1、安永安全管理体系安永安全管理体系ISO27001认证咨询服务介绍认证咨询服务介绍第一部分:安永介绍第一部分:安永介绍Page 2关于安永关于安永安永的全球规模安永的全球规模安永是全球领先的专业服务公司,在140多个国家及地区设有约700多个办事处,拥有超过152,000名专业人才,2011年度全球总收入约230亿美元。除了提供审计服务外,安永提供的咨询服务包括税务、收购合并、改善内控制度、风险管理、信息安全以及公司治理方案等。我们为财富500强中超过75%、标准普尔指数成份股中65%的企业,提供审计、税务、风险管理和其他咨询服务。财富全球500强企业 安永服务的企业所占百分比审计客户税务、风险
2、管理等非审计咨询服务客户指数中所有其他客户标准普尔1200指数成份股企业 安永服务的企业所占百分比审计客户税务、风险管理等非审计咨询服务客户指数中所有其他客户全球前十大风险管理咨询企业为财富500强中75%的企业、国内60%的上市公司提供专业服务与国资委、财政部、发改委、保监会、银监会、证监会等管理部门建立了良好的关系,由于安永的良好声誉,安永得以入选国资委09年度央企审计项目入围会计师事务所北美洲:38,000 人 分布于 119 个城市中南美洲:10,000人 分布于30个城市中东及非洲:9,000人分布于77个城市澳大利亚/新西兰:9,000人分布于16个城市欧洲:41,000人 分布于
3、362个城市日本:3,000人 分布于30个城市亚洲:20,000人 分布于75个城市信息安全管理咨询服务IT服务管理咨询服务IT风险评估服务IT内部审计服务IT内控合规及优化服务IT绩效评估服务安永信息科技专业服务Ernst&Young is a leader in Information Security and Risk Consulting Services.Source:The Forrester Wave:Information Security and Risk Consulting Services,Q3 2010,Forrester Research,Inc.,August
4、2nd,2010国际著名IT咨询机构Forrester发布的全球信息科技安全与风险咨询报告关于安永关于安永信息科技风险咨询服务信息科技风险咨询服务安永及其信息科技风险咨询服务一直被视为信息系统审计与信息安全咨询行业的领导者,在国际著名IT咨询机构Forrester发布的全球信息科技安全与风险咨询报告中,安永连续被评为信息安全与信息风险服务行业的最佳咨询公司之一。我们已经连续十四年在全球范围内进行信息安全调查(GISS),调查的参与者包括了52个国家中的1700个不同行业的企业,调查问卷参考了ISO27001信息安全管理体系框架,为各企业管理层做出信息安全方面的重要决策提供深入的参考信息。安永在
5、中国大陆和香港地区的信息科技风险咨询服务部门目前正为中国大陆和香港地区的200多家企业提供科技与信息安全方面的服务,这些公司中包括了上市公司、国有企业、金融机构、政府部门、以及跨国企业等。关于安永关于安永信息科技风险咨询服务信息科技风险咨询服务在中国的专业IT咨询服务团队 安永在大中华区有超过300人的IT风险咨询顾问,其中在北京,上海,广州,深圳,香港,台湾等地更是具有专注在IT咨询服务的团队。安永安永IT咨询服务咨询服务团队团队上海香港 广州广州深圳深圳 北京台北 武汉我们在中国地区的IT咨询服务团队介绍:在中国有超过300位专注于IT咨询领域的顾问专家。安全顾问有不同的背景专长,技能覆盖
6、信息安全的各个方面。拥有下面专业证书资质:CISSPCISMCISABS25999 LAISO27001 LAISO20000 LAPMPITIL安永安永信息信息科技管理科技管理咨询服务咨询服务科技与信息安全咨询服务(ITRA)在中国有超过300人的专业服务团队,在华北、华中与华南三大区域为客户提供信息系统审计、信息安全、及信息技术相关咨询等方面的专业服务,主要服务类型如下:IT战略规划IT治理数据管理IT服务管理咨询服务第三方报告信息安全咨询服务IT鉴证审计ERP系统咨询IT内部控制评估IT内部审计全面的信息科技管理咨询业务(续)ISO20000ISO20000咨询服务咨询服务ISO2700
