信息安全管理体系有效性测量控制程序.docxVIP

信息科技部 信息安全管理体系有效性测量控制程序 A版 受控状态：受控 2022年6月1日 发布 2022年6月1日 实施 目录 TOC \o 1-5 \h \z \o Current Document 1目的2 2范围2 \o Current Document 3相关文件2 \o Current Document 4职责2 \o Current Document 5程序2 \o Current Document 6记录4 文件修订历史记录 版本 日期 修订者 修订描述 lo 0 信息安全管理体系文件 ISMSP-09-A 1目的 为评价阜新银行信息科技部信息安全管理体系风险控制措施的有效性，评价 信息安全管理体系的有效性，为管理评审、内部审核及改进设施安全提供输入， 在信息科技部内沟通安全的价值并为风险评估和风险处理计划提供输入，制定本 程序。 本程序合用于阜新银行信息科技部依据ISO/IEC 27001:2005标准建立的信息 安全管理体系有效性的测量。 3相关文件 《信息安全目标管理程序》 4职责 4.1总经理及管理者代表负责测量方法的策划，测量指标的建立并组织相关职能 人员进行测量过程的实施； 4o 2各区域副总经理负责提供体系测量的数据输入及测量结果的处理； 4o 3总经理负责体系测量指标的审批与输出结果的审核及处理决定的审批； 4.4信息安全管理委员会负责对测量方法的改进. 5程序 5.1管理者代表应对信息安全管理体系涉及到的管理流程、产品、项目计划、资 源等进行测量模型的设计。信息安全管理体系的测量模型包括三种方式：基础测 量、推论测量、指标测量。 50 2管理者代表针对ISMS需要测量的实体，定义对管理体系有效性测量的方法， 策划应形成《信息安全管理体系策划书》。对于策划的方法，应得到信息科技部 总经理的审批，所需调查的表格（或者其他形式的电子文档）应由管理者代表通过 电 信息安全管理体系文件 ISMSP-09-A 子邮件发送各相关职能人员。 测量方法可以是主观的或者客观的，可能用到的方法包括： a）调查； b）观察； c） 问卷； d）依据知识的评估； e）检查； f）系统查询； g）测试； h）抽样； 在测量过程中，搜集用于测量的数据源，可考虑： a）内部和外部审核的结果； b）风险分析所得出的风险等级； c）使用调查表； d）信息安全管理体系记录； e）信息系统自动输入的信息,如防火墙日志 数据搜集过程应确定： a）需要搜集的信息及信息来源； b）确定搜集信息的责任人； c）所搜集的信息的时间段； d）在何地搜集信息； e）安全要求； f）管理者报告； g）管理层对测量过程的审核。 管理者代表应对所搜集的数据形成《信息安全管理体系测量数据搜集报告》 并进行分类整理，分析数据所关联的管理流程，回顾相关风险评估事项，对照可接 受风险准则，分析所发现问题的根本原因，协同相关职能人员提出改进的建议或 者方案，并形成《信息安全管理体系测量结果报告》。 《信息安全管理体系测量结果报告》至少应包括以下内容： a）测量方法的描述； b）控制措施有效性的评价结论； 信息安全管理体系文件 ISMSP-09-A c）体系有效性（包括持续改进）的评价结论； d）对安全体系、安全控制持续改进的建议及价值； e）测量结果对风险评估和风险处理的影响分析（是否在风险评估和处理阶段 遗漏了必要的输入）； f）管理层对测量结果改进建议或者方案的审批。 5o 5管理者代表通过电子邮件方式将《信息安全管理体系测量结果报告》下发 相关职能人员，并根据管理层对体系有效性测量结果的审批结论，跟踪验证各区 域实施的结果。 对信息安全管理体系有效性测量每半年进行一次. 对有效性测量过程的改进应作为管理评审的输入事项，以不断改进测量过程 的有效性. 6记录 《信息安全管理体系策划书》 《信息安全管理体系测量数据搜集调查表》 《信息安全管理体系测量结果报告》 信息安全管理体系策划书 项目名称 信息安全管理体系有效性测量 项目目的 为评价阜新银行信息科技部信息安全管理体系风险控制措施的有效 性，评价信息安全管理体系的有效性，为管理评审、内部审核及改进 设施安全提供输入，在阜新银行信息科技部内沟通安全的价值并为风 险评估和风险处理计划提供输入 项目范围 1.阜新银行信息科技部所有区域 项目依据 ISO/IEC 27001:2005 《ISMSP-09-A信息安全管理体系有效性测量控制程序》 职责 安全管理员及内审员在管理者代表领导下，具体负责此项计划动作， 其他人员配合. 信息安全管理体系文件 ISMSP-09-A 内容 测量方法设定： 年 月日管理者代表安全管理员 L1数据搜集的方法： lo lo 1问卷调查（详见附件1） 内审输出、管理评