安全評(píng)審管理制度

1、XXX網(wǎng)絡(luò)信息中心安全評(píng)審管理制度文件編號(hào)XXX使用部門網(wǎng)絡(luò)信息中心維護(hù)人初版日期XXX-12-15修訂日期2012-01-11修訂及復(fù)核記錄修訂記錄版次起草復(fù)核批準(zhǔn)發(fā)行日期摘要審核欄條目姓名審核日期批準(zhǔn)復(fù)核起草第一章 總 則 4第二章 人員和職責(zé)4第三章 內(nèi) 容 4第四章 檢查表 6第五章 相關(guān)文件 6第六章 相關(guān)記錄 6第七章 附 則 7附件一 管理評(píng)審執(zhí)行情況檢查表7第一章 總 則第一條本制度旨在對(duì)XXX信息中心信息安全體系的適宜性、充分性、有效性進(jìn)行評(píng)審， 使XXX®息中心信息安全管理體系不斷地完善并持續(xù)有效的運(yùn)行，不斷?f足XXX信息中心信息 安全方針要求，實(shí)現(xiàn)XXX信息中

2、心信息安全體系目標(biāo)。第二條本制度適用于XXX信息中心最高管理者對(duì)信息安全體系適宜性、充分性和有效性 的審核和評(píng)價(jià)活動(dòng)。第二章 人員和職責(zé)第三條XXX®息中心信息安全管理委員會(huì)（1） 批準(zhǔn)發(fā)布本制度；（2） 領(lǐng)導(dǎo)信息安全管理制度的評(píng)審；第四條信息安全管理組（1） 組織編寫并控制本制度；（2） 引導(dǎo)相關(guān)部門及人員落實(shí)本制度之要求；第五條信息安全審核組（一）負(fù)責(zé)對(duì)實(shí)施過(guò)程中存在的漏洞進(jìn)行發(fā)現(xiàn)（二）負(fù)責(zé)對(duì)實(shí)施效果進(jìn)行驗(yàn)證。第六條 XXX 信息中心全體員工遵守本制度第三章 內(nèi) 容第七條 評(píng)審頻次通常情況下管理評(píng)審每年一次。如遇重大信息安全問(wèn)題、XXXR絡(luò)信息中心組織架構(gòu)變更、 XXX網(wǎng)絡(luò)信息中

3、心業(yè)務(wù)發(fā)生重大調(diào)整，信息技術(shù)的重大變革、威脅源顯著變化等情況則適當(dāng)調(diào) 整管理評(píng)審的次數(shù)。第八條 評(píng)審內(nèi)容管理評(píng)審應(yīng)包括或涉及以下內(nèi)容：（一）體系建立前或體系上次修訂前的綜合情況；（二）體系運(yùn)行（修訂）后的變化，包括體系運(yùn)行效果與不足；（三）信息安全方針、目標(biāo)是否適應(yīng)外部市場(chǎng)及內(nèi)部環(huán)境的變化，實(shí)現(xiàn)情況如何，是否需要調(diào)整和修訂；（四）信息安全體系文件是否滿足實(shí)際需要，是否需要修訂；（五）組織結(jié)構(gòu)、資源（人員、技術(shù)、設(shè)備等）是否滿足信息安全體系有效運(yùn)行的需要，是否需要調(diào)整和增加資源投入；（六）各項(xiàng)活動(dòng)是否受控，是否需要改進(jìn)。第九條 評(píng)審輸入信息安全管理體系管理評(píng)審輸入包括但不限于：（一）ISMS審核

4、和評(píng)審的結(jié)果；（二）相關(guān)方的反饋；（三）組織用于改進(jìn)ISMS業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序；（四）糾正和預(yù)防措施的實(shí)施情況；（五）上次風(fēng)險(xiǎn)評(píng)估未充分指出的脆弱性或威脅；（六）有效性測(cè)量的結(jié)果；（七）上次管理評(píng)審所采取措施的跟蹤驗(yàn)證；（八）任何可能影響信息安全管理系統(tǒng)的變更；（九）改進(jìn)的建議。第十條 評(píng)審實(shí)施（一）信息安全管理委員會(huì)根據(jù)XXX信息中心管理層要求，負(fù)責(zé)籌劃管理評(píng)審并編制管理評(píng)審計(jì)劃，在評(píng)審前 xx 天向參加評(píng)審的部門或人員下發(fā)管理評(píng)審計(jì)劃，要求做好相應(yīng)準(zhǔn)備；（二）由最高管理者或者信息安全管理委員會(huì)主持召開管理評(píng)審會(huì)議，并按管理評(píng)審計(jì)劃中要求內(nèi)容逐項(xiàng)審議。（三）各部門按評(píng)審計(jì)劃內(nèi)容進(jìn)

