顾问可信 阳江ISO27001认证注册 信息安全管理体系认证

深圳汉墨管理咨询有限公司

申请ISO27001认证的条件
1. 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册。
2. 申请方的信息安全管理体系已按ISO/IEC27001:2013标准的要求建立，并实施运行3个月以上。
3. 至少完成一次内部审核，并进行了管理评审。
4. 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
如何进行ISO27001认证
1.人员选拔
人力资源部应严格按照各岗位的《岗位说明书》对应聘人员进行认真筛选，应聘人员面试时需携带简历并填写《应聘登记表》，面试官应填写相应的《面试评估表》。
2.背景调查
人力资源部对拟录用的新员工根据岗位的重要程度进行身份、背景、和等方面进行背景调查，详见《背景调查管理规定》。背景调查如无问题，正式办理录用审批，详见《新员工录用审批表》。录用审批完成，给拟录用的新员工发送《录用邀请函》。
3.内部选拔
从事关键岗位或负责核心系统、机房等重要区域的人员，**从公司内部人员选拨，应具备认真负责的工作、较高的职业道德水准；
4.入职办理
人力资源部负责办理员工的入职手续，参见《新员工入职手续办理清单》，并签署《劳动合同书》以及《知识产权及保密协议》。《知识产权及保密协议》的保密条款的要求应根据公司业务的变更由法务主管及时进行评审修订。《劳动合同》一式两份，员工本人及人力资源部各保存一份。临时雇用人员、客户以及合作方等第三方人员在与公司签订的合同中应约定相关人员的信息安全职责。

ISO27001认证:
（1） 信息安全管理方针、目标的适用性；
（2） 管理体系的审核结果，包括内审、外审结果及其它形式的审核结果；
（3） 相关利益方的反馈，包括客户的意见投诉、相关方的投诉或意见等；
（4） 用于改善信息安全管理体系性能和有效性的技术、产品和程序，包括信息安全管理方案的确定、执行等；
（5） 改进、预防和纠正措施的状况，包括对内部审核和日常发现的不合格项采取的纠正和预防措施的实施及其有效性的结果；
（6） 以前风险评估中没有充分表达的威胁和薄弱点，以及风险的重新评估；
（7） 以往管理评审跟踪措施的实施及有效性；
（8） 可能影响到信息安全管理体系的变更，包括部门组织结构、资源配置发生重大变化、信息安全技术发生变化、部门的商业目标或商业运作流程发生变化、信息安全法律、法规发生变化、发生重大信息安全事件等；
（9） 改进建议。

不可接受风险的确定和处理
1) 针对所有的中级以上（包括中级）风险，各责任部门采取有效安全控制措施，确保所采取的控制措施是充分的，直到其风险降至可接受为止。
2) 在实际的控制措施执行后，信息安全管理小组及各部门评估人员根据实际措施的执行效果，重新评估资产的威胁值和脆弱性值，从而计算出关键活动的余风险。
3) 信息安全管理小组：根据风险评估以及处置的结果编制《信息安全风险评估报告》，陈述本公司信息安全管理现状及余风险状况。
4) 对于不进行处置的风险及余风险仍处于中级以上（包括中级）的风险，由信息安全管小组完成《余风险批示报告》，《余风险批示报告》需经过公司管理者批准通过，才能接受余风险。

与特定利益集团联系
为及时了解行业相关非营利机构新公布的信息，公司应保持与特定相关方、其他安全组和协会的适当联系，增进实践的知识，掌握相关安全信息； 获取以前的有关攻击和脆弱性的预警、公告和补丁； 获得信息安全的建议； 共享和交换关于新的技术、产品、威胁或脆弱性的信息；当处置信息安全事件时，提供适当的联络点。
ISO27001认证，即“信息安全管理体系”，是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法。
由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。
企业通过了ISO27001认证，即表示企业的信息安全管理已建立了一套科学有效的管理体系作为**。
信息安全管理体系的建立和健全，目的就是降低信息风险对经营带来的危害，并将其投资和商业利益大化。可提升企业公信力，同时可促进企业各部门进行信息全面综合管理，**信息安全，信息风险，大限度减少损失！由此做ISO27001认证的企业也越来越多