信息安全和信息技術(shù)服務(wù)管理手冊2023

(依據(jù)ISO/IEC27001：2022標(biāo)準(zhǔn)、ISO/IEC20000-1:2018標(biāo)準(zhǔn)編制)文件編號：ISMS/ITSMS-01-01版本：D/0受控狀態(tài)：批準(zhǔn)：審核：編制：2023-01-05發(fā)布2023-01-05實施變更記錄變更日期版本號變更說明編制審核批準(zhǔn)2023.1.5D/0ISO27001-2022體系轉(zhuǎn)版信息安全小組

目錄1范圍 51.1總則 51.2應(yīng)用 52規(guī)范性引用文件 63術(shù)語和定義 64組織環(huán)境 84.1理解組織及其環(huán)境 84.2理解相關(guān)方的需求和期望 84.3確定信息技術(shù)服務(wù)管理體系范圍 94.4信息技術(shù)服務(wù)管理體系 95領(lǐng)導(dǎo) 105.1領(lǐng)導(dǎo)和承諾 105.2方針 105.2.1建立管理方針 105.2.2溝通管理方針 115.3組織的角色、責(zé)任和權(quán)限 116規(guī)劃 116.1.1總則 116.1.2信息安全和技術(shù)服務(wù)風(fēng)險評估 126.1.3信息安全和技術(shù)服務(wù)風(fēng)險處置 126.2管理目標(biāo)及其實現(xiàn)規(guī)劃 136.2.1確定目標(biāo) 136.2.2策劃實現(xiàn)目標(biāo) 136.3規(guī)劃信息技術(shù)服務(wù)管理體系 137支持 147.1資源 147.2能力 147.3意識 157.4溝通 157.5文件化信息 167.5.1總則 167.5.2創(chuàng)建和更新 167.5.3文件化信息的控制 167.5.4管理體系文件化信息 177.6知識 178運(yùn)行 178.1運(yùn)行策劃和控制 178.2服務(wù)組合 188.2.1服務(wù)交付 188.2.2策劃服務(wù) 188.2.3控制服務(wù)生命周期的相關(guān)方 188.2.4服務(wù)目錄管理 198.2.5資產(chǎn)管理 198.2.6配置管理 198.3關(guān)系與協(xié)議 218.3.1總則 218.3.2業(yè)務(wù)關(guān)系管理 218.3.3服務(wù)級別管理 228.3.4供應(yīng)商管理 228.4供應(yīng)與需求 248.4.1服務(wù)預(yù)算與核算 248.4.2需求管理 248.4.3能力管理 258.5服務(wù)設(shè)計、構(gòu)建與轉(zhuǎn)換 258.5.1變更管理 258.5.2服務(wù)設(shè)計與轉(zhuǎn)換 268.5.3發(fā)布與部署管理 278.6解決與完成 298.6.1事件管理 298.6.2服務(wù)請求管理 298.6.3問題管理 308.7服務(wù)保障 318.7.1服務(wù)可用性管理 318.7.2服務(wù)連續(xù)性管理 318.7.3信息安全管理 329績效評價 339.1監(jiān)視、測量、分析和評價 339.2內(nèi)部審核 339.3管理評審 349.4服務(wù)報告 3510改進(jìn) 3510.1不符合及糾正措施 3510.2持續(xù)改進(jìn) 36附錄1：體系組織機(jī)構(gòu)圖及各自主要職責(zé) 38附錄2：管理體系職責(zé)對照表 43信息安全管理職責(zé)分配表 43附錄3：公司簡介 51附錄4：信息技術(shù)服務(wù)管理手冊發(fā)布令 52附錄5：方針和目標(biāo) 53信息安全方針：積極預(yù)防、快速響應(yīng)、持續(xù)改進(jìn)、確保安全 53服務(wù)管理方針：服務(wù)至上，誠信守約，技術(shù)創(chuàng)新，追求卓越 53變更管理方針：控制服務(wù)變更，降低變更風(fēng)險 