信息安全组织框架
公司信息安全组织框架包括管理决策、监督检查、贯彻执行三层架构。其中,公司的管理决策职能由信息安全管理小组和管理者代表承担,公司信息安全总体工作,小组成员由公司总经理、管理者代表及部门负责人组成。监督检查职能由信息安全工作组承担,工作组由一名工作组组长及工作组成员构成,主要负责信息安全各项工作的日常监督和持续检查,信息安全工作组组长由公司安全负责人担任,其成员由各小组负责人、信息安全员及公司其他安全人员组成。贯彻执行职能由公司各小组及小组员工承担,遵循信息安全管理要求,落实各项信息安全工作,配合监督和检查;同时,公司各小组设置专职的信息安全员(或信息安全员),负责本小组信息安全工作的具体协调和落实(具体内容参见附件一:信息安全组织映射表及附件二:信息安全职责分配表)。
目的
规定审核的组织人员选择和考核方法,对各部门的内部审核列出重点审核的资产范围,列出可能出现的主要风险,规定审核制度安排。
规范
一、审核组织定义
1、组织:
内审组长:由管理者代表从符合资格的内审员里*。
内审成员:由内审组长从具有内审资格的员工中*1-2名。
2、内审员培训:
对有必要参加内审的员工,公司就对其进行信息安全管理体系知识、信息安全评审方法方面的培训,使其具备相关的评审能力。
3、内审员考核:
由信息安全工作小组培训讲师,组织进行对内审员的考核,考核合格,方可确定其符合内审员资格身份。
h) 组织要确保管理者正式批准所有残余风险 l 所有残余风险是否获得管理者正式批准?
i) 组织要确保在ISMS实施和运行之前,获得管理者授权 l ISMS实施和运行是否获得管理者授权?
j) 组织要准备适用性声明 l 组织是否有一个准备适用性声明的过程?
l 适用性声明的内容是否有含有标准规定的“3项内容”?
l 适用性声明是否记载附录A中任何控制目标和控制措施的删减,以及删减的正当性理由?
条款:4.2.2 实施和运行ISMS
a) 组织要制定风险处理计划 l 组织是否有一个符合标准此条款要求的产生风险处理计划文件的过程?
l 是否有一个“风险处理计划”文件?
b) 组织要实施风险处理计划 l 组织是否有一个符合标准此条款要求的“实施风险处理计划”的过程?
c) 组织要实施所选择的控制措施 l 组织是否有一个符合标准此条款要求的“实施所选择的控制措施”的过程?
d) 组织要定义如何测量所选控制措施的有效性 l 组织是否有一个“测量所选控制措施有效性”的过程?
l 如何使用测量措施,去测量控制措施的有效性?
e) 组织要实施培训和意识教育计划 l 组织是否有一个符合标准此条款要求的“实施培训和意识教育计划”的过程?
f) 组织要管理ISMS的运行 l 组织是否有“管理ISMS的运行”的过程?
g) 组织要管理ISMS的资源 l 组织是否有对ISMS实施所需要的资源进行管理的过程?
h) 组织要实施组织的安全程序和其他控制措施 l 组织的ISMS是否有“*检测安全事件和对安全事故能做出*反应”的程序?
条款:4.2.3 监视和评审ISMS
a) 组织要执行监视与评审程序 l 组织是否有“监视与评审程序”,以:
1) *检测处理产生的错误;
2) *识别试图的和得逞的安全违规事件和事故;
3) 使管理者能确定*人员的安全活动或通过信息技术实施的安全活动是否如期执行;
4) 通过使用指示器,帮助检测安全事件并预防安全事故;
5) 确定解决安全违规事件的措施是否有效?
-/gbafcji/-
http://iso9001fsc.b2b168.com
