组织应在相关职能和层次上建立信息安全目标 信息安全目标应:
A) 与信息安全方针一致;
B) 可测量(如可行);
C) 考虑适用的信息安全要求及风险评估和风险处置结果;
D) 被传达;
E) 适当时进行更新。
组织应保留关于信息安全目标的文件记录信息。
当策划如何实现其信息安全目标时,组织应确定:
F) 要做什么;
G) 需要什么资源;
H) 由谁负责;
I) 什么时候完成;
J) 如何评价结果。 查《信息安全管理手册》
公司信息安全目标:
1)重要信息泄露为0次/年
2)移动介质遗失小于1次/年;
3)信息安全事件发生小于或等于2次/年。
公司建立《信息安全目标测量控制程序》,明确管理和测量信息安全目标的职责,明确测量的内容和频率要求,并对测量的结果进行评价,识别改进的机会。
组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源 安装了防火墙
成立信息安全小组
组织的信息安全管理体系应包括:
a) 本标准要求的文件记录信息;
b) 组织为有效实施信息安全管理体系确定的必要的文件记录信息。 a) “文件控制程序文件”要定义“文件发布前要得到批准”
b) “文件控制程序文件”要定义“必要时评审与更新文件,并再次获得批准”
c) “文件控制程序文件”要定义“文件的更改和现行修订状态得到标识”
d) “文件控制程序文件”要定义“在使用处可获得有关版本的适用文件”
e) “文件控制程序文件”要定义“文件保持清晰、易于识别”
f) “文件控制程序文件”要定义“文件可为需要的人员使用,并依照相关程序进行传输、贮存和 终销毁”
g) “文件控制程序文件”要定义“外来文件得到标识”
h) “文件控制程序文件”要定义“文件的分发受控制”
i) “文件控制程序文件”要定义“防止作废文件非预期使用”
j) “文件控制程序文件”要定义“对需要保留的作废文件做出适当的标识”是,制定了文件控制程序,抽查在现场使用的文件版本为现行有效。