銀行業(yè)信息安全管理體系手冊(cè)

1、信息安全管理體系文件isms-01-a信息科技部信息安全管理體系手冊(cè)a版目錄1 目的和適用范圍32 引用標(biāo)準(zhǔn)33 術(shù)語和定義34信息安全管理體系34.1 總要求34.2建立和管理isms44.2.1建立 isms44.2.2 isms實(shí)施及運(yùn)作84.2.3 isms的監(jiān)督檢查與評(píng)審94.2.4 isms保持與改進(jìn)104.3.2 文件控制104.3.3 記錄控制115 管理職責(zé)115.1 管理承諾115.2 資源管理126.內(nèi)部isms審核127 isms 管理評(píng)審147.1 總則147.2 管理評(píng)審的輸入147.3 管理評(píng)審的輸出148 isms持續(xù)改進(jìn)158.1 持續(xù)改進(jìn)158.2 糾正措施

2、158.3 預(yù)防措施15修訂歷史記錄版本日期修訂者修訂描述1.01 目的和適用范圍目的為建立、健全銀行信息科技部信息安全管理體系（簡稱isms），確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保信息科技部全體員工理解并遵照?qǐng)?zhí)行信息安全管理體系文件、持續(xù)改進(jìn)isms有效性，特制定本手冊(cè)。范圍本手冊(cè)適用于銀行信息科技部（信息科技部位于銀行第八層）安全管理活動(dòng)。2 引用標(biāo)準(zhǔn)iso/iec 27001:2005 iso/iec 27002:20053 術(shù)語和定義3.1本手冊(cè)中使用術(shù)語的定義采用iso/iec 27001：2005信息技術(shù)安全技術(shù)信息安全管理體系要求中的定義3.2 縮寫isms:

3、information secutity management systems 信息安全管理體系。soa：statement of applicability 適用性說明pdca:plan、do、check、act4 信息安全管理體系4.1 總要求銀行信息科技部根據(jù)iso/iec 27001:2005標(biāo)準(zhǔn)在整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系。isms所涉及的過程基于以下pdca模式：建立isms保持和改進(jìn)isms實(shí)施和運(yùn)作isms監(jiān)控&評(píng)審 isms相關(guān)方已被管理的信息安全相關(guān)方信息安全要求&期望、法律法規(guī)策劃（d）措施實(shí)施檢查 4

4、.2建立和管理isms4.2.1建立 isms4.2.1.1 isms的范圍和周界 1) 銀行主要從事個(gè)人服務(wù)、企業(yè)服務(wù)、卡服務(wù)等，信息科技部為金融服務(wù)提供it基礎(chǔ)架構(gòu)的支持服務(wù)，確保整體金融業(yè)務(wù)過程的有序開展；2) 銀行總行信息科技部所有物理區(qū)域及人員；4.2.1.2 根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，銀行信息科技部在確定isms方針時(shí)，應(yīng)考慮以下方面的要求：1）包括設(shè)定目標(biāo)的框架和建立信息安全工作的總方向和原則。2）考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)。3）銀行信息科技部根據(jù)戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下，建立和保持isms。4）建立風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則。5）信息安全方針設(shè)定完成后，應(yīng)

5、獲得管理者的批準(zhǔn)。4.2.1.3 信息安全管理體系方針增強(qiáng)科技風(fēng)險(xiǎn)意識(shí)，提升風(fēng)險(xiǎn)管理水平；滿足監(jiān)管機(jī)構(gòu)要求，持續(xù)履行社會(huì)責(zé)任。為滿足適用法律法規(guī)及相關(guān)方需求，使得生產(chǎn)和經(jīng)營更有效的運(yùn)行，使得客戶信息保存?zhèn)鬏敻鼮榘踩y行信息科技部依據(jù)iso/iec27001:2005標(biāo)準(zhǔn)，建立信息安全管理體系，以保證銀行信息科技部及行內(nèi)所有有關(guān)信息的保密性、完成性、可用性，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。銀行信息科技部承諾：1）銀行信息科技部建立并完善信息安全管理體系；2）識(shí)別并滿足適用法律法規(guī)和相關(guān)方信息安全要求，充分履行社會(huì)責(zé)任；3）對(duì)isms進(jìn)行測(cè)量、監(jiān)視、評(píng)審活動(dòng)，定期按照事先設(shè)定的風(fēng)險(xiǎn)評(píng)估準(zhǔn)則，對(duì)銀行信息

