ISMS手冊-信息安全管理IT服務(wù)管理體系手冊 信息安全管理IT服務(wù)管理體系手冊 發(fā)布令 本公司按照ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》和ISO27001：2005《信息安全管理體系要求》以及本公司業(yè)務(wù)特點編制《信息安全管理&IT服務(wù)管理體系手冊》，建立與本公司業(yè)務(wù)相一致的信息安全與IT服務(wù)管理體系，現(xiàn)予以頒布實施。 本手冊是公司法規(guī)性文件，用于貫徹公司信息安全管理方針和目標，貫徹IT服務(wù)管理理念方針和服務(wù)目標。為實現(xiàn)信息安全管理與IT服務(wù)管理,開展持續(xù)改進服務(wù)質(zhì)量，不斷提高客戶滿意度活動，加強信息安全建設(shè)的綱領(lǐng)性文件和行動準則。是全體員工必須遵守的原則性規(guī)范。體現(xiàn)公司對社會的承諾，通過有效的PDCA活動向顧客提供滿足要求的信息安全管理和IT服務(wù). 本手冊符合有關(guān)信息安全法律法規(guī)要求以及ISO20000:2005《信息技術(shù)服務(wù)管理-規(guī)范》、ISO27001：2005《信息安全管理體系要求》和公司實際情況。為能更好的貫徹公司管理層在信息安全與IT服務(wù)管理方面的策略和方針，根據(jù)ISO20000：2005《信息技術(shù)服務(wù)管理-規(guī)范》和ISO27001：2005《信息安全管理體系要求》的要求任命XXXXX為管理者代表,作為本公司組織和實施“信息安全管理與IT服務(wù)管理體系”的負責人。直接向公司管理層報告. 全體員工必須嚴格按照《信息安全管理&IT服務(wù)管理體系手冊》要求，自覺遵守本手冊各項要求，努力實現(xiàn)公司的信息安全與IT服務(wù)的方針和目標。 管理者代表職責： a） 建立服務(wù)管理計劃； b） 向組織傳達滿足服務(wù)管理目標和持續(xù)改進的重要性; e) 確定并提供策劃、實施、監(jiān)視、評審和改進服務(wù)交付和管理所需的資源，如招聘合適的人員，管理人員的更新； 1． 確保按照ISO207001：2005標準的要求，進行資產(chǎn)識別和風險評估,全面建立、實施和保持信息安全管理體系;按照ISO/IEC 20000 《信息技術(shù)服務(wù)管理－規(guī)范》的要求，組織相關(guān)資源,建立、實施和保持IT服務(wù)管理體系，不斷改進IT服務(wù)管理體系，確保其有效性、適宜性和符合性。 2． 負責與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；向公司管理層報告IT服務(wù)管理體系的業(yè)績，如:服務(wù)方針和服務(wù)目標的業(yè)績、客戶滿意度狀況、各項服務(wù)活動及改進的要求和結(jié)果等. 3． 確保在整個組織內(nèi)提高信息安全風險的意識； 4． 審核風險評估報告、風險處理計劃; 5． 批準發(fā)布程序文件; 6． 主持信息安全管理體系內(nèi)部審核，任命審核組長，批準內(nèi)審工作報告； 向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運行情況、內(nèi)外部審核情況. 7．推動公司各部門領(lǐng)導(dǎo)，積極組織全體員工，通過工作實踐、教育培訓(xùn)、業(yè)務(wù)指導(dǎo)等方式不斷提高員工對滿足客戶需求的重要性的認知程度,以及為達到公司服務(wù)管理目標所應(yīng)做出的貢獻。 總經(jīng)理: 日期： 信息安全方針和信息安全目標 信息安全方針：信息安全 人人有責 本公司信息安全管理方針包括內(nèi)容如下： 一、信息安全管理機制 1．公司采用系統(tǒng)的方法，按照ISO/IEC 27001：2005建立信息安全管理體系，全面保護本公司的信息安全。 二、信息安全管理組織 2．公司總經(jīng)理對信息安全工作全面負責，負責批準信息安全方針，確定信息安全要求，提供信息安全資源。 3．公司總經(jīng)理任命管理者代表負責建立、實施、檢查、改進信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性. 4．在公司內(nèi)部建立信息安全組織機構(gòu)，信息安全管理委員會和信息安全協(xié)調(diào)機構(gòu),保證信息安全管理體系的有效運行。 5．與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。 三、人員安全 6．信息安全需要全體員工的參與和支持，全體員工都有保護信息安全的職責，在勞動合同、崗位職責中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責任.對崗位調(diào)動或離職人員，應(yīng)及時調(diào)整安全職責和權(quán)限。 7．對本公司的相關(guān)方，要明確安全要求和安全職責。 8．定期對全體員工進行信息安全相關(guān)教育，包括：技能、職責和意識。以提高安全意識. 9．全體員工及相關(guān)方人員必須履行安全職責，執(zhí)行安全方針、程序和安全措施。 四、識別法律、法規(guī)、合同中的安全 10．及時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施,保證滿足安全要求。 五、風險評估 11．根據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風險評估程序，確定風險接受準則. 12．采用先進的風險評估技術(shù)和軟件,定期進行風險評估,以識別本公司風險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。 13．應(yīng)根據(jù)風險評估的結(jié)果，采取相應(yīng)措施，降低風險。 六、報告安全事件 14．公司建立報告信息安全事件的渠道和相應(yīng)的主管部門。 15．全體員工有報告信息安全隱患、威脅、薄弱點、事故的責任，一旦發(fā)現(xiàn)信息安全事件,應(yīng)立即按照規(guī)定的途徑進行報告。 16．接受信息安全事件報告的主管部門應(yīng)記錄所有報告，及時做出相應(yīng)的處理,并向報告人員反饋處理結(jié)果。 七、監(jiān)督檢查 17．定期對信息安全進行監(jiān)督檢查，包括：日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審核等。 八、業(yè)務(wù)持續(xù)性 18．公司根據(jù)風險評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴重的信息系統(tǒng)故障或者災(zāi)難的影響,并確保能夠及時恢復(fù)。 19．定期對業(yè)務(wù)持續(xù)性計劃進行測試和更新。 九、違反信息安全要求的懲罰 20．對違反信息安全方針、職責、程序和措施的人員,按規(guī)定進行處理。 信息安全目標： 1。不可接受風險處理率：100% （所有不可接受風險應(yīng)降低到可接受的程度）。 2.重大顧客因信息安全事件投訴為0次(重大顧客投訴是指直接經(jīng)濟損失金額達1萬元以上） 1 信息安全管理手冊說明 1．1公司簡介 XX 1。1編制依據(jù)和目的 本手冊在遵循ISO9001：2005 《信息安全管理體系要求》與ISO/IEC 20000 《信息技術(shù)服務(wù)管理－規(guī)范》的要求編制而成，包括了ISO27001：2005的全部要求，對附錄A的刪減見《適用性聲明SoA》. 