12-监视和测量管理程序.doc

监视和测量管理程序 1 目的 通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析， 为策划、实施、持续改进信息安全管理体系提供依据。 2 适用范围 本程序适用于对技术中心本公司区域内所有部门的安全特性控制、绩效及管理体系运行的监视和 测量。 3 术语和定义 引用 GB/T22080-2008 标准及本公司技术中心《信息安全管理手册》中的术语和定义。 4 职责 4.1 行政人力部负责人项目及流程管理部负责人 4.1.1 负责掌握信息安全管理体系的总体运行情况，并向最高管理者汇报，对最高管理者负 责。 4.1.2 负责每半年组织对本公司技术中心职能部门目标的完成情况进行考核。 4.2 项目及流程管理部行政人力部 4.2.1 负责本程序的编制、修订和监督实施。 4.2.2 负责每半年对各职能业务部门进行监视和测量，对各职能业务部门的监视和测量执行 情况进行监督、检查和指导，为纠正和预防提供信息。 4.2.3 负责收集的客户信息安全方面信息，并进行汇总、分析和传递。 4 4.2.4 项目及流程管理部行政人力部负责获取、识别、更新适用于本公司技术中心信息安全管理体系运行的 所有法律法规，发布《信息安全法律法规清单》，对本程序的实施情况进行组织、监督和检 查。负责法律法规的更新以及适用性的确认，并传达给各部门。 4.2.5 项目及流程管理部行政人力部根据法律法规、客户合同以及相关信息安全保密要求组织对已签 订的保密协议书进行评审。 5 控制措施和目标实现程度的监视测量 5.1 监视和测量的范围及依据 5.1.1 根据本公司技术中心业务范围内信息资产的控制范围，确定监视和测量范围。 5.1.2 测量的范围一般包括： a) 控制措施的实现过程； b) 关键特性；控制措施实现目标程度；适用法律、法规的符合性；业务持续性控制措 施；事故、事件和其它不良的绩效； c) 不可接受风险计划中确定的措施； d) 客户信息安全保密的满意程度。 5.1.3 监视和测量的依据是法律法规、技术标准、客户合同、适用性声明、管理手册、程序 文件等。 5.2 监视和测量的要求 应按照国家及地方技术规范规定和客户要求的检验和试验项目、标准、方法进行监视和 测量。必要时，本公司技术中心各部门指定专人编写作业文件予以规定，规定的严格程度应与问题的 复杂程度和风险相适应。 5.3 监视和测量的实施 5.3.1 项目及流程管理部行政人力部根据各部门确立的监视和测量范围，确定监视和测量的依据、项 目、关键特性、频次、使用的仪器设备等。 5.3.2 监视和测量可选择的方法 a. 对控制过程进行日常检查； b. 信息安全保密措施状况的抽查； c. 设备装置的检查； d .作业环境的监视； e. 记录检查。 5.3.3 控制过程的监视和测量 a. 项目及流程管理部行政人力部负责组织控制措施实施过程的监视和测量。 b. 信息处理设备出/入库前，必须按照采购计划对物资设备的数量、规格、信息安全保 密要求进行验证，审核产品证明文件的符合性。验证方法应符合 《信息处理设备管理程序》， 并保留相应的原始记录。 c. 使用前必须经过复验、检验的物资，按相应的标准、规范进行复验。 d. 未经监视和测量的信息处理硬件软件不得投入使用，对验证不合格的，按照《事态、 事件、薄弱点与故障管理程序》执行。 e. 因工作急需，未经检验和试验放行（硬件、软件），必须具备放行后一旦发现问题能 够追回的条件。 f. 紧急放行后，应及时进行检验和试验，发现问题及时追回或处理。 g. 为控制措施目标所需的主动监视和测量，以巡检、设施监控、统计分析等适用的方 法进行。 