6、科技部進(jìn)行風(fēng)險(xiǎn)評(píng)估、isms評(píng)審、采取糾正預(yù)防措施，保證體系的持續(xù)有效；4）采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、存儲(chǔ)和保護(hù)各類信息，實(shí)現(xiàn)信息共享；5）對(duì)銀行信息科技部全體員工，進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力；6）制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。上述方針由銀行信息科技部最高管理者發(fā)布，并定期評(píng)審其適用性、充分性，必要時(shí)予以修訂。4.2.1.4 風(fēng)險(xiǎn)評(píng)估的系統(tǒng)方法銀行信息科技部建立信息安全風(fēng)險(xiǎn)評(píng)估控制程序并組織實(shí)施。風(fēng)險(xiǎn)評(píng)估控制程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平，所選擇的評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。具體的風(fēng)險(xiǎn)評(píng)估過程執(zhí)行信息

7、安全風(fēng)險(xiǎn)評(píng)估控制程序no確定isms范圍資產(chǎn)識(shí)別與重要信息資產(chǎn)確定威脅識(shí)別與評(píng)價(jià)已有控制措施確認(rèn)薄弱點(diǎn)識(shí)別與評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估（測(cè)量）是否接受保持已有的控制措施選擇安全目標(biāo)及控制措施實(shí) 施殘余風(fēng)險(xiǎn)評(píng)審是否接受yesno4.2.1.5 風(fēng)險(xiǎn)識(shí)別在已確定的isms范圍內(nèi)，對(duì)所有的信息資產(chǎn)進(jìn)行列表識(shí)別。信息資產(chǎn)包括軟件系統(tǒng)、數(shù)據(jù)文檔、硬件設(shè)施、人力資源及服務(wù)。對(duì)每一項(xiàng)信息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷依據(jù)確定是否為重要信息資產(chǎn)，形成重要信息資產(chǎn)清單。4.2.1.6 評(píng)估風(fēng)險(xiǎn)1）針對(duì)每一項(xiàng)重要信息資產(chǎn)，參考信息安全威脅列表及以往的安全事故（事件）記錄、信息資產(chǎn)所處的環(huán)境等因素，識(shí)別出所有重要信息資產(chǎn)所面臨的威脅

8、；2）針對(duì)每一項(xiàng)威脅，考慮現(xiàn)有的控制措施，參考信息安全薄弱點(diǎn)列表識(shí)別出被該威脅可能利用的薄弱點(diǎn)。3）綜合考慮以上2點(diǎn)，按照威脅發(fā)生可能性等級(jí)表中的判定準(zhǔn)則對(duì)每一個(gè)威脅發(fā)生的可能性進(jìn)行賦值；4）根據(jù)威脅影響程度判斷準(zhǔn)則，判斷一個(gè)威脅發(fā)生后可能對(duì)信息資產(chǎn)在保密性（c）、完整性（i）和可用性（a）方面的損害，進(jìn)而對(duì)信息科技部業(yè)務(wù)造成的影響，來給威脅影響賦值取c、i、a的最大值為威脅影響程度的賦值；5）風(fēng)險(xiǎn)大小計(jì)算考慮威脅產(chǎn)生安全故障的可能性及其所造成影響程度兩者的結(jié)合，根據(jù)風(fēng)險(xiǎn)矩陣計(jì)算表來得到風(fēng)險(xiǎn)等級(jí)；6）對(duì)于信息安全風(fēng)險(xiǎn)，在考慮控制措施與費(fèi)用平衡的原則下制定風(fēng)險(xiǎn)接受準(zhǔn)則，按照該準(zhǔn)則確定何種等級(jí)的風(fēng)

