ISMS認(rèn)證咨詢方案

1、咨詢方案一、公司簡(jiǎn)介XXXX有限公司（簡(jiǎn)稱DXC），創(chuàng)建于1996年，是我國(guó)第一批獲得國(guó)家認(rèn)可資格的認(rèn)證機(jī)構(gòu)之一。DXC具備ISO9001（質(zhì)量管理體系）、ISO14001（環(huán)境管理體系）以及GB/T28001（職業(yè)健康安全管理體系）、HACCP（食品安全管理體系）等多項(xiàng)認(rèn)證資格，并可以實(shí)施多體系結(jié)合認(rèn)證，通過一次審核可頒發(fā)多張?bào)w系認(rèn)證證書。根據(jù)國(guó)際認(rèn)可論壇/多邊承認(rèn)協(xié)議（IAF/MLA）的規(guī)定，DXC頒發(fā)的認(rèn)證證書具有國(guó)際互認(rèn)資格。1人力資源豐富DXC現(xiàn)有專職管理人員211人，專職級(jí)別審核員（高級(jí)審核員、審核員）260人，兼職級(jí)別審核員（高級(jí)審核員、審核員）312人，專兼職實(shí)習(xí)審核員、技術(shù)專

2、家310人，共計(jì)1093人。2分支機(jī)構(gòu)完善為方便客戶，及時(shí)提供服務(wù)，DXC在全國(guó)設(shè)立了6個(gè)分公司、10個(gè)辦事處。這16個(gè)機(jī)構(gòu)分布在全國(guó)各直轄市和主要省會(huì)城市，客戶服務(wù)可延伸到任何行政區(qū)域內(nèi)。3質(zhì)量方針 DXC的質(zhì)量方針:敬人、敬業(yè)、敬用戶，依法公正認(rèn)證；重質(zhì)、重效、重科學(xué)，全面履行承諾；積極開拓，持續(xù)改進(jìn)，創(chuàng)建一流的認(rèn)證咨詢機(jī)構(gòu)。4質(zhì)量目標(biāo) DXC的質(zhì)量目標(biāo)：為貫徹實(shí)施本公司的質(zhì)量方針，向社會(huì)提供開放、高效、公正、科學(xué)的認(rèn)證服務(wù)，DXC按認(rèn)可規(guī)范的要求和國(guó)際準(zhǔn)則建立并運(yùn)行有效的質(zhì)量管理體系。DXC的組織結(jié)構(gòu)確保其運(yùn)作的公正性、獨(dú)立性和非歧視性；DXC的管理者確保其組織的運(yùn)作滿足國(guó)家和認(rèn)可機(jī)構(gòu)的

3、相關(guān)要求；DXC的管理人員嚴(yán)格按公司的規(guī)定，開展相應(yīng)的工作；DXC的所有審核人員盡職盡責(zé)、遵紀(jì)守法、維護(hù)國(guó)家認(rèn)證認(rèn)可信譽(yù)，為客戶提供獨(dú)立、公正、增值的認(rèn)證服務(wù)，以贏得客戶的持續(xù)信任。5質(zhì)量承諾 DXC的質(zhì)量承諾：DXC的全體員工以客戶的滿意為關(guān)注焦點(diǎn)，并識(shí)別任何可能的改進(jìn)機(jī)會(huì)，以不斷提高顧客滿意度，以及認(rèn)證審核及其管理的有效性和效率。6服務(wù)宗旨 DXC的服務(wù)宗旨：DXC嚴(yán)格執(zhí)行國(guó)家的法律法規(guī)及有關(guān)規(guī)定，切實(shí)貫徹實(shí)施中華人民共和國(guó)認(rèn)證認(rèn)可條例，堅(jiān)持以國(guó)際慣例為準(zhǔn)則，恪守不以贏利為目的的有償服務(wù)原則，依托遍布全國(guó)的服務(wù)網(wǎng)絡(luò)，立足北京，面向全國(guó)，盡職盡責(zé)地為社會(huì)各界申請(qǐng)認(rèn)證的組織提供高質(zhì)量、增值的認(rèn)

