某咨询安全管理体系ISO认证咨询服务介绍

安永安全管理体系ISO27001

认证咨询服务介绍第一部分：安永介绍关于安永—安永的全球规模安永是全球领先的专业服务公司，在140多个国家及地区设有约700多个办事处，拥有超过152,000名专业人才，2011年度全球总收入约230亿美元。除了提供审计服务外，安永提供的咨询服务包括税务、收购合并、改善内控制度、风险管理、信息安全以及公司治理方案等。我们为《财富》500强中超过75%、标准普尔指数成份股中65%的企业，提供审计、税务、风险管理和其他咨询服务。《财富》全球500强企业—安永服务的企业所占百分比审计客户税务、风险管理等非审计咨询服务客户指数中所有其他客户标准普尔1200指数成份股企业—安永服务的企业所占百分比审计客户税务、风险管理等非审计咨询服务客户指数中所有其他客户全球前十大风险管理咨询企业为财富500强中75%的企业、国内60%的上市公司提供专业服务与国资委、财政部、发改委、保监会、银监会、证监会等管理部门建立了良好的关系,由于安永的良好声誉，安永得以入选国资委09年度央企审计项目入围会计师事务所

北美洲：38,000

人分布于119个城市中南美洲：10,000人分布于30个城市中东及非洲：9,000人分布于77个城市澳大利亚/新西兰：9,000人分布于16个城市欧洲：41,000人分布于362个城市日本：3,000人分布于30个城市亚洲：20,000人

分布于75个城市信息安全管理咨询服务IT服务管理咨询服务IT风险评估服务IT内部审计服务IT内控合规及优化服务IT绩效评估服务安永信息科技专业服务Ernst&YoungisaleaderinInformationSecurityandRiskConsultingServices.

Source:TheForresterWave™:InformationSecurityandRiskConsultingServices,Q32010,ForresterResearch,Inc.,August2nd,2010国际著名IT咨询机构Forrester发布的全球信息科技安全与风险咨询报告关于安永—信息科技风险咨询服务安永及其信息科技风险咨询服务一直被视为信息系统审计与信息安全咨询行业的领导者，在国际著名IT咨询机构Forrester发布的全球信息科技安全与风险咨询报告中，安永连续被评为信息安全与信息风险服务行业的最佳咨询公司之一。我们已经连续十四年在全球范围内进行信息安全调查(GISS)，调查的参与者包括了52个国家中的1700个不同行业的企业，调查问卷参考了ISO27001信息安全管理体系框架，为各企业管理层做出信息安全方面的重要决策提供深入的参考信息。安永在中国大陆和香港地区的信息科技风险咨询服务部门目前正为中国大陆和香港地区的200多家企业提供科技与信息安全方面的服务，这些公司中包括了上市公司、国有企业、金融机构、政府部门、以及跨国企业等。关于安永—信息科技风险咨询服务在中国的专业IT咨询服务团队安永在大中华区有超过300人的IT风险咨询顾问，其中在北京,上海,广州,深圳,香港,台湾等地更是具有专注在IT咨询服务的团队。安永IT咨询服务团队上海香港

