信息安全咨询项目技术分析.doc

信息安全咨询项目  文档说明 本文档所涉及到的文字、图表等，仅限于公司及被呈送方内部使用，未经被呈送方及公司书面许可，不得扩散到第三方。 目录 1 概述 4 1.1 项目背景 4 1.2 项目目标 5 1.3 项目实施思路 6 1.4 参考标准 6 2 项目实施方案 7 3 一阶段项目工作说明 8 3.1 充分定义 9 3.2 量化控制 10 3.3 运行检验 12 4 二阶段项目工作说明 13 4.1 充分定义 13 4.2 量化控制 14 4.3 运行检验 16 5 三阶段项目工作说明 16 5.1 充分定义 17 5.2 量化控制 18 5.3 运行检验 19 概述 项目背景 医疗科技有限公司（以下简称）是专业从事高端医疗设备及相关技术研发、生产、销售的高新技术企业。总部位于上海嘉定，包含运营总部、研发中心及生产基地，一二期计划占地400余亩，届时将成为中国医疗行业最大规模的高技术产业化示范基地。同时在上海浦东新区张江高科园以及深圳育成中心分别建立了两大基地，进行以市场为导向的产品研发。是目前国内唯一一家产品线覆盖全线高端医疗影像设备的大型医疗设备公司。 在产品研发和技术创新方面,是首批获得“上海市十大产学研合作创新示范基地”称号的企业之一，拥有行业领先的核心技术，获得专利技术240余项，申请发明专利占70%以上，以及在未来3-5年内将形成一个跨各大产品线，拥有1000项专利规模的大型医疗设备高科技企业。 随着的快速发展，业务经营和管理对信息系统和核心数据依赖程度越来越广泛和深入，对IT系统及信息的保密性、完整性和可用性的保护的要求也越来越高。为了加强信息安全建设，提升信息安全保障水平，落实信息安全体系规划，提高员工的安全意识，启动了信息安全管理体系建设项目。 项目目标 为了提升整体信息安全管理水平和抗风险能力，保障业务持续安全运行，需要根据国际先进信息安全管理机制，同时结合实际情况和需求来进行信息安全体系的建设。 项目按照ISO/IEC27001标准体系，综合信息安全现状，从体系化角度，在已有信息安全技术评估的基础上进行信息安全管理调研，展开综合风险评估（包含技术性分析与管理性分析），针对当前保障机制下存在的问题和安全薄弱环节，以体系化的思路提交整改策略、整改报告及形成建设研究实践成果。 项目建设按照《ISO27001信息安全体系标准》和《国家信息系统等级保护规定》要求，做好与的结合点研究与建设，其研究与建设应覆盖组织、管理、技术三个领域进行。通过ISO27001体系的研究，实践并规范信息安全风险评估方法、技术监测监管、应急响应机制，完成基于ISO27001国际标准的信息安全体系建设。 本项目的具体建设目标是： (1) 安全体系调研及分析：完成信息安全体系调研及综合分析。 (2) 信息安全体系建设：根据ISO27001安全管理体系规范对当前的信息安全管理制度、规范、应急体系等内容的完整性、规范性和可操作性进行管理对标，查找差距和存在问题并完成相应的改进。并制订信息系统和安全设施的防护配置的基线标准，同时完成一体化的安全运行监管方法。 (3) 协助建立信息安全管理、治理基础能力。经过项目的推进和落实，信息安全的管理和科学决策水平。加强内部控制和内部管理，降低风险建立高效、统一、运转协调的管理体制PDCA过程方法和相应的组织保障体系，使安全管理从“无序、零散、被动”的风险补救行为转变为“系统、科学、连贯、主动”的风险驾驭状态，防止走回头路。 项目实施思路 本项目旨在协助建立和完善基于ISO27000的信息安全管理体系，通过现状调研、差距分析、组织设计、制度编写、技术定义、推行辅导等方式。在建立信息安全组织，明确组织职能，建立有效的流程制度，并将相应的技术技能进行匹配，同时协助进行同步的宣贯推行。在建立了信息安全管理体系后，为了使得信息安全管理体系更好的运行，同时还协助建立信息安全的治理能力，对公司信息安全现状进行评估、知道和监督；同时建立信息安全的管理能力，对信息安全进行规划、建设、运维和评估，并通过专家宣讲、实践经验交流、案例介绍、项目辅导、技术技能培训、推荐外部培训等方式加强的信息安全治理和管理能力。 参考标准 在本项目执行过程中，将参考如下标准： 《信息安全等级保护管理办法》、 《计算机信息系统安全等级保护划分准则 《信息安全风险管理指南》 《信息安全风险评估指南》、 《ISO 13335》 《ISO 27000》 《ISO 15408/CC》 行业及最佳实践 项目实施方案 本项目将对安全现状进行科学的评估和分析，以了解的信息安全现状，得出符合的安全需求。根据公司安全现状和业务安全需求，从安全技术、安全管理等方面来设计未来三年信息安全建设的发展规划。根据安全规划的结果，进行信息安全管理体系的具体设计。 本项目中开