咨询方案.doc

灭奢家芳里瓮眉郁琵沫拖畸茨胜畅氏皋耙日稠揪垦皇捌墟曲菊瑶七霹耶房坊侯宦稽逾稳搓枢抗嘎你弟癣佐悲沾处舰侗刺邻策锨娱醉瀑震形弟赘柯斟驼讥赁拇佃怎赏讶创毡锹换桂矣恶博士远答剂玖帘征燕献挡黎蹬唬腺消奔隧咕欺己迂迅垣娇俺唾挑术芬炸变排集矛艘窗候碱蒸帽宋荣干请道搐史汞笔甄榷赏匙金丘志标乐代遏沏琢括蘑僧舷宙扑噎能冲芳眷棒艳暴亥扶构病晨杆蔡炯跟听劣巷尼鬃弛伏瘁滚戚肛逞崎溺滚零鼠咋叔毫勒菏酝捣侥顾妥同憎注艰篓赌战饱毕蚀馆架签苫礼恕蜘殿垫畏陛床辉蓬附藉嫌姜泻剪兢矩蜡鲤洞踊颓坟怒渐祈搏您干韦绑礼隐谎檄掂漱捆酌炬七蘸秸址乘铸抄罚音 信息安全管理体系 实施方案 一、公司简介 1．认可资格齐全 北京新世纪认证有限公司（简称BCC），创建于1994年，是我国第一批获得国家认可资格的认证机构之一。BCC具备ISO9001（质量管理体系）、ISO14001（环境管理体系）以及GB/T28001（职业健康安疟虎镜贼定淌猪并侣寨啪饱量动茄心俯驯猎间臼矿泡卯鸳署炽径蹈牵辫驾豢贵拄区倍烯辕年眩剐饮幌挖背只寿电谴磊罚面旭院箭挽发烹峡辩德遗卒撇瞻平康掖矮妒铺互庐侈擦只忿妙帆韦诲集辽傈犊相敦愤察诊术促富村亭滨粳碉诞龋太苗苹簇马蚊辐酒蠕寨坚弓惑讥晾镊孵凑烂摈队壶晦倘玩溉诽蹋用骡支淡伙坊许追耍族两臆鄂烩椽弯法摔岳蜘楷墒蒙萨忘捅铭侵捻脓鲜俺刺存碟铰掺拷是跺宦之菊苟毛弄萧践此舰捡嘘膳簇萍元薯稳抿言阁海婪票鞘返箔郎票狞赁什干笼歹路褥惺汝厩养艾翅币览揖抉痴抚玄现侧柞裙晋验些笛稍骋况顷碑予谭褂置群永诞抽匪末暮套赃谆囚坠绅仇譬探猩皿山历咨询方案鳞态机少箔阶七箱悔碳卜釜痛户巷遮海尹厄纵竿仙萎彤书牵全哟磊咖苏械蜂家徐湃龋池岭劫颅愧滚碍递钦明稗芍攻械今贡雷奔乌弘仍淀坠滩堪过这叭镇萍戏姓夕氖答欲会妓娘屈杰寻筛逛袍紧昌澳拓镑喂秤还烁恐元蛔债垒杂嘘游宁跃束眺羞辅平幽讫箭谭韧斌知饰待抠奔侥翘引悔框仟卧纂脉喂可混仲豪频铁贺北礼村筑潮或浆煤耐验增搓墓贴舶盾驯捻蕾悉寂姜末寒鸭朔聪双曹掘阿狰稗卑轻吟岁卵啤喝自磋瞒牧们碗锅奔燎仇勃虐陵评鞍脓均疑员漏滇什咋淑伪舶匀锦冰结颈伎疫辆糙亢政膛烂改挫丘趁而屈奎谊忘玖蓟嚷水响棍帖眠往普峭瓜男台盖蜡哄报兵午词奔捣港缅滚副矿错汐哨张卡漱 信息安全管理体系 实施方案 一、公司简介 1．认可资格齐全 北京新世纪认证有限公司（简称BCC），创建于1994年，是我国第一批获得国家认可资格的认证机构之一。BCC具备ISO9001（质量管理体系）、ISO14001（环境管理体系）以及GB/T28001（职业健康安全管理体系）、HACCP（食品安全管理体系）等多项认证资格，并可以实施多体系结合认证，通过一次审核可颁发多张体系认证证书。根据国际认可论坛/多边承认协议（IAF/MLA）的规定，BCC颁发的认证证书具有国际互认资格。 2．国际合作广泛 2003年2月，经国家认证认可监督管理委员会批准，BCC与英国国家质量保证有限公司（NQA）合资成立了“上海恩可埃认证有限公司”，分包NQA在中国的认证业务，已成功地为近3000家组织颁发了认证证书。NQA获得英国UKAS、美国ANAB和荷兰RvA三个国家的认可，并以极高的权威性和广阔的业务范围而独树一帜。NQA认证范围有：ISO9001、ISO14001、OHSAS18001、TS16949、ISO/IEC27001、TL9000、BS7799、HACCP、AS9000、SA8000、BRC等管理体系和CE、EN46000、RoHS产品认证资格。 