ISO/IEC 27002:2022和ISO/IEC 27001:2022標準于2022年的2月與10月分別亮相，取代了先前的2013版。在新版本推出后的三年內(nèi)，所有已獲得2013版ISO 27001認證的組織須要逐步完成轉(zhuǎn)版認證工作，即采用2022版的標準進行認證。

相較于2013版本，新版標準引入了一系列的更新。為幫助組織深入理解這些修改，本文將詳細解讀新版本的變更內(nèi)容，并提供一份關于如何基于新版本進行信息安全管理體系建設、優(yōu)化和認證的具體指南。通過參考和實踐這些策略和建議，組織將能有效地建立和完善自身的信息安全管理體系，從而順利地獲取新版ISO 27001的認證。

一、2022版ISO?27002與2013版的變化和解讀

（一）標準名稱的變化

新版ISO 27001和ISO 27002的官方標準名稱已經(jīng)更新為ISO/IEC 27001:2022《信息安全、網(wǎng)絡安全和隱私保護 信息安全管理體系 要求》以及ISO/IEC 27002:2022《信息安全、網(wǎng)絡安全和隱私保護 信息安全控制》。這兩個新的標題就清楚地揭示出，其覆蓋的范圍已從原本的“信息技術 安全技術”擴展至“信息安全、網(wǎng)絡安全和隱私保護”。這個變化體現(xiàn)了新標準致力于緊跟現(xiàn)代信息技術與信息安全的發(fā)展潮流，以便在不斷進步的環(huán)境中保持其應有的領先地位和實用性。

（二）標準內(nèi)容的變化

ISO?27002:2022標準在ISO 27002:2013的基礎上實施了一系列的改進和優(yōu)化。對于原有的14個控制領域以及114個控制項，新版標準進行了細致的審查，對部分內(nèi)容進行了合并、剔除，并引入了新的控制項。

在最新的ISO/IEC 27002:2022標準中，明確列出了93個控制項，這些控制項涵蓋了4個主題和15個安全運營能力域。這些改動使得新版標準更具有針對性和實用性，更能滿足現(xiàn)代信息安全管理的需求。

1.?15個安全運營能力域

運營能力是從組織的信息安全能力角度來看待控制的一個屬性。包括治理、資產(chǎn)管理、信息保護、人力資源安全、物理安全、系統(tǒng)和網(wǎng)絡安全、應用安全、安全配置、身份和訪問管理、威脅和漏洞管理、連續(xù)性、供應商關系安全、法律和合規(guī)性、信息安全事件管理和信息安全保障。

圖1：標準ISO 27002:2022的15個安全運營能力域

與舊版本的14個控制域相比，新標準的15個運營能力域有幾個明顯的變化，如新增了“信息保護”“安全配置”“威脅和漏洞管理”領域；部分領域的名稱也有了變化，如“信息系統(tǒng)獲取、開發(fā)和維護”改為“應用安全”、“通信安全”改為“系統(tǒng)和網(wǎng)絡安全”等。

新標準的15個運營能力域與舊標準的14個控制域之間的對應關系如下表：

ISO/IEC 27002:2013的14個控制域

ISO/IEC 27002:2022的15個運營能力域

重點變化

安全策略治理無組織信息安全人力資源安全人力資源安全無資產(chǎn)管理資產(chǎn)管理無信息保護新增“信息刪除”“數(shù)據(jù)脫敏”“數(shù)據(jù)防泄露”等控制項訪問控制身份和訪問管理無密碼學安全配置新增“配置管理”控制項物理和環(huán)境安全物理安全新增“物理安全監(jiān)控”控制項操作安全威脅和漏洞管理將舊標準的操作安全領域進行了拆分，其中的“技術漏洞管理”控制項，與新增“威脅情報”的控制項，形成新標準中的“威脅和漏洞管理”能力域通信安全系統(tǒng)和網(wǎng)絡安全

