ISMS手册信息安全管理IT服务管理体系手册

《ISMS手册信息安全管理IT服务管理体系手册》由会员分享，可在线阅读，更多相关《ISMS手册信息安全管理IT服务管理体系手册（31页珍藏版）》请在装配图网上搜索。

1、ISMS手册-信息安全管理IT服务管理体系手册 信息安全管理IT服务管理体系手册 发布令 本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001：2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT服务管理体系手册》，建立与本公司业务相一致的信息安全与IT服务管理体系，现予以颁布实施。 本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻IT服务管理理念方针和服务目标。为实现信息安全管理与IT服务管理,开展持续改进服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司

2、对社会的承诺，通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务. 本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理-规范》、ISO27001：2005《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针，根据ISO20000：2005《信息技术服务管理-规范》和ISO27001：2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告. 全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要

3、求，自觉遵守本手册各项要求，努力实现公司的信息安全与IT服务的方针和目标。 管理者代表职责： a） 建立服务管理计划； b） 向组织传达满足服务管理目标和持续改进的重要性; e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新； 1． 确保按照ISO207001：2005标准的要求，进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理－规范》的要求，组织相关资源,建立、实施和保持IT服务管理体系，不断改进IT服务管理体系，确保其有效性、适宜性和符合性。 2． 负

4、责与信息安全管理体系有关的协调和联络工作；向公司管理层报告IT服务管理体系的业绩，如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等. 3． 确保在整个组织内提高信息安全风险的意识； 4． 审核风险评估报告、风险处理计划; 5． 批准发布程序文件; 6． 主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告； 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况. 7．推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服

5、务管理目标所应做出的贡献。 总经理: 日期： 信息安全方针和信息安全目标 信息安全方针：信息安全 人人有责 本公司信息安全管理方针包括内容如下： 一、信息安全管理机制 1．公司采用系统的方法，按照ISO/IEC 27001：2005建立信息安全管理体系，全面保护本公司的信息安全。 二、信息安全管理组织 2．公司总经理对信息安全工作全面负责，负责批准信息安全方针，确定信息安全要求，提供信息安全资源。 3．公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性. 4．在公司内部建立信息安全组织机构，信息安全管理委员会和

6、信息安全协调机构,保证信息安全管理体系的有效运行。 5．与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全管理的支持。 三、人员安全 6．信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任.对岗位调动或离职人员，应及时调整安全职责和权限。 7．对本公司的相关方，要明确安全要求和安全职责。 8．定期对全体员工进行信息安全相关教育，包括：技能、职责和意识。以提高安全意识. 9．全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全措施。

7、 四、识别法律、法规、合同中的安全 10．及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施,保证满足安全要求。 五、风险评估 11．根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则. 12．采用先进的风险评估技术和软件,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。 13．应根据风险评估的结果，采取相应措施，降低风险。 六、报告安全事件 14．公司建立报告信息安全事件的渠道和相应的主管部门。 15．全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任，一旦发现信息安全事件,应立即按照规定的途径进行报

8、告。 16．接受信息安全事件报告的主管部门应记录所有报告，及时做出相应的处理,并向报告人员反馈处理结果。 七、监督检查 17．定期对信息安全进行监督检查，包括：日常检查、专项检查、技术性检查、内部审核等。 八、业务持续性 18．公司根据风险评估的结果，建立业务持续性计划，抵消信息系统的中断造成的影响，防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。 19．定期对业务持续性计划进行测试和更新。 九、违反信息安全要求的惩罚 20．对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。 信息安全目标： 1。不可接受风险处理率：100% （所有不可接受

9、风险应降低到可接受的程度）。 2.重大顾客因信息安全事件投诉为0次(重大顾客投诉是指直接经济损失金额达1万元以上） 1 信息安全管理手册说明 1．1公司简介 XX 1。1编制依据和目的 本手册在遵循ISO9001：2005 《信息安全管理体系要求》与ISO/IEC 20000 《信息技术服务管理－规范》的要求编制而成，包括了ISO27001：2005的全部要求，对附录A的删减见《适用性声明SoA》. 手册描述公司的信息安全管理体系的总要求,以确保公司的信息安全管理体系能够达到ISO27001：2005信息安全管理标准的要求；满足本公司向客户提供IT服务所需的IT基础设施和IT技术

10、支持服务，适用于向客户或认证机构证实，本公司具备提供符合客户需求的IT服务能力和服务质量。 本公司的体系程序是手册的支持性文件,是对体系运作的具体描述。 1。2适用范围 信息安全管理＆IT服务管理体系手册适用于本公司提供安全管理体系认证服务与IT服务有关的所有部门和活动. 1．3术语和定义 1．3．1本手册应用ISO/IEC 20000中的术语及定义。 1．3．2本手册应用ISO/IEC27001中的术语及定义。 2 信息安全管理&IT服务管理手册的管理 2．1手册的编制、批准和发布 2．1．1按照公司业务发展战略和客户需求,经公司管理者代表批准，技术服务事业部组织相关人员,

11、结合本公司业务特点,根据ISO/IEC 20000标准的要求编写。 2．1．2《IT服务管理手册》由公司管理者代表批准后发布。 2．2手册的分发 2．2．1技术服务事业部负责手册的发放、更新、管理与存档。 2．2．2公司各部门负责手册的使用和保管. 2．3手册的受控状态 2．3．1书面形式的手册分“有效文件”和“保留文件"两种形式。作为公司日常运营的依据及提供给外部认证机构的手册均为“有效文件”形式。 2．3．2当手册内容变更时,“有效文件”形式的手册应及时予以更新和发放。 2．3．3“有效文件”形式的文件在更新后，如需保存原来的版本，以便于追溯，则应当用“保留文件”的标识予以

