2. 程式人生 > >資訊保安工作OKR願景、戰略和目標的設計示例

資訊保安工作OKR願景、戰略和目標的設計示例

阿新 發佈:2019-01-09

OKR是一套定義和跟蹤目標及其完成情況的管理工具和方法。本文定位於一個公司的資訊保安工作OKR設計,提供了一個設計嘗試與示例參考。幫助大家理解怎麼使用OKR來幫助設計資訊保安工作的目標和管理相關的任務。

一、願景

為公司的產品服務和技術系統的持續執行運營提供所需的資訊保安保障。

二、戰略

1. 通過資訊保安標準認證

引入ISO27000和國家資訊保安等級保護標準,規劃公司資訊保安方針與制度,通過27001認證;

2. 實施資訊保安專案建設

實施重點資訊保安建設專案,通過專案推動資訊保安標準落地,以點帶線、以線帶面,強化公司整體資訊保安;

3. 部署資訊保安管控系統

上線商業或開源定製開發的資訊安全系統和資訊保安管理系統,提高資訊保安工作的自動化與資訊化水平。

三、2018年1季度目標

  1. 協助公司通過27001標準認證
    KR1: 提供或補充設計標準認證相關的資訊保安方針、制度、操作規程以及各種記錄檔案;
    KR2: 應標準認證管理要求,對不符合要求的認證材料進行修訂;
    KR3: 應標準認證的現場稽核要求,配合演示相關係統或出示相關檔案材料等;
  2. 設計並開始實施XX產品技術系統資訊保安專案
    KR1: 獲得批准並啟動專案,整理技術系統的總體概況並確定專案實施的初步範圍、制定專案推進計劃;
    KR2: 調研/分析現狀,進行現狀/目標的差異分析;
    KR3: 建立安全方針,設計檔案層級與檔案格式;
    KR4: 建立資訊系統清單,對專案範圍內的資訊系統進行梳理,為資訊系統安全保護定級;
    KR5: 設計資產分類/分級標準,統計資產;
    KR6: 設計等級保護測評方案,設計ISMS風險評估方案,設計風險處置程式;
  3. 設計並開始實施公司辦公網資訊保安專案
    KR1: 獲得批准並啟動專案,整理技術系統的總體概況並確定專案實施的初步範圍、制定專案推進計劃;
    KR2: 調研/分析現狀,進行現狀/目標的差異分析;
    KR3: 建立安全方針,劃分安全域,設計檔案層級與檔案格式;
    KR4: 建立資訊系統清單,對專案範圍內的資訊系統進行梳理,為資訊系統安全保護定級;
    KR5: 設計資產分類/分級標準,統計資產;
    KR6: 設計等級保護測評方案,設計ISMS風險評估方案,設計風險處置程式;
  4. 建設資訊保安管控系統與管理流程
    KR1: 釋出WEB安全掃描管理流程,定時執行WEB安全掃描,掃描、通報、加固、複查;
    KR2: 採購和部署終端安全管理系統,辦公網防病毒、補丁管理與安全審計等;
    KR3: 資訊保安管理系統的功能需求分析與設計方案;
    KR4: 設計和推廣系統安全配置基線;

四、2018年2季度目標

  1. 協助公司通過27001標準認證(續)
  2. 繼續實施XX產品技術系統資訊保安專案
    KR1: 進行等保測評,編寫等保測評報告;
    KR2: 實施ISMS風險評估,編寫風險評估報告;
    KR3: 整合等保測評和風險評估結果,設計風險處置計劃和控制措施;
    KR4: 準備適用性宣告(SOA);
  3. 繼續實施公司辦公網資訊保安專案
    KR1: 進行等保測評,編寫等保測評報告;
    KR2: 實施ISMS風險評估,編寫風險評估報告;
    KR3: 整合等保測評和風險評估結果,設計風險處置計劃和控制措施;
    KR4: 準備適用性宣告(SOA);
  4. 建設資訊保安管控系統與管理流程
    KR1: 定時執行WEB安全掃描,掃描、通報、加固、複查;
    KR2: 釋出終端安全管理系統的管理流程與操作規程;
    KR3: 部署系統基線安全監控與報警系統;
    KR4: 部署系統完整性檢查監控與報警系統;
    KR5: 成立資訊保安管理系統的專案開發團隊,釋出原型系統;

