ISMS手冊-信息安全管理體系手冊

1、 信息安全管理IT服務(wù)管理體系手冊發(fā)布令本公司按照照ISOO200000:20005信信息技術(shù)術(shù)服務(wù)管管理規(guī)范和和ISOO270001：20005信息息安全管管理體系系要求以以及本公公司業(yè)務(wù)務(wù)特點(diǎn)編編制信信息安全全管理&IT服服務(wù)管理理體系手手冊，建建立與本本公司業(yè)業(yè)務(wù)相一一致的信信息安全全與ITT服務(wù)管管理體系系，現(xiàn)予予以頒布布實(shí)施。本手冊是公公司法規(guī)規(guī)性文件件，用于于貫徹公公司信息息安全管管理方針針和目標(biāo)標(biāo)，貫徹徹IT服服務(wù)管理理理念方方針和服服務(wù)目標(biāo)標(biāo)。為實(shí)實(shí)現(xiàn)信息息安全管管理與IIT服務(wù)務(wù)管理，開開展持續(xù)續(xù)改進(jìn)服服務(wù)質(zhì)量量，不斷斷提高客客戶滿意意度活動動，加強(qiáng)強(qiáng)信息安安全建設(shè)設(shè)的綱領(lǐng)領(lǐng)

2、性文件件和行動動準(zhǔn)則。是是全體員員工必須須遵守的的原則性性規(guī)范。體體現(xiàn)公司司對社會會的承諾諾，通過過有效的的PDCCA活動動向顧客客提供滿滿足要求求的信息息安全管管理和IIT服務(wù)務(wù)。本手冊符合合有關(guān)信信息安全全法律法法規(guī)要求求以及IISO2200000:220055信息息技術(shù)服服務(wù)管理理規(guī)范、IISO2270001：220055信息息安全管管理體系系要求和和公司實(shí)實(shí)際情況況。為能能更好的的貫徹公公司管理理層在信信息安全全與ITT服務(wù)管管理方面面的策略略和方針針，根據(jù)據(jù)ISOO200000:20005信信息技術(shù)術(shù)服務(wù)管管理規(guī)范和和ISOO270001：20005信信息安全全管理體體系要求求的要要

3、求任命命XXXXXX為為管理者者代表，作作為本公公司組織織和實(shí)施施“信息安安全管理理與ITT服務(wù)管管理體系系”的負(fù)責(zé)責(zé)人。直直接向公公司管理理層報告告。全體員工必必須嚴(yán)格格按照信信息安全全管理&IT服服務(wù)管理理體系手手冊要要求，自自覺遵守守本手冊冊各項要要求，努努力實(shí)現(xiàn)現(xiàn)公司的的信息安安全與IIT服務(wù)務(wù)的方針針和目標(biāo)標(biāo)。管理者代表表職責(zé)：a) 建建立服務(wù)務(wù)管理計計劃； b) 向向組織傳傳達(dá)滿足足服務(wù)管管理目標(biāo)標(biāo)和持續(xù)續(xù)改進(jìn)的的重要性性； e) 確確定并提提供策劃劃、實(shí)施施、監(jiān)視視、評審審和改進(jìn)進(jìn)服務(wù)交交付和管管理所需需的資源源，如招招聘合適適的人員員，管理理人員的的更新； 確保按照IISO22

4、070001:20005標(biāo)準(zhǔn)準(zhǔn)的要求求，進(jìn)行行資產(chǎn)識識別和風(fēng)風(fēng)險評估估，全面面建立、實(shí)實(shí)施和保保持信息息安全管管理體系系；按照照ISOO/IEEC 2200000 信息息技術(shù)服服務(wù)管理理規(guī)范范的要要求，組組織相關(guān)關(guān)資源，建建立、實(shí)實(shí)施和保保持ITT服務(wù)管管理體系系，不斷斷改進(jìn)IIT服務(wù)務(wù)管理體體系，確確保其有有效性、適適宜性和和符合性性。負(fù)責(zé)與信息息安全管管理體系系有關(guān)的的協(xié)調(diào)和和聯(lián)絡(luò)工工作；向向公司管管理層報報告ITT服務(wù)管管理體系系的業(yè)績績，如：服務(wù)方方針和服服務(wù)目標(biāo)標(biāo)的業(yè)績績、客戶戶滿意度度狀況、各各項服務(wù)務(wù)活動及及改進(jìn)的的要求和和結(jié)果等等。確保在整個個組織內(nèi)內(nèi)提高信信息安全全風(fēng)險的的意

5、識；審核風(fēng)險評評估報告告、風(fēng)險險處理計計劃；批準(zhǔn)發(fā)布程程序文件件；主持信息安安全管理理體系內(nèi)內(nèi)部審核核，任命命審核組組長，批批準(zhǔn)內(nèi)審審工作報報告；向最高管理理者報告告信息安安全管理理體系的的業(yè)績和和改進(jìn)要要求，包包括信息息安全管管理體系系運(yùn)行情情況、內(nèi)內(nèi)外部審審核情況況。7推動公公司各部部門領(lǐng)導(dǎo)導(dǎo)，積極極組織全全體員工工，通過過工作實(shí)實(shí)踐、教教育培訓(xùn)訓(xùn)、業(yè)務(wù)務(wù)指導(dǎo)等等方式不不斷提高高員工對對滿足客客戶需求求的重要要性的認(rèn)認(rèn)知程度度，以及及為達(dá)到到公司服服務(wù)管理理目標(biāo)所所應(yīng)做出出的貢獻(xiàn)獻(xiàn)。總經(jīng)理：日期：信息安全方方針和信信息安全全目標(biāo)信息安全方方針：信信息安全全 人人有有責(zé)本公司信息息安全管管理

6、方針針包括內(nèi)內(nèi)容如下下：一、信息安安全管理理機(jī)制1公司采采用系統(tǒng)統(tǒng)的方法法，按照照ISOO/IEEC 2270001:220055建立信信息安全全管理體體系，全全面保護(hù)護(hù)本公司司的信息息安全。二、信息安安全管理理組織2公司總總經(jīng)理對對信息安安全工作作全面負(fù)負(fù)責(zé)，負(fù)負(fù)責(zé)批準(zhǔn)準(zhǔn)信息安安全方針針，確定定信息安安全要求求，提供供信息安安全資源源。3公司總總經(jīng)理任任命管理理者代表表負(fù)責(zé)建建立、實(shí)實(shí)施、檢檢查、改改進(jìn)信息息安全管管理體系系，保證證信息安安全管理理體系的的持續(xù)適適宜性和和有效性性。4在公司司內(nèi)部建建立信息息安全組組織機(jī)構(gòu)構(gòu)，信息息安全管管理委員員會和信信息安全全協(xié)調(diào)機(jī)機(jī)構(gòu)，保保證信息息安全管

7、管理體系系的有效效運(yùn)行。5與上級級部門、地地方政府府、相關(guān)關(guān)專業(yè)部部門建立立定期經(jīng)經(jīng)常性的的聯(lián)系，了了解安全全要求和和發(fā)展動動態(tài)，獲獲得對信信息安全全管理的的支持。三、人員安安全6信息安安全需要要全體員員工的參參與和支支持，全全體員工工都有保保護(hù)信息息安全的的職責(zé)，在在勞動合合同、崗崗位職責(zé)責(zé)中應(yīng)包包含對信信息安全全的要求求。特殊殊崗位的的人員應(yīng)應(yīng)規(guī)定特特別的安安全責(zé)任任。對崗崗位調(diào)動動或離職職人員，應(yīng)應(yīng)及時調(diào)調(diào)整安全全職責(zé)和和權(quán)限。7對本公公司的相相關(guān)方，要要明確安安全要求求和安全全職責(zé)。 8定期對對全體員員工進(jìn)行行信息安安全相關(guān)關(guān)教育，包包括：技技能、職職責(zé)和意意識。以以提高安安全意識識。

8、9全體員員工及相相關(guān)方人人員必須須履行安安全職責(zé)責(zé)，執(zhí)行行安全方方針、程程序和安安全措施施。四、識別法法律、法法規(guī)、合合同中的的安全10及時時識別顧顧客、合合作方、相相關(guān)方、法法律法規(guī)規(guī)對信息息安全的的要求，采采取措施施，保證證滿足安安全要求求。五、風(fēng)險評評估11根據(jù)據(jù)本公司司業(yè)務(wù)信信息安全全的特點(diǎn)點(diǎn)、法律律法規(guī)要要求，建建立風(fēng)險險評估程程序，確確定風(fēng)險險接受準(zhǔn)準(zhǔn)則。12采用用先進(jìn)的的風(fēng)險評評估技術(shù)術(shù)和軟件件，定期期進(jìn)行風(fēng)風(fēng)險評估估，以識識別本公公司風(fēng)險險的變化化。本公公司或環(huán)環(huán)境發(fā)生生重大變變化時，隨隨時評估估。13應(yīng)根根據(jù)風(fēng)險險評估的的結(jié)果，采采取相應(yīng)應(yīng)措施，降降低風(fēng)險險。六、報告安安全事

