信息安全目标.doc

实用文档 . xxx有限集团 信息安全管理目标 密级 □机密 □保密 ■ 内部使用 □公开信息 受控状态 ■受控 □非受控 文件历史控制记录 文件名称 信息安全管理目标 文件编号 对应OA文号 版次 编制与修订概要 完成日期 状态 角色 参与人员 编写 初审 会签 审核 批准 实用文档 . 目的 通过对目标的制定、达成情况的验证及采取的纠正措施等的管理，确认信息安全管理体系运行情况，并为体系的持续改进提供依据。 适用范围 适用于集团信息安全目标的制定、达成统计、改进及应用。 定义 信息安全目标：在信息安全方面所追求的目的。 职责 最高管理者负责制定集团的中长期信息安全目标。 管理者代表负责制定分解信息安全目标。 各部门负责本部门目标完成情况的统计和传递，及目标未达成时的纠正。 信息中心门负责监督、验证各部门目标达成情况，对每次未达到的要求其给出纠正措施，并负责对整体完成情况进行总结。 信息中心负责每年度对集团目标达成情况进行统计总结。 内容 集团信息安全目标 集团最高管理者负责制定集团总的信息安全目标并负责宣贯。集团信息安全目标一般放在信息安全管理手册附件中，也可制定在单独文件中。集团目前信息安全目标见附件一。 集团信息安全目标应传达到全体员工，使其成为全体员工共同努力的目标，并作为对客户的承诺。信息安全目标可采用公告栏、宣传材料、培训等形式能被外界和全体员工所获取。 信息中心负责定期对集团信息安全目标完成情况进行统计。 管理者代表应每年度对集团信息安全目标完成情况做一总结，作为管理评审的输入之一，管理评审应对集团信息安全目标的适宜性进行评审，并对是否重新制定集团信息安全目标做决定。 分解信息安全目标 除集团总的信息安全目标外，还应对相关职能和层次规定出信息安全目标，制定“年度信息安全目标分解计划”作为各部门的信息安全目标。“年度信息安全目标分解计划”为年度目标，应每年更新一次。 信息中心门负责组织制定“年度信息安全目标分解计划”报管理者代表批准，一般在每年年末制定下一年度的“年度信息安全目标分解计划”。“年度信息安全目标分解计划”制定完成后应发给相关部门。 “年度信息安全目标分解计划”的内容包括以下内容： -部门 -目标项目 -目标值 -统计方法 -统计周期 -统计部门 “年度信息安全目标分解计划”格式见附件二。 “年度信息安全目标分解计划”的统计 各部门应根据部门年度信息安全目标设计本部门信息安全目标完成情况的统计记录格式，即“XXX部XX年度信息安全目标完成情况”。一般包括： -目标项目 -月份 -目标值 -实际值 -趋势图 -未达成原因 -纠正措施 具体格式参照附件三 各部门应每个周期阶段对本部门信息安全目标完成情况进行统计并与目标比较看是否达到目标，对未达成的项目进行原因分析和纠改。每统计完成后应及时交至信息中心门以供检查。 信息中心门根据“年度信息安全目标分解计划”定期（统计周期）收集各部门“XXX部XX年度信息安全目标完成情况”的统计报告，以监督整体达成情况。 各部门信息安全目标完成情况可作为信息安全报告的一部分。各部门信息安全目标完成情况的统计有信息中心门保存。 各部门信息安全目标完成情况统计的应用： 信息中心门对“各部门信息安全目标完成情况”进行汇总统计途径呈报相关部门及上级主管，使其了解信息安全体系运行状况，供决策参考。 经数据分析发现的显在或潜在的不合格或不符合，各部门应制定并执行纠正措施或预防措施，以不断改进信息安全体系。对于重大的不合格或不符合信息中心门应组织相关部门进行原因，制定纠正措施。 相关文件 《信息安全管理手册》 《信息安全方针》 相关记录 《XXX部XX年度信息安全目标完成情况》 《纠正预防措施工作单》 附件 附件一、集团信息安全目标 附件二、年度分解目标 附件三、XXX部XX年度信息安全目标完成情况 实用文档 附件一 集团信息安全目标 目标类别 目标项 目标值 目标换算方法 统计 周期 信息安全目标 不可接受风险处理率 100% （不可接受风险数处理数/不可受风险总数）×100% 年 机密信息泄密事件 0次 按实际发生次数统计 年 秘密信息泄密事件 0次 按实际发生次数统计 年 特别重大突发事件（Ⅰ级） 0次 按实际发生次数统计 年 重大突发事件（Ⅱ级） 0次 按实际发生次数统计 年 较大突发事件（Ⅲ级） 0次 按实际发生次数统计 年 一般突发事件（Ⅳ级） 0次 按实际发生次数统计 年 内部审核及管理评审实施及时率 1