收藏 分享(赏)
下载资源 加入VIP,免费下载

41.监视和测量管理程序2015_A0.doc

上传人:tangtianxu1 文档编号:3055768 上传时间:2018-10-02 格式:DOC 页数:7 大小:116.50KB
下载 相关 举报
41.监视和测量管理程序2015_A0.doc_第1页
第1页 / 共7页
41.监视和测量管理程序2015_A0.doc_第2页
第2页 / 共7页
41.监视和测量管理程序2015_A0.doc_第3页
第3页 / 共7页
41.监视和测量管理程序2015_A0.doc_第4页
第4页 / 共7页
41.监视和测量管理程序2015_A0.doc_第5页
第5页 / 共7页
点击查看更多>>
资源描述

1、普天信息技术有限公司文件编号:CPIT-ISMS-4.2-03监视和测量管理程序第 A 版受控状态: 发放号:2015-05-01 发布 2015-05-01 实施普天信息技术有限公司 发布普天信息技术有限公司 编号 CPIT-ISMS-4.2-03作 业 文 件 版本 A/0监视和测量管理程序 页次 2/71. 目的通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析,为策划、实施、持续改进信息安全管理体系提供依据。2. 适用范围本程序适用于对本公司区域内所有业务职能部门的安全特性控制、绩效及管理体系运行的监视和测量。3. 术语和定义引用 GB/T22080-2008

2、、GB/T19001-2008 标准及本公司信息安全管理手册中的术语和定义。普天信息技术有限公司 编号 CPIT-ISMS-4.2-03作 业 文 件 版本 A/0监视和测量管理程序 页次 3/74. 职责4.1 技术质量部4.1.1 负责掌握信息安全管理体系的总体运行情况,并向最高管理者汇报,对最高管理者负责。4.1.2 负责每半年组织对本公司职能部门目标、指标的完成情况进行考核。4.2.1 负责本程序的编制、修订和监督实施。4.2.2 负责每半年对各职能业务部门进行监视和测量,对各职能业务部门的监视和测量执行情况进行监督、检查和指导,为纠正和预防提供信息。4.2.3 负责收集的顾客信息安全

3、满意程度信息,并进行汇总、分析和传递。4.2.4 负责获取、识别、更新适用于本公司信息安全管理体系运行的所有法律法规,发布信息安全法律法规清单,对本程序的实施情况进行组织、监督和检查。负责法律法规的更新以及适用性的确认,并传达给各部门。5. 控制措施和目标实现程度的监视测量5.1 监视和测量的范围及依据5.1.1 根据本公司业务范围内信息资产的控制范围,确定监视和测量范围。5.1.2 测量的范围一般包括:a) 控制措施的实现过程;b) 关键特性;控制措施实现目标程度;适用法律、法规的符合性;业务持续性控制措施;事故、事件和其它不良的绩效;c) 不可接受风险计划中确定的措施;d) 顾客信息安全的

4、满意程度。5.1.3 监视和测量的依据是法律法规、技术标准、顾客合同、适用性声明、管理手册、程序文件等。5.2 监视和测量的要求应按照国家及地方技术规范规定和顾客要求的检验和试验项目、标准、方法进行监视和测量。必要时,本公司各职能部门、业务部门指定专人编写作业文件予以规定,规定的严格程度应与问题的复杂程度和风险相适应。普天信息技术有限公司 编号 CPIT-ISMS-4.2-03作 业 文 件 版本 A/0监视和测量管理程序 页次 4/75.3 监视和测量的实施5.3.1 技术质量部根据各职能部门确立的监视和测量范围,确定监视和测量的依据、项目、关键特性、频次、使用的仪器设备等。5.3.2 监视

5、和测量可选择的方法a) 对控制过程进行日常检查;b) 信息安全措施状况的抽查;c) 设备装置的检查;d) 作业环境的监视;e) 记录检查。5.3.3 控制过程的监视和测量a) 技术质量部负责组织控制措施实施过程的监视和测量。b) 信息处理设备进场/入库前必须按照采购计划,对物资设备的数量、规格、信息安全要求进行验证,审核产品证明文件的符合性。验证方法应符合信息处理设备管理程序 ,并保留相应的原始记录。c) 使用前必须经过复验、检验的物资,按相应的标准、规范进行复验。d) 未经监视和测量的信息处理硬件软件或劳务不得投入使用,对验证不合格的,按照事故、事件、薄弱点与故障管理程序执行。e) 因工作急

