行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
所在地深圳
发货地深圳或广州
证书有效可查
公司机构正规
审核流程协助推进
价格费用优惠面议
适用标准ISO27001:2013
周期1个月
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过下列四个基本步骤:信息安全管理体系的策划与准备;信息安全管理体系文件的编制;信息安全管理体系运行;信息安全管理体系审核与评审。
一、ISO27001信息安全管理体系认证的作用
建立制度化的信息安全体系,将信息安全责任分配给所有员工,形成互相监督、互相制约的机制,防止权力过于集中带来信息安全风险。通过定义、评估和控制风险,确保经营的持续性和能力。通过遵守国际标准提高企业竞争能力,提升企业形象。维护组织的声誉、和客户信任,得到更多业务发展的机会。减少由于合同违规行为以及直接触犯法律法规要求所造成的责任。强化员工的信息安全意识、责任感和相关技能。保持业务持续发展和竞争优势。保证公司核心机密的安全。保证公司业务连续不中断。将信息安全风险降低、分散、转移,保护企业信息资产价值。可作为公共会计审计的证据。
二、ISO27001咨询认证流程
信息安全管理体系建设项目划分成五个大的阶段,并包含25项关键的活动,如果每项前后关联的活动都能很好地完成,终就能建立起有效的ISMS,实现信息安全建设整体蓝图,接受ISO27001审核并获得认证更是水到渠成的事情。
1现状调研:从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研,通过培训使组织相关人员全面了解信息安全管理的基本知识。
2 风险评估:对组织信息资产进行资产价值、威胁因素、脆弱性分析,从而评估组织信息安全风险,选择适当的措施、方法实现管理风险的目的。
3管理策划:根据组织对信息安全风险的策略,制定相应的信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。
4体系实施:全面实施信息安全管理策略、执行安全管理体系,落实实施信息安全管理技术计划,根据实施效果改进、更新管理方案。
5监督评审:通过组织内部审核和管理评审,对组织整体信息安全管理水平进行综合评价,提出改进方案,制定整改计划。
三、实施ISO27001效益
1、ISO27001 的获得,可以客户表明,组织/企业遵循了所有适用的法律法规。从而保护企业和相关方的信息交换、知识产权、商业秘密等增加市场的竞争优势。
2、信息安全管理体系的建立可以和外部团体如合作伙伴及客户与内部团体如股东说明组织/企业为保护信息所做的努力,使其对组织/企业的信心加强,并有助于在**业中的竞争优势,提升客户满意度及形象。
3、提升员工信息安全积极,规范信息安全制度,降低人为所造成的信息安全事故机率。
4、提升公司运营目标及达到业务永续经营要求目标。
5、满足组织/企业对信息安全的要求及期望。
我公司管理者通过以下活动,对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据:
a) 建立信息安全方针;
b) 确保信息安全目标和计划得以制定(见《信息安全适用性声明SoA》、《风险处理计划》及相关记录);
c) 建立信息安全的角色和职责(见本手册附录一(规范性附录)《职责权限》和相应的管理程序);
d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;
e) 提供充分的资源,以建立、实施、运作、监视、评审、保持并改进信息安全管理体系(见本手册*7章);
f) 决定接受风险的准则和风险的可接受等级(见《信息安全风险管理程序》及相关记录);
g) 确保内部信息安全管理体系审核(见本手册*9章)得以实施;
h) 实施信息安全管理体系管理评审(见本手册*9章)。
ISO27001认证是世界上应用广泛与典型的信息安全管理标准,主要用于**组织的信息安全,它是在BSI/DISC的BDD/2信息安全管理会下制定完成, 是现代IT企业信息安全标准的重要体现。也是信息安全管理领域迄今为重要的标准之一。
ISO27001认证国内认证机构:
颁发ISO27001信息安全管理体系的认证机构必需是经过CNCA监督会(认监委)认可的认证机构方可在国内进行审核发证,所有通过认证且合法的均可在CNCA的网站上进行查询。国外的认证机构如果没有在国内CNCA备案,即使认证机构得到了认可单位是UKAS或者ANAB等等的认可,也是不符合中国的法律法规的,视为违规操作,被发现将会被CNCA处罚并公示在国内无效。经CNCA认可的认证机构可以在CNCA网站上查询。
本公司采取相关部门代表组成的协调会的方式,进行信息安全协调和协作,以:
a) 确保安全活动的执行符合信息安全方针;
b) 确定怎样处理不符合;
c) 批准信息安全的方法和过程,如风险评估、信息分类;
d) 识别重大的威胁变化,以及信息和相关的信息处理设施对威胁的暴露;
e) 评估信息安全控制措施实施的充分性和协调性;
f) 有效的推动组织内信息安全教育、培训和意识;
g) 评价根据信息安全事件和评审得出的信息,并根据识别的信息安全事件推荐适当的措施。
本公司总经理为信息安全责任者。总经理信息安全管理者代表,无论信息安全管理者代表其他方面的职责如何,对信息安全负有以下职责:
a) 建立并实施信息安全管理体系必要的程序并维持其有效运行;
b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全小组或责任者报告。
各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务。
各部门、人员有关信息安全职责分配见附录一(规范性附录)《职责权限》和相应的程序文件(管理标准)、规定及岗位说明书。
申请ISO27001认证的条件
1. 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册。
2. 申请方的信息安全管理体系已按ISO/IEC27001:2013标准的要求建立,并实施运行3个月以上。
3. 至少完成一次内部审核,并进行了管理评审。
4. 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
http://iso9001fsc.b2b168.com
