梅州提供ISO27001认证协助申请

什么是信息
1) 信息是经过分析、共享和理解的数据或者资料。
2) 信息同时也是一种资产，就如同其它的商业资产一样，对一个组织而言是具有*的，因而需要妥善保护。
3) 常见的信息：u信息、内部信息、客户信息、息
4) 信息的表现形式：
a) 列印或写在纸张上的；
b) 用电子方式储存的；
c) 以邮件传输（包括电子邮件）；
d) 以影视或胶片方式表现的；
e) 也可能存在于人的大脑中的 。

· 将现有管理体系和业务流程整合，规范IT部门服务水平，规范工作流程，降低导致的风险；
· 提高IT部门相关员工的素质，提高员工的服务能力和工作效率；
· 提升IT部门整体运作及部门间沟通的能力。

ISO27001认证:
1. 风险识别
通过进行风险识别活动，识别了以下内容：
1) 识别了信息安全管理体系范围内的资产及其责任人；
2) 识别了资产所面临的威胁；
3) 识别了可能被威胁利用的脆弱点；
4) 识别了丧失保密性、完整性和可用性可能对资产造成的影响。
2. 风险估计与评价
1) 通过对资产的保密性（C）、完整性（I）、可用性（A）及业务影响度（BI）赋值对公司资产丧失CIA（BI）所造成的后果进行了判断。

管理部门职责：
1、行政部：
1)对办公类设备固定资产做统一编号。
2)负责**办公设备硬件类固定资产安全管理制度。
3)编制维护行政部硬件固定资产清单库。

ISO27001是有关信息安全管理的*标准。初源于英标准准BS7799，经过十年的不断改版，终于在2005年被*标准化组织（ISO）转化为正式的*标准，于2005年10月15日发布为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统

ISO27001认证:
1. 目的和范围
为了规定公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估本公司的信息安全风险，选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持业务持续性发展，以满足信息安全管理方针的要求，特制订本制度。
本制度适用信息安全管理体系范围内信息安全风险评估活动。
2. 引用文件
1) 下列文件中的条款通过本制度的引用而成为本制度的条款。凡是注日期的引用文件，其随后所有的修（不包括勘误的内容）或修订版均不适用于本制度，然而，鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件，其版本适用于本制度。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) ISO/IEC 27005:2008《信息技术-安全技术-风险管理》
5) 《GB/T 20984-2007信息安全风险评估指南》
3. 职责和权限
1) 信息安全管理小组：负责汇总确认《信息安全风险评估表》，并根据评估结果形成《信息安全风险评估报告》和《余风险批示报告》。
2) 公司全体员工：在信息安全管理小组协调下，负责本部门使用或管理的资产的识别和风险评估；负责本部门所涉及的资产的具体安全控制工作。信息安全管理员在本部门信息资产发生变更时，需要及时清点和评估，并报送信息安全管理小组*新《信息安全风险评估表》。