信息安全管理体系认证资料.doc

资源描述

1、信息安全管理体系认证资料- 26 -2020年5月29日文档仅供参考信息安全管理(ISMS)体系认证资料ISO/IEC 27001: 信息安全管理体系(ISMS)认证推介书党的十七大提出了”工业化、信息化、城镇化、市场化和国际化”的”五化并举”,以及”信息化和工业化”的”两化融合”两大课题,国务院国资委国信办在中指出到要基本实现中央企业信息化向整个企业集成、共享、协同的转变,建成集团统一集成的信息系统。国资委已经着手把信息化纳入到中央企业的绩效考核的主要内容。信息化建设在中国经济和社会进步方面已经发挥了巨大的推动作用,特别是近几年计算机网络技术的蓬勃发展,经过信息化手段更好地保证了经济建设的

2、顺利发展。信息技术已经渗透到了人类社会的每一个角落,融入了人们的生活的每一个细节。无处不在的信息技术孕育着无处不在的风险,计算机病毒、黑客入侵、垃圾邮件、商业秘密失窃等事件的调查和报道中,我们不难看出信息安全建设的迫切性。根据的要求,为促进服务外包产业快速发展,优化出口结构,扩大服务产品出口,商务部决定实施服务外包”千百十工程”,对符合条件且取得信息安全管理体系(ISO/IEC 27001: 标准)认证的中小型服务外包企业给与一定的市场开拓资金奖励。国家税务总局也提出了建设税务系统信息安全管理体系的总体目标,部署实施包括”一个平台、两级处理、三个覆盖、四个系统”的金税工程。为满足信息安全保障不

3、断增长的需求,信息安全管理体系(ISMS)认证应运而生。华夏认证中心有限公司有幸成为英国皇家认可委员会(UKAS)在中国认可的第一家同时也是当前国内机构中唯一一家信息安全管理体系认证机构和国家信息安全管理体系认证机构的试点机构。自以来,华夏认证中心有限公司本着”公正、公开、求真、求实”的准则,积极开发和探索在信息安全管理体系认证方面的技术和知识,投入专门管理和技术人员潜心研究,取得了初步成果。在计算机领域、金融业、制造业、电力行业和政府信息中心等机构成功实施了信息安全管理体系认证,积累了丰富且宝贵的经验,为今后向各行各业提供优质的信息安全管理体系认证奠定了基础。我们会在下一步的工作中更好的研

4、究认证规范以及新版的ISO/IEC27001标准,利用新品给中心的认证工作带来机遇和挑战,努力拼搏为我们的企业提供一流的信息安全管理体系的认证审核服务。组织信息安全管理体系建设的必要性”信息”作为一种商业资产,其重要性也是与日俱增。信息安全,按照国际标准化组织提出的ISO/IEC 27000中的概念,需要保证信息的保密性、完整性和可用性。时至今日,”信息”作为一种商业资产,其所拥有的价值对于一个组织而言毋庸置疑,重要性也是与日俱增。信息安全,按照国际标准化组织提出的ISO/IEC 27000中的概念,需要保证信息的”保密性”、”完整性”和”可用性”。通俗地讲,就是要保护信息免受来自各方面的威

5、胁,从而确保一个组织或机构可持续发展。组织面临的问题组织对于信息系统依赖性不断增长,以及在信息系统上运作业务的风险,使得信息安全越来越得到重视。然而事实上,当前组织所面正确信息安全状况愈加复杂。病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生。从便携设备到可移动存储,再到智能手机、PDA,以及无线网络等,安全问题出现的途径也是千奇百怪。每一项新技术,每一类新产品的推广伴随着新的问题。组织在面临着日趋复杂的威胁的同时,遭受的攻击次数也日益增多。正因为如此,信息安全管理体系标准(ISO/IEC27000)的出现成为历史必要,该标准经过十多年的发展,已经形成了一个完整规范的体系。对

