信息安全和信息技術(shù)服務(wù)管理手冊2023

第1頁共51頁受控2023-01-05發(fā)布2023-01-05實施變更說明編制審核ISO27001-2022體系轉(zhuǎn)版小組 5 5 52規(guī)范性引用文件 53術(shù)語和定義 4組織環(huán)境 84.1理解組織及其環(huán)境 84.2理解相關(guān)方的需求和期望 84.3確定信息技術(shù)服務(wù)管理體系范圍 94.4信息技術(shù)服務(wù)管理體系 9 95.1領(lǐng)導(dǎo)和承諾 5.2方針 5.2.1建立管理方針 5.2.2溝通管理方針 5.3組織的角色、責(zé)任和權(quán)限 6規(guī)劃 1 6.1.2信息安全和技術(shù)服務(wù)風(fēng)險評估 6.1.3信息安全和技術(shù)服務(wù)風(fēng)險處置 6.2管理目標(biāo)及其實現(xiàn)規(guī)劃 6.2.1確定目標(biāo) 6.2.2策劃實現(xiàn)目標(biāo) 6.3規(guī)劃信息技術(shù)服務(wù)管理體系 7支持 7.1資源 7.2能力 7.3意識 7.4溝通 7.5文件化信息 7.5.2創(chuàng)建和更新 7.5.3文件化信息的控制 7.5.4管理體系文件化信息 7.6知識 8.1運行策劃和控制 8.2.3控制服務(wù)生命周期的相關(guān)方 8.2.4服務(wù)目錄管理 8.2.5資產(chǎn)管理 8.2.6配置管理 8.3.2業(yè)務(wù)關(guān)系管理 8.3.3服務(wù)級別管理 8.3.4供應(yīng)商管理 8.4.1服務(wù)預(yù)算與核算 8.5.1變更管理 24 8.5.3發(fā)布與部署管理 8.6.1事件管理 288.6.2服務(wù)請求管理 8.7.1服務(wù)可用性管理 8.7.2服務(wù)連續(xù)性管理 9.1監(jiān)視、測量、分析和評價 9.3管理評審 9.4服務(wù)報告 附錄1:體系組織機構(gòu)圖及各自主要職責(zé) 附錄2:管理體系職責(zé)對照表 41附錄3:公司簡介 49附錄4:信息技術(shù)服務(wù)管理手冊發(fā)布令 附錄5:方針和目標(biāo) 511范圍提供服務(wù)的供應(yīng)商采用跟本公司一致的方法，按GB/T22080-2016/ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》和ISO/IEC20000-1:2018《信息技術(shù)服務(wù)管理體系要求》建立信息b)對信息安全管理體系和信息技術(shù)服務(wù)管理體系c)通過有效實施和運行信息安全管理體系和信息技術(shù)服務(wù)管理體系，以改進服務(wù)的規(guī)劃、本手冊適用于公司內(nèi)部各部門和外部(包括國家主管部門和認(rèn)證機構(gòu))評價本公司滿足GB/T22080-2016/ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》、ISO/IECISMS:XXXXXXXXXXXXXXX2規(guī)范性引用文件標(biāo)注日期的引用文件，其隨后所有的修改單(不包括勘誤的內(nèi)容)或修改版均不適用于本《信息安全和信息技術(shù)服務(wù)管理手冊》,然而，公司應(yīng)研究是否可使用這些文件的最新版本。