12、区分。 2．3．4电子形式的手册由技术服务事业部在工作流转系统中进行管理。 2．4手册的变更 2．4．1因公司战略调整、客户需求或改进活动等引起的手册内容的变更,按公司总经理指示，技术服务事业部组织相关部门对涉及变更的内容进行更新，并经公司总经理批准后发布。 2．4．2更新后的手册，应及时地发放给公司内部原手册持有者,并收回旧版的手册.对电子形式的手册，由技术服务事业部按工作流转系统中的管理规则进行更新和归档管理。 2．5公司内部手册持有者的责任 2．5．1与公司或部门内部的相关人员沟通、学习手册的要求并遵照执行。 2．5．2妥善保管,不得私自更改、曲解手册的内容。不得随意向其他

13、与公司业务无关的第三方传播，如需提供公司以外的第三方参考，应经技术服务事业部提交公司主管副总经理审核后，报公司总经理批准。 3 公司架构和安全承诺 3。1公司行政组织架构 总 经 理 文 档 培 训 仓 库 采 购 人力资源 财 务 物 流 销 售 市 场 测 试 质量保证 质管部 实 施 研 发 综合管理部 生技部 商务部  3.2公司信息安全管理体系组织架构图 总 经 理 管理者代表 商务部 生技部 综合管理部

14、 副管理者代表 研 发 实 施 质管部 质量保证 测 试 客户服务部 销 售 物 流 财 务 人力资源 采 购 仓 库 培 训 文 档 安全委员会 注：每个虚线框内为一个信息安全小组，部门的负责人为安全组长,各岗位负责人为该岗位的安全员。 3．3公司IT服务管理职能关系架构图 3.4信息安全承诺 ◆公司成立安全管理委员会来领导信息安全工作,并确定相应的职责和作用。 ◆制订信息安全方针和信息安全目标，建立和完善公司的信息安全管理体系.

15、◆提供充分的资源以保证信息安全管理体系的制定、实施、运作、监控、维护和改善。 ◆对公司信息资产实行有效管理，确保信息的机密性，维持信息的完整性和可用性,防范对信息的未经授权访问。对公司信息资产进行风险评估，制定风险可接受标准,对公司不能接受的风险进行处置。 ◆建立业务持续性管理流程.进行业务持续性风险评估，编写、测试并实施业务持续性计划和灾难恢复计划，以保证公司关键业务的连续，不受重大故障和灾难的影响。 ◆确保公司所有员工都接受信息安全的教育培训，提高信息安全意识。 ◆保护公司、客户、相关合作方的信息安全。 ◆建立公司信息安全组织架构,明确信息安全责任，确定报告可疑的和发生的信息安全

16、事故及事件的流程,对违反安全制度的人员进行惩罚。 ◆建立物理安全和网络安全管理制度，以确保信息的安全性。 ◆保护公司软件和信息的完整性，防止病毒与各种恶意软件的入侵. ◆任何人在未经审批的情况下,禁止将信息资产带离公司。 ◆公司所有员工都要严格遵守公司的安全方针、程序和制度。 ◆控制对内外部网络服务的访问，保护网络服务的安全性与可用性。 ◆对用户账号、口令和权限进行严格管理，防止对信息系统的非授权访问. ◆对重要信息进行备份保护，以保证信息的可用性. ◆定期对信息安全管理体系进行内审和管理评审。 3。5信息安全管理委员会 为了加强对信息安全管理体系运作的管理，江苏金马扬名信

17、息技术有限公司公司成立信息安全管理委员会，其职责见下列明细表。 信息安全管理职责明细表 序号 单位/部门 信息安全职责 1 信息安全 管理委员会 信息安全管理委员会是我公司信息安全最高组织机构，负责本单位网络与信息安全重大事项的决策和协调，并对全公司信息安全工作负责。 2 总经理 信息安全第一责任人,制定信息安全方针，对信息安全全面负责. 3 管理者代表 经总经理授权负责建立、实施、检查、改进信息安全管理体系。 4 综合管理部 我公司信息安全管理体系的归口管理部门。 1. 负责管理体系的建立、实施、保持、测量和改进。 2. 负责文件控制、记录控制、内部审核

18、的组织、管理评审的组织和体系的改进。 3. 负责本公司保密工作的管理。 4. 安全区域的保卫管理部门，负责安全区域的管理。 5. 负责全公司人员安全管理，包括人员聘用管理，保密协议签署，员工的能力、意识和培训，员工离职管理。 6. 负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。 7. 对信息安全日常工作实施动态考核，将信息安全管理作为企业管理的重要工作内容. 8. 参与涉密及司法介入的信息安全事件的调查。 5 生产技术部 是我公司信息系统安全管理部门。 负责局域网上所承担的各类信息系统的管理职能； 负责我公司信息系统安全日常管理。 6 其他部门 认真执行信

