ISMS手冊信息安全管理IT服務(wù)管理體系手冊

《ISMS手冊信息安全管理IT服務(wù)管理體系手冊》由會員分享，可在線閱讀，更多相關(guān)《ISMS手冊信息安全管理IT服務(wù)管理體系手冊（31頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、ISMS手冊-信息安全管理IT服務(wù)管理體系手冊 信息安全管理IT服務(wù)管理體系手冊 發(fā)布令 本公司按照ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》和ISO27001：2005《信息安全管理體系要求》以及本公司業(yè)務(wù)特點編制《信息安全管理&IT服務(wù)管理體系手冊》，建立與本公司業(yè)務(wù)相一致的信息安全與IT服務(wù)管理體系，現(xiàn)予以頒布實施。 本手冊是公司法規(guī)性文件，用于貫徹公司信息安全管理方針和目標(biāo)，貫徹IT服務(wù)管理理念方針和服務(wù)目標(biāo)。為實現(xiàn)信息安全管理與IT服務(wù)管理,開展持續(xù)改進(jìn)服務(wù)質(zhì)量，不斷提高客戶滿意度活動，加強信息安全建設(shè)的綱領(lǐng)性文件和行動準(zhǔn)則。是全體員工必須遵守的原則性規(guī)范。體現(xiàn)公司

2、對社會的承諾，通過有效的PDCA活動向顧客提供滿足要求的信息安全管理和IT服務(wù). 本手冊符合有關(guān)信息安全法律法規(guī)要求以及ISO20000:2005《信息技術(shù)服務(wù)管理-規(guī)范》、ISO27001：2005《信息安全管理體系要求》和公司實際情況。為能更好的貫徹公司管理層在信息安全與IT服務(wù)管理方面的策略和方針，根據(jù)ISO20000：2005《信息技術(shù)服務(wù)管理-規(guī)范》和ISO27001：2005《信息安全管理體系要求》的要求任命XXXXX為管理者代表,作為本公司組織和實施“信息安全管理與IT服務(wù)管理體系”的負(fù)責(zé)人。直接向公司管理層報告. 全體員工必須嚴(yán)格按照《信息安全管理&IT服務(wù)管理體系手冊》要

3、求，自覺遵守本手冊各項要求，努力實現(xiàn)公司的信息安全與IT服務(wù)的方針和目標(biāo)。 管理者代表職責(zé)： a） 建立服務(wù)管理計劃； b） 向組織傳達(dá)滿足服務(wù)管理目標(biāo)和持續(xù)改進(jìn)的重要性; e) 確定并提供策劃、實施、監(jiān)視、評審和改進(jìn)服務(wù)交付和管理所需的資源，如招聘合適的人員，管理人員的更新； 1． 確保按照ISO207001：2005標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識別和風(fēng)險評估,全面建立、實施和保持信息安全管理體系;按照ISO/IEC 20000 《信息技術(shù)服務(wù)管理－規(guī)范》的要求，組織相關(guān)資源,建立、實施和保持IT服務(wù)管理體系，不斷改進(jìn)IT服務(wù)管理體系，確保其有效性、適宜性和符合性。 2． 負(fù)

4、責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；向公司管理層報告IT服務(wù)管理體系的業(yè)績，如:服務(wù)方針和服務(wù)目標(biāo)的業(yè)績、客戶滿意度狀況、各項服務(wù)活動及改進(jìn)的要求和結(jié)果等. 3． 確保在整個組織內(nèi)提高信息安全風(fēng)險的意識； 4． 審核風(fēng)險評估報告、風(fēng)險處理計劃; 5． 批準(zhǔn)發(fā)布程序文件; 6． 主持信息安全管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報告； 向最高管理者報告信息安全管理體系的業(yè)績和改進(jìn)要求，包括信息安全管理體系運行情況、內(nèi)外部審核情況. 7．推動公司各部門領(lǐng)導(dǎo)，積極組織全體員工，通過工作實踐、教育培訓(xùn)、業(yè)務(wù)指導(dǎo)等方式不斷提高員工對滿足客戶需求的重要性的認(rèn)知程度,以及為達(dá)到公司服

5、務(wù)管理目標(biāo)所應(yīng)做出的貢獻(xiàn)。 總經(jīng)理: 日期： 信息安全方針和信息安全目標(biāo) 信息安全方針：信息安全 人人有責(zé) 本公司信息安全管理方針包括內(nèi)容如下： 一、信息安全管理機制 1．公司采用系統(tǒng)的方法，按照ISO/IEC 27001：2005建立信息安全管理體系，全面保護(hù)本公司的信息安全。 二、信息安全管理組織 2．公司總經(jīng)理對信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。 3．公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性. 4．在公司內(nèi)部建立信息安全組織機構(gòu)，信息安全管理委員會和

6、信息安全協(xié)調(diào)機構(gòu),保證信息安全管理體系的有效運行。 5．與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。 三、人員安全 6．信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動合同、崗位職責(zé)中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任.對崗位調(diào)動或離職人員，應(yīng)及時調(diào)整安全職責(zé)和權(quán)限。 7．對本公司的相關(guān)方，要明確安全要求和安全職責(zé)。 8．定期對全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識。以提高安全意識. 9．全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。

7、 四、識別法律、法規(guī)、合同中的安全 10．及時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施,保證滿足安全要求。 五、風(fēng)險評估 11．根據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風(fēng)險評估程序，確定風(fēng)險接受準(zhǔn)則. 12．采用先進(jìn)的風(fēng)險評估技術(shù)和軟件,定期進(jìn)行風(fēng)險評估,以識別本公司風(fēng)險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。 13．應(yīng)根據(jù)風(fēng)險評估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險。 六、報告安全事件 14．公司建立報告信息安全事件的渠道和相應(yīng)的主管部門。 15．全體員工有報告信息安全隱患、威脅、薄弱點、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件,應(yīng)立即按照規(guī)定的途徑進(jìn)行報

8、告。 16．接受信息安全事件報告的主管部門應(yīng)記錄所有報告，及時做出相應(yīng)的處理,并向報告人員反饋處理結(jié)果。 七、監(jiān)督檢查 17．定期對信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審核等。 八、業(yè)務(wù)持續(xù)性 18．公司根據(jù)風(fēng)險評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響,并確保能夠及時恢復(fù)。 19．定期對業(yè)務(wù)持續(xù)性計劃進(jìn)行測試和更新。 九、違反信息安全要求的懲罰 20．對違反信息安全方針、職責(zé)、程序和措施的人員,按規(guī)定進(jìn)行處理。 信息安全目標(biāo)： 1。不可接受風(fēng)險處理率：100% （所有不可接受

9、風(fēng)險應(yīng)降低到可接受的程度）。 2.重大顧客因信息安全事件投訴為0次(重大顧客投訴是指直接經(jīng)濟損失金額達(dá)1萬元以上） 1 信息安全管理手冊說明 1．1公司簡介 XX 1。1編制依據(jù)和目的 本手冊在遵循ISO9001：2005 《信息安全管理體系要求》與ISO/IEC 20000 《信息技術(shù)服務(wù)管理－規(guī)范》的要求編制而成，包括了ISO27001：2005的全部要求，對附錄A的刪減見《適用性聲明SoA》. 手冊描述公司的信息安全管理體系的總要求,以確保公司的信息安全管理體系能夠達(dá)到ISO27001：2005信息安全管理標(biāo)準(zhǔn)的要求；滿足本公司向客戶提供IT服務(wù)所需的IT基礎(chǔ)設(shè)施和IT技術(shù)

