ISO27001-2022程序文件之信息安全沟通管理程序.docVIP

11、信息安全沟通管理程序###-ISMS-0107-2023

1目的

为了确保公司信息安全方面信息的内外部沟通渠道的畅通，特制定本程序。

2范围

适用于公司有关信息安全事务的协商和内外信息交流的管理。

3职责

3.1综合部

a.负责公司范围内有关信息安全方面的信息交流和沟通与协调；

b.负责与客户及其他相关方对公司信息安全投诉的处理；

c.负责接收、传递信息安全管理有关的外部公文；

d.与相关权威机构、专业团体或其他安全专家论坛及专业协会建立和保持适当的联系；

e.负责收集和分析与信息安全威胁有关的信息。

3.2相关部门

a.负责收集本部门安全管理信息，并进行传递、沟通。

b.在各自业务内，负责与相关方之间在信息安全方面的信息交流与沟通。

4程序

4.1信息安全沟通的内容

4.1.1与信息安全有关的法律、法规和其他要求颁布与修订制度的信息。

4.1.2信息安全的威胁、薄弱点及相关事件的信息。

4.1.3公司信息安全管理检查情况。

4.1.4相关方对公司信息安全管理的建议、要求和意见、投诉信息。

4.2信息安全的沟通方式

4.2.1各部门代表参加的沟通协调会议。

4.2.2口头或书面通知。

4.2.3电子邮件、传真。

4.2.4信息安全管理工作报告、会议、总结。

4.3信息安全的协商

4.3.1公司在组织下列活动时,应与各部门协商:

a.信息安全方针的制定、修改和评审；

b.信息安全管理体系文件，特别是作业文件的修改和评审；

c.信息安全的资产识别与风险评估；

d.可能影响到信息安全的任何活动。

4.3.2协商的方式有口头或书面交流，文件审核，参与会议讨论等。

4.3.3综合部及时收集员工的意见和建议，反馈并督促相关部门处理。

4.4内部信息沟通管理网络

4.4.1综合部是公司信息沟通的主管部门。

4.4.2综合部负责信息安全管理体系的建立及实施过程中的沟通和协调，负责与咨询机构、认证机构、专业团体建立联系，获取相关的信息安全行业信息。

4.4.3公司根据需要建立信息安全管理专家组，包括有关信息安全和IT方面的专家，必要时聘请外部专家，形成《信息安全内部专家名单》和《信息安全外部专家顾问名单》，经总经理批准，综合部就信息安全活动的事项向信息安全管理专家组进行咨询，信息安全管理专家组负责解答。

4.5外部信息的沟通管理

4.5.1国家颁布的相关法律、法规和各级综合部门制订的相关要求，由综合部按照《信息安全合规性管理程序》的规定要求，进行必要的沟通和信息的采集、管理。

4.5.2相关方对公司信息安全管理的建议、要求和投诉等信息及国家主管部门的监督、检查信息，由相关业务主管部门负责采集，并及时向综合部传递。

4.5.3对顾客、分包商的有关信息安全沟通以会议、通知单等形式，由公司业务主管部门负责组织进行。

4.5.4综合部负责与信息安全权威机构（如公安部门的计算机安全部门）建立联系，及时报告信息安全事件（包括可能会违背法律的信息安全事件），取得指导和支持。

4.6内部信息的沟通管理

4.6.1公司信息安全管理文件的修订、审核和信息安全管理方针、目标和指标信息，由综合部组织实施传递与管理。

4.6.2公司关于相关方的信息安全管理信息，由相关业务部门组织采集与整理，并向综合部传递。

4.6.3公司内部在进行信息安全工作检查时，如发现的问题需要内部交流的，直接与职能部门沟通，必要时提请综合部组织协调。

4.6.4综合部至少每半年召开一次各部门负责人或部门代表参加的联席会议，就公司信息安全活动的事项进行沟通和协调。

4.7信息的处理

综合部负责收集并处理内外部有关信息，包括相关方合理的意见和投诉，对可能引起的信息安全危害，必须提出处理措施和整改意见，报主管领导批准后执行，综合部负责对处理措施有效性进行验证。

4.8信息管理记录

4.8.1公司在组织实施信息沟通管理的同时，由实施信息采集或沟通的部门负责建立《沟通记录单》，传递至综合部，综合部保持信息沟通、处置记录。

4.8.2相关方对公司信息管理的建议、要求和投诉等需进行回复的信息，由综合部建立信息回复和处置记录。

5引用文件

5.1《信息安全合规性管理程序》

6记录

JL0107-01《信息安全内部专家名单》

JL0107-02《信息安全外部专家顾问名单》

JL0107-03《沟通记录单》