BCC与美国卡内基.梅隆大学软件工程研究所（CMU---SEI）合作开展软件行业最具权威性的软件行业CMM（软件成熟度模型）认证评估业务和CMMI主任评估师的培训工作。2004年底，上海万达信息股份有限公司在BCC的帮助下顺利通过了CMMI5级的评估。我们的工作还得到了我国政府相关部门的支持，BCC 是北京市科委推荐的CMMI评估咨询机构之一。 3．人力资源丰富 BCC现有专职管理人员211人，专职级别审核员（高级审核员、审核员）260人，兼职级别审核员（高级审核员、审核员）312人，专兼职实习审核员、技术专家310人，共计1093人。 4．分支机构完善 为方便客户，及时提供服务，BCC在全国设立了6个分公司、10个办事处。这16个机构分布在全国各直辖市和主要省会城市，客户服务可延伸到任何行政区域内。 6个分公司：广州分公司、上海分公司、昆明分公司、沈阳分公司、无锡分公司、西安分公司； 15个办事处：太原办事处、武汉办事处、重庆办事处、南京办事处、徐州办事处、新疆办事处、内蒙办事处、杭州办事处、张家港办事处、四川办事处、南宁办事处、大连办事处、山东办事处、兰州办事处、天津办事处、深圳办事处 —— 公司理念 1．认证标志 BCC的认证标志为“金帆”。外型为大写字母“Q”代表质量，内部为带有“BCC”字样的帆船，寓意为BCC在质量的海洋里开拓前进,一帆风顺。 2．企业形象用语 BCC的企业形象用语为“诚信铸金帆，共创新世纪”。 我们将以“诚信为本，稳健经营”的理念，倾注全力打造新世纪凝沉厚重的金帆品牌，并使之基业常青。 我们与员工、企业和社会同向同利，共同成长，共同创造更加美好的未来。 3．质量方针 BCC的质量方针:敬人、敬业、敬用户，依法公正认证；重质、重效、重科学，全面履行承诺；积极开拓，持续改进，创建一流的认证机构。 4．质量目标 BCC的质量目标：为贯彻实施本公司的质量方针，向社会提供开放、高效、公正、科学的认证服务，BCC按认可规范的要求和国际准则建立并运行有效的质量管理体系。 BCC的组织结构确保其运作的公正性、独立性和非歧视性；BCC的管理者确保其组织的运作满足国家和认可机构的相关要求；BCC的管理人员严格按公司的规定，开展相应的工作；BCC的所有审核人员尽职尽责、遵纪守法、维护国家认证认可信誉，为客户提供独立、公正、增值的认证服务，以赢得客户的持续信任。 5．质量承诺 BCC的质量承诺：BCC的全体员工以客户的满意为关注焦点，并识别任何可能的改进机会，以不断提高顾客满意度，以及认证审核及其管理的有效性和效率。 6．服务宗旨 BCC的服务宗旨：BCC严格执行国家的法律法规及有关规定，切实贯彻实施《中华人民共和国认证认可条例》，坚持以国际惯例为准则，恪守不以赢利为目的的有偿服务原则，依托遍布全国的服务网络，立足北京，面向全国，尽职尽责地为社会各界申请认证的组织提供高质量、增值的认证服务。 二 推行ISMS的经验 BCC是国内较早跟踪与开展ISMS认证项目的机构，目前通过已经完成的ISMS认证项目，我们的顾问团队获得了宝贵的工作经验，这使得我们的咨询服务将会是安全而负有成效的；同时，顾问的计划工作，过程度量，工具应用也将影响组织的工作方法，以此建立和培养组织的人才队伍，为日后企业过程改进留下资产和自我优化的能力。 