10、支持服務(wù)，適用于向客戶或認(rèn)證機構(gòu)證實，本公司具備提供符合客戶需求的IT服務(wù)能力和服務(wù)質(zhì)量。 本公司的體系程序是手冊的支持性文件,是對體系運作的具體描述。 1。2適用范圍 信息安全管理＆IT服務(wù)管理體系手冊適用于本公司提供安全管理體系認(rèn)證服務(wù)與IT服務(wù)有關(guān)的所有部門和活動. 1．3術(shù)語和定義 1．3．1本手冊應(yīng)用ISO/IEC 20000中的術(shù)語及定義。 1．3．2本手冊應(yīng)用ISO/IEC27001中的術(shù)語及定義。 2 信息安全管理&IT服務(wù)管理手冊的管理 2．1手冊的編制、批準(zhǔn)和發(fā)布 2．1．1按照公司業(yè)務(wù)發(fā)展戰(zhàn)略和客戶需求,經(jīng)公司管理者代表批準(zhǔn)，技術(shù)服務(wù)事業(yè)部組織相關(guān)人員,

11、結(jié)合本公司業(yè)務(wù)特點,根據(jù)ISO/IEC 20000標(biāo)準(zhǔn)的要求編寫。 2．1．2《IT服務(wù)管理手冊》由公司管理者代表批準(zhǔn)后發(fā)布。 2．2手冊的分發(fā) 2．2．1技術(shù)服務(wù)事業(yè)部負(fù)責(zé)手冊的發(fā)放、更新、管理與存檔。 2．2．2公司各部門負(fù)責(zé)手冊的使用和保管. 2．3手冊的受控狀態(tài) 2．3．1書面形式的手冊分“有效文件”和“保留文件"兩種形式。作為公司日常運營的依據(jù)及提供給外部認(rèn)證機構(gòu)的手冊均為“有效文件”形式。 2．3．2當(dāng)手冊內(nèi)容變更時,“有效文件”形式的手冊應(yīng)及時予以更新和發(fā)放。 2．3．3“有效文件”形式的文件在更新后，如需保存原來的版本，以便于追溯，則應(yīng)當(dāng)用“保留文件”的標(biāo)識予以

12、區(qū)分。 2．3．4電子形式的手冊由技術(shù)服務(wù)事業(yè)部在工作流轉(zhuǎn)系統(tǒng)中進(jìn)行管理。 2．4手冊的變更 2．4．1因公司戰(zhàn)略調(diào)整、客戶需求或改進(jìn)活動等引起的手冊內(nèi)容的變更,按公司總經(jīng)理指示，技術(shù)服務(wù)事業(yè)部組織相關(guān)部門對涉及變更的內(nèi)容進(jìn)行更新，并經(jīng)公司總經(jīng)理批準(zhǔn)后發(fā)布。 2．4．2更新后的手冊，應(yīng)及時地發(fā)放給公司內(nèi)部原手冊持有者,并收回舊版的手冊.對電子形式的手冊，由技術(shù)服務(wù)事業(yè)部按工作流轉(zhuǎn)系統(tǒng)中的管理規(guī)則進(jìn)行更新和歸檔管理。 2．5公司內(nèi)部手冊持有者的責(zé)任 2．5．1與公司或部門內(nèi)部的相關(guān)人員溝通、學(xué)習(xí)手冊的要求并遵照執(zhí)行。 2．5．2妥善保管,不得私自更改、曲解手冊的內(nèi)容。不得隨意向其他

13、與公司業(yè)務(wù)無關(guān)的第三方傳播，如需提供公司以外的第三方參考，應(yīng)經(jīng)技術(shù)服務(wù)事業(yè)部提交公司主管副總經(jīng)理審核后，報公司總經(jīng)理批準(zhǔn)。 3 公司架構(gòu)和安全承諾 3。1公司行政組織架構(gòu) 總 經(jīng) 理 文 檔 培 訓(xùn) 倉 庫 采 購 人力資源 財 務(wù) 物 流 銷 售 市 場 測 試 質(zhì)量保證 質(zhì)管部 實 施 研 發(fā) 綜合管理部 生技部 商務(wù)部  3.2公司信息安全管理體系組織架構(gòu)圖 總 經(jīng) 理 管理者代表 商務(wù)部 生技部 綜合管理部

14、 副管理者代表 研 發(fā) 實 施 質(zhì)管部 質(zhì)量保證 測 試 客戶服務(wù)部 銷 售 物 流 財 務(wù) 人力資源 采 購 倉 庫 培 訓(xùn) 文 檔 安全委員會 注：每個虛線框內(nèi)為一個信息安全小組，部門的負(fù)責(zé)人為安全組長,各崗位負(fù)責(zé)人為該崗位的安全員。 3．3公司IT服務(wù)管理職能關(guān)系架構(gòu)圖 3.4信息安全承諾 ◆公司成立安全管理委員會來領(lǐng)導(dǎo)信息安全工作,并確定相應(yīng)的職責(zé)和作用。 ◆制訂信息安全方針和信息安全目標(biāo)，建立和完善公司的信息安全管理體系.

15、◆提供充分的資源以保證信息安全管理體系的制定、實施、運作、監(jiān)控、維護(hù)和改善。 ◆對公司信息資產(chǎn)實行有效管理，確保信息的機密性，維持信息的完整性和可用性,防范對信息的未經(jīng)授權(quán)訪問。對公司信息資產(chǎn)進(jìn)行風(fēng)險評估，制定風(fēng)險可接受標(biāo)準(zhǔn),對公司不能接受的風(fēng)險進(jìn)行處置。 ◆建立業(yè)務(wù)持續(xù)性管理流程.進(jìn)行業(yè)務(wù)持續(xù)性風(fēng)險評估，編寫、測試并實施業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃，以保證公司關(guān)鍵業(yè)務(wù)的連續(xù)，不受重大故障和災(zāi)難的影響。 ◆確保公司所有員工都接受信息安全的教育培訓(xùn)，提高信息安全意識。 ◆保護(hù)公司、客戶、相關(guān)合作方的信息安全。 ◆建立公司信息安全組織架構(gòu),明確信息安全責(zé)任，確定報告可疑的和發(fā)生的信息安全

16、事故及事件的流程,對違反安全制度的人員進(jìn)行懲罰。 ◆建立物理安全和網(wǎng)絡(luò)安全管理制度，以確保信息的安全性。 ◆保護(hù)公司軟件和信息的完整性，防止病毒與各種惡意軟件的入侵. ◆任何人在未經(jīng)審批的情況下,禁止將信息資產(chǎn)帶離公司。 ◆公司所有員工都要嚴(yán)格遵守公司的安全方針、程序和制度。 ◆控制對內(nèi)外部網(wǎng)絡(luò)服務(wù)的訪問，保護(hù)網(wǎng)絡(luò)服務(wù)的安全性與可用性。 ◆對用戶賬號、口令和權(quán)限進(jìn)行嚴(yán)格管理，防止對信息系統(tǒng)的非授權(quán)訪問. ◆對重要信息進(jìn)行備份保護(hù)，以保證信息的可用性. ◆定期對信息安全管理體系進(jìn)行內(nèi)審和管理評審。 3。5信息安全管理委員會 為了加強對信息安全管理體系運作的管理，江蘇金馬揚名信

17、息技術(shù)有限公司公司成立信息安全管理委員會，其職責(zé)見下列明細(xì)表。 信息安全管理職責(zé)明細(xì)表 序號 單位/部門 信息安全職責(zé) 1 信息安全 管理委員會 信息安全管理委員會是我公司信息安全最高組織機構(gòu)，負(fù)責(zé)本單位網(wǎng)絡(luò)與信息安全重大事項的決策和協(xié)調(diào)，并對全公司信息安全工作負(fù)責(zé)。 2 總經(jīng)理 信息安全第一責(zé)任人,制定信息安全方針，對信息安全全面負(fù)責(zé). 3 管理者代表 經(jīng)總經(jīng)理授權(quán)負(fù)責(zé)建立、實施、檢查、改進(jìn)信息安全管理體系。 4 綜合管理部 我公司信息安全管理體系的歸口管理部門。 1. 負(fù)責(zé)管理體系的建立、實施、保持、測量和改進(jìn)。 2. 負(fù)責(zé)文件控制、記錄控制、內(nèi)部審核

