茂名ISO27001认证费用 ISO27000认证 辅导到位需要那些材料

深圳汉墨管理咨询有限公司

h) 组织要确保管理者正式批准所有残余风险 l 所有残余风险是否获得管理者正式批准？
i) 组织要确保在ISMS实施和运行之前，获得管理者授权 l ISMS实施和运行是否获得管理者授权？
j) 组织要准备适用性声明 l 组织是否有一个准备适用性声明的过程？
l 适用性声明的内容是否有含有标准规定的“3项内容”？
l 适用性声明是否记载附录A中任何控制目标和控制措施的删减，以及删减的正当性理由？
条款：4.2.2 实施和运行ISMS
a) 组织要制定风险处理计划 l 组织是否有一个符合标准此条款要求的产生风险处理计划文件的过程？
l 是否有一个“风险处理计划”文件？
b) 组织要实施风险处理计划 l 组织是否有一个符合标准此条款要求的“实施风险处理计划”的过程？
c) 组织要实施所选择的控制措施 l 组织是否有一个符合标准此条款要求的“实施所选择的控制措施”的过程？
d) 组织要定义如何测量所选控制措施的有效性 l 组织是否有一个“测量所选控制措施有效性”的过程？
l 如何使用测量措施，去测量控制措施的有效性？
e) 组织要实施培训和意识教育计划 l 组织是否有一个符合标准此条款要求的“实施培训和意识教育计划”的过程？
f) 组织要管理ISMS的运行 l 组织是否有“管理ISMS的运行”的过程？
g) 组织要管理ISMS的资源 l 组织是否有对ISMS实施所需要的资源进行管理的过程？
h) 组织要实施组织的安全程序和其他控制措施 l 组织的ISMS是否有“*检测安全事件和对安全事故能做出*反应”的程序？
条款：4.2.3 监视和评审ISMS
a) 组织要执行监视与评审程序 l 组织是否有“监视与评审程序”，以：
1) *检测处理产生的错误；
2) *识别试图的和得逞的安全违规事件和事故；
3) 使管理者能确定*人员的安全活动或通过信息技术实施的安全活动是否如期执行；
4) 通过使用指示器，帮助检测安全事件并预防安全事故；
5) 确定解决安全违规事件的措施是否有效？

目的和范围
为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。
本制度适用于信息安全管理体系文件的管理。
1. 引用文件
1) 《合规性实施制度》
2) 《信息资产分类分级管理制度》
2. 职责和权限
1) 总裁办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。
2) 各部门：负责本部门信息安全管理文件的管理与控制。
3. 管理内容及控制要求
4.1 文件的分类
信息安全管理体系文件主要包括：
1) 层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；
2) *二层：制度文件；
3) *三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；
4) *四层：记录、表单。记录控制执行《记录控制制度》。
4.2 文件编制
文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。
1) 层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。
2) 第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。
3) *四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

信息安全组织框架
公司信息安全组织框架包括管理决策、监督检查、贯彻执行三层架构。其中，公司的管理决策职能由信息安全管理小组和管理者代表承担，公司信息安全总体工作,小组成员由公司总经理、管理者代表及部门负责人组成。监督检查职能由信息安全工作组承担，工作组由一名工作组组长及工作组成员构成，主要负责信息安全各项工作的日常监督和持续检查，信息安全工作组组长由公司安全负责人担任，其成员由各小组负责人、信息安全员及公司其他安全人员组成。贯彻执行职能由公司各小组及小组员工承担，遵循信息安全管理要求，落实各项信息安全工作，配合监督和检查；同时，公司各小组设置专职的信息安全员（或信息安全员），负责本小组信息安全工作的具体协调和落实（具体内容参见附件一：信息安全组织映射表及附件二：信息安全职责分配表）。