F4-B-總經(jīng)辦-007-V1.0-信息安全目標(biāo)及有效性測(cè)量制度

【信息安全目標(biāo)及有效性測(cè)量制度】F4-B-總經(jīng)辦-007-V1.0第頁(yè)信息安全目標(biāo)及有效性測(cè)量制度目錄TOC\o"1-3"\h\z1. 目的和范圍 22. 引用文件 23. 職責(zé)和權(quán)限 24. 信息安全總目標(biāo) 24.1.信息保密性目標(biāo)(C) 34.2.信息完整性目標(biāo)(I) 34.3.業(yè)務(wù)系統(tǒng)可用性(A) 34.4.信息安全風(fēng)險(xiǎn)管理度總目標(biāo) 35. 信息安全目標(biāo)有效性測(cè)量方法 45.1.關(guān)鍵目標(biāo)指標(biāo) 45.2.關(guān)鍵性能指標(biāo) 46. 相關(guān)記錄 5

目的和范圍確保信息安全管理體系的有效實(shí)施,根據(jù)本公司信息安全方針制定信息安全目標(biāo)，并規(guī)定信息安全目標(biāo)的測(cè)量方法，以便于目標(biāo)達(dá)成情況的考核。適用于信息安全目標(biāo)的制定、檢查、測(cè)量。引用文件《信息安全管理手冊(cè)》職責(zé)和權(quán)限信息安全領(lǐng)導(dǎo)小組：批準(zhǔn)公司的信息安全目標(biāo)；體系負(fù)責(zé)人：負(fù)責(zé)制定信息安全目標(biāo)；信息安全工作小組：提出公司信息安全目標(biāo)建議。定期組織相關(guān)部門對(duì)信息安全目標(biāo)進(jìn)行檢查、統(tǒng)計(jì)、分析和測(cè)量；行政部：有效性測(cè)量記錄的歸檔；各部門：負(fù)責(zé)與本部門相關(guān)的信息安全目標(biāo)的檢查、統(tǒng)計(jì)、分析和測(cè)量，當(dāng)目標(biāo)不能達(dá)標(biāo)時(shí)，進(jìn)行原因分析并進(jìn)行改進(jìn)。信息安全總目標(biāo)為確保信息安全管理體系(ISMS)的有效實(shí)施,根據(jù)公司信息安全方針制定信息安全總目標(biāo)，將保證公司客戶信息安全和公司內(nèi)部信息安全的整體目標(biāo)分解為信息安全的保密性（C）目標(biāo)、完整性目標(biāo)（I)、可用性目標(biāo)（A），并規(guī)定這些信息安全目標(biāo)C、I、A的計(jì)算方法，以便于目標(biāo)達(dá)成情況的考核。信息保密性目標(biāo)(C)保證各種需要保密的資料（包括電子文檔、磁帶等）不被泄密，確保絕密、機(jī)密信息不泄漏給非授權(quán)人員。公司通過(guò)各種控制方式，確保數(shù)據(jù)不泄密，機(jī)密性總目標(biāo)為公司可接受程度。保密性指標(biāo)在整體信息安全中的權(quán)重為60%；信息完整性目標(biāo)(I)信息系統(tǒng)完整性總目標(biāo)為可接受程度。完整性指標(biāo)在整體信息安全中的權(quán)重為10%；業(yè)務(wù)系統(tǒng)可用性(A)保證業(yè)務(wù)系統(tǒng)正常運(yùn)行，避免各種非故意的錯(cuò)誤與損壞，業(yè)務(wù)系統(tǒng)可用性總目標(biāo)為公司可接受程度?？捎眯灾笜?biāo)在整體信息安全中的權(quán)重為30%；信息安全風(fēng)險(xiǎn)管理度總目標(biāo)風(fēng)險(xiǎn)管理度（R）=(C*60%+I*10%+A*30%)風(fēng)險(xiǎn)管理度R年度測(cè)量結(jié)果必須為可接受以上。R:100-98：好R:97-90：可接受R≤90：需要改進(jìn)信息安全目標(biāo)有效性測(cè)量方法信息安全工作小組根據(jù)信息安全管理體系和公司及客戶的要求，組織編制《信息安全目標(biāo)及風(fēng)險(xiǎn)管理度有效性測(cè)量表》，經(jīng)體系負(fù)責(zé)人審批后發(fā)布實(shí)施。在信息安全管理體系有效性的測(cè)量中，使用基于信息安全管理體系控制的關(guān)鍵目標(biāo)指標(biāo)和關(guān)鍵性能指標(biāo)的測(cè)量方法。關(guān)鍵目標(biāo)指標(biāo)識(shí)別測(cè)定信息安全管理體系控制的結(jié)果，控制的輸出，關(guān)鍵目標(biāo)指標(biāo)體現(xiàn)的是控制的目標(biāo)，指出哪些是必須做的，是控制實(shí)現(xiàn)其目標(biāo)的可測(cè)指標(biāo)，并且通常定義為需要實(shí)現(xiàn)的目標(biāo)。關(guān)鍵目標(biāo)指標(biāo)是控制目標(biāo)的一種表達(dá)，明確要取得什么目標(biāo)，并描繪控制的結(jié)果，進(jìn)行事后評(píng)判，即時(shí)體現(xiàn)控制的完成即成功與否。信息安全工作小組分析確定信息安全的14個(gè)領(lǐng)域中關(guān)鍵的測(cè)量目標(biāo)。關(guān)鍵性能指標(biāo)通過(guò)監(jiān)測(cè)某控制的執(zhí)行情況，告訴管理者該控制是否滿足標(biāo)準(zhǔn)、信息安全管理體系和管理者的要求。關(guān)鍵性能指標(biāo)是控制的性能指標(biāo)，表現(xiàn)為控制的實(shí)際表現(xiàn)。通過(guò)測(cè)定，評(píng)價(jià)控制執(zhí)行的好壞，通過(guò)有效性、效率、保密性、完整性、可用性、一致性、可靠性等指標(biāo)來(lái)測(cè)定控制的性能，關(guān)鍵性能指標(biāo)是控制執(zhí)行程度的測(cè)定，預(yù)期將來(lái)成敗的可能性，是先導(dǎo)性目標(biāo)，面向控制過(guò)程，關(guān)注對(duì)于控制至關(guān)重要的資源。關(guān)鍵性能指標(biāo)指出控制要完成到怎樣的程度。信息安全工作小組分析確定每個(gè)測(cè)量子類中的測(cè)量方法和關(guān)鍵性指標(biāo)。相關(guān)記錄編號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注1F4-D-總經(jīng)辦-023-V1.0信息安全目標(biāo)及風(fēng)險(xiǎn)管理度有效性測(cè)量表總經(jīng)辦3年電子/紙質(zhì)本制度相關(guān)修改及解釋權(quán)屬于信息安全組織文檔編號(hào)（由總經(jīng)辦填寫(xiě)）F4-B-總經(jīng)辦-007-V1.0密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期2017/07/01文檔起草人簽字：日期：2017/07/01文