531范圍1.1總則公司為證實有能力穩(wěn)定地提供滿足顧客和適用的法律、法規(guī)要求的信息技術(shù)服務(wù)，并要求向本公司提供服務(wù)的供應(yīng)商采用跟本公司一致的方法，按GB/T22080-2016/ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》和ISO/IEC20000-1:2018《信息技術(shù)服務(wù)管理體系要求》建立信息安全管理體系和信息技術(shù)服務(wù)管理體系，它適用于：本公司規(guī)劃、設(shè)計、轉(zhuǎn)換、交付和改進(jìn)信息安全管理體系和信息技術(shù)服務(wù)管理體系；對信息安全管理體系和信息技術(shù)服務(wù)管理體系進(jìn)行監(jiān)視、測量和評審；通過有效實施和運(yùn)行信息安全管理體系和信息技術(shù)服務(wù)管理體系，以改進(jìn)服務(wù)的規(guī)劃、設(shè)計、轉(zhuǎn)換和交付；必要時尋求外部組織對本公司信息安全管理體系和信息技術(shù)服務(wù)管理體系的認(rèn)證；對符合本標(biāo)準(zhǔn)的情況進(jìn)行自我評估和自我聲明。1.2應(yīng)用本手冊適用于公司內(nèi)部各部門和外部（包括國家主管部門和認(rèn)證機(jī)構(gòu)）評價本公司滿足GB/T22080-2016/ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》、ISO/IEC20000-1:2018《信息技術(shù)服務(wù)管理體系要求》、顧客、法律法規(guī)要求和本公司要求的能力。本手冊覆蓋范圍：ISMS：XXXXXXXXXXXXXXXXXXXXXITSMS：XXXXXXXXXXXXXXXXXXXXX相關(guān)的軟硬件運(yùn)維服務(wù)。本手冊采用了GB/T22080-2016/ISO/IEC27001:2022標(biāo)準(zhǔn)，不適用條款見《信息安全適用性聲明》，ISO/IEC20000-1:2018標(biāo)準(zhǔn)正文的全部內(nèi)容，無刪減條款。組織范圍：管理層、信息安全小組、技術(shù)研發(fā)部、xxx部、xxxxx產(chǎn)部覆蓋地址：xxxxxxxxxxxx

2規(guī)范性引用文件下列文件中的條款通過本《信息安全和信息技術(shù)服務(wù)管理手冊》的引用而成為本手冊的條款。凡是標(biāo)注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修改版均不適用于本《信息安全和信息技術(shù)服務(wù)管理手冊》，然而，公司應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本手冊。本公司依據(jù)以下標(biāo)準(zhǔn)及公司情況建立信息安全和信息技術(shù)服務(wù)管理手冊：GB/T22080-2016/ISO/IEC27001:2022《信息安全管理體系要求》GBT22081-2016/ISO/IEC27002:2013《信息安全管理實用規(guī)則》ISO/IEC20000-1：2018《信息技術(shù)服務(wù)管理第一部分服務(wù)管理體系要求》ISO/IEC20000-2：2012《信息技術(shù)服務(wù)管理第二部分服務(wù)管理系統(tǒng)應(yīng)用指南》3術(shù)語和定義ISO/IEC27000界定的術(shù)語和定義、ISO/IEC20000-1:2018的術(shù)語和定義適用于本管理手冊。（本）組織、（本）公司、我公司指：xxxxxxxxxxxxx。ITSMS：InformationTechnologyServiceManagementSystems＝信息技術(shù)服務(wù)管理體系。3.1.2能力competence應(yīng)用知識和技能實現(xiàn)預(yù)期結(jié)果的本領(lǐng)。3.1.6文件化信息documentedinformation組織需要控制并保持的信息及其載體。例如：方針，計劃，過程描述，程序，服務(wù)級別協(xié)議或者合同。3.2.1資產(chǎn)asset對組織有潛在或?qū)嶋H價值的元素、事物或?qū)嶓w。3.2.2配置項configurationitem為提供一項或多項服務(wù)需要控制的元素。3.2.4外部供應(yīng)商externalsupplier通過合同約定，對規(guī)劃、設(shè)計、轉(zhuǎn)換，交付或改進(jìn)服務(wù)、服務(wù)組件或者過程的提供協(xié)助的組織外部的其它方。3.2.5事件incident計劃外的服務(wù)中斷、服務(wù)質(zhì)量下降或尚未對客戶服務(wù)造成影響的事態(tài)。