ISO27001信息安全管理体系相关方需求和期望分析表
- 格式:docx
- 大小:15.27 KB
- 文档页数:5
下载文档原格式
合集下载
ISO27001 XX-ISMS-OP-02-001 相关方的需求和期望(信息安全方面)一览表
在合同或者合作协议中中列出保密条款。
3
税务局、财务审计方
对涉及到的财务审计报告及财务报表等机密信息予以保密。
相关法律、法规。
4
政府部门
对接触到的知识产权予以保护,详见《信息安全有关法规符合性评价》。
相关法律、法规。
5
电话、网络、云服务提供方
对电话服务、网络服务的提供方信息予以保密
1.签订保密协议。
6
相关方的需求和期望(信息安全方面)一览表
序号
相关方
信息安全要求
应对措施
1
第二、三方审查机构
1.对前期业绩合同金额予以保密。
2.对审查过程中涉及的审查机构有关信息予以保密。
1.在合提供合同业绩时,对金额部分打马赛克。
2.对投标文件设置密码解压。
2
供方
对供方的单位基本信息、产品核心技术信息、价格等予以保密。
客户
对客户信息、合同条款及概算等予以保密。
1.在合同中列出
7Hale Waihona Puke 公司员工对员工个人信息、劳动合同等予以保密。
签订保密协议。
编制:日期:
审核:日期:
3
税务局、财务审计方
对涉及到的财务审计报告及财务报表等机密信息予以保密。
相关法律、法规。
4
政府部门
对接触到的知识产权予以保护,详见《信息安全有关法规符合性评价》。
相关法律、法规。
5
电话、网络、云服务提供方
对电话服务、网络服务的提供方信息予以保密
1.签订保密协议。
6
相关方的需求和期望(信息安全方面)一览表
序号
相关方
信息安全要求
应对措施
1
第二、三方审查机构
1.对前期业绩合同金额予以保密。
2.对审查过程中涉及的审查机构有关信息予以保密。
1.在合提供合同业绩时,对金额部分打马赛克。
2.对投标文件设置密码解压。
2
供方
对供方的单位基本信息、产品核心技术信息、价格等予以保密。
客户
对客户信息、合同条款及概算等予以保密。
1.在合同中列出
7Hale Waihona Puke 公司员工对员工个人信息、劳动合同等予以保密。
签订保密协议。
编制:日期:
审核:日期:
ISO27001-2013 信息安全管理体系要求 中英对照版
ISO标准——IEC 27001:2013信息安全管理体系——要求Reference numberISO/IEC 27001:2013(E1范围 1 Scope本国际标准规定了在组织背景下建立、实施、维护和持续改进信息安全管理体系。
本标准还包括信息安全风险评估和处置要求,可裁剪以适用于组织。
本国际标准的要求是通用的,适用于所有的组织,不考虑类型、规模和特征。
当组织声称符合本国际标准时,任何条款4-10的排除是不可接受的。
This International Standard specifies the requirements for establishing, implementing, maintaining and continually improvingan information security management system within the contextof the organization. This International Standard also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this International Standard are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this International Standard.2 规范性引用文件下列参考文件是本文件的标准参考,也是应用本文件必不可缺的。
ISO27001信息安全体系全套精品内审核查表
信息安全管理体系文件内审核查表审核日期:2017/5/7-8被审核部门总经理审核成员审核日期2017-5-7 审核主题 4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.2核查要素/条款核查事项核查记录符合项观察项不符合项4.1 理解组织及其环境现在客户越来越重视本单位的信息安全,要求服务提供商具备一定的信息安全管理水平;目前信息安全威胁不断增加,本组织的核心资产也要进行安全防护,保证核心资产的安全性、保密性、可用性。
