施方法論(2/2)項目實(shí)施采取的程序項目可能用到的工具訪談文檔審閱調(diào)查問卷現(xiàn)場檢查系統(tǒng)檢查技術(shù)掃描信息安全風(fēng)險評估工具網(wǎng)絡(luò)脆弱性評估服務(wù)器端口掃描資產(chǎn)識別工具滲透測試信息安全控制審計序號標(biāo)準(zhǔn)名稱1ISO27001:2005信息安全管理體系要求3ISO27002-27005信息安全管理使用規(guī)則實(shí)施指南風(fēng)險評估4SP800-美國國家標(biāo)準(zhǔn)技術(shù)委員會信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南5《信息系統(tǒng)安全等級保護(hù)基本要求》6《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》7GB22080-2008-T信息技術(shù)安全技術(shù)信息安全管理體系要求8GB22081-2008-T信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則9GB50174-2008電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范10GBT20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求11GBT21028-2007信息安全技術(shù)服務(wù)器安全技術(shù)要求12GBT21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求參考的相關(guān)標(biāo)準(zhǔn)項目實(shí)施采取的程序和可能用到的工具安永ISO27001實(shí)施方法論(2/2)項目實(shí)施采取的程序項項目啟動和差異分析項目啟動會議,確定項目團(tuán)隊、建立項目組管理架構(gòu)信息安全管理現(xiàn)狀的快速評估信息安全管理體系差異分析設(shè)計信息安全方針設(shè)計信息安全管理組織架構(gòu)信息安全管理培訓(xùn)階段項目總結(jié)會議項目計劃差異分析報告信息安全管理組織架構(gòu)信息安全方針階段主要任務(wù)主要交付品項目實(shí)施步驟風(fēng)險評估資產(chǎn)收集及風(fēng)險評估方法與標(biāo)準(zhǔn)資產(chǎn)級別劃分標(biāo)準(zhǔn)技術(shù)弱點(diǎn)掃描報告資產(chǎn)清單、威脅列表、脆弱性列表、風(fēng)險列表風(fēng)險評估報告制定資產(chǎn)識別標(biāo)準(zhǔn)

(包含保密級別劃分)資產(chǎn)收集及風(fēng)險評估方法培訓(xùn)信息資產(chǎn)收集識別威脅、脆弱性、并安全漏洞掃描評估風(fēng)險,劃分風(fēng)險等級階段項目總結(jié)會議體系設(shè)計與發(fā)布風(fēng)險容忍標(biāo)準(zhǔn)及風(fēng)險處置計劃適用性聲明ISMS制度和流程ISMS體系、事故響應(yīng)培訓(xùn)信息安全體系技術(shù)落地建議書體系運(yùn)行與監(jiān)控ISMS績效監(jiān)控流程信息安全推廣培訓(xùn)認(rèn)證及持續(xù)改進(jìn)ISMS內(nèi)審報告ISMS外審報告及改進(jìn)ISMS管理評審報告項目總結(jié)報告12345確定風(fēng)險容忍度和風(fēng)險偏好確定風(fēng)險處置措施并實(shí)施整改計劃制度整合及信息安全管理體系文檔編寫信息安全體系技術(shù)控制及管理落地建議信息安全管理體系發(fā)布及培訓(xùn)階段項目總結(jié)會議制定信息安全管理績效監(jiān)控流程信息安全管理體系試