IT-IT-M-0002信息安全目标目标管理.docVIP

资料 xxx有限公司 信息安全管理目标及目标管理 密级 □机密 □保密 ■ 内部使用 □公开信息 受控状态 ■受控 □非受控 2011-12-01颁布 2011-12-01颁布 封面 2011-01-01 实施 深圳市英腾威电气股份有限公司 信息中心 发布 文件历史控制记录 文件名称 信息安全管理目标及目标管理 文件编号 IT-IT-M-0002 对应OA文号 版次 编制与修订概要 完成日期 状态 角色 参与人员 编写 初审 会签 审核 批准 资料 目的 通过对目标的制定、达成情况的验证及采取的纠正措施等的管理，确认信息安全管理体系运行情况，并为体系的持续改进提供依据。 适用范围 适用于公司信息安全目标的制定、达成统计、改进及应用。 定义 信息安全目标：在信息安全方面所追求的目的。 职责 最高管理者负责制定公司的中长期信息安全目标。 管理者代表负责制定分解信息安全目标。 各部门负责本部门目标完成情况的统计和传递，及目标未达成时的纠正。 信息中心门负责监督、验证各部门目标达成情况，对每次未达到的要求其给出纠正措施，并负责对整体完成情况进行总结。 信息中心负责每年度对公司目标达成情况进行统计总结。 内容 公司信息安全目标 公司最高管理者负责制定公司总的信息安全目标并负责宣贯。公司信息安全目标一般放在信息安全管理手册附件中，也可制定在单独文件中。公司目前信息安全目标见附件一。 公司信息安全目标应传达到全体员工，使其成为全体员工共同努力的目标，并作为对客户的承诺。信息安全目标可采用公告栏、宣传材料、培训等形式能被外界和全体员工所获取。 信息中心负责定期对公司信息安全目标完成情况进行统计。 管理者代表应每年度对公司信息安全目标完成情况做一总结，作为管理评审的输入之一，管理评审应对公司信息安全目标的适宜性进行评审，并对是否重新制定公司信息安全目标做决定。 分解信息安全目标 除公司总的信息安全目标外，还应对相关职能和层次规定出信息安全目标，制定“年度信息安全目标分解计划”作为各部门的信息安全目标。“年度信息安全目标分解计划”为年度目标，应每年更新一次。 信息中心门负责组织制定“年度信息安全目标分解计划”报管理者代表批准，一般在每年年末制定下一年度的“年度信息安全目标分解计划”。“年度信息安全目标分解计划”制定完成后应发给相关部门。 “年度信息安全目标分解计划”的内容包括以下内容： -部门 -目标项目 -目标值 -统计方法 -统计周期 -统计部门 “年度信息安全目标分解计划”格式见附件二。 “年度信息安全目标分解计划”的统计 各部门应根据部门年度信息安全目标设计本部门信息安全目标完成情况的统计记录格式，即“XXX部XX年度信息安全目标完成情况”。一般包括： -目标项目 -月份 -目标值 -实际值 -趋势图 -未达成原因 -纠正措施 具体格式参照附件三 各部门应每个周期阶段对本部门信息安全目标完成情况进行统计并与目标比较看是否达到目标，对未达成的项目进行原因分析和纠改。每统计完成后应及时交至信息中心门以供检查。 信息中心门根据“年度信息安全目标分解计划”定期（统计周期）收集各部门“XXX部XX年度信息安全目标完成情况”的统计报告，以监督整体达成情况。 各部门信息安全目标完成情况可作为信息安全报告的一部分。各部门信息安全目标完成情况的统计有信息中心门保存。 各部门信息安全目标完成情况统计的应用： 信息中心门对“各部门信息安全目标完成情况”进行汇总统计途径呈报相关部门及上级主管，使其了解信息安全体系运行状况，供决策参考。 经数据分析发现的显在或潜在的不合格或不符合，各部门应制定并执行纠正措施或预防措施，以不断改进信息安全体系。对于重大的不合格或不符合信息中心门应组织相关部门进行原因，制定纠正措施。 相关文件 《信息安全管理手册》 《信息安全方针》 相关记录 《XXX部XX年度信息安全目标完成情况》 《纠正预防措施工作单》 附件 附件一、公司信息安全目标 附件二、年度分解目标 附件三、XXX部XX年度信息安全目标完成情况 附件一 公司信息安全目标 目标类别 目标项 目标值 目标换算方法 统计 周期 信息安全目标 不可接受风险处理率 100% （不可接受风险数处理数/不可