阳江ISO27001认证费用 信息安全管理体系认证

深圳汉墨管理咨询是经广东省深圳市工商局批准并注册登记的具有法人的综合管理咨询公司。公司具有丰富的培训咨询人才资源并组建了各个管理模块的培训咨询团队，致力于通过培训或咨询帮助企业解决管理困惑，如：体系认证培训与咨询、社会责任验厂培训与咨询、质量管理培训与咨询、现场管理培训与咨询，精益生产项目、企业管理诊断等。公司始终坚持“从实际出发，着眼于未来”的宗旨，为选择了我们公司的客户提供从未来需求考虑的符合企业实际的培训咨询方案。
ISO27001认证办理流程：
步：与我司签定合同，确认企业人数，认证范围，提供企业营业执照，如有其它企业资质也一并提交；
第二步：补签与发证机构的合同，以及提交申请表，我司协助企业做ISO审核需要的体系文件资料；
第三步：预约发证机构去企业现场审核，主要是到现场实际查看企业实际经营情况及盖章，一般审核时间快证为两至三个工作日现场审核；
申请时间：从申请到发证，常规时间2-3个月左右，可加急。

1 目的
为对本组织各种应用系统的用户访问权限（包括特权用户及相关方用户)实施有效控制，杜绝非法访问，确保系统和信息的安全，特制定本程序。
2 范围
本程序适用于本组织的各种应用系统涉及到的逻辑访问的管理。
3 职责
3.1 各部门职责
负责访问权限的申请、审批、执行。有信息系统的部门负责各部门的信息系统权限控制。由办公室通知人事变更情况，按照人事变更情况变更相应权限。
办公室：负责财务系统及设备维护系统的用户权限控制。
办公室：负责SVN系统及设备维护的用户权限控制。
销售部：负责漏洞扫描系统及设备维护的用户权限控制。
3.2 办公室职责
负责向各部门通知情况。
负责外来人员物理访问控制。
负责邮件系统的用户权限访问控制。
负责公司网站内部管理用户权限访问控制
负责电话、网络权限控制

信息安全小组制定《信息安全风险管理程序》，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。按信息安全风险评估执行《信息安全风险管理程序》进行，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
本公司按《信息安全风险管理程序》分析和评价风险：
a) 针对重要资产的价值和脆弱性严重程度，计算出风险发生的影响值；
b) 针对每一项威胁发生频率、脆弱性被威胁利用的容易程度进行赋值，然后计算得出风险发生的可能性；
c) 根据《信息安全风险管理程序》计算风险等级，从而得出风险等级；
根据《信息安全风险管理程序》及风险接受准则，判断风险为可接受或需要处理。
信息安全小组根据相关法律法规要求、信息安全方针、业务发展要求及风险评估的结果，组织有关部门选择和制定了信息安全目标，并将目标分解到有关部门（见《信息安全适用性声明》）：
a) 信息安全控制目标获得总经理的批准。
b) 控制目标及控制措施的选择原则来源于ISO/IEC 27001:2013附录A，具体控制措施参考ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实用规则》。
c) 本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。
对风险处理后的剩余风险应形成《信息安全剩余风险评估报告》并得到公司管理者的批准。

本公司采取相关部门代表组成的协调会的方式，进行信息安全协调和协作，以：
a) 确保安全活动的执行符合信息安全方针；
b) 确定怎样处理不符合；
c) 批准信息安全的方法和过程，如风险评估、信息分类；
d) 识别重大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露；
e) 评估信息安全控制措施实施的充分性和协调性；
f) 有效的推动组织内信息安全教育、培训和意识；
g) 评价根据信息安全事件和评审得出的信息，并根据识别的信息安全事件推荐适当的措施。
本公司总经理为信息安全责任者。总经理信息安全管理者代表,无论信息安全管理者代表其他方面的职责如何，对信息安全负有以下职责：
a) 建立并实施信息安全管理体系必要的程序并维持其有效运行；
b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全小组或责任者报告。
各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务。
各部门、人员有关信息安全职责分配见附录一（规范性附录）《职责权限》和相应的程序文件（管理标准）、规定及岗位说明书。
ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。
但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家机构的委托授权，才能为认证组织提供认证服务，并发放认证。大多数国家都有自己的国家机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案。
通过进行ISO27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到小，创造更大收益。
通过认证能保证和组织所有的部门对信息安全的承诺。
通过认证可改善全体的业绩、消除不信任感。
获得国际认可的机构的认证，可得到国际上的承认，拓展您的业务。
建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。
· 得以获得业界普遍认同的国际ISO20000认证；
· 就服务质量和服务承诺与业务及供货商达成一致，建立和业务及供货商统一的沟通平台；达到相关利益方均满意的IT服务管理目标；
· 提高IT服务的可用性、可靠性和安全性，为业务用户提供高质量的服务；
· 持续优化服务流程，提升服务水平，提高业务满意度；
· 提高项目的可提供性并确保如期交付；
· 从总体上提高组织/企业IT投资的报酬率，提升组织/企业的综合竞争力；
· 建立IT部门一整套行之有效的持续改善机制和内控机制；
· 明晰IT管理成本和组织/企业业务和IT目标的结合点，完善现有IT服务结构和资源配置，使各项IT资源的运用符合公司业务和IT目标；
· 通过建立优化、透明的管理流程和权责的定义，管理流程、进行绩效评价；降低IT运营的管理成本和风险；
· 易于整合服务管理流程和其它管理系统