ISO27000認(rèn)證體系建立和運(yùn)行步驟 ISO27001標(biāo)準(zhǔn)要求組織建立并保持一個(gè)文件化的信息管理體系，其中應(yīng)闡述需要保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的渠道、控制目標(biāo)及控制方式和需要的保證程度。 不同的組織在建立與完善信息管理體系時(shí)，可根據(jù)自己的特點(diǎn)和具體情況，采取不同的步驟和方法。但總體來(lái)說(shuō)，建立信息管理體系一般要經(jīng)過(guò)下列四個(gè)基本步驟：信息管理體系的策劃與準(zhǔn)備；信息管理體系文件的編制；信息管理體系運(yùn)行；信息管理體系審核與評(píng)審。 如果考慮認(rèn)證過(guò)程其詳細(xì)的步驟如下： 1. 現(xiàn)場(chǎng)診斷； 2. 確定信息管理體系的方針、目標(biāo)； 3. 明確信息管理體系的范圍，根據(jù)組織的特性、地理位置、資產(chǎn)和技術(shù)來(lái)確定界限； 4. 對(duì)管理層進(jìn)行信息管理體系基本知識(shí)培訓(xùn)； 5. 信息體系內(nèi)部審核員培訓(xùn)； 6. 建立信息管理組織機(jī)構(gòu)； 7. 實(shí)施信息資產(chǎn)評(píng)估和分類(lèi)，識(shí)別資產(chǎn)所受到的威脅、薄弱環(huán)節(jié)和對(duì)組織的影響，并確定風(fēng)險(xiǎn)程度； 8. 根據(jù)組織的信息方針和需要的保證程度通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)確定應(yīng)實(shí)施管理的風(fēng)險(xiǎn)，確定風(fēng)險(xiǎn)控制手段； 9. 制定信息管理手冊(cè)和各類(lèi)必要的控制程序 ； 10. 制定適用性聲明； 11. 制定商業(yè)可持續(xù)性發(fā)展計(jì)劃； 12. 審核文件、發(fā)布實(shí)施； 13. 體系運(yùn)行，有效的實(shí)施選定的控制目標(biāo)和控制方式； 14. 內(nèi)部審核； 15. 外部 階段認(rèn)證審核； 16. 外部第二階段認(rèn)證審核； 17. 頒發(fā)； 18. 體系持續(xù)運(yùn)行/年度監(jiān)督審核； 19. 復(fù)評(píng)審核（三年有效）。 至于應(yīng)采取哪些控制方式則需要周密計(jì)劃，并注意控制細(xì)節(jié)。信息管理需要組織中的所有雇員的參與，比如為了防止組織外的第三方人員非法進(jìn)入組織的辦公區(qū)域獲取組織的技術(shù)機(jī)密，除物理控制外，還需要組織全體人員參與，加強(qiáng)控制。此外還需要供應(yīng)商，顧客或股東的參與，需要組織以外的專(zhuān)家建議。信息、信息處理過(guò)程及對(duì)信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)、資金流動(dòng)、效益、法律符合性和商業(yè)形象都是至關(guān)重要的。 當(dāng)前，越來(lái)越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的威脅，諸如計(jì)算機(jī)病毒、計(jì)算機(jī)入侵、DoS攻擊等手段造成的信息災(zāi)難已變得更加普遍,有計(jì)劃而不易被察覺(jué)。組織對(duì)信息系統(tǒng)和信息服務(wù)的依賴(lài)意味著更易受到威脅的破壞，公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問(wèn)控制的難度。 許多信息系統(tǒng)本身就不是按照系統(tǒng)的要求來(lái)設(shè)計(jì)的，所以?xún)H依靠技術(shù)手段來(lái)實(shí)現(xiàn)信息有其局限性，所以信息的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持。確定應(yīng)采取哪些控制方式則需要周密計(jì)劃，并注意細(xì)節(jié)。信息管理至少需要組織中的所有雇員的參與，此外還需要供應(yīng)商、顧客或股東的參與和信息的專(zhuān)家建議。

