ISO27001(ISMS)業(yè)務(wù)的介紹

1、ISO27001認(rèn)證業(yè)務(wù)常見問題Q：ISO27001認(rèn)證是什么？A：ISO27001是國際標(biāo)準(zhǔn)，全名是IEC/ISO27001信息安全管理體系規(guī)，他是整個ISO27000標(biāo)準(zhǔn)系列當(dāng)中的一個標(biāo)準(zhǔn)，該系列標(biāo)準(zhǔn)中包含很多其他標(biāo)準(zhǔn)；另外一個大家常說的標(biāo)準(zhǔn)ISO1779:2005-信息安全實施細(xì)則也是與信息安全管理相關(guān)的，這個標(biāo)準(zhǔn)當(dāng)前已經(jīng)改名為ISO27002:2008了。無論是ISO27001還是ISO27002，都是ISMS標(biāo)準(zhǔn)系列（ISMS Family of Standards）之一，ISMS標(biāo)準(zhǔn)系列如下圖所示：大家常說的ISO27001認(rèn)證，就是企業(yè)宣稱的認(rèn)證圍符合ISO27001標(biāo)準(zhǔn)正文里的

2、所有要求，并且有選擇的滿足ISO27001標(biāo)準(zhǔn)附錄A中的容。附錄A中的容對應(yīng)標(biāo)準(zhǔn)ISO27002：2008第5章到第15章，企業(yè)是可以根據(jù)自身的實際情況來選擇適用的控制措施，也就是說該標(biāo)準(zhǔn)里的133個控制項不是強(qiáng)制要求通過認(rèn)證的用戶都必須滿足的，通常是通過適用性聲明SOA文件來表達(dá)這種適用，因此，通常在通過ISO27001證書里會包含所選適用性聲明SOA文件的。Q：與BS7799認(rèn)證有和區(qū)別？A：ISO27001認(rèn)證和BS7799認(rèn)證的區(qū)別得從ISO27001標(biāo)準(zhǔn)發(fā)展的歷史談起，ISO27001的發(fā)展過程如下圖所示：BS7799認(rèn)證是指企業(yè)信息安全管理體系符合英國國家標(biāo)準(zhǔn)BS7799-2，由于

3、BS7799具有廣泛的國際認(rèn)可度，在BS7799-2成為國際標(biāo)準(zhǔn)ISO27001之前，全球企業(yè)在選擇信息信息安全管理體系認(rèn)證時，會選擇BS7799。Q：到目前為止，國ISO27001認(rèn)證情況發(fā)展如何？A：目前在國通過ISO27001認(rèn)證的企業(yè)數(shù)已經(jīng)達(dá)到了199家（截至200906），盡管絕對數(shù)還不大，但是增長特別快，從下圖能觀其大概：在這頒發(fā)的199證書里，其中數(shù)DNV和BSI頒發(fā)占絕大多數(shù)，下圖是各認(rèn)證公司頒發(fā)證書的統(tǒng)計表（截止到2009年6月）：目前國認(rèn)證公司有中國信息安全認(rèn)證中心（簡寫為ISCCC，09年5月份CNAS認(rèn)可），華夏認(rèn)證中心（UKAS認(rèn)可，國試點證書），賽寶認(rèn)證中心服務(wù)（國

4、試點證書），中國電子技術(shù)標(biāo)準(zhǔn)化研究所（國試點證書）四家，從公開渠道能夠查詢到的信息來看，截止到2009年7月20日，只有中國信息安全認(rèn)證中心對外頒發(fā)了19證書，而其他國認(rèn)證機(jī)構(gòu)還沒有頒出證書。Q：獲得ISO27001認(rèn)證有什么好處？l 強(qiáng)化意識，轉(zhuǎn)變觀念ü ISO27001認(rèn)證是一個組織證明其信息安全水平和能力符合國際標(biāo)準(zhǔn)要求的有效手段，它將幫助組織節(jié)約信息安全成本；ü 信息安全風(fēng)險管理的目的是保障企業(yè)業(yè)務(wù)賴以運行IT系統(tǒng)的持續(xù)、穩(wěn)定、安全運行，保障企業(yè)業(yè)務(wù)的連續(xù)開展，而不是為企業(yè)業(yè)務(wù)的開展橫加了一道枷鎖，強(qiáng)調(diào)安全保障以業(yè)務(wù)為中心；ü 信息安全工作應(yīng)該是以IT部門

