莆田ISO认证顾问-资料协助 顾问整理

ISO体系认证需要企业提供的基本信息：
企业中文名称
注册地址
实际经营地址
项目场所（如有）
体系负责人/手机/微信
固定电话/传真
邮箱
认证范围
医人数
有无产品或服务的开发，请说明及理由
现有资质（扫描件也发过来）
需要详细培训（Y/N）
组织应定期进行内部ISMS稽核已决定其控制措施目标、过程及程序是否：
符合本标准及相关法律或管理的要求
符合所识别的资讯安全要求
有效的实作与维护
如预期的执行
稽核计画应事先规划，考虑稽核的过程与区域之状况及重要性，以及先前稽核的结果。稽核准则、范围、频率及方法应予以界定。稽核人员的选择与稽核的执行应确保稽核过程的客观及公平。另外，稽核人员不应稽核其本身的工作。

1 要求
应对所有的重要资产进行风险评估，评估应考虑威胁、脆弱性、威胁事件发生的可能性和威胁事件发生后对资产造成的影响程度及已经采取的措施等方面因素。
2 识别威胁
威胁是对组织及其资产构成潜在破坏的可能性因素，造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、等，在保密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。
威胁可基于表现形式分类。例如可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、网络攻击、攻击技术、物理攻击、泄密信息、篡改、抵赖等。
各部门根据资产本身所处的环境条件，识别每个资产所面临的威胁。
3 识别脆弱性
脆弱性是对一个或多个资产弱点的总称。脆弱性是资产本身存在的，如果没有相应的威胁发生，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。即，威胁总是要利用资产的弱点才可能造成危害。
资产的脆弱性具有隐蔽性，有些弱点只有在一定条件和环境下才能显现，这是脆弱性识别中为困难的部分。需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。
脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的脆弱性，并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域的和软硬件方面的人员。
脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。

培训方案针对贵公司的要求进行反复推敲及精心考虑，针对性强，适用性强，专场，意见，充分考虑企业的实际情况并可进行灵活的培训时间及进度调整。 更贴合企业的实际需求，从始至终都将提高质量管理水平，通过认证作为我们培训工作的重心，激发企业的做好质量管理工作的积性。

规划与执行稽核，及报告结果与维持纪录之责任与要求。应以书面程序予以界定。
被稽核区域管理人员之责任，应确保采行措施没有不当之延误，以消除所发现之不符合与其原因。跟催活动应包括所采行措施之查证，与查证结果之报告。
ISO认证适用的范围：
ISO认证适用于所有的行业，只要是合法的组织都可以申请。
http://lsjsqd.b2b168.com