中山ISO27001认证顾问 资料协助 一站服务

体系的整合会对企业组织来讲，无论在是规划上，还是日常操作中，都将产生重大的影响意义。企业组织关心的是如何将多体系整合，下面着重介绍一下，ISO20000与ISO27001体系是如何进行整合的。为了能够更好的发挥两套体系整合所带来的企业价值，需要遵从体系整合原则，进而开展体系整合的建设与管理。体系整合原则，是企业建设服务管理与信息安全管理的前提基础与保证依据，整合原则在体系整合构建与实施发挥其大作用。（1）关注客户服务水平ISO20000是以客户为中心，以流程为导向的IT服务管理体系，旨在提高客户满意度水平。而ISO27001主要是对信息资产的风险控制，同样是为了**企业内部整体服务能力。
ISO270001信息安全管理体系随着信息技术的高速发展，Internet的问世及网上各种应用的普及，信息安全问题日显**。系统瘫痪、入侵、病毒感染、网页改写、的流失及公司的泄露等等，这些安全问题已给组织的经营、管理和生存带来了严重的影响。如何确保企业信息系统的安全已成为全社会关注的问题。ISO27001信息安全管理体系是目前国际上的信息安全整体解决方案。它以组织风险评估为基石，运用PDCA过程方法和SOA中的信息安全控制措施来帮助组织解决信息安全问题，实现信息安全目标。通过ISO27001标准可以帮助您的组织建立一套“量体裁衣”的信息安全管理控制措施和保护信息资产的制度框架；可以帮助您的组织将IT策略和组织发展方向统一起来。确保与IT相关的风险受到适当的控制；可以帮助您的组织降低信息安全对持续发展造成的风险，利用信息技术创造新的竞争机遇。
组织应按照文件的控制要求进行审核与批准并发布实施，至此，信息安全管理体系将进入运行阶段。在此期间，组织应加强运作力度，充分发挥体系本身的各项功能，及时发现体系策划中存在的问题，找出问题根源，采取纠正措施，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。ISO27001认证体系审核体系审核是为获得审核证据，对体系进行客观的评价，以确定满足审核准则的程度所进行的系统的、立的并形成文件的检查过程。体系审核包括内部审核和外部审核(第三方审核)。内部审核一般以组织名义进行，可作为组织自我合格检查的基础;外部审核由外部立的组织进行，可以提供符合要求的认证或注册。至于应采取哪些控制方式则需要周密计划。并注意控制细节。信息安全管理需要组织中的所有雇员的参与，
信息安全管理体系标准（ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为**。根据ISO27001对您的信息安全管理体系进行认证，引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个提供信息安全服务的公司就可以达到的。它需要全面的综合管理。通过进行ISO27001信息安全管理体系认证。
可以增进组织间电子电子商务往来的信用度，能够建立起和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到小，创造更大收益。通过认证能保证和组织所有的部门对信息安全的承诺。通过认证可改善全体的业绩、消除不信任感。获得国际认可的机构的认证，可得到国际上的承认，拓展您的业务。建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证的审核，获得认证。
与机构联系
为及时了解相关机构新的管理政策及法规，并且依照相关管理政策，公司应该遵守的通报规定，公司应与有关机构或相关机构定期进行联系沟通，及时掌握机构或部门发布的相关信息，按照其相关规定调整公司的经营方针、政策。对可能引发的公司信息安全事件有所预期，在发生相关信息安全事件时可以及时取得相关机构的协助。
公司对客户、员工、供应商等利益相关方，需要定义与机构沟通的方式、周期及接口部门。

