ISO/IEC27001-2013 信息安全管理体系咨询方案书****信息技术有限公司2020 年 1 月咨询内容及进度计划工作项目编号工作任务 WBS 分解咨询时间安排客户参加人员各阶段保证要求启 动前 筹划1任务交底,拟定咨询方案及进度计划//确定贯标启动会时间,发布启动会通知启 动会2宣 贯 , 信 息 安 全(风险)基本概念讲解1 天骨 干 人员通过有效渠道组织全体员工逐层学习宣贯体 系策 划阶段3对公司进行信息管理现状调查,了解公 司 现 有 经 营 战略、规划、组织、资源的理解,确定目标,初步确定过程改进的体制2-3天管 理 者代表、主 管 部门 负 责人进行信息安全管理制度以及其他管理性文件的收集,包括公司经营战略订定,规划方式,相关部门的权责与接口4明确 ISMS 所覆盖的组织内部的范围管 理 者代表、主 管 部门 负 责人对于覆盖的范围进行确认,并规划 ISMS 涉及的组织范围,以保证体系的系统性5成 立 ISMS 项 目 组织,确定最高管理者、管理者代表和成员最 高 管理 者 、管 理 者代表保证体系的顺利贯彻、执行风 险评 估标 准培 训阶段6ISMS 标准及内审员培训3 天各 部 门指 定 的体 系 负责 人 、内 审 员3 天 均参加让参与信息安全管理的人员了解信息安全管理的要求,内审员掌握标准及审核知识,培养体系运行骨干,全体员工知晓7信息安全风险识别及评估方法培训管 理 者代 表 、主 管 部门全体 、 各部 门 指定 负 责人建立风险意识和风险评估机制,为全面识别信息安全风险做准备8信 息 安 全 风 险 识别、差距分析10-15 天管 理 者代 表 、主 管 部门全体 、 各部 门 指定 体 系负责人所有涉及到信息管理的部门、人员、流程全部参与,保证尽量无遗漏的识别出信息安全风险。进行漏洞扫描,以便掌握当前设系统的安全状态从 安 全 制 度 建 立 、 安 全 管 理 机构、资金保障、人员安全管理、系统建设管理、系统运维管理等方面进行差距分析9信息安全风险评估管 理 者代 表 、主 管 部门全体 、 各部 门 指定 体 系负责人根据公司信息安全管理目标要求对风险等级进行划分,以便针对不同级别风险,实施相应的控制手段,形成资产清单、重要资产清单,风险评估报告、风险建议残余风险报告文 件制 度建 设阶段10 建立 ISMS 文件框架20-30天管 理 者代 表 、主 管 部门 及 部门 负 责人根据风险评估的...
