信息安全管理體系有效性測量控制程序

1、信息科技部信息安全管理體系有效性測量控制程序A版受控狀態(tài)：受控2011年6月1日 發(fā)布 2011年6月1日 實施目錄1 目的32 范圍33 相關(guān)文件34 職責(zé)35 程序36 記錄5文件修訂歷史記錄版本日期修訂者修訂描述1.01 目的 為評價阜新銀行信息科技部信息安全管理體系風(fēng)險控制措施的有效性，評價信息安全管理體系的有效性，為管理評審、內(nèi)部審核及改進(jìn)設(shè)施安全提供輸入，在信息科技部內(nèi)溝通安全的價值并為風(fēng)險評估和風(fēng)險處理計劃提供輸入，制定本程序。2 范圍 本程序適用于阜新銀行信息科技部依據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)建立的信息安全管理體系有效性的測量。3 相關(guān)文件信息安全目標(biāo)管理程序4

2、 職責(zé)4.1 總經(jīng)理及管理者代表負(fù)責(zé)測量方法的策劃，測量指標(biāo)的建立并組織相關(guān)職能人員進(jìn)行測量過程的實施；4.2 各區(qū)域副總經(jīng)理負(fù)責(zé)提供體系測量的數(shù)據(jù)輸入及測量結(jié)果的處理；4.3 總經(jīng)理負(fù)責(zé)體系測量指標(biāo)的審批與輸出結(jié)果的審核及處理決定的審批；4.4 信息安全管理委員會負(fù)責(zé)對測量方法的改進(jìn)。5 程序5.1 管理者代表應(yīng)對信息安全管理體系涉及到的管理流程、產(chǎn)品、項目計劃、資源等進(jìn)行測量模型的設(shè)計。信息安全管理體系的測量模型包括三種方式：基礎(chǔ)測量、推論測量、指標(biāo)測量。5.2 管理者代表針對ISMS需要測量的實體，定義對管理體系有效性測量的方法，策劃應(yīng)形成信息安全管理體系策劃書。對于策劃的方法，應(yīng)得到信

3、息科技部總經(jīng)理的審批，所需調(diào)查的表格（或其他形式的電子文檔）應(yīng)由管理者代表通過電子郵件發(fā)送各相關(guān)職能人員。測量方法可以是主觀的或客觀的，可能用到的方法包括： a) 調(diào)查； b) 觀察； c) 問卷； d) 依據(jù)知識的評估； e) 檢查； f) 系統(tǒng)查詢； g) 測試； h) 抽樣；在測量過程中，搜集用于測量的數(shù)據(jù)源，可考慮：a) 內(nèi)部和外部審核的結(jié)果；b) 風(fēng)險分析所得出的風(fēng)險等級；c) 使用調(diào)查表；d) 信息安全管理體系記錄；e) 信息系統(tǒng)自動輸入的信息，如防火墻日志數(shù)據(jù)搜集過程應(yīng)確定：a) 需要搜集的信息及信息來源；b) 確定搜集信息的責(zé)任人；c) 所搜集的信息的時間段；d) 在何地搜集信

4、息；e) 安全要求；f) 管理者報告；g) 管理層對測量過程的審核。5.3 管理者代表應(yīng)對所搜集的數(shù)據(jù)形成信息安全管理體系測量數(shù)據(jù)搜集報告并進(jìn)行分類整理，分析數(shù)據(jù)所關(guān)聯(lián)的管理流程，回顧相關(guān)風(fēng)險評估事項，對照可接受風(fēng)險準(zhǔn)則，分析所發(fā)現(xiàn)問題的根本原因，協(xié)同相關(guān)職能人員提出改進(jìn)的建議或方案，并形成信息安全管理體系測量結(jié)果報告。5.4 信息安全管理體系測量結(jié)果報告至少應(yīng)包括以下內(nèi)容： a) 測量方法的描述； b) 控制措施有效性的評價結(jié)論； c) 體系有效性（包括持續(xù)改進(jìn)）的評價結(jié)論； d) 對安全體系、安全控制持續(xù)改進(jìn)的建議及價值； e) 測量結(jié)果對風(fēng)險評估和風(fēng)險處理的影響分析（是否在風(fēng)險評估和處理

5、階段遺漏了必要的輸入）； f) 管理層對測量結(jié)果改進(jìn)建議或方案的審批。5.5 管理者代表通過電子郵件方式將信息安全管理體系測量結(jié)果報告下發(fā)相關(guān)職能人員，并根據(jù)管理層對體系有效性測量結(jié)果的審批結(jié)論，跟蹤驗證各區(qū)域?qū)嵤┑慕Y(jié)果。5.6 對信息安全管理體系有效性測量每半年進(jìn)行一次。5.7 對有效性測量過程的改進(jìn)應(yīng)作為管理評審的輸入事項，以不斷改進(jìn)測量過程的有效性。6 記錄信息安全管理體系策劃書信息安全管理體系測量數(shù)據(jù)搜集調(diào)查表信息安全管理體系測量結(jié)果報告信息安全管理體系策劃書項目名稱信息安全管理體系有效性測量 項目目的為評價阜新銀行信息科技部信息安全管理體系風(fēng)險控制措施的有效性，評價信息安全管理體系的