運(yùn)行體系運(yùn)行監(jiān)控業(yè)務(wù)連續(xù)性管理培訓(xùn)階段項目總結(jié)會議ISMS內(nèi)審培訓(xùn)ISMS內(nèi)審ISMS外審ISMS管理評審糾正、預(yù)防措施持續(xù)改進(jìn)建議項目總結(jié)會議協(xié)助后續(xù)的內(nèi)審和臨審項目啟動和差異分析項目啟動會議,確定項目團(tuán)隊、建立項目組管理目標(biāo)對信息安全的要求、信息安全組織架構(gòu)、ISMS文件體系、信息安全流程、信息安全技術(shù)架構(gòu)和技術(shù)設(shè)施管理情況、以及員工的信息安全意識進(jìn)行綜合調(diào)研分析。通過管理和技術(shù)手段并用的方式全面了解貴公司的信息安全現(xiàn)狀,為后續(xù)的工作打好基礎(chǔ)實(shí)現(xiàn)方法資料收集及分析問卷調(diào)查現(xiàn)場訪談實(shí)地走查技術(shù)調(diào)研等方式安永信息安全管理最佳實(shí)踐信息安全標(biāo)準(zhǔn)及監(jiān)管要求貴公司信息安全需求信息安全現(xiàn)狀調(diào)研總結(jié)報告制定調(diào)研方案現(xiàn)場訪談問卷調(diào)查技術(shù)調(diào)研資料收集文件審核1、現(xiàn)狀調(diào)研目標(biāo)安永信息安全管理最佳實(shí)踐信息安全標(biāo)準(zhǔn)及監(jiān)管要求貴公司信息1、現(xiàn)狀調(diào)研項目啟動和差異分析確定項目范圍、建立項目組管理架構(gòu),并完成現(xiàn)狀分析對項目范圍內(nèi)現(xiàn)有管理體系、流程,包含內(nèi)部控制制度等進(jìn)行分析業(yè)務(wù)與信息管理架構(gòu)分析與設(shè)計項目范圍內(nèi)信息平臺、應(yīng)用系統(tǒng)分析項目范圍內(nèi)相關(guān)部門與重要信息資產(chǎn)的互動與權(quán)限分析信息安全管理體系與國際標(biāo)準(zhǔn)ISO27001對標(biāo)信息安全方針設(shè)計階段一主要任務(wù)現(xiàn)有制度與流程組織架構(gòu)與職責(zé)信息技術(shù)與平臺各職能部門信息安全現(xiàn)狀診斷主要范圍1、現(xiàn)狀調(diào)研項目啟動確定項目范圍、建立項目組管理架構(gòu),并完成收集項目相關(guān)的文檔,通過對收集的資料進(jìn)行分析,快速了解貴公司信息安全基本情況為后續(xù)工作打好基礎(chǔ)。1.1、資料收集范例收集項目相關(guān)的文檔,通過對收集的資料進(jìn)行分析,快速了解貴公司對貴公司現(xiàn)存的信息安全管理制度、管理流程、記錄文檔等文件進(jìn)行審核,深入了解管理體系是否健全,以及技術(shù)和數(shù)據(jù)保護(hù)體系是否落實(shí)到位。信息安全管理制度信息安全職責(zé)矩陣及工作職責(zé)文檔信息安全測量體系文檔信息安全考核文檔數(shù)據(jù)備份和恢復(fù)策略信息安全培訓(xùn)文檔1.2、文件審核范例對貴公司現(xiàn)存的信息安全管理制度、管理流程、記錄文檔等文件進(jìn)行訪談目的和范圍根據(jù)項目范圍,訪談貴公司管理層以及重要部門業(yè)務(wù)骨干人員。訪談主要是了解相關(guān)人員對當(dāng)前公司信息安全工作的看法、關(guān)注的風(fēng)險及對未來的期望,了解員工的信息安全意識情況。訪談安排制定訪談計劃訪談綱要根據(jù)不同對象設(shè)計訪談綱要,一般包括管理層代表、重要部門業(yè)務(wù)骨干等訪談綱要。1.3、人員訪談范例訪談目的和范圍1.3、人員訪談范例問卷調(diào)研的對象:信息安全及主要業(yè)務(wù)系統(tǒng)和IT基礎(chǔ)設(shè)施的管理、維護(hù)人員。