南京ISO27001认证咨询 信息安全管理体系认证
价格:面议
产品规格:
产品数量:
包装说明:
关 键 词:南京ISO27001认证咨询
行 业:商务服务 认证服务
发布时间:2022-12-09
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家机构的委托授权,才能为认证组织提供认证服务,并发放认证。大多数国家都有自己的国家机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
ISO27001认证,由(BSI)于1995年2月提出,并于1995年5月修订而成的,1999年BSI重新了该标准。分为两个部分:BS7799-1实施规则,BS7799-2规范。信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和等行业。
风险定期评估
1) 信息安全管理小组:负责组织至少每年一次的信息资产风险评估,以确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施,各部门将风险评估结果汇总到信息安全管理小组。评估的结果将作为管理评审的输入内容之一。对发生以下情况需及时进行风险评估:
当业务过程和活动发生重大调整或变化时;
当发生重大信息安全事故时;
当信息网络系统发生重大更改时;
安委会小组确定有必要时。
2) 各部门按照本制度及时将本部门信息资产的变更汇总到信息安全管理小组。
ISO27001认证小组
1信息安全工作小组
⑴负责公司及信息系统操作人员安全管理工作;
⑵负责以季为单位执行公司信息安全的检查及管理工作,并及时向相关负责人提交执行情况的报告,反馈问题给执行方并限期解决。
⑶负责研究国家和行业的信息安全政策法规,组织有关部门讨论来保证其符合性。
2 信息安全体系负责人
⑴负责工作岗位风险状态分级及划分信息系统安全职责和权限;
⑵负责普及信息安全防范意识,并针对信息安全违规事件向公司提出处理建议。
⑶负责完成系统建设、建立目录结构与目录安全策略、部署服务器与建立服务器安全策略、完成备份策略等。
3人力资源部
⑴根据企业的发展现状和未来需要,参与并制定出切合实际的人力资源;
⑵制定人力资源规划,根据企业的发展需要审核各部门的人员编制,编写人力资源支出预算,进行成本控制;
⑶拟定、修订、废止、发放、解释人力资源相关的管理制度,进行各部门职责权限划分;
⑷各部门人事问题的解决处理和人事关系协调;
⑸负责人事档案的汇集整理、存档保管、统计分析和《劳动合同书》以及《知识产权及保密协议》的签订;
⑹负责公司级组织结构的设计和各职位的《岗位说明书》的组织编写;
⑺进行人员与录用、转正、员工升调、辞退管理以及相关记录的存档备案管理;
⑻薪酬和福利管理;
⑼部门层面、员工层面的绩效管理;
⑽负责员工信息安全教育的培训及考核;
⑾协助公司开展建立流程型组织,并其执行。
⑿负责第三方人员信息安全管理工作;
ISO27001认证的目的
1.信息安全教育与培训
⑴信息安全教育培训目的:
a.满足客户和法律法规要求的重要性。
b.违反相关要求所造成的后果。
c.自己从事的工作与信息安全的相关性。
d.鼓励员工参与信息安全管理,为实现信息安全目标做出贡献。
⑵信息安全教育培训对象:
人力资源部及相关部门应在在职员工(新员工、在岗员工、转岗员工)被授予访问权限之前,依据其安全角色和职责,进行针对性的安全教育和安全培训;
人力资源部及相关部门应当确定与信息安全相关的临时雇用人员、客户以及合作方等第三方人员是否需要适当的安全培训。
⑶信息安全教育培训内容:
在信息安全策略、制度和规定发生变化后,信息安全小组要保证及时传达给的全体员工、客户和合作方等第三方人员。
信息安全教育培训内容如下:
a.信息安全基础知识(安全意识)、岗位操作规程、信息系统使用规范;
b.公司信息安全方针、策略与信息安全目标的宣贯培训;
c.信息安全专题培训(如病毒防范培训、访问控制培训、等级保护培训等);
d.岗位安全责任、操作技能及相关技术;
e.违反违背安全策略和安全规定的惩戒措施。
⑷信息安全教育培训记录及考核
由人力资源部统一记录信息安全培训的人员、时间、地点、教师、内容等信息。对于课堂培训内容可根据需要进行必要的考核,以评价员工的学习效果,同时也作为培训记录由人力资源部统一存档备案。
远程接入的用户认证
1) 凡是接入公司的远程用户的访问必须通过并经过认证方可接入。
2) 认证用户必须使用8位以上复杂密码。
3) 任何远程接入用户不得将自己的用户名、密码提供给任何人,包括同事,家人。
4) 所有远程接入用户的客户端或个人电脑必须安装防病毒软件并且病毒库升级到。
远程接入的审计
1) 远程接入用户的操作必须要经过接入设备的审计。应记录相关日志,对用户行为。
实施策略
1) 信息安全工作小组负责内部信息沟通的有效渠道建设;
2) 员工有关于信息安全管理系统方面的建议和问题可以通过email直接发邮件
3) 员工对信息安全管理体系有任何意见填写《信息安全管理体系意见表》。
4) 信息安全工作小组负责收集和汇总《机构及特定利益团体联系表》的信息。
ISO27001认证对企业的好处:
(1)符合法律法规要求
的获得,可以向机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
(2)维护企业的声誉、和客户信任
的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
(3)履行信息安全管理责任
的获得,本身就能组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
(4)增强员工的意识、责任感和相关技能
的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
(5)保持业务持续发展和竞争优势
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
(6)实现风险管理
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
(7)减少损失,降低成本
ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到低程度
