认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
发货地深圳或广州
ISO认证ISO27001信息安全管理体系认证咨询
服务区域全国
产品名称ISO27001认证
办证周期2个月
有效期3年
价格费用优惠面议
适用标准ISO27001:2013
证书有效可查
公司机构正规
审核流程协助推进
资料材料协助整理
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家机构的委托授权,才能为认证组织提供认证服务,并发放认证。大多数国家都有自己的国家机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
ISO27001认证,由(BSI)于1995年2月提出,并于1995年5月修订而成的,1999年BSI重新了该标准。分为两个部分:BS7799-1实施规则,BS7799-2规范。信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和等行业。
内部组织及沟通
1) 信息安全工作小组组织各个部门通过公告、内部网络、宣传物品、活动、通告、会议及培训把有关信息安全方面的政策及其它事项传达予各员工;
2) 员工对公司信息安全管理体系有任何意见可向其部门主管或其所在部门信息安全员建议、投诉;部门主管或信息安全员将员工的意见分类后向信息安全工作小组反映并填写《信息安全管理体系意见表》,信息安全工作小组联同各部门按此表格进行跟进并进行有关调查;
3) 信息安全工作小组负责收集和汇总《机构及特定利益团体联系表》的信息。
4) 信息安全管理体系的管理评审结果应由信息安全工作小组向各部门负责人员讲解及监察其执行情况;
5) 信息安全工作小组联同各部门建立及维护信息安全管理体系的文件控制制度;
6) 每月召开安全例会,传达公司安全精神和公司内部信息安全相关工作;
7) 员工有关于信息安全管理体系方面的建议和问题可以通过email直接发邮件
ISO27001认证运行时可导致信息资产安全风险的因素分类及责任部门
1、一级风险:直接导致服务器运行中断,介质损坏,信息资产大范围损坏的风险,造成严重经济损失。由系统服务部承担安全管理责任。主要原因有:
设备断电
存储介质故障
感染病毒
2、二级风险:直接导致信息资产被非法拷贝传播,信息系统停止运行等重大故障,造成较大的经济损失。由系统服务部和各使用部门和研发部门共同承担安全管理责任。主要原因有:
软件、系统、平台、数据库管理员密码泄露,非法登录,运行数据被修改。
程序入侵
系统运行配置文件非法拷贝传播,使安全管控配置数据外泄。
代码BUG和溢出漏洞
外部攻击
3、风险:导致系统运行结果数据错误或业务数据被非法复制传播,造成一定的经济损失。由系统维护部承担安全管理责任。主要原因有:
业务管理员误操作
系统管理员误操作
操作人员帐号口令被。
一级(P1):公司内部关键岗位人员,如公司中高层管理人员(公司副总、各部门总监级、经理级的管理人员)、各信息系统管理人员、源代码管理人员、重务处理人员(会计主管、薪酬福利主管、法务、出纳)、金融及重点客户部、中开发。
二级(P2):基层管理人员(公司主管级的管理人员)以及系统服务部、平台开发部、云计算及移动互联网开发部、大数据开发部、云呼叫业务开发部、系统架构会、产品部。
(P3):测试部、及整合营销部、客户增长及增值服务部、服务运营会、大数据营销顾问部、自建服务部。
(P4):人力资源部、行政部、商务采购部、总裁办。
五级(P5):临时雇用人员、终客户、来自外单位的服务机构等相关第三方人员。
ISO27001认证:
1. 风险识别
通过进行风险识别活动,识别了以下内容:
1) 识别了信息安全管理体系范围内的资产及其责任人;
2) 识别了资产所面临的威胁;
3) 识别了可能被威胁利用的脆弱点;
4) 识别了丧失保密性、完整性和可用性可能对资产造成的影响。
2. 风险估计与评价
1) 通过对资产的保密性(C)、完整性(I)、可用性(A)及业务影响度(BI)赋值对公司资产丧失CIA(BI)所造成的后果进行了判断。
资产赋值常常是很困难的,因为需要对某些资产进行客观的赋值,但不同的人员可能做出不同的判断。应该用明确的术语,通过书面形式描述作为每一资产赋值基础的准则。用于判断资产价值的可能准则包括:
a) 资产的原始价值;
b) 替代或重建的成本;
c) 资产的抽象价值,如组织声誉的价值;
d) 由事件导致资产丧失保密性、完整性和可用性所带来的成本。如果适用、还应该考虑不可否认性、可审计性、真实性和可靠性;
e) 资产的其他资产依赖性价值。
ISO27001认证,即“信息安全管理体系”,是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法。
由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。
企业通过了ISO27001认证,即表示企业的信息安全管理已建立了一套科学有效的管理体系作为**。
信息安全管理体系的建立和健全,目的就是降低信息风险对经营带来的危害,并将其投资和商业利益大化。可提升企业公信力,同时可促进企业各部门进行信息全面综合管理,**信息安全,信息风险,大限度减少损失!由此做ISO27001认证的企业也越来越多
http://iso9001fsc1.b2b168.com
