1、精選優(yōu)質(zhì)文檔-傾情為你奉上信息科技部信息安全管理體系有效性測(cè)量控制程序A版受控狀態(tài)：受控2011年6月1日 發(fā)布 2011年6月1日 實(shí)施目錄文件修訂歷史記錄版本日期修訂者修訂描述1.01 目的 為評(píng)價(jià)阜新銀行信息科技部信息安全管理體系風(fēng)險(xiǎn)控制措施的有效性，評(píng)價(jià)信息安全管理體系的有效性，為管理評(píng)審、內(nèi)部審核及改進(jìn)設(shè)施安全提供輸入，在信息科技部?jī)?nèi)溝通安全的價(jià)值并為風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃提供輸入，制定本程序。2 范圍 本程序適用于阜新銀行信息科技部依據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)建立的信息安全管理體系有效性的測(cè)量。3 相關(guān)文件信息安全目標(biāo)管理程序4 職責(zé)4.1 總經(jīng)理及管理者代表負(fù)責(zé)測(cè)

2、量方法的策劃，測(cè)量指標(biāo)的建立并組織相關(guān)職能人員進(jìn)行測(cè)量過程的實(shí)施；4.2 各區(qū)域副總經(jīng)理負(fù)責(zé)提供體系測(cè)量的數(shù)據(jù)輸入及測(cè)量結(jié)果的處理；4.3 總經(jīng)理負(fù)責(zé)體系測(cè)量指標(biāo)的審批與輸出結(jié)果的審核及處理決定的審批；4.4 信息安全管理委員會(huì)負(fù)責(zé)對(duì)測(cè)量方法的改進(jìn)。5 程序5.1 管理者代表應(yīng)對(duì)信息安全管理體系涉及到的管理流程、產(chǎn)品、項(xiàng)目計(jì)劃、資源等進(jìn)行測(cè)量模型的設(shè)計(jì)。信息安全管理體系的測(cè)量模型包括三種方式：基礎(chǔ)測(cè)量、推論測(cè)量、指標(biāo)測(cè)量。5.2 管理者代表針對(duì)ISMS需要測(cè)量的實(shí)體，定義對(duì)管理體系有效性測(cè)量的方法，策劃應(yīng)形成信息安全管理體系策劃書。對(duì)于策劃的方法，應(yīng)得到信息科技部總經(jīng)理的審批，所需調(diào)查的表格（

3、或其他形式的電子文檔）應(yīng)由管理者代表通過電子郵件發(fā)送各相關(guān)職能人員。測(cè)量方法可以是主觀的或客觀的，可能用到的方法包括： a) 調(diào)查； b) 觀察； c) 問卷； d) 依據(jù)知識(shí)的評(píng)估； e) 檢查； f) 系統(tǒng)查詢； g) 測(cè)試； h) 抽樣；在測(cè)量過程中，搜集用于測(cè)量的數(shù)據(jù)源，可考慮：a) 內(nèi)部和外部審核的結(jié)果；b) 風(fēng)險(xiǎn)分析所得出的風(fēng)險(xiǎn)等級(jí)；c) 使用調(diào)查表；d) 信息安全管理體系記錄；e) 信息系統(tǒng)自動(dòng)輸入的信息，如防火墻日志數(shù)據(jù)搜集過程應(yīng)確定：a) 需要搜集的信息及信息來(lái)源；b) 確定搜集信息的責(zé)任人；c) 所搜集的信息的時(shí)間段；d) 在何地搜集信息；e) 安全要求；f) 管理者報(bào)告；

