《ISMS手冊(cè)信息安全管理IT服務(wù)管理體系手冊(cè)》由會(huì)員分享，可在線閱讀，更多相關(guān)《ISMS手冊(cè)信息安全管理IT服務(wù)管理體系手冊(cè)（31頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、ISMS手冊(cè)-信息安全管理IT服務(wù)管理體系手冊(cè) 信息安全管理IT服務(wù)管理體系手冊(cè) 發(fā)布令 本公司按照ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》和ISO27001：2005《信息安全管理體系要求》以及本公司業(yè)務(wù)特點(diǎn)編制《信息安全管理&IT服務(wù)管理體系手冊(cè)》，建立與本公司業(yè)務(wù)相一致的信息安全與IT服務(wù)管理體系，現(xiàn)予以頒布實(shí)施。 本手冊(cè)是公司法規(guī)性文件，用于貫徹公司信息安全管理方針和目標(biāo)，貫徹IT服務(wù)管理理念方針和服務(wù)目標(biāo)。為實(shí)現(xiàn)信息安全管理與IT服務(wù)管理,開(kāi)展持續(xù)改進(jìn)服務(wù)質(zhì)量，不斷提高客戶滿意度活動(dòng)，加強(qiáng)信息安全建設(shè)的綱領(lǐng)性文件和行動(dòng)準(zhǔn)則。是全體員工必須遵守的原則性規(guī)范。體現(xiàn)公司

2、對(duì)社會(huì)的承諾，通過(guò)有效的PDCA活動(dòng)向顧客提供滿足要求的信息安全管理和IT服務(wù). 本手冊(cè)符合有關(guān)信息安全法律法規(guī)要求以及ISO20000:2005《信息技術(shù)服務(wù)管理-規(guī)范》、ISO27001：2005《信息安全管理體系要求》和公司實(shí)際情況。為能更好的貫徹公司管理層在信息安全與IT服務(wù)管理方面的策略和方針，根據(jù)ISO20000：2005《信息技術(shù)服務(wù)管理-規(guī)范》和ISO27001：2005《信息安全管理體系要求》的要求任命XXXXX為管理者代表,作為本公司組織和實(shí)施“信息安全管理與IT服務(wù)管理體系”的負(fù)責(zé)人。直接向公司管理層報(bào)告. 全體員工必須嚴(yán)格按照《信息安全管理&IT服務(wù)管理體系手冊(cè)》要

3、求，自覺(jué)遵守本手冊(cè)各項(xiàng)要求，努力實(shí)現(xiàn)公司的信息安全與IT服務(wù)的方針和目標(biāo)。 管理者代表職責(zé)： a） 建立服務(wù)管理計(jì)劃； b） 向組織傳達(dá)滿足服務(wù)管理目標(biāo)和持續(xù)改進(jìn)的重要性; e) 確定并提供策劃、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)服務(wù)交付和管理所需的資源，如招聘合適的人員，管理人員的更新； 1． 確保按照ISO207001：2005標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估,全面建立、實(shí)施和保持信息安全管理體系;按照ISO/IEC 20000 《信息技術(shù)服務(wù)管理－規(guī)范》的要求，組織相關(guān)資源,建立、實(shí)施和保持IT服務(wù)管理體系，不斷改進(jìn)IT服務(wù)管理體系，確保其有效性、適宜性和符合性。 2． 負(fù)

4、責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；向公司管理層報(bào)告IT服務(wù)管理體系的業(yè)績(jī)，如:服務(wù)方針和服務(wù)目標(biāo)的業(yè)績(jī)、客戶滿意度狀況、各項(xiàng)服務(wù)活動(dòng)及改進(jìn)的要求和結(jié)果等. 3． 確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)； 4． 審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃; 5． 批準(zhǔn)發(fā)布程序文件; 6． 主持信息安全管理體系內(nèi)部審核，任命審核組長(zhǎng)，批準(zhǔn)內(nèi)審工作報(bào)告； 向最高管理者報(bào)告信息安全管理體系的業(yè)績(jī)和改進(jìn)要求，包括信息安全管理體系運(yùn)行情況、內(nèi)外部審核情況. 7．推動(dòng)公司各部門領(lǐng)導(dǎo)，積極組織全體員工，通過(guò)工作實(shí)踐、教育培訓(xùn)、業(yè)務(wù)指導(dǎo)等方式不斷提高員工對(duì)滿足客戶需求的重要性的認(rèn)知程度,以及為達(dá)到公司服

5、務(wù)管理目標(biāo)所應(yīng)做出的貢獻(xiàn)。 總經(jīng)理: 日期： 信息安全方針和信息安全目標(biāo) 信息安全方針：信息安全 人人有責(zé) 本公司信息安全管理方針包括內(nèi)容如下： 一、信息安全管理機(jī)制 1．公司采用系統(tǒng)的方法，按照ISO/IEC 27001：2005建立信息安全管理體系，全面保護(hù)本公司的信息安全。 二、信息安全管理組織 2．公司總經(jīng)理對(duì)信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。 3．公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性. 4．在公司內(nèi)部建立信息安全組織機(jī)構(gòu)，信息安全管理委員會(huì)和

6、信息安全協(xié)調(diào)機(jī)構(gòu),保證信息安全管理體系的有效運(yùn)行。 5．與上級(jí)部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動(dòng)態(tài)，獲得對(duì)信息安全管理的支持。 三、人員安全 6．信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動(dòng)合同、崗位職責(zé)中應(yīng)包含對(duì)信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任.對(duì)崗位調(diào)動(dòng)或離職人員，應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。 7．對(duì)本公司的相關(guān)方，要明確安全要求和安全職責(zé)。 8．定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識(shí)。以提高安全意識(shí). 9．全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。

7、 四、識(shí)別法律、法規(guī)、合同中的安全 10．及時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求，采取措施,保證滿足安全要求。 五、風(fēng)險(xiǎn)評(píng)估 11．根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則. 12．采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)和軟件,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估,以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。 13．應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。 六、報(bào)告安全事件 14．公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門。 15．全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件,應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)

8、告。 16．接受信息安全事件報(bào)告的主管部門應(yīng)記錄所有報(bào)告，及時(shí)做出相應(yīng)的處理,并向報(bào)告人員反饋處理結(jié)果。 七、監(jiān)督檢查 17．定期對(duì)信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。 八、業(yè)務(wù)持續(xù)性 18．公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，建立業(yè)務(wù)持續(xù)性計(jì)劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過(guò)程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響,并確保能夠及時(shí)恢復(fù)。 19．定期對(duì)業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測(cè)試和更新。 九、違反信息安全要求的懲罰 20．對(duì)違反信息安全方針、職責(zé)、程序和措施的人員,按規(guī)定進(jìn)行處理。 信息安全目標(biāo)： 1。不可接受風(fēng)險(xiǎn)處理率：100% （所有不可接受

9、風(fēng)險(xiǎn)應(yīng)降低到可接受的程度）。 2.重大顧客因信息安全事件投訴為0次(重大顧客投訴是指直接經(jīng)濟(jì)損失金額達(dá)1萬(wàn)元以上） 1 信息安全管理手冊(cè)說(shuō)明 1．1公司簡(jiǎn)介 XX 1。1編制依據(jù)和目的 本手冊(cè)在遵循ISO9001：2005 《信息安全管理體系要求》與ISO/IEC 20000 《信息技術(shù)服務(wù)管理－規(guī)范》的要求編制而成，包括了ISO27001：2005的全部要求，對(duì)附錄A的刪減見(jiàn)《適用性聲明SoA》. 手冊(cè)描述公司的信息安全管理體系的總要求,以確保公司的信息安全管理體系能夠達(dá)到ISO27001：2005信息安全管理標(biāo)準(zhǔn)的要求；滿足本公司向客戶提供IT服務(wù)所需的IT基礎(chǔ)設(shè)施和IT技術(shù)

10、支持服務(wù)，適用于向客戶或認(rèn)證機(jī)構(gòu)證實(shí)，本公司具備提供符合客戶需求的IT服務(wù)能力和服務(wù)質(zhì)量。 本公司的體系程序是手冊(cè)的支持性文件,是對(duì)體系運(yùn)作的具體描述。 1。2適用范圍 信息安全管理＆IT服務(wù)管理體系手冊(cè)適用于本公司提供安全管理體系認(rèn)證服務(wù)與IT服務(wù)有關(guān)的所有部門和活動(dòng). 1．3術(shù)語(yǔ)和定義 1．3．1本手冊(cè)應(yīng)用ISO/IEC 20000中的術(shù)語(yǔ)及定義。 1．3．2本手冊(cè)應(yīng)用ISO/IEC27001中的術(shù)語(yǔ)及定義。 2 信息安全管理&IT服務(wù)管理手冊(cè)的管理 2．1手冊(cè)的編制、批準(zhǔn)和發(fā)布 2．1．1按照公司業(yè)務(wù)發(fā)展戰(zhàn)略和客戶需求,經(jīng)公司管理者代表批準(zhǔn)，技術(shù)服務(wù)事業(yè)部組織相關(guān)人員,

