认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
发货地深圳或广州
ISO认证ISO27001信息安全管理体系认证咨询
服务区域全国
产品名称ISO27001认证
办证周期2个月
有效期3年
价格费用优惠面议
适用标准ISO27001:2013
证书有效可查
公司机构正规
审核流程协助推进
资料材料协助整理
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家机构的委托授权,才能为认证组织提供认证服务,并发放认证。大多数国家都有自己的国家机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
ISO27001认证,由(BSI)于1995年2月提出,并于1995年5月修订而成的,1999年BSI重新了该标准。分为两个部分:BS7799-1实施规则,BS7799-2规范。信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和等行业。
笔记本电脑使用规定
1) 笔记本电脑设备必须有严格的口令访问控制措施,口令设置需满足公司安全策略要求。
2) 对无人看守的笔记本电脑设备必须实施物理保护,必须放在带锁的办公室、抽屉或文件柜里。
3) 笔记本电脑设备丢失或被后应及时报告给部门经理和行政部。
4) 凡带出公司使用而遗失、被偷盗等均由个人负全责赔偿。
5) 除自然损坏外,凡人为损坏(如撞坏、跌坏、电源插错烧坏等)由本人负责修好,由个人承担。
6) 笔记本电脑中除工作所需的软件外,不导入其他与工作无关的软件。
7) 离开公司办公环境的设备和媒体在公共场所不能无人看管,出差员工如需携带便携式计算机,需要提前向直属/行政部提出申请。在旅行时便携式计算机要作为手提行李携带不得托运,若可能宜伪装起来。重要数据需加密保存。
ISO27001认证流程:
1、服务部:
1)对公司经营或运营数据资产进行统一编号。
2)负责制定公司数据资产安全管理制度。
3)负责对一级业务结果数据资产进行安全管理,标注一级数据资产及其介质,在传输时须进行加密传输,并由专人保管。
4)负责对二级业务过程数据进行安全管理,标注二级数据资产及其介质,由专人保管。
5)制定维护数据资产清单。
6)数据调阅管控:签发审批单,做好审批记录。
7)对服务数据资产及其介质分级标注。
8)操作计算机只安装允许配置的软件,并制定和维护允许安装的软件清单。
9)存储在任何介质中一二级的不用的、过时的或无效的数据须进行不可恢复性。前须经过主管审批通过,执行时须经过至少二人确认。
10)对于二级系统和业务数据,须对登录帐号配置相应的访问角色权限。不同的角色访问不同的数据。
11)在数据管理软件中配置和控制登录权限,打开操作日志等。
12)对数据存储服务器控制和配置帐号权限。
13)在业务系统软件中配置和控制登录权限,打开操作日志等。
14)对数据操作使用的环境场地进行安全配置。
15)对数据操作使用的网络安全环境进行安全配置。
16)对服务器网络和计算机只打开需要的设备和端口。
17)数据操作进行,必要时安装设备。
18)对移动介质存储数据进行管理和控制。
19)对于一二相关系统和业务数据进行数据备份管理。
20)保证项目实施过程中一级数据中系统配置数据的安全使用,防止复制传输过程中被非法传播、遗失、损坏。
21)保证项目实施过程中二级数据的安全操作,防止二级数据被损坏或丢失。
22)保证项目实施过程中的其他数据的安全。
项目管理中的信息安全
作为项目的一部份,信息安全需整合到组织的项目管理方法中,以确保识别并强调了信息安全风险。所有项目,无论其特征是什么,例如软件开发过程、IT、设施管理和其他支持过程等方面的项目,均需要使用以下的信息安全控制措施进行管理:
1) 重点项目启动前对人员和技术进行风险评估及合同评估;
2) 根据客户要求签订保密协议;
3) 信息安全目的被纳入项目目的;
4) 信息安全作为所采用的项目管理方法各个阶段的一部分;
5) 在所有项目中需定期评审信息安全问题。
ISO27001认证:
1. 管理评审周期
公司按年度召开信息安全管理体系的管理评审会议,会议一般在内审及第三方审核之后召开,会议对**年信息安全情况做出评审,评审结果作为下一年信息安全计划的输入。当发生下列情况时,信息安全管理小组可以临时决定增加管理评审。
1) 组织结构、资源配置发生重大变化;
2) 业务目标或业务运作流程发生重大变化;
3) 信息安全法律、法规发生重大变化;
4) 发生重大信息安全事件;
5) 风险等级的划分和风险可接受水平发生变化;
6) 其他不可预见情况需要时。
2. 管理评审内容
信息安全工作小组根据评审内容进行内容收集工作,准备**审必需的文件、资料等信息,并报体系负责人。各部门根据体系运行的情况形成《部门管理评审输入报告》做为评审会议的输入。
年度报告及管理评审内容应包括:
1) 信息安全管理体系相关文件变化;
2) 方针、目标完成情况及有效性测量结果;
3) 风险评估报告;
4) 内部和外部信息安全管理体系审核结果;
5) 纠正措施、预防措施实施报告;
6) 顾客等相关方反馈;
7) 实际运行的符合性;
8) 事故统计及分析报告;
9) 以往管理评审决定实施情况;
10) 可能影响信息安全管理体系的内外部环境的变化;
11) 改进的建议。
ISO27001认证申请条件:
(1) 具备立的法人或经立的法人授权的组织;
(2) 按照ISO/IEC 27001标准的要求建立文件化的信息安全管理体系;
(3) 已经按照文件化的体系运行三个月以上,并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部信息安全管理体系审核。
http://iso9001fsc1.b2b168.com
