公司名称深圳汉墨管理咨询有限公司
行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
所在地深圳
ISO认证ISO27001信息安全管理体系认证咨询
ISO27001认证ISO27001信息安全管理体系认证
发货地深圳或广州
ISO27001认证信息安全管理体系认证
远程接入的用户认证
1) 凡是接入公司的远程用户的访问必须通过并经过认证方可接入。
2) 认证用户必须使用8位以上复杂密码。
3) 任何远程接入用户不得将自己的用户名、密码提供给任何人,包括同事,家人。
4) 所有远程接入用户的客户端或个人电脑必须安装防病毒软件并且病毒库升级到。
远程接入的审计
1) 远程接入用户的操作必须要经过接入设备的审计。应记录相关日志,对用户行为监控。
实施策略
1) 信息安全工作小组负责内部信息沟通的有效渠道建设;
2) 员工有关于信息安全管理系统方面的建议和问题可以通过email直接发邮件
3) 员工对信息安全管理体系有任何意见填写《信息安全管理体系意见表》。
4) 信息安全工作小组负责收集和汇总《监管机构及特定利益团体联系表》的信息。
1.人员选拔
人力资源部应严格按照各岗位的《岗位说明书》对应聘人员进行认真筛选,应聘人员面试时需携带简历并填写《应聘登记表》,面试官应填写相应的《面试评估表》。
2.背景调查
人力资源部对拟录用的新员工根据岗位的重要程度进行身份、背景、专业资格和等方面进行背景调查,详见《背景调查管理规定》。背景调查如无问题,正式录用审批,详见《新员工录用审批表》。录用审批完成,给拟录用的新员工发送《录用邀请函》。
3.内部选拔
从事关键岗位或负责核心系统、机房等重要区域的人员,**从公司内部人员选拨,应具备认真负责的工作态度、较高的职业道德水准;
4.入职
人力资源部负责员工的入职手续,参见《新员工入职手续清单》,并签署《劳动合同书》以及《知识产权及保密协议》。《知识产权及保密协议》的保密条款的要求应根据公司业务的变更由法务主管及时进行评审修订。《劳动合同》一式两份,员工本人及人力资源部各保存一份。临时雇用人员、客户以及合作方等第三方人员在与公司签订的合同中应约定相关人员的信息安全职责。
项目管理中的信息安全
作为项目的一部份,信息安全需整合到组织的项目管理方法中,以确保识别并强调了信息安全风险。所有项目,无论其特征是什么,例如软件开发过程、IT、设施管理和其他支持过程等方面的项目,均需要使用以下的信息安全控制措施进行管理:
1) 重点项目启动前对人员和技术进行风险评估及合同评估;
2) 根据客户要求签订保密协议;
3) 信息安全目的被纳入项目目的;
4) 信息安全作为所采用的项目管理方法各个阶段的一部分;
5) 在所有项目中需定期评审信息安全问题。
1. 目的和范围
为了规定公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估本公司的信息安全风险,选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持业务持续性发展,以满足信息安全管理方针的要求,特制订本制度。
本制度适用信息安全管理体系范围内信息安全风险评估活动。
2. 引用文件
1) 下列文件中的条款通过本制度的引用而成为本制度的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本制度,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本制度。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) ISO/IEC 27005:2008《信息技术-安全技术-风险管理》
5) 《GB/T 20984-2007信息安全风险评估指南》
3. 职责和权限
1) 信息安全管理小组:负责汇总确认《信息安全风险评估表》,并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。
2) 公司全体员工:在信息安全管理小组协调下,负责本部门使用或管理的资产的识别和风险评估;负责本部门所涉及的资产的具体安全控制工作。信息安全管理员在本部门信息资产发生变更时,需要及时清点和评估,并报送信息安全管理小组更新《信息安全风险评估表》。
http://iso9001fsc1.b2b168.com