11、結(jié)合本公司業(yè)務(wù)特點(diǎn),根據(jù)ISO/IEC 20000標(biāo)準(zhǔn)的要求編寫。 2．1．2《IT服務(wù)管理手冊(cè)》由公司管理者代表批準(zhǔn)后發(fā)布。 2．2手冊(cè)的分發(fā) 2．2．1技術(shù)服務(wù)事業(yè)部負(fù)責(zé)手冊(cè)的發(fā)放、更新、管理與存檔。 2．2．2公司各部門負(fù)責(zé)手冊(cè)的使用和保管. 2．3手冊(cè)的受控狀態(tài) 2．3．1書面形式的手冊(cè)分“有效文件”和“保留文件"兩種形式。作為公司日常運(yùn)營(yíng)的依據(jù)及提供給外部認(rèn)證機(jī)構(gòu)的手冊(cè)均為“有效文件”形式。 2．3．2當(dāng)手冊(cè)內(nèi)容變更時(shí),“有效文件”形式的手冊(cè)應(yīng)及時(shí)予以更新和發(fā)放。 2．3．3“有效文件”形式的文件在更新后，如需保存原來(lái)的版本，以便于追溯，則應(yīng)當(dāng)用“保留文件”的標(biāo)識(shí)予以

12、區(qū)分。 2．3．4電子形式的手冊(cè)由技術(shù)服務(wù)事業(yè)部在工作流轉(zhuǎn)系統(tǒng)中進(jìn)行管理。 2．4手冊(cè)的變更 2．4．1因公司戰(zhàn)略調(diào)整、客戶需求或改進(jìn)活動(dòng)等引起的手冊(cè)內(nèi)容的變更,按公司總經(jīng)理指示，技術(shù)服務(wù)事業(yè)部組織相關(guān)部門對(duì)涉及變更的內(nèi)容進(jìn)行更新，并經(jīng)公司總經(jīng)理批準(zhǔn)后發(fā)布。 2．4．2更新后的手冊(cè)，應(yīng)及時(shí)地發(fā)放給公司內(nèi)部原手冊(cè)持有者,并收回舊版的手冊(cè).對(duì)電子形式的手冊(cè)，由技術(shù)服務(wù)事業(yè)部按工作流轉(zhuǎn)系統(tǒng)中的管理規(guī)則進(jìn)行更新和歸檔管理。 2．5公司內(nèi)部手冊(cè)持有者的責(zé)任 2．5．1與公司或部門內(nèi)部的相關(guān)人員溝通、學(xué)習(xí)手冊(cè)的要求并遵照?qǐng)?zhí)行。 2．5．2妥善保管,不得私自更改、曲解手冊(cè)的內(nèi)容。不得隨意向其他

13、與公司業(yè)務(wù)無(wú)關(guān)的第三方傳播，如需提供公司以外的第三方參考，應(yīng)經(jīng)技術(shù)服務(wù)事業(yè)部提交公司主管副總經(jīng)理審核后，報(bào)公司總經(jīng)理批準(zhǔn)。 3 公司架構(gòu)和安全承諾 3。1公司行政組織架構(gòu) 總 經(jīng) 理 文 檔 培 訓(xùn) 倉(cāng) 庫(kù) 采 購(gòu) 人力資源 財(cái) 務(wù) 物 流 銷 售 市 場(chǎng) 測(cè) 試 質(zhì)量保證 質(zhì)管部 實(shí) 施 研 發(fā) 綜合管理部 生技部 商務(wù)部  3.2公司信息安全管理體系組織架構(gòu)圖 總 經(jīng) 理 管理者代表 商務(wù)部 生技部 綜合管理部

14、 副管理者代表 研 發(fā) 實(shí) 施 質(zhì)管部 質(zhì)量保證 測(cè) 試 客戶服務(wù)部 銷 售 物 流 財(cái) 務(wù) 人力資源 采 購(gòu) 倉(cāng) 庫(kù) 培 訓(xùn) 文 檔 安全委員會(huì) 注：每個(gè)虛線框內(nèi)為一個(gè)信息安全小組，部門的負(fù)責(zé)人為安全組長(zhǎng),各崗位負(fù)責(zé)人為該崗位的安全員。 3．3公司IT服務(wù)管理職能關(guān)系架構(gòu)圖 3.4信息安全承諾 ◆公司成立安全管理委員會(huì)來(lái)領(lǐng)導(dǎo)信息安全工作,并確定相應(yīng)的職責(zé)和作用。 ◆制訂信息安全方針和信息安全目標(biāo)，建立和完善公司的信息安全管理體系.

15、◆提供充分的資源以保證信息安全管理體系的制定、實(shí)施、運(yùn)作、監(jiān)控、維護(hù)和改善。 ◆對(duì)公司信息資產(chǎn)實(shí)行有效管理，確保信息的機(jī)密性，維持信息的完整性和可用性,防范對(duì)信息的未經(jīng)授權(quán)訪問(wèn)。對(duì)公司信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，制定風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn),對(duì)公司不能接受的風(fēng)險(xiǎn)進(jìn)行處置。 ◆建立業(yè)務(wù)持續(xù)性管理流程.進(jìn)行業(yè)務(wù)持續(xù)性風(fēng)險(xiǎn)評(píng)估，編寫、測(cè)試并實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃，以保證公司關(guān)鍵業(yè)務(wù)的連續(xù)，不受重大故障和災(zāi)難的影響。 ◆確保公司所有員工都接受信息安全的教育培訓(xùn)，提高信息安全意識(shí)。 ◆保護(hù)公司、客戶、相關(guān)合作方的信息安全。 ◆建立公司信息安全組織架構(gòu),明確信息安全責(zé)任，確定報(bào)告可疑的和發(fā)生的信息安全

16、事故及事件的流程,對(duì)違反安全制度的人員進(jìn)行懲罰。 ◆建立物理安全和網(wǎng)絡(luò)安全管理制度，以確保信息的安全性。 ◆保護(hù)公司軟件和信息的完整性，防止病毒與各種惡意軟件的入侵. ◆任何人在未經(jīng)審批的情況下,禁止將信息資產(chǎn)帶離公司。 ◆公司所有員工都要嚴(yán)格遵守公司的安全方針、程序和制度。 ◆控制對(duì)內(nèi)外部網(wǎng)絡(luò)服務(wù)的訪問(wèn)，保護(hù)網(wǎng)絡(luò)服務(wù)的安全性與可用性。 ◆對(duì)用戶賬號(hào)、口令和權(quán)限進(jìn)行嚴(yán)格管理，防止對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn). ◆對(duì)重要信息進(jìn)行備份保護(hù)，以保證信息的可用性. ◆定期對(duì)信息安全管理體系進(jìn)行內(nèi)審和管理評(píng)審。 3。5信息安全管理委員會(huì) 為了加強(qiáng)對(duì)信息安全管理體系運(yùn)作的管理，江蘇金馬揚(yáng)名信

17、息技術(shù)有限公司公司成立信息安全管理委員會(huì)，其職責(zé)見(jiàn)下列明細(xì)表。 信息安全管理職責(zé)明細(xì)表 序號(hào) 單位/部門 信息安全職責(zé) 1 信息安全 管理委員會(huì) 信息安全管理委員會(huì)是我公司信息安全最高組織機(jī)構(gòu)，負(fù)責(zé)本單位網(wǎng)絡(luò)與信息安全重大事項(xiàng)的決策和協(xié)調(diào)，并對(duì)全公司信息安全工作負(fù)責(zé)。 2 總經(jīng)理 信息安全第一責(zé)任人,制定信息安全方針，對(duì)信息安全全面負(fù)責(zé). 3 管理者代表 經(jīng)總經(jīng)理授權(quán)負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系。 4 綜合管理部 我公司信息安全管理體系的歸口管理部門。 1. 負(fù)責(zé)管理體系的建立、實(shí)施、保持、測(cè)量和改進(jìn)。 2. 負(fù)責(zé)文件控制、記錄控制、內(nèi)部審核

18、的組織、管理評(píng)審的組織和體系的改進(jìn)。 3. 負(fù)責(zé)本公司保密工作的管理。 4. 安全區(qū)域的保衛(wèi)管理部門，負(fù)責(zé)安全區(qū)域的管理。 5. 負(fù)責(zé)全公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、意識(shí)和培訓(xùn)，員工離職管理。 6. 負(fù)責(zé)涉密信息上網(wǎng)、涉密計(jì)算機(jī)運(yùn)行、檢修、報(bào)廢的監(jiān)督管理。 7. 對(duì)信息安全日常工作實(shí)施動(dòng)態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容. 8. 參與涉密及司法介入的信息安全事件的調(diào)查。 5 生產(chǎn)技術(shù)部 是我公司信息系統(tǒng)安全管理部門。 負(fù)責(zé)局域網(wǎng)上所承擔(dān)的各類信息系統(tǒng)的管理職能； 負(fù)責(zé)我公司信息系統(tǒng)安全日常管理。 6 其他部門 認(rèn)真執(zhí)行信

