銀行業(yè)信息安全管理體系手冊(cè)

信息科技部信息安全管理體系手冊(cè)A版目錄TOC\o"1-5"\h\z\u1目的和適用范圍 32引用標(biāo)準(zhǔn) 33術(shù)語和定義 34信息安全管理體系 34.1總要求 34.2建立和管理ISMS 44.2.1建立ISMS 44.2.2ISMS實(shí)施及運(yùn)作 84.2.3ISMS的監(jiān)督檢查與評(píng)審 94.2.4ISMS保持與改進(jìn) 104.3.2文件控制 104.3.3記錄控制 115管理職責(zé) 115.1管理承諾 115.2資源管理 126.內(nèi)部ISMS審核 127ISMS管理評(píng)審 147.1總則 147.2管理評(píng)審的輸入 147.3管理評(píng)審的輸出 148ISMS持續(xù)改進(jìn) 158.1持續(xù)改進(jìn) 158.2糾正措施 158.3預(yù)防措施 15修訂歷史記錄版本日期修訂者修訂描述1.01目的和適用范圍目的為建立、健全＃＃銀行信息科技部信息安全管理體系（簡(jiǎn)稱ISMS），確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保信息科技部全體員工理解并遵照?qǐng)?zhí)行信息安全管理體系文件、持續(xù)改進(jìn)ISMS有效性，特制定本手冊(cè)。范圍本手冊(cè)適用于＃＃銀行信息科技部（信息科技部位于＃＃銀行第八層）安全管理活動(dòng)。2引用標(biāo)準(zhǔn)ISO/IEC27001:2005<信息技術(shù)——安全技術(shù)——信息安全管理體系——要求>ISO/IEC27002:2005<信息技術(shù)——安全技術(shù)——信息安全管理實(shí)施細(xì)則>3術(shù)語和定義3.1本手冊(cè)中使用術(shù)語的定義采用ISO/IEC27001：2005《信息技術(shù)——安全技術(shù)——信息安全管理體系——要求》中的定義3.2縮寫ISMS:InformationSecutityManagementSystems信息安全管理體系。SoA：StatementofApplicability適用性說明PDCA:Plan、DO、Check、Act信息安全管理體系4.1總要求＃＃銀行信息科技部根據(jù)ISO/IEC27001:2005標(biāo)準(zhǔn)在整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系。ISMS所涉及的過程基于以下PDCA模式：建立ISMS建立ISMS保持和改進(jìn)ISMS實(shí)施和運(yùn)作ISMS監(jiān)控&評(píng)審ISMS相關(guān)方已被管理的信息安全相關(guān)方信息安全要求&期望、法律法規(guī)策劃（D）措施實(shí)施檢查4.2建立和管理ISMS4.2.1建立ISMS4.2.1.1ISMS的范圍和周界1)＃＃銀行主要從事個(gè)人服務(wù)、企業(yè)服務(wù)、卡服務(wù)等，信息科技部為金融服務(wù)提供IT基礎(chǔ)架構(gòu)的支持服務(wù)，確保整體金融業(yè)務(wù)過程的有序開展；2)＃＃銀行總行信息科技部所有物理區(qū)域及人員；4.2.1.2根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，＃＃銀行信息科技部在確定ISMS方針時(shí)，應(yīng)考慮以下方面的要求： 1）包括設(shè)定目標(biāo)的框架和建立信息安全工作的總方向和原則。 2）考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)。 3）＃＃銀行信息科技部根據(jù)戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下，建立和保持ISMS。 4）建立風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則。 5）信息安全方針設(shè)定完成后，應(yīng)獲得管理者的批準(zhǔn)。4.2.1.3信息安全管理體系方針增強(qiáng)科技風(fēng)險(xiǎn)意識(shí)，提升風(fēng)險(xiǎn)管理水平；滿足監(jiān)管機(jī)構(gòu)要求，持續(xù)履行社會(huì)責(zé)任。為滿足適用法律法規(guī)及相關(guān)方需求，使得生產(chǎn)和經(jīng)營(yíng)更有效的運(yùn)行，使得客戶信息保存?zhèn)鬏敻鼮榘踩?