6、组织而言,建立信息安全管理体系,是一个非常系统的过程,从资产评估、风险分析、引入控制到后期的改进,呈现出一个非常逻辑的架构。经过对大型组织CIO的调查显示,她们普遍面正确问题是,”我们很清楚的知道内部的安全风险问题,可是我们不知道怎么去识别并规避风险。因此我们迫切希望引入信息安全管理体系,甚至于去获得认证。”能够说,信息安全管理体系的建立和健全,目的就是降低信息风险对经营带来的危害,并将其投资和商业利益最大化。信息安全管理体系标准改版后的ISO/IEC 27001共有133个控制措施,39个控制目标,11个安全域。其中11个安全域包括:1)安全策略2)信息安全的组织3)资产管理4)人力资源安

7、全5)物理和环境安全6)通信和操作管理7)访问控制8)系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性可见,信息安全不但仅是个技术问题,而是管理、章程、制度和技术手段以及各种系统的结合。实现信息安全不但需要采用技术措施,还需要借助于技术以外的其它手段,如规范安全标准和进行信息安全管理。因此,组织在选择合作伙伴的时候,就该找那种理解需求、真正能帮助解决问题的,只有那种有着多年的培训和项目经验、丰富的服务和产品的公司,才够格成为可信任的伙伴。普通的顾问公司,常常就是提供培训、解决方案,折腾一通后,再推荐一些产品。而产品的实际效能如何,是否能有效解决问题,顾问公司并不清楚。而

8、厂商,总是会推销一大堆产品给组织,而这些产品是否真的符合组织实际要求,成为各方争论的焦点。这些产品之间,或者会有功能重叠,又或者会有冲突和兼容性问题。解决方案参照ISO/IEC 27001,总结出了完整的信息安全模型。依据模型,组织能够得到一个细致的流程,再也不用摸黑走路。经过培训,为客户提供高端的信息安全培训与评估服务,识别出信息资产以及存在的风险,找出所存在的问题和深层次的需求,以便明确后续应采取什么行动去解决问题。能够采用相关安全产品,能保护组织的任意区域,如移动用户、远程分支、内部网络、很难管理的桌面和服务器、个人的行为状况等。具有完善的功能模块,有防火墙、VPN、IPS/IDS、内容

9、过滤、网络行为管理等。利用这些功能模块,组织能全局有效地管理安全,并跨系统、平台和区域实施一致的策略。委托运营,针对一些自我管理和技术能力不强的组织,委托运营是其最佳选择。组织不再被具体的细节拖入泥沼中,只需提出问题和希望的结果,所有的中间过程都由委托承担者完成。后续服务,安全管理的实现肯定是个长期的过程,那种完成项目就开溜的做法,对组织来说是种灾难。只有经过后续的服务,不断地改进,不断地发现新问题,才能推动目标不断地前进。总之,我们欣喜的看到,国内组织经过积极努力,探索寻求整体解决方案,增强了组织主动管理其信息安全的能力,降低组织信息所面临的风险。结语建立信息安全管理体系并获得认证,能提高组

10、织自身的安全管理水平,将组织的安全风险控制在可接受的范围内,减少因安全事件带来的破坏和损失。更重要的,是能够保证组织业务的持续性。另一方面,合作在如今的商业社会是非常普遍。如果组织能向客户及利益相关方展示对信息安全的承诺,不但能增强合作伙伴、投资方的信心,也能够向政府及行业主管部门证明对相关法律法规的符合,并能得到国际上的认可。信息安全管理及相关标准简介一、社会发展对信息资源的依赖程度人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织运作到国家管理,信息资源都是不可或缺的重要资源,没有各种信息的支持,现代社会将不能生存和发展。在信息社会中,一方面信息已成为人类重

11、要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。由于信息具有易传播、易扩散、易毁损的特点,信息资产的比传统的实物资产更加脆弱,更容易受到损害,使组织在业务运作过程中面临大量的风险。其风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节,以及大量存在于组织内、外的各种威胁,因此对信息系统需要加以严格管理和妥善保护。信息能够理解为消息、情报、数据或知识,它能够以多种形式存在,能够是组织中信息设施中存储与处理的数据、程序,能够是打印出来的或写出来的论文、电子邮件、设计图纸、业务方案,也能够显示在胶片上或

