信息安全管理体系有效性测量控制程序.docVIP

信息安全管理体系文件 ISMSP-09-A 信息科技部 信息安全管理体系有效性测量控制程序 A版 受控状态：受控 2011年6月1日 目录 TOC \o 1-4 \h \z \u HYPERLINK \l _Toc306549209 1 目的 PAGEREF _Toc306549209 \h 3 HYPERLINK \l _Toc306549210 2 范围 PAGEREF _Toc306549210 \h 3 HYPERLINK \l _Toc306549211 3 相关文件 PAGEREF _Toc306549211 \h 3 HYPERLINK \l _Toc306549212 4 职责 PAGEREF _Toc306549212 \h 3 HYPERLINK \l _Toc306549213 5 程序 PAGEREF _Toc306549213 \h 3 HYPERLINK \l _Toc306549214 6 记录 PAGEREF _Toc306549214 \h 5 文件修订历史记录 版本 日期 修订者 修订描述 1.0 1 目的 为评价阜新银行信息科技部信息安全管理体系风险控制措施的有效性，评价信息安全管理体系的有效性，为管理评审、内部审核及改进设施安全提供输入，在信息科技部内沟通安全的价值并为风险评估和风险处理计划提供输入，制定本程序。 2 范围 本程序适用于阜新银行信息科技部依据ISO/IEC 27001:2005标准建立的信息安全管理体系有效性的测量。 3 相关文件 《信息安全目标管理程序》 4 职责 4.1 总经理及管理者代表负责测量方法的策划，测量指标的建立并组织相关职能人员进行测量过程的实施； 4.2 各区域副总经理负责提供体系测量的数据输入及测量结果的处理； 4.3 总经理负责体系测量指标的审批与输出结果的审核及处理决定的审批； 4.4 信息安全管理委员会负责对测量方法的改进。 5 程序 5.1 管理者代表应对信息安全管理体系涉及到的管理流程、产品、项目计划、资源等进行测量模型的设计。信息安全管理体系的测量模型包括三种方式：基础测量、推论测量、指标测量。 5.2 管理者代表针对ISMS需要测量的实体，定义对管理体系有效性测量的方法，策划应形成《信息安全管理体系策划书》。对于策划的方法，应得到信息科技部总经理的审批，所需调查的表格（或其他形式的电子文档）应由管理者代表通过电子邮件发送各相关职能人员。 测量方法可以是主观的或客观的，可能用到的方法包括： a) 调查； b) 观察； c) 问卷； d) 依据知识的评估； e) 检查； f) 系统查询； g) 测试； h) 抽样； 在测量过程中，搜集用于测量的数据源，可考虑： a) 内部和外部审核的结果； b) 风险分析所得出的风险等级； c) 使用调查表； d) 信息安全管理体系记录； e) 信息系统自动输入的信息，如防火墙日志 数据搜集过程应确定： a) 需要搜集的信息及信息来源； b) 确定搜集信息的责任人； c) 所搜集的信息的时间段； d) 在何地搜集信息； e) 安全要求； f) 管理者报告； g) 管理层对测量过程的审核。 5.3 管理者代表应对所搜集的数据形成《信息安全管理体系测量数据搜集报告》并进行分类整理，分析数据所关联的管理流程，回顾相关风险评估事项，对照可接受风险准则，分析所发现问题的根本原因，协同相关职能人员提出改进的建议或方案，并形成《信息安全管理体系测量结果报告》。 5.4 《信息安全管理体系测量结果报告》至少应包括以下内容： a) 测量方法的描述； b) 控制措施有效性的评价结论； c) 体系有效性（包括持续改进）的评价结论； d) 对安全体系、安全控制持续改进的建议及价值； e) 测量结果对风险评估和风险处理的影响分析（是否在风险评估和处理阶段遗漏了必要的输入）； f) 管理层对测量结果改进建议或方案的审批。 5.5 管理者代表通过电子邮件方式将《信息安全管理体系测量结果报告》下发相关职能人员，并根据管理层对体系有效性测量结果的审批结论，跟踪验证各区域实施的结果。 5.6 对信息安全管理体系有效性测量每半年进行一次。 5.7 对有效性测量过程的改进应作为管理评审的输入事项，以不断改进测量过程的有效性。 6 记录 《信息安全管理体系策划书》 《信息安全管理体系测量数据搜集调查表》 《信息安全管理体系测量结果报告》 信息安全管理体系策划书 项目名称 信息安全管理体系有效性测量 项目目的 为评价阜新银行信息科技部信息安全管理体系风险控制措施的有效性，评价信息安全管理体系的有效性，为管理评审、内部审核及改进