广州深圳北京台北武汉我们在中国地区的IT咨询服务团队介绍：在中国有超过300位专注于IT咨询领域的顾问专家。安全顾问有不同的背景专长，技能覆盖信息安全的各个方面。拥有下面专业证书资质:CISSPCISMCISABS25999LAISO27001LAISO20000LAPMPITIL安永信息科技管理咨询服务科技与信息安全咨询服务（ITRA）在中国有超过300人的专业服务团队，在华北、华中与华南三大区域为客户提供信息系统审计、信息安全、及信息技术相关咨询等方面的专业服务，主要服务类型如下：IT战略规划IT治理数据管理IT服务管理咨询服务第三方报告信息安全咨询服务IT鉴证审计ERP系统咨询IT内部控制评估IT内部审计全面的信息科技管理咨询业务(续)全生命周期的管理咨询服务ISO20000咨询服务ISO27001咨询服务安全策略标准规划等级化安全体系规划信息科技绩效考核安永的行业经验—信息科技风险咨询服务及优势安永近期安全项目：信息系统风险评估服务帮助企业发现存在的安全漏洞和威胁，并提供技术、流程层面的建议信息安全管理咨询服务信息安全管理体系实施及信息安全路线图规划业务连续性管理服务防患未然,提升企业应对灾难保持业务连续性的能力隐私和数据保护服务数据分级保护,使用DLP技术来保护敏感数据身份认证与访问管理服务帮助客户定义与统一管理授权流程与角色职能，提升防范恶意访问的能力云安全服务立足于云服务生命周期的安全需求，提供相应的安全服务信息安全快速评估服务用最短的周期和成本，为客户快速诊断信息安全症结所在热门话题客户数据与机密数据保护业务连续性管理信息安全治理身份认证与访问控制管理虚拟化技术与云计算安永提供的热门服务:世界最大电力企业之一信息安全体系和数据保护咨询国内最大的新能源企业ISO27001服务管理体系实施国内最大的保险公司信息安全ISO27001管理体系实施全球最大的白色家电制造商信息安全ISO27001管理体系与数据泄漏保护实施全球某大芯片制造商数据泄漏保护实施(R&D)国内第二大银行信息科技等级保护体系建设第二部分：信息安全管理体系建设安永永信信息息安安全全管管理理咨咨询询服服务务安永永的的信信息息安安全全管管理理咨咨询询服服务务根根据据组组织织的的不不同同需需求求为为其其量量身身定定做做适适合合自自己己的的信信息息安安全全管管理理体体系系，，帮帮助助企企业业更更好好的的加加强强自自身身信信息息安安全全管管理理水水平平，，降降低低企企业业业业务务运运作作过过程程中中的的风风险险。。并并采采用用可可信信任任的的控控制制措措施施，，提提供供行行业业解解决决方方案案，，满满足足客客户户的的不不同同需需求求。。根据ISO27001，信息安全全管理体体系包括：11个详细的的控制子子条款39个控制目目标133个控制业务连续性管理权限控制系统获取开发维护管理沟通与运营管理人力资源安全合规性资产管理信息安全组织物理环境安全信息安全事故管理信息客户记录个人记录法律记录安全策略策略程序、流程工作指导书、操作说明、模板、检查表等文档、记录安永ISO27001实施方法法论(1/2)计划（PLAN）实施(DO)检查(CHECK)改进（Act）业务现状了解信息资产识别威胁脆弱性当前控制措施风险评价风险处置制定风险接受标准制定ISMS文档架构策略程序与流程指导书、模板等文档、记录等1级2级3级4级可能性严重性持续改进机制管理层评审内部ISMS审计持续的风险评估ISMS体系度量与监控体系运行

