安永安全管理体系ISO27001认证咨询服务介绍

安永安全管理体系ISO27001认证咨询服务介绍Page2第一部分：安永介绍关于安永—安永的全球规模安永是全球领先的专业服务公司，在140多个国家及地区设有约700多个办事处，拥有超过152,000名专业人才，2011年度全球总收入约230亿美元。除了提供审计服务外，安永提供的咨询服务包括税务、收购合并、改善内控制度、风险管理、信息安全以及公司治理方案等。我们为《财富》500强中超过75%、标准普尔指数成份股中65%的企业，提供审计、税务、风险管理和其他咨询服务。23%25%52%《财富》全球500强企业—安永服务的企业所占百分比审计客户税务、风险管理等非审计咨询服务客户指数中所有其他客户35%25%40%标准普尔1200指数成份股企业—安永服务的企业所占百分比审计客户税务、风险管理等非审计咨询服务客户指数中所有其他客户►全球前十大风险管理咨询企业►为财富500强中75%的企业、国内60%的上市公司提供专业服务►与国资委、财政部、发改委、保监会、银监会、证监会等管理部门建立了良好的关系,由于安永的良好声誉，安永得以入选国资委09年度央企审计项目入围会计师事务所北美洲：38,000人分布于119个城市中南美洲：10,000人分布于30个城市中东及非洲：9,000人分布于77个城市澳大利亚/新西兰：9,000人分布于16个城市欧洲：41,000人分布于362个城市日本：3,000人分布于30个城市亚洲：20,000人分布于75个城市►信息安全管理咨询服务►IT服务管理咨询服务►IT风险评估服务►IT内部审计服务►IT内控合规及优化服务►IT绩效评估服务安永信息科技专业服务Ernst&YoungisaleaderinInformationSecurityandRiskConsultingServices.Source:TheForresterWave™:InformationSecurityandRiskConsultingServices,Q32010,ForresterResearch,Inc.,August2nd,2010国际著名IT咨询机构Forrester发布的全球信息科技安全与风险咨询报告关于安永—信息科技风险咨询服务安永及其信息科技风险咨询服务一直被视为信息系统审计与信息安全咨询行业的领导者，在国际著名IT咨询机构Forrester发布的全球信息科技安全与风险咨询报告中，安永连续被评为信息安全与信息风险服务行业的最佳咨询公司之一。我们已经连续十四年在全球范围内进行信息安全调查(GISS)，调查的参与者包括了52个国家中的1700个不同行业的企业，调查问卷参考了ISO27001信息安全管理体系框架，为各企业管理层做出信息安全方面的重要决策提供深入的参考信息。安永在中国大陆和香港地区的信息科技风险咨询服务部门目前正为中国大陆和香港地区的200多家企业提供科技与信息安全方面的服务，这些公司中包括了上市公司、国有企业、金融机构、政府部门、以及跨国企业等。关于安永—信息科技风险咨询服务在中国的专业IT咨询服务团队►安永在大中华区有超过300人的IT风险咨询顾问，其中在北京,上海,广州,深圳,香港,台湾等地更是具有专注在IT咨询服务的团队。安永IT咨询服务团队上海香港广州深圳北京台北武汉我们在中国地区的IT咨询服务团队介绍：►在中国有超过300位专注于IT咨询领域的顾问专家。►安全顾问有不同的背景专长，技能覆盖信息安全的各个方面。