9、件件14公司司建立報報告信息息安全事事件的渠渠道和相相應(yīng)的主主管部門門。15全體體員工有有報告信信息安全全隱患、威威脅、薄薄弱點(diǎn)、事事故的責(zé)責(zé)任，一一旦發(fā)現(xiàn)現(xiàn)信息安安全事件件，應(yīng)立立即按照照規(guī)定的的途徑進(jìn)進(jìn)行報告告。16接受受信息安安全事件件報告的的主管部部門應(yīng)記記錄所有有報告，及及時做出出相應(yīng)的的處理，并并向報告告人員反反饋處理理結(jié)果。七、監(jiān)督檢檢查17定期期對信息息安全進(jìn)進(jìn)行監(jiān)督督檢查，包包括：日日常檢查查、專項項檢查、技技術(shù)性檢檢查、內(nèi)內(nèi)部審核核等。八、業(yè)務(wù)持持續(xù)性18公司司根據(jù)風(fēng)風(fēng)險評估估的結(jié)果果，建立立業(yè)務(wù)持持續(xù)性計計劃，抵抵消信息息系統(tǒng)的的中斷造造成的影影響，防防止關(guān)鍵鍵業(yè)務(wù)過過程

10、受嚴(yán)嚴(yán)重的信信息系統(tǒng)統(tǒng)故障或或者災(zāi)難難的影響響，并確確保能夠夠及時恢恢復(fù)。19定期期對業(yè)務(wù)務(wù)持續(xù)性性計劃進(jìn)進(jìn)行測試試和更新新。九、違反信信息安全全要求的的懲罰20對違違反信息息安全方方針、職職責(zé)、程程序和措措施的人人員，按按規(guī)定進(jìn)進(jìn)行處理理。信息安全目目標(biāo)：1.不可接接受風(fēng)險險處理率率：1000% （所有有不可接接受風(fēng)險險應(yīng)降低低到可接接受的程程度）。2.重大顧顧客因信信息安全全事件投投訴為00次（重大顧顧客投訴訴是指直直接經(jīng)濟(jì)濟(jì)損失金金額達(dá)11萬元以以上）信息安全管管理手冊冊說明11公司司簡介XX1.1編制制依據(jù)和和目的本手冊在遵遵循ISSO90001：20005 信息安安全管理理體系要要求

11、與與ISOO/IEEC 2200000 信息息技術(shù)服服務(wù)管理理規(guī)范范的要要求編制制而成，包包括了IISO2270001：20005的全全部要求求，對附附錄A的的刪減見見適用用性聲明明SoAA。手冊描述公公司的信信息安全全管理體體系的總總要求，以以確保公公司的信信息安全全管理體體系能夠夠達(dá)到IISO2270001：20005信息息安全管管理標(biāo)準(zhǔn)準(zhǔn)的要求求；滿足足本公司司向客戶戶提供IIT服務(wù)務(wù)所需的的IT基基礎(chǔ)設(shè)施施和ITT技術(shù)支支持服務(wù)務(wù)，適用于于向客戶戶或認(rèn)證證機(jī)構(gòu)證證實(shí)，本本公司具具備提供供符合客客戶需求求的ITT服務(wù)能能力和服服務(wù)質(zhì)量量。本公司的體體系程序序是手冊冊的支持持性文件件，是對

12、對體系運(yùn)作作的具體體描述。1.2適用用范圍信息安全管管理&IIT服務(wù)務(wù)管理體體系手冊冊適用于于本公司司提供安安全管理理體系認(rèn)認(rèn)證服務(wù)務(wù)與ITT服務(wù)有有關(guān)的所所有部門門和活動動。13術(shù)語語和定義義1311本手冊冊應(yīng)用IISO/IECC 200000中中的術(shù)語語及定義義。1322本手冊冊應(yīng)用IISO/IECC270001中中的術(shù)語語及定義義。2 信息安安全管理理&ITT服務(wù)管管理手冊冊的管理理21手冊冊的編制制、批準(zhǔn)準(zhǔn)和發(fā)布布2111按照公公司業(yè)務(wù)務(wù)發(fā)展戰(zhàn)戰(zhàn)略和客客戶需求求，經(jīng)公公司管理理者代表表批準(zhǔn)，技技術(shù)服務(wù)務(wù)事業(yè)部部組織相相關(guān)人員員，結(jié)合合本公司司業(yè)務(wù)特特點(diǎn)，根根據(jù)ISSO/IIEC 200

13、000標(biāo)標(biāo)準(zhǔn)的要要求編寫寫。2122IT服務(wù)務(wù)管理手手冊由由公司管管理者代代表批準(zhǔn)準(zhǔn)后發(fā)布布。22手冊冊的分發(fā)發(fā)2211技術(shù)服服務(wù)事業(yè)業(yè)部負(fù)責(zé)責(zé)手冊的的發(fā)放、更更新、管管理與存存檔。2222公司各各部門負(fù)負(fù)責(zé)手冊冊的使用用和保管管。23手冊冊的受控控狀態(tài)2311書面形形式的手手冊分“有效文件”和“保留文件”兩種形式。作為公司日常運(yùn)營的依據(jù)及提供給外部認(rèn)證機(jī)構(gòu)的手冊均為“有效文件”形式。2322當(dāng)手冊冊內(nèi)容變變更時，“有效效文件”形形式的手手冊應(yīng)及及時予以以更新和和發(fā)放。2333“有效文文件”形形式的文文件在更更新后，如如需保存存原來的的版本，以以便于追追溯，則則應(yīng)當(dāng)用用“保留留文件”的標(biāo)識予以

14、以區(qū)分。2344電子形形式的手手冊由技技術(shù)服務(wù)務(wù)事業(yè)部部在工作作流轉(zhuǎn)系系統(tǒng)中進(jìn)進(jìn)行管理理。24手冊冊的變更更2411因公司司戰(zhàn)略調(diào)調(diào)整、客客戶需求求或改進(jìn)進(jìn)活動等等引起的的手冊內(nèi)內(nèi)容的變變更，按按公司總總經(jīng)理指指示，技技術(shù)服務(wù)務(wù)事業(yè)部部組織相相關(guān)部門門對涉及及變更的的內(nèi)容進(jìn)進(jìn)行更新新，并經(jīng)經(jīng)公司總總經(jīng)理批批準(zhǔn)后發(fā)發(fā)布。2422更新后后的手冊冊，應(yīng)及及時地發(fā)發(fā)放給公公司內(nèi)部部原手冊冊持有者者，并收收回舊版版的手冊冊。對電電子形式式的手冊冊，由技技術(shù)服務(wù)務(wù)事業(yè)部部按工作作流轉(zhuǎn)系系統(tǒng)中的的管理規(guī)規(guī)則進(jìn)行行更新和和歸檔管管理。25公司司內(nèi)部手手冊持有有者的責(zé)責(zé)任2511與公司司或部門門內(nèi)部的的相關(guān)人人

15、員溝通通、學(xué)習(xí)習(xí)手冊的的要求并并遵照執(zhí)執(zhí)行。2522妥善保保管，不不得私自自更改、曲曲解手冊冊的內(nèi)容容。不得得隨意向向其他與與公司業(yè)業(yè)務(wù)無關(guān)關(guān)的第三三方傳播播，如需需提供公公司以外外的第三三方參考考，應(yīng)經(jīng)經(jīng)技術(shù)服服務(wù)事業(yè)業(yè)部提交交公司主主管副總總經(jīng)理審審核后，報報公司總總經(jīng)理批批準(zhǔn)。3 公司司架構(gòu)和和安全承承諾3.1公司司行政組組織架構(gòu)構(gòu)總 經(jīng) 理總 經(jīng) 理文檔培訓(xùn)倉庫采購人力資源財務(wù)物流銷售市場測試質(zhì)量保證質(zhì)管部實(shí)文檔培訓(xùn)倉庫采購人力資源財務(wù)物流銷售市場測試質(zhì)量保證質(zhì)管部實(shí)施研發(fā)綜合管理部生技部商務(wù)部3.2公司司信息安安全管理理體系組織織架構(gòu)圖圖總 經(jīng) 理總 經(jīng) 理管理者代表商務(wù)部生技部綜合