符合性指标效能指标损失性指标改进需求预防性措施纠正性措施风险评估风险处置计划识别不合格项根源分析

记录与追踪识别潜在不合格项

制定预防措施

记录与追踪体系发布安永的项项目方法法将基于于贵公司司的业务务现状、、对信息息安全的的要求及及建立信信息安全全策略和和目标。。在贵公公司的整整体业务务风险框框架内，，依据ISO27001标准，以以风险评评估为基基础，根根据风险险处置计计划建立立和实施施信息安安全管理理体系（（ISMS）以管理理信息安安全风险险。并通通过建立立相关监监控体系系评估ISMS的有效性性，最终终将针对对监测结结果对信信息安全全管理体体系进行行持续改改进。安永ISO27001实施方法法论(2/2)项目实施采取的程序项目可能用到的工具访谈文档审阅调查问卷现场检查系统检查技术扫描信息安全风险评估工具网络脆弱性评估服务器端口扫描资产识别工具渗透测试信息安全控制审计序号标准名称1ISO27001：2005信息安全管理体系要求3ISO27002-27005信息安全管理使用规则实施指南风险评估4SP800-美国国家标准技术委员会信息安全技术和管理领域的实践参考指南5《信息系统安全等级保护基本要求》6《信息系统安全等级保护实施指南》7GB22080-2008-T信息技术安全技术信息安全管理体系要求8GB22081-2008-T信息技术安全技术信息安全管理实用规则9GB50174-2008电子信息系统机房设计规范10GBT20270-2006信息安全技术网络基础安全技术要求11GBT21028-2007信息安全技术服务器安全技术要求12GBT21052-2007信息安全技术信息系统物理安全技术要求参考的相相关标准准项目实施施采取的的程序和和可能用用到的工工具项目启动动和差异异分析项目启动动会议，，确定项项目团队队、建立立项目组组管理架架构信息安全全管理现现状的快快速评估估信息安全全管理体体系差异异分析设计信息息安全方方针设计信息息安全管管理组织织架构信息安全全管理培培训阶段项目目总结会会议项目计划划差异分析析报告信息安全全管理组组织架构构信息安全全方针阶段主要任务务主要交付付品项目实施施步骤风险评估估资产收集集及风险险评估方方法与标标准资产级别别划分标标准技术弱点点扫描报报告资产清单单、威胁胁列表、、脆弱性性列表、、风险列列表风险评估估报告制定资产产识别标标准（（包含保保密级别别划分））资产收集集及风险险评估方方法培训训信息资产产收集识别威胁胁、脆弱弱性、并并安全漏漏洞扫描描评估风险险，划分分风险等等级阶段项目目总结会会议体系设计计与发布布风险容忍忍标准及及风险处处置计划划适用性声声明ISMS制度和流流程ISMS体系、事事故响应应培训信息安全全体系技技术落地地建议书书体系运行行与监控控ISMS绩效监控控流程信息安全全推广培培训认证及持持续改进ISMS内审报告ISMS外审报告告及改进进ISMS管理评审审报告项目总结结报告12345确定风险险容忍度度和风险险偏好确定风险险处置措措施并实实施整改改计划制度整合合及信息息安全管管理体系系文档编编写信息安全全体系技技术控制制及管理理落地建建议信息安全全管理体体系发布布及培训训阶段项项目总总结会会议制定信信息安安全管管理绩绩效监监控流流程信息安安全管管理体体系试试运行行体系运运行监监控业务连连续性性管理理培训训阶段项项目总总结会会议ISMS内审培培训ISMS内审ISMS外审ISMS管理评评审纠正、、预防防措施施持续续改进进建议议项目总总结会议协助后后续的的内审审和临临审PlanDoCheckAct目标对信息息安全全的要要求、信息安安全组组织架构、ISMS文件体系、信息息安全全流程程、信信息安安全技技术架架构和和技术术设施施管理理情况况、以以及员员工的的信息息安全全意识识进行综综合调研分分析。