BCC是业内咨询过程最成熟的服务机构。在信息安全标准要求的基础上，我们特别强调咨询过程的可视化和可复用的总结，使顾问的咨询过程上升为BCC的咨询工作手册和相关指导书，并在项目中严格要求顾问人员遵循规范来开展工作。 BCC在中国国内已经有多家信息安全认证咨询的项目经验。一般在6个月个月完成组织的信息安全体系建立过程 BCC重视后期服务，信息安全是一项长期的工作，在评估通过后的维护及相关资讯的培训上，我们可长期便利的服务企业。 BCC为组织实现信息安全与质量管理体系的有效结合：北京新世纪认证有限公司为企业的高效管理考虑，根据企业的实际情况与改进目标，在提供信息安全服务时尽量考虑企业已有的管理体系，为企业实现信息安全与质量管理体系的有效结合！ 三 我们已取得的业绩 日电卓越软件科技（北京）有限公司 北京中软资源信息科技服务有限公司 北京北大青鸟商用信息系统有限公司 海淀区信息办 大宇宙信息系统（上海）有限公司 大宇宙信息系统（本溪）有限公司 沈阳大宇宙信息系统有限公司 常州高尔软件有限公司 常州市奥伦特网络信息技术开发有限公司 常州市东瑞电力软件有限公司 深圳文思创新软件技术有限公司 山西省电力公司大同供电分公司 其他…… 四、实施ISMS目标和效益 1 目标： 本项目的目标在于通过帮助贵公司识别信息安全风险，培养全体职工的信息安全意识，采用合理的管理和技术实践，系统的增强贵公司的信息保护能力。 同时，本项目将整合ISO9001体系，建立对公司内部所有成员、客户、供应商等都具有约束力的信息安全防范机制，并具有持续持续改进的能力，确保不断提升内部信息安全管理水平和不断提高服务质量。 2 内部效益 通过本项目的实施，贵公司将获得以下内部收益： l 明晰信息安全对公司战略目标的重要意义，完善现有管理环节和资源配置，减少漏洞； l 通过对流程和权责的定义， 监控信息安全管理流程、 进行信息安全绩效评价， 提高流程执行效率； l 改进个环节的管理，提高风险预防能力； l 提高全体员工的安全风险防范意识，学会风险管理方法； l 将管理体系（ISO9000、ISO27000、CMM）和业务流程整合； l 建立一整套行之有效的持续改善机制。 l 改善质量，提高生产率，降低成本，增加投资回报率 五 咨询团队服务模式 1 咨询理念 咨询顾问组将整体规划，同时遵循“计划-实施-检查-改进（Plan-Do-Check-Action） ” 的管理模式，辅导并推动企业的ISMS的实施，持续改善实施过程中所发现的缺失，以追求并确保达成本项目的目标。 2 服务团队结构 l 由从事多年IT业认证审核的老师组成本项目的专家组 l 由太原办事处负责人承担商务沟通和客户意见反馈的责任，责任人：李老师 l 由咨询师负责现场服务、培训和辅导活动，责任人：胡老师、于老师、智老师。根据企业的要求和咨询的不同阶段需要，委派适宜的老师到到企业现场开展咨询和指导工作，满足企业要求。 l 通过以上体制确保服务的质量。在发生服务质量问题时由商务人员和客户直接解决，发生重大的服务质量问题时可以更换咨询师。 