【正文】 2023年 2月 1日星期三 1時 11分 23秒 13:11:231 February 2023 ? 1一個人即使已登上頂峰，也仍要自強不息。勝人者有力，自勝者強。 , February 1, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。 。 :11:2313:11Feb231Feb23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 2023年 2月 1日星期三 1時 11分 23秒 13:11:231 February 2023 ? 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 :11:2313:11:23February 1, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 , February 1, 2023 ? 雨中黃葉樹，燈下白頭人。 ? 認證前培訓(xùn) ：為了確保通過外審，顧問將對 ISMS范圍內(nèi)的各部門安全管理員進行培訓(xùn)，介紹外審過程和關(guān)注要點。 ? 目標 ? 推動 ISMS體系在貴公司運行 ， 并獲得審核機構(gòu)頒發(fā)的 27001認證 。 監(jiān)督層 負責(zé)信息安全日常工作，收集數(shù)據(jù)和計算安全指標。 影響類 用于度量安全事件對業(yè)務(wù)的影響，主要考核事后安全工作。 、安全職責(zé)細化（ 2/2） 落地示例 信息安全責(zé)任 落實到 “人 ” 信息安全指南 落實到 “步驟 ” 信息安全度量 落實到 “指標 ” 、安全測量指標 ? 為了 有效的監(jiān)控 ISMS體系運行的效果，及時發(fā)現(xiàn) ISMS存在的 不足并改進，應(yīng) 建立 ISMS運行有效性測量體系 ，測量 體系應(yīng)至少包括測量指標、測量數(shù)據(jù)來源、測量周期、測量防范、測量責(zé)任人、測量結(jié)果等要素。 、信息安全技術(shù)和管理落地（ 1/2） ? 建設(shè)緊迫性分析 合規(guī)方面的強制要求 。 《 貴公司 XXX工作管理指引 》 《 貴公司 信息安全管理體系 》 對應(yīng) 要求 《 貴公司 現(xiàn)有制度 體系，包括集團信息安全要求 》 控制程序 作業(yè)指導(dǎo)書、表格、文檔 模版以及報告等 總體規(guī)定 ? 軟件需求管理辦法 ? 信息系統(tǒng)項目管理辦法 ? 外包項目管理辦法 ? 安全管理制度框架及管理規(guī)定 ? … … ? 軟件需求管理控制程序 ? 項目管理控制程序 ? 應(yīng)用系統(tǒng)安全管理規(guī)定 ? 計算機機房管理控制程序 ? 運行維護文檔管理控制程序 ? … … ? 應(yīng)用軟件程序維護作業(yè)指導(dǎo)書 ? 安全服務(wù)管理業(yè)務(wù)指導(dǎo)書 ? 網(wǎng)絡(luò)配置變更作業(yè)指導(dǎo)書 ? 應(yīng)用軟件程序維護作業(yè)流程圖 ? 網(wǎng)管系統(tǒng)維護記錄周報 ? … … 《 信息安全技術(shù)信息系統(tǒng)安全等級保護 》 對應(yīng) 要求 對應(yīng) 要求 … 、信息安全組織體系建設(shè) ? 安永將根據(jù)貴公司 實際情況設(shè)計信息安全組織架構(gòu)及各部門職責(zé)。 風(fēng)險評估階段工作成果 信息安全風(fēng)險 評估報告 體系建立 與發(fā)布 建立適合 貴公司 的 信息安全 管理 體系 階段三 主要任務(wù) 體系 設(shè)計與發(fā)布 ? 確定風(fēng)險接受標準 ? 制定風(fēng)險處置計劃 ? 管理層匯報 ? 定制風(fēng)險處置實施整改計劃 ? 依據(jù)信息與業(yè)務(wù)重要性，制定各級信息安全管理制度和流程 ? 信息安全體系技術(shù) 控制 落地 及管理落地 建議 ? 依據(jù)不同對象與時機，按需制定支持上述流程的工作指導(dǎo)書 ? 信息安全管理體系發(fā)布 及培訓(xùn) ISMS 策略 ISMS 制度和 流程 工作指導(dǎo)書、操作 手冊 、模板、檢查表等 表單 、記錄 1級 2級 3級 4級 信息安全管理體系文件 第一級 ? 信息安全方針 ? 信息安全管理評審程序 ? 信息安全內(nèi)審管理程序 ? 糾正和預(yù)防措施管理程序 ? 文檔記錄管控程序 ? 有效性測量程序 ? 信息資產(chǎn)分類標準 ? 風(fēng)險評估實施指南 ? 信息保密管理辦法 ? 人員安全管理程序 ? 培訓(xùn)管理規(guī)定 ? 第三方安全管理規(guī)定 ? 機房安全管理規(guī)定 ? 辦公區(qū)域安全管理規(guī)定 ? 系統(tǒng)試運行審查規(guī)定 ? 