基于积累的丰富ISMS建设实践经验,通过完整的方法论体系,能够帮助客户建立符合自身业务要求和标准要求的信息安全管理体系,提升组织信息安全保障能力、确保组织业务持续运行。
项目启动:组建信息安全管理委员会,来全员推动ISMS体系的实施。
现状调研:从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研,通过培训使组织相关人员全面了解信息安全管理的基本知识。
差距分析:将组织体系运行的现状与ISMS标准要求进行二者之间的差距识别、整理与归纳。
风险评估:对组织信息资产进行资产价值、威胁因素、脆弱性分析,从而评估组织信息安全风险,选择适当的措施、方法实现管理风险的目的。
构建策划:根据组织对信息安全风险的策略,制定相应的信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。
体系实施:全面实施信息安全管理策略、执行安全管理体系,落实实施信息安全管理技术计划,根据实施效果改进、更新管理方案。
监督审核:通过组织内部审核和管理评审,对组织整体信息安全管理水平进行综合评价,提出改进方案,制定整改计划。
持续改进:按照已审核通过的ISMS体系规范来进行后期持续改进地识别与提升。