东莞ISO27001认证 ISO27000认证
价格:450000.00起
产品规格:
产品数量:
包装说明:
关 键 词:东莞ISO27001认证
行 业:商务服务 认证服务
发布时间:2020-10-26
全体员工
根据相关信息安全要求,配合相关人员工作开展,理解并遵守本规定定义的内容。
a) 遵守信息安全规章制度,遵循操作规范和流程;
b) 履行岗位信息安全职责,执行信息安全工作任务;
c) 作为信息资产使用者,妥善使用并保护工作所涉及的信息资产;
d) 及时上报信息安全事件或隐患;
e) 参与信息安全教育和培训。
A.11 物理和环境安全
A.11.1 A.11.1.1 物理安全边界 结合ISMS范围文件,访问行政部等相关部门,了解组织的物理边界控制、出入口控制、办公室防护等措施和执行情况。
安全区域 A.11.1.2 物理入口控制 如调阅监控录像资料等。
A.11.1.3 办公室、房间和设施的安全保护
A.11.1.4外部和环境威胁的安全防护 询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.11.1.5 在安全区域工作 询问、验证组织安全区域内的物理防护。
A.11.1.6 公共访问、交接区安全 询问、验证组织公共访问、交接区内的防护措施
A.11.2 A.11.2.1 设备安置和保护 询问、验证组织设备安置和保护措施。查阅信息安全管理小组管理规定等相关文件。
设备安全 A.11.2.2 支持性设施 询问、验证组织支持性设施(例如供水、供电、温度调节等)的运行情况。查阅信息安全管理小组记录等。
A.11.2.3 布缆安全 询问在线运维人员等相关部门在布线方面是否符合相关国家标准,并验证。
A.11.2.4 设备维护 询问、验证组织设备维护情况,查阅设备维护记录。
A.11.2.5组织场所外的设备的安全 询问、验证组织对场所外的设备的安全保护措施。
A.11.2.6资产的移动 询问、验证对资产的移动的安全防护措施。
A.11.2.7设备的安全处置或再利用 询问、验证电脑等设备报废后的处理流程,是否满足规定的要求。
A.11.2.8无人值守的用户设备 询问、验证无人值守的用户设备的安全措施情况。
A.11.2.9清空桌面和屏幕策略 检查、验证清空桌面和屏幕策略执行情况。
条款5.1管理承诺
管理者要对ISMS的建立、实施与运行、监视与评审、保持和改进,做出承诺, 提供证据。 l 是否有一个确保管理者对ISMS的建立、实施与运行、监视与评审、保持和改进,做出承诺的过程?
l 管理者提供承诺的证据是否包括8方面的内容?
条款 5.2.1
组织要确定和提供所需要的资源 l 管理者是否提供ISMS活动所需要的资源?
l 管理者是否提供确保信息安全程序支持业务要求所需要的资源?
l 管理者是否提供满足法律法规要求、合同安全要求所需要的资源?
l 是否提供通过正确实施控制措施维护安全所需要的资源?
l 管理者是否提供必要的评审与对评审结果做出适当反应所需要的资源?
l 管理者是否提供改进ISMS有效性所需要的资源?
h) 组织要确保管理者正式批准所有残余风险 l 所有残余风险是否获得管理者正式批准?
i) 组织要确保在ISMS实施和运行之前,获得管理者授权 l ISMS实施和运行是否获得管理者授权?
j) 组织要准备适用性声明 l 组织是否有一个准备适用性声明的过程?
l 适用性声明的内容是否有含有标准规定的“3项内容”?
l 适用性声明是否记载附录A中任何控制目标和控制措施的删减,以及删减的正当性理由?
条款:4.2.2 实施和运行ISMS
a) 组织要制定风险处理计划 l 组织是否有一个符合标准此条款要求的产生风险处理计划文件的过程?
l 是否有一个“风险处理计划”文件?
b) 组织要实施风险处理计划 l 组织是否有一个符合标准此条款要求的“实施风险处理计划”的过程?
c) 组织要实施所选择的控制措施 l 组织是否有一个符合标准此条款要求的“实施所选择的控制措施”的过程?
d) 组织要定义如何测量所选控制措施的有效性 l 组织是否有一个“测量所选控制措施有效性”的过程?
l 如何使用测量措施,去测量控制措施的有效性?
e) 组织要实施培训和意识教育计划 l 组织是否有一个符合标准此条款要求的“实施培训和意识教育计划”的过程?
f) 组织要管理ISMS的运行 l 组织是否有“管理ISMS的运行”的过程?
g) 组织要管理ISMS的资源 l 组织是否有对ISMS实施所需要的资源进行管理的过程?
h) 组织要实施组织的安全程序和其他控制措施 l 组织的ISMS是否有“迅速检测安全事件和对安全事故能做出迅速反应”的程序?
条款:4.2.3 监视和评审ISMS
a) 组织要执行监视与评审程序 l 组织是否有“监视与评审程序”,以:
1) 迅速检测处理产生的错误;
2) 迅速识别试图的和得逞的安全违规事件和事故;
3) 使管理者能确定指定人员的安全活动或通过信息技术实施的安全活动是否如期执行;
4) 通过使用指示器,帮助检测安全事件并预防安全事故;
5) 确定解决安全违规事件的措施是否有效?
