信息安全咨询项目.doc

信息安全咨询项目文档说明本文档所涉及到的文字、图表等，仅限于公司及被呈送方内部使用，未经被呈送方及公司书面许可，不得扩散到第三方。目录1概述41.1项目背景41.2项目目标51.3项目实施思路61.4参考标准62项目实施方案73一阶段项目工作说明83.1充分定义93.2量化控制103.3运行检验124二阶段项目工作说明134.1充分定义134.2量化控制144.3运行检验165三阶段项目工作说明165.1充分定义175.2量化控制185.3运行检验191 概述1.1 项目背景医疗科技有限公司（以下简称）是专业从事高端医疗设备及相关技术研发、生产、销售的高新技术企业。总部位于上海嘉定，包含运营总部、研发中心及生产基地，一二期计划占地400余亩，届时将成为中国医疗行业最大规模的高技术产业化示范基地。同时在上海浦东新区张江高科园以及深圳育成中心分别建立了两大基地，进行以市场为导向的产品研发。是目前国内唯一一家产品线覆盖全线高端医疗影像设备的大型医疗设备公司。在产品研发和技术创新方面,是首批获得“上海市十大产学研合作创新示范基地”称号的企业之一，拥有行业领先的核心技术，获得专利技术240余项，申请发明专利占70%以上，以及在未来3-5年内将形成一个跨各大产品线，拥有1000项专利规模的大型医疗设备高科技企业。随着的快速发展，业务经营和管理对信息系统和核心数据依赖程度越来越广泛和深入，对IT系统及信息的保密性、完整性和可用性的保护的要求也越来越高。为了加强信息安全建设，提升信息安全保障水平，落实信息安全体系规划，提高员工的安全意识，启动了信息安全管理体系建设项目。1.2 项目目标为了提升整体信息安全管理水平和抗风险能力，保障业务持续安全运行，需要根据国际先进信息安全管理机制，同时结合实际情况和需求来进行信息安全体系的建设。项目按照ISO/IEC27001标准体系，综合信息安全现状，从体系化角度，在已有信息安全技术评估的基础上进行信息安全管理调研，展开综合风险评估（包含技术性分析与管理性分析），针对当前保障机制下存在的问题和安全薄弱环节，以体系化的思路提交整改策略、整改报告及形成建设研究实践成果。项目建设按照ISO27001信息安全体系标准和国家信息系统等级保护规定要求，做好与的结合点研究与建设，其研究与建设应覆盖组织、管理、技术三个领域进行。通过ISO27001体系的研究，实践并规范信息安全风险评估方法、技术监测监管、应急响应机制，完成基于ISO27001国际标准的信息安全体系建设。本项目的具体建设目标是：(1) 安全体系调研及分析：完成信息安全体系调研及综合分析。(2) 信息安全体系建设：根据ISO27001安全管理体系规范对当前的信息安全管理制度、规范、应急体系等内容的完整性、规范性和可操作性进行管理对标，查找差距和存在问题并完成相应的改进。并制订信息系统和安全设施的防护配置的基线标准，同时完成一体化的安全运行监管方法。(3) 协助建立信息安全管理、治理基础能力。经过项目的推进和落实，信息安全的管理和科学决策水平将显著提高。信息安全将成为加强内部控制和优化内部管理，降低运营风险，建立高效、统一、运转协调的安全管理体制的重要因素。通过PDCA过程方法和相应的组织保障体系，使安全管理从“无序、零散、被动”的风险补救行为转变为“系统、科学、连贯、主动”的风险驾驭状态，防止走回头路。1.3 项目实施思路本项目旨在协助建立和完善基于ISO27000的信息安全管理体系，通过现状调研、差距分析、组织设计、制度编写、技术定义、推行辅导等方式。在建立信息安全组织，明确组织职能，建立有效的流程制度，并将相应的技术技能进行匹配，同时协助进行同步的宣贯推行。在建立了信息安全管理体系后，为了使得信息安全管理体系更好的运行，同时还协助建立信息安全的治理能力，对公司信息安全现状进行评估、知道和监督；同时建立信息安全的管理能力，对信息安全进行规划、建设、运维和评估，并通过专家宣讲、实践经验交流、案例介绍、项目辅导、技术技能培训、推荐外部培训等方式加强的信息安全治理和管理能力。1.4 参考标准在本项目执行过程中，将参考如下标准：n 信息安全等级保护管理办法、n 计算机信息系统安全等级保护划分准则n 信息安全风险管理指南n 信息安全风险评估指南、n ISO 13335n ISO 27000n ISO 15408/CCn 行业及最佳实践2 项目实施方案本项目将对安全现状进行科学的评估和分析，以了解的信息安全现状，得出符合的安全需求。