信息安全目標(biāo)

1、【精品文檔】如有侵權(quán)，請聯(lián)系網(wǎng)站刪除，僅供學(xué)習(xí)與交流信息安全目標(biāo).精品文檔.xxx有限集團信息安全管理目標(biāo)密級機密 保密 內(nèi)部使用 公開信息受控狀態(tài)受控 非受控文件歷史控制記錄文件名稱信息安全管理目標(biāo)文件編號對應(yīng)OA文號版次編制與修訂概要完成日期狀態(tài)角色參與人員編寫初審會簽審核批準(zhǔn)1. 目的通過對目標(biāo)的制定、達(dá)成情況的驗證及采取的糾正措施等的管理，確認(rèn)信息安全管理體系運行情況，并為體系的持續(xù)改進(jìn)提供依據(jù)。2. 適用范圍適用于集團信息安全目標(biāo)的制定、達(dá)成統(tǒng)計、改進(jìn)及應(yīng)用。3. 定義信息安全目標(biāo)：在信息安全方面所追求的目的。4. 職責(zé)4.1. 最高管理者負(fù)責(zé)制定集團的中長期信息安全目標(biāo)。4.2.

2、管理者代表負(fù)責(zé)制定分解信息安全目標(biāo)。4.3. 各部門負(fù)責(zé)本部門目標(biāo)完成情況的統(tǒng)計和傳遞，及目標(biāo)未達(dá)成時的糾正。4.4. 信息中心門負(fù)責(zé)監(jiān)督、驗證各部門目標(biāo)達(dá)成情況，對每次未達(dá)到的要求其給出糾正措施，并負(fù)責(zé)對整體完成情況進(jìn)行總結(jié)。4.5. 信息中心負(fù)責(zé)每年度對集團目標(biāo)達(dá)成情況進(jìn)行統(tǒng)計總結(jié)。5. 內(nèi)容5.1. 集團信息安全目標(biāo)5.1.1. 集團最高管理者負(fù)責(zé)制定集團總的信息安全目標(biāo)并負(fù)責(zé)宣貫。集團信息安全目標(biāo)一般放在信息安全管理手冊附件中，也可制定在單獨文件中。集團目前信息安全目標(biāo)見附件一。5.1.2. 集團信息安全目標(biāo)應(yīng)傳達(dá)到全體員工，使其成為全體員工共同努力的目標(biāo)，并作為對客戶的承諾。信息安全

3、目標(biāo)可采用公告欄、宣傳材料、培訓(xùn)等形式能被外界和全體員工所獲取。5.1.3. 信息中心負(fù)責(zé)定期對集團信息安全目標(biāo)完成情況進(jìn)行統(tǒng)計。5.1.4. 管理者代表應(yīng)每年度對集團信息安全目標(biāo)完成情況做一總結(jié)，作為管理評審的輸入之一，管理評審應(yīng)對集團信息安全目標(biāo)的適宜性進(jìn)行評審，并對是否重新制定集團信息安全目標(biāo)做決定。5.2. 分解信息安全目標(biāo)5.2.1. 除集團總的信息安全目標(biāo)外，還應(yīng)對相關(guān)職能和層次規(guī)定出信息安全目標(biāo)，制定“年度信息安全目標(biāo)分解計劃”作為各部門的信息安全目標(biāo)?！澳甓刃畔踩繕?biāo)分解計劃”為年度目標(biāo)，應(yīng)每年更新一次。5.2.2. 信息中心門負(fù)責(zé)組織制定“年度信息安全目標(biāo)分解計劃”報管理者

4、代表批準(zhǔn)，一般在每年年末制定下一年度的“年度信息安全目標(biāo)分解計劃”?！澳甓刃畔踩繕?biāo)分解計劃”制定完成后應(yīng)發(fā)給相關(guān)部門。5.2.3. “年度信息安全目標(biāo)分解計劃”的內(nèi)容包括以下內(nèi)容： -部門 -目標(biāo)項目 -目標(biāo)值 -統(tǒng)計方法 -統(tǒng)計周期 -統(tǒng)計部門“年度信息安全目標(biāo)分解計劃”格式見附件二。5.2.4. “年度信息安全目標(biāo)分解計劃”的統(tǒng)計 各部門應(yīng)根據(jù)部門年度信息安全目標(biāo)設(shè)計本部門信息安全目標(biāo)完成情況的統(tǒng)計記錄格式，即“XXX部XX年度信息安全目標(biāo)完成情況”。一般包括： -目標(biāo)項目 -月份 -目標(biāo)值 -實際值 -趨勢圖 -未達(dá)成原因 -糾正措施 具體格式參照附件三5.2.5. 各部門應(yīng)每個周期