3.2.6信息安全informationsecurity保護(hù)信息的保密性，完整性和可用性。還包括其它屬性，例如真實性，可核查性，不可否認(rèn)性和可靠性。3.2.7信息安全事件informationsecurityincident單個或一系列意外或突發(fā)的、具有損害業(yè)務(wù)運(yùn)營和威脅信息安全的極大可能性的事態(tài)。3.2.8內(nèi)部供應(yīng)商internalsupplier通過文件化的協(xié)議約定，對規(guī)劃、設(shè)計、轉(zhuǎn)換，交付或改進(jìn)服務(wù)、服務(wù)組件或者過程提供協(xié)助的服務(wù)管理體系范圍外的大型組織的一部分。例如：采購，基礎(chǔ)設(shè)施，財務(wù)，人員，設(shè)備。3.2.9已知錯誤knownerror已識別根本原因或已有方法可降低或消除其對服務(wù)影響的問題。3.2.10問題problem造成一個或多個實際或潛在事件的根本原因。3.2.13發(fā)布（名詞）release,noun作為一項或多項變更的結(jié)果，將一組一個或多個新的或變更的服務(wù)或服務(wù)組件部署到實際運(yùn)行環(huán)境。3.2.14變更請求requestforchange對服務(wù)，服務(wù)組件或服務(wù)管理體系進(jìn)行變更的提議。3.2.15服務(wù)service通過促進(jìn)客戶達(dá)成其期望的結(jié)果而向客戶提供價值的方式。3.2.16服務(wù)可用性serviceavailability服務(wù)或服務(wù)組件在指定的時間點或時間段完成要求的功能的能力?？捎眯酝ǔ？梢杂每蛻魧嶋H使用服務(wù)或服務(wù)組件的時間與約定服務(wù)時間的比率或百分比來表示。3.2.17服務(wù)目錄servicecatalogue組織提供給客戶服務(wù)的文件化信息。3.2.18服務(wù)組件servicecomponent一項服務(wù)的單個單元，該單元與其它單元結(jié)合可提供一項完整的服務(wù)。例如：基礎(chǔ)設(shè)施，應(yīng)用，許可證，信息，資源或支持服務(wù)。服務(wù)組件可以由配置項、資產(chǎn)或其它要素構(gòu)成。3.2.19服務(wù)連續(xù)性servicecontinuity按照商定的服務(wù)可用性或連續(xù)無中斷提供服務(wù)的能力。3.2.20服務(wù)級別協(xié)議servicelevelagreementSLA組織和客戶之間定義服務(wù)和服務(wù)指標(biāo)的形成文件的協(xié)議。3.2.21服務(wù)級別目標(biāo)serviceleveltarget確定組織提供服務(wù)的可測量的特性。3.2.25服務(wù)請求servicerequest請求提供信息、建議、服務(wù)訪問或預(yù)授權(quán)變更。3.2.26服務(wù)要求servicerequirement客戶和用戶對服務(wù)的需求，包括服務(wù)級別要求，以及服務(wù)提供方的需求和服務(wù)管理體系要求以及義務(wù)。3.2.27轉(zhuǎn)換transition將一項新的或變更的服務(wù)移入或移出實際運(yùn)行環(huán)境所涉及的活動。4組織環(huán)境4.1理解組織及其環(huán)境公司確定了與信息安全和信息技術(shù)服務(wù)目標(biāo)相關(guān)并影響實現(xiàn)信息安全和信息技術(shù)服務(wù)管理體系預(yù)期結(jié)果能力的外部環(huán)境、內(nèi)部環(huán)境和風(fēng)險管理流程環(huán)境。確保風(fēng)險準(zhǔn)則制定過程中外部相關(guān)方的目標(biāo)和關(guān)注點被加以考慮，與公司的文化、流程、組織架構(gòu)和戰(zhàn)略相匹配。風(fēng)險管理實施中要考慮需求因素、所需資源、責(zé)任和能力及相關(guān)記錄。外部環(huán)境包括但不限于：a)社會和文化、政治、法律、監(jiān)管、金融、技術(shù)、經(jīng)濟(jì)、自然環(huán)境和競爭環(huán)境，無論國家、區(qū)域或地方；b)影響公司各目標(biāo)的主要驅(qū)動和趨勢； c)與外部利益相關(guān)方的價值觀的關(guān)系。