ISO27001信息安全管理体系 信息安全管理体系ISMS（InformationSecurITryManagementSystems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障组织的信息安全。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。 信息安全管理体系（ISMS）是一个系统化、程序化和文件化的管理体系，属于风险管理的范畴，体系的建立需要基于系统、全面、科学的安全风险评估。ISMS体现预防控制为主的思想，强调遵守有关信息安全的法律法规，强调全过程和动态控制，本着控制费用与风险平衡的原则，合理选择安全控制方式保护组织所拥有的关键信息资产，确保信息的保密性、完整性和可用性，从而保持组织的竞争优势和业务运作的持续性。 ISO27001适用范围 ISO27001主要是针对信息安全中的系统漏洞、黑客入侵、病毒感染等内容进行保护。 所以以下企业适合做ISO27001： 一、以信息为生命线的行业： 1、金融行业：银行、保险、证券、基金、期货等。 2、通信行业：电信、网通、移动、联通等。 3、其他公司：外贸、进出口、HR、猎头、会计师事务所等。 二、对信息技术依赖度高的行业： 1、钢铁、半导体、物流。 2、电力、能源。 3、外包(ITO或BPO)：IT、软件、电信IDC、呼叫中心、数据录入，数据处理加工等。 三、工艺技术要求高、竞争对手渴望得到的： 1、医药、精细化工。 2、研究机构。 推行ISO27001的好处 1、符合法律法规要求 的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。 2、维护企业的声誉、品牌和客户信任 的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。 3、履行信息安全管理责任 的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。 4、增强员工的意识、责任感和相关技能 的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。 5、保持业务持续发展和竞争优势 全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。 6、实现风险管理 有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。 7、减少损失，降低成本 ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到程度 申请资料 1、组织法律证明文件，如营业执照及年检证明复印件（盖公章）； 2、组织机构代码复印件、税务登记证复印件（盖公章）； 3、申请认证组织的信息安全管理体系有效运行的证明文件； 4、申请组织的简介； 5、申请组织体系文件与GB/T22080-2008/ISO/IEC27001:2005要求的文件对照说明； 6、申请组织内部审核和管理评审的证明资料； 7、申请组织记录保密性或敏感性声明； 8、认证机构要求申请组织提交的其他补充资料。 增值服务 1、全程辅导 训达咨询拥有专业的项目组，量身定制，工程师全程跟进，协助客户顺利拿证！ 2、公益沙龙、培训 训达咨询每年不定期的开展有关认证等方面的沙龙以及培训公开课，已签约的客户可享有大额优惠券！ 3、维护 训达咨询专业出证，认监委可查，质量有保证，出证后实时跟进情况，确保的有效期。 4、资料共享 训达咨询免费提供管理培训、管理咨询的相关资料，以咨内部学习，严禁外传。 上海训达企业管理咨询有限公司是一家专业做体系认证、产品认证、管理培训、知识产权等业务的管理咨询公司，从业数十年来，专注于ISO9001质量管理体系认证、ISO14001环境管理体系认证、ISO45001职业健康安全管理体系认证、IATF16949汽车行业质量管理体系认证等,经过多年坚持不懈的努力，以“优质的服务，专业的辅导”成功帮助了全国各地的众多大、中、小企业顺利通过认证，获得了业内良好的口碑，训达秉承“诚信，服务，分享”企业理念，诚以待人，与业界同行合作与分享，提供超出客户期望的增值服务，携手客户、同行共成长，共同打造培训认证生态圈。

