信息安全管理体系建设和认证项目案例

信息安全管理体系建设和认证项目案例

（一）某银行ISO27001信息安全管理体系建设和认证咨询服务
项目内容：为银行ISO 27001信息安全管理体系提供差距分析、风险评估、体系建设、体系落地及审核支持等系列咨询服务，协助银行持续优化完善ISO 27001体系，进一步深化体系落地应用，将认证范围扩大至所有信息系统技术管理、软件开发测试、系统建设、运行维护和业务运营相关的信息安全管理活动，不断提高银行信息安全管理工作水平。项目方案：
第一阶段：项目启动与现状调研
充分确认项目范围和目标的基础上制定项目详细实施计划，交付物清单。确定项目管理模式以及双方需要准备的资料。通过对收集的银行相关资料的审阅，并实施人员访谈和调查问卷，个别部分可能采用技术检查，以了解银行信息安全管理现状。
第二阶段：差距分析与风险评估
调研信息安全管理现状与新版ISO27001和ISO27002的差距；基于信息资产视角、业务流程视角识别物理、网络、系统、应用、IT服务流程和人员风险，并采用适当的风险评估方法评估可能存在的潜在风险。
第三阶段：体系建立与完善
建立符合ISO 27001标准管理体系；按照ISO 27002Zui新标准进行适应性调整。包括管理流程的设计、流程文档的开发和评审、流程的部署及改进，以及体系文件的发布和培训等。
第四阶段：体系试运行
对优化后的体系进行试运行，以验证体系的适用性和有效性；配合银行实施体系有效性测量、信息安全管理体系内审、管理评审，并指导不符合项的整改。
第五阶段：内部预审与外部审核
通过内审方式对人、流程、工具的协作运行进行检查和审核，并对发现的问题及时进行整改，以优化改进，达到正式审核的要求。
第六阶段：获得证书
配合认证机构完成ISO27001认证的各阶段的审核工作，并确保获得ISO27001证书。在项目实施过程中，提供宣传资料与培训，内容包括但不限于：ISO27001管理制度宣贯培训、ISO27001内审培训以及专业认证培训等增值服务。
（二）某医疗机构信息安全管理体系建设咨询服务
项目内容：在公司现有信息安全管理体系的基础上，参考ISO27001信息安全管理体系zuijia实践，明确集团与分支机构的职责边界，建立符合公司当前业务发展的信息安全管理体系，并对数据安全管理体系进行专项建设。
项目方案：
第一阶段：现状及行业调研、差距分析与风险评估
通过资料收集、现场访谈、问卷调查等方式，对公司当前的信息安全管理相关的组织结构、业务特征、制度规范、IT基础设施、日常管理、运行操作等内容进行调查，对照新版ISO27002中的控制要求、行业监管要求等进行差距分析和风险评估。
第二阶段：信息安全规划
根据公司业务发展战略、目标和需要，结合信息安全特点及风险评估结果，同时参考标准、行业发展趋势及zuijia实践，定位公司信息安全目标，立足信息安全管理，协助公司制定未来两年信息安全规划。
第三阶段：信息安全制度体系建设
通过完善现有的信息安全组织架构，明确不同信息安全组织、不同角色的信息安全定位和职责以及相互关系，对信息安全风险进行控制管理。并在信息安全组织架构下，考虑数据安全组织架构设计的整合工作。
依据信息安全法规标准，在现有制度体系的基础上，充分融合ISO 27001信息安全管理标准规范、等级保护相关要求，以总部、分支机构实际业务需求为基础，建立集团信息安全管理制度体系，完成制度文件的编写。
在项目实施过程中，提供宣传资料与培训，内容包括但不限于：信息安全管理制度宣贯培训、信息安全意识培训、数据安全相关法律法规培训以及专业认证培训等增值服务。