GBT22080:2016信息资产风险评估表-综合部
GBT22080信息安全管理手册
编写委员会信息安全管理手册GLSC2020第A/0版编写:审核:批准:受控状态:XXX网络科技有限公司发布时间:2020年9月1日实施时间:2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全,依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际,特制定信息安全管理手册(以下简称“管理手册”)A/0版。
《管理手册》阐述了公司信息安全管理,并对公司管理体系提出了具体要求,引用了文件化程序,是公司管理体系的法规性文件,它是指导公司建立并实施管理体系的纲领和行动准则,也是公司对所有社会、客户的承诺。
《管理手册》是由公司管理者代表负责组织编写,经公司总经理审核批准实施。
《管理手册》A/0版于2020年9月1日发布,并自颁布日起实施。
本公司全体员工务必认真学习,并严格贯彻执行,确保公司信息安全管理体系运行有效,实现信息安全管理目标,促使公司信息安全管理工作得到持续改进和不断发展。
在贯彻《管理手册》中,如发现问题,请及时反馈,以利于进一步修改完善。
授权综合部为本《管理手册》A/0版的管理部门。
XXX网络科技有限公司总经理:2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》,加强对管理体系运作的领导,特任命gary为本公司的信息安全管理者代表。
除履行原有职责外,还具有以下的职责和权限如下:(1)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。
(2)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;(3)负责与信息安全管理体系有关的协调和联络工作;(4)负责确保管理手册的宣传贯彻工作;(5)负责管理体系运行及持续改进活动的日常督导;(6)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;(7)主持公司内部审核活动,任命内部审核人员;(8)代表公司就公司管理体系有关事宜与外部进行联络。
GBT22080信息安全管理手册
编写委员会信息安全管理手册GLSC2020第A/0版编写:审核:批准:受控状态:XXX网络科技有限公司发布时间:2020年9月1日实施时间:2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全,依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际,特制定信息安全管理手册(以下简称“管理手册”)A/0版。
《管理手册》阐述了公司信息安全管理,并对公司管理体系提出了具体要求,引用了文件化程序,是公司管理体系的法规性文件,它是指导公司建立并实施管理体系的纲领和行动准则,也是公司对所有社会、客户的承诺。
《管理手册》是由公司管理者代表负责组织编写,经公司总经理审核批准实施。
《管理手册》A/0版于2020年9月1日发布,并自颁布日起实施。
本公司全体员工务必认真学习,并严格贯彻执行,确保公司信息安全管理体系运行有效,实现信息安全管理目标,促使公司信息安全管理工作得到持续改进和不断发展。
在贯彻《管理手册》中,如发现问题,请及时反馈,以利于进一步修改完善。
授权综合部为本《管理手册》A/0版的管理部门。
XXX网络科技有限公司总经理:2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》,加强对管理体系运作的领导,特任命gary为本公司的信息安全管理者代表。
除履行原有职责外,还具有以下的职责和权限如下:(1)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。
(2)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;(3)负责与信息安全管理体系有关的协调和联络工作;(4)负责确保管理手册的宣传贯彻工作;(5)负责管理体系运行及持续改进活动的日常督导;(6)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;(7)主持公司内部审核活动,任命内部审核人员;(8)代表公司就公司管理体系有关事宜与外部进行联络。
国家信息安全标准体系
四、已颁布的国家标准
信息安全测评32项
