公司名称深圳汉墨管理咨询有限公司
行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
服务电话
所在地深圳
ISO认证ISO27001信息安全管理体系认证咨询
ISO27001认证ISO27001信息安全管理体系认证
发货地深圳或广州
ISO27001认证信息安全管理体系认证
1、一级:重要敏感数据, 包括公司数据资产,主要用于公司直接营收的数据,如提交给客户的客探结果数据,泄露会造成直接经济损失。公司核心数据,经过加工的数据,有全方面的数据信息,需要严格管理,如客户肖像库,信息库,客户方提供的需要通过业务外包平台操作的数据,泄露后对公司可能造成全面损失。这些数据被非法复制传播后,可造成经济上的重大损失和引发重大安全事故及涉诉事件。由所涉及到的部门人员:服务部、如涉及财务数据由财务部共同承担安全管理责任。标记为D1。主要包括:
业务结果数据
客户信息数据
系统或网络安全控制配置数据,防火墙数据
业务帐号安全配置数据
业务运行配置数据
敏感客户业务原始数据
录音记录数据
财务帐目数据
其他敏感信息数据
2、二级:非敏感重要数据,包括公司系统数据,由各种公司系统产生出的原始数据,限制范围使用,泄露对公司有可能造成某方面损失。如启通宝系统通话记录,客探系统记录,被非法复制传播或丢失、损坏后,可造成一定的经济损失或引发客户投诉事件。由所涉及到的部门人员:服务部承担安全管理责任。标记为D2。主要包括:
业务过程数据
启通宝通话记录
客探系统数据
系统运行日志数据
其他重要数据
3、三级:公司内部非敏感数据及第三方非敏感数据,不对外公开,但公开对公司无损失的信息,如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。由所涉及到的部门人员:服务部、测试部,销售部,研发部共同承担安全管理责任。标记为D3。主要包括:
员工通讯录
话述信息数据
系统测试业务数据
项目施工测试数据
项目施工过程数据
销售业绩数据
其他非敏感数据
1. 目的和范围
为了规定公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估本公司的信息安全风险,选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持业务持续性发展,以满足信息安全管理方针的要求,特制订本制度。
本制度适用信息安全管理体系范围内信息安全风险评估活动。
2. 引用文件
1) 下列文件中的条款通过本制度的引用而成为本制度的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本制度,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本制度。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) ISO/IEC 27005:2008《信息技术-安全技术-风险管理》
5) 《GB/T 20984-2007信息安全风险评估指南》
3. 职责和权限
1) 信息安全管理小组:负责汇总确认《信息安全风险评估表》,并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。
2) 公司全体员工:在信息安全管理小组协调下,负责本部门使用或管理的资产的识别和风险评估;负责本部门所涉及的资产的具体安全控制工作。信息安全管理员在本部门信息资产发生变更时,需要及时清点和评估,并报送信息安全管理小组更新《信息安全风险评估表》。
1 管理评审计划
信息安全体系负责人负责在管理评审实施前编制《管理评审计划》,并得到信息安全管理小组的批准。
管理评审计划主要内容包括:
1) 评审范围、内容及时间安排;
2) 参加评审的单位和人员;
3) 评审会议议程。
2评审实施
信息安全管理体系负责人负责主持管理评审活动。
1) 评审:与会人员在“会议签到表”上签字后,由体系负责人主持并介绍体系运行情况和内审情况:
2) 内审的充分性、有效性,内部审核关于信息安全管理体系的符合性、有效性的结论;
a) 信息安全管理体系文件的充分性和适宜性;
b) 事故事件情况;
c) 对重大危害因素和重要环境因素的控制情况;
d) 目标、指标和管理方案的实现情况;
e) 信息安全方针的适宜性;
f) 整个信息安全管理体系的符合性、有效性和适宜性;
g) 持续改进的意见。
信息安全管理小组对所汇报的内容进行评审并做出改进决定,并对评审结果及决策进行记录。
3) 管理评审的输出应包括为实现持续改进的承诺而做出的,与信息安全方针、目标、指标以及其他信息安全管理体系要素的修改有关的决策和行动。如:
h) 信息安全管理体系有效性的改进;
i) 与顾客要求有关的服务的改进;
j) 资源需求等。
1、服务部:
1)对公司经营或运营数据资产进行统一编号。
2)负责制定公司数据资产安全管理制度。
3)负责对一级业务结果数据资产进行安全管理,标注一级数据资产及其介质,在传输时须进行加密传输,并由专人保管。
4)负责对二级业务过程数据进行安全管理,标注二级数据资产及其介质,由专人保管。
5)制定维护数据资产清单。
6)数据调阅管控:签发审批单,做好审批记录。
7)对四级服务外包数据资产及其介质分级标注。
8)操作计算机只安装允许配置的软件,并制定和维护允许安装的软件清单。
9)存储在任何介质中一二级的不用的、过时的或无效的数据须进行不可恢复性删除。删除前须经过主管审批通过,执行删除时须经过至少二人确认。
10)对于二级系统和业务数据,须对登录帐号配置相应的访问角色权限。不同的角色访问不同的数据。
11)在数据管理软件中配置和控制登录权限,打开操作日志等。
12)对数据存储服务器控制和配置帐号权限。
13)在业务系统软件中配置和控制登录权限,打开操作日志等。
14)对数据操作使用的环境场地进行安全配置。
15)对数据操作使用的网络安全环境进行安全配置。
16)对服务器网络和计算机只打开需要的设备和端口。
17)数据操作进行监控,必要时安装监控设备。
18)对移动介质存储数据进行管理和控制。
19)对于一二三级相关系统和业务数据进行数据备份管理。
20)保证项目实施过程中一级数据中系统配置数据的安全使用,防止复制传输过程中被非法传播、遗失、损坏。
21)保证项目实施过程中二级数据的安全操作,防止二级数据被损坏或丢失。
22)保证项目实施过程中的其他数据的安全。
-/gbafcjj/-
http://iso9001fsc1.b2b168.com
