ISO27001认证公司 ISO27000认证 认证申请 办理方便需要那些材料

深圳汉墨管理咨询有限公司

操作安全
1. 信息处理和通信设施的系统活动须具备成文的制度规范，例如备份管理、软件管理、设备管理、介质处理和防病毒及恶意软件管理等。应当为所有的信息处理设施建立必要的管理和操作职责及制度。
2. 确保每一个信息系统都能够识别容量要求，确保在必要时能够对系统的可用性和效率进行及时评估和改进。对系统未来容量的推测应考虑到新业务的开展、系统自身发展要求以及当前的信息处理能力和未来发展的趋势。
3. 建立有效的计算机病毒预防及查杀机制，实施防止恶意软件的侦查与防护控制，并提高员工的防范意识。
4. 根据备份策略对数据进行备份并定期对备份数据进行有效性测试。
5. 在选用介质时应当考虑备份的信息需要保存的周期长短，保存信息的存储介质包括硬盘、磁带、U盘、可移动硬件驱动器、CD、DVD和打印介质等。储存介质的管理人员应检查和标记所有的储存媒介，为使存储介质中的数据和系统文件免遭未授权泄露、篡改和破坏，应建立关于存储介质使用、保存、删除和销毁的操作策略和相关制度。
6. 应制定处置、处理、存储与分类一致的信息与其通信的管理制度。并按照所设置的分类级别，处置和标记所有介质。明确防止未授权人员访问的限制要求，并根据制造商的存储规范来保存介质，同时，清晰**记数据的所有拷贝，以引起数据所有者的关注。
7. 应建立日志保护的管理制度以防止日志保存设施被未授权更改和出现操作问题，重要的审计日志需要被存档保存，审计日志包括用户ID、日期、时间和关键事态等细节，以及系统配置、特殊权限、系统实用工具和应用程序的使用。

记录填写和编制
1) 记录的填写或编制由记录的发生部门专人负责, 按信息安全管理手册、制度及规定等要求，使用规定的表格或模板如实填写或编制。同年度同一类记录按时间顺序编目。
2) 记录按规定格式填写，所有记录，都要有记录编号，以便检索；凡要求填写数据的，必须填写数据；凡要求签名的，必须签全名。
3) 纸质记录的填写字迹要清晰，内容齐全，能被准确识别，记录不得随意进行更改；凡因笔误需更改的记录，要用“/”划断，在旁边空白处写上正确的数据或文字，并签上修改人姓名及时间。
4) 记录原则上不能修改，若修改，尤其是修改较多或变动较大时，要重新填写，原记录作废，新记录重新履行编制审批手续。如果记录在格式上有变化，必须填写《文件变更审批表》，件负责人同意后，方可使用新的记录格式。

条款5.1管理承诺
管理者要对ISMS的建立、实施与运行、监视与评审、保持和改进，做出承诺, 提供证据。 l 是否有一个确保管理者对ISMS的建立、实施与运行、监视与评审、保持和改进，做出承诺的过程？
l 管理者提供承诺的证据是否包括8方面的内容？
条款 5.2.1
组织要确定和提供所需要的资源 l 管理者是否提供ISMS活动所需要的资源？
l 管理者是否提供确保信息安全程序支持业务要求所需要的资源？
l 管理者是否提供满足法律法规要求、合同安全要求所需要的资源？
l 是否提供通过正确实施控制措施维护安全所需要的资源？
l 管理者是否提供必要的评审与对评审结果做出适当反应所需要的资源？
l 管理者是否提供改进ISMS有效性所需要的资源？