通过管管理和和技术术手段段并用用的方方式全全面了了解贵贵公司司的信息安安全现现状，，为后后续的工作作打好基础实现方法资料收收集及及分析析问卷调调查现场访访谈实地走走查技术调调研等等方式式安永信信息安全管管理最最佳实实践信息安安全标标准及及监管管要求求贵公司司信息息安全全需求求信息安安全现现状调调研总总结报报告制定调调研方方案现场访访谈问卷调调查技术调调研资料收收集文件审审核1、现状状调研研项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进1、现状状调研研项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进项目启启动和差异异分析析确定项项目范范围、、建立立项目目组管管理架架构，，并完完成现现状分分析对项目目范围围内现现有管管理体系、流程程，包包含内内部控控制制制度等等进行行分析析业务与与信息息管理理架构构分析析与设设计项目范范围內信息平平台、、应用用系统统分析析项目范范围內相关部部门与与重要要信息息资产产的互动与与权限限分析析信息安安全管管理体体系与与国际际标准准ISO27001对标信息安安全方方针设设计阶段一主要任任务现有制制度与与流程程组织架构与职责信息技技术与与平台台各职能能部门门信息安安全现现状诊诊断主主要范范围收集项项目相相关的的文档档，通通过对对收集集的资资料进进行分分析，，快速速了解贵贵公司司信息息安全基本情况为为后续续工作作打好好基础础。1.1、资料料收集集范例对贵公公司现现存的的信息息安全全管理理制度度、管管理流流程、、记录录文档档等文文件进进行审审核，，深入入了解解管理理体系系是否否健全全，以以及技技术和和数据据保护护体系系是否否落实实到位位。信息安全管理制度信息安全职责矩阵及工作职责文档信息安全测量体系文档信息安全考核文档数据备份和恢复策略信息安全培训文档1.2、文件件审核核范例访谈目目的和和范围围根据项项目范范围，，访谈谈贵公公司管管理层层以及及重要要部门门业务务骨干干人员员。访谈主主要是是了解解相关关人员员对当当前公公司信信息安安全工工作的的看法法、关关注的的风险险及对对未来来的期期望，，了解解员工工的信信息安安全意意识情情况。。访谈安排制定访访谈计计划访谈纲纲要根据不不同对对象设设计访访谈纲纲要，，一般般包括括管理理层代代表、、重要要部门门业务务骨干干等访访谈纲纲要。。1.3、人员访谈谈范例问卷调研的的对象：信信息安全及及主要业务务系统和IT基础设施的的管理、维维护人员。。根据不同的的对象设计计不同的调调研问卷，，充分了解解相关领域域的信息安安全管理现现状，具体体事例如下下：1.4、问卷调查范例通过安永的的技术工具具及人工检检查等手段段对不同类类型的系统统进行调研研。1.5、技术调研范例现状调研阶阶段工作成成果信息安全现状调研报告安全管理现现状安全技术现现状2、风险评估项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进阶段二主要任务信息安全风风险评估制定信息资资产识别标标准（包含含保密级别别划分）资产识别及及风险评估方方法培训信息资产收收集识別关键信息资资产，并评评估价值评估公司层层面信息安安全控制措措施安全漏洞扫扫描针对关键信信息资产进进行威胁、、弱点及影影响程度评评估，计算算出风险值值风险分析风险评估成成果示例识別关键信息资产公司层面控制信息安全管理成熟度风险评估目标从业务的角角度分析贵贵公司对信信息安全管管理和技术术的自身要要求识别与国内、国国际最佳信信息安全实实践之间的的差距并改进。识别各级监监管部门发发布的有关关信息安全全监管要求求的差距并并改进发现主要信信息安全管管理和技术术风险并改进。实现方法通过“资产风险险评估”、、“流程风风险评估””、“信息安全全技术架构构评估”、“数据安安全”的结果，汇汇总分析形形成最终的的风险评估估报告。通过分析风风险评估的的结果、监监管要求以以及国际的的信息安全全最佳实践践标准，描描述贵公司司对信息安安全管理和和技术的要要求，建立立安全管理理与技术体体系模型并并对比贵公公司目前的的安全现状状，找出薄薄弱点并提提出整改方方案。