认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
发货地深圳或广州
ISO认证ISO27001信息安全管理体系认证咨询
服务区域全国
产品名称ISO27001认证
办证周期2个月
有效期3年
价格费用优惠面议
适用标准ISO27001:2013
证书有效可查
公司机构正规
审核流程协助推进
资料材料协助整理
ISO27001信息安全管理体系,部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;*二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据立组织的需要应实施安全控制的要求。该标准能帮助众多企业构建信息安全体系,实现信息安全的防范。(1)通过定义、评估和控制风险,确保经营的持续性和能力。(2)减少由于合同违规行为以及直接触犯法律法规要求所造成的责任。(3)通过遵守国际标准提高企业竞争能力,提升企业形象,维护企业的声誉、和客户信任,保持业务持续发展和竞争优势。(4)实现风险管理,履行信息安全管理责任,明确定义所有组织的内部和外部的信息接口目标。
ISO27001认证:依据风险评估结果,对风险采取了以下管控措施:风险接受、风险降低、风险转移和风险。
1) 风险接受:接受特定风险带来的损失或收益。
2) 风险降低:采取行动降低风险发生的可能性或减轻后果,或同时降低风险发生的可能性和减轻后果。
制定风险处置计划并执行相应的整改措施。内容包括:
管理措施(流程、方针、规定);
技术设置(参数、功能设置);
技术产品(安全设备、软件);
计划完成日期;
完成日期;
责任部门;
措施落实状况;
整改后风险评估等。
3) 风险转移:与其它组织分担风险的损失或收益。
4) 风险:决定不陷入风险,或从风险处境中撤离的行为。
ISO27001认证:
1. 风险识别
通过进行风险识别活动,识别了以下内容:
1) 识别了信息安全管理体系范围内的资产及其责任人;
2) 识别了资产所面临的威胁;
3) 识别了可能被威胁利用的脆弱点;
4) 识别了丧失保密性、完整性和可用性可能对资产造成的影响。
2. 风险估计与评价
1) 通过对资产的保密性(C)、完整性(I)、可用性(A)及业务影响度(BI)赋值对公司资产丧失CIA(BI)所造成的后果进行了判断。
资产赋值常常是很困难的,因为需要对某些资产进行客观的赋值,但不同的人员可能做出不同的判断。应该用明确的术语,通过书面形式描述作为每一资产赋值基础的准则。用于判断资产价值的可能准则包括:
a) 资产的原始价值;
b) 替代或重建的成本;
c) 资产的抽象价值,如组织声誉的价值;
d) 由事件导致资产丧失保密性、完整性和可用性所带来的成本。如果适用、还应该考虑不可否认性、可审计性、真实性和可靠性;
e) 资产的其他资产依赖性价值。
如何进行ISO27001认证
1.人员选拔
人力资源部应严格按照各岗位的《岗位说明书》对应聘人员进行认真筛选,应聘人员面试时需携带简历并填写《应聘登记表》,面试官应填写相应的《面试评估表》。
2.背景调查
人力资源部对拟录用的新员工根据岗位的重要程度进行身份、背景、和等方面进行背景调查,详见《背景调查管理规定》。背景调查如无问题,正式办理录用审批,详见《新员工录用审批表》。录用审批完成,给拟录用的新员工发送《录用邀请函》。
3.内部选拔
从事关键岗位或负责核心系统、机房等重要区域的人员,**从公司内部人员选拨,应具备认真负责的工作、较高的职业道德水准;
4.入职办理
人力资源部负责办理员工的入职手续,参见《新员工入职手续办理清单》,并签署《劳动合同书》以及《知识产权及保密协议》。《知识产权及保密协议》的保密条款的要求应根据公司业务的变更由法务主管及时进行评审修订。《劳动合同》一式两份,员工本人及人力资源部各保存一份。临时雇用人员、客户以及合作方等第三方人员在与公司签订的合同中应约定相关人员的信息安全职责。
远程接入的用户认证
1) 凡是接入公司的远程用户的访问必须通过并经过认证方可接入。
2) 认证用户必须使用8位以上复杂密码。
3) 任何远程接入用户不得将自己的用户名、密码提供给任何人,包括同事,家人。
4) 所有远程接入用户的客户端或个人电脑必须安装防病毒软件并且病毒库升级到。
远程接入的审计
1) 远程接入用户的操作必须要经过接入设备的审计。应记录相关日志,对用户行为。
实施策略
1) 信息安全工作小组负责内部信息沟通的有效渠道建设;
2) 员工有关于信息安全管理系统方面的建议和问题可以通过email直接发邮件
3) 员工对信息安全管理体系有任何意见填写《信息安全管理体系意见表》。
4) 信息安全工作小组负责收集和汇总《机构及特定利益团体联系表》的信息。
什么是信息
1) 信息是经过分析、共享和理解的数据或者资料。
2) 信息同时也是一种资产,就如同其它的商业资产一样,对一个组织而言是具有价值的,因而需要妥善保护。
3) 常见的信息:u信息、内部信息、客户信息、息
4) 信息的表现形式:
a) 列印或写在纸张上的;
b) 用电子方式储存的;
c) 以邮件传输(包括电子邮件);
d) 以影视或胶片方式表现的;
e) 也可能存在于人的大脑中的 。
2、 什么是信息安全
对于公司来说,确保:
1) 不被丢失、恶意篡改;
2) 知识产权不被取;
3) 公司业务在受到网络攻击、自然灾害等情况时,可在短时间内恢复正常业务,继续为客户提供服务,将公司损失降低到小…等等
http://iso9001fsc1.b2b168.com