19、息安全管理的方针、标准、安全策略和规范，做好内部培训。 备注：以上职能划分，适用所有信息安全管理体系文件。 信息安全管理委员会组成人员： 姓名 部门 职务 备注 3．6服务管理职能说明 3．6．1为保证IT服务管理体系的顺利实施，以及实施后得到持续的管理和维护，在现有的组织架构外建立服务管理职能关系架构。IT服务管理职能关系架构，并不替代现有的按技术类别进行的分工,现有的按技术类别进的分工，在将来的IT服务管理体系中仍将发挥其作用。服务部根据IT服务管理程序要求对所有

20、服务合同按照项目进行管理与运行,由项目经理按照服务管理职能关系架构中的要求对项目执行管理。一个完整的服务项目必须包含服务台、事件管理、业务关系管理、信息安全管理、供应商管理和IT财务管理。对于上图虚线框内的的问题管理、发布管理、配置管理、变更管理、可用性和连续性管理、容量管理、服务级别管理以及服务报告可由服务部经理依照与用户签署的服务合同进行选择裁剪。 3．6．2 角色分配说明 3．6．2．1针对服务部当前组织架构及人员状况，将不再为每一具体流程分配流程经理。为此将13个流程，按其必要程度分成必选流程和可裁剪流程两大模块。由项目经理负责相应流程的实施、管理和控制.对项目组成员主要是组织、协

21、调、安排相应工作任务的完成，可能并不是由自己去完成. 3．6．2．1．1 项目经理 职责说明: 1）、负责IT服务项目的立项工作，按照服务合同要求负责相应流程的实施、管理和控制.组织、协调、安排项目组成员完成相应工作任务。 2）、负责从服务台接受事件报告开始，分配相应的职能小组进行事件处理，直至找到问题的根本原因的整个过程的管理和协调。 3）、负责各系统的配置管理、变更和发布控制。 4）、负责系统的可用性规划和管理、负责安排系统连续性的计划和演练，并负责系统容量的规划和监控. 5)、主要负责与用户的沟通，对供应商的管理，以及项目的预/决算的管理。 3．6．2．1．2能力要求:

22、 熟悉服务部的各种服务管理流程，具有较强的内部协调能力。 由管理者代表授权技术服务事业部总监，按ISO/IEC 20000的要求，负责协调和组织所有与IT服务有关的活动，通过管理和实施各项活动，使IT服务业务的质量得到有效的保持和维护。 技术服务事业部组织制订、批准和发布公司IT服务策略、服务目标，并使其成为公司关注的焦点，成为公司协调、统一、凝聚公司的所有活动和资源的准则，成为建立、实施、保持并改进IT服务管理体系的宗旨。 3．6．3 公司 IT服务策略： 客户至上、全员参与、创新高效、系统管理、追求卓越 公司 IT服务目标： 公司通过服务质量改进程序确定年度服务质

23、量目标 公司的IT服务目标按ISO/IEC 20000的要求，与公司的业务相结合，并通过流程绩效不断提高和改进。 技术服务事业部负责组织相关部门，通过会议、评审、书面报告、培训等方式，及时有效沟通工作，达到IT服务管理目标和持续改进的需求，并在公司中积极贯彻实施IT服务管理的重要性。 技术服务事业部负责组织相关部门按照PDCA的要求,通过对所属业务的规划，适时优化和提供资源以计划、实施、监控、评审和改进IT服务的交付和管理。 管理者代表按照《服务质量改进管理程序》中的计划间隔,由技术服务事业部负责组织相关部门实施IT服务管理体系的内部审核，确保IT服务管体系的有效性与符合

24、性。 管理者代表按照《服务质量改进管理程序》中的计划间隔,组织相关部门执行IT服务管理体系的管理评审，确保IT服务管理体系持续的稳定、充分和有效。 3．6．4文件要求 3．6．4．1公司的文件管理体系分为A、B、C、D四层，即A层为管理手册、B层为程序文件、C层为工作流程或规定、D层为记录。 3．6．4．2管理手册 — 描述IT服务管理体系的文件,是全体员工必须长期遵循的法规性文件。 3．6．4．3程序文件 — 覆盖公司主要业务过程的流程文件，是管理手册的支撑性文件. 3．6．4．4工作流程或规定— 是开展具体业务工作的规范类、指导性文件，是程序文件的支持性文件。 3．6．4．5

25、记录 — 在开展具体业务工作过程中产生的记录类文件，主要是为具体工作结果提供各种可追溯性证据. 3．6．4．6技术服务事业部负责组织制订《文件和记录管理程序》，明确文件的拟制、批准、发放、变更、存档等管理要求,并监控实施。 3．6．4．7技术服务事业部负责组织相关部门,根据公司的业务特点及标准的要求，制订相关的程序文件,经公司管理者代表批准后实施. 3．6．4．8技术服务事业部负责组织拟制与本部门业务相关的各类C层文件,并按《文件和记录管理程序》的要求对文件和记录的有效性进行管理。 4信息安全管 4.1总要求 4。1.1 公司根据整体业务活动（软件开发、经营、服务和日常管理活动）和

26、所面临的风险，按ISO/IEC 27001:2005《信息技术—安全技术-信息安全管理体系—要求》规定，参照ISO/IEC 27002：2005《信息技术-安全技术—信息安全管理实用规则》标准，建立、实施、运作、监控、维护并改进文件化的信息安全管理体系。 4。1。2本手册使用的过程基于PDCA模式. 相关文件： 《信息安全方针及目标》 4.2建立和管理信息安全管理体系（ISMS) 4.2.1建立ISMS 4。2.1。1 信息安全管理体系的范围和边界 本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括： a) 本公司涉及软件开

