34信息安全和信息技术服务目标测量控制程序.docx

1 .目的确保信息安全管理体系(ISMS)的有效实施,根据本公司信息安全方针制定信息安全目标，并规定信息安全目标的测量方法，以便于目标达成情况的考核。2 .适用范围适用于本公司信息安全目标的制定、检查、测量、分析和评价。3 .定义无。4 .职责4.1 信息安全小组根据公司制定的信息安全目标，确定需要监视和测量的管理过程，针对改进的机会提出改进的决策。4 .2技术部定期对信息安全目标及管理过进行检查、测量、分析和评价；当目标不能达标时，进行原因分析并提出改进建议。5 .流程图不适用。6 .程序6.1 信息安全目标6.1.1 为确保信息安全管理体系（ISMS）的有效实施,根据公司信息安全方针制定信息安全总目标，将保证公司客户信息安全和业务运行的可靠性和持续性的整体目标分解为信息安全的保密性目标、完整性目标、可用性目标，并规定这些信息安全目标C、I、A的计算方法，以便于目标达成情况的考核。6.1.2 信息保密性目标：保证各种需要保密的资料（包括电子文档、磁盘等）不被泄密，确保秘密信息不泄漏给非授权人员。公司通过各种控制方式，确保公司数据不泄密。保密性指标在公司整体信息安全中的权重为30机选取重要的管理过程进行监控和测量，详见信息安全目标及有效性测量表。6.1.3 3信息完整性目标：保证数据或记录的完整，避免有意或无意的缺漏、修改、删除、破坏。完整性指标在公司整体信息安全中的权重为30虬选取重要的管理过程进行监控和测量，详见信息安全目标及有效性测量表。6.1.4业务系统可用性（八）：保证业务系统正常运行，避免各种非故意的错误与损坏。可用性指标在公司整体信息安全中的权重为40机选取重要的管理过程进行监控和测量，详见信息安全目标及有效性测量表。6.1.5信息安全风险管理度总目标：1）重要信息泄露为0次/年2）移动介质遗失小于1次/年；3）信息安全事件发生小于或等于2次/年6.2目标有效性测量1.1.1 2.1公司每年最后一个月制定下一年度信息安全目标，并对信息安全目标的达成状况及信息安全控制措施的有效性的测量进行策划。1.1.2 2.2信息安全控制措施目标的制定应参考上一年度的测量结果及来自各方的安全要求。1.1.3 策划的内容应包括：信息安全目标及信息安全目标的分解，并明确信息安全目标的计算方法和方式；信息安全控制措施有效性测量的方式，包括确定数据来源、采集频度、计算方式及报告方式等内容。1.1.4 结果应形成信息安全目标及测量计划，并提交信息安全管理者代表批准。1.1.5 技术部每半年按照计划要求收集必要数据，并形成记录。1.1.6 技术部对保密性指标、完整性指标和可用性指标分别进行统计分析。各部门在各指标中的测量结果默认为100分，采用倒扣分机制，如发现违规，按相应测量方法的要求进行扣分，扣满100分即止，不计负分。1.1.7 技术部将统计分析结果填入信息安全目标有效性测量表，对比实际统计数据与指标要求，以此衡量信息安全管理体系的实际运行情况。同时还应将测量结果报告给信息安全管理者代表。1.1.8 对于未能达到预期目的或目标的信息安全控制措施，策划部应组织相关部11,进行原因分析，制定纠正/预防措施。7 .相关文件无。8 .记录信息安全检查表信息安全目标及测量计划信息安全目标及有效性测量表信息安全管理体系运行目标统计表