，＃＃銀行信息科技部依據(jù)ISO/IEC27001:2005標(biāo)準(zhǔn)，建立信息安全管理體系，以保證＃＃銀行信息科技部及行內(nèi)所有有關(guān)信息的保密性、完成性、可用性，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。＃＃銀行信息科技部承諾：1）＃＃銀行信息科技部建立并完善信息安全管理體系；2）識(shí)別并滿足適用法律法規(guī)和相關(guān)方信息安全要求，充分履行社會(huì)責(zé)任；3）對(duì)ISMS進(jìn)行測(cè)量、監(jiān)視、評(píng)審活動(dòng)，定期按照事先設(shè)定的風(fēng)險(xiǎn)評(píng)估準(zhǔn)則，對(duì)＃＃銀行信息科技部進(jìn)行風(fēng)險(xiǎn)評(píng)估、ISMS評(píng)審、采取糾正預(yù)防措施，保證體系的持續(xù)有效；4）采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、存儲(chǔ)和保護(hù)各類信息，實(shí)現(xiàn)信息共享；5）對(duì)＃＃銀行信息科技部全體員工，進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力；6）制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。上述方針由＃＃銀行信息科技部最高管理者發(fā)布，并定期評(píng)審其適用性、充分性，必要時(shí)予以修訂。4.2.1.4風(fēng)險(xiǎn)評(píng)估的系統(tǒng)方法 ＃＃銀行信息科技部建立信息安全風(fēng)險(xiǎn)評(píng)估控制程序并組織實(shí)施。風(fēng)險(xiǎn)評(píng)估控制程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平，所選擇的評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。具體的風(fēng)險(xiǎn)評(píng)估過程執(zhí)行《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》NONO確定ISMS范圍資產(chǎn)識(shí)別與重要信息資產(chǎn)確定威脅識(shí)別與評(píng)價(jià)已有控制措施確認(rèn)薄弱點(diǎn)識(shí)別與評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估（測(cè)量）是否接受保持已有的控制措施選擇安全目標(biāo)及控制措施實(shí)施殘余風(fēng)險(xiǎn)評(píng)審是否接受YESYESNONO 4.2.1.5風(fēng)險(xiǎn)識(shí)別 在已確定的ISMS范圍內(nèi)，對(duì)所有的信息資產(chǎn)進(jìn)行列表識(shí)別。信息資產(chǎn)包括軟件\系統(tǒng)、數(shù)據(jù)\文檔、硬件\設(shè)施、人力資源及服務(wù)。對(duì)每一項(xiàng)信息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷依據(jù)確定是否為重要信息資產(chǎn)，形成《重要信息資產(chǎn)清單》。4.2.1.6評(píng)估風(fēng)險(xiǎn) 1）針對(duì)每一項(xiàng)重要信息資產(chǎn)，參考《信息安全威脅列表》及以往的安全事故（事件）記錄、信息資產(chǎn)所處的環(huán)境等因素，識(shí)別出所有重要信息資產(chǎn)所面臨的威脅； 2）針對(duì)每一項(xiàng)威脅，考慮現(xiàn)有的控制措施，參考《信息安全薄弱點(diǎn)列表》識(shí)別出被該威脅可能利用的薄弱點(diǎn)。 3）綜合考慮以上2點(diǎn)，按照《威脅發(fā)生可能性等級(jí)表》中的判定準(zhǔn)則對(duì)每一個(gè)威脅發(fā)生的可能性進(jìn)行賦值； 4）根據(jù)《威脅影響程度判斷準(zhǔn)則》，判斷一個(gè)威脅發(fā)生后可能對(duì)信息資產(chǎn)在保密性（C）、完整性（I）和可用性（A）方面的損害，進(jìn)而對(duì)信息科技部業(yè)務(wù)造成的影響，來給威脅影響賦值取C、I、A的最大值為威脅影響程度的賦值； 5）風(fēng)險(xiǎn)大小計(jì)算考慮威脅產(chǎn)生安全故障的可能性及其所造成影響程度兩者的結(jié)合，根據(jù)《風(fēng)險(xiǎn)矩陣計(jì)算表》來得到風(fēng)險(xiǎn)等級(jí)； 6）對(duì)于信息安全風(fēng)險(xiǎn)，在考慮控制措施與費(fèi)用平衡的原則下制定《風(fēng)險(xiǎn)接受準(zhǔn)則》，按照該準(zhǔn)則確定何種等級(jí)的風(fēng)險(xiǎn)為不可接受風(fēng)險(xiǎn)。