網(wǎng)絡安全方面新增“網(wǎng)頁過濾”控制項

系統(tǒng)安全方面與應用安全一致

信息系統(tǒng)獲取、開發(fā)和維護應用安全新增“安全編碼”控制項供應關系供應商關系安全新增“云服務使用的信息安全”控制項信息安全事件管理信息安全事件管理新增“監(jiān)控活動”控制項信息安全方面的業(yè)務連續(xù)性管理連續(xù)性新增“業(yè)務連續(xù)性中ICT準備”控制項符合性法律和合規(guī)無信息安全保障無

2.?4個主題和93個控制項

修訂后的2022版將93項控制措施分配到組織、人員、物理、技術四大主題，這樣方便了組織對安全控制點進行選擇歸類，通過歸類的特定主題策略支持信息安全策略，以加強信息安全控制的實施。

圖2：標準ISO 27002:2022的4個主題和93個控制項

2022版本相對于2013增加了11個安全控制項，包括：威脅情報、云服務使用的信息安全、業(yè)務連續(xù)性中ICT準備、物理安全監(jiān)控、配置管理、信息刪除、數(shù)據(jù)脫敏、數(shù)據(jù)防泄露、監(jiān)控活動、網(wǎng)頁過濾和安全編碼。

增加的控制項主要集中在組織和技術這兩大主題，組織控制主題中增加了云、威脅情報，以及業(yè)務連續(xù)性的控制點，而技術控制主題主要是增加了關于配置管理、數(shù)據(jù)安全等控制點。

新版中增加的11個控制項說明如下表：

新增控制項

說明

5.7威脅情報對不斷變化的威脅環(huán)境，組織應保持警惕及清醒的認識。威脅情報的層級包括：戰(zhàn)略層面、戰(zhàn)術層面和運營層面。例如：從特殊利益相關方（控制項5.6與特殊利益相關方聯(lián)系）、從信息安全事件（控制項5.27從信息安全事件中學習）或安全運營中心（SOC），獲得有關戰(zhàn)術和運營層面的威脅情報信息。
與此同時，組織還應該定期檢查本行業(yè)以及相關行業(yè)不斷變化的威脅形勢。5.23云服務使用的信息安全過去十年以來越來越多的組織開始使用云服務，作為組織控制中一個新的控制項，正確運用這種控制項需要云技術的相關知識，因此組織在采用此類控制時應考慮讓云專家參與。5.30信息技術為業(yè)務連續(xù)性做好準備這個控制項的目的在于確保組織信息和其他相關資產(chǎn)在中斷期間的可用性。IT 部門制定的災難恢復計劃 (DRP) 可以作為這種控制項的實施示例，前提是該計劃滿足組織的業(yè)務連續(xù)性需求。7.4物理安全監(jiān)控雖然在標準中作為一個新的控制項，但實際上許多組織早已在其物理場所采取了這類技術手段，例如：安裝監(jiān)控系統(tǒng)、入侵檢測系統(tǒng)或門禁控制系統(tǒng)等。8.9配置管理配置管理是對硬件、軟件、服務（例如：云服務）和網(wǎng)絡在其整個生命周期中進行定期管理的過程。應維護配置，以確保其有效。遵循變更管理流程8.32（變更管理），以受控制的方式進行變更，同時，變更的記錄應被安全保存。8.1信息刪除這三個控制項的添加與新版標準的名稱相呼應。這些控制方式通常結(jié)合當前的數(shù)據(jù)安全、個人信息保護相關法律法規(guī)和監(jiān)管要求來實施，以保護數(shù)據(jù)和個人信息安全，以及個人信息主體的權利。8.11數(shù)據(jù)脫敏8.12數(shù)據(jù)防泄露8.16監(jiān)控活動這個控制項旨在監(jiān)控網(wǎng)絡、系統(tǒng)和應用程序的異常行為和潛在的信息安全事件。
組織可采用各種監(jiān)控手段來監(jiān)控其IT環(huán)境，例如：通過安裝防病毒軟件、防火墻或帶日志的網(wǎng)頁過濾器等。8.23網(wǎng)頁過濾許多組織已經(jīng)在其網(wǎng)絡中采用該項控制。盡管過濾掉的外部網(wǎng)站越多，被惡意內(nèi)容滲透的機會越小，但是組織應該在信息安全風險與業(yè)務需求之間做出平衡。8.28安全編碼這個控制項旨在減少新開發(fā)或增強開發(fā)的軟件時潛在的信息安全脆弱性的數(shù)量。

