莆田ISO27001认证需要什么材料

信息系统审核考虑
1) 信息系统审核控制措施
任何技术符合性审核都必须经过认真策划，地减少中断工作的风险并保护公司的工作环境的数据完整性不会受到破坏。
 确定适合的方法，保证技术符合性审核取得圆满。
 获取信息安全管理工作小组对既定审核方法的书面批准。
 判定每个系统的访问级别并从相关负责人获取书面批准。
 只获取审核活动范围内的IT硬件、软件和系统的访问权。
 确保技术符合性审核后删除或处理掉系统审核工具和残余数据。
 确保所有的系统审核都按照《变更管理办法》中的说明进行。
 确保系统审核的所有活动按照商定的审核计划进行。
2) 信息系统审核工具的保护
 对于信息系统审核工具的访问应加以保护，以防止任何可能的滥用或损害。
 信息系统审核工具（如软件和数据文件）应与开发和运行系统分开，并且不能保存在磁带（程序）库或用户区域内，除非给予合适级别的附加保护。
 信息系统审核工具的使用必须事先获得信息安全管理工作小组的批准。
3) 活动描述
 信息安全管理工作小组根据情况，对于自管服务器制定出在策略、用户管理、权限管理、VLAN管理、漏洞扫描、渗透测试等方面的审核策略。
 管理人员应确保在其职责范围内的所有安全程序被正确地执行，以确保符合安全策略及标准。
 管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。
 任何技术符合性检查应仅由有能力的、已授权的人员来完成，或在他们的监督下完成。
 涉及对运行系统检查的审核要求和活动，应谨慎地加以规划并取得批准，以便小化造成业务过程中断的风险。

1. 目的和范围
为确保公司的业务能够持续稳定的进行，限度的降低信息安全事件对业务的影响，特制订本管理制度。
业务连续性管理为关键业务过程提供支持。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件，其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《信息安全事件管理制度》
3. 职责和权限
1) 信息安全管理小组：审批业务连续性计划，分配相关资源，确保业务持续性活动顺利进行；在发生重大信息安全事件或灾难时担任公司业务中断的恢复的总指挥与总协调。
2) 信息安全工作小组：负责组织进行相关业务连续性计划（BCP）编写，审核BCP，组织BCP演练，监督修改完善；在发生重大信息安全事件或灾难时，负责协调进行信息和资产保护，及时恢复中断的业务。
3) 各相关部门：配合信息安全工作小组执行BCP的编写与演练；在发生重大信息安全事件或灾难时，负责保护本部门的信息和资产，及时恢复中断的业务。

1) 确定使用法律
 识别需要遵守的法律法规，并制定《适用法律法规和其它要求清单》；
 信息安全管理工作小组会就有关法规影响，在每年的信息安全管理体系审核里面报告中进行说明；
 遵守对第三方的知识产权保护（如商标、版权和图像、文字、音频、软件、信息和发明等其它）；
 未经授权，不擅自复制、使用或转送属于第三方的资料。
2) 知识产权（IPR）
对第三方知识产权的保护包括但不限于商标、版权、品牌以及图像、文字、音频、软件、信息和发明等其它。对版权的保护需遵照实施如下制度：
 不得通过擅自复制、使用或转让第三方资料获取利益；
 员工应向综合管理部咨询有关知识产权或合同义务和软件许可证限制方面的问题。

1 设计演练方案
演练应该是实际的、经过周密的计划，并获得利益相关方的认可，以使演练过程中业务中断的风险小。演练应经过计划，以使得因演练直接导致事故的风险小。每次演练都应清晰定义目的和目标。演练的方式可能包括：桌面演练、模拟演练和真实演练。
2 演练
除非经过演练并实施维持，否则组织的业务连续性和事故管理安排不能认为是可靠的。演练核心是开发团队合作、能力、信心和知识，这在发生事故时是非常重要的。演练的计划可以在项目计划时进行确定。
3 评审和改进
演练后的简报和分析应考虑目的和目标的达成。在演练结束以后以及在系统本身或外界环境发生重大变化时，应对服务连续性方案进行评审和维护。
当公司的业务环境发生重大变化时，也应重新评估应急预案的有效性。

http://lsjsqd.b2b168.com