信息安全管理體系實施案例

大都商業(yè)銀行（簡介）
項目開始一年前
事件（-2）：開始考慮ISMS
事件（-1）：了解ISMS并申請項目
項目開始第1周
事件（0）:ISMS項目啟動大會
事件（1）:確定項目推進組并初步制定推進計劃
事件（2-1）：調研／分析現狀
項目開始第2周
事件（2-2）：調研／分析現狀（續(xù)）
事件（3）：建立ISMS方針
事件（4）:設計文件層級與文件格式
事件（5）:調研階段總結會
項目開始第3周
事件（6）：設計資產分類／分級規(guī)范
事件（7-1）：開始統(tǒng)計資產
事件（8）：設計風險評估程序
事件（9）:設計風險處置程序
項目開始第4周
事件（7-2）：統(tǒng)計資產（續(xù)）
事件（10）：評估威脅與脆弱性
項目開始第5周
事件（11）：分析并評價風險
事件（12）：準備風險評估報告
項目開始第6周
事件（13）：準備風險處置計劃
事件（14）：風險管理總結會
事件（15）：獲得實施ISMS的授權
事件（16-1）：開始準備適用性聲明
項目開始第7周
事件（17）：確定文件個數與目錄
事件（18）：確定正式的文件編寫計劃
事件（191）:開始編寫體系文件
項目開始第8～11周
事件（19-2）:編寫體系文件（續(xù)）
項目開始第12周
事件（19-3）：編寫體系文件（續(xù)）
事件（16-2）:準備適用性聲明（續(xù)）
項目開始第13～20周
事件（20）：體系文件發(fā)布會
事件（21）：開始體系試運行
事件（22）：信息安全意識培訓
事件（23）：信息安全制度培訓
項目開始第21周
事件（24-1）：組織第一次內部審核
項目開始第22周
事件（24-2）:組織第一次內部審核（續(xù)）
項目開始第23周
事件（25）：組織第一次管理評審
事件（26-1）：部署糾正／預防措施
項目開始第24周
事件（26-2）:部署糾正／預防措施（續(xù)）
項目開始第25～26周
事件（27）：申請及實施外審
項目開始第27～28周
事件（28）：外審后整改及項目總結會
后記