二、信息安全管理體系建設和認證的方法

當組織致力于構建和優(yōu)化其信息安全管理體系時，強烈推薦參照最新版的ISO 27001和ISO 27002標準。這需要組織根據(jù)自身的信息安全戰(zhàn)略，進行持續(xù)的改進并完善信息安全管控措施。

在信息安全管理體系建設和取得認證的過程中，尋求專業(yè)咨詢機構的協(xié)助能夠為組織帶來重大益處。咨詢機構的專業(yè)團隊不僅能夠幫助組織深入理解新標準的要求，更能夠提供定制化的解決方案，指導如何構建和更新信息安全管理體系以滿足這些標準。

咨詢機構在協(xié)助組織建設信息安全管理體系并最終獲得認證的過程中，將通過持續(xù)的培訓和知識傳遞，有力地提升組織員工的信息安全意識和技能熟練度。這不僅能夠強化員工的信息安全素養(yǎng)，也能提升整個組織的信息安全防御能力，助力組織在日益復雜的信息安全環(huán)境中穩(wěn)健前行。

（一）信息安全管理體系的建設

在建設信息安全管理體系過程中，組織需深入理解新版本ISO 27001和ISO 27002的標準要求和參考意見，并設立專職的信息安全團隊，負責信息安全管理體系的構建、實施及維護。

首要步驟是對組織現(xiàn)有的信息安全狀況進行評估，明確可能導致信息資產(chǎn)泄露、破壞或丟失的威脅及這些威脅可能造成的影響。信息安全風險評估的目標不僅在于保護信息資產(chǎn)，同時也通過評估來規(guī)劃合適的安全措施，以確保業(yè)務的連續(xù)性。

實施風險評估的方法多樣，比如通過對標ISO 27001和ISO 27002的差距分析和風險評估，基于資產(chǎn)的風險評估，對特定業(yè)務流程或IT流程的風險評估，或者使用漏洞掃描和滲透測試進行技術評估等。其中，基于資產(chǎn)的風險評估在ISO 27001認證項目中被廣泛應用，主要通過識別信息資產(chǎn)、威脅和脆弱性三個要素，并在此基礎上進行分析和量化，使用預選的風險評估模型計算安全事件的發(fā)生可能性、潛在損失及對組織的影響即安全風險值。進行資產(chǎn)評估時，可以參考《GB/T 20984-2022 信息安全技術 信息安全風險評估方法》的相關內(nèi)容。

根據(jù)信息安全評估結(jié)果，參考ISO 27002的控制要求，針對性地選擇符合組織實際需求的信息安全控制措施來管理風險。在此過程中，組織需要制定一系列的政策和流程，即創(chuàng)建一套信息安全管理制度體系文件，以指導信息安全管理工作，并確保所有員工明確自身在信息安全管理中的職責和任務。

體系文件編制完成后，按照文件的控制要求進行審核與批準并發(fā)布實施，至此，信息安全管理體系將進入運行階段，組織應進行至少3個月的試運行，試運行的目的是通過實施各項策略、程序和各種作業(yè)指導性文件等一系列體系文件，充分發(fā)揮體系本身的各項功能，檢驗設計的體系在實際運行中存在的不足并進行相應的調(diào)整。

試運行結(jié)束后，應進行體系的內(nèi)部審核，以檢查信息安全管理體系是否正常運行并符合ISO 27001的要求。同時，管理層需要定期審查信息安全管理體系的運行狀況和是否能滿足組織的業(yè)務需求和目標。根據(jù)內(nèi)部審核和管理層審查的結(jié)果，組織應持續(xù)優(yōu)化信息安全管理體系，確保其始終滿足組織的需求和目標。

