ISO27000信息安全管理體系建設(shè)咨詢服務(wù)7

ISO27000信息安全管理體系建設(shè)咨詢服務(wù)ISO27000信息安全管理體系建設(shè)咨詢服務(wù)目錄1概述(3)2準備(5)2.1確定ISMS范圍(5)2.2確定信息安全總體方針政策(6)2.3定義風(fēng)險評估與管理方法(8)2.4項目準備(9)3風(fēng)險評估(13)3.1現(xiàn)狀分析(13)3.2風(fēng)險評價(15)3.3風(fēng)險處置(17)4安全體系規(guī)劃與設(shè)計(19)4.1安全體系規(guī)劃(19)4.2編寫安全體系文檔(20)

5安全體系實施、調(diào)整、評審(22)5.1體系實施(22)5.2體系調(diào)整(23)5.3體系評審(24)附件1：項目主要任務(wù)及活動列表(26)附件2：項目主要文檔列表(27)1概述ISO27000信息安全管理體系建設(shè)咨詢服務(wù)階段流程如下圖：實踐證明，按照BS7799/ISO27000的要求在組織內(nèi)部建立并運行信息安全管理體系(ISMS)，強化信息安全管理體系的運行審核和管理評審，不斷改進優(yōu)化組織的信息安全管理體系，是處理組織信息安全問題有效手段之一。根據(jù)BS7799/ISO27000要求，在建立、實施、運行、監(jiān)控、評審、保持與改進組織ISMS時采用PDCA的過程模型，即首先依據(jù)組織的信息安全總體方針政策，通過對ISMS涉及范圍內(nèi)的所有信息資產(chǎn)進行風(fēng)險評估，選取合適的安全控制措施，建立包括安全策略、控制程序、操作指南/手冊在內(nèi)的文件化的信息安全管理體系，然后在組織內(nèi)部實施并運行ISMS信息安全策略、控制程序及措施，并通過ISMS運行監(jiān)控、內(nèi)部審計及管理評審，發(fā)現(xiàn)ISMS存在的問題及弱點，及時采取適當(dāng)?shù)募m正或預(yù)防措施，

實現(xiàn)ISMS的持續(xù)改進。信息安全管理體系咨詢服務(wù)的目的就是根據(jù)ISO27001標(biāo)準的要求，采用PDCA的過程模型，通過基于資產(chǎn)的風(fēng)險評估，幫助客戶建立文件化的信息安全管理體系，輔導(dǎo)客戶在其組織范圍內(nèi)實施、運行、評審信息安全管理體系，從而確保客戶信息系統(tǒng)的正常運行，提高服務(wù)競爭力，最終促進客戶業(yè)務(wù)的開展。如上圖所示，信息安全管理體系建設(shè)咨詢服務(wù)包括準備、風(fēng)險評估、安全體系規(guī)劃與設(shè)計、安全體系實施/調(diào)整/評審四個階段，各個階段說明如下：第一階段：準備準備階段主要完成信息安全管理體系建設(shè)項目的前期準備工作。包括四個工作任務(wù)，分別是：1） 確定ISMS范圍根據(jù)組織業(yè)務(wù)需要確定ISMS涵蓋的范圍，包括地理位置、部門或信息系統(tǒng)等。2） 確定信息安全總體方針政策分析ISMS范圍內(nèi)的業(yè)務(wù)及系統(tǒng)安全需求，確定ISMS的總體方針政策。3） 定義風(fēng)險評估與管理方法確定風(fēng)險評估模型，確定風(fēng)險評估指標(biāo)，定義風(fēng)險評估及管理程序。

4）項目準備制定實施計劃、成立項目組、整理開發(fā)相關(guān)工具模板、召開啟動會，進行項目背景知識培訓(xùn)等。第二階段：風(fēng)險評估分析ISMS范圍內(nèi)的信息安全現(xiàn)狀，針對ISMS范圍內(nèi)的所有信息資產(chǎn)，識別并評價其面臨的安全風(fēng)險，提出對應(yīng)的控制措施。包括三大工作任務(wù)，分別為：1） 現(xiàn)狀分析通過訪談、檢查及測試了解ISMS范圍內(nèi)的信息安全現(xiàn)狀，形成現(xiàn)狀報告，并將獲取的安全現(xiàn)狀與ISO27002中的安全控制措施進行差距分析。2） 風(fēng)險評價按照確定的風(fēng)險評估模型，評價現(xiàn)狀分析階段識別的資產(chǎn)、威脅及弱點，確定資產(chǎn)風(fēng)險等級。3） 風(fēng)險處置確定風(fēng)險處置方式，選擇安全控制措施，制定風(fēng)險處置計劃，進行殘余風(fēng)險分析。第三階段：安全體系規(guī)劃與設(shè)計根據(jù)差距分析和風(fēng)險評估結(jié)果規(guī)劃安全體系建設(shè)任務(wù)，落實本期建設(shè)規(guī)劃。包括兩大工作任務(wù)，分別為：