根據(jù)不同的對象設(shè)計不同的調(diào)研問卷,充分了解相關(guān)領(lǐng)域的信息安全管理現(xiàn)狀,具體事例如下:1.4、問卷調(diào)查范例問卷調(diào)研的對象:信息安全及主要業(yè)務(wù)系統(tǒng)和IT基礎(chǔ)設(shè)施的管理、通過安永的技術(shù)工具及人工檢查等手段對不同類型的系統(tǒng)進(jìn)行調(diào)研。1.5、技術(shù)調(diào)研范例通過安永的技術(shù)工具及人工檢查等手段對不同類型的系統(tǒng)進(jìn)行調(diào)研?,F(xiàn)狀調(diào)研階段工作成果信息安全現(xiàn)狀調(diào)研報告安全管理現(xiàn)狀安全技術(shù)現(xiàn)狀現(xiàn)狀調(diào)研階段工作成果信息安全現(xiàn)狀調(diào)研報告安全管理現(xiàn)狀安全技術(shù)2、風(fēng)險評估階段二主要任務(wù)信息安全風(fēng)險評估制定信息資產(chǎn)識別標(biāo)準(zhǔn)(包含保密級別劃分)資產(chǎn)識別及風(fēng)險評估方法培訓(xùn)信息資產(chǎn)收集識別關(guān)鍵信息資產(chǎn),并評估價值評估公司層面信息安全控制措施安全漏洞掃描針對關(guān)鍵信息資產(chǎn)進(jìn)行威脅、弱點(diǎn)及影響程度評估,計算出風(fēng)險值風(fēng)險分析風(fēng)險評估成果示例識別關(guān)鍵信息資產(chǎn)公司層面控制信息安全管理成熟度風(fēng)險評估2、風(fēng)險評估階段二主要任務(wù)信息安全風(fēng)險評估制定信息資產(chǎn)識別標(biāo)目標(biāo)從業(yè)務(wù)的角度分析貴公司對信息安全管理和技術(shù)的自身要求識別與國內(nèi)、國際最佳信息安全實(shí)踐之間的差距并改進(jìn)。識別各級監(jiān)管部門發(fā)布的有關(guān)信息安全監(jiān)管要求的差距并改進(jìn)發(fā)現(xiàn)主要信息安全管理和技術(shù)風(fēng)險并改進(jìn)。實(shí)現(xiàn)方法通過“資產(chǎn)風(fēng)險評估”、“流程風(fēng)險評估”、“信息安全技術(shù)架構(gòu)評估”、“數(shù)據(jù)安全”的結(jié)果,匯總分析形成最終的風(fēng)險評估報告。通過分析風(fēng)險評估的結(jié)果、監(jiān)管要求以及國際的信息安全最佳實(shí)踐標(biāo)準(zhǔn),描述貴公司對信息安全管理和技術(shù)的要求,建立安全管理與技術(shù)體系模型并對比貴公司目前的安全現(xiàn)狀,找出薄弱點(diǎn)并提出整改方案。2、信息安全風(fēng)險評估風(fēng)險評估標(biāo)準(zhǔn)目標(biāo)2、信息安全風(fēng)險評估風(fēng)險評估標(biāo)準(zhǔn)2.1、信息資產(chǎn)風(fēng)險評估(1/2)業(yè)務(wù)流程業(yè)務(wù)活動信息資產(chǎn)信息載體業(yè)務(wù)目標(biāo)終端設(shè)備應(yīng)用系統(tǒng)存儲網(wǎng)絡(luò)機(jī)密性完整性可用性信息資產(chǎn)分類基于信息資產(chǎn)的重要等級分類,深入分析貴公司的業(yè)務(wù)目標(biāo)和流程透徹分析和識別出在業(yè)務(wù)活動和所有不同信息系統(tǒng)架構(gòu)層中的信息資產(chǎn)根據(jù)安全的三個特性緯度(機(jī)密性,完整性,可用性)來判斷信息資產(chǎn)的價值識別信息資產(chǎn)定義信息資產(chǎn)的自然屬性決定信息資產(chǎn)的屬性分類的信息資產(chǎn)2.1、信息資產(chǎn)風(fēng)險評估(1/2)業(yè)務(wù)流程業(yè)務(wù)活動信息資產(chǎn)信2.1、信息資產(chǎn)風(fēng)險評估(2/2)范例2.1、信息資產(chǎn)風(fēng)險評估(2/2)范例在對IT流程評估需要對現(xiàn)有流程設(shè)計文檔分析,對流程的角色、職責(zé)、活動、輸入輸出、KPI等分析,識別關(guān)鍵控制點(diǎn)。