ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家机构的委托授权,才能为认证组织提供认证服务,并发放认证。大多数国家都有自己的国家机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案
除了组织自身投入之外,ISO27001 认证审核主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后,认证机构会初步了解组织现状,确定审核范围,提出审核。认证机构的通常是根据其投入的时间和人员来确定的,决定因素包括:
1、受审核组织的员工数量;
2、纳入审核范围的信息量;
3、场所数量;
4、组织与外界的关联;
5、组织 IT 的复杂性;
6、组织类型和业务性质等。
除了问题,认证审核的周期通常也是组织比较关心的。一般来说,从组织启动 ISMS建设项目开始,到终通过审核,至少要有半年时间(不包括获取的时间)。对于很多因为外部驱动力而决心实施 ISO27001 认证项目的组织来说,提早进行规划是必要的。
一级(P1):公司内部关键岗位人员,如公司中高层管理人员(公司副总、各部门总监级、经理级的管理人员)、各信息系统管理人员、源代码管理人员、重务处理人员(会计主管、薪酬福利主管、法务、出纳)、金融及重点客户部、中开发。
二级(P2):基层管理人员(公司主管级的管理人员)以及系统服务部、平台开发部、云计算及移动互联网开发部、大数据开发部、云呼叫业务开发部、系统架构会、产品部。
(P3):测试部、及整合营销部、客户增长及增值服务部、服务运营会、大数据营销顾问部、自建服务部。
(P4):人力资源部、行政部、商务采购部、总裁办。
五级(P5):临时雇用人员、终客户、来自外单位的服务机构等相关第三方人员。
ISO27001认证目的
1 目的
为规范公司信息安全管理,**公司信息安全,根据《信息安全等级保护管理办法》、《信息技术安全技术信息安全管理体系要求》(GB/T 22080-2016/ISO/IEC 27001:2013)以及公司相关规章制度,制订本制度。
2 范围
本制度规定了本企业内部人员、第三方人员等人力资源安全管理的相关内容,包括人员选拔、人员录用、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人员安全等。本标准适用于本企业内部人员及第三方人员的管理与考核。
3术语和定义
3.1 人员安全
是指通过管理和控制,确保单位内部人员和第三方人员在安全意识、能力和素质等方面都满足工作岗位的要求。
3.2 第三方人员
第三方人员是指除本公司员工以外所有的组织和人员。第三方人员分为临时来访的第三方人员和非临时来访的第三方人员。
临时来访的第三方人员是指因某些临时需求来访公司的人员,如:面试人员、客户以及其他来访人员等。
非临时来访的第三方是指来自外单位的服务机构,为本单位提供设备、网络、系统、软件、信息安全、保洁等服务的工作人员,如:项目人员、保洁人员、设备维护人员等。
3.3 安全教育和培训
是通过宣传和教育的手段,确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性,具备符合要求的安全意识、知识和技能,提高其进行信息安全防护的主动性、自觉性和能力。
ISO27001认证流程:
1、服务部:
1)对公司经营或运营数据资产进行统一编号。
2)负责制定公司数据资产安全管理制度。
3)负责对一级业务结果数据资产进行安全管理,标注一级数据资产及其介质,在传输时须进行加密传输,并由专人保管。
4)负责对二级业务过程数据进行安全管理,标注二级数据资产及其介质,由专人保管。
5)制定维护数据资产清单。
6)数据调阅管控:签发审批单,做好审批记录。
7)对服务数据资产及其介质分级标注。
8)操作计算机只安装允许配置的软件,并制定和维护允许安装的软件清单。
9)存储在任何介质中一二级的不用的、过时的或无效的数据须进行不可恢复性。前须经过主管审批通过,执行时须经过至少二人确认。
10)对于二级系统和业务数据,须对登录帐号配置相应的访问角色权限。不同的角色访问不同的数据。
