ISMS认证须提交的资料清单
ISMS认证须提交的资料清单
1.1ISMS认证须提交的资料清单:
l法律地位证明文件(如企业法人工商营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证书;
l有效的资质证明、产品生产许可证资质强制性产品认证证书等(必须时)
l组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等)
l申请认证产品的生产、加工或服务工艺流程图;
l临时场所、多场所需提供清单;
l管理手册、程序文件及组织机构图;
l服务器数量以及终端数量;
l适用性声明、资产列表
l保密协议、信息安全敏感区域的声明;
l支持ISMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述怎样测量控制措施的有效性所需的形成文件的规程
1.2备注:
申请方有责任识别其信息资产中什么属于国家机密和涉官信息系统,以及适用的法律法规要求(包含什么人员或组织有资格接触)和组织的要求,并将这些要求书面告知,并应确认BCC以及人员能否接触上述涉密信息资产。
今日通过对《ISMS认证须提交的资料清单》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。
ISMS信息安全ISO27001认证体系内部组织规范一
ISMS信息安全ISO27001认证体系内部组织规范一
ISMS信息安全ISO27001认证体系标准5.3要求明确实施ISO27001认证体系企业的与信息安全相关的角色、责任和权限,其目的是什么?什么角色和职责必须定义呢?本文予以简要说明供参考。
实施ISMS信息安全ISO27001认证体系时首先要建立内部组织,其目标是建立管理框架,以启动和控制组织范围内的信息安全的实施和运行。
1.在明确ISO27001认证体系信息安全角色和职责时要函盖所有的信息安全职责宜予以定义和分配。
a) 宜识别和定义资产和信息安全过程; 实施指南信息安全职责的分配宜与信息安全策略相一致。宜识别各个资产的保护和执行特定信息安全过程的职责。宜定义信息安全风险管理活动,特别是残余风险接受的职责。这些职责宜在必要时加以补充,来为特定地点和信息处理设施提供更详细的指导。资产保护和执行特定安全过程的局部职责宜予以定义。分配有信息安全职责的人员能够将安全任务委托给其别人员。尽管如此,他们仍然负有责任,并且他们宜能够明确任何被委托的任务是否已被正确地执行。个人负责的领域宜予以规定;特别是,宜进行下列工作:
b) 宜分配每一资产或信息安全过程的实体职责,并且该职责的细节宜形成文件;
c) 宜定义授权级别,并形成文件;
d) 能够履行信息安全领域的职责,领域内被任命的人员宜有能力,并给予他们机会,使其能够紧跟发展的潮流;
e) 宜识别供应商关系信息安全方面的协调和监督措施,并形成文件。
在许多组织中,将任命一名信息安全管理人员全面负责信息安全的开发和实施,并支持控制措施的识别。然而,提供控制措施资源并实施这些控制措施的职责通常归于各个管理人员。一种通常的做法是为每一项资产指定一名责任人负责该项资产的日常保护。
2.ISMS信息安全ISO27001认证体系内部组织职责分析控制措施是分离相冲突的责任及职责范围,以降低未授权或无意识的修改或者不当使用组织资产的机会。实施指导如下:
宜注意,在无授权或监测时,个人不能访问、修改或使用资产。事件的启动宜与其授权分离。勾结的可能性宜在设计控制措施时予以考虑。小型组织可能感到难以实现这种职责分离,但只要具有可能性和可行性,宜尽量应用该原则。假如难以分离,宜考虑其他控制措施,例如对活动、审核踪迹和管理监督的监视等。
在明确ISMS信息安全ISO27001认证体系内部织组时除了上述两点,还可能会与保持与政府相关部门、利益集团联络,还要考虑项目管理中信息安全职责,本站将另文介绍。本站所有内容仅供参考。