ISMS認證咨詢方案

1、咨詢方案一、公司簡介XXXX有限公司（簡稱DXC），創(chuàng)建于1996年，是我國第一批獲得國家認可資格的認證機構(gòu)之一。DXC具備ISO9001（質(zhì)量管理體系）、ISO14001（環(huán)境管理體系）以及GB/T28001（職業(yè)健康安全管理體系）、HACCP（食品安全管理體系）等多項認證資格，并可以實施多體系結(jié)合認證，通過一次審核可頒發(fā)多張體系認證證書。根據(jù)國際認可論壇/多邊承認協(xié)議（IAF/MLA）的規(guī)定，DXC頒發(fā)的認證證書具有國際互認資格。1人力資源豐富DXC現(xiàn)有專職管理人員211人，專職級別審核員（高級審核員、審核員）260人，兼職級別審核員（高級審核員、審核員）312人，專兼職實習審核員、技術(shù)專

2、家310人，共計1093人。2分支機構(gòu)完善為方便客戶，及時提供服務(wù)，DXC在全國設(shè)立了6個分公司、10個辦事處。這16個機構(gòu)分布在全國各直轄市和主要省會城市，客戶服務(wù)可延伸到任何行政區(qū)域內(nèi)。3質(zhì)量方針 DXC的質(zhì)量方針:敬人、敬業(yè)、敬用戶，依法公正認證；重質(zhì)、重效、重科學，全面履行承諾；積極開拓，持續(xù)改進，創(chuàng)建一流的認證咨詢機構(gòu)。4質(zhì)量目標 DXC的質(zhì)量目標：為貫徹實施本公司的質(zhì)量方針，向社會提供開放、高效、公正、科學的認證服務(wù)，DXC按認可規(guī)范的要求和國際準則建立并運行有效的質(zhì)量管理體系。DXC的組織結(jié)構(gòu)確保其運作的公正性、獨立性和非歧視性；DXC的管理者確保其組織的運作滿足國家和認可機構(gòu)的

3、相關(guān)要求；DXC的管理人員嚴格按公司的規(guī)定，開展相應(yīng)的工作；DXC的所有審核人員盡職盡責、遵紀守法、維護國家認證認可信譽，為客戶提供獨立、公正、增值的認證服務(wù)，以贏得客戶的持續(xù)信任。5質(zhì)量承諾 DXC的質(zhì)量承諾：DXC的全體員工以客戶的滿意為關(guān)注焦點，并識別任何可能的改進機會，以不斷提高顧客滿意度，以及認證審核及其管理的有效性和效率。6服務(wù)宗旨 DXC的服務(wù)宗旨：DXC嚴格執(zhí)行國家的法律法規(guī)及有關(guān)規(guī)定，切實貫徹實施中華人民共和國認證認可條例，堅持以國際慣例為準則，恪守不以贏利為目的的有償服務(wù)原則，依托遍布全國的服務(wù)網(wǎng)絡(luò)，立足北京，面向全國，盡職盡責地為社會各界申請認證的組織提供高質(zhì)量、增值的認

4、證服務(wù)。二 推行ISMS的經(jīng)驗DXC是國內(nèi)較早跟蹤與開展ISMS認證項目咨詢的機構(gòu)，目前通過已經(jīng)完成的ISMS認證項目，我們的顧問團隊獲得了寶貴的工作經(jīng)驗，這使得我們的咨詢服務(wù)將會是安全而負有成效的；同時，顧問的計劃工作，過程度量，工具應(yīng)用也將影響組織的工作方法，以此建立和培養(yǎng)組織的人才隊伍，為日后企業(yè)過程改進留下資產(chǎn)和自我優(yōu)化的能力。DXC是業(yè)內(nèi)咨詢過程最成熟的服務(wù)機構(gòu)。在信息安全標準要求的基礎(chǔ)上，我們特別強調(diào)咨詢過程的可視化和可復用的總結(jié)，使顧問的咨詢過程上升為DXC的咨詢工作手冊和相關(guān)指導書，并在項目中嚴格要求顧問人員遵循規(guī)范來開展工作。DXC在中國國內(nèi)已經(jīng)有多家信息安全認證咨詢的項目經(jīng)