ISO27000認(rèn)證信息風(fēng)險(xiǎn)評(píng)估FAQ 深圳ISO27000認(rèn)證為什么要進(jìn)行信息風(fēng)險(xiǎn)評(píng)估？ 　　通過(guò)風(fēng)險(xiǎn)評(píng)估，你可以知道組織范圍內(nèi)存在哪些重要的信息資產(chǎn)、信息處理設(shè)施及其面臨的威脅，發(fā)現(xiàn)技術(shù)和管理上的脆弱點(diǎn)，綜合評(píng)估現(xiàn)有綜合資產(chǎn)的風(fēng)險(xiǎn)狀況。 什么是信息風(fēng)險(xiǎn)評(píng)估？ 　　風(fēng)險(xiǎn)評(píng)估：對(duì)信息及信息載體、應(yīng)用環(huán)境等各方面風(fēng)險(xiǎn)進(jìn)行辨識(shí)和分析的過(guò)程，是對(duì)威脅、影響、脆弱性及三者發(fā)生的可能性的評(píng)估。它是確認(rèn)風(fēng)險(xiǎn)及其大小的過(guò)程。 　　風(fēng)險(xiǎn)評(píng)估為管理層確定具體的策略，以及在“成本-效益”平衡基礎(chǔ)上做決策服務(wù)；風(fēng)險(xiǎn)控制措施為組織實(shí)施信息的改進(jìn)提供指導(dǎo)。 信息風(fēng)險(xiǎn)評(píng)估的實(shí)施的主體是什么？ 　　風(fēng)險(xiǎn)評(píng)估可分為自評(píng)估和檢查評(píng)估兩大類(lèi)。自評(píng)估是由被評(píng)估信息系統(tǒng)的擁有者依靠自身的力量，對(duì)其自身的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。檢查評(píng)估則通常是被評(píng)估信息系統(tǒng)的擁有者的上級(jí)主管或業(yè)務(wù)主管發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的，具有強(qiáng)制意味的檢查活動(dòng)，是通過(guò)行政手段加強(qiáng)信息的重要措施。 　　檢查評(píng)估應(yīng)該是具有一定資質(zhì)的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)實(shí)施的。自評(píng)估可以在信息風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)的咨詢(xún)、服務(wù)、培訓(xùn)下，由系統(tǒng)所有者和評(píng)估服務(wù)機(jī)構(gòu)共同完成。 信息風(fēng)險(xiǎn)評(píng)估的政策依據(jù)及標(biāo)準(zhǔn)依據(jù)？ 　　 信息化領(lǐng)導(dǎo)小組《關(guān)于加強(qiáng)信息保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào)文件)將信息風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)重要的舉措。國(guó)信辦2005年5號(hào)文率先在北京、上海、黑龍江、云南等地，以及銀行、稅務(wù)、電力三個(gè)行業(yè)進(jìn)行試點(diǎn)，根據(jù)試點(diǎn)經(jīng)驗(yàn)，各省市建立信息風(fēng)險(xiǎn)評(píng)估管理制度。 　　 