ISO27001信息安全管理体系相关方需求和期望分析表+组织内外部环境分析报告Word文件下载.docx
- 文档编号:18595609
- 上传时间:2022-12-29
- 格式:DOCX
- 页数:14
- 大小:22.68KB
ISO27001信息安全管理体系相关方需求和期望分析表+组织内外部环境分析报告Word文件下载.docx
《ISO27001信息安全管理体系相关方需求和期望分析表+组织内外部环境分析报告Word文件下载.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理体系相关方需求和期望分析表+组织内外部环境分析报告Word文件下载.docx(14页珍藏版)》请在冰豆网上搜索。
供应商敏感信息的保密性。
质量及信息安全方针
确保持续改进和提升服务质量
1.以客户为关注焦点,及时、准确并妥善处理客户提出的服务要求。
2.对外包服务过程进行严格管理,避免、化解或降低由于服务过程不当导致的投诉。
3.不断改进和提升服务质量,为客户创造更多价值。
确保客户信息和公司重要商业信息的保密性
1.在获取、处理和交付客户信息资产的过程中,确保客户敏感信息的保密性,防止由于人员对信息处理不当,导致客户信息的泄漏。
2.防止关键业务应用系统、网络服务及个人计算机因管控失效,导致客户信息及公司重要商业信息的泄漏。
确保客户信息及重要信息系统的完整性
3.在服务提供过程中,严格按照操作流程及规范进行提供服务,确保关键数据的准确性和完整性。
4.防止关键业务应用系统、网络服务及个人计算机因管控不当造成数据丢失或被篡改,导致系统中的客户信息、公司重要信息失去完整性和真实性。
确保重要信息系统的可用性
1.防止关键业务系统因管理不当造成系统故障,导致公司产品受到严重影响。
符合适用法律及行业法规要求
1.对客户的质量要求、行业内相关法律法规进行充分识别,确保整个过程满足客户质量要求及行业内相关法律法。
—符合适用法律及行业法规要求
我们将通过以下举措努力实现上述承诺的质量目标:
—维护并持续改进质量管理体系,采取预防性措施,减少各类质量事件发生,通过质量持续提升的绩效让客户体验质量管理的成果。
—充分了解业界在技术发展趋势,及时应用适用的技术有效支持质量管理。
—重视人员能力培养,基于岗位能力要求招聘、培训并培养符合岗位能力要求的员工,最终通过人的能力保证信息安全目标的实现。
体系范围:
与电销/电催业务外呼服务质量及信息安全要求相关的业务活动、关键部门、支持部门、信息系统、外部服务提供商
核心业务活动
塑胶模具生产制造、电子产品用塑胶件生产,包括市场拓展与销售、项目规划、项目实施、服务提供及服务终止整个生命周期。
支持业务活动
供应链管理、人力资源、信息技术、行政、财务等管理支持。
关键部门
销售部。
支持部门
行政部、生产部、品质部、销售部。
资源支持
作业场地、设备。
外部服务提供商
原材料服务商等。
ISO27001组织内外部环境分析报告
公司运营宗旨(愿景与战略目标)
—本公司专注于手机电池、电池充电器、电源变压器的生产。
—本公司的愿景为:
争取通过五年时间的努力和沉淀,成为手机电池、电池充电器、电源变压器合作商中的领先者。
—为实现这一愿景,本公司一直以来非常重视人员能力及服务意识的提升和培养,不断提升安全技术应用及优化内部管理流程,形成公司的核心竞争力及企业文化,以达成公司愿景。
管理体系在支持愿景及核心竞争力方面应达到的结果
基于手机电池、电池充电器、电源变压器行业的特点,本公司要成为行业内的领先企业,质量管理能力和信息安全技术将是不可或缺的因素。
因此,本公司在质量和信息安全管理方面必须能够实现高层期望的成果:
—不断优化业务流程,持续加强对员工的技能、质量和信息安全意识能力培训,不断提升客户的经营指标达成率、降低有效投诉及抱怨率。
—并能够有效维护一个完整的、有效的、符合食品安全特点的质量管理体系。
—在客户信赖的同时,我们需要关注公司、合作伙伴、员工及供应商对质量和信息安全的需求,质量和信息安全管理体系也应为这些利益相关方提供信心。
—最大程度的预防质量和信息安全管理等的风险,减少安全事件的发生,及时响应并有效应对各类安全事件,是我们质量和信息安全管理体系成果的核心体现。
影响宗旨及实现管理体系结果的外部环境因素
结论说明
相关威胁与脆弱性
威胁
脆弱性
社会因素
1、是否存在影响本公司实现质量管理体系的社会动乱因素,例如:
故意破坏等恶意破坏等因素?
