信息安全 个人信息安全管理体系 第8部分:过程管理指南.doc
完整版ISO27001信息安全管理手册
信息安全管理手册iso27001信息安全管理手册V1.0 版本号:信息安全管理手册iso27001录目1 ................................................................ 颁布令 012 ...................................................... 管理者代表授权书 023 ............................................................. 企业概况 033 .................................................. 信息安全管理方针目标 046 ............................................................ 手册的管理057 ......................................................... 信息安全管理手册7 (1)范围7 ............................................................. 1.1 总则7 .............................................................1.2 应用8 (2)规范性引用文件8 ........................................................... 3 术语和定义.8 ........................................................... 3.1 本公司8 ......................................................... 3.2 信息系统8 ....................................................... 3.3 计算机病毒8 ..................................................... 信息安全事件3.48 ........................................................... 相关方3.59. ..................................................... 4 信息安全管理体系9 .............................................................4.1 概述9 ....................................... 4.2 建立和管理信息安全管理体系15 ........................................................ 4.3 文件要求18 ............................................................ 管理职责 .518 ........................................................ 管理承诺5.118 ........................................................ 资源管理5.219 ............................................. 6 内部信息安全管理体系审核19 ............................................................ 6.1 总则19 ........................................................ 内审策划6.219 ........................................................ 6.3 内审实施21 ............................................................ .管理评审7iso27001信息安全管理手册7.1 总则 ............................................................217.2 评审输入 ........................................................217.3 评审输出 ........................................................217.4 评审程序 ........................................................228 信息安全管理体系改进 (23)8.1 持续改进 ........................................................238.2 纠正措施 ........................................................238.3 预防措施 ........................................................23iso27001信息安全管理手册01 颁布令为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司信息安全管理体系要求》-GB/T22080-2008idtISO27001:2005《信息技术-安全技术开展贯彻国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理。
ISO27001-2013信息安全管理手册(GBT 22080-2016)
XXXX有限公司信息安全管理手册ISO27001:2013 编制:审核:批准:信息安全管理手册目录1. 概述 (4)1.1 目的 (4)1.2 适用范围 (4)1.3 颁布令 (4)1.4 授权书 (5)2. 依据文件和术语 (6)2.1 依据文件 (6)2.2 术语定义 (6)3. 裁剪说明 (7)4. 组织环境 (8)4.1 组织环境描述 (8)4.2 信息安全相关方的需求和期望 (11)4.3 信息安全管理体系范围的确定 (11)4.4 体系概述 (12)5. 领导力 (14)5.1 领导力和承诺 (14)5.2 信息安全方针和目标 (14)5.3 组织角色、职责和权限 (15)6. 策划 (17)6.1 风险评估和处置.............................. 错误!未定义书签。
