信息安全目标.docx
《信息安全目标.docx》由会员分享,可在线阅读,更多相关《信息安全目标.docx(9页珍藏版)》请在冰豆网上搜索。
信息安全目标
xxx有限集团
信息安全管理目标
密级
□机密□保密■内部使用□公开信息
受控状态
■受控□非受控
文件历史控制记录
文件名称
信息安全管理目标
文件编号
对应OA文号
版次
编制与修订概要
完成日期
状态
角色
参与人员
编写
初审
会签
审核
批准
1.目的
通过对目标的制定、达成情况的验证及采取的纠正措施等的管理,确认信息安全管理体系运行情况,并为体系的持续改进提供依据。
2.适用范围
适用于集团信息安全目标的制定、达成统计、改进及应用。
3.定义
信息安全目标:
在信息安全方面所追求的目的。
4.职责
4.1.最高管理者负责制定集团的中长期信息安全目标。
4.2.管理者代表负责制定分解信息安全目标。
4.3.各部门负责本部门目标完成情况的统计和传递,及目标未达成时的纠正。
4.4.信息中心门负责监督、验证各部门目标达成情况,对每次未达到的要求其给出纠正措施,并负责对整体完成情况进行总结。
4.5.信息中心负责每年度对集团目标达成情况进行统计总结。
5.内容
5.1.集团信息安全目标
5.1.1.集团最高管理者负责制定集团总的信息安全目标并负责宣贯。
集团信息安全目标一般放在信息安全管理手册附件中,也可制定在单独文件中。
集团目前信息安全目标见附件一。
5.1.2.集团信息安全目标应传达到全体员工,使其成为全体员工共同努力的目标,并作为对客户的承诺。
信息安全目标可采用公告栏、宣传材料、培训等形式能被外界和全体员工所获取。
5.1.3.信息中心负责定期对集团信息安全目标完成情况进行统计。
5.1.4.管理者代表应每年度对集团信息安全目标完成情况做一总结,作为管理评审的输入之一,管理评审应对集团信息安全目标的适宜性进行评审,并对是否重新制定集团信息安全目标做决定。
5.2.分解信息安全目标
5.2.1.除集团总的信息安全目标外,还应对相关职能和层次规定出信息安全目标,制定“年度信息安全目标分解计划”作为各部门的信息安全目标。
“年度信息安全目标分解计划”为年度目标,应每年更新一次。
5.2.2.信息中心门负责组织制定“年度信息安全目标分解计划”报管理者代表批准,一般在每年年末制定下一年度的“年度信息安全目标分解计划”。
“年度信息安全目标分解计划”制定完成后应发给相关部门。
5.2.3.“年度信息安全目标分解计划”的内容包括以下内容:
-部门
-目标项目
-目标值
-统计方法
-统计周期
-统计部门
“年度信息安全目标分解计划”格式见附件二。
5.2.4.“年度信息安全目标分解计划”的统计
各部门应根据部门年度信息安全目标设计本部门信息安全目标完成情况的统计记录格式,即“XXX部XX年度信息安全目标完成情况”。
一般包括:
-目标项目
-月份
-目标值
-实际值
-趋势图
-未达成原因
-纠正措施
具体格式参照附件三
5.2.5.各部门应每个周期阶段对本部门信息安全目标完成情况进行统计并与目标比较看是否达到目标,对未达成的项目进行原因分析和纠改。
每统计完成后应及时交至信息中心门以供检查。
5.2.6.信息中心门根据“年度信息安全目标分解计划”定期(统计周期)收集各部门“XXX部XX年度信息安全目标完成情况”的统计报告,以监督整体达成情况。
5.2.7.各部门信息安全目标完成情况可作为信息安全报告的一部分。
各部门信息安全目标完成情况的统计有信息中心门保存。
5.2.8.各部门信息安全目标完成情况统计的应用:
a)信息中心门对“各部门信息安全目标完成情况”进行汇总统计途径呈报相关部门及上级主管,使其了解信息安全体系运行状况,供决策参考。
b)经数据分析发现的显在或潜在的不合格或不符合,各部门应制定并执行纠正措施或预防措施,以不断改进信息安全体系。
对于重大的不合格或不符合信息中心门应组织相关部门进行原因,制定纠正措施。
6.相关文件
《信息安全管理手册》
《信息安全方针》
7.相关记录
《XXX部XX年度信息安全目标完成情况》
《纠正预防措施工作单》
8.附件
附件一、集团信息安全目标
附件二、年度分解目标
附件三、XXX部XX年度信息安全目标完成情况
附件一
集团信息安全目标
目标类别
目标项
目标值
目标换算方法
统计
周期
信息安全目标
不可接受风险处理率
100%
(不可接受风险数处理数/不可受风险总数)×100%
年
机密信息泄密事件
0次
按实际发生次数统计
年
秘密信息泄密事件
0次
按实际发生次数统计
年
特别重大突发事件(Ⅰ级)
0次
按实际发生次数统计
年
重大突发事件(Ⅱ级)
0次
按实际发生次数统计
年
较大突发事件(Ⅲ级)
0次
按实际发生次数统计
年
一般突发事件(Ⅳ级)
0次
按实际发生次数统计
年
内部审核及管理评审实施及时率
100%
按计划实施
年
员工入职培训完成率
100%
(入职员工参训人数/入职员工总数)×100%
年
信息安全培训计划完成率
100%
(实际培训次数/计划培训次数)×100%
年
信息安全运行指标
大面积感染计算机病毒次数
0次
按实际发生次数统计
年
由于网络故障导致关键业务中断次数
0次
按实际发生次数统计
年
员工保密协议签订率
100%
(实际签订人数/入职总人数)×100%
年
重要信息备份及时率
100%
(实际备份数/计划备份数)×100%
年
内部审核不符合项整改率
≥90%
(不符合项整改完成数/不符合项总数)×100%
年
计算机故障处理完成率
100%
(实际处理数/故障总数)×100%
年
容量不足导致业务故障次数
≤3
按实际发生次数统计
年
计算机口令强度符合率
100%
(帐号符合数/帐号总数)×100%
年
注:
集团的信息安全目标不限此,可根据各部门的实际业务进行调整或分解。
附件二
XXXX年度信息安全分解目标
文件编号:
XX-XX-01
责任部门
信息安全目标
目标值
统计方法
统计周期
统计部门
制定:
审核:
批准:
附件三
XXX部XX质量(HSF)目标完成情况(例)
文件编号:
XX-XX-002序号:
月份项目
1
2
3
4
5
6
7
8
9
10
11
12
平均
XXXX
目标值
实际值
XXXX
目标值
实际值
XXXX
目标值
实际值
不合格或不符合原因分析:
纠正措施:
编制
审核
批准
WelcomeTo
Download!
!
!
欢迎您的下载,资料仅供参考!
升级会员 