| 1.互动培训 |
Ø 对企业管理层、业务部门进行安全基础培训
Ø 内容包括:
→ 案例分析
→ 基本概念
→ 标准简介
→ 最佳实践
|
Ø 通过实际案例逐步推进
Ø 充分互动身临其境 |
|
| 2.调查问卷 |
Ø 在整个企业范围内进行采样,科学地发放问卷
Ø 问卷涵盖ISO27002的所有11个领域
Ø 回答问卷的形式:
→ 现场引导方式
→ 独立回答方式
|
Ø 问卷回收及分析评分
Ø 利用分析工具客观反映企业安全现状 |
|
| 3.人员访谈 |
Ø 访谈所有典型的业务部门
Ø 访谈企业管理层、特殊岗位,包括:
→ 企业高、中级管理层
→ 人事、法务、财务等重要业务部门
→ 安全管理、IT管理等重要部门与岗位
|
Ø 访谈的主要内容包括:
→ 企业主要业务及流程
→ 企业管理现状及企业文化
→ 企业安全管理及技术现状
→ 企业IT运作现状 |
|
| 4.现场察看 |
Ø 操作察看:
→ 重要环节操作演示
→ 重要控制实地了解
|
Ø 物理环境察看:
→ 门禁、监控、消防
→ 办公室
→ 机房
→ 其他重要区域 |
|
| 5.资料分析 |
Ø 分析企业的主要业务信息
Ø 分析企业的组织架构
Ø 分析企业的网络结构
|
Ø 分析企业的标准体系,如:
→ ISO 9000
→ ISO 14000
Ø 分析企业已有的安全相关制度 |
|
| 6.标准对比 |
Ø 对比企业在11领域中的各个控制点的状况
→ 根据企业的管理文化选择性的对比
→ 侧重与企业主营业务相关的重要控制点
|
Ø 对比企业安全运作的重要环节,主要包括:
→ 安全组织
→ 资产分级与管理
→ 业务连续性管理
→ 风险评估方法与运作方式
→ 安全落实与长期运作方式 |
|
| 7.同类企业成功经验 |
Ø 弥补标准的过分通用所导致的细节欠缺
Ø 增强企业信息安全的中国特色和可操作性
→ 符合中国的相关法律法规
→ 符合中国企业的管理文化
→ 符合中国企业的安全管理模式
→ 参考同等规模、同等性质企业的成功经验
→ 参考同行业成功企业的管理、技术经验
|
→ 符合中国企业的安全管理模式
→ 参考同等规模、同等性质企业的成功经验
→ 参考同行业成功企业的管理、技术经验 |
|
| 8.输出成果 |
Ø 评估报告
→ 企业在11个安全领域中的安全评分
→ 企业安全状况与国内、国外企业对比
→ 企业在各个领域中主要安全差距
Ø 管理建议
→ 企业在安全体系建设方面的工作建议
→ 企业在安全运作各环节的建议
→ 企业安全管理体系建设规划
|
Ø 技术建议
→ 企业重要的安全漏洞及技术解决建议
→ 企业整体安全技术体系的建设规划
|
|
