IT信息安全目标管理程序.doc

德信诚培训网IT信息安全目标管理程序1 目的为保证信息安全管理体系的有效运作，对各管理流程进行有效的监督检查，并及时提出纠正预防措施，不断改进信息安全管理体系的有效性，制定本程序。2 范围 本程序适用于IT信息安全管理体系持续改进的目标管理控制。3 相关文件 无4 职责4.1总经理负责审批年度信息安全管理目标。4.2管理者代表负责编制信息安全管理年度目标及检查细节，对检查结果的改进进行监督。4.3 安全管理岗负责日常检查及对检查结果的报告；发出纠正预防措施。4.4各岗位负责配合安全管理岗的日常检查。5 程序5.1信息安全管理指标的制定5.1.1 每年初，由管理者代表组织相关人员对上一年度的安全目标达成情况进行回顾（也可由管理评审流程执行回顾过程），提出对于安全管理指标体系的修改完善意见，应考虑以下因素： a) ISMS管理体系的变更，包括组织、业务、人员、技术等方面；b) 上一年度的安全管理指标达成情况；c) 相关方的建议，包括监管机构、外部审计（审核）的结果、本行业务要求等；5.1.2 根据修改意见，管理者代表应修订年度信息安全管理指标一览表，增加、删除、修订各项指标，修订各项指标的检查周期等内容。5.1.3 每年一月底，应由最高管理者重新审批并发布信息安全管理指标一览表。5.1.4 部门内部所有员工应通过会议的形式（应保留相关会议纪要），了解年度信息安全管理指标内容，并了解本岗位与指标要求的相关性并理解如何为指标的达成做出贡献。5.2 信息安全管理指标的检查5.2.1 部门内部设立安全管理岗，负责对管理指标的日常检查活动。5.2.2 安全管理岗应按照信息安全管理指标一览表所规定的检查周期及检查方法，对日常管理活动进行检查。5.2.3 检查结果应形成安全指标检查报告（形式不限），并报送最高管理者及管理者代表。5.2.4 安全指标检查报告每季度发布一次，安全管理岗应保存经最高管理者审核签字的报告原件。5.3 持续改进5.3.1 针对检查结果所发现的改进机会，安全管理岗应发出纠正预防措施要求，并与相关岗位人员沟通，各岗位应积极配合改进。5.3.2 安全管理岗应根据纠正预防措施的时间要求，跟踪落实改进情况，并至少在发出纠正预防措施后一个月内与管理者代表报告改进情况。5.3.3 管理者代表应最终确认纠正预防措施的改进情况，确保其得到有效的执行。5.3.4 必要时，可向最高管理者报告，寻求管理支持。5.3.5 必要时，可根据最高管理者的建议，修订信息安全管理指标一览表，并重新审批发布。6 记录信息安全管理指标一览表安全指标检查报告管理体系有效性Benchmark第一部分：体系目标不可接受风险处理率100%重大事件（重大事件指影响金融业务正常运行的事件）0次顾客/相关方因信息安全事件而产生的投诉5次内部审核及管理评审实施及时率100%员工参加安全意识培训1次/人第二部分：调查事项指标安全方针全员传达率100%员工保密协议及外部第三方保密协议签订率100%资产（主要指生产及测试等待上线的硬件资产）清查率98%机房物理访问造成安全事件 0机房变更操作审批率100%系统容量导致安全事件0终端病毒软件安装率、及时更新率 100%策划的重要数据备份及时率100%机房生产系统及网络设备口令复杂度、定期更新、定期回顾率100%员工离开座位锁屏检查 90%网络访问接入审批率98%软件系统开发文档完整性90%业务连续性实际操作演练率80%生产核心系统无故障运行时间99.96%更多免费资料下载请进：好好学习社区