条款 7.1 ISMS的管理评审总则
(1) 管理者要每年至少评审1次ISMS l 是否有一个确保管理者每年至少评审1次ISMS的过程?
l 是否检查了ISMS的实施情况,以确保ISMS持续的适宜性、充分性和有效性?
(2) 评审要包括评估改进的机会和变更ISMS的需要 l 在管理评审时,是否评估了ISMS(包括信息安全方针和信息安全目标)改进的机会和变更的需要?
(3)评审的结果要形成文件 l 评审结果是否形成了文件?
(4)评审的记录要加以保持 l 记录是否按照“记录控制”的要求加以保持?
条款 7.2 评审输入
a) 管理评审的输入要包括审核和评审结果 l 是否有一个确保管理评审的输入包括标准要求的9方面信息的过程?
l 是否管理评审的输入包括先前的审核和评审结果?
b)管理评审的输入要包括相关方的反馈 l 是否管理评审的输入包括相关方的反馈?
c)管理评审的输入要包括可用于改进ISMS的技术、产品或程序 l 是否管理评审的输入包括可用于改进ISMS的技术、产品或程序?
d)管理评审的输入要包括预防和纠正措施的状况 l 是否管理评审的输入包括预防和纠正措施的状况?
e)管理评审的输入要包括以往风险评估没有充分解决的脆弱点或威胁 l 是否管理评审的输入包括预防和纠正措施的状况?
f)管理评审的输入要包括有效性测量的结果 l 是否管理评审的输入包括ISMS有效性的测量结果?
g)管理评审的输入要包括以往管理评审的跟踪措施 l 是否管理评审的输入包括以往管理评审的跟踪措施?
h)管理评审的输入要包括可能影响ISMS的任何变更 l 是否管理评审的输入包括可能影响ISMS的任何变更?
i) 管理评审的输入要包括改进的建议 l 是否管理评审的输入包括任改进的建议?
条款 7.3 评审输出
a)管理评审的输出要包括ISMS有效性的改进 l 是否有一个确保管理评审的输出包括5方面要求的过程?
l 是否管理评审做出了改进ISMS有效性的决定?
b)管理评审的输出要包括风险评估和风险处理计划的更新 l 是否管理评审做出了更新风险评估和风险处理计划的决定?
c) 管理评审的输出要包括必要时对影响信息安全的程序和控制措施的修改,以应对可能冲击ISMS的内外事件 l 是否管理评审做出了在必要时对影响信息安全的程序和控制措施的修改决定,以应对可能冲击ISMS的内外事件?
d) 管理评审的输出要包括对资源需求的决定 l 是否管理评审做出了对资源需求的决定?
e) 管理评审的输出要包括改进测量控制措施有效性的方法 l 是否包含有控制措施有效性测量方法的改进?
条款 8.1 持续改进
组织要持续改进ISMS的有效性 l 是否有一个确保组织持续改进ISMS有效性的过程?
1. 记录储存
1) 各部门形成的记录由发生部门及接收部门储存保管,以随时提供信息安全管理体系有效运行的证实。
2) 各部门需要归档的记录,由发生部门进行整理,交总裁办负责归档手续,纸质记录存入文件柜中,电子记录存放在*存储介质中。
2. 记录的保护
1) 现场使用的记录应用文件夹保护,有密级控制要求的记录要控制其分发。
2) 归档的纸质记录应放入文件柜保护,由信息安全工作小组或相应责任部门专人负责,防止丢失。
3) 归档的电子记录存贮在安全的存储介质中,以防病毒、误删除侵害。
4) 所有存放记录的地方应做到防潮、防火、通风干燥、防虫蛀、防鼠害、防损坏、防变质、防污染。
3. 保存期
1) 为控制记录并提供证实,实行保存期控制;
2) 由信息安全工作小组归档的记录保存年限,一般分为长期和3年;
3) 由部门保存的记录保存3年。
4. 记录借阅及处置
1) 涉秘记录借阅由借阅人提出申请,经得保管部门负责人同意方可借阅。文件在查阅、借阅时不得做任何标记,更不能涂改及自行复制。
2) 对**过保存期的记录,应进行销毁处置。由保管部门填写《记录销毁处置审批表》,经体系负责人批准后予以销毁。
-/gbafcji/-
http://iso9001fsc.b2b168.com
