ISMS认证咨询方案

德信诚培训网更多免费资料下载请进：好好学习社区咨询方案一、公司简介XXXX有限公司（简称DXC），创建于1996年，是我国第一批获得国家认可资格的认证机构之一。DXC具备ISO9001（质量管理体系）、ISO14001（环境管理体系）以及GB/T28001（职业健康安全管理体系）、HACCP（食品安全管理体系）等多项认证资格，并可以实施多体系结合认证，通过一次审核可颁发多张体系认证证书。根据国际认可论坛/多边承认协议（IAF/MLA）的规定，DXC颁发的认证证书具有国际互认资格。1．人力资源丰富DXC现有专职管理人员211人，专职级别审核员（高级审核员、审核员）260人，兼职级别审核员（高级审核员、审核员）312人，专兼职实习审核员、技术专家310人，共计1093人。2．分支机构完善为方便客户，及时提供服务，DXC在全国设立了6个分公司、10个办事处。这16个机构分布在全国各直辖市和主要省会城市，客户服务可延伸到任何行政区域内。3．质量方针DXC的质量方针:敬人、敬业、敬用户，依法公正认证；重质、重效、重科学，全面履行承诺；积极开拓，持续改进，创建一流的认证咨询机构。4．质量目标DXC的质量目标：为贯彻实施本公司的质量方针，向社会提供开放、高效、公正、科学的认证服务，DXC按认可规范的要求和国际准则建立并运行有效的质量管理体系。DXC的组织结构确保其运作的公正性、独立性和非歧视性；DXC的管理者确保其组织的运作满足国家和认可机构的相关要求；DXC的管理人员严格按公司的规定，开展相应的工作；DXC的所有审核人员尽职尽责、遵纪守法、维护国家认证认可信誉，为客户提供独立、公正、增值的认证服务，以赢得客户的持续信任。5．质量承诺DXC的质量承诺：DXC的全体员工以客户的满意为关注焦点，并识别任何可能的改进机会，以不断提高顾客满意度，以及认证审核及其管理的有效性和效率。德信诚培训网更多免费资料下载请进：．服务宗旨DXC的服务宗旨：DXC严格执行国家的法律法规及有关规定，切实贯彻实施《中华人民共和国认证认可条例》，坚持以国际惯例为准则，恪守不以赢利为目的的有偿服务原则，依托遍布全国的服务网络，立足北京，面向全国，尽职尽责地为社会各界申请认证的组织提供高质量、增值的认证服务。二推行ISMS的经验DXC是国内较早跟踪与开展ISMS认证项目咨询的机构，目前通过已经完成的ISMS认证项目，我们的顾问团队获得了宝贵的工作经验，这使得我们的咨询服务将会是安全而负有成效的；同时，顾问的计划工作，过程度量，工具应用也将影响组织的工作方法，以此建立和培养组织的人才队伍，为日后企业过程改进留下资产和自我优化的能力。DXC是业内咨询过程最成熟的服务机构。在信息安全标准要求的基础上，我们特别强调咨询过程的可视化和可复用的总结，使顾问的咨询过程上升为DXC的咨询工作手册和相关指导书，并在项目中严格要求顾问人员遵循规范来开展工作。DXC在中国国内已经有多家信息安全认证咨询的项目经验。一般在6个月个月完成组织的信息安全体系建立过程DXC重视后期服务，信息安全是一项长期的工作，在评估通过后的维护及相关资讯的培训上，我们可长期便利的服务企业。DXC为组织实现信息安全与质量管理体系的有效结合：北京新世纪认证有限公司为企业的高效管理考虑，根据企业的实际情况与改进目标，在提供信息安全服务时尽量考虑企业已有的管理体系，为企业实现信息安全与质量管理体系的有效结合！三我们已取得的业绩……四、实施ISMS目标和效益1目标：本项目的目标在于通过帮助贵公司识别信息安全风险，培养全体职工的信息安全意识，采用合理的管理和技术实践，系统的增强贵公司的信息保护能力。