行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
所在地深圳
发货地深圳或广州
证书有效可查
公司机构正规
审核流程协助推进
价格费用优惠面议
适用标准ISO27001:2013
周期1个月
汉墨管理咨询有限公司是经广东省深圳市工商局批准并注册登记的具有法人的综合管理咨询公司。公司具有丰富的培训咨询人才资源并组建了各个管理模块的培训咨询团队,致力于通过培训或咨询帮助企业解决管理困惑,如:体系认证培训与咨询、社会责任验厂培训与咨询、质量管理培训与咨询、现场管理培训与咨询,精益生产项目、企业管理诊断等。公司始终坚持“从实际出发,着眼于未来”的宗旨,为选择了我们公司的客户提供**来需求考虑的符合企业实际的培训咨询方案。
1 目的
为对适用范围内的设备的维护过程实施有效控制,确保其连续的可用性和完整性,特制定本程序。
2 目的
本程序适用于本组织各类信息处理设施(包括传输线路)的维护管理。
3 职责
3.1 销售部
负责测试用计算机和网络设备的管理与维护。
3.2 销售部
负责组织内办公用计算机和网络设备的管理与维护。
4 相关文件
《信息安全管理手册》
5 程序
5.1 信息设备的分类
办公用计算机设备,包括所有销售部、会议室内的计算机、打印机,域控制涉密电脑,DNS涉密电脑、EMAIL涉密电脑、程控交换机等。
开发测试用计算机设备,包括所有研发测试工作使用的计算机、涉密电脑、小型机、磁盘阵列、光纤交换机、工控机等。
网络设备,包括交换机、路由器、防火墙等。
其它办公设备,包括电话设备、复印机、传真机等。
5.2 计算机、网络设备的管理与维护
计算机、网络设备应进行日常点检。
日常点检的目的是确认系统硬件是否运行良好,有无硬件及程序上的报警,备份是否正常进行等。
5.3 维修服务的外包安全控制
组织应与厂商签订设备维护(维修)服务合同,合同应包含信息安全方面的条款,例如签订保密协议。合同须明确服务的时间、范围、内容和记录保存条款。
对厂商现场维护有安全要求时应填写《第三方物理访问申请授权表》,由相关人员陪同方可进入。
5.4 资料的保存
办公用设备的技术资料由销售部保存并建立《设备技术资料清单》,以备日后查阅。
设备厂商对设备进行维修后提供的维修(维护)记录单,由销售部保存,以备日后查询。
测试用设备的技术资料由销售部保存并建立《设备技术资料清单》,以备日后查阅。
设备厂商对设备进行维修后提供的维修(维护)记录单,由销售部保存,以备日后查询。
5.5 设备的迁移与报废
设备的迁移与报废依照本组织《变更管理程序》执行。
特别的,如报废设备中存有秘密信息,必须予以清除并在《设施报废记录》中予以说明。
5.6 系统故障处理
系统发生故障时,维护人员应按照各系统的点检业务手册进行及时的处理,故障发生的原因、处理结果应按照点检业务手册的要求予以记录。
5.7 容量管理
定期信息处理设施的容量,包括设备的数量、性能、线路、磁盘容量等,每年根据各销售部门的需要,制定计划。
5.8 技术脆弱性管理及扫描工具的安全使用
定期发现信息系统中的技术脆弱性,可以通过自动化工具进行扫描,包括网络、涉密电脑、应用程序及网站,形成分析报告,对发现的高风险漏洞进行处置。
对网络扫描工具的使用,必须得到经理的授权,并保存使用的记录。
5.9 设备转移
机房内的设备,包括网络设备、涉密电脑、UPS、空调不得移出机房。
工作用的PC机不得随便移动。PC机的转移统一由销售部执行,各部门如因工作需要必须要转移PC机,由个人填写《信息设备转移单》,并清除秘密信息,交由部门经理审核批准后,再向销售部申请,经审核批准后,销售部管理人员负责PC机的转移。
电话、座椅的转移流程与5.8.2相同。
5.10 信息设施的时钟同步
Internet时钟涉密电脑为时钟同步涉密电脑,系统自动与时钟同步涉密电脑进行对时。
信息安全小组制定《信息安全风险管理程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。按信息安全风险评估执行《信息安全风险管理程序》进行,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
本公司按《信息安全风险管理程序》分析和评价风险:
a) 针对重要资产的价值和脆弱性严重程度,计算出风险发生的影响值;
b) 针对每一项威胁发生频率、脆弱性被威胁利用的*程度进行赋值,然后计算得出风险发生的可能性;
c) 根据《信息安全风险管理程序》计算风险等级,从而得出风险等级;
根据《信息安全风险管理程序》及风险接受准则,判断风险为可接受或需要处理。
信息安全小组根据相关法律法规要求、信息安全方针、业务发展要求及风险评估的结果,组织有关部门选择和制定了信息安全目标,并将目标分解到有关部门(见《信息安全适用性声明》):
a) 信息安全控制目标获得总经理的批准。
b) 控制目标及控制措施的选择原则来源于ISO/IEC 27001:2013附录A,具体控制措施参考ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实用规则》。
c) 本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。
对风险处理后的剩余风险应形成《信息安全剩余风险评估报告》并得到公司管理者的批准。
ISO27001认证有效期:
ISO27001信息安全管理体系的认证有效期是三年,期间每年要接受发证机构的监督审核(也称为:年检或年审),三年到期后,要接受认证机构的再认证(也称为复评或换证)。
ISO27001认证信息安全管理
ISO27001标准的起源和发展
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。
2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。
标准的主要内容
ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。
标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至小,使**和业务机会大。
信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。
有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家机构的委托授权,才能为认证组织提供认证服务,并发放认证。大多数国家都有自己的国家机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
http://iso9001fsc.b2b168.com
