建立ISMS是一项艰苦而细致的工作,需要双方的积极协作和配合。网络企业或机构的领导层要对ISMS的建立做出承诺,同时配备必要的人力、物力和财力资源,网络企业或机构的全体员工也要在体系建立过程中给予咨询师充分的配合。广州信能管理咨询有限公司将根据网络企业或机构的需要,提供ISMS的全过程专业化的咨询服务。
按照建立ISMS信息安全管理体系的要求,我们把整个过程分为五个阶段,其实施流程如下:
第一阶段:准备阶段
★ISO/IEC27001:2013标准培训
此培训包含信息安全意识培训和标准精要培训两部分,时间两天,通过培训使网络企业或机构管理人员熟悉了解ISO/IEC27001:2013标准的基本内容和要求,提高网络企业或机构全体员工的信息安全意识。
★差距分析
广州信能咨询师会同网络企业或机构有关人员对现行的信息安全管理体系与ISO/IEC27001:2005信息安全管理体系标准要求进行比照性诊断,找出存在的问题和可以在新体系中继续采用的管理体制,作为下一步开展工作的依据。我们建议对企业或机构整个网络系统作一个详细的网络安全测试,时间为期3人6天为系统加固和建立信息安全管理体系提供足够的证据。
差距分析后,广州信能咨询师会充分与网络企业或机构高层沟通交流信息安全存在的问题与改进的建议,协助企业确定体系覆盖范围、信息安全方针、控制措施、适用性声明等,改进信息安全。所有问题及建议,我们会以差距分析报告的形式提交企业或机构或机构。
★制定详细实施计划
根据差距分析结果,制定出详尽的整个体系实施工作计划,并将每项工作落实到部门和具体的时间。
★建立信息安全管理组织机构
按照网络企业或机构的组织机构特点,广州信能咨询师会协助建立信息安全管理组织并落实。网络企业或机构须任命一名信息安全管理者代表/信息安全经理,全面负责信息安全管理体系的建立、实施、改善和对外联络工作。
第二阶段:风险评估阶段
★风险评估与管理培训
风险评估与管理培训时间为2天,培训对象为管理人员与技术人员。通过培训,使大家掌握资产识别和风险评估的方法、步骤、技巧,提高参训人员的实操能力。考虑网络企业或机构的实际情况,建议对网络企业或机构信息系统管理和技术人员进行为期3天的专业化的信息安全风险评估培训,为今后网络企业或机构独立开展专风险评估活动打下扎实的基础。
★风险评估
在所确定的信息安全管理体系范围内,分析组织内与信息安全有关的资产,对资产进行识别与评价,识别和评价所面临的信息安全威胁、脆弱性及其对信息安全的影响,确认已有的信息安全控制措施,实施风险评估。广州信能咨询师提供现场风险评估指导和风险评估评审,来解决风险评估过程中存在的实操和文件中的错误和不足。
网络安全测试作为风险评估的一项重要工作,需要对组织的信息系统进行渗透性检测和漏洞扫描,找出存在的系统弱点、漏洞及错误,制定改进措施,并给予纠正。网络安全测试是通过测试工具和手工方式对信息系统安全要求、安全策略、安全机制、安全措施等制定、选择、实施的正确性进行整体验证,协助企业或机构发现技术和管理层面的漏洞和缺陷,它包括信息系统安全体系架构合理性分析、网络安全测试、脆弱性评估、安全配置检测、源代码审查(可选)五项内容。
如果在差距分析中进行了网络安全测试,并得到系统加固和网络安全改进,第二次网络安全测试可以放在风险评估阶段或第一次内审时进行,建议网络安全测试为期3人4天。
★制定风险处理计划
根据风险评估结果制定风险处理计划,计划主要列出对目前存在的风险应采取的安全控制措施、职责和优先级。
★编制适用性声明(SoA)
适用性声明是组织为满足需要而选择的目标和控制方法的评论性文件。声明也将记录任何控制的排除。适用性声明发布前应经过网络企业或机构管理层的批准。
★制定业务持续性计划
业务持续性计划一般包括计划启动的条件、应急程序、备用程序、计划维护时间要求等。组织为降低安全事故对组织业务的影响,应编制业务持续性计划,并定期进行测试与评审。
第三阶段:ISMS文件建立阶段
★确定信息安全管理体系架构