5.3.4 本公司技术中心不可接受风险处置计划关键特性和绩效的监视和测量，由项目及流程管理部行政人力部 按照计划策划的时间间隔，对特性的效果与 IT 专家协商测试方法，执行本程序。对不易测 评绩效的关键特性，采用观察现场表现的监视和测量方式。有必要时，可委托有资格的外部 检测机构实施。对事态、事件和其他不良绩效的测量，由项目及流程管理部行政人力部组织，事发部 门协同，利用统计报告并结合《事态、事件、薄弱点与故障管理程序》进行分析和改进。 5.3.5 管理体系运行过程的监视和测量 5.3.5.1 管理体系运行要遵守法律、法规的要求。 项目及流程管理部行政人力部要对本公司技术中心各部门适用的法律、法规、标准、规范的获取和识别，进行监视和测量。 5.3.5.2 管理体系运行过程的检查职能业务部门要每半年对管理管理体系的目标及管理体系运行情况进行监视和测量。 5.3.5.3 以上的监视和测量由检查部门填写《信息安全法律法规符合性评估报告》。 5.3.6 客户信息安全满意程度的监视和测量 5.3.6.1 客户信息安全满意程度信息的收集与传递 a. 客户信息安全满意程度信息包括满意信息和不满意信息，客户满意程度信息的收集 采取书面形式。 b. 客服人员与客户进行沟通，收集来自客户的对信息安全保密满意程度信息，并在内 部进行传递，作为方针、目标、管理评审的依据。 c. 对客户投诉的问题和回访中发现的问题，由项目及流程管理部行政人力部指定问题项目负责 人组织有关人员对问题进行复查，与客户共同分析原因，按照《事态、事件薄弱点与故障管 理程序》 、《纠正预防措施控制程序》及时做出处理。 5.3.7 证据收集 当本公司技术中心与其他公司技术中心或某个人（包括内部与外部人员）发生法律纠纷时，涉及法律纠纷的部门应立即书面报告总经理，由项目及流程管理部行政人力部、法律顾问会同该部门进行证据收集， 准备实施法律诉讼；证据收集应符合以下要求： a. 所呈证据应符合国家有关的证据法规； b. 符合用于提供可接受证据的任何已发布的标准或法规； c. 对已收集到的证据进行安全的保管，防止未经授权的更改或破坏； d. 收集到的证据符合法庭所要求的形式。 5.3.8 控制目标的符合性主要通过实施定期评估的方法来实现，频次与法律法规符合性评价 相同，具体方法如下： a) 历史统计模式：虽然完成了某些控制措施，但看不到控制措施被采用的证据，而只能看 到现在管理的状态，经过统计现在状态的绩效与原有绩效的比较，可以推导出是否达到 了控制目标的要求和是否按照要求才去了措施。 b) 文本审阅模式：文本审阅法是通过翻阅控制措施要求的相关的文件、档案来了解控制措 施过程，获得书证。 c) 实地观察模式：通过实地查看某些控制措施的实施过程，核对策划的实施程序，判断完 成现有目标的绩效，获得过程物证。总之，要用“嘴”问，要用耳“听”，要用“脑” 判断与分析。得出一个客观的评价结果，记录在《信息安全法律法规符合性评估报告》。 5.4 项目及流程管理部行政人力部每年要针对本公司技术中心与信息安全保密法律法规遵循情况编写全公司 技术中心法律法规符合性评估报告，对于不符合的情况，责任部门应实施纠正措施并实施。 6 法律法规符合性的监视测量 执行《法律法规及相关要求管理程序》 7. 相关文件 ² 《纠正和预防措施控制程序》 ² 《信息处理设备管理程序》 ² 《事态、事件、薄弱点与故障管理程序》 ² 《文件和资料管理程序》 ² 《信息安全风险评估管理程序》 ² 《人力资源管理程序》 8. 记录 记录名称 保存部门 保存期限 策略监视测量记录表 保密协议评审记录 信息安全保密办公室 信息安全保密办公室 3 年 3 年