1. 管理评审周期
公司按年度召开信息安全管理体系的管理评审会议,会议一般在内审及第三方审核之后召开,会议对**年信息安全情况做出评审,评审结果作为下一年信息安全计划的输入。当发生下列情况时,信息安全管理小组可以临时决定增加管理评审。
1) 组织结构、资源配置发生重大变化;
2) 业务目标或业务运作流程发生重大变化;
3) 信息安全法律、法规发生重大变化;
4) 发生重大信息安全事件;
5) 风险等级的划分和风险可接受水平发生变化;
6) 其他不可预见情况需要时。
2. 管理评审内容
信息安全工作小组根据评审内容进行内容收集工作,准备**审必需的文件、资料等信息,并报体系负责人。各部门根据体系运行的情况形成《部门管理评审输入报告》做为评审会议的输入。
年度报告及管理评审内容应包括:
1) 信息安全管理体系相关文件变化;
2) 方针、目标完成情况及有效性测量结果;
3) 风险评估报告;
4) 内部和外部信息安全管理体系审核结果;
5) 纠正措施、预防措施实施报告;
6) 顾客等相关方反馈;
7) 实际运行的符合性;
8) 事故统计及分析报告;
9) 以往管理评审决定实施情况;
10) 可能影响信息安全管理体系的内外部环境的变化;
11) 改进的建议。
1、服务部:
1)对公司经营或运营数据资产进行统一编号。
2)负责制定公司数据资产安全管理制度。
3)负责对一级业务结果数据资产进行安全管理,标注一级数据资产及其介质,在传输时须进行加密传输,并由专人保管。
4)负责对二级业务过程数据进行安全管理,标注二级数据资产及其介质,由专人保管。
5)制定维护数据资产清单。
6)数据调阅管控:签发审批单,做好审批记录。
7)对四级服务外包数据资产及其介质分级标注。
8)操作计算机只安装允许配置的软件,并制定和维护允许安装的软件清单。
9)存储在任何介质中一二级的不用的、过时的或无效的数据须进行不可恢复性删除。删除前须经过主管审批通过,执行删除时须经过至少二人确认。
10)对于二级系统和业务数据,须对登录帐号配置相应的访问角色权限。不同的角色访问不同的数据。
11)在数据管理软件中配置和控制登录权限,打开操作日志等。
12)对数据存储服务器控制和配置帐号权限。
13)在业务系统软件中配置和控制登录权限,打开操作日志等。
14)对数据操作使用的环境场地进行安全配置。
15)对数据操作使用的网络安全环境进行安全配置。
16)对服务器网络和计算机只打开需要的设备和端口。
17)数据操作进行监控,必要时安装监控设备。
18)对移动介质存储数据进行管理和控制。
19)对于一二三级相关系统和业务数据进行数据备份管理。
20)保证项目实施过程中一级数据中系统配置数据的安全使用,防止复制传输过程中被非法传播、遗失、损坏。
21)保证项目实施过程中二级数据的安全操作,防止二级数据被损坏或丢失。
22)保证项目实施过程中的其他数据的安全。
不可接受风险的确定和处理
1) 针对所有的中级以上(包括中级)风险,各责任部门采取有效安全控制措施,确保所采取的控制措施是充分的,直到其风险降至可接受为止。
2) 在实际的控制措施执行后,信息安全管理小组及各部门评估人员根据实际措施的执行效果,重新评估资产的威胁值和脆弱性值,从而计算出关键活动的残余风险。
3) 信息安全管理小组:根据风险评估以及处置的结果编制《信息安全风险评估报告》,陈述本公司信息安全管理现状及残余风险状况。
4) 对于不进行处置的风险及残余风险仍处于中级以上(包括中级)的风险,由信息安全管小组完成《残余风险批示报告》,《残余风险批示报告》需经过公司管理者批准通过,才能接受残余风险。
-/gbafcjj/-
http://iso9001fsc1.b2b168.com