作为专注手机电池、电池充电器、电源变压器的生产公司,对进行外部环境破坏、以及内部污染(例如设备污染、内部人员故意破坏等),都是本公司极为关注的问题。
1、故意破坏基础设施、硬件设备
1、生产区域进出控制不足
2、生产区域缺乏严格门禁访问控制
3、生产敏感区域监控不足
2、偷盗
1、办公室内或安全敏感区域进出控制不足
3、故意破坏
1、控制不当
4、火灾
1、报警系统未及时报警
2、缺乏火灾应急预案
3、人员缺乏应对火灾应急预案的培训和演练
2、是否存在自然环境发生的、质量造成灾难性影响的因素,例如:
地震、台风、洪水等?
来自于自然环境(包括:
地震、海啸、台风、洪水、雷电、暴雨、暴雪)的威胁会造成公司活动暂时中断。
台风
1、生产设施缺乏物理保护
2、生产设施缺乏台风暴雨洪水暴雪应急预案
暴雨
洪水
暴雪
雷电
1、生产设施缺乏防雷设施
2、防雷设施没有及时检测
干燥天气
1、生产设施缺乏静电保护
潮湿天气
1、是设备缺乏空调设施
文化因素
1、外部整体环境对质量管理是否充分理解和重视(例如:
欧美整体社会环境是重视质量,而中国文化中对质量的理解缺乏片面性)?
但由于中国国内整体对质量的重视程度不够,公司内部、合作伙伴以及供应商在质量管理能力和意识方面缺乏,在面对各种外部威胁时,往往由于管理能力和意识的缺失,导致质量事件的发生。
无意暴露敏感信息
合作伙伴或供应商缺乏安全意识
误操作
法律法规因素
1、与手机电池、电池充电器、电源变压器的生产相关的质量管理相关法律和法规是否被清晰并及时识别?
公司尽管针对适用的法律法规以及行业规定进行了收集,但目前在获取新的法律法规、行业规定方面依然缺乏清晰的程序和有效的执行力度。
1、无意触犯法规
人员缺乏必要的法律法规培训
缺乏对法律法规的评审
2、新法规颁布
未及时收集并识别相关法律条款
2、对法律法规的符合程度是否进行过全面的评审,并有信心这些法律法规被有效执行?
尽管公司建立了适用的法律法规以及行业规定清单,但对于目前的产品是否符合相关的质量要求并没有进行全面的评审。
3、非法使用版权和知识产权
缺乏对软件版权的管理
技术因素
1、与手机电池、电池充电器、电源变压器的生产交付相关的技术本身是否制约质量管理,例如:
现有质量技术领域的不完善因素(技术脆弱性、真实性和可依赖性的问题等)。
由于新技术的不断应用,而公司在及时跟踪这些新技术并针对新技术采取必要的安全技术方面,缺乏必要的措施。
1、有意暴露敏感信息
人员缺乏必要的安全意识培训
未得到有效管控
2、故意破坏
缺乏质量纪律奖惩机制
3、故意篡改数据
系统访问权限缺乏控制
2、在用设备技术是否存在技术缺陷,而制约与手机电池、电池充电器、电源变压器的生产的质量管理结果。
公司自有的设备故障,但问题根源尚未得到有效解决,影响质量管理的有效性。
1、设备故障
众所周知的缺陷
变更缺乏控制
经济因素
1、所处的行业经济(例如持续的经济萧条影响食用油的市场,并导致在质量管理方面不可能考虑过多的投入?
)
随着手机电池、电池充电器、电源变压器的生产领域客户更加关注其核心业务活动,因此手机电池、电池充电器、电源变压器的生产的外包业务活动正方兴未艾;
在收入回报方面,属于高风险的行业,目前尚没有明显的影响质量目标的关注问题。
//
地区因素
1、手机电池、电池充电器、电源变压器的生产行业所处的地区,针对质量是否有更为严格的要求?