7、1ISO27001咨询服务咨询服务安全策略标准规划安全策略标准规划等级化安全体系规划等级化安全体系规划信息科技绩效考核信息科技绩效考核安永的行业经验信息科技风险咨询服务及优势安永近期安永近期安全安全项目:项目:信息系统风险评估服务信息系统风险评估服务帮助企业发现存在的安全漏洞和威胁,并提供技术、流程层面的建议信息安全管理咨询服务信息安全管理咨询服务信息安全管理体系实施及信息安全路线图规划业务连续性管理服务业务连续性管理服务防患未然,提升企业应对灾难保持业务连续性的能力隐私和数据保护服务隐私和数据保护服务数据分级保护,使用DLP技术来保护敏感数据身份认证与访问管理服务身份认证与访问管理服务帮助客
8、户定义与统一管理授权流程与角色职能,提升防范恶意访问的能力云安全服务云安全服务立足于云服务生命周期的安全需求,提供相应的安全服务信息安全快速评估服务信息安全快速评估服务用最短的周期和成本,为客户快速诊断信息安全症结所在热门话题热门话题客户数据与机密数据保护 业务连续性管理信息安全治理身份认证与访问控制管理虚拟化技术与云计算安永提供的热门服务安永提供的热门服务:世界最大电力企业之一世界最大电力企业之一信息安全体系和数据保护咨询国内最大的新能源企业国内最大的新能源企业ISO27001服务管理体系实施国内最大的保险公司国内最大的保险公司信息安全ISO27001管理体系实施全球最大的白色家电制造商全球
9、最大的白色家电制造商信息安全ISO27001管理体系与数据泄漏保护实施全球某大芯片制造商全球某大芯片制造商数据泄漏保护实施(R&D)国内第二大银行国内第二大银行信息科技等级保护体系建设第二部分:信息安全管理体系建设第二部分:信息安全管理体系建设Page 10安永信息安全管理咨询服务安永信息安全管理咨询服务安永的信息安全管理咨询服务根据组织的不同需求为其量身定做适合自己的信息安全管理体系,帮助企业更好的加强自身信息安全管理水平,降低企业业务运作过程中的风险。并采用可信任的控制措施,提供行业解决方案,满足客户的不同需求。根据ISO 27001,信息安全管理体系包括:11 个详细的控制子条款39 个
10、控制目标133 个控制业务连续性业务连续性管理管理权限控制权限控制系统获取系统获取开发维护管理开发维护管理沟通与运营沟通与运营管理管理人力资源安全人力资源安全合规性合规性资产管理资产管理信息安全组织信息安全组织物理环境物理环境安全安全信息安全信息安全事故管理事故管理信息信息客户记录客户记录个人记录个人记录法律记录法律记录安全策略安全策略策略策略程序、流程程序、流程工作指导书、操作工作指导书、操作说明、模板、检查说明、模板、检查表等表等文档、记录文档、记录安永安永ISO27001实施方法论实施方法论(1/2)计 划(PLAN)实 施(DO)检 查(CHECK)改 进(Act)业务现状了解业务现状
11、了解信息资产信息资产识别识别威胁脆弱性当前控制措施风险评价风险评价风风险险处处置置制定风险接受标准制定风险接受标准制定制定ISMSISMS文档架构文档架构策略程序与流程指导书、模板等文档、记录等1级2级3级4级可能性可能性严重性严重性持续改进机制持续改进机制管理层评审管理层评审内部内部ISMSISMS审计审计持续的风险评估持续的风险评估ISMSISMS体系度量与监体系度量与监控控体体系系运运行行 符合性指标符合性指标效能指标效能指标损失性指标损失性指标改改进进需需求求预防性措施预防性措施纠正性措施纠正性措施风险评估风险处置计划风险处置计划识别不合格项识别不合格项根源分析根源分析 记录与追踪记录
12、与追踪识别潜在不合识别潜在不合格项格项 制定预防措施制定预防措施 记录与追踪记录与追踪体系发布体系发布安永的项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标。在贵公司的整体业务风险框架内,依据ISO27001标准,以风险评估为基础,根据风险处置计划建立和实施信息安全管理体系(ISMS)以管理信息安全风险。并通过建立相关监控体系评估ISMS的有效性,最终将针对监测结果对信息安全管理体系进行持续改进。安永安永ISO27001实施方法论实施方法论(2/2)项目实施采取的程序项目实施采取的程序项目可能用到的工具项目可能用到的工具访谈访谈文档审阅文档审阅调查问卷调查问卷现场检查现