手冊描述公司的信息安全管理體系的總要求,以確保公司的信息安全管理體系能夠達到ISO27001：2005信息安全管理標準的要求；滿足本公司向客戶提供IT服務(wù)所需的IT基礎(chǔ)設(shè)施和IT技術(shù)支持服務(wù)，適用于向客戶或認證機構(gòu)證實，本公司具備提供符合客戶需求的IT服務(wù)能力和服務(wù)質(zhì)量。 本公司的體系程序是手冊的支持性文件,是對體系運作的具體描述。 1。2適用范圍 信息安全管理＆IT服務(wù)管理體系手冊適用于本公司提供安全管理體系認證服務(wù)與IT服務(wù)有關(guān)的所有部門和活動. 1．3術(shù)語和定義 1．3．1本手冊應(yīng)用ISO/IEC 20000中的術(shù)語及定義。 1．3．2本手冊應(yīng)用ISO/IEC27001中的術(shù)語及定義。 2 信息安全管理&IT服務(wù)管理手冊的管理 2．1手冊的編制、批準和發(fā)布 2．1．1按照公司業(yè)務(wù)發(fā)展戰(zhàn)略和客戶需求,經(jīng)公司管理者代表批準，技術(shù)服務(wù)事業(yè)部組織相關(guān)人員,結(jié)合本公司業(yè)務(wù)特點,根據(jù)ISO/IEC 20000標準的要求編寫。 2．1．2《IT服務(wù)管理手冊》由公司管理者代表批準后發(fā)布。 2．2手冊的分發(fā) 2．2．1技術(shù)服務(wù)事業(yè)部負責手冊的發(fā)放、更新、管理與存檔。 2．2．2公司各部門負責手冊的使用和保管. 2．3手冊的受控狀態(tài) 2．3．1書面形式的手冊分“有效文件”和“保留文件"兩種形式。作為公司日常運營的依據(jù)及提供給外部認證機構(gòu)的手冊均為“有效文件”形式。 2．3．2當手冊內(nèi)容變更時,“有效文件”形式的手冊應(yīng)及時予以更新和發(fā)放。 2．3．3“有效文件”形式的文件在更新后，如需保存原來的版本，以便于追溯，則應(yīng)當用“保留文件”的標識予以區(qū)分。 2．3．4電子形式的手冊由技術(shù)服務(wù)事業(yè)部在工作流轉(zhuǎn)系統(tǒng)中進行管理。 2．4手冊的變更 2．4．1因公司戰(zhàn)略調(diào)整、客戶需求或改進活動等引起的手冊內(nèi)容的變更,按公司總經(jīng)理指示，技術(shù)服務(wù)事業(yè)部組織相關(guān)部門對涉及變更的內(nèi)容進行更新，并經(jīng)公司總經(jīng)理批準后發(fā)布。 2．4．2更新后的手冊，應(yīng)及時地發(fā)放給公司內(nèi)部原手冊持有者,并收回舊版的手冊.對電子形式的手冊，由技術(shù)服務(wù)事業(yè)部按工作流轉(zhuǎn)系統(tǒng)中的管理規(guī)則進行更新和歸檔管理。 2．5公司內(nèi)部手冊持有者的責任 2．5．1與公司或部門內(nèi)部的相關(guān)人員溝通、學(xué)習(xí)手冊的要求并遵照執(zhí)行。 2．5．2妥善保管,不得私自更改、曲解手冊的內(nèi)容。不得隨意向其他與公司業(yè)務(wù)無關(guān)的第三方傳播，如需提供公司以外的第三方參考，應(yīng)經(jīng)技術(shù)服務(wù)事業(yè)部提交公司主管副總經(jīng)理審核后，報公司總經(jīng)理批準。 3 公司架構(gòu)和安全承諾 3。1公司行政組織架構(gòu) 總 經(jīng) 理 文 檔 培 訓(xùn) 倉 庫 采 購 人力資源 財 務(wù) 物 流 銷 售 市 場 測 試 質(zhì)量保證 質(zhì)管部 實 施 研 發(fā) 綜合管理部 生技部 商務(wù)部  3.2公司信息安全管理體系組織架構(gòu)圖 總 經(jīng) 理 管理者代表 商務(wù)部 生技部 綜合管理部 副管理者代表 研 發(fā) 實 施 質(zhì)管部 質(zhì)量保證 測 試 客戶服務(wù)部 銷 售 物 流 財 務(wù) 人力資源 采 購 倉 庫 培 訓(xùn) 文 檔 安全委員會 注：每個虛線框內(nèi)為一個信息安全小組，部門的負責人為安全組長,各崗位負責人為該崗位的安全員。 3．3公司IT服務(wù)管理職能關(guān)系架構(gòu)圖 3.4信息安全承諾 ◆公司成立安全管理委員會來領(lǐng)導(dǎo)信息安全工作,并確定相應(yīng)的職責和作用。 ◆制訂信息安全方針和信息安全目標，建立和完善公司的信息安全管理體系. ◆提供充分的資源以保證信息安全管理體系的制定、實施、運作、監(jiān)控、維護和改善。 ◆對公司信息資產(chǎn)實行有效管理，確保信息的機密性，維持信息的完整性和可用性,防范對信息的未經(jīng)授權(quán)訪問。對公司信息資產(chǎn)進行風險評估，制定風險可接受標準,對公司不能接受的風險進行處置。 ◆建立業(yè)務(wù)持續(xù)性管理流程.進行業(yè)務(wù)持續(xù)性風險評估，編寫、測試并實施業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃，以保證公司關(guān)鍵業(yè)務(wù)的連續(xù)，不受重大故障和災(zāi)難的影響。 ◆確保公司所有員工都接受信息安全的教育培訓(xùn)，提高信息安全意識。 ◆保護公司、客戶、相關(guān)合作方的信息安全。 ◆建立公司信息安全組織架構(gòu),明確信息安全責任，確定報告可疑的和發(fā)生的信息安全事故及事件的流程,對違反安全制度的人員進行懲罰。 ◆建立物理安全和網(wǎng)絡(luò)安全管理制度，以確保信息的安全性。 ◆保護公司軟件和信息的完整性，防止病毒與各種惡意軟件的入侵. ◆任何人在未經(jīng)審批的情況下,禁止將信息資產(chǎn)帶離公司。 ◆公司所有員工都要嚴格遵守公司的安全方針、程序和制度。 ◆控制對內(nèi)外部網(wǎng)絡(luò)服務(wù)的訪問，保護網(wǎng)絡(luò)服務(wù)的安全性與可用性。 ◆對用戶賬號、口令和權(quán)限進行嚴格管理，防止對信息系統(tǒng)的非授權(quán)訪問. ◆對重要信息進行備份保護，以保證信息的可用性. ◆定期對信息安全管理體系進行內(nèi)審和管理評審。 3。5信息安全管理委員會 為了加強對信息安全管理體系運作的管理，江蘇金馬揚名信息技術(shù)有限公司公司成立信息安全管理委員會，其職責見下列明細表。 信息安全管理職責明細表 序號 單位/部門 信息安全職責 1 信息安全 管理委員會 信息安全管理委員會是我公司信息安全最高組織機構(gòu)，負責本單位網(wǎng)絡(luò)與信息安全重大事項的決策和協(xié)調(diào)，并對全公司信息安全工作負責。 2 總經(jīng)理 信息安全第一責任人,制定信息安全方針，對信息安全全面負責. 3 管理者代表 經(jīng)總經(jīng)理授權(quán)負責建立、實施、檢查、改進信息安全管理體系。 4 綜合管理部 我公司信息安全管理體系的歸口管理部門。 1. 負責管理體系的建立、實施、保持、測量和改進。 2. 負責文件控制、記錄控制、內(nèi)部審核的組織、管理評審的組織和體系的改進。 3. 負責本公司保密工作的管理。 4. 安全區(qū)域的保衛(wèi)管理部門，負責安全區(qū)域的管理。 5. 負責全公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、意識和培訓(xùn)，員工離職管理。 6. 負責涉密信息上網(wǎng)、涉密計算機運行、檢修、報廢的監(jiān)督管理。 7. 對信息安全日常工作實施動態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容. 8. 