4、證服務(wù)。二 推行ISMS的經(jīng)驗(yàn)DXC是國(guó)內(nèi)較早跟蹤與開展ISMS認(rèn)證項(xiàng)目咨詢的機(jī)構(gòu)，目前通過已經(jīng)完成的ISMS認(rèn)證項(xiàng)目，我們的顧問團(tuán)隊(duì)獲得了寶貴的工作經(jīng)驗(yàn)，這使得我們的咨詢服務(wù)將會(huì)是安全而負(fù)有成效的；同時(shí)，顧問的計(jì)劃工作，過程度量，工具應(yīng)用也將影響組織的工作方法，以此建立和培養(yǎng)組織的人才隊(duì)伍，為日后企業(yè)過程改進(jìn)留下資產(chǎn)和自我優(yōu)化的能力。DXC是業(yè)內(nèi)咨詢過程最成熟的服務(wù)機(jī)構(gòu)。在信息安全標(biāo)準(zhǔn)要求的基礎(chǔ)上，我們特別強(qiáng)調(diào)咨詢過程的可視化和可復(fù)用的總結(jié)，使顧問的咨詢過程上升為DXC的咨詢工作手冊(cè)和相關(guān)指導(dǎo)書，并在項(xiàng)目中嚴(yán)格要求顧問人員遵循規(guī)范來開展工作。DXC在中國(guó)國(guó)內(nèi)已經(jīng)有多家信息安全認(rèn)證咨詢的項(xiàng)目經(jīng)

5、驗(yàn)。一般在6個(gè)月個(gè)月完成組織的信息安全體系建立過程DXC重視后期服務(wù)，信息安全是一項(xiàng)長(zhǎng)期的工作，在評(píng)估通過后的維護(hù)及相關(guān)資訊的培訓(xùn)上，我們可長(zhǎng)期便利的服務(wù)企業(yè)。DXC為組織實(shí)現(xiàn)信息安全與質(zhì)量管理體系的有效結(jié)合：北京新世紀(jì)認(rèn)證有限公司為企業(yè)的高效管理考慮，根據(jù)企業(yè)的實(shí)際情況與改進(jìn)目標(biāo)，在提供信息安全服務(wù)時(shí)盡量考慮企業(yè)已有的管理體系，為企業(yè)實(shí)現(xiàn)信息安全與質(zhì)量管理體系的有效結(jié)合！三 我們已取得的業(yè)績(jī) 四、實(shí)施ISMS目標(biāo)和效益1 目標(biāo)：本項(xiàng)目的目標(biāo)在于通過幫助貴公司識(shí)別信息安全風(fēng)險(xiǎn)，培養(yǎng)全體職工的信息安全意識(shí)，采用合理的管理和技術(shù)實(shí)踐，系統(tǒng)的增強(qiáng)貴公司的信息保護(hù)能力。 同時(shí)，本項(xiàng)目將整合ISO900

6、1體系，建立對(duì)公司內(nèi)部所有成員、客戶、供應(yīng)商等都具有約束力的信息安全防范機(jī)制，并具有持續(xù)持續(xù)改進(jìn)的能力，確保不斷提升內(nèi)部信息安全管理水平和不斷提高服務(wù)質(zhì)量。2 內(nèi)部效益 通過本項(xiàng)目的實(shí)施，貴公司將獲得以下內(nèi)部收益： l 明晰信息安全對(duì)公司戰(zhàn)略目標(biāo)的重要意義，完善現(xiàn)有管理環(huán)節(jié)和資源配置，減少漏洞；l 通過對(duì)流程和權(quán)責(zé)的定義， 監(jiān)控信息安全管理流程、 進(jìn)行信息安全績(jī)效評(píng)價(jià)， 提高流程執(zhí)行效率； l 改進(jìn)個(gè)環(huán)節(jié)的管理，提高風(fēng)險(xiǎn)預(yù)防能力； l 提高全體員工的安全風(fēng)險(xiǎn)防范意識(shí)，學(xué)會(huì)風(fēng)險(xiǎn)管理方法； l 將管理體系（ISO9000、ISO27000、CMM）和業(yè)務(wù)流程整合； l 建立一整套行之有效的持續(xù)改善