2、信息安全风风险评估项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进风险评估标标准2.1、信息资产风风险评估(1/2)业务流程业务活动信息资产信息载体业务目标终端设备应用系统存储网络机密性完整性可用性信息资产分分类基于信息资资产的重要要等级分类类，深入分分析贵公司司的业务目目标和流程程透彻彻分分析析和和识识别别出出在在业业务务活活动动和和所所有有不不同同信信息息系系统统架架构构层层中中的的信信息息资资产产根据据安安全全的的三三个个特特性性纬纬度度（（机机密密性性，，完完整整性性，，可可用用性性））来来判判断断信信息息资资产产的的价价值值识别别信信息息资资产产定义义信信息息资资产产的的自自然然属属性性决定定信信息息资资产产的的属属性性分类类的的信信息息资资产产2.1、信息息资资产产风风险险评评估估(2/2)范例在对IT流程程评评估估需需要要对对现现有有流流程程设设计计文文档档分分析析，对对流流程程的的角色色、、职职责责、、活动动、、输入入输输出出、、KPI等分分析析，，识识别别关关键键控控制制点点。。IT流程程风风险险评估估为为后后续续的的流流程程优优化化打打下下了了基基础础。。2.2、IT流程程评评估估范例2.3、信信息息安安全全技技术术架架构构风风险险评评估估物理终端主机应用网络身份认证访问控制内容安全审核跟踪响应恢复工具具扫扫描描文档档审审阅阅配置置检检查查渗透透测测试试安全全技技术术风风险险评评估估评估估技技术术评评估估工工具具对对贵贵公公司司的的物物理理、、网网络络、、主主机机、、应应用用、、终终端端等等方方面面的的信信息息安安全全风风险险进进行行评评估估。。风险险评评估估阶阶段段工工作作成成果果信息息安安全全风风险险评估估报报告告3、体系系建建立立与发发布布建立立适适合合贵公公司司的信息息安安全全管理理体系系阶段段三主要要任任务务体系系设计计与与发发布布确定定风风险险接接受受标标准准制定定风风险险处处置置计计划划管理理层层汇汇报报定制制风风险险处处置置实实施施整整改改计计划划依据据信信息息与与业业务务重重要要性性，，制制定定各各级级信信息息安安全全管管理理制制度度和和流流程程信息息安安全全体体系系技技术术控制制落地地及管管理理落落地地建议议依据据不不同同对对象象与与时时机机，，按按需需制制定定支支持持上上述述流流程程的的工工作作指指导导书书信息息安安全全管管理理体体系系发发布布及培训ISMS策略ISMS制度和流程工作指导书、操作手册、模板、检查表等表单、记录1级2级3级4级信息安全管理理体系文件第一级信息安全方针信息安全管理评审程序信息安全内审管理程序纠正和预防措施管理程序文档记录管控程序有效性测量程序信息资产分类标准风险评估实施指南信息保密管理办法人员安全管理程序培训管理规定第三方安全管理规定机房安全管理规定办公区域安全管理规定系统试运行审查规定系统安全管理规范网络运维管理规范IT终端设备使用管理规范变更管理规定帐户安全管理规范防病毒管理策略第二级第三级脆弱性检查列表威胁检查表内部审计检查项第四级审计报告日志检查表文件加密指南移动办公守则信息安全管理手册其它表單风险处置方法法风险处置计划划序号整改类型负责部门风险描述优先等级整改措施完成时间责任人管理是否已确定1物理安全运维部机房湿度过低，容易造成电火花以及静电，给IDC业务带来风险高调整机房湿度至合适范围，并设置远程监控与报警机制。2009年9月7日张三是2法律法规合规运维部单位或个人通过托管的服务器，利用IDC中心从事危害国家安全、泄露国家机密等违法犯罪活动高1.与责任单位签订信息安全责任保障书，明确责任与义务2.IDC建立相应的管理、监督和检查机制,实现实时的监控2009年10月17日张三审批中项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进3.1、信息安全管理理框架设计安永将根据贵公司实际情情况和信息安全统统一要求，建建立适合于贵公司的信息安全管管理框架，用用于指导信息息安全工作的的实施。管理技术组织业务驱动风险战略合规、监控和报告风险识别与描述流程与运作程序工具与技术治理、制度与标准人员和组织管理数据安全框架3.2、体系与安全制度的的对标整合从管理措施和管管理方法两方方面，进行ISMS制度与现存运运行的安全制制度的对标。确保符合集集团信息安全全要求，并将将现存的安全风险控控制和管理方方法融入ISMS制度中，从而而达到制度整整合的目标，，使信息安全全管理成为一一个整体，成为一一套管理程序序。《贵公司XXX工作管理指引》《贵公司