内部组织及沟通
1) 信息安全工作小组组织各个部门通过公告、内部网络、宣传物品、活动、通告、会议及培训把有关信息安全方面的政策及其它事项传达予各员工；
2) 员工对公司信息安全管理体系有任何意见可向其部门主管或其所在部门信息安全员建议、投诉；部门主管或信息安全员将员工的意见分类后向信息安全工作小组反映并填写《信息安全管理体系意见表》，信息安全工作小组联同各部门按此表格进行跟进并进行有关调查；
3) 信息安全工作小组负责收集和汇总《机构及特定利益团体联系表》的信息。
4) 信息安全管理体系的管理评审结果应由信息安全工作小组向各部门负责人员讲解及监察其执行情况；
5) 信息安全工作小组联同各部门建立及维护信息安全管理体系的文件控制制度；
6) 每月召开安全例会，传达公司安全精神和公司内部信息安全相关工作；
7) 员工有关于信息安全管理体系方面的建议和问题可以通过email直接发邮件

ISO27001认证:
1 管理评审计划
信息安全体系负责人负责在管理评审实施前编制《管理评审计划》，并得到信息安全管理小组的批准。
管理评审计划主要内容包括：
1) 评审范围、内容及时间安排；
2) 参加评审的单位和人员；
3) 评审会议议程。
2评审实施
信息安全管理体系负责人负责主持管理评审活动。
1) 评审：与会人员在“会议签到表”上签字后，由体系负责人主持并介绍体系运行情况和内审情况：
2) 内审的充分性、有效性，内部审核关于信息安全管理体系的符合性、有效性的结论；
a) 信息安全管理体系文件的充分性和适宜性；
b) 事故事件情况；
c) 对重大危害因素和重要环境因素的控制情况；
d) 目标、指标和管理方案的实现情况；
e) 信息安全方针的适宜性；
f) 整个信息安全管理体系的符合性、有效性和适宜性；
g) 持续改进的意见。
信息安全管理小组对所汇报的内容进行评审并做出改进决定，并对评审结果及决策进行记录。
3) 管理评审的输出应包括为实现持续改进的承诺而做出的，与信息安全方针、目标、指标以及其他信息安全管理体系要素的修改有关的决策和行动。如：
h) 信息安全管理体系有效性的改进；
i) 与顾客要求有关的服务的改进；
j) 资源需求等。

ISO27001认证目标：
加强固定资产的管理，保证固定资产的完好无损，防止资产流失，使公司固定资产能够更好的为公司运营及管理服务。
硬件资产等级分类
1、一级：服务器资产，维持系统或业务平台正常运行重要的主机设备。由系统服务部承担安全管理责任。标记为H1。
2、二级：网络设备资产，支撑维持公司员工正常工作、工作设备正常运行或正常业务运营所需要的网络环境主要的连接或配置设备。由系统服务部承担安全管理责任。标记为H2。
3、：个人台式机资产，支撑员工基本工作需要的台式计算机。由行政部承担安全管理责任。标记为H3。
4、：移动设备资产，支撑员工基本工作或业务服务所需要的笔记本电脑、手机、移动存储等可移动的工作设备。由行政部承担安全管理责任。标记为H3。
5、：其他设备资产，除上述四类设备外的其它办公所需设备。由行政部承担安全管理责任。标记为H4。
管理部门职责：
1、行政部：
1)对办公类设备固定资产做统一编号。
2)负责制定办公设备硬件类固定资产安全管理制度。
3)编制维护行政部硬件固定资产清单库。
信息安全管理体系建设项目划分成五个大的阶段，并包含25项关键的活动，如果每项前后关联的活动都能很好地完成，终就能建立起有效的ISMS，实现信息安全建设整体蓝图，接受ISO27001审核并获得认证更是水到渠成的事情。
1现状调研：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员全面了解信息安全管理的基本知识。
2 风险评估：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。
3管理策划：根据组织对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。
4体系实施：全面实施信息安全管理策略、执行安全管理体系，落实实施信息安全管理技术计划，根据实施效果改进、更新管理方案。
5监督评审：通过组织内部审核和管理评审，对组织整体信息安全管理水平进行综合评价，提出改进方案，制定整改计划。
http://iso9001fsc1.b2b168.com