16、管理部副管理者代表研發(fā)實(shí)施質(zhì)管部質(zhì)量保證測試客戶服務(wù)部銷售物流財務(wù)人力資源采購倉庫培訓(xùn)文檔安全委員會注：每個虛虛線框內(nèi)內(nèi)為一個個信息安安全小組組，部門門的負(fù)責(zé)責(zé)人為安安全組長長，各崗崗位負(fù)責(zé)責(zé)人為該該崗位的的安全員員。33公司司IT服務(wù)務(wù)管理職職能關(guān)系系架構(gòu)圖圖3.4信息息安全承承諾公司成立立安全管理理委員會會來領(lǐng)導(dǎo)導(dǎo)信息安安全工作作，并確確定相應(yīng)應(yīng)的職責(zé)責(zé)和作用用。制訂信息息安全方方針和信信息安全全目標(biāo)，建建立和完完善公司司的信息息安全管管理體系系。提供充分分的資源源以保證證信息安安全管理理體系的的制定、實(shí)實(shí)施、運(yùn)運(yùn)作、監(jiān)監(jiān)控、維維護(hù)和改改善。對公司信信息資產(chǎn)產(chǎn)實(shí)行有有效管理理，確保保信息的

17、的機(jī)密性性，維持持信息的的完整性性和可用用性，防防范對信信息的未未經(jīng)授權(quán)權(quán)訪問。對對公司信信息資產(chǎn)產(chǎn)進(jìn)行風(fēng)風(fēng)險評估估，制定定風(fēng)險可可接受標(biāo)標(biāo)準(zhǔn)，對對公司不不能接受受的風(fēng)險險進(jìn)行處處置。建立業(yè)務(wù)務(wù)持續(xù)性性管理流流程。進(jìn)進(jìn)行業(yè)務(wù)務(wù)持續(xù)性性風(fēng)險評評估，編編寫、測測試并實(shí)實(shí)施業(yè)務(wù)務(wù)持續(xù)性性計劃和和災(zāi)難恢恢復(fù)計劃劃，以保證證公司關(guān)關(guān)鍵業(yè)務(wù)務(wù)的連續(xù)續(xù)，不受受重大故故障和災(zāi)災(zāi)難的影影響。確保公司司所有員員工都接接受信息息安全的的教育培培訓(xùn)，提提高信息息安全意意識。保護(hù)公司司、客戶戶、相關(guān)關(guān)合作方方的信息息安全。建立公司司信息安安全組織織架構(gòu)，明明確信息息安全責(zé)責(zé)任，確確定報告告可疑的的和發(fā)生生的信息息安全事

18、事故及事事件的流流程，對對違反安安全制度度的人員員進(jìn)行懲懲罰。建立物理理安全和和網(wǎng)絡(luò)安安全管理理制度，以以確保信信息的安安全性。保護(hù)公司司軟件和和信息的的完整性性，防止止病毒與與各種惡惡意軟件件的入侵侵。任何人在在未經(jīng)審審批的情情況下，禁禁止將信信息資產(chǎn)產(chǎn)帶離公公司。公司所有有員工都都要嚴(yán)格格遵守公公司的安安全方針針、程序序和制度度。控制對內(nèi)內(nèi)外部網(wǎng)網(wǎng)絡(luò)服務(wù)務(wù)的訪問問，保護(hù)護(hù)網(wǎng)絡(luò)服服務(wù)的安安全性與與可用性性。對用戶賬賬號、口口令和權(quán)權(quán)限進(jìn)行行嚴(yán)格管管理，防防止對信信息系統(tǒng)統(tǒng)的非授授權(quán)訪問問。對重要信信息進(jìn)行行備份保保護(hù)，以以保證信信息的可可用性。定期對信信息安全全管理體體系進(jìn)行行內(nèi)審和和管理評

19、評審。3.5信息息安全管管理委員員會為了加強(qiáng)對對信息安安全管理理體系運(yùn)運(yùn)作的管管理，江江蘇金馬馬揚(yáng)名信信息技術(shù)術(shù)有限公公司公司司成立信信息安全全管理委委員會，其其職責(zé)見見下列明明細(xì)表。信息安全管管理職責(zé)責(zé)明細(xì)表表序號單位/部門門信息安全職職責(zé)1信息安全管理委員會會信息安全管管理委員員會是我我公司信信息安全全最高組組織機(jī)構(gòu)構(gòu)，負(fù)責(zé)責(zé)本單位位網(wǎng)絡(luò)與與信息安安全重大大事項的的決策和和協(xié)調(diào)，并并對全公公司信息息安全工工作負(fù)責(zé)責(zé)。2總經(jīng)理信息安全第第一責(zé)任任人，制制定信息息安全方方針，對對信息安安全全面面負(fù)責(zé)。3管理者代表表經(jīng)總經(jīng)理授授權(quán)負(fù)責(zé)責(zé)建立、實(shí)實(shí)施、檢檢查、改改進(jìn)信息息安全管管理體系系。4綜合管

20、理部部我公司信息息安全管管理體系系的歸口口管理部部門。負(fù)責(zé)管理體體系的建建立、實(shí)實(shí)施、保保持、測測量和改改進(jìn)。負(fù)責(zé)文件控控制、記記錄控制制、內(nèi)部部審核的的組織、管管理評審審的組織織和體系系的改進(jìn)進(jìn)。負(fù)責(zé)本公司司保密工工作的管管理。安全區(qū)域的的保衛(wèi)管管理部門門，負(fù)責(zé)責(zé)安全區(qū)區(qū)域的管管理。負(fù)責(zé)全公司司人員安安全管理理，包括括人員聘聘用管理理，保密密協(xié)議簽簽署，員員工的能能力、意意識和培培訓(xùn)，員員工離職職管理。負(fù)責(zé)涉密信信息上網(wǎng)網(wǎng)、涉密密計算機(jī)機(jī)運(yùn)行、檢檢修、報報廢的監(jiān)監(jiān)督管理理。對信息安全全日常工工作實(shí)施施動態(tài)考考核，將將信息安安全管理理作為企企業(yè)管理理的重要要工作內(nèi)內(nèi)容。參與涉密及及司法介介入的

21、信信息安全全事件的的調(diào)查。5生產(chǎn)技術(shù)部部是我公司信信息系統(tǒng)統(tǒng)安全管管理部門門。負(fù)責(zé)局域網(wǎng)網(wǎng)上所承承擔(dān)的各各類信息息系統(tǒng)的的管理職職能；負(fù)責(zé)我公司司信息系系統(tǒng)安全全日常管管理。6其他部門認(rèn)真執(zhí)行信信息安全全管理的的方針、標(biāo)標(biāo)準(zhǔn)、安安全策略略和規(guī)范范，做好好內(nèi)部培培訓(xùn)。備注：以上上職能劃劃分，適適用所有有信息安安全管理理體系文文件。信息安全管管理委員員會組成成人員：姓名部門職務(wù)備注36服務(wù)務(wù)管理職職能說明明3611為保證證IT服務(wù)務(wù)管理體體系的順順利實(shí)施施，以及及實(shí)施后后得到持持續(xù)的管管理和維維護(hù)，在在現(xiàn)有的的組織架架構(gòu)外建建立服務(wù)務(wù)管理職職能關(guān)系系架構(gòu)。IIT服務(wù)務(wù)管理職職能關(guān)系系架構(gòu)，并并不替

22、代代現(xiàn)有的的按技術(shù)術(shù)類別進(jìn)進(jìn)行的分分工，現(xiàn)現(xiàn)有的按按技術(shù)類類別進(jìn)的的分工，在在將來的的IT服服務(wù)管理理體系中中仍將發(fā)發(fā)揮其作作用。服服務(wù)部根根據(jù)ITT服務(wù)管管理程序序要求對對所有服服務(wù)合同同按照項項目進(jìn)行行管理與與運(yùn)行，由由項目經(jīng)經(jīng)理按照照服務(wù)管管理職能能關(guān)系架架構(gòu)中的的要求對對項目執(zhí)執(zhí)行管理理。一個個完整的的服務(wù)項項目必須須包含服服務(wù)臺、事事件管理理、業(yè)務(wù)務(wù)關(guān)系管管理、信信息安全全管理、供供應(yīng)商管管理和IIT財務(wù)務(wù)管理。對對于上圖圖虛線框框內(nèi)的的的問題管管理、發(fā)發(fā)布管理理、配置置管理、變變更管理理、可用用性和連連續(xù)性管管理、容容量管理理、服務(wù)務(wù)級別管管理以及及服務(wù)報報告可由由服務(wù)部部經(jīng)理依依

