茂名ISO27001认证证书 信息安全管理体系认证 专业* 咨询到位需要那些材料

深圳汉墨管理咨询有限公司

1. 目的和范围
确保信息安全管理体系的有效实施,根据本公司信息安全方针制定信息安全目标，并规定信息安全目标的计算方法，以便于目标达成情况的考核。
适用于本公司信息安全目标的制定、计算。
2. 职责和权限
1) 信息安全管理小组：负责建立、批准与评审公司的信息安全目标。
2) 体系负责人：负责向信息安全小组会汇报公司的信息安全目标达成情况，并组织相关人员每年对信息安全目标进行评审。
3) 各部门：负责与本部门相关的信息安全目标的统计、分析，当目标不能达标时，进行原因分析并进行改进。
3. 控制流程
3.1. 信息安全目标
1) 全年不发生重大信息安全事件和“二级”以上运行安全事故；
2) 重要**时期不发生三级以上事故。
对于未达成信息安全目标的，相关部门要进行原因分析，并提出解决办法；对于连续未达成目标的，信息安全工作小组要向相关部门开出《不符合纠正预防措施通知单》进行处理。

A.15 供应商关系
A.15.1 A.15.1.1供应商关系的信息安全策略 检查为减缓供应商访问组织资产带来的风险，应与供应商协商并记录相关信息安全要求
供应商关系安全 A.15.1.2供应商协议中的安全 访问组织行政部等相关部门，了解第三方协议中的安全要求的满足情况
A.15.1.3 ICT供应链 检查与供应商的协议包括解决信息、通信技术服务、产品供应链相关信息安全风险的要求
A.15.2 供应商服务交付管理 A.15.2.1监视和评审供应商服务 查阅第三方服务的信息安全相关要求的监视和评审记录。
A.15.2.2供应商服务变更管理 查阅第三方服务的信息安全要求的变更控制记录。
A.16 信息安全事故管理
A.16.1 信息安全事件管理和改进 A.16.1.1职责和规程 查阅信息安全事件管理程序等相关文件。
A.16.1.2报告信息安全事态 查阅信息安全事件报告记录。
A.16.1.3报告安全弱点 查阅安全弱点报告记录
A.16.1.4信息安全事态的评估和确定 检查信息安全事态是否被评估与决策，并且确定是否划分成信息安全事件
A.16.1.5信息安全事件的响应 检查是否对信息安全事件应依照程序文件响应
A.16.1.6从信息安全事件中学习 查阅信息安全事件学习和总结记录
A.16.1.7 证据的收集 询问、验证事件处理过程中的证据收集的措施。

条款：4.3.1 文件要求 总则
1) ISMS文件要包括管理决定的记录 l 是否ISMS文件包括有管理决定的记录？
2) ISMS文件要确保所采取的措施可追踪到管理决定和方针 l 是否ISMS文件确保所采取的措施可追踪到管理决定和方针？
3) ISMS文件要确保记录的结果是可再生的 l 是否ISMS文件确保记录的结果是可再生的？
a) ISMS文件要包括ISMS方针与目标文件 l 是否有ISMS方针与目标文件？
b) ISMS文件要包括ISMS的范围 l 是否有一个描述ISMS范围的文件？
c) ISMS文件要包括支持ISMS的程序和控制措施 l 是否有支持ISMS的程序和控制措施？
d) ISMS文件要包括风险评估方法的描述 l 是否有描述风险评估方法的文件？
e) ISMS文件要包括风险评估报告 l 是否有可用的风险评估报告？
f) ISMS文件要包括风险处理计划 l 是否有可用的风险处理计划？
g) ISMS文件要包括控制措施有效性的测量程序 l 是否有描述如何测量控制措施有效性的程序文件？
h) ISMS文件要包括本标准所要求的记录 l 是否有提供符合要求证据的记录？
i) ISMS文件要包括适用性声明 l 是否有符合要求的适用性声明？