XX公司信息安全管理体系有效性测量评价程序.docx

《XX公司信息安全管理体系有效性测量评价程序.docx》由会员分享，可在线阅读，更多相关《XX公司信息安全管理体系有效性测量评价程序.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XXXX公司ISMS版本A密级秘密*3年XX信息安全管理体系有效性测量 评估程序文件编号ISMSP-17-A1目的为评价XXXX公司信息安全管理体系风险控制措施的有效性，评价信息安全 管理体系的有效性，为管理评审、内部审核及改进设施安全提供输入项，在XXXX 公司内沟通安全的价值并为风险评估和风险处理计划提供输入项，特制定本程 序。2范围本程序适用于XXXX公司依据ISO/IEC 27001:2005标准建立的信息安全管理 体系有效性的测量。3职责3. 1总经理及管理者代表负责测量方法的策划，测量指标的建立并组织相关职能 人员进行测量过程的实施；3. 2各部门负责人负责提供体系测量的数据输入项

2、及测量结果的处理；3. 3总经理负责体系测量指标的审批与输出结果的审核及处理决定的审批；3.4信息安全管理委员会负责对测量方法的改进。4定义实体：能够通过对其属性测量来表现的对象。5.1管理者代表应对信息安全管理体系涉及到的管理流程、产品、项目计划、资 源等进行测量模型的设计。信息安全管理体系的测量模型包括三种方式：基础测 量、推论测量、指标测量。5. 2管理者代表针对ISMS需要测量的实体，定义对管理体系有效性测量的方法, 策划应形成信息安全管理体系策划书。对于策划的方法，应得到XXXX公司总 经理的审批，所需调查的表格（或其他形式的电子文档）应由管理者代表通过电 子邮件发送给各相关职能人员

3、。5. 2.1测量方法可以是主观的或客观的，可能用到的方法包括：a）调查；b）观察；c）问卷；d）依据知识的评估；e）检查；f）系统查询；g）测试;h）抽样。在测量过程中，搜集用于测量的数据源，可考虑：a）内部和外部审核的结果；b）风险分析所得出的风险等级；c）使用调查表；d）信息安全管理体系记录；e）信息系统自动输入的信息，如防火墙日志。5. 2.3数据搜集过程应确定：a）需要搜集的信息及信息来源；b）确定搜集信息的责任人；c）所搜集的信息的时间段；d）在何地搜集信息；e）安全要求；f）管理者报告；g）管理层对测量过程的审核。5. 3管理者代表应对所搜集的数据形成信息安全管理体系测量数据搜集

4、报告 并进行分类整理，分析数据所关联的管理流程，回顾相关风险评估事项，对照可 接受风险准则，分析所发现问题的根本原因，协同相关职能人员提出改进的建议 或方案，并形成信息安全管理体系测量结果报告。5.4信息安全管理体系测量结果报告至少应包括以下内容：a）测量方法的描述；b）控制措施有效性的评价结论；c）体系有效性（包括持续改进）的评价结论；d）对安全体系、安全控制持续改进的建议及价值；e）测量结果对风险评估和风险处理的影响分析（是否在风险评估和处理阶 段遗漏了必要的输入）；f）管理层对测量结果改进建议或方案的审批。5. 5管理者代表通过电子邮件方式将信息安全管理体系测量结果报告下发相 关职能人员

5、，并根据管理层对体系有效性测量结果的审批结论，跟踪验证各区域 实施的结果。5.6 对信息安全管理体系有效性测量每半年进行一次。5.7 对有效性测量过程的改进应作为管理评审的输入事项，以不断改进测量过程 的有效性。6相关文件无7记录记录名称保存期限信息安全管理体系策划书2年信息安全管理体系测量数据搜集调查表2年信息安全管理体系测量结果报告2年8本程序文件更改记录表附加说明:序号条款号更改标记更改内容更改通知单号更改人/日期日期:日期:日期:本程序文件编制人:本程序文件审核人:本程序文件批准人:项目名称信息安全管理体系有效性测量为评价XXXX公司信息安全管理体系风险控制措施的有效性，评价信息项目目

6、的安全管理体系的有效性，为管理评审、内部审核及改进设施安全提供输 入项，在XXXX公司内沟通安全的价值并为风险评估和风险处理计划提供输入项。项目范围XXXX公司所有区域1. ISO/IEC 27001:2005项目依据2. USMSP-09-A信息安全管理体系有效性测量控制程序职责综合管理员及内审员在管理者代表领导下，具体负责此项计划动作，其 他人员配合工作。内容1 .测量方法设定：20XX年XX月XX日管理者代表1.1 数据搜集的方法：1 .1.1问卷调查（详见附件1）2 .1.2内审输出、管理评审输出、外审输出、各区域的风险处理情况报 告的汇总3 . 2数据分析的方法：对采用1. 1方法搜

