福州ISO27001认证报价 信息安全管理体系认证
价格:450000.00起
产品规格:
产品数量:
包装说明:
关 键 词:福州ISO27001认证报价
行 业:商务服务 认证服务
发布时间:2020-10-26
? 漏洞扫描管理:
a) 管理员应定期进行漏洞扫描,客户端和服务器可使用相关工具进行漏洞扫描。
b) 根据漏洞扫描结果,管理员应及时修补系统漏洞。
? 渗透测试管理:
a) 技术符合性检查应由有经验的系统工程师手动执行(如需要,利用合适的软件工具支持),或者由技术专家用自动工具来执行,此工具可生成供后续解释的技术报告。
b) 如果使用渗透测试或脆弱性评估,则应格外小心,因为这些活动可能导致系统安全的损害。这样的测试应预先计划,形成文件,且重复执行。
审核注意事项:
? 应与合适的管理者商定审核要求;
? 应商定和控制检查范围;
? 检查应限于对软件和数据的只读访问;
? 非只读的访问应仅用于对系统文件的单独拷贝,当审核完成时,应擦除这些拷贝,或者按照审核文件要求,具有保留这些文件的义务,则要给予适当的保护;
? 应明确地识别和提供执行检查所需的资源;
? 应识别和商定特定的或另外的处理要求;
? 应监视和记录所有访问,以产生参照踪迹;对关键数据或系统,应考虑使用时间戳参照踪迹;
? 应将所有的制度、要求和职责形成文件;执行审核的人员应独立于审核活动
1) 信息安全事件或异常现象所涉及的部门应在信息安全工作小组的协调指导下根据事件或异常现象报告中的再发防止措施考虑进行安全体系的改进工作。
2) 信息安全工作小组应监控并确认相关改进活动的执行,并向信息安全小组报告。
3) 在需要启动内审和管理评审的情况下,根据规定启动相应的审核活动。
4) 信息安全事件管理活动记录由信息安全工作小组保存,作为内审和管理评审的输入。
实施策略
1) 发现一级信息安全事故后,事件责任部门经理会同发现人,填写《信息安全事件报告表》上报给信息安全工作小组。
2) 信息安全工作小组对事件进行判断,调查取证,根据事件的不同级别采取相应的控制措施,填写《信息安全事件报告表》。
3) 信息安全事件处理之后,信息安全工作小组应在《信息安全事件报告表》的结论中总结教训,提出预防措施,由相关部门实施。以防止此类事件再次发生。
1. 目的和范围
为确保公司的业务能够持续稳定的进行,限度的降低信息安全事件对业务的影响,特制订本管理制度。
业务连续性管理为关键业务过程提供支持。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《信息安全事件管理制度》
3. 职责和权限
1) 信息安全管理小组:审批业务连续性计划,分配相关资源,确保业务持续性活动顺利进行;在发生重大信息安全事件或灾难时担任公司业务中断的恢复的总指挥与总协调。
2) 信息安全工作小组:负责组织进行相关业务连续性计划(BCP)编写,审核BCP,组织BCP演练,监督修改完善;在发生重大信息安全事件或灾难时,负责协调进行信息和资产保护,及时恢复中断的业务。
3) 各相关部门:配合信息安全工作小组执行BCP的编写与演练;在发生重大信息安全事件或灾难时,负责保护本部门的信息和资产,及时恢复中断的业务。
1. 目的和范围
2. 引用文件
3. 职责和权限
4. 业务连续性管理流程
4.1.1 识别组织关键业务
4.1.2 识别关键信息系统
4.2 连续性架构规划
4.2.1 确定团队与人员
4.2.2 确定利益相关方
4.2.3 确定技术设施
4.3 制定应急预案
4.3.1 确定团队职责与分工
4.3.2 确定突发事件通告机制
4.3.3 确定损害评估机制
4.3.4 确定灾难启动机制
4.3.5 确定系统恢复过程
4.3.6 形成计划文档
4.4 演练与维护
4.4.1 设计演练方案
4.4.2 演练
4.4.3 评审和改进
5 相关记录