13、场检查系统检查系统检查技术扫描技术扫描信息安全风险评估工具信息安全风险评估工具网络脆弱性评估网络脆弱性评估服务器端口扫描服务器端口扫描资产识别工具资产识别工具渗透测试渗透测试信息安全控制审计信息安全控制审计序号标准名称1ISO 27001:2005信息安全管理体系要求3ISO 27002-27005 信息安全管理 使用规则 实施指南 风险评估4SP800-美国国家标准技术委员会信息安全技术和管理领域的实践参考指南5信息系统安全等级保护基本要求6信息系统安全等级保护实施指南7GB22080-2008-T 信息技术 安全技术 信息安全管理体系 要求8GB22081-2008-T 信息技术 安全技术
14、 信息安全管理实用规则9GB50174-2008 电子信息系统机房设计规范10GBT 20270-2006 信息安全技术 网络基础安全技术要求11GBT 21028-2007 信息安全技术 服务器安全技术要求12GBT 21052-2007 信息安全技术 信息系统物理安全技术要求参考的相关标准项目实施采取的程序和可能用到的工具项目启动和差异分析项目启动和差异分析项目启动会议,确项目启动会议,确定项目团队、建立定项目团队、建立项目组管理架构项目组管理架构信息安全管理现状信息安全管理现状的快速评估的快速评估信息安全管理体系信息安全管理体系差异分析差异分析设计信息安全方针设计信息安全方针设计信息安全
15、管理设计信息安全管理组织架构组织架构信息安全管理培训信息安全管理培训阶段项目总结会议阶段项目总结会议项目计划项目计划差异分析报告差异分析报告信息安全管理组织信息安全管理组织架构架构信息安全方针信息安全方针阶段主要任务主要交付品项目实施步骤项目实施步骤风险评估风险评估资产收集及风险评资产收集及风险评估方法与标准估方法与标准资产级别划分标准资产级别划分标准技术弱点扫描报告技术弱点扫描报告资产清单、威胁列资产清单、威胁列表、脆弱性列表、表、脆弱性列表、风险列表风险列表风险评估报告风险评估报告制定资产识别标准制定资产识别标准(包含保密级别划(包含保密级别划分)分)资产收集及风险评资产收集及风险评估方法
16、培训估方法培训信息资产收集信息资产收集识别威胁、脆弱性、识别威胁、脆弱性、并安全漏洞扫描并安全漏洞扫描评估风险,划分风评估风险,划分风险等级险等级阶段项目总结会议阶段项目总结会议体系设计与发布体系设计与发布风险容忍标准及风风险容忍标准及风险处置计划险处置计划适用性声明适用性声明ISMSISMS制度和流程制度和流程ISMSISMS体系、事故响体系、事故响应培训应培训信息安全体系技术信息安全体系技术落地建议书落地建议书体系运行与监控体系运行与监控ISMSISMS绩效监控流程绩效监控流程信息安全推广培训信息安全推广培训认证及持续改进认证及持续改进ISMSISMS内审报告内审报告ISMSISMS外审报
17、告及改外审报告及改进进ISMSISMS管理评审报告管理评审报告项目总结报告项目总结报告12345确定风险容忍度和确定风险容忍度和风险偏好风险偏好确定风险处置措施确定风险处置措施并实施整改计划并实施整改计划制度整合及信息安制度整合及信息安全管理体系文档编全管理体系文档编写写信息安全体系技术信息安全体系技术控制及管理落地建控制及管理落地建议议信息安全管理体系信息安全管理体系发布及培训发布及培训阶段项目总结会议阶段项目总结会议制定信息安全管理制定信息安全管理绩效监控流程绩效监控流程信息安全管理体系信息安全管理体系试运行试运行体系运行监控体系运行监控业务连续性管理培业务连续性管理培训训阶段项目总结会议