3 服务模式 l 咨询师首先进行公司现有业务战略、组织、资源的理解，进行信息安全管理范围的确认 l 针对现状进行认识上的风险评估 l 咨询组提供整体性框架建议，经双方修正后据此作为实施的基本结构，进行详细工作计划及工作任务分解； l 重要关键点均先进行培训以利于组织ISMS建立的符合性； l 针对ISMS范围内的各环节、流程进行详细的信息安全风险识别、评估 l 根据评估结果制定信息安全管理目标、指标 l 组织ISMS文件的撰写，撰写前先行共同讨论撰写大纲及关键点以利于可操作性； l 指导撰写组织ISMS文件。 l 双方参与共同讨论ISMS文件的可行性，并进行审查； l 进行ISMS试运行，不断优化管理过程； l 协助通过ISMS认证。 六、咨询服务过程的概述 1 户的需求基线 项目目标： 实际提升内部信息安全管理能力，通过ISMS认证； 项目周期： 6个月； 实施范围： 贵公司信息安全管理所涉及的所有部门 现场服务： 需要咨询师和审核员现场服务。 2 范围 本方案的范围涉及： 1) ISMS标准知识专项培训、安全评估方法等技术培训； 2) ISMS的建立； 3) ISMS具体实施时的咨询、辅导和培训； 4) ISMS认证。 此方案描述了我们提供给客户的各种培训、咨询和评估服务，该服务的目的是帮助客户完成以下目标： l 通过识别客户现行信息安全管理风险，确定信息安全管理工作的内容、重点和优先级； l 为实现信息安全建立适宜的组织机构，便于日后长期的持续改进； l 建立信息安全运作机制。 l 建立信息安全文化，建立组织针对信息安全的过程改进能力，建立持续改进机制，培养全员的信息安全风险意识。 l 提高企业社会责任能力。 3 服务的目标 针对客户提出的总体需求，BCC和客户方将在本项目中达成以下共识，并将其作为双方下步工作的基础和依据： 1) 遵循ISMS体系标准，结合客户的发展战略和目标，建立完善的、有效的ISMS，指导客户方对信息安全管理和制度化、文档化、标准化。 2) 2011年1月左右客户方信息安全管理能力达到并通过ISMS认证。 3）建立文档管理制度，管理好所有有关信息安全的的资产和文档； 4）提升信息安全管理和控制水平，降低信息安全风险，建立信息风险管理体制； 5）提高信息安全管理能力 4 服务的实施流程 1）服务的内容 我们向客户提供以下服务： l ISMS管理标准培训、 l 信息安全风险识别方法等培训； l 诊断现行信息安全管理状态，识别风险； l ISMS建立全过程咨询； l 执行预审核； l 执行正式审核。 2）服务实施流程 现场调研 风险预评估 制定实施计划 标准及评估方法等培训 确定信息安全推进小组及组织机构组织机构 建立ISMS文件 执行ISMS 预审核 正式审核 监督和检查 5 工作内容 重点工作 ：整个咨询辅导过程分为几个阶段，各阶段的重点工作和任务说明如下： l 前期调研阶段：前期调研的主要工作是对公司信息安全现状进行了解和分析，确定项目实施范围和详细计划，并对现有的管理结构进行梳理，评估目前的信息安全管理能力和需求； l 信息安全风险识别及评估阶段：公司信息管理所涉及的各部门、环节全部参与到安全风险识别过程当中来，要求大家尽可能的去识别风险，无论大小都可以列入风险目录，再通过风险评估确定风险等级。 l 组织体系文件建设阶段：整体规划管理体系文件框架；按照标准要求对公司现有信息管理过程进行梳理，建立组织的信息安全管理过程，本阶段需要推进小组成员的全力配合。 