一.实施项目目标及意义
1.目标
本项目的目标在于通过帮助贵公司识别信息安全风险,培养全体职工的信息安全意识,采用合理的管理和技术实践,系统的增强贵公司的信息保护能力。
同时,本项目将整合ISO9001体系,建立对公司内部所有成员、客户、供应商等都具有约束力的信息安全防范机制,并具有持续持续改进的能力,确保不断提升内部信息安全管理水平和不断提高服务质量。
2 内部效益
通过本项目的实施,贵公司将获得以下内部收益: 明晰信息安全对公司战略目标的重要意义,完善现有管理环节和资源配置,减少漏洞;通过对流程和权责的定义, 监控信息安全管理流程、 进行信息安全绩效评价, 提高流程执行效率;
改进个环节的管理,提高风险预防能力;
提高全体员工的安全风险防范意识,学会风险管理方法;
将管理体系(ISO9000、ISO27000)和业务流程整合;
建立一整套行之有效的持续改善机制。
改善质量,提高生产率,降低成本,增加投资回报率
二.咨询团队服务模式
1 咨询理念
咨询顾问组将整体规划,同时遵循“计划-实施-检查-改进(Plan-Do-Check-Action) ”的管理模式,辅导并推动企业的ISMS;ITSM的实施,持续改善实施过程中所发现的缺失,以追求并确保达成本项目的目标。
2 服务团队结构
由从事多年IT业认证审核的老师组成本项目的专家组
根据企业的要求和咨询的不同阶段需要,委派适宜的老师到到企业现场开展咨询和指导工作,满足企业要求。
通过以上体制确保服务的质量。在发生服务质量问题时由商务人员和客户直接解决,发生重大的服务质量问题时可以更换咨询师。
3 服务模式
咨询师首先进行公司现有业务战略、组织、资源的理解,进行IT服务管理体系,信息安全管理范围的确认
针对现状进行认识上的风险评估
咨询组提供整体性框架建议,经双方修正后据此作为实施的基本结构,进行详细工作计划及工作任务分解;
重要关键点均先进行培训以利于组织ISMS建立的符合性;
针对ISMS;ITSM范围内的各环节、流程进行详细的信息安全风险识别、评估
根据评估结果制定信息安全管理目标、指标
组织ISMS;ITSM文件的撰写,撰写前先行共同讨论撰写大纲及关键点以利于可操作性;
指导撰写组织ISMS;ITSM文件。
双方参与共同讨论ISMS;ITSM文件的可行性,并进行审查;
进行ISMS;ITSM试运行,不断优化管理过程;
协助通过ISMS;ITSM认证。
三.咨询服务过程的概述
1 用户的需求基线
项目目标: 实际提升IT服务管理能力,内部信息安全管理能力,通过ISMS;ITSM认证;
项目周期: 3-4个月;
实施范围: 贵公司IT服务管理及信息安全管理所涉及的所有部门
现场服务: 需要咨询师和审核员现场服务。
2 范围
本方案的范围涉及:
ISMS;ITSM标准知识专项技术培训;
ISMS;ITSM的建立;
ISMS;ITSM具体实施时的咨询、辅导和培训;
ISMS;ITSM认证。
四.项目介绍
1.ISO20000IT服务管理体系规划咨询项目(ITSM)
IT服务管理(ITSM)是一套帮助企业对IT系统的规划、研发、实施和运营进行有效管理的方法。CFCA协助客户进行IT服务管理体系建设,建立规范标准的IT运维管理流程和业务流程,实现运维管理的制度化和流程化。围绕IT服务管理质量要求,结合目前组织架构与服务管理现状,以ITIL V3为理念,以ISO 20000为框架,实现ITIL流程与ISO 20000体系二者的统一。并且根据客户需求协助其通过获得ISO20000认证,即:信息技术服务管理认证证书。
IT服务管理体系建设目标
基于对中国IT服务管理现状的深刻认识和理解,结合自身长期在IT风险管理和IT服务管理方面的经验,开发出基于ITIL V3.0和ISO 20000相结合的IT服务管理体系方法论。并且可以将ISMS和ITSMS体系有效的融合,为企业提供高效、优质、可落地的整体科技管理系统咨询服务。
IT服务管理体系建设思路
随着信息化时代的成熟,企业对IT 技术越发产生依赖。ITSM是一种IT管理,不管它是企业内部的还是外部的,都是IT服务提供者,其主要工作就是提供低成本、高质量的IT服务。而IT服务的质量和成本则需从IT服务的客户和用户方加以判断。不过与传统的IT管理不同,它是一种以服务为中心的IT管理。
ISO20000与ITIL为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范,企业的IT部门和最终用户可以根据自己的能力和需求定义自己所要求的不同服务水平,参考ITIL来规划和制定其IT基础架构及服务管理,从而确保IT服务管理能为企业的业务运作提供更好的支持。对企业来说,实施ITIL的最大意义在于把IT与业务紧密地结合起来了,从而让企业的IT投资回报最大化。
IT服务管理制度体系示例
与企业现有制度结合,建立整合文件体系框架。文件级别符合ISO文件体系要求,并适当参考CMMI制度框架。
2. ISO27001信息安全管理体系咨询服务(ISMS)
目前,伴随着全球的信息化的加速发展,各种各样的威胁接踵而来,病毒破坏、黑客攻击、系统瘫痪、员工失误和恶意破坏等,越来越多的信息安全问题成为威胁组织生存和发展的重要的安全隐患,企业能否从容应对各类威胁?能否在激烈的竞争中脱颖而出,能否保持自己的优势,不断开拓更大的市场,领导者的决策固然是重要的。但同时,保证自己关键技术、核心信息的安全性,给予客户更大的信心,同样是必不可少的关键因素!
