长沙ISO27001认证审核 顾问可信

ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。
但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家机构的委托授权，才能为认证组织提供认证服务，并发放认证。大多数国家都有自己的国家机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案。
ISO27001认证，由（BSI）于1995年2月提出，并于1995年5月修订而成的，1999年BSI重新了该标准。分为两个部分：BS7799-1实施规则，BS7799-2规范。信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和等行业。
ISO27001认证小组
1信息安全工作小组
⑴负责公司及信息系统操作人员安全管理工作；
⑵负责以季为单位执行公司信息安全的检查及管理工作，并及时向相关负责人提交执行情况的报告，反馈问题给执行方并限期解决。
⑶负责研究国家和行业的信息安全政策法规，组织有关部门讨论来保证其符合性。
2 信息安全体系负责人
⑴负责工作岗位风险状态分级及划分信息系统安全职责和权限；
⑵负责普及信息安全防范意识，并针对信息安全违规事件向公司提出处理建议。
⑶负责完成系统建设、建立目录结构与目录安全策略、部署服务器与建立服务器安全策略、完成备份策略等。
3人力资源部
⑴根据企业的发展现状和未来需要，参与并制定出切合实际的人力资源；
⑵制定人力资源规划，根据企业的发展需要审核各部门的人员编制，编写人力资源支出预算，进行成本控制；
⑶拟定、修订、废止、发放、解释人力资源相关的管理制度，进行各部门职责权限划分；
⑷各部门人事问题的解决处理和人事关系协调；
⑸负责人事档案的汇集整理、存档保管、统计分析和《劳动合同书》以及《知识产权及保密协议》的签订；
⑹负责公司级组织结构的设计和各职位的《岗位说明书》的组织编写；
⑺进行人员与录用、转正、员工升调、辞退管理以及相关记录的存档备案管理；
⑻薪酬和福利管理；
⑼部门层面、员工层面的绩效管理；
⑽负责员工信息安全教育的培训及考核；
⑾协助公司开展建立流程型组织，并其执行。
⑿负责第三方人员信息安全管理工作；

ISO27001认证目的
1 目的
为规范公司信息安全管理，**公司信息安全，根据《信息安全等级保护管理办法》、《信息技术安全技术信息安全管理体系要求》（GB/T 22080-2016/ISO/IEC 27001:2013）以及公司相关规章制度，制订本制度。
2 范围
本制度规定了本企业内部人员、第三方人员等人力资源安全管理的相关内容，包括人员选拔、人员录用、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人员安全等。本标准适用于本企业内部人员及第三方人员的管理与考核。
3术语和定义
3.1 人员安全
是指通过管理和控制，确保单位内部人员和第三方人员在安全意识、能力和素质等方面都满足工作岗位的要求。
3.2 第三方人员
第三方人员是指除本公司员工以外所有的组织和人员。第三方人员分为临时来访的第三方人员和非临时来访的第三方人员。
临时来访的第三方人员是指因某些临时需求来访公司的人员，如：面试人员、客户以及其他来访人员等。
非临时来访的第三方是指来自外单位的服务机构，为本单位提供设备、网络、系统、软件、信息安全、保洁等服务的工作人员，如：项目人员、保洁人员、设备维护人员等。
3.3 安全教育和培训
是通过宣传和教育的手段，确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性，具备符合要求的安全意识、知识和技能，提高其进行信息安全防护的主动性、自觉性和能力。

项目管理中的信息安全
作为项目的一部份，信息安全需整合到组织的项目管理方法中，以确保识别并强调了信息安全风险。所有项目，无论其特征是什么，例如软件开发过程、IT、设施管理和其他支持过程等方面的项目，均需要使用以下的信息安全控制措施进行管理：
1） 重点项目启动前对人员和技术进行风险评估及合同评估；
2） 根据客户要求签订保密协议；
3） 信息安全目的被纳入项目目的；
4） 信息安全作为所采用的项目管理方法各个阶段的一部分；
5） 在所有项目中需定期评审信息安全问题。

笔记本电脑使用规定
1) 笔记本电脑设备必须有严格的口令访问控制措施，口令设置需满足公司安全策略要求。
2) 对无人看守的笔记本电脑设备必须实施物理保护，必须放在带锁的办公室、抽屉或文件柜里。
3) 笔记本电脑设备丢失或被后应及时报告给部门经理和行政部。
4) 凡带出公司使用而遗失、被偷盗等均由个人负全责赔偿。
5) 除自然损坏外，凡人为损坏（如撞坏、跌坏、电源插错烧坏等）由本人负责修好，由个人承担。
6) 笔记本电脑中除工作所需的软件外，不导入其他与工作无关的软件。
7) 离开公司办公环境的设备和媒体在公共场所不能无人看管，出差员工如需携带便携式计算机，需要提前向直属/行政部提出申请。在旅行时便携式计算机要作为手提行李携带不得托运，若可能宜伪装起来。重要数据需加密保存。
ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)
ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)
ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines
ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement
ISO 27005 信息安全管理体系—风险管理ISMS Risk management
ISO 27006 信息安全管理体系—认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certification
ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南
Information technology_Security techniques_ISMS auditor guidelines
其中ISO27001：2005 的终标准草案(FDIS)已经在2005年7月发布，预计在2005年底或2006年初作为正式国际标准发布。
ISO27000认证：
信息安全管理体系建设项目划分成五个大的阶段，并包含25项关键的活动，如果每项前后关联的活动都能很好地完成，终就能建立起有效的ISMS，实现信息安全建设整体蓝图，接受ISO27001审核并获得认证更是水到渠成的事情。
1现状调研：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员全面了解信息安全管理的基本知识。
2 风险评估：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。
3 管理策划：根据组织对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。
4 体系实施阶段：ISMS建立起来(体系文件正式发布实施)之后，要通过一定时间的试运行来检验其有效性和稳定性。
5 认证审核阶段：经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。
http://iso9001fsc1.b2b168.com