目 錄

1  概述

2  準備

2.1  確定 ISMS 范圍 

2.2  確定信息安全總體方針政策 

2.3  定義風險評估與管理方法 

2.4  項目準備 

3  風險評估 

3.1  現(xiàn)狀分析 

3.2  風險評價 

3.3  風險處置 

4  安全體系規(guī)劃與設計 

4.1  安全體系規(guī)劃 

4.2  編寫安全體系文檔 

5  安全體系實施、調整、評審 

5.1  體系實施 

5.2  體系調整 

5.3  體系評審 

1 1 概述

實踐證明，按照 BS7799/ISO27000 的要求在組織內部建立并運行信息安全管理體系

（ISMS），強化信息安全管理體系的運行審核和管理評審，不斷改進優(yōu)化組織的信息安全管

理體系，是處理組織信息安全問題有效手段之一。

根據 BS7799/ISO27000 要求，在建立、實施、運行、監(jiān)控、評審、保持與改進組織 ISMS

時采用 PDCA 的過程模型，即首先依據組織的信息安全總體方針政策，通過對 ISMS 涉及范圍

內的所有信息資產進行風險評估，選取合適的安全控制措施，建立包括安全策略、控制程序、

操作指南/手冊在內的文件化的信息安全管理體系，然后在組織內部實施并運行 ISMS 信息安

全策略、控制程序及措施，并通過 ISMS 運行監(jiān)控、內部審計及管理評審，發(fā)現(xiàn) ISMS 存在的

問題及弱點，及時采取適當的糾正或預防措施，實現(xiàn) ISMS 的持續(xù)改進。

信息安全管理體系咨詢服務的目的就是根據 ISO27001 標準的要求，采用 PDCA 的過程模

型，通過基于資產的風險評估，幫助客戶建立文件化的信息安全管理體系，輔導客戶在其組

織范圍內實施、運行、評審信息安全管理體系，從而確保客戶信息系統(tǒng)的正常運行，提高服

務競爭力，最終促進客戶業(yè)務的開展。

如上圖所示，信息安全管理體系建設咨詢服務包括準備、風險評估、安全體系規(guī)劃與設

計、安全體系實施/調整/評審四個階段，各個階段說明如下:

