成都ISO27001认证审核 资料协助 一站服务 信息安全管理体系认证
价格:面议
产品规格:
产品数量:5000 个
包装说明:
关 键 词:成都ISO27001认证审核
行 业:商务服务 认证服务
发布时间:2023-04-14
申请ISO27001认证的条件
1. 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册。
2. 申请方的信息安全管理体系已按ISO/IEC27001:2013标准的要求建立,并实施运行3个月以上。
3. 至少完成一次内部审核,并进行了管理评审。
4. 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
ISO27001认证的目的
1.信息安全教育与培训
⑴信息安全教育培训目的:
a.满足客户和法律法规要求的重要性。
b.违反相关要求所造成的后果。
c.自己从事的工作与信息安全的相关性。
d.鼓励员工参与信息安全管理,为实现信息安全目标做出贡献。
⑵信息安全教育培训对象:
人力资源部及相关部门应在在职员工(新员工、在岗员工、转岗员工)被授予访问权限之前,依据其安全角色和职责,进行针对性的安全教育和安全培训;
人力资源部及相关部门应当确定与信息安全相关的临时雇用人员、客户以及合作方等第三方人员是否需要适当的安全培训。
⑶信息安全教育培训内容:
在信息安全策略、制度和规定发生变化后,信息安全小组要保证及时传达给的全体员工、客户和合作方等第三方人员。
信息安全教育培训内容如下:
a.信息安全基础知识(安全意识)、岗位操作规程、信息系统使用规范;
b.公司信息安全方针、策略与信息安全目标的宣贯培训;
c.信息安全专题培训(如病毒防范培训、访问控制培训、等级保护培训等);
d.岗位安全责任、操作技能及相关技术;
e.违反违背安全策略和安全规定的惩戒措施。
⑷信息安全教育培训记录及考核
由人力资源部统一记录信息安全培训的人员、时间、地点、教师、内容等信息。对于课堂培训内容可根据需要进行必要的考核,以评价员工的学习效果,同时也作为培训记录由人力资源部统一存档备案。
ISO27001认证
1. 目的和范围
为了确保现行信息安全管理体系的适宜性、充分性和有效性;现行信息安全管理体系持续有效地满足标准的要求;公司的信息安全方针和目标适应自身发展的需要,对信息安全管理体系进行评审,特制定本制度。
本制度适用于信息安全管理体系管理评审过程。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《纠正和预防措施控制制度》
5) 《文件控制制度》
3. 职责和权限
1) 信息安全管理小组:负责对信息安全管理体系进行管理评审,对体系的变更和修改进行决策。
2) 体系负责人:负责组织召开管理评审会议,并向信息安全管理小组汇报信息安全管理体系的运行情况。
3) 信息安全工作小组:负责管理评审材料的收集,并根据管理评审的决定,组织进行跟踪、验证实施效果。
4) 行政部: 负责管理评审相关材料的备案。
5) 各部门:负责本部门提供评审材料。
远程接入的用户认证
1) 凡是接入公司的远程用户的访问必须通过并经过认证方可接入。
2) 认证用户必须使用8位以上复杂密码。
3) 任何远程接入用户不得将自己的用户名、密码提供给任何人,包括同事,家人。
4) 所有远程接入用户的客户端或个人电脑必须安装防病毒软件并且病毒库升级到。
远程接入的审计
1) 远程接入用户的操作必须要经过接入设备的审计。应记录相关日志,对用户行为。
实施策略
1) 信息安全工作小组负责内部信息沟通的有效渠道建设;
2) 员工有关于信息安全管理系统方面的建议和问题可以通过email直接发邮件
3) 员工对信息安全管理体系有任何意见填写《信息安全管理体系意见表》。
4) 信息安全工作小组负责收集和汇总《机构及特定利益团体联系表》的信息。
ISO27001认证:
(1) 信息安全管理方针、目标的适用性;
(2) 管理体系的审核结果,包括内审、外审结果及其它形式的审核结果;
(3) 相关利益方的反馈,包括客户的意见投诉、相关方的投诉或意见等;
(4) 用于改善信息安全管理体系性能和有效性的技术、产品和程序,包括信息安全管理方案的确定、执行等;
(5) 改进、预防和纠正措施的状况,包括对内部审核和日常发现的不合格项采取的纠正和预防措施的实施及其有效性的结果;
(6) 以前风险评估中没有充分表达的威胁和薄弱点,以及风险的重新评估;
(7) 以往管理评审跟踪措施的实施及有效性;
(8) 可能影响到信息安全管理体系的变更,包括部门组织结构、资源配置发生重大变化、信息安全技术发生变化、部门的商业目标或商业运作流程发生变化、信息安全法律、法规发生变化、发生重大信息安全事件等;
(9) 改进建议。
ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据立组织的需要应实施安全控制的要求。
ISO27001咨询流程
阶段:现状调研
从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研,通过培训使贵公司相关人员全面了解信息安全管理的基本知识。包括:
项目启动:前期沟通,实施计划,项目小组,资源支持,启动会议。
前期培训:信息安全管理基础,风险评估方法。
现状评估:初步了解信息安全现状,分析与标准要求的差距。
业务分析:访谈调查,核心与支持业务,业务对资源的需求,业务影响分析。
第二阶段:风险评估
对贵公司信息资产进行资产价值、威胁因素、脆弱性分析,从而评估贵公司信息安全风险,选择适当的措施、方法实现管理风险的目的。
资产识别:识别贵公司的各种信息资产。
风险评估:重要资产、威胁、弱点、风险识别与评估。
第三阶段:管理策划
根据贵公司对信息安全风险的策略,制定相应的信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。
文件编写:编写各级管理文件,进行Review及修订,管理层讨论确认。
发布实施:ISMS实施计划,体系文件发布,控制措施实施。
中期培训:全员安全意识培训,ISMS实施推广培训,必要的考核
第四阶段:体系实施
ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。
认证申请:与认证机构磋商,准备材料申请认证,制定认证计划,预审核。
后期培训:审核员等角色的技能培训。
内部审核:审核计划,Checklist,内部审核,不符合项整改。
管理评审:信息安全管理会组织ISMS整体评审,纠正预防。
第五阶段:认证审核
经过一定时间运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。
认证准备:准备送审文件,安排部署审核事项。
协助认证:内部审核小组陪同协助,应对审核问题。