12、表示在会话中消息。所有的组织都有她们各自处理信息的形式,例如,银行、保险和信用卡公司都需要处理消费者信息,卫生保健部门需要管理病人信息,政府管理部门存储机密的和分类信息。无论组织对这些信息采用什么样的共享、处理和存储方式,都需要对敏感信息加以安全、妥善的保护,不但要保证信息处理和传输过程是可靠的、有效的,而且要求重要的敏感信息是机密的、完整的和真实的。为达到这样的目标,组织必须采取一系列适当的信息安全控制措施才能够使信息避免一系列威胁,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取投资回报。在ISO27002中,对信息的定义更确切、具体:”信息是一种资产,像其它重要的业务资产一样

13、,对组织具有价值,因此需要妥善保护”。经过风险评估与控制,不但能确保企业持续营运,还能减少企业在面对类似911事件之时出现的危机。二、信息安全的内容网络技术的发展加速了信息的传输和处理,缩短了人们之间的时空距离,方便了交流;同时对信息安全提出了新的挑战。据统计,全球平均20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被攻破;窃取商业信息的事件平均以每月260%的速度增加;约70%的网络主管报告了因机密信息泄露而受损失。国与国之间的信息战问题更是关系到国家的根本安全问题。信息安全已扩展到了信息的可靠性、可用性、可控性、完整性及不可抵赖性等更新、更深层次的领域。这些领域内的相关技术和

14、理论都是信息安全所要研究的领域。国际标准化组织(ISO)定义信息安全是”在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。信息安全一般包括实体安全、运行安全、信息安全和管理安全四个方面的内容。实体安全是指保护计算机设备、网络设施以及其它通讯与存储介质免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。信息安全是指防止信息资源的非授权泄露、更改、破坏,或使信息被非法系统辨

15、识、控制和否认。即确保信息的完整性、机密性、可用性和可控性。管理安全是指经过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。美国国家电信与信息系统安全委员会(NTISSC)主席、美国C3I负责人、前国防部副部长Latham D C认为,信息安全(INFOSEC)应包括以下六个方面:l 通信安全(COMSEC)l 计算机安全(COMPUSEC)l 符合瞬时电磁脉冲辐射标准(TEMPEST)l 传输安全(TRANSEC)l 物理安全(Physical Security)l 人员安全(Personnel Security)综上所述,信息安全的主要内容包括:机密性(Con

16、fidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)和有效性(Utility)。在BS7799中信息安全主要指信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。即指经过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏。机密性是指确保只有那些被授予特定权限的人才能够访问到信息。信息的机密性依据信息被允许访问对象的多少而不同

17、,所有人员都能够访问的信息为公开信息,需要限制访问的信息为敏感信息或秘密信息,根据信息的重要程度和保密要求将信息分为不同密级。例如,军队内部文件一般分为秘密、机密和绝密三个等级,已授权用户根据所授予的操作权限能够对保密信息进行操作。有的用户只能够读取信息,有的用户既能够进行读操作有能够进行写操作。信息的完整性是指要保证信息和处理方法的正确性和完整性。信息完整性一方面是指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象;另一方面是指信息处理的方法的正确性,执行不正当的操作,有可能造成重要文件的丢失,甚至整个系统的瘫痪。信息的可用性是指确保那些已被授权的用户在她们需要的时

18、候,确实能够访问得到所需要信息。即信息及相关的信息资产在授权人需要的时候,能够立即获得。例如,通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用,影响正常的业务运营,这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时恢复。另外还要保证信息的真实性和不可否认性,即组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。三、信息技术安全标准的制定情况1、国内信息技术安全标准的制定工作国内信息技术安全标准的制定工作是从80年代中期开始的。一方面是定信息技术设备和设施的安全标准,1985年发布了第一个标准GB4943;另一方面是制定信息安全技术标准,于1994年月发布了第一批

19、标准。至1997年底,已制定、报批和发布了有关信息技术安全的国家标准13个和国家军用标准6个。现正在制定中的国家标准14个。1.1信息技术安全标准化的展望信息安全关系到国家的安全、社会的安定、经济的发展,信息技术安全标准是信息安全规范化和法制化的基础,是实现技术安全和安全管理的重要手段。信息技术安全标准化必须统一领导、统筹规划、各方参与、分工合作进行,保证其顺利和协调发展。为此,国家有关部门组织各方面专家参加的标准化技术委员会正在开展以下工作:1.2加强信息安全标准化的研究信息技术的安全技术是比较新的和复杂的技术,也是在近年来才得到较快的发展,特别是它的标准化更是如此。为了全面认识和了解信

