1.差距分析:
当贵公司与本公司签订咨询合同后,我们会在一周内安排咨询小组开展准备工作。并在合同生效一周内对贵公司现有信息安全管理体系与贵公司将要建立的相应ISO27001质量管理模式进行比照性诊断,并提出合理性建议以进行下一步工作。
2.制定详细实施计划:
按照双方合同规定的服务期限,我们会在论断结束后,制定出详细的认证咨询的详细实施计划,并按合同规定内容将每项工作落实到部门。
3.建立信息安全组织机构:
领导的重视及参与程度是能否按期通过认证的关键,着手工作计划之前,按照贵公司的组织机构特点,我们会配合贵公司成立ISO27001推行委员会并落实职责;公司负责任命一名管理者代表,全面负责贵公司信息安全管理体系的建立、实施、维持、完善和对外联络工作。
4.进行ISO27001标准培训:
此阶段为ISO27001标准宣贯阶段,按照培训计划,介绍ISO27001标准的历史、内容、实施方法等;此阶段我们会加强对推行委员会人员的额外培训,提高其对标准认识和今后实施的能力。
5.风险评估与管理培训:
建议贵公司需完善必备的检测手段或生产设备,总之,体系的建立要力求有效,使企业的各项管理活动得以规范化、制度化、文化化,在成熟条件下可以实现无纸化。
6.风险评估:
我们采用系统工程的方法,分析目前贵公司组织机构特点并确定各部门的职能,分析产品实现过程的复杂性,分析目前贵公司资源情况,这个过程如果涉及与ISO27001标准不符之处,我们将向贵公司领导提出调整部分组织机构或职能的具体建议,根据工艺和过程的复杂性确定信息安全管理体系结构层次;
7.制定风险处理计划:
根据各项信息安全管理活动所涉及的部门,我们指导贵公司列出职责分配表,将信息安全活动层层分解到人,做到事事有人管,人人有专责,职责分明。
8. 编制适用性说明
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在最大程度上融入这个组织正在使用的其他任何管理体系。
9.制定业务持续性计划:
所有信息安全管理体系文件初稿经讨论、修改完毕后,针对文件中所涉及的部门,我们将指导、组织有关人员对文件的可行性与持续性进行讨论;根据讨论结果我们对文件进行一次集中的修订,并交付最高管理者审批。
10.确定信息安全管理体系架构:
在组织内部,管理层应当负责决策,而不是IT部门。一个规范的信息安全管理体系必须明确指出,组织机构董事会和管理层应当负责相关信息安全管理体系的决策,同时,这个体系也应当能够反映这种决策,并且在运行过程中能够提供证据证明其有效性。
这个项目应该由质量管理经理、总经理或者其他负责机构内部重大职能的执行主管负责主持。
11.文件编写:
我们将根据信息安全管理标准规范来指导并协助贵公司人员对信息安全管理文件的编写过程的讨论,制定出适合贵公司的信息安全管理体系。
12.文件评审及发布:
所有信息安全管理体系文件初稿经讨论、修改完毕后,针对文件中所涉及的部门,我们将指导、组织有关人员对文件的可行性进行讨论;根据讨论结果我们对文件进行一次集中的修订,并交付最高管理者审批。
13.ISMS体系宣贯:
我们对贵公司骨干人员培训,学习信息安全的文件,并进行适当的考核;随着信息安全管理体系的实施,贵公司所有人员自实施之日起必须按文件规定的方法去执行,一开始可能会带来一些不适应,如果大家都对新程序了如指掌,实施的进度和效果无疑会好得多,所以实施前的学习和培训是非常关键的。
14.试运行:
一个初建立的管理体系必须通过实际运行进行不断的完善,才可趋于成熟。运行的过程便是对文件的有效性和可行性的一种检验,也是对现行质量活动的指导。我们会用较多的时间帮助贵公司发现并解决运行中出现的实际问题,帮助贵公司尽快纠正内部质量管理体系审核中发现的不符合项,指导贵公司进行管理评审,并协助贵公司落实管理评审、提出纠正措施。需要时可能要修改文件或因实施力度不够需要高层领导者采取有效的措施。
15.培训内审员
贵公司所建立的信息安全管理体系,要从内审中逐步发现问题,使体系逐步趋于完善。我们将为贵公司培训一批内审员,内审员应具备一定的专业知识,思维敏捷,精明强干,协调能力和社交能力强;我们会按照本公司编制的信息安全管理体系内部审核员教程实施培训,他们便成为企业信息安全管理体系运行推动的中坚力量。
16.组织第一次内审及改进
在信息安全管理体系运行一个月左右,我们会率先帮助企业进行第一次内审,在内审时安排贵公司内审员共同进行,以使他们今后能独立开展内审工作。针对内审发现的不符合项,开具出书面不符合报告,经确认后分发至各部门,并呈交贵公司领导。
17.组织第二次内审及改进
以内审员为主、咨询师为辅再次组织一次内审,而在认证之前,将由贵公司内审小组独立组织一次内审。今后,贵公司应根据实际情况,由内审小组做出内审计划,持续开展内审工作。
18.组织管理评审:
一个体系运行到一个阶段,信息安全管理记录也累积到了一定程度,为确保认证的通过,我们将组织一次认证前的模拟审核。由于我们认证机构都有密切合作关系,所以,我们将根据为贵公司提供认证的机构的风格确定审核重点,在审核中提出的不符合项都应即予纠正,避免影响整个取证的进度。
19.协助提交认证申请:
若贵公司愿意,我们可帮助企业提交认证申请,并负责办理申请、提交信息安全管理文件、帮助确定、安排审核时间;
20.组织现场迎审:
一旦认证时间确定,贵公司所有人员都应紧张投入迎审工作,我们指导贵公司组织一个得力的迎审小组,包括后勤安排礼仪接待.陪审人员;而不符合应急小组也是非常必要的,对于审核员提出的不符合项可以当场纠正的,应急小组一定马上采取措施,在审核结束前纠正证据向审核员呈递,让审核员相信贵公司信息安全管理体系运行的有效性。
21.通过现场认证审核,获证:
现场审核时,我们会加入迎审小组,同贵公司一道迎接审核,为贵公司保驾护航。企业全体人员都应树立信心,面对审核不紧张。对审核员提出的问题记录下来,我们共同研究纠正措施,并力争在最短的时间内纠正。
通过审核后,贵公司将被纳入认证机构的认证名录,被允许使用认证公司的标志制作广告,并接受认证机构的监督审核。
23.标准变更时的培训服务:
贵公司获取证书后,ISO27001标准的版本变更时,我们将免费为贵公司提供新版本标准的培训,并免费帮助修改体系文件直至符合新版标准。
24.提供长期的培训优惠方案:
贵公司获取证书后,当我公司举办对外公开的培训课程时,将邀请贵公司1-2名管理人员和内审员参与培训。