6、需,未经检验和试验放行(硬件、软件) ,必须具备放行后一旦发现问题能够追回的条件。f) 紧急放行后,应及时进行检验和试验,发现问题及时追回或处理。g) 为控制措施目标所需的主动监视和测量,以巡检、设施监控、统计分析等适用的方法进行。5.3.4 本公司不可接受风险处置计划关键特性和绩效的监视和测量,由技术质量部按照计划策划的时间间隔,对特性的效果与 IT 专员协商测试方法,执行本程序。对不易测评绩效的关键特性,采用观察现场表现的监视和测量方式。有必要时,可委托有资格的外部检测机构实施。对事故、事件和其他不良绩效的测量,由总裁办组织,事发单位协同,利用统计报告并结合事故、事件、薄弱点与故障管理程序

7、进行分析和改进。5.3.5 管理体系运行过程的监视和测量5.3.5.1 管理体系运行要遵守法律、法规的要求。总裁办公室要对本公司各职能部门适用的法律、法规、标准、规范的获取和识别,进行监视和测量。5.3.5.2 管理体系运行过程的检查业务部门要每半年对管理管理体系的目标、指标及管理体系运行情况进行监视和测量。5.3.5.3 以上的监视和测量由检查部门填写信息安全法律法规符合性评估报告 。5.3.6 顾客信息安全满意程度的监视和测量5.3.6.1 顾客信息安全满意程度信息的收集与传递a) 顾客信息安全满意程度信息包括满意信息和不满意信息,顾客满意程度信息的收集普天信息技术有限公司 编号 CPIT

8、-ISMS-4.2-03作 业 文 件 版本 A/0监视和测量管理程序 页次 5/7最好采取书面问卷形式,特殊情况下也可采用口头方式。b) 市场部门与顾客进行沟通,收集来自顾客的对信息安全满意程度信息,并在内部进行传递,作为方针、目标、管理评审的依据。c) 对顾客投诉的问题和回访中发现的问题,由技术质量部指定问题项目负责人组织有关人员对问题进行复查,与顾客共同分析原因,按照事故、事件薄弱点与故障管理程序 、纠正预防措施控制程序及时做出处理。5.3.7 证据收集 当本公司与其他公司或某个人(包括内部与外部人员)发生法律纠纷时,涉及法律纠纷的部门应立即报告总裁办,由法律顾问会同该部门进行证据收集,

9、准备实施法律诉讼;证据收集应符合以下要求:a) 所呈证据应符合国家有关的证据法规;b) 符合用于提供可接受证据的任何已发布的标准或法规;c) 对已收集到的证据进行安全的保管,防止未经授权的更改或破坏;d) 收集到的证据符合法庭所要求的形式。5.3.8 控制目标的符合性主要通过实施定期评估的方法来实现,频次与法律法规符合性评价相同,具体方法如下:a) 历史统计模式:虽然完成了某些控制措施,但看不到控制措施被采用的证据,而只能看到现在管理的状态,经过统计现在状态的绩效与原有绩效的比较,可以推导出是否达到了控制目标的要求和是否按照要求才去了措施。b) 文本审阅模式:文本审阅法是通过翻阅控制措施要求的

10、相关的文件、档案来了解控制措施过程,获得书证。c) 实地观察模式:通过实地查看某些控制措施的实施过程,核对策划的实施程序,判断完成现有目标的绩效,获得过程物证。总之,要用“嘴”问,要用耳“听” ,要用“脑”判断与分析。得出一个客观的评价结果,记录在信息安全法律法规符合性评估报告 。5.4 技术质量部每年要针对本公司与信息安全法律法规遵循情况编写全公司法律法规符合性评估报告,对于不符合的情况,责任部门应实施纠正措施并实施。6. 法律法规符合性的监视测量6.1 法律法规及其他要求的分类6.1.1 法律法规的分类6.1.1.1 我国加入的国际公约;6.1.1.2 全国人民代表大会及其常务委员会制定、

