信息安全咨询项目

信息安全咨询项目精品资料文档说明本文档所涉及到的文字、图表等，仅限于公司及被呈送方内部使用，未经被呈送方及公司书面许可，不得扩散到第三方。目录1概述 .51.1项目背景.51.2项目目标.51.3项目实施思路.71.4参考标准.72项目实施方案.83一阶段项目工作说明.93.1充分定义.93.2量化控制.123.3运行检验.134二阶段项目工作说明.144.1充分定义.154.2量化控制.164.3运行检验.185三阶段项目工作说明.185.1充分定义.195.2量化控制.205.3运行检验.211 概述1.1 项目背景医疗科技有限公司 （以下简称） 是专业从事高端医疗设备及相关技术研发、生产、销售的高新技术企业。总部位于上海嘉定，包含运营总部、研发中心及生产基地，一二期计划占地 400 余亩，届时将成为中国医疗行业最大规模的高技术产业化示范基地。同时在上海浦东新区张江高科园以及深圳育成中心分别建立了两大基地，进行以市场为导向的产品研发。 是目前国内唯一一家产品线覆盖全线高端医疗影像设备的大型医疗设备公司。在产品研发和技术创新方面,是首批获得“上海市十大产学研合作创新示范基地” 称号的企业之一，拥有行业领先的核心技术，获得专利技术 240 余项， 申请发明专利占 70% 以上，以及在未来 3-5 年内将形成一个跨各大产品线，拥有1000 项专利规模的大型医疗设备高科技企业。随着的快速发展， 业务经营和管理对信息系统和核心数据依赖程度越来越广泛和深入，对 it 系统及信息的保密性、完整性和可用性的保护的要求也越来越高。为了加强信息安全建设，提升信息安全保障水平，落实信息安全体系规划，提高员工的安全意识，启动了信息安全管理体系建设项目。1.2 项目目标为了提升整体信息安全管理水平和抗风险能力，保障业务持续安全运行，需要根据国际先进信息安全管理机制，同时结合实际情况和需求来进行信息安全体系的建 设。项目按照 iso/iec27001标准体系，综合信息安全现状，从体系化角度，在已有信息安全技术评估的基础上进行信息安全管理调研，展开综合风险评估（包含技术性分析与管理性分析），针对当前保障机制下存在的问题和安全薄弱环节，以体系化的思路提交整改策略、整改报告及形成建设研究实践成果。项目建设按照 iso27001信息安全体系标准 和国家信息系统等级保护规定要求，做好与的结合点研究与建设，其研究与建设应覆盖组织、管理、技术三个领域进行。通过 iso27001 体系的研究，实践并规范信息安全风险评估方法、技术监测监管、应急响应机制，完成基于iso27001国际标准的信息安全体系建设。本项目的具体建设目标是：(1) 安全体系调研及分析：完成信息安全体系调研及综合分析。(2) 信息安全体系建设：根据iso27001安全管理体系规范对当前的信息安全管理制度、规范、应急体系等内容的完整性、规范性和可操作性进行管理对标，查找差 距和存在问题并完成相应的改进。并制订信息系统和安全设施的防护配置的基线标准，同时完成一体化的安全运行监管方法。(3) 协助建立信息安全管理、治理基础能力。经过项目的推进和落实，信息安全的管理和科学决策水平将显著提高。信息安全将成为加强内部控制和优化内部管理，降低运营风险，建立高效、统一、运转协调的安全管理体制的重要因素。通过pdca 过程方法和相应的组织保障体系，使安全管理从“无序、零散、被动”的风险补救行为 转变为“系统、科学、连贯、主动”的风险驾驭状态，防止走回头路。1.3 项目实施思路本项目旨在协助建立和完善基于iso27000 的信息安全管理体系，通过现状调研、差距分析、组织设计、制度编写、技术定义、推行辅导等方式。在建立信息安 全组织，明确组织职能，建立有效的流程制度，并将相应的技术技能进行匹配，同 时协助进行同步的宣贯推行。在建立了信息安全管理体系后，为了使得信息安全管 理体系更好的运行，同时还协助建立信息安全的治理能力，对公司信息安全现状进 行评估、知道和监督；同时建立信息安全的管理能力，对信息安全进行规划、建设、运维和评估，并通过专家宣讲、实践经验交流、案例介绍、项目辅导、技术技能培训、推荐外部培训等方式加强的信息安全治理和管理能力。1.4 参考标准在本项目执行过程中，将参考如下标准：信息安全等级保护管理办法、计算机信息系统安全等级保护划分准则信息安全风险管理指南信息安全风险评估指南、iso 13335 iso 27000 iso 15408/cc 行业及最佳实践2 项目实施方案本项目将对安全现状进行科学的评估和分析，以了解的信息安全现状，得出符合的安全需求。