ISO27001:2013信息安全管理體系2013版標準是基于風險的管理體系。什么是信息安全:保持信息的保密性、完整性、可用性;另外,也包括其他屬性,如:真實性、可核查性、抗抵賴性和可靠性。信息資產所面臨的風險:信息泄漏、完整性破壞、拒絕服務。資產的示例及分類:信息資產:數據庫和數據文件、系統文件、用戶手冊、培訓資料、操作與維護程序、知識產權、業務持續性計劃、應急安排等。書面文件:合同、公司文件、人事記錄、財務記錄、采購文件、發票等。軟件資產:應用軟件、系統軟件、開發工具和實用程序等。
項目范圍管理的主要過程包括以下內容:范圍計劃編制、范圍定義、創建工作分解結構(WBS)、范圍確認、范圍控制。項目管理者聯盟
1.范圍計劃編制:是指進一步形成各種文檔,為將來項目決策提供基礎,這些文檔中包括用以衡量一個項目或項目階段是否已經順利完成的標準等。我們在信息安全項目的范圍計劃編制工作中使用的工具和技術是專家判斷,模塊、表格或標準。項目經理圈子
2.范圍定義:是指將項目主要的可交付成果細分成較小的、更易管理的組分。范圍定義最重要的任務就是詳細定義項目范圍邊界。我們在信息安全項目的范圍定義工作中使用的工具和技術是產品分析,備選方案識別,專家判斷法,項目干系人分析。項目管理者聯盟
3.創建工作分解結構(WBS):是面向可付物的項目元素的層次分解,詳細描述了項目所要完成的工作。WBS的最低層次元素是能夠被評估的、安排進度的和被跟蹤的。它是組織管理工作的主要依據。我們在信息安全項目的創建工作分解結構(WBS)工作中使用的工具和技術是WBS模板,分解,分解技術。項目管理者聯盟文章
4.范圍確認:是項目干系人正式接受已完成的項目范圍的過程。我們在信息安全項目的范圍確認工作中使用的工具和技術是檢查。talent.mypm.net
5.范圍控制:其涉及到以下內容:影響引起范圍變更的因素,確保所有被請求的變更按照項目整體變更控制處理,并在范圍變更實際發生時進行管理。未經控制的變更經常被看作范圍蔓延。變更是不可避免的,所以我們要以書面的形式規定某種變更控制過程。我們在信息安全項目的范圍控制工作中使用的工具和技術是變更控制系統,偏差分析,重新規劃,配置管理系統。項目管理論壇
珠海某某電氣有限公司的企業信息化建設主要包括三大工作:IT固定資產包括800套聯想臺式電腦、200臺筆記本電腦、60臺打印機;網絡包括內部網和外部網1000個信息點;有十多個業務應用系統,集團2014年6月已成功實施SAP系統并正式上線。項目管理論壇
某某電氣有限公司經營業務涉及電網行業的軟硬件研發、生產及銷售的一體化運營管理,其產品設計圖紙、產品研發技術文檔、產品開發源代碼都是公司的核心技術資料、一旦泄露,將公司造成重大損失,甚至是毀滅性的災難。公司領導對信息資產安全管理高度重視,曾在2007年部署實施了天盾文檔加密安全系統,針對公司研發涉密的文檔、圖紙進行了加密管理。隨著公司業務的快速發展,辦公電腦數量的逐步增加,以及各種外設設備的頻繁使用,公司沒有一套工具對信息資料的流失進行有效管控,原有的天盾系統在實際工作應用場景中已不能同步滿足公司當前的信息安全管理要求。基于上術的各種因素,公司擬決定重新實施一套整體的、集成的信息安全管理平臺,來對公司各類文檔加密及桌面管控的合規管理,有效的保障公司的信息安全管理目標。結合公司的實際需求,半年來搭建售前產品選型的測試環境和生成測試報告,通過公司招標流程,最終選擇了IP-guard管控和加密軟件系統,實現公司信息安全性與便利性的平衡。項目管理者聯盟
范圍控制的核心是管理變更,即影響發生變更的因素、保證所有被請求的變更按照項目整體變更控制處理,并對范圍變更實際發生時進行管理。為了對范圍變更進行追蹤,確保已通過的范圍變更請求得到處理,我們引入了SVN配置管理系統,將所有的通過的變更請求作為配置項管理,并委派專門的配置管理人員不定期檢查配置項的狀態。此外,我們在定期的項目評審會議上,還要檢查當前項目中是否引入了未批準的變更。另外,針對項目績效報告,我們也要進行分析,確認是否需要采取措施引入變更。項目管理者聯盟
項目范圍管理是項目管理的關鍵一步。在范圍管理的過程中要根據客戶的實際情況、項目本身的特點、項目所處的環境,制訂相應的信息安全管理體系流程,以減少后期風險,做到以客戶為中心,實現雙贏
:鞏經理
:13915946763
:南京塞姆泵業有限公司
