1. 职责和权限
1) 管理者代表:负责批准《内部审核计划》和《内部审核报告》。
2) 行政部:内审记录存档。
3) 信息安全工作小组:负责组织对不符合项的验证跟踪及相应文件的管理工作。
4) 内审组组长:负责编制《内部审核计划》,组织编写《内部审核检查表》,根据计划组织实施信息安全管理体系内部审核;编写内审报告。
5) 各部门:积极配合体系内部审核,对审核过程中发现的问题及时采取纠正措施。
2. 活动描述
2.1. 内部审核策划
2.1.1 内部审核周期及范围
在正常情况下公司至少每年组织一次覆盖公司信息安全管理体系的内部审核,信息安全工作小组组织协调。
当发生下列情况之一时(不限于),体系负责人可临时决定组织内部审核,临时内审范围由体系负责人根据实际情况确定:
1) 当管理体系、业务内容发生重大改变时;
2) 当外部要求,需对体系做出评价时;
3) 当体系发生重大变化时,如组织机构大调整、文件大量修改等;
4) 当发生严重不合格、或出现重大客户投诉或信息安全事故时;
5) 采用标准、适用法律或验证方法出现重大变化时;
6) 第三方认证机构审核前;
7) 其它需要增加内审的情形。
目的和范围
为了有效控制信息安全管理体系文件,对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制,确保部门使用现行的有效版本,特制订本制度。
本制度适用于信息安全管理体系文件的管理。
1. 引用文件
1) 《合规性实施制度》
2) 《信息资产分类分级管理制度》
2. 职责和权限
1) 总裁办是信息安全管理体系文件的归口部门,负责信息安全有关的所有文件的管理与控制。
2) 各部门:负责本部门信息安全管理文件的管理与控制。
3. 管理内容及控制要求
4.1 文件的分类
信息安全管理体系文件主要包括:
1) 层:信息安全管理手册、信息安全目标、信息安全适用性声明(SOA)、信息安全策略;
2) *二层:制度文件;
3) *三层:各管理规定、管理办法、流程、作业指导书(指南)及外来文件等;
4) *四层:记录、表单。记录控制执行《记录控制制度》。
4.2 文件编制
文件编制要有充分的依据,体现系统协调,可操作、可检查的原则。
1) 层:信息安全管理手册由体系负责人组织编写,信息安全管理者代表审核,总经理批准发布。
2) 第二、三层:由相关责任部门编写,信息安全管理者代表审核,总经理批准发布。
3) *四层:由相关责任部门编写,文档负责人审批,信息安全管理者代表批准发布。
A.15 供应商关系
A.15.1 A.15.1.1供应商关系的信息安全策略 检查为减缓供应商访问组织资产带来的风险,应与供应商协商并记录相关信息安全要求
供应商关系安全 A.15.1.2供应商协议中的安全 访问组织行政部等相关部门,了解第三方协议中的安全要求的满足情况
A.15.1.3 ICT供应链 检查与供应商的协议包括解决信息、通信技术服务、产品供应链相关信息安全风险的要求
A.15.2 供应商服务交付管理 A.15.2.1监视和评审供应商服务 查阅第三方服务的信息安全相关要求的监视和评审记录。
A.15.2.2供应商服务变更管理 查阅第三方服务的信息安全要求的变更控制记录。
A.16 信息安全事故管理
A.16.1 信息安全事件管理和改进 A.16.1.1职责和规程 查阅信息安全事件管理程序等相关文件。
A.16.1.2报告信息安全事态 查阅信息安全事件报告记录。
A.16.1.3报告安全弱点 查阅安全弱点报告记录
A.16.1.4信息安全事态的评估和确定 检查信息安全事态是否被评估与决策,并且确定是否划分成信息安全事件
A.16.1.5信息安全事件的响应 检查是否对信息安全事件应依照程序文件响应
A.16.1.6从信息安全事件中学习 查阅信息安全事件学习和总结记录
A.16.1.7 证据的收集 询问、验证事件处理过程中的证据收集的措施。
-/gbafcji/-
http://iso9001fsc.b2b168.com
