当前位置:文档之家 › ISO27001 XX-ISMS-OP-02-001 相关方的需求和期望(信息安全方面)一览表

ISO27001 XX-ISMS-OP-02-001 相关方的需求和期望(信息安全方面)一览表

  • 格式:docx
  • 大小:16.98 KB
  • 文档页数:1

下载文档原格式

  / 1

合集下载

ISO27001信息安全管理体系相关方需求和期望分析表

ISO27001信息安全管理体系相关方需求和期望分析表
关键部门
销售部。
支持部门
行政部、生产部、品质部、销售部。
资源支持
作业场地、设备。
外部服务提供商
原材料服务商等。
ISO27001信息安全管理体系相关方需求 Nhomakorabea期望分析表
相关方需求与期望
质量与信息安全要求
核心客户
客户(客户对质量需求与期望)
客户投诉/抱怨率不超过行方每月要求的达标值。
可用性:在客户约定的时间内,产品可用性满足客户要求。在约定时间内发生非不可抗力造成的不合格,必须在约定的时间恢复生产系统正常运行。
完整性:进行的任何操作必须准确无误,确保产品信息真实性和可靠性。
体系范围:与电销/电催业务外呼服务质量及信息安全要求相关的业务活动、关键部门、支持部门、信息系统、外部服务提供商
核心业务活动
塑胶模具生产制造、电子产品用塑胶件生产,包括市场拓展与销售、项目规划、项目实施、服务提供及服务终止整个生命周期。
支持业务活动
供应链管理、人力资源、信息技术、行政、财务等管理支持。
确保客户信息和公司重要商业信息的保密性
1.在获取、处理和交付客户信息资产的过程中,确保客户敏感信息的保密性,防止由于人员对信息处理不当,导致客户信息的泄漏。
2.防止关键业务应用系统、网络服务及个人计算机因管控失效,导致客户信息及公司重要商业信息的泄漏。
确保客户信息及重要信息系统的完整性
3.在服务提供过程中,严格按照操作流程及规范进行提供服务,确保关键数据的准确性和完整性。
4.防止关键业务应用系统、网络服务及个人计算机因管控不当造成数据丢失或被篡改,导致系统中的客户信息、公司重要信息失去完整性和真实性。
确保重要信息系统的可用性
1.防止关键业务系统因管理不当造成系统故障,导致公司产品受到严重影响。

最新ISO27001-2013信息安全管理体系管理手册、程序文件全套资料

最新ISO27001-2013信息安全管理体系管理手册、程序文件全套资料

最新ISO27001-2013信息安全管理体系管理手册、程序文件ISO27001-2013信息安全管理体系管理手册ISMS-M-yyyy 版本号:A/0受控状态: ■ 受 控 □ 非受控日期: 2019年1月8日 实施日期: 2019年1月8日修改履历00 目录00 目录 (2)01 颁布令 (1)02 管理者代表授权书 (1)03 企业概况 (1)04 信息安全管理方针目标 (1)05 手册的管理 (1)06 信息安全管理手册 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 本公司 (1)3.2 信息系统 (1)3.3 计算机病毒 (2)3.4 信息安全事件 (2)3.5 相关方 (2)4 组织环境 (2)4.1 组织及其环境 (2)4.2 相关方的需求和期望 (2)4.3 确定信息安全管理体系的范围 (2)4.4 信息安全管理体系 (3)5 领导力 (3)5.1 领导和承诺 (3)5.2 方针 (4)5.3 组织角色、职责和权限 (4)6 规划 (4)6.1 应对风险和机会的措施 (4)6.2 信息安全目标和规划实现 (6)7 支持 (7)7.1 资源 (7)7.2 能力 (7)7.3 意识 (8)7.4 沟通 (8)7.5 文件化信息 (8)8 运行 (9)8.1 运行的规划和控制 (9)8.2 信息安全风险评估 (9)8.3 信息安全风险处置 (10)9 绩效评价 (10)9.1 监视、测量、分析和评价 (10)9.2 内部审核 (11)9.3 管理评审 (12)10 改进 (12)10.1 不符合和纠正措施 (12)10.2 持续改进 (13)附录A 信息安全管理组织结构图 (1)附录B 信息安全管理职责明细表 (1)附录C 信息安全管理程序文件清单 (1)01 颁布令为提高**公司**的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了**公司** 《信息安全管理手册》。

