认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
发货地深圳或广州
ISO认证ISO27001信息安全管理体系认证咨询
服务区域全国
产品名称ISO27001认证
办证周期2个月
有效期3年
价格费用优惠面议
适用标准ISO27001:2013
证书有效可查
公司机构正规
审核流程协助推进
资料材料协助整理
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家机构的委托授权,才能为认证组织提供认证服务,并发放认证。大多数国家都有自己的国家机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
通过进行ISO27001信息安全管理体系认证,可以增进组织间电子电子商务往来的信用度,能够建立起和贸易伙伴之间的互相信任,随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益,并为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到小,创造更大收益。
通过认证能保证和组织所有的部门对信息安全的承诺。
通过认证可改善全体的业绩、消除不信任感。
获得国际认可的机构的认证,可得到国际上的承认,拓展您的业务。
建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。
ISO27001认证对于数据的敏感
1、一级:重要敏感数据, 包括公司数据资产,主要用于公司直接营收的数据,如提交给客户的客探结果数据,泄露会造成直接经济损失。公司核心数据,经过加工的数据,有全方面的数据信息,需要严格管理,如客户肖像库,信息库,客户方提供的需要通过业务平台操作的数据,泄露后对公司可能造成全面损失。这些数据被非法复制传播后,可造成经济上的重大损失和引发重大安全事故及涉诉事件。由所涉及到的部门人员:服务部、如涉及数据由部共同承担安全管理责任。标记为D1。主要包括:
业务结果数据
客户信息数据
系统或网络安全控制配置数据,防火墙数据
业务帐号安全配置数据
业务运行配置数据
敏感客户业务原始数据
录音记录数据
帐目数据
其他敏感信息数据
2、二级:非敏感重要数据,包括公司系统数据,由各种公司系统产生出的原始数据,限制范围使用,泄露对公司有可能造成某方面损失。如启通宝系统通话记录,客探系统记录,被非法复制传播或丢失、损坏后,可造成一定的经济损失或引发客户投诉事件。由所涉及到的部门人员:服务部承担安全管理责任。标记为D2。主要包括:
业务过程数据
启通宝通话记录
客探系统数据
系统运行日志数据
其他重要数据
3、:公司内部非敏感数据及第三方非敏感数据,不对外公开,但公开对公司无损失的信息,如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。由所涉及到的部门人员:服务部、测试部,销售部,研发部共同承担安全管理责任。标记为D3。主要包括:
员工通讯录
话述信息数据
系统测试业务数据
项目施工测试数据
项目施工过程数据
销售业绩数据
其他非敏感数据
笔记本电脑使用规定
1) 笔记本电脑设备必须有严格的口令访问控制措施,口令设置需满足公司安全策略要求。
2) 对无人看守的笔记本电脑设备必须实施物理保护,必须放在带锁的办公室、抽屉或文件柜里。
3) 笔记本电脑设备丢失或被后应及时报告给部门经理和行政部。
4) 凡带出公司使用而遗失、被偷盗等均由个人负全责赔偿。
5) 除自然损坏外,凡人为损坏(如撞坏、跌坏、电源插错烧坏等)由本人负责修好,由个人承担。
6) 笔记本电脑中除工作所需的软件外,不导入其他与工作无关的软件。
7) 离开公司办公环境的设备和媒体在公共场所不能无人看管,出差员工如需携带便携式计算机,需要提前向直属/行政部提出申请。在旅行时便携式计算机要作为手提行李携带不得托运,若可能宜伪装起来。重要数据需加密保存。
ISO27001认证:
1. 风险识别
通过进行风险识别活动,识别了以下内容:
1) 识别了信息安全管理体系范围内的资产及其责任人;
2) 识别了资产所面临的威胁;
3) 识别了可能被威胁利用的脆弱点;
4) 识别了丧失保密性、完整性和可用性可能对资产造成的影响。
2. 风险估计与评价
1) 通过对资产的保密性(C)、完整性(I)、可用性(A)及业务影响度(BI)赋值对公司资产丧失CIA(BI)所造成的后果进行了判断。
资产赋值常常是很困难的,因为需要对某些资产进行客观的赋值,但不同的人员可能做出不同的判断。应该用明确的术语,通过书面形式描述作为每一资产赋值基础的准则。用于判断资产价值的可能准则包括:
a) 资产的原始价值;
b) 替代或重建的成本;
c) 资产的抽象价值,如组织声誉的价值;
d) 由事件导致资产丧失保密性、完整性和可用性所带来的成本。如果适用、还应该考虑不可否认性、可审计性、真实性和可靠性;
e) 资产的其他资产依赖性价值。
与机构联系
为及时了解相关机构新的管理政策及法规,并且依照相关管理政策,公司应该遵守的通报规定,公司应与有关机构或相关机构定期进行联系沟通,及时掌握机构或部门发布的相关信息,按照其相关规定调整公司的经营方针、政策。对可能引发的公司信息安全事件有所预期,在发生相关信息安全事件时可以及时取得相关机构的协助。
公司对客户、员工、供应商等利益相关方,需要定义与机构沟通的方式、周期及接口部门。
ISO27001认证对企业的好处:
(1)符合法律法规要求
的获得,可以向机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
(2)维护企业的声誉、和客户信任
的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
(3)履行信息安全管理责任
的获得,本身就能组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
(4)增强员工的意识、责任感和相关技能
的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
(5)保持业务持续发展和竞争优势
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
(6)实现风险管理
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
(7)减少损失,降低成本
ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到低程度
http://iso9001fsc1.b2b168.com