GB/T 20979-2007信息安全技术 虹膜识别系统技术要求 GB/T 20983-2007信息安全技术 网上银行系统信息安全保障评估准则 GB/T 20987-2007信息安全技术 网上证券交易系统信息安全保障评估准则 GB/T 21050-2007信息安全技术 网络交换机安全技术要求(评估保证级3) GB/T 21052-2007信息安全技术 信息系统物理安全技术要求 GB/T 21053-2007信息安全技术 公钥基础设施 PKI系统安全等级保护技术
WG3专门负责信息系统、部件和产品相关 的安全评估标准和认证标准的制、修订工 作。这些标准将涉及计算机网络、分布式 系统及其相关应用服务等。该项工作包含 三个方面的内容:评估准则、使用准则的 方法、评估认证及认可模式的管理规程
JTC1/SC27/WG3
WG3目前正在研究的项目:
ISO/IEC 15408《IT安全评估准则》 ISO/IEC 15443《IT安全保障框架》 0 ISO/IEC 15446《安全目标和保护轮廓产生指南》 0 ISO/IEC 18045《安全评估方法》 0 ISO/IEC 19790《密码模块安全要求》 0 ISO/IEC 24759《密码模块测试要求》 0 ISO/IEC 19791《运行系统安全评估》
标准及标准化有关概念
标准是“为在一定的范围内获得最佳秩序,对活动 或其结果规定共同的和重复使用的规则、指导原则 或特性的文件。该文件经协商一致定并经一个公认 机构的批准”。“标准应以科学、技术和经验的综合 成果为基础,并以促进最大社会效益为目的”。
标准及标准化有关概念
对“标准”的定义可从三个主要方面去理解: 1、标准是对某一对象(称之为标准化对象)进 行统一描述的一种特殊文件。 2、标准是实现系统功能的工具之一,制定标准 的目的是为了满足人类社会的某种需求,取得最 佳经济效益和社会效益。 3、标准产生有自身的规律:
GBT22080信息安全适用性声明
信息安全适用性声明
1
本声明描述了在ISO27001:2005附录A中,适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。
2
ISMS-1001《信息安全管理手册》
3
《信息安全适用性声明》由XXX编制、修订,由管理者代表批准。
A.6.1.1
信息安全管理承诺
控制
YES
确定评审安全承诺及处理重大安全事故,确定与安全有关重大事项所必须的职责分配及确认、沟通机制。
公司成立信息安全管理委员会,由公司领导、信息安全管理者代表、各主要部门负责人组成。信息安全管理委员会至少每半年召开一次,或者当信息安全管理体系发生重大变化或当管理者代表认为有必要时召开。信息安全管理者代表负责决定召开会议的时机及会议议题,行政部负责准备会议日程的安排。会议主要议题包括:
内部信息安全顾问负责:
a)按照专业分工负责解答公司有关信息安全的问题并提供信息安全的建议;
b)收集与本公司信息安全有关的信息、新技术变化,经本部门负责人审核同意,利用本公司电子邮件系统或采用其它方式传递到相关部门和人员;
c)必要时,参与信息安全事故的调查工作。
《信息安全内部顾问名单和信息安全外部专家名单》
公司成立信息安全管理协调小组,由信息安全管理者代表和XXX部、XXX部信息安全体系内审员组成。
协调小组每季度召开一次协调会议(特殊情况随时召开会议),对上一季度的信息安全管理工作进行总结,解决体系运行中存在的问题,并布置下一季度的信息安全工作。会议由XXX负责组织安排并做好会议记录。
有关信息安全管理委员会会议记录(会议纪要)
A.6.1.4
22080-2016-ISO27001-2013信息安全管理体系第三方服务管理工作指南
第三方服务管理工作指南
目录
1 范围 (2)
2 规范性引用文件 (2)
3 职责 (2)
4 管理内容和要求 (3)
4.1 第三方服务的确定 (3)
4.2 对第三方服务的监督和评审 (3)
4.3 第三方服务的变更管理 (4)
4.4第三方人员及外包商安全管理 (4)
4.5供应商协议中的安全 (5)
4.6 信息和通信技术供应链 (6)
第三方服务管理工作指南
1 范围
适用于公司信息安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。
为加强对第三方服务提供商(合作商)的控制,减少安全风险,防范公司信息资产损失,特制定本程序。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
《信息技术安全技术信息安全管理体系要求》(GB/T 22080-2016/ISO/IEC 27001:2013)
3 职责
3.1 商务采购部
负责统一管理第三方服务的控制活动,负责确定合格的第三方服务商。
3.2 各相关部门