但在这个领域各地的质量要求是基本一致的,不存在更为严格的法律法规要求。
2、手机电池、电池充电器、电源变压器的生产行业所处的地区是否频发特殊的自然灾害事件,并可能对质量造成影响?
在深圳主要考虑的自然灾害事件可能包括:
地震、海啸、台风、洪水、雷电、暴雨等。
竞争对手
1、竞争对手是否会通过不当手段影响手机电池、电池充电器、电源变压器生产的质量,例如:
外部攻击、恶意营销、商业间谍等。
竞争对手可能会通过不当手段影响手机电池、电池充电器、电源变压器生产的质量,因此商业间谍、外部恶意攻击、商业贿赂等行为仍然值得关注。
1、恶意攻击或入侵
管理不充分
2、商业间谍
权限缺乏控制
纸质文件存放未受保护
3、商业贿赂
缺乏人员行为规范
缺乏质量纪律奖惩
外部利益相关方(公众、供应商等)因素
1、与影响质量的外部利益相关方(重要的供应商、合作伙伴等)的相互关系会否制约质量管理(例如:
没有长期良好的合作关系、彼此对质量的重要性理解不一致、缺乏共同的价值观和理念等)。
外部利益相关的因素与文化因素基本类似。
同文化因素
影响宗旨及实现质量管理体系结果的内部环境因素
内部管理控制能力
1、质量管控能力是否成熟(至上而下的管控,包括:
高层管理能够提出明确的质量要求,并能够确保下属按照各自的职责有效的完成要求,最终达至高层的要求)。
公司在整体的质量管控能力方面仍然需要改进,特别是高层针对食用油质量的总体目标设定和后续支持推进等方面需要特别关注。
1、没有明确的质量目标及绩效测量
缺乏高层支持(缺乏明确的质量目标及目标分解和测量)
2、我们在哪些环节可能缺乏更有效的管控能力(高层有明确的质量要求、中层将要求转化为具体的措施,一线员工有效执行相关措施)?
尽管公司已初步建立并实施了质量管理体系,但公司相关管理人员在质量管控能力以及作业员工的安全意识能力等亟需改进。
1、误操作
缺乏关键操作监控流程
缺乏关键技能培训
2、入侵
缺乏操作日志审计机制
3、非授权访问
对权限访问缺乏定期评审
组织结构与职责
1、是否建立明确的质量组织架构?
尽管公司建立了质量组织架构,但各人员对质量职责的了解依然缺乏。
1、非授权访问
权限管理不合适
2、各个职能层次是否清晰定义质量职责且相关员工均了解各自的质量职责?
2、误操作
缺乏操作规范
人员培训(操作技能培训不足)
现有方针、目标、策略
1、在质量领域(例如:
是否所有员工招聘时必须进行背景调查?
一个新的项目承接后,必须进行质量风险评估?
发生重大安全事件后,必须将安全事件最终分析和处理结果与客户及相关方进行正式沟通等等?
)是否建立明确的方针、目标和策略,这些方针和目标切实反映对质量要求(客户、股东、员工、合作伙伴以及供应商的要求)?
尽管公司针对手机电池、电池充电器、电源变压器的生产建立并实施了质量管理要求及标准,但在一些对质量管理结果有影响的领域依然缺乏必要的管理方针和要求,包括:
质量纪律奖惩执行与检查不到位、新或变更项目的风险评估、供应链管理、安全绩效目标制订与监控、业务连续性及应急响应流程等等。
这些关注的问题明显会被一些外部的威胁所利用,例如:
故意破坏、非法入侵等。
1、故意破坏
人员招聘过程控制不足
人员招聘过程控制不足;
3、非法入侵
网络管理不充分(关键系统或资产未被保护)
4、设备故障
重大事件缺乏后续跟踪分析与沟通
资源与知识的能力
1、针对涉及的质量管理(例如:
人员能力提高、技术更新等等),公司每年是否有明确和充分的财务预算?
公司每年的财务预算中,需要进一步就关键岗位人员能力提高、设备更新、新技术的获取与更新进行考虑。
设备更新不及时
2、人员缺岗
人员数量不足
3、误操作
人员培训不足(针对人员能力特定的培训)
缺乏获取新技术趋势的渠道(参与行业协会、新技术研讨和展览会等)
2、关键的人员是否具备足够的能力提供并管理相关服务?
(这些关键人员是否识别、能力要求与资格确认是否按照正式要求进行?
