客服热线
官方微信
官方微博
网站地图
体系认证咨询
服务概述
信息安全管理体系(ISMS)咨询服务是依据ISO/IEC 27001标准要求,采用PDCA过程模型,通过基于组织信息资产的风险评估,帮助客户建立文件化的信息安全管理体系,辅导客户在其组织范围内实施、运行、评审信息安全管理体系,从而确保客户信息系统的正常运行,提高服务竞争力,最终促进客户业务的开展。
ISO/IEC20000秉承“以客户为导向,以流程为中心”的先进理念,强调PDCA的方法论持续改进组织所提供的IT服务,标准化管理服务运营的输入与输出、生产流程、新的或变更的服务,以及服务管理体系。它通过采用标准的流程方法,有效的向客户提供满足业务与客户需求的高质量服务,从而最终保证以最低的成本提供质量稳定的IT服务,保证业务持续运作的能力。
服务内容
➢ ISMS认证咨询
对于客户关于信息安全管理体系(ISMS)的建设和认证需求,向客户提供专业咨询服务,参照国际标准ISO/IEC27001和国内标准GB/T22080,按照PDCA的完整管理过程,确定体系实施范围、实施安全风险评估、选择和实施安全控制措施、编写与制订文档化的体系文件、完成信息安全管理体系的导入运行、实施信息安全管理体系评审和内部审核、推荐和选择体系认证机构并配合完成体系认证审核、培训客户方人员通过内审员认证,将信息安全管理方法、理念、意识、技术和解决方案通过项目传递给客户,帮助客户解决切实的信息安全问题,并且掌握解决问题的机制和方法。
1.信息安全管理体系文件建立
根据客户的组织架构特点和IT的整体规划要求,建立适合客户的信息安全风险管理体系,包括客户信息安全风险管理的组织架构和权责、信息安全风险评估的管理流程、以及信息安全内部审计的管理流程等。
2.信息安全管理流程差距分析
按各类信息安全管理最佳实践标准,结合客户的信息安全管理现状,对各个信息安全管理领域进行差距分析。包括:信息安全方针和策略,信息安全组织,人力资源安全,资产管理,访问控制,密码,物理和环境安全,操作安全,通信安全,系统获取、开发和维护,供应商关系,信息安全事件管理,业务连续性管理的信息系安全方面,符合性等方面。
3.信息安全风险评估及应对
圣博润将根据客户的业务性质,识别与IT相关的重要业务流程,并分析其在保密性、完整性和可用性方面的要求。对各类相关信息资产进行有效识别和分类,识别其重要性和敏感性,识别其相关的威胁、弱点和现有控制措施,以及风险发生的可能性,并确定需要管理层关注的风险点。同时根据风险评估所识别的各类风险拟定合理的风险应对措施和处置计划。
4.信息安全管理体系执行
根据信息安全风险评估的结果,结合客户的信息安全管理要求,对现有的各项信息安全管理文件进行梳理、优化和补充,形成完整的信息安全控制体系。包括纲领性文件(如信息安全方针及政策等)、程序文件(如风险管理及评估程序、内部审核程序、第三方和外包管理规定等)、具体的作业指导书(操作步骤和方法)、各种记录文件(流程实施记录和表格)等,并进行信息安全体系发布和宣导。
5.信息安全管理体系运行有效性衡量机制及内部审计
圣博润将根据客户信息安全管理体系建立科学的运行有效性衡量机制,拟定关键衡量指标、衡量标准和衡量方式,为体系的长期持续改进提供依据。同时建立对信息安全体系的自我评估和内部审计的流程和方法,提高客户持续改善信息安全管理能力。
6.知识转移及安全意识教育
圣博润将以专门的交流和培训等方式实现对信息安全管理的知识、方法、技术和工具等的知识转移,并对客户进行信息安全意识教育。
7.协助进行外部认证
客户在信息安全管理体系有效运行一段时间后,可进行ISO27001信息安全管理体系的外部认证工作,圣博润将协助客户进行认证准备工作,并对客户进行认证预评估,配合客户完成外审认证工作。
➢ ITSMS认证咨询
作为行业领先的IT运维管理体系培训服务提供者,圣博润信息技术服务管理体系(ITSMS)咨询服务是依据ISO/IEC 20000标准要求,帮助客户分析IT服务管理现状,设计、实施并结合ITIL服务管理标准,改进客户的IT服务管理体系,增强IT运作的可预见性,改善客户组织的整体绩效,帮助客户创建一个符合组织IT服务管理需要的,把服务支持、服务交付、日常运维等流程电子化、自动化。充分的将业务与IT进行有效的整合。为客户建立一套IT服务管理体系,并获取ITSMS证书。
1.对运行部进行IT服务现状评估,分析差距并提出改进建议,制定改进规划;
2.建立、优化运行部IT服务管理体系,包括服务组织体系、管理职责、文档控制、培训机制;
3.参照IT服务管理最佳实践,依据ISO20000的标准,建立包括事件管理、问题管理、变更管理、配置管理、发布管理、服务级别管理、信息安全管理、供方管理、IT预算和核算管理、IT服务连续性和可用性管理、能力管理、业务关系管理流程及相关规范;
4.建立IT服务质量管理体系,建立IT服务流程量化考核指标体系(KPI),实施并达到ISO 20000的“流程管理控制”要求;
5.协助进行外部认证。
服务收益
➢ 从管理、技术、人员、过程等多角度定义、建立、实施信息安全管理体系;
➢ 确保客户建立和维护完整、有效的信息安全管理体系,为客户关键业务运营提供充足的安全保障,从多个层面保障组织的信息安全;
➢ 获取ISMS管理体系证书,并通过体系落地加强客户内部信息安全管理;
➢ 帮助企业分析IT服务管理现状,设计、实施并结合IT服务管理标准,改进客户的IT服务管理体系,增强IT运作的可预见性,改善客户组织的整体绩效;
➢ 为客户参与国际市场竞争和新业务拓展提供可靠的管理体系保障,并形成一套适合当前发展水平的IT服务管理解决方案;
➢ 为客户提供ISO/IEC 20000认证咨询服务,获取ITSMS管理体系证书,并通过体系落地提升客户对外提供IT服务的管理水平。