GB/T22080-2016/ISO/IEC27001:2022《信息安全管理體系要求》GBT22081-2016/ISO/IEC27002:2013《信息安全管理實用規(guī)則》ISO/IEC20000-1:2018《信息技術(shù)服務(wù)管理第一部分服務(wù)管理體系要求》ISO/IEC20000-2:2012《信息技術(shù)服務(wù)管理第二部分服務(wù)管理系統(tǒng)應(yīng)用指南》3術(shù)語和定義ISO/IEC27000界定的術(shù)語和定義、ISO/IEC20000-1:2018的術(shù)語和定義適用于本管理手冊。ITSMS:InformationTechnologyServ3.2.13發(fā)布(名詞)release,noun3.2.19服務(wù)連續(xù)性service4.1理解組織及其環(huán)境公司確定了與信息安全和信息技術(shù)服務(wù)目標(biāo)相關(guān)并影響實現(xiàn)信息安全和信息技術(shù)服務(wù)管理體系預(yù)c)自身價值觀、企業(yè)文化、知識水平。4.2理解相關(guān)方的需求和期望公司各部門應(yīng)在管理體系運行過程中對公司管理體系有關(guān)的相關(guān)方及其需求和期望的相關(guān)信息進c)其中哪些將通過信息安全管理體系得到解決；4.3確定信息技術(shù)服務(wù)管理體系范圍ISMS:xxxxxxxxxxx相關(guān)的信息安全管理活動4.4信息技術(shù)服務(wù)管理體系c)確定所需的準(zhǔn)則和方法(監(jiān)視、測量和相關(guān)績效指標(biāo)),以確保這些過程運行和控制有效；g)監(jiān)視、測量和分析這些過程，依據(jù)監(jiān)視、測5.1領(lǐng)導(dǎo)和承諾b)確保管理計劃的創(chuàng)建、實施和維護，以支持管理方針，實現(xiàn)管g)確保信息安全和信息技術(shù)服務(wù)管理體系以及業(yè)務(wù)活動所需資源(基礎(chǔ)設(shè)施及環(huán)境、人力資源、設(shè)備、軟件、工具等)可用；j)指導(dǎo)并支持相關(guān)人員為管理體系和服務(wù)的有效性做出貢獻(xiàn)，對全體員工進行持續(xù)的信息安全和信息5.2方針5.2.2溝通管理方針5.3組織的角色、責(zé)任和權(quán)限具體各部門職責(zé)詳見附錄1:信息安全和信息技術(shù)服務(wù)管理體系組織機構(gòu)圖及部門主要職責(zé)。為了能夠更好地貫徹公司最高管理層在管理方面的策略和方針，根據(jù)GB/T22080-2016/ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》和ISO/IEC20000-1:2018《信息技術(shù)服當(dāng)策劃信息安全和信息技術(shù)服務(wù)管理體系時，組織應(yīng)考慮4.1中提及的問題和4.2中提及的要求，e)如何整合和實施這些措施并將其納入信息安全和信息技術(shù)服務(wù)管理體系過程并評價這些措施的6.1.2信息安全和技術(shù)服務(wù)風(fēng)險評估(1)建立并保持信息安全和技術(shù)服務(wù)風(fēng)險接受準(zhǔn)則和執(zhí)行信息安全和技術(shù)服務(wù)風(fēng)險評估的準(zhǔn)則；(2)確保重復(fù)性的信息安全和技術(shù)服務(wù)風(fēng)險評估可產(chǎn)生一致的，有效的和可比較的結(jié)果；(3)識別信息安全體系范圍內(nèi)的信息喪失保密性、完整性和可用性的相關(guān)風(fēng)險和責(zé)任人。