拉萨ISO27001认证审核 信息安全管理体系认证

· 将现有管理体系和业务流程整合，规范IT部门服务水平，规范工作流程，降低导致的风险；
· 提高IT部门相关员工的素质，提高员工的服务能力和工作效率；
· 提升IT部门整体运作及部门间沟通的能力。
一级（P1）：公司内部关键岗位人员，如公司中高层管理人员（公司副总、各部门总监级、经理级的管理人员）、各信息系统管理人员、源代码管理人员、重务处理人员（会计主管、薪酬福利主管、法务、出纳）、金融及重点客户部、中开发。
二级（P2）：基层管理人员（公司主管级的管理人员）以及系统服务部、平台开发部、云计算及移动互联网开发部、大数据开发部、云呼叫业务开发部、系统架构会、产品部。
（P3）：测试部、及整合营销部、客户增长及增值服务部、服务运营会、大数据营销顾问部、自建服务部。
（P4）：人力资源部、行政部、商务采购部、总裁办。
五级（P5）：临时雇用人员、终客户、来自外单位的服务机构等相关第三方人员。

ISO27001认证对于数据的敏感
1、一级：重要敏感数据， 包括公司数据资产，主要用于公司直接营收的数据，如提交给客户的客探结果数据，泄露会造成直接经济损失。公司核心数据，经过加工的数据，有全方面的数据信息，需要严格管理，如客户肖像库，信息库，客户方提供的需要通过业务平台操作的数据，泄露后对公司可能造成全面损失。这些数据被非法复制传播后，可造成经济上的重大损失和引发重大安全事故及涉诉事件。由所涉及到的部门人员：服务部、如涉及数据由部共同承担安全管理责任。标记为D1。主要包括：
 业务结果数据
 客户信息数据
 系统或网络安全控制配置数据，防火墙数据
 业务帐号安全配置数据
 业务运行配置数据
 敏感客户业务原始数据
 录音记录数据
 帐目数据
 其他敏感信息数据
2、二级：非敏感重要数据，包括公司系统数据，由各种公司系统产生出的原始数据，限制范围使用，泄露对公司有可能造成某方面损失。如启通宝系统通话记录，客探系统记录，被非法复制传播或丢失、损坏后，可造成一定的经济损失或引发客户投诉事件。由所涉及到的部门人员：服务部承担安全管理责任。标记为D2。主要包括：
 业务过程数据
 启通宝通话记录
 客探系统数据
 系统运行日志数据
 其他重要数据
3、：公司内部非敏感数据及第三方非敏感数据，不对外公开，但公开对公司无损失的信息，如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。由所涉及到的部门人员：服务部、测试部，销售部，研发部共同承担安全管理责任。标记为D3。主要包括：
 员工通讯录
 话述信息数据
 系统测试业务数据
 项目施工测试数据
 项目施工过程数据
 销售业绩数据
 其他非敏感数据

不可接受风险的确定和处理
1) 针对所有的中级以上（包括中级）风险，各责任部门采取有效安全控制措施，确保所采取的控制措施是充分的，直到其风险降至可接受为止。
2) 在实际的控制措施执行后，信息安全管理小组及各部门评估人员根据实际措施的执行效果，重新评估资产的威胁值和脆弱性值，从而计算出关键活动的余风险。
3) 信息安全管理小组：根据风险评估以及处置的结果编制《信息安全风险评估报告》，陈述本公司信息安全管理现状及余风险状况。
4) 对于不进行处置的风险及余风险仍处于中级以上（包括中级）的风险，由信息安全管小组完成《余风险批示报告》，《余风险批示报告》需经过公司管理者批准通过，才能接受余风险。