18、的組織、管理評審的組織和體系的改進(jìn)。 3. 負(fù)責(zé)本公司保密工作的管理。 4. 安全區(qū)域的保衛(wèi)管理部門，負(fù)責(zé)安全區(qū)域的管理。 5. 負(fù)責(zé)全公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、意識和培訓(xùn)，員工離職管理。 6. 負(fù)責(zé)涉密信息上網(wǎng)、涉密計算機運行、檢修、報廢的監(jiān)督管理。 7. 對信息安全日常工作實施動態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容. 8. 參與涉密及司法介入的信息安全事件的調(diào)查。 5 生產(chǎn)技術(shù)部 是我公司信息系統(tǒng)安全管理部門。 負(fù)責(zé)局域網(wǎng)上所承擔(dān)的各類信息系統(tǒng)的管理職能； 負(fù)責(zé)我公司信息系統(tǒng)安全日常管理。 6 其他部門 認(rèn)真執(zhí)行信

19、息安全管理的方針、標(biāo)準(zhǔn)、安全策略和規(guī)范，做好內(nèi)部培訓(xùn)。 備注：以上職能劃分，適用所有信息安全管理體系文件。 信息安全管理委員會組成人員： 姓名 部門 職務(wù) 備注 3．6服務(wù)管理職能說明 3．6．1為保證IT服務(wù)管理體系的順利實施，以及實施后得到持續(xù)的管理和維護(hù)，在現(xiàn)有的組織架構(gòu)外建立服務(wù)管理職能關(guān)系架構(gòu)。IT服務(wù)管理職能關(guān)系架構(gòu)，并不替代現(xiàn)有的按技術(shù)類別進(jìn)行的分工,現(xiàn)有的按技術(shù)類別進(jìn)的分工，在將來的IT服務(wù)管理體系中仍將發(fā)揮其作用。服務(wù)部根據(jù)IT服務(wù)管理程序要求對所有

20、服務(wù)合同按照項目進(jìn)行管理與運行,由項目經(jīng)理按照服務(wù)管理職能關(guān)系架構(gòu)中的要求對項目執(zhí)行管理。一個完整的服務(wù)項目必須包含服務(wù)臺、事件管理、業(yè)務(wù)關(guān)系管理、信息安全管理、供應(yīng)商管理和IT財務(wù)管理。對于上圖虛線框內(nèi)的的問題管理、發(fā)布管理、配置管理、變更管理、可用性和連續(xù)性管理、容量管理、服務(wù)級別管理以及服務(wù)報告可由服務(wù)部經(jīng)理依照與用戶簽署的服務(wù)合同進(jìn)行選擇裁剪。 3．6．2 角色分配說明 3．6．2．1針對服務(wù)部當(dāng)前組織架構(gòu)及人員狀況，將不再為每一具體流程分配流程經(jīng)理。為此將13個流程，按其必要程度分成必選流程和可裁剪流程兩大模塊。由項目經(jīng)理負(fù)責(zé)相應(yīng)流程的實施、管理和控制.對項目組成員主要是組織、協(xié)

21、調(diào)、安排相應(yīng)工作任務(wù)的完成，可能并不是由自己去完成. 3．6．2．1．1 項目經(jīng)理 職責(zé)說明: 1）、負(fù)責(zé)IT服務(wù)項目的立項工作，按照服務(wù)合同要求負(fù)責(zé)相應(yīng)流程的實施、管理和控制.組織、協(xié)調(diào)、安排項目組成員完成相應(yīng)工作任務(wù)。 2）、負(fù)責(zé)從服務(wù)臺接受事件報告開始，分配相應(yīng)的職能小組進(jìn)行事件處理，直至找到問題的根本原因的整個過程的管理和協(xié)調(diào)。 3）、負(fù)責(zé)各系統(tǒng)的配置管理、變更和發(fā)布控制。 4）、負(fù)責(zé)系統(tǒng)的可用性規(guī)劃和管理、負(fù)責(zé)安排系統(tǒng)連續(xù)性的計劃和演練，并負(fù)責(zé)系統(tǒng)容量的規(guī)劃和監(jiān)控. 5)、主要負(fù)責(zé)與用戶的溝通，對供應(yīng)商的管理，以及項目的預(yù)/決算的管理。 3．6．2．1．2能力要求:

22、 熟悉服務(wù)部的各種服務(wù)管理流程，具有較強的內(nèi)部協(xié)調(diào)能力。 由管理者代表授權(quán)技術(shù)服務(wù)事業(yè)部總監(jiān)，按ISO/IEC 20000的要求，負(fù)責(zé)協(xié)調(diào)和組織所有與IT服務(wù)有關(guān)的活動，通過管理和實施各項活動，使IT服務(wù)業(yè)務(wù)的質(zhì)量得到有效的保持和維護(hù)。 技術(shù)服務(wù)事業(yè)部組織制訂、批準(zhǔn)和發(fā)布公司IT服務(wù)策略、服務(wù)目標(biāo)，并使其成為公司關(guān)注的焦點，成為公司協(xié)調(diào)、統(tǒng)一、凝聚公司的所有活動和資源的準(zhǔn)則，成為建立、實施、保持并改進(jìn)IT服務(wù)管理體系的宗旨。 3．6．3 公司 IT服務(wù)策略： 客戶至上、全員參與、創(chuàng)新高效、系統(tǒng)管理、追求卓越 公司 IT服務(wù)目標(biāo)： 公司通過服務(wù)質(zhì)量改進(jìn)程序確定年度服務(wù)質(zhì)

23、量目標(biāo) 公司的IT服務(wù)目標(biāo)按ISO/IEC 20000的要求，與公司的業(yè)務(wù)相結(jié)合，并通過流程績效不斷提高和改進(jìn)。 技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門，通過會議、評審、書面報告、培訓(xùn)等方式，及時有效溝通工作，達(dá)到IT服務(wù)管理目標(biāo)和持續(xù)改進(jìn)的需求，并在公司中積極貫徹實施IT服務(wù)管理的重要性。 技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門按照PDCA的要求,通過對所屬業(yè)務(wù)的規(guī)劃，適時優(yōu)化和提供資源以計劃、實施、監(jiān)控、評審和改進(jìn)IT服務(wù)的交付和管理。 管理者代表按照《服務(wù)質(zhì)量改進(jìn)管理程序》中的計劃間隔,由技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門實施IT服務(wù)管理體系的內(nèi)部審核，確保IT服務(wù)管體系的有效性與符合

24、性。 管理者代表按照《服務(wù)質(zhì)量改進(jìn)管理程序》中的計劃間隔,組織相關(guān)部門執(zhí)行IT服務(wù)管理體系的管理評審，確保IT服務(wù)管理體系持續(xù)的穩(wěn)定、充分和有效。 3．6．4文件要求 3．6．4．1公司的文件管理體系分為A、B、C、D四層，即A層為管理手冊、B層為程序文件、C層為工作流程或規(guī)定、D層為記錄。 3．6．4．2管理手冊 — 描述IT服務(wù)管理體系的文件,是全體員工必須長期遵循的法規(guī)性文件。 3．6．4．3程序文件 — 覆蓋公司主要業(yè)務(wù)過程的流程文件，是管理手冊的支撐性文件. 3．6．4．4工作流程或規(guī)定— 是開展具體業(yè)務(wù)工作的規(guī)范類、指導(dǎo)性文件，是程序文件的支持性文件。 3．6．4．5

25、記錄 — 在開展具體業(yè)務(wù)工作過程中產(chǎn)生的記錄類文件，主要是為具體工作結(jié)果提供各種可追溯性證據(jù). 3．6．4．6技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織制訂《文件和記錄管理程序》，明確文件的擬制、批準(zhǔn)、發(fā)放、變更、存檔等管理要求,并監(jiān)控實施。 3．6．4．7技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門,根據(jù)公司的業(yè)務(wù)特點及標(biāo)準(zhǔn)的要求，制訂相關(guān)的程序文件,經(jīng)公司管理者代表批準(zhǔn)后實施. 3．6．4．8技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織擬制與本部門業(yè)務(wù)相關(guān)的各類C層文件,并按《文件和記錄管理程序》的要求對文件和記錄的有效性進(jìn)行管理。 4信息安全管 4.1總要求 4。1.1 公司根據(jù)整體業(yè)務(wù)活動（軟件開發(fā)、經(jīng)營、服務(wù)和日常管理活動）和

