一、ISO27001信息安全管理体系认证所依据的标准:
1、GB/T 22080-2016 IDTISO/IEC27001:2013 信息技术-安全技术-信息安全管理体系 要求
2、ISO/IEC 27000 信息技术—安全技术—信息安全管理体系概述和词汇
二、ISO27001信息安全管理体系认证申请办理需要提交的基础信息:
1、企业名称
2、注册地址
3、实际经营地址
4、办公场所地址
5、项目开展地址(如有请提供)
6、ISO27001认证范围确认规则:
a.营业执照和有资质许可内的;
b.近一年内有开展相关业务的(业绩合同);
c.公司从事有相关业务的人员(如软件开发范围需要有软件开发能力的人员);
d.具备开展相关业务所需要的设施、环境、工具(包含软硬件)等条件。
三、ISO27001信息安全管理体系需确认项:
1.是否独立的软件开发;
2.是否统一使用企业邮箱;
3.是否有服务器;
4.是否被托管服务器;
5.是否有公司网站;
6.是否涉及远程办公。
7.是否使用管理系统(ERP、OA等)
8.提供的信息技术服务:□基础环境运维□硬件运维服务□软件运维服务□安全运维服务□运维管理服务 □其他(此项适用与申请ISO20000信息技术服务管理体系)。
四、ISO27001认证信息安全管理体系建立过程中高层职责:
A. 确保执行识别、文件化和满足信息安全需求的活动
B. 分配权限和职责,确保根据信息安全管理的方针和目标设计、实施和提高服务管理过程及信息安全过程。
C. 确保信息安全过程和服务管理过程是与其他SMS管理组件整合的
D. 确保用于提供信息安全的资产,其管理遵从法律法规要求和合同义务,资产包括许可证
E. 向Z高管理者报告信息安全管理体系的业绩和任何改进的机会
F.负责建立、推动和维护运营系统的信息安全管理体系,监控和组织信息安全管理体系的运行、维护,完成信息安全管理体系的第三方Q威机构的认证。
G. 负责建立公司管理制度与文件架构,组织实施各类体系文件的管理。
H.负责组织公司员工在信息安全管理体系知识方面的培训,收集、传达、宣传信息安全法规与标准,推动和提升全体员工实施信息安全管理的意识和能力。
I.负责内部信息安全管理体系审核和管理评审,组织、监控公司整体信息安全规划、信息安全控制及信息安全改进活动的实施,确保信息安全管理体系运行的有效性和适用性。
J.负责制订公司的项目管理制度,根据公司总体目标和计划,组织各部门分解和落实各项工作任务,提高项目管理的效率和信息安全、信息技术服务。
K. 负责与外部机构的联系(如:认证中心等)。
L. 加强公司的全面信息安全管理工作,有效实施信息安全监督方案;
M. 指导各部门有效展开信息安全方针、目标,编制年度信息安全计划的指标,并督促信息安全目标的完成;
N.负责督促信息安全管理机构组织起草、编制信息安全管理制度、信息安全责任及经营环节的信息安全流程文件,并保证文件的实施;
O. 定期组织召开信息安全分析会、信息安全管理员会议,听取信息安全动态的汇报并作出有关信息安全问题处理意见;
P. 协助人力资源部实施对员工信息安全方面培训教育;
Q.负责协调部门之间信息安全管理工作有序开展。
