ISMS-监视和测量管理程序.docx

监视和测量管理程序1目的通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析，为策划、实施、持续改进信息安全与服务管理体系提供依据。2范围本程序适用于对本公司区域内所有业务职能部门的安全特性控制、绩效及管理体系运行的监视和测量。3职责3. 3.1管理者代表4. 1.l负责掌握信息安全与服务管理体系的总体运行情况，并向总经理汇报，对总经理负责。4.1. 2负责每年至少一次组织对本公司职能部门目标、指标的完成情况进行考核。3.2运营管理部3.2.1负责本程序的编制、修订和监督实施。3.2.2负责定期对各职能业务部门进行监视和测量，对各职能业务部门的监视和测量执行情况进行监督、检查和指导，为纠正和预防提供信息。3.2.31负责收集项目交付后的顾客满意程度信息，并进行汇总、分析和传递。3. 3运维服务部3.3. 1负责收集项目运维过程的顾客满意程度信息，并进行汇总、分析和传递。4工作程序4.1监视和测量的范围及依据4.1.1 根据本公司业务范围内信息资产的控制范围，确定监视和测量范围。4. 1.2测量的范围一般包括：a）控制措施的实现过程；b）关键特性；控制措施实现目标程度；适用法律、法规的符合性；业务持续性控制措施；事故、事件和其它不良的绩效；c）不可接受风险计划中确定的措施；cl）顾客信息安全的满意程度。4. 1.3监视和测量的依据是法律法规、技术标准、顾客合同、适用性声明、管理手册、程序文件等。4.3. 监视和测量的要求应按照国家及地方技术规范规定和顾客要求的检验和试验项目、标准、方法进行监视和测量。4.4. 监视和测量的实施4.3.1本公司运营管理部根据各职能部门确立的监视和测量范围，确定监视和测量的依据、项目、关键特性、频次、使用的仪器设备等。4.3.2监视和测量可选择的方法a.对控制过程进行日常检查；b.信息安全措施状况的抽查；c.设备装置的检查；d.作业环境的监视；e.记录检查。4.3.3控制过程的监视和测量a.运营管理部负责组织控制措施实施过程的监视和测量。b.信息处理设备进场/入库前必须按照采购计划，对物资设备的数量、规格、信息安全要求进行验证，审核产品证明文件的符合性。验证方法应符合信息处理设施管理程序，并保留相应的原始记录。c.使用前必须经过复验、检验的物资，按相应的标准、规范进行复验。d.未经监视和测量的信息处理硬件软件或劳务不得投入使用，对验证不合格的，按照技术薄弱点管理程序执行。e.因工作急需，未经检验和试验放行（硬件、软件）或转序（劳务），必须具备放行和转序后一旦发现问题能够追回的条件。f.紧急放行或例外转序后，应及时进行检验和测试，发现问题及时追回或处理。g.为控制措施目标所需的主动监视和测量，以巡检、设施监控、统计分析等适用的方法进行。4.3.4本公司不可接受风险处置计划关键特性和绩效的监视和测量，由运营管理部按照计划策划的时间间隔，对特性的效果与网管协商测试方法，执行本程序。对不易测评绩效的关键特性，采用观察现场表现的监视和测量方式。有必要时，可委托有资格的外部检测机构实施。对事故、事件和其他不良绩效的测量，由运营管理部组织，事发单位协同，利用统计报告并结合技术薄弱点管理程序进行分析和改进。4.3.5管理体系运行过程的监视和测量4.3.5.1管理体系运行要遵守法律、法规的要求。市场支持部要对本公司各职能部门适用的法律、法规、标准、规范的获取和识别，进行监视和测量。4.3.5.2管理体系运行过程的检查职能业务部门要每年至少一次对管理管理体系的目标、指标及管理体系运行情况进行监视和测量。4.3.5.3以上的监视和测量由检查部门填写信息安全法律法规符合性评估报告。4.3.6顾客满意程度的监视和测量4.3.6.1顾客满意程度信息的收集与传递a.顾客满意程度信息包括满意信息和不满意信息，顾客满意程度信息的收集最好采取书面问卷形式，特殊情况下也可采用口头方式。b.运营管理部协助总经理与顾客进行沟通，收集招投标阶段、项目实施阶段、交付使用后服务阶段来自顾客的对信息安全满意程度信息，并在内部进行传递,作为方针、目标、管理评审的依据。c.对顾客投诉的问题和回访中发现的问题，由软件部指定问题项目负责人组织有关人员对问题进行复查，与顾客共同分析原因，按照技术薄弱点管理程序、纠正措施管理程序、预防措施管理程序及时做出处理。4.3.7证据收集当本公司与其他公司或某个人（包括内部与外部人员）发生法律纠纷时，涉及法律纠纷的部门应立即书面报告运营管理部，由运营管理部会同该部门进行证据收集，准备实施法律诉讼；证据收集应符合以下要求：a.所呈证据应符合国家有关的证据法规；b.符合用于提供可接受证据的任何已发布的标准或法规；c.对已收集到的证据进行安全的保管，防止未经授权的更改或破坏；d.收集到的证据符合法庭所要求的形式。4.3.8控制目标的符合性主要通过实施定期评估的方法来实现，频次与法律法规符合性评价相同，具体方法如下：a）历史统计模式：虽然完成了某些控制措施，但看不到控制措施被采用的证据，而只能看到现在管理的状态，经过统计现在状态的绩效与原有绩效的比较，可以推导出是否达到了控制目标的要求和是否按照要求才去了措施。b）文本审阅模式：文本审阅法是通过翻阅控制措施要求的相关的文件、档案来了解控制措施过程，获得书证。c）实地观察模式：通过实地查看某些控制措施的实施过程，核对策划的实施程序，判断完成现有目标的绩效，获得过程物证。