XX信息安全管理体系咨询方案.doc

思乐信息安全管理体系咨询方案 （2004-1-2 下午 04:42:00）来源：作者：引言 随着信息技术的不断发展和广泛应用，信息已成为政府机构及商业组织保持竞争力和业务持续运营的重要资产。而信息正面临着来各方面越来越多的威胁，如何保障信息安全已经成为亟待解决的关键问题。目前，在解决信息安全问题的过程中普遍存在一些问题，如信息安全的需求难以确定，信息安全要保护的对象和边界难以确定；缺乏系统、全面的信息安全风险评估和评价体系；普遍存在重产品、轻服务，重技术、轻管理的思想；缺乏整体、全面的信息安全保障体系等等。要实现最大限度的信息安全，保障组织的正常运营和业务的连续性，就必须将解决信息安全问题的思路由“产品/技术导向”转变为“需求导向”，全面分析信息资产所面临的风险，从风险管理的角度出发，以管理求安全，并通过技术手段来保证管理目标的实现。1 信息安全管理体系建设的参考标准 参考国际标准 ISO 17799:2000信息安全管理体系国际标准 ISO 15408:1999(GB/T 18336:2001)信息技术安全性评估准则 ISO 13335:1996IT 安全管理指南 ISO7498-2 安全体系结构 参考国内标准 国家标准计算机安全保护条例；国家标准计算站场地技术要求（GB2887-89）；国家标准计算机机房用活动地板技术条件（GB6650-86）；国家标准电子设备雷击保护导则（GB7450-87）；国家标准信息技术设备的无线电干扰极限值和测量方法（GB9254-88）；国家标准计算站场地安全要求（GB9361-88）；相关法律、法规 中华人民共和国保守国家秘密法 中华人民共和国保守国家秘密法实施办法 中华人民共和国计算机信息系统安全保护条例 中华人民共和国信息网络国际互联网管理暂行规定 计算机信息网络国际互联网安全保护管理办法 新闻出版保密规定 2 信息安全管理体系咨询服务内容 思乐提供信息安全管理体系建设整体咨询服务或各模块的咨询服务，包括 确定 ISMS 范围和制订信息安全方针 风险评估和风险管理的方案设计及辅助实施 信息安全管理体系设计 体系文件编写辅导 体系试运行辅导 3 咨询方法 建立与客户联合工作的咨询项目组 客户方面将成立信息安全工作领导小组和信息安全管理体系建设工作组，信息安全领导小组对信息安全管理体系的建设提供总的指导和支持，信息安全管理体系建设工作组负责与思乐顾问组共同实施项目。信息安全管理体系建设项目的具体工作将由思乐信息安全顾问师组成的信息安全顾问组和客户方体系建设工作组来共同执行。思乐顾问组负责提供实施方案建议及实施指导，客户方体系建设工作组负责具体的实施工作。以咨询项目组方式进行咨询 思乐公司以项目小组的方式进行咨询，针对特定行业进行最佳的人员组合。每个项目小组将由一名思乐高级咨询顾问担任项目经理，负责领导项目小组工作、进行项目管理，并对最终项目成果的负责。4 咨询服务流程 思乐咨询服务流程 4.1 预咨询阶段 阶段工作目标 通过双方的初步接触与交流，明确咨询双方是否有合作意向 协商并确定咨询的内容和范围 起草咨询项目建议书 签订咨询项目合同 工作内容 初步接洽 研究回复 预备调研 起草项目建议书 签订合同 工作成果 项目建议书 项目合同 4.2 项目培训及计划 阶段工作目标 培训相关人员 组建项目团队 制定项目计划 工作内容 项目动员大会 信息安全意识与管理体系基础培训 风险评估与风险管理培训 组建项目团队 制订项目工作计划 工作成果 员工安全意识及安全知识提高 项目工作计划 项目组织结构及人员岗位、职责分工 4.3 ISMS 范围和方针制定 阶段工作目标 确定信息安全管理体系的范围 确定信息安全方针 工作内容 信息收集 调研信息分析 制订 ISMS 范围 制定信息安全方针 工作成果 ISMS 范围文件 信息安全方针文件 4.4 风险评估及管理 阶段工作目标 识别组织所面临的信息安全风险 确定需处理的风险及安全保证程度 工作内容 制定风险评估和风险管理方案 制定风险管理流程 风险评估和风险管理的实施 编制风险评估报告 工作成果 风险评估和风险管理方案 风险评估报告 4.5 体系设计及文件编制 阶段工作目标 设计安全管理体系的框架 编制 ISMS 体系文件 工作内容 安全管理体系的框架设计 编制 ISMS 体系文件辅导 工作成果 安全管理体系的文件目录及内容框架 ISMS 体系文件辅导 4.6 体系试运行 阶段工作目标 发布和试运行 ISMS 改进 ISMS 工作内容 试运行前辅导 符合性评审 工作成果 改进 ISMS 4.7 咨询结束阶段 阶段工作目标 结束咨询项目合同 工作内容 项目验收 付款及结束合同 结论 越来越多的组织已经认识到信息是组织的关键资产，信息资产应该得到有效的保护。而仅通过技术的方法所能达到的安全是非常有限的，如果没有一个系统的方法对信息资产的风险进行管理和控制，就不能实现有效的安全。ISO 17799 作为一个被世界范围广泛接受的国际标准，集中了全球信息安全管理的最佳实践，并通过一个安全管理框架使得控制措施能够反复实施，不断改进，最终保证持续的和全面的信息安全。依照 ISO 17799建立信息安全管理体系已成为各类组织解决信息安全问题优秀模式。5771001803090012095 579036822859633082 5771001803090012386 576137399735760696 5771001803090013594 578077579902515512 5771001803090012387 577164982601818051 5771001803090012138 572131192158918326 5771001803090012359 579036822361076053 5771001803090012356 576135286143791742 5771001803090012355 575087869704693279 17088100343355274 101229944325833379 17088100343355275 101866732938832008 17088100343356107 101581152501500522 17088100343356108 101000180059871732 17088100343354295 101074194142687017 17088100343356184 101878660869628802 17088100343356185 101775831174086674 17088100343356109 101086014373572846 17088100343356110 101152207216014916 17088100343355237 101027041605702709 17088100343355238 101229364861425414 17088100343356169 101862204402635718 17088100343354928 101760654089788804