19、息安全管理的方針、標(biāo)準(zhǔn)、安全策略和規(guī)范，做好內(nèi)部培訓(xùn)。 備注：以上職能劃分，適用所有信息安全管理體系文件。 信息安全管理委員會(huì)組成人員： 姓名 部門 職務(wù) 備注 3．6服務(wù)管理職能說(shuō)明 3．6．1為保證IT服務(wù)管理體系的順利實(shí)施，以及實(shí)施后得到持續(xù)的管理和維護(hù)，在現(xiàn)有的組織架構(gòu)外建立服務(wù)管理職能關(guān)系架構(gòu)。IT服務(wù)管理職能關(guān)系架構(gòu)，并不替代現(xiàn)有的按技術(shù)類別進(jìn)行的分工,現(xiàn)有的按技術(shù)類別進(jìn)的分工，在將來(lái)的IT服務(wù)管理體系中仍將發(fā)揮其作用。服務(wù)部根據(jù)IT服務(wù)管理程序要求對(duì)所有

20、服務(wù)合同按照項(xiàng)目進(jìn)行管理與運(yùn)行,由項(xiàng)目經(jīng)理按照服務(wù)管理職能關(guān)系架構(gòu)中的要求對(duì)項(xiàng)目執(zhí)行管理。一個(gè)完整的服務(wù)項(xiàng)目必須包含服務(wù)臺(tái)、事件管理、業(yè)務(wù)關(guān)系管理、信息安全管理、供應(yīng)商管理和IT財(cái)務(wù)管理。對(duì)于上圖虛線框內(nèi)的的問(wèn)題管理、發(fā)布管理、配置管理、變更管理、可用性和連續(xù)性管理、容量管理、服務(wù)級(jí)別管理以及服務(wù)報(bào)告可由服務(wù)部經(jīng)理依照與用戶簽署的服務(wù)合同進(jìn)行選擇裁剪。 3．6．2 角色分配說(shuō)明 3．6．2．1針對(duì)服務(wù)部當(dāng)前組織架構(gòu)及人員狀況，將不再為每一具體流程分配流程經(jīng)理。為此將13個(gè)流程，按其必要程度分成必選流程和可裁剪流程兩大模塊。由項(xiàng)目經(jīng)理負(fù)責(zé)相應(yīng)流程的實(shí)施、管理和控制.對(duì)項(xiàng)目組成員主要是組織、協(xié)

21、調(diào)、安排相應(yīng)工作任務(wù)的完成，可能并不是由自己去完成. 3．6．2．1．1 項(xiàng)目經(jīng)理 職責(zé)說(shuō)明: 1）、負(fù)責(zé)IT服務(wù)項(xiàng)目的立項(xiàng)工作，按照服務(wù)合同要求負(fù)責(zé)相應(yīng)流程的實(shí)施、管理和控制.組織、協(xié)調(diào)、安排項(xiàng)目組成員完成相應(yīng)工作任務(wù)。 2）、負(fù)責(zé)從服務(wù)臺(tái)接受事件報(bào)告開(kāi)始，分配相應(yīng)的職能小組進(jìn)行事件處理，直至找到問(wèn)題的根本原因的整個(gè)過(guò)程的管理和協(xié)調(diào)。 3）、負(fù)責(zé)各系統(tǒng)的配置管理、變更和發(fā)布控制。 4）、負(fù)責(zé)系統(tǒng)的可用性規(guī)劃和管理、負(fù)責(zé)安排系統(tǒng)連續(xù)性的計(jì)劃和演練，并負(fù)責(zé)系統(tǒng)容量的規(guī)劃和監(jiān)控. 5)、主要負(fù)責(zé)與用戶的溝通，對(duì)供應(yīng)商的管理，以及項(xiàng)目的預(yù)/決算的管理。 3．6．2．1．2能力要求:

22、 熟悉服務(wù)部的各種服務(wù)管理流程，具有較強(qiáng)的內(nèi)部協(xié)調(diào)能力。 由管理者代表授權(quán)技術(shù)服務(wù)事業(yè)部總監(jiān)，按ISO/IEC 20000的要求，負(fù)責(zé)協(xié)調(diào)和組織所有與IT服務(wù)有關(guān)的活動(dòng)，通過(guò)管理和實(shí)施各項(xiàng)活動(dòng)，使IT服務(wù)業(yè)務(wù)的質(zhì)量得到有效的保持和維護(hù)。 技術(shù)服務(wù)事業(yè)部組織制訂、批準(zhǔn)和發(fā)布公司IT服務(wù)策略、服務(wù)目標(biāo)，并使其成為公司關(guān)注的焦點(diǎn)，成為公司協(xié)調(diào)、統(tǒng)一、凝聚公司的所有活動(dòng)和資源的準(zhǔn)則，成為建立、實(shí)施、保持并改進(jìn)IT服務(wù)管理體系的宗旨。 3．6．3 公司 IT服務(wù)策略： 客戶至上、全員參與、創(chuàng)新高效、系統(tǒng)管理、追求卓越 公司 IT服務(wù)目標(biāo)： 公司通過(guò)服務(wù)質(zhì)量改進(jìn)程序確定年度服務(wù)質(zhì)

23、量目標(biāo) 公司的IT服務(wù)目標(biāo)按ISO/IEC 20000的要求，與公司的業(yè)務(wù)相結(jié)合，并通過(guò)流程績(jī)效不斷提高和改進(jìn)。 技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門，通過(guò)會(huì)議、評(píng)審、書面報(bào)告、培訓(xùn)等方式，及時(shí)有效溝通工作，達(dá)到IT服務(wù)管理目標(biāo)和持續(xù)改進(jìn)的需求，并在公司中積極貫徹實(shí)施IT服務(wù)管理的重要性。 技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門按照PDCA的要求,通過(guò)對(duì)所屬業(yè)務(wù)的規(guī)劃，適時(shí)優(yōu)化和提供資源以計(jì)劃、實(shí)施、監(jiān)控、評(píng)審和改進(jìn)IT服務(wù)的交付和管理。 管理者代表按照《服務(wù)質(zhì)量改進(jìn)管理程序》中的計(jì)劃間隔,由技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門實(shí)施IT服務(wù)管理體系的內(nèi)部審核，確保IT服務(wù)管體系的有效性與符合

24、性。 管理者代表按照《服務(wù)質(zhì)量改進(jìn)管理程序》中的計(jì)劃間隔,組織相關(guān)部門執(zhí)行IT服務(wù)管理體系的管理評(píng)審，確保IT服務(wù)管理體系持續(xù)的穩(wěn)定、充分和有效。 3．6．4文件要求 3．6．4．1公司的文件管理體系分為A、B、C、D四層，即A層為管理手冊(cè)、B層為程序文件、C層為工作流程或規(guī)定、D層為記錄。 3．6．4．2管理手冊(cè) — 描述IT服務(wù)管理體系的文件,是全體員工必須長(zhǎng)期遵循的法規(guī)性文件。 3．6．4．3程序文件 — 覆蓋公司主要業(yè)務(wù)過(guò)程的流程文件，是管理手冊(cè)的支撐性文件. 3．6．4．4工作流程或規(guī)定— 是開(kāi)展具體業(yè)務(wù)工作的規(guī)范類、指導(dǎo)性文件，是程序文件的支持性文件。 3．6．4．5

25、記錄 — 在開(kāi)展具體業(yè)務(wù)工作過(guò)程中產(chǎn)生的記錄類文件，主要是為具體工作結(jié)果提供各種可追溯性證據(jù). 3．6．4．6技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織制訂《文件和記錄管理程序》，明確文件的擬制、批準(zhǔn)、發(fā)放、變更、存檔等管理要求,并監(jiān)控實(shí)施。 3．6．4．7技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門,根據(jù)公司的業(yè)務(wù)特點(diǎn)及標(biāo)準(zhǔn)的要求，制訂相關(guān)的程序文件,經(jīng)公司管理者代表批準(zhǔn)后實(shí)施. 3．6．4．8技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織擬制與本部門業(yè)務(wù)相關(guān)的各類C層文件,并按《文件和記錄管理程序》的要求對(duì)文件和記錄的有效性進(jìn)行管理。 4信息安全管 4.1總要求 4。1.1 公司根據(jù)整體業(yè)務(wù)活動(dòng)（軟件開(kāi)發(fā)、經(jīng)營(yíng)、服務(wù)和日常管理活動(dòng)）和