►拥有下面专业证书资质:•CISSP•CISM•CISA•BS25999LA•ISO27001LA•ISO20000LA•PMP•ITIL安永信息科技管理咨询服务科技与信息安全咨询服务（ITRA）在中国有超过300人的专业服务团队，在华北、华中与华南三大区域为客户提供信息系统审计、信息安全、及信息技术相关咨询等方面的专业服务，主要服务类型如下：IT战略规划IT治理数据管理IT服务管理咨询服务第三方报告信息安全咨询服务IT鉴证审计ERP系统咨询IT内部控制评估IT内部审计全面的信息科技管理咨询业务(续)全生命周期的管理咨询服务ISO20000咨询服务ISO27001咨询服务安全策略标准规划等级化安全体系规划信息科技绩效考核安永的行业经验—信息科技风险咨询服务及优势安永近期安全项目：信息系统风险评估服务►帮助企业发现存在的安全漏洞和威胁，并提供技术、流程层面的建议信息安全管理咨询服务►信息安全管理体系实施及信息安全路线图规划业务连续性管理服务►防患未然,提升企业应对灾难保持业务连续性的能力隐私和数据保护服务►数据分级保护,使用DLP技术来保护敏感数据身份认证与访问管理服务►帮助客户定义与统一管理授权流程与角色职能，提升防范恶意访问的能力云安全服务►立足于云服务生命周期的安全需求，提供相应的安全服务信息安全快速评估服务►用最短的周期和成本，为客户快速诊断信息安全症结所在热门话题►客户数据与机密数据保护►业务连续性管理►信息安全治理►身份认证与访问控制管理►虚拟化技术与云计算安永提供的热门服务:世界最大电力企业之一►信息安全体系和数据保护咨询国内最大的新能源企业►ISO27001服务管理体系实施国内最大的保险公司►信息安全ISO27001管理体系实施全球最大的白色家电制造商►信息安全ISO27001管理体系与数据泄漏保护实施全球某大芯片制造商►数据泄漏保护实施(R&D)国内第二大银行►信息科技等级保护体系建设Page10第二部分：信息安全管理体系建设安永信息安全管理咨询服务安永的信息安全管理咨询服务根据组织的不同需求为其量身定做适合自己的信息安全管理体系，帮助企业更好的加强自身信息安全管理水平，降低企业业务运作过程中的风险。并采用可信任的控制措施，提供行业解决方案，满足客户的不同需求。根据ISO27001，信息安全管理体系包括：►11个详细的控制子条款►39个控制目标►133个控制业务连续性管理权限控制系统获取开发维护管理沟通与运营管理人力资源安全合规性资产管理信息安全组织物理环境安全信息安全事故管理信息客户记录个人记录法律记录安全策略策略程序、流程工作指导书、操作说明、模板、检查表等文档、记录安永ISO27001实施方法论(1/2)计划（PLAN）实施(DO)检查(CHECK)改进（Act）业务现状了解信息资产识别威胁脆弱性当前控制措施风险评价风险处置制定风险接受标准制定ISMS文档架构策略程序与流程指导书、模板等文档、记录等1级2级3级4级可能性严重性持续改进机制管理层评审内部ISMS审计持续的风险评估ISMS体系度量与监控体系运行符合性指标效能指标损失性指标改进需求预防性措施纠正性措施风险评估风险处置计划识别不合格项根源分析记录与追踪识别潜在不合格项制定预防措施记录与追踪体系发布安永的项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标。在贵公司的整体业务风险框架内，依据ISO27001标准，以风险评估为基础，根据风险处置计划建立和实施信息安全管理体系（ISMS）以管理信息安全风险。并通过建立相关监控体系评估ISMS的有效性，最终将针对监测结果对信息安全管理体系进行持续改进。安永ISO27001实施方法论(2/2)项目实施采取的程序项目可能用到的工具►访谈►文档审阅►调查问卷►现场检查►系统检查►技术扫描►信息安全风险评估工具►网络脆弱性评估►服务器端口扫描►资产识别工具►渗透测试►信息安全控制审计序号标准名称1ISO27001：2005信息安全管理体系要求3ISO27002-27005信息安全管理使用规则实施指南风险评估4SP800-美国国家标准技术委员会信息安全技术和管理领域的实践参考指南5《信息系统安全等级保护基本要求》6《信息系统安全等级保护实施指南》7GB22080-2008-T信息技术安全技术信息安全管理体系要求8GB22081-2008-T信息技术安全技术信息安全管理实用规则9GB50174-2008电子信息系统机房设计规范10GBT20270-2006信息安全技术网络基础安全技术要求11GBT21028-2007