4.2.1.7風(fēng)險(xiǎn)處理方法的識(shí)別與評(píng)價(jià) ＃＃銀行信息科技部根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成《風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任人、方法及時(shí)間。 對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧?；采用適當(dāng)?shù)膬?nèi)部控制措施；接受某些風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）；回避某些風(fēng)險(xiǎn)（如物理隔離）轉(zhuǎn)移某些風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）。4.2.1.8選擇控制目標(biāo)與控制措施 a)信息安全管理委員會(huì)根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，制定信息安全目標(biāo)，將目標(biāo)進(jìn)行分解落實(shí)到責(zé)任人。信息安全目標(biāo)應(yīng)獲得信息安全最高管理者的批準(zhǔn)。 b)控制目標(biāo)及控制措施的選擇原則來源于ISO/IEC27001:2005標(biāo)準(zhǔn)附錄A，具體控制措施可以參考ISO27002:2005《信息技術(shù)——安全技術(shù)——信息安全管理實(shí)施細(xì)則》。＃＃銀行信息科技部根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。4.2.1.9適用性聲明SoA信息科技部負(fù)責(zé)編制《信息安全按適用性聲明》（SoA）。該聲明包括以下方面的內(nèi)容：所選擇控制目標(biāo)與控制措施的概要描述；當(dāng)前已經(jīng)實(shí)施的控制；對(duì)ISO/IEC27001:2005附錄A中未選用的控制目標(biāo)及控制措施理由的說明。該聲明的詳細(xì)內(nèi)容見《信息安全適用性聲明》4.2.2ISMS實(shí)施及運(yùn)作4.2.2.1為確保ISMS有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，開展以下活動(dòng)： 1）形成《風(fēng)險(xiǎn)處理計(jì)劃》，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級(jí)； 2）為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《風(fēng)險(xiǎn)處理計(jì)劃》，明確各崗位的信息安全職責(zé)； 3）實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)； 4）進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力； 5）對(duì)信息安全體系的運(yùn)作進(jìn)行管理； 6）對(duì)信息安全所需資源進(jìn)行管理； 7）實(shí)施控制程序，對(duì)信息安全事故（或征兆）進(jìn)行迅速反應(yīng)。4.2.2.2信息安全組織機(jī)構(gòu) ＃＃銀行信息科技部明確人員職責(zé)（包括信息安全職責(zé)）并形成文件。信息科技部組織相關(guān)職能人員，成立信息安全委員會(huì)，形成＃＃銀行信息科技部信息安全管理最高機(jī)構(gòu)。各ISMS負(fù)責(zé)人員根據(jù)＃＃銀行信息科技部的職責(zé)明確，形成書面文件。4.2.2.3信息安全職責(zé)和權(quán)限 1）＃＃銀行信息科技部總經(jīng)理為最高管理者，最高管理者指定：苗志勇為信息安全管理者代表，無論該成員在其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)： a)建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行。 