(4)分析、評估所識別的風(fēng)險發(fā)生后將導(dǎo)致的潛在影響和現(xiàn)實可能性，確定風(fēng)險級別；(5)將風(fēng)險分析結(jié)果同風(fēng)險接受準(zhǔn)則進行對比，確定實施風(fēng)險處置的優(yōu)先級。6.1.3信息安全和技術(shù)服務(wù)風(fēng)險處置(1)在考慮風(fēng)險評估結(jié)果的前提下，選擇適當(dāng)?shù)男畔踩图夹g(shù)服務(wù)風(fēng)險處置選項；(2)為實施所選擇的信息安全和技術(shù)服務(wù)風(fēng)險處置選項，確定所有必需的控制措施；(3)將確定的控制措施與《信息安全適用性聲明》的控制措施進行比較，以核實沒(4)確定適用性聲明。適用性聲明要包含必要的控制措施、對包含的合理性聲明(5)制定信息安全和技術(shù)服務(wù)風(fēng)險處置計劃；(6)公司最高管理者對信息安全和技術(shù)服務(wù)風(fēng)險處置計劃以及接受信息安全技術(shù)6.2管理目標(biāo)及其實現(xiàn)規(guī)劃6.2.1確定目標(biāo)●信息安全泄密事件0件●年度客戶信息安全投訴件數(shù)<3件●客戶資料外泄事件為0●源代碼泄露事件為0●客戶數(shù)據(jù)外泄事件為06.2.2策劃實現(xiàn)目標(biāo)6.3規(guī)劃信息技術(shù)服務(wù)管理體系h)如何測量、審核、報告和改進服務(wù)管理體系和服務(wù)的有效性。公司對特定過程生成的計劃應(yīng)與服務(wù)管理計劃保持一致。對2)滿足服務(wù)要求和實現(xiàn)管理目標(biāo)所需的資源。a)確定在組織控制下從事會影響組織信息安全和信7.5文件化信息b)程序文件：描述各個管理過程，支持管理手冊的實施與a)標(biāo)識和描述(例如標(biāo)題、日期、作者或索引編號);b)格式(例如語言、軟件版本、圖表)和介質(zhì)(例如紙質(zhì)的、電子的);b)予以妥善保護(如防止泄密、不當(dāng)使用或者缺失等);c)變更控制(例如版本控制);d)變更管理方針、信息安全方針和服務(wù)連續(xù)性計劃(一個或多個);h)服務(wù)級別協(xié)議(SLA);7.6知識注：知識是與管理體系、服務(wù)和相關(guān)方有關(guān)的，使用和共享知識以實現(xiàn)預(yù)期結(jié)果和運行管理體8運行8.1運行策劃和控制公司應(yīng)通過下列諸項以策劃、實施和控制滿足要求所需的過程，并實施第6章中確定的措施：d)應(yīng)控制策劃的變更并評審非預(yù)期變更的后果，必要時，采取措施減輕不利影響(見8.5.1)。e)應(yīng)確保外包過程受控(見8.2.3)。8.2服務(wù)組合8.2.2策劃服務(wù)8.2.3控制服務(wù)生命周期的相關(guān)方其它相關(guān)方不應(yīng)提供和運行信息技術(shù)服務(wù)管理體系范圍內(nèi)所有的服務(wù)、服務(wù)組件或流程(不可全部外b)測量和評估服務(wù)、服務(wù)組件滿足服務(wù)要8.2.4服務(wù)目錄管理方的信息、它們預(yù)期的結(jié)果和服務(wù)間依賴關(guān)系。組織應(yīng)向客戶、用戶和其它相關(guān)分)服務(wù)目錄的渠道。公司應(yīng)確保管理用于提供服務(wù)的資產(chǎn)以滿足服務(wù)要求和條款6.3c)規(guī)定的義務(wù)。8.2.6.1應(yīng)根據(jù)《配置管理程序》的要求，評估所有與信息技術(shù)服務(wù)相關(guān)的重要資產(chǎn)和配置項，識別、定義、維護信息技術(shù)服務(wù)和基礎(chǔ)設(shè)施的組件，明確配置項之間的關(guān)系、屬性和作用，定義命名規(guī)范、版本號，以確保有效管理IT資產(chǎn)和配置。