成都智荟源企业管理咨询有限公司

主营:四川ISO27001认证,产品实现

13608089100

站内搜索:
    • 公司:
    • 成都智荟源企业管理咨询有限公司
    • 联系:
    • 罗老师
    • 邮箱:
    • 619270360@qq.com
    • 手机:
    • 13608089100
    • 电话:
    • 028-84301286
    • 地址:
    • 成都市高新区天府三街峰汇中心1-10-8
    • 微信:
本站共被浏览过 116150 次
用户名:
密    码:

分享:
产品信息
您所在的位置:首页 > 详细信息

四川ISO27001认证,产品实现

2019-08-18 04:26:02 59次浏览

价 格:面议

5.1领导和承诺

我公司管理者通过以下活动,对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据:

a) 建立信息安全方针和信息安全目标,并确保其与公司战略保持一致

b) 确保将信息安全体系要求整合到组织的业务活动中;

c) 确保提信息安全体系所需资源可用

d)向组织传达满足信息安全体系有效实施、符合信息安全体系村求的重要性。

e) 确保信息安全体系实现其预期结果

f)指挥并支持信息安全管理人员为信息安全管理体系的有效实施作出贡献。

g)促进持续改进

h) 支持其它管理角色在其职责范围内展示其领导力。

5.2方针

本公司总经理负责制定信息安全方针,以

a) 适用于甲易科技的目标

b) 包含信息安全目标或设置信息安全目标提供框架;

c) 包含适用的信息安全相关要求的承诺

d)包含信息安全体系持续改善的承诺。

e) 并形成文件化的信息安全方针。

f)在公司内部进行传达。

g)适用时,相关方适用

5.3组织角色、职责和权限

本公司总经理为信息安全责任者。总经理应分配并确保信息安全相关角色的职责和权限:

a) 确保信息安全符合本标准要求;

b) 对信息安全管理体系的运行的绩效向信息安全委员会或责任者报告。

6规划

6.1技术部负责制定《信息安全风险评估管理程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。信息安全风险评估执行《信息安全风险评估管理程序》,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。

6.2 识别风险

在已确定的信息安全管理体系范围内,本公司按《信息安全风险评估管理程序》,对所有的资产进行了识别,并识别了这些资产的所有者。资产包括数据、硬件、软件、人员、服务、文档。对每一项资产按自身价值、信息分类、保密性、完整性、可用性、法律法规符合性要求进行了量化赋值,形成了《资产识别清单》。

同时,根据《信息安全风险评估管理程序》,识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。

6.3 分析和评价风险

本公司按《信息安全风险评估管理程序》,采用人工分析法,分析和评价风险:

a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;

b) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;

c) 根据《信息安全风险评估管理程序》计算风险等级;

d) 根据《信息安全风险评估管理程序》及风险接受准则,判断风险为可接受或需要处理。

6.4 识别和评价风险处理的选择

技术部组织有关部门根据风险评估的结果,形成《信息安全不可接受风险处理计划》,该计划明确了风险处理责任部门、负责人、目的、范围以及处置策略。

对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:

a) 消减风险(通过适当的控制措施降低风险发生的可能性);

b) 接受风险(风险值不高或者处理的代价高于风险引起的损失,公司决定接受该风险/残余风险);

c) 规避风险(决定不进行引起风险的活动,从而避免风险);

d) 转移风险(通过购买保险、外包等方法把风险转移到外部机构)。

6.5选择控制目标与控制措施

技术部根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定了信息安全目标,并将目标分解到有关部门(见《适用性声明》):

a)信息安全控制目标获得了信息安全责任者的批准。

b)控制目标及控制措施的选择原则来源于GISO27001:2013《信息技术-安全技术-信息安全管理体系-要求》附录A,具体控制措施参考ISO27002:2005《信息技术-安全技术-信息安全管理实用规则》。

c)本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。

重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川ITSS认证★重庆CCRC认证★

7支持

7.1资源:

本公司确定并提供实施、保持信息安全管理体系所需资源;

7.2能力

行政部制定并实施《人力资源管理程序》文件,确保被分配信息安全管理体系规定职责的所有人员,都必须有能力执行所要求的任务。可以通过:

a)确定承担信息安全管理体系各工作岗位的职工所必要的能力;

b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求;

c)评价所采取措施的有效性;来自,

d)保留教育、培训、技能、经验和资历的记录。

7.3意识

人员在组织的控制下从事工作时应意识到:

a)信息安全方针

b)本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如何为实现信息安全管理体系目标做出贡献

c)不符合信息安全管理体系要求可能的影响

7.4沟通

本公司应确定信息安全管理体系在公司内外和外部进行沟通的需求,包括:

a)什么需要沟通

b)什么时侯沟通

c)跟谁沟通

d)由谁负责沟通

e)影响沟通的过程

7.5文件记录信息

文件要求

总则

7.5.1本公司信息安全管理体系文件包括:

a) 文件化的信息安全方针、控制目标,在《信息安全管理手册》中描述;

b) 《信息安全管理手册》(本手册,包括信息安全适用范围及引用的标准);

c) 本手册要求的《信息安全风险评估管理程序》、《业务持续性管理程序》、《纠正预防措施控制程序》等支持性程序;

d) 信息安全管理体系引用的支持性程序。如:《文件和资料管理程序》、《记录管理程序》、《内部审核管理程序》等;

e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;

f)《信息安全风险评估报告》、《信息安全不可接受风险处理计划》以及信息

成都智荟源企业管理咨询有限公司版权所有ID:35049559) 技术支持:武汉百业网科技有限公司   百业网客服:杨宇

1

回到顶部