深圳ISO27001认证咨询 信息安全管理体系认证

· 得以获得业界普遍认同的国际ISO20000认证；
· 就服务质量和服务承诺与业务及供货商达成一致，建立和业务及供货商统一的沟通平台；达到相关利益方均满意的IT服务管理目标；
· 提高IT服务的可用性、可靠性和安全性，为业务用户提供高质量的服务；
· 持续优化服务流程，提升服务水平，提高业务满意度；
· 提高项目的可提供性并确保如期交付；
· 从总体上提高组织/企业IT投资的报酬率，提升组织/企业的综合竞争力；
· 建立IT部门一整套行之有效的持续改善机制和内控机制；
· 明晰IT管理成本和组织/企业业务和IT目标的结合点，完善现有IT服务结构和资源配置，使各项IT资源的运用符合公司业务和IT目标；
· 通过建立优化、透明的管理流程和权责的定义，管理流程、进行绩效评价；降低IT运营的管理成本和风险；
· 易于整合服务管理流程和其它管理系统
ISO27001认证小组
1信息安全工作小组
⑴负责公司及信息系统操作人员安全管理工作；
⑵负责以季为单位执行公司信息安全的检查及管理工作，并及时向相关负责人提交执行情况的报告，反馈问题给执行方并限期解决。
⑶负责研究国家和行业的信息安全政策法规，组织有关部门讨论来保证其符合性。
2 信息安全体系负责人
⑴负责工作岗位风险状态分级及划分信息系统安全职责和权限；
⑵负责普及信息安全防范意识，并针对信息安全违规事件向公司提出处理建议。
⑶负责完成系统建设、建立目录结构与目录安全策略、部署服务器与建立服务器安全策略、完成备份策略等。
3人力资源部
⑴根据企业的发展现状和未来需要，参与并制定出切合实际的人力资源；
⑵制定人力资源规划，根据企业的发展需要审核各部门的人员编制，编写人力资源支出预算，进行成本控制；
⑶拟定、修订、废止、发放、解释人力资源相关的管理制度，进行各部门职责权限划分；
⑷各部门人事问题的解决处理和人事关系协调；
⑸负责人事档案的汇集整理、存档保管、统计分析和《劳动合同书》以及《知识产权及保密协议》的签订；
⑹负责公司级组织结构的设计和各职位的《岗位说明书》的组织编写；
⑺进行人员与录用、转正、员工升调、辞退管理以及相关记录的存档备案管理；
⑻薪酬和福利管理；
⑼部门层面、员工层面的绩效管理；
⑽负责员工信息安全教育的培训及考核；
⑾协助公司开展建立流程型组织，并其执行。
⑿负责第三方人员信息安全管理工作；

ISO27001认证:
1. 风险识别
通过进行风险识别活动，识别了以下内容：
1) 识别了信息安全管理体系范围内的资产及其责任人；
2) 识别了资产所面临的威胁；
3) 识别了可能被威胁利用的脆弱点；
4) 识别了丧失保密性、完整性和可用性可能对资产造成的影响。
2.  风险估计与评价
1) 通过对资产的保密性（C）、完整性（I）、可用性（A）及业务影响度（BI）赋值对公司资产丧失CIA（BI）所造成的后果进行了判断。
 资产赋值常常是很困难的，因为需要对某些资产进行客观的赋值，但不同的人员可能做出不同的判断。应该用明确的术语，通过书面形式描述作为每一资产赋值基础的准则。用于判断资产价值的可能准则包括：
a) 资产的原始价值；
b) 替代或重建的成本；
c) 资产的抽象价值，如组织声誉的价值；
d) 由事件导致资产丧失保密性、完整性和可用性所带来的成本。如果适用、还应该考虑不可否认性、可审计性、真实性和可靠性；
e) 资产的其他资产依赖性价值。

ISO27001认证的目的
1.信息安全教育与培训
⑴信息安全教育培训目的：
a.满足客户和法律法规要求的重要性。
b.违反相关要求所造成的后果。
c.自己从事的工作与信息安全的相关性。
d.鼓励员工参与信息安全管理，为实现信息安全目标做出贡献。
⑵信息安全教育培训对象：
人力资源部及相关部门应在在职员工（新员工、在岗员工、转岗员工）被授予访问权限之前，依据其安全角色和职责，进行针对性的安全教育和安全培训；
人力资源部及相关部门应当确定与信息安全相关的临时雇用人员、客户以及合作方等第三方人员是否需要适当的安全培训。
⑶信息安全教育培训内容：
在信息安全策略、制度和规定发生变化后，信息安全小组要保证及时传达给的全体员工、客户和合作方等第三方人员。
信息安全教育培训内容如下：
a.信息安全基础知识（安全意识）、岗位操作规程、信息系统使用规范；
b.公司信息安全方针、策略与信息安全目标的宣贯培训；
c.信息安全专题培训（如病毒防范培训、访问控制培训、等级保护培训等）；
d.岗位安全责任、操作技能及相关技术；
e.违反违背安全策略和安全规定的惩戒措施。
⑷信息安全教育培训记录及考核
由人力资源部统一记录信息安全培训的人员、时间、地点、教师、内容等信息。对于课堂培训内容可根据需要进行必要的考核，以评价员工的学习效果，同时也作为培训记录由人力资源部统一存档备案。

