潮州ISO27001認證申請 咨詢到位 審核順暢

ISO27001認證，由英標準準協會（BSI）于1995年2月提出，并于1995年5月修訂而成的，1999年BSI重新修改了該標準。分為兩個部分：BS7799-1信息安全管理實施規則，BS7799-2信息安全管理體系規范。
ISO27001 信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準，該標準由英標準準協會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分：BS7799-1，信息安全管理實施規則BS7799-2，信息安全管理體系規范。部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；*二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規定了根據立組織的需要應實施安全控制的要求。
ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設計的，這一標準中的編號系統和文件管理需求的設計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在大程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構，來提供ISO27001認證服務。正是因為這個緣故，在ISMS體系建立的過程中，質量管理的經驗舉足輕重。
1 目的
為對適用范圍內的設備的維護過程實施有效控制，確保其連續的可用性和完整性，特**本程序。
2 目的
本程序適用于本組織各類信息處理設施(包括傳輸線路)的維護管理。
3 職責
3.1 銷售部
負責測試用計算機和網絡設備的管理與維護。
3.2 銷售部
負責組織內辦公用計算機和網絡設備的管理與維護。
4 相關文件
《信息安全管理手冊》
5 程序
5.1 信息設備的分類
辦公用計算機設備，包括所有銷售部、會議室內的計算機、打印機，域控制涉密電腦，DNS涉密電腦、EMAIL涉密電腦、程控交換機等。
開發測試用計算機設備，包括所有研發測試工作使用的計算機、涉密電腦、小型機、磁盤陣列、光纖交換機、工控機等。
網絡設備，包括交換機、路由器、防火墻等。
其它辦公設備，包括電話設備、復印機、傳真機等。
5.2 計算機、網絡設備的管理與維護
計算機、網絡設備應進行日常點檢。
日常點檢的目的是確認系統硬件是否運行良好，有無硬件及程序上的報警，備份是否正常進行等。
5.3 維修服務的外包安全控制
組織應與廠商簽訂設備維護（維修）服務合同，合同應包含信息安全方面的條款，例如簽訂保密協議。合同須明確服務的時間、范圍、內容和記錄保存條款。
對廠商現場維護有安全要求時應填寫《第三方物理訪問申請授權表》，由相關人員陪同方可進入。
5.4 資料的保存
辦公用設備的技術資料由銷售部保存并建立《設備技術資料清單》，以備日后查閱。
設備廠商對設備進行維修后提供的維修（維護)記錄單，由銷售部保存，以備日后查詢。
測試用設備的技術資料由銷售部保存并建立《設備技術資料清單》，以備日后查閱。
設備廠商對設備進行維修后提供的維修（維護)記錄單，由銷售部保存，以備日后查詢。
5.5 設備的遷移與報廢
設備的遷移與報廢依照本組織《變更管理程序》執行。
特別的，如報廢設備中存有秘密信息，必須予以清除并在《設施報廢記錄》中予以說明。
5.6 系統故障處理
系統發生故障時，維護人員應按照各系統的點檢業務手冊進行及時的處理，故障發生的原因、處理結果應按照點檢業務手冊的要求予以記錄。
5.7 容量管理
定期信息處理設施的容量，包括設備的數量、性能、線路、磁盤容量等，每年根據各銷售部門的需要，**計劃。
5.8 技術脆弱性管理及掃描工具的安全使用
定期發現信息系統中的技術脆弱性，可以通過自動化工具進行掃描，包括網絡、涉密電腦、應用程序及網站，形成分析報告，對發現的高風險漏洞進行處置。
對網絡掃描工具的使用，必須得到經理的授權，并保存使用的記錄。
5.9 設備轉移
機房內的設備，包括網絡設備、涉密電腦、UPS、空調不得移出機房。
工作用的PC機不得隨便移動。PC機的轉移統一由銷售部執行，各部門如因工作需要必須要轉移PC機，由個人填寫《信息設備轉移單》，并清除秘密信息，交由部門經理審核批準后，再向銷售部申請，經審核批準后，銷售部管理人員負責PC機的轉移。
電話、座椅的轉移流程與5.8.2相同。
5.10 信息設施的時鐘同步
Internet時鐘涉密電腦為時鐘同步涉密電腦，系統自動與時鐘同步涉密電腦進行對時。

