为进一步完善集团信息安全风险防控体系,验证现有信息安全体系的适宜性、充分性、有效性,全面检查各部门执行体系文件情况,4月23、24日二天,集团正式开展ISO27001信息安全管理体系认证项目内审工作。 本次内审有两项审核要求,一是内审员检查受审核部门贯彻执行信息安全体系文件要求情况,记录的正确性、合理性,跟踪不合格项, 部门目标分解执行情况,持续改进项目执行情况,以及现场检查;二是受审核部门应合理安排工作,资料员配合审核。审核范围为集团信息安全管理体系覆盖的范围。审核依据为ISO27001:2013标准、管理体系文件、适用性声明、有关法律法规、合同。 在信息安全内审总结会上,集团副总裁高振华提出四点要求,一是定规则,对于本次梳理出来的不符合项目,进行任务分解,责任到每个部门;二是保落实,各部门须严格执行信息安全体系文件相关要求,让信息安全事故率降到最低;三是勤督查,牵头部门仔细检查各部门对信息安全现状及体系文件的执行情况,及时发现信息安全风险点,督促完善对相关风险的安全管控;四是强考核,建立信息安全考核机制,对各部门的信息安全管理制定量化考核要求,进一步将信息安全理念深入部门管理。 下一步,集团将按照有关要求对本次内审的问题点进行落实整改,整改工作计划在今年10月底前全部完成,年底前将顺利通过信息安全管理体系ISO27001认证。
|