√4.2 理解相关方的需求和期望公司客户对服务提供商的信息安全提出了更高的要求,在公司给客户提供服务的过程中,客户要求保证公司接触到的客户的信息资产的安全。
在服务合同中都有相关安全条款。
√4.3 确定信息安全管理体系范围在手册的4.3章确定了信息安全的组织、业务、物理范围。
√4.4 信息安全管理体系按ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》规定,建立、实施、保持和持续改进信息安全管理体系。
包含了4级文件:手册、程序文件、管理制度、记录。
√5.1 领导力和承诺-领导层制定了信息安全方针、目标和计划;建立信息安全的角色和职责;向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;提供充分的资源,以建立、实施、运作、监视、评审、保持并改进, 决定接受风险的准则和风险的可接受等级;√5.2 方针信息安全管理方针为:数据保密、信息完整、控制风险、持续改进、全员参与、提高绩效、客户满意。
√5.3 组织的角色,职责和权限组织制定了《信息安全职责划分与标准条款对照表》,明确了每个部门角色的职责√6.1 应对风险和机会的措施进行了信息安全风险评估,并针对高优先级的风险制定了处置计划。
√6.2 信息安全目标和实现规划公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标,并在全公司发布,参见信息安全方针目标文件√9.3 ISMS管理评审--有《管理评审控制程序》,管理评审计划、管理评审报告等记录√被审核部门总经理审核成员审核日期2017-5-7 审核主题 4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.2A5.1.1 信息安全方针文件信息安全方针文件已由管理者批准、发布并传递给所有员工和外部相关方。
相关方需求和期望分析表全文
每年/次
行政部/ISO
2
外部供方
稳定、持续地合作,互利双赢
供应商审核、月评结果、采购协议
每年/次
行政部/ISO
及时付款
依照与供方商定的付款方式准时付款
不定时
财务部、采购
交付的物料合格率高
采购产品合格率≥95%
每月
品质部
3
厂界周边企业和居民
建立友好关系不被污染和影响
相关方环境管理管控
不定时
行政部
4
政府机构
工作环境氛围好,公正、透明的管理制度
厂规厂纪、员工手册
每年/次
行政部
说明:1.每年年初管理部ISO组织各部门对相关方需求和期望作识别,并对其评审指标或项目、监测频率作出规定;
2.每年年底管理部ISO组织各部门对本年度相关方需求和期望监测情况做评审。
批准:
审核:
制定:
行政部
5
审核机构
体系运行适宜性、充分性、有效性
内审、管理评审有效,外审通过审核
每年/次
行政部/ISO
6
公司经营者
盈利增长、持续经营、发展规模
财务报表
每年/次
财务部
7
员工
薪资和福利增长
工资报表/员工福利实施的方案
每年/次
行政部
个人能力提升/提供发展空间
培训计划实施准时率/内部岗位调整方案
每年/次
行政部
合法经营
年审或不定期检查(安监、消防、工商、环保)
每年/次
或不定时
行政部
依法纳税
纳税记录年审
每年/次
财务部
环保生产,排放的废气、废水、噪声符合法律法规
环境监测合格
行政部/ISO
2
外部供方
稳定、持续地合作,互利双赢
供应商审核、月评结果、采购协议
每年/次
行政部/ISO
及时付款
依照与供方商定的付款方式准时付款
不定时
财务部、采购
交付的物料合格率高
采购产品合格率≥95%
每月
品质部
3
厂界周边企业和居民
建立友好关系不被污染和影响
相关方环境管理管控
不定时
行政部
4
政府机构
工作环境氛围好,公正、透明的管理制度
厂规厂纪、员工手册
每年/次
行政部
说明:1.每年年初管理部ISO组织各部门对相关方需求和期望作识别,并对其评审指标或项目、监测频率作出规定;
2.每年年底管理部ISO组织各部门对本年度相关方需求和期望监测情况做评审。
批准:
审核:
制定:
行政部
5
审核机构
体系运行适宜性、充分性、有效性
内审、管理评审有效,外审通过审核
每年/次
行政部/ISO
6
公司经营者
盈利增长、持续经营、发展规模
财务报表
每年/次
财务部
7
员工
薪资和福利增长
工资报表/员工福利实施的方案
每年/次
行政部
个人能力提升/提供发展空间
培训计划实施准时率/内部岗位调整方案
每年/次
行政部
合法经营