7、集来的数据与XXXX公司信息安 全管理体系设定的总体目标、体系文件的要求以及获得总经理批准的测 量指标进行比对（详见附件2）；4 . 3测量指标的设定并获得总经理批准；L4结果处理方法的设定。2 .测量实施过程：20XX年XX月XX日 20XX年XX月XX日XXXX公 司各区域 数据搜集：20XX年XX月XX日 20XX年XX月XX日XXXX公司各区域 数据分析：20XX年XX月XX日 数据分析结果与测量指标的比对：20XX年XX月XX日3.测量结果的输出：处理结果反馈至总经理20XX年XX月XX日备注编制审核批 准附件1信息安全管理体系有效性测量数据搜集调查表部门：日期：填表人：部门审核：注

8、：1本调查表调查时间范 CJ年 月日至 年 月日，请各区域负责人回顾所调查事项，如实填写，对于无法获取上述范围之内所有信息的事项（如日志记录）请说明填写的调查结果的时间范围。2请对调查事项中发生问题的事项进行描述，填写在“严重程度/影响范围/其他说明” 一栏。3 2、3、5、9、11调查事项应填写精确数字（次数）；其它项请填百分比。4对本区域不适用的调查事项请在“严重程度/影响范围/其他说明” 一栏填写“N/A”。序号调查事项计算 公式调查 结果严重程度/影响范围/ 其他说明1不可接受风险处理率2重大信息安全事故3一般信息安全事故4顾客/相关方因信息安全事件而产 生的投诉5内部审核及管理评审不

9、符合项纠 正措施及时实施率6员工参加安全意识培训7资产清查率8终端防病毒软件及时更新率9重要（信息/数据）备份不及时次 数10系统及网络设备口令定期检查合 格率11外来人员网络访问接入审批率12XX核心系统无故障运行时间制表:批准:日期： 年 月 日附件2管理体系有效性Benchmark第一部分：体系目标调查事项目标公式负责 部门责任人测量周期不可接受风险处理率100%不可接受风险处理数量/总不可 接受风险*100%经总办半年重大信息安全事故1次/ 年参见XX事故、薄弱点与故障 管理程序经总办1年一般信息安全事故W3次/ 年参见XX事故、薄弱点与故障 管理程序总经 办1年顾客/相关方因信息安

10、全事件而产生的投诉W3次/ 年客户不满意投诉的记录数件 软部1年内部审核及管理评审不 符合项纠正措施实施及 时率100%不符合项及时纠正的个数/总不 符合项数*100%1年员工参加安全意识培训21次/ 人/年实施信息安全培训的记录次数人力 资源1年第二部分：系统运维事项指标调查事项目标公式负责 部门责任人频 率/ 次资产清查率98%资产的识别数量/公司总资产的 数量*100%软件 部3月终端病毒软件及时更新 率95%检查终端计算机防病毒软件的 更新次数/总检查次数*100%技术 总监1月重要信息、/数据备份及 时率3次/ 月检查时重要（信息/数据）备份 不及时次数件 软部1月系统及网络设备口令

11、定 期检查合格率95%检查时合格口令个数/检查口令 的总数*100%件 软部3月外来人员网络访问接入 审批率100%外来人员网络访问接入审批次 数/外来人员网络访问接入次数 *100%1月XX核心系统无故障运行 时间99. 9%每月无故障运行时间/每个月时 间*100% （小时）软件 部1月第一部分：体系目标调查事项目标公式实际情况/套 用检查公式改进计划测量 周期日 期公式结果说 明不可接受风险处理率100%不可接受风险处理数 量/总不可接受风险*100%半年顾客/相关方因信息安 全事件而产生的投诉W5次/ 年客户不满意投诉的记 录数1年内部审核及管理评审实 施及时率100%内部审核及管理评

12、审 后的问题实施数量/ 内部审核及管理评审 发现问题总数量*100%1年员工参加安全意识培训22次/ 人/年员工管理培训的记录 次数1年第二部分：系统运维事项指标调查事项目标公式实际情况改进计划测量 周期资产清查率98%资产的识别数量/公司 总资产的数量*100%1月终端病毒软件及时更新 率95%检查终端计算机防病 毒软件的更新次数/总 检查次数*100%1月重要（信息/数据）备份 不及时次数95%检查时重要（信息/数 据）备份不及时次数1月系统及网络设备口令定 期检查合格率90%检查时合格口令个数/ 检查口令的总数*100%3月外来人员网络访问接入 审批率100%外来人员网络访问接 入审批次数/外来人员 网络访问接入次数 *100%1月XX核心系统无故障运行 时间99. 9%每月无故障运行时间/ 每个月时间*100% （小 时）1月