信息安全委员会组织管理程序 8页

‎ ‎ 信息安全委员会组织管理程序 文件类别：信息安全三阶文件 文件编号：SP002‎ 文件页数： 8 (含封面)‎ 发行日期： ‎ 发行版次： A1 ‎ 撰写部门： 文件与记录管制中心 ‎ ‎ ‎ 签 名 ／ 日 期 文 件 发 行 章 撰稿者 ‎ ‎ 审核者 ‎ ‎ 核准者 ‎ ‎ 发行管制编号 ‎ ‎ 文 件 名 称 版次 编 号 页 次 信息安全管理委员会组织与管理 A1‎ SP002‎ 8/8‎ 文件版本控制表 修 订 变更章次 变 更 摘 要 修订者 版次 日 期 章节 页次 ‎ ‎ 文 件 名 称 版次 编 号 页 次 信息安全管理委员会组织与管理 A1‎ SP002‎ 8/8‎ 目 录 1 前　言 4‎ 2 适用范围 4‎ 3 名词定义 4‎ 3.1 信息安全 4‎ 3.2 管理系统 4‎ 3.3 风险管理 5‎ 4 权责 5‎ 4.1 主席 5‎ 4.2 副主席 5‎ 4.3 执行秘书 5‎ 4.4 各部门主管 5‎ 4.5 内部稽核人员 6‎ 5 作业内容 6‎ 5.1 信息安全委员会的建立 6‎ 5.2 信息安全安全委员会的运行 6‎ 5.3 信息安全委员会的监控及审查 7‎ 6 相关文件 7‎ 7 附件 7‎ 8 补遗 8‎ 文 件 名 称 版次 编 号 页 次 信息安全管理委员会组织与管理 A1‎ SP002‎ 8/8‎ 1 前　言 信息安全管理委员会，是信息安全管理系统的一个重要组成部分。是根据『SM001-信息安全手册』或『SS001-信息安全标准』所建立的。信息安全委员会建立的目的是：在整体营运活动与所面临的风险下建立、实作、操作、监控、审查、维护与改进信息安全管理，并文件化信息安全管理系统，是风险控制在可接受范围内。‎ 2 适用范围 本文件适用于公司在建立、实作、运行、监控、审查、改善信息安全管理委员会的过程中，应该遵循的组织形式，权责的分配，考察及审核项目的选择和执行的过程，均要按照本程序所提的要求和规定来实行。‎ 3 名词定义 3.1 信息安全 保护信息的机密性、完整性与可用性；另外，也能涉及如鉴别性、可归责任性、不可归责任性、及可靠性等特点。‎ 3.2 管理系统 管理系统涵盖组织架构、政策、规划活动、责任、事务、程序、过程与资源。‎ 文 件 名 称 版次 编 号 页 次 信息安全管理委员会组织与管理 A1‎ SP002‎ 8/8‎ 1.1 风险管理 风险管理是指导与控制组织与风险有关的协调活动，包括：风险评鉴、风险处理、风险承受及风险沟通。‎ 2 权责 2.1 主席 主席为整个信息安全委员会的最高决策者。一般信息安全管理委员会由主席主持召开，重要的项目或文件必须由信息安全委员会讨论通过后，由主席签字批准后才能实行或发行。‎ 2.2 副主席 副主席为整个信息安全委员会的第二决策者。在主席未能参加信息安全管理委员会的情况下，由主席授权，代理主席主持信息安全管理委员会。并能在获得主席授权的情况下，代理主席签核通过部分委员会的决议。‎ 2.3 执行秘书 执行秘书在信息安全管理委员会上，书面记录整个会议过程和会议决议，在会后形成文件和电子文档加以保存，并要根据记录下来的会议决议追稽会议决议的完成情况。‎ 2.4 各部门主管 各部门主管在信息安全管理委员会上要根据各个部门的实际情况，提出需求和需要控管或改进的项目，以供信息安全管理委员会讨论。并在会后落实、实施有关本部门的会议决议，并尽量留下实施踪迹，以供追稽核和审核。‎ 文 件 名 称 版次 编 号 页 次 信息安全管理委员会组织与管理 A1‎ SP002‎ 8/8‎ 1.1 内部稽核人员 由内部稽核人员稽核事项的执行结果，并向信息安全管理委员会提交审核结果。‎ 2 作业内容 2.1 信息安全委员会的建立 l 制定本公司的信息安全管理委员会的组织架构，分为主席，副主席，执行秘书，各个部门的主管组成。‎ l 依据营运、组织、所在位置、资产、技术等特性，制订本公司的信息安全管理的目标和政策。‎ l 在有信息安全委员会成员离职后，需要通过委员会决议，选出一个适合其离职人员职位的人员，接任离职人员在委员会的职位。‎ l 定义风险评估的标准和评鉴的方法。‎ 2.2 信息安全委员会的运行 依据营运、组织、所在位置、资产、技术等特性，以及包括任何该范围所排除的细节和理由，来决定信息安全委员会的组织架构、政策、管理等内容。信息安全委员会的运行主要包括以下内容：‎ l 信息安全委员会会议每半年至少执行一次。执行秘书提前一周安排好会议议题，并做好会议通知，安排一个合适的开会时间、开会地点。信息安全管理会议应由主席参加并主持或者主席授权代理人参加并主持会议。其它委员必须参加会议，如不能参加，必须授权其代理人参加并做好详细会议记录，以便会后把记录交给授权于他的委员执行会议决议。（备注：主席的代理人一般为副主席，其它委员的代理人应该为熟悉其委员所在部门业务的相关人员）‎ l 会议前，由执行秘书负责让每个信息安全管理委员会的参加人员填写『SF057-会议签到表』，代理人填写代理人名字。‎ 文 件 名 称 版次 编 号 页 次 信息安全管理委员会组织与管理 A1‎ SP002‎ 8/8‎ l 会议内容由执行秘书以书面的形式记录下来，并形成『SF058-会议记录表』保存。‎ l 委员会会议的决议，由会议指定的负责人亲自执行或者负责分配人员执行。‎ 1.1 信息安全委员会的监控及审查 为了对信息安全管理委员会及其决议的监控和审查，公司成立内部稽核小组。内部稽核小组的运作主要包括以下内容：‎ l 稽核小组根据管理审查的议题和决议，对整个信息安全管理系统的稽核至少每半年执行一次。‎ l 稽核小组稽核信息安全管理委员会的决议及其执行的过程是否符合信息安全标准及相关法律、法规或管理的要求，是否符合相应的资讯安全文件的要求。同时还要稽核决议是否有效的执行，并且执行结果是否符合预期的结果。‎ l 稽核小组根据稽核的结果填写『SF001-矫正/预防需求单』，交给信息安全管理委员会执行秘书，则执行秘书可以根据稽核的结果确立信息安全委员会的议题。‎ 2 相关文件 l ‎『SM001-信息安全手册』‎ l ‎『SS001-信息安全标准』‎ l ‎『SS002-信息安全内部审查标准』‎ l ‎『SP003-纠正与预防措施管理程序』‎ 3 附件 l ‎『SF001-矫正预防需求单』‎ l ‎『SF057-会议签到表』‎ l ‎『SF058-会议记录表』‎ 文 件 名 称 版次 编 号 页 次 信息安全管理委员会组织与管理 A1‎ SP002‎ 8/8‎ 1 补遗 本程序如有不足之处，由信息安全委员会裁决修正后实施。‎ 文 件 名 称 版次 编 号 页 次 信息安全管理委员会组织与管理 A1‎ SP002‎ 8/8‎