6.2信息安全/信息技术服务目标及其实现规划

6.2.1 组织应对信息安全/信息技术服务管理体系所需的相关职能、层次和过程设定信息安全/信息技术服务目标。信息安全/信息技术服务目标应：

a) 与信息安全/信息技术服务方针保持一致；

b) 可测量；

c) 考虑适用的要求以及风险评估和风险处置的结果；

d) 与提供合格产品和服务以及增强顾客满意相关；

e) 予以监视；

f)  予以沟通；

g) 适时更新。

根据公司产品和服务特点，确定公司的信息安全/信息技术服务目标：

ISMS的目标是：

a.客户信息安全事故为0。；

b. 公司的重大信息安全事故为0。

ITSMS的目标是：

1. 客户服务满意率≥95%；

2. 服务响应及时率≥98%；

3．事件及时解决率≥98%。

公司一般于每年初将ISMS/ITSMS目标分解到各部门，形成部门ISMS/ITSMS管理目标，并对各部门的ISMS/ITSMS管理目标的达成情况进行考核。

ISMS/ITSMS目标实施一段时期后，根据公司发展情况，做适宜的调整，确定新的ISMS/ITSMS目标。

6.2.2 策划如何实现信息安全/信息技术服务目标时，组织应确定：

a) 采取的措施；

b) 需要的资源；

c) 由谁负责；

d) 何时完成；

e) 如何评价结果。

6.3  策划服务管理体系

组织应制定、实施和维护服务管理计划。计划应考虑到服务管理方针。服务管理目标，风险与机遇。服务要求和本标准的要求。

服务管理计划应包括或包含以下内容：

a) 服务清单；

b) 影响服务管理体系和服务的已知限制；

c) 有关的方针，标准和法律法规要求、合同的要求；以及这些义务如何应用到服务管理体系和服务中；

d) 服务管理体系和服务的权限、职责；

e) 运行服务管理体系和服务所需要的人员、技术、信息和财务资源；

f) 服务生命周期中和相关方采取的工作方法；

g) 支持服务管理体系的技术；

h) 如何测量、审核、报告和改进服务管理体系和服务的有效性。

其他的策划活动应与服务管理策划相一致。

7. 支持

7.1资源

为确保ISMS/ITSMS的有效运行，公司管理层应提供充足必要的资源，该资源包括资金、技术、人力等方面，以保证：

a)  建立、贯彻、运行和保持ISMS/ITSMS；

b)  确保信息安全/信息技术服务程序支持业务要求；

c)  识别和强调法律和法规的要求和合同的安全义务；

d)