ISO27001认证申请流程:
1、提出认证申请;
2、申请方提交文件、资料;
3、合同评审;
4、签订认证合同;
5、进入认证程序;
6、认证机构上报认监委备案;
7、外审员现场审核;
8、审核完资料整改;
9、发证。
企业ISO27001认证的好处:
1、取得绿色通行证,走向国际贸易市场;
2、有助于提高企业管理水平;
3、有助于控制污染,预防污染,避免环境部门的处罚;
4、有助于企业节能降耗,降低成本。向相关方证明控制环境污染和影响的能力,增强组织竞争力,拥有优质环境管理的标志,树立良好的环保形象,创造环保品牌。
1 目的
为确保公司信息安全活动符合信息安全管理法律法规的要求及确保公司信息安全方针和程序的有效实施,特制定本程序。
2 范围
本程序适用于有信息系统的部门信息系统安全工作的管理。
3 职责
3.1 各部门
有信息系统的部门,负责对该部门信息系统安全监控和日志的审核管理。
4 相关文件
《信息安全管理手册》
《信息安全事件管理程序》
5 程序
5.1 日志
办公室负责生成记录信息,系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志,并保存半年,以支持将来的调查和访问控制监视活动。其他有信息系统的部门,负责该部门信息系统涉密电脑设备运行状况等信息安全事件的日志监测,并保存半年以上,以支持将来的调查和访问控制监视活动。
日志记录设施以及日志信息应该被保护,防止被篡改和未经授权的访问,包括:
- 对记录的信息类型的更改;
- 日志文件被编辑或删除;
- 超过日志文件媒介的存储容量,导致事件记录故障或者将以往记录的事件覆盖。
- 具体措施如下:
- 系统管理员不允许删除或关闭其自身活动的日志。
- 应当使用监视程序以确保所有系统管理员和操作用户只执行被明确授权的活动,审计内容应细化到个人而不是共享帐号。审计至少包括用户ID、系统日志、操作记录等。
- 可以实施安全产品或调整配置,以记录和审计用户活动、系统、安全产品和信息安全事件产生的日志,并按照约定的期限保留,以支持将来的调查和访问控制监视。
- 在内网中配置日志涉密电脑,专门收集主机、网络设备、安全产品的日志,以避免日志被破坏或覆盖。
- 在网络中配置时钟涉密电脑,被审计的信息设备应同时钟涉密电脑的时间保持同步,以避免审计上的漏洞。
5.2 日志审核
各部门制定该部门负责的信息设备系统的日志审核周期,并做好《日志审核记录》。
对审核中发现的问题,应及时报告办公室进行处理。
对审核发现的事件,按《信息安全事件管理程序》进行。
5.3 巡视巡检
巡视人员负责每天监控巡视,给部门安全管理员每周进行一次监控巡视。
新系统投入运行前必须对系统的监控巡视人员进行技术培训和技术考核。
监控巡视人员按信息资源管理系统的要求进行系统监控和巡视,并填写运维记录报告。
监控巡视期间发现问题,应及时处理,并在运维记录中填写异常情况。
监控巡视人员应进行机房环境、信息网络、应用系统的巡视,每天记录机房温度、防病毒情况、应用系统运行情况等。
巡视人员的巡视巡检按《信息处理设施维护管理程序》进行。
5.4 职责分离
为防止非授权的更改或误用信息或服务的机会,按要求进行职责分配,系统管理员不能由安全管理员兼任。
信息系统软件中操作、审核、批准、备份管理员、日志审计员互为不相容职务,均应当予以分离。
序号 | 角色 | 职责权限 |
-
| 用户 | 操作 | 只可进行业务操作,不可进行系统管理操作 |
-
| 审核 |
-
| 批准 |
-
| 系统管理 | 系统管理员 | 只可进行用户注册、修改、权限分配、删除,不可进行业务操作 |
-
| 备份管理员 | 只可进行系统备份、系统恢复操作,不可进行业务操作 |
-
| 日志审计员 | 只可进行日志查看、导出操作,不可进行业务操作 |