7、機(jī)制。l 改善質(zhì)量，提高生產(chǎn)率，降低成本，增加投資回報(bào)率五 咨詢團(tuán)隊(duì)服務(wù)模式1 咨詢理念 咨詢顧問組將整體規(guī)劃，同時(shí)遵循“計(jì)劃-實(shí)施-檢查-改進(jìn)（Plan-Do-Check-Action） ”的管理模式，輔導(dǎo)并推動(dòng)企業(yè)的ISMS的實(shí)施，持續(xù)改善實(shí)施過程中所發(fā)現(xiàn)的缺失，以追求并確保達(dá)成本項(xiàng)目的目標(biāo)。2 服務(wù)團(tuán)隊(duì)結(jié)構(gòu)l 由從事多年IT業(yè)認(rèn)證審核的老師組成本項(xiàng)目的專家組l 由太原辦事處負(fù)責(zé)人承擔(dān)商務(wù)溝通和客戶意見反饋的責(zé)任，責(zé)任人：李老師l 由咨詢師負(fù)責(zé)現(xiàn)場(chǎng)服務(wù)、培訓(xùn)和輔導(dǎo)活動(dòng)，責(zé)任人：胡老師、于老師、智老師。根據(jù)企業(yè)的要求和咨詢的不同階段需要，委派適宜的老師到到企業(yè)現(xiàn)場(chǎng)開展咨詢和指導(dǎo)工作，滿足企業(yè)

8、要求。l 通過以上體制確保服務(wù)的質(zhì)量。在發(fā)生服務(wù)質(zhì)量問題時(shí)由商務(wù)人員和客戶直接解決，發(fā)生重大的服務(wù)質(zhì)量問題時(shí)可以更換咨詢師。3 服務(wù)模式l 咨詢師首先進(jìn)行公司現(xiàn)有業(yè)務(wù)戰(zhàn)略、組織、資源的理解，進(jìn)行信息安全管理范圍的確認(rèn)l 針對(duì)現(xiàn)狀進(jìn)行認(rèn)識(shí)上的風(fēng)險(xiǎn)評(píng)估 l 咨詢組提供整體性框架建議，經(jīng)雙方修正后據(jù)此作為實(shí)施的基本結(jié)構(gòu)，進(jìn)行詳細(xì)工作計(jì)劃及工作任務(wù)分解； l 重要關(guān)鍵點(diǎn)均先進(jìn)行培訓(xùn)以利于組織ISMS建立的符合性；l 針對(duì)ISMS范圍內(nèi)的各環(huán)節(jié)、流程進(jìn)行詳細(xì)的信息安全風(fēng)險(xiǎn)識(shí)別、評(píng)估l 根據(jù)評(píng)估結(jié)果制定信息安全管理目標(biāo)、指標(biāo) l 組織ISMS文件的撰寫，撰寫前先行共同討論撰寫大綱及關(guān)鍵點(diǎn)以利于可操作性；