制訂和實施《配置項分類定義表》,每個配置項b)為每個項目或信息系統(tǒng)應(yīng)用環(huán)境配置基線、或描述應(yīng)用環(huán)境、標(biāo)準(zhǔn)硬件(如安裝過的終端設(shè)備)組成和發(fā)布；c)備份和電子資料庫，如最終軟件庫(DSL);c)責(zé)任、可檢索、可審計的要求，例如出于安全、法律、規(guī)章或業(yè)務(wù)目的。d)配置控制(訪問、保護、版本、開發(fā)、發(fā)布控制)。f)資源管理規(guī)劃和建立，以便使資產(chǎn)c)對受控軟件、測試產(chǎn)品和支持文檔等備份的恢復(fù)進行限制。8.3關(guān)系與協(xié)議服務(wù)目標(biāo)、服務(wù)時間、工作量限制(最大及最小工作量)、支持和相關(guān)服務(wù)、影響和優(yōu)先級描述、授權(quán)細(xì)節(jié)及授權(quán)人員聯(lián)系信息、有效期或SLA變更控制機制(包含升級和通知流程)、服務(wù)中斷采取的糾正措施、計劃和協(xié)調(diào)中斷(包括通知事件及頻率)、溝通的簡述(包括報告、投訴程序)、8.3.3.4應(yīng)依據(jù)與客戶簽訂的SLA別協(xié)議》,并作為服務(wù)改進計劃的輸入。8.4供應(yīng)與需求1)用于提供服務(wù)的資產(chǎn)(包括許可證);2)共享資源；3)管理費用；4)資金和運行費用；5)外部供應(yīng)商的服務(wù)；6)人員；7)設(shè)施；8.4.1.3應(yīng)根據(jù)國家的有關(guān)法律法規(guī)和財務(wù)政策的要求，根據(jù)公司的業(yè)務(wù)策略(包括產(chǎn)品策略、銷售策略、服務(wù)策略等),組織擬制、審核公司及部門的總體性和階段性的信息技術(shù)服務(wù)費用預(yù)算及8.4.1.4各部門根據(jù)公司業(yè)務(wù)發(fā)展戰(zhàn)略、公司現(xiàn)有的SLA要求，及本部門業(yè)務(wù)的特點，按部門工作計劃的內(nèi)容，組織擬制本部門階段性的費用預(yù)算計劃，經(jīng)匯總、報批后實施。8.4.1.5在預(yù)算期間出現(xiàn)的服務(wù)變更引起的預(yù)算變化，相關(guān)部門應(yīng)按要求執(zhí)行預(yù)算變更申請。8.4.1.6在對《服務(wù)級別協(xié)議》進行評審時，應(yīng)根據(jù)公司策略，評估實現(xiàn)服務(wù)目標(biāo)和需求的成本，并根據(jù)確定的服務(wù)級別協(xié)議跟蹤成本的變化。8.4.1.7應(yīng)在服務(wù)變更時，計算服務(wù)變更成本，并通過《變更管理程序》進行批準(zhǔn)。8.4.1.8應(yīng)根據(jù)預(yù)算編制跟蹤財務(wù)變化，對超出預(yù)算要求的變化，提前向相關(guān)部門和公司領(lǐng)導(dǎo)提出預(yù)警8.5服務(wù)設(shè)計、構(gòu)建與轉(zhuǎn)換h)對信息技術(shù)服務(wù)管理體系、其它服務(wù)、計劃的變對于將要移除的服務(wù)，策劃還應(yīng)包括移除服務(wù)的日期，以及新的或者變更的服務(wù)應(yīng)予以設(shè)計和保留文件化信息以滿足8e)變更對信息技術(shù)服務(wù)管理體系的影響，包括新的或變更的方針、計劃、過程、程序、措施和知g)更新服務(wù)目錄(一個或多個)。