一、为什么要做ISO9001质量体系认证？ 1．既是参与市场竞争的需要（客户推动）： A如果不建立并运行质量管理体系，将会取消合格供方资格，许多大型项目的招投标没有资格参加。 B如果没有进行质量体系认证，出口的产品将受到更严格的质量监测。 2．也是加强企业管理的内在需求（管理推动）。 A管理水平低。 B产品质量不稳定。 C交货期得不到保证。 C频繁的顾客投诉造成了直接的经济损失。 结论：要做ISO9001质量体系认证，会影响公司的信誉，公司的生存也将受到严重影响。 二、ISO9001质量体系认证运用的是过程管理： 1．原理：ISO9001质量体系认证是过程管理，确保影响产品质量的技术、管理和人的因素处于受控状态。所有的控制都是针对减少、消除不合格，尤其是预防不合格发生。 通俗地说：控制了过程，产品质量就是有理由相信的（但还不能保证）。反之，产品质量好，一定是各个过程的控制质量高。 2．思想：预防为主 3．要求：结合本企业的具体情况确定应有哪些过程？分析每一过程需要并展的质量话动，确定应采取的有效的控制措施和方法。 4．过程范围：在产品寿命周期的所有阶段，从初的识别市场需求到终满足要求的所有过程控制。 5．过程控制要素：人、机、料、法、环、测。 三、如何去做过程管理？ （一）主要过程有： 1．市场调研：在准确地确定市场需求的基础上开发新产品，防止盲目开发不适合市场需要的滞销产品，浪费人力、物力。 2．设计开发：通过开展设计评审、设计验证、设计确认等活动，确保设计输出满足输入要求，确保产品符合使用者的需求，防止因设计质量问题，造成产品的先天性的不合格和缺陷。 3．采购：选择合格的供货单位并控制其供货质量，确保所需的原材料、外购件、协作件等符合规定的质量要求，防止使用不合格外购产品投入生产而影响成品质量。（料） 4．生产：确定并执行适宜的生产方法，使用适道的设备：保持设备正常工作能力和所需的工作环境，控制影响质量的参数和人员技能，确保产品符合设计规定的质量要求，防止不合格品的生产。防止将不合格的工序产品转入下道工序。（机、法、环） 5．检验和试验：使用检定或自校的手段检测设备的正常状况，确保检验结果的有效性，防止因检测手段不合格造成对产品质量不正确的判定。按质量计划和形成文件的程序进行进货检验、过程检脸和成品检验，确保产品质量符合要求。（测） 6．交付：在搬运、贮存、包装、防护和交付等环节采取有效措施保护产品，防止损坏和变质，防止将不合格的产品交付给顾客。 （二）辅助过程： 1．文件管理：确保所有的场所使用的文件和资料都是现行有效的，防止使用过时或作废的文件，造成产品质量的还合格。 2．全员培训：对所有从事对质量有性响的工作人员都进行培训，。确保他们能胜任本岗位的工作，防止因知识或技能的不足，造成产品的不合格。（人） 3．纠正和预防措施：当发生不合格（包括产品的或体系的）或有顾客投诉时、应查明原因，针对原因采取纠正措施以防止问题的再发生；还应通过对质量信息的分析，发现潜在的问题。防止问题的出现，从而改进产品的质量。 4．质量改进：包括产品质量改进和工作质量改进，持续的质量改进是企业各级管理者追求的永恒目标。质量改进通过改进过程来实现，以追求更高的过程效益和效率为目标。 也可以这样认为： 如果过程是这样的：设计开发能满足顾客需求、有经过技能培训的人员、检测设备经过检定、外购的材料质量好、操作按规范要求、生产后的产品经过检测，在搬运、贮存、包装、防护和交付等环节采取有效措施保护产品，这样的产品是可以信任的。 如果过程是这样的：设计时先天性的不合格和缺陷，人员都不知道操作，而且不按作业规范操作，检测设备不知道好坏、外购的材料是粗制滥造的、生产后的产品也没有检测直接出厂、粗暴包装、搬运，这样的产品谁又敢用呢？ 四、体系运行后会带来的成效：实现跨越式发展。 1．根据市场需求，大力进行新产品研发和工艺改进，产品的技术含量得到进一步提升，市场竞争能力得到进一步增强。 2．市场适应能力和竞争能力得到有效增强，也取得了显著的经济效益。 3．质量保证能力明显增强，无论是进厂原料检验合格率，还是产品合格率都得到改善， 4．顾客的忠诚度、满意率逐年提高。