國(guó)信辦標(biāo)準(zhǔn)草案《信息風(fēng)險(xiǎn)評(píng)估指南》、《信息風(fēng)險(xiǎn)管理指南》 　　 NIST SP800-30 《Risk Management Guide for Information Technology Systems》 信息風(fēng)險(xiǎn)評(píng)估包括哪幾個(gè)主要實(shí)施階段？ 　　風(fēng)險(xiǎn)評(píng)估可以分為資產(chǎn)識(shí)別、重要資產(chǎn)賦值、威脅分析、脆弱性識(shí)別、風(fēng)險(xiǎn)計(jì)算、風(fēng)險(xiǎn)控制措施提出等實(shí)施階段。 信息風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容及方法？ 　　信息風(fēng)險(xiǎn)評(píng)估的實(shí)施主要有以下內(nèi)容： 　　 （1）資產(chǎn)識(shí)別 　　 （2）資產(chǎn)的屬性賦值及權(quán)重計(jì)算 　　 （3）威脅分析 　　 （4）薄弱點(diǎn)分析 　　 （5）威脅發(fā)生可能性及影響分析 　　 （6）風(fēng)險(xiǎn)計(jì)算 　　 （7）風(fēng)險(xiǎn)處理計(jì)劃制定 　　 風(fēng)險(xiǎn)評(píng)估是一項(xiàng)綜合的系統(tǒng)工程，既涉及到技術(shù)，又涉及到管理。風(fēng)險(xiǎn)評(píng)估過(guò)程中既需要采用技術(shù)的檢測(cè)手段，又需要進(jìn)行綜合的歸納、總結(jié)和分析方法。 　　 風(fēng)險(xiǎn)評(píng)估中資產(chǎn)價(jià)值的判斷、威脅判斷、事件造成影響的判斷標(biāo)準(zhǔn)都需要根據(jù)被評(píng)估實(shí)際情況，與被評(píng)估方共同確定。 信息風(fēng)險(xiǎn)評(píng)估是否會(huì)影響系統(tǒng)的業(yè)務(wù)正常運(yùn)行？ 　　除針對(duì)服務(wù)器的漏洞掃描、診斷及滲透性測(cè)試外，風(fēng)險(xiǎn)評(píng)估不會(huì)對(duì)系統(tǒng)的業(yè)務(wù)運(yùn)行造成影響。即使是滲透性測(cè)試，也僅僅是為了驗(yàn)證漏洞存在給系統(tǒng)可能造成的后果（如文件竊取、控制修改關(guān)鍵程序/進(jìn)程等），而不是以破壞系統(tǒng)為目的。評(píng)估人員在執(zhí)行滲透性測(cè)試前，會(huì)將詳細(xì)的滲透測(cè)試方案與用戶交流，包括滲透測(cè)試對(duì)象、測(cè)試強(qiáng)度、可能后果、提前備份等要求，并經(jīng)用戶認(rèn)可后方能實(shí)施。 信息風(fēng)險(xiǎn)評(píng)估的結(jié)果形式是什么？ 　　信息風(fēng)險(xiǎn)評(píng)估在評(píng)估過(guò)程中將生成一系列的風(fēng)險(xiǎn)評(píng)估操作記錄，包括：重要資產(chǎn)列表、脆弱性匯總表、資產(chǎn)威脅識(shí)別表、資產(chǎn)威脅風(fēng)險(xiǎn)系數(shù)表、信息資產(chǎn)綜合風(fēng)險(xiǎn)值表等， 將生成三份評(píng)估結(jié)果： 　　 脆弱性評(píng)估報(bào)告：以資產(chǎn)為核心，描述該資產(chǎn)存在的薄弱點(diǎn)。 　　 風(fēng)險(xiǎn)評(píng)估報(bào)告：反映了風(fēng)險(xiǎn)評(píng)估整個(gè)過(guò)程、方法、內(nèi)容及風(fēng)險(xiǎn)結(jié)果。 　　 