ISO27001是一部针对信息技术、安全技术、信息安全管理体系(ISMS)的国际标准,该标准可用于组织的信息安全管理体系的建设和实施,提供了从规划(P)、实施(D)、检查(C)、改进(A)的信息安全管理持续改进过程方法。CFCA作为专业的ISO27001信息安全管理咨询服务机构,秉承“以风险管理为驱动,以预防为核心”管理理念帮助客户规划、建设信息安全管理体系,从ISO27001标准的14个信息安全管理域入手,将114个信息安全控制措施与客户管理流程有机结合,实现以预防为主的信息安全管理机制,全面系统地持续提高组织的信息安全管理水平,达到最大程度的降低信息安全管理风险和损失的目的。并根据客户需求协助其通过获得ISO27001权威第三方认证审核。
ISO27001信息安全管理体系建设意义及目标
信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展, ISO27001是信息安全领域的管理体系标准,当您的组织通过了ISO27001的认证,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障,同时,把组织的安全风险因素降到最小,创造更大收益。具体体现在以下几方面。
基于对信息安全管理管理现状的深刻认识和理解,结合自身长期在信息安全管理体系建设和实施的最佳实践经验,将ISO27001与行业信息系统安全等级保护、行业安全管理规范与标准要求进行整合,为客户建立可落地、可度量、可考核,同时满足ISO27001标准要求的管理体系。
ISO27001信息安全管理体系建设思路
构建信息安全管理体系(ISMS)不是一蹴而就的,也不是每个企业都使用一个统一的模板,不同的组织在建立与完善信息安全管理体系时,可根据组织信息安全管理现状和具体的业务开展特点,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过以下几个主要步骤:
信息安全管理体系文件架构
CFCA将根据ISO27001标准要求,并结合组织自身业务发展需求,按照分类分级的原则,设计完整的信息安全管理制度及文档体系,为信息安全管理体系维护、运行真正落地提供充分必要保障
3. ISO20000与ISO27001的区别于联系
ISO20000在服务提供过程的“信息安全管理”部分中包括有对信息安全的要求。尽管两者都专注于IT服务的管理,然而,在专注点和适用范围上有着很大的不同:
ISO20000以流程为核心,定义了一系列比较抽象的流程目标,而ISO27001以控制点/控制措施为主,比较具体;
两套体系规范的侧重点有所不同,ISO20000是面向IT服务管理的质量体系标准,而ISO27001是面向信息安全的质量标准规范,ISO20000强调以流程的方式达到质量管理标准,ISO27001强调以风险控制点的方式来达到信息安全管理的目的;
两套体系规范存在着许多的共性特征,如:事件管理、业务连续性管理、信息资产管理等方面,大多数的企业都会选择将ISO20000与ISO27001认证项目一同实施,使两套体系间的互补特性得到充分的发挥,更全面适用范围不一样
ISO20000适用于企业的IT服务部门,通常是IT部门
ISO27001适用于整个企业,不仅仅是IT部门,还包括业务部门、财务、人事等部门。
五.ISMS & ITSM咨询项目工作量估计
1. ISO20000IT服务管理体系规划咨询项目项目阶段工作
关键阶段 | 阶段活动 | 执行人责任 |
项目启动 | 编制项目计划、编制设计方案、方案和计划评审、方案和计划发布 | 计划控制层/编制、评审 |
建立体系 | 现场调研及评估和ISO20000ISO27001培训,基于评估结果,编制标准实施次序,并执行和落实。说明:采用边实施边试运的组织试。 | 决策领导层/审议、发布 计划控制层/评审、监督 咨询老师/设计策略和管理类流程、评审流程 流程经理/规范操作类流程、学习掌握流程 |
系统性上线测试 | 新IT服务管理流程系统性的、总体上线测试,目标在于完成体系文档的PDCA,并积累交付类流程记录。 | 决策领导层/审议、发布 计划控制层/评审、监督 咨询老师/培训、指导 流程经理/宣贯、辅导和修订流程 上线测试组/学习和执行体系流程、生成记录 协作部门/协助执行体系流程 |
