信息安全咨询项目

信息安全咨询项目信息安全咨询项目SOW2020-6-30第2页,共19页文档说明本文档所涉及到的文字、图表等，仅限于公司及被呈送方内部使用，未经被呈送方及公司书面许可，不得扩散到第三方。目录1概述.....................................................................................................................................................41.1项目背景.................................................................................................................................41.2项目目标.................................................................................................................................51.3项目实施思路.........................................................................................................................61.4参考标准.................................................................................................................................62项目实施方案.....................................................................................................................................73一阶段项目工作说明.........................................................................................................................83.1充分定义.................................................................................................................................83.2量化控制...............................................................................................................................103.3运行检验...............................................................................................................................124二阶段项目工作说明.......................................................................................................................134.1充分定义...............................................................................................................................13信息安全咨询项目SOW2020-6-30第3页,共19页4.2量化控制...............................................................................................................................144.3运行检验...............................................................................................................................155三阶段项目工作说明.......................................................................................................................165.1充分定义...............................................................................................................................165.2量化控制...............................................................................................................................185.3运行检验...............................................................................................................................19信息安全咨询项目SOW2020-6-30第4页,共19页1概述1.1项目背景医疗科技有限公司（以下简称）是专业从事高端医疗设备及相关技术研发、生产、销售的高新技术企业。总部位于上海嘉定，包含运营总部、研发中心及生产基地，一二期计划占地400余亩，届时将成为中国医疗行业最大规模的高技术产业化示范基地。同时在上海浦东新区张江高科园以及深圳育成中心分别建立了两大基地，进行以市场为导向的产品研发。是目前国内唯一一家产品线覆盖全线高端医疗影像设备的大型医疗设备公司。在产品研发和技术创新方面,是首批获得“上海市十大产学研合作创新示范基地”称号的企业之一，拥有行业领先的核心技术，获得专利技术240余项，申请发明专利占70%以上，以及在未来3-5年内将形成一个跨各大产品线，拥有1000项专利规模的大型医疗设备高科技企业。随着的快速发展，业务经营和管理对信息系统和核心数据依赖程度越来越广泛和深入，对IT系统及信息的保密性、完整性和可用性的保护的要求也越来越高。为了加强信息安全建设，提升信息安全保障水平，落实信息安全体系规划，提高员工的安全意识，启动了信息安全管理体系建设项目。信息安全咨询项目SOW2020-6-30第5页,共19页1.2项目目标为了提升整体信息安全管理水平和抗风险能力，保障业务持续安全运行，需要根据国际先进信息安全管理机制，同时结合实际情况和需求来进行信息安全体系的建设。项目按照ISO/IEC27001标准体系，综合信息安全现状，从体系化角度，在已有信息安全技术评估的基础上进行信息安全管理调研，展开综合风险评估（包含技术性分析与管理性分析），针对当前保障机制下存在的问题和安全薄弱环节，以体系化的思路提交整改策略、整改报告及形成建设研究实践成果。项目建设按照《ISO27001信息安全体系标准》和《国家信息系统等级保护规定》要求，做好与的结合点研究与建设，其研究与建设应覆盖组织、管理、技术三个领域进行。通过ISO27001体系的研究，实践并规范信息安全风险评估方法、技术监测监管、应急响应机制，完成基于ISO27001国际标准的信息安全体系建设。本项目的具体建设目标是：(1)安全体系调研及分析：完成信息安全体系调研及综合分析。(2)信息安全体系建设：根据ISO27001安全管理体系规范对当前的信息安全管理制度、规范、应急体系等内容的完整性、规范性和可操作性进行管理对标，查找差距和存在问题并完成相应的改进。并制订信息系统和安全设施的防护配置的基线标准，同时完成一体化的安全运行监管方法。(3)协助建立信息安全管理、治理基础能力。经过项目的推进和落实，信息安全信息安全咨询项目SOW2020-6-30第6页,共19页的管理和科学决策水平将显著提高。信息安全将成为加强内部控制和优化内部管理，降低运营风险，建立高效、统一、运转协调的安全管理体制的重要因素。通过PDCA过程方法和相应的组织保障体系，使安全管理从“无序、零散、被动”的风险补救行为转变为“系统、科学、连贯、主动”的风险驾驭状态，防止走回头路。1.3项目实施思路本项目旨在协助建立和完善基于ISO27000的信息安全管理体系，通过现状调研、差距分析、组织设计、制度编写、技术定义、推行辅导等方式。在建立信息安全组织，明确组织职能，建立有效的流程制度，并将相应的技术技能进行匹配，同时协助进行同步的宣贯推行。在建立了信息安全管理体系后，为了使得信息安全管理体系更好的运行，同时还协助建立信息安全的治理能力，对公司信息安全现状进行评估、知道和监督；同时建立信息安全的管理能力，对信息安全进行规划、建设、运维和评估，并通过专家宣讲、实践经验交流、案例介绍、项目辅导、技术技能培训、推荐外部培训等方式加强的信息安全治理和管理能力。1.4参考标准在本项目执行过程中，将参考如下标准：《信息安全等级保护管理办法》、《计算机信息系统安全等级保护划分准则》《信息安全风险管理指南》《信息安全风险评估指南》、信息安全咨询项目SOW2020-6-30第7页,共19页《ISO13335》《ISO27000》《ISO15408/CC》行业及最佳实践2项目实施方案本项目将对安全现状进行科学的评估和分析，以了解的信息安全现状，得出符合的安全需求。根据公司安全现状和业务安全需求，从安全技术、安全管理等方面来设计未来三年信息安全建设的发展规划。根据安全规划的结果，进行信息安全管理体系的具体设计。本项目中开展的工作将包括以下内容：信息安全现状评估和需求分析企业信息安全体系架构设计信息安全管理体系建设及辅导落地在本项目实施过程中，本项目总共分为三阶段。在项目一阶段，主要完成信息安全现状调研，并进行风险评估，建立信息安全管理体系框架，并针对部分控制域进行三级文件的编写；在项目二阶段阶段，对一阶段编写完成的文件体系进行培训，并贯彻到实际应用中去，并同时针对第二部分控制域进行编写；在项目三阶段阶信息安全咨询项目SOW2020-6-30第8页,共19页段，对现有体系进行试运行，并针对剩余的控制域进行体系文件编写，协助客户对已经制定好的体系进行评估、指导和监督。具体的控制域编写顺序如下：3一阶段项目工作说明结合体系规划及落地的整体思路,在项目一阶段重点开展包括充分定义阶段(理解业务对安全的需求，确定总体策略和组织，信息资产识别和分类，差距评估，明确解决方案框架),量化控制阶段(管理制度/流程建设，人员技术技能培养，软硬件平台获取),运行检验阶段(发布执行，运行辅导，优化调整),等几大环节。本阶段预计工期3个月，需要投入资深顾问1名、高级顾问4名。通过结合的安全现状及ISO27001相关控制域，在安全咨询服务一阶段中重点完成以下几个阶段的内容：3.1充分定义工作名称充分定义信息安全咨询项目SOW2020-6-30第9页,共19页简要描述此活动旨在理解日常