信息安全工作OKR愿景、战略和目标的设计示例

OKR是一套定义和跟踪目标及其完成情况的管理工具和方法。本文定位于一个公司的信息安全工作OKR设计，提供了一个设计尝试与示例参考。帮助大家理解怎么使用OKR来帮助设计信息安全工作的目标和管理相关的任务。

一、愿景

为公司的产品服务和技术系统的持续运行运营提供所需的信息安全保障。

二、战略

1. 通过信息安全标准认证

引入ISO27000和国家信息安全等级保护标准，规划公司信息安全方针与制度，通过27001认证；

2. 实施信息安全项目建设

实施重点信息安全建设项目，通过项目推动信息安全标准落地，以点带线、以线带面，强化公司整体信息安全；

3. 部署信息安全管控系统

上线商业或开源定制开发的信息安全系统和信息安全管理系统，提高信息安全工作的自动化与信息化水平。

三、2018年1季度目标

1. 协助公司通过27001标准认证
   KR1: 提供或补充设计标准认证相关的信息安全方针、制度、操作规程以及各种记录文件；
   KR2: 应标准认证管理要求，对不符合要求的认证材料进行修订；
   KR3: 应标准认证的现场审核要求，配合演示相关系统或出示相关文件材料等；
2. 设计并开始实施XX产品技术系统信息安全项目
   KR1: 获得批准并启动项目，整理技术系统的总体概况并确定项目实施的初步范围、制定项目推进计划；
   KR2: 调研/分析现状，进行现状/目标的差异分析；
   KR3: 建立安全方针，设计文件层级与文件格式；
   KR4: 创建信息系统清单，对项目范围内的信息系统进行梳理，为信息系统安全保护定级；
   KR5: 设计资产分类/分级标准，统计资产；
   KR6: 设计等级保护测评方案，设计ISMS风险评估方案，设计风险处置程序；
3. 设计并开始实施公司办公网信息安全项目
   KR1: 获得批准并启动项目，整理技术系统的总体概况并确定项目实施的初步范围、制定项目推进计划；
   KR2: 调研/分析现状，进行现状/目标的差异分析；
   KR3: 建立安全方针，划分安全域，设计文件层级与文件格式；
   KR4: 创建信息系统清单，对项目范围内的信息系统进行梳理，为信息系统安全保护定级；
   KR5: 设计资产分类/分级标准，统计资产；
   KR6: 设计等级保护测评方案，设计ISMS风险评估方案，设计风险处置程序；
4. 建设信息安全管控系统与管理流程
   KR1: 发布WEB安全扫描管理流程，定时执行WEB安全扫描，扫描、通报、加固、复查；
   KR2: 采购和部署终端安全管理系统，办公网防病毒、补丁管理与安全审计等；
   KR3: 信息安全管理系统的功能需求分析与设计方案；
   KR4: 设计和推广系统安全配置基线；

四、2018年2季度目标

1. 协助公司通过27001标准认证（续）
2. 继续实施XX产品技术系统信息安全项目
   KR1: 进行等保测评，编写等保测评报告；
   KR2: 实施ISMS风险评估，编写风险评估报告；
   KR3: 整合等保测评和风险评估结果，设计风险处置计划和控制措施；
   KR4: 准备适用性声明（SOA）;
3. 继续实施公司办公网信息安全项目
   KR1: 进行等保测评，编写等保测评报告；
   KR2: 实施ISMS风险评估，编写风险评估报告；
   KR3: 整合等保测评和风险评估结果，设计风险处置计划和控制措施；
   KR4: 准备适用性声明（SOA）;
4. 建设信息安全管控系统与管理流程
   KR1: 定时执行WEB安全扫描，扫描、通报、加固、复查；
   KR2: 发布终端安全管理系统的管理流程与操作规程；
   KR3: 部署系统基线安全监控与报警系统；
   KR4: 部署系统完整性检查监控与报警系统；
   KR5: 成立信息安全管理系统的项目开发团队，发布原型系统；

五、2018年3季度目标

1. 继续实施XX产品技术系统信息安全项目，
   KR1: 规划设计组织处理风险选择的控制目标和控制措施，包括设计安全组织，设计文件体系，设计信息安全策略以及开发安全制度及规程；
   KR2: 规划技术和物理安全措施，通过等保测评发现的技术安全风险需要通过设计、实施技术安全控制措施控制风险，不符合ISMS控制措施的项目也需要通过技术措施进行安全加固；
   KR3: 设计管理体系关键要素；
2. 继续实施公司办公网信息安全项目
   KR1: 规划设计组织处理风险选择的控制目标和控制措施，包括设计安全组织，设计文件体系，3. 设计信息安全策略以及开发安全制度及规程；
   KR2: 规划技术和物理安全措施，通过等保测评发现的技术安全风险需要通过设计、实施技术安全控制措施控制风险，不符合ISMS控制措施的项目也需要通过技术措施进行安全加固；
   KR3: 设计管理体系关键要素；
3. 建设信息安全管控系统与管理流程
   KR1: 定时执行WEB安全扫描，扫描、通报、加固、复查；
   KR2: 定时执行终端安全管理系统的管理任务；
   KR3: 部署安全日志的采集、分析与审计系统；
   KR4: 部署源代码安全审计系统；
   KR5: 完成信息安全管理系统v1.0的功能开发，完成基础功能需求的开发任务；

六、2018年4季度目标

1. 继续实施XX产品技术系统信息安全项目
   KR1: 确定正式的项目计划，将前期工作中讨论和设计的主要活动做成正式的项目计划；
   KR2: 体系试运行；
   KR3: 信息安全意识与信息安全制度培训；
   KR4: 内审/外审；
2. 继续实施公司办公网信息安全项目
   KR1: 确定正式的项目计划，将前期工作中讨论和设计的主要活动做成正式的项目计划；
   KR2: 体系试运行；
   KR3: 信息安全意识与信息安全制度培训；
   KR4: 内审/外审；
3. 建设信息安全管控系统与管理流程
   KR1: 定时执行WEB安全扫描，扫描、通报、加固、复查；
   KR2: 定时执行终端安全管理系统的管理任务；
   KR3: 部署入侵防御IPS与DDos防护系统；
   KR4: 部署数据库安全审计系统；
   KR5: 完成信息安全管理系统v2.0的功能开发，交付大部分功能；