8.5.3發(fā)布與部署管理8.5.3.1根據(jù)變更管理程序、發(fā)布和部署管理程序的要求，結(jié)合業(yè)務(wù)對信息系統(tǒng)、基礎(chǔ)設(shè)施、服務(wù)和文檔等進行規(guī)劃，識別發(fā)布的內(nèi)容、種類、層次、影響等，制訂發(fā)布策略來配置發(fā)布活動，包括：a)發(fā)布頻度和類型。b)發(fā)布管理的角色和責(zé)任。f)為提高效率和可重復(fù)性，建立、安裝、i)可能對發(fā)布測試和實施造成影響的相關(guān)變更和風(fēng)險的標(biāo)識a)檢查測試環(huán)境與實際工作環(huán)境是否一致；8.6解決與完成所有服務(wù)請求應(yīng)正式記錄，并可檢索和分析。服務(wù)請求應(yīng)根據(jù)采取的措施進行更新。服務(wù)請求解決的指南應(yīng)對服務(wù)請求完成的有關(guān)人員可用。8.6.3問題管理8.6.3.1根據(jù)《問題管理程序》對事件原因預(yù)先識別、分析、管理直至關(guān)閉，以減少對業(yè)務(wù)的影響。a)得到記錄和分類；c)基于需要進行升級；d)盡可能解決；8.6.3.2根據(jù)日常檢查、測試、事件數(shù)量和類型的趨勢分析等糾正措施，識別潛在問題。所有被識別的問題都應(yīng)該得到記錄。問題記錄應(yīng)根據(jù)所采取的行動及時更新。8.6.3.5解決問題所需要的變更，按《變更管理程序》的要求，依據(jù)變更管理方針，經(jīng)批準(zhǔn)后實施8.6.3.6應(yīng)分析事件和問題的數(shù)據(jù)和趨勢，以識別根本原因和潛在預(yù)防措施。當(dāng)發(fā)現(xiàn)根本原因，但問題并沒有徹底解決時，應(yīng)采取措施以減輕或消除問題對服務(wù)的影響。已知錯誤應(yīng)被記錄。已知錯誤的更新信息和問題解決方案應(yīng)提供給事件管理和服務(wù)請求管理等其他服務(wù)過程。8.7.3信息安全管理8.7.3.1信息安全方針a)特性(例如軟件漏洞、運行錯誤、通信失敗)。9.1監(jiān)視、測量、分析和評價公司制定《監(jiān)視和測量管理程序》,以確定：9.2內(nèi)部審核公司每年按照計劃的時間間隔(一年內(nèi))進行內(nèi)部審核，以確定管理體系和控制目標(biāo)、控制措b)滿足服務(wù)需求和所提出的服務(wù)管理體系要求；9.3管理評審公司管理層應(yīng)按照計劃的時間間隔(一年內(nèi))評審管理體系、信息安全風(fēng)險與技術(shù)服務(wù)，以確9.4服務(wù)報告和結(jié)論，工作量特征(如：數(shù)量、資源利用、周期變化),報告重大事件和變更，定期趨勢信息，9.4.4服務(wù)報告應(yīng)及時、清晰、可靠和簡明，便于分析、決策和有效溝通。10.1不符合及糾正措施1)采取措施，以控制并予以糾正；2)處理后果；1)評審不符合：2)確定不符合的原因；3)確定類似的不符合是否存在，或可能發(fā)生；10.2持續(xù)改進應(yīng)有文件化的程序(包括權(quán)利和責(zé)任)用以識別、記錄、評估、批準(zhǔn)、劃分優(yōu)先級、管理、測量和改進機會(包括改進和預(yù)防措施)應(yīng)被文件化。a)通過管理體系的建立與實施，對持第36頁共51頁附錄1:體系組織機構(gòu)圖及各自主要職責(zé)6、在本企業(yè)管理層中指定一名體系負(fù)責(zé)人(管理者代表);1、分配權(quán)限和職責(zé)，確保管理體系所需的過程和6、確保用于交付服務(wù)的資產(chǎn)(包括許可證),遵從法律法規(guī)要求和合同義務(wù)。