MF-ISP-003 信息安全管理体系有效性度量管理程序(体系科)

信息安全管理体系有效性度量管理程序

1.目的

为加强组织信息安全保障能力，提高整体信息安全管理水平，量化体系各方面的考核，对信息安全管理状况以及管理体系的有效性进行全面的衡量，评估体系是否能够确切满足业务要求，并为体系的持续改进提供依据，特指定本规定。

2.适用范围

本规定适用于公司信息安全建设目标的有效性度量和管理活动。

3.术语、定义和缩略语

3.1度量

指通过某种形式去获得某些度量指标的一系列动作、活动和过程。

3.2信息安全指标

是反映某种信息安全需求的可量化赋值的度量标准。

3.3信息技术服务指标

与信息技术服务交付、服务支持、控制等相关的、可量化赋值的度量标准。

4.职责

4.1管理者代表

负责本制度的审批。

4.2体系科

负责制定公司整体的信息安全度量目标和有效性度量指标；检查并监督各部门信息安全管理目标的落实工作和度量工作的开展情况。

4.3各部门负责人

负责依据整体的信息安全度量目标和有效性度量指标制定本部门的信息安全度量计划和度量指标，组织本部门的信息安全有效性度量工作。

4.4各部门信息安全接口人

负责依据整体的度量目标和有效性度量指标制定本部门的信息安全度量计划和度量指标；负责落实本部门的信息安全度量工作。

4.5 全体员工

积极参与配合完成本部门的信息安全度量工作，为本部门的度量活动提供输入。

5.内容

5.1总体要求

信息安全管理体系有效性度量是通过量化的数据和信息，作为公司信息安全决策层进行信息安全管理决策的依据。该活动为公司信息安全管理体系的持续改进提供依据和支持。

度量活动应遵循“持续改进、稳健运行”的方针，从“比较重要、相对具体、切实可行”的度量范围开始，根据体系建设的不同阶段逐步完善和修订度量指标，最终建立覆盖中心信息安全管理体系全范围的度量体系。

5.2 选择、设计度量与指标

根据循序渐进原则，公司的信息安全管理体系度量工作首先将集中在对组织而言相对重要的信息安全的重点管控领域，度量的参考依据为体系各级文件管理制度。

度量主要包括且不限于以下各指标：信息安全管理体系运行指标、员工信息安全意识管理指标、信息系统建设管理指标、信息系统运维管理指标等。

5.2.1管理体系的运行指标可包括且不限于以下内容：

●信息安全管理人员占全体员工的比例。

●信息安全风险评估的实施频次。

●信息安全全员意识培训开展次数。

●信息安全管理制度的修订周期。

●信息安全相关法律法规的更新周期。

5.2.2员工信息安全管理指标可包括且不限于以下内容：

●接受信息安全培训的员工占全体员工的比例。

●员工内网办公电脑上桌面防护客户端软件的安装比例。

●信息安全检查中发现的员工违反信息安全制度的不符合项比例。

●因违反信息安全管理制度而受到惩戒的员工比例。

●重大信息安全事件发生的次数。

5.2.3信息系统建设管理指标可包括且不限于以下内容：

●根据相关制度要求在系统上线前及时移交所有文档（包括安全评审文档）的信息

系统占所有新上线系统的比例。

●上线前达到《系统安全功能设计检查列表》要求的信息系统占所有新上线系统的

比例。

5.2.4信息系统运维管理指标可包括且不限于以下内容：

●因操作不当而引起的重大信息安全事件的次数。

●已经制定了文档化的操作程序的信息系统比例。

以上指标的具体衡量标准、方法、频度、目标值等详细信息参见《信息安全管理体系度量统计表》。

5.3实施度量

5.3.1按照《管理评审控制程序》的要求，每年至少组织召开一次管理评审会议。在管理

评审会议之前，信息安全协调小组应依据本规定，组织各部门开展公司范围内的信息安全管理体系有效性度量活动。

5.3.2各部门应按照《信息安全管理体系度量统计表》要求的内容和时间要求完成相应指

标的度量，并将统计结果及时报告管理协调小组办公室。

5.3.3公司信息安全管理体系有效性度量活动的完成时间也可安排在公司的信息安全管

理体系内审活动开始之前，以保证通过内审活动能有效地检验度量指标的正确性。

5.4持续改进度量

5.4.1根据“持续改进、稳健运行”的方针，信息安全管理协调小组负责对信息安全度量

体系不断进行完善。

5.4.2各部门应对信息安全度量指标能否实现体系建设和运行目标定期地组织评估，结合

实际环境的变化对现有的度量指标进行修订或完善。评估周期应不超过体系内审活动的周期（按照《内部审核控制程序》的要求，内部审核至少每年组织一次，因此指标修订和完善的周期不能超过一年）。

6.相关文件

《信息安全管理手册》

《信息安全管理策略》

《信息安全检查管理程序》

《管理评审控制程序》

《内部审核管理程序》

《信息安全管理体系度量统计表》