| 1.安全评估(A) |
Ø 评估企业整体安全状况
Ø 对比ISO27002标准找出企业的差距
Ø 对比同类企业的信息安全建设经验
Ø 明确企业安全工作的重点及切入点
|
Ø 明确企业安全管理体系的建设思路
Ø 明确企业安全技术体系的建设思路
Ø 风险评估(技术、管理、BIA) |
|
| 2.管理体系规划及建设(P) |
Ø 企业安全管理体系的建立
→ 体系制度的框架及重要的策略文件
→ 必要的流程和规范文件
→ 业务连续性计划
|
Ø 企业安全管理体系的运行准备
→ 安全组织的建立
→ 安全事件处理流程的建立
→ 重要的PDCA环节
→ 落实的手段和工具 |
|
| 3.技术体系规划及建设(P) |
Ø 企业安全技术体系的建设规划
→ 技术控制、技术管理措施
→ 安全审计、安全管理工具
Ø 企业安全技术架构的建立
→ 针对企业需求、管理特点的技术规划
→ 技术产品的建设规划
|
Ø 企业技术产品的选型、部署
→ 分阶段、逐步引进、部署技术产品 |
|
| 4.实施运作(O) |
Ø 安全制度的落实
→ 落实体系的建立
→ 业务连续性计划演练
→ 审计体系的建立
→ PDCA循环的完善
|
Ø 安全产品的部署、落实
→ 产品的部署、检查、审计
→ 长效落实的跟踪
Ø 安全工作的日常管理和运作
→ 安全管理流程的固化
→ 安全管理平台的搭建(ES) |
|
| 5.认证(C可选) |
Ø 认证准备
→ 认证申请
→ 认证资料准备
→ 认证关键环节强化
Ø 认证
→ 权威机构现场认证
|
Ø 维持认证
→ 安全管理体系、技术体系的日常运作
→ 认证范围的变更
→ 年度维持审核和三年重审证
Ø 依据ISO27001标准对企业整体信息安全状况进行差距分析,指出企业信息安全达到的水平和不足之处,并为企业信息安全的日后开展提供解决建议。 |
|
