5.1. 信息的收集和汇总分析
1) 不符合的信息可能来自:
法律法规的变更产生的不符合;
员工、顾客及相邻部门和群众的意见和投诉;
资产识别及评价发现的不符合;
内部和外部审核及管理评审发现的不符合;
体系运行中发现的问题;
检查与监督过程中发现的不符合;
事故调查时发现的不符合问题;
信息交流发现的不符合;
其它途径发现的不符合。
2) 信息安全工作小组对管理体系实施运行情况,尤其对内审、外审、管理评审以及有效性测量中的《审核、检查发现事项通知单》和信息安全事件,进行收集汇总。
3) 信息安全工作小组对所有的不符合项,进行原因分析,找出主要原因,确定需要采取纠正措施的不符合项,并填入《审核、检查发现事项通知单》。
制定应急预案
组织应将灾难一旦发生,所应执行的活动,形成文件,制定应急预案。
1 确定团队职责与分工
描述灾难恢复的组织结构,各个岗位的职责和人员名单,灾难恢复组织应包括应急响应组,灾难恢复组等。并列出灾难恢复相关人员和组织的联络表,包括灾难恢复团队,运营商、厂商、经理部门、媒体、员工、家属等,联络方式包括固定电话、移动电话、对讲机、电子邮件和住址等。
2 确定突发事件通告机制
任何人员在发现信息系统相关突发灾难发生或即将发生时,应按预定的过程报告相关人员,并由相关人员进行初步判断,通知和处理。
3 确定损害评估机制
在突发事件发生后,由灾难恢复责任人召集相应的专业人员对突发事件进行慎重评估,确认突发事件对信息系统造成的影响,确定下一步将要采取的行动,一旦系统的影响被确定,应将信息按照预定的通告过程通知给相应的团队。
4 确定灾难启动机制
应预先制定灾难恢复预案启动的条件,当损害评估的结果达到一项或多项启动条件时,组织将正式发出灾难启动,宣布启动灾难恢复预案,并根据宣告过程通知各有关部门。
5 确定系统恢复过程
各系统的应急预案中描述时间、地点、人员、设备和系统恢复每一步的详细操作步骤,同时还包括特定情况发生时各团队之间进行协调的指令,以及异常处理过程。
6 形成计划文档
将上述计划中的内容形成服务应急预案,并提交信息安全管理会及相关各方人员进行评审。
信息安全目标有效性测量方法
信息安全工作小组根据信息安全管理体系和公司及客户的要求,组织编制《信息安全目标及风险管理度有效性测量表》,经体系负责人审批后发布实施。
在信息安全管理体系有效性的测量中,使用基于信息安全管理体系控制的关键目标指标和关键性能指标的测量方法。
关键目标指标
1) 识别测定信息安全管理体系控制的结果,控制的输出,关键目标指标体现的是控制的目标,指出哪些是必须做的,是控制实现其目标的可测指标,并且通常定义为需要实现的目标。
2) 关键目标指标是控制目标的一种表达,明确要取得什么目标,并描绘控制的结果,进行事后评判,即时体现控制的完成即成功与否。
3) 信息安全工作小组分析确定信息安全的14个领域中关键的测量目标。
-/gbacfji/-
http://lsjsqd.b2b168.com
