认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
发货地深圳或广州
ISO认证ISO27001信息安全管理体系认证咨询
服务区域全国
产品名称ISO27001认证
办证周期2个月
有效期3年
价格费用优惠面议
适用标准ISO27001:2013
证书有效可查
公司机构正规
审核流程协助推进
资料材料协助整理
申请ISO27001认证的条件
1. 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册。
2. 申请方的信息安全管理体系已按ISO/IEC27001:2013标准的要求建立,并实施运行3个月以上。
3. 至少完成一次内部审核,并进行了管理评审。
4. 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
远程接入的用户认证
1) 凡是接入公司的远程用户的访问必须通过并经过认证方可接入。
2) 认证用户必须使用8位以上复杂密码。
3) 任何远程接入用户不得将自己的用户名、密码提供给任何人,包括同事,家人。
4) 所有远程接入用户的客户端或个人电脑必须安装防病毒软件并且病毒库升级到。
远程接入的审计
1) 远程接入用户的操作必须要经过接入设备的审计。应记录相关日志,对用户行为。
实施策略
1) 信息安全工作小组负责内部信息沟通的有效渠道建设;
2) 员工有关于信息安全管理系统方面的建议和问题可以通过email直接发邮件
3) 员工对信息安全管理体系有任何意见填写《信息安全管理体系意见表》。
4) 信息安全工作小组负责收集和汇总《机构及特定利益团体联系表》的信息。
项目管理中的信息安全
作为项目的一部份,信息安全需整合到组织的项目管理方法中,以确保识别并强调了信息安全风险。所有项目,无论其特征是什么,例如软件开发过程、IT、设施管理和其他支持过程等方面的项目,均需要使用以下的信息安全控制措施进行管理:
1) 重点项目启动前对人员和技术进行风险评估及合同评估;
2) 根据客户要求签订保密协议;
3) 信息安全目的被纳入项目目的;
4) 信息安全作为所采用的项目管理方法各个阶段的一部分;
5) 在所有项目中需定期评审信息安全问题。
ISO27001认证:
1. 管理评审周期
公司按年度召开信息安全管理体系的管理评审会议,会议一般在内审及第三方审核之后召开,会议对**年信息安全情况做出评审,评审结果作为下一年信息安全计划的输入。当发生下列情况时,信息安全管理小组可以临时决定增加管理评审。
1) 组织结构、资源配置发生重大变化;
2) 业务目标或业务运作流程发生重大变化;
3) 信息安全法律、法规发生重大变化;
4) 发生重大信息安全事件;
5) 风险等级的划分和风险可接受水平发生变化;
6) 其他不可预见情况需要时。
2. 管理评审内容
信息安全工作小组根据评审内容进行内容收集工作,准备**审必需的文件、资料等信息,并报体系负责人。各部门根据体系运行的情况形成《部门管理评审输入报告》做为评审会议的输入。
年度报告及管理评审内容应包括:
1) 信息安全管理体系相关文件变化;
2) 方针、目标完成情况及有效性测量结果;
3) 风险评估报告;
4) 内部和外部信息安全管理体系审核结果;
5) 纠正措施、预防措施实施报告;
6) 顾客等相关方反馈;
7) 实际运行的符合性;
8) 事故统计及分析报告;
9) 以往管理评审决定实施情况;
10) 可能影响信息安全管理体系的内外部环境的变化;
11) 改进的建议。
ISO27001认证目标:
加强固定资产的管理,保证固定资产的完好无损,防止资产流失,使公司固定资产能够更好的为公司运营及管理服务。
硬件资产等级分类
1、一级:服务器资产,维持系统或业务平台正常运行重要的主机设备。由系统服务部承担安全管理责任。标记为H1。
2、二级:网络设备资产,支撑维持公司员工正常工作、工作设备正常运行或正常业务运营所需要的网络环境主要的连接或配置设备。由系统服务部承担安全管理责任。标记为H2。
3、:个人台式机资产,支撑员工基本工作需要的台式计算机。由行政部承担安全管理责任。标记为H3。
4、:移动设备资产,支撑员工基本工作或业务服务所需要的笔记本电脑、手机、移动存储等可移动的工作设备。由行政部承担安全管理责任。标记为H3。
5、:其他设备资产,除上述四类设备外的其它办公所需设备。由行政部承担安全管理责任。标记为H4。
管理部门职责:
1、行政部:
1)对办公类设备固定资产做统一编号。
2)负责制定办公设备硬件类固定资产安全管理制度。
3)编制维护行政部硬件固定资产清单库。
ISO27001认证对企业的好处:
(1)符合法律法规要求
的获得,可以向机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
(2)维护企业的声誉、和客户信任
的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
(3)履行信息安全管理责任
的获得,本身就能组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
(4)增强员工的意识、责任感和相关技能
的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
(5)保持业务持续发展和竞争优势
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
(6)实现风险管理
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
(7)减少损失,降低成本
ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到低程度
http://iso9001fsc1.b2b168.com
