第一階段:準(zhǔn)備階段
1.差距分析:
當(dāng)貴公司與本公司簽訂咨詢合同后,我們會(huì)在一周內(nèi)安排咨詢小組開展準(zhǔn)備工作。并在合同生效一周內(nèi)對貴公司現(xiàn)有信息安全管理體系與貴公司將要建立的相應(yīng)ISO27001質(zhì)量管理模式進(jìn)行比照性診斷,并提出合理性建議以進(jìn)行下一步工作。
2.制定詳細(xì)實(shí)施計(jì)劃:
按照雙方合同規(guī)定的服務(wù)期限,我們會(huì)在論斷結(jié)束后,制定出詳細(xì)的認(rèn)證咨詢的詳細(xì)實(shí)施計(jì)劃,并按合同規(guī)定內(nèi)容將每項(xiàng)工作落實(shí)到部門。
3.建立信息安全組織機(jī)構(gòu):
領(lǐng)導(dǎo)的重視及參與程度是能否按期通過認(rèn)證的關(guān)鍵,著手工作計(jì)劃之前,按照貴公司的組織機(jī)構(gòu)特點(diǎn),我們會(huì)配合貴公司成立ISO27001推行委員會(huì)并落實(shí)職責(zé);公司負(fù)責(zé)任命一名管理者代表,全面負(fù)責(zé)貴公司信息安全管理體系的建立、實(shí)施、維持、完善和對外聯(lián)絡(luò)工作。
4.進(jìn)行ISO27001標(biāo)準(zhǔn)培訓(xùn):
此階段為ISO27001標(biāo)準(zhǔn)宣貫階段,按照培訓(xùn)計(jì)劃,介紹ISO27001標(biāo)準(zhǔn)的歷史、內(nèi)容、實(shí)施方法等;此階段我們會(huì)加強(qiáng)對推行委員會(huì)人員的額外培訓(xùn),提高其對標(biāo)準(zhǔn)認(rèn)識(shí)和今后實(shí)施的能力。
第二階段:風(fēng)險(xiǎn)評估階段
5.風(fēng)險(xiǎn)評估與管理培訓(xùn):
建議貴公司需完善必備的檢測手段或生產(chǎn)設(shè)備,總之,體系的建立要力求有效,使企業(yè)的各項(xiàng)管理活動(dòng)得以規(guī)范化、制度化、文化化,在成熟條件下可以實(shí)現(xiàn)無紙化。
6.風(fēng)險(xiǎn)評估:
我們采用系統(tǒng)工程的方法,分析目前貴公司組織機(jī)構(gòu)特點(diǎn)并確定各部門的職能,分析產(chǎn)品實(shí)現(xiàn)過程的復(fù)雜性,分析目前貴公司資源情況,這個(gè)過程如果涉及與ISO27001標(biāo)準(zhǔn)不符之處,我們將向貴公司領(lǐng)導(dǎo)提出調(diào)整部分組織機(jī)構(gòu)或職能的具體建議,根據(jù)工藝和過程的復(fù)雜性確定信息安全管理體系結(jié)構(gòu)層次;
7.制定風(fēng)險(xiǎn)處理計(jì)劃:
根據(jù)各項(xiàng)信息安全管理活動(dòng)所涉及的部門,我們指導(dǎo)貴公司列出職責(zé)分配表,將信息安全活動(dòng)層層分解到人,做到事事有人管,人人有專責(zé),職責(zé)分明。
8. 編制適用性說明
ISO27001標(biāo)準(zhǔn)是為了與其他管理標(biāo)準(zhǔn),比如ISO9000和ISO14001等相互兼容而設(shè)計(jì)的,這一標(biāo)準(zhǔn)中的編號(hào)系統(tǒng)和文件管理需求的設(shè)計(jì)初衷,就是為了提供良好的兼容性,使得組織可以建立起這樣一套管理體系:能夠在最大程度上融入這個(gè)組織正在使用的其他任何管理體系。
9.制定業(yè)務(wù)持續(xù)性計(jì)劃:
