佛山ISO27001认证公司 信息安全管理体系认证
价格:450000.00起
产品规格:
产品数量:
包装说明:
关 键 词:佛山ISO27001认证公司
行 业:商务服务 认证服务
发布时间:2020-10-26
1. 目的和范围
按年度进行信息安全管理体系的内部审核,以验证管理活动和有关结果是否符合信息安全管理体系标准及公司信息安全管理体系文件的要求;是否符合相关法律法规要求、客户和相关方的要求;确保信息安全管理体系与标准的符合性、适宜性和有效性。
本制度适用于信息安全管理体系内部审核。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《纠正和预防措施控制制度》
5) 《文件控制制度》
公司依据ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》建立、实施、保持和持续改进信息安全管理体系。
公司采用以过程为基础的信息安全管理体系模式,并从以下几个方面维护体系的正常运行:明确公司的信息安全需求、理解建立信息安全方针和目标的需求;在管理组织的整体业务风险中实施并运作控制;监控并评审信息安全管理的绩效及有效性;在客观测量基础上持续改进。
ISO27001认证注意事项
注意事项
1. 整个ISO27001从发布文件到终评估少4个月
2. 首先修改信息安全手册:公司组织架构:10人以下
3. 然后修改适应性声明文档;ISO27001标准的附录A很重要,适应性声明是根据附录A制定的,评估时根据适应性声明作为评估范围
4. 重点是管理评审和内审,至少1次,内审后至少1周之后进行管理评审
5. “风险评估”每个部门必须看,重要资产清单、风险识别、评估、缓解措施很重要,针对资产风险制定的安全措施的实施记录要全
6. 0101-信息安全风险识别与评价管理程序 :每个部门必须看,关键是资产、威胁、脆弱性赋值、风险等级评价
1. 重要的文档
a. 信息安全手册
i. 重要的是确定组织架构、总共的人员数量,每个部门的人员数量
ii. 信息安全角色和职责
iii. 确定授权的管理者代表
b. 适应性声明
i. 与ISO27001标准的附录A条款的对应表,确定哪些条款适用、哪些条款不适用
ii. 不适用的条款需要写明不适应的理由
c. 0101-信息安全风险识别与评价管理程序
i. 信息资产识别与评价
ii. 对资产价值、威胁、脆弱性的评分
d. “风险评估”相关的记录文档
2. 重要的活动
a. 内审
i. 确定至少2个内审员(属于不同的部门),对公司所有部门的ISO27001遵循情况进行内审
ii. 至少内审1次,正式评估之前一个半月左右进行内审即可
b. 管理评审
i. 确定1个管理者代表
ii. 内审后一周做管理评审
3. 重要的资产管理
a. 服务器
b. 办公区域,门禁管理
c. 软件是否是正版的,正版软件需要提供正版 的证明,不是正版的软件需要提供使用授权书
4. 文档修改要求
a. 发布时间为 年 月 日
b. 修改公司名称、人员姓名、时间
5. ISO27001体系建立与实施过程
a. 年月日ISO27001开始启动
b. ISO27001培训(公司所有员工)
i. 培训签到表
c. 年 月 日体系正式发布
d. 资产识别与风险评估
i. 资产识别
ii. 风险评估
iii. 风险评估报告
iv. 风险处置计划(处置开始时间、结束时间)
v. 风险处置计划检查
vi. 残余风险报告
e. 实施记录文件
f. 年 月 日内审
g. 年 月 日管理评审
6. 现场审核注意事项
a. 灭火设备要经过检查记录
b. 个人办公桌面整理整洁
3. 网线\电线\电缆等理顺
4. 所有有形资产必须贴上标签
5. 所有电子文档准备完整,可供评估师审核
6. 手册,SOA,程序文件打印出来签字
7. 内审员、管理者代表协助评估师评估(负责提供证据,解答评估师的问题)
历时三个月,经公司全体员工的共同努力依据ISO/IEC 27001:2013标准建立的信息安全管理体系已得到建立。
指导管理体系运行的公司《信息安全管理体系手册》经评审后,现予以批准发布。
《信息安全管理体系手册》的发布,标志着我公司从现在起,必须按照ISO/IEC 27001:2013标准的要求和公司《信息安全管理体系手册》所描述的规定,不断增强持续满足顾客要求、相关方要求和法律法规要求的能力,全心全意为顾客和相关方提供管理软件开发业务,以确立公司在社会上的良好信誉。
《信息安全管理体系手册》是公司规范内部管理的指导性文件,也是全体员工在向顾客提供服务过程必须遵循的行动准则。《信息安全管理体系手册》一经发布,就是强制性文件,全体员工必须认真学习、切实执行。
