信息安全管理体系认证 太原ISO27001认证 顾问可信

ISO27001信息安全管理体系，部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；*二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据立组织的需要应实施安全控制的要求。该标准能帮助众多企业构建信息安全体系,实现信息安全的防范。（1）通过定义、评估和控制风险，确保经营的持续性和能力。（2）减少由于合同违规行为以及直接触犯法律法规要求所造成的责任。（3）通过遵守国际标准提高企业竞争能力，提升企业形象，维护企业的声誉、和客户信任，保持业务持续发展和竞争优势。（4）实现风险管理，履行信息安全管理责任，明确定义所有组织的内部和外部的信息接口目标。
如何进行ISO27001认证
1.人员选拔
人力资源部应严格按照各岗位的《岗位说明书》对应聘人员进行认真筛选，应聘人员面试时需携带简历并填写《应聘登记表》，面试官应填写相应的《面试评估表》。
2.背景调查
人力资源部对拟录用的新员工根据岗位的重要程度进行身份、背景、和等方面进行背景调查，详见《背景调查管理规定》。背景调查如无问题，正式办理录用审批，详见《新员工录用审批表》。录用审批完成，给拟录用的新员工发送《录用邀请函》。
3.内部选拔
从事关键岗位或负责核心系统、机房等重要区域的人员，**从公司内部人员选拨，应具备认真负责的工作、较高的职业道德水准；
4.入职办理
人力资源部负责办理员工的入职手续，参见《新员工入职手续办理清单》，并签署《劳动合同书》以及《知识产权及保密协议》。《知识产权及保密协议》的保密条款的要求应根据公司业务的变更由法务主管及时进行评审修订。《劳动合同》一式两份，员工本人及人力资源部各保存一份。临时雇用人员、客户以及合作方等第三方人员在与公司签订的合同中应约定相关人员的信息安全职责。

与特定利益集团联系
为及时了解行业相关非营利机构新公布的信息，公司应保持与特定相关方、其他安全组和协会的适当联系，增进实践的知识，掌握相关安全信息； 获取以前的有关攻击和脆弱性的预警、公告和补丁； 获得信息安全的建议； 共享和交换关于新的技术、产品、威胁或脆弱性的信息；当处置信息安全事件时，提供适当的联络点。

内部组织及沟通
1) 信息安全工作小组组织各个部门通过公告、内部网络、宣传物品、活动、通告、会议及培训把有关信息安全方面的政策及其它事项传达予各员工；
2) 员工对公司信息安全管理体系有任何意见可向其部门主管或其所在部门信息安全员建议、投诉；部门主管或信息安全员将员工的意见分类后向信息安全工作小组反映并填写《信息安全管理体系意见表》，信息安全工作小组联同各部门按此表格进行跟进并进行有关调查；
3) 信息安全工作小组负责收集和汇总《机构及特定利益团体联系表》的信息。
4) 信息安全管理体系的管理评审结果应由信息安全工作小组向各部门负责人员讲解及监察其执行情况；
5) 信息安全工作小组联同各部门建立及维护信息安全管理体系的文件控制制度；
6) 每月召开安全例会，传达公司安全精神和公司内部信息安全相关工作；
7) 员工有关于信息安全管理体系方面的建议和问题可以通过email直接发邮件

远程接入的用户认证
1) 凡是接入公司的远程用户的访问必须通过并经过认证方可接入。
2) 认证用户必须使用8位以上复杂密码。
3) 任何远程接入用户不得将自己的用户名、密码提供给任何人，包括同事，家人。
4) 所有远程接入用户的客户端或个人电脑必须安装防病毒软件并且病毒库升级到。
远程接入的审计
1) 远程接入用户的操作必须要经过接入设备的审计。应记录相关日志，对用户行为。
实施策略
1) 信息安全工作小组负责内部信息沟通的有效渠道建设；
2) 员工有关于信息安全管理系统方面的建议和问题可以通过email直接发邮件
3) 员工对信息安全管理体系有任何意见填写《信息安全管理体系意见表》。
4) 信息安全工作小组负责收集和汇总《机构及特定利益团体联系表》的信息。
企业在申请iso27001认证时需要提供以下材料：
1法律地位文件（如企业法人营业执照、事业单位法人代码、社团法人登记证等），组织机构代码；
2 有效的、产品生产许可证强制性产品认证等（需要时）
3组织简介（产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等）
4申请认证产品的生产、加工或服务工艺流程图；
5临时场所、多场所需提供清单；
6管理手册、程序文件及组织机构图；
7服务器数量以及终端数量；
8适用性声明、资产列表
9 保密协议、信息安全敏感区域的声明；
10 支持iso27001信息安全管理体系的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程。
http://iso9001fsc1.b2b168.com