aeo认证中信息安全管理制度怎么写? -九游会国际
在aeo认证企业内部建标过程中,最为大家头疼的就是信息安全管理制度,很多没接触过的人,完全不明白信息安全管理制度,应当从哪里着眼,入手,并形成企业日常程序。
从管理角度,浅析aeo认证中,信息安全管理制度的作用,架构和一些具体的着眼点。
1. 目的明确
信息安全管理制度,并不仅仅是为了aeo认证而写的一个样子制度,制度本身,对于企业的档案、技术资料、配方、软件系统、财务数据、物流关务数据和计算机权限管理,得到控制,防止非预期风险的发生,造成意外损失。目的明确了,才能站在企业自身的角度去考虑制度的范围,适用性。
2. 范围合理
搞清楚企业自身信息安全管理制度的范围,我们做一个制度,并不是一定要大而全,一刀切。财务和关务的信息数据,和行政部的文员电脑,其重要度肯定不是一个等级和层次的。erp系统,关务系统和视频监控报警系统的数据存储期限也是要求不同的。有效的根据其自身特点,界定范围,能够便于企业把有限的资源和精力,放在最需要的地方,正所谓好钢用在刀刃上。
3. 职责清楚
权责要分清,界定清楚所需要纳入信息安全管理的内容后,就需要按照人员角色,分清楚谁来做的问题,尽可能职责不要在现有架构中做太大变化,关注可操作性的层面,截然不同的工作任务,在执行当中,经常会遇到抵触,不容易推行。
4. 流程顺畅
流程是一个管理程序和制度的核心,流程与流程之间,具有完整的接口,才能形成一个有效的管理体系。信息安全是企业管理制度中,重要的组成部分,涉及到的过程通常有:采购、生产、销售、物流、技术和品质等,与各过程的接口,应当非常清楚。举个例子:某保健品的生产,涉及到配方的传递,保密。那么技术部的计算机权限的管理,进入控制,,密码更换等应当予以界定。不同产品的配方,如何转化为采购信息。从销售订单转化为采购订单的数据,传递过程,数据权限,可以流程图的方式描述清楚。从物流数据,到最终出口数据,全流程是否能实现正向追溯和逆向追溯。等等,这都是检验企业信息安全管理制度,是否符合与适用的标准。
5. 方法易获得
一旦岗位人员,需要获得相应知识时,应具有使用手册等作业指导文件,必要时,对相关人员开展信息安全要求的培训,确保如何做?
6. 绩效指标考核
小白老师这里说的绩效指标,并不是一般公司和工资挂钩的绩效。而是过程方法管理中,识别过程受控,考察过程的绩效指标,信息安全制度是否得到执行,执行是否有效,应当在企业管理体系内审、管理体系评审中,得到体现。也是实现aeo制度中所说的自我纠错。
7. 改进机制
改进机制,应贯穿于我们的管理工作中,在信息安全管理过程中,pdc的工作都得到了完成情况下,我们应对于检查的结果,予以处置。确保体系向上!