參與涉密及司法介入的信息安全事件的調(diào)查。 5 生產(chǎn)技術(shù)部 是我公司信息系統(tǒng)安全管理部門。 負責局域網(wǎng)上所承擔的各類信息系統(tǒng)的管理職能； 負責我公司信息系統(tǒng)安全日常管理。 6 其他部門 認真執(zhí)行信息安全管理的方針、標準、安全策略和規(guī)范，做好內(nèi)部培訓(xùn)。 備注：以上職能劃分，適用所有信息安全管理體系文件。 信息安全管理委員會組成人員： 姓名 部門 職務(wù) 備注 3．6服務(wù)管理職能說明 3．6．1為保證IT服務(wù)管理體系的順利實施，以及實施后得到持續(xù)的管理和維護，在現(xiàn)有的組織架構(gòu)外建立服務(wù)管理職能關(guān)系架構(gòu)。IT服務(wù)管理職能關(guān)系架構(gòu)，并不替代現(xiàn)有的按技術(shù)類別進行的分工,現(xiàn)有的按技術(shù)類別進的分工，在將來的IT服務(wù)管理體系中仍將發(fā)揮其作用。服務(wù)部根據(jù)IT服務(wù)管理程序要求對所有服務(wù)合同按照項目進行管理與運行,由項目經(jīng)理按照服務(wù)管理職能關(guān)系架構(gòu)中的要求對項目執(zhí)行管理。一個完整的服務(wù)項目必須包含服務(wù)臺、事件管理、業(yè)務(wù)關(guān)系管理、信息安全管理、供應(yīng)商管理和IT財務(wù)管理。對于上圖虛線框內(nèi)的的問題管理、發(fā)布管理、配置管理、變更管理、可用性和連續(xù)性管理、容量管理、服務(wù)級別管理以及服務(wù)報告可由服務(wù)部經(jīng)理依照與用戶簽署的服務(wù)合同進行選擇裁剪。 3．6．2 角色分配說明 3．6．2．1針對服務(wù)部當前組織架構(gòu)及人員狀況，將不再為每一具體流程分配流程經(jīng)理。為此將13個流程，按其必要程度分成必選流程和可裁剪流程兩大模塊。由項目經(jīng)理負責相應(yīng)流程的實施、管理和控制.對項目組成員主要是組織、協(xié)調(diào)、安排相應(yīng)工作任務(wù)的完成，可能并不是由自己去完成. 3．6．2．1．1 項目經(jīng)理 職責說明: 1）、負責IT服務(wù)項目的立項工作，按照服務(wù)合同要求負責相應(yīng)流程的實施、管理和控制.組織、協(xié)調(diào)、安排項目組成員完成相應(yīng)工作任務(wù)。 2）、負責從服務(wù)臺接受事件報告開始，分配相應(yīng)的職能小組進行事件處理，直至找到問題的根本原因的整個過程的管理和協(xié)調(diào)。 3）、負責各系統(tǒng)的配置管理、變更和發(fā)布控制。 4）、負責系統(tǒng)的可用性規(guī)劃和管理、負責安排系統(tǒng)連續(xù)性的計劃和演練，并負責系統(tǒng)容量的規(guī)劃和監(jiān)控. 5)、主要負責與用戶的溝通，對供應(yīng)商的管理，以及項目的預(yù)/決算的管理。 3．6．2．1．2能力要求: 熟悉服務(wù)部的各種服務(wù)管理流程，具有較強的內(nèi)部協(xié)調(diào)能力。 由管理者代表授權(quán)技術(shù)服務(wù)事業(yè)部總監(jiān)，按ISO/IEC 20000的要求，負責協(xié)調(diào)和組織所有與IT服務(wù)有關(guān)的活動，通過管理和實施各項活動，使IT服務(wù)業(yè)務(wù)的質(zhì)量得到有效的保持和維護。 技術(shù)服務(wù)事業(yè)部組織制訂、批準和發(fā)布公司IT服務(wù)策略、服務(wù)目標，并使其成為公司關(guān)注的焦點，成為公司協(xié)調(diào)、統(tǒng)一、凝聚公司的所有活動和資源的準則，成為建立、實施、保持并改進IT服務(wù)管理體系的宗旨。 3．6．3 公司 IT服務(wù)策略： 客戶至上、全員參與、創(chuàng)新高效、系統(tǒng)管理、追求卓越 公司 IT服務(wù)目標： 公司通過服務(wù)質(zhì)量改進程序確定年度服務(wù)質(zhì)量目標 公司的IT服務(wù)目標按ISO/IEC 20000的要求，與公司的業(yè)務(wù)相結(jié)合，并通過流程績效不斷提高和改進。 技術(shù)服務(wù)事業(yè)部負責組織相關(guān)部門，通過會議、評審、書面報告、培訓(xùn)等方式，及時有效溝通工作，達到IT服務(wù)管理目標和持續(xù)改進的需求，并在公司中積極貫徹實施IT服務(wù)管理的重要性。 技術(shù)服務(wù)事業(yè)部負責組織相關(guān)部門按照PDCA的要求,通過對所屬業(yè)務(wù)的規(guī)劃，適時優(yōu)化和提供資源以計劃、實施、監(jiān)控、評審和改進IT服務(wù)的交付和管理。 管理者代表按照《服務(wù)質(zhì)量改進管理程序》中的計劃間隔,由技術(shù)服務(wù)事業(yè)部負責組織相關(guān)部門實施IT服務(wù)管理體系的內(nèi)部審核，確保IT服務(wù)管體系的有效性與符合性。 管理者代表按照《服務(wù)質(zhì)量改進管理程序》中的計劃間隔,組織相關(guān)部門執(zhí)行IT服務(wù)管理體系的管理評審，確保IT服務(wù)管理體系持續(xù)的穩(wěn)定、充分和有效。 3．6．4文件要求 3．6．4．1公司的文件管理體系分為A、B、C、D四層，即A層為管理手冊、B層為程序文件、C層為工作流程或規(guī)定、D層為記錄。 3．6．4．2管理手冊 — 描述IT服務(wù)管理體系的文件,是全體員工必須長期遵循的法規(guī)性文件。 3．6．4．3程序文件 — 覆蓋公司主要業(yè)務(wù)過程的流程文件，是管理手冊的支撐性文件. 3．6．4．4工作流程或規(guī)定— 是開展具體業(yè)務(wù)工作的規(guī)范類、指導(dǎo)性文件，是程序文件的支持性文件。 3．6．4．5記錄 — 在開展具體業(yè)務(wù)工作過程中產(chǎn)生的記錄類文件，主要是為具體工作結(jié)果提供各種可追溯性證據(jù). 3．6．4．6技術(shù)服務(wù)事業(yè)部負責組織制訂《文件和記錄管理程序》，明確文件的擬制、批準、發(fā)放、變更、存檔等管理要求,并監(jiān)控實施。 3．6．4．7技術(shù)服務(wù)事業(yè)部負責組織相關(guān)部門,根據(jù)公司的業(yè)務(wù)特點及標準的要求，制訂相關(guān)的程序文件,經(jīng)公司管理者代表批準后實施. 3．6．4．8技術(shù)服務(wù)事業(yè)部負責組織擬制與本部門業(yè)務(wù)相關(guān)的各類C層文件,并按《文件和記錄管理程序》的要求對文件和記錄的有效性進行管理。 4信息安全管 4.1總要求 4。1.1 公司根據(jù)整體業(yè)務(wù)活動（軟件開發(fā)、經(jīng)營、服務(wù)和日常管理活動）和所面臨的風險，按ISO/IEC 27001:2005《信息技術(shù)—安全技術(shù)-信息安全管理體系—要求》規(guī)定，參照ISO/IEC 27002：2005《信息技術(shù)-安全技術(shù)—信息安全管理實用規(guī)則》標準，建立、實施、運作、監(jiān)控、維護并改進文件化的信息安全管理體系。 4。1。2本手冊使用的過程基于PDCA模式. 相關(guān)文件： 《信息安全方針及目標》 4.2建立和管理信息安全管理體系（ISMS) 4.2.1建立ISMS 4。2.1。