5、為主導(dǎo)，全員參與的全公司圍的活動，強(qiáng)調(diào)人人有責(zé)；ü 信息安全管理應(yīng)該遵循風(fēng)險管理的思想，強(qiáng)調(diào)事先防，事中控制以與事后總結(jié)的工作思路，而不是“問題驅(qū)動”的救火思路；ü 信息安全問題的解決不應(yīng)該是“頭疼醫(yī)頭，腳疼醫(yī)腳”的局部問題解決方式，強(qiáng)調(diào)整體、系統(tǒng)的分析和解決問題；l 規(guī)操作，有法可依ü 按照PDCA的方法管理企業(yè)信息安全風(fēng)險，使公司信息安全管理從“無序、零散、被動”的問題補(bǔ)救行為轉(zhuǎn)變?yōu)椤跋到y(tǒng)、科學(xué)、連貫、主動”的風(fēng)險駕馭狀態(tài)；ü 完善各類安全管理制度，規(guī)了企業(yè)部各種與信息系統(tǒng)、信息等相關(guān)的各種操作行為和方式；l 良好形象，合規(guī)要求ü 企業(yè)獲得

6、國際認(rèn)證，能提升客戶、業(yè)務(wù)伙伴、投資人對公司重要、以與敏感信息保護(hù)能力的信心，提高組織的公眾形象和競爭力；ü 滿足監(jiān)管單位的合規(guī)性要求，以與合作伙伴的信息安全審核的要求；Q：企業(yè)初次如何開展ISO27001認(rèn)證（ISMS建設(shè)）項目？企業(yè)開展ISO27001認(rèn)證時，一般都是由IT部門牽頭，業(yè)務(wù)部門配合參入。但是對于規(guī)較小的公司，IT部門的力量非常有限，往往是由質(zhì)量管理部門牽頭主導(dǎo)項目，因為這些公司一般都有實施過管理體系認(rèn)證（ISO9001或者CMMI）或者項目的經(jīng)驗，信息安全管理體系同質(zhì)量管理體系具有較大的相似性。前期咨詢公司的參入幫助引導(dǎo)主導(dǎo)部門甚至企業(yè)領(lǐng)導(dǎo)正確認(rèn)識信息安全，信息安全

7、管理以與ISO27001認(rèn)證，就本項目對信息安全的理解和目標(biāo)達(dá)成一致。這非常關(guān)鍵，因為這關(guān)系到項目實施過程順利與否，以與項目目標(biāo)的達(dá)成與否。項目圍的確定在前面已經(jīng)做了說明，這里不再累贅。ISO27001項目的招標(biāo)同其他項目沒有區(qū)別，一般按照企業(yè)既定的招標(biāo)流程走。ISMS體系的建設(shè)實施在此也不多說，也有專門的問題。ISMS體系認(rèn)證工作一般分為兩個階段的工作，第一階段是文件審核，這個階段審核員只關(guān)注管理體系文件，查看體系文件是否齊全，ISMS建設(shè)的方法是否合理，文件查看的重點一般為風(fēng)險評估方法，業(yè)務(wù)連續(xù)性和管理體系測量等幾個方面。第二階段是現(xiàn)場審核，審核員將根據(jù)ISO27001標(biāo)準(zhǔn)的要求以與企業(yè)自