風(fēng)險(xiǎn)處理計(jì)劃：針對(duì)識(shí)別的風(fēng)險(xiǎn)，提出具體的控制目標(biāo)和控制措施。 信息風(fēng)險(xiǎn)評(píng)估的周期有多長(zhǎng)　 　　信息風(fēng)險(xiǎn)評(píng)估沒(méi)有確定的時(shí)間周期，一般兩年一次進(jìn)行定期的評(píng)估，但當(dāng)組織新增信息資產(chǎn)、系統(tǒng)發(fā)生重大變更、業(yè)務(wù)流程發(fā)生重大變化、發(fā)生嚴(yán)重信息事故等情況下應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。 　　 此外，對(duì)系統(tǒng)規(guī)劃、擴(kuò)建時(shí)也需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，為需求、策略的制定提供依據(jù)。 信息風(fēng)險(xiǎn)評(píng)估的收費(fèi)標(biāo)準(zhǔn)　 　　根據(jù)評(píng)估對(duì)象的不同而不同。風(fēng)險(xiǎn)評(píng)估的對(duì)象可以是：?jiǎn)蝹€(gè)獨(dú)立的信息系統(tǒng)、支持組織業(yè)務(wù)的整體信息處理環(huán)境、整個(gè)組織范圍。信息風(fēng)險(xiǎn)評(píng)估的費(fèi)用主要依據(jù)以下幾個(gè)方面進(jìn)行核算： 　　 網(wǎng)絡(luò)規(guī)模 　　 聯(lián)網(wǎng)單位或客戶端抽樣比例 　　 被評(píng)估系統(tǒng)的多少 　　 被評(píng)估信息設(shè)備的多少 　　 被評(píng)估的組織范圍大小

iso9000:2015認(rèn)證顧客溝通的內(nèi)容和方式 4.1 溝通的內(nèi)容 4.1.1 外部信息 a) 與顧客有關(guān)的溝通（如合同、訂單等）； d) 與供應(yīng)商有關(guān)的溝通（如采購(gòu)合同、訂單、進(jìn)貨不合格等）； c) 與其他相關(guān)方的溝通（如政府監(jiān)管部門(mén)等）； 4.1.2 內(nèi)部信息 a）公司質(zhì)量方針、質(zhì)量目標(biāo)的溝通； b) 公司領(lǐng)導(dǎo)層的決議，包含經(jīng)營(yíng)管理目標(biāo)、公司戰(zhàn)略規(guī)劃及發(fā)展方向等； c) 各種會(huì)議精神的傳達(dá)； d) 本公司經(jīng)營(yíng)、生產(chǎn)和管理過(guò)程中發(fā)現(xiàn)的異常信息，包括質(zhì)量、進(jìn)度、成本、員工意識(shí)等； e）有關(guān)經(jīng)營(yíng)管理績(jī)效及改進(jìn)的溝通； f) 本公司重要事項(xiàng)的報(bào)告,重要事項(xiàng)主要指： 1）重大招、投標(biāo)事項(xiàng)和合同評(píng)審； 2）重大合同項(xiàng)目的技術(shù)交底； 3）公司新產(chǎn)品開(kāi)發(fā)進(jìn)程、試驗(yàn)、確認(rèn)情況； 4）重要顧客對(duì)公司現(xiàn)場(chǎng)考評(píng)； 5）重大產(chǎn)品質(zhì)量事故； 6）重大人身傷亡和設(shè)備損壞事故； 7）重大生產(chǎn)或管理項(xiàng)目的整改結(jié)果。 g）其他需要溝通的日常工作 4.2 內(nèi)部溝通的主要方式 a) 口頭（含電話）方式溝通──適用于需立即溝通或不需要留有證據(jù)的溝通事項(xiàng)； b) 書(shū)面方式溝通（含電子信息溝通）──包括：郵件、企業(yè)、通知/通報(bào)、會(huì)議紀(jì)要、溝通聯(lián)絡(luò)函、書(shū)面報(bào)告、公告欄以及各程序文件中規(guī)定的用于相互傳遞的記錄； c) 會(huì)議方式溝通──公司需要定期召開(kāi)或者臨時(shí)召開(kāi)的會(huì)議 d) 其他方式溝通──如員工關(guān)愛(ài)訪談、員工績(jī)效面談、員工的合理化建議等。 