1.  信息安全管理体系建设

实施过程  

1.1.  确定项目目标  

咨询方提供必要服务，确保达成以下项目目标：

1） 以ISO/IEC 27001-2012标准为框架，融合ISO/IEC 20000:2011、结合信息系统等级保护二级要求，建立信息安全管理体系；

2） 信息安全管理体系在信息中心得以有效运行，各核心业务信息系统运行维护活动符合ISO27001管理体系标准要求；

1.2.  知识培训 

1)  ISO27001  标准体系和等级保护二级标准培训，编制ISO27001系列标准和二级等级保护标准认知培训资料，在信息中心全员和项目组分别开展内训；针对项目组内部开展信息安全管理体系建设项目实施方法培训。
2)  风险评估方法培训  ，针对项目组内部开展漏洞扫描、威胁识别和风险评价工具与方法培训。

3.  风险评估  

针对核心业务信息系统开展风险评估，针对各核心业务信息系统开展以下主要活动：编制《信息资产识别表》；针对《信息资产信息表》记录的信息资产，全面开展漏洞扫描、威胁识别和风险评价，特别针对信息系统web应用、中间件应用、数据库应用、操作系统和骨干网络服务/设备逐一开展基于专业（软件）工具的漏洞扫描、威胁识别和风险评价；编制《核心业务信息系统风险评估报告》。针对信息技术管理体系开展差距分析，参照ISO/IEC27001标准、二级等级保护标准和国家法律法规要求，开展信息技术管理体系差距分析，给出改进建议，提交《信息技术管理体系差距分析报告》。

1.4.  风险管控建设  提出信息安全风险管控建议，参照ISO/IEC27001标准、二级等级保护标准和国家法律法规要求梳理并定义出《信息安全风险接受准则》，编制《信息安全风险管控建议》。开展信息安全管控技术方案设计

，依据《核心业务信息系统风险评估报告》和《信息安全风险管控建议》，编制《信息安全技术管控建议书》。
 

3)  开展信息安全管理体系方案设计，依据《核心业务信息系统风险评估报告》、《信息技术管理体系差距分析报告》和《信息安全风险管控建议》，编制《信息安全管理体系建议书》。

1.5.  体系建设

 编制信息安全管理体系文件，结合公司现有的信息技术管理文件，参照ISO/IEC27001标准、二级等级保护标准和国家法律法规要求，编制信息安全管理体系一、二级文件，协助编制信息安全管理体系三、四级文件，协助修订其他信息技术管理体系文件，参与管理体系文件发布审核。开展信息安全管控技术方案实施效果评估，提交《信息安全技术管控效果评估报告》。
开展体系文件宣贯  ，编制《信息安全管理体系文件宣贯材料》，参与信息安全管理体系文件宣贯。

1.6.  体系运行监控  

协助开展  年度信息安全风险评估工作，协助编制年度信息安全风险评估相关文件。年度信息安全管理体系内部审核，协助编制年信息安全管理体系内审相关文件。年度信息安全管理体系管理审核，协助编制年信息安全管理体系管理评审相关文件。

1.7.  外部认证  

开展  认证准备  ，协助开展ISO27001认证送审资料整理和内部专项检查。配合  现场认证  ，配合甲方组织ISO27001现场认证活动。

证书申请  ，配合甲方整改或纠正不符合项，配合提交申请证书资料。