根据公司安全现状和业务安全需求，从安全技术、安全管理等方面来设计未来三年信息安全建设的发展规划。根据安全规划的结果，进行信息安全管理体系的具体设计。本项目中开展的工作将包括以下内容： 信息安全现状评估和需求分析企业信息安全体系架构设计信息安全管理体系建设及辅导落地在本项目实施过程中， 本项目总共分为三阶段。在项目一阶段，主要完成信息安全现状调研，并进行风险评估，建立信息安全管理体系框架，并针对部分控制域进 行三级文件的编写；在项目二阶段阶段，对一阶段编写完成的文件体系进行培训， 并贯彻到实际应用中去，并同时针对第二部分控制域进行编写；在项目三阶段阶段，对现有体系进行试运行，并针对剩余的控制域进行体系文件编写，协助客户对已经制定好的体系进行评估、指导和监督。具体的控制域编写顺序如下：3 一阶段项目工作说明结合体系规划及落地的整体思路,在项目一阶段重点开展包括充分定义阶段(理解业务对安全的需求，确定总体策略和组织，信息资产识别和分类，差距评估，明确解决方案框架 ),量化控制阶段 (管理制度 /流程建设，人员技术技能培养，软硬件平台获取),运行检验阶段 (发布执行，运行辅导，优化调整),等几大环节。本阶段预计工期 3个月，需要投入资深顾问1名、高级顾问 4名。通过结合的安全现状及 iso27001 相关控制域，在安全咨询服务一阶段中重点完成以下几个阶段的内容：3.1 充分定义工作名称充分定义简要描述此活动旨在理解日常业务对信息安全的需求，是信息安全管理体系建设的关键活动之一。通过对企业日常业务的充分理解， 设计出企业信息安全管理的总体策略，并明确信息安全组织结构，以及信息安全组织在企业内的汇报关系。为了更好的进行差距分析，资产的识别和分类是必要的输入条件。根 据风险 评估和处理的结果 ， 根 据总体安全方针， 参考iso27001对文档体系的要求，编写诸多信息安全策略文档， 最终形成文档化的isms 体系。制定文件编写工作计划； 理解业务对信息安全的需求审查现有文档（对客户现有信息安全管理制度进行充分的了解）；此项任务在充分定义阶段即开始实施。其目的在于审查评估客户现有的信息安全相关文档，包括规章制度、行业规范、程序文件、操作手册、工作流程等；并对现有文档体系的运行状况做初步适用性分析，结合业务的运行情况进行文档审阅。工作内容与相关人员进行访谈（通过与相关工作人员沟通了解业务运行中涉及的安全问题）。此项任务在充分定义阶段开始实施，其目的在于充分了解日常运营过程中涉及到的安全问题，并对信息安全的现状做初步的访谈分析确定总体的策略与方针根据业务对信息安全的需求，确定信息安全管理体系（ isms ）的范围、目标，并制定适用于业务需要的安全策略和方针。资产识别与分类识别对组织有价值的事务，并按照资产的价值进行分类， 确保在信息安全管理体系建设中对不同价值的资产实施不同的安全保护措施。差距评估根据 iso27001标准及业界最佳实践，对安全管理现状进行差距评估。文档初步编写；由供应商顾问做指导，由客户特定人员和供应商顾问共同负责编写。最终得到系列化的策略文档，文档编写可能分阶段进行。根据现状调查及差距分析结果，建立安全管理体系框架iso 27001标准访谈提纲输入内容现状调查问卷 信息资产调查表风险评估模板项目实施计划文档审阅记录分析现状调研分析报告信息资产调查表工作成果差距分析报告isms-soa安全策略蓝图信息安全方针政策信息安全组织管理办法3.2量化控制工作名称量化控制简要描述此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：a7资产管理a10.1操作程序及职责a10.4防范恶意代码和移动代码a10.6 网络安全管理工作内容a10.7介质管理a10.10监督a11访问控制a13信息安全事件管理a15符合性在编写文档的过程中，对企业信息安全管理人员进行技能的培养和储备，具体包括进行针对性的培训，宣贯与演练iso 27001标准输入内容差距分析报告isms-soa安全策略蓝图3.2量化控制工作名称量化控制精品资料简要描述此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：a7资产管理a10.1操作程序及职责a10.4防范恶意代码和移动代码a10.6 网络安全管理工作内容a10.7介质管理a10.10监督a11访问控制a13信息安全事件管理a15符合性在编写文档的过程中，对企业信息安全管理人员进行技能的培养和储备，具体包括进行针对性的培训，宣贯与演练iso 