湛江ISO27001认证证书 信息安全管理体系认证 办理规范 高效服务需要那些材料

深圳汉墨管理咨询有限公司

信息安全组织框架
公司信息安全组织框架包括管理决策、监督检查、贯彻执行三层架构。其中，公司的管理决策职能由信息安全管理小组和管理者代表承担，公司信息安全总体工作,小组成员由公司总经理、管理者代表及部门负责人组成。监督检查职能由信息安全工作组承担，工作组由一名工作组组长及工作组成员构成，主要负责信息安全各项工作的日常监督和持续检查，信息安全工作组组长由公司安全负责人担任，其成员由各小组负责人、信息安全员及公司其他安全人员组成。贯彻执行职能由公司各小组及小组员工承担，遵循信息安全管理要求，落实各项信息安全工作，配合监督和检查；同时，公司各小组设置专职的信息安全员（或信息安全员），负责本小组信息安全工作的具体协调和落实（具体内容参见附件一：信息安全组织映射表及附件二：信息安全职责分配表）。

供应商关系
1. 第三方交付的服务应包括商定的安全计划、服务定义和服务管理各方面内容。确保第三方有足够的服务能力、拥有可用性可持续性计划，以确保商定的服务在故障或灾难后能够得以继续保持。
2. 检查协议的要求，监管协议执行的一致性，以确保交付的服务满足与第三方商定的所有要求。
具体管理策略请参见《第三方服务管理控制制度》。
信息安全事故
信息安全事故应进行集中管控、统计、分析，并采取相应的措施，建立和完善信息安全事故的监测、报告、预警、处置和整改机制。
具体管理策略请参见《信息安全事件管理制度》。

操作安全
1. 信息处理和通信设施的系统活动须具备成文的制度规范，例如备份管理、软件管理、设备管理、介质处理和防病毒及恶意软件管理等。应当为所有的信息处理设施建立必要的管理和操作职责及制度。
2. 确保每一个信息系统都能够识别容量要求，确保在必要时能够对系统的可用性和效率进行及时评估和改进。对系统未来容量的推测应考虑到新业务的开展、系统自身发展要求以及当前的信息处理能力和未来发展的趋势。
3. 建立有效的计算机病毒预防及查杀机制，实施防止恶意软件的侦查与防护控制，并提高员工的防范意识。
4. 根据备份策略对数据进行备份并定期对备份数据进行有效性测试。
5. 在选用介质时应当考虑备份的信息需要保存的周期长短，保存信息的存储介质包括硬盘、磁带、U盘、可移动硬件驱动器、CD、DVD和打印介质等。储存介质的管理人员应检查和标记所有的储存媒介，为使存储介质中的数据和系统文件免遭未授权泄露、篡改和破坏，应建立关于存储介质使用、保存、删除和销毁的操作策略和相关制度。
6. 应制定处置、处理、存储与分类一致的信息与其通信的管理制度。并按照所设置的分类级别，处置和标记所有介质。明确防止未授权人员访问的限制要求，并根据制造商的存储规范来保存介质，同时，清晰**记数据的所有拷贝，以引起数据所有者的关注。
7. 应建立日志保护的管理制度以防止日志保存设施被未授权更改和出现操作问题，重要的审计日志需要被存档保存，审计日志包括用户ID、日期、时间和关键事态等细节，以及系统配置、特殊权限、系统实用工具和应用程序的使用。