年审或不定期检查(安监、消防、工商、环保)
每年/次
或不定时
行政部
依法纳税
纳税记录年审
每年/次
财务部
环保生产,排放的废气、废水、噪声符合法律法规
环境监测合格
27001-2013新版信息安全管理体系标准解析
19
新版本附录A解析 A7
A7 人力资源安全
6
来源
A7.1 任用之前
目标:确保雇佣和承包方人员理解其职责、考虑对其承担的角色是适合的。
A7.1.1 审查
对所有任用的候选者的背景验证核查应按照相关法律、法规、道德规范
和对应的业务需求、被访问信息的类别和察觉的风险来执行。
A8.1.2
A7.1.2 任用的条款及条件
容
14
新版本附录A解析 A5
ISO27001:2005
A5 安全方针 A6 信息安全组织 A7 资产管理 A8 人力资源安全 A9 物理和环境安全 A10 通信和运作管理 A11 访问控制 A12 信息系统的获取开发以及维护 A13 信息安全事件管理 A14 业务连续性管理 A15 符合性
ISO27001:2013
冲突的职责和权限应被分开,以减少对组织资产未经授权或无意的修改
与误用。
A10.1.3
应ห้องสมุดไป่ตู้监管机构保持适当的联系。
A6.1.6
与特定礼仪团队、其他专业安全论坛或行业协会应保持适当联系。
A6.1.7
信息安全应融入所受项目管理中,不论项目类型。
新增
应使用配套策略和安全措施来防范因使用移动设备带来的风险。
A11.7.1
7
ISO导则83
国 际 标 准 的 未 来 框 架
8
新旧版本正文结构变化
9
新版标准正文内容
Plan
•4 组织环境 • 了解组织背景及现状 • 理解相关方的需求和期望 • ISMS的范围 • ISMS
•5 领导力 • 领导作用和承诺 • 方针 • 角色、职责和授权
•6 策划 • 处理风险和机遇的行动 • 实现ISMS的目标和实施计 划
新版本附录A解析 A7
A7 人力资源安全
6
来源
A7.1 任用之前
目标:确保雇佣和承包方人员理解其职责、考虑对其承担的角色是适合的。
A7.1.1 审查
对所有任用的候选者的背景验证核查应按照相关法律、法规、道德规范
和对应的业务需求、被访问信息的类别和察觉的风险来执行。
A8.1.2
A7.1.2 任用的条款及条件
容
14
新版本附录A解析 A5
ISO27001:2005
A5 安全方针 A6 信息安全组织 A7 资产管理 A8 人力资源安全 A9 物理和环境安全 A10 通信和运作管理 A11 访问控制 A12 信息系统的获取开发以及维护 A13 信息安全事件管理 A14 业务连续性管理 A15 符合性
ISO27001:2013
冲突的职责和权限应被分开,以减少对组织资产未经授权或无意的修改
与误用。
A10.1.3
应ห้องสมุดไป่ตู้监管机构保持适当的联系。
A6.1.6
与特定礼仪团队、其他专业安全论坛或行业协会应保持适当联系。
A6.1.7
信息安全应融入所受项目管理中,不论项目类型。
新增
应使用配套策略和安全措施来防范因使用移动设备带来的风险。
A11.7.1
7
ISO导则83
国 际 标 准 的 未 来 框 架
8
新旧版本正文结构变化
9
新版标准正文内容
Plan
•4 组织环境 • 了解组织背景及现状 • 理解相关方的需求和期望 • ISMS的范围 • ISMS
•5 领导力 • 领导作用和承诺 • 方针 • 角色、职责和授权
•6 策划 • 处理风险和机遇的行动 • 实现ISMS的目标和实施计 划
质量管理体系--相关方的需求和期望分析表精选全文完整版
办公室、管理者代表、品管部
全年
监管部门
遵规守法
风险:监管部门监管力度的加大,如公司执行不规范,可能存在被查处的风险
机遇:行业生产环境的变化,给公司带来新的发展机遇
4×3=12
一般
1.各级部门严格按照公司的规章制度开展相关工作
生产车间、物控部、品管部
全年
2。职能部门加大公司内部制度执行情况的检查
办公室、管理者代表、品管部、生产制
全年
供应商的要求
1。长期合作、双赢
2。进料合格率高
3.及时付款
风险:原材料市场不稳定,希望签订的年度合同和保底价格,带来的采购和资金风险
机遇:原材料可能会降低
2×3=6
一般
对公司影响较大的大宗原材料做好年度采购计划
总经理、采购部、物控部
全年
员工
1获得培训计划
2获得较高收入
风险:公司优秀人才离职,对公司是比较大的损失.员工业务素质在一定程度上存在参差不齐的情况,加上绩效考核不能有效落实,会对工作完成质量造成不好的影响.