1 信息安全管理體系的范圍和邊界 本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界,本公司信息安全管理體系的范圍包括： a) 本公司涉及軟件開發(fā)、營銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng); b） 與所述信息系統(tǒng)有關(guān)的活動； c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工； d） 所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。 組織范圍: 本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見本手冊JIN/QM—3。2《公司信息安全管理體系組織架構(gòu)》。 物理范圍： 本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。 本公司ISMS的物理范圍為本公司位于常州市常州市鸝欣麗都2幢乙單元503室的辦公場所，安全邊界詳見附錄A（規(guī)范性附錄）《辦公場所平面圖》。 4.2.1.2 信息安全管理體系的方針 為了滿足適用法律法規(guī)及相關(guān)方要求，維持軟件開發(fā)和經(jīng)營的正常進行,實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針，見本信息安全管理手冊第0.3條款. 該信息安全方針符合以下要求： a) 為信息安全目標建立了框架,并為信息安全活動建立整體的方向和原則； b） 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)； c) 與組織戰(zhàn)略和風險管理相一致的環(huán)境下，建立和保持信息安全管理體系； d） 建立了風險評價的準則; e） 經(jīng)最高管理者批準。 為實現(xiàn)信息安全管理體系方針,本公司承諾： a） 在各層次建立完整的信息安全管理組織機構(gòu)，確定信息安全目標和控制措施;明確信息安全的管理職責，見本信息安全管理手冊第3。4條款.； b） 識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求； c) 定期進行信息安全風險評估，信息安全管理體系評審,采取糾正預(yù)防措施，保證體系的持續(xù)有效性； d)采用先進有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共享； e） 對全體員工進行持續(xù)的信息安全教育和培訓(xùn)，不斷增強員工的信息安全意識和能力; f) 制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。 4.2。1。3 風險評估的方法 生技部負責制定《信息安全風險管理程序》，建立識別適用于信息安全管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風險評估方法，建立接受風險的準則并識別風險的可接受等級。信息安全風險評估采用信息安全風險管理軟件 （Info—riskmanager)進行，以保證所選擇的風險評估方法應(yīng)確保風險評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果. 4.2。1。4 識別風險 在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風險管理程序》,采用Info-riskmanager風險管理軟件,對所有的資產(chǎn)進行了識別，并識別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進行了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了《重要資產(chǎn)清單》。 同時，根據(jù)《信息安全風險管理程序》，識別了對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。 4.2.1。5 分析和評價風險 本公司按《信息安全風險管理程序》，采用信息安全風險管理軟件,分析和評價風險: a） 針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進行賦值； b） 針對每一項威脅、薄弱點，對資產(chǎn)造成的影響,考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進行賦值； c) 根據(jù)《信息安全風險管理程序》計算風險等級； d） 根據(jù)《信息安全風險管理程序》及風險接受準則，判斷風險為可接受或需要處理。 4。2.1.6 識別和評價風險處理的選擇 網(wǎng)絡(luò)管理部組織有關(guān)部門根據(jù)風險評估的結(jié)果，形成《風險處理計劃》，該計劃明確了風險處理責任部門、負責人、處理方法及起始、完成時間。 對于信息安全風險，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧? a) 控制風險，采用適當?shù)膬?nèi)部控制措施； b） 接受風險（不可能將所有風險降低為零）； c） 避免風險（如物理隔離); d) 轉(zhuǎn)移風險（如將風險轉(zhuǎn)移給保險者、供方、分包商）. 4.2.1.7選擇控制目標與控制措施 網(wǎng)絡(luò)管理部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風險評估的結(jié)果,組織有關(guān)部門制定了信息安全目標,并將目標分解到有關(guān)部門（見《信息安全適用性聲明》): a）信息安全控制目標獲得了信息安全最高責任者的批準。 b)控制目標及控制措施的選擇原則來源于ISO/IEC 27001：2005《信息技術(shù)-安全技術(shù)—信息安全管理體系—要求》附錄A，具體控制措施參考ISO/IEC 27002：2005《信息技術(shù)—安全技術(shù)—信息安全管理實用規(guī)則》. c)本公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施. 4.2.1。8 對風險處理后的剩余風險,得到了公司最高管理者的批準。 4.2.1。9 最高管理者通過本手冊對實施和運行信息安全管理體系進行了授權(quán). 4。2.1.10 適用性聲明 生技部負責編制《信息安全適用性聲明》(SoA)。該聲明包括以下方面的內(nèi)容： a)所選擇控制目標與控制措施的概要描述,以及選擇的原因; b)對ISO/IEC 27001:2005附錄A中未選用的控制目標及控制措施理由的說明。 4.2.2實施和運行ISMS 4。2.2.1為確保信息安全管理體系有效實施，對已識別的風險進行有效處理，本公司開展以下活動： a)形成《風險處理計劃》，以確定適當?shù)墓芾泶胧?、職責及安全控制措施的?yōu)先級； b)為實現(xiàn)已確定的安全目標、實施《風險處理計劃》,明確各崗位的信息安全職責； c)實施所選擇的控制措施，以實現(xiàn)控制目標的要求; d)確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果； e）進行信息安全培訓(xùn),提高全員信息安全意識和能力; f)對信息安全體系的運作進行管理； g)對信息安全所需資源進行管理; h）實施控制程序，對信息安全事件（或征兆）進行迅速反應(yīng)。 4.2.2。2 信息安全組織機構(gòu) 本公司成立了的信息安全領(lǐng)導(dǎo)機構(gòu)-信息安全委員會,其職責是實現(xiàn)信息安全管理體系方針和本公司承諾。