18、阶段项目总结会议ISMSISMS内审培训内审培训ISMSISMS内审内审ISMSISMS外审外审ISMSISMS管理评审管理评审纠正、预防措施持纠正、预防措施持续改进建议续改进建议项目总结会议项目总结会议协助后续的内审和协助后续的内审和临审临审 目标目标 对信息安全的要求、信息安全组织架构、ISMS文件体系、信息安全流程、信息安全技术架构和技术设施管理情况、以及员工的信息安全意识进行综合调研分析。通过管理和技术手段并用的方式全面了解贵公司的信息安全现状,为后续的工作打好基础 实现方法实现方法 资料收集及分析 问卷调查 现场访谈 实地走查 技术调研等方式安永信息安全管理最佳实践信息安全标准及监管
19、要求贵公司信息安全需求信息安全现状调研总结报告信息安全现状调研总结报告制定调研方案现场访谈问卷调查技术调研资料收集文件审核1 1、现状调研、现状调研1 1、现状调研、现状调研项目启动和差异分析确定项目范围、建立项目组管理架构,并完成现状分析对项目范围内现有管理体系、流程,包含内部控制制度等进行分析业务与信息管理架构分析与设计项目范围內信息平台、应用系统分析项目范围內相关部门与重要信息资产的互动与权限分析信息安全管理体系与国际标准ISO27001对标信息安全方针设计阶段一主要任务现有制度与流程组织架构与职责信息技术与平台各职能部门信息安全现状诊断主要范围 收集项目相关的文档,通过对收集的资料进行
20、分析,快速了解贵公司信息安全基本情况为后续工作打好基础。1.11.1、资料收集、资料收集范例范例对贵公司现存的信息安全管理制度、管理流程、记录文档等文件进行审核,深入了解管理体系是否健全,以及技术和数据保护体系是否落实到位。信息安全管理制度信息安全职责矩阵及工作职责文档信息安全测量体系文档信息安全考核文档数据备份和恢复策略信息安全培训文档1.21.2、文件审核、文件审核范例范例 访谈目的和范围访谈目的和范围 根据项目范围,访谈贵公司管理层以及重要部门业务骨干人员。访谈主要是了解相关人员对当前公司信息安全工作的看法、关注的风险及对未来的期望,了解员工的信息安全意识情况。访谈安排访谈安排 制定访谈
21、计划 访谈纲要访谈纲要 根据不同对象设计访谈纲要,一般包括管理层代表、重要部门业务骨干等访谈纲要。1.31.3、人员访谈、人员访谈范例范例 问卷调研的对象:信息安全及主要业务系统和IT基础设施的管理、维护人员。根据不同的对象设计不同的调研问卷,充分了解相关领域的信息安全管理现状,具体事例如下:1.41.4、问卷调查问卷调查范例范例 通过安永的技术工具及人工检查等手段对不同类型的系统进行调研。1.51.5、技术调研技术调研范例范例现状调研阶段工作成果现状调研阶段工作成果信息安全现状调研报告安全管理现状安全技术现状2 2、风险评估风险评估阶段二主要任务信息安全风险评估制定信息资产识别标准(包含保密
22、级别划分)资产识别及风险评估方法培训信息资产收集识別关键信息资产,并评估价值评估公司层面信息安全控制措施安全漏洞扫描针对关键信息资产进行威胁、弱点及影响程度评估,计算出风险值风险分析风险评估成果示例识別关键信息资产公司层面控制信息安全管理成熟度风险评估 目标 从业务的角度分析贵公司对信息安全管理和技术的自身要求 识别与国内、国际最佳信息安全实践之间的差距并改进。识别各级监管部门发布的有关信息安全监管要求的差距并改进 发现主要信息安全管理和技术风险并改进。实现方法 通过“资产风险评估”、“流程风险评估”、“信息安全技术架构评估”、“数据安全”的结果,汇总分析形成最终的风险评估报告。通过分析风险评
23、估的结果、监管要求以及国际的信息安全最佳实践标准,描述贵公司对信息安全管理和技术的要求,建立安全管理与技术体系模型并对比贵公司目前的安全现状,找出薄弱点并提出整改方案。2 2、信息安全风险评估信息安全风险评估风险评估标准2.12.1、信息资产风险评估信息资产风险评估(1/2)(1/2)业务流程业务流程业务活动业务活动信息资产信息资产信息载体信息载体业务目标业务目标终端设备终端设备应用应用系统系统存储存储网络网络机密性机密性完整性完整性可用性可用性信息资产分类信息资产分类基于信息资产的重要等级分类,深入分析贵公司的业务目标和流程透彻分析和识别出在业务活动和所有不同信息系统架构层中的信息资产根据安
