信息安全管理体系记录控制程序.doc
《信息安全管理体系记录控制程序.doc》由会员分享,可在线阅读,更多相关《信息安全管理体系记录控制程序.doc(4页珍藏版)》请在冰点文库上搜索。
中国3000万经理人首选培训网站
信息安全管理体系记录控制程序
1.适用
本程序适用于本公司产生的记录的管理。
2.目的
为支持信息安全体系的运作而明确记录的管理。
3.管理方法
3-1保管方法
(1)记录由各保管部门在可快速检索的条件下,决定保管场所,放在箱子、柜子等适当容器中保管。
(2)对保管场所的环境,本程序没有特别指定。
由各保管部门考虑记录媒体的特性做适当处理。
(3)以电子媒体保管的场合,为预防意外,需做适当的备份。
备份的安全要求执行《信息备份管理程序》。
(4)记录保管部门应建立《记录清单》,明确规定保管记录类别、记录保存期限等。
记录的保存应符合有关法律法规的要求,保存期限参考本规格书第4条款。
(5)因工作需要,借阅其他部门的秘密记录,应获得记录保管部门负责人授权后方可借阅,并留下授权记录和借阅记录。
借阅者在借阅期内应妥善保管记录,并按期归还;机密记录只准在现场查阅。
(6)记录的字迹应清晰、真实、文字表达准确、简练,记录不得随意修改。
确需修改时,必须在修改处作标识,并由修改人签名确认。
3-2废弃超过保管期限的记录,由保管部门作为秘密文件处理废弃。
废弃应采用安全可靠的处置方法(如书面记录采用粉碎方法、电子媒体采用格式化方法等),处置记录应予以保存。
但若保管部门认为必要时,仍可继续保管超出保管期限的记录。
ISO27001信息安全管理标准理解及内审员培训
ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表
【课程描述】
ISO/IEC27001:
2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施,保障组织的信息安全。
本课程将详述ISO27001:
2005/ISO27002:
2005标准的每一个要求,指导如何管理信息安全风险,并附以大量的审核实战案例以作说明。
内部审核部分将以ISO19011:
2002为基础,教授学员如何策划和实施信息安全管理体系内部审核活动。
掌握该体系的具体执行程序和标准,并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。
【课程帮助】
如果你想对本课程有更深入的了解,请参考>>>德信诚ISO27001内审员相关资料手册
【课程对象】
信息安全管理人员,欲将ISO27001导入组织的人员,在ISO27001实施过程中承担内部审核工作的人员,有志于从事IT信息安全管理工作的人员。
【课程大纲】
第一部分:
ISO27001:
2005信息安全概述、标准条款讲解
◆信息安全概述:
信息及信息安全,CIA目标,信息安全需求来源,信息安全管理。
◆风险评估与管理:
风险管理要素,过程,定量与定性风险评估方法,风险消减。
◆ISO/IEC27001简介:
ISO27001标准发展历史、现状和主要内容,ISO27001标准认证。
◆信息安全管理实施细则:
从十个方面介绍ISO27001的各项控制目标和控制措施。
◆信息安全管理体系规范:
ISO/IEC27001-2005标准要求内容,PDCA管理模型,ISMS建设方法和过程。
第二部分:
ISO27001:
2005信息安全管理体系文件建立(ISO27001与ISO9001、ISO14001管理体系如何整合)
◆ISO27001与ISO9001、ISO14001的异同
◆ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件
◆如何将三体系整合降低公司的体系运行成本
◆ISO9001、ISO14001、ISO27001体系三合一整合案例分析
第三部分:
信息安全管理体系内部审核技巧和认证应对案例分析
◆ISO27001:
2005标准对内审员的新要求
◆信息安全管理体系认证现场审核的流程、技巧及沟通方法
◆如何应对认证公司的认证审核、监督审核、案例分析
◆考试>>>考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”
4.记录的分类和保存年限
记录类型
保管期限(年)
保管部门
测试报告
3年
技术部
关于合同内容确认的记录
质量保证书
合同
行政部
集成部
定单
供应商变更申请书
购买管理
供应商清单
合同结束后3年
行政部集成部
购买需求单
购买合同
购买质量保证书
供应商评价表
供应商检查表
5年
文件管理
5年
行政部
内部审核
5年
行政部
员工教育履历
2年
行政部
信息安全管理评审会议记录以及纠正措施记录
3年
行政部
信息安全目标以及分解
1年
行政部
预防措施
影响分析报告
2年
各部门
业务持续管理
业务持续性计划
10年
集成部
业务持续性计划测试报
告
10年
集成部
业务持续性计划评审报
告
3年
集成部
信息资产识别表
3年
集成部
资产识别和风险评估
重要信息资产清单
3年
行政部
重要信息资产评估表
3年
集成部
风险评估报告
3年
集成部
风险处理计划
3年
集成部
调查报告
3年
集成部
信息事故、异常处理记录
纠正措施
3年
行政部
信息设备更改申请书
3年
集成部
变更管理
软件安装/升级申请书
3年
集成部或技术部
采购记录
3年
集成部
信息处理设备相关记录
维护记录
3年
集成部
授权记录
设备使用期间保
管
集成部
系统开发相关记录
访问记录
2年
技术部
访问保密协议
2年
用户访问授权记录
3年
技术部
用户访问权限评审记录
保持至员工
离职
技术部
用户逻辑访问相关记录
审核日志(电子媒体)
3年
集成部
参见档案
管理规程
1年
集成部
人事相关记录
参见档案
管理规程
行政部
财务相关记录
5年
行政部
更多免费资料下载请进:
好好学习社区