江门ISO27001认证申请流程

深圳汉墨管理咨询有限公司

1目的
2 范围
3术语和定义
3.1 人员安全
3.2 第三方人员
3.3 安全教育和培训
4机构和职责
4.1信息安全工作小组
4.2信息安全体系负责人
4.3信息所有者及信息使用者
4.4人力资源部
5人员安全管理
5.1任用前
5.1.1.人员选拔
5.1.2.背景调查
5.1.3.内部选拔
5.1.4.入职
5.2任用中
5.2.1.信息安全教育与培训
5.3任用变更
5.4任用终止
6第三方人员管理
7信息安全违规的处理
8相关记录

1. 目的和范围
2. 引用文件
3. 职责和权限
4. 风险管理方法
4.1. 风险识别
4.2. 风险估计与评价
4.3. 选择风险处置方式
4.4. 残余风险接受
5. 风险评估描述
5.1. 风险评估前准备
5.2. 确定重要业务过程和活动
5.3. 信息资产的识别
5.4. 重要信息资产风险等级评估
5.5. 不可接受风险的确定和处理
5.6. 风险定期评估
5.7. 风险评估评审
6. 相关记录

笔记本电脑使用规定
1) 笔记本电脑设备必须有严格的口令访问控制措施，口令设置需满足公司安全策略要求。
2) 对无人看守的笔记本电脑设备必须实施物理保护，必须放在带锁的办公室、抽屉或文件柜里。
3) 笔记本电脑设备丢失或被窃后应及时报告给部门经理和行政部。
4) 凡带出公司使用而遗失、被偷盗等均由个人负全责赔偿。
5) 除自然损坏外，凡人为损坏（如撞坏、跌坏、电源插错烧坏等）由本人负责修好，由个人承担。
6) 笔记本电脑中除工作所需的软件外，不导入其他与工作无关的软件。
7) 离开公司办公环境的设备和媒体在公共场所不能无人看管，出差员工如需携带便携式计算机，需要提前向直属/行政部提出申请。在旅行时便携式计算机要作为手提行李携带不得托运，若可能宜伪装起来。重要数据需加密保存。

1、一级：重要敏感数据， 包括公司数据资产，主要用于公司直接营收的数据，如提交给客户的客探结果数据，泄露会造成直接经济损失。公司核心数据，经过加工的数据，有全方面的数据信息，需要严格管理，如客户肖像库，信息库，客户方提供的需要通过业务外包平台操作的数据，泄露后对公司可能造成全面损失。这些数据被非法复制传播后，可造成经济上的重大损失和引发重大安全事故及涉诉事件。由所涉及到的部门人员：服务部、如涉及财务数据由财务部共同承担安全管理责任。标记为D1。主要包括：
 业务结果数据
 客户信息数据
 系统或网络安全控制配置数据，防火墙数据
 业务帐号安全配置数据
 业务运行配置数据
 敏感客户业务原始数据
 录音记录数据
 财务帐目数据
 其他敏感信息数据
2、二级：非敏感重要数据，包括公司系统数据，由各种公司系统产生出的原始数据，限制范围使用，泄露对公司有可能造成某方面损失。如启通宝系统通话记录，客探系统记录，被非法复制传播或丢失、损坏后，可造成一定的经济损失或引发客户投诉事件。由所涉及到的部门人员：服务部承担安全管理责任。标记为D2。主要包括：
 业务过程数据
 启通宝通话记录
 客探系统数据
 系统运行日志数据
 其他重要数据
3、三级：公司内部非敏感数据及第三方非敏感数据，不对外公开，但公开对公司无损失的信息，如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。由所涉及到的部门人员：服务部、测试部，销售部，研发部共同承担安全管理责任。标记为D3。主要包括：
 员工通讯录
 话述信息数据
 系统测试业务数据
 项目施工测试数据
 项目施工过程数据
 销售业绩数据
 其他非敏感数据