当前位置:深圳汉墨管理咨询有限公司 >深圳ISO27001认证信息安全管理体系认辅导顾问咨询培训申请 > 深圳ISO27001认证

产品详情

深圳ISO27001认证信息安全管理体系认辅导顾问咨询培训申请

关键词:

深圳ISO27001认证

  • 价格:
  • ¥39000
详细信息

1.目的

为确保公司信息安全活动符合信息安全管理法律法规的要求及确保公司信息安全方针和程序的有效实施,特制定本程序。

2.适用范围

适用于公司对信息安全法律法规要求的识别和信息安全检查的管理。

3.职责

3.1 信息安全小组

负责组织对法律法规及其他要求的识别及合规性进行评审并组织对信息安全方面的定期检查管理。

3.2 各部门

配合信息安全小组对相关法律法规的识别及合规性评审和信息安全检查工作。当目标不能达标时,进行原因分析并提出改进建议。

4.程序

4.1 信息安全法律法规的识别

4.1.1 法律法识别

  1. 信息安全管理委员会负责获取相关的国家及地方最新信息安全法律法规及其他要求,并通过政府机构、行业协会、出版机构、图书馆、报刊杂志、书店、相关方等渠道进行补充。
  2. 客户和社会公众的信息安全要求,由各部门依据工作情况采集并报信息安全管理委员会统一管理。
  3. 信息安全管理委员会对收集到的法律法规进行识别,确定适合本公司的法律法规,编制《信息安全法律法规清单》,识别工作一般一年不少于一次。

4.1.2 信息安全法律法规的文本控制

  1. 信息安全管理委员会获取信息安全管理法律、法规和其他要求文本后,应补充到《信息安全法律法规清单》中。
  2. 相关部门获取信息安全管理法律、法规和其他要求文本后,应及时将获取的信息安全管理法律、法规和其他要求文本或信息向信息安全管理委员会进行反馈,由信息安全管理委员会补充到《信息安全法律法规清单》。
  3. 信息安全管理委员会获取的信息安全法律法规和其他要求的文本或信息应负责汇总并向有关部门进行传递。

4.1.3  法律、法规的实施与更新管理

  1. 信息安全管理委员会负责对信息安全法律法规清单进行合规性评审,并制定为了满足这些要求的控制措施和职责。
  2. 信息安全管理委员会定期与政府相关部门进行沟通,向提供法律法规更新的专业机构索取最新信息,并通过政府机构、行业协会、出版机构、报刊杂志、中国安全网、会议等渠道补充,以保持对法律法规及其他要求的及时跟踪,获取最新的法律法规和其他要求文件。
  3. 当法律、法规和其他要求更新或增加时,信息安全管理委员会应及时进行识别、并修正和补充《信息安全法律法规清单》,并及时采购最新版本。
  4. 对过期或作废的法律法规和其他要求文件,信息安全管理委员会应及时收回,并按《文件控制程序》的要求进行管理。
  5. 公司至少每年组织一次对《信息安全法律法规清单》及其他要求履行情况的合规性评审,形成最新的《信息安全法律法规清单》。

4.2 知识产权

4.2.1 公司尊重知识产权,按法律、法规和合同约定保护知识产权,公司的知识产权控制策略是:

a. 公司从正当渠道获取各类软件、专利或专有技术,以保证其合法版权和产权不受侵害;

b. 公司保留各类软件和技术的所有权证书、母盘、手册等证明和证据;

c. 公司员工应遵守从公众网络获得软件和信息时的其限制条款规定;

d. 法律、法规和合同约定的要求有限制内容的,公司员工除非得到版权的许可,否则不得复制、转换到另一种格式以提取文件内容,不得整体或部分的复制书、文章、报告和其他文档。

4.2.2 公司在物业服务项目开发、实施过程中,应按照合同规定进行知识产权保护。

4.2.3 公司物业服务在对外合作、使用时应明确使用权限和限制内容。

4.3记录的保护

4.3.1 记录根据不同的类型进行妥善保存,书面文档、电子文档记录的保存见《记录控制程序》。

4.3.2 各部门应妥善保护重要记录,以满足法律法规、合同或业务的要求。

4.4 数据保护和的隐私

4.4.1数据保护和隐私策略:

