广东ISO27001认证培训需要那些材料

下列文件的全部或部分内容在本文件中进行了规范引用，对于其应用是必不可少的。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其版本（包括任何修改）适用于本标准。
ISO/IEC 27000，信息技术—安全技术—信息安全管理体系—概述和词汇
术语和定义
ISO/IEC 27000中的术语和定义适用于本标准。
组织环境
理解组织及其环境
管理者应确定与本公司信息安全目标和战略方向相关并影响实现管理体系预期结果的各种内部因素（公司的价值观、文化、知识、绩效等相关因素）和外部因素（国际、国家、地区和当地的各种法律法规、技术、竞争、文化和社会因素等）。这些因素可以包括需要考虑的正面和负面因素或条件。
本公司定期对这些内部和外部因素的相关信息进行监视和评审，以确保其充分和适宜。
企业外部宗旨：踏踏实实做事，本本份份做人”；
企业内部宗旨：员工与企业共同发展，共同进步；
企业战略方向：客户至上，技术，不断创新，诚信为本。

1. 职责和权限
1) 管理者代表：负责批准《内部审核计划》和《内部审核报告》。
2) 行政部：内审记录存档。
3) 信息安全工作小组：负责组织对不符合项的验证跟踪及相应文件的管理工作。
4) 内审组组长：负责编制《内部审核计划》，组织编写《内部审核检查表》，根据计划组织实施信息安全管理体系内部审核；编写内审报告。
5) 各部门：积极配合体系内部审核，对审核过程中发现的问题及时采取纠正措施。
2. 活动描述
2.1. 内部审核策划
2.1.1 内部审核周期及范围
在正常情况下公司至少每年组织一次覆盖公司信息安全管理体系的内部审核，信息安全工作小组组织协调。
当发生下列情况之一时（不限于），体系负责人可临时决定组织内部审核，临时内审范围由体系负责人根据实际情况确定：
1) 当管理体系、业务内容发生重大改变时；
2) 当外部要求，需对体系做出评价时；
3) 当体系发生重大变化时，如组织机构大调整、文件大量修改等；
4) 当发生严重不合格、或出现重大客户投诉或信息安全事故时；
5) 采用标准、适用法律或验证方法出现重大变化时；
6) 第三方认证机构审核前；
7) 其它需要增加内审的情形。

A.14 信息系统获取、开发和维护
A.14.1 A.14.1.1 安全要求分析和说明 查阅系统开发中安全需求分析和说明等相关文件
信息系统的安全要求 A.14.1.2公共网络应用服务安全 询问、验证对网站信息的发布管理过程
A.14.1.3保护应用服务交易 检查业务数据、管理信息的保护权限
A.14.2 A.14.2.1安全开发策略 检查是否制定及应用关于软件和系统的开发规则，并应用于组织内的开发
开发和支持过程的安全 A.14.2.2 变更控制规程 查阅变更控制等相关文件。
A.14.2.3 操作系统变更后应用的技术评审 查阅操作系统变更后对应用的技术评审记录。
A.14.2.4 软件包变更的限制 询问对系统变更的限制措施。
A.14.2.5系统开发程序(安全系统原则) 检查是否建立安全系统开发流程，记录，维护并应用到任何信息系统开发工作
A.14.2.6安全的开发环境 检查开发、测试和生产环境是否分离
A.14.2.7 外包软件开发 是否有外包管理规定，是否按规定来监督外包项目的执行
A.14.2.8系统安全性测试 检查是否在开发过程中，测试了功能的安全性
A.14.2.9系统验收测试 查阅系统建设完成时的验收标准和验收记录
A.14.3 A.14.3.1 系统测试数据的保护 询问对系统测试数据的包括措施。

资产管理
1. 对信息资产进行识别和管理；根据不同类型信息资产的特征，制定并实施正确使用信息资产的操作规程。
2. 基于信息资产价值和等级划分制定不同的安全规范与策略，根据不同信息资产所需的保护要求，进行相应程度的保护。
具体管理策略请参见《信息资产分类分级管理制度》。
A.9访问控制
1. 加强对公司资产的访问控制管理，规范用户管理、密码管理、系统配置等要求，并提出访问控制管理的各项基本要求。
2. 通过实施用户管理，确保相关人员获取适合其工作职责的访问权限，形成用户访问权限的清单并定期审核，用户离岗或离职时及时进行权限的调整和清除。
具体管理策略请参见《访问控制管理制度》。
A.10密码控制
通过建立制度，完善密码使用和管理，制定和实施密钥的使用，保护，使用期策略并贯穿其整个生命周期。
具体管理策略请参见《密码控制管理制度》。

http://iso9001fsc.b2b168.com