耐心培训 正规机构 济南ISO27001认证 信息安全管理体系认证

ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。
但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家机构的委托授权，才能为认证组织提供认证服务，并发放认证。大多数国家都有自己的国家机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案。
ISO27001认证，由（BSI）于1995年2月提出，并于1995年5月修订而成的，1999年BSI重新了该标准。分为两个部分：BS7799-1实施规则，BS7799-2规范。信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和等行业。
一级（P1）：公司内部关键岗位人员，如公司中高层管理人员（公司副总、各部门总监级、经理级的管理人员）、各信息系统管理人员、源代码管理人员、重务处理人员（会计主管、薪酬福利主管、法务、出纳）、金融及重点客户部、中开发。
二级（P2）：基层管理人员（公司主管级的管理人员）以及系统服务部、平台开发部、云计算及移动互联网开发部、大数据开发部、云呼叫业务开发部、系统架构会、产品部。
（P3）：测试部、及整合营销部、客户增长及增值服务部、服务运营会、大数据营销顾问部、自建服务部。
（P4）：人力资源部、行政部、商务采购部、总裁办。
五级（P5）：临时雇用人员、终客户、来自外单位的服务机构等相关第三方人员。

业务风险等级评估
1) 通过对主营业务及信息系统的全面分析，梳理出重要信息资产的清单。
2) 各部门评估人员针对《信息安全风险评估表》下的《资产清单》中的重要信息资产进行风险评估, 评估主要考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度，从而判断对业务的影响。
3) 各部门评估人员按照《赋值说明》对每一项资产的保密性、可用性、完整性和与业务影响度进行赋值，并得出资产价值。资产价值大于等于4为重要信息资产。
4) 各部门评估人员根据资产本身所处的环境条件,参考《信息安全风险评估表》中的《威胁、脆弱性推荐对照表》以及在现状调研阶段分析出的内容，识别重要信息资产所面临的脆弱性及对应的威胁，及针对各威胁目前已有的控制措施；
5) 在考虑现有的控制前提下，参考《赋值说明》判断每项信息资产所面临威胁发生的可能性，判断薄弱点程度等级，分别赋1-5的值；
6) 《信息安全风险评估表》将自动结合资产的价值，威胁值和脆弱性的值，计算出业务风险的等级。
7) 信息安全管理小组考虑本公司整体的信息安全要求，对各部门填写的《信息安全风险评估表》进行审核，确保风险评估水平的一致性，确保没有遗漏重要信息安全风险。如果对评估结果进行修改，应该和关键活动或信息系统的责任部门进行沟通并获得该部门的确认。

ISO27001认证:
（1） 信息安全管理方针、目标的适用性；
（2） 管理体系的审核结果，包括内审、外审结果及其它形式的审核结果；
（3） 相关利益方的反馈，包括客户的意见投诉、相关方的投诉或意见等；
（4） 用于改善信息安全管理体系性能和有效性的技术、产品和程序，包括信息安全管理方案的确定、执行等；
（5） 改进、预防和纠正措施的状况，包括对内部审核和日常发现的不合格项采取的纠正和预防措施的实施及其有效性的结果；
（6） 以前风险评估中没有充分表达的威胁和薄弱点，以及风险的重新评估；
（7） 以往管理评审跟踪措施的实施及有效性；
（8） 可能影响到信息安全管理体系的变更，包括部门组织结构、资源配置发生重大变化、信息安全技术发生变化、部门的商业目标或商业运作流程发生变化、信息安全法律、法规发生变化、发生重大信息安全事件等；
（9） 改进建议。

ISO27001认证小组
1信息安全工作小组
⑴负责公司及信息系统操作人员安全管理工作；
⑵负责以季为单位执行公司信息安全的检查及管理工作，并及时向相关负责人提交执行情况的报告，反馈问题给执行方并限期解决。
⑶负责研究国家和行业的信息安全政策法规，组织有关部门讨论来保证其符合性。
2 信息安全体系负责人
⑴负责工作岗位风险状态分级及划分信息系统安全职责和权限；
⑵负责普及信息安全防范意识，并针对信息安全违规事件向公司提出处理建议。
⑶负责完成系统建设、建立目录结构与目录安全策略、部署服务器与建立服务器安全策略、完成备份策略等。
3人力资源部
⑴根据企业的发展现状和未来需要，参与并制定出切合实际的人力资源；
⑵制定人力资源规划，根据企业的发展需要审核各部门的人员编制，编写人力资源支出预算，进行成本控制；
⑶拟定、修订、废止、发放、解释人力资源相关的管理制度，进行各部门职责权限划分；
⑷各部门人事问题的解决处理和人事关系协调；
⑸负责人事档案的汇集整理、存档保管、统计分析和《劳动合同书》以及《知识产权及保密协议》的签订；
⑹负责公司级组织结构的设计和各职位的《岗位说明书》的组织编写；
⑺进行人员与录用、转正、员工升调、辞退管理以及相关记录的存档备案管理；
⑻薪酬和福利管理；
⑼部门层面、员工层面的绩效管理；
⑽负责员工信息安全教育的培训及考核；
⑾协助公司开展建立流程型组织，并其执行。
⑿负责第三方人员信息安全管理工作；
ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)
ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)
ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines
ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement
ISO 27005 信息安全管理体系—风险管理ISMS Risk management
ISO 27006 信息安全管理体系—认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certification
ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南
Information technology_Security techniques_ISMS auditor guidelines
其中ISO27001：2005 的终标准草案(FDIS)已经在2005年7月发布，预计在2005年底或2006年初作为正式国际标准发布。
ISO27000认证：
信息安全管理体系建设项目划分成五个大的阶段，并包含25项关键的活动，如果每项前后关联的活动都能很好地完成，终就能建立起有效的ISMS，实现信息安全建设整体蓝图，接受ISO27001审核并获得认证更是水到渠成的事情。
1现状调研：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员全面了解信息安全管理的基本知识。
2 风险评估：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。
3 管理策划：根据组织对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。
4 体系实施阶段：ISMS建立起来(体系文件正式发布实施)之后，要通过一定时间的试运行来检验其有效性和稳定性。
5 认证审核阶段：经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。
http://iso9001fsc1.b2b168.com