组织环境分析管理程序
修改记录
1 目的
为保证公司信息安全管理体系的策划能实现预期的结果,识别、监视并评审与公司的宗旨、战略方向相关的内外部环境,根据内外部因素,结合本公司已有的优势和劣势,识别出风险和机会;针对识别的风险和机会,策划应对措施。
2  范围
适用信息安全管理体系所有相关的部门与过程。
3  职责
3.1 人力行政部:确定内外部环境因素。
3.2总经理:批准风险和机会的应对措施。
3.3 管理者代表:组织各部门进行内外部环境因素的识别评价、并拟定应对措施,对结果进行审核整理。
3.4 各部门:配合进行内外部环境因素识别评价、并拟定应对措施。
4  程序
4.1组织环境管理
管理者代表4.1.1在建立与持续改进信息安全管理体系时,公司将充分识别理解并考虑那些与公司的宗旨、战略方向相关,并影响公司实现信息安全管理体系预期结果能力的内部和外部环境。
4.1.2内外部环境要素识别与评估:在每年的管理评审前,由相关部门负责人进行识别并评估其适用性,具体部门及识别项目如下:
人力行政部:内部(公司价值观、企业文化、人员能力、体系运行、过程能力等),外部(地理位置、现存污染、法律、竞争、市场、文化、社会和经济环境等)。
技术开发部:内部(产品、人员能力、知识、业绩表现等),外部(法律、技术、竞争、社会和经济环境等)。
管理者代表:内部(战略、知识、人员能力、业绩表现等),外部(社会和经济环境
4.1.3各部门将识别结果登记在《组织环境(信息安全方面)一览表》上,提交管理者代表进行汇总整理。
4.1.4内外部环境要素监测与更新:
管理者代表每年在管理评审前组织一次全面的内外部内外部环境要素识别与评审。另外各部门在获得内外内外部环境要素信息变化时,应及时告知管理者代表,由管理者代表对《组织环境(信息安全方面)一览表》进行修订。
5相关文件:
6 记录表单
组织环境(信息安全方面)一览表