26、所面臨的風(fēng)險(xiǎn)，按ISO/IEC 27001:2005《信息技術(shù)—安全技術(shù)-信息安全管理體系—要求》規(guī)定，參照ISO/IEC 27002：2005《信息技術(shù)-安全技術(shù)—信息安全管理實(shí)用規(guī)則》標(biāo)準(zhǔn)，建立、實(shí)施、運(yùn)作、監(jiān)控、維護(hù)并改進(jìn)文件化的信息安全管理體系。 4。1。2本手冊(cè)使用的過(guò)程基于PDCA模式. 相關(guān)文件： 《信息安全方針及目標(biāo)》 4.2建立和管理信息安全管理體系（ISMS) 4.2.1建立ISMS 4。2.1。1 信息安全管理體系的范圍和邊界 本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界,本公司信息安全管理體系的范圍包括： a) 本公司涉及軟件開(kāi)

27、發(fā)、營(yíng)銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng); b） 與所述信息系統(tǒng)有關(guān)的活動(dòng)； c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工； d） 所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。 組織范圍: 本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見(jiàn)本手冊(cè)JIN/QM—3。2《公司信息安全管理體系組織架構(gòu)》。 物理范圍： 本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。 本公司ISMS的物理范圍為本公司位于常州市常州市鸝欣麗都2幢乙單元503室的辦公場(chǎng)所，安全邊界詳見(jiàn)附錄A（規(guī)范性附錄）《辦公場(chǎng)所平面圖》。 4.2.1

28、.2 信息安全管理體系的方針 為了滿足適用法律法規(guī)及相關(guān)方要求，維持軟件開(kāi)發(fā)和經(jīng)營(yíng)的正常進(jìn)行,實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針，見(jiàn)本信息安全管理手冊(cè)第0.3條款. 該信息安全方針?lè)弦韵乱螅? a) 為信息安全目標(biāo)建立了框架,并為信息安全活動(dòng)建立整體的方向和原則； b） 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)； c) 與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持信息安全管理體系； d） 建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則; e） 經(jīng)最高管理者批準(zhǔn)。 為實(shí)現(xiàn)信息安全管理體系方針,本公司承諾： a） 在各層次建

29、立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全目標(biāo)和控制措施;明確信息安全的管理職責(zé)，見(jiàn)本信息安全管理手冊(cè)第3。4條款.； b） 識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求； c) 定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，信息安全管理體系評(píng)審,采取糾正預(yù)防措施，保證體系的持續(xù)有效性； d)采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息，實(shí)現(xiàn)信息共享； e） 對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力; f) 制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。 4.2。1。3 風(fēng)險(xiǎn)評(píng)估的方法 生技部負(fù)責(zé)制定《信息安全風(fēng)險(xiǎn)管理程序》，建立識(shí)別適用于信息安全管理

30、體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。信息安全風(fēng)險(xiǎn)評(píng)估采用信息安全風(fēng)險(xiǎn)管理軟件 （Info—riskmanager)進(jìn)行，以保證所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果. 4.2。1。4 識(shí)別風(fēng)險(xiǎn) 在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風(fēng)險(xiǎn)管理程序》,采用Info-riskmanager風(fēng)險(xiǎn)管理軟件,對(duì)所有的資產(chǎn)進(jìn)行了識(shí)別，并識(shí)別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值

31、，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了《重要資產(chǎn)清單》。 同時(shí)，根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》，識(shí)別了對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。 4.2.1。5 分析和評(píng)價(jià)風(fēng)險(xiǎn) 本公司按《信息安全風(fēng)險(xiǎn)管理程序》，采用信息安全風(fēng)險(xiǎn)管理軟件,分析和評(píng)價(jià)風(fēng)險(xiǎn): a） 針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值； b） 針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響,考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值； c) 根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》計(jì)算風(fēng)險(xiǎn)等級(jí)； d） 根據(jù)

32、《信息安全風(fēng)險(xiǎn)管理程序》及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。 4。2.1.6 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇 網(wǎng)絡(luò)管理部組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成《風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。 對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧? a) 控制風(fēng)險(xiǎn)，采用適當(dāng)?shù)膬?nèi)部控制措施； b） 接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）； c） 避免風(fēng)險(xiǎn)（如物理隔離); d) 轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）. 4.2.1.7選擇控制目標(biāo)與控制措施 網(wǎng)絡(luò)管理部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)

33、果,組織有關(guān)部門制定了信息安全目標(biāo),并將目標(biāo)分解到有關(guān)部門（見(jiàn)《信息安全適用性聲明》): a）信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。 b)控制目標(biāo)及控制措施的選擇原則來(lái)源于ISO/IEC 27001：2005《信息技術(shù)-安全技術(shù)—信息安全管理體系—要求》附錄A，具體控制措施參考ISO/IEC 27002：2005《信息技術(shù)—安全技術(shù)—信息安全管理實(shí)用規(guī)則》. c)本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施. 4.2.1。8 對(duì)風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn),得到了公司最高管理者的批準(zhǔn)。 4.2.1。9 最高管理者通過(guò)本手冊(cè)對(duì)實(shí)施和運(yùn)行信息安全管理體系進(jìn)行了授權(quán).

34、4。2.1.10 適用性聲明 生技部負(fù)責(zé)編制《信息安全適用性聲明》(SoA)。該聲明包括以下方面的內(nèi)容： a)所選擇控制目標(biāo)與控制措施的概要描述,以及選擇的原因; b)對(duì)ISO/IEC 27001:2005附錄A中未選用的控制目標(biāo)及控制措施理由的說(shuō)明。 4.2.2實(shí)施和運(yùn)行ISMS 4。2.2.1為確保信息安全管理體系有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開(kāi)展以下活動(dòng)： a)形成《風(fēng)險(xiǎn)處理計(jì)劃》，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級(jí)； b)為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《風(fēng)險(xiǎn)處理計(jì)劃》,明確各崗位的信息安全職責(zé)； c)實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求

35、; d)確定如何測(cè)量所選擇的控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果； e）進(jìn)行信息安全培訓(xùn),提高全員信息安全意識(shí)和能力; f)對(duì)信息安全體系的運(yùn)作進(jìn)行管理； g)對(duì)信息安全所需資源進(jìn)行管理; h）實(shí)施控制程序，對(duì)信息安全事件（或征兆）進(jìn)行迅速反應(yīng)。 4.2.2。2 信息安全組織機(jī)構(gòu) 本公司成立了的信息安全領(lǐng)導(dǎo)機(jī)構(gòu)-信息安全委員會(huì),其職責(zé)是實(shí)現(xiàn)信息安全管理體系方針和本公司承諾。具體職責(zé)是:研究決定貫標(biāo)工作涉及到的重大事項(xiàng)；審定公司信息安全方針、目標(biāo)、工作計(jì)劃和重要文件;為貫標(biāo)工作的有序推進(jìn)和信息安全管理體系的有效運(yùn)行提供必要的資源.

36、 本公司由相關(guān)部門代表組成信息安全管理網(wǎng)絡(luò),采用聯(lián)席會(huì)議(協(xié)調(diào)會(huì)）的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以： a） 確保安全活動(dòng)的執(zhí)行符合信息安全方針； b) 確定怎樣處理不符合; c） 批準(zhǔn)信息安全的方法和過(guò)程,如風(fēng)險(xiǎn)評(píng)估、信息分類; d） 識(shí)別重大的威脅變化,以及信息和相關(guān)的信息處理設(shè)施對(duì)威脅的暴露； e) 評(píng)估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性; f) 有效的推動(dòng)組織內(nèi)信息安全教育、培訓(xùn)和意識(shí)； g) 評(píng)價(jià)根據(jù)信息安全事件監(jiān)控和評(píng)審得出的信息，并根據(jù)識(shí)別的信息安全事件推薦適當(dāng)?shù)拇胧? 4.2。2。3信息安全職責(zé)和權(quán)限 本公司總經(jīng)理為信息安全最高責(zé)任者.總經(jīng)理指定了信息安

37、全管理者代表。無(wú)論信息安全管理者代表在其他方面的職責(zé)如何,對(duì)信息安全負(fù)有以下職責(zé)： a） 建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行; b） 對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全領(lǐng)導(dǎo)小組或最高責(zé)任者報(bào)告. 各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者,全體員工都應(yīng)按保密承諾的要求自覺(jué)履行信息安全保密義務(wù); 各部門、人員有關(guān)信息安全職責(zé)分配見(jiàn)本信息安全管理手冊(cè)第3。4條款《信息安全管理職責(zé)明細(xì)表》和相應(yīng)的程序文件。 4.2。2.4 各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全目標(biāo)、控制措施（包括安全運(yùn)行的各種控制程序)的要求實(shí)施信息安全控制措施。 4.2。3監(jiān)