完成內(nèi)部審核和管理層審查后，組織可以邀請認證機構進行認證審核。若順利通過審核，即可獲得ISO 27001的認證證書。

（二）信息安全管理體系的優(yōu)化

對于已經(jīng)獲得2013版ISO 27001認證證書的組織而言，需要深入理解ISO 27001:2022與ISO 27001:2013之間的差異以及這些差異的實際意義。

在此基礎上，對現(xiàn)有的信息安全管理系統(tǒng)進行全面審查，明確其在符合新標準要求方面的優(yōu)勢，以及在哪些環(huán)節(jié)還存在改進的需要。

針對審查結(jié)果，制定詳細的改進行動計劃，該計劃應包含對現(xiàn)有政策和程序的修改，新的控制措施的引入，以及必要的額外培訓等內(nèi)容。對于新版中新增的控制項，需要依據(jù)組織的實際狀況，在現(xiàn)有的信息安全管理制度中進行相應的補充和完善。例如，新增《數(shù)據(jù)安全管理辦法》《威脅情報管理辦法》《安全配置管理辦法》和《云服務安全管理辦法》等內(nèi)容，在現(xiàn)有的《信息系統(tǒng)開發(fā)安全管理制度》中補充和更新安全編碼的要求。

完成所有改進行動后，仍需要進行至少3個月的試運行，并執(zhí)行內(nèi)部審核，確保滿足了所有新版標準的要求。同時，組織的管理層需要審查更新后的信息安全管理體系，確認其是否符合組織的業(yè)務需求和目標。

最后階段，邀請認證機構進行認證審核。成功通過審核后，組織即可獲取ISO 27001:2022的認證證書。

（三）信息安全管理體系建設的增值服務－重點領域?qū)ｍ椊ㄔO

1.數(shù)據(jù)安全體系設計

數(shù)據(jù)安全管理體系應當是信息安全管理體系的重要組成部分，組織在進行數(shù)據(jù)安全管理體系建設時，要確保與現(xiàn)有安全管理體系的融合，并把數(shù)據(jù)安全管理體系的運營納入到現(xiàn)有的安全體系運營中來。

組織可結(jié)合數(shù)據(jù)安全相關法律法規(guī)和行業(yè)監(jiān)管要求，參考ISO?27002標準要求，在對關鍵業(yè)務流程和業(yè)務系統(tǒng)深入理解的基礎上，梳理組織的數(shù)據(jù)資產(chǎn)，明確數(shù)據(jù)的分布、流轉(zhuǎn)和處理過程，識別敏感數(shù)據(jù)的安全風險?；陲L險評估的結(jié)果，制定和實施數(shù)據(jù)安全策略，包括建立數(shù)據(jù)安全管理組織、制定數(shù)據(jù)安全管理制度流程、部署數(shù)據(jù)安全技術工具等。

數(shù)據(jù)安全管理組織架構，可以參照信息安全管理體系的四層設計，即決策層、管理層、執(zhí)行層、監(jiān)督層，在原有信息安全管理組織體系的基礎上，對每一層級補充數(shù)據(jù)安全的職責。

數(shù)據(jù)安全管理制度體系也可分為四層架構，每一層作為上一層的支撐。

第一層是管理總綱，即《數(shù)據(jù)安全管理制度》，是組織數(shù)據(jù)安全頂層的方針和策略，應明確數(shù)據(jù)安全治理的目標和重點；

第二層是管理制度，應對數(shù)據(jù)安全管理活動中的各類管理內(nèi)容建立安全管理制度，如《數(shù)據(jù)生命周期安全管理制度》《數(shù)據(jù)分類分級安全管理制度》《數(shù)據(jù)安全應急響應制度》《數(shù)據(jù)安全合規(guī)評估制度》等；