5、驗。一般在6個月個月完成組織的信息安全體系建立過程DXC重視后期服務(wù)，信息安全是一項長期的工作，在評估通過后的維護及相關(guān)資訊的培訓上，我們可長期便利的服務(wù)企業(yè)。DXC為組織實現(xiàn)信息安全與質(zhì)量管理體系的有效結(jié)合：北京新世紀認證有限公司為企業(yè)的高效管理考慮，根據(jù)企業(yè)的實際情況與改進目標，在提供信息安全服務(wù)時盡量考慮企業(yè)已有的管理體系，為企業(yè)實現(xiàn)信息安全與質(zhì)量管理體系的有效結(jié)合！三 我們已取得的業(yè)績 四、實施ISMS目標和效益1 目標：本項目的目標在于通過幫助貴公司識別信息安全風險，培養(yǎng)全體職工的信息安全意識，采用合理的管理和技術(shù)實踐，系統(tǒng)的增強貴公司的信息保護能力。 同時，本項目將整合ISO900

6、1體系，建立對公司內(nèi)部所有成員、客戶、供應(yīng)商等都具有約束力的信息安全防范機制，并具有持續(xù)持續(xù)改進的能力，確保不斷提升內(nèi)部信息安全管理水平和不斷提高服務(wù)質(zhì)量。2 內(nèi)部效益 通過本項目的實施，貴公司將獲得以下內(nèi)部收益： l 明晰信息安全對公司戰(zhàn)略目標的重要意義，完善現(xiàn)有管理環(huán)節(jié)和資源配置，減少漏洞；l 通過對流程和權(quán)責的定義， 監(jiān)控信息安全管理流程、 進行信息安全績效評價， 提高流程執(zhí)行效率； l 改進個環(huán)節(jié)的管理，提高風險預防能力； l 提高全體員工的安全風險防范意識，學會風險管理方法； l 將管理體系（ISO9000、ISO27000、CMM）和業(yè)務(wù)流程整合； l 建立一整套行之有效的持續(xù)改善

7、機制。l 改善質(zhì)量，提高生產(chǎn)率，降低成本，增加投資回報率五 咨詢團隊服務(wù)模式1 咨詢理念 咨詢顧問組將整體規(guī)劃，同時遵循“計劃-實施-檢查-改進（Plan-Do-Check-Action） ”的管理模式，輔導并推動企業(yè)的ISMS的實施，持續(xù)改善實施過程中所發(fā)現(xiàn)的缺失，以追求并確保達成本項目的目標。2 服務(wù)團隊結(jié)構(gòu)l 由從事多年IT業(yè)認證審核的老師組成本項目的專家組l 由太原辦事處負責人承擔商務(wù)溝通和客戶意見反饋的責任，責任人：李老師l 由咨詢師負責現(xiàn)場服務(wù)、培訓和輔導活動，責任人：胡老師、于老師、智老師。根據(jù)企業(yè)的要求和咨詢的不同階段需要，委派適宜的老師到到企業(yè)現(xiàn)場開展咨詢和指導工作，滿足企業(yè)

8、要求。l 通過以上體制確保服務(wù)的質(zhì)量。在發(fā)生服務(wù)質(zhì)量問題時由商務(wù)人員和客戶直接解決，發(fā)生重大的服務(wù)質(zhì)量問題時可以更換咨詢師。3 服務(wù)模式l 咨詢師首先進行公司現(xiàn)有業(yè)務(wù)戰(zhàn)略、組織、資源的理解，進行信息安全管理范圍的確認l 針對現(xiàn)狀進行認識上的風險評估 l 咨詢組提供整體性框架建議，經(jīng)雙方修正后據(jù)此作為實施的基本結(jié)構(gòu)，進行詳細工作計劃及工作任務(wù)分解； l 重要關(guān)鍵點均先進行培訓以利于組織ISMS建立的符合性；l 針對ISMS范圍內(nèi)的各環(huán)節(jié)、流程進行詳細的信息安全風險識別、評估l 根據(jù)評估結(jié)果制定信息安全管理目標、指標 l 組織ISMS文件的撰寫，撰寫前先行共同討論撰寫大綱及關(guān)鍵點以利于可操作性；

