1. 管理评审周期
公司按年度召开信息安全管理体系的管理评审会议,会议一般在内审及第三方审核之后召开,会议对**年信息安全情况做出评审,评审结果作为下一年信息安全计划的输入。当发生下列情况时,信息安全管理小组可以临时决定增加管理评审。
1) 组织结构、资源配置发生重大变化;
2) 业务目标或业务运作流程发生重大变化;
3) 信息安全法律、法规发生重大变化;
4) 发生重大信息安全事件;
5) 风险等级的划分和风险可接受水平发生变化;
6) 其他不可预见情况需要时。
2. 管理评审内容
信息安全工作小组根据评审内容进行内容收集工作,准备**审必需的文件、资料等信息,并报体系负责人。各部门根据体系运行的情况形成《部门管理评审输入报告》做为评审会议的输入。
年度报告及管理评审内容应包括:
1) 信息安全管理体系相关文件变化;
2) 方针、目标完成情况及有效性测量结果;
3) 风险评估报告;
4) 内部和外部信息安全管理体系审核结果;
5) 纠正措施、预防措施实施报告;
6) 顾客等相关方反馈;
7) 实际运行的符合性;
8) 事故统计及分析报告;
9) 以往管理评审决定实施情况;
10) 可能影响信息安全管理体系的内外部环境的变化;
11) 改进的建议。
不可接受风险的确定和处理
1) 针对所有的中级以上(包括中级)风险,各责任部门采取有效安全控制措施,确保所采取的控制措施是充分的,直到其风险降至可接受为止。
2) 在实际的控制措施执行后,信息安全管理小组及各部门评估人员根据实际措施的执行效果,重新评估资产的威胁值和脆弱性值,从而计算出关键活动的残余风险。
3) 信息安全管理小组:根据风险评估以及处置的结果编制《信息安全风险评估报告》,陈述本公司信息安全管理现状及残余风险状况。
4) 对于不进行处置的风险及残余风险仍处于中级以上(包括中级)的风险,由信息安全管小组完成《残余风险批示报告》,《残余风险批示报告》需经过公司管理者批准通过,才能接受残余风险。
1. 目的和范围
2. 引用文件
3. 职责和权限
4. 内部组织及沟通
5. 与监管机构联系
6. 与特定利益集团联系
7. 项目管理中的信息安全
8. 笔记本电脑使用规定
9. 远程访问管理
9.1. 远程接入的用户认证
9.2. 远程接入的审计
10. 实施策略
11. 相关记录
1. 目的和范围
建立完善内外组织系统,保证内外部组织渠道的畅通,及时了解体系运行情况,确保体系有效运行,促进公司业务组织的安全管理制度。
本规定适用于公司业务组织的安全管理,包括:
1) 内部之间的组织;
2) 信息系统与外部系统之间的组织;
3) 与供应商、客户等相关单位和个人间的组织。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
3. 职责和权限
1) 信息安全工作小组
内部沟通职责:维持内部的信息沟通;向公司内部人员传达与信息安全有关的法规资料及政策;接收内部人员对信息安全管理体系的意见并采取相应行动。
2) 信息安全工作小组成员:收集员工对信息安全方面的意见,并向信息安全工作小组组长反映;协助宣传及教育员工,使员工熟悉有关信息安全方面的知识。
3) 部门负责人:确保部门内容信息能及时有效沟通。对于公司内、外部所反馈的信息安全方面的意见、建议进行审查,不断的改进、完善信息安全管理体系。
-/gbafcjj/-
http://iso9001fsc1.b2b168.com
