信息安全管理体系认证 揭阳ISO27001认证咨询 咨询到位 审核顺畅

深圳汉墨管理咨询是经广东省深圳市工商局批准并注册登记的具有法人的综合管理咨询公司。公司具有丰富的培训咨询人才资源并组建了各个管理模块的培训咨询团队，致力于通过培训或咨询帮助企业解决管理困惑，如：体系认证培训与咨询、社会责任验厂培训与咨询、质量管理培训与咨询、现场管理培训与咨询，精益生产项目、企业管理诊断等。公司始终坚持“从实际出发，着眼于未来”的宗旨，为选择了我们公司的客户提供**来需求考虑的符合企业实际的培训咨询方案。
ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》
ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实用规则》
由公司产品及业务方向决定，公司利益相关方人群包括：
客户方，如业务经理，商业伙伴，资产所有人，
公司内部成员，如项目经理，维护人员
潜在客户群体，如消费者及客户，
第三方人群，如机构等。
利益相关方期望包括为支持公司运营、公司所有业务应用及服务得到有效安全控制与管理，利益相关方文件或交付产品的存储，干系人的沟通方式，目标及业务要求得到有效安全控制和管理

信息安全管理体系建设项目划分成五个大的阶段，并包含25项关键的活动，如果每项前后关联的活动都能很好地完成，终就能建立起有效的ISMS，实现信息安全建设整体蓝图，接受ISO27001审核并获得认证更是水到渠成的事情。
1现状调研：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员全面了解信息安全管理的基本知识。
2 风险评估：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。
3管理策划：根据组织对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。
4体系实施：全面实施信息安全管理策略、执行安全管理体系，落实实施信息安全管理技术计划，根据实施效果改进、更新管理方案。
5监督评审：通过组织内部审核和管理评审，对组织整体信息安全管理水平进行综合评价，提出改进方案，制定整改计划。
恒标知识产权咨询有限公司经营范围：商标、、ISO认证、CE认证、版权登记、计算机软件著作权、评估、双软企业认定、高新企业认定、企业信用评级
我公司业务面向整个山东省：济南、、聊城、滨州、东营、淄博、莱芜、烟台、青岛、、日照、菏泽、济宁、临沂、、潍坊、枣庄

公司根据信息安全管理体系按照ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》，结合公司实际业务和发展需要，建立文件化的信息安全管理体系，主要包括：
信息安全管理手册，适用于各活动的程序文件、指南相关规定和制度；各类支持性记录等。体系规范了各项管理活动、技术活动、支持活动的开展，确保公司产品及服务的信息安**够满足客户需求并持续提高。