內(nèi)部環(huán)境包括但不限于：a)治理、組織機(jī)構(gòu)、角色和責(zé)任；b)政策、目標(biāo)、實現(xiàn)目標(biāo)的戰(zhàn)略；c)自身價值觀、企業(yè)文化、知識水平。公司應(yīng)對內(nèi)部和外部環(huán)境采用以下適當(dāng)?shù)姆绞竭M(jìn)行監(jiān)視和評審：由總經(jīng)理通過公司年度總結(jié)大會進(jìn)行評審。由總經(jīng)理在公司一年一度的管理評審活動中進(jìn)行評審。4.2理解相關(guān)方的需求和期望公司的生存與發(fā)展，依賴并來源于理解與滿足顧客、工作人員及其他相關(guān)方的需求和期望，努力做到超越顧客的需求和期望。公司的相關(guān)方主要是顧客、主管部門、工作人員以及受公司信息安全和信息技術(shù)服務(wù)影響的相關(guān)方。顧客的需求和期望主要體現(xiàn)在合同中進(jìn)行約定，公司根據(jù)合同要求滿足顧客的需求和期望；受公司信息安全和信息技術(shù)服務(wù)影響的相關(guān)方主要是政府、鄰居、員工等，因此公司嚴(yán)格按照相關(guān)法律法規(guī)要求執(zhí)行。公司總經(jīng)理以實現(xiàn)顧客、工作人員和相關(guān)方的需求和期望為目標(biāo)，在本公司內(nèi)實施如下措施：a)通過相關(guān)方調(diào)查、新聞媒體的宣傳報道、座談會等方式，及時與相關(guān)方聯(lián)系，確保相關(guān)方的需求和期望得到確定、轉(zhuǎn)化為要求并盡可能予以滿足，以提高相關(guān)方的滿意度；b)關(guān)注相關(guān)方的信息安全和信息技術(shù)服務(wù)要求，包括法律法規(guī)要求與合同義務(wù)，以求得共同的發(fā)展；公司各部門應(yīng)在管理體系運(yùn)行過程中對公司管理體系有關(guān)的相關(guān)方及其需求和期望的相關(guān)信息進(jìn)行監(jiān)視，并于每年管理評審時對其評審，保留相關(guān)的資料。c)其中哪些將通過信息安全管理體系得到解決；4.3確定信息技術(shù)服務(wù)管理體系范圍本管理手冊描述的信息技術(shù)服務(wù)管理體系要求，適用于：a)物理范圍：xxxxxxxxxxb)組織范圍：管理層、信息安全小組、xxxx部、xxxx部、技術(shù)研發(fā)部、xxxx部、xxxx部c)業(yè)務(wù)范圍：ISMS：xxxxxxxxxxx相關(guān)的信息安全管理活動ITSMS：xxxxxxxxxxxxx相關(guān)的軟硬件運(yùn)維服務(wù)。4.4信息技術(shù)服務(wù)管理體系公司按照本手冊的規(guī)范性引用文件中所述標(biāo)準(zhǔn)的要求，建立公司信息安全管理體系和信息技術(shù)服務(wù)管理體系，包括所需的過程、過程的管理、過程組成系統(tǒng)的應(yīng)用，形成文件加以實施和保持，并持續(xù)改進(jìn)管理體系的有效性。做到：a）識別信息安全和信息技術(shù)服務(wù)管理體系所需的全部過程，包括所需的輸入和期望的輸出；b）確定過程的順序和相互作用；c）確定所需的準(zhǔn)則和方法（監(jiān)視、測量和相關(guān)績效指標(biāo)），以確保這些過程運(yùn)行和控制有效；d）確保各過程均可以獲得必要的資源和信息，以支持這些過程的運(yùn)行和對這些過程的監(jiān)視；e）規(guī)定各過程相關(guān)的責(zé)任和權(quán)限；f）應(yīng)對公司確定的風(fēng)險和機(jī)遇；g）監(jiān)視、測量和分析這些過程，依據(jù)監(jiān)視、測量和分析的效果采取相應(yīng)措施，實施所需的變更，以確保實現(xiàn)過程的預(yù)期結(jié)果；h）改進(jìn)這些過程，不斷提高信息技術(shù)服務(wù)管理體系的有效性；i）保留并保持所有的按照策劃進(jìn)行的文件化信息，支持過程的有效運(yùn)行。