五、2018年3季度目標

  1. 繼續實施XX產品技術系統資訊保安專案,
    KR1: 規劃設計組織處理風險選擇的控制目標和控制措施,包括設計安全組織,設計檔案體系,設計資訊保安策略以及開發安全制度及規程;
    KR2: 規劃技術和物理安全措施,通過等保測評發現的技術安全風險需要通過設計、實施技術安全控制措施控制風險,不符合ISMS控制措施的專案也需要通過技術措施進行安全加固;
    KR3: 設計管理體系關鍵要素;
  2. 繼續實施公司辦公網資訊保安專案
    KR1: 規劃設計組織處理風險選擇的控制目標和控制措施,包括設計安全組織,設計檔案體系,3. 設計資訊保安策略以及開發安全制度及規程;
    KR2: 規劃技術和物理安全措施,通過等保測評發現的技術安全風險需要通過設計、實施技術安全控制措施控制風險,不符合ISMS控制措施的專案也需要通過技術措施進行安全加固;
    KR3: 設計管理體系關鍵要素;
  3. 建設資訊保安管控系統與管理流程
    KR1: 定時執行WEB安全掃描,掃描、通報、加固、複查;
    KR2: 定時執行終端安全管理系統的管理任務;
    KR3: 部署安全日誌的採集、分析與審計系統;
    KR4: 部署原始碼安全審計系統;
    KR5: 完成資訊保安管理系統v1.0的功能開發,完成基礎功能需求的開發任務;

六、2018年4季度目標

  1. 繼續實施XX產品技術系統資訊保安專案
    KR1: 確定正式的專案計劃,將前期工作中討論和設計的主要活動做成正式的專案計劃;
    KR2: 體系試執行;
    KR3: 資訊保安意識與資訊保安制度培訓;
    KR4: 內審/外審;
  2. 繼續實施公司辦公網資訊保安專案
    KR1: 確定正式的專案計劃,將前期工作中討論和設計的主要活動做成正式的專案計劃;
    KR2: 體系試執行;
    KR3: 資訊保安意識與資訊保安制度培訓;
    KR4: 內審/外審;
  3. 建設資訊保安管控系統與管理流程
    KR1: 定時執行WEB安全掃描,掃描、通報、加固、複查;
    KR2: 定時執行終端安全管理系統的管理任務;
    KR3: 部署入侵防禦IPS與DDos防護系統;
    KR4: 部署資料庫安全審計系統;
    KR5: 完成資訊保安管理系統v2.0的功能開發,交付大部分功能;

相關推薦

資訊保安工作OKR戰略目標設計示例

OKR是一套定義和跟蹤目標及其完成情況的管理工具和方法。本文定位於一個公司的資訊保安工作OKR設計,提供了一個設計嘗試與示例參考。幫助大家理解怎麼使用OKR來幫助設計資訊保安工作的目標和管理相關的任務。 一、願景 為公司的產品服務和技術系統的持續執行運營提供

運維工作OKR戰略目標設計示例

OKR是一套定義和跟蹤目標及其完成情況的管理工具和方法。1999年 英特爾公司發明了這種方法,後來被 John Doerr推廣到甲骨文,谷歌,領英等高科技公司並逐步流傳開來,現在廣泛應用於IT、風險投資、遊戲、創意等以專案為主要經營單位的大小企業。 本文定位於

馬雲的戰略“三板斧”:使命價值觀

戰略“三板斧”由兩部分構成,“上三板斧”:使命、願景、價值觀,“下三板斧”:人才、組織、KPI。其中“上三板斧”對應“戰略”,即目標與核心,“下三板斧”對應“戰術”,即方法與手段,兩者結合,便形成戰略與戰術的統一和落地。 企業之道:長久、健康、快樂 企業在

【軟考】——網路與資訊保安基礎知識(區域網廣域網/協議)

計算機網路的硬體裝置是承載計算機通訊的實體,但它們是怎樣有序地完成計算機之間通訊任務的呢???——》協議; 協議???——》規定通訊時的資料格式、資料傳送時序以及相應的控制資訊和應答訊號等內容;

阿里巴巴使命價值觀績效管理中的六大價值觀TAE 與 TOP聚石塔阿里雲的差異化服務

阿里巴巴的使命 讓天下沒有難做的生意 阿里巴巴的願景 分享資料的第一平臺幸福指數最高的企業“活102年”阿里巴巴的價值觀 我們堅持“客戶第一、員工第二、股東第三”。 阿里巴巴的六脈神劍(績效管理中的六大價值觀) 公司的“六脈神劍” 客戶第一-客戶是衣食父母·

企業管理理論綜述與實踐 — 管理使命價值觀

管理學大師:彼得 · 德魯克 (Peter F.Drucker) 現代管理學大師 - 彼得 · 德魯克 在1954年首次提出了管理學概念。美國當地時間2005年11月11日上午,95歲高齡的現代管理學

個人日常教學工作的總結~~悲涼失落無奈

重點高校也有其他問題的,比如“空心病”,(http://www.sohu.com/a/119277250_372535)。 從事高校教學工作3年了,回顧一下這3年,才發現剛工作時的自己是多麼的幼稚和天真。 3年前的我,認為努力上好每一節課就能得到學生的尊重,其實不然,這期間也開設了很多新

非同步DCDC的工作模式(CCMDCMBCM)

