【咨询内容介绍】

ISO27001信息安全管理体系诊断：
与业务和组织(非 IT)相关的因数 业务类型和法规要求 □组织所处的是一个非关键业务领域，且不受管制的领域(1)；a
□组织的客户处于关键业务领域(2)；a
□组织处于关键业务领域(3)。a
 过程与任务 □一般的过程，涉及一般的且重复性的任务；大量在组织控制下工作的人员从事相同的任务；很少的产品或服务(1)；
□一般的但不重复的过程，涉及大量的产品或服务(2)；
□复杂的过程，大量的产品和服务，许多业务单元包含在认证范围内(3)。
 管理体系建立水平 □已经很好地建立了ISMS，和（或）存在其他管理体系(1)；
□其他管理体系的要素，有些已经实施，有些没有实施(2)；
□根本没有实施其他管理体系，ISMS是新且没有建立(3)。
 a注：关键业务领域是可以影响关键公共服务的领域，这些公共服务将引起健康、安全、经济、形象和政府运行能力的风险，从而可能对国家造成非常重大的负面影响。
与IT环境相关的因数 IT基础设施复杂程度 □很少或高度标准化的IT平台、服务器、操作系统、数据库、网络等(1)；
□多个不同的IT平台，服务器、操作系统、数据库、网络(2)；
□很多不同的IT平台、服务器、操作系统、数据库、网络(3)。
 对外包和供应商（包括云服务）依赖程度 □很少或不依赖外包或供应商(1)；
□有些依赖外包或供应商，这些外包或供应商与某些重要业务活动相关，但不是与所有的重要业务活动相关(2)；
□高度依赖外包或供应商，外包或供应商对重要业务活动有很大影响(3)。
 信息系统开发 □没有或非常有限的内部系统/应用开发(1)；
□有一些服务于某些重要业务目的的、内部的或外包的系统/应用开发(2)；
□有大量服务于重要业务目的的、内部的或外包的系统/应用开发(3)。
信息安全管理体系(ISMS) 所需材料资料整理：
1 信息安全管理体系适用性声明（SOA）
2 信息安全资产风险评估报告
3 信息安全风险处理计划
4 网络拓扑结构图

更新时间：2024/3/5 10:27:31