11、颁布的法律;6.1.1.3 国务院制定、颁布的行政法规;6.1.1.4 国务院所属各部、委颁布的行政规章和办法;6.1.1.5 有立法权的地方人民代表大会及其常务委员会制定、颁布的行政法规;普天信息技术有限公司 编号 CPIT-ISMS-4.2-03作 业 文 件 版本 A/0监视和测量管理程序 页次 6/76.1.1.6 有立法权的地方政府制定的规章。6.1.2 其他要求的分类6.1.2.1 国务院所属各部、委发布的有关信息安全管理的标准和规范;6.1.2.2 国务院所属各部、委以及地方政府发布的有关信息安全管理的通知和规定。6.2 获取途径6.2.1 从地方政府有关部门、行业组织和媒体等获

12、取适用于本公司的环境的法律、法规及其它要求。6.2.2 各部门应定期从相关渠道、互联网络收集信息安全保护的法律、法规及其它要求,汇总到总裁办公室进行分类登记,建立适用的法律法规目录,经总裁办公室经理批准后予以公布。6.3 识别总裁办公室应将汇总的适用于本公司的所有法律法规及其他要求建立清单并录入电脑,建立共享数据库,以备本公司相关部门以及员工通过本公司局域网查询。6.4 运用与更新6.4.1 总裁办公室负责根据目录获取适用的法律法规,并通过本公司电子邮件向各部门宣贯有关的规定和要求。6.4.2 总裁办公室要跟踪法律法规的变化信息。如果法律法规更新,对本公司的活动、产品/服务体系直接产生影响,应

13、及时调整数据库,并评价是否需要重新识别重要信息资产、调整目标,并执行信息安全风险评估管理程序,及时将评价结果传递给有关部门。6.4.3 总裁办公室定期(一年)制定有效的法律法规目录并发布。6.4.4 执行人力资源控制程序,利用讲解、培训、办宣传栏等形式,使员工了解和掌握法律法规。各部门负责人要掌握本部门员工学习情况。6.4.5 执行文件控制程序,对法律、法规适用性进行确认、标识有效文件,并定期发布作废、失效的法律法规及其它要求。6.4.6 执行文件控制程序,对出于法律和(或)保留信息的需要而留存的失效文件予以标识。6.5 合规性评价6.5.1 总裁办公室负责组织本公司的合规性评价活动,编制信息

14、安全法律法规符合性评估报告。6.5.2 有下列情况之一的,须进行相关的合规性评价活动a) 原有的法律法规发生变化或者有新的相关法律法规出台时;b) 外部环境标准发生变化或者环境体系进行换版时;c) 公司内部或者周边工作环境发生变化时;d) 有新的设备或者设施投入使用前;普天信息技术有限公司 编号 CPIT-ISMS-4.2-03作 业 文 件 版本 A/0监视和测量管理程序 页次 7/7e) 一般情况下每年末进行相关的合规性评价工作。6.5.3 各部门根据信息系统日常运行及检测记录,对控制效果、过程的符合性进行相应评价。必要时需召集相关人员进行评审,并留下相应的评审记录。6.5.4 公司的信息安全法律法规符合性评估报告经总裁办经理批准后由技术质量部保存。6.5.5 文件更新以及评价过程相关记录的发放、回收、换版、作废以及存储按照文件控制程序执行。7. 相关文件纠正与预防措施控制程序信息处理设备管理程序事故、事件、薄弱点与故障管理程序文件控制程序人力资源控制程序8. 记录记录名称 保存部门 保存期限信息安全法律法规清单 技术质量部 至版本更新信息安全法律法规符合性评估报告 技术质量部 3 年体系运行检查记录 技术质量部 3 年目标及风险控制计划完成情况检查表 技术质量部 3 年顾客满意程度调查表 技术质量部 3 年信息系统巡检记录 技术质量部 3 年

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高等教育 > 专业基础教材

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报