9、險(xiǎn)為不可接受風(fēng)險(xiǎn)。4.2.1.7 風(fēng)險(xiǎn)處理方法的識(shí)別與評(píng)價(jià)銀行信息科技部根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成風(fēng)險(xiǎn)處理計(jì)劃，該計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任人、方法及時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧?；a) 采用適當(dāng)?shù)膬?nèi)部控制措施；b) 接受某些風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）；c) 回避某些風(fēng)險(xiǎn)（如物理隔離）d) 轉(zhuǎn)移某些風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）。4.2.1.8 選擇控制目標(biāo)與控制措施a)信息安全管理委員會(huì)根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，制定信息安全目標(biāo)，將目標(biāo)進(jìn)行分解落實(shí)到責(zé)任人。信息安全目標(biāo)應(yīng)獲得信息安全最高管理者的批準(zhǔn)。b)控制目標(biāo)及

10、控制措施的選擇原則來源于iso/iec27001:2005標(biāo)準(zhǔn)附錄a，具體控制措施可以參考iso27002:2005信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則。銀行信息科技部根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。4.2.1.9 適用性聲明soa信息科技部負(fù)責(zé)編制信息安全按適用性聲明（soa）。該聲明包括以下方面的內(nèi)容：a) 所選擇控制目標(biāo)與控制措施的概要描述；b) 當(dāng)前已經(jīng)實(shí)施的控制；c) 對(duì)iso/iec27001:2005附錄a中未選用的控制目標(biāo)及控制措施理由的說明。該聲明的詳細(xì)內(nèi)容見信息安全適用性聲明4.2.2 isms實(shí)施及運(yùn)作4.2.2.1為確保isms有效實(shí)施，對(duì)已識(shí)別

11、的風(fēng)險(xiǎn)進(jìn)行有效處理，開展以下活動(dòng)：1）形成風(fēng)險(xiǎn)處理計(jì)劃，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級(jí)；2）為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，明確各崗位的信息安全職責(zé)；3）實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)；4）進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力；5）對(duì)信息安全體系的運(yùn)作進(jìn)行管理；6）對(duì)信息安全所需資源進(jìn)行管理；7）實(shí)施控制程序，對(duì)信息安全事故（或征兆）進(jìn)行迅速反應(yīng)。4.2.2.2 信息安全組織機(jī)構(gòu)銀行信息科技部明確人員職責(zé)（包括信息安全職責(zé)）并形成文件。1） 信息科技部組織相關(guān)職能人員，成立信息安全委員會(huì)，形成銀行信息科技部信息安全管理最高機(jī)構(gòu)。2） 各isms負(fù)責(zé)人員

12、根據(jù)銀行信息科技部的職責(zé)明確，形成書面文件。4.2.2.3 信息安全職責(zé)和權(quán)限1）銀行信息科技部總經(jīng)理為最高管理者，最高管理者指定：苗志勇為信息安全管理者代表，無論該成員在其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)：a)建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行。b)對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全管理委員會(huì)或最高管理者報(bào)告（總經(jīng)理）c)針對(duì)體系運(yùn)行期間保證定期的監(jiān)視體系運(yùn)行情況、評(píng)審體系的有效性、持續(xù)改進(jìn)文件化的isms。d)管理者代表監(jiān)督全體員工對(duì)信息安全體系文件的執(zhí)行狀況。4.2.2.4 檢測(cè)安全事態(tài)、響應(yīng)安全事件及其他控制措施a)根據(jù)soa中規(guī)定的安全目

13、標(biāo)、控制措施（包括安全運(yùn)行的各種控制程序）要求實(shí)施信息安全控制措施。b)迅速檢測(cè)過程運(yùn)行結(jié)果中的錯(cuò)誤c)實(shí)施實(shí)時(shí)監(jiān)控，對(duì)識(shí)別試圖的和得逞的安全違規(guī)和事件進(jìn)行果斷處理。d)通過使用指標(biāo)，幫助檢查安全事態(tài)并預(yù)防安全事件。e)確定解決安全違規(guī)的措施是否有效。4.2.3 isms的監(jiān)督檢查與評(píng)審4.2.3.1 銀行信息科技部通過實(shí)施定期的安全檢查、內(nèi)部審核、定期的技術(shù)審查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：a)及時(shí)發(fā)現(xiàn)信息安全體系的事故和隱患；b)定期檢查信息處理設(shè)施，及時(shí)了解信息處理系統(tǒng)遭受的各類攻擊；c)使管理者掌握信息安全活動(dòng)是否有效，并根據(jù)優(yōu)先級(jí)別確定所要采取的措施；d)對(duì)于歷史事件進(jìn)行記錄并留存檔案