6.2 目标实现过程 (18)7. 支持 (20)7.1 资源提供 (20)7.2 能力管理 (20)7.3 意识培训 (20)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (21)8. 运行 (24)8.1 体系策划与运行 (24)8.2 风险评估 (24)8.3 风险处置 (24)9. 绩效评价 (26)9.1 监视、测量、分析和评价...................... 错误!未定义书签。
9.2 内部审核 (27)9.3 管理评审 (28)10. 改进........................................ 3010.1 不符合和纠正措施 2810.2 持续改进 (28)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (35)A.8资产管理 (35)A.9访问控制 (35)A.10密码控制 (36)A.11物理和环境安全 (36)A.12操作安全 (36)A.13通信安全 (37)A.14系统获取、开发和维护 (37)A.15供应商关系 (38)A.16信息安全事故 (38)A.17业务连续性管理的信息安全方面 (38)A.18符合性 (38)附件一:信息安全组织架构映射表 (40)附件二:信息安全职责分配表 (40)1.概述为提高服务质量,规范管理活动,保障系统安全运行,提升人员安全意识水平,XXXXXX软件有限公司(以下简称“公司”)依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求,结合自身业务系统实际运行安全需求,已建立实施了一套科学有效的信息安全管理体系,并通过体系的有效运行,实现持续改进,达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。
信息安全服务管理规范
信息安全服务管理规范信息安全服务管理规范(ISMS)是指在组织内建立和实施一套持续不断的信息安全管理机制、流程和方法,旨在确保组织能够对信息资产进行全面的管理和保护。
该规范可以涵盖从信息安全政策制定到信息安全事件响应的全过程,为组织提供一种科学、规范的管理方式,以确保信息安全工作的有效实施。
一、规范制定与实施1.组织应根据自身的信息安全需求制定并定期更新信息安全策略,以确保信息资产得到合理的保护。
2.组织应制定详细的信息安全管理流程、规程和方法,以确保信息安全管理工作的规范实施。
3.组织应确保信息安全管理流程、规程和方法能够与组织内部其他管理系统相衔接,形成一个完整的管理体系。
4.组织应指定信息安全管理人员,负责信息安全管理工作的日常运行和监督。
二、信息资产管理1.组织应对所有的信息资产进行全面的分类、识别和管理,并建立相应的信息资产清单。
2.组织应对信息资产进行风险评估,根据风险评估结果确定相应的信息安全控制措施。
3.组织应对信息资产进行定期的备份和恢复,以确保信息资产的完整性和可用性。
4.组织应对信息资产进行访问控制,建立适当的权限和访问控制机制,以防止未经授权的访问和使用。
三、人员管理1.组织应对所有员工进行信息安全教育和培训,提高员工的信息安全意识和技能。
2.组织应制定并实施人员离职时的信息安全处理程序,以确保离职员工不再具有对信息资产的未授权访问权限。
3.组织应建立信息安全意识培训的考核机制,对参与培训的员工进行考核,以确保培训效果的达到。
四、物理环境管理1.组织应确保信息系统和信息资产得到合理的物理保护,确保信息系统和信息资产的安全性和可用性。
2.组织应对机房、服务器及其他重要信息系统设备进行定期巡检和维护,确保设备的正常运行。
3.组织应确保机房和其他重要区域设有门禁和监控系统,以防止未经授权的人员进入,并对设备和区域进行实时监控。
五、安全事件管理1.组织应建立完善的安全事件管理流程,对信息安全事件进行及时的响应和处置。
ISMS手册-信息安全管理体系手册
信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。
本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT服务管理理念方针和服务目标。
为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。
是全体员工必须遵守的原则性规范。
体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。
本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。
为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。
直接向公司管理层报告。
全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。
管理者代表职责:a) 建立服务管理计划;b) 向组织传达满足服务管理目标和持续改进的重要性;e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。
(完整版)信息安全标准目录
军队通用计算机系统使用安全要求
GJB 1281-1991
指挥自动化计算机网络安全要求
GJB 2256-1994
军用计算机安全术语
GJB 2434-1995
军用软件测试与评估通用要求
GJB 2646—1996
军用计算机安全评估准则
GJB 2824-1997
军用数据安全要求
GJB 3180-1998
《计算机信息系统安全等级保护网络技术要求》
GA 391-2002
《计算机信息系统安全等级保护管理要求》
GJB/Z 78—1996
军用计算机网络实现与应用导则
GJB/Z 102-1997
软件可靠性和安全性设计准则
GJB 322A-1998
军用计算机通用规范
GJB 663-1989
军用通信设备及系统安全要求
ISO/IEC 14888-1:1998
38
GB/T 17903.1-1999
信息技术安全技术抗抵赖第1部分:概述
ISO/IEC 13888-1:1998
标准号
标准名称
对应国际标准号
39
GB/T 17903.2-1999
信息技术 安全技术 抗抵赖 第2部分:使用对称技术的机制
ISO/IEC 13888-2:1998
9
GB/T 9387.2-1995
信息处理系统开放系统互连基本参考模型 第2部分:安全体系结构
ISO 7498-2:1989
10
GB 9813-2000
微型计算机通用规范
11
GB/T 14805.5-1999
用于行政、商业和运输业电子数据交换的应用级语法规则第5部分:批式
信息安全管理体系ppt课件
ppt课件2.1
21
信息安全追求目标
❖ 确保业务连续性 ❖ 业务风险最小化
❖ 保护信息免受各种威 胁的损害
❖ 投资回报和商业机遇 最大化
获得信息安全方式
❖ 实施一组合适的控制 措施,包括策略、过 程、规程、组织结构 以及软件和硬件功能。
ppt课件2.2
22
风险评估主要对ISMS范围内的信息资产进行 鉴定和估价,然后对信息资产面对的各种威 胁和脆弱性进行评估,同时对已存在的或规 划的安全控制措施进行界定。
ppt课件.