所有信息安全管理體系文件初稿經(jīng)討論、修改完畢后,針對文件中所涉及的部門,我們將指導(dǎo)、組織有關(guān)人員對文件的可行性與持續(xù)性進(jìn)行討論;根據(jù)討論結(jié)果我們對文件進(jìn)行一次集中的修訂,并交付最高管理者審批。
第三階段:ISMS體系文件建立階段
10.確定信息安全管理體系架構(gòu):
在組織內(nèi)部,管理層應(yīng)當(dāng)負(fù)責(zé)決策,而不是IT部門。一個(gè)規(guī)范的信息安全管理體系必須明確指出,組織機(jī)構(gòu)董事會(huì)和管理層應(yīng)當(dāng)負(fù)責(zé)相關(guān)信息安全管理體系的決策,同時(shí),這個(gè)體系也應(yīng)當(dāng)能夠反映這種決策,并且在運(yùn)行過程中能夠提供證據(jù)證明其有效性。
這個(gè)項(xiàng)目應(yīng)該由質(zhì)量管理經(jīng)理、總經(jīng)理或者其他負(fù)責(zé)機(jī)構(gòu)內(nèi)部重大職能的執(zhí)行主管負(fù)責(zé)主持。
11.文件編寫:
我們將根據(jù)信息安全管理標(biāo)準(zhǔn)規(guī)范來指導(dǎo)并協(xié)助貴公司人員對信息安全管理文件的編寫過程的討論,制定出適合貴公司的信息安全管理體系。
12.文件評審及發(fā)布:
所有信息安全管理體系文件初稿經(jīng)討論、修改完畢后,針對文件中所涉及的部門,我們將指導(dǎo)、組織有關(guān)人員對文件的可行性進(jìn)行討論;根據(jù)討論結(jié)果我們對文件進(jìn)行一次集中的修訂,并交付最高管理者審批。
13.ISMS體系宣貫:
我們對貴公司骨干人員培訓(xùn),學(xué)習(xí)信息安全的文件,并進(jìn)行適當(dāng)?shù)目己?;隨著信息安全管理體系的實(shí)施,貴公司所有人員自實(shí)施之日起必須按文件規(guī)定的方法去執(zhí)行,一開始可能會(huì)帶來一些不適應(yīng),如果大家都對新程序了如指掌,實(shí)施的進(jìn)度和效果無疑會(huì)好得多,所以實(shí)施前的學(xué)習(xí)和培訓(xùn)是非常關(guān)鍵的。
第四階段,ISMS體系運(yùn)行與完善階段
14.試運(yùn)行:
一個(gè)初建立的管理體系必須通過實(shí)際運(yùn)行進(jìn)行不斷的完善,才可趨于成熟。運(yùn)行的過程便是對文件的有效性和可行性的一種檢驗(yàn),也是對現(xiàn)行質(zhì)量活動(dòng)的指導(dǎo)。我們會(huì)用較多的時(shí)間幫助貴公司發(fā)現(xiàn)并解決運(yùn)行中出現(xiàn)的實(shí)際問題,幫助貴公司盡快糾正內(nèi)部質(zhì)量管理體系審核中發(fā)現(xiàn)的不符合項(xiàng),指導(dǎo)貴公司進(jìn)行管理評審,并協(xié)助貴公司落實(shí)管理評審、提出糾正措施。需要時(shí)可能要修改文件或因?qū)嵤┝Χ炔粔蛐枰邔宇I(lǐng)導(dǎo)者采取有效的措施。
15.培訓(xùn)內(nèi)審員
貴公司所建立的信息安全管理體系,要從內(nèi)審中逐步發(fā)現(xiàn)問題,使體系逐步趨于完善。我們將為貴公司培訓(xùn)一批內(nèi)審員,內(nèi)審員應(yīng)具備一定的專業(yè)知識(shí),思維敏捷,精明強(qiáng)干,協(xié)調(diào)能力和社交能力強(qiáng);我們會(huì)按照本公司編制的信息安全管理體系內(nèi)部審核員教程實(shí)施培訓(xùn),他們便成為企業(yè)信息安全管理體系運(yùn)行推動(dòng)的中堅(jiān)力量。
