信息安全监视和测量控制管理规定[模板].docxVIP

信息安全监视和测量控制管理规定 1.概述 本规定适用于对本公司区域内所有体系职能部门的信息安全控制、绩效及管理体系运行的监视和测量。 2.目的 通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析，为策划、实施、持续改进信 息安全管理体系提供依据。 3.术语 名称 定义 无 无 内容 角色 职责 管理者代表 负责掌握信息安全管理体系的总体运行情况，并向总经理汇报，对总经理负责； 负责每年组织对本公司职能部门目标、指标的完成情况进行考核。 体系工程师 负责本程序的编制、修订和监督实施。 负责定期对各职能部门进行监视和测量，对各职能部门的监视和测量执行情况进行监督、检查和指导， 为纠正和预防提供信息。 负责收集顾客信息安全满意程度信息，并进行汇总、分析和传递 4. 1.职责 4. 2.监视和测量的范围及依据 E3 ■ CJ 4. 2. 1 .根据本公司业务范围内信息资产的控制范围，确定监视和测量范围。 4. 2. 2.测量的范围一般包括: a)控制措施的实现过程; a) 控制措施的实现过程; b)关键特性；控制措施实现目标程度；适用法律、法规的符合性；业务连续性控制措施；事故、事件和其它不良的绩效; b) 关键特性；控制措施实现目标程度；适用法律、法规的符合性；业务连续性控制措施；事故、事件和其它不 良的绩效; c)不可接受风险计划中确定的措施;d)顾客信息安全的满意程度。 c) 不可接受风险计划中确定的措施; d) 顾客信息安全的满意程度。 4.2. 3.监视和测量的依据是法律法规、技术标准、顾客合同、适用性声明、信息安全方针、程序文件等。 4. 3.监视和测量的要求 应按照国家及地方技术规范规定和顾客要求的标准、方法进行监视和测量。 4. 4.监视和测量的实施: 4. 4.监视和测量的实施: =J 4.4.1 .本公司行政部根据各职能部门确立的监视和测量范围，确定监视和测量的依据、项目、关键特性、频次、使用的方 法等。 4. 4. 2.监视和测量可选择的方法 a)对信息安全控制过程进行日常检查; a) 对信息安全控制过程进行日常检查; b）信息安全控制措施实施状况的检查; c）记录检查结果。 4. 4. 3.信息安全控制过程的监视和测量: a）体系工程师负责组织控制措施实施过程的监视和测量; b）信息处理设备（含软件）入库前必须按照采购计划，对设备的数量、规格、信息安全要求进行安全验证，审核产 品证明文件的符合性。验证方法应符合规定要求，并保留相应的原始记录； c） 使用前必须经过复验、检验的信息处理设备，按相应的标准、规范进行复验； d） 未经监视和测量的信息处理硬件软件不得投入使用，对验证不合格的，按照相关规定执行； e） 应工作急需，未经检验和试验放行（硬件、软件），必须具备放行后一旦发现问题能够追回的条件； f） 紧急放行后，应及时进行检验和测试，发现问题及时追回或及时处理； g） 为控制措施目标所需的主动监视和测量，以巡检、设施监控、统计分析等适用的方法进行。 4.4.4.本公司不可接受风险处理计划关键特性和绩效的监视和测量，由体系工程师按照计划策划的时间间隔，对特性的 效果与系统管理员确定测试方法，执行本规定。对不易测评绩效的关键特性，采用观察现场表现的监视和测量方式。有必要 时，可委托有资格的外部检测机构实施。对事故、事件和其他不良绩效的测量，由行政部组织，事发单位协同，利用统计报 告进行分析和改进。 4. 5.管理体系运行过程的监视和测量 4. 5. 1.管理体系运行要遵守法律、法规的要求。 4.5. 2.体系工程师要对本公司各职能部门适用的法律、法规、标准、规范的获取和识别，进行监视和测量。 4. 5. 3.管理体系运行过程的检查，职能部门要每年对信息安全方针、目标及管理体系运行情况进行监视和测量。 4. 6.顾客信息安全满意程度的监视和测量 顾客信息安全满意程度信息的收集与传递 a）顾客信息安全满意程度信息包括满意信息和不满意信息，顾客满意程度信息的收集最好采取书面问卷形式，特殊 情况下也可采取口头方式。 b）市场部负责与顾客进行沟通，收集招投标阶段、项目实施阶段、交付使用后服务阶段来自顾客的对信息安全满意 程度信息，并在内部进行传递，作为方针目标、管理评审的依据。 C）对顾客投诉的问题和回访中发现的问题，由市场部组织有关人员对问题进行复查，与顾客共同分析原因，按照《纠 正与预防措施控制流程》及时做出处理。 4. 7.证据收集 当本公司与其他公司或某个人（包括内部与外部人员）发生法律纠纷时，涉及法律纠纷的部门应立即书面报告管理 中心，由管理中心会同该部门进行证据收集，准备实施法律诉讼；证据收集应符合以下要求: 1)所呈证据应符合国家有关的证据法规;2)符合用于提供可接受证据的任