ISMS认证咨询方案.doc

咨询方案一、公司简介XXXX有限公司（简称DXC），创建于1996年，是我国第一批获得国家认可资格的认证机构之一。DXC具备ISO9001（质量管理体系）、ISO14001（环境管理体系）以及GB/T28001（职业健康安全管理体系）、HACCP（食品安全管理体系）等多项认证资格，并可以实施多体系结合认证，通过一次审核可颁发多张体系认证证书。根据国际认可论坛/多边承认协议（IAF/MLA）的规定，DXC颁发的认证证书具有国际互认资格。1人力资源丰富DXC现有专职管理人员211人，专职级别审核员（高级审核员、审核员）260人，兼职级别审核员（高级审核员、审核员）312人，专兼职实习审核员、技术专家310人，共计1093人。2分支机构完善为方便客户，及时提供服务，DXC在全国设立了6个分公司、10个办事处。这16个机构分布在全国各直辖市和主要省会城市，客户服务可延伸到任何行政区域内。3质量方针 DXC的质量方针:敬人、敬业、敬用户，依法公正认证；重质、重效、重科学，全面履行承诺；积极开拓，持续改进，创建一流的认证咨询机构。4质量目标 DXC的质量目标：为贯彻实施本公司的质量方针，向社会提供开放、高效、公正、科学的认证服务，DXC按认可规范的要求和国际准则建立并运行有效的质量管理体系。DXC的组织结构确保其运作的公正性、独立性和非歧视性；DXC的管理者确保其组织的运作满足国家和认可机构的相关要求；DXC的管理人员严格按公司的规定，开展相应的工作；DXC的所有审核人员尽职尽责、遵纪守法、维护国家认证认可信誉，为客户提供独立、公正、增值的认证服务，以赢得客户的持续信任。5质量承诺 DXC的质量承诺：DXC的全体员工以客户的满意为关注焦点，并识别任何可能的改进机会，以不断提高顾客满意度，以及认证审核及其管理的有效性和效率。6服务宗旨 DXC的服务宗旨：DXC严格执行国家的法律法规及有关规定，切实贯彻实施中华人民共和国认证认可条例，坚持以国际惯例为准则，恪守不以赢利为目的的有偿服务原则，依托遍布全国的服务网络，立足北京，面向全国，尽职尽责地为社会各界申请认证的组织提供高质量、增值的认证服务。二 推行ISMS的经验DXC是国内较早跟踪与开展ISMS认证项目咨询的机构，目前通过已经完成的ISMS认证项目，我们的顾问团队获得了宝贵的工作经验，这使得我们的咨询服务将会是安全而负有成效的；同时，顾问的计划工作，过程度量，工具应用也将影响组织的工作方法，以此建立和培养组织的人才队伍，为日后企业过程改进留下资产和自我优化的能力。DXC是业内咨询过程最成熟的服务机构。在信息安全标准要求的基础上，我们特别强调咨询过程的可视化和可复用的总结，使顾问的咨询过程上升为DXC的咨询工作手册和相关指导书，并在项目中严格要求顾问人员遵循规范来开展工作。DXC在中国国内已经有多家信息安全认证咨询的项目经验。一般在6个月个月完成组织的信息安全体系建立过程DXC重视后期服务，信息安全是一项长期的工作，在评估通过后的维护及相关资讯的培训上，我们可长期便利的服务企业。DXC为组织实现信息安全与质量管理体系的有效结合：北京新世纪认证有限公司为企业的高效管理考虑，根据企业的实际情况与改进目标，在提供信息安全服务时尽量考虑企业已有的管理体系，为企业实现信息安全与质量管理体系的有效结合！三 我们已取得的业绩 四、实施ISMS目标和效益1 目标：本项目的目标在于通过帮助贵公司识别信息安全风险，培养全体职工的信息安全意识，采用合理的管理和技术实践，系统的增强贵公司的信息保护能力。 同时，本项目将整合ISO9001体系，建立对公司内部所有成员、客户、供应商等都具有约束力的信息安全防范机制，并具有持续持续改进的能力，确保不断提升内部信息安全管理水平和不断提高服务质量。