9、l 指導撰寫組織ISMS文件。 l 雙方參與共同討論ISMS文件的可行性，并進行審查； l 進行ISMS試運行，不斷優(yōu)化管理過程； l 協(xié)助通過ISMS認證。 六、咨詢服務(wù)過程的概述1 戶的需求基線項目目標： 實際提升內(nèi)部信息安全管理能力，通過ISMS認證；項目周期： 6個月；實施范圍： 貴公司信息安全管理所涉及的所有部門現(xiàn)場服務(wù)： 需要咨詢師和審核員現(xiàn)場服務(wù)。2 范圍本方案的范圍涉及：1) ISMS標準知識專項培訓、安全評估方法等技術(shù)培訓；2) ISMS的建立；3) ISMS具體實施時的咨詢、輔導和培訓；4) ISMS認證。此方案描述了我們提供給客戶的各種培訓、咨詢和評估服務(wù)，該服務(wù)的目的是

10、幫助客戶完成以下目標：l 通過識別客戶現(xiàn)行信息安全管理風險，確定信息安全管理工作的內(nèi)容、重點和優(yōu)先級；l 為實現(xiàn)信息安全建立適宜的組織機構(gòu)，便于日后長期的持續(xù)改進；l 建立信息安全運作機制。l 建立信息安全文化，建立組織針對信息安全的過程改進能力，建立持續(xù)改進機制，培養(yǎng)全員的信息安全風險意識。l 提高企業(yè)社會責任能力。3 服務(wù)的目標針對客戶提出的總體需求，DXC和客戶方將在本項目中達成以下共識，并將其作為雙方下步工作的基礎(chǔ)和依據(jù)：1) 遵循ISMS體系標準，結(jié)合客戶的發(fā)展戰(zhàn)略和目標，建立完善的、有效的ISMS，指導客戶方對信息安全管理和制度化、文檔化、標準化。2) 2011年1月左右客戶方信息

11、安全管理能力達到并通過ISMS認證。3）建立文檔管理制度，管理好所有有關(guān)信息安全的的資產(chǎn)和文檔；4）提升信息安全管理和控制水平，降低信息安全風險，建立信息風險管理體制；5）提高信息安全管理能力4 服務(wù)的實施流程 1）服務(wù)的內(nèi)容我們向客戶提供以下服務(wù)： l ISMS管理標準培訓、l 信息安全風險識別方法等培訓；l 診斷現(xiàn)行信息安全管理狀態(tài)，識別風險；l ISMS建立全過程咨詢；l 執(zhí)行預審核；l 執(zhí)行正式審核。 2）服務(wù)實施流程現(xiàn)場調(diào)研風險預評估制定實施計劃標準及評估方法等培訓確定信息安全推進小組及組織機構(gòu)組織機構(gòu)建立ISMS文件執(zhí)行ISMS預審核正式審核監(jiān)督和檢查5 工作內(nèi)容 重點工作 ：整個

12、咨詢輔導過程分為幾個階段，各階段的重點工作和任務(wù)說明如下： l 前期調(diào)研階段：前期調(diào)研的主要工作是對公司信息安全現(xiàn)狀進行了解和分析，確定項目實施范圍和詳細計劃，并對現(xiàn)有的管理結(jié)構(gòu)進行梳理，評估目前的信息安全管理能力和需求； l 信息安全風險識別及評估階段：公司信息管理所涉及的各部門、環(huán)節(jié)全部參與到安全風險識別過程當中來，要求大家盡可能的去識別風險，無論大小都可以列入風險目錄，再通過風險評估確定風險等級。 l 組織體系文件建設(shè)階段：整體規(guī)劃管理體系文件框架；按照標準要求對公司現(xiàn)有信息管理過程進行梳理，建立組織的信息安全管理過程，本階段需要推進小組成員的全力配合。l 推廣和試運行階段：在體系文件建

