公司名称深圳汉墨管理咨询有限公司
行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
服务电话
所在地深圳
ISO认证ISO27001信息安全管理体系认证咨询
ISO27001认证ISO27001信息安全管理体系认证办理
发货地深圳或广州
ISO27001认证办理信息安全管理体系认证办理
A.9.3 A.9.3.1秘密认证信息的使用 检查、验证用户口令秘密认证信息的使用
用户职责
A.9.4 A.9.4.1 信息访问限制 查阅、验证使用网络服务的策略和执行情况。
系统和应用的访问控制 A.9.4.2 安全登录程序 检查、验证操作系统的安全登录控制。
A.9.4.3 口令管理系统 检查、验证操作系统的口令管理系统。
A.9.4.4 检查、验证对网络设备上的远程诊断和配置端口的保护措施。
特权使用程序的使用
A.9.4.5 程序源代码的访问控制 询问、验证对程序源代码的访问控制措施。
A.10加密控制
A.10.1 A.12.3.1 使用密码控制的策略 询问相关部门,是否使用密码控制。
加密控制 A.12.3.2 密钥管理 询问、验证密钥管理的措施。
A.11 物理和环境安全
A.11.1 A.11.1.1 物理安全边界 结合ISMS范围文件,访问行政部等相关部门,了解组织的物理边界控制、出入口控制、办公室防护等措施和执行情况。
安全区域 A.11.1.2 物理入口控制 如调阅监控录像资料等。
A.11.1.3 办公室、房间和设施的安全保护
A.11.1.4外部和环境威胁的安全防护 询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.11.1.5 在安全区域工作 询问、验证组织安全区域内的物理防护。
A.11.1.6 公共访问、交接区安全 询问、验证组织公共访问、交接区内的防护措施
A.11 物理和环境安全
A.11.1 A.11.1.1 物理安全边界 结合ISMS范围文件,访问行政部等相关部门,了解组织的物理边界控制、出入口控制、办公室防护等措施和执行情况。
安全区域 A.11.1.2 物理入口控制 如调阅监控录像资料等。
A.11.1.3 办公室、房间和设施的安全保护
A.11.1.4外部和环境威胁的安全防护 询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.11.1.5 在安全区域工作 询问、验证组织安全区域内的物理防护。
A.11.1.6 公共访问、交接区安全 询问、验证组织公共访问、交接区内的防护措施
A.11.2 A.11.2.1 设备安置和保护 询问、验证组织设备安置和保护措施。查阅信息安全管理小组管理规定等相关文件。
设备安全 A.11.2.2 支持性设施 询问、验证组织支持性设施(例如供水、供电、温度调节等)的运行情况。查阅信息安全管理小组记录等。
A.11.2.3 布缆安全 询问在线运维人员等相关部门在布线方面是否符合相关国家标准,并验证。
A.11.2.4 设备维护 询问、验证组织设备维护情况,查阅设备维护记录。
A.11.2.5组织场所外的设备的安全 询问、验证组织对场所外的设备的安全保护措施。
A.11.2.6资产的移动 询问、验证对资产的移动的安全防护措施。
A.11.2.7设备的安全处置或再利用 询问、验证电脑等设备报废后的处理流程,是否满足规定的要求。
A.11.2.8无人值守的用户设备 询问、验证无人值守的用户设备的安全措施情况。
A.11.2.9清空桌面和屏幕策略 检查、验证清空桌面和屏幕策略执行情况。
1. 在制定密码策略时,应考虑下列内容:组织间使用密码控制的管理方法,包括保护业务信息的一般原则,基于风险评估,应确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量;使用密码保护通过移动电话、可移动介质、设备或者通过通信线路传输的敏感信息。
2. 公司对程序源代码和相关事项(诸如设计、说明书、确认计划和验证计划)的访问需严格控制,对于程序源代码的保存,通过代码的存储控制来实现,是放在源程序库中。
3. 评审应用系统中控制和完整性的程序,以确保它们不因操作系统变更而损坏,确保年度支持计划和预算中包括由于操作系统变更而引起的评审和系统测试,及时提供操作系统变更的通知,以便于在实施之前进行合适的测试和评审,同时对业务连续性计划进行合适的变更。
4. 需定期评估隐藏信息的对外通信安全,掩盖和调整系统的通信行为,以减少第三方从这些行为中推断信息的可能性。公司还应在现有法律或法规允许的情况下,定期监视个人和系统的活动。监视计算机系统的资源使用。
5. 需及时获得组织所使用的各类操作系统、应用系统、软件工具等信息系统的技术脆弱性信息,评估组织对此类技术脆弱点的保护,并采取适当的控制措施。
具体管理策略请参见《信息系统获取、开发及维护管理制度》。
ISO27001认证注意事项
注意事项
1. 整个ISO27001从发布文件到终评估少4个月
2. 首先修改信息安全手册:公司组织架构:10人以下
3. 然后修改适应性声明文档;ISO27001标准的附录A很重要,适应性声明是根据附录A制定的,评估时根据适应性声明作为评估范围
4. 重点是管理评审和内审,至少1次,内审后至少1周之后进行管理评审
5. “风险评估”每个部门必须看,重要资产清单、风险识别、评估、缓解措施很重要,针对资产风险制定的安全措施的实施记录要全
6. 0101-信息安全风险识别与评价管理程序 :每个部门必须看,关键是资产、威胁、脆弱性赋值、风险等级评价
1. 重要的文档
a. 信息安全手册
i. 重要的是确定组织架构、总共的人员数量,每个部门的人员数量
ii. 信息安全角色和职责
iii. 确定授权的管理者代表
b. 适应性声明
i. 与ISO27001标准的附录A条款的对应表,确定哪些条款适用、哪些条款不适用
ii. 不适用的条款需要写明不适应的理由
c. 0101-信息安全风险识别与评价管理程序
i. 信息资产识别与评价
ii. 对资产价值、威胁、脆弱性的评分
d. “风险评估”相关的记录文档
2. 重要的活动
a. 内审
i. 确定至少2个内审员(属于不同的部门),对公司所有部门的ISO27001遵循情况进行内审
ii. 至少内审1次,正式评估之**个半月左右进行内审即可
b. 管理评审
i. 确定1个管理者代表
ii. 内审后一周做管理评审
3. 重要的资产管理
a. 服务器
b. 办公区域,门禁管理
c. 软件是否是正版的,正版软件需要提供正版 的证明,不是正版的软件需要提供使用授权书
4. 文档修改要求
a. 发布时间为 年 月 日
b. 修改公司名称、人员姓名、时间
5. ISO27001体系建立与实施过程
a. 年月日ISO27001开始启动
b. ISO27001培训(公司所有员工)
i. 培训签到表
c. 年 月 日体系正式发布
d. 资产识别与风险评估
i. 资产识别
ii. 风险评估
iii. 风险评估报告
iv. 风险处置计划(处置开始时间、结束时间)
v. 风险处置计划检查
vi. 残余风险报告
e. 实施记录文件
f. 年 月 日内审
g. 年 月 日管理评审
6. 现场审核注意事项
a. 灭火设备要经过检查记录
b. 个人办公桌面整理整洁
3. 网线\电线\电缆等理顺
4. 所有有形资产必须贴上标签
5. 所有电子文档准备完整,可供评估师审核
6. 手册,SOA,程序文件打印出来签字
7. 内审员、管理者代表协助评估师评估(负责提供证据,解答评估师的问题)
-/gbafcji/-
http://iso9001fsc.b2b168.com
