合肥ISO27001认证申请 信息安全管理体系认证申请 协助申请 标准规范

ISO27001认证好处：
1.符合法律法规要求
的获得，可以向机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
2.维护企业的声誉、和客户信任
的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。
3.履行信息安全管理责任
的获得，本身就能组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。
4.增强员工的意识、责任感和相关技能
的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。
5.保持业务持续发展和竞争优势
全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。
6.实现风险管理
有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。
7.减少损失，降低成本
1 目的
为对本组织各种应用系统的用户访问权限（包括特权用户及相关方用户)实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本程序。
2 范围
本程序适用于本组织的各种应用系统涉及到的逻辑访问的管理。
3 职责
3.1 各部门职责
负责访问权限的申请、审批、执行。有信息系统的部门负责各部门的信息系统权限控制。由办公室通知人事变更情况，按照人事变更情况变更相应权限。
办公室：负责财务系统及设备维护系统的用户权限控制。
办公室：负责SVN系统及设备维护的用户权限控制。
销售部：负责漏洞扫描系统及设备维护的用户权限控制。
3.2 办公室职责
负责向各部门通知情况。
负责外来人员物理访问控制。
负责邮件系统的用户权限访问控制。
负责公司网站内部管理用户权限访问控制
负责电话、网络权限控制

企业做ISO27001认证的好处：
1、切实提高组织的信息安全管理水平，提高全员信息安全意识，降低信息安全风险，保证信息的保密性、完整性和可用性；
2、增强投资者及其他利益相关方的投资信心；
3、向及行管部门组织对相关法律法规的符合性；
4、向客户表明组织对信息安全的承诺；
5、维护企业的名誉和客户信任；
6、提高中标率。

1 目的
为对适用范围内的设备的维护过程实施有效控制，确保其连续的可用性和完整性，特制定本程序。
2 目的
本程序适用于本组织各类信息处理设施(包括传输线路)的维护管理。
3 职责
3.1 销售部
负责测试用计算机和网络设备的管理与维护。
3.2 销售部
负责组织内办公用计算机和网络设备的管理与维护。
4 相关文件
《信息安全管理手册》
5 程序
5.1 信息设备的分类
办公用计算机设备，包括所有销售部、会议室内的计算机、打印机，域控制涉密电脑，DNS涉密电脑、EMAIL涉密电脑、程控交换机等。
开发测试用计算机设备，包括所有研发测试工作使用的计算机、涉密电脑、小型机、磁盘阵列、光纤交换机、工控机等。
网络设备，包括交换机、路由器、防火墙等。
其它办公设备，包括电话设备、复印机、传真机等。
5.2 计算机、网络设备的管理与维护
计算机、网络设备应进行日常点检。
日常点检的目的是确认系统硬件是否运行良好，有无硬件及程序上的报警，备份是否正常进行等。
5.3 维修服务的外包安全控制
组织应与厂商签订设备维护（维修）服务合同，合同应包含信息安全方面的条款，例如签订保密协议。合同须明确服务的时间、范围、内容和记录保存条款。
对厂商现场维护有安全要求时应填写《第三方物理访问申请授权表》，由相关人员陪同方可进入。
5.4 资料的保存
办公用设备的技术资料由销售部保存并建立《设备技术资料清单》，以备日后查阅。
设备厂商对设备进行维修后提供的维修（维护)记录单，由销售部保存，以备日后查询。
测试用设备的技术资料由销售部保存并建立《设备技术资料清单》，以备日后查阅。
设备厂商对设备进行维修后提供的维修（维护)记录单，由销售部保存，以备日后查询。
5.5 设备的迁移与报废
设备的迁移与报废依照本组织《变更管理程序》执行。
特别的，如报废设备中存有秘密信息，必须予以清除并在《设施报废记录》中予以说明。
5.6 系统故障处理
系统发生故障时，维护人员应按照各系统的点检业务手册进行及时的处理，故障发生的原因、处理结果应按照点检业务手册的要求予以记录。
5.7 容量管理
定期信息处理设施的容量，包括设备的数量、性能、线路、磁盘容量等，每年根据各销售部门的需要，制定计划。
5.8 技术脆弱性管理及扫描工具的安全使用
定期发现信息系统中的技术脆弱性，可以通过自动化工具进行扫描，包括网络、涉密电脑、应用程序及网站，形成分析报告，对发现的高风险漏洞进行处置。
对网络扫描工具的使用，必须得到经理的授权，并保存使用的记录。
5.9 设备转移
机房内的设备，包括网络设备、涉密电脑、UPS、空调不得移出机房。
工作用的PC机不得随便移动。PC机的转移统一由销售部执行，各部门如因工作需要必须要转移PC机，由个人填写《信息设备转移单》，并清除秘密信息，交由部门经理审核批准后，再向销售部申请，经审核批准后，销售部管理人员负责PC机的转移。
电话、座椅的转移流程与5.8.2相同。
5.10 信息设施的时钟同步
Internet时钟涉密电脑为时钟同步涉密电脑，系统自动与时钟同步涉密电脑进行对时。