机遇:市场竞争的加剧,公司管理水平的提升,会给公司带来潜在的发展机遇
4×4=16
高
1.业务部加强与客户进行质量标准制定的沟通,统一双方的标准和检测方法
品管部、业务部
全年
2.生产部门做好生产计划的安排,保证生产计划的执行
生产部、生产车间
全年
3。业务部门加大客户交流沟通,及时处理客户的需求和意见
办公室、业务部
可编辑修改精选全文完整版
9001:2015相关方的需求和期望分析表
相关方
需求和期望
风险及机遇的识别
风险及机遇的评估
风险及机遇应对措施
执行情况
全年
监管部门
遵规守法
风险:监管部门监管力度的加大,如公司执行不规范,可能存在被查处的风险
机遇:行业生产环境的变化,给公司带来新的发展机遇
4×3=12
一般
1.各级部门严格按照公司的规章制度开展相关工作
生产车间、物控部、品管部
全年
2。职能部门加大公司内部制度执行情况的检查
办公室、管理者代表、品管部、生产制
全年
供应商的要求
1。长期合作、双赢
2。进料合格率高
3.及时付款
风险:原材料市场不稳定,希望签订的年度合同和保底价格,带来的采购和资金风险
机遇:原材料可能会降低
2×3=6
一般
对公司影响较大的大宗原材料做好年度采购计划
总经理、采购部、物控部
全年
员工
1获得培训计划
2获得较高收入
风险:公司优秀人才离职,对公司是比较大的损失.员工业务素质在一定程度上存在参差不齐的情况,加上绩效考核不能有效落实,会对工作完成质量造成不好的影响.
机遇:市场竞争的加剧,公司管理水平的提升,会给公司带来潜在的发展机遇
4×4=16
高
1.业务部加强与客户进行质量标准制定的沟通,统一双方的标准和检测方法
品管部、业务部
全年
2.生产部门做好生产计划的安排,保证生产计划的执行
生产部、生产车间
全年
3。业务部门加大客户交流沟通,及时处理客户的需求和意见
办公室、业务部
可编辑修改精选全文完整版
9001:2015相关方的需求和期望分析表
相关方
需求和期望
风险及机遇的识别
风险及机遇的评估
风险及机遇应对措施
执行情况
ISO27001-2022职能分配表
△△ △△ △△ △△ △△ ▲△ ▲△ ▲△ △△
△△ △△ △△
△△ △△ △△
△△ △△
△△ △△
△△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△
财务 部
△ △ △ △
△ △ △
△ △ △ △ △ △ △ △ △
△ △ △
△ △ △
△ △
△ △
△ △ △ △ △ △ △ △ △ △ △ △
△△
A.5.37 文件化的操作规程
△▲
A.6 人员控制
A.6.1 审查
△△
A.6.2 任用条款及条件
△△
A.6.3 信息安全意识、教育和培训
△△
A.6.4 违规处理过程
△△
A.6.5 任用终止或变更的责任
△△
A.6.6 保密或不泄露协议
△△
A.6.7 远程工作
△△
A.6.8 报告信息安全事态
△△
A.7 物理控制
△
△ △△ ▲
△
△ △△ ▲
△▲
A.7.11 支持性设施
△▲
A.7.12 布缆安全
△▲
A.7.13 设备维护 A.7.14 设备的安全处置或再利用
△▲ △▲
A.8 技术控制
A.8.1 用户终端设备
△△
A.8.2 特许访问权
△△
△
△ △△ ▲
△
△ △△ ▲
△
△ △△ ▲
△
△ ▲△ △
△
△ ▲△ △
△
△ ▲△ △
△
△ ▲△ △
△
△ △△ ▲
△△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△
△△ △△ △△
△△ △△ △△
△△ △△
△△ △△
△△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△
财务 部
△ △ △ △
△ △ △
△ △ △ △ △ △ △ △ △
△ △ △
△ △ △
△ △
△ △
△ △ △ △ △ △ △ △ △ △ △ △
△△
A.5.37 文件化的操作规程
△▲
A.6 人员控制
A.6.1 审查
△△
A.6.2 任用条款及条件
△△
A.6.3 信息安全意识、教育和培训
△△
A.6.4 违规处理过程
△△
A.6.5 任用终止或变更的责任
△△
A.6.6 保密或不泄露协议
△△
A.6.7 远程工作
△△
A.6.8 报告信息安全事态