5領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾公司總經(jīng)理通過領(lǐng)導(dǎo)和行動，在公司業(yè)務(wù)和客戶要求的范疇內(nèi)建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)公司的信息安全和信息技術(shù)服務(wù)管理能力，證實其對管理體系的領(lǐng)導(dǎo)作用和承諾：a)確保制定管理體系的方針和目標(biāo)，與戰(zhàn)略方向一致；b)確保管理計劃的創(chuàng)建、實施和維護(hù)，以支持管理方針，實現(xiàn)管理目標(biāo)、信息安全和技術(shù)服務(wù)要求；c)確保關(guān)于管理體系的決策授權(quán)合理分配；d)確保為組織和確定的客戶創(chuàng)造價值；e)確保對服務(wù)生命周期的相關(guān)方進(jìn)行控制和管理；f)確保將信息安全和信息技術(shù)服務(wù)管理體系要求整合到組織過程中；g)確保信息安全和信息技術(shù)服務(wù)管理體系以及業(yè)務(wù)活動所需資源（基礎(chǔ)設(shè)施及環(huán)境、人力資源、設(shè)備、軟件、工具等）可用；h)溝通有效的信息安全和信息技術(shù)服務(wù)管理的重要性，實現(xiàn)管理目標(biāo)，提供價值并符合管理體系要求；i)確保管理體系達(dá)到預(yù)期結(jié)果；j)指導(dǎo)并支持相關(guān)人員為管理體系和服務(wù)的有效性做出貢獻(xiàn)，對全體員工進(jìn)行持續(xù)的信息安全和信息技術(shù)服務(wù)教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全和服務(wù)意識和能力；k)促進(jìn)信息安全和信息技術(shù)服務(wù)管理體系的持續(xù)改進(jìn)；l)支持其他相關(guān)管理者在其職責(zé)范圍內(nèi)發(fā)揮領(lǐng)導(dǎo)作用，以證實他們在其責(zé)任范圍內(nèi)的領(lǐng)導(dǎo)作用。5.2方針5.2.1建立管理方針信息安全方針：積極預(yù)防、快速響應(yīng)、持續(xù)改進(jìn)、確保安全服務(wù)管理方針：服務(wù)至上、誠信守約、技術(shù)創(chuàng)新、追求卓越公司倡導(dǎo)守信用、重承諾，服務(wù)做到盡善盡美；遵守服務(wù)協(xié)議和服務(wù)規(guī)范，滿足并超越客戶的需求，不斷提高信息技術(shù)服務(wù)水平。以上方針：a)適應(yīng)了公司的宗旨和環(huán)境并支持其戰(zhàn)略方向；b)為建立信息安全目標(biāo)和服務(wù)管理目標(biāo)提供框架；c)包括了對滿足適用的信息安全和技術(shù)服務(wù)管理相關(guān)要求的承諾；d)包括了對持續(xù)改進(jìn)信息安全和信息技術(shù)服務(wù)管理體系以及信息安全和服務(wù)的承諾。5.2.2溝通管理方針管理方針應(yīng)：a)可獲取并保持文件化信息；b)在公司內(nèi)得到溝通；通過會議、培訓(xùn)等方式溝通方針及其含義；c)適用時，可為相關(guān)方獲取。5.3組織的角色、責(zé)任和權(quán)限本公司最高管理層應(yīng)確保與管理體系及相關(guān)崗位的責(zé)任和權(quán)限得到分配和溝通。最高管理層應(yīng)分配責(zé)任和權(quán)限，以：a)確保管理體系符合標(biāo)準(zhǔn)的要求；b)向最高管理者報告管理體系的績效。為了有效地實施管理體系，公司規(guī)定了各級各崗位人員的職責(zé)、權(quán)限和相互關(guān)系，并在相關(guān)層次所管轄的范圍內(nèi)予以傳達(dá)，對于從事與管理體系有關(guān)工作所必需的特權(quán)，均加以規(guī)定。具體各部門職責(zé)詳見附錄1：信息安全和信息技術(shù)服務(wù)管理體系組織機(jī)構(gòu)圖及部門主要職責(zé)。為了能夠更好地貫徹公司最高管理層在管理方面的策略和方針，根據(jù)GB/T22080-2016/ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》和ISO/IEC20000-1：2018《信息技術(shù)服務(wù)管理－服務(wù)管理體系要求》的要求，任命王杰強(qiáng)為公司管理體系的管理者代表，作為公司組織和實施管理體系的負(fù)責(zé)人，直接向公司總經(jīng)理報告、負(fù)責(zé)。6規(guī)劃6.1.1總則當(dāng)策劃信息安全和信息技術(shù)服務(wù)管理體系時，組織應(yīng)考慮4.1中提及的問題和4.2中提及的要求，確定需要應(yīng)對的風(fēng)險和機(jī)會，以：a）確保信息安全和信息技術(shù)服務(wù)管理體系能實現(xiàn)其預(yù)期結(jié)果；b）防止或減少意外的影響；c）實現(xiàn)持續(xù)改進(jìn)。