4、g) 管理層對(duì)測(cè)量過程的審核。5.3 管理者代表應(yīng)對(duì)所搜集的數(shù)據(jù)形成信息安全管理體系測(cè)量數(shù)據(jù)搜集報(bào)告并進(jìn)行分類整理，分析數(shù)據(jù)所關(guān)聯(lián)的管理流程，回顧相關(guān)風(fēng)險(xiǎn)評(píng)估事項(xiàng)，對(duì)照可接受風(fēng)險(xiǎn)準(zhǔn)則，分析所發(fā)現(xiàn)問題的根本原因，協(xié)同相關(guān)職能人員提出改進(jìn)的建議或方案，并形成信息安全管理體系測(cè)量結(jié)果報(bào)告。5.4 信息安全管理體系測(cè)量結(jié)果報(bào)告至少應(yīng)包括以下內(nèi)容： a) 測(cè)量方法的描述； b) 控制措施有效性的評(píng)價(jià)結(jié)論； c) 體系有效性（包括持續(xù)改進(jìn)）的評(píng)價(jià)結(jié)論； d) 對(duì)安全體系、安全控制持續(xù)改進(jìn)的建議及價(jià)值； e) 測(cè)量結(jié)果對(duì)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的影響分析（是否在風(fēng)險(xiǎn)評(píng)估和處理階段遺漏了必要的輸入）； f) 管理層

5、對(duì)測(cè)量結(jié)果改進(jìn)建議或方案的審批。5.5 管理者代表通過電子郵件方式將信息安全管理體系測(cè)量結(jié)果報(bào)告下發(fā)相關(guān)職能人員，并根據(jù)管理層對(duì)體系有效性測(cè)量結(jié)果的審批結(jié)論，跟蹤驗(yàn)證各區(qū)域?qū)嵤┑慕Y(jié)果。5.6 對(duì)信息安全管理體系有效性測(cè)量每半年進(jìn)行一次。5.7 對(duì)有效性測(cè)量過程的改進(jìn)應(yīng)作為管理評(píng)審的輸入事項(xiàng)，以不斷改進(jìn)測(cè)量過程的有效性。6 記錄信息安全管理體系策劃書信息安全管理體系測(cè)量數(shù)據(jù)搜集調(diào)查表信息安全管理體系測(cè)量結(jié)果報(bào)告信息安全管理體系策劃書項(xiàng)目名稱信息安全管理體系有效性測(cè)量 項(xiàng)目目的為評(píng)價(jià)阜新銀行信息科技部信息安全管理體系風(fēng)險(xiǎn)控制措施的有效性，評(píng)價(jià)信息安全管理體系的有效性，為管理評(píng)審、內(nèi)部審核及改進(jìn)設(shè)施

6、安全提供輸入，在阜新銀行信息科技部?jī)?nèi)溝通安全的價(jià)值并為風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃提供輸入項(xiàng)目范圍1. 阜新銀行信息科技部所有區(qū)域項(xiàng)目依據(jù)ISO/IEC 27001:2005ISMSP-09-A信息安全管理體系有效性測(cè)量控制程序職 責(zé)安全管理員及內(nèi)審員在管理者代表領(lǐng)導(dǎo)下，具體負(fù)責(zé)此項(xiàng)計(jì)劃動(dòng)作，其他人員配合。內(nèi) 容測(cè)量方法設(shè)定： 年 月 日 管理者代表&安全管理員1.1數(shù)據(jù)搜集的方法：1.1.1問卷調(diào)查（詳見附件1）1.1.2內(nèi)審輸出、管理評(píng)審輸出、外審輸出、各區(qū)域的風(fēng)險(xiǎn)處理情況報(bào)告的匯總1.2數(shù)據(jù)分析的方法：對(duì)采用1.1方法搜集來(lái)的數(shù)據(jù)與阜新銀行信息科技部信息安全管理體系設(shè)定的總體目標(biāo)、體系