第三層是操作流程和規(guī)范性文件，是作為制度要求下指導數(shù)據(jù)安全策略落地的指南，如《數(shù)據(jù)安全分類分級操作指南》《數(shù)據(jù)安全技術防護操作指南》《數(shù)據(jù)安全審計規(guī)范》等指導性文件；

第四層是流程圖和表單文件，是作為數(shù)據(jù)安全落地運營過程中產(chǎn)生的執(zhí)行文件，如《數(shù)據(jù)資產(chǎn)管理清單》《數(shù)據(jù)使用申請審批表》《數(shù)據(jù)安全定級流程圖》等。

依據(jù)組織數(shù)據(jù)安全建設的方針策略，圍繞數(shù)據(jù)生命周期各階段的安全要求，建立與制度流程相配套的技術和工具，如數(shù)據(jù)防泄露工具、數(shù)據(jù)脫敏工具、數(shù)據(jù)備份工具、數(shù)據(jù)銷毀工具等。

數(shù)據(jù)安全管理團隊應定期監(jiān)控和審計數(shù)據(jù)安全控制措施的效果，發(fā)現(xiàn)并及時處理數(shù)據(jù)安全事件?；诒O(jiān)控和審計的結(jié)果，持續(xù)改進數(shù)據(jù)安全管理體系。

2.信息科技外包管理體系設計

作為信息安全管理體系的關鍵組成部分，信息科技外包管理體系對于依賴外包服務商執(zhí)行大量開發(fā)、測試和運維任務的組織來說尤為重要，他們必須加強對信息科技外包服務商的安全管理。

特別是對于銀行和保險機構，根據(jù)《銀行保險機構信息科技外包風險監(jiān)管辦法》（銀保監(jiān)辦發(fā)〔2021〕141號）規(guī)定，它們需要對信息科技外包活動進行規(guī)范，并強化對信息科技外包風險的管控。在遵循此辦法的同時，這些機構還應參考ISO 27002:2022標準中“供應商關系安全”領域的控制要求，并結(jié)合外包商及其員工的安全管理實踐，來構建信息科技外包管理組織架構，以及更新和完善信息科技外包管理體系文件。

管理體系文件應包括信息科技外包商安全管理辦法、信息科技外包人員安全管理辦法等，明確規(guī)定信息科技外包的種類、準入標準、重要外包商的盡職調(diào)查流程和內(nèi)容、信息科技外包合同管理、信息科技外包監(jiān)控評估、信息科技外包風險管理以及信息安全外包的安全管理等方面的內(nèi)容。

實施這些工作將幫助組織更有效地識別和管理與外包商和外包人員相關的安全風險，預防因外包服務可能導致的信息泄露、數(shù)據(jù)丟失、業(yè)務中斷、資金損失等安全問題的發(fā)生。

3.信息系統(tǒng)開發(fā)生命周期安全體系設計

在信息安全管理體系中，信息系統(tǒng)開發(fā)生命周期安全管理是一個重要組成部分。組織應參考ISO 27002:2022標準中“應用安全”領域的控制要求，結(jié)合安全開發(fā)生命周期實踐，關注如何在整個信息系統(tǒng)的開發(fā)過程中，從需求分析、設計、編碼、測試到部署和維護，都融入安全性的考慮。

首先，組織需要制定一個明確的策略，定義在整個信息系統(tǒng)開發(fā)生命周期中如何進行安全管理。此策略應包括對安全需求的識別、安全設計原則、安全編碼實踐、安全測試以及在部署和維護過程中如何進行安全管理的指南。

