- 2025-05-20 16:51 2330
- 产品价格:450000.00 元/个 起
- 发货地址:福建厦门 包装说明:不限
- 产品数量:9999.00 个产品规格:不限
- 信息编号:145258820公司编号:17679748
- 林经理 认证办理专员 微信 18950166287
- 进入店铺 在线留言 QQ咨询 在线询价
厦门ISO27001认证证书 ISO27000认证 协助申请 标准规范需要什么材料
- 相关产品:
1. 目的和范围
为加强和改进信息安全事件管理;在发生信息安全事件时能及时报告,快速响应,将损失控制在小范围;在发生信息安全事件后,能够分析事故原因及产生影响、反馈处理结果、吸取事故教训;在发现信息安全异常现象时,能及时沟通,采取有效措施,防止安全事故的发生;特制订本管理制度。本制度适用于影响信息安全的所有事故以及安全异常现象以及全体人员(包括外协人员、实习生、长期客户员工、来访客户等)。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《业务连续性管理制度》
3. 职责和权限
1) 信息安全管理小组:负责对内部信息安全事件的处理和奖惩意见进行审批;负责对纠正预防措施进行审批。
2) 信息安全工作小组:负责组织制定内部信息安全事件处理制度;听取信息安全事件的汇报,负责对信息安全事件进行调查*,提出处理措施,提出奖惩意见以及纠正预防措施,负责信息安全有关的所有文件的管理与控制;负责组织制定项目信息安全事件处理制度;听取信息安全事件的汇报,负责对信息安全事件进行调查*,提出处理措施,提出奖惩意见以及纠正预防措施,负责信息安全有关的所有文件的管理与控制。
3) 各部门:积极预防信息安全事件的发生;及时准确的汇报信息安全事件,配合信息安全事件的调查*工作;配合执行处理措施,奖惩决定以及纠正预防措施。
4) 异常现象和事件发现人:异常现象和事件发现人有义务及时准确地报告异常现象和事件的真实情况,并采取适当的临时措施制止事故的进一步扩大。
⑴行政部:
①负责根据《新员工入职手续清单》安排身份卡的制作、发放、遗失卡补办及回收;
②负责公共办公区域以及各部门独立办公区域门禁的权限管理;
③负责公司办公区域内所有人员的出入管理;
④负责各种办公钥匙(高层办公室、会议室、办公柜)的管理;
⑤负责公司物理环境整体的安全保护和检查,并配合物业公司做好消防及保卫工作;
⑵总裁办:负责总裁办公室的人员出入管理。
⑶员工:遵守并执行《物理环境安全管理制度》。
信息系统审核考虑
1) 信息系统审核控制措施
任何技术符合性审核都必须经过认真策划,地减少中断工作的风险并保护公司的工作环境的数据完整性不会受到破坏。
确定适合的方法,保证技术符合性审核取得圆满。
获取信息安全管理工作小组对既定审核方法的书面批准。
判定每个系统的访问级别并从相关负责人获取书面批准。
只获取审核活动范围内的IT硬件、软件和系统的访问权。
确保技术符合性审核后删除或处理掉系统审核工具和残余数据。
确保所有的系统审核都按照《变更管理办法》中的说明进行。
确保系统审核的所有活动按照商定的审核计划进行。
2) 信息系统审核工具的保护
对于信息系统审核工具的访问应加以保护,以防止任何可能的滥用或损害。
信息系统审核工具(如软件和数据文件)应与开发和运行系统分开,并且不能保存在磁带(程序)库或用户区域内,除非给予合适级别的附加保护。
信息系统审核工具的使用必须事先获得信息安全管理工作小组的批准。
3) 活动描述
信息安全管理工作小组根据情况,对于自管服务器制定出在策略、用户管理、权限管理、VLAN管理、漏洞扫描、渗透测试等方面的审核策略。
管理人员应确保在其职责范围内的所有安全程序被正确地执行,以确保符合安全策略及标准。
管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。
任何技术符合性检查应仅由有能力的、已授权的人员来完成,或在他们的监督下完成。
涉及对运行系统检查的审核要求和活动,应谨慎地加以规划并取得批准,以便小化造成业务过程中断的风险。
保护组织的记录
所有的合同文件必须做如下保管:
a) 正版文件存档保存在安全区域;
b) 保存到文件所有者不用时为止。
对重要网络设备和服务器上的数据进行备份。
为防止公司的重要记录丢失、毁坏和被篡改。这些记录必须妥善保管,以符合法律法规要求,有利于重要的业务活动。此类记录包括但不限如下:
a) 可以作为证据证明运作符合法律法规规定的记录;
b) 可以确保能充分防范发生潜在的民事诉讼或刑事诉讼的记录;可以向主管部门、合作方和审计人员证实财务状况的记录。
信息保管的时间和数据内容根据国家法律法规而定。
存储和处理系统应该确保能够清楚识别记录以及法律法规规定的保管期。在保管期满后如果不再需要记录,则可以采用适当的方式予以销毁。