信息安全技术服务器安全技术要求12GBT21052-2007信息安全技术信息系统物理安全技术要求参考的相关标准项目实施采取的程序和可能用到的工具项目启动和差异分析►项目启动会议，确定项目团队、建立项目组管理架构►信息安全管理现状的快速评估►信息安全管理体系差异分析►设计信息安全方针►设计信息安全管理组织架构►信息安全管理培训►阶段项目总结会议►项目计划►差异分析报告►信息安全管理组织架构►信息安全方针阶段主要任务主要交付品项目实施步骤风险评估►资产收集及风险评估方法与标准►资产级别划分标准►技术弱点扫描报告►资产清单、威胁列表、脆弱性列表、风险列表►风险评估报告►制定资产识别标准（包含保密级别划分）►资产收集及风险评估方法培训►信息资产收集►识别威胁、脆弱性、并安全漏洞扫描►评估风险，划分风险等级►阶段项目总结会议体系设计与发布►风险容忍标准及风险处置计划►适用性声明►ISMS制度和流程►ISMS体系、事故响应培训►信息安全体系技术落地建议书体系运行与监控►ISMS绩效监控流程►信息安全推广培训认证及持续改进►ISMS内审报告►ISMS外审报告及改进►ISMS管理评审报告►项目总结报告12345►确定风险容忍度和风险偏好►确定风险处置措施并实施整改计划►制度整合及信息安全管理体系文档编写►信息安全体系技术控制及管理落地建议►信息安全管理体系发布及培训►阶段项目总结会议►制定信息安全管理绩效监控流程►信息安全管理体系试运行►体系运行监控►业务连续性管理培训►阶段项目总结会议►ISMS内审培训►ISMS内审►ISMS外审►ISMS管理评审►纠正、预防措施持续改进建议►项目总结会议►协助后续的内审和临审PlanDoCheckAct►目标►对信息安全的要求、信息安全组织架构、ISMS文件体系、信息安全流程、信息安全技术架构和技术设施管理情况、以及员工的信息安全意识进行综合调研分析。►通过管理和技术手段并用的方式全面了解贵公司的信息安全现状，为后续的工作打好基础►实现方法►资料收集及分析►问卷调查►现场访谈►实地走查►技术调研等方式安永信息安全管理最佳实践信息安全标准及监管要求贵公司信息安全需求信息安全现状调研总结报告制定调研方案现场访谈问卷调查技术调研资料收集文件审核1、现状调研项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进1、现状调研项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进项目启动和差异分析►确定项目范围、建立项目组管理架构，并完成现状分析►对项目范围内现有管理体系、流程，包含内部控制制度等进行分析►业务与信息管理架构分析与设计►项目范围內信息平台、应用系统分析►项目范围內相关部门与重要信息资产的互动与权限分析►信息安全管理体系与国际标准ISO27001对标►信息安全方针设计阶段一主要任务现有制度与流程组织架构与职责信息技术与平台各职能部门信息安全现状诊断主要范围資訊安全(ISMS,ISO27001)資訊安全政策企業入口網站MESERPSPCYLDRMSPDMEMSTagRWEAPDISPDWCRMHRISAPSKMEquipmentSCM客戶供應商外包商服務提供廠商員工市場需求人員安全實體及環境安全訊息溝通及作業安全存取控制資訊系統取得、開發及維護業務持續營運計畫符合性資產管理資訊安全事件管理資訊安全組織往來銀行資訊安全(ISMS,ISO27001)資訊安全政策企業入口網站MESERPSPCYLDRMSPDMEMSTagRWEAPDISPDWCRMHRISAPSKMEquipmentSCM客戶供應商外包商服務提供廠商員工市場需求人員安全實體及環境安全訊息溝通及作業安全存取控制資訊系統取得、開發及維護業務持續營運計畫符合性資產管理資訊安全事件管理資訊安全組織往來銀行►收集项目相关的文档，通过对收集的资料进行分析，快速了解贵公司信息安全基本情况为后续工作打好基础。1.1、资料收集►对贵公司现存的信息安全管