16.組織第一次內(nèi)審及改進(jìn)
在信息安全管理體系運(yùn)行一個(gè)月左右,我們會(huì)率先幫助企業(yè)進(jìn)行第一次內(nèi)審,在內(nèi)審時(shí)安排貴公司內(nèi)審員共同進(jìn)行,以使他們今后能獨(dú)立開展內(nèi)審工作。針對內(nèi)審發(fā)現(xiàn)的不符合項(xiàng),開具出書面不符合報(bào)告,經(jīng)確認(rèn)后分發(fā)至各部門,并呈交貴公司領(lǐng)導(dǎo)。
17.組織第二次內(nèi)審及改進(jìn)
以內(nèi)審員為主、咨詢師為輔再次組織一次內(nèi)審,而在認(rèn)證之前,將由貴公司內(nèi)審小組獨(dú)立組織一次內(nèi)審。今后,貴公司應(yīng)根據(jù)實(shí)際情況,由內(nèi)審小組做出內(nèi)審計(jì)劃,持續(xù)開展內(nèi)審工作。
18.組織管理評審:
一個(gè)體系運(yùn)行到一個(gè)階段,信息安全管理記錄也累積到了一定程度,為確保認(rèn)證的通過,我們將組織一次認(rèn)證前的模擬審核。由于我們認(rèn)證機(jī)構(gòu)都有密切合作關(guān)系,所以,我們將根據(jù)為貴公司提供認(rèn)證的機(jī)構(gòu)的風(fēng)格確定審核重點(diǎn),在審核中提出的不符合項(xiàng)都應(yīng)即予糾正,避免影響整個(gè)取證的進(jìn)度。
第五階段,認(rèn)證階段
19.協(xié)助提交認(rèn)證申請:
若貴公司愿意,我們可幫助企業(yè)提交認(rèn)證申請,并負(fù)責(zé)辦理申請、提交信息安全管理文件、幫助確定、安排審核時(shí)間;
20.組織現(xiàn)場迎審:
一旦認(rèn)證時(shí)間確定,貴公司所有人員都應(yīng)緊張投入迎審工作,我們指導(dǎo)貴公司組織一個(gè)得力的迎審小組,包括后勤安排禮儀接待.陪審人員;而不符合應(yīng)急小組也是非常必要的,對于審核員提出的不符合項(xiàng)可以當(dāng)場糾正的,應(yīng)急小組一定馬上采取措施,在審核結(jié)束前糾正證據(jù)向?qū)徍藛T呈遞,讓審核員相信貴公司信息安全管理體系運(yùn)行的有效性。
21.通過現(xiàn)場認(rèn)證審核,獲證:
現(xiàn)場審核時(shí),我們會(huì)加入迎審小組,同貴公司一道迎接審核,為貴公司保駕護(hù)航。企業(yè)全體人員都應(yīng)樹立信心,面對審核不緊張。對審核員提出的問題記錄下來,我們共同研究糾正措施,并力爭在最短的時(shí)間內(nèi)糾正。
通過審核后,貴公司將被納入認(rèn)證機(jī)構(gòu)的認(rèn)證名錄,被允許使用認(rèn)證公司的標(biāo)志制作廣告,并接受認(rèn)證機(jī)構(gòu)的監(jiān)督審核。
第六階段:體系持續(xù)改進(jìn)階段
23.標(biāo)準(zhǔn)變更時(shí)的培訓(xùn)服務(wù):
貴公司獲取證書后,ISO27001標(biāo)準(zhǔn)的版本變更時(shí),我們將免費(fèi)為貴公司提供新版本標(biāo)準(zhǔn)的培訓(xùn),并免費(fèi)幫助修改體系文件直至符合新版標(biāo)準(zhǔn)。
24.提供長期的培訓(xùn)優(yōu)惠方案:
貴公司獲取證書后,當(dāng)我公司舉辦對外公開的培訓(xùn)課程時(shí),將邀請貴公司1-2名管理人員和內(nèi)審員參與培訓(xùn)。