咨询到位 审核顺畅-三明ISO认证

ISO9001体系认证咨询所需的材料：
ISO9001体系认证咨询需要准备的材料有：质量体系认证（iso9001）：公司的营业执照、组织机构代码证、许可证（有要求时）、产品所依照的法规、标准等；
ISO9001体系审核所需的材料
管理手册、程序文件、内审资料、管理评审资料以及程序文件要求的其它相关表单。*三层次的作业书，以及操作过程的记录。
文件管制ISMS所需之文件應受保護和管制。應建立文件化程序，以界定所需之管理措施，用以：
在文件發行前核准其適切性。
必要時，審查和更新並重新核准文件。
確保文件之變更與改訂狀況已予以識別。
確保在使用場所備有相關適用版次文件。
確保文件保持易於閱讀並*識別。
確保有需要之人員均有文件可用，且依照其適用之傳遞、儲存及終處理予以分類。
確保外來原始文件已加以識別。
確保文件分發已管制。
防止失效文件被誤用。
過期文件為任何目的需保留時，應予以適當識別。

1 计划
导出《信息安全风险处置计划》。
2 报告
风险评估小组导出《信息安全风险评估报告》,陈述信息安全管理现状，分析存在的信息安全风险，提出信息安全管理（控制）的建议与措施，提交总经办进行审核。
3 审核
总经办考虑成本与风险的关系，对《信息安全风险评估报告》及《信息安全风险处置计划》的相关内容审核，对认为不合适的控制或风险处理方式等提出说明，由风险评估小组协同相关部门重新考虑总经办的意见，选择其他的控制或风险处理方式，并重新提交总经办审核，由管理者代表批准实施。
4 实施
各责任部门按照批准后的《信息安全风险处置计划》的要求采取有效安全控制措施，确保所采取的控制措施是有效的。

1 定期评估
总经办每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施。
2 非定期评估
当发生以下情况时需及时进行风险评估：
a) 当发生重大信息安全事故时；
b) 当信息网络系统发生重大更改时；
c) 总经办确定有必要时。
3 更新资产
各部门对新增加、转移的或授权销毁的资产应及时更新资产清单。
4 调整控制措施
总经办应分析信息资产的风险变化情况，以便根据企业的资金和技术，确定、增加或调整适当的信息安全控制措施。

1 要求
应对所有的重要资产进行风险评估，评估应考虑威胁、脆弱性、威胁事件发生的可能性和威胁事件发生后对资产造成的影响程度及已经采取的措施等方面因素。
2 识别威胁
威胁是对组织及其资产构成潜在破坏的可能性因素，造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、等，在保密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。
威胁可基于表现形式分类。例如可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、网络攻击、攻击技术、物理攻击、泄密信息、篡改、抵赖等。
各部门根据资产本身所处的环境条件，识别每个资产所面临的威胁。
3 识别脆弱性
脆弱性是对一个或多个资产弱点的总称。脆弱性是资产本身存在的，如果没有相应的威胁发生，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。即，威胁总是要利用资产的弱点才可能造成危害。
资产的脆弱性具有隐蔽性，有些弱点只有在一定条件和环境下才能显现，这是脆弱性识别中为困难的部分。需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。
脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的脆弱性，并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域的和软硬件方面的人员。
脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。
ISO分内审和外审，内审是公司内部人员，要做的就是在外审的要求下使企业达到ISO的标准，ISO有一套完整的书面的要求，内审照着做就行。然后找一家有资质的认证机构，他们会给你派来外审，外审会经常来给你看看和（当然要钱的，而且挺贵，但没办法，一定要花），验收，就完事了。认证这个对内部来说可以提升企业的质量等管理，对外来说提升了企业形象，多少有用。你不*于紧张，应该可通过。
http://lsjsqd.b2b168.com