組織應(yīng)規(guī)劃:d）應(yīng)對這些風(fēng)險和機(jī)會的措施；e）如何整合和實施這些措施并將其納入信息安全和信息技術(shù)服務(wù)管理體系過程并評價這些措施的有效性。6.1.2信息安全和技術(shù)服務(wù)風(fēng)險評估公司通過實施和運(yùn)用信息安全和技術(shù)服務(wù)控制手段，保護(hù)信息資產(chǎn)的機(jī)密性、完整性和可訪問性，履行信息安全方針和服務(wù)管理方針的要求，實現(xiàn)管理目標(biāo)，管理信息安全相關(guān)風(fēng)險。公司通過建立《風(fēng)險評估控制程序》定義并應(yīng)用風(fēng)險評估過程，保證風(fēng)險接受和執(zhí)行信息安全和技術(shù)服務(wù)風(fēng)險評估的一致性、有效性和可比較的結(jié)果。通過識別信息安全和技術(shù)服務(wù)風(fēng)險，如應(yīng)用信息安全和技術(shù)服務(wù)風(fēng)險評估過程來識別信息技術(shù)服務(wù)和信息安全管理體系范圍內(nèi)的信息喪失保密性、完整性和可用性的相關(guān)風(fēng)險以及風(fēng)險責(zé)任人。在分析信息安全和技術(shù)服務(wù)風(fēng)險時，評估所識別風(fēng)險的級別，發(fā)生后將導(dǎo)致的潛在影響和風(fēng)險發(fā)生的現(xiàn)實可能性。將分析評估結(jié)果按風(fēng)險準(zhǔn)則進(jìn)行比較；為實施風(fēng)險處置確定已分析風(fēng)險的優(yōu)先級。信息安全和技術(shù)服務(wù)風(fēng)險評估過程，應(yīng)：（1）建立并保持信息安全和技術(shù)服務(wù)風(fēng)險接受準(zhǔn)則和執(zhí)行信息安全和技術(shù)服務(wù)風(fēng)險評估的準(zhǔn)則；（2）確保重復(fù)性的信息安全和技術(shù)服務(wù)風(fēng)險評估可產(chǎn)生一致的，有效的和可比較的結(jié)果；（3）識別信息安全體系范圍內(nèi)的信息喪失保密性、完整性和可用性的相關(guān)風(fēng)險和責(zé)任人。（4）分析、評估所識別的風(fēng)險發(fā)生后將導(dǎo)致的潛在影響和現(xiàn)實可能性，確定風(fēng)險級別；（5）將風(fēng)險分析結(jié)果同風(fēng)險接受準(zhǔn)則進(jìn)行對比，確定實施風(fēng)險處置的優(yōu)先級。6.1.3信息安全和技術(shù)服務(wù)風(fēng)險處置在定義并應(yīng)用信息安全和技術(shù)服務(wù)風(fēng)險處置過程，具體如下：（1）在考慮風(fēng)險評估結(jié)果的前提下，選擇適當(dāng)?shù)男畔踩图夹g(shù)服務(wù)風(fēng)險處置選項；（2）為實施所選擇的信息安全和技術(shù)服務(wù)風(fēng)險處置選項，確定所有必需的控制措施；（3）將確定的控制措施與《信息安全適用性聲明》的控制措施進(jìn)行比較，以核實沒有遺漏必要的控制措施；（4）確定適用性聲明。適用性聲明要包含必要的控制措施、對包含的合理性聲明以及刪減的合理性說明。（5）制定信息安全和技術(shù)服務(wù)風(fēng)險處置計劃；（6）公司最高管理者對信息安全和技術(shù)服務(wù)風(fēng)險處置計劃以及接受信息安全技術(shù)服務(wù)殘余風(fēng)險的批準(zhǔn)。6.2管理目標(biāo)及其實現(xiàn)規(guī)劃6.2.1確定目標(biāo)公司應(yīng)在相關(guān)職能和層級上制定管理目標(biāo)。管理目標(biāo)應(yīng)：a)與管理方針保持一致；b)可測量；c)考慮適用的要求；d)予以監(jiān)視；e)予以溝通；f)適當(dāng)時更新。應(yīng)保留有關(guān)服務(wù)管理目標(biāo)的文件化信息。管理目標(biāo)：信息安全泄密事件0件年度客戶信息安全投訴件數(shù)<3件客戶資料外泄事件為0源代碼泄露事件為0客戶數(shù)據(jù)外泄事件為0服務(wù)客戶滿意率≥90%；年度服務(wù)中斷時間≤8小時；6.2.2策劃實現(xiàn)目標(biāo)公司應(yīng)制定目標(biāo)實現(xiàn)的規(guī)劃，在策劃如何實現(xiàn)管理目標(biāo)時，組織應(yīng)確定：a)要做什么；b)需要什么資源；c)由誰負(fù)責(zé)；d)什么時候完成；e)如何評價結(jié)果。