△△
A.7 物理控制
△
△ △△ ▲
△
△ △△ ▲
△▲
A.7.11 支持性设施
△▲
A.7.12 布缆安全
△▲
A.7.13 设备维护 A.7.14 设备的安全处置或再利用
△▲ △▲
A.8 技术控制
A.8.1 用户终端设备
△△
A.8.2 特许访问权
△△
△
△ △△ ▲
△
△ △△ ▲
△
△ △△ ▲
△
△ ▲△ △
△
△ ▲△ △
△
△ ▲△ △
△
△ ▲△ △
△
△ △△ ▲
△△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△ △△
ISO27001信息安全管理体系相关方需求和期望分析表+组织内外部环境分析报告
2.对外包服务过程进行严格管理,避免、化解或降低由于服务过程不当导致的投诉。
3.不断改进和提升服务质量,为客户创造更多价值。
确保客户信息和公司重要商业信息的保密性
1.在获取、处理和交付客户信息资产的过程中,确保客户敏感信息的保密性,防止由于人员对信息处理不当,导致客户信息的泄漏。
2.防止关键业务应用系统、网络服务及个人计算机因管控失效,导致客户信息及公司重要商业信息的泄漏。
管理体系在支持愿景及核心竞争力方面应达到的结果
基于手机电池、电池充电器、电源变压器行业的特点,本公司要成为行业内的领先企业,质量管理能力和信息安全技术将是不可或缺的因素。因此,本公司在质量和信息安全管理方面必须能够实现高层期望的成果:
— 不断优化业务流程,持续加强对员工的技能、质量和信息安全意识能力培训,不断提升客户的经营指标达成率、降低有效投诉及抱怨率。
2、是否存在自然环境发生的、质量造成灾难性影响的因素,例如:地震、台风、洪水等?
来自于自然环境(包括:地震、海啸、台风、洪水、雷电、暴雨、暴雪)的威胁会造成公司活动暂时中断。
台风
1、生产设施缺乏物理保护
2、生产设施缺乏台风暴雨洪水暴雪应急预案
暴雨
洪水
暴雪
雷电
1、生产设施缺乏防雷设施
2、防雷设施没有及时检测
符合适用法律及行业法规要求
1.对客户的质量要求、行业内相关法律法规进行充分识别,确保整个过程满足客户质量要求及行业内相关法律法。
—符合适用法律及行业法规要求
我们将通过以下举措努力实现上述承诺的质量目标:
— 维护并持续改进质量管理体系,采取预防性措施,减少各类质量事件发生,通过质量持续提升的绩效让客户体验质量管理的成果。
确保客户信息及重要信息系统的完整性
3.不断改进和提升服务质量,为客户创造更多价值。
确保客户信息和公司重要商业信息的保密性
1.在获取、处理和交付客户信息资产的过程中,确保客户敏感信息的保密性,防止由于人员对信息处理不当,导致客户信息的泄漏。
2.防止关键业务应用系统、网络服务及个人计算机因管控失效,导致客户信息及公司重要商业信息的泄漏。
管理体系在支持愿景及核心竞争力方面应达到的结果
基于手机电池、电池充电器、电源变压器行业的特点,本公司要成为行业内的领先企业,质量管理能力和信息安全技术将是不可或缺的因素。因此,本公司在质量和信息安全管理方面必须能够实现高层期望的成果:
— 不断优化业务流程,持续加强对员工的技能、质量和信息安全意识能力培训,不断提升客户的经营指标达成率、降低有效投诉及抱怨率。
2、是否存在自然环境发生的、质量造成灾难性影响的因素,例如:地震、台风、洪水等?
来自于自然环境(包括:地震、海啸、台风、洪水、雷电、暴雨、暴雪)的威胁会造成公司活动暂时中断。
台风
1、生产设施缺乏物理保护
2、生产设施缺乏台风暴雨洪水暴雪应急预案
暴雨
洪水
暴雪
雷电
1、生产设施缺乏防雷设施
2、防雷设施没有及时检测
符合适用法律及行业法规要求
1.对客户的质量要求、行业内相关法律法规进行充分识别,确保整个过程满足客户质量要求及行业内相关法律法。
—符合适用法律及行业法规要求
我们将通过以下举措努力实现上述承诺的质量目标:
— 维护并持续改进质量管理体系,采取预防性措施,减少各类质量事件发生,通过质量持续提升的绩效让客户体验质量管理的成果。
确保客户信息及重要信息系统的完整性
ISOIEC27002013信息安全管理体系内部审核检查表
信息安全组织
A.6.1
内部组织
A.6.1.1
信息安全的角色和职责
是否所有的组织成员都明确自己的信息安全职责?以及对 自己信息安全职责的明确程度?信息安全职责的分配是否 与信息安全方针文件相一致?
