信息安全目标与度量管理规定
总则
为持续监督科技发展部信息安全各项工作的落实情况，量化评价信息安全管控措施的执行效果，衡量信息安全管理体系的整体有效性和持续改进能力，特制定本规定。
本规定适用于科技发展部职责范围内的信息安全管理体系有效性测量工作。
组织与职责
信息安全工作指挥小组负责审核有效性测量的项目和目标值，审批有效性测量的申请，评审有效性测量相关报告。
科技发展部风险管理组组织制订和维护有效性测量的项目和目标值；组织各部门进行有效性测量工作，编制有效性测量相关报告。
各部门安全组负责本部门有效性测量工作的检查与监督。
各部门负责为有效性测量提供真实、有效的数据和资料，配合完成各自职责范围内的有效性测量工作。
总体要求
信息安全管理体系有效性测量是实现科技发展部信息安全管理体系目标的重要保障机制，体系有效性测量工作必须紧密结合信息安全方针，实现管理体系的可监督和可测量。
有效性测量应按照循序渐进、持续改进的原则，逐步完善测量项目和目标值。
测量范围
科技发展部的信息安全管理体系有效性测量在以下四方面设置测量项目（具体指标详见附件二）：
信息安全管理体系运行；
员工信息安全行为、意识管理；
日常安全管理；
业务连续性管理。
工作流程
科技发展部风险管理组应定期组织各部门开展对信息安全管理体系的有效性测量工作，有效性测量应得到信息安全工作指挥小组的审批。
各部门应如实填写《信息安全管理体系有效性测量表》，由科技发展部风险管理组汇总分析，形成《信息安全管理体系有效性测量报告》，作为信息安全管理体系管理评审的重要输入，为信息安全管理体系的改进提供决策依据。
信息安全工作指挥小组应根据相关报告判定体系运行是否达到预期，对发现的问题，指示按照《纠正预防控制管理规定》予以整改。
科技发展部风险管理组应根据体系运行情况及外部要求的变化及时对现有测量项目进行细分或补充。
附则
本规定由科技发展部制定、修订和解释。
本规定自发布之日起实施。
记录
《信息安全管理体系有效性测量表》
《信息安全管理体系有效性测量报告》
附件一：
修订记录
日期(年月日)
版本
描述
作者
审批人
审批日期
20161011
1.0 发布稿
詹学文
乌传欣
20161021

附件二：
信息安全管理体系测量项目清单
序号
测量项目
目标值
数据来源
测量频度
一、信息安全管理体系运行1 信息安全人员占全体员工的比例
≥ 3%
人员清单
每年2 风险评估实施次数
≥ 1次/年
风险评估报告
每年3 信息安全全面检查次数
≥ 2次/年
信息安全检查报告
每年4 信息安全培训举办次数
≥ 2次/年
信息安全培训记录
每年5 信息安全管理制度的评审次数
≥ 1次/年
管理制度评审记录
每年6 信息安全管理制度的修订次数
≥ 1次/年
管理制度修订记录
每年7 信息安全相关法律法规的更新次数
≥ 1次/年
法律法规更新记录
每年
二、员工信息安全行为、意识管理1 接受信息安全培训的员工占全体员工的比例
≥ 80%
员工信息安全培训记录
每年2 违反信息安全制度的员工占员工人数的比例
≤ 3%
信息安全检查报告
每年3 违反信息安全管理制度受到惩戒的员工占员工人数的比例
≤ 3%
员工惩戒记录
每年
三、日常安全管理1 客户端安装防病毒系统比例
≥ 95%
信息安全检查报告
每年2 客户端防病毒系统版本更新比例
≥ 90%
信息安全检查报告
每年3 信息安全事件报告比例
≥ 90%
信息安全事件报告表
每年
四、业务连续性管理1 根据应急预案进行培训的次数
≥ 1次/年
应急预案培训记录
每年2 进行演练的预案占应急预案总数的比例
≥ 70%
应急演练记录
每年3 对应