6.3規(guī)劃信息技術(shù)服務(wù)管理體系公司應(yīng)制定、實施和維護(hù)服務(wù)管理計劃，計劃應(yīng)考慮到服務(wù)管理方針、服務(wù)管理目標(biāo)、風(fēng)險與機(jī)遇、服務(wù)要求和標(biāo)準(zhǔn)的要求。服務(wù)管理計劃應(yīng)包含或引用以下內(nèi)容：a)服務(wù)清單；b)影響服務(wù)管理體系和服務(wù)的已知限制；c)有關(guān)的方針、標(biāo)準(zhǔn)和法律法規(guī)要求、合同的義務(wù)；d)服務(wù)管理體系和服務(wù)的權(quán)限、職責(zé)；e)運(yùn)行服務(wù)管理體系和服務(wù)所需要的人員、技術(shù)、信息和財務(wù)資源；f)服務(wù)生命周期中和相關(guān)方合作采取的工作方法；g)支持服務(wù)管理體系的技術(shù)；h)如何測量、審核、報告和改進(jìn)服務(wù)管理體系和服務(wù)的有效性。公司對特定過程生成的計劃應(yīng)與服務(wù)管理計劃保持一致。對服務(wù)管理計劃應(yīng)按照計劃時間間隔評審，如不適用，要進(jìn)行更新。7支持7.1資源總經(jīng)理及各級管理者負(fù)責(zé)確定和提供以下活動所需要的人員、技術(shù)、信息和財務(wù)資源：1）建立、實現(xiàn)、維護(hù)和持續(xù)改進(jìn)管理體系和運(yùn)行所需的資源；2）滿足服務(wù)要求和實現(xiàn)管理目標(biāo)所需的資源。以保證：a) 建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)管理體系；b) 確保程序支持業(yè)務(wù)要求；c) 識別并指出法律法規(guī)要求和合同責(zé)任；d) 通過正確應(yīng)用所實施的所有控制來保持充分的服務(wù)；e) 必要時，進(jìn)行評審，并對評審的結(jié)果采取適當(dāng)措施；f) 需要時，改進(jìn)管理體系的有效性。7.2能力為有效地實施信息安全和信息技術(shù)服務(wù)管理，貫徹管理方針，實現(xiàn)管理目標(biāo)，必須對管理體系涉及的所有人員從適當(dāng)?shù)慕逃⑴嘤?xùn)或經(jīng)驗方面來考慮員工的資源能力，尤其是從事與信息安全和技術(shù)服務(wù)活動有關(guān)的人員，來考核其影響本公司信息安全和技術(shù)服務(wù)績效所需的能力水平，以增強(qiáng)其信息安全和技術(shù)服務(wù)能力水平，保證其勝任所在崗位的工作。公司應(yīng)：a)確定在組織控制下從事會影響組織信息安全和信息技術(shù)服務(wù)管理體系以及信息安全和服務(wù)的績效與有效性的工作人員的必要能力；b)基于適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗，確保這些人員是勝任的；c)適用時，采取措施以獲得所需的能力，并評價措施的有效性；d)保留適當(dāng)?shù)奈募畔?，作為人員能力的證據(jù)。適用的措施可包括：如針對在職人員提供培訓(xùn)、輔導(dǎo)或重新分配；聘任或外包能勝任的人員。7.3意識公司應(yīng)確保在其控制下的工作人員知曉并理解：a)服務(wù)管理方針；b)服務(wù)管理目標(biāo)；c)與自身工作有關(guān)的服務(wù)；d)其對管理體系有效性的貢獻(xiàn)，包括改進(jìn)績效帶來的益處；e)不符合管理體系要求帶來的后果和影響。7.4溝通公司應(yīng)建立溝通機(jī)制和渠道，確定與管理體系范圍內(nèi)的業(yè)務(wù)相關(guān)的內(nèi)部和外部的溝通，包括：a)溝通什么；b)何時溝通；c)與誰溝通；d)如何溝通；e)誰負(fù)責(zé)溝通。公司已了解到與信息安全和技術(shù)服務(wù)管理人員之間溝通的重要性，相關(guān)部門與信息安全和技術(shù)服務(wù)管理人員通過會議、內(nèi)部平臺、網(wǎng)絡(luò)、通訊、評審報告及反饋等方式進(jìn)行溝通，并傳達(dá)信息安全和信息技術(shù)服務(wù)管理體系的重要性。