目錄 1. 非同步DCDC的三種工作模式 非同步DCDC工作在哪種模式,取決於拓撲和輸出功率,輸入電壓和輸出電壓的大小。 CCM,連續導通模式,一個開關週期內電感電流>0。 DCM,斷續導通模式,一個開關週期內電感電流 ≥ 0。 BCM,臨界導通模式

工作流管理——模型方法系統》筆記2:Petri網對工作流建模

Web 是一個生長著的、開放的、動態的分散式系統。 Web 始於1989 年,當時英國科學家 Tim Berners-Lee 和比利時人 Robert Cailliau 在歐洲粒子物理研究所(European Organization for Nuclear Research

讀書筆記《工作流管理-模型方法系統》-2工作流建模

1、每個案例(工作)應該擁有的要素:唯一標識、生命週期、狀態、案例資料、案例檔案、條件 2、條件是一個任務開始及完結的前提。條件決定了任務是否被執行以及執行的順序。 3、任務是工作的一個不可分割的邏輯單元,它必需被完整執行,或發生錯誤就需要回滾(rollback). 4

工作流管理--模型方法系統

    本人專業電腦科學與技術,目前還是小渣渣。在老師的推薦下,讓我學習工作流管理這本書,所以就給大家介紹一點工作流管理的小知識。也是一些自己的理解。     工作流的基本目的就是為每次活動選擇合適的執行的型別。什麼是活動呢 ?活動就是資源的真整合,即每次案例藉助資源來執行

python爬蟲裡資訊提取的核心方法: BeautifulsoupXpath正則表示式

20170531 這幾天重新拾起了爬蟲,算起來有將近5個月不碰python爬蟲了。 對照著網上的程式和自己以前寫的抓圖的程式進行了重寫,發現了很多問題。總結和歸納和提高學習效果的有效手段,因此對於這些問題做個歸納和總結,一方面總結學習成果,使之成為自己的東西,另一方面

CountDownLatchCyclicBarrierSemaphore 使用示例及原理

CountDownLatch CountDownLatch使用者監聽某些初始化操作,並且執行緒進行阻塞,等初始化執行完畢後,通知主執行緒繼續工作執行。 CountDownLatch 使用示例 使用示例,執行緒t3 要等待t1和t2執行完畢才執行: /** * @Desc

【Tomcat9原始碼分析】ContainerPipelineVavle設計

1 概述 如果你對Tomcat的整個框架、元件、請求流程不熟悉,建議你先閱讀以下3篇Tomcat概述性的文章,再來看本篇文章: Container是Tomcat中很重要的容器,主要包含Engine、Host、Context和Wrapper,其

EF5.x Code First一對多關聯條件查詢ContainsAnyAll使用示例

背景 通過多個部門id獲取所有使用者,部門和使用者是多對多。 已知部門id,獲取該部門包括該部門下的所有子部門的所有使用者。 關係如下: public class Entity:IEntity { public Guid Id { get; se

Net Core Identity 身份驗證:註冊登入登出 (簡單示例)

一、前言   一般我們自己的系統都會用自己設定的一套身份驗證授權的程式碼,這次用net core的identity來完成簡單的註冊、登入和登出。 二、資料庫   首先就是建立上下文,我這裡簡單的建了Users和UserClaim表,要是沒有UserClaim等下的登入操作是會報錯的,應該是有身份認證方面的關係

阿裏巴巴未來十年使命價值觀

而且 一段 法律法規 績效考核 塑造 指令 才會 分享 但我 轉自: http://blog.sina.com.cn/s/blog_7edec11f0100qhe6.html 阿裏集團組織部召開了2010年開春的第一次會議。以下是這次大會的文字記錄: 【開場&組織部

四維創智CEO司紅星出席全國資訊保安標準化技術委員會工作會議

10月24日-27日,全國資訊保安標準化技術委員會(以下簡稱信安標委)2018年第二次工作組“會議周”全體會議在青島召開。信安標委副主任委員、中央網信辦總工兼網路安全協調局局長趙澤良,國家市場監督管理總局標準技術管理司處長劉大山出席會議並講話。中國科學院王小云院士、部分特邀網路安全專家、信安標委

區塊鏈教程區塊鏈背後的資訊保安2DES3DES加密演算法原理二

Feistel輪函式 每次Feistel輪函式內部,均經過4種運算,即: 1、擴充套件置換:右側32位做擴充套件置換,擴充套件置換將32位輸入擴充套件成為48位輸出,使得擴充套件後輸出資料長度與48位子金鑰等長。 2、異或運算:右側32位擴充套件置換為48位後,與48位子金鑰做異或運算。 3

《今日簡史》七融合統一(中)——帝國的

要尋找人類文明演化的規律,必須要從衛星的高度俯視,看幾千年的歷史跨度。看到的結果是合久必分只是一時,分久必合才是不變的大勢。從公元前1000年開始,我們人類的歷史就進入到一個全球化的程序當中,出現了三種有可能將全球的人類統一到一起秩序。他們分別是金錢、帝國和宗教。上一期節目我們著重討論了金錢。他擁