27、发、营销、服务和日常管理的业务系统; b） 与所述信息系统有关的活动； c) 与所述信息系统有关的部门和所有员工； d） 所述活动、系统及支持性系统包含的全部信息资产。 组织范围: 本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围，见本手册JIN/QM—3。2《公司信息安全管理体系组织架构》。 物理范围： 本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。 本公司ISMS的物理范围为本公司位于常州市常州市鹂欣丽都2幢乙单元503室的办公场所，安全边界详见附录A（规范性附录）《办公场所平面图》。 4.2.1

28、.2 信息安全管理体系的方针 为了满足适用法律法规及相关方要求，维持软件开发和经营的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针，见本信息安全管理手册第0.3条款. 该信息安全方针符合以下要求： a) 为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则； b） 考虑业务及法律或法规的要求，及合同的安全义务； c) 与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系； d） 建立了风险评价的准则; e） 经最高管理者批准。 为实现信息安全管理体系方针,本公司承诺： a） 在各层次建

29、立完整的信息安全管理组织机构，确定信息安全目标和控制措施;明确信息安全的管理职责，见本信息安全管理手册第3。4条款.； b） 识别并满足适用法律、法规和相关方信息安全要求； c) 定期进行信息安全风险评估，信息安全管理体系评审,采取纠正预防措施，保证体系的持续有效性； d)采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享； e） 对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力; f) 制定并保持完善的业务连续性计划，实现可持续发展。 4.2。1。3 风险评估的方法 生技部负责制定《信息安全风险管理程序》，建立识别适用于信息安全管理

30、体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。信息安全风险评估采用信息安全风险管理软件 （Info—riskmanager)进行，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果. 4.2。1。4 识别风险 在已确定的信息安全管理体系范围内，本公司按《信息安全风险管理程序》,采用Info-riskmanager风险管理软件,对所有的资产进行了识别，并识别了这些资产的所有者。资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值

31、，根据重要资产判断依据确定是否为重要资产，形成了《重要资产清单》。 同时，根据《信息安全风险管理程序》，识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。 4.2.1。5 分析和评价风险 本公司按《信息安全风险管理程序》，采用信息安全风险管理软件,分析和评价风险: a） 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值； b） 针对每一项威胁、薄弱点，对资产造成的影响,考虑现有的控制措施，判定安全失效发生的可能性，并进行赋值； c) 根据《信息安全风险管理程序》计算风险等级； d） 根据

32、《信息安全风险管理程序》及风险接受准则，判断风险为可接受或需要处理。 4。2.1.6 识别和评价风险处理的选择 网络管理部组织有关部门根据风险评估的结果，形成《风险处理计划》，该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。 对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施： a) 控制风险，采用适当的内部控制措施； b） 接受风险（不可能将所有风险降低为零）； c） 避免风险（如物理隔离); d) 转移风险（如将风险转移给保险者、供方、分包商）. 4.2.1.7选择控制目标与控制措施 网络管理部根据信息安全方针、业务发展要求及风险评估的结

33、果,组织有关部门制定了信息安全目标,并将目标分解到有关部门（见《信息安全适用性声明》): a）信息安全控制目标获得了信息安全最高责任者的批准。 b)控制目标及控制措施的选择原则来源于ISO/IEC 27001：2005《信息技术-安全技术—信息安全管理体系—要求》附录A，具体控制措施参考ISO/IEC 27002：2005《信息技术—安全技术—信息安全管理实用规则》. c)本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施. 4.2.1。8 对风险处理后的剩余风险,得到了公司最高管理者的批准。 4.2.1。9 最高管理者通过本手册对实施和运行信息安全管理体系进行了授权.

34、4。2.1.10 适用性声明 生技部负责编制《信息安全适用性声明》(SoA)。该声明包括以下方面的内容： a)所选择控制目标与控制措施的概要描述,以及选择的原因; b)对ISO/IEC 27001:2005附录A中未选用的控制目标及控制措施理由的说明。 4.2.2实施和运行ISMS 4。2.2.1为确保信息安全管理体系有效实施，对已识别的风险进行有效处理，本公司开展以下活动： a)形成《风险处理计划》，以确定适当的管理措施、职责及安全控制措施的优先级； b)为实现已确定的安全目标、实施《风险处理计划》,明确各岗位的信息安全职责； c)实施所选择的控制措施，以实现控制目标的要求

35、; d)确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果； e）进行信息安全培训,提高全员信息安全意识和能力; f)对信息安全体系的运作进行管理； g)对信息安全所需资源进行管理; h）实施控制程序，对信息安全事件（或征兆）进行迅速反应。 4.2.2。2 信息安全组织机构 本公司成立了的信息安全领导机构-信息安全委员会,其职责是实现信息安全管理体系方针和本公司承诺。具体职责是:研究决定贯标工作涉及到的重大事项；审定公司信息安全方针、目标、工作计划和重要文件;为贯标工作的有序推进和信息安全管理体系的有效运行提供必要的资源.