26、所面臨的風(fēng)險，按ISO/IEC 27001:2005《信息技術(shù)—安全技術(shù)-信息安全管理體系—要求》規(guī)定，參照ISO/IEC 27002：2005《信息技術(shù)-安全技術(shù)—信息安全管理實用規(guī)則》標(biāo)準(zhǔn)，建立、實施、運作、監(jiān)控、維護(hù)并改進(jìn)文件化的信息安全管理體系。 4。1。2本手冊使用的過程基于PDCA模式. 相關(guān)文件： 《信息安全方針及目標(biāo)》 4.2建立和管理信息安全管理體系（ISMS) 4.2.1建立ISMS 4。2.1。1 信息安全管理體系的范圍和邊界 本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界,本公司信息安全管理體系的范圍包括： a) 本公司涉及軟件開

27、發(fā)、營銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng); b） 與所述信息系統(tǒng)有關(guān)的活動； c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工； d） 所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。 組織范圍: 本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見本手冊JIN/QM—3。2《公司信息安全管理體系組織架構(gòu)》。 物理范圍： 本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。 本公司ISMS的物理范圍為本公司位于常州市常州市鸝欣麗都2幢乙單元503室的辦公場所，安全邊界詳見附錄A（規(guī)范性附錄）《辦公場所平面圖》。 4.2.1

28、.2 信息安全管理體系的方針 為了滿足適用法律法規(guī)及相關(guān)方要求，維持軟件開發(fā)和經(jīng)營的正常進(jìn)行,實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針，見本信息安全管理手冊第0.3條款. 該信息安全方針符合以下要求： a) 為信息安全目標(biāo)建立了框架,并為信息安全活動建立整體的方向和原則； b） 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)； c) 與組織戰(zhàn)略和風(fēng)險管理相一致的環(huán)境下，建立和保持信息安全管理體系； d） 建立了風(fēng)險評價的準(zhǔn)則; e） 經(jīng)最高管理者批準(zhǔn)。 為實現(xiàn)信息安全管理體系方針,本公司承諾： a） 在各層次建

29、立完整的信息安全管理組織機構(gòu)，確定信息安全目標(biāo)和控制措施;明確信息安全的管理職責(zé)，見本信息安全管理手冊第3。4條款.； b） 識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求； c) 定期進(jìn)行信息安全風(fēng)險評估，信息安全管理體系評審,采取糾正預(yù)防措施，保證體系的持續(xù)有效性； d)采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護(hù)各類信息，實現(xiàn)信息共享； e） 對全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強員工的信息安全意識和能力; f) 制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。 4.2。1。3 風(fēng)險評估的方法 生技部負(fù)責(zé)制定《信息安全風(fēng)險管理程序》，建立識別適用于信息安全管理

30、體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險評估方法，建立接受風(fēng)險的準(zhǔn)則并識別風(fēng)險的可接受等級。信息安全風(fēng)險評估采用信息安全風(fēng)險管理軟件 （Info—riskmanager)進(jìn)行，以保證所選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果. 4.2。1。4 識別風(fēng)險 在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風(fēng)險管理程序》,采用Info-riskmanager風(fēng)險管理軟件,對所有的資產(chǎn)進(jìn)行了識別，并識別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值

31、，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了《重要資產(chǎn)清單》。 同時，根據(jù)《信息安全風(fēng)險管理程序》，識別了對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。 4.2.1。5 分析和評價風(fēng)險 本公司按《信息安全風(fēng)險管理程序》，采用信息安全風(fēng)險管理軟件,分析和評價風(fēng)險: a） 針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值； b） 針對每一項威脅、薄弱點，對資產(chǎn)造成的影響,考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值； c) 根據(jù)《信息安全風(fēng)險管理程序》計算風(fēng)險等級； d） 根據(jù)

32、《信息安全風(fēng)險管理程序》及風(fēng)險接受準(zhǔn)則，判斷風(fēng)險為可接受或需要處理。 4。2.1.6 識別和評價風(fēng)險處理的選擇 網(wǎng)絡(luò)管理部組織有關(guān)部門根據(jù)風(fēng)險評估的結(jié)果，形成《風(fēng)險處理計劃》，該計劃明確了風(fēng)險處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時間。 對于信息安全風(fēng)險，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當(dāng)?shù)拇胧? a) 控制風(fēng)險，采用適當(dāng)?shù)膬?nèi)部控制措施； b） 接受風(fēng)險（不可能將所有風(fēng)險降低為零）； c） 避免風(fēng)險（如物理隔離); d) 轉(zhuǎn)移風(fēng)險（如將風(fēng)險轉(zhuǎn)移給保險者、供方、分包商）. 4.2.1.7選擇控制目標(biāo)與控制措施 網(wǎng)絡(luò)管理部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險評估的結(jié)

33、果,組織有關(guān)部門制定了信息安全目標(biāo),并將目標(biāo)分解到有關(guān)部門（見《信息安全適用性聲明》): a）信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。 b)控制目標(biāo)及控制措施的選擇原則來源于ISO/IEC 27001：2005《信息技術(shù)-安全技術(shù)—信息安全管理體系—要求》附錄A，具體控制措施參考ISO/IEC 27002：2005《信息技術(shù)—安全技術(shù)—信息安全管理實用規(guī)則》. c)本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施. 4.2.1。8 對風(fēng)險處理后的剩余風(fēng)險,得到了公司最高管理者的批準(zhǔn)。 4.2.1。9 最高管理者通過本手冊對實施和運行信息安全管理體系進(jìn)行了授權(quán).

34、4。2.1.10 適用性聲明 生技部負(fù)責(zé)編制《信息安全適用性聲明》(SoA)。該聲明包括以下方面的內(nèi)容： a)所選擇控制目標(biāo)與控制措施的概要描述,以及選擇的原因; b)對ISO/IEC 27001:2005附錄A中未選用的控制目標(biāo)及控制措施理由的說明。 4.2.2實施和運行ISMS 4。2.2.1為確保信息安全管理體系有效實施，對已識別的風(fēng)險進(jìn)行有效處理，本公司開展以下活動： a)形成《風(fēng)險處理計劃》，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級； b)為實現(xiàn)已確定的安全目標(biāo)、實施《風(fēng)險處理計劃》,明確各崗位的信息安全職責(zé)； c)實施所選擇的控制措施，以實現(xiàn)控制目標(biāo)的要求

35、; d)確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果； e）進(jìn)行信息安全培訓(xùn),提高全員信息安全意識和能力; f)對信息安全體系的運作進(jìn)行管理； g)對信息安全所需資源進(jìn)行管理; h）實施控制程序，對信息安全事件（或征兆）進(jìn)行迅速反應(yīng)。 4.2.2。2 信息安全組織機構(gòu) 本公司成立了的信息安全領(lǐng)導(dǎo)機構(gòu)-信息安全委員會,其職責(zé)是實現(xiàn)信息安全管理體系方針和本公司承諾。具體職責(zé)是:研究決定貫標(biāo)工作涉及到的重大事項；審定公司信息安全方針、目標(biāo)、工作計劃和重要文件;為貫標(biāo)工作的有序推進(jìn)和信息安全管理體系的有效運行提供必要的資源.