2 内部效益 通过本项目的实施，贵公司将获得以下内部收益： l 明晰信息安全对公司战略目标的重要意义，完善现有管理环节和资源配置，减少漏洞；l 通过对流程和权责的定义， 监控信息安全管理流程、 进行信息安全绩效评价， 提高流程执行效率； l 改进个环节的管理，提高风险预防能力； l 提高全体员工的安全风险防范意识，学会风险管理方法； l 将管理体系（ISO9000、ISO27000、CMM）和业务流程整合； l 建立一整套行之有效的持续改善机制。l 改善质量，提高生产率，降低成本，增加投资回报率五 咨询团队服务模式1 咨询理念 咨询顾问组将整体规划，同时遵循“计划-实施-检查-改进（Plan-Do-Check-Action） ”的管理模式，辅导并推动企业的ISMS的实施，持续改善实施过程中所发现的缺失，以追求并确保达成本项目的目标。2 服务团队结构l 由从事多年IT业认证审核的老师组成本项目的专家组l 由太原办事处负责人承担商务沟通和客户意见反馈的责任，责任人：李老师l 由咨询师负责现场服务、培训和辅导活动，责任人：胡老师、于老师、智老师。根据企业的要求和咨询的不同阶段需要，委派适宜的老师到到企业现场开展咨询和指导工作，满足企业要求。l 通过以上体制确保服务的质量。在发生服务质量问题时由商务人员和客户直接解决，发生重大的服务质量问题时可以更换咨询师。3 服务模式l 咨询师首先进行公司现有业务战略、组织、资源的理解，进行信息安全管理范围的确认l 针对现状进行认识上的风险评估 l 咨询组提供整体性框架建议，经双方修正后据此作为实施的基本结构，进行详细工作计划及工作任务分解； l 重要关键点均先进行培训以利于组织ISMS建立的符合性；l 针对ISMS范围内的各环节、流程进行详细的信息安全风险识别、评估l 根据评估结果制定信息安全管理目标、指标 l 组织ISMS文件的撰写，撰写前先行共同讨论撰写大纲及关键点以利于可操作性； l 指导撰写组织ISMS文件。 l 双方参与共同讨论ISMS文件的可行性，并进行审查； l 进行ISMS试运行，不断优化管理过程； l 协助通过ISMS认证。 六、咨询服务过程的概述1 户的需求基线项目目标： 实际提升内部信息安全管理能力，通过ISMS认证；项目周期： 6个月；实施范围： 贵公司信息安全管理所涉及的所有部门现场服务： 需要咨询师和审核员现场服务。2 范围本方案的范围涉及：1) ISMS标准知识专项培训、安全评估方法等技术培训；2) ISMS的建立；3) ISMS具体实施时的咨询、辅导和培训；4) ISMS认证。此方案描述了我们提供给客户的各种培训、咨询和评估服务，该服务的目的是帮助客户完成以下目标：l 通过识别客户现行信息安全管理风险，确定信息安全管理工作的内容、重点和优先级；l 为实现信息安全建立适宜的组织机构，便于日后长期的持续改进；l 建立信息安全运作机制。l 建立信息安全文化，建立组织针对信息安全的过程改进能力，建立持续改进机制，培养全员的信息安全风险意识。l 提高企业社会责任能力。3 服务的目标针对客户提出的总体需求，DXC和客户方将在本项目中达成以下共识，并将其作为双方下步工作的基础和依据：1) 遵循ISMS体系标准，结合客户的发展战略和目标，建立完善的、有效的ISMS，指导客户方对信息安全管理和制度化、文档化、标准化。2) 2011年1月左右客户方信息安全管理能力达到并通过ISMS认证。3）建立文档管理制度，管理好所有有关信息安全的的资产和文档；4）提升信息安全管理和控制水平，降低信息安全风险，建立信息风险管理体制；5）提高信息安全管理能力4 服务的实施流程 1）服务的内容我们向客户提供以下服务： l ISMS管理标准培训、l 信息安全风险识别方法等培训；l 诊断现行信息安全管理状态，识别风险；l ISMS建立全过程咨询；l 执行预审核；l 执行正式审核。 