策劃階段,組織應(yīng):
定義ISMS的范圍和方針;
定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)性方法;
識(shí)別風(fēng)險(xiǎn);
應(yīng)用組織確定的系統(tǒng)性方法評(píng)估風(fēng)險(xiǎn);
識(shí)別并評(píng)估可選的風(fēng)險(xiǎn)處理方式;
選擇控制目標(biāo)與控制方式;
當(dāng)決定接受剩余風(fēng)險(xiǎn)時(shí)應(yīng)獲得管理者同意,并獲得管理者授權(quán)開(kāi)始運(yùn)行信息安全管理體系。
實(shí)施階段,組織應(yīng)該實(shí)施選擇的控制,包括:
實(shí)施特定的管理程序;
實(shí)施所選擇的控制;
運(yùn)作管理;
實(shí)施能夠促進(jìn)安全事件檢測(cè)和響應(yīng)的程序和其他控制。
檢查階段,組織應(yīng):
執(zhí)行程序,檢測(cè)錯(cuò)誤和違背方針的行為 ;
定期評(píng)審ISMS的有效性;
評(píng)審剩余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的等級(jí);
執(zhí)行管理程序以確定規(guī)定的安全程序是否適當(dāng),是否符合標(biāo)準(zhǔn),以及是否按照預(yù)期的目的進(jìn)行工作;
定期對(duì)ISMS進(jìn)行正式評(píng)審,以確保范圍保持充分性,以及ISMS過(guò)程的持續(xù)改進(jìn)得到識(shí)別并實(shí)施;
記錄并報(bào)告所有活動(dòng)和事件。
改進(jìn)措施階段,組織應(yīng):
測(cè)量ISMS績(jī)效;
識(shí)別ISMS的改進(jìn)措施,并有效實(shí)施;
采取適當(dāng)?shù)募m正和預(yù)防措施;
與涉及到的所有相關(guān)方磋商、溝通結(jié)果及其措施;
必要時(shí)修改ISMS,確保修改達(dá)到既定的目標(biāo)。
ISMS:ISMS(Information Security Management System)是信息安全管理體系。ISOIEC17799:2000它是繼ISO9000、ISO14000和OHSAS18000之后,又產(chǎn)生的一個(gè)管理體系標(biāo)準(zhǔn)—信息安全管理體系標(biāo)準(zhǔn)。
信息安全就是組織應(yīng)明確需要保護(hù)的信息資源,確保信息的機(jī)密性、完整性和 可用性,并保持良好的協(xié)調(diào)狀態(tài)。信息安全對(duì)企業(yè)經(jīng)營(yíng)非常重要,為了防止信息安全事故或事件的發(fā)生,盡管在技術(shù)方面采取了防火 墻和入侵監(jiān)測(cè)系統(tǒng),但是人為因素造成的信息機(jī)密流失仍然占有很高的比率(據(jù)說(shuō)約70%)。因此,建立信息安全管理體系十分必要。
為了建立、實(shí)施和保持信息安全管理體系,首先應(yīng)策劃信息安全管理體系的方針和目標(biāo),識(shí)別、分類(lèi)和清理信息資源,根據(jù)其危險(xiǎn)程度、薄弱環(huán)節(jié)和發(fā)生頻次,實(shí)施風(fēng)險(xiǎn)控制,包括回避、轉(zhuǎn)移、控制和消除風(fēng)險(xiǎn)。按PDCA循環(huán)模式,建立信息安全管理體系。建立信息安全管理體系共有8個(gè)階段。包括確定ISMS適用范圍、策劃ISMS方針目標(biāo)、策劃風(fēng)險(xiǎn)控制的過(guò)程、識(shí)別和評(píng)估風(fēng)險(xiǎn)、對(duì)風(fēng)險(xiǎn)控制現(xiàn)狀分析、選擇和制訂管理方案、識(shí)別存在的遺留風(fēng)險(xiǎn)和正式實(shí)施ISMS。
用于 ISMS認(rèn)證的標(biāo)準(zhǔn)有ISOIEC17799:2000和BS7799-2:1999。據(jù)說(shuō),到2003年8月15日止,按BS7799認(rèn)證的企業(yè)全共有282家,其中中國(guó)有5家。英國(guó)多,有99家。ISOIEC JTC1SC27正在對(duì)ISOIEC17799:2000進(jìn)行修訂。預(yù)計(jì)2004或2005年正式發(fā)布修訂版本。采用ISOIEC17799建立ISMS,并取得認(rèn)證的好處在于能夠建立完善的信息安全管理體系,從管理角度防止信息系統(tǒng)出現(xiàn)安全事故或事件;對(duì)外樹(shù)立信息系統(tǒng)可靠性形象,滿(mǎn)足顧客要求,提高企業(yè)競(jìng)爭(zhēng)能力。認(rèn)證的范圍適合于所有類(lèi)型和規(guī)模的組織,特別是涉及個(gè)人信息保護(hù)的組織,例如金融、通訊、醫(yī)療、社區(qū)管理、電子商務(wù)和電子政務(wù)等。
Inditex驗(yàn)廠審核程序包括:審核前會(huì)議,設(shè)施巡察,查閱文件,員工面談及總結(jié)會(huì)議。
Inditex驗(yàn)廠審核清單:
1.工卡或考勤記錄(過(guò)去十二個(gè)月),包括在職與離職人員。如果是使用電子考勤,審核員可能需要從計(jì)算機(jī)直接審閱考勤記錄,審閱是會(huì)在企業(yè)職員協(xié)助下進(jìn)行。
TimecardsorAttendanceRecords(Last12Months),includingactiveemployeesandresignationemployees.Ifelectronicstimecardisused,theauditormayneedtoreviewthetimerecorddirectlyfromthecomputer,withtheassistancefromthefacilitystaff.
