ISO27001咨询

科飞咨询公司长期从事ISO27001理论研究和咨询服务，积累了丰富的ISO27001咨询经验，出版了多本ISO27001专著，发表了十余篇ISO27001论文，参加了两项信息安全管理相关国家标准的起草工作，自主研发了多款专门用于ISO27001的工具软件（Info-Riskmanager，Info-Riskmanager with ITBPM, ISO27001 Easy Tool），并于2006年1月1日作为全国首家咨询机构，获得国家认证认可监督管理委员会批准从事ISO27001认证咨询的资质证书（批准号：CNCA-Z-16Q-2006-001）。

科飞咨询公司借助扎实的ISO27001理论研究基础、丰富的咨询经验、可靠的服务管理体系、配套的软件工具、专业的咨询顾问和正规的服务资质，能够为各类客户提供优质的ISO27001认证咨询服务。

具体的咨询服务如下：

一、 科飞ISO27001咨询服务的目标

1. 将国际先进的信息安全管理体系标准引入客户企业，利用ISO27001快速实施工具软件（ISO27001 Easy Tool）辅助客户建立信息安全管理体系；

2. 建立科学合理的信息安全风险评估过程，利用风险评估软件（Info-Riskmanager）完成全部风险评估、选择适宜的控制目标与控制方式、确定控制方式、自动生成风险评估所需的全部资料和清单；

3. 通过信息安全管理体系的建立和运行过程，消除各种信息安全隐患，保护关键的信息资产；

4. 提高全体员工，特别是各级领导的信息安全意识和能力；

5. 提高客户企业的信息安全管理水平；

6. 按计划获得第三方认证机构颁发的ISO27001证书。

注：A. 根据客户的具体要求，对上述目标进行调整；

B. 根据客户的实际状况，确定提供Info-Riskmanager或ISO27001 Easy Tool软件工具；

二、 科飞提供的ISO27001咨询服务内容

1. 培训：

（1）信息安全管理意识培训；

（2）信息安全管理体系内审员培训；

（3）风险分析评估方法培训；

（4）软件工具使用培训；

（5）信息安全管理体系文件编写培训；

（6）信息安全管理体系文件实施培训；

（7）信息安全管理体系文件实施培训；

注：根据客户的实际状况，对上述培训进行调整。

2. 提供适用的软件工具

科飞为每个ISO27001咨询项目提供专用的软件工具（Info-Riskmanager 或ISO27001 Easy Tool），用于信息安全管理体系的建立和信息安全风险评估工作。利用专用的软件工具,可以大幅度的提高整个项目的实施效率、增加项目的实施效果、降低客户的工作量和成本。

风险管理是信息安全管理体系建立的基础。完整的风险管理包括资产识别、资产估值、风险分析、风险评价、风险处理和剩余风险评估等过程，这些过程需要处理大量的数据，而资产、资产属性、威胁、薄弱点、事件的影响、发生的可能性、控制措施等风险评估要素随着评估过程、沟通过程、监视和评审过程、重复的评估过程而不断变化，需要不断的重复的进行大量的数据处理，所以，单纯用手工的的方式很难准确、快速的完成风险管理过程，也不利于管理者对评估进度和评估质量的督促和监控，必须借助于风险评估和风险管理工具软件，以大幅度降低各部门参与风险评估人员的工作量，并随时掌握各部门的风险评估情况，提高工作效率、保证风险评估结果的及时、真实、可靠。

而且，采用Info-Riskmanager工具软件进行风险评估，评估的数据保管在服务器上，能够避免评估资料被咨询公司人员或内部人员泄露。风险评估是一把双刃剑，组织可以通过风险评估，发现风险，进而控制风险。但是，风险评估结果本身对组织也是一项威胁，如果保管不当，被泄漏出去，则攻击者将全面了解组织的风险所在，可以发起有的放矢的攻击。因此，必须妥善保护风险评估的结果。传统的风险评估一般利用Excel表格来完成，非常容易被利用E-mail，U盘等媒体传递，造成风险。

3. 分析评估：

（1）指导客户制定系统化的风险评估方法；

（2）指导客户目标资产进行梳理和识别；

（3）指导客户对重要资产进行系统、细致的风险评估；

（4）指导客户对已识别风险进行处理，形成信息安全风险处理计划；

（5）指导客户建立必要的风险管理文件和记录。

4. 建立信息安全管理体系：

（1）指导客户定义信息安全方针和目标，确定信息安全管理体系范围；

（2）指导客户确定已评估风险的处置方式，对处置方式定义控制措施和目标；

（3）提供信息安全管理体系适用性声明书；

（4）指导客户进行风险处理，将信息安全风险降低到可接受的程度；

（5）提供信息安全管理体系总体方案；

（6）指导客户建立ISO27001信息安全管理体系，制定《信息安全管理手册》；

（7）指导客户编制信息安全管理体系程序及规范；

（8）指导客户进行信息安全管理体系的试运行。

5. 体系评价：

（1）指导客户对信息安全管理体系进行内部审核、管理评审；

（2）指导客户检查风险处理情况，评估剩余风险；

（3）根据内审、管理评审结果，衡量体系的有效性；协助客户体系改进；

（4）协助客户采取适当的预防措施；对体系进行必要的修订；

（5）指导客户选择认证机构，认证提交申请材料；

（6）指导客户配合认证机构接受审核；

（7）指导客户对审核机构提出的不符合项进行整改；

（8）对客户进行对信息安全管理体系的下一步扩展、运行提出建议。

三、 科飞的咨询服务流程

<< 1 2 3 >>