5、階段對本部門信息安全目標(biāo)完成情況進(jìn)行統(tǒng)計并與目標(biāo)比較看是否達(dá)到目標(biāo)，對未達(dá)成的項目進(jìn)行原因分析和糾改。每統(tǒng)計完成后應(yīng)及時交至信息中心門以供檢查。5.2.6. 信息中心門根據(jù)“年度信息安全目標(biāo)分解計劃”定期（統(tǒng)計周期）收集各部門“XXX部XX年度信息安全目標(biāo)完成情況”的統(tǒng)計報告，以監(jiān)督整體達(dá)成情況。5.2.7. 各部門信息安全目標(biāo)完成情況可作為信息安全報告的一部分。各部門信息安全目標(biāo)完成情況的統(tǒng)計有信息中心門保存。5.2.8. 各部門信息安全目標(biāo)完成情況統(tǒng)計的應(yīng)用：a) 信息中心門對“各部門信息安全目標(biāo)完成情況”進(jìn)行匯總統(tǒng)計途徑呈報相關(guān)部門及上級主管，使其了解信息安全體系運行狀況，供決策參考。b

6、) 經(jīng)數(shù)據(jù)分析發(fā)現(xiàn)的顯在或潛在的不合格或不符合，各部門應(yīng)制定并執(zhí)行糾正措施或預(yù)防措施，以不斷改進(jìn)信息安全體系。對于重大的不合格或不符合信息中心門應(yīng)組織相關(guān)部門進(jìn)行原因，制定糾正措施。6. 相關(guān)文件 信息安全管理手冊 信息安全方針7. 相關(guān)記錄 XXX部XX年度信息安全目標(biāo)完成情況 糾正預(yù)防措施工作單8. 附件 附件一、集團信息安全目標(biāo)附件二、年度分解目標(biāo)附件三、XXX部XX年度信息安全目標(biāo)完成情況附件一 集團信息安全目標(biāo)目標(biāo)類別目標(biāo)項目標(biāo)值目標(biāo)換算方法統(tǒng)計周期信息安全目標(biāo)不可接受風(fēng)險處理率100%（不可接受風(fēng)險數(shù)處理數(shù)/不可受風(fēng)險總數(shù)）×100%年機密信息泄密事件0次按實際發(fā)生次數(shù)統(tǒng)

7、計年秘密信息泄密事件0次按實際發(fā)生次數(shù)統(tǒng)計年特別重大突發(fā)事件（級）0次按實際發(fā)生次數(shù)統(tǒng)計年重大突發(fā)事件（級）0次按實際發(fā)生次數(shù)統(tǒng)計年較大突發(fā)事件（級）0次按實際發(fā)生次數(shù)統(tǒng)計年一般突發(fā)事件（級）0次按實際發(fā)生次數(shù)統(tǒng)計年內(nèi)部審核及管理評審實施及時率100%按計劃實施年員工入職培訓(xùn)完成率100%（入職員工參訓(xùn)人數(shù)/入職員工總數(shù)）×100%年信息安全培訓(xùn)計劃完成率100%（實際培訓(xùn)次數(shù)/計劃培訓(xùn)次數(shù)）×100%年信息安全運行指標(biāo)大面積感染計算機病毒次數(shù)0次按實際發(fā)生次數(shù)統(tǒng)計年由于網(wǎng)絡(luò)故障導(dǎo)致關(guān)鍵業(yè)務(wù)中斷次數(shù)0次按實際發(fā)生次數(shù)統(tǒng)計年員工保密協(xié)議簽訂率100%（實際簽訂人數(shù)/入職總?cè)藬?shù)）×100%年重要信息備份及時率100%（實際備份數(shù)/計劃備份數(shù)）×100%年內(nèi)部審核不符合項整改率90%（不符合項整改完成數(shù)/不符合項總數(shù)）×100%年計算機故障處理完成率100%（實際處理數(shù)/故障總數(shù)）×100%年容量不足導(dǎo)致業(yè)務(wù)故障次數(shù)3按實際發(fā)生次數(shù)統(tǒng)計年計算機口令強度符合率100%（帳號符合數(shù)/帳號總數(shù)）×100%年注：集團的信息安全目標(biāo)不限此，可根據(jù)各部門的實際業(yè)務(wù)進(jìn)行調(diào)整或分解。附件二 XXXX年度信息安全分解目標(biāo) 文件編號：XX-XX-01責(zé)任部門信息安全目標(biāo)目標(biāo)值統(tǒng)計方法統(tǒng)計周期統(tǒng)計部門制定：