广东信息管理体系认证的申报资料和作用 办理流程

本公司只提供咨询服务！

  随着信息化水平的不断提高，信息本身的越来越高，信息风险始终存在，同时由于诸如敏感信息泄露、网络非法劫持、系统宕机等信息事件时有发生，国家出台了如《人民共和国网络法》、《互联网个人保护指南》、《加强工业互联网工作的指导意见》、《人民共和国密码法》、《电信和互联网行业提升网络数据保护能力专项行动方案》等意见法规文件，对企业实施信息管理提出了高的要求。实施信息管理体系（ISO27001）并通过三方认证，重要性日渐凸显。

信息管理体系（Information Security Management System，简称ISMS）的概念初来源于英准学会的BS7799-1：1995《信息管理实施细则》。2002年，英准学会发布了BS7799-2：2002《信息管理体系规范》，2005年10月，该规范通过了标准化组织ISO的认可，正式成为标准，被广泛接受。这套标准是建立信息管理体系的一套需求规范，其中详细说明了建立、实施和维护信息管理体系的要求，指出实施机构应该遵循的风险评估标准。

目前现行的ISO27001：2013标准于2013年10月19日由标准化组织（ISO）正式颁布实施。

如何通过ISO27001体系认证

我们以ISO/IEC27001标准为指导，结息体系认证实践，充分考虑国内企业的信息管理现状，总结归纳出适宜电子信息行业通过ISO27001认证的六大流程：

差距分析：从人员、环境、技术、管理四个方面对企业进行评估调研，发掘组织信息需求，分析与标准之间差距，明确体系实施的目标、范围和要点。

培训导入：结合组织信息目标和方针，指导、协助编写ISO27001程序文件、管理手册，合乎规范的管理规程和控制措施。

体系建立：结合组织信息目标和方针，指导、协助编写ISO27001程序文件、管理手册，合乎规范的管理规程和控制措施。

推广实施：在企业内部推进体系运行，识别信息风险资产，在适宜时间开展有效的内部评审和管理评审，保留体系有效运行证据。

现场审核：向三方认证机构申请信息管理体系认证，协助企业完成现场审核，整改或纠正审核过程中产生的不符合项。

改进维持：规划体系年度审核计划及方案，按照PDCA原则，结合企业实际需求，继续完善和改进信息管理体系。

审核前需准备的材料

在进行管理体系审核之前，需要准备和提交完备的体系材料。通常我们将这些材料分为管理手册、程序文件、制度策略、运行记录等四级文件。

审核员一般会关注的点

在进行文件审核时，外部审核员主要关注信息管理体系文件是否符合ISO27001标准，关注文件的适宜性和完整性是否符合要求。着重关注的文件包括但不限于：法律地位证明、组织简介、组织机构图、人员情况说明、管理手册、程序文件、信息方针和目标、信息管理体系的规程和控制措施、SOA适用性声明、风险评估报告、残余风险声明、风险处置计划、资产识别表、法律法规清单.

现场审核时，外部审核员主要关注组织信息管理体系执行的程度及有效性，除着重关注各部门信息资产识别与风险管理相关记录外，对应不同部门或角色，着重关注的体系运行记录分别为：

行政人事部门：

1.来访人员登记记录
2.人员保密协议
3.与信息相关的法律法规清单、符合性评价
4.与相关相关的培训计划、培训签到记录

IT相关部门：
1.服务器管理（包括设备点检、测试日志记录与审查）
2.机房管理等区域进出管理
3.对各部门定期杀毒、屏保、密码等监督检查表单
4.公司软件使用清单、容量标注
5.重要数据备份记录
6.检查
7.各类信息系统如邮箱、OA权限及权**效性管理记录

市场业务部门：

1.合同、订单
2.业务连续性资料（计划、验证）
3.访问区域限制如未经授权人员可能进入的地点管理记录

研发部门：

1.产品技术资料（设计开发资料，应包括信息风险评估）
2.研发人员保密协议
3.生产工艺流程图

采购部门：

1.合格供应商
2.供应商调查表
3.供应商签署要求的文件协议

4.供应商基本资料（如营业执照、ISO9001证书等）

管理层：

1.目标达成统计表
2.文件清单（手册、程序、作业书）
3.文件发布记录
4.外来文件清单
5.全公司资产识别与风险管理汇总表
6.内审、管审过程记录

通过认证能保证和证明组织所有的部门对信息的承诺。

通过认证可改善全体的业绩、不信任感。

获得认可的机构的认证证书，可得到上的承认，拓展您的业务。

建立信息管理体系能降低这种风险，通过三方的认证能增强投资者及其他利益相关方的投资信心。

  昊霖企业管理有限公司坚持 “永远让客户满意”的理念，诚信为本，从善如流，给您始终如一的美好体验。本着诚实、信任的服务态度，以严谨、务实、科学的精神真诚服务于每一位客户。如有需要欢迎联系咨询。