根据公司安全现状和业务安全需求，从安全技术、安全管理等方面来设计未来三年信息安全建设的发展规划。根据安全规划的结果，进行信息安全管理体系的具体设计。本项目中开展的工作将包括以下内容：l 信息安全现状评估和需求分析l 企业信息安全体系架构设计l 信息安全管理体系建设及辅导落地在本项目实施过程中，本项目总共分为三阶段。在项目一阶段，主要完成信息安全现状调研，并进行风险评估，建立信息安全管理体系框架，并针对部分控制域进行三级文件的编写；在项目二阶段阶段，对一阶段编写完成的文件体系进行培训，并贯彻到实际应用中去，并同时针对第二部分控制域进行编写；在项目三阶段阶段，对现有体系进行试运行，并针对剩余的控制域进行体系文件编写，协助客户对已经制定好的体系进行评估、指导和监督。具体的控制域编写顺序如下：3 一阶段项目工作说明结合体系规划及落地的整体思路,在项目一阶段重点开展包括充分定义阶段(理解业务对安全的需求，确定总体策略和组织，信息资产识别和分类，差距评估，明确解决方案框架),量化控制阶段(管理制度/流程建设，人员技术技能培养，软硬件平台获取),运行检验阶段(发布执行，运行辅导，优化调整),等几大环节。本阶段预计工期3个月，需要投入资深顾问1名、高级顾问4名。通过结合的安全现状及ISO27001相关控制域，在安全咨询服务一阶段中重点完成以下几个阶段的内容：3.1 充分定义工作名称充分定义简要描述² 此活动旨在理解日常业务对信息安全的需求，是信息安全管理体系建设的关键活动之一。通过对企业日常业务的充分理解，设计出企业信息安全管理的总体策略，并明确信息安全组织结构，以及信息安全组织在企业内的汇报关系。² 为了更好的进行差距分析，资产的识别和分类是必要的输入条件。² 根据风险评估和处理的结果，根据总体安全方针，参考ISO27001对文档体系的要求，编写诸多信息安全策略文档，最终形成文档化的ISMS体系。工作内容² 制定文件编写工作计划；² 理解业务对信息安全的需求Ø 审查现有文档（对客户现有信息安全管理制度进行充分的了解）；此项任务在充分定义阶段即开始实施。其目的在于审查评估客户现有的信息安全相关文档，包括规章制度、行业规范、程序文件、操作手册、工作流程等；并对现有文档体系的运行状况做初步适用性分析，结合业务的运行情况进行文档审阅。Ø 与相关人员进行访谈（通过与相关工作人员沟通了解业务运行中涉及的安全问题）。此项任务在充分定义阶段开始实施，其目的在于充分了解日常运营过程中涉及到的安全问题，并对信息安全的现状做初步的访谈分析² 确定总体的策略与方针Ø 根据业务对信息安全的需求，确定信息安全管理体系（ISMS）的范围、目标，并制定适用于业务需要的安全策略和方针。² 资产识别与分类Ø 识别对组织有价值的事务，并按照资产的价值进行分类，确保在信息安全管理体系建设中对不同价值的资产实施不同的安全保护措施。² 差距评估Ø 根据ISO27001标准及业界最佳实践，对安全管理现状进行差距评估。² 文档初步编写；Ø 由供应商顾问做指导，由客户特定人员和供应商顾问共同负责编写。最终得到系列化的策略文档，文档编写可能分阶段进行。Ø 根据现状调查及差距分析结果，建立安全管理体系框架输入内容² ISO 27001标准² 访谈提纲² 现状调查问卷² 信息资产调查表² 风险评估模板工作成果² 项目实施计划² 文档审阅记录分析² 现状调研分析报告² 信息资产调查表² 差距分析报告² ISMS-SOA² 安全策略蓝图² 信息安全方针政策² 信息安全组织管理办法3.2 量化控制工作名称量化控制简要描述² 此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程² 在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养工作内容² 根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：Ø A7 资产管理Ø A10.1 操作程序及职责Ø A10.4 防范恶意代码和移动代码Ø A10.6网络安全管理Ø A10.7 介质管理Ø A10.10 监督Ø A11 访问控制Ø A13 信息安全事件管理Ø A15 符合性² 