24、全的三个特性纬度(机密性,完整性,可用性)来判断信息资产的价值识别信息资产识别信息资产定义信息资产的自然属性定义信息资产的自然属性决定信息资产的属性决定信息资产的属性分类的信息资产分类的信息资产2.12.1、信息资产风险评估信息资产风险评估(2/2)(2/2)范例范例 在对IT流程评估需要对现有流程设计文档分析,对流程的角色、职责、活动、输入输出、KPI等分析,识别关键控制点。IT流程风险评估为后续的流程优化打下了基础。2.22.2、ITIT流程评估流程评估范例范例2.32.3、信息安全技术架构风险评估、信息安全技术架构风险评估物理终端主机应用网络身份认证访问控制内容安全审核跟踪响应恢复工具扫
25、描文档审阅配置检查渗透测试安全技术风险评估 评估技术评估工具对贵公司的物理、网络、主机、应用、终端等方面的信息安全风险进行评估。风险评估阶段工作成果风险评估阶段工作成果信息安全风险评估报告3 3、体系建立体系建立与发布与发布建立适合贵公司的信息安全管理体系阶段三主要任务体系设计与发布确定风险接受标准制定风险处置计划管理层汇报定制风险处置实施整改计划依据信息与业务重要性,制定各级信息安全管理制度和流程信息安全体系技术控制落地及管理落地建议依据不同对象与时机,按需制定支持上述流程的工作指导书信息安全管理体系发布及培训ISMS策略ISMS制度和流程工作指导书、操作手册、模板、检查表等表单、记录1级2
26、级3级4级信息安全管理体系文件第一级 信息安全方针 信息安全管理评审程序 信息安全内审管理程序 纠正和预防措施管理程序 文档记录管控程序 有效性测量程序 信息资产分类标准 风险评估实施指南 信息保密管理办法 人员安全管理程序 培训管理规定 第三方安全管理规定 机房安全管理规定 办公区域安全管理规定 系统试运行审查规定 系统安全管理规范 网络运维管理规范 IT终端设备使用管理规范 变更管理规定 帐户安全管理规范 防病毒管理策略第二级第三级 脆弱性检查列表 威胁检查表 内部审计检查项第四级 审计报告 日志检查表 文件加密指南 移动办公守则 信息安全管理手册 其它表單风险处置方法风险处置计划序号 整
27、改类型 负责部门 风险描述 优先等级 整改措施 完成时间 责任人管 理 是否 已 确定1物 理 安全 运 维部机房湿度过低,容易造成电火花以及静电,给IDC业务带来风险高调整机房湿度至合适范围,并设置远程监控与报警机制。2009年9月7日 张三是2法 律 法规合规运 维部单位或个人通过托管的服务器,利用IDC中心从事危害国家安全、泄露国家机密等违法犯罪活动高1.与责任单位签订信息安全责任保障书,明确责任与义务2.IDC建立相应的管理、监督和检查机制,实现实时的监控2009年10月17日 张三审批中3 3.1.1、信息安全管理框架设计信息安全管理框架设计 安永将根据贵公司实际情况和信息安全统一要
28、求,建立适合于贵公司的信息安全管理框架,用于指导信息安全工作的实施。管理技术组织业务驱动风险战略合规、监控和报告风险识别与描述流程与运作程序工具与技术治理、制度与标准人员和组织管理数据安全框架数据安全框架3.23.2、体系体系与安全制度的对标整合与安全制度的对标整合从管理措施和管理方法两方面,进行ISMS制度与现存运行的安全制度的对标。确保符合集团信息安全要求,并将现存的安全风险控制和管理方法融入ISMS制度中,从而达到制度整合的目标,使信息安全管理成为一个整体,成为一套管理程序。贵公司 XXX工作管理指引贵公司 信息安全管理体系对应要求贵公司 现有制度体系,包括集团信息安全要求控制程序作业指
29、导书、表格、文档模版以及报告等总体规定软件需求管理办法信息系统项目管理办法外包项目管理办法安全管理制度框架及管理规定 软件需求管理控制程序项目管理控制程序应用系统安全管理规定计算机机房管理控制程序运行维护文档管理控制程序 应用软件程序维护作业指导书 安全服务管理业务指导书 网络配置变更作业指导书 应用软件程序维护作业流程图网管系统维护记录周报 信息安全技术信息系统安全等级保护对应要求对应要求3 3.3.3、信息安全组织体系建设、信息安全组织体系建设 安永将根据贵公司实际情况设计信息安全组织架构及各部门职责。范例范例3 3.4.4、信息安全制度体系建设、信息安全制度体系建设 安永将根据ISO27
