ISMS认证咨询方案.doc
《ISMS认证咨询方案.doc》由会员分享,可在线阅读,更多相关《ISMS认证咨询方案.doc(13页珍藏版)》请在冰点文库上搜索。
德信诚培训网
咨询方案
一、公司简介
XXXX有限公司(简称DXC),创建于1996年,是我国第一批获得国家认可资格的认证机构之一。
DXC具备ISO9001(质量管理体系)、ISO14001(环境管理体系)以及GB/T28001(职业健康安全管理体系)、HACCP(食品安全管理体系)等多项认证资格,并可以实施多体系结合认证,通过一次审核可颁发多张体系认证证书。
根据国际认可论坛/多边承认协议(IAF/MLA)的规定,DXC颁发的认证证书具有国际互认资格。
1.人力资源丰富
DXC现有专职管理人员211人,专职级别审核员(高级审核员、审核员)260人,兼职级别审核员(高级审核员、审核员)312人,专兼职实习审核员、技术专家310人,共计1093人。
2.分支机构完善
为方便客户,及时提供服务,DXC在全国设立了6个分公司、10个办事处。
这16个机构分布在全国各直辖市和主要省会城市,客户服务可延伸到任何行政区域内。
3.质量方针
DXC的质量方针:
敬人、敬业、敬用户,依法公正认证;重质、重效、重科学,全面履行承诺;积极开拓,持续改进,创建一流的认证咨询机构。
4.质量目标
DXC的质量目标:
为贯彻实施本公司的质量方针,向社会提供开放、高效、公正、科学的认证服务,DXC按认可规范的要求和国际准则建立并运行有效的质量管理体系。
DXC的组织结构确保其运作的公正性、独立性和非歧视性;DXC的管理者确保其组织的运作满足国家和认可机构的相关要求;DXC的管理人员严格按公司的规定,开展相应的工作;DXC的所有审核人员尽职尽责、遵纪守法、维护国家认证认可信誉,为客户提供独立、公正、增值的认证服务,以赢得客户的持续信任。
5.质量承诺
DXC的质量承诺:
DXC的全体员工以客户的满意为关注焦点,并识别任何可能的改进机会,以不断提高顾客满意度,以及认证审核及其管理的有效性和效率。
6.服务宗旨
DXC的服务宗旨:
DXC严格执行国家的法律法规及有关规定,切实贯彻实施《中华人民共和国认证认可条例》,坚持以国际惯例为准则,恪守不以赢利为目的的有偿服务原则,依托遍布全国的服务网络,立足北京,面向全国,尽职尽责地为社会各界申请认证的组织提供高质量、增值的认证服务。
二推行ISMS的经验
DXC是国内较早跟踪与开展ISMS认证项目咨询的机构,目前通过已经完成的ISMS认证项目,我们的顾问团队获得了宝贵的工作经验,这使得我们的咨询服务将会是安全而负有成效的;同时,顾问的计划工作,过程度量,工具应用也将影响组织的工作方法,以此建立和培养组织的人才队伍,为日后企业过程改进留下资产和自我优化的能力。
DXC是业内咨询过程最成熟的服务机构。
在信息安全标准要求的基础上,我们特别强调咨询过程的可视化和可复用的总结,使顾问的咨询过程上升为DXC的咨询工作手册和相关指导书,并在项目中严格要求顾问人员遵循规范来开展工作。
DXC在中国国内已经有多家信息安全认证咨询的项目经验。
一般在6个月个月完成组织的信息安全体系建立过程
DXC重视后期服务,信息安全是一项长期的工作,在评估通过后的维护及相关资讯的培训上,我们可长期便利的服务企业。
DXC为组织实现信息安全与质量管理体系的有效结合:
北京新世纪认证有限公司为企业的高效管理考虑,根据企业的实际情况与改进目标,在提供信息安全服务时尽量考虑企业已有的管理体系,为企业实现信息安全与质量管理体系的有效结合!