内部组织及沟通
1) 信息安全工作小组组织各个部门通过公告、内部网络、宣传物品、活动、通告、会议及培训把有关信息安全方面的政策及其它事项传达予各员工；
2) 员工对公司信息安全管理体系有任何意见可向其部门主管或其所在部门信息安全员建议、投诉；部门主管或信息安全员将员工的意见分类后向信息安全工作小组反映并填写《信息安全管理体系意见表》，信息安全工作小组联同各部门按此表格进行跟进并进行有关调查；
3) 信息安全工作小组负责收集和汇总《机构及特定利益团体联系表》的信息。
4) 信息安全管理体系的管理评审结果应由信息安全工作小组向各部门负责人员讲解及监察其执行情况；
5) 信息安全工作小组联同各部门建立及维护信息安全管理体系的文件控制制度；
6) 每月召开安全例会，传达公司安全精神和公司内部信息安全相关工作；
7) 员工有关于信息安全管理体系方面的建议和问题可以通过email直接发邮件
ISO27001认证，即“信息安全管理体系”，是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法。
由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。
企业通过了ISO27001认证，即表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。
信息安全管理体系的建立和健全，目的就是降低信息风险对经营带来的危害，并将其投资和商业利益大化。可提升企业公信力，同时可促进企业各部门进行信息全面综合管理，保障信息安全，信息风险，大限度减少损失！由此做ISO27001认证的企业也越来越多

汉墨管理咨询有限公司是工商局批准并注册登记的具有法人的综合管理咨询公司。公司具有丰富的培训咨询人才资源并组建了各个管理模块的培训咨询团队，致力于通过培训或咨询帮助企业解决管理困惑，如：体系认证培训与咨询、社会责任验厂培训与咨询、质量管理培训与咨询、现场管理培训与咨询，精益生产项目、企业管理诊断等。公司始终坚持“从实际出发，着眼于未来”的宗旨，为选择了我们公司的客户提供从未来需求考虑的符合企业实际的培训咨询方案。
服务区域
服务广东省珠三角、粤东、粤西和粤北四个区域，其中珠三角：广州、深圳、佛山、东莞、中山、珠海、江门、肇庆、惠州；粤东：汕头、潮州、揭阳、汕尾；粤西：湛江、茂名、阳江；粤北：韶关、清远、云浮、梅州、河源。
福建省内厦门、福州、泉州、漳州等地。
汉墨提供以下认证及培训咨询项目(包括但不限于)：
1、认证与验厂（质量、食品安全、环境、安全、信息安全等）： ISO9001（ISO9000）质量管理体系认证、ISO22000食品安全管理体系认证、BRC食品安全全球标准认证、IFS、SQF、HACCP危害分析与关键控制点管理体系认证、FSSC22000食品安全体系认证、ISO14001环境管理体系认证、ISO45001职业健康与安全管理体系认证、IATF16949汽车质量管理体系认证、ISO50001能源管理体系认证、ISO27001信息安全管理体系认证、ISO20000、QC080000、ISO13485、ISO22716、GMP良好操作规范认证、FSC森林COC产销链体系认证、GAP良好农业规范认证、GRS全球回收标志认证、GOTS、OCS、RCS、CE认证、BSCI社会责任验厂、SEDEX、WRAP、SA8000社会责任管理体系认证、安全生产标准化、两化融合管理体系评定、生产许可证SC办理、知识产权管理体系认证、服务管理体系认证、3A信用评级办理、环境标志“十环”认证、绿色工厂认证、体系内审员培训等。
2、管理培训：管理自我（以客户为中心、情绪管理、执行力、个人行为特征、自我认知），管理业务（设备管理、现场管理、质量管理、采购管理、大客户管理、项目管理、精益管理），管理他人（MTP中高层管理能力提升、目标与计划管理、以经营为导向的绩效、团队管理、冲突管理、下属）等。
3、管理咨询：组织架构梳理及人才、力测评与发展服务、培训管理体系搭建、企业文化梳理与落地等。
您有任何疑问，请随时与我们联系！