9、l 指導(dǎo)撰寫組織ISMS文件。 l 雙方參與共同討論ISMS文件的可行性，并進(jìn)行審查； l 進(jìn)行ISMS試運(yùn)行，不斷優(yōu)化管理過程； l 協(xié)助通過ISMS認(rèn)證。 六、咨詢服務(wù)過程的概述1 戶的需求基線項(xiàng)目目標(biāo)： 實(shí)際提升內(nèi)部信息安全管理能力，通過ISMS認(rèn)證；項(xiàng)目周期： 6個(gè)月；實(shí)施范圍： 貴公司信息安全管理所涉及的所有部門現(xiàn)場(chǎng)服務(wù)： 需要咨詢師和審核員現(xiàn)場(chǎng)服務(wù)。2 范圍本方案的范圍涉及：1) ISMS標(biāo)準(zhǔn)知識(shí)專項(xiàng)培訓(xùn)、安全評(píng)估方法等技術(shù)培訓(xùn)；2) ISMS的建立；3) ISMS具體實(shí)施時(shí)的咨詢、輔導(dǎo)和培訓(xùn)；4) ISMS認(rèn)證。此方案描述了我們提供給客戶的各種培訓(xùn)、咨詢和評(píng)估服務(wù)，該服務(wù)的目的是

10、幫助客戶完成以下目標(biāo)：l 通過識(shí)別客戶現(xiàn)行信息安全管理風(fēng)險(xiǎn)，確定信息安全管理工作的內(nèi)容、重點(diǎn)和優(yōu)先級(jí)；l 為實(shí)現(xiàn)信息安全建立適宜的組織機(jī)構(gòu)，便于日后長(zhǎng)期的持續(xù)改進(jìn)；l 建立信息安全運(yùn)作機(jī)制。l 建立信息安全文化，建立組織針對(duì)信息安全的過程改進(jìn)能力，建立持續(xù)改進(jìn)機(jī)制，培養(yǎng)全員的信息安全風(fēng)險(xiǎn)意識(shí)。l 提高企業(yè)社會(huì)責(zé)任能力。3 服務(wù)的目標(biāo)針對(duì)客戶提出的總體需求，DXC和客戶方將在本項(xiàng)目中達(dá)成以下共識(shí)，并將其作為雙方下步工作的基礎(chǔ)和依據(jù)：1) 遵循ISMS體系標(biāo)準(zhǔn)，結(jié)合客戶的發(fā)展戰(zhàn)略和目標(biāo)，建立完善的、有效的ISMS，指導(dǎo)客戶方對(duì)信息安全管理和制度化、文檔化、標(biāo)準(zhǔn)化。2) 2011年1月左右客戶方信息

11、安全管理能力達(dá)到并通過ISMS認(rèn)證。3）建立文檔管理制度，管理好所有有關(guān)信息安全的的資產(chǎn)和文檔；4）提升信息安全管理和控制水平，降低信息安全風(fēng)險(xiǎn)，建立信息風(fēng)險(xiǎn)管理體制；5）提高信息安全管理能力4 服務(wù)的實(shí)施流程 1）服務(wù)的內(nèi)容我們向客戶提供以下服務(wù)： l ISMS管理標(biāo)準(zhǔn)培訓(xùn)、l 信息安全風(fēng)險(xiǎn)識(shí)別方法等培訓(xùn)；l 診斷現(xiàn)行信息安全管理狀態(tài)，識(shí)別風(fēng)險(xiǎn)；l ISMS建立全過程咨詢；l 執(zhí)行預(yù)審核；l 執(zhí)行正式審核。 2）服務(wù)實(shí)施流程現(xiàn)場(chǎng)調(diào)研風(fēng)險(xiǎn)預(yù)評(píng)估制定實(shí)施計(jì)劃標(biāo)準(zhǔn)及評(píng)估方法等培訓(xùn)確定信息安全推進(jìn)小組及組織機(jī)構(gòu)組織機(jī)構(gòu)建立ISMS文件執(zhí)行ISMS預(yù)審核正式審核監(jiān)督和檢查5 工作內(nèi)容 重點(diǎn)工作 ：整個(gè)