第一階段：準備

準備階段主要完成信息安全管理體系建設項目的前期準備工作。包括四個工作任務，分

別是：

1) 確定 ISMS 范圍

根據組織業(yè)務需要確定 ISMS 涵蓋的范圍，包括地理位置、部門或信息系統(tǒng)等。

2) 確定信息安全總體方針政策

分析 ISMS 范圍內的業(yè)務及系統(tǒng)安全需求，確定 ISMS 的總體方針政策。

3) 定義風險評估與管理方法

確定風險評估模型，確定風險評估指標，定義風險評估及管理程序。

4) 項目準備

制定實施計劃、成立項目組、整理開發(fā)相關工具模板、召開啟動會，進行項目背景

知識培訓等。

第 二 階段：風險評估

分析 ISMS 范圍內的信息安全現(xiàn)狀，針對 ISMS 范圍內的所有信息資產，識別并評價其面

臨的安全風險，提出對應的控制措施。包括三大工作任務，分別為：

1) 現(xiàn)狀分析

通過訪談、檢查及測試了解 ISMS 范圍內的信息安全現(xiàn)狀，形成現(xiàn)狀報告，并將獲

取的安全現(xiàn)狀與 ISO27002 中的安全控制措施進行差距分析。

2) 風險評價

按照確定的風險評估模型，評價現(xiàn)狀分析階段識別的資產、威脅及弱點，確定資產

風險等級。

3) 風險處置

確定風險處置方式，選擇安全控制措施，制定風險處置計劃，進行殘余風險分析。

第 三 階段： 安全 體系規(guī)劃與設計

根據差距分析和風險評估結果規(guī)劃安全體系建設任務，落實本期建設規(guī)劃。包括兩大工

作任務，分別為：

1) 安全體系規(guī)劃

規(guī)劃信息安全體系建設項目、任務、計劃等。

2) 編寫安全體系文檔

設計信息安全體系管理文檔或技術方案。

第 四 階段： 安全 體系實施 、調整、評審

落實信息安全管理措施，部署信息安全技術措施，運行信息安全管理體系，改進信息安

全管理體系不足，按照 ISO27001 要求進行信息安全管理體系內部審核和管理評審。包括三

大工作任務，分別為：

1) 體系實施

落實或部署信息安全管理體系的相關管理及技術措施，運行信息安全管理體系。

2) 體系調整

針對實施和運行中存在的問題，對信息安全管理體系進行調整改進。

3) 體系評審

按照 ISO27001 要求進行信息安全管理體系內部審核和管理評審。

2 2 準備 準備

2.1 2.1 確定 確定 S ISMS  范圍

根據組織的業(yè)務特征、組織結構、地理位置、資產和技術定義 ISMS 范圍和邊界。

?  主要工作任務及內容（活動）

1) 信息安全與業(yè)務戰(zhàn)略及規(guī)劃一致性分析

針對組織內部安全狀況與組織業(yè)務戰(zhàn)略及規(guī)劃一致性的分析，主要從客戶、合作方等外

部角度考慮 ISMS 需要涵蓋的范圍。

2) 信息安全與相關法規(guī)/制度符合性分析

針對組織內部安全狀況與法律/法規(guī)/制度符合性的分析，主要從合規(guī)性方面考慮 ISMS

范圍需要涵蓋的范圍。

3) 信息安全與業(yè)務運營影響分析

針對組織內部安全狀況對業(yè)務運營影響的分析，主要從內部風險管理角度考慮 ISMS 需

要涵蓋范圍

4) 確定 ISMS 范圍

根據上述分析結果確定 ISMS 范圍（包括涉及的物理位置、業(yè)務[流程]、部門、系統(tǒng)等）。

?  主要工作方式/ / 方法（工作方式、職責劃分、工作方法）

ISMS 范圍描述

確定 ISMS 范圍

信息安全管理體系是為保障組織信息系統(tǒng)而建立的，而信息系統(tǒng)建設與運行的目標是確

保組織業(yè)務目標的實現(xiàn)，因此信息安全管理體系建設的最終目的是確保組織業(yè)務目標的實

現(xiàn)。所以確定 ISMS 范圍時需要從內部業(yè)務需求和外部合規(guī)性要求出發(fā)，對信息安全與組織

業(yè)務發(fā)展戰(zhàn)略及規(guī)劃的一致性、信息安全與與相關法規(guī)/制度的符合性、信息安全對業(yè)務運

營的影響進行綜合分析形成與業(yè)務目標相一致的 ISMS 范圍。

應該對確定的 ISMS 范圍進行書面說明（可以放在信息安全管理手冊或總體方針文件

中），對 ISMS 涉及的部門，位置、業(yè)務以及主要資產（主要信息系統(tǒng)或設備）進行描述。

2.2 2.2 確定 確定 信息安全 總體方針政策

分析 ISMS 范圍內的業(yè)務及系統(tǒng)安全需求，確定 ISMS 的總體方針政策。

?  主要工作任務及內容（活動）

1) 業(yè)務及系統(tǒng)初步安全需求分析

根據組織業(yè)務及系統(tǒng)特點進行初步安全需求分析，形成總體安全需求。

2) 確定 ISMS 總體方針政策

在初步安全需求分析結果基礎上，確定組織信息安全的總體方針政策，包括 ISMS 范圍、

總體目標、安全組織結構、安全管理框架、