8、身信息安全策略的要求，在認(rèn)證圍，現(xiàn)場核實制度的實施情況，檢查運行記錄是重要的審核手段?，F(xiàn)場審核將以末次會議的形式結(jié)束整個審核工作，如果審核員沒有發(fā)現(xiàn)重大不符合項，審核員會在末次會議上宣布企業(yè)通過現(xiàn)場審核。Q：企業(yè)ISO27001認(rèn)證的圍如何來確定？A：認(rèn)證圍的選擇將影響達(dá)到認(rèn)證要求的難易度以與成本。反過來，難易度和成本是選擇認(rèn)證圍的重要參考。難易度一般由企業(yè)自身當(dāng)前的信息安全管理水平?jīng)Q定，而成本則與企業(yè)的預(yù)算相關(guān)。在考慮難易度和成本的基礎(chǔ)上，企業(yè)一般會把核心業(yè)務(wù)部門以與支撐核心業(yè)務(wù)的IT部門和人力資源部門納入認(rèn)證圍。認(rèn)證圍的描述一般使用業(yè)務(wù)活動圍、地域場所、信息資產(chǎn)與技術(shù)來表達(dá)。到目前為止，像

9、比較著名的認(rèn)證機(jī)構(gòu)比如BSI，DNV等在國頒發(fā)的證書一般只使用業(yè)務(wù)活動和地域場所來描述認(rèn)證的管理體系圍。Q：企業(yè)建立符合ISO27001標(biāo)準(zhǔn)的ISMS的過程大致是怎樣的？A：ISO27001認(rèn)證實施不同咨詢公司的做法也不一樣，但是基本上會按照標(biāo)準(zhǔn)里的容，從ISMS（信息安全管理體系）規(guī)劃、ISMS實施與運維、ISMS監(jiān)視與回顧、ISMS改進(jìn)與提高四個階段。 詳細(xì)如下圖解。階段一：階段二：階段三：階段四：××公司的ISO27001認(rèn)證咨詢實施方法是建立在對ISO27001標(biāo)準(zhǔn)的深刻理解以與過往實踐積累總結(jié)的基礎(chǔ)上的。ISO27001信息安全管理體系的核心是基于PDCA流程的方

10、法。利益伙伴，客戶，股東等是信息安全需求做企業(yè)信息安全管理體系的出發(fā)點，在企業(yè)部業(yè)務(wù)活動的開展，需要各種各樣資源，包括人財物的投入，同時也必須遵守各種各樣的安全制度，好的信息安全管理體系最終給利益伙伴，客戶和股東帶來價值。PDCA是個周而復(fù)始的循環(huán)活動，發(fā)現(xiàn)問題，制定問題處理計劃，實施計劃，檢查回顧執(zhí)行的執(zhí)行，監(jiān)視評估實施的效果，發(fā)現(xiàn)不足與時改進(jìn)。企業(yè)在PDCA思路的指導(dǎo)下，大循環(huán)套小循環(huán)，不斷推動企業(yè)信息安全管理水平提升，始終使企業(yè)信息安全風(fēng)險處在可控的狀態(tài)。××公司在實踐中總結(jié)出了一套輔導(dǎo)企業(yè)通過ISO27001認(rèn)證的方法。整個實施方法分為五個階段，按照實施順序分別是差

11、距分析、資產(chǎn)風(fēng)險評估、體系規(guī)劃和實施、體系發(fā)布與試運行和協(xié)助外審，每個階段都有關(guān)鍵輸出。詳情請參看圖-實施方法總概。五個階段活動都包含相應(yīng)的子活動以與階段主要成果，詳細(xì)見下表：實施階段關(guān)鍵子活動描述階段主要成果現(xiàn)狀調(diào)研ü ISO27001基礎(chǔ)培訓(xùn)ü 人員訪談ü 現(xiàn)有安全制度收集與分析ü 安全技術(shù)現(xiàn)場評估ü ISO27001差距分析ü ISO27001培訓(xùn)教材ü 人員訪談記錄ü 制度分析報告ü 安全技術(shù)報告ü 差距分析報告全面風(fēng)險評估ü 風(fēng)險評估方法培訓(xùn)ü 資產(chǎn)清點ü

