信息安全管理体系有效性测量控制程序.docx
- 文档编号:9880818
- 上传时间:2023-02-07
- 格式:DOCX
- 页数:9
- 大小:24.01KB
信息安全管理体系有效性测量控制程序.docx
《信息安全管理体系有效性测量控制程序.docx》由会员分享,可在线阅读,更多相关《信息安全管理体系有效性测量控制程序.docx(9页珍藏版)》请在冰豆网上搜索。
信息安全管理体系有效性测量控制程序
信息科技部
信息安全管理体系有效性测量控制程序
A版
受控状态:
受控
2011年6月1日发布2011年6月1日实施
文件修订历史记录
版本
日期
修订者
修订描述
1.0
1目的
为评价阜新银行信息科技部信息安全管理体系风险控制措施的有效性,评价信息安全管理体系的有效性,为管理评审、内部审核及改进设施安全提供输入,在信息科技部内沟通安全的价值并为风险评估和风险处理计划提供输入,制定本程序。
2范围
本程序适用于阜新银行信息科技部依据ISO/IEC27001:
2005标准建立的信息安全管理体系有效性的测量。
3相关文件
《信息安全目标管理程序》
4职责
4.1总经理及管理者代表负责测量方法的策划,测量指标的建立并组织相关职能人员进行测量过程的实施;
4.2各区域副总经理负责提供体系测量的数据输入及测量结果的处理;
4.3总经理负责体系测量指标的审批与输出结果的审核及处理决定的审批;
4.4信息安全管理委员会负责对测量方法的改进。
5程序
5.1管理者代表应对信息安全管理体系涉及到的管理流程、产品、项目计划、资源等进行测量模型的设计。
信息安全管理体系的测量模型包括三种方式:
基础测量、推论测量、指标测量。
5.2管理者代表针对ISMS需要测量的实体,定义对管理体系有效性测量的方法,策划应形成《信息安全管理体系策划书》。
对于策划的方法,应得到信息科技部总经理的审批,所需调查的表格(或其他形式的电子文档)应由管理者代表通过电子邮件发送各相关职能人员。
测量方法可以是主观的或客观的,可能用到的方法包括:
a)调查;
b)观察;
c)问卷;
d)依据知识的评估;
e)检查;
f)系统查询;
g)测试;
h)抽样;
在测量过程中,搜集用于测量的数据源,可考虑:
a)内部和外部审核的结果;
b)风险分析所得出的风险等级;
c)使用调查表;
d)信息安全管理体系记录;
e)信息系统自动输入的信息,如防火墙日志
数据搜集过程应确定:
a)需要搜集的信息及信息来源;
b)确定搜集信息的责任人;
c)所搜集的信息的时间段;
d)在何地搜集信息;
e)安全要求;
f)管理者报告;
g)管理层对测量过程的审核。
5.3管理者代表应对所搜集的数据形成《信息安全管理体系测量数据搜集报告》并进行分类整理,分析数据所关联的管理流程,回顾相关风险评估事项,对照可接受风险准则,分析所发现问题的根本原因,协同相关职能人员提出改进的建议或方案,并形成《信息安全管理体系测量结果报告》。
5.4《信息安全管理体系测量结果报告》至少应包括以下内容:
a)测量方法的描述;
b)控制措施有效性的评价结论;
c)体系有效性(包括持续改进)的评价结论;
d)对安全体系、安全控制持续改进的建议及价值;
e)测量结果对风险评估和风险处理的影响分析(是否在风险评估和处理阶段遗漏了必要的输入);
f)管理层对测量结果改进建议或方案的审批。
5.5管理者代表通过电子邮件方式将《信息安全管理体系测量结果报告》下发相关职能人员,并根据管理层对体系有效性测量结果的审批结论,跟踪验证各区域实施的结果。
5.6对信息安全管理体系有效性测量每半年进行一次。
5.7对有效性测量过程的改进应作为管理评审的输入事项,以不断改进测量过程的有效性。
6记录
《信息安全管理体系策划书》
《信息安全管理体系测量数据搜集调查表》
《信息安全管理体系测量结果报告》
信息安全管理体系策划书
项目名称
信息安全管理体系有效性测量
项目目的
为评价阜新银行信息科技部信息安全管理体系风险控制措施的有效性,评价信息安全管理体系的有效性,为管理评审、内部审核及改进设施安全提供输入,在阜新银行信息科技部内沟通安全的价值并为风险评估和风险处理计划提供输入