IT流程風(fēng)險評估為后續(xù)的流程優(yōu)化打下了基礎(chǔ)。2.2、IT流程評估范例在對IT流程評估需要對現(xiàn)有流程設(shè)計文檔分析,對流程的角色、職2.3、信息安全技術(shù)架構(gòu)風(fēng)險評估物理終端主機(jī)應(yīng)用網(wǎng)絡(luò)身份認(rèn)證訪問控制內(nèi)容安全審核跟蹤響應(yīng)恢復(fù)工具掃描文檔審閱配置檢查滲透測試安全技術(shù)風(fēng)險評估評估技術(shù)評估工具對貴公司的物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、終端等方面的信息安全風(fēng)險進(jìn)行評估。2.3、信息安全技術(shù)架構(gòu)風(fēng)險評估物理終端主機(jī)應(yīng)用網(wǎng)絡(luò)身份認(rèn)證風(fēng)險評估階段工作成果信息安全風(fēng)險評估報告風(fēng)險評估階段工作成果信息安全風(fēng)險3、體系建立與發(fā)布建立適合貴公司的信息安全管理體系階段三主要任務(wù)體系設(shè)計與發(fā)布確定風(fēng)險接受標(biāo)準(zhǔn)制定風(fēng)險處置計劃管理層匯報定制風(fēng)險處置實(shí)施整改計劃依據(jù)信息與業(yè)務(wù)重要性,制定各級信息安全管理制度和流程信息安全體系技術(shù)控制落地及管理落地建議依據(jù)不同對象與時機(jī),按需制定支持上述流程的工作指導(dǎo)書信息安全管理體系發(fā)布及培訓(xùn)ISMS策略ISMS制度和流程工作指導(dǎo)書、操作手冊、模板、檢查表等表單、記錄1級2級3級4級信息安全管理體系文件第一級信息安全方針信息安全管理評審程序信息安全內(nèi)審管理程序糾正和預(yù)防措施管理程序文檔記錄管控程序有效性測量程序信息資產(chǎn)分類標(biāo)準(zhǔn)風(fēng)險評估實(shí)施指南信息保密管理辦法人員安全管理程序培訓(xùn)管理規(guī)定第三方安全管理規(guī)定機(jī)房安全管理規(guī)定辦公區(qū)域安全管理規(guī)定系統(tǒng)試運(yùn)行審查規(guī)定系統(tǒng)安全管理規(guī)范網(wǎng)絡(luò)運(yùn)維管理規(guī)范IT終端設(shè)備使用管理規(guī)范變更管理規(guī)定帳戶安全管理規(guī)范防病毒管理策略第二級第三級脆弱性檢查列表威脅檢查表內(nèi)部審計檢查項第四級審計報告日志檢查表文件加密指南移動辦公守則信息安全管理手冊其它表單風(fēng)險處置方法風(fēng)險處置計劃序號整改類型負(fù)責(zé)部門風(fēng)險描述優(yōu)先等級整改措施完成時間責(zé)任人管理是否已確定1物理安全運(yùn)維部機(jī)房濕度過低,容易造成電火花以及靜電,給IDC業(yè)務(wù)帶來風(fēng)險高調(diào)整機(jī)房濕度至合適范圍,并設(shè)置遠(yuǎn)程監(jiān)控與報警機(jī)制。2009年9月7日張三是2法律法規(guī)合規(guī)運(yùn)維部單位或個人通過托管的服務(wù)器,利用IDC中心從事危害國家安全、泄露國家機(jī)密等違法犯罪活動高1.