1. 下达任务
在明确责任部门后,信息安全工作小组给相关责任部门下达《审核、检查发现事项通知单》。
2. 纠正措施的实施
不符合项的责任部门根据《审核、检查发现事项通知单》的要求,在规定的期限内组织相关人员进行实施。对于需要跨部门协调解决纠正和预防措施由体系负责人组织召开工作会议讨论并明确相关改进责任部门及改进职责,确保按期完成。
3. 监督和效果验证
1) 纠正措施完成后,责任部门通知信息安全工作小组对纠正措施进行验证,信息安全工作小组组织有关人员进行验证,并记录在《体系改进记录表》上,并提报给信息安全会;
2) 信息安全工作小组对纠正措施的实施结果和效果作终的确认。
信息安全目标有效性测量方法
信息安全工作小组根据信息安全管理体系和公司及客户的要求,组织编制《信息安全目标及风险管理度有效性测量表》,经体系负责人审批后发布实施。
在信息安全管理体系有效性的测量中,使用基于信息安全管理体系控制的关键目标指标和关键性能指标的测量方法。
关键目标指标
1) 识别测定信息安全管理体系控制的结果,控制的输出,关键目标指标体现的是控制的目标,指出哪些是必须做的,是控制实现其目标的可测指标,并且通常定义为需要实现的目标。
2) 关键目标指标是控制目标的一种表达,明确要取得什么目标,并描绘控制的结果,进行事后评判,即时体现控制的完成即成功与否。
3) 信息安全工作小组分析确定信息安全的14个领域中关键的测量目标。
严重安全事件处理流程:
a) 运营安全工作人员将安全事件发现情况或报告上报相应部门总监和运营安全组长;
b) 相应部门总监负责随时跟踪运营安全管理组长的处理解决问题过程。
c) 运营安全组长记录分析安全事件,对安全事件进行处理,解决问题,并上报信息安全管理小组;
d) 信息安全小组指示信息安全工作小组协调对事件进行深入分析,必要时可告知相关专业安全厂商,由厂商协助运营安全组长处理解决安全事件;
e) 信息安全工作小组负责协调专业安全商、产品商、集成商配合部门人员共同解决严重安全事件;
f) 如果未能解决事件,则转入安全事故处理流程;
g) 如果成功处理事件,则做系统恢复和事件总结。
-/gbacfji/-
http://lsjsqd.b2b168.com