德信诚培训网更多免费资料下载请进：好好学习社区同时，本项目将整合ISO9001体系，建立对公司内部所有成员、客户、供应商等都具有约束力的信息安全防范机制，并具有持续持续改进的能力，确保不断提升内部信息安全管理水平和不断提高服务质量。2内部效益通过本项目的实施，贵公司将获得以下内部收益：明晰信息安全对公司战略目标的重要意义，完善现有管理环节和资源配置，减少漏洞；通过对流程和权责的定义，监控信息安全管理流程、进行信息安全绩效评价，提高流程执行效率；改进个环节的管理，提高风险预防能力；提高全体员工的安全风险防范意识，学会风险管理方法；将管理体系（ISO9000、ISO27000、CMM）和业务流程整合；建立一整套行之有效的持续改善机制。改善质量，提高生产率，降低成本，增加投资回报率德信诚培训网更多免费资料下载请进：咨询理念咨询顾问组将整体规划，同时遵循“计划-实施-检查-改进（Plan-Do-Check-Action）”的管理模式，辅导并推动企业的ISMS的实施，持续改善实施过程中所发现的缺失，以追求并确保达成本项目的目标。2服务团队结构由从事多年IT业认证审核的老师组成本项目的专家组由太原办事处负责人承担商务沟通和客户意见反馈的责任，责任人：李老师由咨询师负责现场服务、培训和辅导活动，责任人：胡老师、于老师、智老师。根据企业的要求和咨询的不同阶段需要，委派适宜的老师到到企业现场开展咨询和指导工作，满足企业要求。通过以上体制确保服务的质量。在发生服务质量问题时由商务人员和客户直接解决，发生重大的服务质量问题时可以更换咨询师。3服务模式咨询师首先进行公司现有业务战略、组织、资源的理解，进行信息安全管理范围的确认针对现状进行认识上的风险评估咨询组提供整体性框架建议，经双方修正后据此作为实施的基本结构，进行详细工作计划及工作任务分解；重要关键点均先进行培训以利于组织ISMS建立的符合性；针对ISMS范围内的各环节、流程进行详细的信息安全风险识别、评估根据评估结果制定信息安全管理目标、指标组织ISMS文件的撰写，撰写前先行共同讨论撰写大纲及关键点以利于可操作性；指导撰写组织ISMS文件。双方参与共同讨论ISMS文件的可行性，并进行审查；进行ISMS试运行，不断优化管理过程；协助通过ISMS认证。德信诚培训网更多免费资料下载请进：好好学习社区六、咨询服务过程的概述1户的需求基线项目目标：实际提升内部信息安全管理能力，通过ISMS认证；项目周期：6个月；实施范围：贵公司信息安全管理所涉及的所有部门现场服务：需要咨询师和审核员现场服务。2范围本方案的范围涉及：1)ISMS标准知识专项培训、安全评估方法等技术培训；2)ISMS的建立；3)ISMS具体实施时的咨询、辅导和培训；4)ISMS认证。此方案描述了我们提供给客户的各种培训、咨询和评估服务，该服务的目的是帮助客户完成以下目标：通过识别客户现行信息安全管理风险，确定信息安全管理工作的内容、重点和优先级；为实现信息安全建立适宜的组织机构，便于日后长期的持续改进；建立信息安全运作机制。建立信息安全文化，建立组织针对信息安全的过程改进能力，建立持续改进机制，培养全员的信息安全风险意识。提高企业社会责任能力。3服务的目标针对客户提出的总体需求，DXC和客户方将在本项目中达成以下共识，并将其作为双方下步工作的基础和依据：德信诚培训网更多免费资料下载请进：)遵循ISMS体系标准，结合客户的发展战略和目标，建立完善的、有效的ISMS，指导客户方对信息安全管理和制度化、文档化、标准化。2)2011年1月左右客户方信息安全管理能力达到并通过ISMS认证。