38、控和評(píng)審ISMS 4。2.3.1本公司通過(guò)實(shí)施不定期安全檢查、內(nèi)部審核、事故（事件）報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)： a)及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故(事件)和隱患； b）及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊； c)使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果; d)使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效; e）積累信息安全方面的經(jīng)驗(yàn); 4。2。3.2根據(jù)以上活動(dòng)的結(jié)果以及來(lái)自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，其中包括信息安全

39、范圍、方針、目標(biāo)的符合性及控制措施有效性的評(píng)審,考慮安全審核、事件、有效性測(cè)量的結(jié)果,以及所有相關(guān)方的建議和反饋。管理評(píng)審的具體要求,見(jiàn)本手冊(cè)第7章。 4。2。3。3 網(wǎng)絡(luò)管理部應(yīng)組織有關(guān)部門按照《信息安全風(fēng)險(xiǎn)管理程序》的要求，采用信息安全風(fēng)險(xiǎn)管理軟件,對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估： a） 組織； b) 技術(shù)； c） 業(yè)務(wù)目標(biāo)和過(guò)程； d) 已識(shí)別的威脅； e) 實(shí)施控制的有效性； f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化. 4.2。3.4按照計(jì)劃的時(shí)間間隔進(jìn)

40、行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求,見(jiàn)本手冊(cè)第6章。 4.2。3。5定期對(duì)信息安全管理體系進(jìn)行管理評(píng)審，以確保范圍的充分性,并識(shí)別信息安全管理體系過(guò)程的改進(jìn)，管理評(píng)審的具體要求，見(jiàn)本手冊(cè)第7章。 4。2。3.6考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更新安全計(jì)劃。 4。2.3。7記錄可能對(duì)信息安全管理體系有效性或業(yè)績(jī)有影響的活動(dòng)和事情. 4。2.4保持與持續(xù)改進(jìn)ISMS 我公司開(kāi)展以下活動(dòng)，以確保信息安全管理體系的持續(xù)改進(jìn)： a) 實(shí)施每年管理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的項(xiàng)目； b） 按照《內(nèi)部審核管理程序》、《糾正措施管理程序》、《預(yù)防措施管理程序》的要求采取適當(dāng)

41、的糾正和預(yù)防措施；吸取其他組織及本公司安全事故（事件)的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性； c） 通過(guò)適當(dāng)?shù)氖侄伪３衷趦?nèi)部對(duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識(shí)別顧客對(duì)信息安全的要求等； d） 對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果。 相關(guān)文件： 《系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法》 《適用性聲明》 《管理評(píng)審程序》 《內(nèi)部審核控制程序》 《糾正措施控制程序》 《預(yù)防措施控制程序》 4.3文件要求 4.3.1總則 ISMS文件應(yīng)包括: a) 形成文件的ISMS方針和控制目標(biāo)； b

42、) ISMS范圍 c) ISMS的支持性程序和控制措施; d） 風(fēng)險(xiǎn)評(píng)估方法的描述； e) 風(fēng)險(xiǎn)評(píng)估報(bào)告； f） 風(fēng)險(xiǎn)處置計(jì)劃； g） 公司為確保其信息安全過(guò)程的有效策劃、運(yùn)行和控制以及規(guī)定如何測(cè)量控制措施有效性所需的程序文件； h) 標(biāo)準(zhǔn)所要求的記錄； i） 適用性聲明。 所有文件應(yīng)按ISMS方針要求在需要時(shí)可獲得。 4。3.2文件控制 ISMS所要求的文件應(yīng)予以保護(hù)和控制，應(yīng)編制形成文件的程序以規(guī)定以下方面所需的管理措施： a) 文件發(fā)布前得到批準(zhǔn)以確保文件是充分的; b） 必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新并再次批準(zhǔn); c) 確保文件的更改和現(xiàn)行修

43、訂狀態(tài)得到識(shí)別； d） 確保在使用處可獲得適用文件的適用版本； e) 確保文件保持合法并易于識(shí)別； f） 確保外來(lái)文件得到識(shí)別； g) 確保文件的分發(fā)是受控的; h） 防止作廢文件的非預(yù)期使用; i) 若因任何原因而保留作廢文件時(shí)對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)； 4。3.3記錄控制 應(yīng)建立并保持記錄，以提供符合要求和ISMS有效運(yùn)行的證據(jù).記錄應(yīng)得到保護(hù)并且受控。ISMS應(yīng)考慮相關(guān)法律要求，記錄應(yīng)易于識(shí)別和檢索。應(yīng)編制形成文件的程序，以規(guī)定記錄的識(shí)別、貯存、保護(hù)、檢索、保存期限和處置所需的控制，確定記錄需要和程度的管理過(guò)程。 保持過(guò)程業(yè)績(jī)的記錄以及與ISMS有關(guān)的

44、安全事件的記錄。例如,記錄包括訪問(wèn)者登記審核記錄和訪問(wèn)授權(quán)。 相關(guān)文件： 《文件控制程序》 《記錄控制程序》 5 管理職責(zé) 5。1管理承諾 管理層應(yīng)通過(guò)以下措施對(duì)其建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)ISMS的承諾提供證據(jù)。 a） 建立信息安全方針； b） 確保信息安全目標(biāo)和計(jì)劃的建立； c) 為信息安全分配角色和職責(zé)； d） 向公司傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、法律責(zé)任和持續(xù)改進(jìn)的重要性; e) 提供足夠的資源以建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)ISMS； f） 決定可接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和可接受風(fēng)險(xiǎn)的等級(jí)； g） 確保ISMS內(nèi)部

45、審核的執(zhí)行； h） 進(jìn)行ISMS管理評(píng)審. 相關(guān)文件： 《信息安全方針和目標(biāo)》 《部門職責(zé)》 《管理評(píng)審程序》 《系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法》 5.2 資源管理 5。2。1資源提供 公司應(yīng)確定和提供以下方面所需的資源 a） 建立建立、實(shí)施、運(yùn)行、監(jiān)控、維護(hù)和改進(jìn)ISMS b） 確保信息安全程序支持業(yè)務(wù)需求; c） 識(shí)別并確定法律法規(guī)要求和合同安全責(zé)任; d） 通過(guò)正確應(yīng)用所有實(shí)施的控制措施的來(lái)維持足夠的安全; e） 必要時(shí)進(jìn)行評(píng)估，并對(duì)評(píng)估結(jié)果采取適當(dāng)?shù)膶?duì)應(yīng)措施； f） 必要時(shí)改進(jìn)ISMS的有效性。 5。2.2培訓(xùn)、意識(shí)和能力 公司應(yīng)確保在IS

46、MS中任命職責(zé)的人員應(yīng)能夠勝任要求的任務(wù) a） 確定從事影響信息安全工作的人員所必需的能力; b） 提供足夠的能力培訓(xùn)或其它措施,必要時(shí)聘用有能力的人員滿足這些要求； c） 評(píng)估所提供的培訓(xùn)和采取措施的有效性； d） 保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資質(zhì)的適當(dāng)記錄。 公司應(yīng)確保員工認(rèn)識(shí)到所從事信息安全活動(dòng)的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)ISMS目標(biāo)作出貢獻(xiàn)。 相關(guān)文件: 《人力資源管理控制程序》 6 ISMS內(nèi)部審核 公司應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行ISMS內(nèi)部審核，以確定控制目標(biāo)、控制措施、過(guò)程和程序是否: a） 符合標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求； b） 符合確定的信

47、息安全要求; c) 得到有效地實(shí)施和維護(hù)； d） 按期望運(yùn)行。 內(nèi)部審核程序應(yīng)進(jìn)行計(jì)劃，并考慮受審核過(guò)程的狀況、重要性和受審核的區(qū)域以及上次審核結(jié)果，應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方式，審核員的選擇和審核活動(dòng)應(yīng)保證審核過(guò)程的客觀和公正，審核員不能審核自己的工作。 應(yīng)建立形成文件的程序，以規(guī)定策劃和實(shí)施審核的職責(zé)和要求以及報(bào)告結(jié)果和保持記錄。 受審核區(qū)域的負(fù)責(zé)人應(yīng)確保立即采取措施，以消除發(fā)現(xiàn)的不符合及其原因。改進(jìn)措施包括所采取措施的驗(yàn)證并匯報(bào)驗(yàn)證結(jié)果。 相關(guān)文件： 《內(nèi)部審核控制程序》 7 ISMS管理評(píng)審 7.1總則 管理者應(yīng)按策劃的時(shí)間間隔評(píng)審公司的ISMS（至