ISO9001_相关方需求和期望管理程序范本

ISO9001_相关方需求和期望管理程序范本

1.相关方需求和期望管理程序1.1. 制定目的明确与公司质量环境管理体系有关的相关方,并确定这些相关方的需求与期望。

以做为公司生产和服务的行动指南,提供满足相关需求和法律法规的产品和服务。

1.2. 适用范围公司整个生产经营过程。

1.3. 职责权限1、各部门负责相关方的要求及期望的识别2、行政部负责对各部门识别的相关方的要求及期望进行统计3、行政部负责将要求及期望作为风险分析及目标的输入。

1.4. 术语定义无1.5. 工作程序1、总经理(或授权人员),于体系导入之初,组织业务部、软件部、硬件部、客服部(市场部)、工程部确定与公司质量管理体系有关的相关方,包括但不仅限于:核心客户、供方、所在地政府机关、第三方认证(检测)机构、内部员工及总公司等。

2、总经理(或授权人员)组织行政部、财务部、采购部、质检度、生产部、软件部、硬件部、客服部、市场部、项目部等部门,向本部门所主导联系的相关方发放《相关方的需求和期望清单》,识别相关方的需求与期望。

3、总经理(或授权人员)组织行政部、财务部、采购部、质检度、生产部、软件部、硬件部、客服部、市场部、项目部等部门,对识别出的相关方的需求与期望进行汇总,形成《相关方的需求和期望清单》,确定相关方合理的需求与期望,并制定相对的制度,以落实到公司的紧固件生产和服务过程中;4、总经理委托行政部,每半年召开一次相关方需求和期望达成程度分析会议,各部门应汇报本部门所主导联系的相关方需求和期望的达成状况、未达成事项及实施对策。

由业务员汇总后呈报总经理决策。

5、总经理(或授权人员)组织行政部、财务部、采购部、质检度、生产部、软件部、硬件部、客服部、市场部、项目部等部门,于每年年尾或次年年初,对确定的相关方的需求与期望进行评审,是否已达成。

并将达成情况做为管理评审的输入资料。

6、总经理(或授权人员),每年年初重新对相关方发放《相关方的需求和期望清单》并进行识别,以了解相关方的需求与期望是否发生变化,及时更新《相关方的需求和期望清单》。

相关方要求和期望一览表(最全最新)

相关方要求和期望一览表(最全最新)
提供培训机会。
员工满意度调查、员工反馈信息
各部门
年度培训计划、培训及时率
每月
按照《培训程序》执行。
33
良好的工作环境,和谐的工作氛围,人身安全与健康有保障。
员工满意度调查、员工反馈信息
所有部门
5S检查
1次/月
按照《5S与目视化程序》执行。
34
定期举办各类娱乐活动,丰富员工的业余生活。
员工满意度调查、员工反馈信息
客户合约
工艺部
每年工程变更验证合格率
每年
按照《变更程序》执行,变更前获得客户批准。
16
客户的知识产权或客户财产妥善维护保管,签订保密协议。
客户合约
各部门
客户财产零损失、
100%签订保密协议
每月
按照《知识程序》和《信息安全程序》执行。
17
新产品交货前需提供零件承认书,并确保承认书的正确率高。
客户合约
品质部
应对措施
23
外部供方
原材料供应商
1).稳定、持续地合作,互利双赢;
2).及时付款;
3).交货期长的物料建议提前下单并备库存;
4).采购及收货人员协助配合工作。
供应商反馈信息
采购、物料、财务部门
供应商交货品质合格批率、准时率、付款及时率
每月
1).按照《采购程序》执行;
2).财务部按时支付货款。
24
外包商
提前协商样品及交货周期、明确验收标准。
外包商反馈信息
采购、物控部门
外包商交货品质合格批率、准时率
每月
按照《外包过程程序》执行。
25
工程承包商
保持长期合作,及时付款。
工程承包商反馈信息

ISO27001信息安全管理体系全套程序文件

ISO27001信息安全管理体系全套程序文件

修订日期:2019.12.18修订日期:2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别,并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期:2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划,下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括:5.2.1.1信息资产1)数据文档资产:客户和公司数据,各种介质的信息文件包括纸质文件。

