条款:4.3.3 记录控制
a. 记录要加以建立与保持 l 是否有一个建立与保持记录的过程?
b. 记录要加以保护与控制 l 是否有一个保护与控制记录的过程?
c. ISMS要考虑相关法律法规要求和合同义务 l ISMS是否考虑了相关法律法规要求和合同义务?
d. 记录要保持清晰、易于识别和检索 l 记录是否保持清晰、易于识别和检索?
e. 记录的控制要形成文件, 并加以实施 l 记录的控制是否形成了文件?
f. 记录要保留ISMS过程的执行情况,和所有重大安全事故的执行情况 l 记录是否保留了ISMS过程的执行情况?
l 记录是否保留了所有重大安全事故的执行情况?
A.15 供应商关系
A.15.1 A.15.1.1供应商关系的信息安全策略 检查为减缓供应商访问组织资产带来的风险,应与供应商协商并记录相关信息安全要求
供应商关系安全 A.15.1.2供应商协议中的安全 访问组织行政部等相关部门,了解第三方协议中的安全要求的满足情况
A.15.1.3 ICT供应链 检查与供应商的协议包括解决信息、通信技术服务、产品供应链相关信息安全风险的要求
A.15.2 供应商服务交付管理 A.15.2.1监视和评审供应商服务 查阅第三方服务的信息安全相关要求的监视和评审记录。
A.15.2.2供应商服务变更管理 查阅第三方服务的信息安全要求的变更控制记录。
A.16 信息安全事故管理
A.16.1 信息安全事件管理和改进 A.16.1.1职责和规程 查阅信息安全事件管理程序等相关文件。
A.16.1.2报告信息安全事态 查阅信息安全事件报告记录。
A.16.1.3报告安全弱点 查阅安全弱点报告记录
A.16.1.4信息安全事态的评估和确定 检查信息安全事态是否被评估与决策,并且确定是否划分成信息安全事件
A.16.1.5信息安全事件的响应 检查是否对信息安全事件应依照程序文件响应
A.16.1.6从信息安全事件中学习 查阅信息安全事件学习和总结记录
A.16.1.7 证据的收集 询问、验证事件处理过程中的证据收集的措施。
目的和范围
为了有效控制信息安全管理体系文件,对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制,确保部门使用现行的有效版本,特制订本制度。
本制度适用于信息安全管理体系文件的管理。
1. 引用文件
1) 《合规性实施制度》
2) 《信息资产分类分级管理制度》
2. 职责和权限
1) 总裁办是信息安全管理体系文件的归口部门,负责信息安全有关的所有文件的管理与控制。
2) 各部门:负责本部门信息安全管理文件的管理与控制。
3. 管理内容及控制要求
4.1 文件的分类
信息安全管理体系文件主要包括:
1) 层:信息安全管理手册、信息安全目标、信息安全适用性声明(SOA)、信息安全策略;
2) *二层:制度文件;
3) *三层:各管理规定、管理办法、流程、作业指导书(指南)及外来文件等;
4) *四层:记录、表单。记录控制执行《记录控制制度》。
4.2 文件编制
文件编制要有充分的依据,体现系统协调,可操作、可检查的原则。
1) 层:信息安全管理手册由体系负责人组织编写,信息安全管理者代表审核,总经理批准发布。
2) 第二、三层:由相关责任部门编写,信息安全管理者代表审核,总经理批准发布。
3) *四层:由相关责任部门编写,文档负责人审批,信息安全管理者代表批准发布。
-/gbafcji/-
http://iso9001fsc.b2b168.com