个人档案信息为公司秘密信息,由人力资源部妥善保管,凡涉及个人档案信息的数据不得通过网络传递,未经本人同意,除非法律规定,公司不向任何单位提供个人档案信息。

4.4.2 该策略应通知到涉及私人信息处理的所有人员。

4.5 防止信息处理设施的滥用

4.5.1 信息处理设施的使用授权按授权范围进行,其他人员(包括外部人员)使用信息处理设施的应经批准。任何未经授权使用信息处理设施,均为信息处理设施的滥用。

4.5.2 所有用户应知道允许其访问的准确范围,任何越权的访问均为信息处理设施的滥用。

4.5.3任何出于非业务目的使用信息处理设施,均为信息处理设施的滥用。

4.5.4任何信息处理设施的滥用一经发现,按《信息安全事件处理程序》进行处罚。

4.6密码控制措施的规则

4.6.1 公司根据业务要求确定是否使用商用密码产品,商用密码产品的使用按相关要求进行。

4.6.2 应使用经国家密码管理机构认可的商用密码产品。

4.6.3生成密码的密钥由办公室负责保存,要防范密钥非授权的泄露。用来生成、存储和归档密钥的设备应进行物理保护。

4.6.4任何员工不得非法攻击商用密码,不得利用商用密码危害国家的安全和利益、危害社会治安或者进行其他违法犯罪活动的要求。

4.7 信息安全检查

4.7.1信息安全管理委员会负责组织信息安全的检查,信息安全的检查每月进行一次,检查应形成《信息安全检查表》。

4.7.2信息安全的检查内容至少包括但不限于:

a) 公司信息安全的方针策略、程序、制度执行情况;

b) 公司人力资源安全管理情况;

c) 公司安全区域管理情况;

d) 公司涉密文件管理情况; 

e) 公司知识产权保护情况;

f) 公司信息系统安全情况;

g) 公司相关方管理和第三方服务管理情况;

h) 信息安全的事件管理情况。

4.7.3 在检查过程中,检查人员不得越权访问涉密信息,必要时,应经总经理批准,以防止由于检查带来的信息安全风险。

4.7.4 对检查发现的问题和薄弱点,检查人员应现场通知被检查部门的负责人,被检查部门的负责人应立即组织纠正。

4.7.5 对检查发现的安全薄弱点,检查人员除进行记录上报外,有义务进行保密。

4.7.对检查发现的问题,被检查部门的负责人应制定纠正措施并实施,同时将纠正措施及实施情况报信息安全管理委员会。信息安全管理委员会应对纠正措施实施情况进行检查。

4.8技术符合性检查

4.8.1办公室应定期检查信息系统是否符合安全要求,例如渗透测试和脆弱性评估。技术符合性检查应由有经验人员进行,必要时可利用合适的软件工具支持。

4.8.2技术符合性检查前应制定检查方案,经总经理批准后实施。

4.8.3 技术符合性检查应形成报告,对发现的技术薄弱点应制定风险处理计划,经总经理批准后实施。

4.9 信息系统审核

4.9.1信息系统审核由安全管理员按《信息系统开发建设管理程序》进行。

4.9.2对于运行系统检查的审核活动,应认真策划,控制检查范围,以便减少业务过程中断的风险。检查计划应经总经理批准后实施。

4.9.3信息系统审核工具,如软件或数据文件,应与开发和运行系统分开,并妥善保管,以防止任何可能的滥用或损害。


热门产品更多
联系我们更多
深圳汉墨管理咨询有限公司
联系人:林富嘉先生
手机:15338786435
微信:15338786435
QQ:3551043189
网站:http://www.hmiso.com/
地址:深圳市福田区福田街道福安社区福华一路138号国际商会大厦A栋1801室
友情链接联盟 展开
网上有害信息举报
x

填写举报信息

提示:请填写您的实名信息,中国114黄页承诺对您的信息进行保密