珠海ISO27001认证顾问 ISO27000认证需要那些材料

0.2 颁布令 4
0.3授权书 4
0 前言 5
1 范围 5
2 规范性引用文件 6
3 术语和定义 6
4 组织环境 6
4.1 理解组织及其环境 6
4.2 理解相关方的需求和期望 7
4.4 信息安全管理体系 7
5 12
5.1 和承诺 12
5.2方针 13
5.3 组织角色、职责和权限 13
6 规划 17
6.1 应对风险和机会的措施 17
6.2 信息安全目标和规划实现 19
7 支持 20
7.1 资源 20
7.2 能力 20
7.3 意识 21
7.4 沟通 21
7.5 文件化信息 21
8 运行 22
8.1 运行的规划和控制 22
8.2 信息安全风险评估 23
8.3 信息安全风险处置 23
9 绩效评价 23
9.1 监视、测量、分析和评价 23
9.2 内部审核 23
9.3 管理评审 24
10 改进 25
10.1 不符合和纠正措施 25
10.2 持续改进 26
附录1-组织概况 27
附录二：组织结构图及部门职责说明 28
附录三-信息安全小组 35
附录四：信息安全管理体系职能分配表（注：▲ 负责部门； △ 相关部门）： 36
附录五-程序文件清单 41

A. 确保执行识别、文件化和满足信息安全需求的活动
B. 分配权限和职责，确保根据信息安全管理的方针和目标设计、实施和提高服务管理过程及信息安全过程。
C. 确保信息安全过程和服务管理过程是与其他SMS管理组件整合的
D. 确保用于提供信息安全的资产，其管理遵从法律法规要求和合同义务，资产包括许可证
E. 向管理者报告信息安全管理体系的业绩和任何改进的机会
F. 负责建立、推动和维护运营系统的信息安全管理体系，监控和组织信息安全管理体系的运行、维护，完成信息安全管理体系的第三方机构的认证。
G. 负责建立公司管理制度与文件架构，组织实施各类体系文件的管理。
H. 负责组织公司员工在信息安全管理体系知识方面的培训，收集、传达、宣传信息安全法规与标准，推动和提升全体员工实施信息安全管理的意识和能力。
I. 负责内部信息安全管理体系审核和管理评审，组织、监控公司整体信息安全规划、信息安全控制及信息安全改进活动的实施，确保信息安全管理体系运行的有效性和适用性。
J. 负责制订公司的项目管理制度，根据公司总体目标和计划，组织各部门分解和落实各项工作任务，提高项目管理的效率和信息安全、信息技术服务。
K. 负责与外部机构的联系（如：认证中心等）。
L. 加强公司的全面信息安全管理工作，有效实施信息安全监督方案；
M. 指导各部门有效展开信息安全方针、目标，编制年度信息安全计划的指标，并督促信息安全目标的完成；
N. 负责督促信息安全管理机构组织起草、编制信息安全管理制度、信息安全责任及经营环节的信息安全流程文件，并保证文件的实施；
O. 定期组织召开信息安全分析会、信息安全管理员会议，听取信息安全动态的汇报并作出有关信息安全问题处理意见；
P. 协助人力资源部实施对员工信息安全方面培训教育；
Q. 负责协调部门之间信息安全管理工作有序开展。

信息安全适用性声明(SOA)
信息安全管理手册
信息安全目标
文件控制制度
记录控制制度
内部审核控制制度
管理评审控制制度
风险评估控制制度
信息安全目标及有效性测量制度
纠正和预防措施控制制度
信息安全交流控制制度
信息资产分类分级管理制度
信息安全之人力资源安全管理制度
物理环境安全管理制度
访问控制制度
信息系统获取、开发与维护管理制度
通信安全管理制度
信息安全事件管理制度
业务连续性管理制度
符合性实施制度
信息安全体系文件管理矩阵表
信息安全组织结构映射表
风险评估原则
笔记本电脑分类分级管理规定
变更管理规定
补丁管理规定
第三方人员管理规定
防范病毒及恶意软件管理规定
介质管理规定
软件管理规定
设备管理规定
数据备份管理规定
系统监控管理规定
电子邮件管理规定
外包业务信息安全规范
信息安全奖惩管理规定
适用法律法规和其它要求清单

公司建立的体系文件由四个层次的文件组成，它们分别是：
1）手册：阐述了体系的方针和目标、体系的范围、组织结构和职责权限，同时描述了体系的主体文件（程序文件），是体系总纲文件和必须长期遵循的法规；手册由信息安全管理会控制。
2）程序文件：规定了实施与体系要素有关的各项活动的途径和方法，是各项活动得以有效实施的**；程序文件由管理者代表控制。
3）作业指导、规章制度：是现场或岗位使用的详细工作文件，是程序文件的支撑和补充性文件；作业指导、规章制度由管理者代表控制。
4）记录、表格、报告：程序及各种规定的具体执行记录。由各部门控制。

http://iso9001fsc.b2b168.com