

热门搜索:
矯正措施
應該採取措施以消除不合格的原因,避免復发。
在ISMS內的書面程序應該定義:
鑑別不符合事項
確定原因
評估避免復发所需的活動
確定和實施矯正措施
紀錄結果
審查行動的有效性
a) 信息安全管理文件由信息安全小组组织,相关参与进行编制。
b) 技术标准由相关办公室门负责,各相关部门参与。
c) 策划的管理方案和管理活动的检查考核记录及其他管理、技术文件由相关、单位编制。
信息安全管理文件的审批权限如下:
a) 《信息安全管理手册》(含信息安全方针、方针文件、目标文件、信息安全适用性声明)由管理者代表批准发布。
b) 信息安全程序文件和作业文件由组织审核,办公室审核,管理者代表批准发布。
c) 策划的管理方案由组织审核,办公室审核,管理者代表批准发布。
d) 其他管理、技术作业和相关支持性文件由归口办公室门负责审核,部门负责人审核批准。
1 目的
为消除与信息安全管理体系要求不符合的原因,防止其再次发生,持续改进和信息安全管理体系的有效性,特制定本程序。
2 范围
本程序适用于消除信息安全管理体系不符合原因所采取的纠正预防措施的管理。
3 职责
3.1 办公室
负责归口管理纠正措施实施,组织相关部门制定预防纠正措施,并负责跟踪验证。
3.2信息安全小组
负责收集和分析信息系统方面的事件和异常情况,确定潜在不符合原因,采取预防措施。负责信息系统方面纠正措施的制定与实施。
4 相关文件
《信息安全管理手册》
《文件控制程序》
分析威胁发生频率
等级 标识 分级 定义
1 很低 几乎不可能 出现的频率较小(或<=1次/十年);仅可能在非常**和例外的情况下发生
2 低 不太可能 出现的频率较小(或≈1次/两年);或一般不太可能发生;或没有被证实发生过
3 中 可能 出现的频率中等(或≈1次/半年);或在某种情况下可能会发生;或被证实曾经发生过
4 高 很可能 出现的频率较高(或≈1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过
5 较高 非常可能 出现的频率较高(或>=1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过
分析脆弱性被利用率
等级 标识 定义
1 很低 强度好,如果被威胁利用,造成损害的可能性<=5%
2 低 强度不好,如果被威胁利用,5%<造成损害的可能性<=30%
3 中等 脆弱,如果被威胁利用,30%<造成损害的可能性<=70%
4 高 很脆弱,如果被威胁利用,70%<造成损害的可能性<=95%
5 很高 非常脆弱,如果被威胁利用,造成损害的可能性>95%