36、 本公司由相关部门代表组成信息安全管理网络,采用联席会议(协调会）的方式，进行信息安全协调和协作，以： a） 确保安全活动的执行符合信息安全方针； b) 确定怎样处理不符合; c） 批准信息安全的方法和过程,如风险评估、信息分类; d） 识别重大的威胁变化,以及信息和相关的信息处理设施对威胁的暴露； e) 评估信息安全控制措施实施的充分性和协调性; f) 有效的推动组织内信息安全教育、培训和意识； g) 评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适当的措施. 4.2。2。3信息安全职责和权限 本公司总经理为信息安全最高责任者.总经理指定了信息安

37、全管理者代表。无论信息安全管理者代表在其他方面的职责如何,对信息安全负有以下职责： a） 建立并实施信息安全管理体系必要的程序并维持其有效运行; b） 对信息安全管理体系的运行情况和必要的改善措施向信息安全领导小组或最高责任者报告. 各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务; 各部门、人员有关信息安全职责分配见本信息安全管理手册第3。4条款《信息安全管理职责明细表》和相应的程序文件。 4.2。2.4 各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施（包括安全运行的各种控制程序)的要求实施信息安全控制措施。 4.2。3监

38、控和评审ISMS 4。2.3.1本公司通过实施不定期安全检查、内部审核、事故（事件）报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现： a)及时发现处理结果中的错误、信息安全体系的事故(事件)和隐患； b）及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击； c)使管理者确认人工或自动执行的安全活动达到预期的结果; d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效; e）积累信息安全方面的经验; 4。2。3.2根据以上活动的结果以及来自相关方的建议和反馈，由总经理主持，每年至少一次对信息安全管理体系的有效性进行评审，其中包括信息安全

39、范围、方针、目标的符合性及控制措施有效性的评审,考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。管理评审的具体要求,见本手册第7章。 4。2。3。3 网络管理部应组织有关部门按照《信息安全风险管理程序》的要求，采用信息安全风险管理软件,对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估： a） 组织； b) 技术； c） 业务目标和过程； d) 已识别的威胁； e) 实施控制的有效性； f) 外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化. 4.2。3.4按照计划的时间间隔进

40、行信息安全管理体系内部审核，内部审核的具体要求,见本手册第6章。 4.2。3。5定期对信息安全管理体系进行管理评审，以确保范围的充分性,并识别信息安全管理体系过程的改进，管理评审的具体要求，见本手册第7章。 4。2。3.6考虑监视和评审活动的发现，更新安全计划。 4。2.3。7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情. 4。2.4保持与持续改进ISMS 我公司开展以下活动，以确保信息安全管理体系的持续改进： a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目； b） 按照《内部审核管理程序》、《纠正措施管理程序》、《预防措施管理程序》的要求采取适当

41、的纠正和预防措施；吸取其他组织及本公司安全事故（事件)的经验教训，不断改进安全措施的有效性； c） 通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等； d） 对信息安全目标及分解进行适当的管理，确保改进达到预期的效果。 相关文件： 《系统风险评估方法》 《适用性声明》 《管理评审程序》 《内部审核控制程序》 《纠正措施控制程序》 《预防措施控制程序》 4.3文件要求 4.3.1总则 ISMS文件应包括: a) 形成文件的ISMS方针和控制目标； b

42、) ISMS范围 c) ISMS的支持性程序和控制措施; d） 风险评估方法的描述； e) 风险评估报告； f） 风险处置计划； g） 公司为确保其信息安全过程的有效策划、运行和控制以及规定如何测量控制措施有效性所需的程序文件； h) 标准所要求的记录； i） 适用性声明。 所有文件应按ISMS方针要求在需要时可获得。 4。3.2文件控制 ISMS所要求的文件应予以保护和控制，应编制形成文件的程序以规定以下方面所需的管理措施： a) 文件发布前得到批准以确保文件是充分的; b） 必要时对文件进行评审与更新并再次批准; c) 确保文件的更改和现行修

43、订状态得到识别； d） 确保在使用处可获得适用文件的适用版本； e) 确保文件保持合法并易于识别； f） 确保外来文件得到识别； g) 确保文件的分发是受控的; h） 防止作废文件的非预期使用; i) 若因任何原因而保留作废文件时对这些文件进行适当的标识； 4。3.3记录控制 应建立并保持记录，以提供符合要求和ISMS有效运行的证据.记录应得到保护并且受控。ISMS应考虑相关法律要求，记录应易于识别和检索。应编制形成文件的程序，以规定记录的识别、贮存、保护、检索、保存期限和处置所需的控制，确定记录需要和程度的管理过程。 保持过程业绩的记录以及与ISMS有关的

44、安全事件的记录。例如,记录包括访问者登记审核记录和访问授权。 相关文件： 《文件控制程序》 《记录控制程序》 5 管理职责 5。1管理承诺 管理层应通过以下措施对其建立、实施、运行、监控、评审、维护和改进ISMS的承诺提供证据。 a） 建立信息安全方针； b） 确保信息安全目标和计划的建立； c) 为信息安全分配角色和职责； d） 向公司传达满足信息安全目标、符合信息安全方针、法律责任和持续改进的重要性; e) 提供足够的资源以建立、实施、运行、监控、评审、维护和改进ISMS； f） 决定可接受风险的标准和可接受风险的等级； g） 确保ISMS内部

45、审核的执行； h） 进行ISMS管理评审. 相关文件： 《信息安全方针和目标》 《部门职责》 《管理评审程序》 《系统风险评估方法》 5.2 资源管理 5。2。1资源提供 公司应确定和提供以下方面所需的资源 a） 建立建立、实施、运行、监控、维护和改进ISMS b） 确保信息安全程序支持业务需求; c） 识别并确定法律法规要求和合同安全责任; d） 通过正确应用所有实施的控制措施的来维持足够的安全; e） 必要时进行评估，并对评估结果采取适当的对应措施； f） 必要时改进ISMS的有效性。 5。2.2培训、意识和能力 公司应确保在IS