1）安全體系規(guī)劃規(guī)劃信息安全體系建設(shè)項目、任務(wù)、計劃等。2）編寫安全體系文檔設(shè)計信息安全體系管理文檔或技術(shù)方案。第四階段：安全體系實施、調(diào)整、評審落實信息安全管理措施，部署信息安全技術(shù)措施，運行信息安全管理體系，改進信息安全管理體系不足，按照ISO27001要求進行信息安全管理體系內(nèi)部審核和管理評審。包括三大工作任務(wù)，分別為：1） 體系實施落實或部署信息安全管理體系的相關(guān)管理及技術(shù)措施，運行信息安全管理體系。2） 體系調(diào)整針對實施和運行中存在的問題，對信息安全管理體系進行調(diào)整改進。3） 體系評審按照ISO27001要求進行信息安全管理體系內(nèi)部審核和管理評審。2準備

2.1確定ISMS范圍根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義ISMS范圍和邊界。主要工作任務(wù)及內(nèi)容（活動）1） 信息安全與業(yè)務(wù)戰(zhàn)略及規(guī)劃一致性分析針對組織內(nèi)部安全狀況與組織業(yè)務(wù)戰(zhàn)略及規(guī)劃一致性的分析，主要從客戶、合作方等外部角度考慮ISMS需要涵蓋的范圍。2） 信息安全與相關(guān)法規(guī)/制度符合性分析針對組織內(nèi)部安全狀況與法律/法規(guī)/制度符合性的分析，主要從合規(guī)性方面考慮ISMS范圍需要涵蓋的范圍。3） 信息安全與業(yè)務(wù)運營影響分析針對組織內(nèi)部安全狀況對業(yè)務(wù)運營影響的分析，主要從內(nèi)部風(fēng)險管理角度考慮ISMS需要涵蓋范圍4） 確定ISMS范圍根據(jù)上述分析結(jié)果確定ISMS范圍（包括涉及的物理位置、業(yè)務(wù)［流程］、部門、系統(tǒng)等）。主要工作方式/方法（工作方式、職責(zé)劃分、工作方法）組織要建立信息安全管理體系，首先需要劃定其范圍。確定ISMS的過程如下：

ISO27001信息安全管理體系實施方案7信息安全管理體系認證咨詢項目實施方案目錄1項目重點與體系設(shè)計(2)1.1評估現(xiàn)狀與標(biāo)準間的差異(2)1.2ISO/IEC27001：2013差距分析(2)1.3基于ISO/IEC27001：2013的管理體系設(shè)計(4)2建設(shè)與實施(6)2.1管理體系建設(shè)方法論(6)2.2實施計劃(7)3交付物一覽表(9)1項目重點與體系設(shè)計1.1評估現(xiàn)狀與標(biāo)準間的差異在正式開展信息安全管理體系建設(shè)項目之初，咨詢顧問為了

熟悉客戶業(yè)務(wù)流程、組織架構(gòu)以及信息安全管控現(xiàn)狀，通過深入現(xiàn)場、人員訪談、發(fā)放問卷、文件審閱等途徑，對客戶業(yè)務(wù)狀況以及由此引發(fā)的問題和需求進行全面了解，發(fā)掘潛在問題，并做分類描述和分析。同時，將客戶的現(xiàn)狀和國際標(biāo)準進行對比，找到現(xiàn)實差距。差距分析的結(jié)果，將成為項目實施的主要依據(jù)，以及下階段風(fēng)險評估和體系建設(shè)的基礎(chǔ)。咨詢顧問實施差距分析的方法，是借助咨詢方開發(fā)的專用差距分析工具，在采集包括信息安全管理相關(guān)的信息之后，按照標(biāo)準要求，全方位展示客戶的差距，找到突出的問題所在。差距分析的結(jié)果，可以讓客戶對自身現(xiàn)狀有個直觀判斷，便于為將來的工作指出重點，也便于通過項目實施之后的再次評估看到項目的績效。1.2ISO/IEC27001：2013差距分析此項差距分析是基于ISO27001:2013版正文條款和附錄A的內(nèi)容分別進行差距分析。正文條款：差距分析的實質(zhì)內(nèi)容共計7章，主要說明了如何建立、實施、維護和持續(xù)改進信息安全管理體系（ISMS），以保證在制度層面對信息安全進行有效管理。附錄A：差距分析的內(nèi)容包括具體的14個控制領(lǐng)域、35個控制目標(biāo)和114個具體的控制措施，以保證在技術(shù)層面對信息安全的有效管理。我們從體系的運行管理和114個控制項2個部分為客戶進行差距分析。體系的運行管理部分主要評估客戶現(xiàn)有的組織架構(gòu)、信息安全管理活動的成熟度與標(biāo)準間的差異，此項評估結(jié)果會在項目實施階段組織架構(gòu)設(shè)計和體系運行管理活動設(shè)置過程中提

供關(guān)鍵的信息。體系運行管理差距分析示例附錄A部分的差距分析主要通過對114個控制項的逐一比對，分析客戶目前信息安全控制措施與標(biāo)準間的差距，此項評估結(jié)果會在項目實施階段信息安全管理策略及控制措施編寫時提供主要依據(jù)和方向。114控制項差距分析示例標(biāo)準要求成熟度得分合規(guī)要求4組織環(huán)境7.008.005領(lǐng)導(dǎo)8.678.006規(guī)劃6.008.007支持7.148.008運行6.008.009績效評價10.008.0010改進10.008.00標(biāo)準正文部分得分小計：78.30

符合符合差距分析過程工作表為了讓差距分析的結(jié)果更加