思乐信息安全管理体系咨询方案

1、思乐信息安全管理体系咨询方案（ 2004-1-2 下午04:42:00 ）来源： 作者：引言随着信息技术的不断发展和广泛应用，信息已成为政府机构及商业组织保持竞争力和业务持续运营的重要资产。而信息正面临着来各方面越来越多的威胁，如何保障信息安全已经成为亟待解决的关键问题。目前，在解决信息安全问题的过程中普遍存在一些问题，如信息安全的需求难以确定，信息安全要保护的对象和边界难以确定；缺乏系统、全面的信息安全风险评估和评价体系；普遍存在重产品、轻服务，重技术、轻管理的思想；缺乏整体、全面的信息安全保障体系等等。要实现最大限度的信息安全，保障组织的正常运营和业务的连续性，就必须将解决信息安全问题的思

2、路由“产品 / 技术导向”转变为“需求导向”，全面分析信息资产所面临的风险，从风险管理的角度出发，以管理求安全，并通过技术手段来保证管理目标的实现。1 信息安全管理体系建设的参考标准参考国际标准ISO 17799:2000 信息安全管理体系国际标准ISO 15408:1999(GB/T 18336:2001)信息技术安全性评估准则ISO 13335:1996 IT 安全管理指南ISO7498-2 安全体系结构参考国内标准国家标准计算机安全保护条例；国家标准计算站场地技术要求（GB2887-89）；国家标准计算机机房用活动地板技术条件（GB6650-86）；国家标准电子设备雷击保护导则（GB74

3、50-87）；国家标准信息技术设备的无线电干扰极限值和测量方法（GB9254-88）；国家标准计算站场地安全要求（GB9361-88）；相关法律、法规中华人民共和国保守国家秘密法中华人民共和国保守国家秘密法实施办法中华人民共和国计算机信息系统安全保护条例中华人民共和国信息网络国际互联网管理暂行规定计算机信息网络国际互联网安全保护管理办法新闻出版保密规定2 信息安全管理体系咨询服务内容思乐提供信息安全管理体系建设整体咨询服务或各模块的咨询服务，包括确定 ISMS 范围和制订信息安全方针风险评估和风险管理的方案设计及辅助实施信息安全管理体系设计体系文件编写辅导体系试运行辅导3 咨询方法建立与客户联

4、合工作的咨询项目组客户方面将成立信息安全工作领导小组和信息安全管理体系建设工作组，信息安全领导小组对信息安全管理体系的建设提供总的指导和支持，信息安全管理体系建设工作组负责与思乐顾问组共同实施项目。信息安全管理体系建设项目的具体工作将由思乐信息安全顾问师组成的信息安全顾问组和客户方体系建设工作组来共同执行。思乐顾问组负责提供实施方案建议及实施指导，客户方体系建设工作组负责具体的实施工作。以咨询项目组方式进行咨询思乐公司以项目小组的方式进行咨询，针对特定行业进行最佳的人员组合。每个项目小组将由一名思乐高级咨询顾问担任项目经理，负责领导项目小组工作、进行项目管理，并对最终项目成果的负责。4 咨询服

5、务流程思乐咨询服务流程4.1 预咨询阶段阶段工作目标通过双方的初步接触与交流，明确咨询双方是否有合作意向协商并确定咨询的内容和范围起草咨询项目建议书签订咨询项目合同工作内容初步接洽研究回复预备调研起草项目建议书签订合同工作成果项目建议书项目合同4.2 项目培训及计划阶段工作目标培训相关人员组建项目团队制定项目计划工作内容项目动员大会信息安全意识与管理体系基础培训风险评估与风险管理培训组建项目团队制订项目工作计划工作成果员工安全意识及安全知识提高项目工作计划项目组织结构及人员岗位、职责分工4.3 ISMS 范围和方针制定阶段工作目标确定信息安全管理体系的范围确定信息安全方针工作内容信息收集调研信

6、息分析制订 ISMS 范围制定信息安全方针工作成果ISMS 范围文件信息安全方针文件4.4 风险评估及管理阶段工作目标识别组织所面临的信息安全风险确定需处理的风险及安全保证程度工作内容制定风险评估和风险管理方案制定风险管理流程风险评估和风险管理的实施编制风险评估报告工作成果风险评估和风险管理方案风险评估报告4.5 体系设计及文件编制阶段工作目标设计安全管理体系的框架编制 ISMS 体系文件工作内容安全管理体系的框架设计编制 ISMS 体系文件辅导工作成果安全管理体系的文件目录及内容框架ISMS 体系文件辅导4.6 体系试运行阶段工作目标发布和试运行ISMS改进 ISMS工作内容试运行前辅导符合性评审工作成果改进 ISMS4.7 咨询结束阶段阶段工作目标结束咨询项目合同工作内容项目验收付款及结束合同结论越来越多的组织已经认识到信息是组织的关键资产，信息资产应该得到有效的保护。而仅通过技术的方法所能达到的安全是非常有限的，如果没有一个系统的方法对信息资产的风险进行管理和控制，就不能实现有效的安全。ISO 17799 作为一个被世界范围广泛接受的国际标准