XX公司信息安全管理体系有效性测量评价程序.docVIP

版本：A 编号：ISMSP-17-A 第 PAGE 5 页 共 NUMPAGES 8 页 版本：A 编号：ISMSP-17-A 第 PAGE 2 页 共 NUMPAGES 4 页 XXXX公司 ISMS 版 本 A 密 级 秘密★3年 XX信息安全管理体系有效性测量评估程序 文件编号 ISMSP-17-A 1 目的 为评价XXXX公司信息安全管理体系风险控制措施的有效性，评价信息安全管理体系的有效性，为管理评审、内部审核及改进设施安全提供输入项，在XXXX公司内沟通安全的价值并为风险评估和风险处理计划提供输入项，特制定本程序。 2 范围 本程序适用于XXXX公司依据ISO/IEC 27001:2005标准建立的信息安全管理体系有效性的测量。 3 职责 3.1 总经理及管理者代表负责测量方法的策划，测量指标的建立并组织相关职能人员进行测量过程的实施； 3.2 各部门负责人负责提供体系测量的数据输入项及测量结果的处理； 3.3 总经理负责体系测量指标的审批与输出结果的审核及处理决定的审批； 3.4 信息安全管理委员会负责对测量方法的改进。 4定义 实体：能够通过对其属性测量来表现的对象。 5 程序 5.1 管理者代表应对信息安全管理体系涉及到的管理流程、产品、项目计划、资源等进行测量模型的设计。信息安全管理体系的测量模型包括三种方式：基础测量、推论测量、指标测量。 5.2 管理者代表针对ISMS需要测量的实体，定义对管理体系有效性测量的方法，策划应形成《信息安全管理体系策划书》。对于策划的方法，应得到XXXX公司总经理的审批，所需调查的表格（或其他形式的电子文档）应由管理者代表通过电子邮件发送给各相关职能人员。 5.2.1 测量方法可以是主观的或客观的，可能用到的方法包括： a) 调查； b) 观察； c) 问卷； d) 依据知识的评估； e) 检查； f) 系统查询； g) 测试； h) 抽样。 5.2.2 在测量过程中，搜集用于测量的数据源，可考虑： a) 内部和外部审核的结果； b) 风险分析所得出的风险等级； c) 使用调查表； d) 信息安全管理体系记录； e) 信息系统自动输入的信息，如防火墙日志。 5.2.3 数据搜集过程应确定： a) 需要搜集的信息及信息来源； b) 确定搜集信息的责任人； c) 所搜集的信息的时间段； d) 在何地搜集信息； e) 安全要求； f) 管理者报告； g) 管理层对测量过程的审核。 5.3 管理者代表应对所搜集的数据形成《信息安全管理体系测量数据搜集报告》并进行分类整理，分析数据所关联的管理流程，回顾相关风险评估事项，对照可接受风险准则，分析所发现问题的根本原因，协同相关职能人员提出改进的建议或方案，并形成《信息安全管理体系测量结果报告》。 5.4 《信息安全管理体系测量结果报告》至少应包括以下内容： a) 测量方法的描述； b) 控制措施有效性的评价结论； c) 体系有效性（包括持续改进）的评价结论； d) 对安全体系、安全控制持续改进的建议及价值； e) 测量结果对风险评估和风险处理的影响分析（是否在风险评估和处理阶段遗漏了必要的输入）； f) 管理层对测量结果改进建议或方案的审批。 5.5 管理者代表通过电子邮件方式将《信息安全管理体系测量结果报告》下发相关职能人员，并根据管理层对体系有效性测量结果的审批结论，跟踪验证各区域实施的结果。 5.6 对信息安全管理体系有效性测量每半年进行一次。 5.7 对有效性测量过程的改进应作为管理评审的输入事项，以不断改进测量过程的有效性。 6相关文件 无 7 记录 记录名称 保存期限 《信息安全管理体系策划书》 2年 《信息安全管理体系测量数据搜集调查表》 2年 《信息安全管理体系测量结果报告》 2年 8 本程序文件更改记录表 序号 条款号 更改标记 更改内容 更改通知单号 更改人/日期 附加说明： 本程序文件编制人： 日期： 本程序文件审核人： 日期： 本程序文件批准人： 日期： 信息安全管理体系策划书 项目名称 信息安全管理体系有效性测量 项目目的 为评价XXXX公司信息安全管理体系风险控制措施的有效性，评价信息安全管理体系的有效性，为管理评审、内部审核及改进设施安全提供输入项，在XXXX公司内沟通安全的价值并为风险评估和风险处理计划提供输入项。 项目范围 XXXX公司所有区域 项目依据 ISO/IEC 27001:2005 《ISMSP-09-A信息安全管