與責(zé)任單位簽訂信息安全責(zé)任保障書,明確責(zé)任與義務(wù)2.IDC建立相應(yīng)的管理、監(jiān)督和檢查機(jī)制,實(shí)現(xiàn)實(shí)時的監(jiān)控2009年10月17日張三審批中3、體系建立與發(fā)布建立適合貴公司的信息安全管理體系階段三主要3.1、信息安全管理框架設(shè)計安永將根據(jù)貴公司實(shí)際情況和信息安全統(tǒng)一要求,建立適合于貴公司的信息安全管理框架,用于指導(dǎo)信息安全工作的實(shí)施。管理技術(shù)組織業(yè)務(wù)驅(qū)動風(fēng)險戰(zhàn)略合規(guī)、監(jiān)控和報告風(fēng)險識別與描述流程與運(yùn)作程序工具與技術(shù)治理、制度與標(biāo)準(zhǔn)人員和組織管理數(shù)據(jù)安全框架3.1、信息安全管理框架設(shè)計安永將根據(jù)貴公司實(shí)際情況和信息安3.2、體系與安全制度的對標(biāo)整合從管理措施和管理方法兩方面,進(jìn)行ISMS制度與現(xiàn)存運(yùn)行的安全制度的對標(biāo)。確保符合集團(tuán)信息安全要求,并將現(xiàn)存的安全風(fēng)險控制和管理方法融入ISMS制度中,從而達(dá)到制度整合的目標(biāo),使信息安全管理成為一個整體,成為一套管理程序?!顿F公司XXX工作管理指引》《貴公司信息安全管理體系》對應(yīng)要求《貴公司現(xiàn)有制度體系,包括集團(tuán)信息安全要求》控制程序作業(yè)指導(dǎo)書、表格、文檔模版以及報告等總體規(guī)定軟件需求管理辦法信息系統(tǒng)項目管理辦法外包項目管理辦法安全管理制度框架及管理規(guī)定……軟件需求管理控制程序項目管理控制程序應(yīng)用系統(tǒng)安全管理規(guī)定計算機(jī)機(jī)房管理控制程序運(yùn)行維護(hù)文檔管理控制程序……應(yīng)用軟件程序維護(hù)作業(yè)指導(dǎo)書安全服務(wù)管理業(yè)務(wù)指導(dǎo)書網(wǎng)絡(luò)配置變更作業(yè)指導(dǎo)書應(yīng)用軟件程序維護(hù)作業(yè)流程圖網(wǎng)管系統(tǒng)維護(hù)記錄周報……《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)》對應(yīng)要求對應(yīng)要求…3.2、體系與安全制度的對標(biāo)整合從管理措施和管理方法兩方面,3.3、信息安全組織體系建設(shè)安永將根據(jù)貴公司實(shí)際情況設(shè)計信息安全組織架構(gòu)及各部門職責(zé)。范例3.3、信息安全組織體系建設(shè)安永將根據(jù)貴公司實(shí)際情況設(shè)計信息3.4、信息安全制度體系建設(shè)安永將根據(jù)ISO27001標(biāo)準(zhǔn)要求,并結(jié)合貴公司自身需求,按照分類分級的原則,設(shè)計完整的信息安全管理制度及文檔體系。范例3.4、信息安全制度體系建設(shè)安永將根據(jù)ISO27001標(biāo)準(zhǔn)要3.5、信息安全技術(shù)體系建設(shè)滿足國家標(biāo)準(zhǔn)、監(jiān)管、行業(yè)最佳實(shí)踐的安全技術(shù)要求,從業(yè)務(wù)出發(fā),識別和滿足用戶對信息安全技術(shù)需求,掌握信息系統(tǒng)安全保護(hù)重點(diǎn)領(lǐng)域,建立信息系統(tǒng)安全技術(shù)基準(zhǔn),實(shí)現(xiàn)可組合安全技術(shù)保護(hù)。范例3.5、信息安全技術(shù)體系建設(shè)滿足國家標(biāo)準(zhǔn)、監(jiān)管、行業(yè)最佳實(shí)踐3.6、信息安全監(jiān)督體系建設(shè)通過定期實(shí)施內(nèi)審與管理評審發(fā)現(xiàn)貴公司體系運(yùn)行中存在的不足并進(jìn)行整改,從而達(dá)到內(nèi)部不斷改進(jìn)的目的,以保持信息安全保障體系的有效性、適宜性、充分性。