?  主要工作方式/ / 方法（工作方式、職責劃分、工作方法）

在進行信息安全管理體系建設前，應該制定組織的信息安全總體方針政策，設定信息安

全的總體目標，明確信息安全管理職責，建立信息安全總體框架，為相關活動指明總的方向

和原則。信息安全總體方針政策是建立、實施、運作、監(jiān)視、評審、保持并持續(xù)信息安全管

理體系的基礎，需要獲得最高管理者的批準。

制定組織信息安全總體方針政策時可以首先針對組織業(yè)務及系統(tǒng)特點進行初步的安全

需求分析，考慮包括業(yè)務及法規(guī)制度合同要求在內的安全需求，形成安全需求框架。

確定信息安全總體方針政策的過程如下：

確定的信息安全總體方針政策應該文件化，并由最高管理者簽發(fā)。信息安全總體方針政

策文件需要包含如下內容：

? 組織信息安全的定義、總體目標、范圍等；

? 組織信息安全的重要性（如何保障業(yè)務目標實現(xiàn)）；

? 管理層承諾與支持；

? 信息安全體系框架（如何實現(xiàn)組織信息安全）；

? 對組織尤其重要的特殊方針、原則、標準及符合性要求簡短說明，如：法律法規(guī)要

求、業(yè)務持續(xù)性管理、教育與培訓以及違反策略的后果等；

? 信息安全管理組織架構、職責、安全管理方法等；

? 引用的支撐策略或管理制度。

2.3 2.3 定義風險評估 定義風險評估 與管理 方法

確定信息安全風險評估模型，定義風險評估程序、建立風險評估指標及風險接受準則。

?  主要工作任務及內容（活動）

1) 確定風險評估模型及相關指標準則

定義組織風險評估方法及風險接受準則等。

2) 制定風險評估與管理程序

按照確定的風險評估方法及風險接受準則，形成文件化的風險評估與管理程序。

?  主要工作方式/ / 方法（工作方式、職責劃分、工作方法）

在確定了 ISMS 的范圍和總體方針之后，需要確定一種適合組織的風險評估模型，建立

風險評估指標及風險接受準則。并且需要按照確定的風險評估方法及風險接受準則，形成文

件化的風險評估及管理程序。具體內容包括：

? 定義風險評估模型；

? 定義資產類別；

? 定義威脅類別；

? 定義弱點類別；

? 定義風險處置方式；

? 確定風險接受準則；

? 確定風險計算方式；

? 各種指標值及描述。

2.4 2.4 項目 項目 準備

按照 ISMS 建設范圍及進度要求，制定有關實施計劃，組建項目組，落實人員安排，整

理或開發(fā) ISMS 建設所需的表格/工具/模板，召開啟動會，并按照實際需要對相關人員進行

項目背景知識培訓，完成 ISMS 建設項目的前期準備工作。

?  主要工作任務及內容（活動）

1) 制定實施計劃

制定項目實施計劃，主要是下一階段的風險評估計劃。

2) 組建項目組

落實項目人員安排及其職責。

3) 整理開發(fā)工具/模板

開發(fā)或定制各種表格、工具及模板，包括各種問卷，表格，檢查及測試程序與模板等。

4) 項目啟動會

正式啟動項目。

5) 培訓

按照需要進行項目背景知識培訓，包括 BS7799/ISO27000 知識培訓，項目實施過程/方

法/工具培訓等。

?  主要工作方式/ / 方法（工作方式、職責劃分、工作方法）

項目準備主要包括制定項目（下一階段）實施計劃，組建項目組，整理開發(fā)工具模板，

召開啟動會，實施項目培訓等。

項目準備過程如下：

開發(fā)整理工具/模板是項目準備階段最重要的工作任務之一，ISMS 建設的工具模板包

括：

1) 1) 調查問卷 調查問卷

調查問卷是為了大范圍收集了解情況（所謂全面撒網）而由甲方相關人員填寫由咨詢人

員收集分析的問卷表，由于問卷調查可以在大范圍并行開展，因此可以節(jié)約信息收集時間。

但調查問卷獲取信息的可靠性較差，因此問卷涉及的調查內容應該包括在面對面訪談中。

ISMS 建設調查問卷包括：

? 威脅調查問卷

用于收集了解體系建設范圍內信息安全威脅及事件的相關信息。

? 信息安全管理調查問卷

初步了解體系建設范圍內信息安全管理的相關情況，同時了解調查被調查人員關于

信息安全管理的意識以及關于 ISMS 體系建設迫切需要解決的問題。

2) 2) 現(xiàn)場訪談表 現(xiàn)場訪談表

現(xiàn)場訪談表是由咨詢人員使用的用于面對面訪談甲方相關人員的工作表格?，F(xiàn)場訪談表

主要用于收集體系建設范圍內組織及 IT 系統(tǒng)的基本信息和安全狀況。

ISMS 建設現(xiàn)場訪談表包括：

? IT 組織情況調查表

主要調查體系建設范圍內 IT 組織的基本情況。

? 信息系統(tǒng)調查表（系列）

主要調查體系建設范圍內信息系統(tǒng)的基本情況，包括物理、網絡、主機、數據庫以

及應用系統(tǒng)的部署使用、安全措施等。

? 安全管理訪談表

按照 BS7799-1 或者 ISO27002 要求，進行安全管理措施及弱點訪談。

?