信息安全管理体系》对应要求《贵公司

现有制度体系，包括集团信息安全要求》控制程序作业指导书、表格、文档模版以及报告等总体规定软件需求管理办法信息系统项目管理办法外包项目管理办法安全管理制度框架及管理规定……软件需求管理控制程序项目管理控制程序应用系统安全管理规定计算机机房管理控制程序运行维护文档管理控制程序……应用软件程序维护作业指导书安全服务管理业务指导书网络配置变更作业指导书应用软件程序维护作业流程图网管系统维护记录周报……《信息安全技术信息系统安全等级保护》对应要求对应要求…3.3、信息安全组组织体系建设设安永将根据贵贵公司实际情况设计计信息安全组组织架构及各各部门职责。。范例3.4、信息安全制制度体系建设设安永将根据ISO27001标准要求，并并结合贵公司司自身需求，，按照分类分分级的原则，，设计完整的的信息安全管管理制度及文文档体系。范例3.5、信息安全技技术体系建设设满足国家标准准、监管、行行业最佳实践践的安全技术术要求，从业业务出发，识识别和满足用用户对信息安安全技术需求求，掌握信息息系统安全保保护重点领域域，建立信息息系统安全技技术基准，实实现可组合安安全技术保护护。范例3.6、信息安全监监督体系建设设通过定期实施施内审与管理理评审发现贵公司体体系运行中存存在的不足并并进行整改，从而达到内内部不断改进进的目的，以以保持信息安安全保障体系系的有效性、、适宜性、充充分性。范例3.7、信息安全技技术和管理落落地（1/2）建设紧迫性分析合规方面的强制要求;法律诉讼、人身安全等可能性业务中断、IT全局崩溃等可能性分布与影响的范围、危害严重性破坏后恢复时间与投入、发生频率信息安全战略规划分析模型建设可行性分析外部策略允许程度内部管理条件是否具备所需的技术是否成熟内部支持条件是否具备外部支持条件是否具备建设效果性分析见效速度对于数据安全的直接效果对于业务的直接促进安全体系的提升与促进建设难易度分析资金、时间、人力等投入大小技术难度、人员能力的要求对业务和运行的触动大小对企业和组织的触动大小根据贵公司信息安全战略规划划及目前的信息安全风险险现状，设计信息安安全建设任务务的优先级路路线路。3.7、信息安全技技术和管理落落地（2/2）优先级排序结结果任务顺序/关联关关系根据规划分分析和贵公公司目目前的信息息安全全项目目实施施的实实际情情况，，设计计出未未来三三年的的安全全建设设蓝图图。4、体系系运行行与监监控项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进阶段四主要任任务体系运运行与与监控控制定绩绩效监监控流流程体系运运行监监控信息安安全推推广培训信息安安全宣宣传内部审审计培培训信息安安全管管理体体系内内部审审计信息安安全管管理体体系管管理评评审会会议纠正措施、预防防措施施、持续改改进建建议项目总总结会会体系运行行与监监控审计报报告内部审审计文件适用性性按规范范执行内审计计划信息安安全体系系改进进方案案实施成果审计执执行行记记录录信息安全管管理体体系信息安全管理体系内部审计报告4.1、安全全职责责细化化（1/2）信息安全职职责是是否清清晰并并可落落实是是关系系到信信息安安全工工作能能否到到位的的关键键，因因此制制定信信息安安全职职责矩矩阵，，细化化每个个岗位位的信信息安安全职职责，，确保保其可可操作作对于于ISMS体系的的落实实发挥挥重要要作用用。范例4.1、安全全职责责细化化（2/2）落地示例信息安安全责责任落实到到“人人”信息安安全指指南落实到到“步步骤””信息安安全度度量落实到到“指指标””范例4.2、安全全测量量指标标为了有效的的监控控ISMS体系运运行的的效果果，及及时发发现ISMS存在的的不足并并改进进，应应建立ISMS运行有有效性性测量量体系系，测量量体系应应至少少包括括测量量指标标、测测量数数据来来源、、测量量周期期、测测量防防范、、测量量责任任人、、测量量结果果等要要素。。范例4.3、安全考核体体系建立有效的的信息息安全全管理理KPI制定合理的的信息息安全全管理理KPI，评价价信息息安全全管理理执行行情况况和反反馈改改进建建议。。角色类型指标范围指标定义成熟度业务连续性管理软件开发安全管理变更配置安全管理符合性管理IT终端安全管理移动介质安全管理系统补丁安全管理防病毒安全管理物理环境安全管理数据备份安全管理帐号权限安全管理安全监控管理安全事故管理第三方安全管理实施类用于度量安全策略的实施情况，主要考核事前安全工作。效能类用于度量安全服务的工作效力和效率，主要考核事中安全工作。影响类用于度量安全事件对业务的影响，主要考核事后安全工作。1级已定义安全策略2级已定义安全流程和控制方法3级已实施安全流程和控制方法4级已验证安全流程和控制方法5级已集成并持续改进安全流程和控制方法决策层为信息安全考核计划提供高层支持和监督。管理层为信息安全考核计划提供支持，协调有关工作。执行层为安全指标的制定和数据采集提供支持。监督层负责信息安全日常工作，收集数据和计算安全指标。4.4、安全意意识推广（（1/2）通过多种手手段提提升员员工信信息安安全意意识，，比如安全手册、、安全海报、、安全屏保、电子子壁纸纸、FLASH动画、、鼠标标垫、、便利利贴等。