23、照與用用戶簽署署的服務(wù)務(wù)合同進(jìn)進(jìn)行選擇擇裁剪。3622 角色分分配說明明36221針針對服務(wù)務(wù)部當(dāng)前前組織架架構(gòu)及人人員狀況況，將不不再為每每一具體體流程分分配流程程經(jīng)理。為為此將113個流流程，按按其必要要程度分分成必選選流程和和可裁剪剪流程兩兩大模塊塊。由項項目經(jīng)理理負(fù)責(zé)相相應(yīng)流程程的實(shí)施施、管理理和控制制。對項項目組成成員主要要是組織織、協(xié)調(diào)調(diào)、安排排相應(yīng)工工作任務(wù)務(wù)的完成成，可能能并不是是由自己己去完成成。362211 項目經(jīng)經(jīng)理職責(zé)說明：1）、負(fù)負(fù)責(zé)ITT服務(wù)項項目的立立項工作作，按照照服務(wù)合合同要求求負(fù)責(zé)相相應(yīng)流程程的實(shí)施施、管理理和控制制。組織織、協(xié)調(diào)調(diào)、安排排項目組組成員完完成

24、相應(yīng)應(yīng)工作任任務(wù)。2）、負(fù)責(zé)責(zé)從服務(wù)務(wù)臺接受受事件報報告開始始，分配配相應(yīng)的的職能小小組進(jìn)行行事件處處理，直直至找到到問題的的根本原原因的整整個過程程的管理理和協(xié)調(diào)調(diào)。3）、負(fù)責(zé)責(zé)各系統(tǒng)統(tǒng)的配置置管理、變變更和發(fā)發(fā)布控制制。4）、負(fù)責(zé)責(zé)系統(tǒng)的的可用性性規(guī)劃和和管理、負(fù)負(fù)責(zé)安排排系統(tǒng)連連續(xù)性的的計劃和和演練，并并負(fù)責(zé)系系統(tǒng)容量量的規(guī)劃劃和監(jiān)控控。5）、主要要負(fù)責(zé)與與用戶的的溝通，對對供應(yīng)商商的管理理，以及及項目的的預(yù)/決決算的管管理。362212能力力要求：熟悉服服務(wù)部的的各種服服務(wù)管理理流程，具具有較強(qiáng)強(qiáng)的內(nèi)部部協(xié)調(diào)能能力。 由管管理者代代表授權(quán)權(quán)技術(shù)服服務(wù)事業(yè)業(yè)部總監(jiān)監(jiān)，按IISO/IECC

25、 2000000的要求求，負(fù)責(zé)責(zé)協(xié)調(diào)和和組織所所有與IIT服務(wù)務(wù)有關(guān)的的活動，通通過管理理和實(shí)施各項活動，使使IT服務(wù)務(wù)業(yè)務(wù)的的質(zhì)量得得到有效效的保持持和維護(hù)護(hù)。 技術(shù)術(shù)服務(wù)事事業(yè)部組組織制訂訂、批準(zhǔn)準(zhǔn)和發(fā)布布公司IIT服務(wù)務(wù)策略、服服務(wù)目標(biāo)標(biāo)，并使使其成為為公司關(guān)關(guān)注的焦焦點(diǎn)，成成為公司司協(xié)調(diào)、統(tǒng)統(tǒng)一、凝凝聚公司司的所有有活動和和資源的的準(zhǔn)則，成成為建立立、實(shí)施施、保持持并改進(jìn)進(jìn)IT服務(wù)務(wù)管理體體系的宗宗旨。3633公司 ITT服務(wù)策策略：客戶至上、全全員參與與、創(chuàng)新新高效、系系統(tǒng)管理理、追求求卓越公司 ITT服務(wù)目目標(biāo)：公司通過服服務(wù)質(zhì)量量改進(jìn)程程序確定定年度服服務(wù)質(zhì)量量目標(biāo) 公司司的IT

26、T服務(wù)目目標(biāo)按IISO/IECC 2000000的要求求，與公公司的業(yè)業(yè)務(wù)相結(jié)結(jié)合，并并通過流流程績效效不斷提提高和改改進(jìn)。 技術(shù)術(shù)服務(wù)事事業(yè)部負(fù)負(fù)責(zé)組織織相關(guān)部門門，通過過會議、評評審、書書面報告告、培訓(xùn)訓(xùn)等方式式，及時時有效溝溝通工作作，達(dá)到到IT服務(wù)務(wù)管理目目標(biāo)和持持續(xù)改進(jìn)進(jìn)的需求求，并在在公司中中積極貫貫徹實(shí)施施IT服務(wù)務(wù)管理的的重要性性。技術(shù)服務(wù)事事業(yè)部負(fù)負(fù)責(zé)組織織相關(guān)部門門按照PPDCAA的要求求，通過過對所屬屬業(yè)務(wù)的的規(guī)劃，適適時優(yōu)化化和提供供資源以以計劃、實(shí)實(shí)施、監(jiān)監(jiān)控、評評審和改改進(jìn)ITT服務(wù)的的交付和和管理。 管理者代代表按照照服務(wù)務(wù)質(zhì)量改改進(jìn)管理理程序中中的計劃劃間隔，由

27、由技術(shù)服服務(wù)事業(yè)業(yè)部負(fù)責(zé)責(zé)組織相相關(guān)部門門實(shí)施IIT服務(wù)務(wù)管理體體系的內(nèi)內(nèi)部審核核，確保保IT服務(wù)管體體系的有有效性與與符合性性。管理者代表表按照服服務(wù)質(zhì)量量改進(jìn)管管理程序序中的的計劃間間隔，組組織相關(guān)關(guān)部門執(zhí)執(zhí)行ITT服務(wù)管管理體系系的管理理評審，確確保ITT服務(wù)管管理體系系持續(xù)的的穩(wěn)定、充充分和有有效。3644文件要要求36441公公司的文文件管理理體系分分為A、BB、C、DD四層，即即A層為為管理手手冊、BB層為程程序文件件、C層層為工作作流程或或規(guī)定、DD層為記記錄。36442管管理手冊冊 描述ITT服務(wù)管管理體系系的文件件，是全全體員工工必須長長期遵循循的法規(guī)規(guī)性文件件。36443程

28、程序文件件 覆蓋公公司主要要業(yè)務(wù)過過程的流流程文件件，是管管理手冊冊的支撐撐性文件件。36444工工作流程程或規(guī)定定 是開開展具體體業(yè)務(wù)工工作的規(guī)規(guī)范類、指指導(dǎo)性文文件，是是程序文文件的支支持性文文件。36445記記錄 在開開展具體體業(yè)務(wù)工工作過程程中產(chǎn)生生的記錄錄類文件件，主要要是為具具體工作作結(jié)果提提供各種種可追溯溯性證據(jù)據(jù)。36446技技術(shù)服務(wù)務(wù)事業(yè)部部負(fù)責(zé)組織織制訂文文件和記記錄管理理程序，明明確文件件的擬制制、批準(zhǔn)準(zhǔn)、發(fā)放放、變更更、存檔檔等管理理要求，并并監(jiān)控實(shí)施施。36447技技術(shù)服務(wù)務(wù)事業(yè)部部負(fù)責(zé)組組織相關(guān)關(guān)部門，根根據(jù)公司司的業(yè)務(wù)務(wù)特點(diǎn)及及標(biāo)準(zhǔn)的的要求，制制訂相關(guān)關(guān)的程序序文

29、件，經(jīng)經(jīng)公司管管理者代代表批準(zhǔn)準(zhǔn)后實(shí)施施。36448技技術(shù)服務(wù)務(wù)事業(yè)部部負(fù)責(zé)組組織擬制制與本部部門業(yè)務(wù)務(wù)相關(guān)的的各類CC層文件件，并按按文件件和記錄錄管理程程序的的要求對對文件和和記錄的的有效性性進(jìn)行管管理。4信息安全全管4.1總要要求4.1.11 公司司根據(jù)整整體業(yè)務(wù)務(wù)活動（軟軟件開發(fā)發(fā)、經(jīng)營營、服務(wù)務(wù)和日常常管理活活動）和和所面臨臨的風(fēng)險險，按IISO/IECC 2770011:20005信信息技術(shù)術(shù)-安全全技術(shù)-信息安安全管理理體系-要求規(guī)規(guī)定，參參照ISSO/IIEC 270002:20005信信息技術(shù)術(shù)-安全全技術(shù)-信息安安全管理理實(shí)用規(guī)規(guī)則標(biāo)標(biāo)準(zhǔn)，建建立、實(shí)實(shí)施、運(yùn)運(yùn)作、監(jiān)監(jiān)控、維

