1. 目的

   最大限度地指导顾客建立实施ISO27001信息安全管理体系，并及时获得证书。

2. 适用范围

    咨询师指导顾客各部门顾客建立实施ISO27001信息安全管理体系。

3. 职责

3.1 咨询师负责组织顾客相关部门建立实施ISO27001信息安全管理体系。

3.2 顾客各部门负责对各自范围内的ISO27001信息安全管理体系管理。

4. 工作内容

4.1项目进度安排

阶段 子阶段 工作内容 时间

准备阶段

项目开始+5工作日

SMS建立 建立框架 制定并建立ISMS框架，管理会议，安全小组会议，确定双方工作责任和范围，获得管理审批准备阶段+30工作日

差距分析 文档审查；进行安全状况调查；进行差距分析；输出报告，列出差异处并计划实际资源；设放

风险评估 识别信息资产，评估资产价值；确认漏洞和威胁并加以分析；输出风险评估报告；制定策略和手段把风险消减或转移；输出控制手段的理论报表和确定实施日期

安全控制 将风险评估报告内确定的控制手段转化为具体行动，例如安装设备，更改流程和意识培训等；控制实施进度和资源

适用性声明 编制SOA文档，审阅认证必需的相关文档案

SMS运行 ISMS建立阶段

+60工作日

SMS评审

复查和审核

针对差距分析和风险控制的结果进行定时复查；陪同客户接受认证公司的答问和检查，并就认证公司所审核出来的问题进行修改和完善

项目结束 SMS运行+5工作日

注：具体步骤还是以实施方案件为准，更详细的计划，待合同签订后，项目启动时提供，并得到双确认。

4.2实施方案

实施活动（工作） 目标 客户职责 金智达职责

1.成立信息安全管理体系领导小组 制定政策，落实职责、提供资源等。 指定有关人员 提出职责说明

2.成立信息安全管理体系工作小组 具体实施信息安全管理体系体系的建立工作 指定有关人员 提出职责说明及要求

3高层人员ISO/IEC 27001:2005

基础培训 了解和掌握开展ISO/IEC 27001:2005目的意义和标准的主要内容 指定有关人员和提供资源 提供培训和辅导

4.中层人员ISO/IEC 27001:2005

基础培训 了解和掌握开展ISO/IEC 27001:2005目的意义和标准的主要内容 指定有关人员和提供资源 提供培训和辅导

5.骨干人员和信息安全管理体系工作小组ISO/IEC 27001:2005基础培训 完全掌握开展ISO/IEC 27001:2005目的意义和标准的主要内容 指定有关人员和提供资源 提供培训和辅导

6.制订信息安全管理政策 明确信息安全管理的方向，统一意志 高层人员组织制订信息安全管理政策 协助制订信息安全管理政策

7.骨干人员和信息安全管理体系工作小组风险评估技术及方法培训 完全掌握风险评估技术及方法培训 指定有关人员和提供资源 提供培训和辅导

8.确定信息安全管理体系范围

公司总部的信息系统评估范围

各分公司整体的信息系统评估范围

各分公司机房的信息系统评估范围

各分公司用户使用信息系统评估范围

为建立信息安全管理体系奠定基础 各级人员参加和决定 协助和指导

9.制订风险分析工作准则 为全面开展风险分析奠定基础 工作小组制订 协助和指导，提供范本（例）

全面开展风险分析。包括： 建立风险评估小组 确定风险评估的范围 建立资产列表 对资产进行赋值 建立漏洞列表 建立威胁列表 识别出风险因素 相关人员和工作小组参加 协助和指导，提供范本（例）

编制风险说明书。包括： 建立控件对象，控件和对策 为安全论坛提供报告 监控和回顾 资产模板文档 资产登记文档 威胁，漏洞，控件表 风险评估小结报告 风险评估中使用控件列表 确定应管理和控制的风险 工作小组参加 协助和指导

12.建立信息安全管理组织机构 明确各级各类人员在 信息安全管理体系中的职责 落实职责 协助和指导

13明确企业重要信息资源库（ASEET）分级准则及控制要求

公司总部的信息系统库

分公司整体的信息系统库

包括：

信息资产文档资产软件资产物理资产人员资产公司形象和声誉服务 识别和控制企业重要信息资源 提供资源、制订规范、落实职责 协助和指导，提供范本（例）

14明确人员行为影响信息安全的控制准则和要求

包括： 安全岗位确定 人员培训 报告通道等 识别和控制人员行为安全 提供资源、制订规范、落实职责 协助和指导，提供范本（例）

15建立信息安全事故和灾难响应机制 快速和有效控制信息安全事故和灾难 提供资源、制订规范、落实职责 协助和指导，提供范本（例）

16建立物理和环境安全控制体系 包括： 安全区域 机房安全 设备安全 例行控制 从硬件、网络和环境方面确保信息安全 提供资源、制订规范、落实职责 协助和指导，提供范本（例）

17建立通讯和运行活动中的信息安全控制体系。 包括： 工作程序及职责 系统策划和接收 对抗恶意软件使用 维护 网络管理 安全使用介质 信息和软件交换 确保在企业日常通讯和运行活动中的信息安全 提供资源、制订规范、落实职责 协助和指导，提供范本（例）

18建立各种系统和设施访问控制的体系 包括： 商业性访问控制 内部用户访问控制 用户责任 网络访问控制 运行系统访问控制 应用访问控制 监督系统访问和控制 移动计算机和远程访问控制 确定各种访问系统和设施的准则和控制方法 提供资源、制订规范、落实职责 协助和指导，提供范本（例）

19信息安全体系运行监督机制的建立 包括: 事件记录 系统运行监督 确定信息安全体系运行监督的方法和准则 提供资源、制订规范、落实职责 协助和指导，提供范本（例）

20系统扩容或维护过程中的信息安全管理机制建立 包括： 系统安全要求 应用系统中的安全 密码管理 系统文件安全 开发和维护过程中的安全 确定系统扩容或维护过程中的信息安全管理准则和控制方法 提供资源、制订规范、落实职责 协助和指导，提供范本（例）

21持续商业活动中的信息安全管理机制建立 确定持续商业活动中的信息安全管理准则和控制方法 提供资源、制订规范、落实职责 协助和指导，提供范本（例）

22与法律要求符合性管理机制建立 确定与法律要求符合性管理准则和控制方法 提供资源、制订规范、落实职责 协助和指导，提供范本（例）

23企业信息安全系统正式运行动员大会 提高认识，明确工作要求 相关职能人员 协助和指导

24 企业信息安全系统正式运行 收集数据和记录 相关职能人员 协助和指导

25 企业信息安全体系内部审核员培训 掌握信息安全体系内部审核方法和技能 指定有关人员和提供资源 提供培训和辅导

26全面开展信息安全体系内部审核 识别信息安全体系改进环节的地方 相关人员和工作小组参加 协助和指导

27正式申请信息安全体系认证（如果需要的话） 获得第三方认证，树立形象 相关职能人员 协助和指导