信息安全目标及有效性测量管理制度.docx

XXX信息安全有限公司信息安全目标及有效性测量管理制度文件编号：目的和范围确保信息安全管理体系的有效实施,根据本公司信息安全方针制定信息安全目标，并规定信息安全目标的测量方法，以便于目标达成情况的考核.适用于信息安全目标的制定、检查、测量。1 .引用文件1）信息安全管理手册2 .职责和权限1）信息安全领导小组：批准公司的信息安全目标；2）体系负责人：负责制定信息安全目标；3）信息安全工作小组：提出公司信息安全目标建议。定期组织相关部门对信息安全目标进行检查、统计、分析和测量；4）行政部：有效性测量记录的归档；5）各部门：负责与本部门相关的信息安全目标的检查、统计、分析和测量，当目标不能达标时，进行原因分析并进行改进。3 .信息安全总目标为确保信息安全管理体系（ISMS）的有效实施,根据公司信息安全方针制定信息安全总目标，将保证公司客户信息安全和公司内部信息安全的整体目标分解为信息安全的保密性（C）目标、完整性目标（I）、可用性目标（A）,并规定这些信息安全目标C、I、A的计算方法，以便于目标达成情况的考核。3.1. 信息保密性目标（C）保证各种需要保密的资料（包括电子文档、磁带等）不被泄密，确保绝密、机密信息不泄漏给非授权人员。公司通过各种控制方式，确保数据不泄密，机密性总目标为公司可接受程度。保密性指标在整体信息安全中的权重为60%；3.2. 信息完整性目标（I）信息系统完整性总目标为可接受程度。完整性指标在整体信息安全中的权重为10%；3.3. 业务系统可用性(A)保证业务系统正常运行，避免各种非故意的错误与损坏，业务系统可用性总目标为公司可接受程度。可用性指标在整体信息安全中的权重为30%；3.4. 信息安全风险管理度总目标1)2)风险管理度R年度测量结果必须为可接受以上。3)R:100-98：好4)R:97-90：可接受5)R90:需要改进4.信息安全目标有效性测量方法信息安全工作小组根据信息安全管理体系和公司及客户的要求，组织编制信息安全目标及风险管理度有效性测量表，经体系负责人审批后发布实施。在信息安全管理体系有效性的测量中，使用基于信息安全管理体系控制的关键目标指标和关键性能指标的测量方法。1.5.关键目标指标1)识别测定信息安全管理体系控制的结果，控制的输出，关键目标指标体现的是控制的目标，指出哪些是必须做的，是控制实现其目标的可测指标，并且通常定义为需要实现的目标。2)关键目标指标是控制目标的种表达，明确要取得什么目标，并描绘控制的结果，进行事后评判,即时体现控制的完成即成功与否。3)信息安全工作小组分析确定信息安全的14个领域中关键的测量目标。1.6.关键性能指标1)通过监测某控制的执行情况，告诉管理者该控制是否满足标准、信息安全管理体系和管理者的要求。关键性能指标是控制的性能指标，表现为控制的实际表现。通过测定，评价控制执行的好坏,通过有效性、效率、保密性、完整性、可用性、一致性、可靠性等指标来测定控制的性能，关键风险管理度(R)=(C*60%+1.*10%+A*30%)性能指标是控制执行程度的测定，预期将来成败的可能性，是先导性目标，面向控制过程，关注对于控制至关重要的资源。关键性能指标指出控制要完成到怎样的程度。2）信息安全工作小组分析确定每个测量子类中的测量方法和关键性指标。5.相关记录编号记录编号记录名称保管场所保存期限保存形式备注1信息安全目标及风险管理度有效性测量表总裁办3年电子/纸质本制度相关修改及解释权属于信息安全组织文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：文档修订人：签字：修订说明：备注：文档负责人：签字：文档审批信息安全管理者代表签字：文档审批人签字：