信息安全管理小组
信息安全管理体系的决策机构,确定信息安全管理体系的建设方向,制订方针目标等。
a) 确立公司信息安全和风险管理的方针政策,并贯彻落实;
b) 组织制定公司信息安全和风险管理的总体规划;
c) 对信息安全事件提出处置策略;
d) 研究部署和讨论决定公司信息安全和风险管理工作的重大事项;
e) 授权相关部门对公司信息安全工作进行考核,审批考核结果并做决策。
f) 每年在管理评审会上对信息安全方针进行评审。
条款 5.2.2
a. 组织要确保分配有ISMS职责的所有人员都具有执行所要求任务的能力 l 是否有一个确保分配有ISMS职责的所有人员都具有完成所要求任务的能力的过程?
b. 组织要确保所有相关人员意识到其信息安全活动的重要性 l 是否有一个确保所有相关人员都识到其信息安全活动的重要性的过程?
条款 6 ISMS内部审核
(1) 定期进行内部ISMS审核 l 是否有一个定期进行内部ISMS审核的过程?
(2) 制定审核方案 l 是否有一个审核方案?
l 该审核方案是否考虑了受审核的过程与受审核的部门的状况和重要性,以及以往审核的结果?
(3) 定义审核的准则、范围、频次和方法 l 审核的准则、范围、频次和方法是否定义?
(4) 审核员的选择,审核的实施要确保审核过程的客观公正 l 审核员的选择,审核的实施是否确保审核过程的客观公正?
(5) 审核员不准审核自己的工作 l 是否审核员审核了自己的工作?
(6) 形成内审程序文件 l 是否有定义内审职责和要求方面的内审程序文件?
(7) 采取纠正措施 l 是否有一个确保受审部门的责任管理者及时采取措施,消除“已发现的不符合事项及其产生的原因”的过程?
(8) 跟踪纠正措施 l 是否有一个对纠正措施的跟踪活动?
l 跟踪活动是否包括验证和验证结果的报告?
目的
规定审核的组织人员选择和考核方法,对各部门的内部审核列出重点审核的资产范围,列出可能出现的主要风险,规定审核制度安排。
规范
一、审核组织定义
1、组织:
内审组长:由管理者代表从符合资格的内审员里*。
内审成员:由内审组长从具有内审资格的员工中*1-2名。
2、内审员培训:
对有必要参加内审的员工,公司就对其进行信息安全管理体系知识、信息安全评审方法方面的培训,使其具备相关的评审能力。
3、内审员考核:
由信息安全工作小组培训讲师,组织进行对内审员的考核,考核合格,方可确定其符合内审员资格身份。
-/gbafcji/-
http://iso9001fsc.b2b168.com