30、維護(hù)并改改進(jìn)文件件化的信信息安全全管理體體系。4.1.22本手冊冊使用的的過程基基于PDDCA模模式。相關(guān)文件：信息安全全方針及及目標(biāo)4.2建立立和管理理信息安安全管理理體系（ISMS）4.2.11建立ISSMS4.2.11.1 信息安安全管理理體系的的范圍和和邊界本公司根據(jù)據(jù)業(yè)務(wù)特特征、組組織結(jié)構(gòu)構(gòu)、地理理位置、資資產(chǎn)和技技術(shù)定義義了范圍圍和邊界界，本公公司信息息安全管管理體系系的范圍圍包括：a) 本公公司涉及及軟件開開發(fā)、營營銷、服服務(wù)和日日常管理理的業(yè)務(wù)務(wù)系統(tǒng)；b) 與所所述信息息系統(tǒng)有有關(guān)的活活動；c) 與所所述信息息系統(tǒng)有有關(guān)的部部門和所所有員工工；d) 所述述活動、系系統(tǒng)及支支持性

31、系系統(tǒng)包含含的全部部信息資資產(chǎn)。組織范圍：本公司根據(jù)據(jù)組織的的業(yè)務(wù)特特征和組組織結(jié)構(gòu)構(gòu)定義了了信息安安全管理理體系的的組織范范圍，見見本手冊冊JINN/QMM3.22公司信息息安全管管理體系系組織架架構(gòu)。物理范圍：本公司根據(jù)據(jù)組織的的業(yè)務(wù)特特征、組組織結(jié)構(gòu)構(gòu)、地理理位置、資資產(chǎn)和技技術(shù)定義義了信息息安全管管理體系系的物理理范圍和和信息安安全邊界界。本公司ISSMS的的物理范范圍為本本公司位位于xxxxxxxxxxxxxxxxxxxx的辦辦公場所所，安全全邊界詳詳見附錄錄A（規(guī)規(guī)范性附附錄）辦辦公場所所平面圖圖。4.2.11.2 信息安安全管理理體系的的方針為了滿足適適用法律律法規(guī)及及相關(guān)方方要

32、求，維維持軟件件開發(fā)和和經(jīng)營的的正常進(jìn)進(jìn)行，實(shí)實(shí)現(xiàn)業(yè)務(wù)務(wù)可持續(xù)續(xù)發(fā)展的的目的。本本公司根根據(jù)組織織的業(yè)務(wù)務(wù)特征、組組織結(jié)構(gòu)構(gòu)、地理理位置、資資產(chǎn)和技技術(shù)定義義了信息息安全管管理體系系方針，見見本信息息安全管管理手冊冊第0.3條款。該信息安全全方針符符合以下下要求：a) 為信信息安全全目標(biāo)建建立了框框架，并并為信息息安全活活動建立立整體的的方向和和原則；b) 考慮慮業(yè)務(wù)及及法律或或法規(guī)的的要求，及及合同的的安全義義務(wù)；c) 與組組織戰(zhàn)略略和風(fēng)險險管理相相一致的的環(huán)境下下，建立立和保持持信息安安全管理理體系；d) 建立立了風(fēng)險險評價的的準(zhǔn)則；e) 經(jīng)最最高管理理者批準(zhǔn)準(zhǔn)。為實(shí)現(xiàn)信息息安全管管理體系

33、系方針，本本公司承承諾：a) 在各各層次建建立完整整的信息息安全管管理組織織機(jī)構(gòu)，確確定信息息安全目目標(biāo)和控控制措施施；明確確信息安安全的管管理職責(zé)責(zé)，見本本信息安安全管理理手冊第第3.4條款。；b) 識別別并滿足足適用法法律、法法規(guī)和相相關(guān)方信信息安全全要求； c) 定期期進(jìn)行信信息安全全風(fēng)險評評估，信信息安全全管理體體系評審審，采取取糾正預(yù)預(yù)防措施施，保證證體系的的持續(xù)有有效性；d）采用先先進(jìn)有效效的設(shè)施施和技術(shù)術(shù)，處理理、傳遞遞、儲存存和保護(hù)護(hù)各類信信息，實(shí)實(shí)現(xiàn)信息息共享；e) 對全全體員工工進(jìn)行持持續(xù)的信信息安全全教育和和培訓(xùn)，不不斷增強(qiáng)強(qiáng)員工的的信息安安全意識識和能力力；f) 制定定

34、并保持持完善的的業(yè)務(wù)連連續(xù)性計計劃，實(shí)實(shí)現(xiàn)可持持續(xù)發(fā)展展。4.2.11.3 風(fēng)險評評估的方方法生技部負(fù)責(zé)責(zé)制定信信息安全全風(fēng)險管管理程序序，建建立識別別適用于于信息安安全管理理體系和和已經(jīng)識識別的業(yè)業(yè)務(wù)信息息安全、法法律和法法規(guī)要求求的風(fēng)險險評估方方法，建建立接受受風(fēng)險的的準(zhǔn)則并并識別風(fēng)風(fēng)險的可可接受等等級。信信息安全全風(fēng)險評評估采用用信息安安全風(fēng)險險管理軟軟件（Infoo-riiskmmanaagerr）進(jìn)行行，以保保證所選選擇的風(fēng)風(fēng)險評估估方法應(yīng)應(yīng)確保風(fēng)風(fēng)險評估估能產(chǎn)生生可比較較的和可可重復(fù)的的結(jié)果。4.2.11.4 識別風(fēng)風(fēng)險在已確定的的信息安安全管理理體系范范圍內(nèi)，本本公司按按信息息安

35、全風(fēng)風(fēng)險管理理程序，采采用Innfo-risskmaanagger風(fēng)風(fēng)險管理理軟件，對對所有的的資產(chǎn)進(jìn)進(jìn)行了識識別，并并識別了了這些資資產(chǎn)的所所有者。資資產(chǎn)包括括硬件、設(shè)設(shè)施、軟軟件與系系統(tǒng)、數(shù)數(shù)據(jù)、文文檔、服服務(wù)及人人力資源源。對每每一項資資產(chǎn)按自自身價值值、信息息分類、保保密性、完完整性、法法律法規(guī)規(guī)符合性性要求進(jìn)進(jìn)行了量量化賦值值，根據(jù)據(jù)重要資資產(chǎn)判斷斷依據(jù)確確定是否否為重要要資產(chǎn)，形形成了重重要資產(chǎn)產(chǎn)清單。同時，根據(jù)據(jù)信息息安全風(fēng)風(fēng)險管理理程序，識識別了對對這些資資產(chǎn)的威威脅、可可能被威威脅利用用的脆弱弱性、識識別資產(chǎn)產(chǎn)價值、保保密性、完完整性和和可用性性、合規(guī)規(guī)性損失失可能對對資產(chǎn)造

36、造成的影影響。4.2.11.5 分析和和評價風(fēng)風(fēng)險本公司按信信息安全全風(fēng)險管管理程序序，采采用信息息安全風(fēng)風(fēng)險管理理軟件，分分析和評評價風(fēng)險險：a) 針對對重要資資產(chǎn)自身身價值、保保密性、完完整性和和可用性性、合規(guī)規(guī)性損失失導(dǎo)致的的后果進(jìn)進(jìn)行賦值值；b) 針對對每一項項威脅、薄薄弱點(diǎn)，對對資產(chǎn)造造成的影影響，考考慮現(xiàn)有有的控制制措施，判判定安全全失效發(fā)發(fā)生的可可能性，并并進(jìn)行賦賦值；c) 根據(jù)據(jù)信息息安全風(fēng)風(fēng)險管理理程序計計算風(fēng)險險等級；d) 根據(jù)據(jù)信息息安全風(fēng)風(fēng)險管理理程序及及風(fēng)險接接受準(zhǔn)則則，判斷斷風(fēng)險為為可接受受或需要要處理。4.2.11.6 識別和和評價風(fēng)風(fēng)險處理理的選擇擇網(wǎng)絡(luò)管理部部

37、組織有有關(guān)部門門根據(jù)風(fēng)風(fēng)險評估估的結(jié)果果，形成成風(fēng)險險處理計計劃，該該計劃明明確了風(fēng)風(fēng)險處理理責(zé)任部部門、負(fù)負(fù)責(zé)人、處處理方法法及起始始、完成成時間。對于信息安安全風(fēng)險險，應(yīng)考考慮控制制措施與與費(fèi)用的的平衡原原則，選選用以下下適當(dāng)?shù)牡拇胧篴) 控制制風(fēng)險，采采用適當(dāng)當(dāng)?shù)膬?nèi)部部控制措措施；b) 接受受風(fēng)險（不不可能將將所有風(fēng)風(fēng)險降低低為零）；c) 避免免風(fēng)險（如如物理隔隔離）；d) 轉(zhuǎn)移移風(fēng)險（如如將風(fēng)險險轉(zhuǎn)移給給保險者者、供方方、分包包商）。4.2.11.7選選擇控制制目標(biāo)與與控制措措施網(wǎng)絡(luò)管理部部根據(jù)信信息安全全方針、業(yè)業(yè)務(wù)發(fā)展展要求及及風(fēng)險評評估的結(jié)結(jié)果，組組織有關(guān)關(guān)部門制制定了信信息安

