记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。
保持与持续改进信息安全管理体系,我公司开展以下活动,以确保信息安全管理体系的持续改进:
a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目;
b) 按照《内部审核管理程序》、《纠正措施管理程序》、《预防措施管理程序》的要求采取适当的纠正和预防措施;吸取其他组织及本公司安全事故(事件)的经验教训,不断改进安全措施的有效性;
c) 通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等;
d) 对信息安全目标及分解进行适当的管理,确保改进达到预期的效果。
文件要求
总则
本公司信息安全管理体系文件包括:
a) 文件化的信息安全方针、控制目标,在《信息安全管理手册》中描述;
b) 《信息安全管理手册》(本手册,包括信息安全适用范围及引用的标准);
c) 本手册要求的《信息安全风险评估管理程序》、《业务持续性管理程序》、《纠正措施管理程序》等支持性程序;
d) 信息安全管理体系引用的支持性程序。如:《文件和资料管理程序》、《记录管理程序》、《内部审核管理程序》等;
e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;
f) 《信息安全风险评估报告》、《信息安全不可接受风险处理计划》以及信息安全管理体系要求的记录类文件;
g) 相关的法律、法规和信息安全标准;
h) 适用性声明( SOA)。