在系統(tǒng)需求分析階段，要識別和明確安全需求。這可能包括對數(shù)據(jù)的保護、對系統(tǒng)訪問的控制，以及如何防止和應對安全事件等。

在設計和編碼階段，需要確保安全需求被納入系統(tǒng)設計中，并遵循安全編碼實踐，例如避免常見的安全漏洞（如注入攻擊、跨站腳本攻擊等）。

在測試階段，除了測試功能性需求外，還需要測試安全需求是否得到滿足。這可能包括對系統(tǒng)的滲透測試、惡意軟件掃描等。

在部署和維護階段，需要確保系統(tǒng)的安全性。例如，需要控制對生產(chǎn)環(huán)境的訪問，定期對系統(tǒng)進行安全審計，并定期更新和補丁管理。

對員工進行培訓，保證員工有足夠的安全知識和技能，可以提升整個生命周期的安全性。例如，開發(fā)人員需要了解如何避免常見的安全漏洞，測試人員需要知道如何進行安全測試，運維人員需要知道如何保護生產(chǎn)環(huán)境的安全。

三、信息安全管理體系建設和認證的價值

構建信息安全管理體系并獲得ISO 27001認證可以為組織帶來多方面的益處：

??提升信息安全防護：在建設信息安全管理體系的過程中，可以幫助組織識別和管理信息安全風險，提高信息安全防御能力，減少安全事故發(fā)生的可能性。

??增強信任度：獲得ISO 27001認證，代表組織已經(jīng)達到了國際信息安全管理的標準，可以增加客戶、合作伙伴以及其他利益相關者對組織的信任度。

??合規(guī)性：信息安全管理體系可以幫助組織滿足法規(guī)、行業(yè)規(guī)定以及合同中的信息安全要求，避免由于違反這些要求而產(chǎn)生的法律責任和經(jīng)濟損失。

??提高效率：通過整合和優(yōu)化信息安全控制措施，信息安全管理體系可以提高組織的運作效率。

??保護業(yè)務連續(xù)性：通過預防和應對信息安全事件，信息安全管理體系可以保護組織的業(yè)務連續(xù)性，減少由于信息安全事件導致的業(yè)務中斷。

??促進業(yè)務增長：對于那些視信息安全為重要考量因素的客戶，組織的信息安全管理能力可能會成為客戶選擇組織作為合作伙伴的一個重要因素。

??員工教育與意識提升：通過信息安全管理體系的實施，可以提高員工的信息安全意識和技能，使他們能更好地識別和防范信息安全風險。

??利于應對未來挑戰(zhàn)：持續(xù)優(yōu)化的信息安全管理體系能夠幫助組織應對新的技術、威脅和業(yè)務模式帶來的挑戰(zhàn)。

四、信息安全管理體系建設和認證過程中的挑戰(zhàn)和應對方案

信息安全管理體系的建設和認證過程是一項復雜的任務，可能會遇到以下的難點和挑戰(zhàn)：

??資源投入：信息安全管理體系的建設和認證需要投入大量的時間、人力和財力資源。例如，需要培訓員工、購買和實施安全控制措施，以及聘請咨詢服務。

??組織文化和員工意識：如果組織的文化和員工的意識不重視信息安全，那么信息安全管理體系的實施可能會遇到阻力。要改變這種情況，可能需要進行大量的宣傳和教育工作。

??風險評估：識別和評估信息安全風險是信息安全管理體系的關鍵步驟，但這是一項復雜的任務，需要專業(yè)的知識和技能。

??技術挑戰(zhàn)：實施某些安全控制措施可能需要在技術上進行一些調(diào)整，這可能會帶來一些技術挑戰(zhàn)。

??合規(guī)性：滿足所有相關的法規(guī)、行業(yè)規(guī)定以及合同要求可能會是一項挑戰(zhàn)。

??持續(xù)改進：信息安全管理體系的建設和認證不是一次性的任務，而是需要持續(xù)改進的過程。但是，許多組織在實施了初步的信息安全管理體系后，可能會發(fā)現(xiàn)維持和改進信息安全管理體系是一項挑戰(zhàn)。

??變更管理：組織的業(yè)務、技術和環(huán)境可能會發(fā)生變化，這可能會對信息安全管理體系造成影響。因此，組織需要有效的變更管理過程，以確保信息安全管理體系能適應這些變化。

