行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
所在地深圳
发货地深圳或广州
证书有效可查
公司机构正规
审核流程协助推进
价格费用优惠面议
适用标准ISO27001:2013
周期1个月
ISO27001认证从组织管理、项目实施、设备安全与**、质量管理、规范性保证、风险控制及可持续发展等方面进行多维评估,该标准要求企业必须构筑高规格的信息安全体系,并在实操过程中确保用户信息安全及运营系统的高稳定性。
ISO27001认证标准被公认为**、严格,也是被广泛接受和应用的信息安全领域的体系认证标准,此次认证也表明磊璨信息科技的信息安全管理体系达到了国际标准。 21世纪企业的竞争高境界不再是产品的竞争、人才的竞争、营销的竞争、服务的竞争,而是信息的竞争。信息安全是通过在安全策略和安全组织、安全运行、技术以及基础架构支持等方面的调整和改进,从组织、业务流程和技术层面建立有效、可持续运营、符合业界标准的管理措施和解决方案,有效管理风险,确保主要信息系统安全风险持续达到安全可控的水平。
ISO27001认证国内认证机构:
颁发ISO27001信息安全管理体系的认证机构必需是经过CNCA监督会(认监委)认可的认证机构方可在国内进行审核发证,所有通过认证且合法的均可在CNCA的网站上进行查询。国外的认证机构如果没有在国内CNCA备案,即使认证机构得到了认可单位是UKAS或者ANAB等等的认可,也是不符合中国的法律法规的,视为违规操作,被发现将会被CNCA处罚并公示在国内无效。经CNCA认可的认证机构可以在CNCA网站上查询。
ISO27001认证对企业的好处:
(1)符合法律法规要求
的获得,可以向机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
(2)维护企业的声誉、和客户信任
的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
(3)履行信息安全管理责任
的获得,本身就能组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
(4)增强员工的意识、责任感和相关技能
的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
(5)保持业务持续发展和竞争优势
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
(6)实现风险管理
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
(7)减少损失,降低成本
ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到低程度
文件控制应保证:
a) 文件发布前得到批准,以确保文件是充分的;
b) 必要时对文件进行评审、更新并再次批准;
c) 确保文件的更改和现行修订状态得到识别;
d) 确保在使用时,可获得相关文件的版本;
e) 确保文件保持清晰、易于识别;
f) 确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和终的销毁;
g) 确保外来文件得到识别;
h) 确保文件的分发得到控制;
i) 防止作废文件的非预期使用;
j) 若因任何目的需保留作废文件时,应对其进行适当的标识。
外来文件包括信息安全法律、行政法规、部门规章、地方法规,按以下规定执行:
a) 信息安全适用的法律法规按照《信息安全法律法规管理程序》规定执行;
b) 外来的文件按照《文件控制程序》和其他相关规定执行;
c) 外来标准按本公司标准化管理的相关规定进行
1 目的
为对适用范围内的设备的维护过程实施有效控制,确保其连续的可用性和完整性,特制定本程序。
2 目的
本程序适用于本组织各类信息处理设施(包括传输线路)的维护管理。
3 职责
3.1 销售部
负责测试用计算机和网络设备的管理与维护。
3.2 销售部
负责组织内办公用计算机和网络设备的管理与维护。
4 相关文件
《信息安全管理手册》
5 程序
5.1 信息设备的分类
办公用计算机设备,包括所有销售部、会议室内的计算机、打印机,域控制涉密电脑,DNS涉密电脑、EMAIL涉密电脑、程控交换机等。
开发测试用计算机设备,包括所有研发测试工作使用的计算机、涉密电脑、小型机、磁盘阵列、光纤交换机、工控机等。
网络设备,包括交换机、路由器、防火墙等。
其它办公设备,包括电话设备、复印机、传真机等。
5.2 计算机、网络设备的管理与维护
计算机、网络设备应进行日常点检。
日常点检的目的是确认系统硬件是否运行良好,有无硬件及程序上的报警,备份是否正常进行等。
5.3 维修服务的外包安全控制
组织应与厂商签订设备维护(维修)服务合同,合同应包含信息安全方面的条款,例如签订保密协议。合同须明确服务的时间、范围、内容和记录保存条款。
对厂商现场维护有安全要求时应填写《第三方物理访问申请授权表》,由相关人员陪同方可进入。
5.4 资料的保存
办公用设备的技术资料由销售部保存并建立《设备技术资料清单》,以备日后查阅。
设备厂商对设备进行维修后提供的维修(维护)记录单,由销售部保存,以备日后查询。
测试用设备的技术资料由销售部保存并建立《设备技术资料清单》,以备日后查阅。
设备厂商对设备进行维修后提供的维修(维护)记录单,由销售部保存,以备日后查询。
5.5 设备的迁移与报废
设备的迁移与报废依照本组织《变更管理程序》执行。
特别的,如报废设备中存有秘密信息,必须予以清除并在《设施报废记录》中予以说明。
5.6 系统故障处理
系统发生故障时,维护人员应按照各系统的点检业务手册进行及时的处理,故障发生的原因、处理结果应按照点检业务手册的要求予以记录。
5.7 容量管理
定期信息处理设施的容量,包括设备的数量、性能、线路、磁盘容量等,每年根据各销售部门的需要,制定计划。
5.8 技术脆弱性管理及扫描工具的安全使用
定期发现信息系统中的技术脆弱性,可以通过自动化工具进行扫描,包括网络、涉密电脑、应用程序及网站,形成分析报告,对发现的高风险漏洞进行处置。
对网络扫描工具的使用,必须得到经理的授权,并保存使用的记录。
5.9 设备转移
机房内的设备,包括网络设备、涉密电脑、UPS、空调不得移出机房。
工作用的PC机不得随便移动。PC机的转移统一由销售部执行,各部门如因工作需要必须要转移PC机,由个人填写《信息设备转移单》,并清除秘密信息,交由部门经理审核批准后,再向销售部申请,经审核批准后,销售部管理人员负责PC机的转移。
电话、座椅的转移流程与5.8.2相同。
5.10 信息设施的时钟同步
Internet时钟涉密电脑为时钟同步涉密电脑,系统自动与时钟同步涉密电脑进行对时。
申请ISO27001认证的条件
1. 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册。
2. 申请方的信息安全管理体系已按ISO/IEC27001:2013标准的要求建立,并实施运行3个月以上。
3. 至少完成一次内部审核,并进行了管理评审。
4. 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
http://iso9001fsc.b2b168.com