2.工資表(過(guò)去十二個(gè)月),包括在職與離職人員。如果工資是通過(guò)銀行轉(zhuǎn)賬發(fā)放,請(qǐng)同時(shí)提供銀行轉(zhuǎn)賬記錄。
PayrollRecords(Last12months)),includingactiveemployeesandresignationemployees.IfwagepaidbyBankTransfer,BankTransferrecordisrequiredaccordingly.
3.員工花名冊(cè)及員工個(gè)人檔案(含身份證復(fù)印件)
EmployeeRosterandEmployeePersonnelRecords(includingI.D.cardcopy)
4.勞動(dòng)合同
LaborContract
5.請(qǐng)假記錄,離職申請(qǐng)/審批記錄
LeaveApplicationForm,ResignationApplicationFormwithApproval
6.社會(huì)保險(xiǎn)收據(jù),參保人員花名冊(cè),當(dāng)?shù)貐⒈R笪募蚝细褡C明文件等
7.工商營(yíng)業(yè)執(zhí)照
BusinessRegistration
8.建筑工程消防驗(yàn)收意見(jiàn)書(shū)或消防備案記錄、消防檢查報(bào)告
ConstructionProjectFireSafetyAcceptanceDocument/RecordorFireSafetyInspectionCertificate
9.消防演習(xí)記錄、緊急疏散計(jì)劃及工傷記錄等
FireDrillRecord,EmergencyEvacuationPlan,WorkAccidentRecordsandWork-relatedInjuryRecord
10.特種設(shè)備注冊(cè)登記證(表)及檢驗(yàn)報(bào)告,如電梯、起重機(jī)械、場(chǎng)(廠)內(nèi)專(zhuān)用機(jī)動(dòng)車(chē)輛、鍋爐及壓力
容器(含氣瓶,壓力表及安全閥)等(如有)
SpecialApplianceRegistrationCertificateandInspectionReport,suchasLift,LiftingAppliance,InsideSpecialmotorvehicle,BoilerandCompressingEquipment(includingGasCylinders,GaugeandSafetyValve)andetc.,ifany.
11.特種作業(yè)人員操作證,如電工、焊接工等(如有);
特種設(shè)備作業(yè)人員操作證,如電梯司機(jī)、起重機(jī)械司機(jī)、場(chǎng)(廠)內(nèi)專(zhuān)用機(jī)動(dòng)車(chē)輛司機(jī)、鍋爐操作工、
壓力容器操作工等(如有)。
SpecialOperationLicense,suchasElectrician,Welderandetc,ifany;
SpecialApplianceOperatorCertificate,suchasLiftOperator,LiftingApplianceOperator,InsideSpecialmotorvehicleDriver,BoilerOperatorandetc.,ifany.
12.廚房餐飲服務(wù)許可證及廚工健康證
Kitchen’sateringServiceLicenseandCooks?HealthCertificate
13.職業(yè)危害因素檢測(cè)報(bào)告和職業(yè)健康體檢記錄
OccupationalHazardsFactorsTestingReportandOccupationalHealthExaminationRecords
14.環(huán)保文件(如建設(shè)項(xiàng)目環(huán)境影響評(píng)價(jià)文件(環(huán)境影響報(bào)告書(shū)、環(huán)境影響報(bào)告表或者環(huán)境影響登記
表),環(huán)評(píng)批復(fù),建設(shè)項(xiàng)目環(huán)境竣工驗(yàn)收?qǐng)?bào)告,排污許可證/排放污染物申報(bào)登記表/監(jiān)測(cè)報(bào)告,輻射設(shè)備
(如有)的環(huán)評(píng)、驗(yàn)收及安全許可證等)
15.危險(xiǎn)**處置單位的營(yíng)業(yè)執(zhí)照,經(jīng)營(yíng)許可證,危險(xiǎn)**處理合同,危險(xiǎn)**轉(zhuǎn)移聯(lián)單等
BusinessLicense,BusinessPermitofDangerousWasteCollector,ServiceAgreementandDangerousWasteDisposalDuplicatedForm
16.企業(yè)規(guī)章制度或員工手冊(cè)
EnterpriseRegulationorEmployeeHandbook
17.政府有關(guān)當(dāng)?shù)氐凸べY標(biāo)準(zhǔn)文件
LocalMinimumWageStandard
18.當(dāng)?shù)貏趧?dòng)局關(guān)于綜合計(jì)算工時(shí)工作制或延長(zhǎng)加班
OfficialComprehensiveWorkingHourSystemApprovalorWaiverforOvertimeExtension
19.未成年工體檢及勞動(dòng)局登記記錄
YoungWorkers?HealthExaminationandRegistrationRecords
20.建筑平面圖
FacilityBuildingLayout
21.勞務(wù)派遣工的入職檔案(含身份證復(fù)印件,入職日期等),考勤及工資表記錄,勞動(dòng)合同,社會(huì)保險(xiǎn)收
據(jù)及合格證明,與勞務(wù)派遣單位簽訂的合同及勞務(wù)派遣單位的營(yíng)業(yè)執(zhí)照
DispatchedEmployees?PersonalFileswithIDCardCopyandEmploymentDate,Attendance&PayrollRecords,LaborContracts,SocialInsuranceReceipt&Certificates,ContractsignedwithLaborAgentandtheBusinessLicenseofLaborAgent