36、 本公司由相關(guān)部門代表組成信息安全管理網(wǎng)絡(luò),采用聯(lián)席會議(協(xié)調(diào)會）的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以： a） 確保安全活動的執(zhí)行符合信息安全方針； b) 確定怎樣處理不符合; c） 批準(zhǔn)信息安全的方法和過程,如風(fēng)險評估、信息分類; d） 識別重大的威脅變化,以及信息和相關(guān)的信息處理設(shè)施對威脅的暴露； e) 評估信息安全控制措施實施的充分性和協(xié)調(diào)性; f) 有效的推動組織內(nèi)信息安全教育、培訓(xùn)和意識； g) 評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安全事件推薦適當(dāng)?shù)拇胧? 4.2。2。3信息安全職責(zé)和權(quán)限 本公司總經(jīng)理為信息安全最高責(zé)任者.總經(jīng)理指定了信息安

37、全管理者代表。無論信息安全管理者代表在其他方面的職責(zé)如何,對信息安全負(fù)有以下職責(zé)： a） 建立并實施信息安全管理體系必要的程序并維持其有效運行; b） 對信息安全管理體系的運行情況和必要的改善措施向信息安全領(lǐng)導(dǎo)小組或最高責(zé)任者報告. 各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者,全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù); 各部門、人員有關(guān)信息安全職責(zé)分配見本信息安全管理手冊第3。4條款《信息安全管理職責(zé)明細(xì)表》和相應(yīng)的程序文件。 4.2。2.4 各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全目標(biāo)、控制措施（包括安全運行的各種控制程序)的要求實施信息安全控制措施。 4.2。3監(jiān)

38、控和評審ISMS 4。2.3.1本公司通過實施不定期安全檢查、內(nèi)部審核、事故（事件）報告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)： a)及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故(事件)和隱患； b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊； c)使管理者確認(rèn)人工或自動執(zhí)行的安全活動達(dá)到預(yù)期的結(jié)果; d)使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效; e）積累信息安全方面的經(jīng)驗; 4。2。3.2根據(jù)以上活動的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對信息安全管理體系的有效性進(jìn)行評審，其中包括信息安全

39、范圍、方針、目標(biāo)的符合性及控制措施有效性的評審,考慮安全審核、事件、有效性測量的結(jié)果,以及所有相關(guān)方的建議和反饋。管理評審的具體要求,見本手冊第7章。 4。2。3。3 網(wǎng)絡(luò)管理部應(yīng)組織有關(guān)部門按照《信息安全風(fēng)險管理程序》的要求，采用信息安全風(fēng)險管理軟件,對風(fēng)險處理后的殘余風(fēng)險進(jìn)行定期評審，以驗證殘余風(fēng)險是否達(dá)到可接受的水平，對以下方面變更情況應(yīng)及時進(jìn)行風(fēng)險評估： a） 組織； b) 技術(shù)； c） 業(yè)務(wù)目標(biāo)和過程； d) 已識別的威脅； e) 實施控制的有效性； f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會環(huán)境的變化. 4.2。3.4按照計劃的時間間隔進(jìn)

40、行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求,見本手冊第6章。 4.2。3。5定期對信息安全管理體系進(jìn)行管理評審，以確保范圍的充分性,并識別信息安全管理體系過程的改進(jìn)，管理評審的具體要求，見本手冊第7章。 4。2。3.6考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃。 4。2.3。7記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情. 4。2.4保持與持續(xù)改進(jìn)ISMS 我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進(jìn)： a) 實施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進(jìn)的項目； b） 按照《內(nèi)部審核管理程序》、《糾正措施管理程序》、《預(yù)防措施管理程序》的要求采取適當(dāng)

41、的糾正和預(yù)防措施；吸取其他組織及本公司安全事故（事件)的經(jīng)驗教訓(xùn)，不斷改進(jìn)安全措施的有效性； c） 通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全的要求等； d） 對信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果。 相關(guān)文件： 《系統(tǒng)風(fēng)險評估方法》 《適用性聲明》 《管理評審程序》 《內(nèi)部審核控制程序》 《糾正措施控制程序》 《預(yù)防措施控制程序》 4.3文件要求 4.3.1總則 ISMS文件應(yīng)包括: a) 形成文件的ISMS方針和控制目標(biāo)； b

42、) ISMS范圍 c) ISMS的支持性程序和控制措施; d） 風(fēng)險評估方法的描述； e) 風(fēng)險評估報告； f） 風(fēng)險處置計劃； g） 公司為確保其信息安全過程的有效策劃、運行和控制以及規(guī)定如何測量控制措施有效性所需的程序文件； h) 標(biāo)準(zhǔn)所要求的記錄； i） 適用性聲明。 所有文件應(yīng)按ISMS方針要求在需要時可獲得。 4。3.2文件控制 ISMS所要求的文件應(yīng)予以保護(hù)和控制，應(yīng)編制形成文件的程序以規(guī)定以下方面所需的管理措施： a) 文件發(fā)布前得到批準(zhǔn)以確保文件是充分的; b） 必要時對文件進(jìn)行評審與更新并再次批準(zhǔn); c) 確保文件的更改和現(xiàn)行修

43、訂狀態(tài)得到識別； d） 確保在使用處可獲得適用文件的適用版本； e) 確保文件保持合法并易于識別； f） 確保外來文件得到識別； g) 確保文件的分發(fā)是受控的; h） 防止作廢文件的非預(yù)期使用; i) 若因任何原因而保留作廢文件時對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識； 4。3.3記錄控制 應(yīng)建立并保持記錄，以提供符合要求和ISMS有效運行的證據(jù).記錄應(yīng)得到保護(hù)并且受控。ISMS應(yīng)考慮相關(guān)法律要求，記錄應(yīng)易于識別和檢索。應(yīng)編制形成文件的程序，以規(guī)定記錄的識別、貯存、保護(hù)、檢索、保存期限和處置所需的控制，確定記錄需要和程度的管理過程。 保持過程業(yè)績的記錄以及與ISMS有關(guān)的

44、安全事件的記錄。例如,記錄包括訪問者登記審核記錄和訪問授權(quán)。 相關(guān)文件： 《文件控制程序》 《記錄控制程序》 5 管理職責(zé) 5。1管理承諾 管理層應(yīng)通過以下措施對其建立、實施、運行、監(jiān)控、評審、維護(hù)和改進(jìn)ISMS的承諾提供證據(jù)。 a） 建立信息安全方針； b） 確保信息安全目標(biāo)和計劃的建立； c) 為信息安全分配角色和職責(zé)； d） 向公司傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、法律責(zé)任和持續(xù)改進(jìn)的重要性; e) 提供足夠的資源以建立、實施、運行、監(jiān)控、評審、維護(hù)和改進(jìn)ISMS； f） 決定可接受風(fēng)險的標(biāo)準(zhǔn)和可接受風(fēng)險的等級； g） 確保ISMS內(nèi)部

45、審核的執(zhí)行； h） 進(jìn)行ISMS管理評審. 相關(guān)文件： 《信息安全方針和目標(biāo)》 《部門職責(zé)》 《管理評審程序》 《系統(tǒng)風(fēng)險評估方法》 5.2 資源管理 5。2。1資源提供 公司應(yīng)確定和提供以下方面所需的資源 a） 建立建立、實施、運行、監(jiān)控、維護(hù)和改進(jìn)ISMS b） 確保信息安全程序支持業(yè)務(wù)需求; c） 識別并確定法律法規(guī)要求和合同安全責(zé)任; d） 通過正確應(yīng)用所有實施的控制措施的來維持足夠的安全; e） 必要時進(jìn)行評估，并對評估結(jié)果采取適當(dāng)?shù)膶?yīng)措施； f） 必要時改進(jìn)ISMS的有效性。 5。2.2培訓(xùn)、意識和能力 公司應(yīng)確保在IS

46、MS中任命職責(zé)的人員應(yīng)能夠勝任要求的任務(wù) a） 確定從事影響信息安全工作的人員所必需的能力; b） 提供足夠的能力培訓(xùn)或其它措施,必要時聘用有能力的人員滿足這些要求； c） 評估所提供的培訓(xùn)和采取措施的有效性； d） 保持教育、培訓(xùn)、技能、經(jīng)驗和資質(zhì)的適當(dāng)記錄。 公司應(yīng)確保員工認(rèn)識到所從事信息安全活動的相關(guān)性和重要性，以及如何為實現(xiàn)ISMS目標(biāo)作出貢獻(xiàn)。 相關(guān)文件: 《人力資源管理控制程序》 6 ISMS內(nèi)部審核 公司應(yīng)按計劃的時間間隔進(jìn)行ISMS內(nèi)部審核，以確定控制目標(biāo)、控制措施、過程和程序是否: a） 符合標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求； b） 符合確定的信