1
信息安全管理 体系
知识体
信息安全管理 基本概念
信息安全 管理体系建设
知识域
信息安全管理的作用 风险管理的概念和作用 安全管理控制措施的概念和作用
过程方法与PDCA循环 建立、运行、评审与改进ISMS
知识子域
ppt课件.
2
知识子域: 信息安全管理的作用
› 理解信息安全“技管并重”原则的意义 › 理解成功实施信息安全管理工作的关键因素
ppt课件4.8
48
管理 技术 因素 因素
人的因素
在信息安全问题上,要综合考虑人员与管理、技术与产品、 流程与体系。信息安全管理体系是人员、管理与技术三者 的互动。
ppt课件2.6
26
1、信息安全管理的作用
服务器
防火墙能解决这样的问题吗?
Web服务器
内网主机
防火墙
防火墙
精心设计的网络
Internet
防御体系,因违
规外连形同虚设
ppt课件.
27
1、信息安全管理的作用
应
对
风
险
需
要
人
为
ISMS信息安全管理体系文件(全面)2完整篇.doc
ISMS信息安全管理体系文件(全面)4第2页2.2 术语和定义下列文件中的条款通过本《ISMS信息安全管理体系文件》的引用而成为本《ISMS信息安全管理体系文件》的条款。
凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本体系文件,然而,信息安全管理委员会应研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
ISO/IEC 27001,信息技术-安全技术-信息安全管理体系-概述和词汇2.3引用文件ISO/IEC 27001中的术语和定义适用于本手册。
本公司:上海海湃计算机科技有限公司信息系统:指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
信息安全事件:指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。
相关方:关注本公司信息安全或与本公司信息安全绩效有利益关系的组织个人。
主要为:政府、上级部门、供方、用户等。
2.3.1组织环境,理解组织及其环境本公司在系统开发、经营、服务和日常管理活动中,确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。
2.3.2 理解相关方的需求和期望组织应确定:1)与信息安全管理体系有关的相关方2)这些相关方与信息安全有关的要求。
2.3.3 确定信息安全管理体系的范围本公司应确定信息安全管理体系的边界和适用性,本公司信息安全管理体系的范围包括:1)本公司的认证范围为:防伪票据的设计、开发所涉及的相关人员、部门和场所的信息安全管理活动。
2)与所述信息系统有关的活动3)与所述信息系统有关的部门和所有员工;4)所述活动、系统及支持性系统包含的全部信息资产。
iso27018 个人可识别信息安全管理体系标准
iso27018 个人可识别信息安全管理体系标准ISO 27018 个人可识别信息安全管理体系标准引言在当今数字化时代,个人可识别信息的安全和保护变得越来越重要。
随着云计算和大数据技术的快速发展,个人信息的收集、存储和处理面临着越来越多的挑战和风险。
作为企业和组织,如何确保在运用个人信息的保障其安全性和隐私性,成为了一项迫切需要解决的问题。
ISO 27018 个人可识别信息安全管理体系标准就是为解决这一问题而设立的。
1. 什么是 ISO 27018 个人可识别信息安全管理体系标准?ISO 27018 是国际标准化组织(ISO)制定的关于个人可识别信息的安全管理体系标准。
该标准的制定旨在帮助云服务提供商和个人信息处理者在处理个人可识别信息时,遵守隐私保护和数据安全的最佳实践,以满足用户的合规性要求。
ISO 27018 标准于2014年首次发布,成为了一项全球通用的隐私和数据安全标准,得到了广泛的认可和应用。
