佛山ISO27001认证资料 信息安全管理体系认证

组织全体人员都参与进来，从而保证大家在思路上的共识；（8）体系运行模式满足原则遵照PDCA过程方法来对体系进行不间断的持续改进；（9）工具接口满足原则如要对IT服务管理与信息安全，要建设两个系统时，要求两个系统要设计详细的接口，并有的文档来记录接口定义。通过以往的项目经验及对两套体系的研究，归纳与总结ISO20000与ISO27001的体系对比，两套体系整合的可行性可能会存在以下几个方面，（1）体系实施人员的整合作为两套体系整合的要素，也是整合重要的因素，只有对实施人员的统一管理与任务分派，才能更好的管理体系实施与改进。即使人员有很大变动时，也能保证正常的服务运营；（2）体系规范的整合体系实施人员通过自身研究或借助咨询公司深入研究两套体系规范。
如何进行ISO27001认证
1.人员选拔
人力资源部应严格按照各岗位的《岗位说明书》对应聘人员进行认真筛选，应聘人员面试时需携带简历并填写《应聘登记表》，面试官应填写相应的《面试评估表》。
2.背景调查
人力资源部对拟录用的新员工根据岗位的重要程度进行身份、背景、和等方面进行背景调查，详见《背景调查管理规定》。背景调查如无问题，正式办理录用审批，详见《新员工录用审批表》。录用审批完成，给拟录用的新员工发送《录用邀请函》。
3.内部选拔
从事关键岗位或负责核心系统、机房等重要区域的人员，**从公司内部人员选拨，应具备认真负责的工作、较高的职业道德水准；
4.入职办理
人力资源部负责办理员工的入职手续，参见《新员工入职手续办理清单》，并签署《劳动合同书》以及《知识产权及保密协议》。《知识产权及保密协议》的保密条款的要求应根据公司业务的变更由法务主管及时进行评审修订。《劳动合同》一式两份，员工本人及人力资源部各保存一份。临时雇用人员、客户以及合作方等第三方人员在与公司签订的合同中应约定相关人员的信息安全职责。

ISO27001认证:
1. 目的和范围
为了规定公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估本公司的信息安全风险，选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持业务持续性发展，以满足信息安全管理方针的要求，特制订本制度。
本制度适用信息安全管理体系范围内信息安全风险评估活动。
2. 引用文件
1) 下列文件中的条款通过本制度的引用而成为本制度的条款。凡是注日期的引用文件，其随后所有的修（不包括勘误的内容）或修订版均不适用于本制度，然而，鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件，其版本适用于本制度。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) ISO/IEC 27005:2008《信息技术-安全技术-风险管理》
5) 《GB/T 20984-2007信息安全风险评估指南》
3. 职责和权限
1) 信息安全管理小组：负责汇总确认《信息安全风险评估表》，并根据评估结果形成《信息安全风险评估报告》和《余风险批示报告》。
2) 公司全体员工：在信息安全管理小组协调下，负责本部门使用或管理的资产的识别和风险评估；负责本部门所涉及的资产的具体安全控制工作。信息安全管理员在本部门信息资产发生变更时，需要及时清点和评估，并报送信息安全管理小组更新《信息安全风险评估表》。

ISO27001认证流程：
1、服务部：
1)对公司经营或运营数据资产进行统一编号。
2)负责制定公司数据资产安全管理制度。
3)负责对一级业务结果数据资产进行安全管理，标注一级数据资产及其介质，在传输时须进行加密传输，并由专人保管。
4)负责对二级业务过程数据进行安全管理，标注二级数据资产及其介质，由专人保管。
5)制定维护数据资产清单。
6)数据调阅管控：签发审批单，做好审批记录。
7)对服务数据资产及其介质分级标注。
8)操作计算机只安装允许配置的软件，并制定和维护允许安装的软件清单。
9)存储在任何介质中一二级的不用的、过时的或无效的数据须进行不可恢复性。前须经过主管审批通过，执行时须经过至少二人确认。
10)对于二级系统和业务数据，须对登录帐号配置相应的访问角色权限。不同的角色访问不同的数据。
11)在数据管理软件中配置和控制登录权限，打开操作日志等。
12)对数据存储服务器控制和配置帐号权限。
13)在业务系统软件中配置和控制登录权限，打开操作日志等。
14)对数据操作使用的环境场地进行安全配置。
15)对数据操作使用的网络安全环境进行安全配置。
16)对服务器网络和计算机只打开需要的设备和端口。
17)数据操作进行，必要时安装设备。
18)对移动介质存储数据进行管理和控制。
19)对于一二相关系统和业务数据进行数据备份管理。
20)保证项目实施过程中一级数据中系统配置数据的安全使用，防止复制传输过程中被非法传播、遗失、损坏。
21)保证项目实施过程中二级数据的安全操作，防止二级数据被损坏或丢失。
22)保证项目实施过程中的其他数据的安全。

ISO27001认证
1.人力资源部管理职责
1）负责组织各部门编制部门所属员工的工作职能
2）负责员工的审查、和背景调查等
3）负责员工调动、离职的审查和批准等
4）负责第三方人员信息安全管理工作
5）负责普及信息安全防范意识，并针对信息安全违规事件向公司提出处理建议
2.行政部：
1）负责办公资产的采购、接收、登记、分配、维护等管理
2）负责根据员工差旅、会议行程等做好相关事务处理
3）负责员工入、离职手续行政部分的办理
4）负责公司考勤制度执行及考勤记录统计
5）负责组织第三方人员来访的接待工作
3.任职部门：
1）负责对本部门员工的工作进行常规的监督管理
2）负责本部门员工的岗位技能培训，并根据情况进行培训考核
申请ISO27001认证的条件：
1. 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册。
2. 申请方的信息安全管理体系已按ISO/IEC27001:2005标准的要求建立，并实施运行3个月以上。
3. 至少完成一次内部审核，并进行了管理评审。
4. 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
申请ISO27001认证的材料：
1、组织法律文件，如营业执照及年检复印件(盖公章);
2、组织机构代码复印件、税务登记证复印件(盖公章);
3、申请认证组织的信息安全管理体系有效运行的文件(如体系文件发布控制表，有时间标记的记录等复印件);
4、申请组织的简介：
1) 组织简介(1000字左右);
2) 申请组织的主要业务流程;
3) 组织机构图或职能表述文件;
5、申请组织的体系文件，需包含但不于(可以合并)：
1) 信息安全管理体系ISMS方针文件;
2) 风险评估程序;
3) 适用性声明;
4) 风险处理程序;
5) 文件控制程序;
6) 记录控制程序;
7) 内部审核程序;
8) 管理评审程序;
9) 纠正措施与预防措施程序;
10) 控制措施有效性的测量程序;
11) 职能角色分配表;
12) 整个体系文件结构与清单。
6、申请组织体系文件与GB/T22080-2008/ISO/IEC 27001:2005要求的文件对照说明;
7、申请组织内部审核和管理评审的资料;
8、申请组织记录保密性或敏感性声明;
9、认证机构要求申请组织提交的其他补充资料。
http://iso9001fsc1.b2b168.com