为确保信息安全管理体系(ISMS)的有效实施,根据公司信息安全方针制定信息安全总目标,将保证公司客户信息安全和公司内部信息安全的整体目标分解为信息安全的保密性(C)目标、完整性目标(I)、可用性目标(A),并规定这些信息安全目标C、I、A的计算方法,以便于目标达成情况的考核。
1.1. 信息保密性目标(C)
保证各种需要保密的资料(包括电子文档、磁带等)不被泄密,确保绝密、机密信息不泄漏给非授权人员。公司通过各种控制方式,确保数据不泄密,机密性总目标为公司可接受程度。保密性指标在整体信息安全中的权重为60%;
1.2. 信息完整性目标(I)
信息系统完整性总目标为可接受程度。完整性指标在整体信息安全中的权重为10%;
1.3. 业务系统可用性(A)
保证业务系统正常运行,避免各种非故意的错误与损坏,业务系统可用性总目标为公司可接受程度。可用性指标在整体信息安全中的权重为30%;
1) 信息安全事件或异常现象所涉及的部门应在信息安全工作小组的协调指导下根据事件或异常现象报告中的再发防止措施考虑进行安全体系的改进工作。
2) 信息安全工作小组应监控并确认相关改进活动的执行,并向信息安全小组报告。
3) 在需要启动内审和管理评审的情况下,根据规定启动相应的审核活动。
4) 信息安全事件管理活动记录由信息安全工作小组保存,作为内审和管理评审的输入。
实施策略
1) 发现一级信息安全事故后,事件责任部门经理会同发现人,填写《信息安全事件报告表》上报给信息安全工作小组。
2) 信息安全工作小组对事件进行判断,调查*,根据事件的不同级别采取相应的控制措施,填写《信息安全事件报告表》。
3) 信息安全事件处理之后,信息安全工作小组应在《信息安全事件报告表》的结论中总结教训,提出预防措施,由相关部门实施。以防止此类事件再次发生。
⑴行政部:
①负责根据《新员工入职手续清单》安排身份卡的制作、发放、遗失卡补办及回收;
②负责公共办公区域以及各部门独立办公区域门禁的权限管理;
③负责公司办公区域内所有人员的出入管理;
④负责各种办公钥匙(高层办公室、会议室、办公柜)的管理;
⑤负责公司物理环境整体的安全保护和检查,并配合物业公司做好消防及保卫工作;
⑵总裁办:负责总裁办公室的人员出入管理。
⑶员工:遵守并执行《物理环境安全管理制度》。
1. 目的和范围
2. 引用文件
3. 职责和权限
4. 信息安全总目标
4.1. 信息保密性目标(C)
4.2. 信息完整性目标(I)
4.3. 业务系统可用性(A)
4.4. 信息安全风险管理度总目标
5. 信息安全目标有效性测量方法
5.1. 关键目标指标
5.2. 关键性能指标
6. 相关记录
1. 目的和范围
确保信息安全管理体系的有效实施,根据本公司信息安全方针制定信息安全目标,并规定信息安全目标的测量方法,以便于目标达成情况的考核。
适用于信息安全目标的制定、检查、测量。
2. 引用文件
1) 《信息安全管理手册》
3. 职责和权限
1) 信息安全小组:批准公司的信息安全目标;
2) 体系负责人:负责制定信息安全目标;
3) 信息安全工作小组:提出公司信息安全目标建议。定期组织相关部门对信息安全目标进行检查、统计、分析和测量;
4) 行政部:有效性测量记录的归档;
5) 各部门:负责与本部门相关的信息安全目标的检查、统计、分析和测量,当目标不能达标时,进行原因分析并进行改进。
-/gbacfji/-
http://lsjsqd.b2b168.com