2. ISO 27018 标准的内容和要求ISO 27018 标准主要包括了以下方面的内容和要求:2.1 数据控制和处理的透明度ISO 27018 要求云服务提供商和个人信息处理者应当对其数据控制和处理的行为进行透明度披露,包括数据的收集、存储、使用、共享、转移和删除等环节。
这一要求旨在确保用户能够清晰地了解其个人信息的去向和运用方式,增强信息控制的可见性和可追溯性。
2.2 数据安全和隐私保护的措施ISO 27018 要求云服务提供商和个人信息处理者应当采取一系列的数据安全和隐私保护措施,包括对个人信息进行加密、匿名化处理、访问控制、数据备份和恢复等技术和管理措施。
这一要求旨在确保个人信息在处理和传输过程中不受到非法访问、篡改和泄露等安全风险的威胁。
2.3 第三方风险管理和合规性要求ISO 27018 要求云服务提供商和个人信息处理者应当对其第三方合作伙伴的数据处理行为进行严格的风险管理和合规性审核,确保其合作伙伴能够遵守 ISO 27018 标准的要求和细则。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ICS35.020L70 DB21 辽宁省地方标准DB 21/ T 1628.8—XXXX信息安全个人信息安全管理体系第8部分:过程管理指南Information Security-Personal information security management systempart8: process management guidelines(报批稿)XXXX-XX-XX发布XXXX-XX-XX实施目次前言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 要求 (1)5 过程管理 (1)5.1 方法 (1)5.2 计划(P) (1)5.2.1 要求 (1)5.2.2 最高管理者 (2)5.2.3 目标和方针 (2)5.2.4 机制设计 (2)5.2.5 质量保证 (2)5.2.6 资源配置 (2)5.3 实施(D) (3)5.3.1 要求 (3)5.3.2 风险管理 (3)5.3.3 管理机制 (3)5.3.4 保护机制 (3)5.3.5 安全机制 (3)5.3.6 效果评估 (3)6 过程改进 (4)6.1 监控和内审(C) (4)6.1.1 要求 (4)6.1.2 跟踪、监控 (4)6.1.3 内审 (4)6.1.4 符合性 (4)6.2 完善和改进(A) (4)6.2.1 要求 (4)6.2.2 改进机制 (4)6.2.3 意见和反馈 (5)6.2.4 沟通和交流 (5)6.2.5 持续改进 (5)7 文档管理 (5)前言DB21/T1628分为8部分:——信息安全个人信息保护规范(信息安全个人信息安全管理体系第1部分:规范)——信息安全个人信息安全管理体系第2部分:实施指南——信息安全个人信息安全管理体系第3部分:个人信息数据库管理指南——信息安全个人信息安全管理体系第4部分:个人信息管理文档管理指南——信息安全个人信息安全管理体系第5部分:个人信息安全风险管理指南——信息安全个人信息安全管理体系第6部分:安全技术实施指南——信息安全个人信息安全管理体系第7部分:内审实施指南——信息安全个人信息安全管理体系第8部分:过程管理指南等。
本部分是DB21/T1628的第8部分。
本部分按照GB/T1.1—2009《标准化工作导则第1部分:标准的结构与编写》的规则制定。
本部分由大连市经济和信息化委员会提出。
本部分由辽宁省工业和信息化委员会归口。
本部分主要起草单位:大连软件行业协会、大连交通大学。
本部分主要起草人:郎庆斌、孙鹏、尹宏、丁宗安、董晶、杨万清、杨莉、郭玉梅、孙毅、王小庚。
本部分于二0一七年月首次发布。