47、息安全要求; c) 得到有效地實施和維護(hù)； d） 按期望運行。 內(nèi)部審核程序應(yīng)進(jìn)行計劃，并考慮受審核過程的狀況、重要性和受審核的區(qū)域以及上次審核結(jié)果，應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方式，審核員的選擇和審核活動應(yīng)保證審核過程的客觀和公正，審核員不能審核自己的工作。 應(yīng)建立形成文件的程序，以規(guī)定策劃和實施審核的職責(zé)和要求以及報告結(jié)果和保持記錄。 受審核區(qū)域的負(fù)責(zé)人應(yīng)確保立即采取措施，以消除發(fā)現(xiàn)的不符合及其原因。改進(jìn)措施包括所采取措施的驗證并匯報驗證結(jié)果。 相關(guān)文件： 《內(nèi)部審核控制程序》 7 ISMS管理評審 7.1總則 管理者應(yīng)按策劃的時間間隔評審公司的ISMS（至

48、少一年一次），以確保其持續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評價ISMS改進(jìn)的機會和變更的需要,包括安全方針和安全目標(biāo)的適宜性.評審結(jié)果應(yīng)清楚地寫入文件應(yīng)保持記錄. 7.2管理評審輸入 管理評審的輸入應(yīng)包括以下方面的信息： a) ISMS審核(包括內(nèi)審和外審）和管理評審的結(jié)果； b) 相關(guān)方(客戶、供應(yīng)商、內(nèi)部員工等）的反饋； c) 公司用于改進(jìn)ISMS業(yè)績和有效性的技術(shù)、產(chǎn)品或程序的發(fā)展及變化； d) 預(yù)防和糾正措施的實施情況； e） 上次風(fēng)險評估未充分指出的弱點或威脅; f) 體系有效性測量的結(jié)果; g) 上次管理評審所采取措施的跟蹤驗證； h)

49、影響ISMS的變更，如信息安全組織架構(gòu)變化等； i) 改進(jìn)的建議。 7.3管理評審輸出 管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施 a） ISMS有效性的改進(jìn) b) 風(fēng)險評估和風(fēng)險處理計劃的更新 c） 必要時修訂影響信息安全的程序和控制措施，以反映可能影響ISMS的內(nèi)外事件,包括以下變化 1 業(yè)務(wù)需求； 2 安全需求； 3 影響已有業(yè)務(wù)需求的業(yè)務(wù)過程； 4 法律法規(guī)環(huán)境； 5 合同義務(wù)； 6 風(fēng)險和/或風(fēng)險接受準(zhǔn)則。 d） 資源需求 e）針對被測量的控制措施有效性的改進(jìn) 相關(guān)文件: 《管理評審程序》 8 ISMS的改進(jìn) 8.1

50、持續(xù)改進(jìn) 公司應(yīng)通過應(yīng)用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施和管理評審，持續(xù)改進(jìn)ISMS的有效性. 8.2糾正措施 公司應(yīng)采取措施消除ISMS實施和運行的不符合原因，以防止其再發(fā)生.糾正措施文件程序應(yīng)規(guī)定以下方面的要求. a） 識別ISMS實施和運行的不符合項; b) 確定不符合的原因； c) 評價確保不符合不再發(fā)生所需的措施； d) 決定和實施所需的糾正措施； e) 記錄所采取措施的結(jié)果； f) 評審所采取的糾正措施。 8.3預(yù)防措施 公司應(yīng)決定措施以防范未來的不符合，防止發(fā)生采取的預(yù)防措施應(yīng)與潛在問題的影響相匹配,預(yù)防

51、措施文件程序應(yīng)規(guī)定以下方面的要求。 a） 確定潛在不符合及其原因； b） 評價預(yù)防不符合發(fā)生所需的措施; c) 決定實施所需的預(yù)防措施; d) 記錄所采取措施的結(jié)果； e） 評審所采取的預(yù)防措施. 公司應(yīng)識別發(fā)生變化的風(fēng)險，并通過關(guān)注變化顯著的風(fēng)險來識別預(yù)防措施要求。應(yīng)根據(jù)風(fēng)險評估結(jié)果來確定預(yù)防措施的優(yōu)先級。 相關(guān)文件： 《糾正措施控制程序》 《預(yù)防措施控制程序》 IT服務(wù)管理 服務(wù)管理規(guī)劃和實施 在開展IT服務(wù)管理的活動中，PDCA原理貫穿于IT服務(wù)管理體系的全部流程，其中: P（計劃） - 根據(jù)客戶要求和公司策略建立目標(biāo)和流程。 D（實施） - 實施流

52、程。 C（檢查） — 根據(jù)策略、目標(biāo)和要求對過程和服務(wù)進(jìn)行監(jiān)控、測量,并報告結(jié)果. A（改進(jìn)) — 采取措施以持續(xù)改進(jìn)流程的性能。 計劃服務(wù)管理 服務(wù)部向客戶提供三大服務(wù)項目：常駐現(xiàn)場技術(shù)服務(wù)、定期巡檢技術(shù)服務(wù)、咨詢規(guī)劃設(shè)計服務(wù)。甘肅萬維公司為不斷滿足市場需求和企業(yè)自身發(fā)展需要，將在未來將原有的三大技術(shù)服務(wù)內(nèi)容重新規(guī)劃和設(shè)計,細(xì)化成六大服務(wù)內(nèi)容：基礎(chǔ)設(shè)施服務(wù)、運維服務(wù)、專業(yè)技術(shù)服務(wù)、IT安全服務(wù)、咨詢設(shè)計評估服務(wù)、培訓(xùn)服務(wù).從而實現(xiàn)在堅持原有行業(yè)內(nèi)的服務(wù)的基礎(chǔ)上向行業(yè)外擴展的計劃。 服務(wù)部根據(jù)公司IT服務(wù)管理職能關(guān)系架構(gòu)圖中的所分配的職責(zé)并依據(jù)條款4—9中所規(guī)定的服務(wù)管理

53、過程向客戶提供IT服務(wù)。 相關(guān)部門根據(jù)管理評審的結(jié)果及結(jié)論，結(jié)合本部門的工作實際，由技術(shù)服務(wù)事業(yè)部組織相關(guān)部門對當(dāng)前與本部門相關(guān)的IT服務(wù)工作的改進(jìn)需求、以及公司業(yè)務(wù)發(fā)展策略、技術(shù)動態(tài)、政策法規(guī)要求、下一年度IT服務(wù)工作的安排進(jìn)行規(guī)劃，制訂本部門的年度工作計劃，并按公司內(nèi)控制度制訂對應(yīng)的部門年度費用預(yù)算。 實施IT服務(wù) 技術(shù)服務(wù)事業(yè)部組織相關(guān)部門按批準(zhǔn)后的公司年度計劃，對計劃周期內(nèi)的工作任務(wù)、目標(biāo)、績效要求進(jìn)行分解，組織各部門制訂各自的年度工作計劃和費用預(yù)算,并進(jìn)行跟蹤、檢查。 相關(guān)部門年度工作計劃、年度費用預(yù)算應(yīng)與已批準(zhǔn)的本部門年度工作計劃、預(yù)算一致，如有變更,引起預(yù)算的變化，應(yīng)

54、上報技術(shù)服務(wù)事業(yè)部按照相關(guān)流程審批、執(zhí)行。 技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織IT服務(wù)項目的立項工作，并按照項目管理規(guī)定對項目計劃周期內(nèi)的工作任務(wù)、目標(biāo)、績效要求進(jìn)行分解,制訂項目實施計劃和費用預(yù)算,并進(jìn)行跟蹤、檢查。 監(jiān)視、測量和評審 服務(wù)部負(fù)責(zé)收集、匯總、整理IT服務(wù)項目的日常服務(wù)數(shù)據(jù). 服務(wù)部經(jīng)理負(fù)責(zé)組織IT服務(wù)項目,按各項目階段性工作計劃、費用預(yù)算的內(nèi)容，以及IT服務(wù)管理的要求，收集與IT服務(wù)相關(guān)的信息，監(jiān)控、測量和評審與本業(yè)務(wù)相關(guān)的服務(wù)規(guī)劃要求、已有的SLA符合要求的程度.IT服務(wù)項目在運行中，應(yīng)監(jiān)控、測量和評審的內(nèi)容為： 既定的IT服務(wù)目標(biāo)的達(dá)成程度。 客戶滿意度。 資源利用.