b)對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全管理委員會(huì)或最高管理者報(bào)告（總經(jīng)理） c)針對(duì)體系運(yùn)行期間保證定期的監(jiān)視體系運(yùn)行情況、評(píng)審體系的有效性、持續(xù)改進(jìn)文件化的ISMS。 d)管理者代表監(jiān)督全體員工對(duì)信息安全體系文件的執(zhí)行狀況。4.2.2.4檢測(cè)安全事態(tài)、響應(yīng)安全事件及其他控制措施 a)根據(jù)SoA中規(guī)定的安全目標(biāo)、控制措施（包括安全運(yùn)行的各種控制程序）要求實(shí)施信息安全控制措施。 b)迅速檢測(cè)過程運(yùn)行結(jié)果中的錯(cuò)誤 c)實(shí)施實(shí)時(shí)監(jiān)控，對(duì)識(shí)別試圖的和得逞的安全違規(guī)和事件進(jìn)行果斷處理。 d)通過使用指標(biāo)，幫助檢查安全事態(tài)并預(yù)防安全事件。 e)確定解決安全違規(guī)的措施是否有效。4.2.3ISMS的監(jiān)督檢查與評(píng)審4.2.3.1＃＃銀行信息科技部通過實(shí)施定期的安全檢查、內(nèi)部審核、定期的技術(shù)審查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)： a)及時(shí)發(fā)現(xiàn)信息安全體系的事故和隱患； b)定期檢查信息處理設(shè)施，及時(shí)了解信息處理系統(tǒng)遭受的各類攻擊； c)使管理者掌握信息安全活動(dòng)是否有效，并根據(jù)優(yōu)先級(jí)別確定所要采取的措施； d)對(duì)于歷史事件進(jìn)行記錄并留存檔案，積累信息安全事態(tài)事故等方面的經(jīng)驗(yàn)，總結(jié)信息安全事態(tài)事件出現(xiàn)的征兆，防患于未然。4.2.3.2根據(jù)以上活動(dòng)的結(jié)果以及來自相關(guān)方的建議和反饋，由最高管理者主持，定期（每年至少一次）對(duì)ISMS的有效性進(jìn)行評(píng)審，其中包括信息安全范圍、方針、目標(biāo)及控制措施有效性的評(píng)審。管理評(píng)審的具體要求，見本手冊(cè)第七章。4.2.3.3信息科技部應(yīng)組織有關(guān)區(qū)域負(fù)責(zé)人按照《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》的要求對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估： a）組織機(jī)構(gòu)發(fā)生重大變更； b）信息處理技術(shù)發(fā)生重大變更； c）＃＃銀行信息科技部業(yè)務(wù)目標(biāo)及流程發(fā)生重大變更； d）發(fā)現(xiàn)信息資產(chǎn)面臨重大威脅； e）外部環(huán)境，如法律法規(guī)或信息安全標(biāo)準(zhǔn)發(fā)生重大變更。4.2.3.4保持上述活動(dòng)和措施的記錄 以上活動(dòng)的詳細(xì)程序規(guī)定于以下文件中： 《記錄控制程序》《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》《內(nèi)部審核控制程序》《部門職位說明書》4.2.4ISMS保持與改進(jìn)＃＃銀行信息科技部開展以下活動(dòng)，以確保ISMS的持續(xù)改進(jìn)：實(shí)施每年管理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改的項(xiàng)目；按照《內(nèi)部審核控制程序》、《糾正預(yù)防措施程序 》《預(yù)防措施控制程序》的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他商業(yè)銀行及外資企業(yè)安全事故的經(jīng)驗(yàn)對(duì)信息安全目標(biāo)及分解進(jìn)行管理，確保改進(jìn)達(dá)到預(yù)期效果；（信息安全目標(biāo)及指標(biāo)的分解）為確保信息安全管理體系持續(xù)有效，各區(qū)域負(fù)責(zé)人及內(nèi)審小組通過適當(dāng)?shù)氖侄伪３衷冢＃ｃy行信息科技部?jī)?nèi)部對(duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效溝通。