公司已建立各岗位职责及能力说明,在初始招聘及入职培训时会正式确认相关能力资质是否符合要求;
但在职人员的能力及技能提升尚未进行系统化设计和执行。
1、人员培训不足(缺乏系统的培训)
2、关键岗位人员缺乏能力要求识别
3、过往出现的质量事件中,是否有部分是由于人员能力和意识不足所导致?
过往的质量事件中,有部分安全事件由于人员能力及意识培训不足而导致。
3、关键岗位人员缺乏能力资格确认
4、质量管理相关过程是否清晰定义(指从市场业务承接过程涉及的质量管理直至服务终止涉及的质量管理过程)?
公司过往的质量管理过程主要关注食用油生产过程的管理,但在市场业务承接、采购、项目实施过程需要进一步考虑质量风险。
1、无意暴露敏感信息
缺乏必要的管理要求
质量需求识别不充分
新项目缺乏风险评估
5、质量管理是否能够获取新技术的支持?
从一项新技术进入市场到被引入应用的周期是否过长?
针对质量管理,公司缺乏获取必要的新技术信息的渠道,也缺乏及时应用新技术的策略。
公司在质量新技术方面的获取与应用方面需要进一步提高。
获取新技术信息不及时
新技术应用不及时
缺乏业务连续性方案以及对应的应急响应方案
2、技术故障
4、入侵
6、是否可以通过正式渠道了解质量管理领域的新技术?
(例如:
参加相关的行业协会、研讨会、必要的外部培训等)
公司没有建立正式的渠道及策略,用以了解质量管理领域的新技术。
1、新技术出现导致新的威胁
未有效利用新技术导致丢失市场;
缺乏获取新技术的渠道
7、在过往出现的质量事件中,是否有部分是由于缺失新技术更新或应用而导致的事件?
过往的安全事件中,有部分事件由于新技术更新和应用导致事件发生。
新技术引用不及时
8、支持质量管理的信息系统是否充分和有效(必要的质量管理工具等等)?
公司目前应用了相关工具,目前能够基本支持公司现有的BPO运营服务。
在质量管理领域,需要进一步考虑的对外部和内部威胁的监控。
缺乏电子信息访问及发布监控
缺乏日志收集与审计机制
3、篡改配方
内部利益相关方因素
1、公司高层对质量管理的态度是否能够充分支持和理解质量管理的重要性?
通过年度董事会、年度商业报告和计划中体现对管理对质量的重视程度?
公司高层需要对质量给予充分理解和支持。
1、质量管理无法持续有效推进
1、缺乏公司高层的支持
组织文化
1、公司是否将质量管理作为一种文化在组织中倡导(公司文化价值观、绩效考核内容中是否体现)?
公司在推进质量文化方面仍然缺乏力度,尽管人员入职有质量意识培训,但意识的灌输以及质量的沟通仍然需要加强。
人员培训不足(意识培训不足)
2、有意暴露敏感信息
奖惩制度不全面
2、员工是否被系统地教育质量相关的意识,从而能够自觉的、有意识的维护与管理过程相关的质量要求(例如:
正确的应用各类信息处理设施、正确的处理各类敏感数据等等)?
标准、指南和管理模型因素
1、公司目前应用的标准、指南以及管理模型是否有效支持质量管理?
在哪些方面是需要改进才能更有效支持质量管理(管理指南的可操作性?
体系的整合性?
尽管公司建立了质量管理体系,但这些体系要求与实际工作的结合缺乏有效性。
1、消极怠工
1、流程指南不恰当
合同关系的形式和程度
1、对于重要的原材料提供商,在合同形式和内容方面是否可能对质量造成一定的影响?
合同中没有充分识别质量要求、对于可能发生的、导致食用油安全的风险识别不充分?
等)
尽管在与重要的服务提供商合同内容中明确了外呼平台及设备的故障响应及处理完成时限,但尚未充分识别其他的质量要求及风险后果。
1、基础设施故障
1、与客户合约缺乏清晰责任定义
2、与设备提供商合约缺乏明确的安全要求
2、故意破坏基础设施、硬件设备
1、车间进出控制不足
2、车间缺乏严格门禁控制
3、车间内的监控不足
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27001 信息 安全管理 体系 相关 需求 期望 分析 组织 外部环境 报告
链接地址:https://www.bdocx.com/doc/18595609.html