12、咨詢輔導(dǎo)過程分為幾個(gè)階段，各階段的重點(diǎn)工作和任務(wù)說明如下： l 前期調(diào)研階段：前期調(diào)研的主要工作是對(duì)公司信息安全現(xiàn)狀進(jìn)行了解和分析，確定項(xiàng)目實(shí)施范圍和詳細(xì)計(jì)劃，并對(duì)現(xiàn)有的管理結(jié)構(gòu)進(jìn)行梳理，評(píng)估目前的信息安全管理能力和需求； l 信息安全風(fēng)險(xiǎn)識(shí)別及評(píng)估階段：公司信息管理所涉及的各部門、環(huán)節(jié)全部參與到安全風(fēng)險(xiǎn)識(shí)別過程當(dāng)中來，要求大家盡可能的去識(shí)別風(fēng)險(xiǎn)，無論大小都可以列入風(fēng)險(xiǎn)目錄，再通過風(fēng)險(xiǎn)評(píng)估確定風(fēng)險(xiǎn)等級(jí)。 l 組織體系文件建設(shè)階段：整體規(guī)劃管理體系文件框架；按照標(biāo)準(zhǔn)要求對(duì)公司現(xiàn)有信息管理過程進(jìn)行梳理，建立組織的信息安全管理過程，本階段需要推進(jìn)小組成員的全力配合。l 推廣和試運(yùn)行階段：在體系文件建

13、立完成后，通過培訓(xùn)和宣傳方式在公司內(nèi)部推廣ISMS，明確管理要求，對(duì)試運(yùn)行階段的中發(fā)現(xiàn)的問題進(jìn)行過程改進(jìn)，提高體系文件的的 有效性和可操作性。l 預(yù)審核階段：通過預(yù)審核后，組織應(yīng)對(duì)審核過程發(fā)現(xiàn)的問題實(shí)施過程改進(jìn)，為順利通過正式審核做好所有準(zhǔn)備。 l 持續(xù)改進(jìn)階段：審核通過后，咨詢小組會(huì)對(duì)對(duì)貴公司體系實(shí)施情況進(jìn)行跟蹤，幫助企業(yè)持續(xù)改進(jìn)。6服務(wù)和實(shí)施的具體步驟1） 項(xiàng)目計(jì)劃啟動(dòng)和完成時(shí)間計(jì)劃預(yù)訂開始時(shí)間：XXXXXXX計(jì)劃預(yù)訂完成時(shí)間：XXXXXXX） 本建議書中假設(shè)項(xiàng)目從 8月1日為時(shí)間起點(diǎn)。在項(xiàng)目具體實(shí)施階段，將根據(jù)具體的時(shí)間進(jìn)行相應(yīng)的調(diào)整。詳見下圖：信息安全管理體系咨詢安排體系策劃階段編號(hào)工

14、作任務(wù)WBS分解咨詢公司投入甲方參加人員說明計(jì)劃投入（天）工期咨詢師開始時(shí)間1對(duì)公司進(jìn)行信息管理現(xiàn)狀調(diào)查，了解公司現(xiàn)有經(jīng)營(yíng)戰(zhàn)略、規(guī)劃、組織、資源的理解，確定目標(biāo)，初步確定過程改進(jìn)的體制，明確過程推進(jìn)核心小組組長(zhǎng)和成員2天于、智10.8.1管理者代表、主管部門負(fù)責(zé)人進(jìn)行信息安全管理制度以及其他管理性文件的收集，包括公司經(jīng)營(yíng)戰(zhàn)略訂定，規(guī)劃方式，相關(guān)單位的權(quán)責(zé)與接口 2明確ISMS所覆蓋的組織內(nèi)部的范圍管理者代表、主管部門負(fù)責(zé)人對(duì)于覆蓋的范圍進(jìn)行確認(rèn)，并規(guī)劃ISMS涉及的組織范圍，以保證體系的系統(tǒng)性3成立ISMS推進(jìn)領(lǐng)導(dǎo)組、推進(jìn)小組最高管理者、管理者代表保證體系的順利貫徹、執(zhí)行4項(xiàng)目啟動(dòng)會(huì)全體員工參

