佛山ISO27001认证审核需要那些材料

本公司总经理为信息安全责任者。总经理*信息安全管理者代表,无论信息安全管理者代表其他方面的职责如何，对信息安全负有以下职责：
a) 建立并实施信息安全管理体系必要的程序并维持其有效运行；
b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全管理小组或责任者报告。
各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务。
各部门、人员有关信息安全职责分配见《附录3-信息安全职能分配表》和相应的程序文件（管理标准）、规定及岗位说明书。

---用户需求和行业应用信息收集与分析；；
---进行软硬件组合解决方案销售业务；
---负责按客户提供的要求进行报价管理及对账；
---组织拟制、审核公司在客户服务业务方面的策略、客户服务政策、计划和流程。
---参与拟制、审核技术发展和服务规划的策略、计划和实施方案，并定期提出相关技术发展和服务信息技术服务的评估报告和改进建议。
---执行信息安全政策，在产品，计算机硬软件的运作过程中确保公司和客户的数据信息安全。负责本部门的资产信息安全，包括硬件，软件，邮件等的信息安全。
----文件制作； 招、投标文件制作等；

A. 确保执行识别、文件化和满足信息安全需求的活动
B. 分配权限和职责，确保根据信息安全管理的方针和目标设计、实施和提高服务管理过程及信息安全过程。
C. 确保信息安全过程和服务管理过程是与其他SMS管理组件整合的
D. 确保用于提供信息安全的资产，其管理遵从法律法规要求和合同义务，资产包括许可证
E. 向管理者报告信息安全管理体系的业绩和任何改进的机会
F. 负责建立、推动和维护运营系统的信息安全管理体系，监控和组织信息安全管理体系的运行、维护，完成信息安全管理体系的第三方机构的认证。
G. 负责建立公司管理制度与文件架构，组织实施各类体系文件的管理。
H. 负责组织公司员工在信息安全管理体系知识方面的培训，收集、传达、宣传信息安全法规与标准，推动和提升全体员工实施信息安全管理的意识和能力。
I. 负责内部信息安全管理体系审核和管理评审，组织、监控公司整体信息安全规划、信息安全控制及信息安全改进活动的实施，确保信息安全管理体系运行的有效性和适用性。
J. 负责制订公司的项目管理制度，根据公司总体目标和计划，组织各部门分解和落实各项工作任务，提高项目管理的效率和信息安全、信息技术服务。
K. 负责与外部机构的联系（如：认证中心等）。
L. 加强公司的全面信息安全管理工作，有效实施信息安全监督方案；
M. 指导各部门有效展开信息安全方针、目标，编制年度信息安全计划的指标，并督促信息安全目标的完成；
N. 负责督促信息安全管理机构组织起草、编制信息安全管理制度、信息安全责任及经营环节的信息安全流程文件，并保证文件的实施；
O. 定期组织召开信息安全分析会、信息安全管理员会议，听取信息安全动态的汇报并作出有关信息安全问题处理意见；
P. 协助人力资源部实施对员工信息安全方面培训教育；
Q. 负责协调部门之间信息安全管理工作有序开展。

操作安全
1. 信息处理和通信设施的系统活动须具备成文的制度规范，例如备份管理、软件管理、设备管理、介质处理和防病毒及恶意软件管理等。应当为所有的信息处理设施建立必要的管理和操作职责及制度。
2. 确保每一个信息系统都能够识别容量要求，确保在必要时能够对系统的可用性和效率进行及时评估和改进。对系统未来容量的推测应考虑到新业务的开展、系统自身发展要求以及当前的信息处理能力和未来发展的趋势。
3. 建立有效的计算机病毒预防及查杀机制，实施防止恶意软件的侦查与防护控制，并提高员工的防范意识。
4. 根据备份策略对数据进行备份并定期对备份数据进行有效性测试。
5. 在选用介质时应当考虑备份的信息需要保存的周期长短，保存信息的存储介质包括硬盘、磁带、U盘、可移动硬件驱动器、CD、DVD和打印介质等。储存介质的管理人员应检查和标记所有的储存媒介，为使存储介质中的数据和系统文件免遭未授权泄露、篡改和破坏，应建立关于存储介质使用、保存、删除和销毁的操作策略和相关制度。
6. 应制定处置、处理、存储与分类一致的信息与其通信的管理制度。并按照所设置的分类级别，处置和标记所有介质。明确防止未授权人员访问的限制要求，并根据制造商的存储规范来保存介质，同时，清晰**记数据的所有拷贝，以引起数据所有者的关注。
7. 应建立日志保护的管理制度以防止日志保存设施被未授权更改和出现操作问题，重要的审计日志需要被存档保存，审计日志包括用户ID、日期、时间和关键事态等细节，以及系统配置、特殊权限、系统实用工具和应用程序的使用。

http://iso9001fsc.b2b168.com