石家莊ISO27001認證顧問 信息安全管理體系認證

ISO27000認證多久可以拿到？
ISO27001作為信息安全管理標準，為信息安全管理體系(ISMS)的建立、實施、運行、監視、評審、保持和持續改進提供了模型和必要的控制目標和措施,是ISMS順利實施的佳指南。
為貫徹執行ISO/IEC27001:2013《信息安全管理體系》，加強對信息管理體系運行的，特授權：
1、授權  為公司管理者代表，其主要職責（角色）和權限為：
1）確保公司信息安全管理體系所需過程得到建立、實施、運行和保持。確保信息安全業務風險得到有效控制。
2）向管理者報告信息安全管理體系業績（績效）和任何改善需求，為管理層評審提供依據。
3）確保滿足顧客和相關方要求、法律法規要求的信息安全意識和信息安全風險意識在公司內得到形成和提高。
4）在信息安全管理體系事宜方面負責與外部的聯絡。
2、授權田旭為ISMS信息安全管理項目責任人，其主要職責（角色）和權限為：確保信息安全管理方的控制措施得到形成、實施、運行和控制。
3、授權各部門主管為信息安全管理體系在本部門的責任人，對ISMS要求在本部門的實施負責。

企業在申請iso27001認證時需要提供以下材料：
1法律地位文件（如企業法人營業執照、事業單位法人代碼、社團法人登記證等），組織機構代碼；
2 有效的、產品生產許可證強制性產品認證等（需要時）
3組織簡介（產品及與產品/服務有關的技術標準、強制性標準、使用設備、人員情況等）
4申請認證產品的生產、加工或服務工藝流程圖；
5臨時場所、多場所需提供清單；
6管理手冊、程序文件及組織機構圖；
7服務器數量以及終端數量；
8適用性聲明、資產列表
9 保密協議、信息安全敏感區域的聲明；
10 支持iso27001信息安全管理體系的規程和控制措施、風險評估方法的描述、風險評估報告、風險處置計劃、組織為確保其信息安全過程的有效規范/運行和控制以及描述如何測量控制措施的有效性所需的形成文件的規程。

ISO27001認證適用范圍：
信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看，較多的是涉及保險、證券、銀行、金融產業鏈所涉及的行業（印刷、IC卡制造）以及為金融行業提供服務的企業、電信行業、電力行業、數據處理中心和軟件、軟件開發等行業。

1 目的
為對適用范圍內的設備的維護過程實施有效控制，確保其連續的可用性和完整性，特**本程序。
2 目的
本程序適用于本組織各類信息處理設施(包括傳輸線路)的維護管理。
3 職責
3.1 銷售部
負責測試用計算機和網絡設備的管理與維護。
3.2 銷售部
負責組織內辦公用計算機和網絡設備的管理與維護。
4 相關文件
《信息安全管理手冊》
5 程序
5.1 信息設備的分類
辦公用計算機設備，包括所有銷售部、會議室內的計算機、打印機，域控制涉密電腦，DNS涉密電腦、EMAIL涉密電腦、程控交換機等。
開發測試用計算機設備，包括所有研發測試工作使用的計算機、涉密電腦、小型機、磁盤陣列、光纖交換機、工控機等。
網絡設備，包括交換機、路由器、防火墻等。
其它辦公設備，包括電話設備、復印機、傳真機等。
5.2 計算機、網絡設備的管理與維護
計算機、網絡設備應進行日常點檢。
日常點檢的目的是確認系統硬件是否運行良好，有無硬件及程序上的報警，備份是否正常進行等。
5.3 維修服務的外包安全控制
組織應與廠商簽訂設備維護（維修）服務合同，合同應包含信息安全方面的條款，例如簽訂保密協議。合同須明確服務的時間、范圍、內容和記錄保存條款。
對廠商現場維護有安全要求時應填寫《第三方物理訪問申請授權表》，由相關人員陪同方可進入。
5.4 資料的保存
辦公用設備的技術資料由銷售部保存并建立《設備技術資料清單》，以備日后查閱。
設備廠商對設備進行維修后提供的維修（維護)記錄單，由銷售部保存，以備日后查詢。
測試用設備的技術資料由銷售部保存并建立《設備技術資料清單》，以備日后查閱。
設備廠商對設備進行維修后提供的維修（維護)記錄單，由銷售部保存，以備日后查詢。
5.5 設備的遷移與報廢
設備的遷移與報廢依照本組織《變更管理程序》執行。
特別的，如報廢設備中存有秘密信息，必須予以清除并在《設施報廢記錄》中予以說明。
5.6 系統故障處理
系統發生故障時，維護人員應按照各系統的點檢業務手冊進行及時的處理，故障發生的原因、處理結果應按照點檢業務手冊的要求予以記錄。
5.7 容量管理
定期信息處理設施的容量，包括設備的數量、性能、線路、磁盤容量等，每年根據各銷售部門的需要，**計劃。
5.8 技術脆弱性管理及掃描工具的安全使用
定期發現信息系統中的技術脆弱性，可以通過自動化工具進行掃描，包括網絡、涉密電腦、應用程序及網站，形成分析報告，對發現的高風險漏洞進行處置。
對網絡掃描工具的使用，必須得到經理的授權，并保存使用的記錄。
5.9 設備轉移
機房內的設備，包括網絡設備、涉密電腦、UPS、空調不得移出機房。
工作用的PC機不得隨便移動。PC機的轉移統一由銷售部執行，各部門如因工作需要必須要轉移PC機，由個人填寫《信息設備轉移單》，并清除秘密信息，交由部門經理審核批準后，再向銷售部申請，經審核批準后，銷售部管理人員負責PC機的轉移。
電話、座椅的轉移流程與5.8.2相同。
5.10 信息設施的時鐘同步
Internet時鐘涉密電腦為時鐘同步涉密電腦，系統自動與時鐘同步涉密電腦進行對時。
有一點需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進行ISO27001認證。這種情況下，該組織就應當從經濟利益考慮，選擇一個合適的管理體系的認證機構來提供認證服務。認證機構必須得到一個國家機構的委托授權，才能為認證組織提供認證服務，并發放認證。大多數國家都有自己的國家機構（比如：英國UKAS），任何獲得該機構授權進行ISMS認證的機構均記錄在案。
http://www.shsdesign1.com