范例3.6、信息安全監(jiān)督體系建設(shè)通過定期實(shí)施內(nèi)審與管理評審發(fā)現(xiàn)貴3.7、信息安全技術(shù)和管理落地(1/2)建設(shè)緊迫性分析合規(guī)方面的強(qiáng)制要求;法律訴訟、人身安全等可能性業(yè)務(wù)中斷、IT全局崩潰等可能性分布與影響的范圍、危害嚴(yán)重性破壞后恢復(fù)時間與投入、發(fā)生頻率信息安全戰(zhàn)略規(guī)劃分析模型建設(shè)可行性分析外部策略允許程度內(nèi)部管理條件是否具備所需的技術(shù)是否成熟內(nèi)部支持條件是否具備外部支持條件是否具備建設(shè)效果性分析見效速度對于數(shù)據(jù)安全的直接效果對于業(yè)務(wù)的直接促進(jìn)安全體系的提升與促進(jìn)建設(shè)難易度分析資金、時間、人力等投入大小技術(shù)難度、人員能力的要求對業(yè)務(wù)和運(yùn)行的觸動大小對企業(yè)和組織的觸動大小根據(jù)貴公司信息安全戰(zhàn)略規(guī)劃及目前的信息安全風(fēng)險現(xiàn)狀,設(shè)計信息安全建設(shè)任務(wù)的優(yōu)先級路線路。3.7、信息安全技術(shù)和管理落地(1/2)建設(shè)緊迫性分析信息安3.7、信息安全技術(shù)和管理落地(2/2)優(yōu)先級排序結(jié)果任務(wù)順序/關(guān)聯(lián)關(guān)系根據(jù)規(guī)劃分析和貴公司目前的信息安全項目實(shí)施的實(shí)際情況,設(shè)計出未來三年的安全建設(shè)藍(lán)圖。3.7、信息安全技術(shù)和管理落地(2/2)優(yōu)先級排序結(jié)果任務(wù)順4、體系運(yùn)行與監(jiān)控階段四主要任務(wù)體系運(yùn)行與監(jiān)控制定績效監(jiān)控流程體系運(yùn)行監(jiān)控信息安全推廣培訓(xùn)信息安全宣傳內(nèi)部審計培訓(xùn)信息安全管理體系內(nèi)部審計信息安全管理體系管理評審會議糾正措施、預(yù)防措施、持續(xù)改進(jìn)建議項目總結(jié)會體系運(yùn)行與監(jiān)控審計報告內(nèi)部審計文件適用性按規(guī)范執(zhí)行內(nèi)審計劃信息安全體系改進(jìn)方案實(shí)施成果審計執(zhí)行記錄信息安全管理體系信息安全管理體系內(nèi)部審計報告4、體系運(yùn)行與監(jiān)控階段四主要任務(wù)體系運(yùn)行與監(jiān)控制定績效監(jiān)控流4.1、安全職責(zé)細(xì)化(1/2)信息安全職責(zé)是否清晰并可落實(shí)是關(guān)系到信息安全工作能否到位的關(guān)鍵,因此制定信息安全職責(zé)矩陣,細(xì)化每個崗位的信息安全職責(zé),確保其可操作對于ISMS體系的落實(shí)發(fā)揮重要作用。范例4.1、安全職責(zé)細(xì)化(1/2)信息安全職責(zé)是否清晰并可落實(shí)是4.1、安全職責(zé)細(xì)化(2/2)落地示例信息安全責(zé)任落實(shí)到“人”信息安全指南落實(shí)到“步驟”信息安全度量落實(shí)到“指標(biāo)”范例4.1、安全職責(zé)細(xì)化(2/2)落地示例信息安全責(zé)任信息安全指4.2、安全測量指標(biāo)為了有效的監(jiān)控ISMS體系運(yùn)行的效果,及時發(fā)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論