监视和测量管理程序
1 目的
通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析， 为策划、实施、持续改进信息安全管理体系提供依据。
2 适用范围
本程序适用于对技术中心本公司区域内所有部门的安全特性控制、绩效及管理体系运行的监视和 测量。
3 术语和定义
引用 GB/T22080-2008 标准及本公司技术中心《信息安全管理手册》中的术语和定义。
4 职责
4.1 行政人力部负责人项目及流程管理部负责人
4.1.1 负责掌握信息安全管理体系的总体运行情况，并向最高管理者汇报，对最高管理者负 责。
4.1.2 负责每半年组织对本公司技术中心职能部门目标的完成情况进行考核。
4.2 项目及流程管理部行政人力部
4.2.1 负责本程序的编制、修订和监督实施。
4.2.2 负责每半年对各职能业务部门进行监视和测量，对各职能业务部门的监视和测量执行 情况进行监督、检查和指导，为纠正和预防提供信息。
4.2.3 负责收集的客户信息安全方面信息，并进行汇总、分析和传递。
4.2.4 项目及流程管理部行政人力部负责获取、识别、更新适用于本公司技术中心信息安全管理体系运行的 所有法律法规，发布《信息安全法律法规清单》，对本程序的实施情况进行组织、监督和检 查。负责法律法规的更新以及适用性的确认，并传达给各部门。
4.2.5 项目及流程管理部行政人力部根据法律法规、客户合同以及相关信息安全保密要求组织对已签 订的保密协议书进行评审。
5 控制措施和目标实现程度的监视测量
5.1 监视和测量的范围及依据
5.1.1 根据本公司技术中心业务范围内信息资产的控制范围，确定监视和测量范围。
5.1.2 测量的范围一般包括：
a) 控制措施的实现过程；
b) 关键特性；控制措施实现目标程度；适用法律、法规的符合性；业务持续性控制措 施；事故、事件和其它不良的绩效；
c) 不可接受风险计划中确定的措施；
d) 客户信息安全保密的满意程度。
5.1.3 监视和测量的依据是法律法规、技术标准、客户合同、适用性声明、管理手册、程序 文件等。
5.2 监视和测量的要求
应按照国家及地方技术规范规定和客户要求的检验和试验项目、标准、方法进行监视和 测量。必要时，本公司技术中心各部门指定专人编写作业文件予以规定，规定的严格程度应与问题的 复杂程度和风险相适应。
5.3 监视和测量的实施
5.3.1 项目及流程管理部行政人力部根据各部门确立的监视和测量范围，确定监视和测量的依据、项 目、关键特性、频次、使用的仪器设备等。
5.3.2 监视和测量可选择的方法
a. 对控制过程进行日常检查；
b. 信息安全保密措施状况的抽查；
c. 设备装置的检查； d .作业环境的监视； e. 记录检查。
5.3.3 控制过程的监视和测量
a. 项目及流程管理部行政人力部负责组织控制措施实施过程的监视和测量。
b. 信息处理设备出/入库前，必须按照采购计划对物资设备的数量、规格、信息安全保
密要求进行验证，审核产品证明文件的符合性。验证方法应符合 《信息处理设备管理程序》， 并保留相应的原始记录。
c. 使用前必须经过复验、检验的物资，按相应的标准、规范进行复验。
d. 未经监视和测量的信息处理硬件软件不得投入使用，对验证不合格的，按照《事态、 事件、薄弱点与故障管理程序》执行。
e. 因工作急需，未经检验和试验放行（硬件、软件），必须具备放行后一旦发现问题能 够追回的条件。
f. 紧急放行后，应及时进行检验和试验，发现问题及时追回或处理。
g. 为控制措施目标所需的主动监视和测量，以巡检、设施监控、统计分析等适用的方 法进行。
5.3.4 本公司技术中心不可接受风险处置计划关键特性和绩效的监视和测量，由项目及流程管理部行政人力部 按照计划策划的时间间隔，对特性的效果与 IT 专家协商测试方法，执行本程序。对不易测