具體職責是:研究決定貫標工作涉及到的重大事項；審定公司信息安全方針、目標、工作計劃和重要文件;為貫標工作的有序推進和信息安全管理體系的有效運行提供必要的資源. 本公司由相關(guān)部門代表組成信息安全管理網(wǎng)絡(luò),采用聯(lián)席會議(協(xié)調(diào)會）的方式，進行信息安全協(xié)調(diào)和協(xié)作，以： a） 確保安全活動的執(zhí)行符合信息安全方針； b) 確定怎樣處理不符合; c） 批準信息安全的方法和過程,如風險評估、信息分類; d） 識別重大的威脅變化,以及信息和相關(guān)的信息處理設(shè)施對威脅的暴露； e) 評估信息安全控制措施實施的充分性和協(xié)調(diào)性; f) 有效的推動組織內(nèi)信息安全教育、培訓(xùn)和意識； g) 評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安全事件推薦適當?shù)拇胧? 4.2。2。3信息安全職責和權(quán)限 本公司總經(jīng)理為信息安全最高責任者.總經(jīng)理指定了信息安全管理者代表。無論信息安全管理者代表在其他方面的職責如何,對信息安全負有以下職責： a） 建立并實施信息安全管理體系必要的程序并維持其有效運行; b） 對信息安全管理體系的運行情況和必要的改善措施向信息安全領(lǐng)導(dǎo)小組或最高責任者報告. 各部門負責人為本部門信息安全管理責任者,全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù); 各部門、人員有關(guān)信息安全職責分配見本信息安全管理手冊第3。4條款《信息安全管理職責明細表》和相應(yīng)的程序文件。 4.2。2.4 各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全目標、控制措施（包括安全運行的各種控制程序)的要求實施信息安全控制措施。 4.2。3監(jiān)控和評審ISMS 4。2.3.1本公司通過實施不定期安全檢查、內(nèi)部審核、事故（事件）報告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)： a)及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故(事件)和隱患； b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊； c)使管理者確認人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果; d)使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效; e）積累信息安全方面的經(jīng)驗; 4。2。3.2根據(jù)以上活動的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對信息安全管理體系的有效性進行評審，其中包括信息安全范圍、方針、目標的符合性及控制措施有效性的評審,考慮安全審核、事件、有效性測量的結(jié)果,以及所有相關(guān)方的建議和反饋。管理評審的具體要求,見本手冊第7章。 4。2。3。3 網(wǎng)絡(luò)管理部應(yīng)組織有關(guān)部門按照《信息安全風險管理程序》的要求，采用信息安全風險管理軟件,對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方面變更情況應(yīng)及時進行風險評估： a） 組織； b) 技術(shù)； c） 業(yè)務(wù)目標和過程； d) 已識別的威脅； e) 實施控制的有效性； f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的變化. 4.2。3.4按照計劃的時間間隔進行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求,見本手冊第6章。 4.2。3。5定期對信息安全管理體系進行管理評審，以確保范圍的充分性,并識別信息安全管理體系過程的改進，管理評審的具體要求，見本手冊第7章。 4。2。3.6考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃。 4。2.3。7記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情. 4。2.4保持與持續(xù)改進ISMS 我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進： a) 實施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進的項目； b） 按照《內(nèi)部審核管理程序》、《糾正措施管理程序》、《預(yù)防措施管理程序》的要求采取適當?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故（事件)的經(jīng)驗教訓(xùn)，不斷改進安全措施的有效性； c） 通過適當?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全的要求等； d） 對信息安全目標及分解進行適當?shù)墓芾?，確保改進達到預(yù)期的效果。 相關(guān)文件： 《系統(tǒng)風險評估方法》 《適用性聲明》 《管理評審程序》 《內(nèi)部審核控制程序》 《糾正措施控制程序》 《預(yù)防措施控制程序》 4.3文件要求 4.3.1總則 ISMS文件應(yīng)包括: a) 形成文件的ISMS方針和控制目標； b) ISMS范圍 c) ISMS的支持性程序和控制措施; d） 風險評估方法的描述； e) 風險評估報告； f） 風險處置計劃； g） 公司為確保其信息安全過程的有效策劃、運行和控制以及規(guī)定如何測量控制措施有效性所需的程序文件； h) 標準所要求的記錄； i） 適用性聲明。 所有文件應(yīng)按ISMS方針要求在需要時可獲得。 4。3.2文件控制 ISMS所要求的文件應(yīng)予以保護和控制，應(yīng)編制形成文件的程序以規(guī)定以下方面所需的管理措施： a) 文件發(fā)布前得到批準以確保文件是充分的; b） 必要時對文件進行評審與更新并再次批準; c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別； d） 確保在使用處可獲得適用文件的適用版本； e) 確保文件保持合法并易于識別； f） 確保外來文件得到識別； g) 確保文件的分發(fā)是受控的; h） 防止作廢文件的非預(yù)期使用; i) 若因任何原因而保留作廢文件時對這些文件進行適當?shù)臉俗R； 4。3.3記錄控制 應(yīng)建立并保持記錄，以提供符合要求和ISMS有效運行的證據(jù).記錄應(yīng)得到保護并且受控。ISMS應(yīng)考慮相關(guān)法律要求，記錄應(yīng)易于識別和檢索。應(yīng)編制形成文件的程序，以規(guī)定記錄的識別、貯存、保護、檢索、保存期限和處置所需的控制，確定記錄需要和程度的管理過程。 保持過程業(yè)績的記錄以及與ISMS有關(guān)的安全事件的記錄。例如,記錄包括訪問者登記審核記錄和訪問授權(quán)。 相關(guān)文件： 《文件控制程序》 《記錄控制程序》 5 管理職責 5。1管理承諾 管理層應(yīng)通過以下措施對其建立、實施、運行、監(jiān)控、評審、維護和改進ISMS的承諾提供證據(jù)。 