4) 形成項目執(zhí)行決議

項目背景知識培訓主要涉及 BS7799/ISO27000 知識培訓，項目實施過程/方法/工具培訓

等?？梢栽谂嘤柡蟾鶕追降囊庠高M行培訓考試。

3 3 風險評估 風險評估

3.1 3.1 現(xiàn)狀分析 現(xiàn)狀分析

通過問卷調查、訪談、檢查及測試等多種方式盡可能多的收集信息系統(tǒng)及安全管理相關

信息，對收集到的信息進行綜合分析和整理，形成差距分析報告和現(xiàn)狀報告。

?  主要工作任務及內容（活動）

1) 問卷調查

對 ISMS 范圍內的相關人員進行問卷調查，了解組織人員的安全管理意識、組織面臨的

主要威脅情況以及發(fā)生的主要安全事件。

2) 現(xiàn)場訪談

面對面訪談信息系統(tǒng)架構、部署以及安全弱點、管理及技術措施等。

3) 手工檢測

人工檢查或測試系統(tǒng)的安全管理落實情況。

4) 安全掃描

使用自動化工具進行網絡、操作系統(tǒng)、數據庫或應用系統(tǒng)掃描。

5) 滲透測試

對網絡、操作系統(tǒng)、數據庫或應用系統(tǒng)實施滲透測試，可選。

6) 綜合分析

對問卷調查、現(xiàn)場訪談、手工檢測、安全掃描收集的信息進行綜合分析。

7) 撰寫報告

撰寫差距分析報告和現(xiàn)狀報告。

?  主要工作方式/ / 方法（工作方式、職責劃分、工作方法）

現(xiàn)狀分析的目的是收集信息系統(tǒng)及安全管理的相關信息，所采用的手段包括：問卷調查、

現(xiàn)場訪談、檢查與測試等，在進行現(xiàn)狀分析前需要準備完成相關的現(xiàn)狀調研及分析工具模板。

具體包括：

? 調查問卷

? 現(xiàn)場訪談表

? 人工檢測表

? 自動掃描工具等

其中調查問卷需要根據 ISMS 范圍內的人員崗位分別定制，現(xiàn)場訪談表、人工檢測表需

要根據網絡及系統(tǒng)平臺類別分別定制。

各種主要手段功用及工作底稿描述如下：

? 問卷調查主要用于信息安全管理意識、安全威脅及相關安全事件了解。問卷調查的

工作底稿主要是問卷答卷。

? 現(xiàn)場訪談主要了解物理、網絡、操作系統(tǒng)、數據庫系統(tǒng)、應用系統(tǒng)的基本信息以及

其安全管理設計情況。現(xiàn)場訪談工作底稿包括：訪談計劃、訪談結果記錄等。

? 人工檢測表主要用于核查安全管理的落實情況，檢查或測試各類網絡設備、操作系

統(tǒng)、數據庫系統(tǒng)、應用系統(tǒng)的安全實現(xiàn)情況。工作底稿主要是檢測結果記錄。

? 自動掃描主要用于對網絡設備、操作系統(tǒng)、數據庫系統(tǒng)或應用系統(tǒng)的進行自動化掃

描。工作底稿包括：掃描計劃、掃描原始記錄、掃描報告等。

? 滲透測試主要對網絡設備、操作系統(tǒng)、數據庫系統(tǒng)或應用系統(tǒng)的實施滲透。工作底

稿包括：滲透測試計劃、滲透測試記錄、滲透測試報告等。

3.2 3.2 風險評價 風險評價

依據確定的風險評估模型與方法，對現(xiàn)狀分析階段識別出的資產、威脅、弱點以及由此

而形成的資產綜合風險進行分析評價，形成風險評估報告。

?  主要工作任務及內容（活動）

1) 資產評價

評估資產價值。

