信息安全委員會組織管理程序文件類別：信息安全三階文件文件編號：SP002文件頁數(shù)：8（含封面）發(fā)行日期：］—發(fā)行版次：—A1撰寫部門：文件與記錄管制中心簽名/日期文件發(fā)行章撰稿者審核者核準者發(fā)行管制編號文件名稱版次編號頁次信息安全管理委員會組織與管理A1SP0021/8

文件版本控制表修訂變更章次變更摘要修訂者版次日期Ft*章節(jié)頁次文件名稱版次編號頁次信息安全管理委員會組織與管理A1SP0022/8目錄TOC\o"1-5"\h\z前言4\o"CurrentDocument"適用范圍4\o"CurrentDocument"名詞定義4\o"CurrentDocument"信息安全4\o"CurrentDocument"管理系統(tǒng)4\o"CurrentDocument"風(fēng)險管理5\o"CurrentDocument"權(quán)責5\o"CurrentDocument"主席5\o"CurrentDocument"副主席5\o"CurrentDocument"執(zhí)行秘書5\o"CurrentDocument"各部門主管5\o"CurrentDocument"內(nèi)部稽核人員6\o"CurrentDocument"作業(yè)內(nèi)容65.1信息安全委員會的建立6信息安全安全委員會的運行6\o"CurrentDocument"信息安全委員會的監(jiān)控及審查7\o"CurrentDocument"相關(guān)文件7\o"CurrentDocument"附件7\o"CurrentDocument"補遺8文件名稱版次編號頁次信息安全管理委員會組織與管理A1SP0023/8信息安全管理委員會，是信息安全管理系統(tǒng)的一個重要組成部分。是根據(jù)『SM001-信息安全手冊』或『SSOO1-信息安全標準』所建立的。信息安全委員會建立的目的是：在整體營運活動與所面臨的風(fēng)險下建立、實作、操作、監(jiān)控、審查、維護與改進信息安全管理，并文件化信息安全管理系統(tǒng)，是風(fēng)險控制在可接受范圍內(nèi)。2適用范圍本文件適用于公司在建立、實作、運行、監(jiān)控、審查、改善信息安全管理委員會的過程中，應(yīng)該遵循的組織形式，權(quán)責的分配，考察及審核項目的選擇和執(zhí)行的過程，均要按照本程序所提的要求和規(guī)定來實行。3名詞定義信息安全保護信息的機密性、完整性與可用性；另外，也能涉及如鑒別性、可歸責任性、不可歸責任性、及可靠性等特點。管理系統(tǒng)管理系統(tǒng)涵蓋組織架構(gòu)、政策、規(guī)劃活動、責任、事務(wù)、程序、過程與資源。文件名稱版次編號頁次信息安全管理委員會組織與管理A1SP0024/8風(fēng)險管理風(fēng)險管理是指導(dǎo)與控制組織與風(fēng)險有關(guān)的協(xié)調(diào)活動，包括：風(fēng)險評鑒、風(fēng)險處理、風(fēng)險承受及風(fēng)險溝通。4權(quán)責主席主席為整個信息安全委員會的最高決策者。一般信息安全管理委員會由主席主持召開，重要的項目或文件必須由信息安全委員會討論通過后，由主席簽字批準后才能實行或發(fā)行。副主席副主席為整個信息安全委員會的第二決策者。在主席未能參加信息安全管理委員會的情況下，由主席授權(quán)，代理主席主持信息安全管理委員會。并能在獲得主席授權(quán)的情況下，代理主席簽核通過部分委員會的決議。執(zhí)行秘書執(zhí)行秘書在信息安全管理委員會上，書面記錄整個會議過程和會議決議，在會后形成文件和電子文檔加以保存，并要根據(jù)記錄下來的會議決議追稽會議決議的完成情況。各部門主管各部門主管在信息安全管理委員會上要根據(jù)各個部門的實際情況，提出需求和需要控管或改進的項目，以供信息安全管理委員會討論。并在會后落實、實施有關(guān)本部門的會議決議，并盡量留下實施蹤跡，以供追稽核和審核。文件名稱版次編號頁次信息安全管理委員會組織與管理A1SP0025/8內(nèi)部稽核人員由內(nèi)部稽核人員稽核事項的執(zhí)行結(jié)果，并向信息安全管理委員會提交審核結(jié)果。5作業(yè)內(nèi)容5.1信息安全委員會的建立?制定本公司的信息安全管理委員會的組織架構(gòu)，分為主席，副主席，執(zhí)行秘書，各個部門的主管組成。?依據(jù)營運、組織、所在位置、資產(chǎn)、技術(shù)等特性，制訂本公司的信息安全管理的目標和政策。?在有信息安全委員會成員離職后，需要通過委員會決議，選出一個適合其離職人員職位的人員，接任離職人員在委員會的職位。?定義風(fēng)險評估的標準和評鑒的方法。5.2信息安全委員會的運行依據(jù)營運、組織、所在位置、資產(chǎn)、技術(shù)等特性，以及包括任何該范圍所排除的細節(jié)和理由，來決定信息安全委員會的組織架構(gòu)、政策、管理等內(nèi)容。信息安全委員會的運行主要包括以下內(nèi)容：?信息安全委員會會議每半年至少執(zhí)行一次。執(zhí)行秘書提前一周安排好會議議題，并做好會議通知，安排一個合適的開會時間、開會地點。信息安全管理會議應(yīng)由主席參加并主持或者主席授權(quán)代理人參加并主持會議。其它委員必須參加會議，如不能參加，必須授權(quán)其代理人參加并做好詳細會議記錄，以便會后把記錄交給授權(quán)于他的委員執(zhí)行會議決議。（備注：主席的代理人一般為副主席，其它委員的代理人應(yīng)該為熟悉其委員所在部門業(yè)務(wù)的相關(guān)人員）?會議前，由執(zhí)行秘書負責讓每個信息安全管理委員會的參加人員填寫『SF057-會議簽到表』，代理人填寫代理人名字。文件名稱版次編號頁次信息安全管理委員會組織與管理A1SP0026/8?會議內(nèi)容由執(zhí)行秘書以書面的形式記錄下來，并形成『SF058-會議記錄表』保存。?委員會會議的決議，由會議指定的負責人親自執(zhí)行或者負責分配人員執(zhí)行。信息安全委員會的監(jiān)控及審查為了對信息安全管理委員會及其決議的監(jiān)控和審查，公司成立內(nèi)部稽核小組。內(nèi)部稽核小組的運作主要包括以下內(nèi)容：稽核小組根據(jù)管理審查的議題和決議，對整個信息安全管理系統(tǒng)的稽核至少每半年執(zhí)行一次?；诵〗M稽核信息安全管理委員會的決議及其執(zhí)行的過程是否符合信息安全標準及相關(guān)法律、法規(guī)或管理的要求，是否符合相應(yīng)的資訊安全文件的要求。同時還要稽核決議是否有效的執(zhí)行，并且執(zhí)行結(jié)果是否符合預(yù)期的結(jié)果。?稽核小組根據(jù)稽核的結(jié)果填寫『SF001-矯正/預(yù)防需求單』，交給信息安全管理委員會執(zhí)行秘書，則執(zhí)行秘書可以根據(jù)稽核的結(jié)果確立信息安全委員會的議題。6相關(guān)文件?『SM001-信息安全手冊』?『SS001-信息安全標準』?『SS002-信息安全內(nèi)部審查標準』?『SP0