三我们已取得的业绩
……
四、实施ISMS目标和效益
1目标:
本项目的目标在于通过帮助贵公司识别信息安全风险,培养全体职工的信息安全意识,采用合理的管理和技术实践,系统的增强贵公司的信息保护能力。
同时,本项目将整合ISO9001体系,建立对公司内部所有成员、客户、供应商等都具有约束力的信息安全防范机制,并具有持续持续改进的能力,确保不断提升内部信息安全管理水平和不断提高服务质量。
2内部效益
通过本项目的实施,贵公司将获得以下内部收益:
l明晰信息安全对公司战略目标的重要意义,完善现有管理环节和资源配置,减少漏洞;
l通过对流程和权责的定义,监控信息安全管理流程、进行信息安全绩效评价,提高流程执行效率;
l改进个环节的管理,提高风险预防能力;
l提高全体员工的安全风险防范意识,学会风险管理方法;
l将管理体系(ISO9000、ISO27000、CMM)和业务流程整合;
l建立一整套行之有效的持续改善机制。
l改善质量,提高生产率,降低成本,增加投资回报率
五咨询团队服务模式
1咨询理念
咨询顾问组将整体规划,同时遵循“计划-实施-检查-改进(Plan-Do-Check-Action)”
的管理模式,辅导并推动企业的ISMS的实施,持续改善实施过程中所发现的缺失,以追求并确保达成本项目的目标。
2服务团队结构
l由从事多年IT业认证审核的老师组成本项目的专家组
l由太原办事处负责人承担商务沟通和客户意见反馈的责任,责任人:
李老师
l由咨询师负责现场服务、培训和辅导活动,责任人:
胡老师、于老师、智老师。
根据企业的要求和咨询的不同阶段需要,委派适宜的老师到到企业现场开展咨询和指导工作,满足企业要求。
l通过以上体制确保服务的质量。
在发生服务质量问题时由商务人员和客户直接解决,发生重大的服务质量问题时可以更换咨询师。
3服务模式
l咨询师首先进行公司现有业务战略、组织、资源的理解,进行信息安全管理范围的确认
l针对现状进行认识上的风险评估
l咨询组提供整体性框架建议,经双方修正后据此作为实施的基本结构,进行详细工作计划及工作任务分解;
l重要关键点均先进行培训以利于组织ISMS建立的符合性;
l针对ISMS范围内的各环节、流程进行详细的信息安全风险识别、评估
l根据评估结果制定信息安全管理目标、指标
l组织ISMS文件的撰写,撰写前先行共同讨论撰写大纲及关键点以利于可操作性;
l指导撰写组织ISMS文件。
l双方参与共同讨论ISMS文件的可行性,并进行审查;
l进行ISMS试运行,不断优化管理过程;
l协助通过ISMS认证。
六、咨询服务过程的概述
1户的需求基线
项目目标:
实际提升内部信息安全管理能力,通过ISMS认证;
项目周期:
6个月;
实施范围:
贵公司信息安全管理所涉及的所有部门
现场服务:
需要咨询师和审核员现场服务。
2范围
本方案的范围涉及:
1)ISMS标准知识专项培训、安全评估方法等技术培训;
2)ISMS的建立;
3)ISMS具体实施时的咨询、辅导和培训;
4)ISMS认证。
此方案描述了我们提供给客户的各种培训、咨询和评估服务,该服务的目的是帮助客户完成以下目标:
l通过识别客户现行信息安全管理风险,确定信息安全管理工作的内容、重点和优先级;
l为实现信息安全建立适宜的组织机构,便于日后长期的持续改进;
l建立信息安全运作机制。
l建立信息安全文化,建立组织针对信息安全的过程改进能力,建立持续改进机制,培养全员的信息安全风险意识。
l提高企业社会责任能力。
3服务的目标
针对客户提出的总体需求,DXC和客户方将在本项目中达成以下共识,并将其作为双方下步工作的基础和依据:
1)遵循ISMS体系标准,结合客户的发展战略和目标,建立完善的、有效的ISMS,指导客户方对信息安全管理和制度化、文档化、标准化。
2)2011年1月左右客户方信息安全管理能力达到并通过ISMS认证。
3)建立文档管理制度,管理好所有有关信息安全的的资产和文档;
4)提升信息安全管理和控制水平,降低信息安全风险,建立信息风险管理体制;
5)提高信息安全管理能力
4服务的实施流程
1)服务的内容
我们向客户提供以下服务:
lISMS管理标准培训、
l信息安全风险识别方法等培训;
l诊断现行信息安全管理状态,识别风险;
lISMS建立全过程咨询;
l执行预审核;
l执行正式审核。
2)服务实施流程
现场调研