55、 服務(wù)實施的趨勢。 嚴(yán)重不符合。 技術(shù)服務(wù)事業(yè)部按照《服務(wù)質(zhì)量改進(jìn)管理程序》的要求，組織IT服務(wù)管理體系的管理評審活動,以確保IT服務(wù)要求得到有效的實施和維護(hù)。 持續(xù)改進(jìn) 服務(wù)部每年至少進(jìn)行一次服務(wù)管理體系的有效性評估，評估通過內(nèi)部審核的方式進(jìn)行. 在評估中發(fā)現(xiàn)的任何不符合標(biāo)準(zhǔn)的活動都應(yīng)該采取糾正措施予以改進(jìn),對于發(fā)現(xiàn)的潛在問題應(yīng)該予以控制。 服務(wù)部在內(nèi)部審核后，應(yīng)進(jìn)行管理評審,管理評審的內(nèi)容包括：各流程的執(zhí)行狀況報告，存在問題及改進(jìn)建議，內(nèi)部審核結(jié)果,相關(guān)方的反饋以及其他可能影響體系運行的要素. 服務(wù)部按管理評審的要求,確定服務(wù)改進(jìn)的測量、報告和溝通流程和內(nèi)容.監(jiān)控IT服務(wù)運行

56、中出現(xiàn)的不符合項,組織相關(guān)部門實施、驗證改進(jìn)活動。任何不符合ISO/IEC 20000—1:2005標(biāo)準(zhǔn)的活動都應(yīng)被糾正。 對于內(nèi)部審核、管理評審或其他活動中所發(fā)現(xiàn)的不符合項或潛在不符合項，應(yīng)按照《服務(wù)質(zhì)量改進(jìn)管理程序》要求進(jìn)行及時糾正。 新服務(wù)或變更服務(wù)的策劃與實施 制訂新服務(wù)或變更服務(wù)計劃 銷售部門負(fù)責(zé)與客戶溝通，服務(wù)部配合，收集客戶對現(xiàn)有SLA的滿意度水平。分析、整理客戶新的或變更服務(wù)的要求，及時反饋客戶的改進(jìn)需求。 當(dāng)出現(xiàn)新服務(wù)或變更服務(wù)時，服務(wù)部根據(jù)《服務(wù)策劃管理程序》的要求，組織實施IT服務(wù)策劃和實施工作。 服務(wù)部組織對新服務(wù)或變更服務(wù)策劃結(jié)果的驗證、確認(rèn)，驗證通過后按

57、《服務(wù)策劃管理程序》實施。 服務(wù)部應(yīng)報告新服務(wù)或變更服務(wù)按計劃實施所達(dá)到的結(jié)果,服務(wù)部按《發(fā)布管理程序》，執(zhí)行實施發(fā)布評審，比較實際結(jié)果與期望結(jié)果的一致性。 服務(wù)交付過程 服務(wù)級別管理 服務(wù)部負(fù)責(zé)與相關(guān)部門溝通，制訂公司的《服務(wù)目錄》。服務(wù)目錄應(yīng)定義所有服務(wù)，并包含服務(wù)名稱、服務(wù)目標(biāo)或標(biāo)準(zhǔn)、聯(lián)系接口、服務(wù)提供時間和例外、安全方面的考慮和安排。 《服務(wù)目錄》是公司所提供的服務(wù)內(nèi)容的匯總，公司與客戶簽署SLA時應(yīng)參考《服務(wù)目錄》。 公司應(yīng)該根據(jù)當(dāng)前的服務(wù)能力對《服務(wù)目錄》進(jìn)行更新與維護(hù)。 根據(jù)公司的戰(zhàn)略規(guī)劃、資源要求及客戶需求，服務(wù)部在與銷售部門和其他相關(guān)部門溝通、確定SLA時,應(yīng)考

58、慮：可接受持續(xù)損失服務(wù)的最大周期、可接受降級服務(wù)的最大周期，服務(wù)恢復(fù)時，可接受降級服務(wù)級別。 銷售部門代表客戶，與服務(wù)部簽訂《服務(wù)級別協(xié)議》。應(yīng)明確：服務(wù)要求和期望服務(wù)工作量特征的協(xié)議、服務(wù)目標(biāo)協(xié)議、服務(wù)級別實現(xiàn)、工作量的測量和報告，以及服務(wù)目標(biāo)不能完成的分析與說明。 《服務(wù)級別協(xié)議》包含以下內(nèi)容:服務(wù)的簡述、術(shù)語表、客戶職責(zé)、服務(wù)部門職責(zé)和義務(wù)、服務(wù)目標(biāo)、服務(wù)時間、工作量限制（最大及最小工作量），支持和相關(guān)服務(wù)、影響和優(yōu)先級描述、授權(quán)細(xì)節(jié)，及授權(quán)人員聯(lián)系信息、有效期或SLA變更控制機制（包含升級和通知流程）、服務(wù)中斷采取的糾正措施,計劃和協(xié)調(diào)中斷,包括通知事件及頻率、溝通的簡述，包括報告

59、、投訴程序、在SLA中規(guī)定條款的例外情況. 商務(wù)部應(yīng)依據(jù)與客戶簽訂的SLA以及《供應(yīng)商管理程序》的要求,組織簽署與供應(yīng)商之間的支持合同（或協(xié)議)。 當(dāng)出現(xiàn)重要業(yè)務(wù)變更時,銷售部門應(yīng)及時與技術(shù)服務(wù)事業(yè)部溝通,按原流程重新組織相關(guān)部門，調(diào)整、修訂《服務(wù)級別協(xié)議》,并作為服務(wù)改進(jìn)計劃的輸入. 服務(wù)報告 服務(wù)部應(yīng)就向客戶提交的服務(wù)報告的內(nèi)容、報告周期與客戶協(xié)商并達(dá)成一致。 服務(wù)部擬制內(nèi)部服務(wù)報告,對計劃間隔內(nèi)的客戶服務(wù)狀況、問題趨勢、服務(wù)數(shù)據(jù)、SLA目標(biāo)實現(xiàn)等進(jìn)行匯總、統(tǒng)計和分析,組織召開月度服務(wù)質(zhì)量分析會議，形成會議紀(jì)要后發(fā)放. 服務(wù)報告主要包括的內(nèi)容：執(zhí)行服務(wù)級別目標(biāo)的績效，違反SL

60、A、安全管理要求等的不符合項和結(jié)論、工作量特征,如，數(shù)量、資源利用、報告主要事件、變更、定期趨勢信息、客戶滿意度分析。 當(dāng)出現(xiàn)有關(guān)IT服務(wù)系統(tǒng)配置項的變更時，服務(wù)部應(yīng)按《變更管理程序》的要求執(zhí)行。 服務(wù)報告應(yīng)及時、清晰、可靠和簡明，便于分析、決策和有效溝通。 可用性和IT服務(wù)持續(xù)性管理 服務(wù)部應(yīng)按照《可用性與IT服務(wù)持續(xù)性管理程序》的要求，擬制《可用性與IT服務(wù)持續(xù)性計劃》，根據(jù)客戶業(yè)務(wù)優(yōu)先級、服務(wù)級別協(xié)議和評估的風(fēng)險，按設(shè)計的工作量計劃維護(hù)有效的服務(wù)能力，并與《服務(wù)級別協(xié)議》的目標(biāo)保持一致。應(yīng)考慮： IT服務(wù)持續(xù)性計劃考慮對服務(wù)和系統(tǒng)組成的關(guān)系。 應(yīng)清晰的分配調(diào)用IT服務(wù)持續(xù)性計

