条款:4.3.1 文件要求 总则
1) ISMS文件要包括管理决定的记录 l 是否ISMS文件包括有管理决定的记录?
2) ISMS文件要确保所采取的措施可追踪到管理决定和方针 l 是否ISMS文件确保所采取的措施可追踪到管理决定和方针?
3) ISMS文件要确保记录的结果是可再生的 l 是否ISMS文件确保记录的结果是可再生的?
a) ISMS文件要包括ISMS方针与目标文件 l 是否有ISMS方针与目标文件?
b) ISMS文件要包括ISMS的范围 l 是否有一个描述ISMS范围的文件?
c) ISMS文件要包括支持ISMS的程序和控制措施 l 是否有支持ISMS的程序和控制措施?
d) ISMS文件要包括风险评估方法的描述 l 是否有描述风险评估方法的文件?
e) ISMS文件要包括风险评估报告 l 是否有可用的风险评估报告?
f) ISMS文件要包括风险处理计划 l 是否有可用的风险处理计划?
g) ISMS文件要包括控制措施有效性的测量程序 l 是否有描述如何测量控制措施有效性的程序文件?
h) ISMS文件要包括本标准所要求的记录 l 是否有提供符合要求证据的记录?
i) ISMS文件要包括适用性声明 l 是否有符合要求的适用性声明?
1. 目的和范围
确保信息安全管理体系的有效实施,根据本公司信息安全方针制定信息安全目标,并规定信息安全目标的计算方法,以便于目标达成情况的考核。
适用于本公司信息安全目标的制定、计算。
2. 职责和权限
1) 信息安全管理小组:负责建立、批准与评审公司的信息安全目标。
2) 体系负责人:负责向信息安全小组会汇报公司的信息安全目标达成情况,并组织相关人员每年对信息安全目标进行评审。
3) 各部门:负责与本部门相关的信息安全目标的统计、分析,当目标不能达标时,进行原因分析并进行改进。
3. 控制流程
3.1. 信息安全目标
1) 全年不发生重大信息安全事件和“二级”以上运行安全事故;
2) 重要**时期不发生三级以上事故。
对于未达成信息安全目标的,相关部门要进行原因分析,并提出解决办法;对于连续未达成目标的,信息安全工作小组要向相关部门开出《不符合纠正预防措施通知单》进行处理。
信息安全组织框架
公司信息安全组织框架包括管理决策、监督检查、贯彻执行三层架构。其中,公司的管理决策职能由信息安全管理小组和管理者代表承担,公司信息安全总体工作,小组成员由公司总经理、管理者代表及部门负责人组成。监督检查职能由信息安全工作组承担,工作组由一名工作组组长及工作组成员构成,主要负责信息安全各项工作的日常监督和持续检查,信息安全工作组组长由公司安全负责人担任,其成员由各小组负责人、信息安全员及公司其他安全人员组成。贯彻执行职能由公司各小组及小组员工承担,遵循信息安全管理要求,落实各项信息安全工作,配合监督和检查;同时,公司各小组设置专职的信息安全员(或信息安全员),负责本小组信息安全工作的具体协调和落实(具体内容参见附件一:信息安全组织映射表及附件二:信息安全职责分配表)。
-/gbafcji/-
http://iso9001fsc.b2b168.com