20、息技术的安全标准,需要对国内外信息技术标准化的情况和发展趋势进行深入的研究。特别是庆将信息技术安全标准体和纱作为重点课题进行综合研究,并建立中国的信息技术安全标准体系,以便能够有目的、有组织、有计划地分期分批进行标准制定工作。这样才能避免标准项目重复和混乱,避免标准之间不协调,也可避免资金人才和时间的浪费。国际上有很多制定信息安全标准的组织,她们工作各有特点,制定标准的层次不同,也有部分工作重迭,中国对此也应进行深入具体的分析研究。例如:IS0/IEC JTCI/SC27的重点是制定通用的信息技术安全标准;而ISO/TC68则是针对银行系统制定行业具体应用的信息安全标准;ECMA还制定信息技

21、术设备的安全标准。1.3加快信息技术安全标准的制定国际互联网的开通,对信息安全标准的需求更加迫切,标准的数量也日益增加,因此应加快信息技术标准的制定工作。国际上ISO的信息技术安全标准,包括已正式发布、正在制定的标准项目已有近70项,国际互联网的RFC文中有100多项涉及信息安全,都是比较实用的。2、国外信息技术安全标准化的情况国外早在70年代中期就开始了信息技术安全标准化工作,现将国际标准化组织、欧洲计算机厂商协会和美国开展信息技术标准化的情况简要介绍如下。2.1 国际标准化组织的信息技术安全标准化2.1.1 ISO/IEC JTC1/SC27信息技术安全随着跨国计算机网络的开发和不同

22、计算机系统之间互连的要求,数据加密标准化工作也开始走向国际。英国于1979年向ISO/TC97提出开展数据加密技术标准化的建议,ISO/TC97采纳了建议,并于1980年组建直属工作组。后来,TC97认为,数据加密技术专业性很强,需幅个分技术委员会来专门开展这方面的标准化工作,于是,1984年1月在联邦德国波恩正式成立分技术委员会SC20。中国也派人出席了这次会议,并成为该分委员会的P成员。从此,数据加密技术标准化工作在ISO/TC97内正式蓬勃展开。 1984年SC20成立后,就把在直属工作组期间已开始的密码算法的国际标准化工作接过来,并作为第一优先制定的标准。该算法其实就是美国的DES,S

23、C27称其为DEA-1,而且还指定由法国起草DEA-2报告,实际上是公苴算法RSA。1985年1月第二次分技委员会上同意推进到DIS,但随后的一年里发生了很大变化。先是1985年夏天发布的美国总统令宣布政府将不再支持DES,并由国家安全局NSA设计新的算法标准,算法细节不予公开。这就引起大家对DES安全强度的怀疑。有的成员国原本就一直反对密码算法的国际标准化,认为一个国家采用什么样的密码算法是十分敏感的问题,别人无权干涉。1986年第三次年会分歧很大,但多数仍赞成推进到国际标准,并交TC97处理。同年5月,TC97年会形成决议,密码算法的国际标准化工作已不属技术性问题,而是政治性问题。同年10

24、月,ISO中央理事会决定撤消该项目,而且将密码算法的标准化工作从SC20的工作范围内以消,还明确写出不再研究密码算法的标准化。 SC20的标准项目中包含OSI环境下使用加密技术的互操作要求,它与SC6和SC21的工作范围有重复。1986年5月,TC97要求三个分委员会主席开会协调,向技术委员会报告协调结果,再由技术委员会决定采以措施。至1989年6月正式决定撤消原来的SC20,组建新的SC27。在SC20存在的五年期间完成了两个正式标准:ISO 8372和ISO 9160。 1990年4月瑞典斯德哥尔摩托车年会上正式成立SC27,其名称为:信息技术-安全技术,并对其工作范围作了明晰表述,即信息

25、技术安全的一般方法和技术的标准化,包括: 确定信息技术系统安全的一般要求(含要求方法); 开发安全技术和机制(含注册程序和安全组成部分的关系); 开发安全指南(如解释性文件,风险分析);开发管理支撑性文件和标准(如术语和安全评价准则)。 1997年国际标准化组织的信息技术标准化的技术领域又作了合并和重大调整,但信息技术安全检分委会依然保留,并作为ISO/IEC JTC1安全问题的主导组织。运行模式是既作为了个技术领域的分委员运行,还要履行特殊职能。它负责信息的通信安全的通用框架、方法、技术和机制的标准化,信息技术安全的标准化工作将会更加集中统一和加强。该分委会负责制定标准的项目约为40项。2.

