公司名称深圳汉墨管理咨询有限公司
行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
服务电话
所在地深圳
ISO认证ISO27001信息安全管理体系认证咨询
ISO27001认证ISO27001信息安全管理体系认证办理
发货地深圳或广州
ISO27001认证办理信息安全管理体系认证办理
公司建立体系的过程如下:
1. 建立ISMS
公司从以下几方面入手建立信息安全管理体系:
根据本公司所从事的业务、性质、办公地点、各种信息资产、拥有技术的特点确定信息安全管理体系的范围。
根据员工的信息安全意识和信息安全在本公司业务中的重要程度确定信息安全管理体系的方针。
定义了系统化的风险评估的方法。
1)识别风险
在信息安全管理体系范围内,识别资产及其责任人;
识别资产面临的威胁;
识别可能被威胁利用的脆弱性;
识别保密性、完整性和可用性对资产造成的影响程度;
识别资产面临的风险。
2)分析和评估风险
评估安全故障对业务造成的损害,充分考虑资产失去保密性、完整性和可用性的潜在后果;
评估与这些资产相关的主要威胁、脆弱点和造成此类事故发生的现实可能性和现有的控制措施;
估算风险的等级;
决定风险的可接受程度,进而决定是否需要采取措施对风险进行控制。
3)识别和评价风险处理:
实施适当的控制措施;
风险,采取有效的控制措施避免风险的发生;
接受风险,在一定程度上有意识、有目的地接受风险;
风险转移,转移相关业务风险到其他方面。
4)选择风险处理的控制目标和控制方式:从《ISO 27001:2011 信息安全管理体系-要求》的“附件A”中选择合适的控制目标和控制措施,以满足风险评估和风险处置过程所识别的要求,根据风险评估和风险处理过程的结果进行适当的调整。
5)适用性声明:公司对所选择的控制目标和控制措施以及被选择的原因,在《适用性声明》中进行描述。
6)对残余风险获得信息安全管理者代表批准。
7)关于风险控制,见《信息安全风险管理程序》。
1. 记录储存
1) 各部门形成的记录由发生部门及接收部门储存保管,以随时提供信息安全管理体系有效运行的证实。
2) 各部门需要归档的记录,由发生部门进行整理,交总裁办负责归档手续,纸质记录存入文件柜中,电子记录存放在*存储介质中。
2. 记录的保护
1) 现场使用的记录应用文件夹保护,有密级控制要求的记录要控制其分发。
2) 归档的纸质记录应放入文件柜保护,由信息安全工作小组或相应责任部门专人负责,防止丢失。
3) 归档的电子记录存贮在安全的存储介质中,以防病毒、误删除侵害。
4) 所有存放记录的地方应做到防潮、防火、通风干燥、防虫蛀、防鼠害、防损坏、防变质、防污染。
3. 保存期
1) 为控制记录并提供证实,实行保存期控制;
2) 由信息安全工作小组归档的记录保存年限,一般分为长期和3年;
3) 由部门保存的记录保存3年。
4. 记录借阅及处置
1) 涉秘记录借阅由借阅人提出申请,经得保管部门负责人同意方可借阅。文件在查阅、借阅时不得做任何标记,更不能涂改及自行复制。
2) 对**过保存期的记录,应进行销毁处置。由保管部门填写《记录销毁处置审批表》,经体系负责人批准后予以销毁。
b) 组织要定期评审ISMS有效性 l 是否有符合此要求 “ISMS有效性的定期评审”的过程?
c) 组织要测量控制措施的有效性 l 是否有到位的“测量控制措施的有效性” 的过程或程序?
d) 组织要评审风险评估 l 是否有到位的“评审风险评估” 的过程或程序?
l “评审风险评估” 的过程是否考虑了“6方面的变化”?
e) 组织要执行定期的ISMS内部审核 l 是否有到位的定期的“ISMS内部审核”过程或程序?
f) 组织要执行定期的ISMS管理评审 l 是否有到位的定期的“ISMS管理评审”过程或程序?
g) 组织要更新信息安全计划 l 组织是否参考监视和评审活动的发现,而“更新信息安全计划”?
h) 组织要维护ISMS事件和行动措施的纪录 l 是否有到位的“维护ISMS事件和行动措施的纪录”的过程?
条款:4.2.4 保持和改进ISMS
a) 组织要实施ISMS改进 l 是否有到位的“实施ISMS改进”的过程?
b) 组织要采取适当的纠正措施和预防措施 l 是否有到位的“纠正措施和预防措施”的过程?
l 是否有到位的吸取其它组织和本组织的安全经验教训的过程?
c) 组织要向所有相关方交流ISMS的措施和改进状况 l 是否有向所有相关方交流ISMS改进的过程?
d) 组织要确保ISMS的改进达到预期目标 l 是否有确保ISMS的改进达到了预期目标的过程?
A.7人力资源安全
A7.1 A.7.1.1审查 访问人力资源部等相关部门,验证人员任用前的审查工作。
任用之前 A.7.1.2 任用条款和条件 查阅任用合同中的信息安全相关的任用条款
A7.2 A.7.2.1 管理职责 访问管理者(或管理者代表),验证对员工提出的信息安全方面的要求。
任用中 A.7.2.2 信息安全意识、教育和培训 查阅培训计划和培训记录。
A7.2.3 纪律处理过程 访问人力资源部等相关部门,以及查阅信息安全奖惩制度。
A.7.3 A.7.3.1 终止职责 访问人力资源部,了解和验证组织的员工和第三方人员等在任用结束后的信息安全要求。
任用的终止或变化
A.8资产管理
A.8.1 A.8.1.1 资产清单 审核组织的信息资产清单和关键信息资产清单。
对资产负责 A.8.1.2 资产责任人
A8.1.3 资产的允许使用 访问各部门,了解对信息资产使用的控制。
A.8.1.4 资产的归还 访问行政部、人力资源部等相关部门,了解和验证组织的员工和第三方人员等在任用结束后,对领用资产的归还情况。
-/gbafcji/-
http://iso9001fsc.b2b168.com