商品售后服务认证，是哪一个类别的认证？ 答：《共和国认证认可条例》规定：我国的认证分“产品、服务、管理体系”三类认证。其中如“3C”、“**”等，属于产品认证类别；“ISO9001质量管理体系”、“ISO14001环境管理体系”等，属于管理体系认证类别。还有一类就是服务认证，商品售后服务认证属于服务认证类别，是运用《商品售后服务评价体系》标准（GB/T27922-2011），对企业的服务能力进行审查，对服务水平做出评价。 服务认证的三星级、四星级、五星级有什么区别？ 企业具备什么样的服务水平能够**较高星级？ 区别肯定是有的。得分是显著的区别，80分以上是三星级，90分以上是四星，95分以上是五星级。 从目前获证企业规模的角度来看，五星级一般都是千人以上的大型企业和特大型企业，体系化较强，服务资源等相对完善，获得的成绩也较好。中型企业一般在三星和四星水平，小型企业一般在二星或三星水平。 当然，也不是说中小企业就不能达到五星级，主要是标准有些条款中小企业相对较难，比如资源配置的完善性、比如研发、 标准的起草、顾客满意度测评、危机事件处理等。也有服务范围覆盖地方的中小企业达到了五星级，的确是服务工作完善，评审时扣分很少。 而且这也不是**的，大型企业由于服务面广，顾客抱怨相对较多，反而会丢分，这个和现场评审的随机抽样也有关系。比如这次抽到了服务水平比较差的网点，失分比较严重。 企业应该扎扎实实做好体系，真正按标准要求，严格做好服务。 企业的售后服务认证工作由哪个部门牵头为好？ 答：一般国外企业的情况，是分生产、销售、服务三架马车并驾齐驱，服务部门是*为重要的部门，掌握大量资源，甚至成立的服务公司。售后服务体系的建立、执行以及改进，并不是售后服务部门一个部门的事，而是关系到企业全局，与质量、**、生产各环节密不可分。有些企业在实施ISO9001认证时，会设立权限*高的质控部（体系部）。 在进行售后服务认证时，应由企业高管理人或授权人任命一名专职负责人（可以是体系部或质控部的负责人）为售后服务体系的负责人（管理者代表），有*高的权限来建设、整合、修订企业的服务体系，并由售后服务部门牵头，其他部门（如人力资源、生产、产品改进等部门）协助完成认证工作。 GB/T27922-2011标准5.1.1.1提出：“设立或*专门从事售后服务工作的部门，并有合理的职能划分和岗位设置”。 执行售后服务工作的部门，及相关的管理和支持部门（标准条款中提到的部门）都与认证相关，如：生产管理部门、服务文化的宣贯部门、服务策略的**部门、服务网点管理部门、人员培训部门、工具和资源保障部门、监督部门、研究和改进部门、商品信息管理部门、配送和维修执行部门、商品**（采购）部门、废弃品处置部门、客户关系维系部门、投诉接听和反馈部门、销售部门、设计部门等。 企业如何按标准建立服务体系？审查时，会涉及到企业的哪些职能部门？应该怎样识别？ GB/T27922服务体系应按全员参与的原则来建立。 企业的高管理者应任命一个服务体系负责人，做为管理者代表，直接对总经理负责，管控服务体系的运行和实施。该负责人的权限应**有关部门，能建立完善的服务体系运行流程，能对各有关岗位提出执行目标和监督（不一定直接管理），使服务体系运行整体可控。 GB/T27922中提出的“售后服务”是广义范围，“评价”是根据所发现的情况得出判断结果的过程，要获得评价的结论，必须要对条件（人员、资源、组织架构、制度）和过程（时间、活动）以及结果（社会和顾客反馈的信息等）进行调查，所以GB/T27922对“售后服务”的评价必然涵盖对整体服务系统的的要求，包括企业在售前需要准备的工作，如：售前、售中对商品知识和文化的宣传，对顾客的告知和承诺 ISO认证