安永安全管理体系iso27001认证咨询服务介绍

安永安全管理体系 ISO27001 认证咨询服务介绍 Page 2 第一部分 ：安永介绍 关于安永 安永的全球规模 安永是全球领先的专业服务公司，在 140多个国家及地区设有约 700多个办事处，拥有超过 152,000名专 业人才， 2011年度全球总收入约 230亿美元。除了提供审计服务外，安永提供的咨询服务包括税务、收 购合并、改善内控制度、风险管理、信息安全以及公司治理方案等。 我们为 财富 500强中超过 75%、标准普尔指数成份股中 65%的企业，提供审计、税务、风险管理和其 他咨询服务。 财富 全球 500强企业 安永服务的企业所占百分比 审 计客户 税务、风险管理等非 审计咨询服务客户 指数中所有其他客户 标准普尔 1200指数成份股企业 安永服务的企业所占百分比 审 计客户 税务、风险管理等非 审计咨询服务客户 指数中所有其他客户 全球前十大 风险 管理咨 询 企 业 为财 富 500强 中 75%的企 业 、国内 60%的上市公司提供 专 业 服 务 与国 资 委、 财 政部、 发 改委、保 监 会、 银监 会、 证监 会 等管理部 门 建立了良好的关系 ,由于安永的良好声誉，安永 得以入 选 国 资 委 09年度央企 审计项 目入 围 会 计师 事 务 所 北美洲： 38,000 人 分布于 119 个城市 中南美洲： 10,000人 分布于 30个城市 中 东 及非洲： 9,000人 分布于 77个城市 澳大利 亚 /新西 兰 ： 9,000人分布于 16个城市 欧洲： 41,000人 分布于 362个城市 日本： 3,000人 分布于 30个城市 亚 洲： 20,000人 分布于 75个城市 信息安全管理咨 询 服 务 IT服 务 管理咨 询 服 务 IT风险评 估服 务 IT内部 审计 服 务 IT内控合 规 及 优 化服 务 IT绩 效 评 估服 务 安永信息科技 专业 服 务 Ernst - 法律诉讼、人身安全等可能性 - 业务中断、 IT全局崩溃等可能性 - 分布与影响的范围、危害严重性 - 破坏后恢复时间与投入、发生频率 信息安全战略规划信息安全战略规划 分析模型分析模型 l 建设可行性分析 - 外部策略允许程度 - 内部管理条件是否具备 - 所需的技术是否成熟 - 内部支持条件是否具备 - 外部支持条件是否具备 l 建设效果性分析 - 见效速度 - 对于数据安全的直接效果 - 对于业务的直接促进 - 安全体系的提升与促进 l 建设难易度分析 - 资金、时间、人力等投入大小 - 技术难度、人员能力的要求 - 对业务和运行的触动大小 - 对企业和组织的触动大小 根据 贵公司信息 安全战略规划 及目前的 信息安全风险现状 ， 设计信息安全建设任务的优先 级路线路。 3.7、信息安全技术和管理落地（ 2/2） 优先级排序结果 任务顺序 /关联关系 根据 规划分析 和贵公司目前 的信息 安全项目实施的实际情况，设计出 未来三年的安全建设蓝图。 4、体系运行与监控 项目启动和差异分析 风险评估 体系设计与发布 体系运行与监控 认证及持续改进 阶 段 四 主要任 务 体系运行与 监 控 制定 绩 效 监 控流程 体系运行 监 控 信息安全推广 培 训 信息安全宣 传 内部 审计 培 训 信息安全管理体系内部 审计 信息安全管理体系管理 评审 会 议 纠 正 措施 、 预 防措施 、 持 续 改 进 建 议 项 目 总结 会 体 系运行与 监 控 审计报告 内部审计 文件 适用性 按 规 范 执 行 内 审计 划 信息安 全体系改 进 方案 实 施 成果 审 计 执 行 记 录 信息 安全管理体系 信息安全管理体系内部 审计报 告 4.1、安全职责细化（ 1/2） 信息 安全职责是否清晰并 可落实是关系到信息安全 工作能否到位的关键，因 此制定信息安全职责矩阵 ，细化每个岗位的信息安 全职责，确保其可操作对 于 ISMS体系的落实发挥重 要作用。 范例 4.1、安全职责细化（ 2/2） 落 地 示 例 信息安全 责 任 落 实 到 “人 ” 信息安全指南 落 实 到 “步 骤 ” 信息安全度量 落 实 到 “指 标 ” 范例 4.2、安全测量指标 为了 有效的监控 ISMS体系运行的效果，及时发现 ISMS存在的 不足并改进，应 建 立 ISMS运行有效性测量体系 ，测量 体系应至少包括测量指标、测量数据来源、 测量周期、测量防范、测量责任人、测量结果等要素。 范例 4.3、 安全 考核体系 建立 有效的信息安全管理 KPI 制定 合理的信息安全管理 KPI，评价信息安全管理执行情况和反馈改进建议。 角 色 类 型 指 标 范 围 指 标 定 义 成 熟 度 业务连 续 性管理 软 件开 发 安全管理 变 更配置 安全管理 符合性 管理 IT终 端 安全管理 移 动 介 质 安全管理 系 统补 丁 安全管理 防病毒 安全管理 物理 环 境 安全 管理 数据 备 份 安全管理 帐 号 权 限 安全管理 安全 监 控 管理 安全事故 管理 第三方 安全 管理 实 施 类 用于度量安全策略的 实 施情况，主 要考核事前安全工作。 效能 类 用于度量安全服 务 的工作效力和效 率，主要考核事中安全工作。 影响 类 用于度量安全事件 对业务 的影响， 主要考核事后安全工作。 