26、1.2 ISO/TC 68银行和有关的金融服务在国际标准化组织内,ISO/IDC JTC1/SC27负责通用信息技术安全标准的制定,ISO/TC68负责争行业务应用范围内有关信息安全标准的制定。一个是制定通用基础标准,一个是制定行业应用标准,两者在组织上和标准之间都有着密切的联系。她们都是在80年代中期开始制定标准的,ISO/TC68负责制定标准的项目约有30项。2.1.3国际标准化组织的信息安全管理标准化信息安全管理标准化是国际标准化组织近几年开展的一项重要工作,虽然起步较晚发展却非常迅速。在欧洲、日本、美国等发达国家得到迅猛发展。信息安全管理标准已经成为继质量管理标准、环境管理标准等之

27、后发展起来的一个新兴的管理标准体系。该标准体系在国际标准化组织内已构成一组系列标准,即:ISO/IEC27000族标准。当前,主要标准有6个:ISO/IEC27000: ISO/IEC27001: ISO/IEC27002: ISO/IEC27003:200XISO/IEC27004:200XISO/IEC27005: ISO/IEC27006: ISO/IEC27007: ISO/IEC27001标准是组织进行信息安全管理体系认证的依据,相当于质量管理体系中的ISO9001标准。ISO/IEC27006: 标准是认证机构获取认证认可的依据。ISO/IEC27002标准为组织建立信息安全管理体

28、系提供了39个控制目标和133个控制措施。其它几个标准提供了信息安全管理体系建立、实施的参考指南。2.2 欧洲计算机厂商协会(ECMA)标准 ECMA人欧洲计算机厂商中吸收会员,经常向ISO提交标准提案。ECMA内的一个组(TC32/TG9)已定义了开放系统应用层安全结构。它的TC12负责信息技术设备的安全标准。它们的工作都假定终端用户控制着经过应用服务元素(ASE)进行通信的实体。ASE是利用基本服务在恰当地点提供OSI环境能力的应用实体的一部分,如文件服务器和打印重绕器。这个小组涉及这些实体之间的安全通信特别在分布式环境下的安全通信。它们所开发的结构把这些通信分成称为”设施”的单元,每个

29、单元都在提供总体安全中扮演一定的角度,这些设施组合起来就形成了安全系统,这在方式上类似于ISO工作中所指的模型。2.3 美国信息技术安全标准化情况2.3.1 美国国家标准(ANSI) 美国标准化协会于80年代初开始数据加密标准化工作,只制定了三个通用的国家标准。金融界是实行安全最自觉的早大商业实体,它直接涉及货币和证券的安全电子汇兑。因此,不得不把大量资源投入信息安全。虽然银行和公司的商贸人员属金融界最有形的部分,但也不乏它物。很多大公司已开始采用电子方式订购产品或支付业务费用。随着越来越多地采用电子方式传送货币或资产,计算机犯罪可能性大增,安全方法变行十分重要。为了解决安全问题,金融界正

30、积极制定各种标准。美国国家标准化协会(ANSI)负责金融安全的小组是ASC X9和X12。ASC X9制定金融业务标准,ASC X12制定商业交易标准。已与美国标准委员会(ASC)召开联席会,共同制定了汇兑的安全标准9个。与此同时,金融领域也在进行金融交易卡、密码服务消息,以及实现商业交易安全等方面的工作。2.3.2 美国联邦信息处理安全标准(FIPS) 美国联邦政府非常重视自动信息处理的安全,早在70年代初就开始了信息技术安全标准化工作,1974年就已发布标准。1987年的”计算机安全法案”明确规定了政府的机密数据、发展经济有效的安全保密标准和指南。联邦信息处理标准由国家标准局(NBS)