15、加保證體系的順利貫徹、執(zhí)行標(biāo)準(zhǔn)培訓(xùn)及風(fēng)險(xiǎn)評(píng)估階段5ISMS標(biāo)準(zhǔn)及內(nèi)審員培訓(xùn)3天胡2010.8上旬全體員工參加1天，各部門指定的體系負(fù)責(zé)人、內(nèi)審員3天均參加讓參與信息安全管理的人員了解信息安全管理的要求，內(nèi)審員掌握標(biāo)準(zhǔn)及審核知識(shí)，培養(yǎng)體系運(yùn)行骨干6信息安全風(fēng)險(xiǎn)識(shí)別及評(píng)估方法培訓(xùn) 2天胡標(biāo)準(zhǔn)培訓(xùn)后一周左右管理者代表、主管部門全體、各部門指定體系負(fù)責(zé)人建立風(fēng)險(xiǎn)意識(shí)，為全面識(shí)別信息安全風(fēng)險(xiǎn)做準(zhǔn)備7信息安全風(fēng)險(xiǎn)識(shí)別、差距分析10天于、智2010-8 中、下旬管理者代表、主管部門全體、各部門指定體系負(fù)責(zé)人所有涉及到信息管理的部門、人員、流程全部參與，保證盡量無遺漏的識(shí)別出信息安全風(fēng)險(xiǎn)。進(jìn)行漏洞掃描，以便掌

16、握當(dāng)前設(shè)系統(tǒng)的安全狀態(tài)從安全制度建立、安全管理機(jī)構(gòu)、資金保障、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面進(jìn)行差距分析8信息安全風(fēng)險(xiǎn)評(píng)估于、智2010-8 中、下旬管理者代表、主管部門全體、各部門指定體系負(fù)責(zé)人根據(jù)公司信息安全管理目標(biāo)要求對(duì)風(fēng)險(xiǎn)等級(jí)進(jìn)行劃分，以便針對(duì)不同級(jí)別風(fēng)險(xiǎn)，實(shí)施相應(yīng)的控制手段，形成資產(chǎn)清單、重要資產(chǎn)清單，風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)建議殘余風(fēng)險(xiǎn)報(bào)告文件編寫階段9建立ISMS文件框架于、智2010.9.1-9.30管理者代表、主管部門全體或文件編寫組根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果以及公司的組織架構(gòu)，確定體系文件的框架10ISMS文件的編寫13天智主管部門或文件編寫組可以采取兩種不同的方式完成體

17、系文件的編寫，其一為統(tǒng)一確定編寫小組成員集中編寫，也可按照職能分配到各個(gè)部門進(jìn)行編寫，建議集中編寫更適合該體系。ISMS文件包括手冊(cè)、信息安全風(fēng)險(xiǎn)評(píng)估程序、信息安全控制措施測(cè)量程序、計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)程序、物理和環(huán)境安全管理程序、計(jì)算機(jī)病毒安全防護(hù)程序、訪問控制程序、信息系統(tǒng)備份和恢復(fù)管理程序、文件控制程序、記錄控制程序、內(nèi)部審核程序、管理評(píng)審程序等，以及信息安全組織、信息安全職責(zé)要求、服務(wù)器配置和安全管理規(guī)定、移動(dòng)存儲(chǔ)介質(zhì)安全管理規(guī)定、資產(chǎn)安全管理規(guī)定、網(wǎng)絡(luò)設(shè)備安全管理規(guī)定、信息分級(jí)保護(hù)管理規(guī)定等作業(yè)文件，有效文件共70分左右，作業(yè)表單約90份左右，當(dāng)然這只是經(jīng)驗(yàn)值，具體操作要按貴公司的實(shí)際

