行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
所在地深圳
发货地深圳或广州
证书有效可查
公司机构正规
审核流程协助推进
价格费用优惠面议
适用标准ISO27001:2013
周期1个月
ISO27001认证:信息安全风险,制定相应的信息安全总体规划、管理规划、技术规划等,形成完整的信息安全管理体系。
1 目的
为对本组织各种应用系统的用户访问权限(包括特权用户及相关方用户)实施有效控制,杜绝非法访问,确保系统和信息的安全,特制定本程序。
2 范围
本程序适用于本组织的各种应用系统涉及到的逻辑访问的管理。
3 职责
3.1 各部门职责
负责访问权限的申请、审批、执行。有信息系统的部门负责各部门的信息系统权限控制。由办公室通知人事变更情况,按照人事变更情况变更相应权限。
办公室:负责财务系统及设备维护系统的用户权限控制。
办公室:负责SVN系统及设备维护的用户权限控制。
销售部:负责漏洞扫描系统及设备维护的用户权限控制。
3.2 办公室职责
负责向各部门通知情况。
负责外来人员物理访问控制。
负责邮件系统的用户权限访问控制。
负责公司网站内部管理用户权限访问控制
负责电话、网络权限控制
为贯彻执行ISO/IEC27001:2013《信息安全管理体系》,加强对信息管理体系运行的,特授权:
1、授权 为公司管理者代表,其主要职责(角色)和权限为:
1)确保公司信息安全管理体系所需过程得到建立、实施、运行和保持。确保信息安全业务风险得到有效控制。
2)向管理者报告信息安全管理体系业绩(绩效)和任何改善需求,为管理层评审提供依据。
3)确保满足顾客和相关方要求、法律法规要求的信息安全意识和信息安全风险意识在公司内得到形成和提高。
4)在信息安全管理体系事宜方面负责与外部的联络。
2、授权田旭为ISMS信息安全管理项目责任人,其主要职责(角色)和权限为:确保信息安全管理方的控制措施得到形成、实施、运行和控制。
3、授权各部门主管为信息安全管理体系在本部门的责任人,对ISMS要求在本部门的实施负责。
信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为**。根据 ISO27001 对您的信息安全管理体系进行认证,可以带来以下几个好处:
引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。保证信息安全不是仅有一个防火墙,或找一个提供信息安全服务的公司就可以达到的。它需要全面的综合管理。
除了组织自身投入之外,ISO27001 认证审核费用主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后,认证机构会初步了解组织现状,确定审核范围,提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确定的,决定因素包括:
1、受审核组织的员工数量;
2、纳入审核范围的信息量;
3、场所数量;
4、组织与外界的关联;
5、组织 IT 的复杂性;
6、组织类型和业务性质等。
除了费用问题,认证审核的周期通常也是组织比较关心的。一般来说,从组织启动 ISMS建设项目开始,到终通过审核,至少要有半年时间(不包括获取的时间)。对于很多因为外部驱动力而决心实施 ISO27001 认证项目的组织来说,提早进行规划是必要的。
本公司信息安全管理体系文件包括:
a) 文件化的信息安全方针,在《信息安全管理体系手册》中描述,选择的控制目标在《信息安全适用性声明SOA》中描述;
b) 《信息安全管理体系手册》(本手册,包括信息安全适用范围及引用的标准);
c) ISO/IEC27001:2013标准中规定需文件化的程序;
d) 本手册涉及的相关支持性程序性文件,例如《信息安全风险管理程序》;
e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;
f) 《风险处理计划》以及信息安全管理体系要求的记录类;
g) 相关的法律、法规和信息安全标准;
h) 《信息安全适用性声明SOA》。
申请ISO27001认证的条件
1. 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册。
2. 申请方的信息安全管理体系已按ISO/IEC27001:2013标准的要求建立,并实施运行3个月以上。
3. 至少完成一次内部审核,并进行了管理评审。
4. 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
http://iso9001fsc.b2b168.com