2）服务实施流程现场调研风险预评估制定实施计划标准及评估方法等培训确定信息安全推进小组及组织机构组织机构建立ISMS文件执行ISMS预审核正式审核监督和检查5 工作内容 重点工作 ：整个咨询辅导过程分为几个阶段，各阶段的重点工作和任务说明如下： l 前期调研阶段：前期调研的主要工作是对公司信息安全现状进行了解和分析，确定项目实施范围和详细计划，并对现有的管理结构进行梳理，评估目前的信息安全管理能力和需求； l 信息安全风险识别及评估阶段：公司信息管理所涉及的各部门、环节全部参与到安全风险识别过程当中来，要求大家尽可能的去识别风险，无论大小都可以列入风险目录，再通过风险评估确定风险等级。 l 组织体系文件建设阶段：整体规划管理体系文件框架；按照标准要求对公司现有信息管理过程进行梳理，建立组织的信息安全管理过程，本阶段需要推进小组成员的全力配合。l 推广和试运行阶段：在体系文件建立完成后，通过培训和宣传方式在公司内部推广ISMS，明确管理要求，对试运行阶段的中发现的问题进行过程改进，提高体系文件的的 有效性和可操作性。l 预审核阶段：通过预审核后，组织应对审核过程发现的问题实施过程改进，为顺利通过正式审核做好所有准备。 l 持续改进阶段：审核通过后，咨询小组会对对贵公司体系实施情况进行跟踪，帮助企业持续改进。6服务和实施的具体步骤1） 项目计划启动和完成时间计划预订开始时间：XXXXXXX计划预订完成时间：XXXXXXX） 本建议书中假设项目从 8月1日为时间起点。在项目具体实施阶段，将根据具体的时间进行相应的调整。详见下图：信息安全管理体系咨询安排体系策划阶段编号工作任务WBS分解咨询公司投入甲方参加人员说明计划投入（天）工期咨询师开始时间1对公司进行信息管理现状调查，了解公司现有经营战略、规划、组织、资源的理解，确定目标，初步确定过程改进的体制，明确过程推进核心小组组长和成员2天于、智10.8.1管理者代表、主管部门负责人进行信息安全管理制度以及其他管理性文件的收集，包括公司经营战略订定，规划方式，相关单位的权责与接口 2明确ISMS所覆盖的组织内部的范围管理者代表、主管部门负责人对于覆盖的范围进行确认，并规划ISMS涉及的组织范围，以保证体系的系统性3成立ISMS推进领导组、推进小组最高管理者、管理者代表保证体系的顺利贯彻、执行4项目启动会全体员工参加保证体系的顺利贯彻、执行标准培训及风险评估阶段5ISMS标准及内审员培训3天胡2010.8上旬全体员工参加1天，各部门指定的体系负责人、内审员3天均参加让参与信息安全管理的人员了解信息安全管理的要求，内审员掌握标准及审核知识，培养体系运行骨干6信息安全风险识别及评估方法培训 2天胡标准培训后一周左右管理者代表、主管部门全体、各部门指定体系负责人建立风险意识，为全面识别信息安全风险做准备7信息安全风险识别、差距分析10天于、智2010-8 中、下旬管理者代表、主管部门全体、各部门指定体系负责人所有涉及到信息管理的部门、人员、流程全部参与，保证尽量无遗漏的识别出信息安全风险。进行漏洞扫描，以便掌握当前设系统的安全状态从安全制度建立、安全管理机构、资金保障、人员安全管理、系统建设管理、系统运维管理等方面进行差距分析8信息安全风险评估于、智2010-8 中、下旬管理者代表、主管部门全体、各部门指定体系负责人根据公司信息安全管理目标要求对风险等级进行划分，以便针对不同级别风险，实施相应的控制手段，形成资产清单、重要资产清单，风险评估报告、风险建议残余风险报告文件编写阶段9建立ISMS文件框架于、智2010.9.1-9.30管理者代表、主管部门全体或文件编写组根据风险评估的结果以及公司的组织架构，确定体系文件的框架10ISMS文件的编写13天智主管部门或文件编写组可以采取两种不同的方式完成体系文件的编写，其一为统一确定编写小组成员集中编写，也可按照职能分配到各个部门进行编写，建议集中编写更适合该体系。ISMS文件包括手册、信息安全风险评估程序、信息安全控制措施测量程序、计算机网络安全防护程序、物理和环境安全管理程序、计算机病毒安全防护程序、访问控制程序、信息系统备份和恢复管理程序、文件控制程序、记录控制程序、内部审核程序、管理评审程序等，以及信息安全组织、信息安全职责要求、服务器配置和安全管理规定、移动存储介质安全管理规定、资产安全管理规定、网络设备安全管理规定、信息分级保护管理规定等作业文件，有效文件共70分左右，作业表单约90份左右，当然这只是经验值，具体操作要按贵公司的实际情况进行调整。