14、，積累信息安全事態(tài)事故等方面的經(jīng)驗(yàn)，總結(jié)信息安全事態(tài)事件出現(xiàn)的征兆，防患于未然。4.2.3.2 根據(jù)以上活動(dòng)的結(jié)果以及來自相關(guān)方的建議和反饋，由最高管理者主持，定期（每年至少一次）對(duì)isms的有效性進(jìn)行評(píng)審，其中包括信息安全范圍、方針、目標(biāo)及控制措施有效性的評(píng)審。管理評(píng)審的具體要求，見本手冊(cè)第七章。4.2.3.3 信息科技部應(yīng)組織有關(guān)區(qū)域負(fù)責(zé)人按照信息安全風(fēng)險(xiǎn)評(píng)估管理程序的要求對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：a）組織機(jī)構(gòu)發(fā)生重大變更；b）信息處理技術(shù)發(fā)生重大變更；c）銀行信息科技部業(yè)務(wù)目標(biāo)及流程發(fā)生重大變更；d）發(fā)現(xiàn)

15、信息資產(chǎn)面臨重大威脅；e）外部環(huán)境，如法律法規(guī)或信息安全標(biāo)準(zhǔn)發(fā)生重大變更。4.2.3.4保持上述活動(dòng)和措施的記錄以上活動(dòng)的詳細(xì)程序規(guī)定于以下文件中：記錄控制程序信息安全風(fēng)險(xiǎn)評(píng)估控制程序內(nèi)部審核控制程序部門職位說明書4.2.4 isms保持與改進(jìn)銀行信息科技部開展以下活動(dòng)，以確保isms的持續(xù)改進(jìn)：a) 實(shí)施每年管理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改的項(xiàng)目；b) 按照內(nèi)部審核控制程序、糾正預(yù)防措施程序預(yù)防措施控制程序的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他商業(yè)銀行及外資企業(yè)安全事故的經(jīng)驗(yàn)c) 對(duì)信息安全目標(biāo)及分解進(jìn)行管理，確保改進(jìn)達(dá)到預(yù)期效果；（信息安全目標(biāo)及指標(biāo)的分解）d) 為確保信息安

16、全管理體系持續(xù)有效，各區(qū)域負(fù)責(zé)人及內(nèi)審小組通過適當(dāng)?shù)氖侄伪３衷阢y行信息科技部內(nèi)部對(duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效溝通。包括獲取外部信息安全專家的建議、電信運(yùn)營商等組織的聯(lián)系及識(shí)別信息安全要求等。如：管理評(píng)審會(huì)議、內(nèi)部審核報(bào)告、信息科技部內(nèi)文件體系、內(nèi)部網(wǎng)絡(luò)和郵件系統(tǒng)、法律法規(guī)評(píng)估報(bào)告等。e) 以上詳細(xì)程序規(guī)定于以下文件中：法律法規(guī)獲取和識(shí)別控制程序注：上述活動(dòng)輸出：會(huì)議記要和報(bào)告4.3.2 文件控制銀行信息科技部制定信息安全管理體系所要求文件的管理程序，保證信息安全管理體系文件得到以下所需的控制：a) 文件的作成、發(fā)行、修訂、廢棄等事項(xiàng)得到相應(yīng)授權(quán)的查閱、批準(zhǔn)，確保文件是合適的、可行的；