内审 ( | 模拟第三方认证机构的审核流程,组织两次对新流程体系的内部审计,并改进不足之处。 | 计划控制层/评审、监督 咨询老师/现场审计 流程经理/接受现场审计、整改不合格项 认证公司/提前介入审计,预审 |
认证审计 | 接受认证公司的正式文审和现场审计,并改进不足问题,最终通过审计。 | 认证公司/正式文审、现场审计 决策领导层、流程经理/接受现场审计 咨询老师/指导整改 |
ISO20000IT服务管理体系任务数据分析
任务名称 |
ISO20000咨询项目 |
项目启动阶段 |
l 编制项目计划、项目设计方案、方案和计划评审和发布 |
项目实施阶段 |
l IT服务体系标准和知识培训 |
n 访谈-领导小组、差距分析 |
n 培训--流程经理、项目管理组 |
n 内部审核员培训 |
l 标准体系文件开发阶段 |
n "3.0 管理系统要求"文档讨论与评审 |
u "3.1 管理层责任"、"3.2 文件管理"、"3.3 能力、意识、培训"文件改写 |
u 体系文件内部沟通及评审 |
u 结合修改意见调整形成文审稿 |
n "4.0 计划和实施服务管理"文档讨论与评审 |
u "4.1 计划服务管理"、"4.2 实施服务管理和提供服务"、"4.3 监控、测量、评审"、"4.4 持续改进"文件改写 |
u 体系文件内部沟通及评审 |
u 结合修改意见调整形成文审稿 |
n "5.0 计划和实施新的或变更的服务"文档讨论与评审 |
u "5.0 计划和实施新的或变更的服务"文件改写 |
u 体系文件内部沟通及评审 |
u 结合修改意见调整形成文审稿 |
n "6.0 服务提供过程"文档讨论与评审 |
u "6.1 服务级别管理"、"6.2 服务报告"、"6.3 服务持续性和可用性管理"、"6.4 IT服务预算和核算"、"6.5 能力管理"、"6.6 安全管理"文件改写 |
u 体系文件内部沟通及评审 |
u 结合修改意见调整形成文审稿 |
n "7.0 关系过程"文档讨论与评审 |
u "7.1 总则"、"7.2 业务关系管理"、"7.3 供应商管理"文件改写 |
u 体系文件内部沟通及评审 |
u 结合修改意见调整形成文审稿 |
n "8.0 解决过程"文档讨论与评审 |
u "8.1 背景"、"8.2 突发事件管理"、"8.3 问题管理"文件改写 |
u 体系文件内部沟通及评审 |
u 结合修改意见调整形成文审稿 |
n "9 控制过程"文档讨论与评审 |
u "9.1 配置管理"、"9.2 变更管理"文件改写 |
u 体系文件内部沟通及评审 |
u 结合修改意见调整形成文审稿 |
n "10.0 发布过程"文档讨论与评审 |
u "10.1 发布管理"文件改写 |
u 体系文件内部沟通及评审 |
u 结合修改意见调整形成文审稿 |
l 标准体系文档试运行阶段 |
n 公司层面培训体系文档及答疑 |
n 体系文档PDCA的过程 |
n 第一次审核:内部审核 |
n 改进--结合第一次审核意见 |
n 体系文档PDCA的过程 |
n 第二次审核:管理层审核 |
n 改进--结合第二次审核意见 |
认证审核阶段 |
l 文审--非现场 |
l 修改文档--结合文审意见 |
l 现场审核 |
l 整改--结合现场审核意见 |
l 通过ISO20000认证 |
2.ISO27000 信息安全管理体系规划咨询项目阶段工作:
ISO27000 信息安全管理体系任务数据分析
体系策划阶段 | 编号 | 工作任务WBS分解 | 说明 |
1 | 对公司进行信息管理现状调查,了解公司现有经营战略、规划、组织、资源的理解,确定目标,初步确定过程改进的体制,明确过程推进核心小组组长和成员 | 进行信息安全管理制度以及其他管理性文件的收集,包括公司经营战略订定,规划方式,相关单位的权责与接口 | |
2 | 明确ISMS所覆盖的组织内部的范围 | 对于覆盖的范围进行确认,并规划ISMS涉及的组织范围,以保证体系的系统性 | |
3 | 成立ISMS推进领导组、推进小组 | 保证体系的顺利贯彻、执行 | |
4 | 项目启动会 | 保证体系的顺利贯彻、执行 | |