系統(tǒng)安全管理規(guī)范 ? 網(wǎng)絡(luò)運維管理規(guī)范 ? IT終端設(shè)備使用管理規(guī)范 ? 變更管理規(guī)定 ? 帳戶安全管理規(guī)范 ? 防病毒管理策略 第二級 第三級 ? 脆弱性檢查列表 ? 威脅檢查表 ? 內(nèi)部審計檢查項 第四級 ? 審計報告 ? 日志檢查表 ? 文件加密指南 ? 移動辦公守則 ? 信息安全管理手冊 ? 其它 表單 風(fēng)險處置方法 風(fēng)險處置計劃 序號 整改類型 負責(zé)部門 風(fēng)險描述 優(yōu)先等級 整改措施 完成時間 責(zé)任人 管理是否已確定 1 物理安全 運維部 機房濕度過低 ， 容易造成電火花以及靜電 ， 給 IDC業(yè)務(wù)帶來風(fēng)險 高 調(diào)整機房濕度至合適范圍 ， 并設(shè)置遠程監(jiān)控與報警機制 。 ? 通過分析風(fēng)險評估的結(jié)果 、 監(jiān)管要求以及國際的信息安全最佳實踐標準 ， 描述貴公司對信息安全管理和技術(shù)的要求 ，建立安全管理與技術(shù)體系模型并對比貴公司目前的安全現(xiàn)狀 ， 找出薄弱點并提出整改方案 。 ? 根據(jù)不同的對象設(shè)計不同的調(diào)研問卷，充分了解相關(guān)領(lǐng)域的信息安全管理現(xiàn)狀，具體事例如下： 、 問卷調(diào)查 ? 通過安永的技術(shù)工具及人工檢查等手段對不同類型的系統(tǒng)進行調(diào)研。 信息安全管理制度 信息安全 職責(zé)矩陣及 工作職責(zé)文檔 信息安全測量 體系文檔 信息安全考核文檔 數(shù)據(jù)備份和恢復(fù)策略 信息安全培訓(xùn)文檔 、文件審核 ? 訪談目的和范圍 ? 根據(jù)項目范圍 ， 訪談貴公司管理層以及重要部門業(yè)務(wù)骨干人員 。并通過建立相關(guān)監(jiān)控體系評估 ISMS的有效性，最終將針對監(jiān)測結(jié)果對信息安全管理體系進行持續(xù)改進。 ? 擁有下面專業(yè)證書資質(zhì) : ? CISSP ? CISM ? CISA ? BS25999 LA ? ISO27001 LA ? ISO20230 LA ? PMP ? ITIL 安永 信息 科技管理 咨詢服務(wù) 科技與信息安全咨詢服務(wù)（ ITRA） 在中國 有超過 300人的專業(yè)服務(wù)團隊，在華北、華中與華南 三大區(qū)域為客戶提供信息系統(tǒng)審計、信息安全、及信息技術(shù)相關(guān)咨詢等方面的專業(yè)服務(wù)，主要服務(wù)類型如下： IT戰(zhàn)略規(guī)劃 IT治理 數(shù)據(jù)管理 IT服務(wù)管理咨詢服務(wù) 第三方報告 信息安全咨詢服務(wù) IT鑒證審計 ERP系統(tǒng)咨詢 IT內(nèi)部控制評估 IT內(nèi)部審計 全面的 信息科技管理 咨詢業(yè)務(wù) (續(xù) ) 全生命周期的管理咨詢服務(wù) ISO20230咨詢服務(wù) ISO27001咨詢服務(wù) 安全策略標準規(guī)劃 等級化安全體系規(guī)劃 信息科技績效考核 安永 的行業(yè)經(jīng)驗 — 信息科技風(fēng)險咨詢服務(wù)及優(yōu)勢 安永近期 安全 項目： 信息系統(tǒng)風(fēng)險評估服務(wù) ? 幫助企業(yè)發(fā)現(xiàn)存在的安全漏洞和威脅，并提供技術(shù)、流程層面的建議 信息安全管理咨詢服務(wù) ? 信息安全管理體系實施及信息安全路線圖規(guī)劃 業(yè)務(wù)連續(xù)性管理服務(wù) ? 防患未然 ,提升企業(yè)應(yīng)對災(zāi)難保持業(yè)務(wù)連續(xù)性的能力 隱私和數(shù)據(jù)保護服務(wù) ? 數(shù)據(jù)分級保護 , 使用 DLP技術(shù)來保護敏感數(shù)據(jù) 身份認證與訪問管理服務(wù) ? 幫助客戶定義與統(tǒng)一管理授權(quán)流程與角色職能，提升防范惡意訪問的能力 云安全服務(wù) ? 立足于云服務(wù)生命周期的安全需求，提供相應(yīng)的安全服務(wù) 信息安全快速評估服務(wù) ? 用最短的周期和成本，為客戶快速診斷信息安全癥結(jié)所在 熱門話題 ? 客戶數(shù)據(jù)與機密數(shù)據(jù)保護 ? 業(yè)務(wù)連續(xù)性管理 ? 信息安全治理 ? 身份認證與訪問控制管理 ? 虛擬化技術(shù)與云計算 安永提供的熱門服務(wù) : 世界最大電力企業(yè)之一 ? 信息安全體系和數(shù)據(jù)保護咨詢 國內(nèi)最大的新能源企業(yè) ? ISO27001服務(wù)管理體系實施 國內(nèi)最大的保險公司 ? 信息安全 ISO27001管理體系實