ISO27001信息安全管理体系咨询计划安排.doc

ISO27001信息安全管理体系咨询计划安排体系策划阶段编号工作任务WBS分解咨询公司投入甲方参加人员说明计划投入（天）工期咨询师开始时间1对公司进行信息管理现状调查，了解公司现有经营战略、规划、组织、资源的理解，确定目标，初步确定过程改进的体制，明确过程推进核心小组组长和成员2天DXC10.8.1管理者代表、主管部门负责人进行信息安全管理制度以及其他管理性文件的收集，包括公司经营战略订定，规划方式，相关单位的权责与接口 2明确ISMS所覆盖的组织内部的范围管理者代表、主管部门负责人对于覆盖的范围进行确认，并规划ISMS涉及的组织范围，以保证体系的系统性3成立ISMS推进领导组、推进小组最高管理者、管理者代表保证体系的顺利贯彻、执行4项目启动会全体员工参加保证体系的顺利贯彻、执行标准培训及风险评估阶段5ISMS标准及内审员培训3天DXC2010.8上旬全体员工参加1天，各部门指定的体系负责人、内审员3天均参加让参与信息安全管理的人员了解信息安全管理的要求，内审员掌握标准及审核知识，培养体系运行骨干6信息安全风险识别及评估方法培训 2天DXC标准培训后一周左右管理者代表、主管部门全体、各部门指定体系负责人建立风险意识，为全面识别信息安全风险做准备7信息安全风险识别、差距分析10天DXC2010-8 中、下旬管理者代表、主管部门全体、各部门指定体系负责人所有涉及到信息管理的部门、人员、流程全部参与，保证尽量无遗漏的识别出信息安全风险。进行漏洞扫描，以便掌握当前设系统的安全状态从安全制度建立、安全管理机构、资金保障、人员安全管理、系统建设管理、系统运维管理等方面进行差距分析8信息安全风险评估DXC2010-8 中、下旬管理者代表、主管部门全体、各部门指定体系负责人根据公司信息安全管理目标要求对风险等级进行划分，以便针对不同级别风险，实施相应的控制手段，形成资产清单、重要资产清单，风险评估报告、风险建议残余风险报告文件编写阶段9建立ISMS文件框架DXC2010.9.1-9.30管理者代表、主管部门全体或文件编写组根据风险评估的结果以及公司的组织架构，确定体系文件的框架10ISMS文件的编写13天DXC主管部门或文件编写组可以采取两种不同的方式完成体系文件的编写，其一为统一确定编写小组成员集中编写，也可按照职能分配到各个部门进行编写，建议集中编写更适合该体系。ISMS文件包括手册、信息安全风险评估程序、信息安全控制措施测量程序、计算机网络安全防护程序、物理和环境安全管理程序、计算机病毒安全防护程序、访问控制程序、信息系统备份和恢复管理程序、文件控制程序、记录控制程序、内部审核程序、管理评审程序等，以及信息安全组织、信息安全职责要求、服务器配置和安全管理规定、移动存储介质安全管理规定、资产安全管理规定、网络设备安全管理规定、信息分级保护管理规定等作业文件，有效文件共70分左右，作业表单约90份左右，当然这只是经验值，具体操作要按贵公司的实际情况进行调整。11文件审查2天DXC管理者代表咨询师负责审查对标准的符合性，公司相关人员负责审查可操作性12文件修订及发布DXC管理者代表、主管部门或文件编写组保证文件的可执行性体系试运行阶段13ISMS实施宣贯培训1天DXC2010.10.1-2011.1.1管理者代表、主管部门全体、各部门指定体系负责人让所有涉及的人员了解自身的信息安全管理职责、控制要求，保证体系的贯彻、执行14制定ISMS体系试运行计划1天DXC管理者代表包括各部门运行成果要求、内审计划、管理评审计划15内审3天DXC内审员需要进行1-2次内部体系运行的审核，发现体系运行当中的问题，采取纠正、预防措施加以整改，保证体系运行的符合性以及有效性16管理评审1天DXC领导层评估ISMS运行的成果，需要解决的重点问题，决定是否可以提请外审改善计划17制订改善计划1天DXC20111上旬管理者代表咨询组根据体系的运行情况，做好体系改善计划，通过体系改进，可以帮助组织提升对体系的认识，以便顺利接受正式审核18提交体系运行总体情况报告DXC管理者代表提出体系运行总体情况汇报。19采取纠正措施2天DXC相关部门不断的过程改进要求正式审核阶段20接受认证结构正式评估计划认证机构2011.1中下旬领导层、全体部门正式审核工作按照国家规定的审核人日管理要求实施，要标准的实施流程以及标准的工作文档，审核结论可以为：通过、不通过或延期通过三种，我们保证组织在我们双方的积极配合和努力下顺利通过认证审核，获得认证证书。21按照正式审核计划进行相应的备审工作22正式现场审核23审核问题纠正24颁发ISMS认证证书培训分三个阶段：1、信息安全管理体系标准及内审员培训 2、信息安全风险识别及评估培训 3、体系运行宣贯培训