48、少一年一次），以確保其持續(xù)的適宜性、充分性和有效性。評(píng)審應(yīng)包括評(píng)價(jià)ISMS改進(jìn)的機(jī)會(huì)和變更的需要,包括安全方針和安全目標(biāo)的適宜性.評(píng)審結(jié)果應(yīng)清楚地寫入文件應(yīng)保持記錄. 7.2管理評(píng)審輸入 管理評(píng)審的輸入應(yīng)包括以下方面的信息： a) ISMS審核(包括內(nèi)審和外審）和管理評(píng)審的結(jié)果； b) 相關(guān)方(客戶、供應(yīng)商、內(nèi)部員工等）的反饋； c) 公司用于改進(jìn)ISMS業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序的發(fā)展及變化； d) 預(yù)防和糾正措施的實(shí)施情況； e） 上次風(fēng)險(xiǎn)評(píng)估未充分指出的弱點(diǎn)或威脅; f) 體系有效性測(cè)量的結(jié)果; g) 上次管理評(píng)審所采取措施的跟蹤驗(yàn)證； h)

49、影響ISMS的變更，如信息安全組織架構(gòu)變化等； i) 改進(jìn)的建議。 7.3管理評(píng)審輸出 管理評(píng)審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施 a） ISMS有效性的改進(jìn) b) 風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新 c） 必要時(shí)修訂影響信息安全的程序和控制措施，以反映可能影響ISMS的內(nèi)外事件,包括以下變化 1 業(yè)務(wù)需求； 2 安全需求； 3 影響已有業(yè)務(wù)需求的業(yè)務(wù)過(guò)程； 4 法律法規(guī)環(huán)境； 5 合同義務(wù)； 6 風(fēng)險(xiǎn)和/或風(fēng)險(xiǎn)接受準(zhǔn)則。 d） 資源需求 e）針對(duì)被測(cè)量的控制措施有效性的改進(jìn) 相關(guān)文件: 《管理評(píng)審程序》 8 ISMS的改進(jìn) 8.1

50、持續(xù)改進(jìn) 公司應(yīng)通過(guò)應(yīng)用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施和管理評(píng)審，持續(xù)改進(jìn)ISMS的有效性. 8.2糾正措施 公司應(yīng)采取措施消除ISMS實(shí)施和運(yùn)行的不符合原因，以防止其再發(fā)生.糾正措施文件程序應(yīng)規(guī)定以下方面的要求. a） 識(shí)別ISMS實(shí)施和運(yùn)行的不符合項(xiàng); b) 確定不符合的原因； c) 評(píng)價(jià)確保不符合不再發(fā)生所需的措施； d) 決定和實(shí)施所需的糾正措施； e) 記錄所采取措施的結(jié)果； f) 評(píng)審所采取的糾正措施。 8.3預(yù)防措施 公司應(yīng)決定措施以防范未來(lái)的不符合，防止發(fā)生采取的預(yù)防措施應(yīng)與潛在問(wèn)題的影響相匹配,預(yù)防

51、措施文件程序應(yīng)規(guī)定以下方面的要求。 a） 確定潛在不符合及其原因； b） 評(píng)價(jià)預(yù)防不符合發(fā)生所需的措施; c) 決定實(shí)施所需的預(yù)防措施; d) 記錄所采取措施的結(jié)果； e） 評(píng)審所采取的預(yù)防措施. 公司應(yīng)識(shí)別發(fā)生變化的風(fēng)險(xiǎn)，并通過(guò)關(guān)注變化顯著的風(fēng)險(xiǎn)來(lái)識(shí)別預(yù)防措施要求。應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果來(lái)確定預(yù)防措施的優(yōu)先級(jí)。 相關(guān)文件： 《糾正措施控制程序》 《預(yù)防措施控制程序》 IT服務(wù)管理 服務(wù)管理規(guī)劃和實(shí)施 在開(kāi)展IT服務(wù)管理的活動(dòng)中，PDCA原理貫穿于IT服務(wù)管理體系的全部流程，其中: P（計(jì)劃） - 根據(jù)客戶要求和公司策略建立目標(biāo)和流程。 D（實(shí)施） - 實(shí)施流

52、程。 C（檢查） — 根據(jù)策略、目標(biāo)和要求對(duì)過(guò)程和服務(wù)進(jìn)行監(jiān)控、測(cè)量,并報(bào)告結(jié)果. A（改進(jìn)) — 采取措施以持續(xù)改進(jìn)流程的性能。 計(jì)劃服務(wù)管理 服務(wù)部向客戶提供三大服務(wù)項(xiàng)目：常駐現(xiàn)場(chǎng)技術(shù)服務(wù)、定期巡檢技術(shù)服務(wù)、咨詢規(guī)劃設(shè)計(jì)服務(wù)。甘肅萬(wàn)維公司為不斷滿足市場(chǎng)需求和企業(yè)自身發(fā)展需要，將在未來(lái)將原有的三大技術(shù)服務(wù)內(nèi)容重新規(guī)劃和設(shè)計(jì),細(xì)化成六大服務(wù)內(nèi)容：基礎(chǔ)設(shè)施服務(wù)、運(yùn)維服務(wù)、專業(yè)技術(shù)服務(wù)、IT安全服務(wù)、咨詢?cè)O(shè)計(jì)評(píng)估服務(wù)、培訓(xùn)服務(wù).從而實(shí)現(xiàn)在堅(jiān)持原有行業(yè)內(nèi)的服務(wù)的基礎(chǔ)上向行業(yè)外擴(kuò)展的計(jì)劃。 服務(wù)部根據(jù)公司IT服務(wù)管理職能關(guān)系架構(gòu)圖中的所分配的職責(zé)并依據(jù)條款4—9中所規(guī)定的服務(wù)管理

53、過(guò)程向客戶提供IT服務(wù)。 相關(guān)部門根據(jù)管理評(píng)審的結(jié)果及結(jié)論，結(jié)合本部門的工作實(shí)際，由技術(shù)服務(wù)事業(yè)部組織相關(guān)部門對(duì)當(dāng)前與本部門相關(guān)的IT服務(wù)工作的改進(jìn)需求、以及公司業(yè)務(wù)發(fā)展策略、技術(shù)動(dòng)態(tài)、政策法規(guī)要求、下一年度IT服務(wù)工作的安排進(jìn)行規(guī)劃，制訂本部門的年度工作計(jì)劃，并按公司內(nèi)控制度制訂對(duì)應(yīng)的部門年度費(fèi)用預(yù)算。 實(shí)施IT服務(wù) 技術(shù)服務(wù)事業(yè)部組織相關(guān)部門按批準(zhǔn)后的公司年度計(jì)劃，對(duì)計(jì)劃周期內(nèi)的工作任務(wù)、目標(biāo)、績(jī)效要求進(jìn)行分解，組織各部門制訂各自的年度工作計(jì)劃和費(fèi)用預(yù)算,并進(jìn)行跟蹤、檢查。 相關(guān)部門年度工作計(jì)劃、年度費(fèi)用預(yù)算應(yīng)與已批準(zhǔn)的本部門年度工作計(jì)劃、預(yù)算一致，如有變更,引起預(yù)算的變化，應(yīng)

54、上報(bào)技術(shù)服務(wù)事業(yè)部按照相關(guān)流程審批、執(zhí)行。 技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織IT服務(wù)項(xiàng)目的立項(xiàng)工作，并按照項(xiàng)目管理規(guī)定對(duì)項(xiàng)目計(jì)劃周期內(nèi)的工作任務(wù)、目標(biāo)、績(jī)效要求進(jìn)行分解,制訂項(xiàng)目實(shí)施計(jì)劃和費(fèi)用預(yù)算,并進(jìn)行跟蹤、檢查。 監(jiān)視、測(cè)量和評(píng)審 服務(wù)部負(fù)責(zé)收集、匯總、整理IT服務(wù)項(xiàng)目的日常服務(wù)數(shù)據(jù). 服務(wù)部經(jīng)理負(fù)責(zé)組織IT服務(wù)項(xiàng)目,按各項(xiàng)目階段性工作計(jì)劃、費(fèi)用預(yù)算的內(nèi)容，以及IT服務(wù)管理的要求，收集與IT服務(wù)相關(guān)的信息，監(jiān)控、測(cè)量和評(píng)審與本業(yè)務(wù)相關(guān)的服務(wù)規(guī)劃要求、已有的SLA符合要求的程度.IT服務(wù)項(xiàng)目在運(yùn)行中，應(yīng)監(jiān)控、測(cè)量和評(píng)審的內(nèi)容為： 既定的IT服務(wù)目標(biāo)的達(dá)成程度。 客戶滿意度。 資源利用.