a） 建立信息安全方針； b） 確保信息安全目標和計劃的建立； c) 為信息安全分配角色和職責； d） 向公司傳達滿足信息安全目標、符合信息安全方針、法律責任和持續(xù)改進的重要性; e) 提供足夠的資源以建立、實施、運行、監(jiān)控、評審、維護和改進ISMS； f） 決定可接受風險的標準和可接受風險的等級； g） 確保ISMS內(nèi)部審核的執(zhí)行； h） 進行ISMS管理評審. 相關(guān)文件： 《信息安全方針和目標》 《部門職責》 《管理評審程序》 《系統(tǒng)風險評估方法》 5.2 資源管理 5。2。1資源提供 公司應(yīng)確定和提供以下方面所需的資源 a） 建立建立、實施、運行、監(jiān)控、維護和改進ISMS b） 確保信息安全程序支持業(yè)務(wù)需求; c） 識別并確定法律法規(guī)要求和合同安全責任; d） 通過正確應(yīng)用所有實施的控制措施的來維持足夠的安全; e） 必要時進行評估，并對評估結(jié)果采取適當?shù)膶?yīng)措施； f） 必要時改進ISMS的有效性。 5。2.2培訓(xùn)、意識和能力 公司應(yīng)確保在ISMS中任命職責的人員應(yīng)能夠勝任要求的任務(wù) a） 確定從事影響信息安全工作的人員所必需的能力; b） 提供足夠的能力培訓(xùn)或其它措施,必要時聘用有能力的人員滿足這些要求； c） 評估所提供的培訓(xùn)和采取措施的有效性； d） 保持教育、培訓(xùn)、技能、經(jīng)驗和資質(zhì)的適當記錄。 公司應(yīng)確保員工認識到所從事信息安全活動的相關(guān)性和重要性，以及如何為實現(xiàn)ISMS目標作出貢獻。 相關(guān)文件: 《人力資源管理控制程序》 6 ISMS內(nèi)部審核 公司應(yīng)按計劃的時間間隔進行ISMS內(nèi)部審核，以確定控制目標、控制措施、過程和程序是否: a） 符合標準及相關(guān)法律法規(guī)的要求； b） 符合確定的信息安全要求; c) 得到有效地實施和維護； d） 按期望運行。 內(nèi)部審核程序應(yīng)進行計劃，并考慮受審核過程的狀況、重要性和受審核的區(qū)域以及上次審核結(jié)果，應(yīng)規(guī)定審核準則、范圍、頻次和方式，審核員的選擇和審核活動應(yīng)保證審核過程的客觀和公正，審核員不能審核自己的工作。 應(yīng)建立形成文件的程序，以規(guī)定策劃和實施審核的職責和要求以及報告結(jié)果和保持記錄。 受審核區(qū)域的負責人應(yīng)確保立即采取措施，以消除發(fā)現(xiàn)的不符合及其原因。改進措施包括所采取措施的驗證并匯報驗證結(jié)果。 相關(guān)文件： 《內(nèi)部審核控制程序》 7 ISMS管理評審 7.1總則 管理者應(yīng)按策劃的時間間隔評審公司的ISMS（至少一年一次），以確保其持續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評價ISMS改進的機會和變更的需要,包括安全方針和安全目標的適宜性.評審結(jié)果應(yīng)清楚地寫入文件應(yīng)保持記錄. 7.2管理評審輸入 管理評審的輸入應(yīng)包括以下方面的信息： a) ISMS審核(包括內(nèi)審和外審）和管理評審的結(jié)果； b) 相關(guān)方(客戶、供應(yīng)商、內(nèi)部員工等）的反饋； c) 公司用于改進ISMS業(yè)績和有效性的技術(shù)、產(chǎn)品或程序的發(fā)展及變化； d) 預(yù)防和糾正措施的實施情況； e） 上次風險評估未充分指出的弱點或威脅; f) 體系有效性測量的結(jié)果; g) 上次管理評審所采取措施的跟蹤驗證； h) 影響ISMS的變更，如信息安全組織架構(gòu)變化等； i) 改進的建議。 7.3管理評審輸出 管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施 a） ISMS有效性的改進 b) 風險評估和風險處理計劃的更新 c） 必要時修訂影響信息安全的程序和控制措施，以反映可能影響ISMS的內(nèi)外事件,包括以下變化 1 業(yè)務(wù)需求； 2 安全需求； 3 影響已有業(yè)務(wù)需求的業(yè)務(wù)過程； 4 法律法規(guī)環(huán)境； 5 合同義務(wù)； 6 風險和/或風險接受準則。 d） 資源需求 e）針對被測量的控制措施有效性的改進 相關(guān)文件: 《管理評審程序》 8 ISMS的改進 8.1持續(xù)改進 公司應(yīng)通過應(yīng)用信息安全方針、安全目標、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施和管理評審，持續(xù)改進ISMS的有效性. 8.2糾正措施 公司應(yīng)采取措施消除ISMS實施和運行的不符合原因，以防止其再發(fā)生.糾正措施文件程序應(yīng)規(guī)定以下方面的要求. a） 識別ISMS實施和運行的不符合項; b) 確定不符合的原因； c) 評價確保不符合不再發(fā)生所需的措施； d) 決定和實施所需的糾正措施； e) 記錄所采取措施的結(jié)果； f) 評審所采取的糾正措施。 8.3預(yù)防措施 公司應(yīng)決定措施以防范未來的不符合，防止發(fā)生采取的預(yù)防措施應(yīng)與潛在問題的影響相匹配,預(yù)防措施文件程序應(yīng)規(guī)定以下方面的要求。 a） 確定潛在不符合及其原因； b） 評價預(yù)防不符合發(fā)生所需的措施; c) 決定實施所需的預(yù)防措施; d) 記錄所采取措施的結(jié)果； e） 評審所采取的預(yù)防措施. 公司應(yīng)識別發(fā)生變化的風險，并通過關(guān)注變化顯著的風險來識別預(yù)防措施要求。應(yīng)根據(jù)風險評估結(jié)果來確定預(yù)防措施的優(yōu)先級。 相關(guān)文件： 《糾正措施控制程序》 《預(yù)防措施控制程序》 IT服務(wù)管理 服務(wù)管理規(guī)劃和實施 在開展IT服務(wù)管理的活動中，PDCA原理貫穿于IT服務(wù)管理體系的全部流程，其中: P（計劃） - 根據(jù)客戶要求和公司策略建立目標和流程。 D（實施） - 實施流程。 C（檢查） — 根據(jù)策略、目標和要求對過程和服務(wù)進行監(jiān)控、測量,并報告結(jié)果. A（改進) — 采取措施以持續(xù)改進流程的性能。 計劃服務(wù)管理 服務(wù)部向客戶提供三大服務(wù)項目：常駐現(xiàn)場技術(shù)服務(wù)、定期巡檢技術(shù)服務(wù)、咨詢規(guī)劃設(shè)計服務(wù)。甘肅萬維公司為不斷滿足市場需求和企業(yè)自身發(fā)展需要，將在未來將原有的三大技術(shù)服務(wù)內(nèi)容重新規(guī)劃和設(shè)計,細化成六大服務(wù)內(nèi)容：基礎(chǔ)設(shè)施服務(wù)、運維服務(wù)、專業(yè)技術(shù)服務(wù)、IT安全服務(wù)、咨詢設(shè)計評估服務(wù)、培訓(xùn)服務(wù).從而實現(xiàn)在堅持原有行業(yè)內(nèi)的服務(wù)的基礎(chǔ)上向行業(yè)外擴展的計劃。 服務(wù)部根據(jù)公司IT服務(wù)管理職能關(guān)系架構(gòu)圖中的所分配的職責并依據(jù)條款4—9中所規(guī)定的服務(wù)管理過程向客戶提供IT服務(wù)。 