认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
发货地深圳或广州
ISO认证ISO27001信息安全管理体系认证咨询
服务区域全国
产品名称ISO27001认证
办证周期2个月
有效期3年
价格费用优惠面议
适用标准ISO27001:2013
证书有效可查
公司机构正规
审核流程协助推进
资料材料协助整理
· 将现有管理体系和业务流程整合,规范IT部门服务水平,规范工作流程,降低导致的风险;
· 提高IT部门相关员工的素质,提高员工的服务能力和工作效率;
· 提升IT部门整体运作及部门间沟通的能力。
笔记本电脑使用规定
1) 笔记本电脑设备必须有严格的口令访问控制措施,口令设置需满足公司安全策略要求。
2) 对无人看守的笔记本电脑设备必须实施物理保护,必须放在带锁的办公室、抽屉或文件柜里。
3) 笔记本电脑设备丢失或被后应及时报告给部门经理和行政部。
4) 凡带出公司使用而遗失、被偷盗等均由个人负全责赔偿。
5) 除自然损坏外,凡人为损坏(如撞坏、跌坏、电源插错烧坏等)由本人负责修好,由个人承担。
6) 笔记本电脑中除工作所需的软件外,不导入其他与工作无关的软件。
7) 离开公司办公环境的设备和媒体在公共场所不能无人看管,出差员工如需携带便携式计算机,需要提前向直属/行政部提出申请。在旅行时便携式计算机要作为手提行李携带不得托运,若可能宜伪装起来。重要数据需加密保存。
ISO27001认证对于数据的敏感
1、一级:重要敏感数据, 包括公司数据资产,主要用于公司直接营收的数据,如提交给客户的客探结果数据,泄露会造成直接经济损失。公司核心数据,经过加工的数据,有全方面的数据信息,需要严格管理,如客户肖像库,信息库,客户方提供的需要通过业务平台操作的数据,泄露后对公司可能造成全面损失。这些数据被非法复制传播后,可造成经济上的重大损失和引发重大安全事故及涉诉事件。由所涉及到的部门人员:服务部、如涉及数据由部共同承担安全管理责任。标记为D1。主要包括:
业务结果数据
客户信息数据
系统或网络安全控制配置数据,防火墙数据
业务帐号安全配置数据
业务运行配置数据
敏感客户业务原始数据
录音记录数据
帐目数据
其他敏感信息数据
2、二级:非敏感重要数据,包括公司系统数据,由各种公司系统产生出的原始数据,限制范围使用,泄露对公司有可能造成某方面损失。如启通宝系统通话记录,客探系统记录,被非法复制传播或丢失、损坏后,可造成一定的经济损失或引发客户投诉事件。由所涉及到的部门人员:服务部承担安全管理责任。标记为D2。主要包括:
业务过程数据
启通宝通话记录
客探系统数据
系统运行日志数据
其他重要数据
3、:公司内部非敏感数据及第三方非敏感数据,不对外公开,但公开对公司无损失的信息,如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。由所涉及到的部门人员:服务部、测试部,销售部,研发部共同承担安全管理责任。标记为D3。主要包括:
员工通讯录
话述信息数据
系统测试业务数据
项目施工测试数据
项目施工过程数据
销售业绩数据
其他非敏感数据
ISO27001认证:
1. 管理评审周期
公司按年度召开信息安全管理体系的管理评审会议,会议一般在内审及第三方审核之后召开,会议对**年信息安全情况做出评审,评审结果作为下一年信息安全计划的输入。当发生下列情况时,信息安全管理小组可以临时决定增加管理评审。
1) 组织结构、资源配置发生重大变化;
2) 业务目标或业务运作流程发生重大变化;
3) 信息安全法律、法规发生重大变化;
4) 发生重大信息安全事件;
5) 风险等级的划分和风险可接受水平发生变化;
6) 其他不可预见情况需要时。
2. 管理评审内容
信息安全工作小组根据评审内容进行内容收集工作,准备**审必需的文件、资料等信息,并报体系负责人。各部门根据体系运行的情况形成《部门管理评审输入报告》做为评审会议的输入。
年度报告及管理评审内容应包括:
1) 信息安全管理体系相关文件变化;
2) 方针、目标完成情况及有效性测量结果;
3) 风险评估报告;
4) 内部和外部信息安全管理体系审核结果;
5) 纠正措施、预防措施实施报告;
6) 顾客等相关方反馈;
7) 实际运行的符合性;
8) 事故统计及分析报告;
9) 以往管理评审决定实施情况;
10) 可能影响信息安全管理体系的内外部环境的变化;
11) 改进的建议。
远程接入的用户认证
1) 凡是接入公司的远程用户的访问必须通过并经过认证方可接入。
2) 认证用户必须使用8位以上复杂密码。
3) 任何远程接入用户不得将自己的用户名、密码提供给任何人,包括同事,家人。
4) 所有远程接入用户的客户端或个人电脑必须安装防病毒软件并且病毒库升级到。
远程接入的审计
1) 远程接入用户的操作必须要经过接入设备的审计。应记录相关日志,对用户行为。
实施策略
1) 信息安全工作小组负责内部信息沟通的有效渠道建设;
2) 员工有关于信息安全管理系统方面的建议和问题可以通过email直接发邮件
3) 员工对信息安全管理体系有任何意见填写《信息安全管理体系意见表》。
4) 信息安全工作小组负责收集和汇总《机构及特定利益团体联系表》的信息。
企业在申请iso27001认证时需要提供以下材料:
1法律地位文件(如企业法人营业执照、事业单位法人代码、社团法人登记证等),组织机构代码;
2 有效的、产品生产许可证强制性产品认证等(需要时)
3组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等)
4申请认证产品的生产、加工或服务工艺流程图;
5临时场所、多场所需提供清单;
6管理手册、程序文件及组织机构图;
7服务器数量以及终端数量;
8适用性声明、资产列表
9 保密协议、信息安全敏感区域的声明;
10 支持iso27001信息安全管理体系的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程。
http://iso9001fsc1.b2b168.com