面對以上可能存在的挑戰(zhàn)，組織可以考慮采取以下策略來應對：

??確保資源：信息安全管理體系的建設和認證需要在預算中預留出必要的資源，包括時間、人力和財力。確保項目的成功實施需要獲得高層管理的承諾和支持，以及各部門的積極參與和配合。

??建立信息安全文化：建立一種文化，使所有員工都理解并接受信息安全是他們?nèi)粘９ぷ鞯囊徊糠?。通過提供定期的安全培訓和教育，增強員工的安全意識。

??風險管理：組織應當建立一套全面的風險管理流程，包括風險識別、評估、處理和監(jiān)控。風險管理不應是一次性活動，而應當是持續(xù)的過程。

??技術支持：在需要技術支持的地方，考慮引入合適的技術專家或咨詢服務。他們可以幫助組織選擇和實施適當?shù)陌踩刂拼胧?/span>

??合規(guī)性考慮：需要在規(guī)劃階段就充分考慮合規(guī)性要求，以確保組織的信息安全管理體系滿足所有相關的法規(guī)、行業(yè)規(guī)定和合同要求。

??持續(xù)改進：組織需要建立一種持續(xù)改進的文化和流程，以確保信息安全管理體系能隨著組織和環(huán)境的變化而改進。

??變更管理：制定有效的變更管理流程，確保組織的變更能夠得到恰當?shù)奶幚恚⑶倚畔踩芾眢w系能夠適應這些變更。

??內(nèi)部和外部審計：定期進行內(nèi)部和外部審計，以確認信息安全管理體系的有效性，并識別出需要改進的地方。

五、信息安全管理體系建設和認證項目案例

（一）某銀行ISO27001信息安全管理體系建設和認證咨詢服務

項目內(nèi)容：為銀行ISO 27001信息安全管理體系提供差距分析、風險評估、體系建設、體系落地及審核支持等系列咨詢服務，協(xié)助銀行持續(xù)優(yōu)化完善ISO 27001體系，進一步深化體系落地應用，將認證范圍擴大至所有信息系統(tǒng)技術管理、軟件開發(fā)測試、系統(tǒng)建設、運行維護和業(yè)務運營相關的信息安全管理活動，不斷提高銀行信息安全管理工作水平。

項目方案：

第一階段：項目啟動與現(xiàn)狀調(diào)研

充分確認項目范圍和目標的基礎上制定項目詳細實施計劃，交付物清單。確定項目管理模式以及雙方需要準備的資料。通過對收集的銀行相關資料的審閱，并實施人員訪談和調(diào)查問卷，個別部分可能采用技術檢查，以了解銀行信息安全管理現(xiàn)狀。

第二階段：差距分析與風險評估

調(diào)研信息安全管理現(xiàn)狀與新版ISO27001和ISO27002的差距；基于信息資產(chǎn)視角、業(yè)務流程視角識別物理、網(wǎng)絡、系統(tǒng)、應用、IT服務流程和人員風險，并采用適當?shù)娘L險評估方法評估可能存在的潛在風險。

第三階段：體系建立與完善

建立符合ISO 27001標準管理體系；按照ISO 27002最新標準進行適應性調(diào)整。包括管理流程的設計、流程文檔的開發(fā)和評審、流程的部署及改進，以及體系文件的發(fā)布和培訓等。

第四階段：體系試運行

對優(yōu)化后的體系進行試運行，以驗證體系的適用性和有效性；配合銀行實施體系有效性測量、信息安全管理體系內(nèi)審、管理評審，并指導不符合項的整改。

第五階段：內(nèi)部預審與外部審核

通過內(nèi)審方式對人、流程、工具的協(xié)作運行進行檢查和審核，并對發(fā)現(xiàn)的問題及時進行整改，以優(yōu)化改進，達到正式審核的要求。