12、 威脅與弱點分析ü 風(fēng)險賦值ü IT流程風(fēng)險評估ü 風(fēng)險評估培訓(xùn)材料ü 資產(chǎn)清單ü 資產(chǎn)風(fēng)險表ü 風(fēng)險評估報告ISMS體系建立ü 管理體系規(guī)劃ü 技術(shù)體系規(guī)劃ü 風(fēng)險處理計劃ü 安全制度編寫ü 體系規(guī)劃報告ü 風(fēng)險處理計劃ü 安全管理制度（包括方針，規(guī)定，指南，手順等）ISMS體系運行ü 安全制度培訓(xùn)ü 信息安全部審計ü 管理評審ü 安全制度培訓(xùn)材料ü 部審計報告ü 管理評審報告ISMS體系認(rèn)證審核

13、2; 應(yīng)對外審培訓(xùn)ü 應(yīng)對外審培訓(xùn)材料Q：企業(yè)在項目實施過程中，需要多少資源投入？A：企業(yè)在實施ISMS建設(shè)時，項目實施方管理層關(guān)心的除了付給咨詢方的費用以外，還特別關(guān)心在ISMS建設(shè)過程中企業(yè)人員還需要投入多少人天?？偟膩碚f，企業(yè)的人天投入不同階段是不一樣的，而且參與的人員也會有所不同，從管理層到普通員工在實施工程中都會有參與。下面以一個圍為200人的公司實施ISMS建設(shè)為例，從ISMS項目實施的五個階段，在不同項目階段不同角色參與項目的單位時間來說明。其中：h表示小時,d表示天Q：如何選擇認(rèn)證公司？在認(rèn)證公司的選擇方面大致可以分為國際公司和國公司，企業(yè)如果有涉與到出口，離岸外包等

14、國際業(yè)務(wù)時，建議選擇國際認(rèn)證公司；如果企業(yè)業(yè)務(wù)僅僅涉與限于國客戶，且企業(yè)自身要滿足國監(jiān)管方信息安全監(jiān)管要求，建議選擇國認(rèn)證公司。國認(rèn)證公司由于在開展ISO27001認(rèn)證的業(yè)務(wù)起步較國際認(rèn)證公司晚幾年，因而在客戶認(rèn)可性方面比起國際認(rèn)證公司要稍微差些。國企業(yè)選擇國際認(rèn)證公司時間，一般選擇BSI和DNV較多，國認(rèn)證公司目前只有中國信息安全認(rèn)證中心正式被中國合格評定國家認(rèn)可委員會(簡稱認(rèn)可委)正式認(rèn)可，而其他三家（賽寶認(rèn)證中心，華夏認(rèn)證中心，中國電子技術(shù)標(biāo)準(zhǔn)化研究所）目前（截止2009年6月）還是頒發(fā)試點證書。Q：企業(yè)獲得ISO27001認(rèn)證之后，在應(yīng)對認(rèn)證公司審核還需要做哪些工作？A：ISO2700

15、1證書一般都是3年有效期，3年過后，必須歷經(jīng)一次全面審核，由認(rèn)證公司重新頒發(fā)證書。在認(rèn)證注冊資格后，在三年有效期，將接受乙方3 次定期監(jiān)督審核與必要的不定期審查。其中，獲證之日起6 個月安排首次監(jiān)督審核，其后監(jiān)督審核間隔不得超過12 個月，有異常情況時酌情增加監(jiān)督審核的頻次。因此，企業(yè)必須仍然按照標(biāo)準(zhǔn)PDCA的要求，不斷發(fā)現(xiàn)或回顧信息安全風(fēng)險狀況。Q：如何成來保證一個ISMS項目的成功，這些成功因素主要包括哪些？a) 項目圍相關(guān)部門以與各層領(lǐng)導(dǎo)就項目的目標(biāo)理解一致。b) 信息安全策略必須要反映企業(yè)的業(yè)務(wù)目標(biāo)。制定的安全策略是規(guī)員工的行為，更好的服務(wù)企業(yè)，為企業(yè)業(yè)務(wù)目標(biāo)的達(dá)成提供信息安全的保障，

