漳州ISO27001认证 信息安全管理体系认证需要什么材料

1. 目的和范围
为了对信息安全管理体系运行出现的不符合事项（信息安全事故、审核中出现的不符合等）或潜在不符合事项进行分析、纠正，并为防止潜在不符合项的发生，采取预防措施，以消除造成实际或潜在的不符合项的原因，持续改进信息安全管理体系，特制定纠正和预防措施管理制度。
本制度适用于信息安全管理体系各项活动中发生或可能发生的所有不符合项的纠正和预防措施的管理。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件，其版本适用于本标准。
2) GB/T 22080-2008/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2008/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《文件控制制度》
5) 《信息安全交流控制制度》

信息系统审核考虑
1) 信息系统审核控制措施
任何技术符合性审核都必须经过认真策划，地减少中断工作的风险并保护公司的工作环境的数据完整性不会受到破坏。
 确定适合的方法，保证技术符合性审核取得圆满。
 获取信息安全管理工作小组对既定审核方法的书面批准。
 判定每个系统的访问级别并从相关负责人获取书面批准。
 只获取审核活动范围内的IT硬件、软件和系统的访问权。
 确保技术符合性审核后删除或处理掉系统审核工具和残余数据。
 确保所有的系统审核都按照《变更管理办法》中的说明进行。
 确保系统审核的所有活动按照商定的审核计划进行。
2) 信息系统审核工具的保护
 对于信息系统审核工具的访问应加以保护，以防止任何可能的滥用或损害。
 信息系统审核工具（如软件和数据文件）应与开发和运行系统分开，并且不能保存在磁带（程序）库或用户区域内，除非给予合适级别的附加保护。
 信息系统审核工具的使用必须事先获得信息安全管理工作小组的批准。
3) 活动描述
 信息安全管理工作小组根据情况，对于自管服务器制定出在策略、用户管理、权限管理、VLAN管理、漏洞扫描、渗透测试等方面的审核策略。
 管理人员应确保在其职责范围内的所有安全程序被正确地执行，以确保符合安全策略及标准。
 管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。
 任何技术符合性检查应仅由有能力的、已授权的人员来完成，或在他们的监督下完成。
 涉及对运行系统检查的审核要求和活动，应谨慎地加以规划并取得批准，以便小化造成业务过程中断的风险。

1) 信息安全工作小组：
 负责选派一名纠正和预防措施监督员负责收集信息并组织责任部门分析原因，并跟踪验证纠正预防措施实施情况；
 负责与相关部门共同制定纠正预防措施。
2) 各部门：负责本部门的不符合原因分析及纠正、预防措施的制定和实施。
1) 为了消除不符合项或潜在的不符合项的产生，所采取的纠正、预防措施应与问题大小和风险程度相适应，以的成本获得满足信息安全管理体系的要求。
2) 通过应用信息安全管理方针、目标及其有效性测量、审核结果、监视事件的分析、纠正和预防措施和管理评审，持续改进信息安全管理体系的有效性。
3) 信息安全工作小组负责组织将证实有效的纠正、预防措施纳入有关的管理和技术文件中去，使其成为正式的方法，有效地防止不符合项的发生。所引起的信息安全管理管理体系文件的更改和补充按《文件控制制度》进行。

 漏洞扫描管理：
a) 管理员应定期进行漏洞扫描，客户端和服务器可使用相关工具进行漏洞扫描。
b) 根据漏洞扫描结果，管理员应及时修补系统漏洞。
 渗透测试管理：
a) 技术符合性检查应由有经验的系统工程师手动执行（如需要，利用合适的软件工具支持），或者由技术*用自动工具来执行，此工具可生成供后续解释的技术报告。
b) 如果使用渗透测试或脆弱性评估，则应格外小心，因为这些活动可能导致系统安全的损害。这样的测试应预先计划，形成文件，且重复执行。
审核注意事项：
 应与合适的管理者商定审核要求；
 应商定和控制检查范围；
 检查应限于对软件和数据的只读访问；
 非只读的访问应仅用于对系统文件的单独拷贝，当审核完成时，应擦除这些拷贝，或者按照审核文件要求，具有保留这些文件的义务，则要给予适当的保护；
 应明确地识别和提供执行检查所需的资源；
 应识别和商定特定的或另外的处理要求；
 应监视和记录所有访问，以产生参照踪迹；对关键数据或系统，应考虑使用时间戳参照踪迹；
 应将所有的制度、要求和职责形成文件；执行审核的人员应独立于审核活动

http://lsjsqd.b2b168.com