现场观察
A.6.1.2
与监管机构的联系
检查体系制度中,是否明确指定了与监管机构联系的部门或 负责人
现场观察
检查内容详见A5-A18
9
绩效评价
9.1监视、测量、分析和评 价
检查组织是否有体系有效性测量流程
现场观察
9.2内部审核
检查组织是否建立了内审流程
现场观察
检查最新的内审活动,是否包含检查清单、检查过程是否有 效,对不符项的关闭情况
9.3管理评审
检查公司的管评计划
检查公司最新的管评活动记录
10
改进
10.1不符合和纠正措施
检查内容同9.1 9.2
A.5
安全方针
A.5.1
信息安全管理方向
A.5.1.1
信息安全方针
组织是否制定了明确的信息安全方针和目标,这些方针和目 标与公司的业务是否相关。
现场Байду номын сангаас察
A.5.1.2
信息安全方针的评审
获取组织管理评审相关记录,检查管理评审会议中,是否对 信息安全方针的达成情况进行了评审。
A.6
5.2方针
是否有文件化的管理方针
现场观察
5.3
5.3组织角色、职责和权限
是否建立了的信息安全管理组织,并明确其职责及权限
访谈
6
规划
6.1
6.1应对风险和机会的措施
6.1.1总则
检查组织是否建立正式的风险评估流程
A.6.1
内部组织
A.6.1.1
信息安全的角色和职责
是否所有的组织成员都明确自己的信息安全职责?以及对 自己信息安全职责的明确程度?信息安全职责的分配是否 与信息安全方针文件相一致?
现场观察
A.6.1.2
与监管机构的联系
检查体系制度中,是否明确指定了与监管机构联系的部门或 负责人
现场观察
检查内容详见A5-A18
9
绩效评价
9.1监视、测量、分析和评 价
检查组织是否有体系有效性测量流程
现场观察
9.2内部审核
检查组织是否建立了内审流程
现场观察
检查最新的内审活动,是否包含检查清单、检查过程是否有 效,对不符项的关闭情况
9.3管理评审
检查公司的管评计划
检查公司最新的管评活动记录
10
改进
10.1不符合和纠正措施
检查内容同9.1 9.2
A.5
安全方针
A.5.1
信息安全管理方向
A.5.1.1
信息安全方针
组织是否制定了明确的信息安全方针和目标,这些方针和目 标与公司的业务是否相关。
现场Байду номын сангаас察
A.5.1.2
信息安全方针的评审
获取组织管理评审相关记录,检查管理评审会议中,是否对 信息安全方针的达成情况进行了评审。
A.6
5.2方针
是否有文件化的管理方针
现场观察
5.3
5.3组织角色、职责和权限
是否建立了的信息安全管理组织,并明确其职责及权限
访谈
6
规划
6.1
6.1应对风险和机会的措施
6.1.1总则
检查组织是否建立正式的风险评估流程
相关方信息安全需求和期望清单
序号 相关方
1 客户 2 第三方审核机构
相关方信息安全需求和期望清单
信息安全需求和期望
控制措施
负责部门
符合合同签定的要求和商务谈判约定,具体见合同
与客户谈判签订信息安全保密协议
客服/销售及法务
信息安全审核要求 符合ISO27001和相关国家法律法规要求 符合国家法律和行业规范的要求 保护公司信息,确定公司在同行业内的竞争优势
信息安全小组 集团体系部 信息安全小组
4 员工
防止个人信息泄露 防止个人重要信息未经合法授权被别人篡改
5
政府等上级管理机 构
符合国家政策、法律和行业规范的要求,具体见《法律法规清单》
6 供应商或外包商 批准:
防止供应商信息泄密
审核:
公司与员工签订保密协议,保护个人的合法信息及 隐私。
集团人力资源部
建立个人OA账号,个人电脑用户账号,保护个人信 息防止被别人篡改。
集团IT部
收集政府等上级管理机构信息安全法律法规要求, 建立《法律法规及其它要求一览表》
集团体系部
要求供应商或外包商与公司签订信息安全保密协议 采购部/寻源部 制订:
按客户要求搭建信息安全体系文件,并实施推行及 通过客户信息安全审核。
通过实施ISO27001标准,通过第三方审核机构外部 审核。
收集国家法律和行业信息安全法律法规要求,建立 《法律法规及其它要求一览表》。
通过IT控制手段,公司机密信息进行加密处理防止 信息外泄。