标准培训及风险评估阶段 | 5 | ISMS标准及内审员培训 | 让参与信息安全管理的人员了解信息安全管理的要求,内审员掌握标准及审核知识,培养体系运行骨干 |
6 | 信息安全风险识别及评估方法培训 | 建立风险意识,为全面识别信息安全风险做准备 | |
7 | 信息安全风险识别、差距分析 | 所有涉及到信息管理的部门、人员、流程全部参与,保证尽量无遗漏的识别出信息安全风险。进行漏洞扫描,以便掌握当前设系统的安全状态从安全制度建立、安全管理机构、资金保障、人员安全管理、系统建设管理、系统运维管理等方面进行差距分析 | |
8 | 信息安全风险评估 | 根据公司信息安全管理目标要求对风险等级进行划分,以便针对不同级别风险,实施相应的控制手段,形成资产清单、重要资产清单,风险评估报告、风险建议残余风险报告 | |
文件编写阶段 | 9 | 建立ISMS文件框架 | 根据风险评估的结果以及公司的组织架构,确定体系文件的框架 |
10 | ISMS文件的编写 | 可以采取两种不同的方式完成体系文件的编写,其一为统一确定编写小组成员集中编写,也可按照职能分配到各个部门进行编写,建议集中编写更适合该体系。ISMS文件包括手册、信息安全风险评估程序、信息安全控制措施测量程序、计算机网络安全防护程序、物理和环境安全管理程序、计算机病毒安全防护程序、访问控制程序、信息系统备份和恢复管理程序、文件控制程序、记录控制程序、内部审核程序、管理评审程序等,以及信息安全组织、信息安全职责要求、服务器配置和安全管理规定、移动存储介质安全管理规定、资产安全管理规定、网络设备安全管理规定、信息分级保护管理规定等作业文件,有效文件共70分左右,作业表单约90份左右,当然这只是经验值,具体操作要按贵公司的实际情况进行调整。 | |
11 | 文件审查 | 咨询师负责审查对标准的符合性,公司相关人员负责审查可操作性 | |
12 | 文件修订及发布 | 保证文件的可执行性 | |
体系试运行阶段 | 13 | ISMS实施宣贯培训 | 让所有涉及的人员了解自身的信息安全管理职责、控制要求,保证体系的贯彻、执行 |
14 | 制定ISMS体系试运行计划 | 包括各部门运行成果要求、内审计划、管理评审计划 | |
15 | 内审 | 需要进行1-2次内部体系运行的审核,发现体系运行当中的问题,采取纠正、预防措施加以整改,保证体系运行的符合性以及有效性 | |
16 | 管理评审 | 评估ISMS运行的成果,需要解决的重点问题,决定是否可以提请外审 | |
改善计划 | 17 | 制订改善计划 | 咨询组根据体系的运行情况,做好体系改善计划,通过体系改进,可以帮助组织提升对体系的认识,以便顺利接受正式审核 |
18 | 提交体系运行总体情况报告 | 提出体系运行总体情况汇报。 | |
19 | 采取纠正措施 | 不断的过程改进要求 | |
正式审核阶段 | 20 | 接受认证结构正式评估计划 | 正式审核工作按照国家规定的审核人日管理要求实施,要标准的实施流程以及标准的工作文档,审核结论可以为:通过、不通过或延期通过三种,我们保证组织在我们双方的积极配合和努力下顺利通过认证审核,获得认证证书。 |
21 | 按照正式审核计划进行相应的备审工作 | ||
22 | 正式现场审核及审核问题纠正 | ||
23 | 办法ISMS证书 |
六.后期服务承诺
ISMS & ITSM认证的有效期均为三年;所以,每三年,需要进行一次全面的认证审核。每年都须由认证机构进行“监督审核”,以确保认证质量,确保服务管理的持续改进。组织需要根据ISO 20000;ISO27001的要求,进行内部审核
我们作为一个组织而不是个人在向客户提供服务时,会从专业机构的眼光和理念持续关注项目的维护与发展,使用户得到增值服务和信心。
我们每季度对客户进行回访,及时了解客户需求,针对现场提出的问题帮助客户制定解决方案。
我们知道信息安全是一项长期细致的工作, 组织的工作模式和个人意识、能力的好坏,对信息安全风险的大小有直接的影响。因此,推进小组应长期存在。
当客户成为斯瑞普的客户之后,斯瑞普每年会通过其当地代表对其客户进行一次的年度跟踪访问,并传递ISMS & ITSM最新资讯。
认证审核活动结束后,我们会向的客户提供更高级别的改进行动计划。