11)在数据管理软件中配置和控制登录权限,打开操作日志等。
12)对数据存储服务器控制和配置帐号权限。
13)在业务系统软件中配置和控制登录权限,打开操作日志等。
14)对数据操作使用的环境场地进行安全配置。
15)对数据操作使用的网络安全环境进行安全配置。
16)对服务器网络和计算机只打开需要的设备和端口。
17)数据操作进行,必要时安装设备。
18)对移动介质存储数据进行管理和控制。
19)对于一二相关系统和业务数据进行数据备份管理。
20)保证项目实施过程中一级数据中系统配置数据的安全使用,防止复制传输过程中被非法传播、遗失、损坏。
21)保证项目实施过程中二级数据的安全操作,防止二级数据被损坏或丢失。
22)保证项目实施过程中的其他数据的安全。
如何进行ISO27001认证
1.人员选拔
人力资源部应严格按照各岗位的《岗位说明书》对应聘人员进行认真筛选,应聘人员面试时需携带简历并填写《应聘登记表》,面试官应填写相应的《面试评估表》。
2.背景调查
人力资源部对拟录用的新员工根据岗位的重要程度进行身份、背景、和等方面进行背景调查,详见《背景调查管理规定》。背景调查如无问题,正式办理录用审批,详见《新员工录用审批表》。录用审批完成,给拟录用的新员工发送《录用邀请函》。
3.内部选拔
从事关键岗位或负责核心系统、机房等重要区域的人员,**从公司内部人员选拨,应具备认真负责的工作、较高的职业道德水准;
4.入职办理
人力资源部负责办理员工的入职手续,参见《新员工入职手续办理清单》,并签署《劳动合同书》以及《知识产权及保密协议》。《知识产权及保密协议》的保密条款的要求应根据公司业务的变更由法务主管及时进行评审修订。《劳动合同》一式两份,员工本人及人力资源部各保存一份。临时雇用人员、客户以及合作方等第三方人员在与公司签订的合同中应约定相关人员的信息安全职责。
信息安全管理体系建设项目划分成五个大的阶段,并包含25项关键的活动,如果每项前后关联的活动都能很好地完成,终就能建立起有效的ISMS,实现信息安全建设整体蓝图,接受ISO27001审核并获得认证更是水到渠成的事情。
1现状调研:从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研,通过培训使组织相关人员全面了解信息安全管理的基本知识。
2 风险评估:对组织信息资产进行资产价值、威胁因素、脆弱性分析,从而评估组织信息安全风险,选择适当的措施、方法实现管理风险的目的。
3管理策划:根据组织对信息安全风险的策略,制定相应的信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。
4体系实施:全面实施信息安全管理策略、执行安全管理体系,落实实施信息安全管理技术计划,根据实施效果改进、更新管理方案。
5监督评审:通过组织内部审核和管理评审,对组织整体信息安全管理水平进行综合评价,提出改进方案,制定整改计划。
http://iso9001fsc1.b2b168.com
欢迎来到深圳汉墨管理咨询有限公司网站, 具体地址是广东省深圳市龙岗区龙岗街道南联社区怡丰路16号远洋新干线荣域花园(一期)3栋213室,老板是林先生。
主要经营广东省内(深圳、广州、东莞、佛山、惠州、中山、汕头、珠海、湛江、江门、肇庆、揭阳、阳江)ISO9001质量管理体系认证、BRC食品安全**标准认证、FSSC22000食品安全体系认证、ISO14001环境管理体系认证、ISO45001职业健康与安全管理体系认证、ISO14001认证,FSC森林管理体系认证、GRS**回收标志认证、ISO22000食品安全管理体系认证、服务体系认证等。。
单位注册资金单位注册资金人民币 100 - 250 万元。
你有什么需要?我们都可以帮你一一解决!我们公司主要的特色服务是:iso认证,iso9001认证,iso45001认证,GRS认证,ISO22000认证,BRC认证,IATF16949认证等,“诚信”是我们立足之本,“创新”是我们生存之源,“便捷”是我们努力的方向,用户的满意是我们较大的收益、用户的信赖是我们较大的成果。