【導(dǎo)讀】膈艿蚇螅芀蒄薃螄羀芇葿螃肂蒃蒞袂膄芅蚄袁襖蒁薀袁肆芄薆袀腿蕿蒂衿芁莂螁袈羈膅蚇袇肅莀薃袆膅膃葿羅裊莈蒞羅羇膁蚃羄膀莇蠆羃節(jié)芀薅蒅蒁羈肄羋螀羀膆蒃蚆肀羋芆薂聿羈蒂蒈蚅肀芄莄蚄芃蒀螂蚃莃蚈蚃肅薈薄螞膇莁蒀蟻艿膄蝿蝕罿荿蚅蝿肁膂薁螈膄莈蕆螇袃膀蒃螇肆蒆螁螆膈艿蚇螅芀蒄薃螄羀芇葿螃肂蒃蒞袂膄芅蚄袁襖蒁薀袁肆芄薆袀腿蕿蒂衿芁莂螁袈羈膅蚇袇肅莀薃袆膅膃葿羅裊莈蒞羅羇膁蚃羄膀莇蠆羃節(jié)芀薅蒅蒁羈肄羋螀羀膆蒃蚆肀羋芆薂聿羈蒂蒈蚅肀芄莄蚄芃蒀螂蚃莃蚈蚃肅薈薄螞膇莁蒀蟻艿膄蝿蝕罿荿蚅蝿肁膂薁螈膄莈蕆螇袃膀蒃螇肆蒆螁螆膈艿蚇螅芀蒄薃螄羀芇葿螃肂蒃蒞袂膄芅蚄袁襖蒁薀袁肆芄薆袀腿蕿蒂衿芁莂螁袈羈膅蚇袇肅莀薃袆膅膃葿羅裊莈蒞羅羇膁蚃羄膀莇蠆羃節(jié)芀薅蒅蒁羈肄羋螀羀膆蒃蚆肀羋芆薂聿羈蒂蒈蚅肀芄莄蚄芃蒀螂蚃莃蚈蚃肅薈薄螞膇莁蒀蟻艿膄蝿蝕罿荿蚅蝿肁膂薁螈膄莈蕆螇袃膀蒃螇肆蒆螁螆膈艿蚇螅芀蒄薃螄羀芇葿螃肂蒃蒞袂膄芅蚄袁襖蒁薀袁肆

　　

【正文】 保持，以提供符合 ISMS 要求和有效運行的證據(jù)） 阜新 銀行 信息科技部 也要確保所有相關(guān)人員意識到其信息安全活動的適當(dāng)性和重要性，以及如何達為到 ISMS 目標(biāo)做出貢獻。 ISMS 審核 阜新 銀行 信息科技部 應(yīng)按照計劃的時間間隔 進行內(nèi)部審核， 管理者代表負責(zé)制 定內(nèi)審計劃 并組織實施，以判定 ISMS 規(guī)定的安全目標(biāo)、控制措施、過程和程序是否： a) 符合 ISO/IEC27001:2020 標(biāo)準(zhǔn)和有關(guān)法律法規(guī)要求； b) 符合已識別的信息安全要求； c) 有效實施和保持； d) 完成預(yù)期的目標(biāo)。 內(nèi)部審核程序 信息安全管理者代表制定信息安全管理體系年度審核計劃，該計劃應(yīng)覆蓋整個 ISMS 體系并得到信息安全管理體系 最高管理者 的批準(zhǔn)（ 阜新 銀行 信息科技部 總經(jīng)理） 內(nèi)部審核以本手冊、 相應(yīng)的規(guī)程、作業(yè)指導(dǎo)書為基準(zhǔn)。選定的內(nèi)審員應(yīng)是了解行內(nèi)業(yè)務(wù)流程、熟悉安全體系標(biāo)準(zhǔn)并經(jīng)過培訓(xùn) 取 得信息安全內(nèi)審員資格的本部員工。內(nèi)審員資格需取得信息安全管理者代表的批準(zhǔn)。 進行內(nèi)審時，管理者代表要有計劃的進行以下的事項： a) 審核員的選定和教育及培訓(xùn)； b) 制定審核計劃，指定審核員（審核員應(yīng)與被審核對象無直接責(zé)任關(guān)系）； c) 準(zhǔn)備必要的相關(guān)文件。 審核中發(fā)現(xiàn)的不符合事項，要向責(zé)任 區(qū)域負責(zé)人 報告，由責(zé)任 區(qū)域負責(zé)人明確糾正措施的實施計劃。 要對該糾正措施的實施計劃，進行適宜的跟蹤，確認是否有效實施。 以上的工作完成后，須經(jīng)管理者 代表確認后，審核 流程方可 關(guān)閉 。 如果發(fā)現(xiàn)信息安全重大不符合或征兆時，或者管理者代表判斷必要時，可信息安全管理體系文件 ISMS01A 調(diào)整年度審核計劃 。 對審核的結(jié)果進行適當(dāng)?shù)膮R總整理，作為管理評審的輸入材料。 內(nèi)部審核需保留以下記錄 a) 被審核對象范圍 b) 審核日期 c) 審核員 d) 被審核方 e) 依據(jù)的文件 f) 具體審核事項及其審查結(jié)果 g) 不符合內(nèi)容和程度（嚴(yán)重或輕微及觀察事項） h) 不符合事項的糾正措施和實施期限 i) 糾正措施的實施狀況及其效果，其他必要事項、審核結(jié)束的確鑿證據(jù) 以上程序詳見 《內(nèi)部審核控制程序》 7 ISMS 管理評審 總則 信息安 全 最高管理者 為確認信息安全管理體系的適宜性、充分性 和有效性，每 半 年對信息安全管理體系進行一次評審。