相關(guān)部門根據(jù)管理評審的結(jié)果及結(jié)論，結(jié)合本部門的工作實際，由技術(shù)服務(wù)事業(yè)部組織相關(guān)部門對當前與本部門相關(guān)的IT服務(wù)工作的改進需求、以及公司業(yè)務(wù)發(fā)展策略、技術(shù)動態(tài)、政策法規(guī)要求、下一年度IT服務(wù)工作的安排進行規(guī)劃，制訂本部門的年度工作計劃，并按公司內(nèi)控制度制訂對應(yīng)的部門年度費用預(yù)算。 實施IT服務(wù) 技術(shù)服務(wù)事業(yè)部組織相關(guān)部門按批準后的公司年度計劃，對計劃周期內(nèi)的工作任務(wù)、目標、績效要求進行分解，組織各部門制訂各自的年度工作計劃和費用預(yù)算,并進行跟蹤、檢查。 相關(guān)部門年度工作計劃、年度費用預(yù)算應(yīng)與已批準的本部門年度工作計劃、預(yù)算一致，如有變更,引起預(yù)算的變化，應(yīng)上報技術(shù)服務(wù)事業(yè)部按照相關(guān)流程審批、執(zhí)行。 技術(shù)服務(wù)事業(yè)部負責組織IT服務(wù)項目的立項工作，并按照項目管理規(guī)定對項目計劃周期內(nèi)的工作任務(wù)、目標、績效要求進行分解,制訂項目實施計劃和費用預(yù)算,并進行跟蹤、檢查。 監(jiān)視、測量和評審 服務(wù)部負責收集、匯總、整理IT服務(wù)項目的日常服務(wù)數(shù)據(jù). 服務(wù)部經(jīng)理負責組織IT服務(wù)項目,按各項目階段性工作計劃、費用預(yù)算的內(nèi)容，以及IT服務(wù)管理的要求，收集與IT服務(wù)相關(guān)的信息，監(jiān)控、測量和評審與本業(yè)務(wù)相關(guān)的服務(wù)規(guī)劃要求、已有的SLA符合要求的程度.IT服務(wù)項目在運行中，應(yīng)監(jiān)控、測量和評審的內(nèi)容為： 既定的IT服務(wù)目標的達成程度。 客戶滿意度。 資源利用. 服務(wù)實施的趨勢。 嚴重不符合。 技術(shù)服務(wù)事業(yè)部按照《服務(wù)質(zhì)量改進管理程序》的要求，組織IT服務(wù)管理體系的管理評審活動,以確保IT服務(wù)要求得到有效的實施和維護。 持續(xù)改進 服務(wù)部每年至少進行一次服務(wù)管理體系的有效性評估，評估通過內(nèi)部審核的方式進行. 在評估中發(fā)現(xiàn)的任何不符合標準的活動都應(yīng)該采取糾正措施予以改進,對于發(fā)現(xiàn)的潛在問題應(yīng)該予以控制。 服務(wù)部在內(nèi)部審核后，應(yīng)進行管理評審,管理評審的內(nèi)容包括：各流程的執(zhí)行狀況報告，存在問題及改進建議，內(nèi)部審核結(jié)果,相關(guān)方的反饋以及其他可能影響體系運行的要素. 服務(wù)部按管理評審的要求,確定服務(wù)改進的測量、報告和溝通流程和內(nèi)容.監(jiān)控IT服務(wù)運行中出現(xiàn)的不符合項,組織相關(guān)部門實施、驗證改進活動。任何不符合ISO/IEC 20000—1:2005標準的活動都應(yīng)被糾正。 對于內(nèi)部審核、管理評審或其他活動中所發(fā)現(xiàn)的不符合項或潛在不符合項，應(yīng)按照《服務(wù)質(zhì)量改進管理程序》要求進行及時糾正。 新服務(wù)或變更服務(wù)的策劃與實施 制訂新服務(wù)或變更服務(wù)計劃 銷售部門負責與客戶溝通，服務(wù)部配合，收集客戶對現(xiàn)有SLA的滿意度水平。分析、整理客戶新的或變更服務(wù)的要求，及時反饋客戶的改進需求。 當出現(xiàn)新服務(wù)或變更服務(wù)時，服務(wù)部根據(jù)《服務(wù)策劃管理程序》的要求，組織實施IT服務(wù)策劃和實施工作。 服務(wù)部組織對新服務(wù)或變更服務(wù)策劃結(jié)果的驗證、確認，驗證通過后按《服務(wù)策劃管理程序》實施。 服務(wù)部應(yīng)報告新服務(wù)或變更服務(wù)按計劃實施所達到的結(jié)果,服務(wù)部按《發(fā)布管理程序》，執(zhí)行實施發(fā)布評審，比較實際結(jié)果與期望結(jié)果的一致性。 服務(wù)交付過程 服務(wù)級別管理 服務(wù)部負責與相關(guān)部門溝通，制訂公司的《服務(wù)目錄》。服務(wù)目錄應(yīng)定義所有服務(wù)，并包含服務(wù)名稱、服務(wù)目標或標準、聯(lián)系接口、服務(wù)提供時間和例外、安全方面的考慮和安排。 《服務(wù)目錄》是公司所提供的服務(wù)內(nèi)容的匯總，公司與客戶簽署SLA時應(yīng)參考《服務(wù)目錄》。 公司應(yīng)該根據(jù)當前的服務(wù)能力對《服務(wù)目錄》進行更新與維護。 根據(jù)公司的戰(zhàn)略規(guī)劃、資源要求及客戶需求，服務(wù)部在與銷售部門和其他相關(guān)部門溝通、確定SLA時,應(yīng)考慮：可接受持續(xù)損失服務(wù)的最大周期、可接受降級服務(wù)的最大周期，服務(wù)恢復(fù)時，可接受降級服務(wù)級別。 銷售部門代表客戶，與服務(wù)部簽訂《服務(wù)級別協(xié)議》。應(yīng)明確：服務(wù)要求和期望服務(wù)工作量特征的協(xié)議、服務(wù)目標協(xié)議、服務(wù)級別實現(xiàn)、工作量的測量和報告，以及服務(wù)目標不能完成的分析與說明。 《服務(wù)級別協(xié)議》包含以下內(nèi)容:服務(wù)的簡述、術(shù)語表、客戶職責、服務(wù)部門職責和義務(wù)、服務(wù)目標、服務(wù)時間、工作量限制（最大及最小工作量），支持和相關(guān)服務(wù)、影響和優(yōu)先級描述、授權(quán)細節(jié)，及授權(quán)人員聯(lián)系信息、有效期或SLA變更控制機制（包含升級和通知流程）、服務(wù)中斷采取的糾正措施,計劃和協(xié)調(diào)中斷,包括通知事件及頻率、溝通的簡述，包括報告、投訴程序、在SLA中規(guī)定條款的例外情況. 商務(wù)部應(yīng)依據(jù)與客戶簽訂的SLA以及《供應(yīng)商管理程序》的要求,組織簽署與供應(yīng)商之間的支持合同（或協(xié)議)。 當出現(xiàn)重要業(yè)務(wù)變更時,銷售部門應(yīng)及時與技術(shù)服務(wù)事業(yè)部溝通,按原流程重新組織相關(guān)部門，調(diào)整、修訂《服務(wù)級別協(xié)議》,并作為服務(wù)改進計劃的輸入. 服務(wù)報告 服務(wù)部應(yīng)就向客戶提交的服務(wù)報告的內(nèi)容、報告周期與客戶協(xié)商并達成一致。 服務(wù)部擬制內(nèi)部服務(wù)報告,對計劃間隔內(nèi)的客戶服務(wù)狀況、問題趨勢、服務(wù)數(shù)據(jù)、SLA目標實現(xiàn)等進行匯總、統(tǒng)計和分析,組織召開月度服務(wù)質(zhì)量分析會議，形成會議紀要后發(fā)放. 服務(wù)報告主要包括的內(nèi)容：執(zhí)行服務(wù)級別目標的績效，違反SLA、安全管理要求等的不符合項和結(jié)論、工作量特征,如，數(shù)量、資源利用、報告主要事件、變更、定期趨勢信息、客戶滿意度分析。 當出現(xiàn)有關(guān)IT服務(wù)系統(tǒng)配置項的變更時，服務(wù)部應(yīng)按《變更管理程序》的要求執(zhí)行。 服務(wù)報告應(yīng)及時、清晰、可靠和簡明，便于分析、決策和有效溝通。 