信息安全组织框架
公司信息安全组织框架包括管理决策、监督检查、贯彻执行三层架构。其中,公司的管理决策职能由信息安全管理小组和管理者代表承担,公司信息安全总体工作,小组成员由公司总经理、管理者代表及部门负责人组成。监督检查职能由信息安全工作组承担,工作组由一名工作组组长及工作组成员构成,主要负责信息安全各项工作的日常监督和持续检查,信息安全工作组组长由公司安全负责人担任,其成员由各小组负责人、信息安全员及公司其他安全人员组成。贯彻执行职能由公司各小组及小组员工承担,遵循信息安全管理要求,落实各项信息安全工作,配合监督和检查;同时,公司各小组设置专职的信息安全员(或信息安全员),负责本小组信息安全工作的具体协调和落实(具体内容参见附件一:信息安全组织映射表及附件二:信息安全职责分配表)。
条款:4.3.1 文件要求 总则
1) ISMS文件要包括管理决定的记录 l 是否ISMS文件包括有管理决定的记录?
2) ISMS文件要确保所采取的措施可追踪到管理决定和方针 l 是否ISMS文件确保所采取的措施可追踪到管理决定和方针?
3) ISMS文件要确保记录的结果是可再生的 l 是否ISMS文件确保记录的结果是可再生的?
a) ISMS文件要包括ISMS方针与目标文件 l 是否有ISMS方针与目标文件?
b) ISMS文件要包括ISMS的范围 l 是否有一个描述ISMS范围的文件?
c) ISMS文件要包括支持ISMS的程序和控制措施 l 是否有支持ISMS的程序和控制措施?
d) ISMS文件要包括风险评估方法的描述 l 是否有描述风险评估方法的文件?
e) ISMS文件要包括风险评估报告 l 是否有可用的风险评估报告?
f) ISMS文件要包括风险处理计划 l 是否有可用的风险处理计划?
g) ISMS文件要包括控制措施有效性的测量程序 l 是否有描述如何测量控制措施有效性的程序文件?
h) ISMS文件要包括本标准所要求的记录 l 是否有提供符合要求证据的记录?
i) ISMS文件要包括适用性声明 l 是否有符合要求的适用性声明?
条款5.1管理承诺
管理者要对ISMS的建立、实施与运行、监视与评审、保持和改进,做出承诺, 提供证据。 l 是否有一个确保管理者对ISMS的建立、实施与运行、监视与评审、保持和改进,做出承诺的过程?
l 管理者提供承诺的证据是否包括8方面的内容?
条款 5.2.1
组织要确定和提供所需要的资源 l 管理者是否提供ISMS活动所需要的资源?
l 管理者是否提供确保信息安全程序支持业务要求所需要的资源?
l 管理者是否提供满足法律法规要求、合同安全要求所需要的资源?
l 是否提供通过正确实施控制措施维护安全所需要的资源?
l 管理者是否提供必要的评审与对评审结果做出适当反应所需要的资源?
l 管理者是否提供改进ISMS有效性所需要的资源?
-/gbafcji/-
http://iso9001fsc.b2b168.com