16、安全策略不能與業(yè)務(wù)目標(biāo)相違背，更不能成為業(yè)務(wù)開展的絆腳石。c) 實施過程與方法要與企業(yè)的文化保持一致。項目實施過程中，需要顧問與企業(yè)人員不斷的溝通和交流，這些交流方式要與企業(yè)當(dāng)前的企業(yè)文化相一致。d) 來自管理層可見的支持以與承諾。管理層需要在項目的各個關(guān)鍵節(jié)點，如項目里程碑參加會議，公開表明態(tài)度，并保障必要的人力以與財力支持。e) 為員工提供適當(dāng)?shù)呐嘤?xùn)和教育f) 易理解且一致的度量系統(tǒng)以評估信息安全的效能。安全控制的效果如何是能夠通過一種從公司管理層到普通員工所有成員都理解的方式來衡量。就如人身體的好壞能夠通過血壓，脈搏等等指標(biāo)就能知道。g) 自動化的安全策略管理工具的使用。需要有一個工具來

17、自動的管理當(dāng)前的安全策略，員工也能夠通過這個工具，快速查找到他需要的安全制度。Q：ISMS的圍確定之后，如何來解決圍之外的一些信息安全問題呢?A：企業(yè)部面臨信息安全問題的時候，目前雖然不是以前上某種安全產(chǎn)品就解決一切問題的那種一勞永逸的想法，但是大多數(shù)的企業(yè)都希望盡可能多解決一些問題，這種心情是可以理解的。ISMS建設(shè)時，都會確定一個明確的實施圍，比如IT部或研發(fā)部或財務(wù)部，那么在實施ISMS的過程當(dāng)中，圍之外的部門或組織一般都不會深入涉與，再次實施的重點明確在已定的圍之，在咨詢顧問的幫助下，建立合理的信息安全組織框架，培養(yǎng)出能夠勝任安全管理體系運作的相關(guān)人員，比如掌握了風(fēng)險評估方法的人員，部

18、審計人員等等，提高人員的安全技能以與安全意識，在圍，提高信息安全的運作水平，降低相關(guān)安全風(fēng)險。然后依此作為示，一步一步的擴(kuò)大ISMS的圍，并且按照PDCA模型使企業(yè)的信息安全水平不斷提升，最后全公司圍推廣實施。實際上這也是企業(yè)在信息安全體系的建設(shè)過程當(dāng)中，在一定的人財物的投入的條件下，按部就班，循序漸進(jìn)，并秉承關(guān)鍵部門、以與高安全風(fēng)險的地方優(yōu)先控制的原則，切忌一步而蹴。Q：哪些問題屬于信息安全風(fēng)險，而哪一些問題則不屬于信息安全風(fēng)險？A：信息安全風(fēng)險是指自然（環(huán)境）因素或者人為因素利用信息系統(tǒng)漏洞（技術(shù)漏洞）、管理（或流程）缺陷，對企業(yè)造成危害的潛在事件。包括信息系統(tǒng)的開發(fā)、部署、運行（使用）、

