东莞ISO27001认证咨询需要那些材料

深圳汉墨管理咨询有限公司

由公司负责人授权全权负责信息安全管理体系的日常工作，包括批准并正式发布各项制度、规定，建立体系推进组织，任命相关角色等。
a) 提出信息安全目标，信息安全管理体系的建立、运行和维护；
b) 协调与信息安全管理体系有关的各项工作；
c) 确保在公司内提高员工的信息安全意识；
d) 督促信息安全管理体系内部审核和信息安全检查的开展；
e) 协助管理者进行信息安全管理体系的管理评审；
f) 向管理者报告信息安全管理体系的执行情况和改进要求。

条款 8.3 预防措施
a. 组织要采取措施，消除潜在的不符合ISMS要求的原因 l 是否有一个用于确保采取措施，消除潜在的不符合ISMS要求的原因的过程？
b. 所采取的预防措施要与潜在问题的影响程度相适应 l 所采取的预防措施是否适于潜在问题的影响？
c. 组织要建立一个预防措施程序文件，定义5条相关要求 l 是否有一个定义5条相关要求的预防措施程序文件？
d. 组织要识别已经发生了变化的风险 l 是否有一个用于识别已经发生了变化的风险的过程？
e. 组织要识别对已经发生了变化的风险的预防措施的要求 l 对已经发生了重大变化的风险，是否识别其预防措施要求？
f. 预防措施的**级要根据风险评估的结果确定 l 是否预防措施的**级根据风险评估的结果而确定？

1. 目的和范围
确保信息安全管理体系的有效实施,根据本公司信息安全方针制定信息安全目标，并规定信息安全目标的计算方法，以便于目标达成情况的考核。
适用于本公司信息安全目标的制定、计算。
2. 职责和权限
1) 信息安全管理小组：负责建立、批准与评审公司的信息安全目标。
2) 体系负责人：负责向信息安全小组会汇报公司的信息安全目标达成情况，并组织相关人员每年对信息安全目标进行评审。
3) 各部门：负责与本部门相关的信息安全目标的统计、分析，当目标不能达标时，进行原因分析并进行改进。
3. 控制流程
3.1. 信息安全目标
1) 全年不发生重大信息安全事件和“二级”以上运行安全事故；
2) 重要**时期不发生三级以上事故。
对于未达成信息安全目标的，相关部门要进行原因分析，并提出解决办法；对于连续未达成目标的，信息安全工作小组要向相关部门开出《不符合纠正预防措施通知单》进行处理。

资产管理
1. 对信息资产进行识别和管理；根据不同类型信息资产的特征，制定并实施正确使用信息资产的操作规程。
2. 基于信息资产价值和等级划分制定不同的安全规范与策略，根据不同信息资产所需的保护要求，进行相应程度的保护。
具体管理策略请参见《信息资产分类分级管理制度》。
A.9访问控制
1. 加强对公司资产的访问控制管理，规范用户管理、密码管理、系统配置等要求，并提出访问控制管理的各项基本要求。
2. 通过实施用户管理，确保相关人员获取适合其工作职责的访问权限，形成用户访问权限的清单并定期审核，用户离岗或离职时及时进行权限的调整和清除。
具体管理策略请参见《访问控制管理制度》。
A.10密码控制
通过建立制度，完善密码使用和管理，制定和实施密钥的使用，保护，使用期策略并贯穿其整个生命周期。
具体管理策略请参见《密码控制管理制度》。