协助申请 标准规范 汕头ISO27001认证咨询

组织全体人员都参与进来，从而保证大家在思路上的共识；（8）体系运行模式满足原则遵照PDCA过程方法来对体系进行不间断的持续改进；（9）工具接口满足原则如要对IT服务管理与信息安全，要建设两个系统时，要求两个系统要设计详细的接口，并有的文档来记录接口定义。通过以往的项目经验及对两套体系的研究，归纳与总结ISO20000与ISO27001的体系对比，两套体系整合的可行性可能会存在以下几个方面，（1）体系实施人员的整合作为两套体系整合的要素，也是整合重要的因素，只有对实施人员的统一管理与任务分派，才能更好的管理体系实施与改进。即使人员有很大变动时，也能保证正常的服务运营；（2）体系规范的整合体系实施人员通过自身研究或借助咨询公司深入研究两套体系规范。
远程接入的用户认证
1) 凡是接入公司的远程用户的访问必须通过并经过认证方可接入。
2) 认证用户必须使用8位以上复杂密码。
3) 任何远程接入用户不得将自己的用户名、密码提供给任何人，包括同事，家人。
4) 所有远程接入用户的客户端或个人电脑必须安装防病毒软件并且病毒库升级到。
远程接入的审计
1) 远程接入用户的操作必须要经过接入设备的审计。应记录相关日志，对用户行为。
实施策略
1) 信息安全工作小组负责内部信息沟通的有效渠道建设；
2) 员工有关于信息安全管理系统方面的建议和问题可以通过email直接发邮件
3) 员工对信息安全管理体系有任何意见填写《信息安全管理体系意见表》。
4) 信息安全工作小组负责收集和汇总《机构及特定利益团体联系表》的信息。

ISO27001认证目的
1 目的
为规范公司信息安全管理，**公司信息安全，根据《信息安全等级保护管理办法》、《信息技术安全技术信息安全管理体系要求》（GB/T 22080-2016/ISO/IEC 27001:2013）以及公司相关规章制度，制订本制度。
2 范围
本制度规定了本企业内部人员、第三方人员等人力资源安全管理的相关内容，包括人员选拔、人员录用、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人员安全等。本标准适用于本企业内部人员及第三方人员的管理与考核。
3术语和定义
3.1 人员安全
是指通过管理和控制，确保单位内部人员和第三方人员在安全意识、能力和素质等方面都满足工作岗位的要求。
3.2 第三方人员
第三方人员是指除本公司员工以外所有的组织和人员。第三方人员分为临时来访的第三方人员和非临时来访的第三方人员。
临时来访的第三方人员是指因某些临时需求来访公司的人员，如：面试人员、客户以及其他来访人员等。
非临时来访的第三方是指来自外单位的服务机构，为本单位提供设备、网络、系统、软件、信息安全、保洁等服务的工作人员，如：项目人员、保洁人员、设备维护人员等。
3.3 安全教育和培训
是通过宣传和教育的手段，确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性，具备符合要求的安全意识、知识和技能，提高其进行信息安全防护的主动性、自觉性和能力。

风险定期评估
1) 信息安全管理小组：负责组织至少每年一次的信息资产风险评估，以确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施，各部门将风险评估结果汇总到信息安全管理小组。评估的结果将作为管理评审的输入内容之一。对发生以下情况需及时进行风险评估：
 当业务过程和活动发生重大调整或变化时；
 当发生重大信息安全事故时；
 当信息网络系统发生重大更改时；
 安委会小组确定有必要时。
2) 各部门按照本制度及时将本部门信息资产的变更汇总到信息安全管理小组。

与特定利益集团联系
为及时了解行业相关非营利机构新公布的信息，公司应保持与特定相关方、其他安全组和协会的适当联系，增进实践的知识，掌握相关安全信息； 获取以前的有关攻击和脆弱性的预警、公告和补丁； 获得信息安全的建议； 共享和交换关于新的技术、产品、威胁或脆弱性的信息；当处置信息安全事件时，提供适当的联络点。
什么是信息
1) 信息是经过分析、共享和理解的数据或者资料。
2) 信息同时也是一种资产，就如同其它的商业资产一样，对一个组织而言是具有价值的，因而需要妥善保护。
3) 常见的信息：u信息、内部信息、客户信息、息
4) 信息的表现形式：
a) 列印或写在纸张上的；
b) 用电子方式储存的；
c) 以邮件传输（包括电子邮件）；
d) 以影视或胶片方式表现的；
e) 也可能存在于人的大脑中的 。
2、 什么是信息安全
对于公司来说，确保：
1) 不被丢失、恶意篡改；
2) 知识产权不被取；
3) 公司业务在受到网络攻击、自然灾害等情况时，可在短时间内恢复正常业务，继续为客户提供服务，将公司损失降低到小…等等
http://iso9001fsc1.b2b168.com