广东ISO27001认证申请流程

项目管理中的信息安全
作为项目的一部份，信息安全需整合到组织的项目管理方法中，以确保识别并强调了信息安全风险。所有项目，无论其特征是什么，例如软件开发过程、IT、设施管理和其他支持过程等方面的项目，均需要使用以下的信息安全控制措施进行管理：
1） 重点项目启动前对人员和技术进行风险评估及合同评估；
2） 根据客户要求签订保密协议；
3） 信息安全目的被纳入项目目的；
4） 信息安全作为所采用的项目管理方法各个阶段的一部分；
5） 在所有项目中需定期评审信息安全问题。

1. 目的和范围
2. 引用文件
3. 职责和权限
4. 内部组织及沟通
5. 与监管机构联系
6. 与特定利益集团联系
7. 项目管理中的信息安全
8. 笔记本电脑使用规定
9. 远程访问管理
9.1. 远程接入的用户认证
9.2. 远程接入的审计
10. 实施策略
11. 相关记录
1. 目的和范围
建立完善内外组织系统，保证内外部组织渠道的畅通，及时了解体系运行情况，确保体系有效运行，促进公司业务组织的安全管理制度。
本规定适用于公司业务组织的安全管理，包括：
1) 内部之间的组织；
2) 信息系统与外部系统之间的组织；
3) 与供应商、客户等相关单位和个人间的组织。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件，其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
3. 职责和权限
1) 信息安全工作小组
 内部沟通职责：维持内部的信息沟通；向公司内部人员传达与信息安全有关的法规资料及政策；接收内部人员对信息安全管理体系的意见并采取相应行动。
2) 信息安全工作小组成员：收集员工对信息安全方面的意见，并向信息安全工作小组组长反映；协助宣传及教育员工，使员工熟悉有关信息安全方面的知识。
3) 部门负责人：确保部门内容信息能及时有效沟通。对于公司内、外部所反馈的信息安全方面的意见、建议进行审查，不断的改进、完善信息安全管理体系。

不可接受风险的确定和处理
1) 针对所有的中级以上（包括中级）风险，各责任部门采取有效安全控制措施，确保所采取的控制措施是充分的，直到其风险降至可接受为止。
2) 在实际的控制措施执行后，信息安全管理小组及各部门评估人员根据实际措施的执行效果，重新评估资产的威胁值和脆弱性值，从而计算出关键活动的残余风险。
3) 信息安全管理小组：根据风险评估以及处置的结果编制《信息安全风险评估报告》，陈述本公司信息安全管理现状及残余风险状况。
4) 对于不进行处置的风险及残余风险仍处于中级以上（包括中级）的风险，由信息安全管小组完成《残余风险批示报告》，《残余风险批示报告》需经过公司管理者批准通过，才能接受残余风险。

与特定利益集团联系
为及时了解行业相关非营利机构新公布的信息，公司应保持与特定相关方、其他安全*组和专业协会的适当联系，增进实践的知识，掌握相关安全信息； 获取以前的有关攻击和脆弱性的预警、公告和补丁； 获得信息安全*的建议； 共享和交换关于新的技术、产品、威胁或脆弱性的信息；当处置信息安全事件时，提供适当的联络点。