17、b) 文件的標(biāo)識(shí)和修訂狀態(tài)清晰、易于識(shí)別，確保使用的文書是當(dāng)前的有效版本；c) 為了文書的有效性，要定期確認(rèn)記載內(nèi)容是否過時(shí)，根據(jù)需要決定保持或修改并再次得到相應(yīng)的批準(zhǔn)；d) 確保信息安全的外部標(biāo)準(zhǔn)、相應(yīng)法律、法規(guī)得到明確的標(biāo)識(shí)和管理；e) 以上規(guī)定的詳細(xì)內(nèi)容見：文件控制程序法律法規(guī)獲取和識(shí)別控制程序4.3.3 記錄控制4.3.3.1 信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。銀行信息科技部負(fù)責(zé)制定并維持易讀、易識(shí)別、可方便檢索又考慮法律、法規(guī)要求的記錄管理規(guī)定。該規(guī)定應(yīng)指定記錄的標(biāo)識(shí)、存儲(chǔ)、保護(hù)、檢索、保管、廢棄等事項(xiàng)。4.3.3.2 信息安全體系的記錄包括4.2中所列

18、出的所有過程的結(jié)果及與isms相關(guān)的安全事故。銀行信息科技部應(yīng)根據(jù)記錄管理規(guī)定的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩w系中所要求的記錄。4.3.3.3 該程序詳細(xì)規(guī)定見記錄控制程序5 管理職責(zé)5.1 管理承諾信息安全最高管理者為確保建立、維持并持續(xù)改善信息安全管理體系特做出以下承諾：a) 制定信息安全方針；b) 確保信息安全目標(biāo)和計(jì)劃得以制定；c) 建立信息安全的角色和職責(zé)；d) 通過適當(dāng)?shù)臏贤ǚ绞剑蛉w員工傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針以及法律、法規(guī)要求和持續(xù)改進(jìn)的重要性；e) 提供適當(dāng)?shù)馁Y源以滿足信息安全管理體系的需求；f) 決定接受風(fēng)險(xiǎn)的準(zhǔn)則，對(duì)可接受風(fēng)險(xiǎn)的水平進(jìn)行決策；g) 確

19、定信息安全內(nèi)部審核的執(zhí)行；h) 實(shí)施信息安全的管理評(píng)審；5.2 資源管理5.2.1 資源提供銀行信息科技部應(yīng)確定并提供所需的資源，以滿足以下需求：a) 建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)isms（信息安全管理體系）b) 確保信息安全管理程序支持業(yè)務(wù)流程的要求；c) 識(shí)別和滿足法律法規(guī)要求、以及合同中的安全義務(wù)；d) 切實(shí)實(shí)施已有的控制措施，保持適當(dāng)?shù)陌踩玡) 必要時(shí)，進(jìn)行評(píng)審，并對(duì)評(píng)審結(jié)果做出適當(dāng)?shù)姆磻?yīng)；f) 在需要時(shí)，改進(jìn)信息安全體系的有效性。5.2.2培訓(xùn)、意識(shí)和能力銀行應(yīng)定期對(duì)信息科技部員工的能力進(jìn)行培訓(xùn)、意識(shí)及能力的提升，確保所有分配有isms職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力，

20、提升方式應(yīng)具備以下幾點(diǎn)：a) 確定從事isms工作人員的崗位職責(zé)及所必要的能力b) 提供培訓(xùn)或采取其他措施（如聘用有能力的人員）以滿足這些需求c) 評(píng)價(jià)所采取的措施的有效性d) 保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄（記錄應(yīng)建立并加以保持，以提供符合isms要求和有效運(yùn)行的證據(jù)）銀行信息科技部也要確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的適當(dāng)性和重要性，以及如何達(dá)為到isms目標(biāo)做出貢獻(xiàn)。6.內(nèi)部isms審核銀行信息科技部應(yīng)按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審核，管理者代表負(fù)責(zé)制定內(nèi)審計(jì)劃并組織實(shí)施，以判定isms規(guī)定的安全目標(biāo)、控制措施、過程和程序是否：a) 符合iso/iec27001:2005標(biāo)準(zhǔn)和

