公司信息安全管理手册(5)

信息安全管理手册

行政中心制定并实施《人力资源管理程序》文件，确保被分配信息安全管理体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过：

a)确定承担信息安全管理体系各工作岗位的职工所必要的能力； b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求； c)评价所采取措施的有效性；

d)保留教育、培训、技能、经验和资历的记录。

本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献。

6

内部信息安全管理体系审核

6.1

总则

行政中心负责建立并实施《内部审核管理程序》，《内部审核管理程序》应包括策划和实施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔进行内部审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否：

a) 符合本标准的要求和相关法律法规的要求； b) 符合已识别的信息安全要求； c) 得到有效地实施和维护； d) 按预期执行。

6.2

内审策划

6.2.1行政中心应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果，对审核方案进行策划。应编制内审年度计划，确定审核的准则、范围、频次和方法。 6.2.2每次审核前，行政中心应编制内审计划，确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。

6.3

内审实施

6.3.1 应按审核计划的要求实施审核，包括：

a）进行首次会议，明确审核的目的和范围，采用的方法和程序； b）实施现场审核，检查相关文件、记录和凭证，与相关人员进行交流；

第 20 页 共 37页

信息安全管理手册

c）进行对检查内容进行分析，召开内审小组首次会议、末次会议，宣布审核意见和不符合报告；

d）审核组长编制审核报告。

6.3.2 对审核中提出的不符合项报告，责任部门应编制纠正措施，由行政中心组织对受审部门的纠正措施的实施情况进行跟踪、验证。 6.3.3 按照《记录管理程序》的要求，保存审核记录。6.3.4 内部审核报告，应作为管理评审的输入之一。

第 21 页 共 37页

信息安全管理手册

7

管理评审

7.1

总则

7.1.1行政中心负责每年下半年组织信息安全管理体系管理评审，以确保其持续的适宜性、充分性和有效性。

7.1.2管理评审应包括评价信息安全管理体系改进的机会和变更的需要，包括安全方针和安全目标。

7.1.3管理评审的结果应清晰地形成文件，记录应加以保持。

7.2

评审输入

管理评审的输入要包括以下信息： a) 信息安全管理体系审核和评审的结果； b) 相关方的反馈；

c) 用于改进信息安全管理体系业绩和有效性的技术、产品或程序； d) 预防和纠正措施的状况；

e) 以往风险评估没有充分强调的脆弱性或威胁； f) 有效性测量的结果； g) 以往管理评审的跟踪措施；

h) 任何可能影响信息安全管理体系的变更； i) 改进的建议。

7.3

评审输出

管理评审的输出应包括与下列内容相关的任何决定和措施： a) 信息安全管理体系有效性的改进； b) 更新风险评估和风险处理计划；

c) 必要时，修订影响信息安全的程序和控制措施，以反映可能影响信息安全管理体系的内外事件，包括以下方面的变化：

1) 业务要求； 2) 安全要求；

3) 影响现有业务要求的业务过程； 4) 法律法规要求；

第 22 页 共 37页

信息安全管理手册

5) 合同责任；

6) 风险等级和（或）风险接受准则。 d) 资源需求；

e) 改进测量控制措施有效性的方式。

7.4

评审程序

7.4.1 行政中心根据信息安全管理体系运行情况和内、外审的结果，针对评审输入信息要求，制定《管理评审计划》，送交总经理批准后，通知相关职能部门准备及提供评审资料。

7.4.2相关部门按《管理评审计划》，准备相关的信息、资料，对信息安全管理体系文件的适宜性、充分性及有效性做出评价，提出改进措施。

7.4.3 最高管理者主持召开管理评审会议，并根据评审结果，做出管理评审结论性评价，对信息安全管理体系中存在主要问题确定纠正和预防措施责成有关部门落实整改。 7.4.4 管理评审应形成《管理评审报告》，《管理评审报告》由管理者代表审核，最高管理者批准。

7.4.5 根据“管理评审报告”提出的要求，管理者代表组织各相关部门制定纠正、预防措施，并对实施情况进行协调、监督、检查。

第 23 页 共 37页

信息安全管理手册

8

信息安全管理体系改进

8.1

持续改进

本公司制定和实施《纠正措施管理程序》、《预防措施管理程序》《内部审核管理程序》等文件，通过下列途径持续改进信息安全管理体系的有效性：

a) 通过信息安全管理体系方针的建立与实施，对持续改进做出正式的承诺； b) 通过建立信息安全管理体系目标明确改进的方向；

c) 通过内部审核不断发现问题，寻找体系改进的机会并予实施，详见《内部审核管理程序》；

d) 通过数据分析不断寻求改进的机会，并做出适当的改进活动安排，详见《纠正措施管理程序》；

e) 通过实施纠正和预防措施实现改进，详见《纠正措施管理程序》和《预防措施管理程序》；

f) 通过管理评审输出的有关改进措施的实施实现改进，详见本手册第7章。

8.2

纠正措施

8.2.1 行政中心负责建立并实施《纠正措施管理程序》，采取纠正措施，消除与信息安全管理体系要求不符合的原因，以防止再发生。 8.2.2 《纠正措施管理程序》应规定以下方面的要求：

a) 识别存在的不符合； b) 确定不符合的原因；

c) 评价确保不符合不再发生的措施要求； d) 确定和实施所需的纠正措施； e) 记录所采取措施的结果； f) 评审所采取的纠正措施。

8.3

预防措施

8.3.1 行政中心建立并实施《预防措施管理程序》，规定采取以下措施，以消除潜在与信息安全管理体系要求不符合的原因，防止其发生。 8.3.2 所采取的预防措施应与潜在问题的影响程度相适应。

第 24 页 共 37页