該管理評審應(yīng)包括對信息安全管理體系是否需改進或變更的評價。管理評審的結(jié)果應(yīng)形成書面記錄，該記錄按 的要求進行保存。 管理評審的輸入 在管理評審時，管理者代表應(yīng)組織相關(guān)人員提供以下資料，供 最高管理者 和信息安全委員會進行評審： a) ISMS 體系內(nèi)、外部審核的結(jié)果； 信息安全管理體系文件 ISMS01A b) 相關(guān)方的反饋（投訴、抱怨、建議）； c) 可以用來改進 ISMS 業(yè)績和有效性的新技術(shù)、產(chǎn)品或程序； d) 信息安全目標(biāo)達成情況，糾正和預(yù)防措施的實 施情況； e) 信息安全事故或征兆，以往風(fēng)險評估時未充分考慮到的薄弱點或威脅； f) 上次管理評審時決定事項的實施情況； g) 可能影響信息安全管理體系變更的事項（標(biāo)準(zhǔn)、法律法規(guī)、相關(guān)方要求）； h) 對信息安全管理體系改善的建議。 管理評審的輸出 信息安全管理 最高管理者 對以下事項做出必要的指示： a) 信息安全管理體系有效性的改善事項； b) 信息安全方針適宜性評價； c) 必要時，對影響信息安全的控制流程進行變更，以應(yīng)對包括以下變化的內(nèi)外部事件對信息安全體系的影響： ①
業(yè)務(wù)發(fā)展要求； ②
信息安全要求； ③
業(yè)務(wù)流程； ④
法律法規(guī)要求； ⑤
風(fēng)險 準(zhǔn)則 /可接受風(fēng)險準(zhǔn)則。 d) 對資源的需求 。 以上內(nèi)容詳見《管理評審控制程序》 8 ISMS 持續(xù)改進 持續(xù)改進 信息科技部 通過制定信息安全方針、安全目標(biāo)、實施內(nèi)外部審核、糾正和預(yù)防措施以及管理評審等活動，持續(xù)改善信息安全體系的有效性。 信息安全管理體系文件 ISMS01A 糾正措施 發(fā)生不符合事項的責(zé)任 區(qū)域負責(zé)人 在查明原因的基礎(chǔ)上制定并 實施相應(yīng)的糾正措施，以消除不符合和原因，防止不符合事項再次發(fā)生。 糾正措施的要求在《糾正措施控制程序》和其他控制、檢查程序中明確的規(guī)定。這些規(guī)定應(yīng)包括以下內(nèi)容： a) 識 別不符合 ISMS 的事項（指明不符合事項的判斷依據(jù)）； b) 調(diào)查不符合產(chǎn)生的原因； c) 確定并實施糾正措施； d) 評價糾正措施的有效性； e) 留下記錄，作為管理評審輸入數(shù)據(jù)。 預(yù)防措施 信息科技部 應(yīng)定期（每半年一次）組織有關(guān)人員分析信息安全方面的相關(guān)信息，如內(nèi)外審核報告、監(jiān)視記錄、相關(guān)方安全專家的建議、新反病毒技術(shù)等，以確定信息安全預(yù)防措施，消除不符合的潛在原因。預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。 預(yù)防措施的要求在 《預(yù)防措施控制程序》中作詳細規(guī)定。該程序包括了以下方面的要求： a)識別潛 在不符合事項及其原因； b)確定并實施所需采取的預(yù)防措施； c)記錄所采取措施的結(jié)果； d)評價所采取預(yù)防措施的有效性。 e)識別已變更的風(fēng)險并確保對潛在的重大風(fēng)險給予足夠的關(guān)注。 f)應(yīng)基于風(fēng)險評估的結(jié)果，確定預(yù)防措施的優(yōu)先級別。 信息科技部 應(yīng)對預(yù)防措施的實施加以控制，以保證預(yù)防措施的有效性。 每次管理評審前， 信息科技部 應(yīng)對上次管理評審后所實施的所有預(yù)防措施進行匯集整理，以提交管理評審。 蚄聿芃莃蚃蝿肆艿螞袁節(jié)蚇螞肄肅薃