【ISO认证ISO9001质量认证值得信赖】

ISO27001信息管理体系标准 越来越多的信息问题成为威胁组织生存和发展的重要的隐患。基于国际标准ISO/IEC27001:2005的信息管理体系（InformationSecurityManagementSystem,ISMS）是目前国际上先进的信息解决方案，正在被越来越多的组织所采用。它运用PDCA过程方法和133项信息控制措施来帮助组织解决信息问题，实现信息目标。ISMS认证是一个组织证明其信息水平和能力符合国际标准要求的有效手段，它将帮助组织节约信息成本，增强客户、合作伙伴等相关方的信心和信任，提高组织的公众形象和竞争力。 ISO/IEC27000系列编号，是信息管理体系标准规划的ISO27000系列包含下列标准 ISO27000原理与术语 ISO27001信息管理体系—要求 ISO27002信息技术—技术—信息管理实践规范(ISO/IEC17799:2005) ISO27003信息管理体系—风险管理 ISO27004信息管理体系—指标与测量ISO27005信息管理体系—实施南 ISO27003信息管理体系—风险管理 ISO27004信息管理体系—指标与测量 ISO27005信息管理体系—实施指南 适用范围 ISO/IEC27001标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。ISO/IEC27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的控制措施的实施要求。 ISO/IEC27001:2005标准的架构 ISO27001共分成11个主题，39个控制目标，133个控制措施。 11个主题包括： 一SecurityPolicy(政策) 二Organizationofinformationsecurity(组织信息) 三Assetmanagement(资产管理) 四Humanresourcessecurity(人力资源) 五Physicalandenvironmentalsecurity(实体与环境) 六Communicationsandoperationsmanagement(通信和操作管理) 七Accesscontrol(访问控制) 八Informationsystemsacquisition,developmentandmaintenance(信息系统获取、开发与维护) 九Informationsecurityincidentmanagement(信息事故管理) 十Businesscontinuitymanagement(业务持续性管理) 十一Compliance(符合性) 信息管理体系建置方案 ISO27001所规范的『计划-执行-检查-行动』(PDCA,Plan-Do-Check-Act)发展模式及流程来建置信息管理体系(ISMS)，本公司将遵循此精神将咨询顾问分成四大阶段： 一项目启动 1现况了解 2进行差异性分析 3提供ISMS推动相关计划 4ISMS阶段培训 二风险评估与管理 1资产清点 2风险评估与报告产出 3风险处理与管理审查 三ISMS文件修订与实施 1四级文件制定及实施 2ISMS第二阶段培训 3营运持续演练 4内部审核与管理审查 四预评与认证 1ISMS预评及协助不符合项改善 2ISMS正式认证(分为阶段文审及第二阶段现场审核) 3协助认证各阶段不符事项进行改善 4取得建议发证报告及ISO27001 5协助拟定ISMS维运计划 实施ISO27001效益 一ISO27001的获得，可以客户表明，组织/企业遵循了所有适用的法律法规。从而保护企业和相关方的信息交换、知识产权、商业秘密等增加市场的竞争优势。 二信息管理体系的建立可以和外部团体如合作伙伴及客户与内部团体如股东说明组织/企业为保护信息所做的努力，使其对组织/企业的信心加强，并有助于在同行业中的竞争优势，客户满意度及形象。 三员工信息积极态度，规范信息制度，降低人为所造成的信息事故机率。 四公司运营目标及达到业务永续经营要求目标。 五满足组织/企业对信息的要求及期望。

ISO27001是ISO27000系列的主标准，类似于ISO9000系列中的ISO9001，各类组织可以按照ISO27001的要求建立自己的信息管理体系（ISMS），并通过认证。 规划的ISO27000系列包含下列标准 ISO27000原理与术语Principlesandvocabulary ISO27001信息管理体系要求ISMSRequirements(以BS7799-2为基础) ISO27002信息技术技术信息管理实践规范(ISO/IEC17799:2005) ISO27003信息管理体系实施指南ISMSImplementationguidelines ISO27004信息管理体系指标与测量ISMSMetricsandmeasurement ISO27005信息管理体系风险管理ISMSRiskmanagement ISO27006信息管理体系认证机构的认可要求ISMSRequirementsfortheaccreditationofbodiesprovidingcertification ISO27007信息技术-技术-信息管理体系审核员指南 Informationtechnology_Securitytechniques_ISMSauditorguidelines 其中ISO27001：2005的终标准草案（FDIS）已经在2005年7月发布，预计在2005年底或2006年初作为正式国际标准发布。 对ISO27001信息体系认证的常见几个问题进行了解答： 一：ISO27001的目的是什么？ISO27001旨在为信息保护提供统一和集中控制的管理体系。此外，通过有效监控IT风险，可降低各类业务流程所面临的威胁。 二：获得ISO27001认证对公司有什么益处？防止企业遭受网络攻击； 防止数据丢失，从而杜绝财务和声誉损失。 确保符合法律，减少黑客攻击，程度降低黑客访问敏感信息的能力。 三：ISO27001认证的其他优势包括： 信息的保密性竞争优势程度降低IT风险和潜在损害发现和薄弱环节IT风险控制确保满足合规要求降低成本 四：ISMS指什么？ 信息管理系统（ISMS）是综合了技术和人为因素的一套系统方法。根据企业所规定的保护需求，帮助企业建立持续优化方案和监管流程。ISO27001详细说明了信息管理系统的实施要求和文件要求。 五：ISO27001认证需要评估哪些内容？ 信息指南人力资源资产管理物理和环境访问控制密码运行通信物理和环境系统获取、开发和维护供应商关系信息事件管理业务连续性管理的信息符合性 六：ISO27001的有效期多长？ 的有效期为三年。通过年度监督审核和在三年期满前重新认证，可确保贵公司持续改进流程。 七：企业如何做到信息？ 企业需要根据标准采取网络措施。此外，还需满足有关技术和组织规定，确保数据的可用性、完整性、真实性和保密性。如遇黑客攻击，必须立即报告。