a) 与第三方服务商签订服务合同和保密协议;
b) 负责对第三方服务商的服务进行安全控制;
c) 负责定期对第三方服务商进行监督和评审。
医疗器械网络安全注册技术指导原则-盛恩医药
附件1医疗器械网络安全注册技术指导原则(征求意见稿)本指导原则旨在指导制造商提交医疗器械网络安全注册申报资料,同时规范医疗器械网络安全的技术审评要求。
本指导原则是对医疗器械网络安全的一般性要求,制造商应根据医疗器械产品特性提交网络安全注册申报资料,判断指导原则中的具体内容是否适用,不适用内容详述理由。
制造商也可采用其他满足法规要求的替代方法,但应提供详尽的研究资料和验证资料。
本指导原则是在现行法规和标准体系以及当前认知水平下、并参考了国外法规与指南、国际标准与技术报告制定的.随着法规和标准的不断完善,以及认知水平和技术能力的不断提高,相关内容也将适时进行修订。
本指导原则是对制造商和审评人员的指导性文件,不包括审评审批所涉及的行政事项,亦不作为法规强制执行,应在遵循相关法规的前提下使用本指导原则。
本指导原则作为《医疗器械软件注册技术审查指导原则》的补充,应结合《医疗器械软件注册技术审查指导原则》相关要求进行使用。
本指导原则是医疗器械网络安全的通用指导原则,其他涉及网络安全的医疗器械产品指导原则可在本指导原则基础上进行有针对性的调整、修改和完善。
一、范围本指导原则适用于医疗器械网络安全的注册申报,包括具有网络连接功能以进行电子数据交换或远程控制的第二类、第三类医疗器械产品,其中网络包括无线、有线网络,电子数据交换包括单向、双向数据传输,远程控制包括实时、非实时控制。
同时,本指导原则也适用于采用存储媒介以进行电子数据交换的第二类、第三类医疗器械产品的注册申报,其中存储媒介包括但不限于光盘、移动硬盘和U盘。
二、基本原则随着网络技术的发展,越来越多的医疗器械具备网络连接功能以进行电子数据交换或远程控制,在提高医疗服务质量与效率的同时也面临着网络攻击的威胁。
医疗器械网络安全出现问题不仅可能会侵犯患者隐私,而且可能会产生医疗器械非预期运行的风险,导致患者受到伤害或死亡。
因此,医疗器械网络安全是医疗器械安全性和有效性的重要组成部分之一。
22080-2016信息安全管理体系管理手册及程序文件
22080-2016信息安全管理体系管理手册及程序文件信息安全管理手册目录1. 概述1.1目的1.2适用范围1.3颁布令1.4授权书2. 依据文件和术语2.1依据文件2.2术语定义3. 裁剪说明4. 组织环境4.1组织环境描述4.2信息安全相关方的需求和期望4.3信息安全管理体系范围的确定4.4体系概述5. 领导力5.1领导力和承诺5.2信息安全方针和目标5.3组织角色、职责和权限6. 策划6.1风险评估和处置6.2目标实现过程7. 支持7.1资源提供7.2信息安全能力管理7.3意识培训7.4信息安全沟通管理7.5存档信息控制8. 运行8.1体系策划与运行9. 绩效评价9.1能力评价9.2有效性测量9.3内部审核9.4管理评审10. 改进11. 信息安全总体控制A.5信息安全策略A.6信息安全组织A.7人力资源安全A.8资产管理A.9访问控制A.10密码控制A.11物理和环境安全A.12操作安全A.13通信安全A.14系统获取、开发和维护A.15供应商关系A.16信息安全事故A.17业务连续性管理的信息安全方面A.18符合性附件一:信息安全组织架构映射表附件二:信息安全职责分配表1.概述为提高服务质量,规范管理活动,保障系统安全运行,提升人员安全意识水平,XXX软件有限公司(以下简称“公司”)依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求,结合自身业务系统实际运行安全需求,已建立实施了一套科学有效的信息安全管理体系,并通过体系的有效运行,实现持续改进,达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。
目的本总纲为公司信息安全管理体系的纲领性文件,描述了信息安全管理体系的方针、目标、管理机制和要求等方面的内容。
通过建立策划(P)→执行(D)→检查(C)→改进(A)的持续改进机制,不断提高公司的信息安全管理水平,确保日常信息安全管理活动的安全、稳定、高效,提升企业核心竞争力。
GBT22080:2016信息安全管理体系员工手册
员工手册1.1.信息安全策略:1.2.服务器管理服务器配置要点:1.机器名按资产识别程序中的规定命名,不得使用随机名,所有服务器使用固定IP地址。
2.服务器时间在每次检查时与INTERNET时间校对。
3.日志每半月保存一次(包括应用、系统日志),日志上限为16384KB,超过这个大小采用覆盖方式。
