1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. Java

F4-D-总裁办-023-V1.0-信息安全目标及风险管理度有效性测量表.xlsVIP

F4-D-总裁办-023-V1.0-信息安全目标及风险管理度有效性测量表.xls

    1. 1、本文档共16页,可阅读全部内容。
    2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    A18

    A17

    A16

    A15

    A14

    A13

    A12

    A11

    A10

    A9

    A8

    A7

    A6

    A5

    年度测量统计表

    说明

    为确保信息安全管理体系(ISMS)的有效实施,根据公司信息安全方针制定信息安全目标,将保证公司客户信息安全和公司内部信息安全的整体目标分解为ISMS体系的14个领域的子目标,并规定这些信息安全目标的计算方法,以便于目标达成情况的考核。

    记录编号:

    F4-D-总裁办-023-V1.0

    密级:内部公开

    制表人:

    信息安全目标2015-2016年度测量结果统计表

    信息安全测量领域

    信息安全测量类别

    测量频率

    测量结果

    责任部门

    信息安全目标年度测量结果

    A.5安全方针

    1.方针及信息安全目标有效性测量

    每年1次

    2.风险管理测量

    A.6信息安全组织

    1.信息安全组织测量

    每6个月1次

    A.7人力资源安全

    1.人力资源管理测量

    每季度1次

    2.信息安全培训测量

    A.8资产管理

    1.资产识别表测量

    2.数据和文档管理测量

    3.设备管理测量

    A.9访问控制

    1.访问控制有效性测量

    A.10密码学

    1.密码管理

    A.11物理环境安全

    1.物理环境测量

    A.12操作管理

    1.系统监控测量

    2.防病毒及恶意软件测量

    3.备份管理测量

    4.软件和系统管理测量

    A.13通信管理

    1.保密协议测量

    2.网络安全测量

    3.电子消息测量

    A.14信息系统获取、开发和维护

    1.信息系统开发过程测量

    A.15供应商管理

    1.第三方服务管理测量

    A.16信息安全事件管理

    1.信息安全事件管理测量

    A.17业务连续性管理

    1.业务连续性计划有效性测量

    A.18符合性

    1.合规性测量

    A.5安全方针

    测量类别

    策略目标

    数据来源

    测量方法

    测量标准

    测量指标

    测量分数

    计划日期

    测量日期

    测量人

    备注

    1.信息安全方针文件

    K1≤100

    100-98:好

    97-90:可接受

    ≤90:需要改进

    陈俊祥

    测量结果=(K1+K2)/2

    2.信息安全目标

    K2≤100

    1.各部门风险评估表

    王江

    测量结果=(K1+K2)/2

    2.风险处置计划

    对公司信息安全组织机构的完整性和有效性进行测量,保证公司设立的信息安全委员会和工作小组能发挥作用。对内全面管理公司信息安全,对外处理好相关方的信息交流。

    1.信息安全组织机构图(手册里)

    1.检查机构图里人员变动,有一人变化未及时修改即为不符合,每不符合要求1项,减2分。

    每半年1次

    夏朝杰

    2.信息安全组织架构职责

    2.每个部门抽查2名员工,是否知道信息安全管理领导小组及信息安全工作小组的职责,每一人不清楚减2分

    A.7人力资源安全

    1.人力资源管理测量

    对公司人力资源使用的保密性和有效性进行测量,保证人员在招聘、辞职过程中权限得到正确处理、及时变更。

    1.员工岗位职责说明书(应有明确的重要岗位说明)

    抽查查岗位说明书中2个部门岗位,有一处不准确即为不符合,每不符合要求1项,减2分。

    2.员工背景调查表

    检查人事招聘的最近5名新员工,查看是否进行了背景调查,缺少1人减5分

    3.离职人员账号删除确认单、离职人员审批流转单

    抽查最近调离的员工,查看离职人员账号删除确认单、离职人员审批流转单,发现一项不符合,减5分

    4.员工入职手续办理流转单

    检查最近入职的员工,查看是否按流转单要求办理相关手续,如有缺少项,减5分

    对公司人力资源的信息安全培训进行测量,保证公司信息安全培训工作持续、有效、及时的进行。新员工能及时得到信息安全教育。

    1.年度培训计划

    有完善的年度信息安全培训计划,合格100。没有,不合格,0分

    测量结果=(K1+K2)/2

    2.培训考核记录

    培训出勤率率即为得分

    K2=出勤率*100

    A.8资产管理

    1.对资产负责

    实现和保持对组织资产的适当保护。(识别组织资产,并定义适当的保护职责。)

    1.风险评估表

    2.设备统计表

    1.检查各部门信息资产识别表,有一项变化未及时修改即为不符合,每不符合要求1项,减1分。

    潘娟

    2.检查各部门信息资产识别表,资产责任人是否明确,每不符合要求1项,减1分

    1.重要的数据和记录

    1.抽查不同部门的5个密级为秘密的数据记录,检查保存位置,权限设置,加密设置,每发现一项不符合,减5分

    2.按部门的《信息资产密级分类表》抽查2个部门,每发现一个未按要求传递的减5分

    3.介质处置

    为了防止存储在介质上的信息被未经授权的泄露,修改,删除或破坏。

    1.敏感纸质文档

    检查员工的桌面,发现敏感废弃纸质文档未按要求及时粉碎的,每发现一个扣2分

    2.废弃介质统计表

    对废弃的存储介质要有明确的处置记录,每发现一个实际处理未登记,减2分

    A.9用户访问管理

    对公司用户和应用系统的访问权限进行评审,确保公司各操作系统,各应用系统的用户及相应的权限恰当

    您可能关注的文档

    最近下载

    文档评论(0)

    152****3299 + 关注
    实名认证
    文档贡献者

    四川省南充市人,在重庆汽车行业从事质量工程师一职

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >