a) 确保安全活动的执行符合信息安全方针; b) 确定怎样处理不符合;
c) 批准信息安全的方法和过程,如风险评估、信息分类;
d) 识别重大的威胁变化,以及信息和相关的信息处理设施对威胁的暴露; e) 评估信息安全控制措施实施的充分性和协调性; f) 有效的推动组织内信息安全教育、培训和意识;
g) 评价根据信息安全事件监控和评审得出的信息,并根据识别的信息安全事件推荐适当的措施。
4.2.2.3信息安全职责和权限
本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职责如何,对信息安全负有以下职责:
a) 建立并实施信息安全管理体系必要的程序并维持其有效运行;
b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全领导小组或最高责任者报告。
各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
各部门、人员有关信息安全职责分配见本信息安全管理手册第3.4条款《信息安全管理职责明细表》和相应的程序文件。
4.2.2.4 各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。
4.2.3监控和评审ISMS
4.2.3.1本公司通过实施不定期安全检查、内部审核、事故(事件)报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:
a)及时发现处理结果中的错误、信息安全体系的事故(事件)和隐患;
b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击; c)使管理者确认人工或自动执行的安全活动达到预期的结果;
d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效; e)积累信息安全方面的经验;
4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全管理体系的有效性进行评审,其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审,考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。管理评审的具体要求,见本手册第7章。
4.2.3.3 网络管理部应组织有关部门按照《信息安全风险管理程序》的要求,采用信息安全风险管理软件,对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
a) 组织; b) 技术;
c) 业务目标和过程; d) 已识别的威胁;
e) 实施控制的有效性;
f) 外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。 4.2.3.4按照计划的时间间隔进行信息安全管理体系内部审核,内部审核的具体要求,见本手册第6章。
4.2.3.5定期对信息安全管理体系进行管理评审,以确保范围的充分性,并识别信息安全管理体系过程的改进,管理评审的具体要求,见本手册第7章。 4.2.3.6考虑监视和评审活动的发现,更新安全计划。
4.2.3.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。
4.2.4保持与持续改进ISMS
我公司开展以下活动,以确保信息安全管理体系的持续改进:
a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目;
b) 按照《内部审核管理程序》、《纠正措施管理程序》、《预防措施管理程序》的要求采取适当的纠正和预防措施;吸取其他组织及本公司安全事故(事件)的经验教训,不断改进安全措施的有效性;
c) 通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等;
d) 对信息安全目标及分解进行适当的管理,确保改进达到预期的效果。
相关文件: 《系统风险评估方法》 《适用性声明》 《管理评审程序》 《内部审核控制程序》 《纠正措施控制程序》 《预防措施控制程序》
4.3文件要求 4.3.1总则
ISMS文件应包括:
a) 形成文件的ISMS方针和控制目标; b) ISMS范围
c) ISMS的支持性程序和控制措施; d) 风险评估方法的描述; e) 风险评估报告; f) 风险处置计划;
g) 公司为确保其信息安全过程的有效策划、运行和控制以及规定如何测量控制措施有效性所需的程序文件;
h) 标准所要求的记录; i) 适用性声明。
所有文件应按ISMS方针要求在需要时可获得。 4.3.2文件控制
ISMS所要求的文件应予以保护和控制,应编制形成文件的程序以规定以下方面所需的管理措施:
a) 文件发布前得到批准以确保文件是充分的; b) 必要时对文件进行评审与更新并再次批准; c) 确保文件的更改和现行修订状态得到识别; d) 确保在使用处可获得适用文件的适用版本; e) 确保文件保持合法并易于识别; f) 确保外来文件得到识别; g) 确保文件的分发是受控的; h) 防止作废文件的非预期使用;
i) 若因任何原因而保留作废文件时对这些文件进行适当的标识;
4.3.3记录控制
应建立并保持记录,以提供符合要求和ISMS有效运行的证据。记录应得到保护并且受控。ISMS应考虑相关法律要求,记录应易于识别和检索。应编制形成文件的程序,以规定记录的识别、贮存、保护、检索、保存期限和处置所需的控制,确定记录需要和程度的管理过程。 保持过程业绩的记录以及与ISMS有关的安全事件的记录。例如,记录包括访问者登记审核记录和访问授权。
相关文件: 《文件控制程序》 《记录控制程序》 5 管理职责
5.1管理承诺
管理层应通过以下措施对其建立、实施、运行、监控、评审、维护和改进ISMS的承诺提供证据。
a) 建立信息安全方针;
b) 确保信息安全目标和计划的建立; c) 为信息安全分配角色和职责;
d) 向公司传达满足信息安全目标、符合信息安全方针、法律责任和持续改进的重要性; e) 提供足够的资源以建立、实施、运行、监控、评审、维护和改进ISMS; f) 决定可接受风险的标准和可接受风险的等级; g) 确保ISMS内部审核的执行; h) 进行ISMS管理评审。
相关文件: 《信息安全方针和目标》 《部门职责》
《管理评审程序》 《系统风险评估方法》
5.2 资源管理 5.2.1资源提供
公司应确定和提供以下方面所需的资源
a) 建立建立、实施、运行、监控、维护和改进ISMS b) 确保信息安全程序支持业务需求;
c) 识别并确定法律法规要求和合同安全责任;
d) 通过正确应用所有实施的控制措施的来维持足够的安全; e) 必要时进行评估,并对评估结果采取适当的对应措施; f) 必要时改进ISMS的有效性。 5.2.2培训、意识和能力
公司应确保在ISMS中任命职责的人员应能够胜任要求的任务 a) 确定从事影响信息安全工作的人员所必需的能力;
b) 提供足够的能力培训或其它措施,必要时聘用有能力的人员满足这些要求; c) 评估所提供的培训和采取措施的有效性;
d) 保持教育、培训、技能、经验和资质的适当记录。
公司应确保员工认识到所从事信息安全活动的相关性和重要性,以及如何为实现ISMS目标作出贡献。
相关文件: 《人力资源管理控制程序》
6 ISMS内部审核
公司应按计划的时间间隔进行ISMS内部审核,以确定控制目标、控制措施、过程和程序是否:
a) 符合标准及相关法律法规的要求; b) 符合确定的信息安全要求; c) 得到有效地实施和维护; d) 按期望运行。
内部审核程序应进行计划,并考虑受审核过程的状况、重要性和受审核的区域以及上次审核结果,应规定审核准则、范围、频次和方式,审核员的选择和审核活动应保证审核过程的客观和公正,审核员不能审核自己的工作。
应建立形成文件的程序,以规定策划和实施审核的职责和要求以及报告结果和保持记录。 受审核区域的负责人应确保立即采取措施,以消除发现的不符合及其原因。改进措施包括所采取措施的验证并汇报验证结果。
相关文件: 《内部审核控制程序》