信息安全咨询项目文档说明本文档所涉及到的文字、图表等,仅限于公司及被呈送方内部使用,未经被呈送方及公司书面许可,不得扩散到第三方。目录1概述41。1项目背景41。2项目目标51。3项目实施思路61.4参考标准62项目实施方案73一阶段项目工作说明83.1充分定义93.2量化控制103。3运行检验124二阶段项目工作说明134。1充分定义134.2量化控制144.3运行检验165三阶段项目工作说明165。1充分定义175.2量化控制185。3运行检验191 概述1.1 项目背景医疗科技有限公司(以下简称)是专业从事高端医疗设备及相关技术研发、生产、销售的高新技术企业.总部位于上海嘉定,包含运营总部、研发中心及生产基地,一二期计划占地 400 余亩,届时将成为中国医疗行业最大规模的高技术产业化示范基地.同时在上海浦东新区张江高科园以及深圳育成中心分别建立了两大基地,进行以市场为导向的产品研发.是目前国内唯一一家产品线覆盖全线高端医疗影像设备的大型医疗设备公司。在产品研发和技术创新方面,是首批获得“上海市十大产学研合作创新示范基地”称号的企业之一,拥有行业领先的核心技术,获得专利技术 240 余项,申请发明专利占 70%以上,以及在未来 3—5 年内将形成一个跨各大产品线,拥有 1000 项专利规模的大型医疗设备高科技企业。随着的快速进展,业务经营和管理对信息系统和核心数据依赖程度越来越广泛和深化,对 IT 系统及信息的保密性、完整性和可用性的保护的要求也越来越高.为了加强信息安全建设,提升信息安全保障水平,落实信息安全体系规划,提高员工的安全意识,启动了信息安全管理体系建设项目。1.2 项目目标为了提升整体信息安全管理水平和抗风险能力,保障业务持续安全运行,需要根据国际先进信息安全管理机制,同时结合实际情况和需求来进行信息安全体系的建设。项目根据 ISO/IEC27001 标准体系,综合信息安全现状,从体系化角度,在已有信息安全技术评估的基础上进行信息安全管理调研,展开综合风险评估(包含技术性分析与管理性分析),针对当前保障机制下存在的问题和安全薄弱环节,以体系化的思路提交整改策略、整改报告及形成建设讨论实践成果。项目建设根据《ISO27001 信息安全体系标准》和《国家信息系统等级保护规定》要求,做好与的结合点讨论与建设,其讨论与建设应覆盖组织、管理、技术三个领域进行。通过 ISO27001 体系的讨论,实践并法律规范信息安全风险评估方法、技术监测监管、应急响应机制,完成基于 ISO27001 ...
