ISO27001标准体系建设及认证咨询
1. 信息安全管理体系建设
实施过程
1.1. 确定项目目标
咨询方提供必要服务,确保达成以下项目目标:
1) 以ISO/IEC 27001-2012标准为框架,融合ISO/IEC 20000:2011、结合信息系统等级保护二级要求,建立信息安全管理体系;
2) 信息安全管理体系在信息中心得以有效运行,各核心业务信息系统运行维护活动符合ISO27001管理体系标准要求;
1.2. 知识培训1) ISO27001 标准体系和等级保护二级标准培训,编制ISO27001系列标准和二级等级保护标准认知培训资料,在信息中心全员和项目组分别开展内训;针对项目组内部开展信息安全管理体系建设项目实施方法培训。
2) 风险评估方法培训 ,针对项目组内部开展漏洞扫描、威胁识别和风险评价工具与方法培训。
3. 风险评估
针对核心业务信息系统开展风险评估,针对各核心业务信息系统开展以下主要活动:编制《信息资产识别表》;针对《信息资产信息表》记录的信息资产,全面开展漏洞扫描、威胁识别和风险评价,特别针对信息系统web应用、中间件应用、数据库应用、操作系统和骨干网络服务/设备逐一开展基于专业(软件)工具的漏洞扫描、威胁识别和风险评价;编制《核心业务信息系统风险评估报告》。针对信息技术管理体系开展差距分析,参照ISO/IEC27001标准、二级等级保护标准和国家法律法规要求,开展信息技术管理体系差距分析,给出改进建议,提交《信息技术管理体系差距分析报告》。
1.4. 风险管控建设 提出信息安全风险管控建议,参照ISO/IEC27001标准、二级等级保护标准和国家法律法规要求梳理并定义出《信息安全风险接受准则》,编制《信息安全风险管控建议》。开展信息安全管控技术方案设计
,依据《核心业务信息系统风险评估报告》和《信息安全风险管控建议》,编制《信息安全技术管控建议书》。
1.5. 体系建设
编制信息安全管理体系文件,结合公司现有的信息技术管理文件,参照ISO/IEC27001标准、二级等级保护标准和国家法律法规要求,编制信息安全管理体系一、二级文件,协助编制信息安全管理体系三、四级文件,协助修订其他信息技术管理体系文件,参与管理体系文件发布审核。开展信息安全管控技术方案实施效果评估,提交《信息安全技术管控效果评估报告》。
开展体系文件宣贯 ,编制《信息安全管理体系文件宣贯材料》,参与信息安全管理体系文件宣贯。
1.6. 体系运行监控
协助开展 年度信息安全风险评估工作,协助编制年度信息安全风险评估相关文件。年度信息安全管理体系内部审核,协助编制年信息安全管理体系内审相关文件。年度信息安全管理体系管理审核,协助编制年信息安全管理体系管理评审相关文件。
1.7. 外部认证
开展 认证准备 ,协助开展ISO27001认证送审资料整理和内部专项检查。配合 现场认证 ,配合甲方组织ISO27001现场认证活动。
证书申请 ,配合甲方整改或纠正不符合项,配合提交申请证书资料。