商品售后服务认证，是哪一个类别的认证？ 答：《共和国认证认可条例》规定：我国的认证分“产品、服务、管理体系”三类认证。其中如“3C”、“**”等，属于产品认证类别；“ISO9001质量管理体系”、“ISO14001环境管理体系”等，属于管理体系认证类别。还有一类就是服务认证，商品售后服务认证属于服务认证类别，是运用《商品售后服务评价体系》标准（GB/T27922-2011），对企业的服务能力进行审查，对服务水平做出评价。 服务认证的三星级、四星级、五星级有什么区别？ 企业具备什么样的服务水平能够**较高星级？ 区别肯定是有的。得分是显著的区别，80分以上是三星级，90分以上是四星，95分以上是五星级。 从目前获证企业规模的角度来看，五星级一般都是千人以上的大型企业和特大型企业，体系化较强，服务资源等相对完善，获得的成绩也较好。中型企业一般在三星和四星水平，小型企业一般在二星或三星水平。 当然，也不是说中小企业就不能达到五星级，主要是标准有些条款中小企业相对较难，比如资源配置的完善性、比如研发、 标准的起草、顾客满意度测评、危机事件处理等。也有服务范围覆盖地方的中小企业达到了五星级，的确是服务工作完善，评审时扣分很少。 而且这也不是**的，大型企业由于服务面广，顾客抱怨相对较多，反而会丢分，这个和现场评审的随机抽样也有关系。比如这次抽到了服务水平比较差的网点，失分比较严重。 企业应该扎扎实实做好体系，真正按标准要求，严格做好服务。 企业的售后服务认证工作由哪个部门牵头为好？ 答：一般国外企业的情况，是分生产、销售、服务三架马车并驾齐驱，服务部门是*为重要的部门，掌握大量资源，甚至成立的服务公司。售后服务体系的建立、执行以及改进，并不是售后服务部门一个部门的事，而是关系到企业全局，与质量、**、生产各环节密不可分。有些企业在实施ISO9001认证时，会设立权限*高的质控部（体系部）。 在进行售后服务认证时，应由企业高管理人或授权人任命一名专职负责人（可以是体系部或质控部的负责人）为售后服务体系的负责人（管理者代表），有*高的权限来建设、整合、修订企业的服务体系，并由售后服务部门牵头，其他部门（如人力资源、生产、产品改进等部门）协助完成认证工作。 GB/T27922-2011标准5.1.1.1提出：“设立或*专门从事售后服务工作的部门，并有合理的职能划分和岗位设置”。 执行售后服务工作的部门，及相关的管理和支持部门（标准条款中提到的部门）都与认证相关，如：生产管理部门、服务文化的宣贯部门、服务策略的**部门、服务网点管理部门、人员培训部门、工具和资源保障部门、监督部门、研究和改进部门、商品信息管理部门、配送和维修执行部门、商品**（采购）部门、废弃品处置部门、客户关系维系部门、投诉接听和反馈部门、销售部门、设计部门等。 企业如何按标准建立服务体系？审查时，会涉及到企业的哪些职能部门？应该怎样识别？ GB/T27922服务体系应按全员参与的原则来建立。 企业的高管理者应任命一个服务体系负责人，做为管理者代表，直接对总经理负责，管控服务体系的运行和实施。该负责人的权限应**有关部门，能建立完善的服务体系运行流程，能对各有关岗位提出执行目标和监督（不一定直接管理），使服务体系运行整体可控。 GB/T27922中提出的“售后服务”是广义范围，“评价”是根据所发现的情况得出判断结果的过程，要获得评价的结论，必须要对条件（人员、资源、组织架构、制度）和过程（时间、活动）以及结果（社会和顾客反馈的信息等）进行调查，所以GB/T27922对“售后服务”的评价必然涵盖对整体服务系统的的要求，包括企业在售前需要准备的工作，如：售前、售中对商品知识和文化的宣传，对顾客的告知和承诺 ISO认证