GB/T22080监视和测量管理程序
1 目的
通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析，为策划、实施、持续改进信息安全管理体系提供依据。
2 适用范围
本程序适用于对本公司区域内所有业务职能部门的安全特性控制、绩效及管理体系运行的监视和测量。
3 术语和定义
引用GB/T22080-2008、GB/T19001-2008标准及本公司《信息安全管理手册》中的术语和定义。
4 职责
4.1 管理者代表
4.1.1 负责掌握信息安全管理体系的总体运行情况，并向最高管理者汇报，对最高管理者负责。
4.1.2 负责每半年组织对本公司职能部门目标、指标的完成情况进行考核。
4.2 DXC
4.2.1 负责本程序的编制、修订和监督实施。
4.2.2 负责每半年对各职能业务部门进行监视和测量，对各职能业务部门的监视和测量执行情况进行监督、检查和指导，为纠正和预防提供信息。
4.2.3 负责收集的顾客信息安全满意程度信息，并进行汇总、分析和传递。
4.2.4 负责获取、识别、更新适用于本公司信息安全管理体系运行的所有法律法规，发布《信息安全法律法规清单》，对本程序的实施情况进行组织、监督和检查。行政部负责法律法规的更新以及适用性的确认，并传达给各部门。
5 控制措施和目标实现程度的监视测量
5.1 监视和测量的范围及依据
5.1.1 根据本公司业务范围内信息资产的控制范围，确定监视和测量范围。
5.1.2 测量的范围一般包括：
控制措施的实现过程；
关键特性；控制措施实现目标程度；适用法律、法规的符合性；业务持续性控制措施；事故、事件和其它不良的绩效；
不可接受风险计划中确定的措施；
顾客信息安全的满意程度。
5.1.3 监视和测量的依据是法律法规、技术标准、顾客合同、适用性声明、管理手册、程序文件等。
5.2 监视和测量的要求
应按照国家及地方技术规范规定和顾客要求的检验和试验项目、标准、方法进行监视和测量。必要时，本公司各职能部门、职能业务部门指定专人编写作业文件予以规定，规定的严格程度应与问题的复杂程度和风险相适应。
5.3 监视和测量的实施
5.3.1 本公司行政部根据各职能部门确立的监视和测量范围，确定监视和测量的依据、项目、关键特性、频次、使用的仪器设备等。
5.3.2 监视和测量可选择的方法
a. 对控制过程进行日常检查；
b. 信息安全措施状况的抽查；
c. 设备装置的检查；
d .作业环境的监视；
e. 记录检查。
5.3.3 控制过程的监视和测量
a. 行政部负责组织控制措施实施过程的监视和测量。
b. 信息处理设备进场/入库前必须按照采购计划，对物资设备的数量、规格、信息安全要求进行验证，审核产品证明文件的符合性。验证方法应符合ISMS-2010《信息处理设备管理程序》，并保留相应的原始记录。
c. 使用前必须经过复验、检验的物资，按相应的标准、规范进行复验。
d. 未经监视和测量的信息处理硬件软件或劳务不得投入使用，对验证不合格的，按照《事故、事件、薄弱点与故障管理程序》执行。
e. 因工作急需，未经检验和试验放行（硬件、软件）或转序（劳务），必须具备放行和转序后一旦发现问题能够追回的条件。
f. 紧急放行或例外转序后，应及时进行检验和试验，发现问题及时追回或处理。
g. 为控制措施目标所需的主动监视和测量，以巡检、设施监控、统计分析等适用的方法进行。
5.3.4本公司不可接受风险处置计划关键特性和绩效的监视和测量，由行政部按照计划策划的时间间隔，对特性的效果与IT专员协商测试方法，执行本程序。对不易测评绩效的关键特性，采用观察现场表现的监视和测量方式。有必要时，可委托有资格的外部检测机构实施。对事故、事件和其他不良绩效的测量，由行政部组织，事发单位协同，利用统计报告并结合《事故、事件、薄弱点与故障管理程序》进行分析和改进。
5.3.5管理体系运行过程的监视和测量
5.3.5.1管理体系运行要遵守法律、法规的要求。
DXC要对本公司各职能部门适用的法律、法