27001标准输入内容差距分析报告isms-soa安全策略蓝图工作名称量化控制简要描述此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：a7资产管理a10.1操作程序及职责a10.4防范恶意代码和移动代码a10.6 网络安全管理工作内容a10.7介质管理a10.10监督a11访问控制a13信息安全事件管理a15符合性在编写文档的过程中，对企业信息安全管理人员进行技能的培养和储备，具体包括进行针对性的培训，宣贯与演练iso 27001标准输入内容差距分析报告isms-soa安全策略蓝图工作名称量化控制简要描述此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：a7资产管理a10.1操作程序及职责a10.4防范恶意代码和移动代码a10.6 网络安全管理工作内容a10.7介质管理a10.10监督a11访问控制a13信息安全事件管理a15符合性在编写文档的过程中，对企业信息安全管理人员进行技能的培养和储备，具体包括进行针对性的培训，宣贯与演练iso 27001标准输入内容差距分析报告isms-soa安全策略蓝图工作名称量化控制简要描述此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：a7资产管理a10.1操作程序及职责a10.4防范恶意代码和移动代码a10.6 网络安全管理工作内容a10.7介质管理a10.10监督a11访问控制a13信息安全事件管理a15符合性在编写文档的过程中，对企业信息安全管理人员进行技能的培养和储备，具体包括进行针对性的培训，宣贯与演练iso 27001标准输入内容差距分析报告isms-soa安全策略蓝图工作名称量化控制简要描述此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：a7资产管理a10.1操作程序及职责a10.4防范恶意代码和移动代码a10.6 网络安全管理工作内容a10.7介质管理a10.10监督a11访问控制a13信息安全事件管理a15符合性在编写文档的过程中，对企业信息安全管理人员进行技能的培养和储备，具体包括进行针对性的培训，宣贯与演练iso 27001标准输入内容差距分析报告isms-soa安全策略蓝图工作名称量化控制简要描述此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：a7资产管理a10.1操作程序及职责a10.4防范恶意代码和移动代码a10.6 网络安全管理工作内容a10.7介质管理a10.10监督a11访问控制a13信息安全事件管理a15符合性在编写文档的过程中，对企业信息安全管理人员进行技能的培养和储备，具体包括进行针对性的培训，宣贯与演练iso 27001标准输入内容差距分析报告isms-soa安全策略蓝图工作名称量化控制简要描述此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：a7资产管理a10.1操作程序及职责a10.4防范恶意代码和移动代码a10.6 网络安全管理工作内容a10.7介质管理a10.10监督a11访问控制a13信息安全事件管理a15符合性在编写文档的过程中，对企业信息安全管理人员进行技能的培养和储备，具体包括进行针对性的培训，宣贯与演练iso 27001标准输入内容差距分析报告isms-soa安全策略蓝图工作名称量化控制简要描述此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：a7资产管理a10.1操作程序及职责a10.4防范恶意代码和移动代码a10.6 网络安全管理工作内容a10.7介质管理a10.10监督a11访问控制a13信息安全事件管理a15符合性在编写文档的过程中，对企业信息安全管理人员进行技能的培养和储备，具体包括进行针对性的培训，宣贯与演练iso 27001标准输入内容差距分析报告isms-soa安全策略蓝图工作名称量化控制简要描述此活动旨根据本期项目定义的控制域范围，编写具体的管理制度和流程在文档编写过程中，对企业相关信息安全管理人员进行安全技术技能的培养根据本期项目所涉及的控制领域编写适用于企业现状的流程管理文档，其中主要包括：a7资产管理a10.1操作程序及职责a10.4防范恶意代码和移动代码a10.6 网络安全管理工作内容a10.7介质管理a10.10监督a11访