协助申请 标准规范 阳江ISO27001认证材料

ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。
但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家机构的委托授权，才能为认证组织提供认证服务，并发放认证。大多数国家都有自己的国家机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案
除了组织自身投入之外，ISO27001 认证审核主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后，认证机构会初步了解组织现状，确定审核范围，提出审核。认证机构的通常是根据其投入的时间和人员来确定的，决定因素包括：
1、受审核组织的员工数量；
2、纳入审核范围的信息量；
3、场所数量；
4、组织与外界的关联；
5、组织 IT 的复杂性；
6、组织类型和业务性质等。
除了问题，认证审核的周期通常也是组织比较关心的。一般来说，从组织启动 ISMS建设项目开始，到终通过审核，至少要有半年时间（不包括获取的时间）。对于很多因为外部驱动力而决心实施 ISO27001 认证项目的组织来说，提早进行规划是必要的。
如何进行ISO27001认证
1.人员选拔
人力资源部应严格按照各岗位的《岗位说明书》对应聘人员进行认真筛选，应聘人员面试时需携带简历并填写《应聘登记表》，面试官应填写相应的《面试评估表》。
2.背景调查
人力资源部对拟录用的新员工根据岗位的重要程度进行身份、背景、和等方面进行背景调查，详见《背景调查管理规定》。背景调查如无问题，正式录用审批，详见《新员工录用审批表》。录用审批完成，给拟录用的新员工发送《录用邀请函》。
3.内部选拔
从事关键岗位或负责核心系统、机房等重要区域的人员，优先从公司内部人员选拨，应具备认真负责的工作、较高的职业道德水准；
4.入职
人力资源部负责员工的入职手续，参见《新员工入职手续清单》，并签署《劳动合同书》以及《知识产权及保密协议》。《知识产权及保密协议》的保密条款的要求应根据公司业务的变更由法务主管及时进行评审修订。《劳动合同》一式两份，员工本人及人力资源部各保存一份。临时雇用人员、客户以及合作方等第三方人员在与公司签订的合同中应约定相关人员的信息安全职责。

ISO27001认证:
1. 风险评估前准备
1) 信息安全管理小组：负责组织各部门参加风险评估的人员进行资产识别和风险评估方法的培训。
2) 信息安全管理小组：向各部门发放《信息安全风险评估表》。同时提出进行资产识别和风险评估的要求。
2. 确定重要业务过程和活动
各部门确定本部门所有业务相关重要过程和活动，识别、确定各业务过程及跨部门业务过程中的各个角色及其职责。业务相关重要过程和活动包括：部门的主要业务过程；一旦丧失或降格将导致不能执行组织使命的过程；保密处理或专有技术的过程；如果被修改，可能对公司产生极大影响的过程。
3. 信息资产的识别
1) 各评估人员根据部门所有业务相关重要过程和活动，参考《信息安全风险评估表》中的《资产类别库》识别本部门信息资产，根据《信息安全风险评估表》中的《赋值说明》填写《资产清单》，经部门负责人审核后提交信息安全管理小组审核汇总，确保没有遗漏信息资产并存档。

笔记本电脑使用规定
1) 笔记本电脑设备必须有严格的口令访问控制措施，口令设置需满足公司安全策略要求。
2) 对无人看守的笔记本电脑设备必须实施物理保护，必须放在带锁的办公室、抽屉或文件柜里。
3) 笔记本电脑设备丢失或被后应及时报告给部门经理和行政部。
4) 凡带出公司使用而遗失、被偷盗等均由个人负全责赔偿。
5) 除自然损坏外，凡人为损坏（如撞坏、跌坏、电源插错烧坏等）由本人负责修好，由个人承担。
6) 笔记本电脑中除工作所需的软件外，不导入其他与工作无关的软件。
7) 离开公司办公环境的设备和媒体在公共场所不能无人看管，出差员工如需携带便携式计算机，需要提前向直属/行政部提出申请。在旅行时便携式计算机要作为手提行李携带不得托运，若可能宜伪装起来。重要数据需加密保存。

