汕头ISO27001认证培训 信息安全管理体系认证
价格:450000.00起
产品规格:
产品数量:
包装说明:
关 键 词:汕头ISO27001认证培训
行 业:商务服务 认证服务
发布时间:2020-10-30
---用户需求和行业应用信息收集与分析;;
---进行软硬件组合解决方案销售业务;
---负责按客户提供的要求进行报价管理及对账;
---组织拟制、审核公司在客户服务业务方面的策略、客户服务政策、计划和流程。
---参与拟制、审核技术发展和服务规划的策略、计划和实施方案,并定期提出相关技术发展和服务信息技术服务的评估报告和改进建议。
---执行信息安全政策,在产品,计算机硬软件的运作过程中确保公司和客户的数据信息安全。负责本部门的资产信息安全,包括硬件,软件,邮件等的信息安全。
----文件制作; 招、投标文件制作等;
公司建立体系的过程如下:
1. 建立ISMS
公司从以下几方面入手建立信息安全管理体系:
? 根据本公司所从事的业务、性质、办公地点、各种信息资产、拥有技术的特点确定信息安全管理体系的范围。
? 根据员工的信息安全意识和信息安全在本公司业务中的重要程度确定信息安全管理体系的方针。
? 定义了系统化的风险评估的方法。
1)识别风险
? 在信息安全管理体系范围内,识别资产及其责任人;
? 识别资产面临的威胁;
? 识别可能被威胁利用的脆弱性;
? 识别保密性、完整性和可用性对资产造成的影响程度;
? 识别资产面临的风险。
2)分析和评估风险
? 评估安全故障对业务造成的损害,充分考虑资产失去保密性、完整性和可用性的潜在后果;
? 评估与这些资产相关的主要威胁、脆弱点和造成此类事故发生的现实可能性和现有的控制措施;
? 估算风险的等级;
? 决定风险的可接受程度,进而决定是否需要采取措施对风险进行控制。
3)识别和评价风险处理:
? 实施适当的控制措施;
? 风险,采取有效的控制措施避免风险的发生;
? 接受风险,在一定程度上有意识、有目的地接受风险;
? 风险转移,转移相关业务风险到其他方面。
4)选择风险处理的控制目标和控制方式:从《ISO 27001:2011 信息安全管理体系-要求》的“附件A”中选择合适的控制目标和控制措施,以满足风险评估和风险处置过程所识别的要求,根据风险评估和风险处理过程的结果进行适当的调整。
5)适用性声明:公司对所选择的控制目标和控制措施以及被选择的原因,在《适用性声明》中进行描述。
6)对残余风险获得信息安全管理者代表批准。
7)关于风险控制,见《信息安全风险管理程序》。
A.12操作安全
A.12.1 A.12.1.1 文件化的操作规程 查阅相关设备操作规定,操作记录等。
操作规程和职责 A.12.1.2 变更管理 查阅和验证信息系统的变更控制。
A.12.1.3容量管理 访查阅系统建设前的容量规划记录。
A.12.1.4开发、测试和运行设施分离 访问在线运维人员,验证开发、测试和运行设施的分离状况。
A.12.2防范恶意和移动代码 A.12.2.1 控制恶意代码 检查计算机病毒等恶意代码防范软件,及代码库的更新情况。可以在众多电脑中抽查。
查阅病毒等恶意代码事件记录。
A.12.3 备份 A.12.3.1 信息备份 查阅备份策略等相关文件,抽查备份介质,并要求测试、验证。
A.12.4日志和监视 A.12.4.1 查阅重要系统的日志信息。
事件日志
A.12.4.2 日志信息的保护 询问、验证日志信息的包括措施。
A.12.4.3 管理员和操作员日志 查阅、验证管理员和操作员日志。
A.12.4.4 时钟同步 检查、验证时钟同步措施。
A.12.5 A.12.5.1 运行软件的控制 询问、验证对运行软件的控制措施。
下列文件的全部或部分内容在本文件中进行了规范引用,对于其应用是必不可少的。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其版本(包括任何修改)适用于本标准。
ISO/IEC 27000,信息技术—安全技术—信息安全管理体系—概述和词汇
术语和定义
ISO/IEC 27000中的术语和定义适用于本标准。
组织环境
理解组织及其环境
管理者应确定与本公司信息安全目标和战略方向相关并影响实现管理体系预期结果的各种内部因素(公司的价值观、文化、知识、绩效等相关因素)和外部因素(国际、国家、地区和当地的各种法律法规、技术、竞争、文化和社会因素等)。这些因素可以包括需要考虑的正面和负面因素或条件。
本公司定期对这些内部和外部因素的相关信息进行监视和评审,以确保其充分和适宜。
企业外部宗旨:踏踏实实做事,本本份份做人”;
企业内部宗旨:员工与企业共同发展,共同进步;
企业战略方向:客户至上,技术,不断创新,诚信为本。
