趋势引领
Trendsetting

IT综合管理-序言IT管理规划IT组织架构设计绩效管理体系设计IT人员能力管理IT服务人员胜任力评估IT服务战略研讨管理变革意识宣传IT综合管理IT服务管理-序言ISO20000IT服务管理体系建设ISO20000&ISO27001体系整合建设容量管理深化-人员容量分析可用性管理深化-CFIA分析服务级别管理深化-服务目录设计知识管理深化-知识库管理咨询发布管理深化-最终介质库建设供方管理深化-外包服务管理咨询ITSM工具建设监理服务IT服务管理信息安全与风险管理-序言ISO27001信息安全管理体系建设ISO20000&ISO27001体系整合实施咨询BIA业务影响分析信息安全风险评估咨询服务基于ISO27001的差距评估基于等级保护的差距评估个人信息保护管理体系建设信息安全与风险管理项目管理-序言PRINCE2项目管理体系建设咨询基于PRINCE2和CMMI的软件项目管理流程设计P3M3项目管理成熟度评估PMO运营咨询项目管理业务连续性管理-序言业务连续性管理咨询应急预案设计 演练策划业务连续性管理IT合规与审计-序言基于COBIT5的能力成熟度评估及改进银行业监管要求符合性建设证券会运维管理规范符合性建设IT审计内审及管理评审协助IT合规与审计ITIL®4 Foundation认证培训ITIL® Managing Professional(MP)认证培训ITIL Strategic Leader(SL)VeriSM™ Plus 数字化转型ITIL4认证培训课程ITIL® 4 Foundation认证培训ISO20000标准精解(APMG)IT服务管理体系ITSM审核员(ISCCC&APMG)金牌!ITIL®远程培训课程IT服务管理系列课程(ITSM)PRINCE2® 受控环境下的项目管理团购课程PRINCE2® 实践者认证(Peoplecert)Praxis Framework™ 实践从业者最新国际项目管理认证P3O® 实践者认证(APMG)PMP®MSP®管理成功的项目群项目管理系列课程(PM)信息系统审计师(CISA)信息安全管理体系ISO27001主任审核员国际注册信息系统安全专家(CISSP)CISA认证考试培训CISP国家注册信息安全专员CISM国际注册信息安全经理云安全:CCSK云安全认证信息安全系列课程(ISMS)国际业务持续协会培训班课程 – 理解业务持续管理的理论与最佳实践业务持续管理基础理解ISO22301标准要求业务持续管理-DIY业务持续管理审计业务持续管理系列课程(BCM)COBIT®5 认证TOGAF(开放群组架构框架)COBIT®5 实施COBIT®5 审计IT治理与审计系列课程(IT GOVERNANCE AND AUDIT)有效沟通技巧与果敢力领导力提升之转换篇 – 从专业人员到领导者领导力提升之高阶篇 – 以人为本的领导力时间管理冲突管理变革管理软技能与领导力管理系列课程(SOFT SKILL&LEADERSHIP MANAGEMENT)需求管理软件项目配置管理项目配置管理实战软件测试方法与实践测试需求分析与测试用例设计DevOps Master培训EXIN DevOps系列准入认证 — 精益Lean IT Foundation培训介绍软件开发管理(CMMI)业务连续性管理体系(BCMS)国家注册审核员培训MarsLander®火星着陆器® 敏捷服务管理商业沙盘成熟度培训成熟度业务敏捷ABP课程招聘线上大讲堂
咨询热线: 400 678 1822
在线咨询
 工作时间
周一至周日 :0:00-24:00
 联系方式
客服热线:400-678-1822
企业邮箱:wang.yang@trendsetting.com.cn

信息安全管理体系建设


案例名称   某金融机构ISO27001信息安全管理体系建设项目


项目背景

随着信息化的深入,国家及监管机构对信息科技风险管理十分重视,自2006年起,人民银行、银监会等监管机构不断对银行业金融机构提出信息安全方面的要求,包括《银行业重要信息系统突发事件应急管理规范》(银监办发[2008]53号)、《商业银行信息科技风险管理指引》(银监办发[2009]19号)等。公安部在2007年也提出了信息系统安全等级保护的要求。为满足内部信息安全管理的需要以及监管机构的要求,该金融机构通过历时将近一年时间的项目论证及筹划后,于2009年初正式启动ISO27001信息安全管理体系项目建设工作。


项目实施

本项目共分五个实施阶段,启动及计划阶段;现状调查和差距评估阶段;体系建制阶段;试运行及内审阶段;认证审核阶段。

1、启动和计划阶段。重点是明确体系建设的目标、范围。该阶段讨论并确定了项目的目标、范围,落实了项目组织架构、项目实施周期、项目情况汇报机制等重要内容。该阶段还规划了项目实施过程,制定了培训计划,实施了高层意识培训以及全员动员。

2、在现状调查和差距评估阶段。依据ISO/IEC 27001:2005标准、信息系统安全等级保护和监管机构的要求,通过大量的访谈、现场走查以及对原有管理制度文档、系统的检查回顾,从人员、技术、流程三个方面着手,进行了差距评估和风险评估,针对风险点设计了28个改进课题。

3、在体系建制阶段。提出“体系健全,措施得当,操作规范,持续完善”的信息安全管理方针。项目组成员积极投入到体系建制工作中,依据标准要求和管理需要按时保质保量的完成了建制、优化的体系建制任务。

4、流程试运行及内审阶段。本阶段旨在检查信息安全管理体系的有效性和适宜性。在此阶段全体员工以及外包岗位员工积极参与,按体系要求进行执行,同时也将执行过程中的疑问点、困难点及时与项目组进行沟通,提出了许多宝贵的建议,秉承了持续改进的原则。项目组组织相关人员参加体系贯标培训,保证管理体系能够顺利执行。通过内审员的培训,建立合格的内审员队伍;以访谈、现场走查和查看记录的形式组织内部审核,使部门能够自我检查,形成持续改进循环。