19、監(jiān)控、維護(hù)與退出等過程中由于IT操作流程缺陷、系統(tǒng)的業(yè)務(wù)流程控制缺陷、信息系統(tǒng)脆弱性、操作人員無意/蓄意失誤、外部事件等因素直接影響信息系統(tǒng)的安全、可靠、平穩(wěn)運行，并可能導(dǎo)致業(yè)務(wù)運營中斷乃至欺詐事件等業(yè)務(wù)操作風(fēng)險，并間接導(dǎo)致信用、市場、法律、聲譽等企業(yè)。16 / 16信息系統(tǒng)開發(fā)時的業(yè)務(wù)需求分析風(fēng)險、信息系統(tǒng)項目管理風(fēng)險等等則不屬于信息安全風(fēng)險。Q：信息安全風(fēng)險管理的定義與其圍？A：信息安全風(fēng)險管理是指通過建立有效的機(jī)制，實現(xiàn)對信息安全風(fēng)險的識別、計量、評估、預(yù)警和控制，確保信息系統(tǒng)高效、可靠、安全、平穩(wěn)、持續(xù)運行，規(guī)避因為信息技術(shù)應(yīng)用而引起的各種風(fēng)險。一般包括風(fēng)險評估、風(fēng)險處理、風(fēng)險接受、風(fēng)

20、險通報、風(fēng)險監(jiān)控、風(fēng)險回顧。應(yīng)用系統(tǒng)中的業(yè)務(wù)流程可能存在因流程控制缺陷而引起的操作風(fēng)險。此類風(fēng)險與信息技術(shù)應(yīng)用的關(guān)系密切，并且極有可能因為自動化、網(wǎng)絡(luò)化的實現(xiàn)方式而被放大，因此必須將其納入全面信息安全風(fēng)險管理的圍：n 應(yīng)用系統(tǒng)中業(yè)務(wù)流程操作風(fēng)險本質(zhì)上仍屬于業(yè)務(wù)操作風(fēng)險，此類操作風(fēng)險的識別、評估以與提出流程控制要求等職責(zé)原則上屬于業(yè)務(wù)流程主管條線；n 但是通過系統(tǒng)實現(xiàn)的業(yè)務(wù)流程與傳統(tǒng)手工方式有較大的區(qū)別，信息技術(shù)的應(yīng)用使業(yè)務(wù)流程的風(fēng)險情況發(fā)生了較大的變化，因此此類風(fēng)險的管理課題橫跨IT技術(shù)與業(yè)務(wù)運營兩個領(lǐng)域；n 所以從實現(xiàn)全面風(fēng)險管理的角度出發(fā)，應(yīng)將協(xié)助管理此類風(fēng)險的職責(zé)納入信息安全風(fēng)險管理的圍

21、，由IT部門采取適當(dāng)?shù)姆绞椒e極參與其管理工作；Q：怎樣算是實現(xiàn)了有效的信息安全風(fēng)險管理？A：明確職責(zé)與分工，建立良好的互動機(jī)制，由信息安全風(fēng)險管理團(tuán)隊進(jìn)行協(xié)調(diào)、檢查、督促并提供專業(yè)支持，實現(xiàn)共同協(xié)作、分散控制的信息安全風(fēng)險管理環(huán)境，全面掌控直接、間接的隱藏風(fēng)險，將所有影響信息系統(tǒng)高效、可靠、安全、平穩(wěn)、持續(xù)運行的隱患控制在可接受的圍。Q：企業(yè)里誰應(yīng)該承擔(dān)信息安全風(fēng)險管理的哪些職責(zé)？ n 信息安全風(fēng)險專業(yè)性強(qiáng)、涉與領(lǐng)域廣，適宜在IT條線部進(jìn)行管理，IT部門承擔(dān)信息安全風(fēng)險的管理職責(zé)，具體落實在部門的信息安全風(fēng)險條線；n 業(yè)務(wù)部門承擔(dān)系統(tǒng)中業(yè)務(wù)流程自身的操作風(fēng)險；n 企業(yè)風(fēng)險管理部門對信息安全風(fēng)險