55、 服務(wù)實(shí)施的趨勢(shì)。 嚴(yán)重不符合。 技術(shù)服務(wù)事業(yè)部按照《服務(wù)質(zhì)量改進(jìn)管理程序》的要求，組織IT服務(wù)管理體系的管理評(píng)審活動(dòng),以確保IT服務(wù)要求得到有效的實(shí)施和維護(hù)。 持續(xù)改進(jìn) 服務(wù)部每年至少進(jìn)行一次服務(wù)管理體系的有效性評(píng)估，評(píng)估通過(guò)內(nèi)部審核的方式進(jìn)行. 在評(píng)估中發(fā)現(xiàn)的任何不符合標(biāo)準(zhǔn)的活動(dòng)都應(yīng)該采取糾正措施予以改進(jìn),對(duì)于發(fā)現(xiàn)的潛在問(wèn)題應(yīng)該予以控制。 服務(wù)部在內(nèi)部審核后，應(yīng)進(jìn)行管理評(píng)審,管理評(píng)審的內(nèi)容包括：各流程的執(zhí)行狀況報(bào)告，存在問(wèn)題及改進(jìn)建議，內(nèi)部審核結(jié)果,相關(guān)方的反饋以及其他可能影響體系運(yùn)行的要素. 服務(wù)部按管理評(píng)審的要求,確定服務(wù)改進(jìn)的測(cè)量、報(bào)告和溝通流程和內(nèi)容.監(jiān)控IT服務(wù)運(yùn)行

56、中出現(xiàn)的不符合項(xiàng),組織相關(guān)部門實(shí)施、驗(yàn)證改進(jìn)活動(dòng)。任何不符合ISO/IEC 20000—1:2005標(biāo)準(zhǔn)的活動(dòng)都應(yīng)被糾正。 對(duì)于內(nèi)部審核、管理評(píng)審或其他活動(dòng)中所發(fā)現(xiàn)的不符合項(xiàng)或潛在不符合項(xiàng)，應(yīng)按照《服務(wù)質(zhì)量改進(jìn)管理程序》要求進(jìn)行及時(shí)糾正。 新服務(wù)或變更服務(wù)的策劃與實(shí)施 制訂新服務(wù)或變更服務(wù)計(jì)劃 銷售部門負(fù)責(zé)與客戶溝通，服務(wù)部配合，收集客戶對(duì)現(xiàn)有SLA的滿意度水平。分析、整理客戶新的或變更服務(wù)的要求，及時(shí)反饋客戶的改進(jìn)需求。 當(dāng)出現(xiàn)新服務(wù)或變更服務(wù)時(shí)，服務(wù)部根據(jù)《服務(wù)策劃管理程序》的要求，組織實(shí)施IT服務(wù)策劃和實(shí)施工作。 服務(wù)部組織對(duì)新服務(wù)或變更服務(wù)策劃結(jié)果的驗(yàn)證、確認(rèn)，驗(yàn)證通過(guò)后按

57、《服務(wù)策劃管理程序》實(shí)施。 服務(wù)部應(yīng)報(bào)告新服務(wù)或變更服務(wù)按計(jì)劃實(shí)施所達(dá)到的結(jié)果,服務(wù)部按《發(fā)布管理程序》，執(zhí)行實(shí)施發(fā)布評(píng)審，比較實(shí)際結(jié)果與期望結(jié)果的一致性。 服務(wù)交付過(guò)程 服務(wù)級(jí)別管理 服務(wù)部負(fù)責(zé)與相關(guān)部門溝通，制訂公司的《服務(wù)目錄》。服務(wù)目錄應(yīng)定義所有服務(wù)，并包含服務(wù)名稱、服務(wù)目標(biāo)或標(biāo)準(zhǔn)、聯(lián)系接口、服務(wù)提供時(shí)間和例外、安全方面的考慮和安排。 《服務(wù)目錄》是公司所提供的服務(wù)內(nèi)容的匯總，公司與客戶簽署SLA時(shí)應(yīng)參考《服務(wù)目錄》。 公司應(yīng)該根據(jù)當(dāng)前的服務(wù)能力對(duì)《服務(wù)目錄》進(jìn)行更新與維護(hù)。 根據(jù)公司的戰(zhàn)略規(guī)劃、資源要求及客戶需求，服務(wù)部在與銷售部門和其他相關(guān)部門溝通、確定SLA時(shí),應(yīng)考

58、慮：可接受持續(xù)損失服務(wù)的最大周期、可接受降級(jí)服務(wù)的最大周期，服務(wù)恢復(fù)時(shí)，可接受降級(jí)服務(wù)級(jí)別。 銷售部門代表客戶，與服務(wù)部簽訂《服務(wù)級(jí)別協(xié)議》。應(yīng)明確：服務(wù)要求和期望服務(wù)工作量特征的協(xié)議、服務(wù)目標(biāo)協(xié)議、服務(wù)級(jí)別實(shí)現(xiàn)、工作量的測(cè)量和報(bào)告，以及服務(wù)目標(biāo)不能完成的分析與說(shuō)明。 《服務(wù)級(jí)別協(xié)議》包含以下內(nèi)容:服務(wù)的簡(jiǎn)述、術(shù)語(yǔ)表、客戶職責(zé)、服務(wù)部門職責(zé)和義務(wù)、服務(wù)目標(biāo)、服務(wù)時(shí)間、工作量限制（最大及最小工作量），支持和相關(guān)服務(wù)、影響和優(yōu)先級(jí)描述、授權(quán)細(xì)節(jié)，及授權(quán)人員聯(lián)系信息、有效期或SLA變更控制機(jī)制（包含升級(jí)和通知流程）、服務(wù)中斷采取的糾正措施,計(jì)劃和協(xié)調(diào)中斷,包括通知事件及頻率、溝通的簡(jiǎn)述，包括報(bào)告

59、、投訴程序、在SLA中規(guī)定條款的例外情況. 商務(wù)部應(yīng)依據(jù)與客戶簽訂的SLA以及《供應(yīng)商管理程序》的要求,組織簽署與供應(yīng)商之間的支持合同（或協(xié)議)。 當(dāng)出現(xiàn)重要業(yè)務(wù)變更時(shí),銷售部門應(yīng)及時(shí)與技術(shù)服務(wù)事業(yè)部溝通,按原流程重新組織相關(guān)部門，調(diào)整、修訂《服務(wù)級(jí)別協(xié)議》,并作為服務(wù)改進(jìn)計(jì)劃的輸入. 服務(wù)報(bào)告 服務(wù)部應(yīng)就向客戶提交的服務(wù)報(bào)告的內(nèi)容、報(bào)告周期與客戶協(xié)商并達(dá)成一致。 服務(wù)部擬制內(nèi)部服務(wù)報(bào)告,對(duì)計(jì)劃間隔內(nèi)的客戶服務(wù)狀況、問(wèn)題趨勢(shì)、服務(wù)數(shù)據(jù)、SLA目標(biāo)實(shí)現(xiàn)等進(jìn)行匯總、統(tǒng)計(jì)和分析,組織召開(kāi)月度服務(wù)質(zhì)量分析會(huì)議，形成會(huì)議紀(jì)要后發(fā)放. 服務(wù)報(bào)告主要包括的內(nèi)容：執(zhí)行服務(wù)級(jí)別目標(biāo)的績(jī)效，違反SL

60、A、安全管理要求等的不符合項(xiàng)和結(jié)論、工作量特征,如，數(shù)量、資源利用、報(bào)告主要事件、變更、定期趨勢(shì)信息、客戶滿意度分析。 當(dāng)出現(xiàn)有關(guān)IT服務(wù)系統(tǒng)配置項(xiàng)的變更時(shí)，服務(wù)部應(yīng)按《變更管理程序》的要求執(zhí)行。 服務(wù)報(bào)告應(yīng)及時(shí)、清晰、可靠和簡(jiǎn)明，便于分析、決策和有效溝通。 可用性和IT服務(wù)持續(xù)性管理 服務(wù)部應(yīng)按照《可用性與IT服務(wù)持續(xù)性管理程序》的要求，擬制《可用性與IT服務(wù)持續(xù)性計(jì)劃》，根據(jù)客戶業(yè)務(wù)優(yōu)先級(jí)、服務(wù)級(jí)別協(xié)議和評(píng)估的風(fēng)險(xiǎn)，按設(shè)計(jì)的工作量計(jì)劃維護(hù)有效的服務(wù)能力，并與《服務(wù)級(jí)別協(xié)議》的目標(biāo)保持一致。應(yīng)考慮： IT服務(wù)持續(xù)性計(jì)劃考慮對(duì)服務(wù)和系統(tǒng)組成的關(guān)系。 應(yīng)清晰的分配調(diào)用IT服務(wù)持續(xù)性計(jì)