38、全全目標(biāo)，并并將目標(biāo)標(biāo)分解到到有關(guān)部部門（見見信息息安全適適用性聲聲明）：a)信息安安全控制制目標(biāo)獲獲得了信信息安全全最高責(zé)責(zé)任者的的批準(zhǔn)。b)控制目目標(biāo)及控控制措施施的選擇擇原則來來源于IISO/IECC 2770011:20005信信息技術(shù)術(shù)-安全全技術(shù)-信息安安全管理理體系-要求附附錄A，具具體控制制措施參參考ISSO/IIEC 270002:20005信信息技術(shù)術(shù)-安全全技術(shù)-信息安安全管理理實(shí)用規(guī)規(guī)則。c)本公司司根據(jù)信信息安全全管理的的需要，可可以選擇擇標(biāo)準(zhǔn)之之外的其其他控制制措施。4.2.11.8 對風(fēng)險險處理后后的剩余余風(fēng)險，得得到了公公司最高高管理者者的批準(zhǔn)準(zhǔn)。4.2.11.

39、9 最高管管理者通通過本手手冊對實(shí)實(shí)施和運(yùn)運(yùn)行信息息安全管管理體系系進(jìn)行了了授權(quán)。4.2.11.100 適用用性聲明明生技部負(fù)責(zé)責(zé)編制信信息安全全適用性性聲明（SSoA）。該該聲明包包括以下下方面的的內(nèi)容：a)所選擇擇控制目目標(biāo)與控控制措施施的概要要描述，以以及選擇擇的原因因；b)對ISSO/IIEC 270001:20005附錄錄A中未未選用的的控制目目標(biāo)及控控制措施施理由的的說明。4.2.22實(shí)施和和運(yùn)行IISMSS 4.2.22.1為為確保信信息安全全管理體體系有效效實(shí)施，對對已識別別的風(fēng)險險進(jìn)行有有效處理理，本公公司開展展以下活活動：a)形成風(fēng)風(fēng)險處理理計劃，以以確定適適當(dāng)?shù)墓芄芾泶胧?/p>

40、施、職責(zé)責(zé)及安全全控制措措施的優(yōu)優(yōu)先級；b)為實(shí)現(xiàn)現(xiàn)已確定定的安全全目標(biāo)、實(shí)實(shí)施風(fēng)風(fēng)險處理理計劃，明明確各崗崗位的信信息安全全職責(zé)；c)實(shí)施所所選擇的的控制措措施，以以實(shí)現(xiàn)控控制目標(biāo)標(biāo)的要求求；d)確定如如何測量量所選擇擇的控制制措施的的有效性性，并規(guī)規(guī)定這些些測量措措施如何何用于評評估控制制的有效效性以得得出可比比較的、可可重復(fù)的的結(jié)果；e)進(jìn)行信信息安全全培訓(xùn)，提提高全員員信息安安全意識識和能力力；f)對信息息安全體體系的運(yùn)運(yùn)作進(jìn)行行管理；g)對信息息安全所所需資源源進(jìn)行管管理；h)實(shí)施控控制程序序，對信信息安全全事件（或或征兆）進(jìn)進(jìn)行迅速速反應(yīng)。4.2.22.2 信息安安全組織織機(jī)構(gòu)本公

41、司成立立了的信信息安全全領(lǐng)導(dǎo)機(jī)機(jī)構(gòu)-信信息安全全委員會會，其職職責(zé)是實(shí)實(shí)現(xiàn)信息息安全管管理體系系方針和和本公司司承諾。具具體職責(zé)責(zé)是：研研究決定定貫標(biāo)工工作涉及及到的重重大事項項；審定定公司信信息安全全方針、目目標(biāo)、工工作計劃劃和重要要文件；為貫標(biāo)標(biāo)工作的的有序推推進(jìn)和信信息安全全管理體體系的有有效運(yùn)行行提供必必要的資資源。本公司由相相關(guān)部門門代表組組成信息息安全管管理網(wǎng)絡(luò)絡(luò)，采用用聯(lián)席會會議（協(xié)協(xié)調(diào)會）的的方式，進(jìn)進(jìn)行信息息安全協(xié)協(xié)調(diào)和協(xié)協(xié)作，以以：a) 確保保安全活活動的執(zhí)執(zhí)行符合合信息安安全方針針；b) 確定定怎樣處處理不符符合；c) 批準(zhǔn)準(zhǔn)信息安安全的方方法和過過程，如如風(fēng)險評評估、信

42、信息分類類；d) 識別別重大的的威脅變變化，以以及信息息和相關(guān)關(guān)的信息息處理設(shè)設(shè)施對威威脅的暴暴露；e) 評估估信息安安全控制制措施實(shí)實(shí)施的充充分性和和協(xié)調(diào)性性；f) 有效效的推動動組織內(nèi)內(nèi)信息安安全教育育、培訓(xùn)訓(xùn)和意識識；g) 評價價根據(jù)信信息安全全事件監(jiān)監(jiān)控和評評審得出出的信息息，并根根據(jù)識別別的信息息安全事事件推薦薦適當(dāng)?shù)牡拇胧?4.2.22.3信信息安全全職責(zé)和和權(quán)限本公司總經(jīng)經(jīng)理為信信息安全全最高責(zé)責(zé)任者。總總經(jīng)理指指定了信信息安全全管理者者代表。無無論信息息安全管管理者代代表在其其他方面面的職責(zé)責(zé)如何，對對信息安安全負(fù)有有以下職職責(zé)：a) 建立立并實(shí)施施信息安安全管理理體系必必要

43、的程程序并維維持其有有效運(yùn)行行；b) 對信信息安全全管理體體系的運(yùn)運(yùn)行情況況和必要要的改善善措施向向信息安安全領(lǐng)導(dǎo)導(dǎo)小組或或最高責(zé)責(zé)任者報報告。各部門負(fù)責(zé)責(zé)人為本本部門信信息安全全管理責(zé)責(zé)任者，全全體員工工都應(yīng)按按保密承承諾的要要求自覺覺履行信信息安全全保密義義務(wù)；各部門、人人員有關(guān)關(guān)信息安安全職責(zé)責(zé)分配見見本信息息安全管管理手冊冊第3.4條款信信息安全全管理職職責(zé)明細(xì)細(xì)表和和相應(yīng)的的程序文文件。4.2.22.4 各部門門應(yīng)按照照信息息安全適適用性聲聲明中中規(guī)定的的安全目目標(biāo)、控控制措施施（包括括安全運(yùn)運(yùn)行的各各種控制制程序）的的要求實(shí)實(shí)施信息息安全控控制措施施。4.2.33監(jiān)控和評審ISMM

44、S 4.2.33.1本本公司通通過實(shí)施施不定期期安全檢檢查、內(nèi)內(nèi)部審核核、事故故（事件件）報告告調(diào)查處處理、電電子監(jiān)控控、定期期技術(shù)檢檢查等控控制措施施并報告告結(jié)果以以實(shí)現(xiàn)：a)及時發(fā)發(fā)現(xiàn)處理理結(jié)果中中的錯誤誤、信息息安全體體系的事事故（事事件）和和隱患；b)及時了了解識別別失敗的的和成功功的安全全破壞和和事件、信信息處理理系統(tǒng)遭遭受的各各類攻擊擊；c)使管理理者確認(rèn)認(rèn)人工或或自動執(zhí)執(zhí)行的安安全活動動達(dá)到預(yù)預(yù)期的結(jié)結(jié)果；d)使管理理者掌握握信息安安全活動動和解決決安全破破壞所采采取的措措施是否否有效；e)積累信信息安全全方面的的經(jīng)驗;4.2.33.2根根據(jù)以上上活動的的結(jié)果以以及來自自相關(guān)方方

