1. 目的

   最大限度地指导顾客建立实施ISO27001信息安全管理体系，并及时获得证书。

2. 适用范围

    咨询师指导顾客各部门顾客建立实施ISO27001信息安全管理体系。

3. 职责

3.1 咨询师负责组织顾客相关部门建立实施ISO27001信息安全管理体系。

3.2 顾客各部门负责对各自范围内的ISO27001信息安全管理体系管理。

4. 工作内容

4.1项目进度安排
 

阶段
 子阶段
 工作内容
 时间
 
准备阶段

 
 
 
 项目开始+5工作日

 
 
SMS建立
 建立框架
 制定并建立ISMS框架，管理会议，安全小组会议，确定双方工作责任和范围，获得管理审批
 准备阶段+30工作日

 
 
差距分析
 文档审查；进行安全状况调查；进行差距分析；输出报告，列出差异处并计划实际资源；设放
 
风险评估
 识别信息资产，评估资产价值；确认漏洞和威胁并加以分析；输出风险评估报告；制定策略和手段把风险消减或转移；输出控制手段的理论报表和确定实施日期
 
安全控制
 将风险评估报告内确定的控制手段转化为具体行动，例如安装设备，更改流程和意识培训等；控制实施进度和资源
 
适用性声明
 编制SOA文档，审阅认证必需的相关文档案
 
SMS运行
 
 
 ISMS建立阶段

+60工作日
 
SMS评审

 
 复查和审核

 
 针对差距分析和风险控制的结果进行定时复查；陪同客户接受认证公司的答问和检查，并就认证公司所审核出来的问题进行修改和完善
 
 
项目结束
 
 
 SMS运行+5工作日
 
注：具体步骤还是以实施方案件为准，更详细的计划，待合同签订后，项目启动时提供，并得到双确认。
 

 
4.2实施方案
见下表

实施活动（工作）
 目标
 客户职责
 华鹏万通职责
 
1.成立信息安全管理体系领导小组
 制定政策，落实职责、提供资源等。
 指定有关人员
 提出职责说明
 
2.成立信息安全管理体系工作小组
 具体实施信息安全管理体系体系的建立工作
 指定有关人员
 提出职责说明及要求
 
3高层人员ISO/IEC 27001:2013

基础培训
 了解和掌握开展ISO/IEC 27001:2013目的意义和标准的主要内容
 指定有关人员和提供资源
 提供培训和辅导
 
4中层人员ISO/IEC 27001:2013

基础培训
 了解和掌握开展ISO/IEC 27001:2013目的意义和标准的主要内容
 指定有关人员和提供资源
 提供培训和辅导
 
5.骨干人员和信息安全管理体系工作小组ISO/IEC 27001:2013基础培训
 完全掌握开展ISO/IEC 27001:2013目的意义和标准的主要内容
 指定有关人员和提供资源
 提供培训和辅导