1、

1、体系运行

运行跟踪、安全度量（测量、安全教育意识培训）、内部审核、管理评审

宣传培训（电子海报、张贴画、展板、信息安全培训手册）

27004建立测量指标、信息安全目标有效性测量表

内部审核&管理评审

管理评审由管理层来做，一般一年一次

内审的输入、形成管理评审报告

2、认证审核

风险评估

方法培训：基于标准将评估流程、评估范围确定下来，并预先将评估中的评估方法与标准进行统一。

风险评估参考标准：

ISO 27001、GBT 20984、谷安天下信息安全最佳实践

管风险评估特性：

信息安全风险汇总库

9.3 管理评审

管理层对信息安全工作情况进行

10. 改进

10.1 不符合项和措施

10.2 持续改进

四、信息安全管理体系实施过程（结合工作实践）

流程阶段：

现状调研-》风险评估-》安全规划-》体系建设-》体系运行-》认证审核

1. 现状调研

要求有调研方案

调研内容：外部监管要求，相关法律法规，ISO27001标准

调研方法：

资料评审：查看组织业务特征、组织架构、风险管理制度、记录资料

现场访谈：访谈员工，了解其期望和目前真实实施情况（需要准备访谈计划、访谈提纲，访谈纪要 ）

问卷调查：可用于做数据分析（调查内容：主要业务系统开发安全、运维安全、、终端设备管理、机房物理安全管理、网络系统管理、服务器和存储系统、数据库管理、资产管理、安全管理）