45、的建議議和反饋饋，由總總經(jīng)理主主持，每每年至少少一次對對信息安安全管理理體系的的有效性性進(jìn)行評評審，其其中包括括信息安安全范圍圍、方針針、目標(biāo)標(biāo)的符合合性及控控制措施施有效性性的評審審，考慮慮安全審審核、事事件、有有效性測測量的結(jié)結(jié)果，以以及所有有相關(guān)方方的建議議和反饋饋。管理理評審的的具體要要求，見見本手冊冊第7章章。4.2.33.3 網(wǎng)絡(luò)管管理部應(yīng)應(yīng)組織有有關(guān)部門門按照信信息安全全風(fēng)險管管理程序序的要要求，采采用信息息安全風(fēng)風(fēng)險管理理軟件，對對風(fēng)險處處理后的的殘余風(fēng)風(fēng)險進(jìn)行行定期評評審，以以驗證殘殘余風(fēng)險險是否達(dá)達(dá)到可接接受的水水平，對對以下方方面變更更情況應(yīng)應(yīng)及時進(jìn)進(jìn)行風(fēng)險險評估：a)

46、組織織； b) 技術(shù)術(shù)；c) 業(yè)務(wù)務(wù)目標(biāo)和和過程；d) 已識識別的威威脅；e) 實(shí)施施控制的的有效性性； f) 外部部事件，例例如法律律或規(guī)章章環(huán)境的的變化、合合同責(zé)任任的變化化以及社社會環(huán)境境的變化化。4.2.33.4按按照計劃劃的時間間間隔進(jìn)進(jìn)行信息息安全管管理體系系內(nèi)部審審核，內(nèi)內(nèi)部審核核的具體體要求，見見本手冊冊第6章章。4.2.33.5定定期對信信息安全全管理體體系進(jìn)行行管理評評審，以以確保范范圍的充充分性，并并識別信信息安全全管理體體系過程程的改進(jìn)進(jìn)，管理理評審的的具體要要求，見見本手冊冊第7章章。4.2.33.6考考慮監(jiān)視視和評審審活動的的發(fā)現(xiàn)，更更新安全全計劃。4.2.33.7

47、記記錄可能能對信息息安全管管理體系系有效性性或業(yè)績績有影響響的活動動和事情情。4.2.44保持與與持續(xù)改改進(jìn)ISSMS我公司開展展以下活活動，以以確保信信息安全全管理體體系的持持續(xù)改進(jìn)進(jìn)：a) 實(shí)施施每年管管理評審審、內(nèi)部部審核、安安全檢查查等活動動以確定定需改進(jìn)進(jìn)的項目目；b) 按照照內(nèi)部部審核管管理程序序、糾糾正措施施管理程程序、預(yù)預(yù)防措施施管理程程序的的要求采采取適當(dāng)當(dāng)?shù)募m正正和預(yù)防防措施；吸取其其他組織織及本公公司安全全事故（事事件）的的經(jīng)驗教教訓(xùn)，不不斷改進(jìn)進(jìn)安全措措施的有有效性；c) 通過過適當(dāng)?shù)牡氖侄伪１３衷趦?nèi)內(nèi)部對信信息安全全措施的的執(zhí)行情情況與結(jié)結(jié)果進(jìn)行行有效的的溝通。包包括

48、獲取取外部信信息安全全專家的的建議、信信息安全全政府行行政主管管部門的的聯(lián)系及及識別顧顧客對信信息安全全的要求求等；d) 對信信息安全全目標(biāo)及及分解進(jìn)進(jìn)行適當(dāng)當(dāng)?shù)墓芾砝恚_保保改進(jìn)達(dá)達(dá)到預(yù)期期的效果果。相關(guān)文件：系統(tǒng)風(fēng)險險評估方方法適用性聲聲明管理評審審程序內(nèi)部審核核控制程程序糾正措施施控制程程序預(yù)防措施施控制程程序4.3文件件要求 4.3.11總則 ISMS文文件應(yīng)包包括： a) 形成成文件的的ISMMS方針針和控制制目標(biāo)； b) ISSMS范范圍c) ISSMS的的支持性性程序和和控制措措施； d) 風(fēng)險險評估方方法的描描述； e) 風(fēng)險險評估報報告； f) 風(fēng)險險處置計劃； g) 公司司

49、為確保保其信息息安全過過程的有有效策劃劃、運(yùn)行和和控制以以及規(guī)定定如何測測量控制制措施有有效性所所需的程程序文件件； h) 標(biāo)準(zhǔn)準(zhǔn)所要求求的記錄錄； i) 適用用性聲明明。 所有文件應(yīng)應(yīng)按ISSMS方方針要求求在需要要時可獲獲得。 4.3.22文件控控制 ISMS所所要求的的文件應(yīng)應(yīng)予以保保護(hù)和控控制，應(yīng)編制制形成文文件的程程序以規(guī)規(guī)定以下下方面所所需的管管理措施施：a) 文件件發(fā)布前前得到批批準(zhǔn)以確確保文件件是充分分的； b) 必要要時對文文件進(jìn)行行評審與與更新并并再次批批準(zhǔn)； c) 確保保文件的的更改和和現(xiàn)行修修訂狀態(tài)態(tài)得到識識別； d) 確保保在使用用處可獲獲得適用用文件的的適用版版本；

50、 e) 確保保文件保保持合法法并易于識識別； f) 確保保外來文文件得到到識別； g) 確保保文件的的分發(fā)是是受控的的； h) 防止止作廢文文件的非非預(yù)期使使用； i) 若因因任何原原因而保保留作廢廢文件時時對這些些文件進(jìn)進(jìn)行適當(dāng)當(dāng)?shù)臉?biāo)識識； 4.3.33記錄控控制 應(yīng)建立并保保持記錄錄，以提提供符合合要求和和ISMMS有效效運(yùn)行的的證據(jù)。記記錄應(yīng)得得到保護(hù)護(hù)并且受受控。IISMSS應(yīng)考慮慮相關(guān)法法律要求求，記錄錄應(yīng)易于于識別和和檢索。應(yīng)應(yīng)編制形形成文件件的程序序，以規(guī)規(guī)定記錄錄的識別別、貯存存、保護(hù)護(hù)、檢索索、保存存期限和和處置所所需的控控制，確確定記錄錄需要和和程度的的管理過過程。 保持過

51、程業(yè)業(yè)績的記記錄以及及與ISSMS有有關(guān)的安安全事件件的記錄錄。例如如，記錄錄包括訪訪問者登登記審核核記錄和和訪問授授權(quán)。 相關(guān)文件：文件控制制程序記錄控制制程序5 管理理職責(zé)5.1管理理承諾 管理層應(yīng)通通過以下下措施對對其建立立、實(shí)施施、運(yùn)行行、監(jiān)控控、評審審、維護(hù)護(hù)和改進(jìn)進(jìn)ISMMS的承承諾提供供證據(jù)。 a) 建立立信息安安全方針針； b) 確保保信息安安全目標(biāo)標(biāo)和計劃劃的建立立； c) 為信信息安全全分配角角色和職職責(zé)； d) 向公公司傳達(dá)達(dá)滿足信信息安全全目標(biāo)、符符合信息息安全方方針、法律責(zé)責(zé)任和持持續(xù)改進(jìn)進(jìn)的重要要性； e) 提供供足夠的的資源以以建立、實(shí)實(shí)施、運(yùn)運(yùn)行、監(jiān)監(jiān)控、評評審

52、、維維護(hù)和改改進(jìn)ISSMS； f) 決定定可接受受風(fēng)險的的標(biāo)準(zhǔn)和和可接受受風(fēng)險的的等級； g) 確保保ISMMS內(nèi)部部審核的的執(zhí)行； h) 進(jìn)行行ISMMS管理理評審。 相關(guān)文件：信息安全全方針和和目標(biāo)部門職責(zé)責(zé)管理評審審程序系統(tǒng)風(fēng)險險評估方方法5.2 資源管管理 5.2.11資源提提供 公司應(yīng)確定定和提供供以下方方面所需需的資源源 a) 建立立建立、實(shí)實(shí)施、運(yùn)行、監(jiān)監(jiān)控、維維護(hù)和改改進(jìn)ISSMS b) 確保保信息安安全程序序支持業(yè)業(yè)務(wù)需求求； c) 識別別并確定定法律法法規(guī)要求求和合同同安全責(zé)責(zé)任； d) 通過過正確應(yīng)應(yīng)用所有有實(shí)施的的控制措措施的來來維持足夠夠的安全全； e) 必要要時進(jìn)行

53、行評估，并并對評估結(jié)果采采取適當(dāng)當(dāng)?shù)膶?yīng)應(yīng)措施； f) 必要要時改進(jìn)進(jìn)ISMMS的有有效性。 5.2.22培訓(xùn)、意識和和能力 公司應(yīng)確保保在ISSMS中中任命職職責(zé)的人人員應(yīng)能能夠勝任任要求的的任務(wù) a) 確定定從事影影響信息息安全工工作的人人員所必必需的能能力； b) 提供供足夠的的能力培培訓(xùn)或其其它措施施，必要要時聘用用有能力力的人員員滿足這這些要求求； c) 評估估所提供供的培訓(xùn)訓(xùn)和采取取措施的的有效性性； d) 保持持教育、培訓(xùn)、技能、經(jīng)驗和和資質(zhì)的的適當(dāng)記記錄。 公司應(yīng)確保保員工認(rèn)認(rèn)識到所所從事信信息安全全活動的的相關(guān)性性和重要要性，以以及如何何為實(shí)現(xiàn)現(xiàn)ISMMS目標(biāo)標(biāo)作出貢貢獻(xiàn)。相

