深圳ISO27001认证证书需要那些材料

资产管理
1. 对信息资产进行识别和管理；根据不同类型信息资产的特征，制定并实施正确使用信息资产的操作规程。
2. 基于信息资产价值和等级划分制定不同的安全规范与策略，根据不同信息资产所需的保护要求，进行相应程度的保护。
具体管理策略请参见《信息资产分类分级管理制度》。
A.9访问控制
1. 加强对公司资产的访问控制管理，规范用户管理、密码管理、系统配置等要求，并提出访问控制管理的各项基本要求。
2. 通过实施用户管理，确保相关人员获取适合其工作职责的访问权限，形成用户访问权限的清单并定期审核，用户离岗或离职时及时进行权限的调整和清除。
具体管理策略请参见《访问控制管理制度》。
A.10密码控制
通过建立制度，完善密码使用和管理，制定和实施密钥的使用，保护，使用期策略并贯穿其整个生命周期。
具体管理策略请参见《密码控制管理制度》。

A.17 信息安全方面的业务连续性管理
A.17.1 信息安全连续性 A.17.1.1信息安全连续性策划 询问、验证组织是否实施了业务中断的风险评估，包括中断的事件、发生的概率和影响等。
A.17.1.2实施信息安全连续性 检查实施记录
A.17.1.3 测试、维护和再评估业务连续性计划 检查、验证组织对业务连续性计划的测试、保持，查阅测试记录等。
A17.2冗余 A.17.2.1信息处理设施的可用性 询问信息处理设施是否有冗余的设计以保证系统的可用性
A.18 符合性
A.18.1 A.18.1.1 可用法律的识别 查阅组织识别的适用的信息安全法律法规。
符合法律要求 A.18.1.2 知识产权（IPR） 询问、验证组织知识产权保护措施。
A.18.1.3 保护组织的记录 询问、查阅组织对相关记录的保护措施。
A.18.1.4 数据保护和个人信息的隐私 询问组织对数据和个人隐私的包括措施。
A.18.1.5 密码控制措施的规则 询问、验证组织密码控制措施情况。
A.18.2 A.18.2.1独立的信息安全评审 询问是否定期或发生较大变更时对组织的信息安全处置和实施方法（即控制目标、控制、策略、过程和信息安全程序）进行评审
信息安全评审 A.18.2.2 符合安全策略和标准 检查、验证员工遵守信息安全策略、规程等情况。
A.18.2.3 技术符合性核查 询问、验证组织是否定期进行技术符合性检查，查阅检查记录等。

目的和范围
为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。
本制度适用于信息安全管理体系文件的管理。
1. 引用文件
1) 《合规性实施制度》
2) 《信息资产分类分级管理制度》
2. 职责和权限
1) 总裁办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。
2) 各部门：负责本部门信息安全管理文件的管理与控制。
3. 管理内容及控制要求
4.1 文件的分类
信息安全管理体系文件主要包括：
1) 层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；
2) *二层：制度文件；
3) *三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；
4) *四层：记录、表单。记录控制执行《记录控制制度》。
4.2 文件编制
文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。
1) 层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。
2) 第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。
3) *四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

1. 目的和范围
按年度进行信息安全管理体系的内部审核，以验证管理活动和有关结果是否符合信息安全管理体系标准及公司信息安全管理体系文件的要求；是否符合相关法律法规要求、客户和相关方的要求；确保信息安全管理体系与标准的符合性、适宜性和有效性。
本制度适用于信息安全管理体系内部审核。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件，其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《纠正和预防措施控制制度》
5) 《文件控制制度》

http://iso9001fsc.b2b168.com