1、負(fù)責(zé)貫徹公司領(lǐng)導(dǎo)指示。做好上下聯(lián)絡(luò)溝通工作，及時向領(lǐng)導(dǎo)反映第37頁共51頁2、根據(jù)領(lǐng)導(dǎo)意圖和公司發(fā)展戰(zhàn)略，負(fù)責(zé)起草年度工作計劃、年度工作總結(jié)和其他重要文稿，牽頭或3、負(fù)責(zé)全公司日常行政事務(wù)管理，協(xié)助總經(jīng)理處理日常工作，負(fù)責(zé)總經(jīng)理的日?；顒雍屯獬龌顒拥?、組織安排公司辦公會議，或會同有關(guān)部門籌備公司其他會議及有關(guān)重要活動，做好會議記錄和整6、做好公司歷年大事記的原始資料收集和編纂工作，定期或不定期編輯公司簡訊、簡報或內(nèi)部發(fā)行8、負(fù)責(zé)公司辦公設(shè)施的管理。包括公司辦公用品采購、發(fā)放、使用登記、保管、維護管理工作，負(fù)2、承擔(dān)公司的重大課題(國家級、省市級、區(qū)縣級等)研究開發(fā)任務(wù)；第38頁共51頁4、負(fù)責(zé)具體銷售合同(定單)的評審與組織實施。12.參與公司年度新產(chǎn)品研發(fā)計劃，負(fù)責(zé)向技術(shù)中心提供新產(chǎn)品研發(fā)市場信息。第39頁共51頁1、應(yīng)根據(jù)合同要求，科學(xué)的編制、調(diào)整生產(chǎn)計劃，合理的調(diào)配生產(chǎn)資源(人員、設(shè)備)滿足市場的3、組織數(shù)字化中心員工學(xué)習(xí)公司的各項規(guī)章制度，確保各項規(guī)章制度在數(shù)字化中心得以正確、順利4、開展人員培訓(xùn)，定期對員工進行職業(yè)道德、思想素質(zhì)、崗位技能、保密教育、質(zhì)量控制、設(shè)備保5、加強與下屬員工的溝通、交流，力所能及的解決下屬的后顧之憂，激勵員工積極向上，聽取下屬6、積極培養(yǎng)、選拔后備干部，為數(shù)字化中心第40頁共51頁2、不定期對公司數(shù)字化項目的成品數(shù)據(jù)進行質(zhì)量檢查，并對不合格的產(chǎn)品提出處理意見，并監(jiān)督執(zhí)5、項目結(jié)束后負(fù)責(zé)做好本項目的總結(jié)工作(質(zhì)量、進度、數(shù)量、滿意度)及項目是否合格的總體評第41頁共51頁附錄2:管理體系職責(zé)對照表部門管理層行政部技術(shù)研發(fā)部Xx部Xx部4組織環(huán)境★OOOOOOO★OOOOOOO★OOOOOOO★OOOOOOO5領(lǐng)導(dǎo)★OOOOOOO★OOOOOOO★OOOOOOO6規(guī)劃★OOOOOOO★OOOO○○O★OO★OOOO7支持★OOOOOOO7.2能力OOO★OOOOOOO★OOOOOOO★OOOOOOO★OOOO8運行O★★O第42頁共51頁部門Xx部行政部技術(shù)研發(fā)部Xx部Xx部★★★★★★★9績效評價★★★★★★★OOOOOOOOOOOO改進OOOOOOO★★★★★(信息安全小組)數(shù)字化中心市場營銷部行政部技術(shù)研發(fā)部質(zhì)監(jiān)部工程技術(shù)部數(shù)字化服務(wù)部OOOO★★★★★★O★★O★★O★OOOO5.5與職能機構(gòu)的聯(lián)系O★OOO5.6與特定相關(guān)方的聯(lián)系O★OOOO★OOOOO★OOO★★★★★★使用5.12信息的分級第43頁共51頁部門管理層Xxx部Xx部行政部技術(shù)研發(fā)部Xx部Xx部5.