61、劃的責(zé)任，并清晰的計劃對每個目標(biāo)采取措施的責(zé)任。 備份服務(wù)恢復(fù)所需的數(shù)據(jù)、文件、軟件、任何設(shè)備和必要員工，在重大服務(wù)失敗或災(zāi)難時，保持快速有效. 在遠(yuǎn)程的安全地點,所有IT服務(wù)持續(xù)性文件應(yīng)存儲和維護(hù)至少一份，與其他必要的設(shè)備保存在一起. 定期開展IT服務(wù)持續(xù)性計劃的測試. 使員工理解調(diào)用、執(zhí)行計劃的角色與職責(zé)，并能訪問IT服務(wù)持續(xù)性文件。 服務(wù)部每年末組織對《可用性與IT服務(wù)持續(xù)性計劃》進(jìn)行評審，并根據(jù)業(yè)務(wù)需求的變化及時調(diào)整計劃的內(nèi)容和目標(biāo)，確保從普通到重大服務(wù)失效的任何環(huán)境下都能滿足與客戶協(xié)商的要求。 當(dāng)業(yè)務(wù)環(huán)境發(fā)生重大變化時，服務(wù)部應(yīng)重新組織評審、修訂《可用性與IT服務(wù)持續(xù)性計

62、劃》。并通過能力管理和配置管理活動，評價所有服務(wù)組成的有效性,預(yù)知可能的、潛在的問題，并采取預(yù)防措施。 對《可用性與IT服務(wù)持續(xù)性計劃》中內(nèi)容和目標(biāo)的變更，服務(wù)部應(yīng)及時組織相關(guān)部門按《變更管理程序》的要求進(jìn)行評估、驗證和確認(rèn)，確保變更的效果及滿足SLA的要求。 服務(wù)部應(yīng)定期對可用性信息進(jìn)行測量和記錄，未計劃的不可用應(yīng)被調(diào)查、評估，并采取適當(dāng)?shù)募m正或預(yù)防措施?？捎眯曰顒影? 監(jiān)控和記錄服務(wù)的可用性. 服務(wù)準(zhǔn)確的歷史數(shù)據(jù)。 與SLA中定義需求相比較，以識別不符合SLA有效目標(biāo)的事項。 記錄不符合項，并組織評審. 考慮、評估供應(yīng)商的影響。 預(yù)計未來的可用性。 IT服務(wù)的預(yù)算及財務(wù)

63、管理 技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)國家的有關(guān)法律法規(guī)和財務(wù)政策，及《IT財務(wù)管理程序》的要求，根據(jù)公司的業(yè)務(wù)策略（包括產(chǎn)品策略、銷售策略、服務(wù)策略等）,組織擬制、審核本部門的總體性和階段性的IT服務(wù)費用預(yù)算及成本標(biāo)準(zhǔn)。 技術(shù)服務(wù)事業(yè)部根據(jù)公司業(yè)務(wù)發(fā)展戰(zhàn)略、公司現(xiàn)有的SLA要求，及本部門業(yè)務(wù)的特點,按部門工作計劃的內(nèi)容，組織擬制本部門階段性的費用預(yù)算計劃，經(jīng)財務(wù)部匯總、報批后實施。 在預(yù)算期間出現(xiàn)的服務(wù)變更引起的預(yù)算變化,相關(guān)部門應(yīng)按《IT財務(wù)管理程序》的要求執(zhí)行預(yù)算變更申請. 在對《服務(wù)級別協(xié)議》進(jìn)行評審時，服務(wù)部應(yīng)根據(jù)公司策略，評估實現(xiàn)服務(wù)目標(biāo)和需求的成本，并根據(jù)確定的服務(wù)級別協(xié)議跟蹤成本的

64、變化。 服務(wù)部應(yīng)在服務(wù)變更時，計算服務(wù)變更成本，并通過《變更管理程序》進(jìn)行批準(zhǔn)。 服務(wù)部應(yīng)根據(jù)預(yù)算編制跟蹤財務(wù)變化，并對超出預(yù)算要求的變化，提前向技術(shù)服務(wù)事業(yè)部提出預(yù)警信號。 容量管理 技術(shù)服務(wù)事業(yè)部負(fù)責(zé)現(xiàn)有IT服務(wù)系統(tǒng)容量水平的規(guī)劃，根據(jù)《容量管理程序》的要求，制訂《容量管理計劃》，應(yīng)在計劃中描述業(yè)務(wù)需求,包括： 當(dāng)前和預(yù)計的容量和性能需求。 針對服務(wù)升級所定義的時間表、閾值和成本. 評估預(yù)期的服務(wù)升級、變更請求、新技術(shù)和技術(shù)能力的效果. 預(yù)計外部變更的影響,如法律影響等。 對數(shù)據(jù)和流程進(jìn)行預(yù)先分析。 定義監(jiān)控服務(wù)容量、調(diào)整服務(wù)性能和提供充分容量的方法、程序和技術(shù)。 為

65、達(dá)到SLA所要求的服務(wù)級別目標(biāo)和業(yè)務(wù)需求所應(yīng)具備的資金條件. 服務(wù)部協(xié)助收集、統(tǒng)計當(dāng)前IT基礎(chǔ)設(shè)施的實際性能和預(yù)期要求的運行信息，以支持服務(wù)業(yè)務(wù)的開展。 技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)服務(wù)特點、服務(wù)量、服務(wù)報告和客戶業(yè)務(wù)等信息，組織對《容量管理計劃》進(jìn)行評審，并保留評審相關(guān)的紀(jì)錄。 當(dāng)出現(xiàn)臨時的新增或變更服務(wù)時，技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)《容量管理程序》的要求,及時對《容量管理計劃》的相關(guān)內(nèi)容進(jìn)行評估和更新。 1 關(guān)系過程 總則 供應(yīng)商和客戶的關(guān)系管理可采用正式合同形式約束。 銷售部門按《業(yè)務(wù)關(guān)系管理程序》的要求明確定義供應(yīng)商和客戶的角色、范圍和職能,通過合同、溝通、培訓(xùn)等方式確保實施和參與服

66、務(wù)提供的各方： 理解并滿足業(yè)務(wù)需求. 理解能力和約束條件。 理解職責(zé)和責(zé)任。 業(yè)務(wù)關(guān)系管理 服務(wù)部按照《業(yè)務(wù)關(guān)系管理程序》的要求，牽頭并定期組織銷售部門，開展服務(wù)管理評價活動，討論、匯報服務(wù)范圍、SLA、合同或業(yè)務(wù)需求的變化，及性能、成績、結(jié)果和措施計劃,并形成會議紀(jì)要。 當(dāng)服務(wù)目標(biāo)、服務(wù)需求、支持合同、業(yè)務(wù)等發(fā)生新增、變更或撤銷時，服務(wù)部應(yīng)按《服務(wù)策劃管理程序》的要求，提出并評估服務(wù)范圍和SLA的改進(jìn)方案，由服務(wù)部組織實施。 服務(wù)部與客戶建立有效的互動、溝通關(guān)系，以便及時了解客戶的需求或重大變更,并依據(jù)需求進(jìn)行響應(yīng).根據(jù)《客戶滿意度管理規(guī)定》，定義、收集、分析客戶滿意度數(shù)據(jù)和信息,監(jiān)控客戶滿意度的趨勢。 技術(shù)服務(wù)事業(yè)部根據(jù)《業(yè)務(wù)關(guān)系管理程序》中的客戶投訴管理流程,負(fù)責(zé)收集、統(tǒng)計、分析客戶投訴的記錄，識別投訴的發(fā)展趨勢和存在問題，確保服務(wù)的持續(xù)性目標(biāo)的實現(xiàn). 供應(yīng)商管理 商務(wù)部按《萬維公司內(nèi)控手冊》中《供應(yīng)商管理業(yè)務(wù)程序》的要求，對供應(yīng)商提供的IT服務(wù)的過程進(jìn)行管理，完善供應(yīng)商管理制度和采購規(guī)范,建立和維護(hù)公司《合格供應(yīng)商名單》。并確保: 供應(yīng)商了解其對本公司承擔(dān)