22、管理提供指導(dǎo)；n 信息安全風(fēng)險管理職能應(yīng)向企業(yè)風(fēng)險管理部門提供信息安全風(fēng)險管理報告，以匯總到企業(yè)整體風(fēng)險管理報告中；其中：· R = Responsible誰負(fù)責(zé),負(fù)責(zé)執(zhí)行任務(wù)的角色，具體負(fù)責(zé)操控項目、解決問題。 · A = Accountable誰批準(zhǔn)，對任務(wù)負(fù)全責(zé)的角色，只有經(jīng)其同意或簽署之后，項目才能得以進(jìn)行。 · C = Consulted咨詢誰，在任務(wù)實施前或中提供指定性意見的人員。 · I = Informed告知誰，與時被通知結(jié)果的人員，不必向其咨詢、征求意見。 Q：IT部門誰應(yīng)該承擔(dān)信息安全風(fēng)險管理的哪些職責(zé)？A：IT條線部的信息安全風(fēng)險

23、遵循“責(zé)任到位、任務(wù)明確、各司其職”的原則，定位如下：n IT條線管理層整體負(fù)責(zé)，并向董事會進(jìn)行年度信息安全風(fēng)險報告；n 建設(shè)開發(fā)、運行維護(hù)等IT職能為IT風(fēng)險的第一責(zé)任人，承擔(dān)識別風(fēng)險、實施信息安全風(fēng)險等職責(zé)；n 信息安全風(fēng)險管理職能承擔(dān)著制定風(fēng)險計量標(biāo)準(zhǔn)、開發(fā)評估工具、建議控制方案、督促控制執(zhí)行、監(jiān)測風(fēng)險情況、應(yīng)急響應(yīng)、編制風(fēng)險管理報告等職責(zé)。Q：需要組建怎樣的隊伍來管理信息安全風(fēng)險，隊伍中各角色的職責(zé)是什么？A：在IT治理組織結(jié)構(gòu)成果的基礎(chǔ)上（沒有的話，則從頭建立），建立垂直專業(yè)管理的信息安全風(fēng)險管理條線；建立常設(shè)的風(fēng)險評估、監(jiān)控掃描等專業(yè)團(tuán)隊，并以虛擬團(tuán)隊的方式覆蓋整個企業(yè)；設(shè)立安全信

24、息監(jiān)控中心（運維中心）等實體化的信息安全支撐中心。組織結(jié)構(gòu)如下圖所示：l 信息安全風(fēng)險主管 協(xié)助管理層確定信息安全風(fēng)險管理目標(biāo)、風(fēng)險偏好 確定信息安全風(fēng)險管理策略； 協(xié)調(diào)相關(guān)信息安全風(fēng)險相關(guān)主要資源； 向管理層匯報整體風(fēng)險管理狀況； 協(xié)調(diào)信息安全風(fēng)險管理相關(guān)方工作； 組織制定信息安全風(fēng)險管理政策。l 總部信息安全安全風(fēng)險管理： 組織和管理整個公司信息安全風(fēng)險管理工作 組織制定信息安全風(fēng)險管理規(guī)劃 組則整體信息安全風(fēng)險管理組織建設(shè) 負(fù)責(zé)信息安全風(fēng)險管理團(tuán)隊、專業(yè)團(tuán)隊與外部的協(xié)調(diào)工作； 組織信息安全風(fēng)險管理意識的宣傳培訓(xùn)與信息安全風(fēng)險管理專業(yè)培訓(xùn)； 對專業(yè)團(tuán)隊與分行風(fēng)險管理團(tuán)隊進(jìn)行業(yè)務(wù)指導(dǎo)。 匯總整個公司風(fēng)險管理信息，撰寫風(fēng)險管理報告； 執(zhí)行合規(guī)性檢查； 對所有信息安全項目的信息安全需求進(jìn)行評審，確保安全需求，控制項目風(fēng)險。 綜合管理（后勤/人力）。l 總部信息安全風(fēng)險咨詢團(tuán)隊： 分析風(fēng)險管理現(xiàn)狀與風(fēng)險管理技術(shù)趨勢； 起草風(fēng)險管理政策； 制定相關(guān)技術(shù)標(biāo)