专业ISO认证费用 iso体系认证需要什么材料

a) 信息安全管理文件由信息安全小组组织，相关职能部门参与进行编制。
b) 技术标准由相关办公室门负责，各相关部门参与。
c) 策划的管理方案和管理活动的检查考核记录及其他管理、技术文件由相关职能部门、单位编制。
信息安全管理文件的审批权限如下：
a) 《信息安全管理手册》（含信息安全方针、方针文件、目标文件、信息安全适用性声明）由管理者代表批准发布。
b) 信息安全程序文件和作业文件由职能部门组织审核，办公室审核，管理者代表批准发布。
c) 策划的管理方案由职能部门组织审核，办公室审核，管理者代表批准发布。
d) 其他管理、技术作业和相关支持性文件由归口办公室门负责审核，部门负责人审核批准。

1 定期评估
总经办每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施。
2 非定期评估
当发生以下情况时需及时进行风险评估：
a) 当发生重大信息安全事故时；
b) 当信息网络系统发生重大更改时；
c) 总经办确定有必要时。
3 更新资产
各部门对新增加、转移的或授权销毁的资产应及时更新资产清单。
4 调整控制措施
总经办应分析信息资产的风险变化情况，以便根据企业的资金和技术，确定、增加或调整适当的信息安全控制措施。

紀錄管制
為提供ISMS符合要求及有效運作之證據，所建立並維持之紀錄，應予以保護級管制。ISMS應將相關法律或法規要求及合約責任列入考量。
紀錄應清晰易讀，*檢索及識別。為了紀錄之鑑別、儲存、保護、檢索、保存期限及報廢，應建立文件化程序，以界定所需之管制。所需之紀錄及其範圍應由管理過程加以決定。
紀錄應加以保存，如4.2節所述各項過程之績效，以及所有與ISMS有關之重大安全事故紀錄。

5.1建立环境
通过建立环境，明确组织目标，界定风险管理应该考虑的外部和内部参数，并设置风险管理过程的范围和风险准则。根据各部门对内外部环境的分析，制定出《组织环境描述》。
5.1.1建立外部环境
外部环境是组织在实现目标过程中所面临的外界环境的历史、现在和未来的各种相关信息。为保证在制定风险准则时能充分考虑外部利益相关者的目标和关注点，组织需要了解外部环境。外部环境以组织所处的整体环境为基础，包括法律和监管要求、利益相关者的诉求和与具体风险管理过程相关的其他方面的信息等。
从以下方面识别公司的外部环境，并形成《外部环境描述》。
（1）国际、国内、地区及当地的、经济、文化、法律、法规、技术、金融以及自然环境和竞争环境；
（2）影响组织目标实现的外部关键因素及其历史和变化趋势；
（3）外部利益相关者及其诉求、价值观、风险承受度；外部利益相关者与组织的关系等。

http://lsjsqd.b2b168.com