ISO27001认证:
（1） 信息安全管理方针、目标的适用性；
（2） 管理体系的审核结果，包括内审、外审结果及其它形式的审核结果；
（3） 相关利益方的反馈，包括客户的意见投诉、相关方的投诉或意见等；
（4） 用于改善信息安全管理体系性能和有效性的技术、产品和程序，包括信息安全管理方案的确定、执行等；
（5） 改进、预防和纠正措施的状况，包括对内部审核和日常发现的不合格项采取的纠正和预防措施的实施及其有效性的结果；
（6） 以前风险评估中没有充分表达的威胁和薄弱点，以及风险的重新评估；
（7） 以往管理评审跟踪措施的实施及有效性；
（8） 可能影响到信息安全管理体系的变更，包括部门组织结构、资源配置发生重大变化、信息安全技术发生变化、部门的商业目标或商业运作流程发生变化、信息安全法律、法规发生变化、发生重大信息安全事件等；
（9） 改进建议。
信息安全管理体系标准（ISO27001认证）可有效??保护信息资源,保护信息化进程健康、有序、可持续发展。
ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001认证,就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。ISO27001认证——信息安全管理体系(ISO27001 Information security management system)这是在世界上公认解决信息安全的有效方法。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。
认证好处：
1、引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个提供信息安全服务的公司就可以达到的。它需要全面的综合管理。
2、通过进行ISO27001信息安全管理体系认证，可以增进组织间电子商务往来的信用度，能够建立起和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到小，创造更大收益。
3、通过认证能保证和组织所有的部门对信息安全的承诺。
4、通过认证可改善全体的业绩、消除不信任感。
4、建立持续改进的服务管理机制，快速应对市场需求，提供客户满意度。
5、获得国际认可的机构的认证，可得到国际上的承认，拓展您的业务。
6、建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。
7、组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证的审核，获得认证，将会获得有价值的回报。
企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。通过认证能够向及行管部门组织对相关法律法规的符合性。

汉墨管理咨询有限公司是工商局批准并注册登记的具有法人的综合管理咨询公司。公司具有丰富的培训咨询人才资源并组建了各个管理模块的培训咨询团队，致力于通过培训或咨询帮助企业解决管理困惑，如：体系认证培训与咨询、社会责任验厂培训与咨询、质量管理培训与咨询、现场管理培训与咨询，精益生产项目、企业管理诊断等。公司始终坚持“从实际出发，着眼于未来”的宗旨，为选择了我们公司的客户提供从未来需求考虑的符合企业实际的培训咨询方案。
服务区域
服务广东省珠三角、粤东、粤西和粤北四个区域，其中珠三角：广州、深圳、佛山、东莞、中山、珠海、江门、肇庆、惠州；粤东：汕头、潮州、揭阳、汕尾；粤西：湛江、茂名、阳江；粤北：韶关、清远、云浮、梅州、河源。
福建省内厦门、福州、泉州、漳州等地。
汉墨提供以下认证及培训咨询项目(包括但不限于)：
1、认证与验厂（质量、食品安全、环境、安全、信息安全等）： ISO9001（ISO9000）质量管理体系认证、ISO22000食品安全管理体系认证、BRC食品安全全球标准认证、IFS、SQF、HACCP危害分析与关键控制点管理体系认证、FSSC22000食品安全体系认证、ISO14001环境管理体系认证、ISO45001职业健康与安全管理体系认证、IATF16949汽车质量管理体系认证、ISO50001能源管理体系认证、ISO27001信息安全管理体系认证、ISO20000、QC080000、ISO13485、ISO22716、GMP良好操作规范认证、FSC森林COC产销链体系认证、GAP良好农业规范认证、GRS全球回收标志认证、GOTS、OCS、RCS、CE认证、BSCI社会责任验厂、SEDEX、WRAP、SA8000社会责任管理体系认证、安全生产标准化、两化融合管理体系评定、生产许可证SC办理、知识产权管理体系认证、服务管理体系认证、3A信用评级办理、环境标志“十环”认证、绿色工厂认证、体系内审员培训等。
2、管理培训：管理自我（以客户为中心、情绪管理、执行力、个人行为特征、自我认知），管理业务（设备管理、现场管理、质量管理、采购管理、大客户管理、项目管理、精益管理），管理他人（MTP中高层管理能力提升、目标与计划管理、以经营为导向的绩效、团队管理、冲突管理、下属）等。
3、管理咨询：组织架构梳理及人才、力测评与发展服务、培训管理体系搭建、企业文化梳理与落地等。
您有任何疑问，请随时与我们联系！