4.3 外部溝通 4.3.1銷(xiāo)售部和成套綜合辦負(fù)責(zé)與客戶有關(guān)的溝通，詳見(jiàn)《與顧客有關(guān)的過(guò)程控制程序》； 4.3.2采購(gòu)部負(fù)責(zé)與供應(yīng)商有關(guān)的溝通，詳見(jiàn)《供應(yīng)商管理控制程序》； 4.3.3 其他相關(guān)方的溝通職責(zé)詳見(jiàn)《組織環(huán)境及相關(guān)方需求控制程序》； 4.3.4 以上部門(mén)負(fù)責(zé)相關(guān)信息的接收，并將接收到的信息進(jìn)行處理和報(bào)告，必要時(shí)應(yīng)保留書(shū)面材料，需要內(nèi)部其他部門(mén)協(xié)助進(jìn)行完成的，由信息接收部分負(fù)責(zé)組織協(xié)調(diào)。 4.4內(nèi)部溝通 4.4.1會(huì)議溝通 4.4.1.1公司級(jí)例會(huì)：對(duì)于公司系統(tǒng)性工作采用例會(huì)的形式進(jìn)行溝通，公司確定的例會(huì)內(nèi)容及召開(kāi)頻次要求如下： 例會(huì)名稱(chēng) 會(huì)議主題 會(huì)議時(shí)間 負(fù)責(zé)人 參加人員 經(jīng)營(yíng)管理例會(huì) 經(jīng)營(yíng)管理工作總結(jié)、改進(jìn)及下一步方向及計(jì)劃 每月一次 總經(jīng)理 經(jīng)理班子成員 管理 例會(huì) 對(duì)近一個(gè)月的管理工作進(jìn)行總結(jié)、下一步工作部署、管理案例分享等 每月一次 管理/副總總監(jiān) 中高層管理者及后備管理干部 質(zhì)量 例會(huì) 討論近一個(gè)月的質(zhì)量情況、顧客投訴、質(zhì)量案例等（成套和元件分開(kāi)召開(kāi)） 每月一次 管理者代表 技術(shù)副總 中高層管理者、車(chē)間/技術(shù)/質(zhì)檢相關(guān)人員 生產(chǎn) 調(diào)度會(huì) 生產(chǎn)進(jìn)度管理情況 每月一次 生產(chǎn)副總/總監(jiān) 生產(chǎn)管理中心相關(guān)管理人員以及采購(gòu)、質(zhì)檢、技術(shù)部門(mén)或其他相關(guān)部門(mén)人員 4.4.1.2部門(mén)級(jí)例會(huì)：部門(mén)級(jí)例會(huì)應(yīng)保證每月至少召開(kāi)一次，部門(mén)例會(huì)由部門(mén)經(jīng)理主持，并留有《會(huì)議紀(jì)要》。 4.4.1.3 其他臨時(shí)性會(huì)議：臨時(shí)性會(huì)議由發(fā)起部門(mén)組織并通知會(huì)議議題內(nèi)容、地點(diǎn)、時(shí)間、參加人員及會(huì)議主持人。根據(jù)會(huì)議內(nèi)容及性質(zhì)確定是否出具《會(huì)議紀(jì)要》。 4.4.1.4對(duì)于公司級(jí)例會(huì)，會(huì)后兩日內(nèi)，由會(huì)議負(fù)責(zé)人安排人員將會(huì)議簡(jiǎn)況、主要內(nèi)容和會(huì)議精神進(jìn)行整理，形成《會(huì)議紀(jì)要》，向會(huì)議負(fù)責(zé)人匯報(bào)后，將《會(huì)議紀(jì)要》或者相關(guān)的會(huì)議PPT上傳至OA，相關(guān)人員應(yīng)及時(shí)查看，了解會(huì)議精神，執(zhí)行會(huì)議決定，會(huì)議負(fù)責(zé)人應(yīng)對(duì)會(huì)議上做出決定的工作進(jìn)行檢查，保證會(huì)議各項(xiàng)工作落實(shí)。