ISO27001認證申請條件:
（1） 具備立的法人或經立的法人授權的組織；
（2） 按照ISO/IEC 27001標準的要求建立文件化的信息安全管理體系；
（3） 已經按照文件化的體系運行三個月以上，并在進行認證審核前按照文件的要求進行了至少一次管理評審和內部質量體系審核。
經營范圍：商標（注冊、轉讓、變更、續展、設計）、、ISO認證、CE認證、版權登記、計算機軟件著作權、評估、雙軟企業認定、高新企業認定、ISO20000、27001、22000、13485、節能認證等

ISO27001的效益
1、通過定義、評估和控制風險，確保經營的持續性和能力
2、減少由于合同違規行為以及直接觸犯法律法規要求所造成的責任
3、通過遵守*標準提高企業競爭能力，提升企業形象
4、明確定義所有組織的內部和外部的信息接口目標：謹防數據的誤用和丟失
5、建立安全工具使用方針
6、謹防技術訣竅的丟失
7、在組織內部增強安全意識
8、可作為公共會計審計的證據

企業ISO27001認證的好處：
1、**綠色通行證，走向*貿易市場；
2、有助于提高企業管理水平；
3、有助于控制污染，預防污染，避免環境部門的處罰；
4、有助于企業節能降耗，降低成本。向相關方控制環境污染和影響的能力，增強組織競爭力，擁有環境管理的標志，樹立良好的環保形象，創造環保。
ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設計的，這一標準中的編號系統和文件管理需求的設計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其或者其他管理體系認證提供認證服務的機構，來提供ISO27001認證服務。正是因為這個緣故，在ISMS體系建立的過程中，質量管理的經驗舉足輕重。
但是有一點需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進行ISO27001認證。這種情況下，該組織就應當從經濟利益考慮，選擇一個合適的管理體系的認證機構來提供認證服務。認證機構必須得到一個國家機構的委托授權，才能為認證組織提供認證服務，并發放認證。大多數國家都有自己的國家機構（比如：英國UKAS），任何獲得該機構授權進行ISMS認證的機構均記錄在案。
通過進行ISO27001信息安全管理體系認證，可以增進組織間電子電子商務往來的信用度，能夠建立起和貿易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務提供商提供一個基礎的設備管理。同時，把組織的干擾因素降到小，創造*大收益。
通過認證能*和組織所有的部門對信息安全的承諾。
通過認證可改善全體的業績、消除不信任感。
獲得*認可的機構的認證，可得到*上的承認，拓展您的業務。
建立信息安全管理體系能降低這種風險，通過第三方的認證能增強投資者及其他利益相關方的投資信心。
· 得以獲得業界普遍認同的*ISO20000認證；
· 就服務質量和服務承諾與業務及供貨商達成一致，建立和業務及供貨商統一的溝通平臺；達到相關利益方均滿意的IT服務管理目標；
· 提高IT服務的可用性、可靠性和安全性，為業務用戶提供高質量的服務；
· 持續優化服務流程，提升服務水平，提高業務滿意度；
· 提高項目的可提供性并確保如期交付；
· 從總體上提高組織/企業IT投資的報酬率，提升組織/企業的綜合競爭力；
· 建立IT部門一整套行之有效的持續改善機制和內控機制；
· 明晰IT管理成本和組織/企業業務和IT目標的結合點，完善現有IT服務結構和資源配置，使各項IT資源的運用符合公司業務和IT目標；
· 通過建立優化、透明的管理流程和權責的定義，管理流程、進行績效評價；降低IT運營的管理成本和風險；
· 易于整合服務管理流程和其它管理系統
http://www.fsthoughts.com