46、MS中任命职责的人员应能够胜任要求的任务 a） 确定从事影响信息安全工作的人员所必需的能力; b） 提供足够的能力培训或其它措施,必要时聘用有能力的人员满足这些要求； c） 评估所提供的培训和采取措施的有效性； d） 保持教育、培训、技能、经验和资质的适当记录。 公司应确保员工认识到所从事信息安全活动的相关性和重要性，以及如何为实现ISMS目标作出贡献。 相关文件: 《人力资源管理控制程序》 6 ISMS内部审核 公司应按计划的时间间隔进行ISMS内部审核，以确定控制目标、控制措施、过程和程序是否: a） 符合标准及相关法律法规的要求； b） 符合确定的信

47、息安全要求; c) 得到有效地实施和维护； d） 按期望运行。 内部审核程序应进行计划，并考虑受审核过程的状况、重要性和受审核的区域以及上次审核结果，应规定审核准则、范围、频次和方式，审核员的选择和审核活动应保证审核过程的客观和公正，审核员不能审核自己的工作。 应建立形成文件的程序，以规定策划和实施审核的职责和要求以及报告结果和保持记录。 受审核区域的负责人应确保立即采取措施，以消除发现的不符合及其原因。改进措施包括所采取措施的验证并汇报验证结果。 相关文件： 《内部审核控制程序》 7 ISMS管理评审 7.1总则 管理者应按策划的时间间隔评审公司的ISMS（至

48、少一年一次），以确保其持续的适宜性、充分性和有效性。评审应包括评价ISMS改进的机会和变更的需要,包括安全方针和安全目标的适宜性.评审结果应清楚地写入文件应保持记录. 7.2管理评审输入 管理评审的输入应包括以下方面的信息： a) ISMS审核(包括内审和外审）和管理评审的结果； b) 相关方(客户、供应商、内部员工等）的反馈； c) 公司用于改进ISMS业绩和有效性的技术、产品或程序的发展及变化； d) 预防和纠正措施的实施情况； e） 上次风险评估未充分指出的弱点或威胁; f) 体系有效性测量的结果; g) 上次管理评审所采取措施的跟踪验证； h)

49、影响ISMS的变更，如信息安全组织架构变化等； i) 改进的建议。 7.3管理评审输出 管理评审的输出应包括与以下方面有关的任何决定和措施 a） ISMS有效性的改进 b) 风险评估和风险处理计划的更新 c） 必要时修订影响信息安全的程序和控制措施，以反映可能影响ISMS的内外事件,包括以下变化 1 业务需求； 2 安全需求； 3 影响已有业务需求的业务过程； 4 法律法规环境； 5 合同义务； 6 风险和/或风险接受准则。 d） 资源需求 e）针对被测量的控制措施有效性的改进 相关文件: 《管理评审程序》 8 ISMS的改进 8.1

50、持续改进 公司应通过应用信息安全方针、安全目标、审核结果、监控事件的分析、纠正和预防措施和管理评审，持续改进ISMS的有效性. 8.2纠正措施 公司应采取措施消除ISMS实施和运行的不符合原因，以防止其再发生.纠正措施文件程序应规定以下方面的要求. a） 识别ISMS实施和运行的不符合项; b) 确定不符合的原因； c) 评价确保不符合不再发生所需的措施； d) 决定和实施所需的纠正措施； e) 记录所采取措施的结果； f) 评审所采取的纠正措施。 8.3预防措施 公司应决定措施以防范未来的不符合，防止发生采取的预防措施应与潜在问题的影响相匹配,预防

51、措施文件程序应规定以下方面的要求。 a） 确定潜在不符合及其原因； b） 评价预防不符合发生所需的措施; c) 决定实施所需的预防措施; d) 记录所采取措施的结果； e） 评审所采取的预防措施. 公司应识别发生变化的风险，并通过关注变化显著的风险来识别预防措施要求。应根据风险评估结果来确定预防措施的优先级。 相关文件： 《纠正措施控制程序》 《预防措施控制程序》 IT服务管理 服务管理规划和实施 在开展IT服务管理的活动中，PDCA原理贯穿于IT服务管理体系的全部流程，其中: P（计划） - 根据客户要求和公司策略建立目标和流程。 D（实施） - 实施流

52、程。 C（检查） — 根据策略、目标和要求对过程和服务进行监控、测量,并报告结果. A（改进) — 采取措施以持续改进流程的性能。 计划服务管理 服务部向客户提供三大服务项目：常驻现场技术服务、定期巡检技术服务、咨询规划设计服务。甘肃万维公司为不断满足市场需求和企业自身发展需要，将在未来将原有的三大技术服务内容重新规划和设计,细化成六大服务内容：基础设施服务、运维服务、专业技术服务、IT安全服务、咨询设计评估服务、培训服务.从而实现在坚持原有行业内的服务的基础上向行业外扩展的计划。 服务部根据公司IT服务管理职能关系架构图中的所分配的职责并依据条款4—9中所规定的服务管理