2) 威脅評價

評估威脅發(fā)生可能性。

3) 弱點評價

評估弱點嚴重程度。

4) 風險評價

綜合資產評價、威脅評價、弱點評價結果評估資產面臨的風險。

5) 風險評估報告

形成風險評估報告。

?  主要工作方式/ / 方法（工作方式、職責劃分、工作方法）

風險評價充分利用了現(xiàn)狀分析階段收集的資產、威脅、弱點以及安全控制的相關信息，

按照確定風險評估模型及方法，評估資產面臨的風險。

3.3 3.3 風險處置 風險處置

根據風險處置標準，確定風險處置方式。對于那些需要控制的風險，需要選擇安全控制

措施，制定風險處置計劃，進行殘余風險分析。

?  主要工作任務及內容（活動）

1) 選擇風險處置方式

根據確定的風險接受準則，選擇風險處置方式，如：接受、控制、轉移、規(guī)避等。

2) 選擇安全控制措施

對于確定為控制的風險，選擇 ISO27002 中的或其它的安全控制措施。

3) 制定風險處置計劃

對確定為控制的風險，制定相應的風險處理計劃，包括任務、人員、時間安排

4) 殘余風險分析

分析控制實施后的殘余風險。

?  主要工作方式/ / 方法（工作方式、職責劃分、工作方法）

風險處置方法一般包括風險接受、風險控制、風險轉移、風險規(guī)避四種。

? 風險接受：包括低于一定的風險水平本身就可接受的風險，或者那些不可避免，而

且技術上、資源上不可能采取對策來降低，或者降低對組織來說不經濟的風險。

? 風險控制：采用適當的控制以降低風險：包括降低安全事件發(fā)生的可能性或者降低

安全事件影響兩個方面，這時風險處置的重點。

? 風險轉移：將風險和其他的利益方分擔，避免自己承擔全部損失。例如保險和其他

的風險分擔合同。

? 風險規(guī)避：通過避免開展某項業(yè)務、活動或使用某項不成熟的產品技術等來回避可

聯(lián)系人：
性別：	男 女
課程名稱：	請選擇課程 GD&T-美國/歐洲幾何尺寸和公差高級培訓 銷售心理學與客戶溝通技巧 TTT-高級培訓師全能培訓 貿易合同條款/貿易術語/關務合規(guī)和進出口實操重點 壓力與情緒管理 人力資源如何成業(yè)務部門的合作伙伴HRBP 客戶投訴處理及應對技巧 戰(zhàn)略采購管理制定與供應市場開發(fā)-高級采購管理 制造過程審核 制造業(yè)新產品導入-NPI實務特訓 ISO 9001:2015質量管理體系 標準理解、實施及內部審核員培訓 8D質量問題解決 DOE 實驗設計實戰(zhàn)應用 大客戶顧問式銷售與談判技巧 TQM-全面質量管理 6Sigma準綠帶培訓 （六西格瑪基本方法及工具應用） IATF 16949:2016 汽車業(yè)質量管理體系標準理解、 實施及內部審核員培訓 向華為學管理：研發(fā)項目管理工具與模板 完美合同-采購及銷售人員必備合同法律知識&風險防控 ISO 9001:2015 & ISO 14001:2015 & OHSAS 18001:2007三標管理體系標準理解、實施及內審員培訓 生產準備流程與產品制造成本分析 現(xiàn)代管理者溝通影響力與領導力提升 ISO 9001:2015質量管理體系 標準理解、實施及內部審核員培訓 制造過程審核 精益生產全景式實戰(zhàn)模擬及工具運用 