信息安全个人信息安全管理体系第8部分:过程管理指南1 范围本标准为个人信息安全管理体系构建、实施、运行的过程管理提供指导和通用规则。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 19001/ISO 9001 质量管理体系要求GB/T 22080 信息技术安全技术信息安全管理体系要求GB/T 22081 信息技术安全技术信息安全管理实用规则DB21/T 1628.1 信息安全个人信息保护规范DB21/T 1628.2 信息安全个人信息安全管理体系第2部分:实施指南DB21/T 1628.4 信息安全个人信息安全管理体系第4部分:个人信息管理文档管理指南DB21/T 1628.5 信息安全个人信息安全管理体系第5部分:个人信息安全风险管理指南DB21/T 1628.6 信息安全个人信息安全管理体系第6部分:安全技术实施指南DB21/T 1628.7 信息安全个人信息安全管理体系第7部分:内审实施指南3 术语和定义GB/T 19001/ISO 9001、DB21/T 1628界定的术语和定义适用于本文件。
4 要求本指南遵循DB21/T 1628.1确立的个人信息管理原则和要求,亦遵循DB21/T 1628.2确立的实施细则,重点描述和指导PISMS过程管理的约束规则。
PISMS过程管理,应同时使用DB21/T 1628.1、DB21/T 1628.2和本指南,并参照DB21/T 1628系列其它标准。
5 过程管理5.1 方法应遵循DB21/T 1628.2 第5章描述的PISMS过程管理方法,采用PDCA模式管理、控制PISMS过程、活动和行为。
5.2 计划(P)5.2.1 要求遵循DB21/T 1628.2 5.2,应在这一阶段根据个人信息管理者的整体目标,确立个人信息管理目标和方针,实施个人信息管理计划,构建PISMS。
5.2.2 最高管理者遵循DB21/T 1628.2 10.5.1.2:a)最高管理者的认知,应是PISMS持续、稳定运行的关键;b)最高管理者的认知,应是PISMS实施并持续过程改进的决策者;c)最高管理者应提供资金、管理、资源等各个方面的切实支持;d)最高管理者应在适合的情况下理解、参与PISMS实施、运行,创造全员参与的环境;e)最高管理者应选择有能力、务实的个人信息管理者代表,并赋予相应权限等。
5.2.3 目标和方针应确立个人信息管理目标和管理方针:a)明确构建PISMS的方向和应实现的状态;b)宜将目标分解为PISMS相关的组织、计划和各项活动,实施目标管理;c)应明确个人信息管理方针和策略,确定简便易行的行动计划;d)应保证个人信息管理目标的实用性、可用性;e)应保证个人信息管理方针的易用性、可操作性和有效性等。
5.2.4 机制设计PISMS内各个相互关联的功能机制设计,应保证:a)约束个人信息管理者的日常管理、业务活动和员工与个人信息安全相关的行为;b)激励个人信息管理者的日常管理、业务活动和员工保证个人信息安全的行为;c)机制设计应合理、适宜,符合个人信息管理者的实际;d)机制设计应保证约束、激励的有效性等。
5.2.5 质量保证PISMS设计应包括相应的质量管理活动:a)质量目标:设定质量管理目标,保证PISMS的可靠性、有效性;b)质量控制:通过监控、跟踪等手段,监督PISMS构建、实施和运行,及时消除质量隐患;c)质量保证:提供保证PISMS符合个人信息安全相关法规、标准和安全承诺的保证措施;d)质量改进:为提高个人信息管理相关过程、活动的个人信息安全可信度所提供的提高PISM效能的措施等。
5.2.6 资源配置应保证实现个人信息安全所需相关资源,遵循DB21/T 1628.2:a)应识别PISMS所需相关资源;b)应识别这些资源的风险;c)应确定相关资源的范围;d)应根据PISM构建、实施、运行的需要,合理配置资源;e)应确定相关资源的范围、风险识别充分、适宜;f)应确定资源配置、利用的合理性、安全性等。
