

热门搜索:
1. 目的和范围
2. 引用文件
3. 职责和权限
4. 信息安全总目标
4.1. 信息保密性目标(C)
4.2. 信息完整性目标(I)
4.3. 业务系统可用性(A)
4.4. 信息安全风险管理度总目标
5. 信息安全目标有效性测量方法
5.1. 关键目标指标
5.2. 关键性能指标
6. 相关记录
1. 目的和范围
确保信息安全管理体系的有效实施,根据本公司信息安全方针制定信息安全目标,并规定信息安全目标的测量方法,以便于目标达成情况的考核。
适用于信息安全目标的制定、检查、测量。
2. 引用文件
1) 《信息安全管理手册》
3. 职责和权限
1) 信息安全小组:批准公司的信息安全目标;
2) 体系负责人:负责制定信息安全目标;
3) 信息安全工作小组:提出公司信息安全目标建议。定期组织相关部门对信息安全目标进行检查、统计、分析和测量;
4) 行政部:有效性测量记录的归档;
5) 各部门:负责与本部门相关的信息安全目标的检查、统计、分析和测量,当目标不能达标时,进行原因分析并进行改进。
1. 目的和范围
2. 引用文件
3. 职责和权限
4. 符合法律要求
5. 符合安全策略和标准以及技术符合性
6. 信息系统审核考虑
7. 附件
1. 目的和范围
本策略规定如何避免违反刑法、民法、法令、法规或合同义务以及信息系统设计、运行、使用和管理的安全需求。
本制度适用于信息安全管理体系要求的法律法规和其他要求的收集、评价、确定等活动的控制。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《软件管理规定》
3. 职责和权限
1) 行政部:负责组织有关信息安全管理体系的法律法规和其他要求的收集、更新、审核、评价,并提出专项建议使公司的日常运营满足法律法规的要求。
2) 各部门:协助做好与本部门业务有关的相应法律法规和其它要求的收集、更新和合规性评价工作。
信息安全目标有效性测量方法
信息安全工作小组根据信息安全管理体系和公司及客户的要求,组织编制《信息安全目标及风险管理度有效性测量表》,经体系负责人审批后发布实施。
在信息安全管理体系有效性的测量中,使用基于信息安全管理体系控制的关键目标指标和关键性能指标的测量方法。
关键目标指标
1) 识别测定信息安全管理体系控制的结果,控制的输出,关键目标指标体现的是控制的目标,指出哪些是必须做的,是控制实现其目标的可测指标,并且通常定义为需要实现的目标。
2) 关键目标指标是控制目标的一种表达,明确要取得什么目标,并描绘控制的结果,进行事后评判,即时体现控制的完成即成功与否。
3) 信息安全工作小组分析确定信息安全的14个领域中关键的测量目标。
分析潜在不符合项的原因
1) 信息安全工作小组利用对潜在不符合项情况以及各部门日常发现报告的重大安全隐患(安全薄弱点),确定可能需要采取预防措施的问题和需求,组织相关部门进行原因分析,分析确定潜在不符合及其原因,评价防止不符合发生的措施的需求。
2) 采取预防措施应与潜在问题的影响程度相适应,对于以下情况的潜在不符合应采取预防措施:
可能造成信息安全事故;
可能影响客户满意程度、造成客户抱怨与投诉;
可能影响企业形象与经济利益;
可能造成生产经营业务中断。