【正文】 息安全體系 的運行進行管理； g) 對信息安全所需資源進行管理； h) 實施控制程序，對信息安全事故（或征兆）進行訊速反應(yīng)。具體職責是：研究決定信息安全工作涉及到的重大事項；審定公司信息安全方針、目標、工作計劃和重要文件；為信息安全工作的有序推進和信息安全管理體系的有效運行提供必要的資源。 本公司采取相關(guān)部門代表組成的協(xié)調(diào)會的方式，進行信息安全協(xié)調(diào)和協(xié)作，以： a) 確保安全活動的執(zhí)行符合信息安全方針； b) 確定怎樣處理不符合； c) 批準信息安全的方法和過程，如風險評估、信息分類； 惠州培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) d) 識別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對威脅的暴露； e) 評估信息安全控制措施實施的充分性和協(xié)調(diào)性； f) 有效的推動組織內(nèi)信息安全教育、培訓(xùn)和意識； g) 評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安全事件推薦適當?shù)拇胧??？偨?jīng)理指定信息安全管理者代表 ,無論信息安全管理者代表其他方面的職責如何，對信息安全負有以下職責： a) 建立并實施信息安全管理體系必要的程序并維持其有效運行； b) 對信息安全管理體系的運行情況和必要的改善措施向信息安全管理小組或最高責任者報告。 各部門、人員有關(guān)信息安全職責分配見附錄 3（規(guī)范性附錄）《職責權(quán)限》和相應(yīng)的程序文件（管理標準）、規(guī)定及崗位說明書。 監(jiān)督與評審信息安全管理體系 活動 本公司通過實施不定期安全檢查、內(nèi)部審核、事故報告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)： a) 及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全管理體系的事故和隱患； b) 及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊； c) 使管理者確認人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果； 惠州培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) d) 使管理者 掌握信息安全活動和解決安全破壞所采取的措施是否有效； e) 積累信息安全方面的經(jīng)驗。管理評審的具體要求，見本手冊第 7章。同時，信息安全管理小組應(yīng)定期的進行 信息安全檢查和信息安全技術(shù)監(jiān)督，通過對安全措施的實施檢查和信息安全技術(shù)監(jiān)督，保證安全措施得到滿足。 惠州培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 內(nèi)部審核 按照計劃的時間間隔進行信息安全管理體系 內(nèi)部審核，內(nèi)部審核的具體要求，見本手冊第 6章。 記錄 記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全的要求等； d) 對信息安全目標及分解進行適當?shù)墓芾?，確保改進達到預(yù)期的效果。 文件控制 要求 信息安全管理小組按《文件控制程序》的要求，對信息安全管理體系所要求的文件進行管理。 文件控制 文件控制應(yīng)保證： a) 文件發(fā)布前得到批準，以確保文件是充分的； b) 必要時對文件進行評審、更新并再次批準； c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別； d) 確保在使用時，可獲得相關(guān)文件的最新版本； e) 確保文件保持清晰、易于識別； f) 確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進行轉(zhuǎn)移、存儲和最終的銷毀； g) 確保外來文件得到識別； h) 確保文件的分發(fā)得到控制； i) 防止作廢文件的非預(yù)期使用； j) 若因任何目的需保留作廢文件時，應(yīng)對其進行適當?shù)臉俗R。 記錄控制 要求 信息安全管理體系所要求的記錄是信息安全管理體系符合標準要求和有效運行的證據(jù)。 記錄 信息安全管理的記錄應(yīng)包括本手冊第 理體系相關(guān)的安全事故的記錄。 形式 信息安全管理記錄可以是表、單、卡、臺帳、記錄本、報告、紀要、證、圖等多種適用 惠州培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 的形式，可以是書面的 或電子媒體的。 5 管理職責 管理承諾 我公司管理者通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系的承諾提供證據(jù)： a) 建立信息安全方針； b) 確保信息安全目標和計劃得以制定（見《信息安全適用性聲明 SoA》、《風險處理計劃》及相關(guān)記錄）； c) 建立信息安全的角色和職責 (見本手冊附錄 3（規(guī)范性附錄）《職責權(quán)限》和相應(yīng)的管理程序； d) 向組織傳達滿足信息安全目標、符合信息安全方針 、履行法律責任和持續(xù)改進的重要性； e) 提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進信息安全管理體系 (見本手冊第 )； f) 決定接受風險的準則和風險的可接受等級 (見《信息安全風險管理程序》及相關(guān)記錄 )； g) 確保內(nèi)部信息安全管理體系審核（見本手冊第 6章）得以實施； h) 實施信息安全管理體系管理評審（見本手冊第 7章）。 培訓(xùn)、意識和能力 信息安全管理小組制定并實施《員工培訓(xùn)管理程序》文件，確保被分配信息安全管理體系規(guī)定職責的所有人員，都必須有能力執(zhí)行所要求的任務(wù)。 本公司還確保所有相關(guān)人員意識到其所從事的信息安全活動的相關(guān)性和重要性，以及如何為實現(xiàn)信息安全管理體系目標做出貢獻。 惠州培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 活動 本公司每年進行一次信息安全管理體系內(nèi)部審核，以確定其信息安全管理體系的控制目標、控制措施、過程和程序是否： a) 符合 本標準的要求和相關(guān)法律法規(guī)的要求； b) 符合已識別的信息安全要求； c) 得到有效地實施和維護； d) 按預(yù)期執(zhí)行。應(yīng)編制《年度內(nèi)審計劃》，確定審核的準則、范圍、頻次和方法。審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。 《內(nèi)部審核計劃》，經(jīng)信息安全管理者代表批準，提前 3天通知被審核部門，被 審核部門到時應(yīng)選派有關(guān)人員配合審核。 內(nèi)部審核員應(yīng)來自于不同的部門，審核人員應(yīng)與被審活動無直接責任，以保持工作的獨立性。 惠州培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 內(nèi)審實施 活動 應(yīng)按審核計劃的要求實施審核，包括： a) 進行首次會議，明確審核的目的和范圍，采用的方法和程序； b) 實施現(xiàn)場審核，檢查 相關(guān)文件、記錄和憑證，與相關(guān)人員進行交流，填寫審核發(fā)現(xiàn)； c) 對檢查內(nèi)容進行分析，對審核發(fā)現(xiàn)的問題在《不符合項報告及糾正報告單》中開出不符合項； d) 審核組長編制《內(nèi)部審核報告》。 記錄 內(nèi)部審核記錄由信息安全管理小組保存，并作為管理評審的輸入之一。 管理評審應(yīng)包括評價信息安全管理體系改進的機會和變更的需要，包括信息安全方針和信息安全目標。 惠州培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 評審輸入 管理評審的輸入要包括以下信息： a) 信息安全管理體系審核和評審的結(jié)果； b) 相關(guān)方的反饋； c) 用于改進信息安全管理體系業(yè)績和有效性的技術(shù)、產(chǎn)品或程序； d) 預(yù)防和糾正措施的狀況； e) 以往風險評估沒有充分強調(diào)的脆弱性或威脅； f) 有效性測量的結(jié)果； g) 以往管理評審的跟蹤措施；