条款 7.1 ISMS的管理评审总则
(1) 管理者要每年至少评审1次ISMS l 是否有一个确保管理者每年至少评审1次ISMS的过程?
l 是否检查了ISMS的实施情况,以确保ISMS持续的适宜性、充分性和有效性?
(2) 评审要包括评估改进的机会和变更ISMS的需要 l 在管理评审时,是否评估了ISMS(包括信息安全方针和信息安全目标)改进的机会和变更的需要?
(3)评审的结果要形成文件 l 评审结果是否形成了文件?
(4)评审的记录要加以保持 l 记录是否按照“记录控制”的要求加以保持?
条款 7.2 评审输入
a) 管理评审的输入要包括审核和评审结果 l 是否有一个确保管理评审的输入包括标准要求的9方面信息的过程?
l 是否管理评审的输入包括先前的审核和评审结果?
b)管理评审的输入要包括相关方的反馈 l 是否管理评审的输入包括相关方的反馈?
c)管理评审的输入要包括可用于改进ISMS的技术、产品或程序 l 是否管理评审的输入包括可用于改进ISMS的技术、产品或程序?
d)管理评审的输入要包括预防和纠正措施的状况 l 是否管理评审的输入包括预防和纠正措施的状况?
e)管理评审的输入要包括以往风险评估没有充分解决的脆弱点或威胁 l 是否管理评审的输入包括预防和纠正措施的状况?
f)管理评审的输入要包括有效性测量的结果 l 是否管理评审的输入包括ISMS有效性的测量结果?
g)管理评审的输入要包括以往管理评审的跟踪措施 l 是否管理评审的输入包括以往管理评审的跟踪措施?
h)管理评审的输入要包括可能影响ISMS的任何变更 l 是否管理评审的输入包括可能影响ISMS的任何变更?
i) 管理评审的输入要包括改进的建议 l 是否管理评审的输入包括任改进的建议?
记录填写和编制
1) 记录的填写或编制由记录的发生部门专人负责, 按信息安全管理手册、制度及规定等要求,使用规定的表格或模板如实填写或编制。同年度同一类记录按时间顺序编目。
2) 记录按规定格式填写,所有记录,都要有记录编号,以便检索;凡要求填写数据的,必须填写数据;凡要求签名的,必须签全名。
3) 纸质记录的填写字迹要清晰,内容齐全,能被准确识别,记录不得随意进行更改;凡因笔误需更改的记录,要用“/”划断,在旁边空白处写上正确的数据或文字,并签上修改人姓名及时间。
4) 记录原则上不能修改,若修改,尤其是修改较多或变动较大时,要重新填写,原记录作废,新记录重新履行编制审批手续。如果记录在格式上有变化,必须填写《文件变更审批表》,件负责人同意后,方可使用新的记录格式。
信息安全组织框架
公司信息安全组织框架包括管理决策、监督检查、贯彻执行三层架构。其中,公司的管理决策职能由信息安全管理小组和管理者代表承担,公司信息安全总体工作,小组成员由公司总经理、管理者代表及部门负责人组成。监督检查职能由信息安全工作组承担,工作组由一名工作组组长及工作组成员构成,主要负责信息安全各项工作的日常监督和持续检查,信息安全工作组组长由公司安全负责人担任,其成员由各小组负责人、信息安全员及公司其他安全人员组成。贯彻执行职能由公司各小组及小组员工承担,遵循信息安全管理要求,落实各项信息安全工作,配合监督和检查;同时,公司各小组设置专职的信息安全员(或信息安全员),负责本小组信息安全工作的具体协调和落实(具体内容参见附件一:信息安全组织映射表及附件二:信息安全职责分配表)。
-/gbafcji/-
http://iso9001fsc.b2b168.com