53、过程向客户提供IT服务。 相关部门根据管理评审的结果及结论，结合本部门的工作实际，由技术服务事业部组织相关部门对当前与本部门相关的IT服务工作的改进需求、以及公司业务发展策略、技术动态、政策法规要求、下一年度IT服务工作的安排进行规划，制订本部门的年度工作计划，并按公司内控制度制订对应的部门年度费用预算。 实施IT服务 技术服务事业部组织相关部门按批准后的公司年度计划，对计划周期内的工作任务、目标、绩效要求进行分解，组织各部门制订各自的年度工作计划和费用预算,并进行跟踪、检查。 相关部门年度工作计划、年度费用预算应与已批准的本部门年度工作计划、预算一致，如有变更,引起预算的变化，应

54、上报技术服务事业部按照相关流程审批、执行。 技术服务事业部负责组织IT服务项目的立项工作，并按照项目管理规定对项目计划周期内的工作任务、目标、绩效要求进行分解,制订项目实施计划和费用预算,并进行跟踪、检查。 监视、测量和评审 服务部负责收集、汇总、整理IT服务项目的日常服务数据. 服务部经理负责组织IT服务项目,按各项目阶段性工作计划、费用预算的内容，以及IT服务管理的要求，收集与IT服务相关的信息，监控、测量和评审与本业务相关的服务规划要求、已有的SLA符合要求的程度.IT服务项目在运行中，应监控、测量和评审的内容为： 既定的IT服务目标的达成程度。 客户满意度。 资源利用.

55、 服务实施的趋势。 严重不符合。 技术服务事业部按照《服务质量改进管理程序》的要求，组织IT服务管理体系的管理评审活动,以确保IT服务要求得到有效的实施和维护。 持续改进 服务部每年至少进行一次服务管理体系的有效性评估，评估通过内部审核的方式进行. 在评估中发现的任何不符合标准的活动都应该采取纠正措施予以改进,对于发现的潜在问题应该予以控制。 服务部在内部审核后，应进行管理评审,管理评审的内容包括：各流程的执行状况报告，存在问题及改进建议，内部审核结果,相关方的反馈以及其他可能影响体系运行的要素. 服务部按管理评审的要求,确定服务改进的测量、报告和沟通流程和内容.监控IT服务运行

56、中出现的不符合项,组织相关部门实施、验证改进活动。任何不符合ISO/IEC 20000—1:2005标准的活动都应被纠正。 对于内部审核、管理评审或其他活动中所发现的不符合项或潜在不符合项，应按照《服务质量改进管理程序》要求进行及时纠正。 新服务或变更服务的策划与实施 制订新服务或变更服务计划 销售部门负责与客户沟通，服务部配合，收集客户对现有SLA的满意度水平。分析、整理客户新的或变更服务的要求，及时反馈客户的改进需求。 当出现新服务或变更服务时，服务部根据《服务策划管理程序》的要求，组织实施IT服务策划和实施工作。 服务部组织对新服务或变更服务策划结果的验证、确认，验证通过后按

57、《服务策划管理程序》实施。 服务部应报告新服务或变更服务按计划实施所达到的结果,服务部按《发布管理程序》，执行实施发布评审，比较实际结果与期望结果的一致性。 服务交付过程 服务级别管理 服务部负责与相关部门沟通，制订公司的《服务目录》。服务目录应定义所有服务，并包含服务名称、服务目标或标准、联系接口、服务提供时间和例外、安全方面的考虑和安排。 《服务目录》是公司所提供的服务内容的汇总，公司与客户签署SLA时应参考《服务目录》。 公司应该根据当前的服务能力对《服务目录》进行更新与维护。 根据公司的战略规划、资源要求及客户需求，服务部在与销售部门和其他相关部门沟通、确定SLA时,应考

58、虑：可接受持续损失服务的最大周期、可接受降级服务的最大周期，服务恢复时，可接受降级服务级别。 销售部门代表客户，与服务部签订《服务级别协议》。应明确：服务要求和期望服务工作量特征的协议、服务目标协议、服务级别实现、工作量的测量和报告，以及服务目标不能完成的分析与说明。 《服务级别协议》包含以下内容:服务的简述、术语表、客户职责、服务部门职责和义务、服务目标、服务时间、工作量限制（最大及最小工作量），支持和相关服务、影响和优先级描述、授权细节，及授权人员联系信息、有效期或SLA变更控制机制（包含升级和通知流程）、服务中断采取的纠正措施,计划和协调中断,包括通知事件及频率、沟通的简述，包括报告

59、、投诉程序、在SLA中规定条款的例外情况. 商务部应依据与客户签订的SLA以及《供应商管理程序》的要求,组织签署与供应商之间的支持合同（或协议)。 当出现重要业务变更时,销售部门应及时与技术服务事业部沟通,按原流程重新组织相关部门，调整、修订《服务级别协议》,并作为服务改进计划的输入. 服务报告 服务部应就向客户提交的服务报告的内容、报告周期与客户协商并达成一致。 服务部拟制内部服务报告,对计划间隔内的客户服务状况、问题趋势、服务数据、SLA目标实现等进行汇总、统计和分析,组织召开月度服务质量分析会议，形成会议纪要后发放. 服务报告主要包括的内容：执行服务级别目标的绩效，违反SL