在编写文档的过程中，对企业信息安全管理人员进行技能的培养和储备，具体包括进行针对性的培训，宣贯与演练输入内容² ISO 27001标准² 差距分析报告² ISMS-SOA² 安全策略蓝图² 信息安全方针政策² 信息安全组织管理办法工作成果² 资产清单² 资产分类定级标准² IT设备加固管理办法² IT设备上线指南² IT变更管理指南² 应用系统安全开发指南² 终端防病毒安全管理规定² 网络安全管理办法² 介质安全管理规定² 日常维护操作管理规定² 互联网访问控制策略² 操作系统访问控制策略² 信息安全事件管理规定² 信息安全管理体系评审规范² 信息安全管理培训PPT² 信息安全宣传管理办法3.3 运行检验工作名称运行检验简要描述² 将前两个阶段所编写的安全管理流程文档进行落地实施，并在落地实施过程中进行优化。工作内容² 将编写的文档在公司全员进行发布，并进行全员信息安全意识培训以及信息安全管理体系的介绍培训² 将制定的安全管理体系落实到企业日常工作中去，在试运行过程中给予客户响应的指导² 针对在试运行过程中发现的问题，对现有体系进行优化。² 加强企业信息安全管理人员的信息安全管理能力，提升其安全管理技能。输入内容² ISO 27001标准² 信息安全管理体系文档工作成果² 管理体系发布邮件² 全员培训PPT² 试运行记录² 体系改进实施计划4 二阶段项目工作说明在一阶段项目验收合格后，着手对二阶段分配的控制域进行规划和落地。本阶段预计工期3个月，需要投入资深顾问1名、高级顾问3名。通过结合的安全现状及ISO27001相关控制域，在安全咨询服务二阶段中重点完成以下几个阶段的内容：4.1 充分定义工作名称充分定义简要描述² 针对二阶段定义的部分控制域，结合控制域的具体控制点进行具体的了解。² 结合一阶段风险评估和处理的结果，根据总体安全方针，参考ISO27001对文档体系的要求，编写诸多信息安全策略文档，最终将二阶段要求的控制域形成文档化的ISMS体系。工作内容² 制定文件编写工作计划；² 理解业务对信息安全的需求Ø 审查现有文档（对客户现有信息安全管理制度进行充分的了解）；此项任务在充分定义阶段即开始实施。其目的在于审查评估客户现有的信息安全相关文档，包括规章制度、行业规范、程序文件、操作手册、工作流程等；并对现有文档体系的运行状况做初步适用性分析，结合业务的运行情况进行文档审阅。Ø 与相关人员进行访谈（通过与相关工作人员沟通了解业务运行中涉及的安全问题）。此项任务在充分定义阶段开始实施，其目的在于充分了解日常运营过程中涉及到的安全问题，并对信息安全的现状做初步的访谈分析² 差距评估Ø 根据ISO27001标准及业界最佳实践，对二阶段覆盖的控制域的安全管理现状进行差距评估。² 文档初步编写；Ø 由供应商顾问做指导，由客户特定人员和供应商顾问共同负责编写。最终得到系列化的策略文档，文档编写可能分阶段进行。Ø 根据现状调查及差距分析结果，完善安全管理体系输入内容² ISO 27001标准² 访谈提纲² 安全管理体系框架工作成果² 项目实施计划² 文档审阅记录分析² 现状调研分析报告² 差距分析报告4.2 量化控制工作名称量化控制简要描述² 此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程² 在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养工作内容² 根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：Ø A8 人力资源安全Ø A9 物理环境安全Ø A10.2第三方交付和管理Ø A10.3系统规划和验收Ø A10.5备份Ø A10.8 信息交换² 在编写文档的过程中，对企业信息安全管理人员进行技能的培养和储备，具体包括进行针对性的培训，宣贯与演练。输入内容² ISO 27001标准² 差距分析报告² ISMS-SOA² 安全策略蓝图² 信息安全方针政策² 信息安全组织管理办法工作成果² 人力资源安全管理制度² 人员离调职管理流程² 第三方安全管理规定² 物理访问控制程序² 计算机管理程序² 移动设备使用安全管理程序² 信息处理设施维护管理程序² 重要信息备份管理流程² 信息交换管理办法² 差距分析报告² 相关培训PPT² 相关作业文件4.3 运行检验工作名称运行检验简要描述² 将前两个阶段所编写的安全管理流程文档进行落地实施，并在落地实施过程中进行优化。