iso27001信息安全管理手册
管理职责
管理承诺
我公司管理者通过以下活动,对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据:
a) 建立信息安全方针(见本手册第0.4章);
b) 确保信息安全目标得以制定(见本手册第0.4章、《适用性声明》、《信息安全不可接受风险处理计划》及相关记录);
c) 建立信息安全的角色和职责(见本手册附录E);
d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;
e) 提供充分的资源,以建立、实施、运作、监视、评审、保持并改进信息安全管理体系(见本手册第5.2章);
f) 决定接受风险的准则和风险的可接受等级(见《信息安全风险评估管理程序》及相关记录);
g) 确保内部信息安全管理体系审核(见本手册第6章)得以实施; h) 实施信息安全管理体系管理评审(见本手册第7章)。 资源管理 资源的提供
本公司确定并提供实施、保持信息安全管理体系所需资源;采取适当措施,使影响信息安全管理体系工作的员工的能力是胜任的,以保证:
a) 建立、实施、运作、监视、评审、保持和改进信息安全管理体系; b) 确保信息安全程序支持业务要求;
c) 识别并指出法律法规要求和合同安全责任; d) 通过正确应用所实施的所有控制来保持充分的安全; e) 必要时进行评审,并对评审的结果采取适当措施; f) 需要时,改进信息安全管理体系的有效性。 培训、意识和能力
行政中心制定并实施《人力资源管理程序》文件,确保被分配信息安全管理体系规定职责的所有人员,都必须有能力执行所要求的任务。可以通过:
18
iso27001信息安全管理手册
a)确定承担信息安全管理体系各工作岗位的职工所必要的能力; b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求; c)评价所采取措施的有效性;
d)保留教育、培训、技能、经验和资历的记录。
本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如何为实现信息安全管理体系目标做出贡献。
内部信息安全管理体系审核
总则
行政中心负责建立并实施《内部审核管理程序》,《内部审核管理程序》应包括策划和实施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔进行内部审核,以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否:
a) 符合本标准的要求和相关法律法规的要求; b) 符合已识别的信息安全要求; c) 得到有效地实施和维护; d) 按预期执行。 内审策划
6.2.1行政中心应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果,对审核方案进行策划。应编制内审年度计划,确定审核的准则、范围、频次和方法。
6.2.2每次审核前,行政中心应编制内审计划,确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。
内审实施
6.3.1 应按审核计划的要求实施审核,包括:
a)进行首次会议,明确审核的目的和范围,采用的方法和程序; b)实施现场审核,检查相关文件、记录和凭证,与相关人员进行交流;
c)进行对检查内容进行分析,召开内审小组首次会议、末次会议,宣布审核意见和不符合报告;
d)审核组长编制审核报告。
6.3.2 对审核中提出的不符合项报告,责任部门应编制纠正措施,由行政中心组织对受审部门的纠正措施的实施情况进行跟踪、验证。
19
iso27001信息安全管理手册
6.3.3 按照《记录管理程序》的要求,保存审核记录。 6.3.4 内部审核报告,应作为管理评审的输入之一。
20
iso27001信息安全管理手册
管理评审
总则
7.1.1行政中心负责每年下半年组织信息安全管理体系管理评审,以确保其持续的适宜性、充分性和有效性。
7.1.2管理评审应包括评价信息安全管理体系改进的机会和变更的需要,包括安全方针和安全目标。
7.1.3管理评审的结果应清晰地形成文件,记录应加以保持。
评审输入
管理评审的输入要包括以下信息: a) 信息安全管理体系审核和评审的结果; b) 相关方的反馈;
c) 用于改进信息安全管理体系业绩和有效性的技术、产品或程序; d) 预防和纠正措施的状况;
e) 以往风险评估没有充分强调的脆弱性或威胁; f) 有效性测量的结果; g) 以往管理评审的跟踪措施;
h) 任何可能影响信息安全管理体系的变更; i) 改进的建议。 评审输出
管理评审的输出应包括与下列内容相关的任何决定和措施: a) 信息安全管理体系有效性的改进; b) 更新风险评估和风险处理计划;
c) 必要时,修订影响信息安全的程序和控制措施,以反映可能影响信息安全管理体系的内外事件,包括以下方面的变化:
1) 业务要求; 2) 安全要求;
3) 影响现有业务要求的业务过程; 4) 法律法规要求; 5) 合同责任;
6) 风险等级和(或)风险接受准则。
21
iso27001信息安全管理手册
d) 资源需求;
e) 改进测量控制措施有效性的方式。 评审程序
7.4.1 行政中心根据信息安全管理体系运行情况和内、外审的结果,针对评审输入信息要求,制定《管理评审计划》,送交总经理批准后,通知相关职能部门准备及提供评审资料。 7.4.2相关部门按《管理评审计划》,准备相关的信息、资料,对信息安全管理体系文件的适宜性、充分性及有效性做出评价,提出改进措施。
7.4.3 最高管理者主持召开管理评审会议,并根据评审结果,做出管理评审结论性评价,对信息安全管理体系中存在主要问题确定纠正和预防措施责成有关部门落实整改。
7.4.4 管理评审应形成《管理评审报告》,《管理评审报告》由管理者代表审核,最高管理者批准。
7.4.5 根据“管理评审报告”提出的要求,管理者代表组织各相关部门制定纠正、预防措施,并对实施情况进行协调、监督、检查。
22