31、颁发。FIPS由NBS在广泛搜集政府各部门及私人部门的意见的基础上写成。正式发布之前,将FIPS分送给每个政府机构,并在”联邦注册”上刊印出版。经再次征求意见之后,NSB局长把标准连同NBS的建议一起呈送美国商业部和工,由商业部长签字划押同意或反对这个标准。FIPS安全标准的一个著名实例就是数据加密标准(DES)。至今,它已发布了信息技术安全标准和指南约20个。2.3.3 美国国防部的信息安全指令和标准(DOD) 美国国防部十分重视信息的安全问题,美国国防部发布了一些有关信息安全和自动信息系统安全的指令、指示和标准,而且加强信息安全的管理,特别是DOD 5200.28-STD,受到各方面广泛的

32、关注。华夏认证中心ISMS认证优势成为英国皇家认可委员会(UKAS)在中国认可的第一家认证机构; 成为国家信息安全管理体系四家试点认证机构之一, 正式经过国家认可委CNAS的认可; 以来,华夏认证中心积极开发和探索在信息安全管理体系认证方面的技术和知识,投入专门管理和技术人员潜心研究,取得了初步成果,截至当前成为国内唯一同时具有UKAS 和 CNAS双认可的国内认证机构; 华夏认证中心在计算机领域、金融业、制造业、电力行业和政府信息中心等机构成功实施了信息安全管理体系认证,积累了丰富且宝贵的经验,为今后向各行各业提供优质的信息安全管理体系认证奠定了基础。信息安全管理体系(ISMS)UKAS

33、认可资质证书UKAS信息安全管理体系认证证书样本华夏认证中心信息安全管理体系部分客户信息产业部计算机安全技术检测中心(华北计算技术研究所计算机测评中心)北京凸版资讯印务有限公司东港安全印刷股份有限公司北京宏平印务有限公司北京伊诺尔印务有限公司北京银牡丹印务有限公司广东蓄能发电有限公司惠州蓄能水电厂南通晟晖未来科技贸易有限公司山东东阿阿胶股份有限公司北京宝旺印务有限公司大连市环境信息中心北京中融安全印务公司北京金保联印刷有限公司中国邮政集团公司邮票印制局北京邮票厂北京邮政商业信函局北京翔科佳信系统技术有限公司集速智能标签(上海)有限公司上海安全印务有限公司认证流程建立信息安全管理体系工作阶段委托

34、方:工作阶段工作内容实施方人天数具体工作安排说明培训组委托方1阶段培训宣贯负责配合根据具体情况核算标准讲解负责配合根据具体情况核算由培训师讲解信息资产识别方法讲解负责配合根据具体情况核算由培训师讲解信息资产识别指导负责根据具体情况核算由培训师在现场进行指导,培训师提出意见。风险评估讲解负责配合风险评估指导负责2阶段体系策划文件编写确定信息安全方针、目标、指标指导负责根据具体情况核算培训师指导委托方对信息安全体系进行策划,并与有关人员交换意见。草拟信息方针、目标、指标指导负责讲解信息安全体系文件的编制要求负责配合根据具体情况核算(现场)由培训师讲解,文件由委托方草拟初稿,培

35、训师能够返回修改。信息安全体系文件编写指导负责3阶段文件发布试运行对体系文件的系统性和符合性进行修改负责配合根据具体情况核算培训师与有关人员交换对体系的意见(含文件修改意见) 体系文件打印、装订和发放负责实施运行负责4阶段内审指导管理评审信息安全体系审核知识、技巧讲解负责配合根据具体情况核算培训师对信息安全体系审核知识和技巧进行讲解和进行案例练习案例分析练习信息安全体系内审员考试内审员考试,合格者发证书现场指导信息安全体系的内部审核负责配合调度根据具体情况核算培训师分组指导内审员对信息安全体系进行内审,并提出整改和文件修改意见。此后,委托方继续进行运行适当时间不符合项目整改建议指导负责根据具体情况核算体系文件可操作性修改建议实施管理评审指导负责根据具体情况核算培训师提出建议5阶段模拟审核仿照认证审核的程序与方法对组织实施全面审核负责配合调度根据具体情况核算培训师模拟第三方认证审核的形式对体系进行全面的现场审核

展开阅读全文