5、认证审核阶段。该阶段分为文件审核和现场审核两部分。在文件审核过程中,审核小组主要审核了该机构信息安全管理体系与国际标准的符合性。在现场审核时,主要审核了标准的执行情况。认证公司肯定了信息安全管理体系建设所取得的成果。


客户收益

信息安全管理体系建设是对公司计算机信息安全工作的一次全面梳理和完善提高,取得了以下成果:

1、满足了合规性要求,完善了管理制度、流程体系

信息安全管理体系建立是以合规性为底线的。合规性体现在满足法律法规、国家信息安全等级保护的要求、人民银行、银监会的监管要求、公司规章制度的要求。体系建制过程中,充分考虑了合规性要求,将控制点融入到每个日常工作环节当中。本次项目对公司信息科技工作进行了全面的梳理,完善了原有制度体系,在所有制度中都添加了信息安全控制点,使信息安全管理要求融入员工日常工作。信息科技工作涉及的体系文件融合了ISO 9000与ISO 27001管理体系,体系文件共计116份,其中一阶文件1份、二阶文件15份、三阶文件19份、四阶文件81份。保留和修订的原ISO 9000文件各6份。通过信息安全管理体系的建设,使得信息科技工作具备了较为完备的制度和流程体系。


2、建立了立体的全方位的信息安全风险防控体系

建立以ISO27001标准为框架的信息安全管理体系。以合规为底线,整合国家法律法规及行业监管要求。以流程为基础,风险管理为主线,管控由周期性工作(静)和变化(动)所带来的信息安全风险,将信息安全控制措施落实到生产运行操作过程中。通过信息安全管理体系动态的持续改进,实现自上而下的策略管理,自下而上的风险反馈机制,防范运行风险,保障信息安全。今年4月,项目初期进行了第一次风险评估,该评估结果有一千余项风险,其中风险等级为“中”风险数百项,无“高”风险。项目执行过程中,重点对“中”风险采取了风险控制措施。10月进行了第二次风险评估,评估结果显示无“中、高”风险项,也就是经过项目的实施消灭了“中、高”风险项。


3、实施流程管理,提高IT服务效率和质量,控制了风险,消除了信息安全隐患

本次项目引入了事件管理、变更管理、容量管理、供应商管理、连续性管理等流程。例如:管理员接到服务请求,处理故障都有明确的处理步骤,当故障处理时间过长的时候还需要升级给更有经验的人员,同时全部过程都进行了记录。处理系统变更时要有方案、有审批,事后有结果报告,日常的各种工作都有记录。通过对运行过程中的记录进行事后分析统计,可以预测未来发展趋势,提前发现潜在问题,使得管理上升到量化管理和主动管理的轨道上来,使管理驶上快车线。


4、建立了完善的公司计算机信息安全管理机制

管理体系建立了风险识别和评估机制,建立了问责机制,建立了审核机制,建立了量化监控机制,建立了沟通汇报机制,建立了持续优化机制.通过各种管理机制将管理要求制度化,规范化,日常化,通过检查机制,定期对信息安全管理进行检查评估,及时发现问题,及时纠正解决问题,做到“防微杜渐,防患于未然”。

通过建立问责机制将信息安全管理要求落实到岗,落实到责任人。体系在设计过程中就考虑了执行过程中每个岗位的应负的责任,如何对该工作进行检查。在试运行期间也针对各个职能组进行了充分的培训、沟通,使得每个制度执行者都十分清楚自己的工作内容、要求、负有的责任;

通过建立审核机制,落实日常的监控手段。定期的信息安全检查,年度的信息安全专项检查和内审、管理评审、外部审计等机制,形成了一套验证体系有效性的审计监督机制;

通过建立沟通汇报机制,建立了事件的采集、记录、分析、处理、上报机制。该将信息安全事件通报机制与部务会议相结合,形成了周、月、季、半年的定期的信息上报和回顾机制。


5、实现了安全要求在实际工作当中的有效落实

将各种规章制度落实到对岗位的安全要求,包括各岗位应具备的风险意识、技能和知识要求(尤其是关键岗位)。随着环境的变化及时更新相关制度,并对相关员工进行培训。通过事件触发、时间触发、变更触发等触发机制,使每个员工能动态的了解岗位的信息安全要求及信息安全要求变更的情况,使得员工在日常操作中始终能以正确的操作方法进行操作。


6、全员参与,通力协作、密切配合,极大的提高了全员的信息安全意识

在项目过程中结合项目进度进行了多种类,多层次的培训。培训本着“培训指导工作”的原则。培训结束后,课程内的知识马上可以应用到日常工作当中。培训共举办了培训7次10天,全体科技部人员参加了培训,部分外包岗位人员也参加了培训。培训对于提高员工对于信息安全管理的理解,参与项目建设过程起到了很好的推动作用。信息安全各种控制措施、控制点的有效与否,关键在于人员是否按照既定的要求进行日常操作。体系文件的编写过程中,员工参与度高,参与编写的人员占部门人员6成以上;体系文件讨论充分,共举办了9次体系文件讨论会;信息科技部全员参与制度的建设、讨论,使员工充分理解制度的含义,践行制度要求,从而有效的保证制度的执行。使制度落实到员工的日常工作当中,也就是使制度落到了实处,再配合以报告、检查和审计机制,实现管理的闭环,实现风险的预防、发现、处置的全面风险管控的体系。



会员登录
登录
留言
回到顶部