ISO27001信息安全管理体系相关方需求和期望分析表+组织内外部环境分析报告

ISO27001信息安全管理体系相关方需求和期望分析表+组织内外部环境分析报告
2.对外包服务过程进行严格管理,避免、化解或降低由于服务过程不当导致的投诉。
3.不断改进和提升服务质量,为客户创造更多价值。
确保客户信息和公司重要商业信息的保密性
1.在获取、处理和交付客户信息资产的过程中,确保客户敏感信息的保密性,防止由于人员对信息处理不当,导致客户信息的泄漏。
2.防止关键业务应用系统、网络服务及个人计算机因管控失效,导致客户信息及公司重要商业信息的泄漏。
管理体系在支持愿景及核心竞争力方面应达到的结果
基于手机电池、电池充电器、电源变压器行业的特点,本公司要成为行业内的领先企业,质量管理能力和信息安全技术将是不可或缺的因素。因此,本公司在质量和信息安全管理方面必须能够实现高层期望的成果:
— 不断优化业务流程,持续加强对员工的技能、质量和信息安全意识能力培训,不断提升客户的经营指标达成率、降低有效投诉及抱怨率。
2、是否存在自然环境发生的、质量造成灾难性影响的因素,例如:地震、台风、洪水等?
来自于自然环境(包括:地震、海啸、台风、洪水、雷电、暴雨、暴雪)的威胁会造成公司活动暂时中断。
台风
1、生产设施缺乏物理保护
2、生产设施缺乏台风暴雨洪水暴雪应急预案
暴雨
洪水
暴雪
雷电
1、生产设施缺乏防雷设施
2、防雷设施没有及时检测
符合适用法律及行业法规要求
1.对客户的质量要求、行业内相关法律法规进行充分识别,确保整个过程满足客户质量要求及行业内相关法律法。
—符合适用法律及行业法规要求
我们将通过以下举措努力实现上述承诺的质量目标:
— 维护并持续改进质量管理体系,采取预防性措施,减少各类质量事件发生,通过质量持续提升的绩效让客户体验质量管理的成果。
确保客户信息及重要信息系统的完整性

ISMS-27001-2013信息技术安全技术信息安全管理体系要求标准解读

• 本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求。 • 本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。 • 组织声称符合本标准时,对于第4 章到第10 章的要求不能删减。
PART 03
标准正文
标准正文
4.组织环境
4.1 理解组织及其环境
• 组织应确定与其意图相关的并影响其实现信息安全管理体系预期结果的能力 的外部和内部事项。
•1) 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性 有关的风险;(CIA) •2) 识别风险责任人。(资产归属)
6.1 应对风险和机会的措施
• 6.1.2 信息安全风险评估 • d) 分析信息安全风险:
• 1) 评估6.1.2.c) 1) 中所识别的风险发生后将导致的潜在影响;(资产脆弱性被威胁利用后的严重 性)
标准正文
5.领导
5.1 领导和承诺
• 最高管理者应通过以下活动,证实对信息安全管理体系的领导和承诺:
• a) 确保建立了信息安全策略和信息安全目标,并与组织战略方向一致; • b) 确保将信息安全管理体系要求整合到组织的业务过程中; • c) 确保信息安全管理体系所需资源可用; • d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性; • e) 确保信息安全管理体系达到预期结果; • f)指导并支持相关人员为信息安全管理体系的有效性做出贡献; • g) 促进持续改进; • h) 支持其他相关管理角色在其职责范围内展现他们的领导力。
完整性 准确和完备的特性。
术语
文件化信息 组织需要控制和维护的信息及其载体。
术语
外部环境
组织寻求实现其目标的外部环境。 注外部环境可以包括如下方面: 文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境,无论是国际的、 国家的、地区的或地方的; 影响组织目标的关键驱动力和趋势; 与外部利益相关方的关系及其认知和价值观。

ISO27001内外部沟通控制程序

文件制修订记录1.0目的为了使组织内部不同层次和职能之间更充分了解并尽量满足顾客需求及其环境信息的有效交流。

2.0适用范围适用于我公司的活动、产品或服务范围内相关信息的沟通交流。

3.0定义顾客:接受产品的组织或个人。

相关方:关注组织环境表现(行为)或受其环境表现(行为)影响的个人或团体。

4.0职责4.1人力资源部负责对全公司员工管理方面的培训并确认效果。

4.2市场部确保外部信息的接收、处理及回答等有效实施。

4.3各部门经理确保内部信息沟通按程序有效实施。

4.4管理者代表负责与质量对内外有关事宜的联络5.0工作程序5.1内外部沟通目的5.1.1有助于阐明公司对质量/环境的承诺;5.1.2提高对公司方针、目标指标的认识;5.1.3有助于员工了解公司管理体系的表现;5.1.4促进公众对公司管理表现及所做努力的理解和认同;5.1.5及时将对管理体系进行监视、审核和评审的结果传达给公司内部有关人员。