风险预评估
制定实施计划
标准及评估方法等培训
确定信息安全推进小组及组织机构组织机构
建立ISMS文件
执行ISMS
预审核
正式审核
监督和检查
5工作内容
重点工作:
整个咨询辅导过程分为几个阶段,各阶段的重点工作和任务说明如下:
l前期调研阶段:
前期调研的主要工作是对公司信息安全现状进行了解和分析,确定项目实施范围和详细计划,并对现有的管理结构进行梳理,评估目前的信息安全管理能力和需求;
l信息安全风险识别及评估阶段:
公司信息管理所涉及的各部门、环节全部参与到安全风险识别过程当中来,要求大家尽可能的去识别风险,无论大小都可以列入风险目录,再通过风险评估确定风险等级。
l组织体系文件建设阶段:
整体规划管理体系文件框架;按照标准要求对公司现有信息管理过程进行梳理,建立组织的信息安全管理过程,本阶段需要推进小组成员的全力配合。
l推广和试运行阶段:
在体系文件建立完成后,通过培训和宣传方式在公司内部推广ISMS,明确管理要求,对试运行阶段的中发现的问题进行过程改进,提高体系文件的的有效性和可操作性。
l预审核阶段:
通过预审核后,组织应对审核过程发现的问题实施过程改进,为顺利通过正式审核做好所有准备。
l持续改进阶段:
审核通过后,咨询小组会对对贵公司体系实施情况进行跟踪,帮助企业持续改进。
6服务和实施的具体步骤
1)项目计划启动和完成时间
计划预订开始时间:
XXXXXXX
计划预订完成时间:
XXXXXXX
2)本建议书中假设项目从8月1日为时间起点。
在项目具体实施阶段,将根据具体的时间进行相应的调整。
详见下图:
信息安全管理体系咨询安排
体系策划阶段
编号
工作任务WBS分解
咨询公司投入
甲方参加人员
说明
计划投入(天)
工期
咨询师
开始时间
1
对公司进行信息管理现状调查,了解公司现有经营战略、规划、组织、资源的理解,确定目标,初步确定过程改进的体制,明确过程推进核心小组组长和成员
2天
于、智
10.8.1
管理者代表、
主管部门负责人
进行信息安全管理制度以及其他管理性文件的收集,包括公司经营战略订定,规划方式,相关单位的权责与接口
2
明确ISMS所覆盖的组织内部的范围
管理者代表、
主管部门负责人
对于覆盖的范围进行确认,并规划ISMS涉及的组织范围,以保证体系的系统性
3
成立ISMS推进领导组、推进小组
最高管理者、管理者代表
保证体系的顺利贯彻、执行
4
项目启动会
全体员工参加
保证体系的顺利贯彻、执行
标准培训及风险评估阶段
5
ISMS标准及内审员培训
3天
胡
2010.8上旬
全体员工参加1天,各部门指定的体系负责人、内审员3天均参加
让参与信息安全管理的人员了解信息安全管理的要求,内审员掌握标准及审核知识,培养体系运行骨干
6
信息安全风险识别及评估方法培训
2天
胡
标准培训后一周左右
管理者代表、主管部门全体、各部门指定体系负责人
建立风险意识,为全面识别信息安全风险做准备
7
信息安全风险识别、差距分析
10天
于、智
2010-8中、下旬
管理者代表、主管部门全体、各部门指定体系负责人
所有涉及到信息管理的部门、人员、流程全部参与,保证尽量无遗漏的识别出信息安全风险。
进行漏洞扫描,以便掌握当前设系统的安全状态
从安全制度建立、安全管理机构、资金保障、人员安全管理、系统建设管理、系统运维管理等方面进行差距分析
8
信息安全风险评估
于、智
2010-8中、下旬
管理者代表、主管部门全体、各部门指定体系负责人
根据公司信息安全管理目标要求对风险等级进行划分,以便针对不同级别风险,实施相应的控制手段,形成资产清单、重要资产清单,风险评估报告、风险建议残余风险报告
文件编写阶段
9
建立ISMS文件框架
于、智
2010.9.1-9.30
管理者代表、主管部门全体或文件编写组
根据风险评估的结果以及公司的组织架构,确定体系文件的框架
10
ISMS文件的编写
13天
智
主管部门或文件编写组
可以采取两种不同的方式完成体系文件的编写,其一为统一确定编写小组成员集中编写,也可按照职能分配到各个部门进行编写,建议集中编写更适合该体系。