有特殊要求的會(huì)議按照要求執(zhí)行。 4.4.2公司重要事項(xiàng)的溝通 公司重要事項(xiàng)應(yīng)及時(shí)通過(guò)書(shū)面文件、公告、會(huì)議等形式溝通。 重要事項(xiàng) 提出報(bào)告部門(mén) 提出報(bào)告時(shí)間 報(bào)告上至人 報(bào)告下至人 報(bào)告方式 重要客戶參觀 接到通知部門(mén) 接到通知后及工作開(kāi)展前1天 總經(jīng)理 相關(guān)部門(mén)和人員 報(bào)告/通知 上級(jí)工作檢查及項(xiàng)目驗(yàn)收 接到通知部門(mén) 接到通知后及工作開(kāi)展前1天 總經(jīng)理 相關(guān)部門(mén)和人員 報(bào)告/通知 重大合同 銷(xiāo)售部 成套綜合辦 得到可靠信息1個(gè)工作日內(nèi) 總經(jīng)理 合同評(píng)審的相關(guān)人員 報(bào)告/通知 重大項(xiàng)目技術(shù)交底 技術(shù)部 交底前 技術(shù)副總/總工 相關(guān)部門(mén) 報(bào)告 新產(chǎn)品 開(kāi)發(fā)進(jìn)度 技術(shù)部 重要節(jié)點(diǎn) 總經(jīng)理及有關(guān) 副總經(jīng)理 相關(guān)部門(mén)、車(chē)間 報(bào)告 重大質(zhì)量事故 技術(shù)部/質(zhì)檢部 當(dāng)下口頭報(bào)告，三日內(nèi)出書(shū)面報(bào)告 總經(jīng)理 管理者代表 有關(guān)人員 分析報(bào)告 重大事故 生產(chǎn)部 當(dāng)下口頭報(bào)告，三日內(nèi)出書(shū)面報(bào)告 總經(jīng)理/負(fù)責(zé)人/人事負(fù)責(zé)人 相關(guān)人員 調(diào)查報(bào)告 重大設(shè)備事故 生產(chǎn)部 當(dāng)下口頭報(bào)告，三日內(nèi)出書(shū)面報(bào)告 總經(jīng)理 及生產(chǎn)副總 相關(guān)人員 調(diào)查報(bào)告 重大生產(chǎn)、 管理項(xiàng)目整改 主管部門(mén) 事前請(qǐng)示，整改完畢后書(shū)面報(bào)告 總經(jīng)理 生產(chǎn)/管理副總 相關(guān)人員 工作總結(jié) 4.4.3員工意見(jiàn)和投訴溝通 4.4.3.1員工意見(jiàn)和投訴主要包含兩方面的內(nèi)容： a）一是合理化建議。合理化建議是指任何員工個(gè)人或集體針對(duì)公司生產(chǎn)、經(jīng)營(yíng)或管理的任何環(huán)節(jié)所提出的具有可操作性的改進(jìn)方法和措施。 b）二是員工投訴。員工投訴主要是指任何員工個(gè)人或集體針對(duì)公司生產(chǎn)、經(jīng)營(yíng)或管理的任何環(huán)節(jié)所提出的抱怨和不滿以及改進(jìn)建議。 4.4.3.2針對(duì)合理化建議 公司合理化建議貫徹“全員參與” 的基本原則，以確保公司的持續(xù)改進(jìn)，并對(duì)提出合理化建議的員工實(shí)施獎(jiǎng)勵(lì)。 4.4.3.3針對(duì)員工投訴： 員工投訴的方式可以采用：直接投訴、電話/短信投訴、郵件投訴、意見(jiàn)箱投訴等，企管部負(fù)責(zé)員工投訴的處理，并根據(jù)員工投訴的情況進(jìn)行調(diào)查，結(jié)合事件的影響程度以及公司的現(xiàn)狀作出是否需要改進(jìn)的決定。所有員工投訴的內(nèi)容應(yīng)登記公司投訴臺(tái)賬，并上報(bào)公司總經(jīng)理。