技术评估：上机扫描、漏洞统计（通过工具扫描和漏洞检测，人工分析检查安全配置情况，综合得出信息系统的技术脆弱性和被黑客攻击的可能性）

现状总结：描述组织的信息安全现状（现场访谈结果与分析、技术评估结果与分析、信息安全管理体系状况分析、组织安全现状存在问题的综述）

2. 风险评估

梳理信息资产的安全隐患，制定风险处置计划

风险评估方法：

方法培训：制定培训计划、风险评估计划，培训风险评估的流程、评估标准等内容

资产识别：全面收集信息资产信息，并对新产进行重要程度分级

风险分析：

风险处置

评估总结

ISO27001

主题思想：PDCA

Plan（4-7）：组织环境、领导力、规划、支持

Do（8-）：运行

Check：绩效评价

Action：改进

4. 组织环境

4.1 明确内外部的环境情况

4.2 明确相关方（业务部门、客户、监管部门、供应商）以及其需求及期望

4.3 明确信息安全管理体系的范围（部门覆盖情况、地理覆盖情况、业务覆盖情况）

5. 领导力（执行力）

5.1 领导力和承诺——主要包含领导层的支持和承诺

经济支持、资源支持（人员、设备）

5.2 方针

高层应建立信息安全方针：目标、框架、要求、体系

信息安全方针赢形成文档、内部沟通确认、对外发布

5.3 组织角色、职责和权 利

月报信息安全管理角色和权力得到分配和沟通

6. 规划

6.1 处置风险和机遇的行动

6.1.1 总则

6.1.2 信息安全风险评估

组织应定义和实施信息安全风险评估流程

6.1.3 信息安全风险处置

组织应定义和实施信息安全风险处置过程

7. 支持

7.1 资源

组织应确定并提供建立、实施、维持和持续改进信息安全管理体系所需的资源

7.2 能力

确定员工有完成工作的安全技能

确保员工具备完成工作的教育、培训和经验

采取合适的措施确保员工具备以上技能，并对其能开展考核

保留相关文档作为证据

7.3 意识

员工应了解信息安全方针：

了解个人对信息安全管理的重要性

不符合信息安全管理体系要求会造成的影响

7.4 沟通

与不同职位、角色的人沟通的方式、内容均不同

7.5 文档要求

7.5.1 综述

组织的信息安全管理体系应包括：制度文件+证明体系有效性的记录文件

7.5.2 创建和更新

组织应明确合适创建和更新文档信息是合适的

7.5.3 文档控制

信息安全管理体系和本国际标准要求的文档信息应予以控制以确保：

在需要的时间和场合可用

文档可以得到充分保护

为做好文件控制，组织要明确以下文档控制活动：

分发、访问、回收和使用

存储保管

变更控制

归档和处置

8. 运行

8.1 运行计划与控制

8.2 信息安全风险评估

8.3 信息安全风险处置

9. 绩效评价

9.1 监控、度量、分析和评价

组织应明确：

监控和测量的内容、方法、时间、实施人、分析要求

组织应保留适当文档作为检测和测量开展的证据

9.2 内部审核

组织应定期开展内部审核：

是否符合国家标准

是否满足自身信息安全管理要求

是否有效落实和保持

组织应：

制定内审计划（频率、方法、责任、计划）

审核标准和范围

审核执行人员

件审核结果上报公司领导

123

风险评估---风险管理---

理发了，好帅

27001  14个安全领域，

分为4级，

第1级 信息安全方针，

第2级信息安全要求

第3级 XXX手册，XXX流程，XXX指南

整个文件体系必须 领导批准，通过正当渠道发放给员工，

很多企业规章制度，员工都不清楚，

强调建立 规章制度，告知第三方，员工，

应该周期性对体系文件进行不断的更新，变化 ，

将监管要求转化为体系要求，

一年，半年评审一下相关制度，

有安全岗位，

安全组织建立 ，

组织 的信息安全管理部门，

执行组织 ：包括，所有IT职能部门和业务部门，

首先去定义我们的信息安全组织 ，

岗位分工，

职责 分离：开发和测试分离，会计和出纳分离，

系统程序员和系统管理员分离

防止开发人员安装后门，

央企;人员不足，

设置堡垒机，

与政府部门的适当联系，有相关信息的获取 ，

CNCERT,安全事件处理，

与特定利益集团的联系，安全服务商，

ISO20000

2301

在原来的基础上，信息安全，

动员会，领导讲话，各部门配合，

做一个纲领性讲解，工作计划，工作流程，

领导小组，参加部门，都有哪些，工作内容，

包括对意识进行培训，

宣传培训

安全意识不是一次性的，是长期的，

意识是大脑皮层的条件反射，

不能光一次培训，看什么东西，没有后续 工作是起不了太大作用的。

不要讲的太死板，太枯燥，

加点动画，电影片段，加点感兴趣的，

最后讲公司规定，挑主要的讲，

海报，安全手册，电子 课件，安全动画，宣传片，

有效性测量：测量指标，参考27004，开发指标，

结合实情开发适合自己的指标，每年，每季度，

不合格要有证据，说明

管理评审管理层做的，一年一次，

风险评估报告，管理评审的输入，

会议记录，管理评审的输出 ，

文件审核通过后才进行认证审核 

账号不知道给谁创建，

系统开发安全问题，

规范人员分类，

量化计分 考核办法，

相关奖惩措施，

为什么做风险评估，意义何在？

资产识别，资产价值相同，归为统一类别 安全组，

普通 员工资产和领导资产不一样，

公式法，都属于定性风险评估，

规划：怎么去做，做什么事情 ？

什么是安全架构 ？有什么意义？

短期达不到，未来两到三年达到，

现实有很多问题，未来要达到目标，

现实和未来有 很大差距，

将存在问题分类，分成不同项目群，

做任务排序--确定先后顺序，要有方法，为什么，凭什么，

价值高，风险小，先做，

制定评价指标，实施难易程度，

具体情况具体分析，

给客户做了一个三年的规划，工作任务，

安全蓝图，

任务的目标是什么，牵头是谁？应对风险有什么风险措施，

更详细的做专项规划，技术优势是什么，怎么部署，

针对 客户比较关注点在哪，

适用性声明，来阐述内容，

能落地的越简单越好，

规划文件体系清单，按27001，14个安全领域，

以客户视角，怎么开展工作，

按部门角度来规划，组织结构 不一样，

现实条件，企业文化，

二级某某文件，

三级，满足要求怎么去做，

四级：记录表彰，和三级配套使用，

一定和客户讨论，沟通确认好，

咨询顾问不能单独确认，

相关格式，要求，

客户自己来写是好的，把安全控制 要求，关键控制要求，客户来写，我们提供指导，

不要期望一闪把体系文件写得多么完美，体系文件也要随环境变化 ，做更新，

多长时间，多大精力，容易疲劳

发布体系，要让大家都知道，按要求去做，通过一个渠道，发布到相关部门，

什么是信息安全

27001有什么风险

27001标准怎么说的

基于27001怎么实施？实施过程，

新增

密码学

供应商管理

27001

1 安全策略

2 组织信息安全：建立安全组织，人员（外部内部）

3 资产管理

4 访问控制 信息安全核心zhi'yi

信息标记：

企业建议用商密（123或ABC）

1. 安全的目的是为了保障业务连续稳定的运行，进而为企业创造价值

安全组织-执行组织：

IT职能部门和业务部分

体系运行-运行计划-运行跟踪

体系运行-有效性度量-有效性测量表

体系运行-内部审核-内审检查表

体系运行-管理评审-评审报告

体系运行-认证审核

为资产编制清单

基于不同层面的风险评估

价值高风险小的项目优先做

提前制定访谈提纲，访谈后形成访谈纪要

现状调研-现状总结

一个资产可能面临多个威胁

风险控制策略：规避、降低、转移、接受

成本效益原则