范例4.4、安全意意识推广（（2/2）定期的信息息安全宣导导及培训签署劳动合同(含安全职责)入职的安全意识培训网络自助式的安全知识考试学习安全规章制度员工转正申请员工转正申请奖惩机制人力资源安安全培训违规行为的报告安全信用等级系统技术分析举报信息收集确认违规等级安全系统部用人部门安全系统部用人部门严重一般处理正式发布人力部门发布4.5、人员安全全培训安永将根据据不同的培训训对象，安安永设计了了信息安全全意识培训训，IT风险管理培培训，ISO27001培训等。其其中信息安安全意识培培训适用于于全体员工工，IT风险管理培培训适用于于IT内控及风险险管理人员员，ISO27001适用于信息息安全体系系管理人员员。范例目标推动ISMS体系在贵公公司运行，，并获得审审核机构颁颁发的27001认证。实现方法ISMS体系文件编编制完成后后，应按照照文件的控控制要求进进行审核与与批准并发发布实施，，体系运行行初期处于于体系的磨磨合期，一一般称为试试运行期，，在此期间间运行的目目的是要在在实践中检检验体系的的充分性、、适用性和和有效性。。试运行3个月后，并并完成内审审和管理评评审后，在在收集到一一些ISMS运行记录后后，可以根根据贵公司司需求选择择认证机构构并协助贵贵公司通过过认证。5、认证及持续续改进信息安全管管理体系认认证ISMS体系试运行行ISMS内审ISMS管理评审认证前培训训外审初审支支持外审终审支支持项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进5、认证及持续续改进项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进阶段五主要任务认证及持续续改进内审管理评审外审持续改进内审计划和和安排内审检查表表和报告信息安全管管理体系管管理评审会会议纠正措施、预防措施施、持续改进建建议外审报告和和改进监审及内审审支持认证及持续续改进信息安全管理体系内部审计报告信息安全管管理体系认认证ISMS体系试运行行ISMS内审ISMS管理评审认证前培训训外审支持监审及后续续内审支持ISMS内审、管理理评审：通过定期实实施内审与与管理评审审来查找已已建立的信信息安全管理体系与信息息安全标准准及法律法法规之间的的差距，从从而达到内内部不断改改进的目的的，以保持持信息安全全保障体系系的有效性性、适宜性性、充分性性。认证前培训训：为了确保保通过外审审，顾问将将对ISMS范围内的各各部门安全全管理员进进行培训，，介绍外审审过程和关关注要点。。外审支持：安永的顾顾问将全程程协助贵公公司外审的的整个过程程，包括初初审、终审审等，直到到获得ISO27001认证。后续内审和和监控支持持：安永负责责为贵公司司通过ISO27001认证后的后后续支持工工作，包括括下一年的的ISO27001的内审及监监审支持，，以确保贵贵公司按照照ISO27001的要求进行行执行。5、认证及持续续改进项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进5、信息安全管管理体系运运行和认证证第三部分：安永典型案例安永的行业业经验—部分安全咨咨询项目案例项目内容客户名称信息安全体系和隐私保护咨询世界最大的电力公司之一信息安全管理体系ISO27001建设与实施中国最大石油公司之一信息安全管理体系建设与实施中国最大移动电信运营商信息安全管理体系实施国内最大的新型能源企业信息技术安全等级保护建设中国第二大商业银行ISO27001信息安全管理体系建设及认证中国最大财险公司ISO27001信息安全管理体系咨询中国银行卡联合组织机构信息安全管理体系建设与实施中国最大航空结算中心ISO27001信息安全管理体系建设及认证中国领先的体彩服务商信息安全管理体系ISO27001建设与实施中国最大的家电制造企业ISO27001信息安全管理体系咨询全球最大保险集团广州分中心Ernst&Young安永Assurance审计|Tax税务|Transactions财务交易|Advisory咨询9、静夜夜四无无邻，，荒居居旧业业贫。。。1月-231月-23Friday,January6,202310、雨中黄黄叶树，，灯下白白头人。。。01:33:1701:33:1701:331/6/20231:33:17AM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。1月月-2301:33:1701:33Jan-2306-Jan-2312、故人人江海海别，，几度度隔山山川。。。01:33:1701:33:1701:33Friday,January6,202313、乍见翻疑梦梦，相悲各问问年。。1月-231月-2301:33:1701:33:17January6,202314、他他乡乡生生白白发发，，旧旧国国见见青青山山。。。。06一一月月20231:33:17上上午01:33:171月-2315、比不了得就就不比，得不不到的就不要要。。。一月231:33上上午1月-2301:33January6,202316、行动出成成果，工作作出财富