【文章內(nèi)容簡介】 研問卷，充分了解相關(guān)領(lǐng)域的信息安全管理現(xiàn)狀，具體事例如下： 、 問卷調(diào)查 ? 通過安永的技術(shù)工具及人工檢查等手段對不同類型的系統(tǒng)進行調(diào)研。 、 技術(shù)調(diào)研 現(xiàn)狀調(diào)研階段工作成果 信息安全現(xiàn)狀調(diào)研報告 政 策 ,組 織 架 構(gòu) ,風 險 評 估 ,應 用 性 說 明描 述 流 程 責 任 人 、 內(nèi)容 、 地 點 、 位 置描 述 任 務 和 具 體 工 作 如 何 完 成提 供 遵 守 信 息 安 全 管 理 體 系 要 求 的 客 觀 證 據(jù)I S O 2 7 0 0 1 相 關(guān) 的文 件 管 理 體 系第 一 層安 全 手 冊第 二 層第 三 層第 四 層規(guī) 范操 作 指 南 ,核 對 清 單 ,表 格 等 .記 錄安全管理現(xiàn)狀 安全技術(shù)現(xiàn)狀 風險評估 項目啟動和差異分析 風險評估 體系設計與發(fā)布 體系運行與監(jiān)控 認證及持續(xù)改進 階段二 主要任務 信息安全風險評估 ? 制定信息資產(chǎn)識別標準（包含保密級別劃分） ? 資產(chǎn)識別及 風險評估方法培訓 ? 信息資產(chǎn)收集 ? 識 別 關(guān)鍵信息資產(chǎn)，并評估價值 ? 評估公司層面信息安全控制措施 ? 安全漏洞掃描 ? 針對關(guān)鍵信息資產(chǎn)進行威脅、弱點及影響程度評估，計算出風險值 ? 風險分析 風險評估成果示例 識 別 關(guān)鍵信息資產(chǎn) 公司層面控制 信息安全管理成熟度 風險評估 ? M an ag e m e nt Co nt r ol s? M an ag e m e nt s up po r t a nd c om m i t m e nt? M an ag e m e nt r e vi e w? Pe r f or m r i s k as s e s s m e nt an d m an ag e m e nt? I nt e r na l a ud i t? Tr ai ni ng ? Do c um e nt c on t r ol? M an ag e m e nt Co nt r ol s? M an ag e m e nt s up po r t a nd c om m i t m e nt? M an ag e m e nt r e vi e w? Pe r f or m r i s k as s e s s m e nt an d m an ag e m e nt? I nt e r na l a ud i t? Tr ai ni ng ? Do c um e nt c on t r ol研發(fā) 銷售 採購 生產(chǎn) 庫存 整體企業(yè)重要資訊資產(chǎn)?原物料資訊?採購價格?客戶信用額度?客戶財務資訊?報價資訊?交期?市場與價格預測?客戶交付之設計圖?模具 /光罩?CAD /ProE圖?研發(fā)日誌?技術(shù)發(fā)想?機臺組裝參數(shù)?機臺種類?產(chǎn)能規(guī)劃?產(chǎn)能資訊?製程參數(shù)?排程資訊?存貨數(shù)?庫存量?呆滯天數(shù)?客戶交易情況?採購原料價格?存貨成本?產(chǎn)能運用狀況?主要客戶資訊研發(fā) 銷售 採購 生產(chǎn) 庫存 整體企業(yè)重要資訊資產(chǎn)原物料資訊採購價格客戶信用額度客戶財務資訊報價資訊交期市場與價格預測客戶交付之設計圖模具 光罩圖研發(fā)日誌技術(shù)發(fā)想機臺組裝參數(shù)機臺種類產(chǎn)能規(guī)劃產(chǎn)能資訊製程參數(shù)排程資訊存貨數(shù)庫存量呆滯天數(shù)客戶交易情況採購原料價格存貨成本產(chǎn)能運用狀況主要客戶資訊? 目標 ? 從業(yè)務的角度分析貴公司對信息安全管理和技術(shù)的自身要求 ? 識別 與國內(nèi) 、 國際最佳信息安全實踐之間的差距并 改進 。 ? 識別各級監(jiān)管部門發(fā)布的有關(guān)信息安全監(jiān)管要求的差距并改進 ? 發(fā)現(xiàn)主要信息安全管理和技術(shù)風險并 改進 。 ? 實現(xiàn)方法 ? 