江门ISO27001认证办理 信息安全管理体系认证需要那些材料

深圳汉墨管理咨询有限公司

1内部审核准备
信息安全工作小组在内审前确定审核组长和审核员，经体系负责人批准后，组建审核组。
无论审核组长还是审核员必须符合下列条件：
1) 经培训，取得内审员资格或具有相关能力；
2) 具备相应的标准知识，具有责任心，较强的沟通和文字表达能力；
3) 熟悉审核程序，掌握审核方法；
4) 与被审查部门无直接责任和利害关系。
2内审实施计划
审核组组长编制《内部审核计划》，报体系负责人审批后，由信息安全工作小组提前下发受审部门。受审核部门做好准备工作，如对审核计划有异议，需在实施审核前向审核组长反馈，协商调整。内部审核计划应包括审核目的、审核范围、审核准则、审核重点、审核人员及分工、会议和日程安排等内容。
3审核组预备会议
审核组长组织召开审核组预备会议。内容包括：
1) 通报内部审核计划；
2) 明确审核员的分工；
3) 对审核员的工作提出具体要求；
4) 必要时对审核员进行培训。
4审核收集
内审员收集审核所需的文件和资料，如：如标准、信息安全管理手册、有关程序文件、合同、法律法规、客户及相关方要求等。并根据分工，编制《内部审核检查表》交审核组长批准。

信息安全管理小组
信息安全管理体系的决策机构，确定信息安全管理体系的建设方向，制订方针目标等。
a) 确立公司信息安全和风险管理的方针政策，并贯彻落实；
b) 组织制定公司信息安全和风险管理的总体规划；
c) 对信息安全事件提出处置策略；
d) 研究部署和讨论决定公司信息安全和风险管理工作的重大事项；
e) 授权相关部门对公司信息安全工作进行考核，审批考核结果并做决策。
f) 每年在管理评审会上对信息安全方针进行评审。

信息安全适用性声明(SOA)
信息安全管理手册
信息安全目标
文件控制制度
记录控制制度
内部审核控制制度
管理评审控制制度
风险评估控制制度
信息安全目标及有效性测量制度
纠正和预防措施控制制度
信息安全交流控制制度
信息资产分类分级管理制度
信息安全之人力资源安全管理制度
物理环境安全管理制度
访问控制制度
信息系统获取、开发与维护管理制度
通信安全管理制度
信息安全事件管理制度
业务连续性管理制度
符合性实施制度
信息安全体系文件管理矩阵表
信息安全组织结构映射表
风险评估原则
笔记本电脑分类分级管理规定
变更管理规定
补丁管理规定
第三方人员管理规定
防范病毒及恶意软件管理规定
介质管理规定
软件管理规定
设备管理规定
数据备份管理规定
系统监控管理规定
电子邮件管理规定
外包业务信息安全规范
信息安全奖惩管理规定
适用法律法规和其它要求清单

A.5 安全方针（每年一次，结合管理评审时进行）
A.5.1 A.5.1.1信息安全方针文件 审核ISMS方针文件
信息安全 访问管理者（或管理者代表）、员工、或相关方人员（如必要），了解他们对ISMS方针和目标的理解和贯彻状况。
方针 A.5.1.2信息安全方针的评审 查阅ISMS方针文件的评审和修订记录。
A.6 信息安全组织（每年一次，结合管理评审时进行）
A.6.1 A.6.1.1 结合5.1管理承诺，访问管理者（或管理者代表），判断其对信息安全的承诺和支持是否到位。
内部组织 信息安全角色和职责
A.6.1.2 责任分割 访问组织的信息安全管理机构，包括其职责。
A.6.1.3 与监管机构的联系 查阅信息安全职责分配或描述等方面的文件。
A.6.1.4 与特定利益集团的联系 访问信息安全管理机构，询问与相关信息安全*、专业协会、学会等联络情况
A.6.1.5 项目管理中的信息安全 检查项目过程中关键节点对信息安全的控制。
A.6.2 A.6.2.1移动设备策略 询问、验证移动计算和通信的安全措施。
移动的设备和远程工作 A.6.2.2远程办公安全 询问、验证移动计算和通信的安全措施。
A.6.2.3 处理第三方协议中的安全问题 访问组织人力资源部等相关部门，了解第三方协议中的安全要求的满足情况。