7、文件的要求以及獲得總經(jīng)理批準(zhǔn)的測(cè)量指標(biāo)進(jìn)行比對(duì)（詳見附件2）；1.3測(cè)量指標(biāo)的設(shè)定并獲得總經(jīng)理批準(zhǔn);1.4結(jié)果處理方法的設(shè)定。測(cè)量實(shí)施過程： 年 月 日 年 月 日 信息科技部各區(qū)域數(shù)據(jù)搜集： 年 月 日 年 月 日 信息科技部各區(qū)域數(shù)據(jù)分析： 年 月 日 數(shù)據(jù)分析結(jié)果與測(cè)量指標(biāo)的比對(duì)： 年 月 日 3. 測(cè)量結(jié)果的輸出：處理結(jié)果反饋至科技部總經(jīng)理 年 月 日備 注編 制審 核批 準(zhǔn)附件1信息安全管理體系有效性測(cè)量數(shù)據(jù)搜集調(diào)查表部門：_日期：_填表人：_部門審核：_注：1 本調(diào)查表調(diào)查時(shí)間范圍 年 月 日至 年 月 日，請(qǐng)各區(qū)域負(fù)責(zé)人回顧所調(diào)查事項(xiàng)，如實(shí)填寫，對(duì)于無(wú)法獲取上述范圍之內(nèi)所有信息的

8、事項(xiàng)（如日志記錄）請(qǐng)說(shuō)明填寫的調(diào)查結(jié)果的時(shí)間范圍。2 請(qǐng)對(duì)調(diào)查事項(xiàng)中發(fā)生問題的事項(xiàng)進(jìn)行描述，填寫在“嚴(yán)重程度/影響范圍/其他說(shuō)明”一欄。3 2、3、5、9、11、19調(diào)查事項(xiàng)應(yīng)填寫精確數(shù)字；其它項(xiàng)請(qǐng)?zhí)畎俜直取? 對(duì)本區(qū)域不適用的調(diào)查事項(xiàng)請(qǐng)?jiān)凇皣?yán)重程度/影響范圍/其他說(shuō)明”一欄填寫“N/A”。序號(hào)調(diào)查事項(xiàng)調(diào)查結(jié)果嚴(yán)重程度/影響范圍/其他說(shuō)明1不可接受風(fēng)險(xiǎn)處理率2重大事件（重大事件指影響金融業(yè)務(wù)正常運(yùn)行的事件）3顧客/相關(guān)方因信息安全事件而產(chǎn)生的投訴4內(nèi)部審核及管理評(píng)審實(shí)施及時(shí)率5員工參加安全意識(shí)培訓(xùn)6安全方針全員傳達(dá)率7員工保密協(xié)議及外部第三方保密協(xié)議簽訂率8資產(chǎn)（主要指生產(chǎn)及測(cè)試等待上線的硬件

9、資產(chǎn)）清查率9機(jī)房物理訪問造成安全事件 10機(jī)房變更操作審批率11系統(tǒng)容量導(dǎo)致安全事件12終端病毒軟件安裝率、及時(shí)更新率 13策劃的重要數(shù)據(jù)備份及時(shí)率14機(jī)房生產(chǎn)系統(tǒng)及網(wǎng)絡(luò)設(shè)備口令復(fù)雜度、定期更新、定期回顧率15員工離開座位鎖屏檢查 16網(wǎng)絡(luò)訪問接入審批率17軟件系統(tǒng)開發(fā)文檔完整性18業(yè)務(wù)連續(xù)性實(shí)際操作演練率19生產(chǎn)核心系統(tǒng)無(wú)故障運(yùn)行時(shí)間制表： 批準(zhǔn)： 日期： 年 月 日附件2管理體系有效性Benchmark第一部分：體系目標(biāo)不可接受風(fēng)險(xiǎn)處理率100%重大事件（重大事件指影響金融業(yè)務(wù)正常運(yùn)行的事件）0次顧客/相關(guān)方因信息安全事件而產(chǎn)生的投訴5次內(nèi)部審核及管理評(píng)審實(shí)施及時(shí)率100%員工參加安全意識(shí)培訓(xùn)1次/人第二部分：調(diào)查事項(xiàng)指標(biāo)安全方針全員傳達(dá)率100%員工保密協(xié)議及外部第三方保密協(xié)議簽訂率100%資產(chǎn)（主要指生產(chǎn)及測(cè)試等待上線的硬件資產(chǎn)）清查率98%機(jī)房物理訪問造成安全事件 0機(jī)房變更操作審批率100%系統(tǒng)容量導(dǎo)致安全事件0終端病毒軟件安裝率、