资料协助 一站服务 郑州ISO27001认证资料

ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。
但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家机构的委托授权，才能为认证组织提供认证服务，并发放认证。大多数国家都有自己的国家机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案
除了组织自身投入之外，ISO27001 认证审核主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后，认证机构会初步了解组织现状，确定审核范围，提出审核。认证机构的通常是根据其投入的时间和人员来确定的，决定因素包括：
1、受审核组织的员工数量；
2、纳入审核范围的信息量；
3、场所数量；
4、组织与外界的关联；
5、组织 IT 的复杂性；
6、组织类型和业务性质等。
除了问题，认证审核的周期通常也是组织比较关心的。一般来说，从组织启动 ISMS建设项目开始，到终通过审核，至少要有半年时间（不包括获取的时间）。对于很多因为外部驱动力而决心实施 ISO27001 认证项目的组织来说，提早进行规划是必要的。
ISO27001认证流程：
1、服务部：
1)对公司经营或运营数据资产进行统一编号。
2)负责制定公司数据资产安全管理制度。
3)负责对一级业务结果数据资产进行安全管理，标注一级数据资产及其介质，在传输时须进行加密传输，并由专人保管。
4)负责对二级业务过程数据进行安全管理，标注二级数据资产及其介质，由专人保管。
5)制定维护数据资产清单。
6)数据调阅管控：签发审批单，做好审批记录。
7)对服务数据资产及其介质分级标注。
8)操作计算机只安装允许配置的软件，并制定和维护允许安装的软件清单。
9)存储在任何介质中一二级的不用的、过时的或无效的数据须进行不可恢复性。前须经过主管审批通过，执行时须经过至少二人确认。
10)对于二级系统和业务数据，须对登录帐号配置相应的访问角色权限。不同的角色访问不同的数据。
11)在数据管理软件中配置和控制登录权限，打开操作日志等。
12)对数据存储服务器控制和配置帐号权限。
13)在业务系统软件中配置和控制登录权限，打开操作日志等。
14)对数据操作使用的环境场地进行安全配置。
15)对数据操作使用的网络安全环境进行安全配置。
16)对服务器网络和计算机只打开需要的设备和端口。
17)数据操作进行，必要时安装设备。
18)对移动介质存储数据进行管理和控制。
19)对于一二相关系统和业务数据进行数据备份管理。
20)保证项目实施过程中一级数据中系统配置数据的安全使用，防止复制传输过程中被非法传播、遗失、损坏。
21)保证项目实施过程中二级数据的安全操作，防止二级数据被损坏或丢失。
22)保证项目实施过程中的其他数据的安全。

ISO27001认证对于数据的敏感
1、一级：重要敏感数据， 包括公司数据资产，主要用于公司直接营收的数据，如提交给客户的客探结果数据，泄露会造成直接经济损失。公司核心数据，经过加工的数据，有全方面的数据信息，需要严格管理，如客户肖像库，信息库，客户方提供的需要通过业务平台操作的数据，泄露后对公司可能造成全面损失。这些数据被非法复制传播后，可造成经济上的重大损失和引发重大安全事故及涉诉事件。由所涉及到的部门人员：服务部、如涉及数据由部共同承担安全管理责任。标记为D1。主要包括：
 业务结果数据
 客户信息数据
 系统或网络安全控制配置数据，防火墙数据
 业务帐号安全配置数据
 业务运行配置数据
 敏感客户业务原始数据
 录音记录数据
 帐目数据
 其他敏感信息数据
2、二级：非敏感重要数据，包括公司系统数据，由各种公司系统产生出的原始数据，限制范围使用，泄露对公司有可能造成某方面损失。如启通宝系统通话记录，客探系统记录，被非法复制传播或丢失、损坏后，可造成一定的经济损失或引发客户投诉事件。由所涉及到的部门人员：服务部承担安全管理责任。标记为D2。主要包括：
 业务过程数据
 启通宝通话记录
 客探系统数据
 系统运行日志数据
 其他重要数据
3、：公司内部非敏感数据及第三方非敏感数据，不对外公开，但公开对公司无损失的信息，如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。由所涉及到的部门人员：服务部、测试部，销售部，研发部共同承担安全管理责任。标记为D3。主要包括：
 员工通讯录
 话述信息数据
 系统测试业务数据
 项目施工测试数据
 项目施工过程数据
 销售业绩数据
 其他非敏感数据

ISO27001认证目标：
加强固定资产的管理，保证固定资产的完好无损，防止资产流失，使公司固定资产能够更好的为公司运营及管理服务。
硬件资产等级分类
1、一级：服务器资产，维持系统或业务平台正常运行重要的主机设备。由系统服务部承担安全管理责任。标记为H1。
2、二级：网络设备资产，支撑维持公司员工正常工作、工作设备正常运行或正常业务运营所需要的网络环境主要的连接或配置设备。由系统服务部承担安全管理责任。标记为H2。
3、：个人台式机资产，支撑员工基本工作需要的台式计算机。由行政部承担安全管理责任。标记为H3。
4、：移动设备资产，支撑员工基本工作或业务服务所需要的笔记本电脑、手机、移动存储等可移动的工作设备。由行政部承担安全管理责任。标记为H3。
5、：其他设备资产，除上述四类设备外的其它办公所需设备。由行政部承担安全管理责任。标记为H4。
管理部门职责：
1、行政部：
1)对办公类设备固定资产做统一编号。
2)负责制定办公设备硬件类固定资产安全管理制度。
3)编制维护行政部硬件固定资产清单库。

ISO27001认证
1.人力资源部管理职责
1）负责组织各部门编制部门所属员工的工作职能
2）负责员工的审查、和背景调查等
3）负责员工调动、离职的审查和批准等
4）负责第三方人员信息安全管理工作
5）负责普及信息安全防范意识，并针对信息安全违规事件向公司提出处理建议
2.行政部：
1）负责办公资产的采购、接收、登记、分配、维护等管理
2）负责根据员工差旅、会议行程等做好相关事务处理
3）负责员工入、离职手续行政部分的办理
4）负责公司考勤制度执行及考勤记录统计
5）负责组织第三方人员来访的接待工作
3.任职部门：
1）负责对本部门员工的工作进行常规的监督管理
2）负责本部门员工的岗位技能培训，并根据情况进行培训考核
ISO27001认证，即“信息安全管理体系”，是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法。
由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。
企业通过了ISO27001认证，即表示企业的信息安全管理已建立了一套科学有效的管理体系作为**。
信息安全管理体系的建立和健全，目的就是降低信息风险对经营带来的危害，并将其投资和商业利益大化。可提升企业公信力，同时可促进企业各部门进行信息全面综合管理，**信息安全，信息风险，大限度减少损失！由此做ISO27001认证的企业也越来越多
http://iso9001fsc1.b2b168.com