《信息安全目标与度量管理规定.docx》由会员分享,可在线阅读,更多相关《信息安全目标与度量管理规定.docx(2页珍藏版)》请在优知文库上搜索。
1、信息安全目标与度量管理规定文件编号:第一章总则第一条为持续监督科技发展部信息安全各项工作的落实情况,量化评价信息安全管控措施的执行效果,衡量信息安全管理体系的整体有效性和持续改进能力,特制定本规定。第二条本规定适用于科技发展部职责范围内的信息安全管理体系有效性测量工作。第二章组织与职责第三条信息安全工作指挥小组负责审核有效性测量的项目和目标值,审批有效性测量的申请,评审有效性测量相关报告。第四条科技发展部风险管理组组织制订和维护有效性测量的项目和目标值;组织各部门进行有效性测量工作,编制有效性测量相关报告。第五条各部门安全组负责本部门有效性测量工作的检查与监督。第六条各部门负责为有效性测量提供
2、真实、有效的数据和资料,配合完成各自职责范围内的有效性测量工作。第三章总体要求第七条信息安全管理体系有效性测量是实现科技发展部信息安全管理体系目标的重要保障机制,体系有效性测量工作必须紧密结合信息安全方针,实现管理体系的可监督和可测量。第八条有效性测量应按照循序渐进、持续改进的原则,逐步完善测量项目和目标值。第四章测量范围第九条科技发展部的信息安全管理体系有效性测量在以下四方面设置测量项目(具体指标详见附件二):(一)信息安全管理体系运行;(二)员工信息安全行为、意识管理;(H)日常安全管理;(四)业务连续性管理。第五章工作流程第十条科技发展部风险管理组应定期组织各部门开展对信息安全管理体系的
3、有效性测量工作,有效性测量应得到信息安全工作指挥小组的审批。第十一条各部门应如实填写信息安全管理体系有效性测量表,由科技发展部风险管理组汇总分析,形成信息安全管理体系有效性测量报告,作为信息安全管理体系管理评审的重要输入,为信息安全管理体系的改进提供决策依据。第十二条信息安全工作指挥小组应根据相关报告判定体系运行是否达到预期,对发现的问题,指示按照纠正预防控制管理规定予以整改。第十三条科技发展部风险管理组应根据体系运行情况及外部要求的变化及时对现有测量项目进行细分或补充。第六章附则第十四条本规定由科技发展部制定、修订和解释。第十五条本规定自发布之日起实施。第十六条记录(一)信息安全管理体系有效性测量表(二)信息安全管理体系有效性测量报告