网络安全与合规经营手册（执行版）.docxVIP

网络安全与合规经营手册（执行版）

第一章总体架构与治理框架

1.1网络安全战略与目标设定

在确立网络安全战略之初，企业必须首先明确“安全是底线，发展是目标”的核心定位，将网络安全从单纯的IT部门职能升级为贯穿企业全生命周期的战略资产。战略目标的设定应遵循“可衡量、可达成、相关性强、时限性”（SMART原则），例如设定“三年内实现核心业务系统零安全事故”作为中期目标，并据此拆解为“年度无重大漏洞发现、季度无高危漏洞”等具体量化指标。

需制定明确的网络安全等级保护目标，如将核心业务系统按《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）要求，将系统安全