ISO27001认证目标：
加强固定资产的管理，保证固定资产的完好无损，防止资产流失，使公司固定资产能够更好的为公司运营及管理服务。
硬件资产等级分类
1、一级：服务器资产，维持系统或业务平台正常运行重要的主机设备。由系统服务部承担安全管理责任。标记为H1。
2、二级：网络设备资产，支撑维持公司员工正常工作、工作设备正常运行或正常业务运营所需要的网络环境主要的连接或配置设备。由系统服务部承担安全管理责任。标记为H2。
3、：个人台式机资产，支撑员工基本工作需要的台式计算机。由行政部承担安全管理责任。标记为H3。
4、：移动设备资产，支撑员工基本工作或业务服务所需要的笔记本电脑、手机、移动存储等可移动的工作设备。由行政部承担安全管理责任。标记为H3。
5、：其他设备资产，除上述四类设备外的其它办公所需设备。由行政部承担安全管理责任。标记为H4。
管理部门职责：
1、行政部：
1)对办公类设备固定资产做统一编号。
2)负责制定办公设备硬件类固定资产安全管理制度。
3)编制维护行政部硬件固定资产清单库。
ISO27001认证，即“信息安全管理体系”，是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法。
由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。
企业通过了ISO27001认证，即表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。
信息安全管理体系的建立和健全，目的就是降低信息风险对经营带来的危害，并将其投资和商业利益大化。可提升企业公信力，同时可促进企业各部门进行信息全面综合管理，保障信息安全，信息风险，大限度减少损失！由此做ISO27001认证的企业也越来越多

汉墨管理咨询有限公司是工商局批准并注册登记的具有法人的综合管理咨询公司。公司具有丰富的培训咨询人才资源并组建了各个管理模块的培训咨询团队，致力于通过培训或咨询帮助企业解决管理困惑，如：体系认证培训与咨询、社会责任验厂培训与咨询、质量管理培训与咨询、现场管理培训与咨询，精益生产项目、企业管理诊断等。公司始终坚持“从实际出发，着眼于未来”的宗旨，为选择了我们公司的客户提供从未来需求考虑的符合企业实际的培训咨询方案。
服务区域
服务广东省珠三角、粤东、粤西和粤北四个区域，其中珠三角：广州、深圳、佛山、东莞、中山、珠海、江门、肇庆、惠州；粤东：汕头、潮州、揭阳、汕尾；粤西：湛江、茂名、阳江；粤北：韶关、清远、云浮、梅州、河源。
福建省内厦门、福州、泉州、漳州等地。
汉墨提供以下认证及培训咨询项目(包括但不限于)：
1、认证与验厂（质量、食品安全、环境、安全、信息安全等）： ISO9001（ISO9000）质量管理体系认证、ISO22000食品安全管理体系认证、BRC食品安全全球标准认证、IFS、SQF、HACCP危害分析与关键控制点管理体系认证、FSSC22000食品安全体系认证、ISO14001环境管理体系认证、ISO45001职业健康与安全管理体系认证、IATF16949汽车质量管理体系认证、ISO50001能源管理体系认证、ISO27001信息安全管理体系认证、ISO20000、QC080000、ISO13485、ISO22716、GMP良好操作规范认证、FSC森林COC产销链体系认证、GAP良好农业规范认证、GRS全球回收标志认证、GOTS、OCS、RCS、CE认证、BSCI社会责任验厂、SEDEX、WRAP、SA8000社会责任管理体系认证、安全生产标准化、两化融合管理体系评定、生产许可证SC办理、知识产权管理体系认证、服务管理体系认证、3A信用评级办理、环境标志“十环”认证、绿色工厂认证、体系内审员培训等。
2、管理培训：管理自我（以客户为中心、情绪管理、执行力、个人行为特征、自我认知），管理业务（设备管理、现场管理、质量管理、采购管理、大客户管理、项目管理、精益管理），管理他人（MTP中高层管理能力提升、目标与计划管理、以经营为导向的绩效、团队管理、冲突管理、下属）等。
3、管理咨询：组织架构梳理及人才、力测评与发展服务、培训管理体系搭建、企业文化梳理与落地等。
您有任何疑问，请随时与我们联系！