信息安全管理體系實施案例

大都商業(yè)銀行（簡介）
項目開始一年前
事件（-2）：開始考慮ISMS
事件（-1）：了解ISMS并申請項目
項目開始第1周
事件（0）:ISMS項目啟動大會
事件（1）:確定項目推進組并初步制定推進計劃
事件（2-1）：調(diào)研／分析現(xiàn)狀
項目開始第2周
事件（2-2）：調(diào)研／分析現(xiàn)狀（續(xù)）
事件（3）：建立ISMS方針
事件（4）:設(shè)計文件層級與文件格式
事件（5）:調(diào)研階段總結(jié)會
項目開始第3周
事件（6）：設(shè)計資產(chǎn)分類／分級規(guī)范
事件（7-1）：開始統(tǒng)計資產(chǎn)
事件（8）：設(shè)計風險評估程序
事件（9）:設(shè)計風險處置程序
項目開始第4周
事件（7-2）：統(tǒng)計資產(chǎn)（續(xù)）
事件（10）：評估威脅與脆弱性
項目開始第5周
事件（11）：分析并評價風險
事件（12）：準備風險評估報告
項目開始第6周
事件（13）：準備風險處置計劃
事件（14）：風險管理總結(jié)會
事件（15）：獲得實施ISMS的授權(quán)
事件（16-1）：開始準備適用性聲明
項目開始第7周
事件（17）：確定文件個數(shù)與目錄
事件（18）：確定正式的文件編寫計劃
事件（191）:開始編寫體系文件
項目開始第8～11周
事件（19-2）:編寫體系文件（續(xù)）
項目開始第12周
事件（19-3）：編寫體系文件（續(xù)）
事件（16-2）:準備適用性聲明（續(xù)）
項目開始第13～20周
事件（20）：體系文件發(fā)布會
事件（21）：開始體系試運行
事件（22）：信息安全意識培訓
事件（23）：信息安全制度培訓
項目開始第21周
事件（24-1）：組織第一次內(nèi)部審核
項目開始第22周
事件（24-2）:組織第一次內(nèi)部審核（續(xù)）
項目開始第23周
事件（25）：組織第一次管理評審
事件（26-1）：部署糾正／預防措施
項目開始第24周
事件（26-2）:部署糾正／預防措施（續(xù)）
項目開始第25～26周
事件（27）：申請及實施外審
項目開始第27～28周
事件（28）：外審后整改及項目總結(jié)會
后記