11文件审查2天于管理者代表咨询师负责审查对标准的符合性，公司相关人员负责审查可操作性12文件修订及发布管理者代表、主管部门或文件编写组保证文件的可执行性体系试运行阶段13ISMS实施宣贯培训1天于2010.10.1-2011.1.1管理者代表、主管部门全体、各部门指定体系负责人让所有涉及的人员了解自身的信息安全管理职责、控制要求，保证体系的贯彻、执行14制定ISMS体系试运行计划1天于、智管理者代表包括各部门运行成果要求、内审计划、管理评审计划15内审3天于、智内审员需要进行1-2次内部体系运行的审核，发现体系运行当中的问题，采取纠正、预防措施加以整改，保证体系运行的符合性以及有效性16管理评审1天于、智领导层评估ISMS运行的成果，需要解决的重点问题，决定是否可以提请外审改善计划17制订改善计划1天于、智20111上旬管理者代表咨询组根据体系的运行情况，做好体系改善计划，通过体系改进，可以帮助组织提升对体系的认识，以便顺利接受正式审核18提交体系运行总体情况报告于、智管理者代表提出体系运行总体情况汇报。19采取纠正措施2天智相关部门不断的过程改进要求正式审核阶段20接受认证结构正式评估计划认证机构2011.1中下旬领导层、全体部门正式审核工作按照国家规定的审核人日管理要求实施，要标准的实施流程以及标准的工作文档，审核结论可以为：通过、不通过或延期通过三种，我们保证组织在我们双方的积极配合和努力下顺利通过认证审核，获得认证证书。21按照正式审核计划进行相应的备审工作22正式现场审核23审核问题纠正24颁发ISMS认证证书培训分三个阶段：1、信息安全管理体系标准及内审员培训 2、信息安全风险识别及评估培训 3、体系运行宣贯培训七、 客户组织保证 1 客户方应确定ISMS实施项目组的结构。DXC依照客户方实施的范围，提出如下建议：l 企业授权一名高级管理者负责组织实施ISMS；参加人员：主管副总经理、质量保证部经理、管理团队中之其他成员l 企业建立一个公司级的ISMS推进小组，负责研究、实施、推动ISMS，并将确定基于ISMS的改进体系； 参加人员：主管副总 、质量保证部经理及全体员工、各部门付经理及1-2名员工。l 指派1名联系人员，作为DXC和客户方的协调人（质量保证部经理负责）。八 实施风险及常见问题任何项目都存在风险，风险可以通过缓解、监控和管理等各种途径降低，但不可避免。要使该项目顺利实现既定的目标，系统化的分析和勇敢的识别风险是保证项目成功的前提。以下是该项目的风险分类和管理：1 风险分类和管理（面上）风险缓解策略项目缺乏动力明确高层领导组推进小组各部门的关系，管理者始终如一的作为ISMS的支持者，了解ISMS的冲突，恰当的处理发生的矛盾组织文化不利于体系推进塑造新的企业文化，组织大力倡导信息安全管理的重要意义各部门不支持通过加强培训和教育两个途径使人们了解体系的内涵和对每个人的利益影响，从而主动转变观念，另一方面，通过工资、奖金和晋升制度的有效配合加以辅助管理过程多、环节复杂，风险识别的难度大要调动全体员工的积极性，全员参与，认真对待，并且掌握适当的方法，以减少风险识别的漏洞。九 获证后的增值服务承诺我们作为一个组织而不是个人在向客户提供服务时，会从专业机构的眼光和理念持续关注项目的维护与发展，使用户得到增值服务和信心。我们每季度对客户进行回访，及时了解客户需求，针对现场提出的问题帮助客户制定解决方案。我们知道信息安全是一项长期细致的工作， 组织的工作模式和个人意识、能力的好坏，对信息安全风险的大小有直接的影响。因此，推进小组应长期存在。当客户成为DXC的客户之后，DXC每年会通过其当地代表对其客户进行一次的年度跟踪访问，并传递ISMS最新资讯。认证审核活动结束后，我们会向的客户提供更高级别的改进行动计划。