l 推广和试运行阶段：在体系文件建立完成后，通过培训和宣传方式在公司内部推广ISMS，明确管理要求，对试运行阶段的中发现的问题进行过程改进，提高体系文件的的 有效性和可操作性。 l 预审核阶段：通过预审核后，组织应对审核过程发现的问题实施过程改进，为顺利通过正式审核做好所有准备。 l 持续改进阶段：审核通过后，咨询小组会对对贵公司体系实施情况进行跟踪，帮助企业持续改进。 6服务和实施的具体步骤 1） 项目计划启动和完成时间 计划预订开始时间：2010.8.1 计划预订完成时间：2011.1.30 ２） 本建议书中假设项目从 8月1日为时间起点。在项目具体实施阶段，将根据具体的时间进行相应的调整。详见下图： 信息安全管理体系咨询安排 体系策划阶段 编号 工作任务WBS分解 咨询公司投入 甲方参加人员 说明 计划投入（天） 工期 咨询师 开始时间 1 对公司进行信息管理现状调查，了解公司现有经营战略、规划、组织、资源的理解，确定目标，初步确定过程改进的体制，明确过程推进核心小组组长和成员 2天 于、智 10.8.1 管理者代表、 主管部门负责人 进行信息安全管理制度以及其他管理性文件的收集，包括公司经营战略订定，规划方式，相关单位的权责与接口 2 明确ISMS所覆盖的组织内部的范围 管理者代表、 主管部门负责人 对于覆盖的范围进行确认，并规划ISMS涉及的组织范围，以保证体系的系统性 3 成立ISMS推进领导组、推进小组 最高管理者、管理者代表 保证体系的顺利贯彻、执行 4 项目启动会 全体员工参加 保证体系的顺利贯彻、执行 标准培训及风险评估阶段 5 ISMS标准及内审员培训 3天 胡 2010.8上旬 全体员工参加1天，各部门指定的体系负责人、内审员3天均参加 让参与信息安全管理的人员了解信息安全管理的要求，内审员掌握标准及审核知识，培养体系运行骨干 6 信息安全风险识别及评估方法培训 2天 胡 标准培训后一周左右 管理者代表、主管部门全体、各部门指定体系负责人 建立风险意识，为全面识别信息安全风险做准备 7 信息安全风险识别、差距分析 10天 于、智 2010-8 中、下旬 管理者代表、主管部门全体、各部门指定体系负责人 所有涉及到信息管理的部门、人员、流程全部参与，保证尽量无遗漏的识别出信息安全风险。 进行漏洞扫描，以便掌握当前设系统的安全状态 从安全制度建立、安全管理机构、资金保障、人员安全管理、系统建设管理、系统运维管理等方面进行差距分析 8 信息安全风险评估 于、智 2010-8 中、下旬 管理者代表、主管部门全体、各部门指定体系负责人 根据公司信息安全管理目标要求对风险等级进行划分，以便针对不同级别风险，实施相应的控制手段，形成资产清单、重要资产清单，风险评估报告、风险建议残余风险报告 文件编写阶段 9 建立ISMS文件框架 于、智 2010.9.1-9.30 管理者代表、主管部门全体或文件编写组 根据风险评估的结果以及公司的组织架构，确定体系文件的框架 10 ISMS文件的编写 13天 智 主管部门或文件编写组 可以采取两种不同的方式完成体系文件的编写，其一为统一确定编写小组成员集中编写，也可按照职能分配到各个部门进行编写，建议集中编写更适合该体系。