通過 “ 資產(chǎn)風險評估 ” 、 “ 流程風險評估 ” 、 “ 信息安全技術(shù)架構(gòu)評估 ” 、 “數(shù)據(jù)安全 ” 的結(jié)果 ， 匯總分析形成最終的風險評估報告 。 ? 通過分析風險評估的結(jié)果 、 監(jiān)管要求以及國際的信息安全最佳實踐標準 ， 描述貴公司對信息安全管理和技術(shù)的要求 ，建立安全管理與技術(shù)體系模型并對比貴公司目前的安全現(xiàn)狀 ， 找出薄弱點并提出整改方案 。 信息安全風險評估 項目啟動和差異分析 風險評估 體系設計與發(fā)布 體系運行與監(jiān)控 認證及持續(xù)改進 風險評估標準 、 信息資產(chǎn)風險評估 (1/2) 業(yè)務流程 業(yè)務活動 信息資產(chǎn) 信息載體 業(yè)務目標 機密性 完整性 可用性 信息資產(chǎn)分類 ? 基于信息資產(chǎn)的重要等級分類 ， 深入分析貴公司的業(yè)務目標和流程 ? 透徹分析和識別出在業(yè)務活動和所有不同信息系統(tǒng)架構(gòu)層中的信息資產(chǎn) ? 根據(jù)安全的三個特性緯度 （ 機密性 ， 完整性 ， 可用性 ） 來判斷信息資產(chǎn)的價值 識別信息資產(chǎn) 定義信息資產(chǎn)的自然屬性 決定信息資產(chǎn)的屬性 分類的信息資產(chǎn) 、 信息資產(chǎn)風險評估 (2/2) ? 在 對 IT流程評估需要對現(xiàn)有流程設計文檔分析 ，對流程的 角色、職責、 活動、 輸入輸出、 KPI等分析，識別關(guān)鍵控制點。 IT流程風險 評估為后續(xù)的流程優(yōu)化打下了基礎。 、 IT流程評估 、信息安全技術(shù)架構(gòu)風險評估 物理 終端 主機 應用 網(wǎng)絡 響應恢復 工具掃描 文檔審閱 配置檢查 滲透測試 安全技術(shù)風險評估 ? 評估技術(shù)評估工具對貴公司的物理、網(wǎng)絡、主機、應用、終端等方面的信息安全風險進行評估。 風險評估階段工作成果 信息安全風險 評估報告 體系建立 與發(fā)布 建立適合 貴公司 的 信息安全 管理 體系 階段三 主要任務 體系 設計與發(fā)布 ? 確定風險接受標準 ? 制定風險處置計劃 ? 管理層匯報 ? 定制風險處置實施整改計劃 ? 依據(jù)信息與業(yè)務重要性，制定各級信息安全管理制度和流程 ? 信息安全體系技術(shù) 控制 落地 及管理落地 建議 ? 依據(jù)不同對象與時機，按需制定支持上述流程的工作指導書 ? 信息安全管理體系發(fā)布 及培訓 ISMS 策略 ISMS 制度和 流程 工作指導書、操作 手冊 、模板、檢查表等 表單 、記錄 1級 2級 3級 4級 信息安全管理體系文件 第一級 ? 信息安全方針 ? 信息安全管理評審程序 ? 信息安全內(nèi)審管理程序 ? 糾正和預防措施管理程序 ? 文檔記錄管控程序 ? 有效性測量程序 ? 信息資產(chǎn)分類標準 ? 風險評估實施指南 ? 信息保密管理辦法 ? 人員安全管理程序 ? 培訓管理規(guī)定 ? 第三方安全管理規(guī)定 ? 機房安全管理規(guī)定 ? 辦公區(qū)域安全管理規(guī)定 ? 系統(tǒng)試運行審查規(guī)定 ? 系統(tǒng)安全管理規(guī)范 ? 網(wǎng)絡運維管理規(guī)范 ? IT終端設備使用管理規(guī)范 ? 變更管理規(guī)定 ? 帳戶安全管理規(guī)范 ? 防病毒管理策略 第二級 第三級 ? 脆弱性檢查列表 ? 威脅檢查表 ? 內(nèi)部審計檢查項 第四級 ? 審計報告 ? 日志檢查表 ? 文件加密指南 ? 移動辦公守則 ? 信息安全管理手冊 ? 其它 表單 風險處置方法 風險處置計劃 序號 整改類型 負責部門 風險描述 優(yōu)先等級 整改措施 完成時間 責任人 管理是否已確定 1 物理安全 運維部 機房濕度過低 ， 容易造成電火花以及靜電 ， 給 IDC業(yè)務帶來風險 高 調(diào)整機房濕度至合適范圍 ， 并設置遠程監(jiān)控與報警機制 。 2023年 9月 7日 張三 是 2 法律法規(guī)合規(guī) 運維部 單位或個人通過托管的服務器 ， 利用IDC中心從事危害國家安全 、 泄露國家機密等違法犯罪活動 高 任保障書 ， 明確責任與義務 、 監(jiān)督和檢