厦门ISO27001认证咨询 ISO27000认证需要什么材料

厦门汉墨企业管理咨询有限公司

1. 目的和范围
为加强和改进信息安全事件管理；在发生信息安全事件时能及时报告，快速响应，将损失控制在小范围；在发生信息安全事件后，能够分析事故原因及产生影响、反馈处理结果、吸取事故教训；在发现信息安全异常现象时，能及时沟通，采取有效措施，防止安全事故的发生；特制订本管理制度。本制度适用于影响信息安全的所有事故以及安全异常现象以及全体人员（包括外协人员、实习生、长期客户员工、来访客户等）。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件，其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《业务连续性管理制度》
3. 职责和权限
1) 信息安全管理小组：负责对内部信息安全事件的处理和奖惩意见进行审批；负责对纠正预防措施进行审批。
2) 信息安全工作小组：负责组织制定内部信息安全事件处理制度；听取信息安全事件的汇报，负责对信息安全事件进行调查*，提出处理措施，提出奖惩意见以及纠正预防措施，负责信息安全有关的所有文件的管理与控制；负责组织制定项目信息安全事件处理制度；听取信息安全事件的汇报，负责对信息安全事件进行调查*，提出处理措施，提出奖惩意见以及纠正预防措施，负责信息安全有关的所有文件的管理与控制。
3) 各部门：积极预防信息安全事件的发生；及时准确的汇报信息安全事件，配合信息安全事件的调查*工作；配合执行处理措施，奖惩决定以及纠正预防措施。
4) 异常现象和事件发现人：异常现象和事件发现人有义务及时准确地报告异常现象和事件的真实情况，并采取适当的临时措施制止事故的进一步扩大。

信息安全测量领域 信息安全测量类别
A.5 安全方针 1.方针及信息安全目标有效性测量
2.风险管理测量
A.6 信息安全组织 1.信息安全组织测量
A.7 人力资源安全 1.人力资源管理测量
2.信息安全培训测量
A.8 资产管理 1.资产识别表测量
2.数据和文档管理测量
3.设备管理测量
A.9 访问控制 1.访问控制有效性测量
A.10 密码学 1.密码管理
A.11 物理环境安全 1.物理环境测量
A.12 操作管理 1.系统监控测量
2.防病毒及恶意软件测量
3.备份管理测量
4.软件和系统管理测量
A.13 通信管理 1.保密协议测量
2.网络安全测量
3.电子消息测量
A.14 信息系统获取、开发和维护 1.信息系统开发过程测量
A.15 供应商管理 1.第三方服务管理测量
A.16 信息安全事件管理 1.信息安全事件管理测量
A.17 业务连续性管理 1.业务连续性计划有效性测量
A.18 符合性 1.合规性测量

1门禁权限的开通和删除
⑴门禁权限的开通：行政部根据《新员工入职手续清单》为正式报到的新员工开通公共区域以及各部门独立办公区域的门禁权限；
⑵门禁权限的删除：行政部根据《离职交接清单》为即将离职的员工删除公共区域以及各部门独立办公区域的门禁权限；
⑶外地来京员工需要开通门禁权**，需填写《信息系统用户账号申请单》，离开时需填写《信息系统用户账号申请单》及时注销。
2身份卡的类别
⑴胸卡：公司在册人员的身份证明。
⑵临时通行证：非临时第三方人员进出公司办公区域的身份证明。
⑶非临时第三方人员进出公司办公区域必须佩戴临时通行证，临时通行证的识别由行政部负责；公司员工不做强制佩戴规定。

1) 信息安全工作小组：
 负责选派一名纠正和预防措施监督员负责收集信息并组织责任部门分析原因，并跟踪验证纠正预防措施实施情况；
 负责与相关部门共同制定纠正预防措施。
2) 各部门：负责本部门的不符合原因分析及纠正、预防措施的制定和实施。
1) 为了消除不符合项或潜在的不符合项的产生，所采取的纠正、预防措施应与问题大小和风险程度相适应，以的成本获得满足信息安全管理体系的要求。
2) 通过应用信息安全管理方针、目标及其有效性测量、审核结果、监视事件的分析、纠正和预防措施和管理评审，持续改进信息安全管理体系的有效性。
3) 信息安全工作小组负责组织将证实有效的纠正、预防措施纳入有关的管理和技术文件中去，使其成为正式的方法，有效地防止不符合项的发生。所引起的信息安全管理管理体系文件的更改和补充按《文件控制制度》进行。