1 目的
为确保组织信息安全方面信息的内外部沟通渠道的畅通,特制定本程序。
2 适用范围
适用于组织有关信息安全事务的协商和内外信息交流的管理。
3 职责
3.1信息安全小组
- 负责组织范围内有关信息安全方面的信息交流和沟通活动的日常管理工作,组织召开信息安全协调会;
- 与相关的权威机构、专业团体或其他安全专家论坛以及专业协会建立和保持适当的联系;
3.2 其他部门
- 根据职责分工在各自业务内,负责与相关政府部门建立联系并进行沟通;
- 负责收集本部门安全管理信息,并进行传递、沟通;
- 在各自业务内,负责与相关方之间在信息安全方面进行纵向横向信息的交流与沟通。
3.3办公室
- 组织信息安全小组及高管进行一年一次的信息安全管理评审会议。
- 负责本组织信息安全管理信息向外部传递,与地方电信、消防、供电、供水公安等部门在信息安全管理方面保持联系。
4 相关文件
《信息安全管理手册》
《信息安全法律法规管理程序》
5 程序
5.1 信息安全沟通的内容
- 管理与信息安全有关的法律、法规和其他要求颁布与修订制度的信息;
- 信息安全的威胁、薄弱点及相关事件的信息;
- 国内外信息安全管理的进展及科技成果信息;
- 公司信息安全管理检查情况;
- 相关方对公司信息安全管理的建议、要求和意见、投诉信息。
5.2 信息安全的沟通方式
- 各部门代表参加的沟通协调会议;
- 电话传达;
- 书面通知;
- 电子邮件、传真;
- 宣传板报、公司网页;
- 信息安全管理工作报告、总结。
5.3 信息安全的协商
组织在执行下列活动时,应与各部门协商:
- 信息安全方针的制定、修改和评审;
- 管理文件,特别是作业文件的修改和评审;
- 信息安全的资产识别与风险评估;
- 可能影响到信息安全的任何活动。
协商的方式有口头或书面交流,文件审核,参与会议讨论等,口头协调方式必须有记录可供参考。
办公室及时收集员工的意见和建议,反馈并督促相关部门处理。
5.4 内部信息沟通管理网络
信息安全小组是组织信息沟通的主管部门。
组织依托各部门建立组织级信息安全网络,负责组织内部信息的沟通管理(见《信息安全管理手册附录2-部门职责》)。
信息安全小组负责信息安全管理体系的建立及实施过程中的沟通和协调,负责与咨询机构、认证机构、专业团体建立联系,获取相关的信息安全行业信息。
组织根据需要建立信息安全管理专家组,包括有关信息安全和IT方面的专家,形成《信息安全专家名单》,经公司管理者代表批准,组织就信息安全活动的事项向信息安全管理专家组进行咨询,信息安全管理专家组负责解答。
5.5 外部信息的沟通管理
国家颁布的相关法律、法规和各级办公室门制订的相关要求,由信息安全小组按照《信息安全法律法规管理程序》的规定要求,进行必要的沟通和信息的采集、管理。
相关方对组织的信息安全管理的建议、要求和投诉等信息及国家主管部门的监督、检查信息,由相关业务主管部门负责采集,并及时向信息安全小组传递。
对客户、监理单位、承包商的有关信息安全沟通以会议、联络单、月报表、正告通知单等形式,由组织的业务主管部门负责。
信息安全小组负责建立《信息安全专家名单》,与信息安全权威机构(如公安部门的计算机安全部门)和相关团体(信息安全第三方服务机构)建立联系,及时报告信息安全事件(包括可能会违背法律的信息安全事件),取得指导和支持。填写《相关利益团体联系表》
5.6 内部信息的沟通管理
组织的信息安全管理文件的修订、审核和信息安全管理方针、目标和指标信息,由办公室组织实施传递与管理。
组织的设计、生产、技术的信息安全管理信息,由办公室采集与整理,并向信息安全小组传递。
组织内部在进行信息安全工作检查时,如发现的问题需要内部交流的,直接与职能部门沟通,必要时提请办公室组织协调。
信息安全小组至少每季度召开一次各部门负责人或部门代表参加的联席会议,就组织的信息安全活动的事项进行沟通和协调。
5.7 信息的处理
信息安全小组负责收集并处理内外部有关信息,包括相关方合理的意见和投诉,对可能引起的信息安全危害,必须提出处理措施和整改意见,报主管领导批准后执行,信息安全小组负责对处理措施有效性进行验证。
5.8 信息管理记录
组织在实施信息沟通管理的同时,由实施信息采集或沟通的部门负责建立信息沟通记录,向信息安全小组传递,信息安全小组保持信息沟通、处置记录。
相关方对组织的信息管理的建议、要求和投诉等需进行回复的信息,由信息安全小组建立信息回复和处置记录。