4.服务器的性能监控初步指标:CPU占用率不得长期高于80%,内存使用率不得长期高于80%,系统盘至少要有20%的余量供临时文件周转。
1.2.1.服务器检查1.3.路由器配置1.更改路由器的初始登入密码,密码强度符合至少8位,数字、字母和符号任意两种组合。
2.打开主路由器中的防火墙,启用路由器的安全功能,对性能有较大影响的选项需根据业务和安全需求综合评审。
3.更改二级路由器的LAN口地址,防止与上层路由器发生IP冲突。
4.二级路由器一般关闭DHCP,无线的可以打开。
5.无线部分打开安全设置,使用加密方法,无线路由应根据业务和人员流动情况决定是否更改密码。
6.路由器的配置信息需要保存,如导出文件或配置截图。
10. 路由器最好放置在特定机柜中,若不具备条件需每周检查路由器配置是否被重置。
1.4.系统权限检查对每个应用信息系统建立《系统权限登记表》,每个权限的分配和改动需要有相应的申请和记录,每月按权限表进行检查,按表中的评审周期对系统权限进行评审,最多不得超过半年。
检查范围:各信息系统1.上网系统检查,主要是看无线密码是否需要更改,网络控制设施的相关配置有无变化。
3.服务器账号系统,查看用户有无增减。
1.5.备份1.6.即时通讯软件的使用公司允许使用的即时通讯工具包括:QQ 微信、钉钉1.使用钉钉必须经过申请,由网络管理员登记到即时通讯服务权限表中。
2.钉钉口令需要符合至少8位长度,数字、字母、符号任意两种类型组合的强度。
3.钉钉不得私自建群,使用群共享和群硬盘,所有内部群开启必须经过审批,由网络管理员登记后开放权限。
gbt22080:2016网络信息安全管理制度
目录一、信息系统容量规划及验收管理规定 (1)二、信息资产密级管理规定 (2)三、信息系统设备管理规定 (4)四、笔记本电脑管理规定 (8)五、介质管理规定 (10)六、变更管理规定 (13)七、第三方服务管理规定 (16)八、邮件管理规定 (18)九、软件管理规定(无) (21)十、系统监控管理规定(无) (23)十一、补丁管理规定(无) (24)十二、信息系统审核规范(无) (25)十三、基础设施及服务器网络管理制度 (26)十四、信息系统安全应急预案 (29)十五、远程办公管理制度 (33)十六、信息安全访问控制管理规定 (34)十七、信息交换管理规定 (38)一、信息系统容量规划及验收管理规定1. 目的针对已确定的服务级别目标和业务需求来设计、维持相应的开发中心服务能力,从而确保实际的开发中心服务能够满足服务要求。
2. 范围适用于公司所有硬件、软件、外围设备、人力资源容量管理。
3. 职责综合部负责确定、评估容量需求。
4. 内容(1)容量管理包括:服务器,重要网络设备:LAN、WAN、防火墙、路由器等;所有外围设备:存储设备、打印机等;所有软件:操作系统、网络、内部开发的软件包和购买的软件包;人力资源:要维持有足够技能的人员。
(2)对于每一个新的和正在进行的活动来说,公司管理层应识别容量要求。
(3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。
公司管理层应特别关注与订货交货周期或高成本相关的所有资源,并监视关键系统资源的利用,识别和避免潜在的瓶颈及对关键员工的依赖。
(4)应根据业务规划、预测、趋势或业务需求,定期预测施加于综合部系统上的未来的业务负荷以及组织信息处理能力,以适当的成本和风险按时获得所需的容量。
二、信息资产密级管理规定1. 目的确保公司营运利益,并防止与公司营运相关的保密信息泄漏。
2. 范围本办法适用于公司所有员工。
3. 保密信息定义保密信息指与公司营运相关且列入机密等级管理的相关信息。
信息安全风险评估规范
由被评估组织的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信息系统及其 管理进行的具有强制性的检查活动。
3.10 完整性 integrity
保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。
3.11 组织 organization