5.3 实施(D)5.3.1 要求遵循DB21/T 1628.2 5.2,应在这一阶段实施和运行PISMS,是保证PISMS各项机制有效运行,满足质量目标的过程保证。
5.3.2 风险管理风险管理的有效性,应是个人信息安全的关键。
应遵循DB21/T 1628.5:a)识别、分析、评估与个人信息安全相关的所有风险,包括资源、管理、业务、环境、行为等;b)采取适宜的风险应对措施,降低、规避或弱化风险,保证风险的可控、可接受;c)确定风险评估、风险应对措施是充分、适宜、有效的等。
5.3.3 管理机制管理机制的有效性,应是保证PISMS约束机制的关键:a)管理机制应包括PISMS的结构、功能、作用、约束规则、行为等;b)应在PISMS机制设计、建设中,遵循DB21/T 1628.1、DB21/T 1628.2及相关标准,采取适宜的质量保证措施;c)应确定管理机制所有功能适宜、可用、有效和易用。
5.3.4 保护机制保护机制的有效性,应是保证个人信息安全和个人信息主体权益的关键:a)个人信息的关联因素,主要包括:1)个人信息管理者内部的各种因素;2)个人信息管理者外部各种因素的作用和影响;3)个人信息管理者的各种环境制约等;b)应在个人信息全生命周期各个关键环节,如收集、处理、使用、利用等环节,依据DB21/T 1628.1及相关法规、标准,针对不同因素采取相应的管理、保护措施;c)应确定保护机制各项功能有效、可用、安全、可靠。
5.3.5 安全机制安全机制的有效性,应是保证PISMS安全、可靠运行的关键:a)应确定个人信息安全风险评估的结果;b)应分析、判断个人信息管理者的现状和需求、个人信息特征等;c)应依据GB/T 22080、GB/T 22081(等同采用ISO/IEC 27001、ISO/IEC 27002)、DB21/T 1628.1、DB21/T 1628.6等标准,对环境、物理、行为、技术、管理等的安全,采取相应的管理措施;d)应确定安全机制合理、有效、可用和安全。
5.3.6 效果评估应评估实施、运行阶段的效果,以保证PISMS的充分和有效。
评估主要应包括:a)最高管理者和管理者代表的认知、行为;b)风险管理效能评估;c)管理机制效能评估;d)保护机制效能评估;e)PISMS的相关活动、行为评估;f)安全机制效能评估等等。
6 过程改进6.1 监控和内审(C)6.1.1 要求依据DB21/T 1628.1 第12章、DB/T 1628.7 6.2.5,内审机构应全程监控、检查PISMS的构建、实施、运行过程。
监控和内审(C)应参与PDCA各个阶段的循环。
a)PISMS构建、实施、运行相应的管理、技术等充分、有效;b)PISMS构建、实施、运行相应的活动、行为规范;c)过程管理方法规范、科学、有效。
6.1.2 跟踪、监控应依据DB21/T 1628.1第12章、DB/T 1628.2第18章,跟踪、监控PISMS构建、实施、运行过程中安全风险变化。
a)已识别风险的变化:已识别风险可因条件、环境、影响、资源、管理等的变化发生变化,应采取相应的控制措施;b)潜在风险的发生:可能存在的潜在风险可在满足一定条件、环境或在激励下发生,应制定应急预案并采取相应的应对和控制措施;c)新的风险:管理、业务、资源、环境等的变化可引发新的风险,应及时识别、分析、评估,并采取相应的应对和控制措施。
6.1.3 内审应依据DB/T 1628.7,建立有效的内部审计监控机制。
应确定内审的合理性、有效性和充分性。
6.1.4 符合性应确定PISMS设计、构建与PISMS实施、运行的符合性、一致性:a)PISMS设计、构建与个人信息管理者的实际需求的符合性;b)PISMS设计、构建与个人信息管理者的管理、业务发展的一致性;c)PISMS设计、构建与个人信息管理者的员工权益的一致性;d)PISMS设计、构建与个人信息管理者管理、业务相关的个人信息主体的期望的一致性。