可用性和IT服務(wù)持續(xù)性管理 服務(wù)部應(yīng)按照《可用性與IT服務(wù)持續(xù)性管理程序》的要求，擬制《可用性與IT服務(wù)持續(xù)性計劃》，根據(jù)客戶業(yè)務(wù)優(yōu)先級、服務(wù)級別協(xié)議和評估的風險，按設(shè)計的工作量計劃維護有效的服務(wù)能力，并與《服務(wù)級別協(xié)議》的目標保持一致。應(yīng)考慮： IT服務(wù)持續(xù)性計劃考慮對服務(wù)和系統(tǒng)組成的關(guān)系。 應(yīng)清晰的分配調(diào)用IT服務(wù)持續(xù)性計劃的責任，并清晰的計劃對每個目標采取措施的責任。 備份服務(wù)恢復(fù)所需的數(shù)據(jù)、文件、軟件、任何設(shè)備和必要員工，在重大服務(wù)失敗或災(zāi)難時，保持快速有效. 在遠程的安全地點,所有IT服務(wù)持續(xù)性文件應(yīng)存儲和維護至少一份，與其他必要的設(shè)備保存在一起. 定期開展IT服務(wù)持續(xù)性計劃的測試. 使員工理解調(diào)用、執(zhí)行計劃的角色與職責，并能訪問IT服務(wù)持續(xù)性文件。 服務(wù)部每年末組織對《可用性與IT服務(wù)持續(xù)性計劃》進行評審，并根據(jù)業(yè)務(wù)需求的變化及時調(diào)整計劃的內(nèi)容和目標，確保從普通到重大服務(wù)失效的任何環(huán)境下都能滿足與客戶協(xié)商的要求。 當業(yè)務(wù)環(huán)境發(fā)生重大變化時，服務(wù)部應(yīng)重新組織評審、修訂《可用性與IT服務(wù)持續(xù)性計劃》。并通過能力管理和配置管理活動，評價所有服務(wù)組成的有效性,預(yù)知可能的、潛在的問題，并采取預(yù)防措施。 對《可用性與IT服務(wù)持續(xù)性計劃》中內(nèi)容和目標的變更，服務(wù)部應(yīng)及時組織相關(guān)部門按《變更管理程序》的要求進行評估、驗證和確認，確保變更的效果及滿足SLA的要求。 服務(wù)部應(yīng)定期對可用性信息進行測量和記錄，未計劃的不可用應(yīng)被調(diào)查、評估，并采取適當?shù)募m正或預(yù)防措施?？捎眯曰顒影? 監(jiān)控和記錄服務(wù)的可用性. 服務(wù)準確的歷史數(shù)據(jù)。 與SLA中定義需求相比較，以識別不符合SLA有效目標的事項。 記錄不符合項，并組織評審. 考慮、評估供應(yīng)商的影響。 預(yù)計未來的可用性。 IT服務(wù)的預(yù)算及財務(wù)管理 技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)國家的有關(guān)法律法規(guī)和財務(wù)政策，及《IT財務(wù)管理程序》的要求，根據(jù)公司的業(yè)務(wù)策略（包括產(chǎn)品策略、銷售策略、服務(wù)策略等）,組織擬制、審核本部門的總體性和階段性的IT服務(wù)費用預(yù)算及成本標準。 技術(shù)服務(wù)事業(yè)部根據(jù)公司業(yè)務(wù)發(fā)展戰(zhàn)略、公司現(xiàn)有的SLA要求，及本部門業(yè)務(wù)的特點,按部門工作計劃的內(nèi)容，組織擬制本部門階段性的費用預(yù)算計劃，經(jīng)財務(wù)部匯總、報批后實施。 在預(yù)算期間出現(xiàn)的服務(wù)變更引起的預(yù)算變化,相關(guān)部門應(yīng)按《IT財務(wù)管理程序》的要求執(zhí)行預(yù)算變更申請. 在對《服務(wù)級別協(xié)議》進行評審時，服務(wù)部應(yīng)根據(jù)公司策略，評估實現(xiàn)服務(wù)目標和需求的成本，并根據(jù)確定的服務(wù)級別協(xié)議跟蹤成本的變化。 服務(wù)部應(yīng)在服務(wù)變更時，計算服務(wù)變更成本，并通過《變更管理程序》進行批準。 服務(wù)部應(yīng)根據(jù)預(yù)算編制跟蹤財務(wù)變化，并對超出預(yù)算要求的變化，提前向技術(shù)服務(wù)事業(yè)部提出預(yù)警信號。 容量管理 技術(shù)服務(wù)事業(yè)部負責現(xiàn)有IT服務(wù)系統(tǒng)容量水平的規(guī)劃，根據(jù)《容量管理程序》的要求，制訂《容量管理計劃》，應(yīng)在計劃中描述業(yè)務(wù)需求,包括： 當前和預(yù)計的容量和性能需求。 針對服務(wù)升級所定義的時間表、閾值和成本. 評估預(yù)期的服務(wù)升級、變更請求、新技術(shù)和技術(shù)能力的效果. 預(yù)計外部變更的影響,如法律影響等。 對數(shù)據(jù)和流程進行預(yù)先分析。 定義監(jiān)控服務(wù)容量、調(diào)整服務(wù)性能和提供充分容量的方法、程序和技術(shù)。 為達到SLA所要求的服務(wù)級別目標和業(yè)務(wù)需求所應(yīng)具備的資金條件. 服務(wù)部協(xié)助收集、統(tǒng)計當前IT基礎(chǔ)設(shè)施的實際性能和預(yù)期要求的運行信息，以支持服務(wù)業(yè)務(wù)的開展。 技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)服務(wù)特點、服務(wù)量、服務(wù)報告和客戶業(yè)務(wù)等信息，組織對《容量管理計劃》進行評審，并保留評審相關(guān)的紀錄。 當出現(xiàn)臨時的新增或變更服務(wù)時，技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)《容量管理程序》的要求,及時對《容量管理計劃》的相關(guān)內(nèi)容進行評估和更新。 1 關(guān)系過程 總則 供應(yīng)商和客戶的關(guān)系管理可采用正式合同形式約束。 銷售部門按《業(yè)務(wù)關(guān)系管理程序》的要求明確定義供應(yīng)商和客戶的角色、范圍和職能,通過合同、溝通、培訓(xùn)等方式確保實施和參與服務(wù)提供的各方： 理解并滿足業(yè)務(wù)需求. 理解能力和約束條件。 理解職責和責任。 業(yè)務(wù)關(guān)系管理 服務(wù)部按照《業(yè)務(wù)關(guān)系管理程序》的要求，牽頭并定期組織銷售部門，開展服務(wù)管理評價活動，討論、匯報服務(wù)范圍、SLA、合同或業(yè)務(wù)需求的變化，及性能、成績、結(jié)果和措施計劃,并形成會議紀要。 當服務(wù)目標、服務(wù)需求、支持合同、業(yè)務(wù)等發(fā)生新增、變更或撤銷時，服務(wù)部應(yīng)按《服務(wù)策劃管理程序》的要求，提出并評估服務(wù)范圍和SLA的改進方案，由服務(wù)部組織實施。 服務(wù)部與客戶建立有效的互動、溝通關(guān)系，以便及時了解客戶的需求或重大變更,并依據(jù)需求進行響應(yīng).根據(jù)《客戶滿意度管理規(guī)定》，定義、收集、分析客戶滿意度數(shù)據(jù)和信息,監(jiān)控客戶滿意度的趨勢。 技術(shù)服務(wù)事業(yè)部根據(jù)《業(yè)務(wù)關(guān)系管理程序》中的客戶投訴管理流程,負責收集、統(tǒng)計、分析客戶投訴的記錄，識別投訴的發(fā)展趨勢和存在問題，確保服務(wù)的持續(xù)性目標的實現(xiàn). 供應(yīng)商管理 商務(wù)部按《萬維公司內(nèi)控手冊》中《供應(yīng)商管理業(yè)務(wù)程序》的要求，對供應(yīng)商提供的IT服務(wù)的過程進行管理，完善供應(yīng)商管理制度和采購規(guī)范,建立和維護公司《合格供應(yīng)商名單》。并確保: 供應(yīng)商了解其對本公司承擔