工作内容² 将编写的文档在公司全员进行发布，并进行全员信息安全意识培训以及信息安全管理体系的介绍培训² 将制定的安全管理体系落实到企业日常工作中去，在试运行过程中给予客户响应的指导² 针对在试运行过程中发现的问题，对现有体系进行优化。² 加强企业信息安全管理人员的信息安全管理能力，提升其安全管理技能。输入内容² ISO 27001标准² 信息安全管理体系文档工作成果² 管理体系发布邮件² 全员培训PPT² 试运行记录² 体系改进实施计划5 三阶段项目工作说明在二阶段项目验收合格后 ，着手对三阶段分配的控制域进行规划和落地。在三阶段控制域落地的同时，对整个信息安全管理体系在运行的情况进行管理评审。并协助进行第一次内部审核，以检验信息安全管理体系运行状况，并根据审计结果进行优化。本阶段预计工期2个月，需要投入资深顾问1名、高级顾问3名。通过结合的安全现状及ISO27001相关控制域，在安全咨询服务三阶段中重点完成以下几个阶段的内容：5.1 充分定义工作名称充分定义简要描述² 针对三阶段定义的部分控制域，结合控制域的具体控制点进行具体的了解。² 结合一阶段风险评估和处理的结果，根据总体安全方针，参考ISO27001对文档体系的要求，编写诸多信息安全策略文档，最终将二阶段要求的控制域形成文档化的ISMS体系。² 在编写完成了文档体系后，并协助进行第一次内部审核，以检验信息安全管理体系运行状况，并根据审计结果进行优化。 在完成了体系优化计划后，进行管理评审。工作内容² 制定文件编写工作计划；² 理解业务对信息安全的需求Ø 审查现有文档（对客户现有信息安全管理制度进行充分的了解）；此项任务在充分定义阶段即开始实施。其目的在于审查评估客户现有的信息安全相关文档，包括规章制度、行业规范、程序文件、操作手册、工作流程等；并对现有文档体系的运行状况做初步适用性分析，结合业务的运行情况进行文档审阅。Ø 与相关人员进行访谈（通过与相关工作人员沟通了解业务运行中涉及的安全问题）。此项任务在充分定义阶段开始实施，其目的在于充分了解日常运营过程中涉及到的安全问题，并对信息安全的现状做初步的访谈分析² 差距评估Ø 根据ISO27001标准及业界最佳实践，对二阶段覆盖的控制域的安全管理现状进行差距评估。² 文档初步编写；Ø 由供应商顾问做指导，由客户特定人员和供应商顾问共同负责编写。最终得到系列化的策略文档，文档编写可能分阶段进行。Ø 根据现状调查及差距分析结果，完善安全管理体系输入内容² ISO 27001标准² 访谈提纲² 安全管理体系框架工作成果² 项目实施计划² 文档审阅记录分析² 现状调研分析报告² 差距分析报告5.2 量化控制工作名称量化控制简要描述² 此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程² 在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养工作内容² 根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：² 在编写文档的过程中，对企业信息安全管理人员进行技能的培养和储备，具体包括进行针对性的培训，宣贯与演练² 在建立了完整的信息安全管理体系后，协助上海联科对管理体系的运行情况进行检验，并注重在实施过程中的技能传递输入内容² 项目实施计划² 文档审阅记录分析² 现状调研分析报告² 差距分析报告工作成果² 应用系统安全开发标准² 应用系统维护指南² 业务连续性管理程序² 管理评审程序文件² 内部审核管理程序5.3 运行检验工作名称运行检验简要描述² 将前两个阶段所编写的安全管理流程文档进行落地实施，并在落地实施过程中进行优化。工作内容² 将编写的文档在公司全员进行发布，并进行全员信息安全意识培训以及信息安全管理体系的介绍培训² 将制定的安全管理体系落实到企业日常工作中去，在试运行过程中给予客户响应的指导² 针对在整个体系试运行过程中发现的问题，对现有体系进行优化。² 加强企业信息安全管理人员的信息安全管理能力，提升其安全管理技能。输入内容² ISO 27001标准² 管理评审程序文件² 内部审核管理程序² 信息安全管理体系文档工作成果² 管理体系发布邮件² 全员培训PPT² 试运行记录² 内部审核计划² 体系改进实施计划² 管理评审文档