1 目的
为对适用范围内的设备的维护过程实施有效控制，确保其连续的可用性和完整性，特制定本程序。
2 目的
本程序适用于本组织各类信息处理设施(包括传输线路)的维护管理。
3 职责
3.1 销售部
负责测试用计算机和网络设备的管理与维护。
3.2 销售部
负责组织内办公用计算机和网络设备的管理与维护。
4 相关文件
《信息安全管理手册》
5 程序
5.1 信息设备的分类
办公用计算机设备，包括所有销售部、会议室内的计算机、打印机，域控制涉密电脑，DNS涉密电脑、EMAIL涉密电脑、程控交换机等。
开发测试用计算机设备，包括所有研发测试工作使用的计算机、涉密电脑、小型机、磁盘阵列、光纤交换机、工控机等。
网络设备，包括交换机、路由器、防火墙等。
其它办公设备，包括电话设备、复印机、传真机等。
5.2 计算机、网络设备的管理与维护
计算机、网络设备应进行日常点检。
日常点检的目的是确认系统硬件是否运行良好，有无硬件及程序上的报警，备份是否正常进行等。
5.3 维修服务的外包安全控制
组织应与厂商签订设备维护（维修）服务合同，合同应包含信息安全方面的条款，例如签订保密协议。合同须明确服务的时间、范围、内容和记录保存条款。
对厂商现场维护有安全要求时应填写《第三方物理访问申请授权表》，由相关人员陪同方可进入。
5.4 资料的保存
办公用设备的技术资料由销售部保存并建立《设备技术资料清单》，以备日后查阅。
设备厂商对设备进行维修后提供的维修（维护)记录单，由销售部保存，以备日后查询。
测试用设备的技术资料由销售部保存并建立《设备技术资料清单》，以备日后查阅。
设备厂商对设备进行维修后提供的维修（维护)记录单，由销售部保存，以备日后查询。
5.5 设备的迁移与报废
设备的迁移与报废依照本组织《变更管理程序》执行。
特别的，如报废设备中存有秘密信息，必须予以清除并在《设施报废记录》中予以说明。
5.6 系统故障处理
系统发生故障时，维护人员应按照各系统的点检业务手册进行及时的处理，故障发生的原因、处理结果应按照点检业务手册的要求予以记录。
5.7 容量管理
定期信息处理设施的容量，包括设备的数量、性能、线路、磁盘容量等，每年根据各销售部门的需要，制定计划。
5.8 技术脆弱性管理及扫描工具的安全使用
定期发现信息系统中的技术脆弱性，可以通过自动化工具进行扫描，包括网络、涉密电脑、应用程序及网站，形成分析报告，对发现的高风险漏洞进行处置。
对网络扫描工具的使用，必须得到经理的授权，并保存使用的记录。
5.9 设备转移
机房内的设备，包括网络设备、涉密电脑、UPS、空调不得移出机房。
工作用的PC机不得随便移动。PC机的转移统一由销售部执行，各部门如因工作需要必须要转移PC机，由个人填写《信息设备转移单》，并清除秘密信息，交由部门经理审核批准后，再向销售部申请，经审核批准后，销售部管理人员负责PC机的转移。
电话、座椅的转移流程与5.8.2相同。
5.10 信息设施的时钟同步
Internet时钟涉密电脑为时钟同步涉密电脑，系统自动与时钟同步涉密电脑进行对时。
组织应按照文件的控制要求进行审核与批准并发布实施，至此，信息安全管理体系将进入运行阶段。在此期间，组织应加强运作力度，充分发挥体系本身的各项功能，及时发现体系策划中存在的问题，找出问题根源，采取纠正措施，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。ISO27001认证体系审核体系审核是为获得审核证据，对体系进行客观的评价，以确定满足审核准则的程度所进行的系统的、立的并形成文件的检查过程。体系审核包括内部审核和外部审核(第三方审核)。内部审核一般以组织名义进行，可作为组织自我合格检查的基础;外部审核由外部立的组织进行，可以提供符合要求的认证或注册。至于应采取哪些控制方式则需要周密计划。并注意控制细节。信息安全管理需要组织中的所有雇员的参与，
信息安全管理体系标准（ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为**。根据ISO27001对您的信息安全管理体系进行认证，引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个提供信息安全服务的公司就可以达到的。它需要全面的综合管理。通过进行ISO27001信息安全管理体系认证。
可以增进组织间电子电子商务往来的信用度，能够建立起和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到小，创造更大收益。通过认证能保证和组织所有的部门对信息安全的承诺。通过认证可改善全体的业绩、消除不信任感。获得国际认可的机构的认证，可得到国际上的承认，拓展您的业务。建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证机关的审核，获得认证。
组织全体人员都参与进来，从而保证大家在思路上的共识；（8）体系运行模式满足原则遵照PDCA过程方法来对体系进行不间断的持续改进；（9）工具接口满足原则如要对IT服务管理与信息安全，要建设两个系统时，要求两个系统要设计详细的接口，并有的文档来记录接口定义。通过以往的项目经验及对两套体系的研究，归纳与总结ISO20000与ISO27001的体系对比，两套体系整合的可行性可能会存在以下几个方面，（1）体系实施人员的整合作为两套体系整合的要素，也是整合重要的因素，只有对实施人员的统一管理与任务分派，才能更好的管理体系实施与改进。即使人员有很大变动时，也能保证正常的服务运营；（2）体系规范的整合体系实施人员通过自身研究或借助咨询公司深入研究两套体系规范。
http://iso9001fsc.b2b168.com