6、有效性，為管理評審、內(nèi)部審核及改進(jìn)設(shè)施安全提供輸入，在阜新銀行信息科技部內(nèi)溝通安全的價值并為風(fēng)險評估和風(fēng)險處理計劃提供輸入項目范圍1. 阜新銀行信息科技部所有區(qū)域項目依據(jù)ISO/IEC 27001:2005ISMSP-09-A信息安全管理體系有效性測量控制程序職 責(zé)安全管理員及內(nèi)審員在管理者代表領(lǐng)導(dǎo)下，具體負(fù)責(zé)此項計劃動作，其他人員配合。內(nèi) 容測量方法設(shè)定： 年 月 日 管理者代表&安全管理員1.1數(shù)據(jù)搜集的方法：1.1.1問卷調(diào)查（詳見附件1）1.1.2內(nèi)審輸出、管理評審輸出、外審輸出、各區(qū)域的風(fēng)險處理情況報告的匯總1.2數(shù)據(jù)分析的方法：對采用1.1方法搜集來的數(shù)據(jù)與阜新銀行信息科技

7、部信息安全管理體系設(shè)定的總體目標(biāo)、體系文件的要求以及獲得總經(jīng)理批準(zhǔn)的測量指標(biāo)進(jìn)行比對（詳見附件2）；1.3測量指標(biāo)的設(shè)定并獲得總經(jīng)理批準(zhǔn);1.4結(jié)果處理方法的設(shè)定。測量實施過程： 年 月 日 年 月 日 信息科技部各區(qū)域數(shù)據(jù)搜集： 年 月 日 年 月 日 信息科技部各區(qū)域數(shù)據(jù)分析： 年 月 日 數(shù)據(jù)分析結(jié)果與測量指標(biāo)的比對： 年 月 日 3. 測量結(jié)果的輸出：處理結(jié)果反饋至科技部總經(jīng)理 年 月 日備 注編 制審 核批 準(zhǔn)附件1信息安全管理體系有效性測量數(shù)據(jù)搜集調(diào)查表部門：_日期：_填表人：_部門審核：_注：1 本調(diào)查表調(diào)查時間范圍 年 月 日至 年 月 日，請各區(qū)域負(fù)責(zé)人回顧所調(diào)查事項，如實填

8、寫，對于無法獲取上述范圍之內(nèi)所有信息的事項（如日志記錄）請說明填寫的調(diào)查結(jié)果的時間范圍。2 請對調(diào)查事項中發(fā)生問題的事項進(jìn)行描述，填寫在“嚴(yán)重程度/影響范圍/其他說明”一欄。3 2、3、5、9、11、19調(diào)查事項應(yīng)填寫精確數(shù)字；其它項請?zhí)畎俜直取? 對本區(qū)域不適用的調(diào)查事項請在“嚴(yán)重程度/影響范圍/其他說明”一欄填寫“N/A”。序號調(diào)查事項調(diào)查結(jié)果嚴(yán)重程度/影響范圍/其他說明1不可接受風(fēng)險處理率2重大事件（重大事件指影響金融業(yè)務(wù)正常運(yùn)行的事件）3顧客/相關(guān)方因信息安全事件而產(chǎn)生的投訴4內(nèi)部審核及管理評審實施及時率5員工參加安全意識培訓(xùn)6安全方針全員傳達(dá)率7員工保密協(xié)議及外部第三方保密協(xié)議簽訂率

9、8資產(chǎn)（主要指生產(chǎn)及測試等待上線的硬件資產(chǎn)）清查率9機(jī)房物理訪問造成安全事件 10機(jī)房變更操作審批率11系統(tǒng)容量導(dǎo)致安全事件12終端病毒軟件安裝率、及時更新率 13策劃的重要數(shù)據(jù)備份及時率14機(jī)房生產(chǎn)系統(tǒng)及網(wǎng)絡(luò)設(shè)備口令復(fù)雜度、定期更新、定期回顧率15員工離開座位鎖屏檢查 16網(wǎng)絡(luò)訪問接入審批率17軟件系統(tǒng)開發(fā)文檔完整性18業(yè)務(wù)連續(xù)性實際操作演練率19生產(chǎn)核心系統(tǒng)無故障運(yùn)行時間制表： 批準(zhǔn)： 日期： 年 月 日附件2管理體系有效性Benchmark第一部分：體系目標(biāo)不可接受風(fēng)險處理率100%重大事件（重大事件指影響金融業(yè)務(wù)正常運(yùn)行的事件）0次顧客/相關(guān)方因信息安全事件而產(chǎn)生的投訴5次內(nèi)部審核及管理評審實施及時率100%員工參加安全意識培訓(xùn)1次/人第二部分：調(diào)查事項指標(biāo)安全方針全員傳達(dá)率100%員工保密協(xié)議及外部第三方保密協(xié)議簽訂率100%資產(chǎn)（主要指生產(chǎn)及測試等待上線的硬件資產(chǎn)）清查率98%機(jī)房物理訪問造成安全事件 0機(jī)房變更操作審批率100%系統(tǒng)容量導(dǎo)致安全事件0終