热门搜索:

公司提供ISO认证、GRS认证、ISO9001认证、ISO22000认证,质量管理体系认证、食品安全体系认证、IATF16949认证、ISO27001认证等项目的咨询顾问培训辅导(福州、厦门、泉州、漳州、龙岩、莆田、广州、深圳、东莞、佛山)

    产品分类
    福州ISO27001认证公司 ISO27000认证 认证申请 方便需要什么材料
    • 福州ISO27001认证公司 ISO27000认证 认证申请 方便需要什么材料
    • 福州ISO27001认证公司 ISO27000认证 认证申请 方便需要什么材料
    • 福州ISO27001认证公司 ISO27000认证 认证申请 方便需要什么材料

    福州ISO27001认证公司 ISO27000认证 认证申请 方便需要什么材料

    更新时间:2025-01-31   浏览数:84
    所属行业:商务服务 认证服务
    发货地址:福建省厦门  
    产品数量:9999.00个
    价格:¥450000.00 元/个 起
    在线留言
    1. 目的和范围
    为加强和改进信息安全事件管理;在发生信息安全事件时能及时报告,快速响应,将损失控制在小范围;在发生信息安全事件后,能够分析事故原因及产生影响、反馈处理结果、吸取事故教训;在发现信息安全异常现象时,能及时沟通,采取有效措施,防止安全事故的发生;特制订本管理制度。本制度适用于影响信息安全的所有事故以及安全异常现象以及全体人员(包括外协人员、实习生、长期客户员工、来访客户等)。
    2. 引用文件
    1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
    2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
    3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
    4) 《业务连续性管理制度》
    3. 职责和权限
    1) 信息安全管理小组:负责对内部信息安全事件的处理和奖惩意见进行审批;负责对纠正预防措施进行审批。
    2) 信息安全工作小组:负责组织制定内部信息安全事件处理制度;听取信息安全事件的汇报,负责对信息安全事件进行调查*,提出处理措施,提出奖惩意见以及纠正预防措施,负责信息安全有关的所有文件的管理与控制;负责组织制定项目信息安全事件处理制度;听取信息安全事件的汇报,负责对信息安全事件进行调查*,提出处理措施,提出奖惩意见以及纠正预防措施,负责信息安全有关的所有文件的管理与控制。
    3) 各部门:积极预防信息安全事件的发生;及时准确的汇报信息安全事件,配合信息安全事件的调查*工作;配合执行处理措施,奖惩决定以及纠正预防措施。
    4) 异常现象和事件发现人:异常现象和事件发现人有义务及时准确地报告异常现象和事件的真实情况,并采取适当的临时措施制止事故的进一步扩大。
    福州ISO27001认证公司
    信息安全事件的紧急处置和业务恢复
    部门负责人、管理部门(行政部、系统服务部)、信息安全工作小组组长在接到信息安全事件的报告后,应该立刻相互协调进行处置。
    1) 事故责任部门应会同管理部门立即分析事故发生原因;
    2) 事故责任部门应会同管理部门立即采取紧急措施,防止事态进一步扩大;
    3) 事故责任部门应会同管理部门尽快采取措施,恢复核心业务活动。必要时启动公司《业务连续性管理制度》所制定的应急预案。
    4) 事故发生部门应会同管理部门分析事故发生的影响范围以及造成的损失,并调整业务活动,弥补信息安全事故造成的损失。
    5) 在需要时与相关外部各方联系
     必要时部门负责人向客户报告,并协调以后的业务活动;
     当发生或发现涉及到违反国家法律法规的信息安全事件和异常现象,信息安全工作小组组长应与国家相关外部机构联系,报告信息安全事件和异常现象;
     当信息安全事故发生原因为外协人员、服务人员,应与相应协力公司、服务提供公司取得联系。
    6) 对于直接给客户造成影响的信息安全事件(级别至少是事故),需要由事故责任部门的部门负责人、体系负责人,管理部门相关人员立即成立紧急应对小组,根据事故的严重性、和对客户所造成影响,商讨紧急对策,并上报总经理批准后实施。紧急应对小组应将事故处置过程和结果及时反馈给客户。
    福州ISO27001认证公司
    信息系统审核考虑
    1) 信息系统审核控制措施
    任何技术符合性审核都必须经过认真策划,地减少中断工作的风险并保护公司的工作环境的数据完整性不会受到破坏。
     确定适合的方法,保证技术符合性审核取得圆满。
     获取信息安全管理工作小组对既定审核方法的书面批准。
     判定每个系统的访问级别并从相关负责人获取书面批准。
     只获取审核活动范围内的IT硬件、软件和系统的访问权。
     确保技术符合性审核后删除或处理掉系统审核工具和残余数据。
     确保所有的系统审核都按照《变更管理办法》中的说明进行。
     确保系统审核的所有活动按照商定的审核计划进行。
    2) 信息系统审核工具的保护
     对于信息系统审核工具的访问应加以保护,以防止任何可能的滥用或损害。
     信息系统审核工具(如软件和数据文件)应与开发和运行系统分开,并且不能保存在磁带(程序)库或用户区域内,除非给予合适级别的附加保护。
     信息系统审核工具的使用必须事先获得信息安全管理工作小组的批准。
    3) 活动描述
     信息安全管理工作小组根据情况,对于自管服务器制定出在策略、用户管理、权限管理、VLAN管理、漏洞扫描、渗透测试等方面的审核策略。
     管理人员应确保在其职责范围内的所有安全程序被正确地执行,以确保符合安全策略及标准。
     管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。
     任何技术符合性检查应仅由有能力的、已授权的人员来完成,或在他们的监督下完成。
     涉及对运行系统检查的审核要求和活动,应谨慎地加以规划并取得批准,以便小化造成业务过程中断的风险。
    福州ISO27001认证公司
    -/gbacfji/-

    http://lsjsqd.b2b168.com