1. 目的和范围
2. 引用文件
3. 职责和权限
4. 活动描述
4.1. 管理评审周期
4.2. 管理评审内容
4.3. 管理评审计划
4.4. 评审实施
5. 持续改进
6. 相关记录
1. 目的和范围
为了确保现行信息安全管理体系的适宜性、充分性和有效性;现行信息安全管理体系持续有效地满足标准的要求;公司的信息安全方针和目标适应自身发展的需要,对信息安全管理体系进行评审,特制定本制度。
本制度适用于信息安全管理体系管理评审过程。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《纠正和预防措施控制制度》
5) 《文件控制制度》
3. 职责和权限
1) 信息安全管理小组:负责对信息安全管理体系进行管理评审,对体系的变更和修改进行决策。
2) 体系负责人:负责组织召开管理评审会议,并向信息安全管理小组汇报信息安全管理体系的运行情况。
3) 信息安全工作小组:负责管理评审材料的收集,并根据管理评审的决定,组织进行跟踪、验证实施效果。
4) 行政部: 负责管理评审相关材料的备案。
5) 各部门:负责本部门提供评审材料。
业务风险等级评估
1) 通过对主营业务及信息系统的全面分析,梳理出重要信息资产的清单。
2) 各部门评估人员针对《信息安全风险评估表》下的《资产清单》中的重要信息资产进行风险评估, 评估主要考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度,从而判断对业务的影响。
3) 各部门评估人员按照《赋值说明》对每一项资产的保密性、可用性、完整性和与业务影响度进行赋值,并得出资产价值。资产价值大于等于4为重要信息资产。
4) 各部门评估人员根据资产本身所处的环境条件,参考《信息安全风险评估表》中的《威胁、脆弱性推荐对照表》以及在现状调研阶段分析出的内容,识别重要信息资产所面临的脆弱性及对应的威胁,及针对各威胁目前已有的控制措施;
5) 在考虑现有的控制前提下,参考《赋值说明》判断每项信息资产所面临威胁发生的可能性,判断薄弱点程度等级,分别赋1-5的值;
6) 《信息安全风险评估表》将自动结合资产的价值,威胁值和脆弱性的值,计算出业务风险的等级。
7) 信息安全管理小组考虑本公司整体的信息安全要求,对各部门填写的《信息安全风险评估表》进行审核,确保风险评估水平的一致性,确保没有遗漏重要信息安全风险。如果对评估结果进行修改,应该和关键活动或信息系统的责任部门进行沟通并获得该部门的确认。
1. 目的和范围
为了规定公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估本公司的信息安全风险,选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持业务持续性发展,以满足信息安全管理方针的要求,特制订本制度。
本制度适用信息安全管理体系范围内信息安全风险评估活动。
2. 引用文件
1) 下列文件中的条款通过本制度的引用而成为本制度的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本制度,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本制度。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) ISO/IEC 27005:2008《信息技术-安全技术-风险管理》
5) 《GB/T 20984-2007信息安全风险评估指南》
3. 职责和权限
1) 信息安全管理小组:负责汇总确认《信息安全风险评估表》,并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。
2) 公司全体员工:在信息安全管理小组协调下,负责本部门使用或管理的资产的识别和风险评估;负责本部门所涉及的资产的具体安全控制工作。信息安全管理员在本部门信息资产发生变更时,需要及时清点和评估,并报送信息安全管理小组更新《信息安全风险评估表》。
-/gbafcjj/-
http://iso9001fsc1.b2b168.com
