耐心培训 正规机构 哈尔滨ISO27001认证培训
价格:面议
产品规格:
产品数量:
包装说明:
关 键 词:哈尔滨ISO27001认证培训
行 业:商务服务 认证服务
发布时间:2023-08-11
· 将现有管理体系和业务流程整合,规范IT部门服务水平,规范工作流程,降低导致的风险;
· 提高IT部门相关员工的素质,提高员工的服务能力和工作效率;
· 提升IT部门整体运作及部门间沟通的能力。
ISO27001认证
1. 目的和范围
为了确保现行信息安全管理体系的适宜性、充分性和有效性;现行信息安全管理体系持续有效地满足标准的要求;公司的信息安全方针和目标适应自身发展的需要,对信息安全管理体系进行评审,特制定本制度。
本制度适用于信息安全管理体系管理评审过程。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《纠正和预防措施控制制度》
5) 《文件控制制度》
3. 职责和权限
1) 信息安全管理小组:负责对信息安全管理体系进行管理评审,对体系的变更和修改进行决策。
2) 体系负责人:负责组织召开管理评审会议,并向信息安全管理小组汇报信息安全管理体系的运行情况。
3) 信息安全工作小组:负责管理评审材料的收集,并根据管理评审的决定,组织进行跟踪、验证实施效果。
4) 行政部: 负责管理评审相关材料的备案。
5) 各部门:负责本部门提供评审材料。
ISO27001认证对于数据的敏感
1、一级:重要敏感数据, 包括公司数据资产,主要用于公司直接营收的数据,如提交给客户的客探结果数据,泄露会造成直接经济损失。公司核心数据,经过加工的数据,有全方面的数据信息,需要严格管理,如客户肖像库,信息库,客户方提供的需要通过业务平台操作的数据,泄露后对公司可能造成全面损失。这些数据被非法复制传播后,可造成经济上的重大损失和引发重大安全事故及涉诉事件。由所涉及到的部门人员:服务部、如涉及数据由部共同承担安全管理责任。标记为D1。主要包括:
业务结果数据
客户信息数据
系统或网络安全控制配置数据,防火墙数据
业务帐号安全配置数据
业务运行配置数据
敏感客户业务原始数据
录音记录数据
帐目数据
其他敏感信息数据
2、二级:非敏感重要数据,包括公司系统数据,由各种公司系统产生出的原始数据,限制范围使用,泄露对公司有可能造成某方面损失。如启通宝系统通话记录,客探系统记录,被非法复制传播或丢失、损坏后,可造成一定的经济损失或引发客户投诉事件。由所涉及到的部门人员:服务部承担安全管理责任。标记为D2。主要包括:
业务过程数据
启通宝通话记录
客探系统数据
系统运行日志数据
其他重要数据
3、:公司内部非敏感数据及第三方非敏感数据,不对外公开,但公开对公司无损失的信息,如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。由所涉及到的部门人员:服务部、测试部,销售部,研发部共同承担安全管理责任。标记为D3。主要包括:
员工通讯录
话述信息数据
系统测试业务数据
项目施工测试数据
项目施工过程数据
销售业绩数据
其他非敏感数据
ISO27001认证:
1 管理评审计划
信息安全体系负责人负责在管理评审实施前编制《管理评审计划》,并得到信息安全管理小组的批准。
管理评审计划主要内容包括:
1) 评审范围、内容及时间安排;
2) 参加评审的单位和人员;
3) 评审会议议程。
2评审实施
信息安全管理体系负责人负责主持管理评审活动。
1) 评审:与会人员在“会议签到表”上签字后,由体系负责人主持并介绍体系运行情况和内审情况:
2) 内审的充分性、有效性,内部审核关于信息安全管理体系的符合性、有效性的结论;
a) 信息安全管理体系文件的充分性和适宜性;
b) 事故事件情况;
c) 对重大危害因素和重要环境因素的控制情况;
d) 目标、指标和管理方案的实现情况;
e) 信息安全方针的适宜性;
f) 整个信息安全管理体系的符合性、有效性和适宜性;
g) 持续改进的意见。
信息安全管理小组对所汇报的内容进行评审并做出改进决定,并对评审结果及决策进行记录。
3) 管理评审的输出应包括为实现持续改进的承诺而做出的,与信息安全方针、目标、指标以及其他信息安全管理体系要素的修改有关的决策和行动。如:
h) 信息安全管理体系有效性的改进;
i) 与顾客要求有关的服务的改进;
j) 资源需求等。
内部组织及沟通
1) 信息安全工作小组组织各个部门通过公告、内部网络、宣传物品、活动、通告、会议及培训把有关信息安全方面的政策及其它事项传达予各员工;
2) 员工对公司信息安全管理体系有任何意见可向其部门主管或其所在部门信息安全员建议、投诉;部门主管或信息安全员将员工的意见分类后向信息安全工作小组反映并填写《信息安全管理体系意见表》,信息安全工作小组联同各部门按此表格进行跟进并进行有关调查;
3) 信息安全工作小组负责收集和汇总《机构及特定利益团体联系表》的信息。
4) 信息安全管理体系的管理评审结果应由信息安全工作小组向各部门负责人员讲解及监察其执行情况;
5) 信息安全工作小组联同各部门建立及维护信息安全管理体系的文件控制制度;
6) 每月召开安全例会,传达公司安全精神和公司内部信息安全相关工作;
7) 员工有关于信息安全管理体系方面的建议和问题可以通过email直接发邮件
什么是信息
1) 信息是经过分析、共享和理解的数据或者资料。
2) 信息同时也是一种资产,就如同其它的商业资产一样,对一个组织而言是具有价值的,因而需要妥善保护。
3) 常见的信息:u信息、内部信息、客户信息、息
4) 信息的表现形式:
a) 列印或写在纸张上的;
b) 用电子方式储存的;
c) 以邮件传输(包括电子邮件);
d) 以影视或胶片方式表现的;
e) 也可能存在于人的大脑中的 。
2、 什么是信息安全
对于公司来说,确保:
1) 不被丢失、恶意篡改;
2) 知识产权不被取;
3) 公司业务在受到网络攻击、自然灾害等情况时,可在短时间内恢复正常业务,继续为客户提供服务,将公司损失降低到小…等等
