ISMS:9.1监视、测量、分析和评价
评价信息安全绩效和ISMS有效性
组织应评价信息安全绩效和ISMS有效性。
组织应确定:
A) 什么需要监视和测量,包括信息安全过程和控制措施;
B) 监视、测量、分析和评价的方法,适用时,确保结果有效;
C) 什么时候应执行监视和测量;
D) 谁应实施监视和测量;
E) 监视和测量结果分析和评价的时机;
F) 谁应分析和评价这些结果。
组织应保留适当的文件记录信息作为监视和测量结果的证据。 《有效性测量控制程序》
每年制定测量计划,查《信息安全目标及测量计划》每年年测量一次。
公司信息安全目标:
1)重要信息泄露为0次/年
2)移动介质遗失小于1次/年;
3)信息安全事件发生小于或等于2次/年。
公司建立《信息安全目标测量控制程序》,明确管理和测量信息安全目标的职责,明确测量的内容和频率要求,并对测量的结果进行评价,识别改进的机会。
查本年《信息安全目标测量控制程序》,每年度测量目标,总体公司信息安全目标达成。 符合
ISMS:9.2内部审核
内部审核
组织应按照计划的时间间隔进行内部审核,以提供信息确定信息安全是否:
A) 符合
1) 组织自身信息安全的要求;
2) 标准要求;
B) 得到有效的实施和保持。
组织应:
C)策划、建立、实施和保持审核方案,包括频次、方法、职责、计划要求和报告。审核方案应考虑所关注过程的重要性以及以往审核的结果;
D) 为每次审核定义审核准则和审核范围;
E) 审核员的选择和审核的实施应确保审核过程的客观性和公正性;
F) 确保审核结果报告给相关的管理者;
G) 保留文件记录信息作为审核方案和审核的证据。 《内部审核管理程序》
查《内审计划》,每年1次内审。
查《内部审核计划》
覆盖所有部门和条款。
查 等人,接受了ISO27001:2013内部审核培训,具备内审能力。
查内审检查汇总表,各审核部门审核条款齐全。
查《内部审核报告》 符合