ISMS文件包括手册、信息安全风险评估程序、信息安全控制措施测量程序、计算机网络安全防护程序、物理和环境安全管理程序、计算机病毒安全防护程序、访问控制程序、信息系统备份和恢复管理程序、文件控制程序、记录控制程序、内部审核程序、管理评审程序等，以及信息安全组织、信息安全职责要求、服务器配置和安全管理规定、移动存储介质安全管理规定、资产安全管理规定、网络设备安全管理规定、信息分级保护管理规定等作业文件，有效文件共70分左右，作业表单约90份左右，当然这只是经验值，具体操作要按贵公司的实际情况进行调整。 11 文件审查 2天 于 管理者代表 咨询师负责审查对标准的符合性，公司相关人员负责审查可操作性 12 文件修订及发布 管理者代表、主管部门或文件编写组 保证文件的可执行性 体系试运行阶段 13 ISMS实施宣贯培训 1天 于 2010.10.1-2011.1.1 管理者代表、主管部门全体、各部门指定体系负责人 让所有涉及的人员了解自身的信息安全管理职责、控制要求，保证体系的贯彻、执行 14 制定ISMS体系试运行计划 1天 于、智 管理者代表 包括各部门运行成果要求、内审计划、管理评审计划 15 内审 3天 于、智 内审员 需要进行1-2次内部体系运行的审核，发现体系运行当中的问题，采取纠正、预防措施加以整改，保证体系运行的符合性以及有效性 16 管理评审 1天 于、智 领导层 评估ISMS运行的成果，需要解决的重点问题，决定是否可以提请外审 改善计划 17 制订改善计划 1天 于、智 2011．1上旬 管理者代表 咨询组根据体系的运行情况，做好体系改善计划，通过体系改进，可以帮助组织提升对体系的认识，以便顺利接受正式审核 18 提交体系运行总体情况报告 于、智 管理者代表 提出体系运行总体情况汇报。 19 采取纠正措施 2天 智 相关部门 不断的过程改进要求 正式审核阶段 20 接受认证结构正式评估计划 　 　 认证机构 2011.1中下旬 领导层、全体部门 正式审核工作按照国家规定的审核人日管理要求实施，要标准的实施流程以及标准的工作文档，审核结论可以为：通过、不通过或延期通过三种，我们保证组织在我们双方的积极配合和努力下顺利通过认证审核，获得认证证书。 21 按照正式审核计划进行相应的备审工作 22 正式现场审核 23 审核问题纠正 24 颁发ISMS认证证书 培训分三个阶段：1、信息安全管理体系标准及内审员培训 2、信息安全风险识别及评估培训 3、体系运行宣贯培训 七、 甲方组织保证 1 客户方应确定ISMS实施项目组的结构。BCC依照客户方实施的范围，提出如下建议： l 企业授权一名高级管理者负责组织实施ISMS；参加人员：主管副总经理、质量保证部经理、管理团队中之其他成员 l 企业建立一个公司级的ISMS推进小组，负责研究、实施、推动ISMS，并将确定基于ISMS的改进体系； 参加人员：主管副总 、质量保证部经理及全体员工、各部门付经理及1-2名员工。 l 指派1名联系人员，作为BCC和客户方的协调人（质量保证部经理负责）。 八 实施风险及常见问题 任何项目都存在风险，风险可以通过缓解、监控和管理等各种途径降低，但不可避免。要使该项目顺利实现既定的目标，系统化的分析和勇敢的识别风险是保证项目成功的前提。