3）建立文档管理制度，管理好所有有关信息安全的的资产和文档；4）提升信息安全管理和控制水平，降低信息安全风险，建立信息风险管理体制；5）提高信息安全管理能力4服务的实施流程1）服务的内容我们向客户提供以下服务：ISMS管理标准培训、信息安全风险识别方法等培训；诊断现行信息安全管理状态，识别风险；ISMS建立全过程咨询；执行预审核；执行正式审核。2）服务实施流程德信诚培训网更多免费资料下载请进：工作内容重点工作：整个咨询辅导过程分为几个阶段，各阶段的重点工作和任务说明如下：前期调研阶段：前期调研的主要工作是对公司信息安全现状进行了解和分析，确定项目实施范围和详细计划，并对现有的管理结构进行梳理，评估目前的信息安全管理能力和需求；信息安全风险识别及评估阶段：公司信息管理所涉及的各部门、环节全部参与到安全风险识别过程当中来，要求大家尽可能的去识别风险，无论大小都可以列入风险目录，再通过风险评估确定风险等级。组织体系文件建设阶段：整体规划管理体系文件框架；按照标准要求对公司现有信息管理过程进行梳理，建立组织的信息安全管理过程，本阶段需要推进小组成员的全力配合。现场调研风险预评估制定实施计划标准及评估方法等培训确定信息安全推进小组及组织机构组织机构建立ISMS文件执行ISMS预审核正式审核监督和检查德信诚培训网更多免费资料下载请进：好好学习社区推广和试运行阶段：在体系文件建立完成后，通过培训和宣传方式在公司内部推广ISMS，明确管理要求，对试运行阶段的中发现的问题进行过程改进，提高体系文件的的有效性和可操作性。预审核阶段：通过预审核后，组织应对审核过程发现的问题实施过程改进，为顺利通过正式审核做好所有准备。持续改进阶段：审核通过后，咨询小组会对对贵公司体系实施情况进行跟踪，帮助企业持续改进。6服务和实施的具体步骤1）项目计划启动和完成时间计划预订开始时间：XXXXXXX计划预订完成时间：XXXXXXX２）本建议书中假设项目从8月1日为时间起点。在项目具体实施阶段，将根据具体的时间进行相应的调整。详见下图：德信诚培训网更多免费资料下载请进：分解咨询公司投入甲方参加人员说明计划投入（天）工期咨询师开始时间1对公司进行信息管理现状调查，了解公司现有经营战略、规划、组织、资源的理解，确定目标，初步确定过程改进的体制，明确过程推进核心小组组长和成员2天于、智10.8.1管理者代表、主管部门负责人进行信息安全管理制度以及其他管理性文件的收集，包括公司经营战略订定，规划方式，相关单位的权责与接口2明确ISMS所覆盖的组织内部的范围管理者代表、主管部门负责人对于覆盖的范围进行确认，并规划ISMS涉及的组织范围，以保证体系的系统性3成立ISMS推进领导组、推进小组最高管理者、管理者代表保证体系的顺利贯彻、执行4项目启动会全体员工参加保证体系的顺利贯彻、执行标准培训及风险评估阶段5ISMS标准及内审员培训3天胡2010.8上旬全体员工参加1天，各部门指定的体系负责人、内审员3天均参加让参与信息安全管理的人员了解信息安全管理的要求，内审员掌握标准及审核知识，培养体系运行骨干6信息安全风险识别及评估方法培训2天胡标准培训后一周左右管理者代表、主管部门全体、各部门指定体系负责人建立风险意识，为全面识别信息安全风险做准备7信息安全风险识别、差距分析10天于、智2010-8中、下旬管理者代表、主管部门全体、各部门指定体系负责人所有涉及到信息管理的部门、人员、流程全部参与，保证尽量无遗漏的识别出信息安全风险。进行漏洞扫描，以便掌握当前设系统的安全状态从安全制度建立、安全管理机构、资金保障、人员安全管理、系统建设管理、系统运维管理等方面进行差距分析德信诚培训网更多免费资料下载请进：信息安全风险评估于、智2010-8中、下旬管理者代表、主管部门全体、各部门指定体系负责人根据公司信息安全管理目标要求对风险等级进行划分，以便针对不同级别风险，实施相应的控制手段，形成资产清单、重要资产清