12-監(jiān)視和測量管理程序

監(jiān)視和測量管理程序1目的通過對各項控制措施滿足控制目標的實現程度及法律、法規(guī)符合性的監(jiān)視、測量與分析,為策劃、實施、持續(xù)改進信息安全管理體系提供依據。2適用范圍本程序適用于對技龍空必本公司區(qū)域內所有部門的安全特性控制、績效及管理體系運行的監(jiān)視和測量。3術語和定義引用GB/T22080-2008標準及本金司技術中心《信息安全管理手冊》中的術語和定義。4職責行政人力部負責人項目及流程管理部負責人負責掌握信息安全管理體系的總體運行情況，并向最高管理者匯報，對最高管理者負責。負責每半年組織對本公司技在空必職能部門目標的完成情況進行考核。項目及流程管理部行政人力部負責本程序的編制、修訂和監(jiān)督實施。負責每半年對各職能業(yè)務部門進行監(jiān)視和測量，對各職能業(yè)務部門的監(jiān)視和測量執(zhí)行情況進行監(jiān)督、檢查和指導，為糾正和預防提供信息。負責收集的客戶信息安全方面信息，并進行匯總、分析和傳遞。424項目及流程管理部行政人力部負責獲取、識別、更新適用于本公司技術中心信息安全管理體系運行的所有法律法規(guī)，發(fā)布《信息安全法律法規(guī)清單》，對本程序的實施情況進行組織、監(jiān)督和檢查。負責法律法規(guī)的更新以及適用性的確認，并傳達給各部門。項目及流程管理部行政人力都根據法律法規(guī)、客戶合同以及相關信息安全保密要求組織對已簽訂的保密協議書進行評審。5控制措施和目標實現程度的監(jiān)視測量監(jiān)視和測量的范圍及依據根據本公司拉龍史必業(yè)務范圍內信息資產的控制范圍，確定監(jiān)視和測量范圍。測量的范圍一般包括：a）控制措施的實現過程；b）關鍵特性；控制措施實現目標程度；適用法律、法規(guī)的符合性；業(yè)務持續(xù)性控制措施；事故、事件和其它不良的績效；c）不可接受風險計劃中確定的措施；d）客戶信息安全保密的滿意程度。監(jiān)視和測量的依據是法律法規(guī)、技術標準、客戶合同、適用性聲明、管理手冊、程序文件等。監(jiān)視和測量的要求應按照國家及地方技術規(guī)范規(guī)定和客戶要求的檢驗和試驗項目、標準、方法進行監(jiān)視和測量。必要時，本公司技術史必各部門指定專人編寫作業(yè)文件予以規(guī)定，規(guī)定的嚴格程度應與問題的復雜程度和風險相適應。監(jiān)視和測量的實施項目及流程管理部存政人力部根據各部門確立的監(jiān)視和測量范圍,確定監(jiān)視和測量的依據、項目、關鍵特性、頻次、使用的儀器設備等。監(jiān)視和測量可選擇的方法a.對控制過程進行日常檢查；b.信息安全保密措施狀況的抽查；c.設備裝置的檢查；d.作業(yè)環(huán)境的監(jiān)視；e.記錄檢查?？刂七^程的監(jiān)視和測量a.項目及流程管理部存政人力部負責組織控制措施實施過程的監(jiān)視和測量。b.信息處理設備出/入庫前，必須按照采購計劃對物資設備的數量、規(guī)格、信息安全保密要求進行驗證，審核產品證明文件的符合性。驗證方法應符合《信息處理設備管理程序》，并保留相應的原始記錄。c.使用前必須經過復驗、檢驗的物資，按相應的標準、規(guī)范進行復驗。d.未經監(jiān)視和測量的信息處理硬件軟件不得投入使用，對驗證不合格的，按照《事態(tài)、事件、薄弱點與故障管理程序》執(zhí)行。e.因工作急需，未經檢驗和試驗放行（硬件、軟件），必須具備放行后一旦發(fā)現問題能夠追回的條件。