深圳ISO27001认证公司深圳ISO27001认证机构咨询
根据ISO/IEC27001:2013标准和公司实际管理需要,确定标准各条款对公司的适用性,特编制本程序。
2. 深圳ISO27001认证范围
适用于对ISO/IEC27001:2013标准于本公司的适用性管理。
3. 深圳ISO27001认证职责与权限
3.1*高管理者
负责信息安全策略的审批。
3.2研发部
负责信息安全策略的编制及修订。
4. 深圳ISO27001认证相关文件
a) 《信息安全管理手册》
b) 《信息安全适用性声明》
5.深圳ISO27001认证 术语定义
无
6. 深圳ISO27001认证信息安全策略
6.1 信息安全组织策略
6.1.1 综述
通过建立与本企业组织相关的以下二个安全策略,促进本企业建立合理的信息安全管理组织结构与功能,以协调、监控安全目标的实现。与本企业组织有关的策略分内部组织和外部组织两部分来描述。
6.1.2策略一:在本企业建立信息安全管理架构
策略目标:
在本企业内有效地管理信息安全。
策略内容:
本企业应建立专门的信息安全组织体系,以管理信息安全事务,指导信息安全实践。
本信息安全管理手册采用了ISO/IEC 27001:2013标准正文的全部内容,对附录A的删减见《适用性声明SOA》。
策略描述:
通过建立信息安全管理组织,启动和控制本企业范围内的信息安全工作的实施,批准信息安全方针与策略、确定安全工作分工和相应人员,以及协调和评审整个大象声科(深圳)科技有限公司 信息安全工作的实施。
根据需要,还可以在本企业范围内建立信息安全议题专家建议库,在本企业使用;建立与外部安全专家或组织(包括相关**人士)的联系,以便跟踪行业趋势、各类标准和评估方法;当处理信息安全事故时,提供合适的联系人和联系方式,以快速及时地对安全事件进行响应;鼓励采用多学科方法来解决信息安全问题。
6.1.3策略二:对外部组织访问本企业信息资产进行管理
策略目标:
确保被外部组织访问的信息资产得到了安全保护。
策略内容:
本企业的信息处理设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的产品或服务而降低。当任何外部各方需要对本企业信息处理设施的进行访问、对信息资产的进行处理和通信时,本企业相关部门应当与外部各方签订协议,并采取有效的措施进行安全控制。
策略说明:
本企业不可避免地需要与外界进行业务往来与信息沟通,经常需要向外部组织开放其信息和信息处理设施。因此,需要对外部组织访问本企业信息资产带来的安全风险进行评估,并根据风险水平,在必要时与外部组织签订协议,向其声明本企业信息安全方针与策略,确定所需的安全控制措施。
6.2 资产管理策略
6.2.1 综述
本企业要有效地控制安全风险,首先要识别信息资产,并进行科学而有效的分类,然后在各个管理层面对资产落实责任,采用恰当的控制措施对信息资产进行风险管理,本章通过以下二个策略实施对信息资产的有效管理。
6.2.2策略一:为信息资产建立问责制
策略目标:
对本企业的信息资产建立问责制,为实施适当保护奠定基础。
策略内容:
应当对所有信息资产进行识别、建立资产清单和使用规则,明确定义信息资产责任人及其职责,为信息资产建立问责制。
策略说明:
对于本企业的所有资产要标识出责任人,通常可定义出信息资产的所有者、管理者和使用者,并明确不同责任主体的职责。对信息资产的安全控制可以由信息资产所有者委派具体的管理者来承担,但所有者和使用者仍对资产承担一定的保护责任。
6.2.3策略二:对信息资产进行分类
策略目标:
通过对信息资产的分类,明确其可以得到适当程度的保护
策略内容:
应按照信息资产的价值、法律要求及对组织的敏感程度和关键程度进行分类和进行标识。
策略描述:
信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响。确定资产的类别,进行必要的标识,对其进行周期性评审,确保其与组织的内外环境的变化相适应,这些都应是资产所有者的职责。
本企业的信息资产分类基于业务相关性,从机密性、完整性和可用性三方面进行评估,其保护级别也根据这三个方面得出。
深圳ISO27001认证公司深圳ISO27001认证机构咨询