60、A、安全管理要求等的不符合项和结论、工作量特征,如，数量、资源利用、报告主要事件、变更、定期趋势信息、客户满意度分析。 当出现有关IT服务系统配置项的变更时，服务部应按《变更管理程序》的要求执行。 服务报告应及时、清晰、可靠和简明，便于分析、决策和有效沟通。 可用性和IT服务持续性管理 服务部应按照《可用性与IT服务持续性管理程序》的要求，拟制《可用性与IT服务持续性计划》，根据客户业务优先级、服务级别协议和评估的风险，按设计的工作量计划维护有效的服务能力，并与《服务级别协议》的目标保持一致。应考虑： IT服务持续性计划考虑对服务和系统组成的关系。 应清晰的分配调用IT服务持续性计

61、划的责任，并清晰的计划对每个目标采取措施的责任。 备份服务恢复所需的数据、文件、软件、任何设备和必要员工，在重大服务失败或灾难时，保持快速有效. 在远程的安全地点,所有IT服务持续性文件应存储和维护至少一份，与其他必要的设备保存在一起. 定期开展IT服务持续性计划的测试. 使员工理解调用、执行计划的角色与职责，并能访问IT服务持续性文件。 服务部每年末组织对《可用性与IT服务持续性计划》进行评审，并根据业务需求的变化及时调整计划的内容和目标，确保从普通到重大服务失效的任何环境下都能满足与客户协商的要求。 当业务环境发生重大变化时，服务部应重新组织评审、修订《可用性与IT服务持续性计

62、划》。并通过能力管理和配置管理活动，评价所有服务组成的有效性,预知可能的、潜在的问题，并采取预防措施。 对《可用性与IT服务持续性计划》中内容和目标的变更，服务部应及时组织相关部门按《变更管理程序》的要求进行评估、验证和确认，确保变更的效果及满足SLA的要求。 服务部应定期对可用性信息进行测量和记录，未计划的不可用应被调查、评估，并采取适当的纠正或预防措施。可用性活动包括: 监控和记录服务的可用性. 服务准确的历史数据。 与SLA中定义需求相比较，以识别不符合SLA有效目标的事项。 记录不符合项，并组织评审. 考虑、评估供应商的影响。 预计未来的可用性。 IT服务的预算及财务

63、管理 技术服务事业部应根据国家的有关法律法规和财务政策，及《IT财务管理程序》的要求，根据公司的业务策略（包括产品策略、销售策略、服务策略等）,组织拟制、审核本部门的总体性和阶段性的IT服务费用预算及成本标准。 技术服务事业部根据公司业务发展战略、公司现有的SLA要求，及本部门业务的特点,按部门工作计划的内容，组织拟制本部门阶段性的费用预算计划，经财务部汇总、报批后实施。 在预算期间出现的服务变更引起的预算变化,相关部门应按《IT财务管理程序》的要求执行预算变更申请. 在对《服务级别协议》进行评审时，服务部应根据公司策略，评估实现服务目标和需求的成本，并根据确定的服务级别协议跟踪成本的

64、变化。 服务部应在服务变更时，计算服务变更成本，并通过《变更管理程序》进行批准。 服务部应根据预算编制跟踪财务变化，并对超出预算要求的变化，提前向技术服务事业部提出预警信号。 容量管理 技术服务事业部负责现有IT服务系统容量水平的规划，根据《容量管理程序》的要求，制订《容量管理计划》，应在计划中描述业务需求,包括： 当前和预计的容量和性能需求。 针对服务升级所定义的时间表、阈值和成本. 评估预期的服务升级、变更请求、新技术和技术能力的效果. 预计外部变更的影响,如法律影响等。 对数据和流程进行预先分析。 定义监控服务容量、调整服务性能和提供充分容量的方法、程序和技术。 为

65、达到SLA所要求的服务级别目标和业务需求所应具备的资金条件. 服务部协助收集、统计当前IT基础设施的实际性能和预期要求的运行信息，以支持服务业务的开展。 技术服务事业部应根据服务特点、服务量、服务报告和客户业务等信息，组织对《容量管理计划》进行评审，并保留评审相关的纪录。 当出现临时的新增或变更服务时，技术服务事业部应根据《容量管理程序》的要求,及时对《容量管理计划》的相关内容进行评估和更新。 1 关系过程 总则 供应商和客户的关系管理可采用正式合同形式约束。 销售部门按《业务关系管理程序》的要求明确定义供应商和客户的角色、范围和职能,通过合同、沟通、培训等方式确保实施和参与服

66、务提供的各方： 理解并满足业务需求. 理解能力和约束条件。 理解职责和责任。 业务关系管理 服务部按照《业务关系管理程序》的要求，牵头并定期组织销售部门，开展服务管理评价活动，讨论、汇报服务范围、SLA、合同或业务需求的变化，及性能、成绩、结果和措施计划,并形成会议纪要。 当服务目标、服务需求、支持合同、业务等发生新增、变更或撤销时，服务部应按《服务策划管理程序》的要求，提出并评估服务范围和SLA的改进方案，由服务部组织实施。 服务部与客户建立有效的互动、沟通关系，以便及时了解客户的需求或重大变更,并依据需求进行响应.根据《客户满意度管理规定》，定义、收集、分析客户满意度数据和信息,监控客户满意度的趋势。 技术服务事业部根据《业务关系管理程序》中的客户投诉管理流程,负责收集、统计、分析客户投诉的记录，识别投诉的发展趋势和存在问题，确保服务的持续性目标的实现. 供应商管理 商务部按《万维公司内控手册》中《供应商管理业务程序》的要求，对供应商提供的IT服务的过程进行管理，完善供应商管理制度和采购规范,建立和维护公司《合格供应商名单》。并确保: 供应商了解其对本公司承担