13、立完成后，通過培訓和宣傳方式在公司內(nèi)部推廣ISMS，明確管理要求，對試運行階段的中發(fā)現(xiàn)的問題進行過程改進，提高體系文件的的 有效性和可操作性。l 預審核階段：通過預審核后，組織應(yīng)對審核過程發(fā)現(xiàn)的問題實施過程改進，為順利通過正式審核做好所有準備。 l 持續(xù)改進階段：審核通過后，咨詢小組會對對貴公司體系實施情況進行跟蹤，幫助企業(yè)持續(xù)改進。6服務(wù)和實施的具體步驟1） 項目計劃啟動和完成時間計劃預訂開始時間：XXXXXXX計劃預訂完成時間：XXXXXXX） 本建議書中假設(shè)項目從 8月1日為時間起點。在項目具體實施階段，將根據(jù)具體的時間進行相應(yīng)的調(diào)整。詳見下圖：信息安全管理體系咨詢安排體系策劃階段編號工

14、作任務(wù)WBS分解咨詢公司投入甲方參加人員說明計劃投入（天）工期咨詢師開始時間1對公司進行信息管理現(xiàn)狀調(diào)查，了解公司現(xiàn)有經(jīng)營戰(zhàn)略、規(guī)劃、組織、資源的理解，確定目標，初步確定過程改進的體制，明確過程推進核心小組組長和成員2天于、智10.8.1管理者代表、主管部門負責人進行信息安全管理制度以及其他管理性文件的收集，包括公司經(jīng)營戰(zhàn)略訂定，規(guī)劃方式，相關(guān)單位的權(quán)責與接口 2明確ISMS所覆蓋的組織內(nèi)部的范圍管理者代表、主管部門負責人對于覆蓋的范圍進行確認，并規(guī)劃ISMS涉及的組織范圍，以保證體系的系統(tǒng)性3成立ISMS推進領(lǐng)導組、推進小組最高管理者、管理者代表保證體系的順利貫徹、執(zhí)行4項目啟動會全體員工參

15、加保證體系的順利貫徹、執(zhí)行標準培訓及風險評估階段5ISMS標準及內(nèi)審員培訓3天胡2010.8上旬全體員工參加1天，各部門指定的體系負責人、內(nèi)審員3天均參加讓參與信息安全管理的人員了解信息安全管理的要求，內(nèi)審員掌握標準及審核知識，培養(yǎng)體系運行骨干6信息安全風險識別及評估方法培訓 2天胡標準培訓后一周左右管理者代表、主管部門全體、各部門指定體系負責人建立風險意識，為全面識別信息安全風險做準備7信息安全風險識別、差距分析10天于、智2010-8 中、下旬管理者代表、主管部門全體、各部門指定體系負責人所有涉及到信息管理的部門、人員、流程全部參與，保證盡量無遺漏的識別出信息安全風險。進行漏洞掃描，以便掌

16、握當前設(shè)系統(tǒng)的安全狀態(tài)從安全制度建立、安全管理機構(gòu)、資金保障、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等方面進行差距分析8信息安全風險評估于、智2010-8 中、下旬管理者代表、主管部門全體、各部門指定體系負責人根據(jù)公司信息安全管理目標要求對風險等級進行劃分，以便針對不同級別風險，實施相應(yīng)的控制手段，形成資產(chǎn)清單、重要資產(chǎn)清單，風險評估報告、風險建議殘余風險報告文件編寫階段9建立ISMS文件框架于、智2010.9.1-9.30管理者代表、主管部門全體或文件編寫組根據(jù)風險評估的結(jié)果以及公司的組織架構(gòu)，確定體系文件的框架10ISMS文件的編寫13天智主管部門或文件編寫組可以采取兩種不同的方式完成體