包括獲取外部信息安全專家的建議、電信運(yùn)營(yíng)商等組織的聯(lián)系及識(shí)別信息安全要求等。如：管理評(píng)審會(huì)議、內(nèi)部審核報(bào)告、信息科技部?jī)?nèi)文件體系、內(nèi)部網(wǎng)絡(luò)和郵件系統(tǒng)、法律法規(guī)評(píng)估報(bào)告等。以上詳細(xì)程序規(guī)定于以下文件中：《法律法規(guī)獲取和識(shí)別控制程序》注：上述活動(dòng)輸出：會(huì)議記要和報(bào)告4.3.2文件控制 ＃＃銀行信息科技部制定信息安全管理體系所要求文件的管理程序，保證信息安全管理體系文件得到以下所需的控制：文件的作成、發(fā)行、修訂、廢棄等事項(xiàng)得到相應(yīng)授權(quán)的查閱、批準(zhǔn)，確保文件是合適的、可行的；文件的標(biāo)識(shí)和修訂狀態(tài)清晰、易于識(shí)別，確保使用的文書是當(dāng)前的有效版本；為了文書的有效性，要定期確認(rèn)記載內(nèi)容是否過時(shí)，根據(jù)需要決定保持或修改并再次得到相應(yīng)的批準(zhǔn)；確保信息安全的外部標(biāo)準(zhǔn)、相應(yīng)法律、法規(guī)得到明確的標(biāo)識(shí)和管理；以上規(guī)定的詳細(xì)內(nèi)容見：《文件控制程序》《法律法規(guī)獲取和識(shí)別控制程序》4.3.3記錄控制4.3.3.1信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。＃＃銀行信息科技部負(fù)責(zé)制定并維持易讀、易識(shí)別、可方便檢索又考慮法律、法規(guī)要求的記錄管理規(guī)定。該規(guī)定應(yīng)指定記錄的標(biāo)識(shí)、存儲(chǔ)、保護(hù)、檢索、保管、廢棄等事項(xiàng)。4.3.3.2信息安全體系的記錄包括4.2中所列出的所有過程的結(jié)果及與ISMS相關(guān)的安全事故。＃＃銀行信息科技部應(yīng)根據(jù)記錄管理規(guī)定的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩w系中所要求的記錄。4.3.3.3該程序詳細(xì)規(guī)定見《記錄控制程序》5管理職責(zé)5.1管理承諾 信息安全最高管理者為確保建立、維持并持續(xù)改善信息安全管理體系特做出以下承諾：制定信息安全方針；確保信息安全目標(biāo)和計(jì)劃得以制定；建立信息安全的角色和職責(zé)；通過適當(dāng)?shù)臏贤ǚ绞?，向全體員工傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針以及法律、法規(guī)要求和持續(xù)改進(jìn)的重要性；提供適當(dāng)?shù)馁Y源以滿足信息安全管理體系的需求；決定接受風(fēng)險(xiǎn)的準(zhǔn)則，對(duì)可接受風(fēng)險(xiǎn)的水平進(jìn)行決策；確定信息安全內(nèi)部審核的執(zhí)行；實(shí)施信息安全的管理評(píng)審；5.2資源管理5.2.1資源提供 ＃＃銀行信息科技部應(yīng)確定并提供所需的資源，以滿足以下需求：建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS（信息安全管理體系）確保信息安全管理程序支持業(yè)務(wù)流程的要求；識(shí)別和滿足法律法規(guī)要求、以及合同中的安全義務(wù)；切實(shí)實(shí)施已有的控制措施，保持適當(dāng)?shù)陌踩匾獣r(shí)，進(jìn)行評(píng)審，并對(duì)評(píng)審結(jié)果做出適當(dāng)?shù)姆磻?yīng)；在需要時(shí)，改進(jìn)信息安全體系的有效性。