集团体系部 集团体系部 集团体系部
集团IT部
信息安全小组
企业核心业务所赖以持续的各项信息资产得到了妥善保护 建立有效的业务持续性计划框架 降低潜在信息安全事件发生而给企业Байду номын сангаас来的损失
1 客户 2 第三方审核机构
相关方信息安全需求和期望清单
信息安全需求和期望
控制措施
负责部门
符合合同签定的要求和商务谈判约定,具体见合同
与客户谈判签订信息安全保密协议
客服/销售及法务
信息安全审核要求 符合ISO27001和相关国家法律法规要求 符合国家法律和行业规范的要求 保护公司信息,确定公司在同行业内的竞争优势
信息安全小组 集团体系部 信息安全小组
4 员工
防止个人信息泄露 防止个人重要信息未经合法授权被别人篡改
5
政府等上级管理机 构
符合国家政策、法律和行业规范的要求,具体见《法律法规清单》
6 供应商或外包商 批准:
防止供应商信息泄密
审核:
公司与员工签订保密协议,保护个人的合法信息及 隐私。
集团人力资源部
建立个人OA账号,个人电脑用户账号,保护个人信 息防止被别人篡改。
集团IT部
收集政府等上级管理机构信息安全法律法规要求, 建立《法律法规及其它要求一览表》
集团体系部
要求供应商或外包商与公司签订信息安全保密协议 采购部/寻源部 制订:
按客户要求搭建信息安全体系文件,并实施推行及 通过客户信息安全审核。
通过实施ISO27001标准,通过第三方审核机构外部 审核。
收集国家法律和行业信息安全法律法规要求,建立 《法律法规及其它要求一览表》。
通过IT控制手段,公司机密信息进行加密处理防止 信息外泄。
集团体系部 集团体系部 集团体系部
集团IT部
信息安全小组
企业核心业务所赖以持续的各项信息资产得到了妥善保护 建立有效的业务持续性计划框架 降低潜在信息安全事件发生而给企业Байду номын сангаас来的损失
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关键部门
销售部。
支持部门
行政部、生产部、品质部、销售部。
资源支持
作业场地、设备。
外部服务提供商
原材料服务商等。
ISO27001信息安全管理体系相关方需求 Nhomakorabea期望分析表
相关方需求与期望
质量与信息安全要求
核心客户
客户(客户对质量需求与期望)
客户投诉/抱怨率不超过行方每月要求的达标值。
可用性:在客户约定的时间内,产品可用性满足客户要求。在约定时间内发生非不可抗力造成的不合格,必须在约定的时间恢复生产系统正常运行。
完整性:进行的任何操作必须准确无误,确保产品信息真实性和可靠性。
体系范围:与电销/电催业务外呼服务质量及信息安全要求相关的业务活动、关键部门、支持部门、信息系统、外部服务提供商
核心业务活动
塑胶模具生产制造、电子产品用塑胶件生产,包括市场拓展与销售、项目规划、项目实施、服务提供及服务终止整个生命周期。
支持业务活动
供应链管理、人力资源、信息技术、行政、财务等管理支持。
确保客户信息和公司重要商业信息的保密性
1.在获取、处理和交付客户信息资产的过程中,确保客户敏感信息的保密性,防止由于人员对信息处理不当,导致客户信息的泄漏。
2.防止关键业务应用系统、网络服务及个人计算机因管控失效,导致客户信息及公司重要商业信息的泄漏。
确保客户信息及重要信息系统的完整性
3.在服务提供过程中,严格按照操作流程及规范进行提供服务,确保关键数据的准确性和完整性。
4.防止关键业务应用系统、网络服务及个人计算机因管控不当造成数据丢失或被篡改,导致系统中的客户信息、公司重要信息失去完整性和真实性。
确保重要信息系统的可用性
1.防止关键业务系统因管理不当造成系统故障,导致公司产品受到严重影响。
符合适用法律及行业法规要求
1.对客户的质量要求、行业内相关法律法规进行充分识别,确保整个过程满足客户质量要求及行业内相关法律法。
客户信息不得有任何非法泄露。
信息沟通及时性:发生重大质量安全事件,及时获得事件信息以及处理进展。
社会及公众
客户及接受服务的个人
法律法规符合性:提按照客户要求获得相应生产许可证,并符合客户在安全方面的要求,包括:职场安全规范性等。