1级 已定 义 安全策略 2级 已定 义 安全流程和控制方法 3级 已 实 施 安全流程和控制方法 4级 已 验证 安全流程和控制方法 5级 已集成并持 续 改 进 安全流程和控制方法 决策 层 为 信息安全考核 计 划提 供高 层 支持和 监 督。 管理 层 为 信息安全考核 计 划提 供支持， 协调 有关工 作。 执 行 层 为 安全指 标 的制定和数 据采集提供支持。 监 督 层 负责 信息安全日常工作， 收集数据和 计 算安全指 标 。 4.4、 安全意识 推广（ 1/2） 通过 多种手段提升员工信息安全意识， 比如 安全 手册、 安全 海报、 安全 屏保 、 电子壁纸、 FLASH动画、鼠标垫、便利贴 等 。 范例 4.4、 安全意识 推广（ 2/2） 定期的信息安全宣 导 及培 训 签署劳动合同 (含安全职责 ) 入职的安全意识培训 网络自助式的安全知识考试 学习安全规章制度 员工转正申请 员工转正申请 奖惩 机制 人力 资 源安全培 训 违规 行 为 的 报 告 安全信用 等 级 系 统技 术 分析举报 信 息 收 集 确 认违规 等 级 安全 系 统 部 用人 部 门 安全 系 统 部 用人 部 门 严 重 一 般 处 理 正式 发 布 人力部 门 发 布 4.5、人员安全培训 安永将根据 不同的培训对象，安永设计了信息安全意识培训， IT风险管理培训 ， ISO27001培训等。其中信息安全意识培训适用于全体员工， IT风险管理培训 适用于 IT内控及风险管理人员， ISO27001适用于信息安全体系管理人员。 范例 目标 推动 ISMS体系在贵公司运行，并获得 审核机构颁发的 27001认证。 实现方法 ISMS体系文件编制完成后，应按照文 件的控制要求进行审核与批准并发布 实施，体系运行初期处于体系的磨合 期，一般称为试运行期，在此期间运 行的目的是要在实践中检验体系的充 分性、适用性和有效性。 试运行 3个月后，并完成内审和管理评 审后，在收集到一些 ISMS运行记录后 ，可以根据贵公司需求选择认证机构 并协助贵公司通过认证。 5、 认证及持续改进 信息安全管理体系认证信息安全管理体系认证 ISMS体系试运行 ISMS内审 ISMS管理评审 认证前培训 外审初审支持 外审终审支持 项目启动和差异分析 风险评估 体系设计与发布 体系运行与监控 认证及持续改进 5、 认证及持续改进 项目启动和差异分析 风险评估 体系设计与发布 体系运行与监控 认证及持续改进 阶 段 五 主要任 务 认证 及持 续 改 进 内 审 管理 评审 外 审 持 续 改 进 内 审计 划和安排 内 审检查 表和 报 告 信息安全管理体系管理 评审 会 议 纠 正 措施 、 预 防措施 、 持 续 改 进 建 议 外 审报 告和改 进 监审 及内 审 支持 认证 及持 续 改 进 信息安全管理体系内部 审计报 告 信息安全管理体系认证信息安全管理体系认证 ISMS体系试运行 ISMS内审 ISMS管理评审 认证前培训 外审支持 监审及后续内审 支持 ISMS内审、管理评审 ： 通过定期实施内审与管理评审来查找已建立的信息 安全 管理 体系与信息安全标准及法律法规之间的差距，从而达到内部不断 改进的目的，以保持信息安全保障体系的有效性、适宜性、充分性。 认证前培训 ：为了确保通过外审，顾问将对 ISMS范围内的各部门安全管理 员进行培训，介绍外审过程和关注要点。 外审支持 ：安永的顾问将全程协助贵公司外审的整个过程，包括初审、终 审等，直到获得 ISO27001认证。 后续内审和监控支持 ：安永负责为贵公司 通过 ISO27001认证后的后续支持 工作，包括下一年的 ISO27001的内审及监审支持，以确保贵公司按照 ISO27001的要求进行执行。 5、 认证及持续改进 项目启动和差异分析 风险评估 体系设计与发布 体系运行与监控 认证及持续改进 5、 信息安全管理体系运行和认证 Page 51 第三部分：安永典型案例 安永的行业经验 部分安全咨询 项目 案例 项目内容 客户名称 信息安全体系和隐私保护咨询 世界最大的电力公司之一 信息安全管理体系 ISO27001建设与实施 中国 最大石油公司之一 信息安全管理体系建设与实施 中国最大移动电信运营商 信息安全管理体系实施 国内最大的新型能源企业 信息技术安全等级保护建设 中国第二大商业银行 ISO27001信息安全管理体系建设及认证 中国最大财险公司 ISO27001信息安全管理体系咨询 中国银行卡联合组织机构 信息安全管理体系建设与实施 中国最大航空结算中心 ISO27001信息安全管理体系建设及认证 中国领先的体彩服务商 信息安全管理体系 ISO27001建设与实施 中国最大的家电制造企业 ISO27001信息安全管理体系 咨询 全球最大保险集团广州分中心 关于安永 安永是全球 领 先的 审计 、税 务 、 财务 交易和咨 询 服 务 机构之一。 拥 有共同的信念以及 对优质 服 务坚 定不移的承 诺 把我 们 全球各地 150,000 名 员 工 联 系在一起。亦因安永能 为员 工、客 户 和社会各界 发 展 潜能，我 们 在行 业 中 别树 一 帜 。 如欲 进 一步了解安永， 请浏览 。 安永是指 Ernst & Young Global Limited 的全球成 员 机构 组 成的 组织 ，各成 员 机构都是独立的法人 实 体。 Ernst & Young Global Limited 是英国一家担保有限公司，并不向客 户 提供服 务 。 /china 2012 Ernst & Young, China 版 权 所有。 免 责