认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
发货地深圳或广州
ISO认证ISO27001信息安全管理体系认证咨询
服务区域全国
产品名称ISO27001认证
办证周期2个月
有效期3年
价格费用优惠面议
适用标准ISO27001:2013
证书有效可查
公司机构正规
审核流程协助推进
资料材料协助整理
ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;*二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据立组织的需要应实施安全控制的要求。
ISO27001认证好处:
1.符合法律法规要求
的获得,可以向机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
2.维护企业的声誉、和客户信任
的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
3.履行信息安全管理责任
的获得,本身就能组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
4.增强员工的意识、责任感和相关技能
的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
5.保持业务持续发展和竞争优势
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
6.实现风险管理
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
7.减少损失,降低成本
ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到低程度
不可接受风险的确定和处理
1) 针对所有的中级以上(包括中级)风险,各责任部门采取有效安全控制措施,确保所采取的控制措施是充分的,直到其风险降至可接受为止。
2) 在实际的控制措施执行后,信息安全管理小组及各部门评估人员根据实际措施的执行效果,重新评估资产的威胁值和脆弱性值,从而计算出关键活动的余风险。
3) 信息安全管理小组:根据风险评估以及处置的结果编制《信息安全风险评估报告》,陈述本公司信息安全管理现状及余风险状况。
4) 对于不进行处置的风险及余风险仍处于中级以上(包括中级)的风险,由信息安全管小组完成《余风险批示报告》,《余风险批示报告》需经过公司管理者批准通过,才能接受余风险。
ISO27001认证流程:
1、服务部:
1)对公司经营或运营数据资产进行统一编号。
2)负责制定公司数据资产安全管理制度。
3)负责对一级业务结果数据资产进行安全管理,标注一级数据资产及其介质,在传输时须进行加密传输,并由专人保管。
4)负责对二级业务过程数据进行安全管理,标注二级数据资产及其介质,由专人保管。
5)制定维护数据资产清单。
6)数据调阅管控:签发审批单,做好审批记录。
7)对服务数据资产及其介质分级标注。
8)操作计算机只安装允许配置的软件,并制定和维护允许安装的软件清单。
9)存储在任何介质中一二级的不用的、过时的或无效的数据须进行不可恢复性。前须经过主管审批通过,执行时须经过至少二人确认。
10)对于二级系统和业务数据,须对登录帐号配置相应的访问角色权限。不同的角色访问不同的数据。
11)在数据管理软件中配置和控制登录权限,打开操作日志等。
12)对数据存储服务器控制和配置帐号权限。
13)在业务系统软件中配置和控制登录权限,打开操作日志等。
14)对数据操作使用的环境场地进行安全配置。
15)对数据操作使用的网络安全环境进行安全配置。
16)对服务器网络和计算机只打开需要的设备和端口。
17)数据操作进行,必要时安装设备。
18)对移动介质存储数据进行管理和控制。
19)对于一二相关系统和业务数据进行数据备份管理。
20)保证项目实施过程中一级数据中系统配置数据的安全使用,防止复制传输过程中被非法传播、遗失、损坏。
21)保证项目实施过程中二级数据的安全操作,防止二级数据被损坏或丢失。
22)保证项目实施过程中的其他数据的安全。
与特定利益集团联系
为及时了解行业相关非营利机构新公布的信息,公司应保持与特定相关方、其他安全组和协会的适当联系,增进实践的知识,掌握相关安全信息; 获取以前的有关攻击和脆弱性的预警、公告和补丁; 获得信息安全的建议; 共享和交换关于新的技术、产品、威胁或脆弱性的信息;当处置信息安全事件时,提供适当的联络点。
笔记本电脑使用规定
1) 笔记本电脑设备必须有严格的口令访问控制措施,口令设置需满足公司安全策略要求。
2) 对无人看守的笔记本电脑设备必须实施物理保护,必须放在带锁的办公室、抽屉或文件柜里。
3) 笔记本电脑设备丢失或被后应及时报告给部门经理和行政部。
4) 凡带出公司使用而遗失、被偷盗等均由个人负全责赔偿。
5) 除自然损坏外,凡人为损坏(如撞坏、跌坏、电源插错烧坏等)由本人负责修好,由个人承担。
6) 笔记本电脑中除工作所需的软件外,不导入其他与工作无关的软件。
7) 离开公司办公环境的设备和媒体在公共场所不能无人看管,出差员工如需携带便携式计算机,需要提前向直属/行政部提出申请。在旅行时便携式计算机要作为手提行李携带不得托运,若可能宜伪装起来。重要数据需加密保存。
什么是信息
1) 信息是经过分析、共享和理解的数据或者资料。
2) 信息同时也是一种资产,就如同其它的商业资产一样,对一个组织而言是具有价值的,因而需要妥善保护。
3) 常见的信息:u信息、内部信息、客户信息、息
4) 信息的表现形式:
a) 列印或写在纸张上的;
b) 用电子方式储存的;
c) 以邮件传输(包括电子邮件);
d) 以影视或胶片方式表现的;
e) 也可能存在于人的大脑中的 。
2、 什么是信息安全
对于公司来说,确保:
1) 不被丢失、恶意篡改;
2) 知识产权不被取;
3) 公司业务在受到网络攻击、自然灾害等情况时,可在短时间内恢复正常业务,继续为客户提供服务,将公司损失降低到小…等等
http://iso9001fsc1.b2b168.com