股东及合作伙伴
股东
敏感信息保密性:确保公司经营管理中重要的商业信息严格保密,例如:市场销售数据、业务运营数据、财务数据等。
员工
公司内部员工
员工个人隐私信息保密性。
各类供应商
硬件及服务提供商
供应商敏感信息的保密性。
质量及信息安全方针
确保持续改进和提升服务质量
1.以客户为关注焦点,及时、准确并妥善处理客户提出的服务要求。
2.对外包服务过程进行严格管理,避免、化解或降低由于服务过程不当导致的投诉。
3.不断改进和提升服务质量,为客户创造更多价值。
—符合适用法律及行业法规要求
我们将通过以下举措努力实现上述承诺的质量目标:
— 维护并持续改进质量管理体系,采取预防性措施,减少各类质量事件发生,通过质量持续提升的绩效让客户体验质量管理的成果。
— 充分了解业界在技术发展趋势,及时应用适用的技术有效支持质量管理。
— 重视人员能力培养,基于岗位能力要求招聘、培训并培养符合岗位能力要求的员工,最终通过人的能力保证信息安全目标的实现。
销售部。
支持部门
行政部、生产部、品质部、销售部。
资源支持
作业场地、设备。
外部服务提供商
原材料服务商等。
ISO27001信息安全管理体系相关方需求 Nhomakorabea期望分析表
相关方需求与期望
质量与信息安全要求
核心客户
客户(客户对质量需求与期望)
客户投诉/抱怨率不超过行方每月要求的达标值。
可用性:在客户约定的时间内,产品可用性满足客户要求。在约定时间内发生非不可抗力造成的不合格,必须在约定的时间恢复生产系统正常运行。
完整性:进行的任何操作必须准确无误,确保产品信息真实性和可靠性。
体系范围:与电销/电催业务外呼服务质量及信息安全要求相关的业务活动、关键部门、支持部门、信息系统、外部服务提供商
核心业务活动
塑胶模具生产制造、电子产品用塑胶件生产,包括市场拓展与销售、项目规划、项目实施、服务提供及服务终止整个生命周期。
支持业务活动
供应链管理、人力资源、信息技术、行政、财务等管理支持。
确保客户信息和公司重要商业信息的保密性
1.在获取、处理和交付客户信息资产的过程中,确保客户敏感信息的保密性,防止由于人员对信息处理不当,导致客户信息的泄漏。
2.防止关键业务应用系统、网络服务及个人计算机因管控失效,导致客户信息及公司重要商业信息的泄漏。
确保客户信息及重要信息系统的完整性
3.在服务提供过程中,严格按照操作流程及规范进行提供服务,确保关键数据的准确性和完整性。
4.防止关键业务应用系统、网络服务及个人计算机因管控不当造成数据丢失或被篡改,导致系统中的客户信息、公司重要信息失去完整性和真实性。
确保重要信息系统的可用性
1.防止关键业务系统因管理不当造成系统故障,导致公司产品受到严重影响。
符合适用法律及行业法规要求
1.对客户的质量要求、行业内相关法律法规进行充分识别,确保整个过程满足客户质量要求及行业内相关法律法。
客户信息不得有任何非法泄露。
信息沟通及时性:发生重大质量安全事件,及时获得事件信息以及处理进展。
社会及公众
客户及接受服务的个人
法律法规符合性:提按照客户要求获得相应生产许可证,并符合客户在安全方面的要求,包括:职场安全规范性等。
股东及合作伙伴
股东
敏感信息保密性:确保公司经营管理中重要的商业信息严格保密,例如:市场销售数据、业务运营数据、财务数据等。
员工
公司内部员工
员工个人隐私信息保密性。
各类供应商
硬件及服务提供商
供应商敏感信息的保密性。
质量及信息安全方针
确保持续改进和提升服务质量
1.以客户为关注焦点,及时、准确并妥善处理客户提出的服务要求。
2.对外包服务过程进行严格管理,避免、化解或降低由于服务过程不当导致的投诉。
3.不断改进和提升服务质量,为客户创造更多价值。
—符合适用法律及行业法规要求
我们将通过以下举措努力实现上述承诺的质量目标:
— 维护并持续改进质量管理体系,采取预防性措施,减少各类质量事件发生,通过质量持续提升的绩效让客户体验质量管理的成果。
— 充分了解业界在技术发展趋势,及时应用适用的技术有效支持质量管理。
— 重视人员能力培养,基于岗位能力要求招聘、培训并培养符合岗位能力要求的员工,最终通过人的能力保证信息安全目标的实现。