ISMS-02-08-V1.0 信息安全目标与度量管理规定

信息安全目标与度量管理规定

第一章 总则

第一条 目的

为持续监督思度安全运营中心信息安全各项工作的落实情况，量化评价信息安全管控措施的执行效果，衡量信息安全管理体系的整体有效性和持续改进能力，特制定本规定。

第二条 适用范围

本规定适用于思度安全运营中心职责范围内的信息安全管理体系有效性测量工作。

第二章 组织与职责

第三条 信息安全工作指挥小组

信息安全工作指挥小组负责审核有效性测量的项目和目标值，审批有效性测量的申请，评审有效性测量相关报告。

第四条 思度安全运营中心风险管理组

思度安全运营中心风险管理组组织制订和维护有效性测量的项目和目标值；组织各部门进行有效性测量工作，编制有效性测量相关报告。

第五条 各部门安全组

各部门安全组负责本部门有效性测量工作的检查与监督。

第六条 各部门负责人

各部门负责为有效性测量提供真实、有效的数据和资料，配合完成各自职责范围内的有效性测量工作。

第三章 总体要求

第七条 有效性测量

信息安全管理体系有效性测量是实现思度安全运营中心信息安全管理体系目标的重要保障机制，体系有效性测量工作必须紧密结合信息安全方针，实现管理体系的可监督和可测量。

第八条 有效性测量原则

有效性测量应按照循序渐进、持续改进的原则，逐步完善测量项目和目标值。

第四章 测量范围

第九条 测量范围

思度安全运营中心的信息安全管理体系有效性测量在以下四方面设置测量项目（具体指标详见附件二）： 信息安全管理体系运行； 员工信息安全行为、意识管理； 日常安全管理； 业务连续性管理。

第五章 工作流程

第十条 审批流程

思度安全运营中心风险管理组应定期组织各部门开展对信息安全管理体系的有效性测量工作，有效性测量应得到信息安全工作指挥小组的审批。

第十一条 测量报告

各部门应如实填写《信息安全管理体系有效性测量表》，由思度安全运营中心风险管理组汇总分析，形成《信息安全管理体系有效性测量报告》，作为信息安全管理体系管理评审的重要输入，为信息安全管理体系的改进提供决策依据。

第十二条 纠正问题

信息安全工作指挥小组应根据相关报告判定体系运行是否达到预期，对发现的问题，指示按照《纠正预防控制管理规定》予以整改。

第十三条 持续修订

思度安全运营中心风险管理组应根据体系运行情况及外部要求的变化及时对现有测量项目进行细分或补充。

第六章 附则

本规定由思度安全运营中心制定、修订和解释。 本规定自发布之日起实施。 记录 《信息安全管理体系有效性测量表》 《信息安全管理体系有效性测量报告》

附件二： 信息安全管理体系测量项目清单 序号 测量项目 目标值 数据来源 测量频度 一、信息安全管理体系运行 1 信息安全人员占全体员工的比例 ≥ 3% 人员清单 每年 2 风险评估实施次数 ≥ 1次/年 风险评估报告 每年 3 信息安全全面检查次数 ≥ 2次/年 信息安全检查报告 每年 4 信息安全培训举办次数 ≥ 2次/年 信息安全培训记录 每年 5 信息安全管理制度的评审次数 ≥ 1次/年 管理制度评审记录 每年 6 信息安全管理制度的修订次数 ≥ 1次/年 管理制度修订记录 每年 7 信息安全相关法律法规的更新次数 ≥ 1次/年 法律法规更新记录 每年 二、员工信息安全行为、意识管理 1 接受信息安全培训的员工占全体员工的比例 ≥ 80% 员工信息安全培训记录 每年 2 违反信息安全制度的员工占员工人数的比例 ≤ 3% 信息安全检查报告 每年 3 违反信息安全管理制度受到惩戒的员工占员工人数的比例 ≤ 3% 员工惩戒记录 每年 三、日常安全管理 1 客户端安装防病毒系统比例 ≥ 95% 信息安全检查报告 每年 2 客户端防病毒系统版本更新比例 ≥ 90% 信息安全检查报告 每年 3 信息安全事件报告比例 ≥ 90% 信息安全事件报告表 每年 四、业务连续性管理 1 根据应急预案进行培训的次数 ≥ 1次/年 应急预案培训记录 每年 2 进行演练的预案占应急预案总数的比例 ≥ 70% 应急演练记录 每年 3 对应急预案进行定期修订的周期 ≥ 1次/年 应急预案修订记录 每年