ISMS文件包括手册、信息安全风险评估程序、信息安全控制措施测量程序、计算机网络安全防护程序、物理和环境安全管理程序、计算机病毒安全防护程序、访问控制程序、信息系统备份和恢复管理程序、文件控制程序、记录控制程序、内部审核程序、管理评审程序等,以及信息安全组织、信息安全职责要求、服务器配置和安全管理规定、移动存储介质安全管理规定、资产安全管理规定、网络设备安全管理规定、信息分级保护管理规定等作业文件,有效文件共70分左右,作业表单约90份左右,当然这只是经验值,具体操作要按贵公司的实际情况进行调整。
11
文件审查
2天
于
管理者代表
咨询师负责审查对标准的符合性,公司相关人员负责审查可操作性
12
文件修订及发布
管理者代表、主管部门或文件编写组
保证文件的可执行性
体系试运行阶段
13
ISMS实施宣贯培训
1天
于
2010.10.1-2011.1.1
管理者代表、主管部门全体、各部门指定体系负责人
让所有涉及的人员了解自身的信息安全管理职责、控制要求,保证体系的贯彻、执行
14
制定ISMS体系试运行计划
1天
于、智
管理者代表
包括各部门运行成果要求、内审计划、管理评审计划
15
内审
3天
于、智
内审员
需要进行1-2次内部体系运行的审核,发现体系运行当中的问题,采取纠正、预防措施加以整改,保证体系运行的符合性以及有效性
16
管理评审
1天
于、智
领导层
评估ISMS运行的成果,需要解决的重点问题,决定是否可以提请外审
改善计划
17
制订改善计划
1天
于、智
2011.1上旬
管理者代表
咨询组根据体系的运行情况,做好体系改善计划,通过体系改进,可以帮助组织提升对体系的认识,以便顺利接受正式审核
18
提交体系运行总体情况报告
于、智
管理者代表
提出体系运行总体情况汇报。
19
采取纠正措施
2天
智
相关部门
不断的过程改进要求
正式审核阶段
20
接受认证结构正式评估计划
认证机构
2011.1中下旬
领导层、全体部门
正式审核工作按照国家规定的审核人日管理要求实施,要标准的实施流程以及标准的工作文档,审核结论可以为:
通过、不通过或延期通过三种,我们保证组织在我们双方的积极配合和努力下顺利通过认证审核,获得认证证书。
21
按照正式审核计划进行相应的备审工作
22
正式现场审核
23
审核问题纠正
24
颁发ISMS认证证书
培训分三个阶段:
1、信息安全管理体系标准及内审员培训
2、信息安全风险识别及评估培训
3、体系运行宣贯培训
七、客户组织保证
1客户方应确定ISMS实施项目组的结构。
DXC依照客户方实施的范围,提出如下建议:
l企业授权一名高级管理者负责组织实施ISMS;参加人员:
主管副总经理、质量保证部经理、管理团队中之其他成员
l企业建立一个公司级的ISMS推进小组,负责研究、实施、推动ISMS,并将确定基于ISMS的改进体系;参加人员:
主管副总、质量保证部经理及全体员工、各部门付经理及1-2名员工。
l指派1名联系人员,作为DXC和客户方的协调人(质量保证部经理负责)。
八实施风险及常见问题
任何项目都存在风险,风险可以通过缓解、监控和管理等各种途径降低,但不可避免。
要使该项目顺利实现既定的目标,系统化的分析和勇敢的识别风险是保证项目成功的前提。
以下是该项目的风险分类和管理:
1风险分类和管理(面上)
风险
缓解策略
项目缺乏动力
明确高层领导组—推进小组—各部门的关系,管理者始终如一的作为ISMS的支持者,了解ISMS的冲突,恰当的处理发生的矛盾
组织文化不利于体系推进
塑造新的企业文化,组织大力倡导信息安全管理的重要意义
各部门不支持
通过加强培训和教育两个途径使人们了解体系的内涵和对每个人的利益影响,从而主动转变观念,另一方面,通过工资、奖金和晋升制度的有效配合加以辅助
管理过程多、环节复杂,风险识别的难度大
要调动全体员工的积极性,全员参与,认真对待,并且掌握适当的方法,以减少风险识别的漏洞。
九获证后的增值服务承诺
我们作为一个组织而不是个人在向客户提供服务时,会从专业机构的眼光和理念持续关注项目的维护与发展,使用户得到增值服务和信心。
我们每季度对客户进行回访,及时了解客户需求,针对现场提出的问题帮助客户制定解决方案。
我们知道信息安全是一项长期细致的工作,组织的工作模式和个人意识、能力的好坏,对信息安全风险的大小有直接的影响。
因此,推进小组应长期存在。
当客户成为DXC的客户之后,DXC每年会通过其当地代表对其客户进行一次的年度跟踪访问,并传递ISMS最新资讯。
认证审核活动结束后,我们会向的客户提供更高级别的改进行动计划。
更多免费资料下载请进:
好好学习社区