ISO27001信息安全的管理体系咨询的计划安排.doc

ISO27001信息安全管理体系咨询安排 编号 工作任务WBS分解 咨询公司投入 甲方参加人员 说明 计划投入（天） 工期 咨询师 开始时间 1 对公司进行信息管理现状调查，了解公司现有经营战略、规划、组织、资源的理解，确定目标，初步确定过程改进的体制，明确过程推进核心小组组长和成员 2天 DXC 10.8.1 管理者代表、 主管部门负责人 进行信息安全管理制度以及其他管理性文件的收集，包括公司经营战略订定，规划方式，相关单位的权责与接口 2 明确ISMS所覆盖的组织内部的范围 管理者代表、 主管部门负责人 对于覆盖的范围进行确认，并规划ISMS涉及的组织范围，以保证体系的系统性 3 成立ISMS推进领导组、推进小组 最高管理者、管理者代表 保证体系的顺利贯彻、执行 4 项目启动会 全体员工参加 保证体系的顺利贯彻、执行 标准培训及风险评估阶段 5 ISMS标准及内审员培训 3天 DXC 2010.8上旬 全体员工参加1天，各部门指定的体系负责人、内审员3天均参加 让参与信息安全管理的人员了解信息安全管理的要求，内审员掌握标准及审核知识，培养体系运行骨干 6 信息安全风险识别及评估方法培训 2天 DXC 标准培训后一周左右 管理者代表、主管部门全体、各部门指定体系负责人 建立风险意识，为全面识别信息安全风险做准备 7 信息安全风险识别、差距分析 10天 DXC 2010-8 中、下旬 管理者代表、主管部门全体、各部门指定体系负责人 所有涉及到信息管理的部门、人员、流程全部参与，保证尽量无遗漏的识别出信息安全风险。 进行漏洞扫描，以便掌握当前设系统的安全状态 从安全制度建立、安全管理机构、资金保障、人员安全管理、系统建设管理、系统运维管理等方面进行差距分析 8 信息安全风险评估 DXC 2010-8 中、下旬 管理者代表、主管部门全体、各部门指定体系负责人 根据公司信息安全管理目标要求对风险等级进行划分，以便针对不同级别风险，实施相应的控制手段，形成资产清单、重要资产清单，风险评估报告、风险建议残余风险报告 文件编写阶段 9 建立ISMS文件框架 DXC 2010.9.1-9.30 管理者代表、主管部门全体或文件编写组 根据风险评估的结果以及公司的组织架构，确定体系文件的框架 10 ISMS文件的编写 13天 DXC 主管部门或文件编写组 可以采取两种不同的方式完成体系文件的编写，其一为统一确定编写小组成员集中编写，也可按照职能分配到各个部门进行编写，建议集中编写更适合该体系。ISMS文件包括手册、信息安全风险评估程序、信息安全控制措施测量程序、计算机网络安全防护程序、物理和环境安全管理程序、计算机病毒安全防护程序、访问控制程序、信息系统备份和恢复管理程序、文件控制程序、记录控制程序、内部审核程序、管理评审程序等，以及信息安全组织、信息安全职责要求、服务器配置和安全管理规定、移动存储介质安全管理规定、资产安全管理规定、网络设备安全管理规定、信息分级保护管理规定等作业文件，有效文件共70分左右，作业表单约90份左右，当然这只是经验值，具体操作要按贵公司的实际情况进行调整。 11 文件审查 2天 DXC 管理者代表 咨询师负责审查对标准的符合性，公司相关人员负责审查可操作性 12 文件修订及发布 DXC 管理者代表、主管部门或文件编写组 保证文件的可执行性 体系试运行阶段 13 ISMS实施宣贯培训 1天 DXC 2010.10.1-2011.1.1 管理者代表、主管部门全体、各部门指定体系负责人 让所有涉及的人员了解自身的信息安全管理职责、控制要求，保证体系的贯彻、执行 14 制定ISMS体系试运行计划 1天 DXC 管理者代表 包括各部门运行成果要求、内审计划、管理评审计划 15 内审 3天 DXC 内审员 需要进行1-2次内部体系运行的审核，发现体系运行当中的问题，采取纠正、预防措施加以整改，保证体系运行的符合性以及有效性 16 管理评审 1天 DXC 领导层 评估ISMS运行的成果，需要解决的重点问题，决定是否可以提请外审 改善计划 17 制订改善计划 1天 DXC 2011．1上旬 管理者代表 咨询组根据体系的运行情况，做好体系改善计划，通过体系改进，可以帮助组织提升对体系的认识，以便顺利接受正式审核 18 提交体系运行总体情况报告 DXC 管理者代表 提出体系运行总体情况汇报。 19 采取纠正措施 2天 DXC 相关部门 不断的过程改进要求 正式审核阶段 20 接受认证结构正式评估计划 　 　 认证机构 2011.1中下旬 领导层、全体部门 正式审核工作按照国家规定的审