公司名称厦门汉墨企业管理咨询有限公司
行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
服务电话
所在地厦门
ISO认证ISO27001信息安全管理体系认证咨询
ISO27001认证ISO27001信息安全管理体系认证
发货地厦门或福州
ISO27001认证信息安全管理体系认证
1. 目的和范围
为加强和改进信息安全事件管理;在发生信息安全事件时能及时报告,快速响应,将损失控制在小范围;在发生信息安全事件后,能够分析事故原因及产生影响、反馈处理结果、吸取事故教训;在发现信息安全异常现象时,能及时沟通,采取有效措施,防止安全事故的发生;特制订本管理制度。本制度适用于影响信息安全的所有事故以及安全异常现象以及全体人员(包括外协人员、实习生、长期客户员工、来访客户等)。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《业务连续性管理制度》
3. 职责和权限
1) 信息安全管理小组:负责对内部信息安全事件的处理和奖惩意见进行审批;负责对纠正预防措施进行审批。
2) 信息安全工作小组:负责组织制定内部信息安全事件处理制度;听取信息安全事件的汇报,负责对信息安全事件进行调查*,提出处理措施,提出奖惩意见以及纠正预防措施,负责信息安全有关的所有文件的管理与控制;负责组织制定项目信息安全事件处理制度;听取信息安全事件的汇报,负责对信息安全事件进行调查*,提出处理措施,提出奖惩意见以及纠正预防措施,负责信息安全有关的所有文件的管理与控制。
3) 各部门:积极预防信息安全事件的发生;及时准确的汇报信息安全事件,配合信息安全事件的调查*工作;配合执行处理措施,奖惩决定以及纠正预防措施。
4) 异常现象和事件发现人:异常现象和事件发现人有义务及时准确地报告异常现象和事件的真实情况,并采取适当的临时措施制止事故的进一步扩大。
1. 目的和范围
为确保公司的业务能够持续稳定的进行,限度的降低信息安全事件对业务的影响,特制订本管理制度。
业务连续性管理为关键业务过程提供支持。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《信息安全事件管理制度》
3. 职责和权限
1) 信息安全管理小组:审批业务连续性计划,分配相关资源,确保业务持续性活动顺利进行;在发生重大信息安全事件或灾难时担任公司业务中断的恢复的总指挥与总协调。
2) 信息安全工作小组:负责组织进行相关业务连续性计划(BCP)编写,审核BCP,组织BCP演练,监督修改完善;在发生重大信息安全事件或灾难时,负责协调进行信息和资产保护,及时恢复中断的业务。
3) 各相关部门:配合信息安全工作小组执行BCP的编写与演练;在发生重大信息安全事件或灾难时,负责保护本部门的信息和资产,及时恢复中断的业务。
软件版权
员工应遵守或授权的软件策略,合法使用软件、信息产品和保持许可证的有效性;
对软件的版权保护方面应遵照以下制度:
a) 为保证软件产品用户不**过允许数量,应保证按照软件许可证规定条件安装软件;
b) 信息安全小组应在需要时检查公司的办公设备,确保只用授权和注册的软件;
c) 应保存以下信息:
1. 许可证类型如授权公司的软件、免费软件、共享软件和评估版软件;
2. 购买/获取日期;
3. 许可证期满/重认证日期;
4. 授权许可证用户/连接的编号;
5. 许可安装的编号;
6. 其它执照条件。
应将软件许可文件原件、正版软件盘和手册放在安全位置;
对获得的服务软件的保存条件采用下列制度:
a) 应对照软件资产每年的注册,检查每次软件安装的许可证条件;
b) 发现某些软件不再需要时,应安排卸载该软件并在许可证到期之前处理掉;
c) 发现某些软件仍需要时,应在许可证到期之前发采购单延长软件使用权的期限;
d) 需要时,应发出购买评估版软件的采购单。
处理所使用的软件时应采用以下方针:
a) 处理掉的软件或软件包应该是系统信息所有者批准后不再需要的旧版本;
b) 软件需要换版本时,可在许可证允许的前提下将旧版本连同手册、软件和许可协议一同转存到其它区域;
c) 如果软件不能转到其它区域,则需将软件从所有安装系统上卸下。在卸载所有者不再需要的软件包后,记录表需要更新并随后随同材料一起转到安全保管处。
信息安全测量领域 信息安全测量类别
A.5 安全方针 1.方针及信息安全目标有效性测量
2.风险管理测量
A.6 信息安全组织 1.信息安全组织测量
A.7 人力资源安全 1.人力资源管理测量
2.信息安全培训测量
A.8 资产管理 1.资产识别表测量
2.数据和文档管理测量
3.设备管理测量
A.9 访问控制 1.访问控制有效性测量
A.10 密码学 1.密码管理
A.11 物理环境安全 1.物理环境测量
A.12 操作管理 1.系统监控测量
2.防病毒及恶意软件测量
3.备份管理测量
4.软件和系统管理测量
A.13 通信管理 1.保密协议测量
2.网络安全测量
3.电子消息测量
A.14 信息系统获取、开发和维护 1.信息系统开发过程测量
A.15 供应商管理 1.第三方服务管理测量
A.16 信息安全事件管理 1.信息安全事件管理测量
A.17 业务连续性管理 1.业务连续性计划有效性测量
A.18 符合性 1.合规性测量
-/gbacfji/-
http://lsjsqd.b2b168.com