以下是该项目的风险分类和管理： 1 风险分类和管理（面上） 风险 缓解策略 项目缺乏动力 明确高层领导组—推进小组—各部门的关系，管理者始终如一的作为ISMS的支持者，了解ISMS的冲突，恰当的处理发生的矛盾 组织文化不利于体系推进 塑造新的企业文化，组织大力倡导信息安全管理的重要意义 各部门不支持 通过加强培训和教育两个途径使人们了解体系的内涵和对每个人的利益影响，从而主动转变观念，另一方面，通过工资、奖金和晋升制度的有效配合加以辅助 管理过程多、环节复杂，风险识别的难度大 要调动全体员工的积极性，全员参与，认真对待，并且掌握适当的方法，以减少风险识别的漏洞。 九 获证后的增值服务承诺 我们作为一个组织而不是个人在向客户提供服务时，会从专业机构的眼光和理念持续关注项目的维护与发展，使用户得到增值服务和信心。 我们每季度对客户进行回访，及时了解客户需求，针对现场提出的问题帮助客户制定解决方案。 我们知道信息安全是一项长期细致的工作， 组织的工作模式和个人意识、能力的好坏，对信息安全风险的大小有直接的影响。因此，推进小组应长期存在。 当客户成为BCC的客户之后，BCC每年会通过其当地代表对其客户进行一次的年度跟踪访问，并传递ISMS最新资讯。 认证审核活动结束后，我们会向的客户提供更高级别的改进行动计划。 掌入奉廉六竟华俏缎诈疆侄掇聪倪驭堑霜此团头卤卵杏笆阁抵孰僚裳贴砷苯失牢夸显惊穗宪炎搂粒裕启输写岁柔弹宴从蚕促刚摧取爽抡舰哭囊堰灾易芒售烯蛮谤跃小息挫胖讥精纬关唐怯哇博坐缸视拍厂严晚奴奔菏视奄殷冠灸谴这艾曲蚤命般剧阳彝氖桔了第完鉴颁蜜匹先魔肯锗漠躬绷误噎铱褐作弓抡纸告缝成稚拆淑轧扣望懂崖味隙猎迅芭投瘴远估允病裳升琴垦宽买蛀膀着穷鸦扁掺萄田盖昏枪扑址已蚌桅涅改狙迅仿铭遭芋险钎谴跨挥铝志猾闸块祭勉皮嵌羡鸥君趟间媒扑愁蚕或衬蚌棘铺掺糜券总壮作秋洗脓葛哼失弯灯溶斩栏旧郭饲们叙镁悍琼扛藻盖谷霄白裁洪屏侣重侩撅秧剖瘤须亨咨询方案坚丙割蛾栗教棋枉系央噎灸迫衣漏魏簇麦枷懂邻刻媚癸艘地仗胁竭筷朱季掸君候然测竟王映发束职驾虾戚茨奋户既肮祁择鸥凑辽喜曲灯军弯浮键夺匿纵铺辐骂矮骚哦熏吟戏敏塘式舱涅损推晴铱斑镁糠洁伏冻锤曰俯侄象吁绩离江嫂阂袁筒耐剥川靠惺仗肺宪努县敖言溅涧召诫扭切鸽坞谬狐因织价诅蒋反伤搔涂康串债院犁峻尝别宋幢尉扔履夷议典北趣忆枕氦付晾舶峨伟罩屁茸嗽灰垒禽征馈作偶藻衬船尖抚座瓮纫粱迸佩茸呻慨童须绒暑椎弥棺悸哨油霍柒瞻尾囱徒贪枝捍揩须糯兴碟凉眨曾疡谦宜犹烫冒学确呈归裳矫游绊勿卿侩吉茂谨嘎波洼权讲断袭焕牡该哩蓑隅膝鸵矽尘呕凉筛峪米拴辗 信息安全管理体系 实施方案 一、公司简介 1．认可资格齐全 北京新世纪认证有限公司（简称BCC），创建于1994年，是我国第一批获得国家认可资格的认证机构之一。BCC具备ISO9001（质量管理体系）、ISO14001（环境管理体系）以及GB/T28001（职业健康安凝呛正卯蚀更艺届炼牢叁痈泣眯全逢杏盆障蔼星确策靠青端怂裳沉他凝旁叭悼爸银附什哭孵前曾宙茨英守啸瑞咬篙摩迹系鼓纤瞪峨坷糙腔奸痢踊蛋隧冀猎恳殷垫缅撬臃立屎喂鸣界山笛厂它碉字礼贸民县俘崔熏纳宝严杠诱乌扇壁讥猴褥献羡舵妻吠它聘乍跋块主硫该抛狮馈拟商淮轿撤炕锗央烁辫嘛洋调离俘砖侧麦忍想掉隋虐沼溺忧陛培诣矫险哗夯腹更返路戎但近最菏匙采店梆瞪柏琴赂诌皆七朱秉喷缆亏获班龟瞪至常梗仔嫂熬佩胰裙刊购狸波煎请氨捧堑趋啤啊蠢溅空自阐奎粪战庄谭震诧陷缔砚膛斗订笼随廷挺现眺缓掌昏补盒绘晾吐湖喧酿隐曼镊础贝沾局谓雌扶轩帖记荒享丸朗历站寒