第六階段：獲得證書

配合認證機構完成ISO27001認證的各階段的審核工作，并確保獲得ISO27001證書。

在項目實施過程中，提供宣傳資料與培訓，內(nèi)容包括但不限于：ISO27001管理制度宣貫培訓、ISO27001內(nèi)審培訓以及專業(yè)認證培訓等增值服務。

（二）某醫(yī)療機構信息安全管理體系建設咨詢服務

項目內(nèi)容：在公司現(xiàn)有信息安全管理體系的基礎上，參考ISO27001信息安全管理體系最佳實踐，明確集團與分支機構的職責邊界，建立符合公司當前業(yè)務發(fā)展的信息安全管理體系，并對數(shù)據(jù)安全管理體系進行專項建設。

項目方案：

第一階段：現(xiàn)狀及行業(yè)調(diào)研、差距分析與風險評估

通過資料收集、現(xiàn)場訪談、問卷調(diào)查等方式，對公司當前的信息安全管理相關的組織結(jié)構、業(yè)務特征、制度規(guī)范、IT基礎設施、日常管理、運行操作等內(nèi)容進行調(diào)查，對照新版ISO27002中的控制要求、行業(yè)監(jiān)管要求等進行差距分析和風險評估。

第二階段：信息安全規(guī)劃

根據(jù)公司業(yè)務發(fā)展戰(zhàn)略、目標和需要，結(jié)合信息安全特點及風險評估結(jié)果，同時參考標準、行業(yè)發(fā)展趨勢及最佳實踐，定位公司信息安全目標，立足信息安全管理，協(xié)助公司制定未來兩年信息安全規(guī)劃。

第三階段：信息安全制度體系建設

通過完善現(xiàn)有的信息安全組織架構，明確不同信息安全組織、不同角色的信息安全定位和職責以及相互關系，對信息安全風險進行控制管理。并在信息安全組織架構下，考慮數(shù)據(jù)安全組織架構設計的整合工作。

依據(jù)信息安全法規(guī)標準，在現(xiàn)有制度體系的基礎上，充分融合ISO 27001信息安全管理標準規(guī)范、等級保護相關要求，以總部、分支機構實際業(yè)務需求為基礎，建立集團信息安全管理制度體系，完成制度文件的編寫。

在項目實施過程中，提供宣傳資料與培訓，內(nèi)容包括但不限于：信息安全管理制度宣貫培訓、信息安全意識培訓、數(shù)據(jù)安全相關法律法規(guī)培訓以及專業(yè)認證培訓等增值服務。

?

作者簡介

張兵，谷安天下信息技術咨詢合伙人，數(shù)據(jù)安全治理委員會專家，全國金融標準化技術委員會證券分技術委員會專家，《中小銀行數(shù)據(jù)安全治理研究報告》、《數(shù)據(jù)防泄露產(chǎn)品選型指南》報告主編，20多年的信息安全、數(shù)據(jù)安全、個人信息保護、科技風險、網(wǎng)絡安全規(guī)劃、SOC管理體系等咨詢及審計服務經(jīng)驗，獲得CISA、CDPSE、CISP-DSG、ISO 27701等證書，熟悉銀行業(yè)、保險業(yè)、證券業(yè)、電信互聯(lián)網(wǎng)行業(yè)、醫(yī)療健康行業(yè)及大型央企的科技管理與風險應對措施，掌握專業(yè)的數(shù)據(jù)安全建設方法論，并具備豐富的項目實踐經(jīng)驗。

李欣韋，谷安天下信息技術咨詢經(jīng)理，10多年的信息安全咨詢和信息科技風險審計工作經(jīng)驗，獲得CISA、CDPSE、CISP-DSG、ISO 27001、ISO 27701等證書，熟悉銀行業(yè)、保險業(yè)、證券業(yè)、大型央企的科技管理風險與應對措施，對數(shù)據(jù)安全、個人信息保護、科技風險管理等領域均有著較為深入的研究，掌握專業(yè)的數(shù)據(jù)安全建設方法論，并具備豐富的項目實踐經(jīng)驗。