30、001标准要求,并结合贵公司自身需求,按照分类分级的原则,设计完整的信息安全管理制度及文档体系。范例范例3 3.5.5、信息安全技术体系建设、信息安全技术体系建设 满足国家标准、监管、行业最佳实践的安全技术要求,从业务出发,识别和满足用户对信息安全技术需求,掌握信息系统安全保护重点领域,建立信息系统安全技术基准,实现可组合安全技术保护。范例范例3 3.6.6、信息安全监督体系建设、信息安全监督体系建设 通过定期实施内审与管理评审发现贵公司体系运行中存在的不足并进行整改,从而达到内部不断改进的目的,以保持信息安全保障体系的有效性、适宜性、充分性。范例范例3 3.7.7、信息安全技术和管理落地(、
31、信息安全技术和管理落地(1/21/2)l建设紧迫性分析-合规方面的强制要求;-法律诉讼、人身安全等可能性-业务中断、IT全局崩溃等可能性-分布与影响的范围、危害严重性-破坏后恢复时间与投入、发生频率l建设可行性分析-外部策略允许程度-内部管理条件是否具备-所需的技术是否成熟-内部支持条件是否具备-外部支持条件是否具备l建设效果性分析-见效速度-对于数据安全的直接效果-对于业务的直接促进-安全体系的提升与促进l建设难易度分析-资金、时间、人力等投入大小-技术难度、人员能力的要求-对业务和运行的触动大小-对企业和组织的触动大小根据贵公司信息安全战略规划及目前的信息安全风险现状,设计信息安全建设任务
32、的优先级路线路。3 3.7.7、信息安全技术和管理落地(、信息安全技术和管理落地(2/22/2)优先级排序结果任务顺序/关联关系根据规划分析和贵公司目前的信息安全项目实施的实际情况,设计出未来三年的安全建设蓝图。4 4、体系运行与监控、体系运行与监控阶段四主要任务体系运行与监控制定绩效监控流程体系运行监控信息安全推广培训信息安全宣传内部审计培训信息安全管理体系内部审计信息安全管理体系管理评审会议纠正措施、预防措施、持续改进建议项目总结会体系运行与监控审计报告内部审计文件适用性按规范执行内审计划信息安全体系改进方案实施成果审计 执 行 记 录信息 安全管理体系信息安全管理体系内部审计报告4.14
33、.1、安全职责细化(、安全职责细化(1/21/2)信息安全职责是否清晰并可落实是关系到信息安全工作能否到位的关键,因此制定信息安全职责矩阵,细化每个岗位的信息安全职责,确保其可操作对于ISMS体系的落实发挥重要作用。范例范例4.14.1、安全职责细化(、安全职责细化(2/22/2)落落地地示示例例信息安全责任信息安全责任落实到落实到“人人”信息安全指南信息安全指南落实到落实到“步骤步骤”信息安全度量信息安全度量落实到落实到“指标指标”范例范例4.24.2、安全测量指标、安全测量指标 为了有效的监控ISMS体系运行的效果,及时发现ISMS存在的不足并改进,应建立ISMS运行有效性测量体系,测量体
34、系应至少包括测量指标、测量数据来源、测量周期、测量防范、测量责任人、测量结果等要素。范例范例4.34.3、安全考核体系、安全考核体系建立有效的信息安全管理建立有效的信息安全管理KPIKPI制定合理的信息安全管理KPI,评价信息安全管理执行情况和反馈改进建议。角色类型指标范围指标定义成熟度业务连续性管理软件开发安全管理变更配置安全管理符合性 管理IT终端 安全管理移动介质安全管理系统补丁安全管理防病毒 安全管理物理环境安全管理数据备份安全管理帐号权限安全管理安全监控管理安全事故管理第三方安全 管理实施类用于度量安全策略的实施情况,主要考核事前安全工作。效能类用于度量安全服务的工作效力和效率,主要
35、考核事中安全工作。影响类用于度量安全事件对业务的影响,主要考核事后安全工作。1级已定义 安全策略2级已定义 安全流程和控制方法3级已实施 安全流程和控制方法4级已验证 安全流程和控制方法5级已集成并持续改进 安全流程和控制方法决策层为信息安全考核计划提供高层支持和监督。管理层为信息安全考核计划提供支持,协调有关工作。执行层为安全指标的制定和数据采集提供支持。监督层负责信息安全日常工作,收集数据和计算安全指标。4.44.4、安全意识推广(、安全意识推广(1/21/2)通过多种手段提升员工信息安全意识,比如安全手册、安全海报、安全屏保、电子壁纸、FLASH动画、鼠标垫、便利贴等。范例范例4.44.
