20a14监视和测量件管理程序.docVIP

监视和测量管理程序 编号ISMS-2014 状态 编写： 200年月日 审核：年月日 批准：年月日 发布版次：第A/版 年月日 生效 200X年月日 接受部门： 变 更 记 录 变更日期 版本 变更说明 编写 审核 批准 2009-XX-XX A/0 初始版本 XXX XXX XXX 监视和测量管理程序 1 目的 　　通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析，为策划、实施、持续改进信息安全管理体系提供依据。 2 适用范围 　　本程序适用于对本公司区域内所有业务职能部门的安全特性控制、绩效及管理体系运行的监视和测量。 3 术语和定义 引用GB/T22080-2008、GB/T19001-2008标准及本公司《信息安全管理手册》中的术语和定义。 4 职责 4.1 管理者代表 4.1.1 负责掌握信息安全管理体系的总体运行情况，并向最高管理者汇报，对最高管理者负责。 4.1.2 负责每半年组织对本公司职能部门目标、指标的完成情况进行考核。 4.2 XX部 4.2.1 负责本程序的编制、修订和监督实施。 4.2.2 负责每半年对各职能业务部门进行监视和测量，对各职能业务部门的监视和测量执行情况进行监督、检查和指导，为纠正和预防提供信息。 4.2.3 负责收集的顾客信息安全满意程度信息，并进行汇总、分析和传递。 4.2.4 负责获取、识别、更新适用于本公司信息安全管理体系运行的所有法律法规，发布《信息安全法律法规清单》，对本程序的实施情况进行组织、监督和检查。行政部负责法律法规的更新以及适用性的确认，并传达给各部门。 5 控制措施和目标实现程度的监视测量 5.1 监视和测量的范围及依据 5.1.1 根据本公司业务范围内信息资产的控制范围，确定监视和测量范围。 5.1.2 测量的范围一般包括： 控制措施的实现过程； 关键特性；控制措施实现目标程度；适用法律、法规的符合性；业务持续性控制措施；事故、事件和其它不良的绩效； 不可接受风险计划中确定的措施； 顾客信息安全的满意程度。 5.1.3 监视和测量的依据是法律法规、技术标准、顾客合同、适用性声明、管理手册、程序文件等。 5.2 监视和测量的要求 应按照国家及地方技术规范规定和顾客要求的检验和试验项目、标准、方法进行监视和测量。必要时，本公司各职能部门、职能业务部门指定专人编写作业文件予以规定，规定的严格程度应与问题的复杂程度和风险相适应。 5.3 监视和测量的实施 5.3.1 本公司行政部根据各职能部门确立的监视和测量范围，确定监视和测量的依据、项目、关键特性、频次、使用的仪器设备等。 5.3.2 监视和测量可选择的方法 a. 对控制过程进行日常检查； b. 信息安全措施状况的抽查； c. 设备装置的检查； d .作业环境的监视； e. 记录检查。 5.3.3 控制过程的监视和测量 a. 行政部负责组织控制措施实施过程的监视和测量。 b. 信息处理设备进场/入库前必须按照采购计划，对物资设备的数量、规格、信息安全要求进行验证，审核产品证明文件的符合性。验证方法应符合ISMS-2010《信息处理设备管理程序》，并保留相应的原始记录。 c. 使用前必须经过复验、检验的物资，按相应的标准、规范进行复验。 d. 未经监视和测量的信息处理硬件软件或劳务不得投入使用，对验证不合格的，按照《事故、事件、薄弱点与故障管理程序》执行。 e. 因工作急需，未经检验和试验放行（硬件、软件）或转序（劳务），必须具备放行和转序后一旦发现问题能够追回的条件。 f. 紧急放行或例外转序后，应及时进行检验和试验，发现问题及时追回或处理。 g. 为控制措施目标所需的主动监视和测量，以巡检、设施监控、统计分析等适用的方法进行。 5.3.4本公司不可接受风险处置计划关键特性和绩效的监视和测量，由行政部按照计划策划的时间间隔，对特性的效果与IT专员协商测试方法，执行本程序。对不易测评绩效的关键特性，采用观察现场表现的监视和测量方式。有必要时，可委托有资格的外部检测机构实施。对事故、事件和其他不良绩效的测量，由行政部组织，事发单位协同，利用统计报告并结合《事故、事件、薄弱点与故障管理程序》进行分析和改进。 5.3.5管理体系运行过程的监视和测量 5.3.5.1管理体系运行要遵守法律、法规的要求。 XX部要对本公司各职能部门适用的法律、法规、标准、规范的获取和识别，进行监视和测量。 5.3.5.2管理体系运行过程的检查 职能业务部门要每半年对管理管理体系的目标、指标及管理体系运行情况进行监视和测量。 5.3.5.3 以上的监视和测量由检查部门形成“