ISO27001信息安全管理体系咨询计划安排
体系策划阶段
编号
工作任务WBS分解
咨询公司投入
甲方参加人员
说明
计划投入（天）
工期
咨询师
开始时间1对公司进行信息管理现状调查，了解公司现有经营战略、规划、组织、资源的理解，确定目标，初步确定过程改进的体制，明确过程推进核心小组组长和成员
2天
DXC
10.8.1
管理者代表、主管部门负责人
进行信息安全管理制度以及其他管理性文件的收集，包括公司经营战略订定，规划方式，相关单位的权责与接口
 2
明确ISMS所覆盖的组织内部的范围
管理者代表、主管部门负责人
对于覆盖的范围进行确认，并规划ISMS涉及的组织范围，以保证体系的系统性3 成立ISMS推进领导组、推进小组
最高管理者、管理者代表
保证体系的顺利贯彻、执行4 项目启动会
全体员工参加
保证体系的顺利贯彻、执行
标准培训及风险评估阶段5 ISMS标准及内审员培训
3天
DXC
2010.8上旬
全体员工参加1天，各部门指定的体系负责人、内审员3天均参加
让参与信息安全管理的人员了解信息安全管理的要求，内审员掌握标准及审核知识，培养体系运行骨干6 信息安全风险识别及评估方法培训
2天
DXC
标准培训后一周左右
管理者代表、主管部门全体、各部门指定体系负责人
建立风险意识，为全面识别信息安全风险做准备7 信息安全风险识别、差距分析
10天
DXC
2010-8 中、下旬
管理者代表、主管部门全体、各部门指定体系负责人
所有涉及到信息管理的部门、人员、流程全部参与，保证尽量无遗漏的识别出信息安全风险。
进行漏洞扫描，以便掌握当前设系统的安全状态
从安全制度建立、安全管理机构、资金保障、人员安全管理、系统建设管理、系统运维管理等方面进行差距分析8 信息安全风险评估
DXC
2010-8 中、下旬
管理者代表、主管部门全体、各部门指定体系负责人
根据公司信息安全管理目标要求对风险等级进行划分，以便针对不同级别风险，实施相应的控制手段，形成资产清单、重要资产清单，风险评估报告、风险建议残余风险报告
文件编写阶段9 建立ISMS文件框架
DXC
2010.9.1-9.30 管理者代表、主管部门全体或文件编写组
根据风险评估的结果以及公司的组织架构，确定体系文件的框架
10 ISMS文件的编写
13天
DXC
主管部门或文件编写组
可以采取两种不同的方式完成体系文件的编写，其一为统一确定编写小组成员集中编写，也可按照职能分配到各个部门进行编写，建议集中编写更适合该体系。ISMS文件包括手册、信息安全风险评估程序、信息安全控制措施测量程序、计算机网络安全防护程序、物理和环境安全管理程序、计算机病毒安全防护程序、访问控制程序、信息系统备份和恢复管理程序、文件控制程序、记录控制程序、内部审核程序、管理评审程序等，以及信息安全组织、信息安全职责要求、服务器配置和安全管理规定、移动存储介质安全管理规定、资产安全管理规定、网络设备安全管理规定、信息分级保护管理规定等作业文件，有效文件共70分左右，作业表单约90份左右，当然这只是经验值，具体操作要按贵公司的实际情况进行调整。
11
文件审查
2天
DXC
管理者代表
咨询师负责审查对标准的符合性，公司相关人员负责审查可操作性
12
文件修订及发布
DXC
管理者代表、主管部门或文件编写组
保证文件的可执行性
体系试运行阶段
13
ISMS实施宣贯培训
1天
DXC
2010.10.1-2011.1.1
管理者代表、主管部门全体、各部门指定体系负责人
让所有涉及的人员了解自身的信息安全管理职责、控制要求，保证体系的贯彻、执行
14
制定ISMS体系试运行计划
1天
DXC
管理者代表
包括各部门运行成果要求、内审计划、管理评审计划
15
内审
3天
DXC
内审员
需要进行1-2次内部体系运行的审核，发现体系运行当中的问题，采取纠正、预防措施加以整改，保