一种基于表现形式的威胁分类表种类描述威胁子类种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障通讯链路中断系统本身或软件缺陷造等问题设备硬件故障传输设备故障存储媒体故障系统软件故障应用软件故障数据库软件故障开发环境故障物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电静电灰尘潮湿温度鼠蚁虫害电磁干扰洪灾火灾地震等无作为或操作失误应该执行而没有执行相应的操作或无意地执行了错误的操作维护错误操作失误等管理不到位安全管理无法落实或不到位从而破坏信息系统正常有序运行管理制度和策略不完善管理规程缺失职责不明确监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒特洛伊木马蠕虫陷门间谍软件窃听软件等越权或滥用通过采用一些措施超越自己的权限访问了本来无权访问的资源或者滥用自己的职权做出破坏信息系统的行为非授权访问网络资源非授权访问系统资源滥用权限非正常修改系统配置或数据滥用权限泄露秘密信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入网络探测和信息采集漏洞探测嗅探账户口令权限等用户身份伪造和欺骗用户或业务数据的窃取和破坏系统运行的控制和破坏等物理攻击通过物理的接触造成对软件硬件数据的破坏物理接触物理破坏盗窃等泄密信息泄露给不应了解的他人内部信息泄露外部信息泄露等篡改非法修改信息破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息篡改系统配置信息篡改安全配置信息篡改用户身份信息或业务数据信息抵赖不承认收到的信息和所作的操作和交易原发抵赖接收抵赖第三方抵532威胁赋值判断威胁出现的频率是威胁赋值的重要内容评估者应根据经验和或有关的统计数据来进行判断
20.信息安全管理体系GBT22080 要求(27001)
信息技术安全技术信息安全管理体系要求Information technology-Security techniques- Information security management systems-Requirements(ISO/IEC 27001:2005)目次引言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 信息安全管理体系(ISMS) (3)5 管理职责 (8)6 内部ISMS审核 (9)7 ISMS的管理评审 (9)8 ISMS改进 (10)附录 A (规范性附录)控制目标和控制措施 (12)附录 B (资料性附录)OECD原则和本标准 (27)附录 C (资料性附录)ISO 9001:2000, ISO 14001:2004 和本标准之间的对照 (29)引言0.1总则本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称ISMS)提供模型。
采用ISMS应当是一个组织的一项战略性决策。
一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。
按照组织的需要实施ISMS,是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。
本标准可被内部和外部相关方用于一致性评估。
0.2过程方法本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS。
一个组织必须识别和管理众多活动使之有效运作。
通过使用资源和管理,将输入转化为输出的任意活动,可以视为一个过程。
通常,一个过程的输出可直接构成下一过程的输入。
一个组织内诸过程的系统的运用,连同这些过程的识别和相互作用及其管理,可称之为“过程方法”。
本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性:a)理解组织的信息安全要求和建立信息安全方针与目标的需要;b)从组织整体业务风险的角度,实施和运行控制措施,以管理组织的信息安全风险;c)监视和评审ISMS的执行情况和有效性;d)基于客观测量的持续改进。
GBT22080管理体系审核计划
管理体系审核计划审核日程安排注:以上日程安排随着审核的开展和实施可能会作相应的调整。
审核计划拟制:日期:方案管理人员批准:日期:受审核方确认:日期:注意事项:(1)本次审核所涉及的职能以及对该职能重点评价过程及活动见审核日程安排,希望在计划审核期间该职能和活动直接负责人员在场。
若有不便,请预先通知审核组。
(2)受审核方组织如有需要了解审核组每位成员的背景情况,可直接反馈给认证中心审核部。
(3)审核组在实施审核工作时实行组长负责制。
(4)审核组的任务是:-检查和验证受审核方组织与管理体系相关的结构、方针、过程、程序、记录及相关文件;-确定上述方面满足与所期望的认证范围相关的所有要求;-确定受审核方组织有效地建立、实施并保持了管理体系过程和程序,以便为建立对受审核方组织管理体系的信任提供基础;-告知受审核方组织其方针、目标及指标(与相关管理体系标准或其他规范性文件的期望一致)与结果之间的任何不一致,以使其采取措施。
(5)审核组长将按照计划实施审核并主持召开首次、末次会议,介绍与本次审核有关的信息和审核结果。
