现场问题确认在体系咨询中的重要作用

12月27日去苏州一家客户做信息安全体系文件评审，发现客户的体系文件存在大量的可操作性问题，在现场评审提出后让一客户方人员记录如下：

1. 第14个文档第2页内部规范“信息安全委员会”改为“信息安全推进小组”
2. 信息安全事故管理程序第11页“信息安全人员应于系统恢复后三天内”改为“信息安全人员应于系统恢复后一天内”
3. 网络安全管理程序中“项目开发网定义改为: 根据客户要求单独划分的内部网段,不允许联线至互联网”

但回公司检查时发现，提出的问题被大量遗漏：

1. 针对第4个问题，如果明确了前台控管，则前台人员的岗位职责必须要进行明确；
2. 组织机构要统一；
3. 所有文件用统一的格式，包括logo，版本号，页面格式等；
4. 文件层次关系图要加入“目标”项目。

所以，在做体系咨询时，对问题进行现场确认是非常重要的。