b) 组织要定期评审ISMS有效性 l 是否有符合此要求 “ISMS有效性的定期评审”的过程?
c) 组织要测量控制措施的有效性 l 是否有到位的“测量控制措施的有效性” 的过程或程序?
d) 组织要评审风险评估 l 是否有到位的“评审风险评估” 的过程或程序?
l “评审风险评估” 的过程是否考虑了“6方面的变化”?
e) 组织要执行定期的ISMS内部审核 l 是否有到位的定期的“ISMS内部审核”过程或程序?
f) 组织要执行定期的ISMS管理评审 l 是否有到位的定期的“ISMS管理评审”过程或程序?
g) 组织要更新信息安全计划 l 组织是否参考监视和评审活动的发现,而“更新信息安全计划”?
h) 组织要维护ISMS事件和行动措施的纪录 l 是否有到位的“维护ISMS事件和行动措施的纪录”的过程?
条款:4.2.4 保持和改进ISMS
a) 组织要实施ISMS改进 l 是否有到位的“实施ISMS改进”的过程?
b) 组织要采取适当的纠正措施和预防措施 l 是否有到位的“纠正措施和预防措施”的过程?
l 是否有到位的吸取其它组织和本组织的安全经验教训的过程?
c) 组织要向所有相关方交流ISMS的措施和改进状况 l 是否有向所有相关方交流ISMS改进的过程?
d) 组织要确保ISMS的改进达到预期目标 l 是否有确保ISMS的改进达到了预期目标的过程?
1内审结果通告
内审结束后,审核组长将内审结果以邮件、书面等方式告知受审核方负责人、体系负责人及相关人员。内审结果通告主要内容有:
1) 审核情况总结;
2) 宣读不符合项及其严重程度;
3) 提出纠正时限和验证要求;
4) 宣布审核结论。
内审结束后,审核组长将《审核、检查发现事项通知单》及时发放给受审核部门。
2内审报告编制和分发
审核组长负责组织编写《内部审核报告》,报体系负责人审批。审核报告的主要内容有:审核目的范围及依据、审核日期、审核组成员、审核计划实施情况总结、审核发现(包括不符合项及其分布情况分析)、审核结论等。
审核报告批准后,由信息安全工作小组将《内部审核报告》分发给信息安全管理小组、体系负责人、受审核方及有关部门。
3 纠正措施的实施、跟踪及验证
审核组对受审部门发出《审核、检查发现事项通知单》后,受审核部门立即组织进行原因分析,进行纠正或制订纠正或预防措施,*专人负责整改,并将完成情况报信息安全工作小组,信息安全工作小组对实施结果进行跟踪验证,直至关闭。
全体员工
根据相关信息安全要求,配合相关人员工作开展,理解并遵守本规定定义的内容。
a) 遵守信息安全规章制度,遵循操作规范和流程;
b) 履行岗位信息安全职责,执行信息安全工作任务;
c) 作为信息资产使用者,妥善使用并保护工作所涉及的信息资产;
d) 及时上报信息安全事件或隐患;
e) 参与信息安全教育和培训。
-/gbafcji/-
http://iso9001fsc.b2b168.com