61、劃的責(zé)任，并清晰的計(jì)劃對(duì)每個(gè)目標(biāo)采取措施的責(zé)任。 備份服務(wù)恢復(fù)所需的數(shù)據(jù)、文件、軟件、任何設(shè)備和必要員工，在重大服務(wù)失敗或?yàn)?zāi)難時(shí)，保持快速有效. 在遠(yuǎn)程的安全地點(diǎn),所有IT服務(wù)持續(xù)性文件應(yīng)存儲(chǔ)和維護(hù)至少一份，與其他必要的設(shè)備保存在一起. 定期開(kāi)展IT服務(wù)持續(xù)性計(jì)劃的測(cè)試. 使員工理解調(diào)用、執(zhí)行計(jì)劃的角色與職責(zé)，并能訪問(wèn)IT服務(wù)持續(xù)性文件。 服務(wù)部每年末組織對(duì)《可用性與IT服務(wù)持續(xù)性計(jì)劃》進(jìn)行評(píng)審，并根據(jù)業(yè)務(wù)需求的變化及時(shí)調(diào)整計(jì)劃的內(nèi)容和目標(biāo)，確保從普通到重大服務(wù)失效的任何環(huán)境下都能滿足與客戶協(xié)商的要求。 當(dāng)業(yè)務(wù)環(huán)境發(fā)生重大變化時(shí)，服務(wù)部應(yīng)重新組織評(píng)審、修訂《可用性與IT服務(wù)持續(xù)性計(jì)

62、劃》。并通過(guò)能力管理和配置管理活動(dòng)，評(píng)價(jià)所有服務(wù)組成的有效性,預(yù)知可能的、潛在的問(wèn)題，并采取預(yù)防措施。 對(duì)《可用性與IT服務(wù)持續(xù)性計(jì)劃》中內(nèi)容和目標(biāo)的變更，服務(wù)部應(yīng)及時(shí)組織相關(guān)部門按《變更管理程序》的要求進(jìn)行評(píng)估、驗(yàn)證和確認(rèn)，確保變更的效果及滿足SLA的要求。 服務(wù)部應(yīng)定期對(duì)可用性信息進(jìn)行測(cè)量和記錄，未計(jì)劃的不可用應(yīng)被調(diào)查、評(píng)估，并采取適當(dāng)?shù)募m正或預(yù)防措施?？捎眯曰顒?dòng)包括: 監(jiān)控和記錄服務(wù)的可用性. 服務(wù)準(zhǔn)確的歷史數(shù)據(jù)。 與SLA中定義需求相比較，以識(shí)別不符合SLA有效目標(biāo)的事項(xiàng)。 記錄不符合項(xiàng)，并組織評(píng)審. 考慮、評(píng)估供應(yīng)商的影響。 預(yù)計(jì)未來(lái)的可用性。 IT服務(wù)的預(yù)算及財(cái)務(wù)

63、管理 技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)國(guó)家的有關(guān)法律法規(guī)和財(cái)務(wù)政策，及《IT財(cái)務(wù)管理程序》的要求，根據(jù)公司的業(yè)務(wù)策略（包括產(chǎn)品策略、銷售策略、服務(wù)策略等）,組織擬制、審核本部門的總體性和階段性的IT服務(wù)費(fèi)用預(yù)算及成本標(biāo)準(zhǔn)。 技術(shù)服務(wù)事業(yè)部根據(jù)公司業(yè)務(wù)發(fā)展戰(zhàn)略、公司現(xiàn)有的SLA要求，及本部門業(yè)務(wù)的特點(diǎn),按部門工作計(jì)劃的內(nèi)容，組織擬制本部門階段性的費(fèi)用預(yù)算計(jì)劃，經(jīng)財(cái)務(wù)部匯總、報(bào)批后實(shí)施。 在預(yù)算期間出現(xiàn)的服務(wù)變更引起的預(yù)算變化,相關(guān)部門應(yīng)按《IT財(cái)務(wù)管理程序》的要求執(zhí)行預(yù)算變更申請(qǐng). 在對(duì)《服務(wù)級(jí)別協(xié)議》進(jìn)行評(píng)審時(shí)，服務(wù)部應(yīng)根據(jù)公司策略，評(píng)估實(shí)現(xiàn)服務(wù)目標(biāo)和需求的成本，并根據(jù)確定的服務(wù)級(jí)別協(xié)議跟蹤成本的

64、變化。 服務(wù)部應(yīng)在服務(wù)變更時(shí)，計(jì)算服務(wù)變更成本，并通過(guò)《變更管理程序》進(jìn)行批準(zhǔn)。 服務(wù)部應(yīng)根據(jù)預(yù)算編制跟蹤財(cái)務(wù)變化，并對(duì)超出預(yù)算要求的變化，提前向技術(shù)服務(wù)事業(yè)部提出預(yù)警信號(hào)。 容量管理 技術(shù)服務(wù)事業(yè)部負(fù)責(zé)現(xiàn)有IT服務(wù)系統(tǒng)容量水平的規(guī)劃，根據(jù)《容量管理程序》的要求，制訂《容量管理計(jì)劃》，應(yīng)在計(jì)劃中描述業(yè)務(wù)需求,包括： 當(dāng)前和預(yù)計(jì)的容量和性能需求。 針對(duì)服務(wù)升級(jí)所定義的時(shí)間表、閾值和成本. 評(píng)估預(yù)期的服務(wù)升級(jí)、變更請(qǐng)求、新技術(shù)和技術(shù)能力的效果. 預(yù)計(jì)外部變更的影響,如法律影響等。 對(duì)數(shù)據(jù)和流程進(jìn)行預(yù)先分析。 定義監(jiān)控服務(wù)容量、調(diào)整服務(wù)性能和提供充分容量的方法、程序和技術(shù)。 為

65、達(dá)到SLA所要求的服務(wù)級(jí)別目標(biāo)和業(yè)務(wù)需求所應(yīng)具備的資金條件. 服務(wù)部協(xié)助收集、統(tǒng)計(jì)當(dāng)前IT基礎(chǔ)設(shè)施的實(shí)際性能和預(yù)期要求的運(yùn)行信息，以支持服務(wù)業(yè)務(wù)的開(kāi)展。 技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)服務(wù)特點(diǎn)、服務(wù)量、服務(wù)報(bào)告和客戶業(yè)務(wù)等信息，組織對(duì)《容量管理計(jì)劃》進(jìn)行評(píng)審，并保留評(píng)審相關(guān)的紀(jì)錄。 當(dāng)出現(xiàn)臨時(shí)的新增或變更服務(wù)時(shí)，技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)《容量管理程序》的要求,及時(shí)對(duì)《容量管理計(jì)劃》的相關(guān)內(nèi)容進(jìn)行評(píng)估和更新。 1 關(guān)系過(guò)程 總則 供應(yīng)商和客戶的關(guān)系管理可采用正式合同形式約束。 銷售部門按《業(yè)務(wù)關(guān)系管理程序》的要求明確定義供應(yīng)商和客戶的角色、范圍和職能,通過(guò)合同、溝通、培訓(xùn)等方式確保實(shí)施和參與服

66、務(wù)提供的各方： 理解并滿足業(yè)務(wù)需求. 理解能力和約束條件。 理解職責(zé)和責(zé)任。 業(yè)務(wù)關(guān)系管理 服務(wù)部按照《業(yè)務(wù)關(guān)系管理程序》的要求，牽頭并定期組織銷售部門，開(kāi)展服務(wù)管理評(píng)價(jià)活動(dòng)，討論、匯報(bào)服務(wù)范圍、SLA、合同或業(yè)務(wù)需求的變化，及性能、成績(jī)、結(jié)果和措施計(jì)劃,并形成會(huì)議紀(jì)要。 當(dāng)服務(wù)目標(biāo)、服務(wù)需求、支持合同、業(yè)務(wù)等發(fā)生新增、變更或撤銷時(shí)，服務(wù)部應(yīng)按《服務(wù)策劃管理程序》的要求，提出并評(píng)估服務(wù)范圍和SLA的改進(jìn)方案，由服務(wù)部組織實(shí)施。 服務(wù)部與客戶建立有效的互動(dòng)、溝通關(guān)系，以便及時(shí)了解客戶的需求或重大變更,并依據(jù)需求進(jìn)行響應(yīng).根據(jù)《客戶滿意度管理規(guī)定》，定義、收集、分析客戶滿意度數(shù)據(jù)和信息,監(jiān)控客戶滿意度的趨勢(shì)。 技術(shù)服務(wù)事業(yè)部根據(jù)《業(yè)務(wù)關(guān)系管理程序》中的客戶投訴管理流程,負(fù)責(zé)收集、統(tǒng)計(jì)、分析客戶投訴的記錄，識(shí)別投訴的發(fā)展趨勢(shì)和存在問(wèn)題，確保服務(wù)的持續(xù)性目標(biāo)的實(shí)現(xiàn). 供應(yīng)商管理 商務(wù)部按《萬(wàn)維公司內(nèi)控手冊(cè)》中《供應(yīng)商管理業(yè)務(wù)程序》的要求，對(duì)供應(yīng)商提供的IT服務(wù)的過(guò)程進(jìn)行管理，完善供應(yīng)商管理制度和采購(gòu)規(guī)范,建立和維護(hù)公司《合格供應(yīng)商名單》。并確保: 供應(yīng)商了解其對(duì)本公司承擔(dān)