欢迎来到天天文库
浏览记录
ID:40013431
大小:216.53 KB
页数:19页
时间:2019-07-17
《信息安全咨询项目》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、信息安全咨询项目SOW信息安全咨询项目2021-10-4第19页,共19页信息安全咨询项目SOW文档说明本文档所涉及到的文字、图表等,仅限于公司及被呈送方内部使用,未经被呈送方及公司书面许可,不得扩散到第三方。目录1概述41.1项目背景41.2项目目标51.3项目实施思路61.4参考标准62项目实施方案73一阶段项目工作说明83.1充分定义93.2量化控制103.3运行检验124二阶段项目工作说明134.1充分定义132021-10-4第19页,共19页信息安全咨询项目SOW4.2量化控制144.3运行检验165三阶段项目工作说明165.
2、1充分定义175.2量化控制185.3运行检验192021-10-4第19页,共19页信息安全咨询项目SOW概述1.1项目背景医疗科技有限公司(以下简称)是专业从事高端医疗设备及相关技术研发、生产、销售的高新技术企业。总部位于上海嘉定,包含运营总部、研发中心及生产基地,一二期计划占地400余亩,届时将成为中国医疗行业最大规模的高技术产业化示范基地。同时在上海浦东新区张江高科园以及深圳育成中心分别建立了两大基地,进行以市场为导向的产品研发。是目前国内唯一一家产品线覆盖全线高端医疗影像设备的大型医疗设备公司。在产品研发和技术创新方面,是首批获
3、得“上海市十大产学研合作创新示范基地”称号的企业之一,拥有行业领先的核心技术,获得专利技术240余项,申请发明专利占70%以上,以及在未来3-5年内将形成一个跨各大产品线,拥有1000项专利规模的大型医疗设备高科技企业。随着的快速发展,业务经营和管理对信息系统和核心数据依赖程度越来越广泛和深入,对IT系统及信息的保密性、完整性和可用性的保护的要求也越来越高。为了加强信息安全建设,提升信息安全保障水平,落实信息安全体系规划,提高员工的安全意识,启动了信息安全管理体系建设项目。1.2项目目标为了提升整体信息安全管理水平和抗风险能力,保障业务持
4、续安全运行,需要根据国际先进信息安全管理机制,同时结合实际情况和需求来进行信息安全体系的建设。2021-10-4第19页,共19页信息安全咨询项目SOW项目按照ISO/IEC27001标准体系,综合信息安全现状,从体系化角度,在已有信息安全技术评估的基础上进行信息安全管理调研,展开综合风险评估(包含技术性分析与管理性分析),针对当前保障机制下存在的问题和安全薄弱环节,以体系化的思路提交整改策略、整改报告及形成建设研究实践成果。项目建设按照《ISO27001信息安全体系标准》和《国家信息系统等级保护规定》要求,做好与的结合点研究与建设,其研
5、究与建设应覆盖组织、管理、技术三个领域进行。通过ISO27001体系的研究,实践并规范信息安全风险评估方法、技术监测监管、应急响应机制,完成基于ISO27001国际标准的信息安全体系建设。本项目的具体建设目标是:(1)安全体系调研及分析:完成信息安全体系调研及综合分析。(2)信息安全体系建设:根据ISO27001安全管理体系规范对当前的信息安全管理制度、规范、应急体系等内容的完整性、规范性和可操作性进行管理对标,查找差距和存在问题并完成相应的改进。并制订信息系统和安全设施的防护配置的基线标准,同时完成一体化的安全运行监管方法。(3)协助建
6、立信息安全管理、治理基础能力。经过项目的推进和落实,信息安全的管理和科学决策水平将显著提高。信息安全将成为加强内部控制和优化内部管理,降低运营风险,建立高效、统一、运转协调的安全管理体制的重要因素。通过PDCA过程方法和相应的组织保障体系,使安全管理从“无序、零散、被动”的风险补救行为转变为“系统、科学、连贯、主动”的风险驾驭状态,防止走回头路。2021-10-4第19页,共19页信息安全咨询项目SOW1.1项目实施思路本项目旨在协助建立和完善基于ISO27000的信息安全管理体系,通过现状调研、差距分析、组织设计、制度编写、技术定义、推
7、行辅导等方式。在建立信息安全组织,明确组织职能,建立有效的流程制度,并将相应的技术技能进行匹配,同时协助进行同步的宣贯推行。在建立了信息安全管理体系后,为了使得信息安全管理体系更好的运行,同时还协助建立信息安全的治理能力,对公司信息安全现状进行评估、知道和监督;同时建立信息安全的管理能力,对信息安全进行规划、建设、运维和评估,并通过专家宣讲、实践经验交流、案例介绍、项目辅导、技术技能培训、推荐外部培训等方式加强的信息安全治理和管理能力。1.2参考标准在本项目执行过程中,将参考如下标准:n《信息安全等级保护管理办法》、n《计算机信息系统安全
8、等级保护划分准则》n《信息安全风险管理指南》n《信息安全风险评估指南》、n《ISO13335》n《ISO27000》n《ISO15408/CC》n行业及最佳实践2021-10-4第19页,共1
此文档下载收益归作者所有