1 目的
为确保引进的信息处理设施的安全性、完整性和可用性，特制定本程序。
2 范围
本程序适用于组织与IT相关各类信息处理设施（包括各类软件、硬件及服务)的采购、安装、配置和使用等事宜的管理。
3 职责
3.1 产品技术部
负责组织与IT相关各类信息处理设施及其服务的引进。包括制作《仪器设备领用单》、进行技术选型、安装和验收等。
4 相关文件
《信息安全管理手册》
《软件开发管理程序》
《计算机管理程序》
5 程序
5.1 采购
各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统服务，得到本部门负责人的批准后，向产品技术部提交《仪器设备领用单》。
《仪器设备领用单》得到产品技术部批准后，产品技术部负责技术选型和供应商评价。
5.2 技术选型
产品技术部负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行评价。
技术选型应该包含性能、相关设施的兼容性、协作能力、技术发展能力等。技术选型结果应填写在《仪器设备领用单》相关栏目中。
5.3 安装验收
5.3.1 开箱检查
设备到货后产品技术部应负责开箱检查，依照《仪器设备领用单》和装箱单核对数量及物品，确认有无损坏并填写《仪器设备领用单》签字确认验收检测结果。
5.3.2 安装、调试、验收
需要安装、调试的设施，产品技术部会同使用部门进行安装、调试。在实施调试过程中出现的问题，要如实记录在《仪器设备领用单》中。
5.3.3 记录
产品技术部应保持以下文件和记录：
a) 仪器设备领用单
b) 采购合同及其相关附件
5.4 移交使用
验收合格后，可向相关的使用部门移交，移交时应同时移交相关使用说明书或操作手册，并在《仪器设备领用单》中签字确认。
设备移交后，使用部门应明确使用责任人，修改《信息处理设施一览表》上该设备的新信息。
使用责任人应认真阅读相关使用说明书或操作手册，了解信息处理设施合理使用规则和限制。必要时，产品技术部制订安全操作规程。
设备使用部门负责对设备进行定置管理，采取措施以降低来自环境威胁和危害的风险以及未经授权访问的机会。
对无人值守设备，应规定安全要求和程序进行妥善保护。
信息处理设施应按批准的使用目的和使用范围使用。如果发现将这些设备用于未经批准的非业务目的，或用于未经授权的目的，将采取惩戒措施。
ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。
但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家机构的委托授权，才能为认证组织提供认证服务，并发放认证。大多数国家都有自己的国家机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案。
通过进行ISO27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到小，创造更大收益。
通过认证能保证和组织所有的部门对信息安全的承诺。
通过认证可改善全体的业绩、消除不信任感。
获得国际认可的机构的认证，可得到国际上的承认，拓展您的业务。
建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。
· 得以获得业界普遍认同的国际ISO20000认证；
· 就服务质量和服务承诺与业务及供货商达成一致，建立和业务及供货商统一的沟通平台；达到相关利益方均满意的IT服务管理目标；
· 提高IT服务的可用性、可靠性和安全性，为业务用户提供高质量的服务；
· 持续优化服务流程，提升服务水平，提高业务满意度；
· 提高项目的可提供性并确保如期交付；
· 从总体上提高组织/企业IT投资的报酬率，提升组织/企业的综合竞争力；
· 建立IT部门一整套行之有效的持续改善机制和内控机制；
· 明晰IT管理成本和组织/企业业务和IT目标的结合点，完善现有IT服务结构和资源配置，使各项IT资源的运用符合公司业务和IT目标；
· 通过建立优化、透明的管理流程和权责的定义，管理流程、进行绩效评价；降低IT运营的管理成本和风险；
· 易于整合服务管理流程和其它管理系统
http://iso9001fsc.b2b168.com