深圳ISO27001认证培训申请流程

1. 目的和范围
2. 引用文件
3. 职责和权限
4. 风险管理方法
4.1. 风险识别
4.2. 风险估计与评价
4.3. 选择风险处置方式
4.4. 残余风险接受
5. 风险评估描述
5.1. 风险评估前准备
5.2. 确定重要业务过程和活动
5.3. 信息资产的识别
5.4. 重要信息资产风险等级评估
5.5. 不可接受风险的确定和处理
5.6. 风险定期评估
5.7. 风险评估评审
6. 相关记录

1 管理评审计划
信息安全体系负责人负责在管理评审实施前编制《管理评审计划》，并得到信息安全管理小组的批准。
管理评审计划主要内容包括：
1) 评审范围、内容及时间安排；
2) 参加评审的单位和人员；
3) 评审会议议程。
2评审实施
信息安全管理体系负责人负责主持管理评审活动。
1) 评审：与会人员在“会议签到表”上签字后，由体系负责人主持并介绍体系运行情况和内审情况：
2) 内审的充分性、有效性，内部审核关于信息安全管理体系的符合性、有效性的结论；
a) 信息安全管理体系文件的充分性和适宜性；
b) 事故事件情况；
c) 对重大危害因素和重要环境因素的控制情况；
d) 目标、指标和管理方案的实现情况；
e) 信息安全方针的适宜性；
f) 整个信息安全管理体系的符合性、有效性和适宜性；
g) 持续改进的意见。
信息安全管理小组对所汇报的内容进行评审并做出改进决定，并对评审结果及决策进行记录。
3) 管理评审的输出应包括为实现持续改进的承诺而做出的，与信息安全方针、目标、指标以及其他信息安全管理体系要素的修改有关的决策和行动。如：
h) 信息安全管理体系有效性的改进；
i) 与顾客要求有关的服务的改进；
j) 资源需求等。

项目管理中的信息安全
作为项目的一部份，信息安全需整合到组织的项目管理方法中，以确保识别并强调了信息安全风险。所有项目，无论其特征是什么，例如软件开发过程、IT、设施管理和其他支持过程等方面的项目，均需要使用以下的信息安全控制措施进行管理：
1） 重点项目启动前对人员和技术进行风险评估及合同评估；
2） 根据客户要求签订保密协议；
3） 信息安全目的被纳入项目目的；
4） 信息安全作为所采用的项目管理方法各个阶段的一部分；
5） 在所有项目中需定期评审信息安全问题。

风险定期评估
1) 信息安全管理小组：负责组织至少每年一次的信息资产风险评估，以确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施，各部门将风险评估结果汇总到信息安全管理小组。评估的结果将作为管理评审的输入内容之一。对发生以下情况需及时进行风险评估：
 当业务过程和活动发生重大调整或变化时；
 当发生重大信息安全事故时；
 当信息网络系统发生重大更改时；
 安委会小组确定有必要时。
2) 各部门按照本制度及时将本部门信息资产的变更汇总到信息安全管理小组。

http://iso9001fsc1.b2b168.com