21、有關(guān)法律法規(guī)要求；b) 符合已識(shí)別的信息安全要求；c) 有效實(shí)施和保持；d) 完成預(yù)期的目標(biāo)。6.1 內(nèi)部審核程序6.1.1 信息安全管理者代表制定信息安全管理體系年度審核計(jì)劃，該計(jì)劃應(yīng)覆蓋整個(gè)isms體系并得到信息安全管理體系最高管理者的批準(zhǔn)（銀行信息科技部總經(jīng)理）6.1.2 內(nèi)部審核以本手冊(cè)、相應(yīng)的規(guī)程、作業(yè)指導(dǎo)書為基準(zhǔn)。選定的內(nèi)審員應(yīng)是了解行內(nèi)業(yè)務(wù)流程、熟悉安全體系標(biāo)準(zhǔn)并經(jīng)過培訓(xùn)取得信息安全內(nèi)審員資格的本部員工。內(nèi)審員資格需取得信息安全管理者代表的批準(zhǔn)。6.1.3 進(jìn)行內(nèi)審時(shí)，管理者代表要有計(jì)劃的進(jìn)行以下的事項(xiàng)：a) 審核員的選定和教育及培訓(xùn)；b) 制定審核計(jì)劃，指定審核員（審核員應(yīng)與被

22、審核對(duì)象無直接責(zé)任關(guān)系）；c) 準(zhǔn)備必要的相關(guān)文件。6.1.4 審核中發(fā)現(xiàn)的不符合事項(xiàng)，要向責(zé)任區(qū)域負(fù)責(zé)人報(bào)告，由責(zé)任區(qū)域負(fù)責(zé)人明確糾正措施的實(shí)施計(jì)劃。6.1.5 要對(duì)該糾正措施的實(shí)施計(jì)劃，進(jìn)行適宜的跟蹤，確認(rèn)是否有效實(shí)施。6.1.6 以上的工作完成后，須經(jīng)管理者代表確認(rèn)后，審核流程方可關(guān)閉。6.1.7 如果發(fā)現(xiàn)信息安全重大不符合或征兆時(shí)，或者管理者代表判斷必要時(shí)，可調(diào)整年度審核計(jì)劃。6.1.8 對(duì)審核的結(jié)果進(jìn)行適當(dāng)?shù)膮R總整理，作為管理評(píng)審的輸入材料。6.2 內(nèi)部審核需保留以下記錄a) 被審核對(duì)象范圍b) 審核日期c) 審核員d) 被審核方e) 依據(jù)的文件f) 具體審核事項(xiàng)及其審查結(jié)果g) 不

23、符合內(nèi)容和程度（嚴(yán)重或輕微及觀察事項(xiàng)）h) 不符合事項(xiàng)的糾正措施和實(shí)施期限i) 糾正措施的實(shí)施狀況及其效果，其他必要事項(xiàng)、審核結(jié)束的確鑿證據(jù)以上程序詳見內(nèi)部審核控制程序7 isms 管理評(píng)審7.1 總則 信息安全最高管理者為確認(rèn)信息安全管理體系的適宜性、充分性和有效性，每半年對(duì)信息安全管理體系進(jìn)行一次評(píng)審。該管理評(píng)審應(yīng)包括對(duì)信息安全管理體系是否需改進(jìn)或變更的評(píng)價(jià)。管理評(píng)審的結(jié)果應(yīng)形成書面記錄，該記錄按4.3.3的要求進(jìn)行保存。7.2 管理評(píng)審的輸入 在管理評(píng)審時(shí)，管理者代表應(yīng)組織相關(guān)人員提供以下資料，供最高管理者和信息安全委員會(huì)進(jìn)行評(píng)審：a) isms體系內(nèi)、外部審核的結(jié)果；b) 相關(guān)方的反饋（投訴、抱怨、建議）；c) 可以用來改進(jìn)isms業(yè)績和有效性的新技術(shù)、產(chǎn)品或程序；d) 信息安全目標(biāo)達(dá)成情況，糾正和預(yù)防措施的實(shí)施情況；e) 信息安全事故或征兆，以往風(fēng)險(xiǎn)評(píng)估時(shí)未充分考慮到的薄弱點(diǎn)或威脅；f) 上次管理評(píng)審時(shí)決定事項(xiàng)的實(shí)施情況；g) 可能影響信息安全管理體系變更的事項(xiàng)（標(biāo)準(zhǔn)、法律法規(guī)、相關(guān)方要求）；h) 對(duì)信息安全管理體系改善的建議。7.3 管理評(píng)審的輸出 信息安全管理最高管理者對(duì)以下事項(xiàng)做出必要的指示：a) 信息安全管理體系有效性的改善事項(xiàng)；b) 信息安全