公司名称深圳汉墨管理咨询有限公司
行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
服务电话
所在地深圳
ISO认证ISO27001信息安全管理体系认证咨询
ISO27001认证ISO27001信息安全管理体系认证办理
发货地深圳或广州
ISO27001认证办理信息安全管理体系认证办理
目的和范围
为了有效控制信息安全管理体系文件,对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制,确保部门使用现行的有效版本,特制订本制度。
本制度适用于信息安全管理体系文件的管理。
1. 引用文件
1) 《合规性实施制度》
2) 《信息资产分类分级管理制度》
2. 职责和权限
1) 总裁办是信息安全管理体系文件的归口部门,负责信息安全有关的所有文件的管理与控制。
2) 各部门:负责本部门信息安全管理文件的管理与控制。
3. 管理内容及控制要求
4.1 文件的分类
信息安全管理体系文件主要包括:
1) 层:信息安全管理手册、信息安全目标、信息安全适用性声明(SOA)、信息安全策略;
2) *二层:制度文件;
3) *三层:各管理规定、管理办法、流程、作业指导书(指南)及外来文件等;
4) *四层:记录、表单。记录控制执行《记录控制制度》。
4.2 文件编制
文件编制要有充分的依据,体现系统协调,可操作、可检查的原则。
1) 层:信息安全管理手册由体系负责人组织编写,信息安全管理者代表审核,总经理批准发布。
2) 第二、三层:由相关责任部门编写,信息安全管理者代表审核,总经理批准发布。
3) *四层:由相关责任部门编写,文档负责人审批,信息安全管理者代表批准发布。
内部审核实施
内部审核实施可划分为内审声明、现场审核和内审结果通告三个阶段进行。
1 内审声明
审核组长向受审核方负责人进行内审声明,内审声明的内容有:
1) 审核组长声明审核目的、范围和准则;
2) 介绍审核组成员、分工及日程安排;
3) 简介审核方法;
4) 介绍审核结果的报告方法,包括不符合的分类等;
5) 审核计划中需说明的其他细节问题。
2 现场审核
1) 现场要求
审核组按照审核实施计划日程安排,根据《内部审核检查表》对受审核部门逐项进行审核,通过观察、提问、查阅文件和记录、抽样、问题追踪等方法,以验证审核情况与体系的符合性。
内审员应如实记录审核的情况,对发现的不合格项应详细记录并由被审核部门负责人或陪同人确认。以保证不合格项已经得到被审核部门的理解,便于纠正和预防。
2) 审核方式
听:听取现场信息安全负责人介绍其信息安全的组织管理、规章制度、标准、实施措施、实施效果、事故处理、应急演练、改进建议等。
查:查阅有关文件、标准、报表、记录、管理制度、应急程序、工作程序、组织机构等资料。
看:现场观察和检查装置设备的安全卫生和环境保护状况;规章制度、工作程序、操作规程、作业标准、作业方案和纪律执行情况;信息安全设施配备运行情况。
问:与现场主要管理人员及员工代表谈话,询问现场管理情况、应知应会的内容、现场信息安全管理措施及应急程序等内容。
3) 审核组沟通
审核组长组织,审核员各自介绍审核情况,充分讨论。
审核组依据标准、体系文件及有关法律法规要求等审核准则,综合分析,共同评审审核发现,确认不符合项,确定审核结论。审核员填写《信息安全审核、检查发现事项通知单》,内容准确、清晰、有事实证据。受审核部门负责人或陪同人员对审核情况进行确认。
1)是信息安全管理体系的决策机构;
2)负责公司信息安全管理手册(一级),包括:信息安全管理范围、方针、目标的审批与发布;
3)负责对信息安全管理体系进行管理评审;
4)确认可接受的风险和风险等级;
5)支持和推动信息安全工作在公司范围内的实施;
6)评审重大信息安全事故的处理。
1)负责组织建立、实施、保持和改进信息安全管理体系,保证信息安全体系的有效运行;
2)负责公司信息安全管理体系二级程序文件的审批;
3)组织并公司内部审核工作;
4)负责组织发起信息安全管理体系的管理评审工作;
协助组长处理信息安全事务。
业务连续性管理的信息安全方面
识别可能导致业务过程中断的隐患,以及这类中断发生的可能性和影响、中断的信息安全后果;制定连续性计划和实施应急演练,以确保在关键业务过程中断或失效后能够根据要求及时恢复,并确保信息的可用。
具体管理策略请参见《业务连续性管理制度》。
符合性
通过建立制度完善信息安全相关法律法规收集和识别的要求,并在各项规章制度中体现相应要求并开展培训,使员工明确相关法律法规要求并遵照执行。
具体管理策略请参见《符合性实施制度》。
-/gbafcji/-
http://iso9001fsc.b2b168.com
