ITITM0002信息安全目标目标管理.docxVIP

有限公司 信息安全管理目标及目标管理 密级 □机密 □保密 ■ 部使用 □公开信息 受控状态 ■受控 □非受控 2011-12-01颁布 封面 20 11-01-01 实施 文件历史控制记录 深圳市英腾威电气股份有限公司 信息中心 发布 专业资料 文件名称 信息安全管理目标及目标管理 文件编号 IT-IT-M-0002 对应 OA文号 版次 编制与修订概要 完成日期 状态 角色 参与人员 编写 初审 会签 审核 批准 专业资料 目的 通过对目标的制定、达成情况的验证及采取的纠正措施等的管理，确认信息安 全管理体系运行情况，并为体系的持续改进提供依据。 适用围 适用于公司信息安全目标的制定、达成统计、改进及应用。 定义 信息安全目标：在信息安全面所追求的目的。 职责 4.1. 最高管理者负责制定公司的中长期信息安全目标。 4.2. 管理者代表负责制定分解信息安全目标。 4.3. 各部门负责本部门目标完成情况的统计和传递，及目标未达成时的纠正。 4.4. 信息中心门负责监督、验证各部门目标达成情况，对每次未达到的要求其 给出纠正措施，并负责对整体完成情况进行总结。 4.5. 信息中心负责每年度对公司目标达成情况进行统计总结。 容 5.1. 公司信息安全目标 5.1.1. 公司最高管理者负责制定公司总的信息安全目标并负责宣贯。公司信息 安全目标一般放在信息安全管理手册附件中，也可制定在单独文件中。公 司目 前信息安全目标见附件一。 5.1.2. 公司信息安全目标应传达到全体员工，使其成为全体员工共同努力的目 专业资料 标，并作为对客户的承诺。信 息安全目标可采用公告栏、宣传材料、培训等形 式能被外界和全体员工所获取。 5.1.3. 信息中心负责定期对公司信息安全目标完成情况进行统计。 5.1.4. 管理者代表应每年度对公司信息安全目标完成情况做一总结，作为管理 评审的输入之一，管理评审应对公司信息安全目标的适宜性进行评审，并对是 否重新制定公司信息安全目标做决定。 5.2. 分解信息安全目标 5.2.1. 除公司总的信息安全目标外，还应对相关职能和层次规定出信息安全目 标，制定“年度信息安全目标分解计划”作为各部门的信息安全目标。“年度 信息安全目标分解计划”为年度目标，应每年更新一次。 5.2.2. 信息中心门负责组织制定“年度信息安全目标分解计划”报管理者代表 批准，一般在每年年末制定下一年度的“ 年度信息安全目标分解计划”。“年度 信息安全目标分解计划”制定完成后应发给相关部门。 5.2.3. “ 年度信息安全目标分解计划”的容包括以下容： 部门 目标项目 目标值 统计法 统计期 统计部门 “年度信息安全目标分解计划”格式见附件二。 5.2.4. “ 年度信息安全目标分解计划”的统计 专业资料 各部门应根据部门年度信息安全目标设计本部门信息安全目标完成情况的统 计记录格式，即“ XXX 部 XX 年度信息安全目标完成情况” 。一般包括： 目标项目 月份 目标值 实际值 趋势图 未达成原因 纠正措施 具体格式参照附件三 5.2.5. 各部门应每个期阶段对本部门信息安全目标完成情况进行统计并与目标 比较看是否达到目标，对未达成的项目进行原因分析和纠改。每 统计完成后应 及时交至信息中心门以供检查。 5.2.6. 信息中心门根据“年度信息安全目标分解计划”定期（统计期）收集各 部门“ XXX部 XX年度信息安全目标完成情况”的统计报告，以监督整体达成情 况。 5.2.7. 各部门信息安全目标完成情况可作为信息安全报告的一部分。各部门信 息安全目标完成情况的统计有信息中心门保存。 5.2.8. 各部门信息安全目标完成情况统计的应用： 信息中心门对“各部门信息安全目标完成情况”进行汇总统计途径呈报相关部门及上级主管，使其了解信息安全体系运行状况，供决策参考。 经数据分析发现的显在或潜在的不合格或不符合，各部门应制定并执行纠正 专业资料 措施或预防措施，以不断改进信息安全体系。对于重大的不合格或不符合信 息中心门应组织相关部门进行原因，制定纠正措施。 相关文件 《信息安全管理手册》 《信息安全针》 相关记录 XXX部 XX 年度信息安全目标完成情况》《纠正预防措施工作单》 附件 附件一、公司信息安全目标 附件二、年度分解目标 附件三、 XXX 部 XX 年度信息安全目标完成情况 专业资料 附件一 公司信息安全目标 目 标 类 目标项 目标 目标换算法 别 值 不可接受风险处理率 100% （不可接受风险数处理数 / 不可受风险总 数）×100% 机密信息泄密事件 0 次 按实际发生次数统计 秘密信息泄密事件 0 次 按实际发生次数统计 特别重大突发事件（Ⅰ级） 0 次 按实际发生次数统计 信 息 重大突发事件（Ⅱ级） 0 次 按实际发