許盛華培訓經理訓練營獨家課程--互聯(lián)網+時代培訓體系建立及工具運用-贈送培訓系統(tǒng)軟件 ISO 14001:2015&ISO 9001:2015管理體系標準理解、實施及內審員培訓 精細化的工廠設備維護管理 IATF 16949:2016 汽車業(yè)質量管理體系標準理解、 實施及內部審核員培訓 現(xiàn)場質量管理與突破性快速改善（問題分析與解決） ISO 9001:2015質量管理體系 標準理解、實施及內部審核員培訓 讓供應商和我們一起成長 -供應商開發(fā)、選擇、考核與關系管理 EHS專業(yè)能力提高班（機械/電氣/上鎖掛牌/承包商管理） PMC-制造業(yè)生產計劃與物料控制 供應鏈庫存優(yōu)化與需求管理 抽樣檢驗與品質保證 新舊QC七大工具（十四個質量工具） SPC&MSA ISO 9001:2015 & ISO 14001:2015 & OHSAS 18001:2007三標管理體系標準理解、實施及內審員培訓 多品種小批量下的生產計劃與排程管理 FMEA&APQP&PPAP 如何開展TPM全員自主維護活動 ISO 9001:2015質量管理體系 標準理解、實施及內部審核員培訓 ISO 14001:2015&ISO 9001:2015管理體系標準理解、實施及內審員培訓 程曉華獨家課程-制造業(yè)庫存控制技術與策略 （贈送簽名書） EHS專員全面技能提升（環(huán)境/健康/零事故安全生產） IATF 16949:2016 汽車業(yè)質量管理體系標準理解、 實施及內部審核員培訓 SQE-供應商質量管理高級研修班 SQE-供應商質量管理高級研修班 采購成本分析、削減與談判技巧 供應鏈及采購管理人員必備的財稅知識 優(yōu)秀倉管員全能實戰(zhàn)訓練 現(xiàn)場精細化管理改善與提升 供應鏈中的包裝設計與管理 Excel在企業(yè)管理中的運用 ISO 9001:2015質量管理體系 標準理解、實施及內部審核員培訓 IATF 16949:2016 汽車業(yè)質量管理體系標準理解、 實施及內部審核員培訓 制造型企業(yè)物流與供應鏈管理 IATF 16949:2016 汽車業(yè)質量管理體系標準理解、 實施及內部審核員培訓 演示之道-PPT商務/設計應用 防錯防呆技術及其最新技術 防錯防呆技術及其最新技術 QCC品管圈操作實務 項目思維與關鍵性管理能力提升（沙盤） 用數據說話-基于企業(yè)實踐的MINITAB軟件應用 精益遇上工業(yè)4.0--智能化工廠 項目經理的五圖二表實戰(zhàn)落地兩天一夜（劉毛華經典課程） 采購人員綜合能力提升 構建基于業(yè)務及其風險的質量體系 6sigma綠帶(2+2+2+2) 6sigma綠帶(2+2+2+2) 6sigma綠帶(2+2+2+2) 6sigma綠帶(2+2+2+2) 精益工廠系統(tǒng)導入與推行（實戰(zhàn)模擬） 精益工廠系統(tǒng)導入與推行（實戰(zhàn)模擬） 現(xiàn)場精細化管理改善與提升 產品質量責任、召回及其法律風險 5s目視管理推行實戰(zhàn)（推行篇） 產品審核
公司名稱：
公司簡介：
職務：	董事長（總裁） 總經理 副總 總監(jiān)（協(xié)理、處長） 經理 課長 組長 專員 一般員工 其它 人資主管
手機號：
電子郵箱：
郵寄地址：
郵政編碼：
參課程人數：
驗證碼：	點擊圖片刷新