济南ISO27001认证培训 协助申请 标准规范
价格:面议
产品规格:
产品数量:
包装说明:
关 键 词:济南ISO27001认证培训
行 业:商务服务 认证服务
发布时间:2022-12-25
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家机构的委托授权,才能为认证组织提供认证服务,并发放认证。大多数国家都有自己的国家机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案
除了组织自身投入之外,ISO27001 认证审核主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后,认证机构会初步了解组织现状,确定审核范围,提出审核。认证机构的通常是根据其投入的时间和人员来确定的,决定因素包括:
1、受审核组织的员工数量;
2、纳入审核范围的信息量;
3、场所数量;
4、组织与外界的关联;
5、组织 IT 的复杂性;
6、组织类型和业务性质等。
除了问题,认证审核的周期通常也是组织比较关心的。一般来说,从组织启动 ISMS建设项目开始,到终通过审核,至少要有半年时间(不包括获取的时间)。对于很多因为外部驱动力而决心实施 ISO27001 认证项目的组织来说,提早进行规划是必要的。
ISO27001认证
1. 目的和范围
为了确保现行信息安全管理体系的适宜性、充分性和有效性;现行信息安全管理体系持续有效地满足标准的要求;公司的信息安全方针和目标适应自身发展的需要,对信息安全管理体系进行评审,特制定本制度。
本制度适用于信息安全管理体系管理评审过程。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《纠正和预防措施控制制度》
5) 《文件控制制度》
3. 职责和权限
1) 信息安全管理小组:负责对信息安全管理体系进行管理评审,对体系的变更和修改进行决策。
2) 体系负责人:负责组织召开管理评审会议,并向信息安全管理小组汇报信息安全管理体系的运行情况。
3) 信息安全工作小组:负责管理评审材料的收集,并根据管理评审的决定,组织进行跟踪、验证实施效果。
4) 行政部: 负责管理评审相关材料的备案。
5) 各部门:负责本部门提供评审材料。
ISO27001认证:
1. 风险识别
通过进行风险识别活动,识别了以下内容:
1) 识别了信息安全管理体系范围内的资产及其责任人;
2) 识别了资产所面临的威胁;
3) 识别了可能被威胁利用的脆弱点;
4) 识别了丧失保密性、完整性和可用性可能对资产造成的影响。
2. 风险估计与评价
1) 通过对资产的保密性(C)、完整性(I)、可用性(A)及业务影响度(BI)赋值对公司资产丧失CIA(BI)所造成的后果进行了判断。
资产赋值常常是很困难的,因为需要对某些资产进行客观的赋值,但不同的人员可能做出不同的判断。应该用明确的术语,通过书面形式描述作为每一资产赋值基础的准则。用于判断资产价值的可能准则包括:
a) 资产的原始价值;
b) 替代或重建的成本;
c) 资产的抽象价值,如组织声誉的价值;
d) 由事件导致资产丧失保密性、完整性和可用性所带来的成本。如果适用、还应该考虑不可否认性、可审计性、真实性和可靠性;
e) 资产的其他资产依赖性价值。
ISO27001认证:
(1) 信息安全管理方针、目标的适用性;
(2) 管理体系的审核结果,包括内审、外审结果及其它形式的审核结果;
(3) 相关利益方的反馈,包括客户的意见投诉、相关方的投诉或意见等;
(4) 用于改善信息安全管理体系性能和有效性的技术、产品和程序,包括信息安全管理方案的确定、执行等;
(5) 改进、预防和纠正措施的状况,包括对内部审核和日常发现的不合格项采取的纠正和预防措施的实施及其有效性的结果;
(6) 以前风险评估中没有充分表达的威胁和薄弱点,以及风险的重新评估;
(7) 以往管理评审跟踪措施的实施及有效性;
(8) 可能影响到信息安全管理体系的变更,包括部门组织结构、资源配置发生重大变化、信息安全技术发生变化、部门的商业目标或商业运作流程发生变化、信息安全法律、法规发生变化、发生重大信息安全事件等;
(9) 改进建议。
ISO27001认证对于数据的敏感
1、一级:重要敏感数据, 包括公司数据资产,主要用于公司直接营收的数据,如提交给客户的客探结果数据,泄露会造成直接经济损失。公司核心数据,经过加工的数据,有全方面的数据信息,需要严格管理,如客户肖像库,信息库,客户方提供的需要通过业务平台操作的数据,泄露后对公司可能造成全面损失。这些数据被非法复制传播后,可造成经济上的重大损失和引发重大安全事故及涉诉事件。由所涉及到的部门人员:服务部、如涉及数据由部共同承担安全管理责任。标记为D1。主要包括:
业务结果数据
客户信息数据
系统或网络安全控制配置数据,防火墙数据
业务帐号安全配置数据
业务运行配置数据
敏感客户业务原始数据
录音记录数据
帐目数据
其他敏感信息数据
2、二级:非敏感重要数据,包括公司系统数据,由各种公司系统产生出的原始数据,限制范围使用,泄露对公司有可能造成某方面损失。如启通宝系统通话记录,客探系统记录,被非法复制传播或丢失、损坏后,可造成一定的经济损失或引发客户投诉事件。由所涉及到的部门人员:服务部承担安全管理责任。标记为D2。主要包括:
业务过程数据
启通宝通话记录
客探系统数据
系统运行日志数据
其他重要数据
3、:公司内部非敏感数据及第三方非敏感数据,不对外公开,但公开对公司无损失的信息,如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。由所涉及到的部门人员:服务部、测试部,销售部,研发部共同承担安全管理责任。标记为D3。主要包括:
员工通讯录
话述信息数据
系统测试业务数据
项目施工测试数据
项目施工过程数据
销售业绩数据
其他非敏感数据
企业在申请iso27001认证时需要提供以下材料:
1法律地位文件(如企业法人营业执照、事业单位法人代码、社团法人登记证等),组织机构代码;
2 有效的、产品生产许可证强制性产品认证等(需要时)
3组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等)
4申请认证产品的生产、加工或服务工艺流程图;
5临时场所、多场所需提供清单;
6管理手册、程序文件及组织机构图;
7服务器数量以及终端数量;
8适用性声明、资产列表
9 保密协议、信息安全敏感区域的声明;
10 支持iso27001信息安全管理体系的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程。
