1监视和测量管理程序1目的通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析,为策划、实施、持续改进信息安全管理体系提供依据。2适用范围本程序适用于对技术中心本公司区域内所有部门的安全特性控制、绩效及管理体系运行的监视和测量。3术语和定义引用GB/T22080-2008标准及本公司技术中心《信息安全管理手册》中的术语和定义。4职责4.1行政人力部负责人项目及流程管理部负责人4.1.1负责掌握信息安全管理体系的总体运行情况,并向最高管理者汇报,对最高管理者负责。4.1.2负责每半年组织对本公司技术中心职能部门目标的完成情况进行考核。4.2项目及流程管理部行政人力部4.2.1负责本程序的编制、修订和监督实施。4.2.2负责每半年对各职能业务部门进行监视和测量,对各职能业务部门的监视和测量执行情况进行监督、检查和指导,为纠正和预防提供信息。4.2.3负责收集的客户信息安全方面信息,并进行汇总、分析和传递。24.2.4项目及流程管理部行政人力部负责获取、识别、更新适用于本公司技术中心信息安全管理体系运行的所有法律法规,发布《信息安全法律法规清单》,对本程序的实施情况进行组织、监督和检查。负责法律法规的更新以及适用性的确认,并传达给各部门。4.2.5项目及流程管理部行政人力部根据法律法规、客户合同以及相关信息安全保密要求组织对已签订的保密协议书进行评审。5控制措施和目标实现程度的监视测量5.1监视和测量的范围及依据5.1.1根据本公司技术中心业务范围内信息资产的控制范围,确定监视和测量范围。5.1.2测量的范围一般包括:a)控制措施的实现过程;b)关键特性;控制措施实现目标程度;适用法律、法规的符合性;业务持续性控制措施;事故、事件和其它不良的绩效;c)不可接受风险计划中确定的措施;d)客户信息安全保密的满意程度。5.1.3监视和测量的依据是法律法规、技术标准、客户合同、适用性声明、管理手册、程序文件等。5.2监视和测量的要求应按照国家及地方技术规范规定和客户要求的检验和试验项目、标准、方法进行监视和测量。必要时,本公司技术中心各部门指定专人编写作业文件予以规定,规定的严格程度应与问题的复杂程度和风险相适应。5.3监视和测量的实施5.3.1项目及流程管理部行政人力部根据各部门确立的监视和测量范围,确定监视和测量的依据、项目、关键特性、频次、使用的仪器设备等。5.3.2监视和测量可选择的方法a.对控制过程进行日常检查;b.信息安全保密措施状况的抽查;c.设...