f.緊急放行后，應及時進行檢驗和試驗，發(fā)現問題及時追回或處理。g.為控制措施目標所需的主動監(jiān)視和測量，以巡檢、設施監(jiān)控、統計分析等適用的方法進行。534本公司技主空也不可接受風險處置計劃關鍵特性和績效的監(jiān)視和測量，由項目及流程管理部行政人力部按照計劃策劃的時間間隔，對特性的效果與IT專家協商測試方法，執(zhí)行本程序。對不易測評績效的關鍵特性，采用觀察現場表現的監(jiān)視和測量方式。有必要時，可委托有資格的外部檢測機構實施。對事態(tài)、事件和其他不良績效的測量，由項目及流程管理部行政人力部組織,事發(fā)部-門協同，利用統計報告并結合《事態(tài)、事件、薄弱點與故障管理程序》進行分析和改進。管理體系運行過程的監(jiān)視和測量管理體系運行要遵守法律、法規(guī)的要求。項目及流程管理部行政人力部要對本公司技術中心各部門適用的法律、法規(guī)、標準、規(guī)范的獲取和識別，進行監(jiān)視和測量。.2管理體系運行過程的檢查職能業(yè)務部門要每半年對管理管理體系的目標及管理體系運行情況進行監(jiān)視和測量。以上的監(jiān)視和測量由檢查部門填寫《信息安全法律法規(guī)符合性評估報告》。戶信息安全滿意程度的監(jiān)視和測量戶信息安全滿意程度信息的收集與傳遞a.客戶信息安全滿意程度信息包括滿意信息和不滿意信息，客戶滿意程度信息的收集采取書面形式。b.客服人員與客戶進行溝通，收集來自客戶的對信息安全保密滿意程度信息，并在內部進行傳遞，作為方針、目標、管理評審的依據。c.對客戶投訴的問題和回訪中發(fā)現的問題，由項目及流程管理部行政人力部指定問題項目負責人組織有關人員對問題進行復查，與客戶共同分析原因，按照《事態(tài)、事件薄弱點與故障管理程序》、《糾正預防措施控制程序》及時做出處理。據收集當本公司■技術中心與其他公司技術中心或某個人（包括內部與外部人員）發(fā)生法律糾紛時，涉及法律糾紛的部門應立即書面報告總經理，由項目及流程管理部存政人力部、法律顧問會同該部門進行證據收集，準備實施法律訴訟；證據收集應符合以下要求：a.所呈證據應符合國家有關的證據法規(guī)；b.符合用于提供可接受證據的任何已發(fā)布的標準或法規(guī)；C.對已收集到的證據進行安全的保管，防止未經授權的更改或破壞；d.收集到的證據符合法庭所要求的形式。制目標的符合性主要通過實施定期評估的方法來實現,頻次與法律法規(guī)符合性評價相同，具體方法如下：a）歷史統計模式：雖然完成了某些控制措施，但看不到控制措施被采用的證據，而只能看到現在管理的狀態(tài)，經過統計現在狀態(tài)的績效與原有績效的比較，可以推導出是否達到了控制目標的要求和是否按照要求才去了措施。b）文本審閱模式：文本審閱法是通過翻閱控制措施要求的相關的文件、檔案來了解控制措施過程，獲得書證。c）實地觀察模式：通過實地查看某些控制措施的實施過程，核對策劃的實施程序，判斷完成現有目標的績效，獲得過程物證。總之，要用“嘴”問，要用耳”聽。要用“腦”判斷與分析。得出一個客觀的評價結果，記錄在《信息安全法律法規(guī)符合性評估報告》。5.4項目及流程管理部行政人分部每年要針對本公司■技術中心與信息安全保密法律法規(guī)遵循情況編寫全公司-技術中心法律法規(guī)符合性評估報告,對于不符合的情況，責任部門應實施糾正措施并實施。6法律法規(guī)符合性的監(jiān)視測量執(zhí)行《法律法規(guī)及相關要求管理程序》.相關文