请贵单位通知主要领导和管理者代表以及本次审核涉及部门的负责人等参加首、末次会议,了解认证信息与要求,并请协助审核组完成本次审核任务。
(6)审核的公正性对审核可信度有非常重要影响,请贵单位给予支持和配合,否则会对本次管理体系审核结果产生负面影响。
(7)本次审核所用语言:中文(8)审核组将核实贵组织结构、方针和程序,并确认能满足有关认证范围的所有要求,且程序得到实施并对产品、过程和服务提供信任。
(9)为保证审核顺利进行,请受审核方为每个审核组确定向导。
必要的话,可指定观察员。
向导和观察员可以与审核组同行,但不是审核组成员, 不应当影响或干扰审核的实施。
受审核方指派的向导应当协助审核组并且根据审核组长的要求行动。
他们的职责:a)为审核员和贵公司建立联系并安排面谈时间;b)安排对场所或组织的特定部分的访问;c)确保审核组成员了解和遵守有关场所的安全规则和安全程序;d)代表贵公司对审核进行见证;e)在收集信息的过程中,做出澄清或提供帮助。
GBT22080:2016供方评价准则
选择和评价供方准则
编号:GL-004
1、目的
为了对供方实施有效控制,制定相应的评价准则。
2、职责
综合部负责选择和评价供方。
3、要求
3.1综合部根据市场调研结果和以往合作、产品质量情况,确定供方评价准则。
3.2对电脑设备、软件等采购供方应评价:质量保证能力、价格、产品质量状况、服务。
对服务类供方应评价:服务及时率、价格、服务人员能力等。
对办公用品供方应评价:商场或超市购买,总经理亲批采购计划和价格、产品质量状况。
3.3通过质量管理体系(ISO9000)认证的供方只需要求其提供营业执照、认证证书及质量合格证明的复印件,可直接填入《合格供方名录》,无须进行重新评价。
3.4对新客户公司应先进行经营合法性验证,必须是合法经营企业方可考虑,确认是合法经营企业后,结合其产品、服务质量进行调查。
3.5综合部组织有关部门按上述准则进行评价,填写《供方调查评价表》,经经理批准后,纳入《合格供方名录》。
3.6公司规定对合格供方每年重新进行评价一次,当供方产品发生重大质量问题时,可由公司经理决定增加评价频次。
3.7综合部保存所有合格供方的资料及有关评价记录。
4、记录
《合格供方名录》
《供方评价表》。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
库存现金盘点表、银行对账单及余额 调节表 10
4
金蝶财务软件中的账务数据
4
16
银行系统
4
28
专用电脑
4
容易损毁 容易丢失 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更 防护措施不力 防护措施不力 管理环节不强 访问控制不严 格 防护措施不力 防护措施不力 管理环节不强 访问控制不严 格 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更
组织管理 人员管理 人员管理
4 副总、出纳
险评估表
编制日期:2018.04.10 脆弱性等级 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 风险数值表 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 风险级别 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 风险认可 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 处置计划
二次风险评估 完成情况 威胁 威胁值 脆弱性 脆弱性严重度 机密性影响 完整性影响 可用性影响 资产等级
风险可能性
风险级别
4
考勤薪资表
4
7
会计凭证 8
4
火灾、洪灾、潮湿 盗窃 管理不到位 网络攻击 无作为或操作失误 管理不到位 越权或滥用 操作失误 潮湿 火灾 非法访问 故意破坏 潮湿 火灾 非法访问 故意破坏 管理不到位 网络攻击 无作为或操作失误 管理不到位 越权或滥用 操作失误 管理不到位 网络攻击 无作为或操作失误 管理不到位 越权或滥用 操作失误 管理不到位 网络攻击 无作为或操作失误 管理不到位 越权或滥用 操作失误 管理不到位 网络攻击 无作为或操作失误 管理不到位 越权或滥用 操作失误
ISO27001信息安全管理体系资产风险评估表
部门:综合部 序号 资产名称 风险责任人 资产等级 威胁 威胁性等级 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 脆弱
2
劳动合同、保密协议