顾问可信 潮州ISO27001认证审核

ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。
但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家机构的委托授权，才能为认证组织提供认证服务，并发放认证。大多数国家都有自己的国家机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案。
通过进行ISO27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到小，创造更大收益。
通过认证能保证和组织所有的部门对信息安全的承诺。
通过认证可改善全体的业绩、消除不信任感。
获得国际认可的机构的认证，可得到国际上的承认，拓展您的业务。
建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。
笔记本电脑使用规定
1) 笔记本电脑设备必须有严格的口令访问控制措施，口令设置需满足公司安全策略要求。
2) 对无人看守的笔记本电脑设备必须实施物理保护，必须放在带锁的办公室、抽屉或文件柜里。
3) 笔记本电脑设备丢失或被后应及时报告给部门经理和行政部。
4) 凡带出公司使用而遗失、被偷盗等均由个人负全责赔偿。
5) 除自然损坏外，凡人为损坏（如撞坏、跌坏、电源插错烧坏等）由本人负责修好，由个人承担。
6) 笔记本电脑中除工作所需的软件外，不导入其他与工作无关的软件。
7) 离开公司办公环境的设备和媒体在公共场所不能无人看管，出差员工如需携带便携式计算机，需要提前向直属/行政部提出申请。在旅行时便携式计算机要作为手提行李携带不得托运，若可能宜伪装起来。重要数据需加密保存。

一级（P1）：公司内部关键岗位人员，如公司中高层管理人员（公司副总、各部门总监级、经理级的管理人员）、各信息系统管理人员、源代码管理人员、重务处理人员（会计主管、薪酬福利主管、法务、出纳）、金融及重点客户部、中开发。
二级（P2）：基层管理人员（公司主管级的管理人员）以及系统服务部、平台开发部、云计算及移动互联网开发部、大数据开发部、云呼叫业务开发部、系统架构会、产品部。
（P3）：测试部、及整合营销部、客户增长及增值服务部、服务运营会、大数据营销顾问部、自建服务部。
（P4）：人力资源部、行政部、商务采购部、总裁办。
五级（P5）：临时雇用人员、终客户、来自外单位的服务机构等相关第三方人员。

风险定期评估
1) 信息安全管理小组：负责组织至少每年一次的信息资产风险评估，以确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施，各部门将风险评估结果汇总到信息安全管理小组。评估的结果将作为管理评审的输入内容之一。对发生以下情况需及时进行风险评估：
 当业务过程和活动发生重大调整或变化时；
 当发生重大信息安全事故时；
 当信息网络系统发生重大更改时；
 安委会小组确定有必要时。
2) 各部门按照本制度及时将本部门信息资产的变更汇总到信息安全管理小组。

ISO27001认证对于数据的敏感
1、一级：重要敏感数据， 包括公司数据资产，主要用于公司直接营收的数据，如提交给客户的客探结果数据，泄露会造成直接经济损失。公司核心数据，经过加工的数据，有全方面的数据信息，需要严格管理，如客户肖像库，信息库，客户方提供的需要通过业务平台操作的数据，泄露后对公司可能造成全面损失。这些数据被非法复制传播后，可造成经济上的重大损失和引发重大安全事故及涉诉事件。由所涉及到的部门人员：服务部、如涉及数据由部共同承担安全管理责任。标记为D1。主要包括：
 业务结果数据
 客户信息数据
 系统或网络安全控制配置数据，防火墙数据
 业务帐号安全配置数据
 业务运行配置数据
 敏感客户业务原始数据
 录音记录数据
 帐目数据
 其他敏感信息数据
2、二级：非敏感重要数据，包括公司系统数据，由各种公司系统产生出的原始数据，限制范围使用，泄露对公司有可能造成某方面损失。如启通宝系统通话记录，客探系统记录，被非法复制传播或丢失、损坏后，可造成一定的经济损失或引发客户投诉事件。由所涉及到的部门人员：服务部承担安全管理责任。标记为D2。主要包括：
 业务过程数据
 启通宝通话记录
 客探系统数据
 系统运行日志数据
 其他重要数据
3、：公司内部非敏感数据及第三方非敏感数据，不对外公开，但公开对公司无损失的信息，如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。由所涉及到的部门人员：服务部、测试部，销售部，研发部共同承担安全管理责任。标记为D3。主要包括：
 员工通讯录
 话述信息数据
 系统测试业务数据
 项目施工测试数据
 项目施工过程数据
 销售业绩数据
 其他非敏感数据
ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；*二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据立组织的需要应实施安全控制的要求。
ISO27001咨询流程
阶段：现状调研
从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研，通过培训使贵公司相关人员全面了解信息安全管理的基本知识。包括：
项目启动：前期沟通，实施计划，项目小组，资源支持，启动会议。
前期培训：信息安全管理基础，风险评估方法。
现状评估：初步了解信息安全现状，分析与标准要求的差距。
业务分析：访谈调查，核心与支持业务，业务对资源的需求，业务影响分析。
*二阶段：风险评估
对贵公司信息资产进行资产价值、威胁因素、脆弱性分析，从而评估贵公司信息安全风险，选择适当的措施、方法实现管理风险的目的。
资产识别：识别贵公司的各种信息资产。
风险评估：重要资产、威胁、弱点、风险识别与评估。
*三阶段：管理策划
根据贵公司对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。
文件编写：编写各级管理文件，进行Review及修订，管理层讨论确认。
发布实施：ISMS实施计划，体系文件发布，控制措施实施。
中期培训：全员安全意识培训，ISMS实施推广培训，必要的考核
*四阶段：体系实施
ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。
认证申请：与认证机构磋商，准备材料申请认证，制定认证计划，预审核。
后期培训：审核员等角色的技能培训。
内部审核：审核计划，Checklist，内部审核，不符合项整改。
管理评审：信息安全管理会组织ISMS整体评审，纠正预防。
*五阶段：认证审核
经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。
认证准备：准备送审文件，安排部署审核事项。
协助认证：内部审核小组陪同协助，应对审核问题。
http://iso9001fsc1.b2b168.com