东莞ISO27001认证机构 ISO27000认证申请流程

1. 目的和范围
为了规定公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估本公司的信息安全风险，选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持业务持续性发展，以满足信息安全管理方针的要求，特制订本制度。
本制度适用信息安全管理体系范围内信息安全风险评估活动。
2. 引用文件
1) 下列文件中的条款通过本制度的引用而成为本制度的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本制度，然而，鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件，其版本适用于本制度。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) ISO/IEC 27005:2008《信息技术-安全技术-风险管理》
5) 《GB/T 20984-2007信息安全风险评估指南》
3. 职责和权限
1) 信息安全管理小组：负责汇总确认《信息安全风险评估表》，并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。
2) 公司全体员工：在信息安全管理小组协调下，负责本部门使用或管理的资产的识别和风险评估；负责本部门所涉及的资产的具体安全控制工作。信息安全管理员在本部门信息资产发生变更时，需要及时清点和评估，并报送信息安全管理小组更新《信息安全风险评估表》。

1. 风险评估前准备
1) 信息安全管理小组：负责组织各部门参加风险评估的人员进行资产识别和风险评估方法的培训。
2) 信息安全管理小组：向各部门发放《信息安全风险评估表》。同时提出进行资产识别和风险评估的要求。
2. 确定重要业务过程和活动
各部门确定本部门所有业务相关重要过程和活动，识别、确定各业务过程及跨部门业务过程中的各个角色及其职责。业务相关重要过程和活动包括：部门的主要业务过程；一旦丧失或降格将导致不能执行组织使命的过程；保密处理或专有技术的过程；如果被修改，可能对公司产生较大影响的过程。
3. 信息资产的识别
1) 各评估人员根据部门所有业务相关重要过程和活动，参考《信息安全风险评估表》中的《资产类别库》识别本部门信息资产，根据《信息安全风险评估表》中的《赋值说明》填写《资产清单》，经部门负责人审核后提交信息安全管理小组审核汇总，确保没有遗漏信息资产并存档。

1. 管理评审周期
公司按年度召开信息安全管理体系的管理评审会议，会议一般在内审及第三方审核之后召开，会议对**年信息安全情况做出评审，评审结果作为下一年信息安全计划的输入。当发生下列情况时，信息安全管理小组可以临时决定增加管理评审。
1) 组织结构、资源配置发生重大变化；
2) 业务目标或业务运作流程发生重大变化；
3) 信息安全法律、法规发生重大变化；
4) 发生重大信息安全事件；
5) 风险等级的划分和风险可接受水平发生变化；
6) 其他不可预见情况需要时。
2. 管理评审内容
信息安全工作小组根据评审内容进行内容收集工作，准备**审必需的文件、资料等信息，并报体系负责人。各部门根据体系运行的情况形成《部门管理评审输入报告》做为评审会议的输入。
年度报告及管理评审内容应包括：
1) 信息安全管理体系相关文件变化；
2) 方针、目标完成情况及有效性测量结果；
3) 风险评估报告；
4) 内部和外部信息安全管理体系审核结果；
5) 纠正措施、预防措施实施报告；
6) 顾客等相关方反馈；
7) 实际运行的符合性；
8) 事故统计及分析报告；
9) 以往管理评审决定实施情况；
10) 可能影响信息安全管理体系的内外部环境的变化；
11) 改进的建议。

与特定利益集团联系
为及时了解行业相关非营利机构新公布的信息，公司应保持与特定相关方、其他安全*组和专业协会的适当联系，增进实践的知识，掌握相关安全信息； 获取以前的有关攻击和脆弱性的预警、公告和补丁； 获得信息安全*的建议； 共享和交换关于新的技术、产品、威胁或脆弱性的信息；当处置信息安全事件时，提供适当的联络点。