项目范围
1.阜新银行信息科技部所有区域
项目依据
ISO/IEC27001:
2005
《ISMSP-09-A信息安全管理体系有效性测量控制程序》
职责
安全管理员及内审员在管理者代表领导下,具体负责此项计划动作,其他人员配合。
内容
测量方法设定:
年月日管理者代表&安全管理员
1.1数据搜集的方法:
1.1.1问卷调查(详见附件1)
1.1.2内审输出、管理评审输出、外审输出、各区域的风险处理情况报告的汇总
1.2数据分析的方法:
对采用1.1方法搜集来的数据与阜新银行信息科技部信息安全管理体系设定的总体目标、体系文件的要求以及获得总经理批准的测量指标进行比对(详见附件2);
1.3测量指标的设定并获得总经理批准;
1.4结果处理方法的设定。
测量实施过程:
年月日-年月日信息科技部各区域
数据搜集:
年月日-年月日信息科技部各区域
数据分析:
年月日
数据分析结果与测量指标的比对:
年月日
3.测量结果的输出:
处理结果反馈至科技部总经理年月日
备注
编制
审核
批准
附件1
信息安全管理体系有效性测量数据搜集调查表
部门:
_______________________________
日期:
_______________________________
填表人:
_____________________________
部门审核:
___________________________
注:
1本调查表调查时间范围年月日至年月日,请各区域负责人回顾所调查事项,如实填写,对于无法获取上述范围之内所有信息的事项(如日志记录)请说明填写的调查结果的时间范围。
2请对调查事项中发生问题的事项进行描述,填写在“严重程度/影响范围/其他说明”一栏。
32、3、5、9、11、19调查事项应填写精确数字;其它项请填百分比。
4对本区域不适用的调查事项请在“严重程度/影响范围/其他说明”一栏填写“N/A”。
序号
调查事项
调查结果
严重程度/影响范围/其他说明
1
不可接受风险处理率
2
重大事件(重大事件指影响金融业务正常运行的事件)
3
顾客/相关方因信息安全事件而产生的投诉
4
内部审核及管理评审实施及时率
5
员工参加安全意识培训
6
安全方针全员传达率
7
员工保密协议及外部第三方保密协议签订率
8
资产(主要指生产及测试等待上线的硬件资产)清查率
9
机房物理访问造成安全事件
10
机房变更操作审批率
11
系统容量导致安全事件
12
终端病毒软件安装率、及时更新率
13
策划的重要数据备份及时率
14
机房生产系统及网络设备口令复杂度、定期更新、定期回顾率
15
员工离开座位锁屏检查
16
网络访问接入审批率
17
软件系统开发文档完整性
18
业务连续性实际操作演练率
19
生产核心系统无故障运行时间
制表:
批准:
日期:
年月日
附件2
管理体系有效性Benchmark
第一部分:
体系目标
不可接受风险处理率
100%
重大事件(重大事件指影响金融业务正常运行的事件)
0次
顾客/相关方因信息安全事件而产生的投诉
≤5次
内部审核及管理评审实施及时率
100%
员工参加安全意识培训
≥1次/人
第二部分:
调查事项指标
安全方针全员传达率
100%
员工保密协议及外部第三方保密协议签订率
100%
资产(主要指生产及测试等待上线的硬件资产)清查率
98%
机房物理访问造成安全事件
0
机房变更操作审批率
100%
系统容量导致安全事件
0
终端病毒软件安装率、及时更新率
100%
策划的重要数据备份及时率
100%
机房生产系统及网络设备口令复杂度、定期更新、定期回顾率
100%
员工离开座位锁屏检查
90%
网络访问接入审批率
98%
软件系统开发文档完整性
90%
业务连续性实际操作演练率
80%
生产核心系统无故障运行时间
99.96%
THANKS!
!
!
致力为企业和个人提供合同协议,策划案计划书,学习课件等等
打造全网一站式需求
欢迎您的下载,资料仅供参考
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 体系 有效性 测量 控制程序