18、情況進(jìn)行調(diào)整。11文件審查2天于管理者代表咨詢師負(fù)責(zé)審查對(duì)標(biāo)準(zhǔn)的符合性，公司相關(guān)人員負(fù)責(zé)審查可操作性12文件修訂及發(fā)布管理者代表、主管部門或文件編寫組保證文件的可執(zhí)行性體系試運(yùn)行階段13ISMS實(shí)施宣貫培訓(xùn)1天于2010.10.1-2011.1.1管理者代表、主管部門全體、各部門指定體系負(fù)責(zé)人讓所有涉及的人員了解自身的信息安全管理職責(zé)、控制要求，保證體系的貫徹、執(zhí)行14制定ISMS體系試運(yùn)行計(jì)劃1天于、智管理者代表包括各部門運(yùn)行成果要求、內(nèi)審計(jì)劃、管理評(píng)審計(jì)劃15內(nèi)審3天于、智內(nèi)審員需要進(jìn)行1-2次內(nèi)部體系運(yùn)行的審核，發(fā)現(xiàn)體系運(yùn)行當(dāng)中的問題，采取糾正、預(yù)防措施加以整改，保證體系運(yùn)行的符合性以及

19、有效性16管理評(píng)審1天于、智領(lǐng)導(dǎo)層評(píng)估ISMS運(yùn)行的成果，需要解決的重點(diǎn)問題，決定是否可以提請(qǐng)外審改善計(jì)劃17制訂改善計(jì)劃1天于、智20111上旬管理者代表咨詢組根據(jù)體系的運(yùn)行情況，做好體系改善計(jì)劃，通過體系改進(jìn)，可以幫助組織提升對(duì)體系的認(rèn)識(shí)，以便順利接受正式審核18提交體系運(yùn)行總體情況報(bào)告于、智管理者代表提出體系運(yùn)行總體情況匯報(bào)。19采取糾正措施2天智相關(guān)部門不斷的過程改進(jìn)要求正式審核階段20接受認(rèn)證結(jié)構(gòu)正式評(píng)估計(jì)劃認(rèn)證機(jī)構(gòu)2011.1中下旬領(lǐng)導(dǎo)層、全體部門正式審核工作按照國(guó)家規(guī)定的審核人日管理要求實(shí)施，要標(biāo)準(zhǔn)的實(shí)施流程以及標(biāo)準(zhǔn)的工作文檔，審核結(jié)論可以為：通過、不通過或延期通過三種，我們保證

20、組織在我們雙方的積極配合和努力下順利通過認(rèn)證審核，獲得認(rèn)證證書。21按照正式審核計(jì)劃進(jìn)行相應(yīng)的備審工作22正式現(xiàn)場(chǎng)審核23審核問題糾正24頒發(fā)ISMS認(rèn)證證書培訓(xùn)分三個(gè)階段：1、信息安全管理體系標(biāo)準(zhǔn)及內(nèi)審員培訓(xùn) 2、信息安全風(fēng)險(xiǎn)識(shí)別及評(píng)估培訓(xùn) 3、體系運(yùn)行宣貫培訓(xùn)七、 客戶組織保證 1 客戶方應(yīng)確定ISMS實(shí)施項(xiàng)目組的結(jié)構(gòu)。DXC依照客戶方實(shí)施的范圍，提出如下建議：l 企業(yè)授權(quán)一名高級(jí)管理者負(fù)責(zé)組織實(shí)施ISMS；參加人員：主管副總經(jīng)理、質(zhì)量保證部經(jīng)理、管理團(tuán)隊(duì)中之其他成員l 企業(yè)建立一個(gè)公司級(jí)的ISMS推進(jìn)小組，負(fù)責(zé)研究、實(shí)施、推動(dòng)ISMS，并將確定基于ISMS的改進(jìn)體系； 參加人員：主管副總 、質(zhì)量保證部經(jīng)理及全體員工、各部門付經(jīng)理及1-2名員工。l 指派1名聯(lián)系人員，