信息安全管理手册
8.3.3 《预防措施管理程序》应规定以下方面的要求:
a) 识别潜在的不符合及其原因; b) 评价预防不符合发生的措施要求; c) 确定并实施所需的预防措施; d) 记录所采取措施的结果; e) 评审所采取的预防措施。
8.3.4 公司风险评估小组应定期进行风险评估,以识别变化的风险,并通过关注变化显著的风险来识别预防措施要求。预防措施的优先级应基于风险评估结果来确定。
第 25 页 共 37页
信息安全管理手册
附录A (规范性附录) 信息安全管理组织结构图
信息安全委员会 (最高管理者) 信息安全内审小组 管理者代表 信息安全执行代表(各部门)
第 26 页 共 37页
信息安全管理手册
附录B (规范性附录) 办公大楼平面图
201室:总经理室 202室:行政中心 203室:项目中心 204室:机房 205室:客服中心 206室:会议室
其中201室、203室、204室为公司重要安全区域,202室、205室、206室为公司普通安全区域。
第 27 页 共 37页
信息安全管理手册
附录C (规范性附录) 信息安全管理职责明细表
部门/职位 信息安全管理委员会 ? ? ? ? ? ? ? ? ? ? 建立信息安全管理体系的策略。 负责信息安全方针和目标的建立。 负责分配信息安全的角色和相关职责。 负责公司信息安全组织结构的批准。 负责信息安全管理体系管理者代表的任命。 确保信息安全管理体系内部审核的实施。 定期对信息安全管理体系进行管理评审。 确保公司信息安全教育的落实。 决定接受风险准则和风险的可接受的等级。 为信用卡中心信息安全管理体系的建立、实施、运作、监视保持和改进配备必要的资源。 管理者代表 ? 监督信息安全管理体系的实施,监控公司的信息安全情况,并定期向最高管理者汇报。 ? 向公司传达实现信息安全目标、符合信息安全策略、法律责任的重要性以及持续改进的需要。 ? ? ? ? ? ? 信息安全执行代表 ? ? ? 负责信息安全管理体系内审员的批准。 负责程序文件的审批,包括修改的审批。 确认信息管理手册内容,并负责后期工作的监督。 审核批准内部审核计划,主持、监督信息安全内部审核,批复内审报告。 负责审核管理评审计划和管理评审报告,监督管理评审措施的落实。 负责组织和确认公司信息安全教育。 在信息安全管理组确定的实施范围内,具体推广并落实各项策略要求和控制措施。 负责本部门信息安全的日常工作,负责本部门人员的信息安全意识提升。 对本部门信息资产进行风险评估,根据公司的实情,讨论风险的可接受标准,对不能接受的风险进行处置。 职责 ? 信息安全内审小组 ? ? ? 负责本部门信息安全事件的应急处理。 负责对各部门信息安全管理体系的实施运行情况进行监督和检查。 负责内部审核和外部审核的具体安排。 负责组织对信息安全管理体系文件的评审,并提出文件评审意见。 负责有效性测量工作的计划和实施。 负责收集与本部门相关的信息安全方面的法规及其他要求,并及时上报信息安全委员会,同时负责在本部门内传达,贯彻和实施与部门相关的法规及其他要求。 ? 各部门 ? ? 协助在本部门内宣传公司的信息安全管理体系文件的要求,提高本部门员工的信 第 28 页 共 37页
信息安全管理手册
息安全意识。 ? ? ? ? 按照信息安全体系文件的要求,在本部门遵照执行。 发生信息安全事故后负责配合信息安全委员会工作,并协助制定、实施处置措施。 协助信息安全审计小组进行体系的内部审查与外部评审。 对信息资产实行有效管理,确保信息的机密性,维持信息的完整性和可用性,防范对信息的未经授权访问。 ? ? 负责本部门信息安全管理体系文件和记录的接收、编写、修改与保存。 处理本部门与信息安全相关的事宜,向信息安全委员会反馈本部门在信息安全方面的要求和建议。 ? ? 在第三方或对外联络中积极宣传本公司的信息安全目标和方针。 在与第三方或外界进行信息交流、接触时,保证信息的安全。
第 29 页 共 37页