5、行匯報(bào)和提交有關(guān)資料。（四）XXX信息中心最高管理者/信息安全管理小組根據(jù)評(píng)審情況做出相應(yīng)評(píng)定結(jié)論，包括:（五）對(duì)影響信息安全方針、目標(biāo)及信息安全管理體系適宜性和有效性的問(wèn)題，提出明確的改進(jìn)要求；（六）對(duì)所有活動(dòng)所需資源予以確認(rèn)與保證。（七）信息安全管理組負(fù)責(zé)參加人員簽到，記錄評(píng)審過(guò)程的會(huì)議紀(jì)要并歸檔；第十一條 評(píng)審輸出（一）管理評(píng)審的輸出應(yīng)包括但不限于以下任何決定和措施：（ 1）信息安全管理系統(tǒng)有效性的改進(jìn)；（ 2）更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置計(jì)劃；（二）必要時(shí)，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理系統(tǒng)的內(nèi)外事件。 ;（三）包括以下方面的變化：(1)業(yè)務(wù)要求；(2)安全要求

6、；(3)影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過(guò)程；(4)法律法規(guī)要求；(5)合同責(zé)任；(6)風(fēng)險(xiǎn)等級(jí)和/或風(fēng)險(xiǎn)接受準(zhǔn)則。(7)資源需求；(8)改進(jìn)測(cè)量控制措施有效性的方式。第十二條評(píng)審跟進(jìn)評(píng)審結(jié)果涉及到的需要采取改進(jìn)/預(yù)防措施的部門，由部門負(fù)責(zé)人制定改進(jìn)/預(yù)防措施，在 評(píng)審報(bào)告明確規(guī)定的期限內(nèi)落實(shí)改進(jìn)/預(yù)防措施任務(wù)的完成情況。信息安全審計(jì)組負(fù)責(zé)對(duì)實(shí)施 效果進(jìn)行驗(yàn)證。第四章檢查表第十三條管理評(píng)審執(zhí)行情況檢查表任務(wù)編號(hào)檢查點(diǎn)檢查內(nèi)容檢查方法檢查周期1評(píng)審輸入檢查對(duì)照管理評(píng)審報(bào)告的輸 入和制度規(guī)定的輸入要 求查閱文檔每月2管理評(píng)審的輸出文 檔是否包括有效性的改進(jìn)， 更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處 置計(jì)劃等要點(diǎn)查閱文檔每月3檢查安全審計(jì)組對(duì) 需要采取改進(jìn)/預(yù) 防措施的實(shí)施效果 的驗(yàn)證結(jié)果檢查改進(jìn)/預(yù)防措施的實(shí) 施效果查閱文檔每半年第五章相關(guān)文件第十四條在每次開展管理評(píng)審活動(dòng)時(shí)，必須事先制定完整的評(píng)審計(jì)劃第六章相關(guān)記錄第十五條 管理評(píng)審執(zhí)行記錄必須被及時(shí)歸檔，并置于相關(guān)信息安全保護(hù)措施之下，避免 評(píng)審記錄遭遇非法篡改及損壞。第七章附則第十六條 本管理評(píng)審制度自發(fā)布之日起開始實(shí)施；第十七條本管理評(píng)審制度的解釋和修改權(quán)屬于 XXX網(wǎng)絡(luò)信息中心；第十八條XXX網(wǎng)絡(luò)信息中心每年統(tǒng)一檢查和評(píng)估本管理規(guī)定，并做出適當(dāng)更新。在業(yè)務(wù) 環(huán)境和安全需求發(fā)生重大變化時(shí)，也將對(duì)本管理評(píng)審制度進(jìn)行檢查和更新。附件