信息安全组织框架
公司信息安全组织框架包括管理决策、监督检查、贯彻执行三层架构。其中,公司的管理决策职能由信息安全管理小组和管理者代表承担,公司信息安全总体工作,小组成员由公司总经理、管理者代表及部门负责人组成。监督检查职能由信息安全工作组承担,工作组由一名工作组组长及工作组成员构成,主要负责信息安全各项工作的日常监督和持续检查,信息安全工作组组长由公司安全负责人担任,其成员由各小组负责人、信息安全员及公司其他安全人员组成。贯彻执行职能由公司各小组及小组员工承担,遵循信息安全管理要求,落实各项信息安全工作,配合监督和检查;同时,公司各小组设置专职的信息安全员(或信息安全员),负责本小组信息安全工作的具体协调和落实(具体内容参见附件一:信息安全组织映射表及附件二:信息安全职责分配表)。
目的和范围
为了有效控制信息安全管理体系文件,对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制,确保部门使用现行的有效版本,特制订本制度。
本制度适用于信息安全管理体系文件的管理。
1. 引用文件
1) 《合规性实施制度》
2) 《信息资产分类分级管理制度》
2. 职责和权限
1) 总裁办是信息安全管理体系文件的归口部门,负责信息安全有关的所有文件的管理与控制。
2) 各部门:负责本部门信息安全管理文件的管理与控制。
3. 管理内容及控制要求
4.1 文件的分类
信息安全管理体系文件主要包括:
1) 层:信息安全管理手册、信息安全目标、信息安全适用性声明(SOA)、信息安全策略;
2) *二层:制度文件;
3) *三层:各管理规定、管理办法、流程、作业指导书(指南)及外来文件等;
4) *四层:记录、表单。记录控制执行《记录控制制度》。
4.2 文件编制
文件编制要有充分的依据,体现系统协调,可操作、可检查的原则。
1) 层:信息安全管理手册由体系负责人组织编写,信息安全管理者代表审核,总经理批准发布。
2) 第二、三层:由相关责任部门编写,信息安全管理者代表审核,总经理批准发布。
3) *四层:由相关责任部门编写,文档负责人审批,信息安全管理者代表批准发布。
A.14 信息系统获取、开发和维护
A.14.1 A.14.1.1 安全要求分析和说明 查阅系统开发中安全需求分析和说明等相关文件
信息系统的安全要求 A.14.1.2公共网络应用服务安全 询问、验证对网站信息的发布管理过程
A.14.1.3保护应用服务交易 检查业务数据、管理信息的保护权限
A.14.2 A.14.2.1安全开发策略 检查是否制定及应用关于软件和系统的开发规则,并应用于组织内的开发
开发和支持过程的安全 A.14.2.2 变更控制规程 查阅变更控制等相关文件。
A.14.2.3 操作系统变更后应用的技术评审 查阅操作系统变更后对应用的技术评审记录。
A.14.2.4 软件包变更的限制 询问对系统变更的限制措施。
A.14.2.5系统开发程序(安全系统原则) 检查是否建立安全系统开发流程,记录,维护并应用到任何信息系统开发工作
A.14.2.6安全的开发环境 检查开发、测试和生产环境是否分离
A.14.2.7 外包软件开发 是否有外包管理规定,是否按规定来监督外包项目的执行
A.14.2.8系统安全性测试 检查是否在开发过程中,测试了功能的安全性
A.14.2.9系统验收测试 查阅系统建设完成时的验收标准和验收记录
A.14.3 A.14.3.1 系统测试数据的保护 询问对系统测试数据的包括措施。
-/gbafcji/-
http://iso9001fsc.b2b168.com