5.2内外部沟通内容5.2.1公司简介;5.2.2方针、目标指标;5.2.3管理过程;5.2.4绩效评价、管理体系有效性;5.2.5需要改进的地方;5.2.6独立验证的情况等;5.3环境信息交流5.3.1内部环境信息交流5.3.1.1环境管理建议处理a.员工有任何关于管理的建议,须联络至文控中心呈管理者代表处理,由管理者代表委派文控中心进行沟通处理;b.处理结果由文控中心转达信息至原建议者;c.如果建议有改进管理体系的效益,应于管理评审会议中讨论;d.所有建议及处理结果均应留下记录,记录正本由文控中心统一管理。

5.3.1.2方针、目标的贯彻管理者代表和文控中心可通过以下方式贯彻其效果:a.利用文件宣传贯彻;b.借由公司集会广告而之;c.在内部进行宣传贯彻。

5.3.2外部环境信息交流5.3.2.1外部环境管理建议处理a.人力资源部负责收集外界(不包括公司客户)对公司环境管理事务的任何建议。

销售部负责收集公司客户对公司环境管理事务的任何建议;b.接收方式可为电话、传真、信件、口述或其它可行方式,接收时应告知建议者处理流程大约所需时间;c.人力资源部应将接收的信息联络至文控中心处理;d.处理结果应呈管理者代表批准后告知提议者;e.建议及处理结果的联络记录由文控中心统一管理;f.外部相关方及供应商若须了解或取得本公司环境方针时,文控中心须予以说明或提供。

2018最新ISO27001信息安全管理体系全套程序文件

最新ISO27001信息安全管理体系全套程序文件信息安全管理体系程序文件目录1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。

2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。

3 职责3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。

3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。

4 程序4.1 信息安全事故定义与分类:4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故:a) 企业秘密、机密及国家秘密泄露或丢失;b) 服务器停运4 小时以上;c) 造成信息资产损失的火灾、洪水、雷击等灾害;d) 损失在十万元以上的故障/事件。

4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故:a) 企业机密及国家秘密泄露;b) 服务器停运8 小时以上;c) 造成机房设备毁灭的火灾、洪水、雷击等灾害;d) 损失在一百万元以上的故障/事件。

4.1.3 信息安全事件包括:a) 未产生恶劣影响的服务、设备或者实施的遗失;b) 未产生事故的系统故障或超载;c) 未产生不良结果的人为误操作;d) 未产生恶劣影响的物理进入的违规e) 未产生事故的未加控制的系统变更;f) 策略、指南和绩效的不符合;g) 可恢复的软件、硬件故障;h) 未产生恶劣后果的非法访问。

4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务:a) 各个信息管理系统使用者,在使用过程中如果发现软硬件故障、事故,应该向该系统归口管理部门报告;如故障、事故会影响或已经影响线上生产,必须立即报告相关部门,采取必要措施,保证对生产的影响降至最低;b) 发生火灾应立即触发火警并向安全监督部报告,启动消防应急预案;c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告;d) 发生重大信息安全事故,事故受理部门应向信息安全管理者代表和有关公司领导报告。

信息安全管理体系(ISO27001ISO20000)所需条件和资料

ISO27001产品概述;ISO/IEC27001 信息安全管理体系(ISMS——information security management system)是信息安全管理的国际标准。

最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。

该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。

Plan规划:信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明(SOA);DO:实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训;Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件;Act:测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。

条件:1) 企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》、《组织机构代码证》、《税务登记证》等有效资质文件;2) 申请方应按照国际有效标准(ISO/IEC27001:2013)的要求在组织内建立信息安全管理体系,并实施运行至少3个月以上;3) 至少完成一次内部审核,并进行了有效的管理评审;4) 提供企业业务相关的必备资质:如系统集成资质、安防资质等,并且保证资质的有效性和合法性。

材料1) 法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证复印件加盖公章。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在合同或者合作协议中中列出保密条款。
3
税务局、财务审计方
对涉及到的财务审计报告及财务报表等机密信息予以保密。
相关法律、法规。
4
政府部门
对接触到的知识产权予以保护,详见《信息安全有关法规符合性评价》。
相关法律、法规。
5
电话、网络、云服务提供方
对电话服务、网络服务的提供方信息予以保密
1.签订保密协议。
6
相关方的需求和期望(信息安全方面)一览表
序号
相关方
信息安全要求
应对措施
1
第二、三方审查机构
1.对前期业绩合同金额予以保密。
2.对审查过程中涉及的审查机构有关信息予以保密。
1.在合提供合同业绩时,对金额部分打马赛克。
2.对投标文件设置密码解压。
2
供方
对供方的单位基本信息、产品核心技术信息、价格等予以保密。
客户
对客户信息、合同条款及概算等予以保密。
1.在合同中列出
7Hale Waihona Puke 公司员工对员工个人信息、劳动合同等予以保密。
签订保密协议。
编制:日期:
审核:日期: