广东ISO27001认证费用 信息安全管理体系认证
价格:450000.00起
产品规格:
产品数量:
包装说明:
关 键 词:广东ISO27001认证费用
行 业:商务服务 认证服务
发布时间:2020-10-26
为了满足适用法律法规及相关方要求,维持ISMS范围内的业务正常进行,实现业务可持续发展,为保护公司的信息资产,以及软硬件设施、软件、数据、文件等信息的安全,使其免于因外在的威胁或者内部管理不善而遭受泄密、破坏或者遗失的风险,特制定信息安全方针。
公司的信息安全方针是:
积极预防、及时发现、快速响应、确保安全
此信息安全方针适用于公司全体员工。
此方针由公司层和各部门负责人以会议或会签的形式讨论评审通过,并经公司总经理签字颁发,自颁发之日起开始生效。
此方针由管理层根据公司内、外环境的变化适时予以修订、调整并予以公告。公司全体员工以及相关各方应该随时关注信息安全方针的变化并按照的信息安全方针执行。
信息安全方针满足以下要求:
a) 适于组织的目标;
b) 包含信息安全目标(见6.2)或设置信息安全目标提供框架;
c) 包含满足适用的信息安全相关要求的承诺;
d) 包含信息安全管理体系持续改进的承诺。
公司文件化信息安全方针,保持可用性,并在组织内部进行传达,适当时,对相关方可用。
资产管理
1. 对信息资产进行识别和管理;根据不同类型信息资产的特征,制定并实施正确使用信息资产的操作规程。
2. 基于信息资产价值和等级划分制定不同的安全规范与策略,根据不同信息资产所需的保护要求,进行相应程度的保护。
具体管理策略请参见《信息资产分类分级管理制度》。
A.9访问控制
1. 加强对公司资产的访问控制管理,规范用户管理、密码管理、系统配置等要求,并提出访问控制管理的各项基本要求。
2. 通过实施用户管理,确保相关人员获取适合其工作职责的访问权限,形成用户访问权限的清单并定期审核,用户离岗或离职时及时进行权限的调整和清除。
具体管理策略请参见《访问控制管理制度》。
A.10密码控制
通过建立制度,完善密码使用和管理,制定和实施密钥的使用,保护,使用期策略并贯穿其整个生命周期。
具体管理策略请参见《密码控制管理制度》。
记录填写和编制
1) 记录的填写或编制由记录的发生部门专人负责, 按信息安全管理手册、制度及规定等要求,使用规定的表格或模板如实填写或编制。同年度同一类记录按时间顺序编目。
2) 记录按规定格式填写,所有记录,都要有记录编号,以便检索;凡要求填写数据的,必须填写数据;凡要求签名的,必须签全名。
3) 纸质记录的填写字迹要清晰,内容齐全,能被准确识别,记录不得随意进行更改;凡因笔误需更改的记录,要用“/”划断,在旁边空白处写上正确的数据或文字,并签上修改人姓名及时间。
4) 记录原则上不能修改,若修改,尤其是修改较多或变动较大时,要重新填写,原记录作废,新记录重新履行编制审批手续。如果记录在格式上有变化,必须填写《文件变更审批表》,件负责人同意后,方可使用新的记录格式。
1. 目的和范围
确保信息安全管理体系的有效实施,根据本公司信息安全方针制定信息安全目标,并规定信息安全目标的计算方法,以便于目标达成情况的考核。
适用于本公司信息安全目标的制定、计算。
2. 职责和权限
1) 信息安全管理小组:负责建立、批准与评审公司的信息安全目标。
2) 体系负责人:负责向信息安全小组会汇报公司的信息安全目标达成情况,并组织相关人员每年对信息安全目标进行评审。
3) 各部门:负责与本部门相关的信息安全目标的统计、分析,当目标不能达标时,进行原因分析并进行改进。
3. 控制流程
3.1. 信息安全目标
1) 全年不发生重大信息安全事件和“二级”以上运行安全事故;
2) 重要保障时期不发生三级以上事故。
对于未达成信息安全目标的,相关部门要进行原因分析,并提出解决办法;对于连续未达成目标的,信息安全工作小组要向相关部门开出《不符合纠正预防措施通知单》进行处理。