根据网络企业或机构实际情况,确定ISO/IEC27001:2013条文要素流程及控制要求,建立起自己的ISMS的架构,列出信息安全手册和必须编制的程序文件清单。
★体系文件编写及培训
广州信能咨询师帮助企业或机构或机构组成编写小组,对编写文件的所有人员进行一次为期2天的文件编写培训,包括编写格式、编写风格、注意事项、各层次相关性、文件间的相容性、案例分析、编写实操等等,编写过程中并指导体系文件的具体编写和修改。
指导信息安全手册的编写
信息安全手册必须全面覆盖ISO/IEC27001:2013标准要求,标准中每一项信息安全管理活动须有具体部门去落实,所采用的控制方法能达到标准要求,信息安全手册充分体现企业或机构特点,能充分展现企业或机构信息安全管理的原则、方法、控制措施和改善水平。
⑵ 指导信息安全管理程序文件的编写
信息安全管理程序文件是信息安全手册的支持性文件,信息安全管理程序文件要遵循信息安全手册规定的原则,按照ISO/IEC27001:2013标准要求,并依据企业或机构情况将各信息安全管理活动执行过程书面规定,使企业或机构按照程序文件书面规定的途径去开展信息安全管理控制。
⑶ 信息安全管理作业指导书和记录表格的编写
信息安全管理指导工作文件是信息安全管理程序文件直接引用的支持性文件,要求根据企业或机构的信息安全管理特点、人员素质、资源条件、按需要将每个操作点、控制点、检验点、管理点具体的执行方法、步骤、采用的手段和工具、所要达到的合格标准及所产生的记录等,用书面的或其它的可视的方法规到充分详细的程度,并作为按程序文件规定的途径到该点所必须依据的具体操作方法。
★信息安全管理体系文件评审及发布
信能咨询师会同企业或机构信息安全管理小组人员对所有文件进行评审,确保文件既符合标准要求,又适用企业或机构实际。文件评审修改后由企业或机构最高管理层批准,在全企业或机构范围内发布。
★信息安全管理体系文件宣贯
在信息安全管理体系文件全面推行前,企业或机构要进行ISMS实施前培训,使相关人员能了解信息安全管理体系实施的要求,企业或机构涉及人员要学习掌握信息安全手册及信息安全管理程序文件。
第四阶段:ISMS运行和持续改进阶段
★试运行
网络企业或机构根据制定体系在规定范围内进行试运行,检验信息安全管理体系文件的有效性和可行性。对发现问题进行制定纠正和预防措施,进行改进和完善。期间特别要对所制定的业务持续性计划进行演练。
★内审员培训
为期2天,负责内部信息安全审核员培训,给获委派的骨干,讲解内审的作用、意义、程序及方法,如何进行现场审核,如何追踪检查不符合项,如何写内审总结报告,并利用案例分析及现场审核模拟,使受训人员全面掌握内审方法和技巧。在广州信能咨询师的指导下,在今后的实践中内审员能全面独立开展内部信息安全管理体系审核,能彻底找出企业或机构不符合ISO/IEC27001:2013的问题,并能全面指导企业改正,以保证企业ISMS的持续改善。
★组织内部审核(共两次)
信能咨询师指导企业或机构进行内部信息安全审核,以便他们今后能独立开展内审工作,对内审发现的不合格项,形成书面报告,经确认分发各部门,并向企业或机构领导呈交内审总结报告。第一次内审后,指导企业或机构内审员为主再组织一次内审,而今后企业或机构要根据实际情况要求内审员做出内审计划,连续开展内部信息安全审核工作。
★组织管理评审
针对内审输出情况,广州信能咨询师协助管理层进行管理评审,评价体系实施的有效性。
第五阶段:认证阶段
★提交认证申请
广州颐卓咨询将协助企业提交认证申请,协助企业或机构办理申请书和认证机构往来的文件,帮助确定认证公司机构文件审核和现场审核时间安排。
★现场认证
认证机构对申请方提交的申请材料进行文件审核,必要时进行初访,确定是否受理申请。如受理申请,认证机构将和受审核方商定审核日期并按计划进行现场审核。
★获证
网络企业或机构在规定时间内对审核所发现的不符合项进行整改,并将整改结果提交给认证机构。认证机构对整改结果进行验证,如通过则可获得相应证书。