信息安全管理体系有效性测量控制程序

信息科学技术部信息安全管理系统的有效性测量控制程序a版控制状态：被控制的状态2011年6月1日宣布将于2011年6月1日实施目录1目的32范围33相关文件3四角色三角色5程序36条记录5文件修订历史记录版本号日期修订者修订说明1.0一个目的为评价阜新银行信息科技信息安全管理体系风险管理措施的有效性，评价信息安全管理体系的有效性，为管理审核、内部审核和设施安全改善提供输入，在信息科技内联系安全价值，为风险评估和风险处理计划提供输入，制定本程序。2的范围本计划适用于阜新银行信息科技部根据ISO/IEC 27001:2005标准建立的信息安全管理系统有效性的测量。3相关文件信息安全目标管理程序4责任4.1总经理和管理者代表负责规划测量方法，建立测量指标和组织有关职能人员实施测量过程4.2各地区副总裁有责任提供系统测量数据输入和测量结果处理4.3总经理负责系统测量指标的审查、输出结果的审查和处理决定的审查4.4信息安全管理委员会负责改进测量方法。五个程序5.1管理者代表应对信息安全管理系统的管理流程、产品、项目计划、资源等进行测量模型的设计。 信息安全管理系统的测量模型有基础测量、推理测量、指标测量3种方式。5.2管理员代表ISMS测量的实体定义了测量管理系统有效性的方法，该方法规定为信息安全管理体系策划书。 计划的方法需要得到信息科学技术部社长的批准。 需要调查的文件(或其他形式的电子文件)由管理者代表通过电子邮件发送各相关职能人员。测量方法可以是主观的也可以是客观的，可用的方法如下a )调查b )观察c )问卷调查d )基于知识的评估e )检查f )系统查询g )测试h )取样在测量过程中，收集用于测量的数据源可能包括a )内部审计和外部审计的结果b )从风险分析中得到的风险水平c )使用问卷调查d )记录信息安全管理系统e )信息系统自动输入的信息，如防火墙日志数据收集过程应确保：a )应收集的信息和信息来源b )确定收集信息的负责人c )收集的信息的时间段d )在何处收集信息e )安全要求f )管理员报告g )管理层对测量程序的审查。5.3管理者代表对收集到的数据形成信息安全管理体系测量数据搜集报告，进行分类整理，分析与数据相关的管理过程，回顾相关风险评估事项，根据可接受的风险标准，分析发现问题的根本原因，与相关职能人员合作提出改进建议和建议，形成信息安全管理体系测量结果报告。5.4 信息安全管理体系测量结果报告应至少包括：a )测量方法的说明b )控制措施有效性的评价结论c )系统有效性(包括持续改进)的评估结果d )对安全系统、安全控制持续改进的建议和价值e )测量结果对风险评估和风险处理的影响分析(风险评估和处理阶段是否缺少必要的输入)f )管理层进行测量结果的改善提案和方案的承认。5.5管理者代表通过电子邮件方式向相关职能人员分发信息安全管理体系测量结果报告人，根据管理者对体系有效性测定结果的审查结果，跟踪验证各区域实施的结果。5.6每半年进行一次信息安全管理系统的有效性测量。5.7有效性测试过程的改进作为管理审查的输入事项，不断改进测试过程的有效性。六张唱片信息安全管理体系策划书信息安全管理体系测量数据搜集调查表信息安全管理体系测量结果报告信息安全管理系统计划书项目名称信息安全管理系统的有效性衡量项目的目的评价阜新银行信息科技信息安全管理体系风险管理措施的有效性，评价信息安全管理体系的有效性，提供管理审核、内部审核和设施安全改善的输入，通过阜新银行信息科技联系安全价值，为风险评估和风险处理计划提供输入项目范围1 .阜新银行信息科技部的所有区域项目依据ISO/IEC 27001:2005ISMSP-09-A信息安全管理体系有效性测量控制程序职责安全管理人员和内审人员在管理人员代表的指导下，具体负责该计划的工作，其他人员协助。内容测定方法的设定：年月日管理者代表安全管理者1.1数据收集方法：1.1.1问卷(详见附件一)1.1.2内部审查输出、管理审查输出、外部审查输出、各地区风险处理情况汇总1.2数据分析的方法：将1.1方法收集的数据与阜新银行信息科技部信息安全管理系统设定的总体目标、系统文件要求和经社长批准的测量指标进行比较(见附件二)。1.3测量指标的设定，得到社长的认可1.4结果处理方法的设定。测量实施过程：年月日-年月日信息科技部各地区数据收集：年月日-年月日信息科技部各地区数据分析：年月日数据分析结果与测量指标的比较：年月日3 .测定结果的输出：处理结果反馈到科技部总经理的年月日备注编制审计承认附件一信息安全管理系统有效性衡量数据采集问卷部门： _ _ _ _ _ _ _ _ _ _ _ _ _ _ _日期： _ _ _ _ _ _ _ _ _ _ _ _ _ _ _填写者： _ _ _ _ _ _ _ _ _ _ _ _ _ _部门审查： _ _ _ _ _ _ _ _ _ _ _ _注意：1本问卷调查的时间范围从年月日到年月日，请各地区负责人回顾调查的事项，如实填写，对于上述范围内无法获得所有信息的事项(日志记录等)填写的调查结果的时间范围进行说明。2请记述调查事项中发生问题的事项，并填写“重要度/影响范围/其他说明”栏。3 2、3、5、9、11、19的调查事项必须填写正确的数字，其他项目请按百分比填写。4关于不适用于本地区的调查事项，请在“重要度/影响范围/其他说明”栏中填写“N/A”。序列号调查事项调查结果重要性/影响范围/其他说明1不可接受的风险处理率2重大事件(重大事件是指影响金融业务正常运营的事件)3客户/利益攸关方的信息安全事件投诉4内部审计和管理审查实施的及时率5员工参加安全意识培训6安全方针全员传达率7员工保密合同和外部第三方保密合同签订率8资产(主要是生产和测试在线的硬件资产)清单百分比9机房物理接入引发安全事件10机房变更作业核准率11基于系统容量的安全事件12终端病毒软件的安装率、及时更新率13计划的重要数据备份的及时百分比14机房生产系统和网络设备密码复杂、定期更新、定期评审率15工作人员离开座位检查屏幕16网络访问授权百分比17软件系统开发文档的完整性18业务连续性的实践操作演习率19无生产核心系统停机时间表格：核准：日期：年月日附件二管理系统有效性Benchmark第一部分：系统目标不可接受的风险处理率100%重大事件(重大事件是指影响金融业务正常运营的事件)0次客户/利益攸关方的信息安全事件投诉5次内部审计和管理审查实施的及时率100%员工参加安全意识培训1次/人第二部分：调查事项指标安全方针全员传达率100%员工保密合同和外部第三方保密合同签订率100%资产(主要是生产和测试在线的硬件资产)清单百分比98%机房物理接入引发安全事件0机房变更作业核准率100%基于系统容量的安