54、關(guān)文件：人力資源源管理控控制程序序6 ISSMS內(nèi)內(nèi)部審核核公司應(yīng)按計計劃的時時間間隔隔進(jìn)行IISMSS內(nèi)部審審核，以確定定控制目目標(biāo)、控制措施施、過程程和程序序是否： a) 符合合標(biāo)準(zhǔn)及及相關(guān)法法律法規(guī)規(guī)的要求求； b) 符合合確定的的信息安安全要求求； c) 得到到有效地地實(shí)施和和維護(hù)； d) 按期期望運(yùn)行行。 內(nèi)部審核程程序應(yīng)進(jìn)進(jìn)行計劃劃，并考慮慮受審核核過程的的狀況、重重要性和和受審核核的區(qū)域域以及上上次審核核結(jié)果，應(yīng)應(yīng)規(guī)定審審核準(zhǔn)則則、范圍圍、頻次次和方式式，審核核員的選選擇和審審核活動動應(yīng)保證證審核過過程的客客觀和公公正，審審核員不不能審核核自己的的工作。應(yīng)建立形成成文件的的程序，

55、以以規(guī)定策策劃和實(shí)實(shí)施審核核的職責(zé)責(zé)和要求求以及報報告結(jié)果果和保持持記錄。 受審核區(qū)域域的負(fù)責(zé)責(zé)人應(yīng)確確保立即即采取措措施，以以消除發(fā)發(fā)現(xiàn)的不不符合及及其原因因。改進(jìn)進(jìn)措施包包括所采采取措施施的驗證證并匯報報驗證結(jié)結(jié)果。相關(guān)文件：內(nèi)部審核核控制程程序7 ISSMS管管理評審審7.1總則則 管理者應(yīng)按按策劃的的時間間間隔評審審公司的的ISMMS（至至少一年年一次），以確保其持續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評價ISMS改進(jìn)的機(jī)會和變更的需要，包括安全方針和安全目標(biāo)的適宜性。評審結(jié)果應(yīng)清楚地寫入文件應(yīng)保持記錄。 7.2管理理評審輸輸入 管理評審的的輸入應(yīng)應(yīng)包括以以下方面面的信息息： a) I

56、SSMS審審核（包包括內(nèi)審審和外審審）和管管理評審審的結(jié)果果； b) 相關(guān)關(guān)方（客客戶、供供應(yīng)商、內(nèi)內(nèi)部員工工等）的的反饋； c) 公司司用于改改進(jìn)ISSMS業(yè)業(yè)績和有有效性的的技術(shù)、產(chǎn)產(chǎn)品或程程序的發(fā)發(fā)展及變變化； d) 預(yù)防防和糾正措措施的實(shí)實(shí)施情況況； e) 上次次風(fēng)險評評估未充充分指出出的弱點(diǎn)點(diǎn)或威脅脅； f) 體系系有效性性測量的的結(jié)果； g) 上次次管理評評審所采采取措施施的跟蹤蹤驗證； h) 影響響ISMMS的變變更，如如信息安安全組織織架構(gòu)變變化等； i) 改進(jìn)進(jìn)的建議議。7.3管理理評審輸輸出 管理評審的的輸出應(yīng)應(yīng)包括與與以下方方面有關(guān)關(guān)的任何何決定和和措施 a) ISSMS

57、有有效性的的改進(jìn) b) 風(fēng)險險評估和和風(fēng)險處處理計劃劃的更新新 c) 必要要時修訂訂影響信信息安全全的程序序和控制制措施，以以反映可可能影響響ISMMS的內(nèi)內(nèi)外事件件，包括括以下變變化 1 業(yè)務(wù)需需求； 2 安全需需求； 3 影響已已有業(yè)務(wù)務(wù)需求的的業(yè)務(wù)過過程； 4 法律法法規(guī)環(huán)境境； 5 合同義義務(wù)； 6 風(fēng)險和和/或風(fēng)風(fēng)險接受受準(zhǔn)則。 d) 資源源需求e)針對被被測量的的控制措措施有效效性的改改進(jìn)相關(guān)文件：管理評審審程序8 ISMMS的改進(jìn)8.1持續(xù)續(xù)改進(jìn) 公司應(yīng)通過過應(yīng)用信信息安全全方針、安安全目標(biāo)標(biāo)、審核核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施和管理評審，持續(xù)改進(jìn)ISMS的有效性。 8.

58、2糾正正措施 公司應(yīng)采取取措施消消除ISSMS實(shí)實(shí)施和運(yùn)運(yùn)行的不不符合原原因，以以防止其其再發(fā)生生。糾正正措施文文件程序序應(yīng)規(guī)定定以下方方面的要要求。 a) 識別別ISMMS實(shí)施施和運(yùn)行行的不符符合項； b) 確定定不符合合的原因因； c) 評價價確保不不符合不不再發(fā)生生所需的的措施； d) 決定定和實(shí)施施所需的的糾正措措施； e) 記錄錄所采取取措施的的結(jié)果； f) 評審審所采取取的糾正正措施。 8.3預(yù)防防措施 公司應(yīng)決定定措施以以防范未未來的不不符合，防防止發(fā)生生采取的的預(yù)防措措施應(yīng)與與潛在問問題的影影響相匹匹配，預(yù)預(yù)防措施施文件程程序應(yīng)規(guī)規(guī)定以下下方面的的要求。 a) 確定定潛在不不符

59、合及及其原因因；b) 評價價預(yù)防不不符合發(fā)發(fā)生所需需的措施施；c) 決定定實(shí)施所所需的預(yù)預(yù)防措施施； d) 記錄錄所采取取措施的的結(jié)果； e) 評審審所采取取的預(yù)防防措施。公司應(yīng)識別別發(fā)生變變化的風(fēng)風(fēng)險，并并通過關(guān)關(guān)注變化化顯著的的風(fēng)險來來識別預(yù)預(yù)防措施施要求。應(yīng)應(yīng)根據(jù)風(fēng)風(fēng)險評估估結(jié)果來來確定預(yù)預(yù)防措施施的優(yōu)先先級。相關(guān)文件：糾正措施施控制程程序 預(yù)防措施施控制程程序 IT服務(wù)管管理服務(wù)管理規(guī)規(guī)劃和實(shí)實(shí)施在開展ITT服務(wù)管管理的活活動中，PPDCAA原理貫貫穿于IIT服務(wù)務(wù)管理體體系的全全部流程程，其中中：P（計劃） 根根據(jù)客戶戶要求和和公司策策略建立立目標(biāo)和和流程。D（實(shí)施） 實(shí)實(shí)施流程程。

60、C（檢查） 根根據(jù)策略略、目標(biāo)標(biāo)和要求求對過程程和服務(wù)務(wù)進(jìn)行監(jiān)監(jiān)控、測測量，并并報告結(jié)結(jié)果。A（改進(jìn)） 采采取措施施以持續(xù)續(xù)改進(jìn)流流程的性性能。計劃服務(wù)管管理 服務(wù)務(wù)部向客客戶提供供三大服服務(wù)項目目：常駐駐現(xiàn)場技技術(shù)服務(wù)務(wù)、定期期巡檢技技術(shù)服務(wù)務(wù)、咨詢詢規(guī)劃設(shè)設(shè)計服務(wù)務(wù)。甘肅肅萬維公公司為不不斷滿足足市場需需求和企企業(yè)自身身發(fā)展需需要，將將在未來來將原有有的三大大技術(shù)服服務(wù)內(nèi)容容重新規(guī)規(guī)劃和設(shè)設(shè)計，細(xì)細(xì)化成六六大服務(wù)務(wù)內(nèi)容：基礎(chǔ)設(shè)設(shè)施服務(wù)務(wù)、運(yùn)維維服務(wù)、專專業(yè)技術(shù)術(shù)服務(wù)、IIT安全全服務(wù)、咨咨詢設(shè)計計評估服服務(wù)、培培訓(xùn)服務(wù)務(wù)。從而而實(shí)現(xiàn)在在堅持原原有行業(yè)業(yè)內(nèi)的服服務(wù)的基基礎(chǔ)上向向行業(yè)外外擴(kuò)展的