13信息的標(biāo)記★★★★★★★5.14信息傳輸OOOO★5.15訪問控制★OOOO★OOOO5.17鑒別信息★OOOOO5.18訪問權(quán)限O★OO★OOO5.19供應(yīng)商關(guān)系的信息安全OO★OO5.20"在供應(yīng)商協(xié)議中強調(diào)信息安全"O○★〇O5.21ICT(信息與通信技術(shù))供應(yīng)鏈中的信息安全管理OO★OOOO5.22供應(yīng)商服務(wù)的監(jiān)視、評審和變更管理OO★OOOO5.23云服務(wù)使用中的信息安全O★OOOO★5.24”信息安全事件管理的策劃和準(zhǔn)備"★★★★★★★★5.25信息安全事態(tài)的評估和決策★OOOOO5.26信息安全事件的響應(yīng)★★★★★★★★5.27從信息安全事件中的學(xué)習(xí)★★★★★★★5.28證據(jù)的收集★★★★★★★★5.29中斷期間的信息安全O★OOOOO★OOOO5.31法律法規(guī)、監(jiān)管和合同要求OO★OOO5.32知識產(chǎn)權(quán)OOO★OOOO5.33記錄保護控制OOO★OOOO第44頁共51頁部門Xxx部Xx部行政部Xx部Xx部5.34隱私和PI(個人可識別信息)的保護O★OOO5.35信息安全的獨立評審O★OOO準(zhǔn)"O★OOO6人員控制O★OOOO★OOO6.3信息安全意識、教育和培訓(xùn)O★OOOO★OOOO★OOOOOOOO★★OOOO7物理控制O★OOO7.2物理入口O★OOO護"OOOOOOOO7.5物理和環(huán)境威脅的安全防護O★OOO7.6在安全區(qū)域工作O★OOO★★7.8設(shè)備安置和保護第45頁共51頁部門管理層Xx部Xxx部Xx部7.9組織場所外的資產(chǎn)安全★★★7.10存儲介質(zhì)★★7.11支持性設(shè)施O★7.12布纜安全O7.13設(shè)備維護OO7.14設(shè)備的安全處置或再利用★8技術(shù)控制O★★★O★O★8.3信息訪問限制OOO★8.4對源代碼的訪問OOO★★★★★★OOOO★8.7惡意軟件防茆★★★★★OOOO★OOO★★★★★★OO★8.12防止數(shù)據(jù)泄漏★★★★★★★★★★OOOO第46頁共51頁部門管理層Xx部行政部技術(shù)研發(fā)部Xx部Xx部OOOOOOO★8.16監(jiān)視活動OOOOOOO★OOOOOOO★8.18特許權(quán)實用程序的應(yīng)用OOOOOOO★OOOOOOO★OOOOOOO★OOOOOOO★8.22網(wǎng)絡(luò)隔離OOOOOOO★OOOOOO★8.24密碼使用★★★★★★★★O★O★OO★O★8.27安全系統(tǒng)架構(gòu)和工程原則O8.30外包開發(fā)不適合刪減8.31”開發(fā)、測試與生產(chǎn)環(huán)境的隔離"OOOO★OOOO8.33測試信息O8.34”審計測試期間的信息系統(tǒng)保護"OOOO注：★為主控部門○為配合部門一為無關(guān)部門層管理層數(shù)字化生產(chǎn)部行政部技術(shù)研發(fā)部質(zhì)監(jiān)部工程技術(shù)部數(shù)字化服務(wù)部4★OOOOOOO理解相關(guān)方的需求和期望★OOOOO○O確定服務(wù)管理體系范圍★OOOOOOO服務(wù)管理體系★OOOOOOO5領(lǐng)導(dǎo)力★OOOOOOO★OOOOOOO6規(guī)劃★OOOOOOO劃★OOOOOOO策劃服務(wù)管理體系★OOOOOOO7資源★OOOOOOO能力OOO★OOOO意識OO