17、系文件的編寫，其一為統(tǒng)一確定編寫小組成員集中編寫，也可按照職能分配到各個部門進行編寫，建議集中編寫更適合該體系。ISMS文件包括手冊、信息安全風險評估程序、信息安全控制措施測量程序、計算機網(wǎng)絡(luò)安全防護程序、物理和環(huán)境安全管理程序、計算機病毒安全防護程序、訪問控制程序、信息系統(tǒng)備份和恢復管理程序、文件控制程序、記錄控制程序、內(nèi)部審核程序、管理評審程序等，以及信息安全組織、信息安全職責要求、服務(wù)器配置和安全管理規(guī)定、移動存儲介質(zhì)安全管理規(guī)定、資產(chǎn)安全管理規(guī)定、網(wǎng)絡(luò)設(shè)備安全管理規(guī)定、信息分級保護管理規(guī)定等作業(yè)文件，有效文件共70分左右，作業(yè)表單約90份左右，當然這只是經(jīng)驗值，具體操作要按貴公司的實際

18、情況進行調(diào)整。11文件審查2天于管理者代表咨詢師負責審查對標準的符合性，公司相關(guān)人員負責審查可操作性12文件修訂及發(fā)布管理者代表、主管部門或文件編寫組保證文件的可執(zhí)行性體系試運行階段13ISMS實施宣貫培訓1天于2010.10.1-2011.1.1管理者代表、主管部門全體、各部門指定體系負責人讓所有涉及的人員了解自身的信息安全管理職責、控制要求，保證體系的貫徹、執(zhí)行14制定ISMS體系試運行計劃1天于、智管理者代表包括各部門運行成果要求、內(nèi)審計劃、管理評審計劃15內(nèi)審3天于、智內(nèi)審員需要進行1-2次內(nèi)部體系運行的審核，發(fā)現(xiàn)體系運行當中的問題，采取糾正、預防措施加以整改，保證體系運行的符合性以及

19、有效性16管理評審1天于、智領(lǐng)導層評估ISMS運行的成果，需要解決的重點問題，決定是否可以提請外審改善計劃17制訂改善計劃1天于、智20111上旬管理者代表咨詢組根據(jù)體系的運行情況，做好體系改善計劃，通過體系改進，可以幫助組織提升對體系的認識，以便順利接受正式審核18提交體系運行總體情況報告于、智管理者代表提出體系運行總體情況匯報。19采取糾正措施2天智相關(guān)部門不斷的過程改進要求正式審核階段20接受認證結(jié)構(gòu)正式評估計劃認證機構(gòu)2011.1中下旬領(lǐng)導層、全體部門正式審核工作按照國家規(guī)定的審核人日管理要求實施，要標準的實施流程以及標準的工作文檔，審核結(jié)論可以為：通過、不通過或延期通過三種，我們保證

20、組織在我們雙方的積極配合和努力下順利通過認證審核，獲得認證證書。21按照正式審核計劃進行相應(yīng)的備審工作22正式現(xiàn)場審核23審核問題糾正24頒發(fā)ISMS認證證書培訓分三個階段：1、信息安全管理體系標準及內(nèi)審員培訓 2、信息安全風險識別及評估培訓 3、體系運行宣貫培訓七、 客戶組織保證 1 客戶方應(yīng)確定ISMS實施項目組的結(jié)構(gòu)。DXC依照客戶方實施的范圍，提出如下建議：l 企業(yè)授權(quán)一名高級管理者負責組織實施ISMS；參加人員：主管副總經(jīng)理、質(zhì)量保證部經(jīng)理、管理團隊中之其他成員l 企業(yè)建立一個公司級的ISMS推進小組，負責研究、實施、推動ISMS，并將確定基于ISMS的改進體系； 參加人員：主管副總 、質(zhì)量保證部經(jīng)理及全體員工、各部門付經(jīng)理及1-2名員工。l 指派1名聯(lián)系人員，