5.2.2培訓(xùn)、意識(shí)和能力＃＃銀行應(yīng)定期對(duì)信息科技部員工的能力進(jìn)行培訓(xùn)、意識(shí)及能力的提升，確保所有分配有ISMS職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力，提升方式應(yīng)具備以下幾點(diǎn)：確定從事ISMS工作人員的崗位職責(zé)及所必要的能力提供培訓(xùn)或采取其他措施（如聘用有能力的人員）以滿足這些需求評(píng)價(jià)所采取的措施的有效性保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄（記錄應(yīng)建立并加以保持，以提供符合ISMS要求和有效運(yùn)行的證據(jù)）＃＃銀行信息科技部也要確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的適當(dāng)性和重要性，以及如何達(dá)為到ISMS目標(biāo)做出貢獻(xiàn)。6.內(nèi)部ISMS審核 ＃＃銀行信息科技部應(yīng)按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審核，管理者代表負(fù)責(zé)制定內(nèi)審計(jì)劃并組織實(shí)施，以判定ISMS規(guī)定的安全目標(biāo)、控制措施、過程和程序是否：符合ISO/IEC27001:2005標(biāo)準(zhǔn)和有關(guān)法律法規(guī)要求；符合已識(shí)別的信息安全要求；有效實(shí)施和保持；完成預(yù)期的目標(biāo)。6.1內(nèi)部審核程序6.1.1信息安全管理者代表制定信息安全管理體系年度審核計(jì)劃，該計(jì)劃應(yīng)覆蓋整個(gè)ISMS體系并得到信息安全管理體系最高管理者的批準(zhǔn)（＃＃銀行信息科技部總經(jīng)理）6.1.2內(nèi)部審核以本手冊(cè)、相應(yīng)的規(guī)程、作業(yè)指導(dǎo)書為基準(zhǔn)。選定的內(nèi)審員應(yīng)是了解行內(nèi)業(yè)務(wù)流程、熟悉安全體系標(biāo)準(zhǔn)并經(jīng)過培訓(xùn)取得信息安全內(nèi)審員資格的本部員工。內(nèi)審員資格需取得信息安全管理者代表的批準(zhǔn)。6.1.3進(jìn)行內(nèi)審時(shí)，管理者代表要有計(jì)劃的進(jìn)行以下的事項(xiàng)：a)審核員的選定和教育及培訓(xùn)；b)制定審核計(jì)劃，指定審核員（審核員應(yīng)與被審核對(duì)象無直接責(zé)任關(guān)系）；c)準(zhǔn)備必要的相關(guān)文件。6.1.4審核中發(fā)現(xiàn)的不符合事項(xiàng)，要向責(zé)任區(qū)域負(fù)責(zé)人報(bào)告，由責(zé)任區(qū)域負(fù)責(zé)人明確糾正措施的實(shí)施計(jì)劃。6.1.5要對(duì)該糾正措施的實(shí)施計(jì)劃，進(jìn)行適宜的跟蹤，確認(rèn)是否有效實(shí)施。6.1.6以上的工作完成后，須經(jīng)管理者代表確認(rèn)后，審核流程方可關(guān)閉。6.1.7如果發(fā)現(xiàn)信息安全重大不符合或征兆時(shí)，或者管理者代表判斷必要時(shí)，可調(diào)整年度審核計(jì)劃。6.1.8對(duì)審核的結(jié)果進(jìn)行適當(dāng)?shù)膮R總整理，作為管理評(píng)審的輸入材料。6.2內(nèi)部審核需保留以下記錄被審核對(duì)象范圍審核日期審核員被審核方依據(jù)的文件具體審核事項(xiàng)及其審查結(jié)果不符合內(nèi)容和程度（嚴(yán)重或輕微及觀察事項(xiàng)）不符合事項(xiàng)的糾正措施和實(shí)施期限糾正措施的實(shí)施狀況及其效果，其他必要事項(xiàng)、審核結(jié)束的確鑿證據(jù)以上程序詳見《內(nèi)部審核控制程序》7ISMS管理評(píng)審7.1總則信息安全最高管理者為確認(rèn)信息安全管理體系的適宜性、充分性和有效性，每半年對(duì)信息安全管理體系進(jìn)行一次評(píng)審。該管理評(píng)審應(yīng)包括對(duì)信息安全管理體系是否需改進(jìn)或變更的評(píng)價(jià)。管理評(píng)審的結(jié)果應(yīng)形成書面記錄，該記錄按4.3.3的要求進(jìn)行保存。7.2管理評(píng)審的輸入在管理評(píng)審時(shí)，管理者代表應(yīng)組織相關(guān)人員提供以下資料，供最高管理者和信息安全委員會(huì)進(jìn)行評(píng)審：ISMS體系內(nèi)、外部審核的結(jié)果；相關(guān)方的反饋（投訴、抱怨、建議）；可以用來改進(jìn)ISMS業(yè)績(jī)和有效性的新技術(shù)、產(chǎn)品或程序；信息安全目標(biāo)達(dá)成情況，糾正和預(yù)防措施的實(shí)施情況；信