安全评审管理制度_第1页
安全评审管理制度_第2页
安全评审管理制度_第3页
安全评审管理制度_第4页
安全评审管理制度_第5页
已阅读5页,还剩4页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、XXX网络信息中心安全评审管理制度文件编号XXX使用部门网络信息中心维护人初版日期XXX-12-15修订日期2012-01-11修订及复核记录修订记录版次起草复核批准发行日期摘要审核栏条目姓名审核日期批准复核起草第一章 总 则 4第二章 人员和职责4第三章 内 容 4第四章 检查表 6第五章 相关文件 6第六章 相关记录 6第七章 附 则 7附件一 管理评审执行情况检查表7第一章 总 则第一条本制度旨在对XXX信息中心信息安全体系的适宜性、充分性、有效性进行评审, 使XXX®息中心信息安全管理体系不断地完善并持续有效的运行,不断?f足XXX信息中心信息 安全方针要求,实现XXX信息中

2、心信息安全体系目标。第二条本制度适用于XXX信息中心最高管理者对信息安全体系适宜性、充分性和有效性 的审核和评价活动。第二章 人员和职责第三条XXX®息中心信息安全管理委员会(1) 批准发布本制度;(2) 领导信息安全管理制度的评审;第四条信息安全管理组(1) 组织编写并控制本制度;(2) 引导相关部门及人员落实本制度之要求;第五条信息安全审核组(一)负责对实施过程中存在的漏洞进行发现(二)负责对实施效果进行验证。第六条 XXX 信息中心全体员工遵守本制度第三章 内 容第七条 评审频次通常情况下管理评审每年一次。如遇重大信息安全问题、XXXR络信息中心组织架构变更、 XXX网络信息中

3、心业务发生重大调整,信息技术的重大变革、威胁源显著变化等情况则适当调 整管理评审的次数。第八条 评审内容管理评审应包括或涉及以下内容:(一)体系建立前或体系上次修订前的综合情况;(二)体系运行(修订)后的变化,包括体系运行效果与不足;(三)信息安全方针、目标是否适应外部市场及内部环境的变化,实现情况如何,是否需要调整和修订;(四)信息安全体系文件是否满足实际需要,是否需要修订;(五)组织结构、资源(人员、技术、设备等)是否满足信息安全体系有效运行的需要,是否需要调整和增加资源投入;(六)各项活动是否受控,是否需要改进。第九条 评审输入信息安全管理体系管理评审输入包括但不限于:(一)ISMS审核

4、和评审的结果;(二)相关方的反馈;(三)组织用于改进ISMS业绩和有效性的技术、产品或程序;(四)纠正和预防措施的实施情况;(五)上次风险评估未充分指出的脆弱性或威胁;(六)有效性测量的结果;(七)上次管理评审所采取措施的跟踪验证;(八)任何可能影响信息安全管理系统的变更;(九)改进的建议。第十条 评审实施(一)信息安全管理委员会根据XXX信息中心管理层要求,负责筹划管理评审并编制管理评审计划,在评审前 xx 天向参加评审的部门或人员下发管理评审计划,要求做好相应准备;(二)由最高管理者或者信息安全管理委员会主持召开管理评审会议,并按管理评审计划中要求内容逐项审议。(三)各部门按评审计划内容进

5、行汇报和提交有关资料。(四)XXX信息中心最高管理者/信息安全管理小组根据评审情况做出相应评定结论,包括:(五)对影响信息安全方针、目标及信息安全管理体系适宜性和有效性的问题,提出明确的改进要求;(六)对所有活动所需资源予以确认与保证。(七)信息安全管理组负责参加人员签到,记录评审过程的会议纪要并归档;第十一条 评审输出(一)管理评审的输出应包括但不限于以下任何决定和措施:( 1)信息安全管理系统有效性的改进;( 2)更新风险评估和风险处置计划;(二)必要时,修订影响信息安全的程序和控制措施,以反映可能影响信息安全管理系统的内外事件。 ;(三)包括以下方面的变化:(1)业务要求;(2)安全要求

6、;(3)影响现有业务要求的业务过程;(4)法律法规要求;(5)合同责任;(6)风险等级和/或风险接受准则。(7)资源需求;(8)改进测量控制措施有效性的方式。第十二条评审跟进评审结果涉及到的需要采取改进/预防措施的部门,由部门负责人制定改进/预防措施,在 评审报告明确规定的期限内落实改进/预防措施任务的完成情况。信息安全审计组负责对实施 效果进行验证。第四章检查表第十三条管理评审执行情况检查表任务编号检查点检查内容检查方法检查周期1评审输入检查对照管理评审报告的输 入和制度规定的输入要 求查阅文档每月2管理评审的输出文 档是否包括有效性的改进, 更新风险评估和风险处 置计划等要点查阅文档每月3检查安全审计组对 需要采取改进/预 防措施的实施效果 的验证结果检查改进/预防措施的实 施效果查阅文档每半年第五章相关文件第十四条在每次开展管理评审活动时,必须事先制定完整的评审计划第六章相关记录第十五条 管理评审执行记录必须被及时归档,并置于相关信息安全保护措施之下,避免 评审记录遭遇非法篡改及损坏。第七章附则第十六条 本管理评审制度自发布之日起开始实施;第十七条本管理评审制度的解释和修改权属于 XXX网络信息中心;第十八条XXX网络信息中心每年统一检查和评估本管理规定,并做出适当更新。在业务 环境和安全需求发生重大变化时,也将对本管理评审制度进行检查和更新。附件

人人文库> 全部分类> 应用文书 > 研究报告

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论