福建ISO27001认证标准

信息安全事件的紧急处置和业务恢复
部门负责人、管理部门（行政部、系统服务部）、信息安全工作小组组长在接到信息安全事件的报告后，应该立刻相互协调进行处置。
1) 事故责任部门应会同管理部门立即分析事故发生原因；
2) 事故责任部门应会同管理部门立即采取紧急措施，防止事态进一步扩大；
3) 事故责任部门应会同管理部门尽快采取措施，恢复核心业务活动。必要时启动公司《业务连续性管理制度》所制定的应急预案。
4) 事故发生部门应会同管理部门分析事故发生的影响范围以及造成的损失，并调整业务活动，弥补信息安全事故造成的损失。
5) 在需要时与相关外部各方联系
? 必要时部门负责人向客户报告，并协调以后的业务活动；
? 当发生或发现涉及到违反国家法律法规的信息安全事件和异常现象，信息安全工作小组组长应与国家相关外部机构联系，报告信息安全事件和异常现象；
? 当信息安全事故发生原因为外协人员、服务人员，应与相应协力公司、服务提供公司取得联系。
6) 对于直接给客户造成影响的信息安全事件（级别至少是事故），需要由事故责任部门的部门负责人、体系负责人，管理部门相关人员立即成立紧急应对小组，根据事故的严重性、和对客户所造成影响，商讨紧急对策，并上报总经理批准后实施。紧急应对小组应将事故处置过程和结果及时反馈给客户。

对于内审、外审、管理评审、有效性测量、信息安全事件监控中的发现事项需填写《审核、检查发现事项通知单》，通知相关需改进部门。将发现事项记录在《体系改进记录表》中，对纠正和预防情况进行跟踪验证。
在对于非上述活动中的改进措施，按《信息安全交流控制制度》要求填写《信息安全管理体系意见表》，将发现事项记录在《体系改进记录表》中，对纠正和预防情况进行跟踪验证。
对于需要跨部门协调解决纠正和预防措施由体系负责人组织召开工作会议讨论并明确相关改进责任部门及改进职责。

符合安全策略和标准以及技术符合性
1) 符合安全策略和标准
? 定期进行内部审核，以检查公司的策略是否符合安全标准，具体的内审方法可参考《内部审核管理制度》。
2) 技术符合性检查
? 要求独立方定期检查公司的工作环境，确认整个公司的信息系统和网络内的信息安全控制措施是否充足以及这些措施的执行情况。
? 技术符合性检查必须检查受影响的信息处理系统，保证所有的软件、硬件和过程控制措施得到适当的配置和更新。
? 行政部必须按照上述的技术符合性检查后的报告中提出的问题进行跟踪。

? 漏洞扫描管理：
a) 管理员应定期进行漏洞扫描，客户端和服务器可使用相关工具进行漏洞扫描。
b) 根据漏洞扫描结果，管理员应及时修补系统漏洞。
? 渗透测试管理：
a) 技术符合性检查应由有经验的系统工程师手动执行（如需要，利用合适的软件工具支持），或者由技术专家用自动工具来执行，此工具可生成供后续解释的技术报告。
b) 如果使用渗透测试或脆弱性评估，则应格外小心，因为这些活动可能导致系统安全的损害。这样的测试应预先计划，形成文件，且重复执行。
审核注意事项：
? 应与合适的管理者商定审核要求；
? 应商定和控制检查范围；
? 检查应限于对软件和数据的只读访问；
? 非只读的访问应仅用于对系统文件的单独拷贝，当审核完成时，应擦除这些拷贝，或者按照审核文件要求，具有保留这些文件的义务，则要给予适当的保护；
? 应明确地识别和提供执行检查所需的资源；
? 应识别和商定特定的或另外的处理要求；
? 应监视和记录所有访问，以产生参照踪迹；对关键数据或系统，应考虑使用时间戳参照踪迹；
? 应将所有的制度、要求和职责形成文件；执行审核的人员应独立于审核活动

厦门汉墨企业管理咨询有限公司是经福建省厦门市工商局批准并注册登记的具有法人的综合管理咨询公司。公司具有丰富的培训咨询人才资源并组建了各个管理模块的培训咨询团队，致力于通过培训或咨询帮助企业解决管理困惑，如：体系认证培训与咨询、社会责任验厂培训与咨询、品质管理培训与咨询、现场管理培训与咨询，精益生产项目、企业管理诊断等。公司始终坚持“从实际出发，着眼于未来”的宗旨，为选择了我们公司的客户提供从未来需求考虑的符合企业实际的培训咨询方案。 
我们的业务
涵盖各种大小的管理培训咨询项目， 包括体系认证，买家验厂，管理诊断， 5S/6S现场管理，精益生产，核心工具，拓展训练，自我管理，业务管理，力等各种培训咨询项目。凭借对国际客户需求及中国本土环境的透彻理解，我们能为客户提供具有前瞻性、创造性、针对性和易实施的管理培训咨询解决方案，使企业能在高速变化的市场中占据优势并取得优越的绩效。 服务区域：福建省内的九地市：福州、厦门、泉州、龙岩、漳州、莆田、宁德、南平、三明
汉墨提供以下认证及培训咨询项目(包括但不限于)：
1、认证与验厂（质量、环境、、食品、森林、信息、社会责任等）： ISO9001（ISO9000）质量管理体系认证、ISO14001环境管理体系认证、ISO45001职业体系认证、ISO22000食品管理体系认证、BRC食品全球标准认证、IFS、HACCP危害分析与关键控制点管理体系认证、FSSC22000食品体系认证、IATF16949汽车质量管理体系认证、ISO50001能源管理体系认证、ISO13485、ISO22716、GMP良好操作规范认证、FSC森林管理体系认证、ISO27001信息管理体系认证、ISO20000、GAP良好农业规范认证、GRS全球回收标志认证、GOTS、OCS、ITSS、CMMI、CCRC、CE认证、BSCI社会责任验厂、SEDEX、WRAP、SA8000社会责任管理体系认证、3A信用评价办理、CMA计量认证，CNAS第三方实验室认可咨询、碳足迹、碳标签、服务管理体系认证、知识产权管理体系认证、两化融合管理体系认证、生产标准化、生产许可证SC办理、体系内审员培训等。
2、管理培训：管理自我（以客户为、情绪管理、执行力、个人行为特征、自我认知），管理业务（设备管理、现场管理、质量管理、采购管理、大客户管理、项目管理、精益管理），管理他人（MTP中高层管理能力提升、目标与计划管理、以经营为导向的绩效、团队管理、冲突管理、下属）等。
3、其他服务：企业补贴服务（高新、专精特新、研发费用等补贴申报）、记账、知识产权服务（软著、、商标）。