36、4、安全意识推广(、安全意识推广(2/22/2)定期的信息安全宣导及培训签署劳动合同(含安全职责)入职的安全意识培训网络自助式的安全知识考试学习安全规章制度员工转正申请员工转正申请奖惩机制人力资源安全培训人力资源安全培训违规行为的报告安全信用等级系统技术分析举报信息收集确认违规等级安全系统部用人部门安全系统部用人部门严重一般处理正式发布人力部门发布4.54.5、人员安全培训、人员安全培训 安永将根据不同的培训对象,安永设计了信息安全意识培训,IT风险管理培训,ISO27001培训等。其中信息安全意识培训适用于全体员工,IT风险管理培训适用于IT内控及风险管理人员,ISO27001适用于信息安全
37、体系管理人员。范例范例 目标 推动ISMS体系在贵公司运行,并获得审核机构颁发的27001认证。实现方法 ISMS体系文件编制完成后,应按照文件的控制要求进行审核与批准并发布实施,体系运行初期处于体系的磨合期,一般称为试运行期,在此期间运行的目的是要在实践中检验体系的充分性、适用性和有效性。试运行3个月后,并完成内审和管理评审后,在收集到一些ISMS运行记录后,可以根据贵公司需求选择认证机构并协助贵公司通过认证。5 5、认证及持续改进认证及持续改进ISMS体系试运行ISMS内审ISMS管理评审认证前培训外审初审支持外审终审支持5 5、认证及持续改进认证及持续改进阶段五主要任务认证及持续改进内审
38、管理评审外审持续改进内审计划和安排内审检查表和报告信息安全管理体系管理评审会议纠正措施、预防措施、持续改进建议外审报告和改进监审及内审支持认证及持续改进信息安全管理体系内部审计报告ISMS体系试运行ISMS内审ISMS管理评审认证前培训外审支持监审及后续内审支持 ISMSISMS内审、管理评审内审、管理评审:通过定期实施内审与管理评审来查找已建立的信息安全管理体系与信息安全标准及法律法规之间的差距,从而达到内部不断改进的目的,以保持信息安全保障体系的有效性、适宜性、充分性。认证前培训认证前培训:为了确保通过外审,顾问将对ISMS范围内的各部门安全管理员进行培训,介绍外审过程和关注要点。外审支持
39、外审支持:安永的顾问将全程协助贵公司外审的整个过程,包括初审、终审等,直到获得ISO27001认证。后续内审和监控支持后续内审和监控支持:安永负责为贵公司 通过ISO27001认证后的后续支持工作,包括下一年的ISO27001的内审及监审支持,以确保贵公司按照ISO27001的要求进行执行。5 5、认证及持续改进、认证及持续改进5 5、信息安全管理体系运行和认证信息安全管理体系运行和认证第三部分:安永典型案例第三部分:安永典型案例Page 51安永的行业经验部分安全咨询项目案例项目内容客户名称信息安全体系和隐私保护咨询世界最大的电力公司之一信息安全管理体系ISO27001建设与实施 中国最大石油公司之一 信息安全管理体系建设与实施 中国最大移动电信运营商信息安全管理体系实施 国内最大的新型能源企业 信息技术安全等级保护建设中国第二大商业银行ISO27001信息安全管理体系建设及认证 中国最大财险公司ISO27001信息安全管理体系咨询中国银行卡联合组织机构信息安全管理体系建设与实施 中国最大航空结算中心ISO27001信息安全管理体系建设及认证 中国领先的体彩服务商信息安全管理体系ISO27001建设与实施 中国最大的家电制造企业ISO27001信息安全管理体系 咨询全球最大保险集团广州分中心
