基于ISO27001的信息安全管理体系

随着信息技术的不断发展和企业信息化程度的不断提高，企业竞争越来越依赖于信息能力，信息已成为企业保持竞争力和业务持续运营的重要资产，必须得到妥善的保护。然而，随着信息技术的高速发展，许多信息安全的问题也纷纷涌现：系统瘫痪、病毒感染、黑客入侵、信息失真、数据丢失、客户资料的流失及公司内部资料的泄露等等，这些都将给企业带来严重的影响，可以说信息安全问题所带来的损失远大于交易的账面损失。

我们借鉴ISO/IEC27001 标准基于风险管理的思想，建立一套系统化、程序化和文件化的信息安全管理体系。该体系以预防控制为主要思想，强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式保护空管局所拥有的关键信息资产，使信息风险的发生概率和结果降低到可接受水平，确保信息的保密性、完整性和可用性，保持空管局业务运作的持续性。

信息安全理念导入

帮助组织IT管理者和IT从业人员更深入的了解信息安全管理的专业知识和国际最佳实践，通过培训统一学员对信息安全管理的认识，让项目参与人员能够掌握信息安全管理运营和改进的方法。北宙咨询在培训过程中会帮助学员了解信息安全管理动态，掌握前沿知识并获取运营技能，使客户核心项目人员了解信息安全管理的理论及ISO27001体系要求。

差距分析

北宙针对企业信息安全现状调研，特制定出以下调研方案和计划，通过资料收集，文件盘点，问卷调查、技术调查及现场访谈等一系列手段，用来识别企业当前情况与ISO27001和服务管理体系标准之间的差距所在。根据与ISO27001的差距，建立信息安全管理的路径。

风险评估

风险评估是对信息资产、资产面临的威胁、存在的弱点，以及三者综合作用而带来风险的可能性和影响的评估。作为风险管理的基础，风险评估也是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

根据风险评估模型，分析参与风险，制定风险处理策略，给出处理建立，针对现有的技术弱点提出改进建议，制定信息安全风险处置计划。在具体制定风险处置方案时应从技术手段和管理措施两方面入手，形成以管理为引导、技术为手段的整体处置方案，为后续ISMS体系建设提供有效的保证。

信息安全框架与策略规划

信息安全管理体系将充分了解现有规章制度，兼顾企业内部控制目标、规范与标准的相关要求，做到切实可行，并结合企业现有的文档制度以及监管机构的要求，设计符合ISO27001标准的体系文件清单，创建信息安全管理框架。根据现场调研与风险评估的结果，结合国际国内的最佳实践，设计未来3-5年信息安全技术体系规划。

信息安全体系建设

将基于企业现有的体系文件并结合其自身业务情况制定出该两个体系所要求的一、二级文件，确保合规性和有效性；并结合已有的记录文件、制度等定制出ISO27001体系所需的三四级文件模板和SOP。ISO27001体系建设资产统计和风险处置设计仅包括项目范围内的资产统计与风险评估，作为后续ISO27001各控制措施的制定基础。

操作方案

北宙在信息安全管理体系设计中将充分考虑落地性，尤其是实现与现有管理办法在操作层面的整合。即，将具体的操作规范，如：服务响应管理办法、资源调度管理办法、现场运营管理办法、机房管理制度、安全生产管理制度、网络安全管理制度、内网及信息安全管理办法、安全隐患管理办法、员工内网行为规范等管理办法与ISO27001进行整合，借鉴北宙在众多同类项目中的经验和业界最佳实践，形成统一的操作规范、操作表单、在线指南、操作手册（作业指导书）和可操作性模版，提供相关的管理报表模版与考核方法，并对规范的发布方式给出建议。

体系试运行与推广

通过试运行，对新体系的执行效果和标准符合性进行验证，通过内部审核和管理评审发现不符合项并持续改进和优化，达到ISO27001国际标准的要求。并定制定全方位的体系推广与营销方案，明确项目各阶段的营销对象及营销方式，协助实施营销方案，并对成果进行总结。



Date：2015-9-13   View：322 相关网址返回列表