溝通包括內(nèi)部和外部的溝通。7.5文件化信息7.5.1總則為確保有效的規(guī)劃、運(yùn)行和控制信息安全與服務(wù)管理，公司制定以下四個層次與類別的文件：a) 管理手冊：信息安全和信息技術(shù)服務(wù)管理體系過程描述，包含管理方針與目標(biāo)、管理體系覆蓋范圍。b) 程序文件：描述各個管理過程，支持管理手冊的實施與運(yùn)行。c) 作業(yè)文件：為確保過程的有效規(guī)劃、運(yùn)行的控制所需要的形成文件的規(guī)程，是開展具體業(yè)務(wù)工作的規(guī)范類、指導(dǎo)性文件，也是程序文件的支持性文件等。d) 記錄：在開展具體業(yè)務(wù)工作過程中產(chǎn)生的記錄類文件，主要是為具體工作結(jié)果提供各種可追溯性證據(jù)。7.5.2創(chuàng)建和更新創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)模篴)標(biāo)識和描述（例如標(biāo)題、日期、作者或索引編號）；b)格式（例如語言、軟件版本、圖表）和介質(zhì)（例如紙質(zhì)的、電子的）；c)評審和批準(zhǔn)，以保持適宜性和充分性。7.5.3文件化信息的控制編制《文件控制程序》和《記錄控制程序》，用以控制管理體系運(yùn)行所需要的文件，以確保：a)在需要的場合和時機(jī)，均可獲得并適用；b)予以妥善保護(hù)（如防止泄密、不當(dāng)使用或者缺失等）；為控制文件化信息，適用時，組織應(yīng)進(jìn)行下列活動：a)分發(fā)，訪問，檢索和使用；b)存儲和保護(hù)，包括保持可讀性；c)變更控制（例如版本控制）；d)保留和處置；e)對于組織確定的策劃和運(yùn)行管理體系所必需的來自外部的文件化信息，應(yīng)得到適當(dāng)?shù)淖R別，并予以控制。7.5.4管理體系文件化信息管理體系文件化信息包括：a)管理體系范圍；b)管理方針和目標(biāo)；c)服務(wù)管理計劃；d)變更管理方針、信息安全方針和服務(wù)連續(xù)性計劃（一個或多個）；e)管理體系的過程；f)信息安全與服務(wù)要求；g)服務(wù)目錄；h)服務(wù)級別協(xié)議（SLA）；i)與外部供應(yīng)商的合同；j)與內(nèi)部供應(yīng)商和充當(dāng)供應(yīng)商的客戶的協(xié)議；k)ISO/IEC27001:2022標(biāo)準(zhǔn)、ISO/IEC20000-1:2018標(biāo)準(zhǔn)要求的程序；l)證明符合ISO/IEC27001:2022標(biāo)準(zhǔn)、ISO/IEC20000-1:2018標(biāo)準(zhǔn)和管理體系要求的記錄。7.6知識公司應(yīng)確定和保持必要的知識，以運(yùn)行服務(wù)管理體系和服務(wù)。這些知識對適用的人員應(yīng)是相關(guān)的、可用的、有用的。注：知識是與管理體系、服務(wù)和相關(guān)方有關(guān)的，使用和共享知識以實現(xiàn)預(yù)期結(jié)果和運(yùn)行管理體系及服務(wù)。8運(yùn)行8.1運(yùn)行策劃和控制公司應(yīng)通過下列諸項以策劃、實施和控制滿足要求所需的過程，并實施第6章中確定的措施：a)基于要求，建立過程的績效準(zhǔn)則；b)按照績效準(zhǔn)則實施過程控制；c)應(yīng)保持文件化信息達(dá)到必要的程度，以確保這些過程按計劃得到執(zhí)行；d)應(yīng)控制策劃的變更并評審非預(yù)期變更的后果，必要時，采取措施減輕不利影響（見8.5.1）。e)應(yīng)確保外包過程受控（見8.2.3）。8.2服務(wù)組合8.2.1服務(wù)交付公司應(yīng)運(yùn)行管理體系，確保活動和資源的協(xié)調(diào)。公司應(yīng)執(zhí)行提供服務(wù)所需要的活動。服務(wù)組合通常管理服務(wù)生命周期中的所有服務(wù)，包括服務(wù)目錄中的、已存在的、正在實施中的、變更中的服務(wù)和即將停止的服務(wù)。服務(wù)組合管理確保公司有正確的服務(wù)構(gòu)成。服務(wù)組合管理活動包括服務(wù)策劃、控制服務(wù)生命周期的相關(guān)方、服務(wù)目錄管理、資產(chǎn)管理和配置管理。8.2.2策劃服務(wù)已存在服務(wù)、新服務(wù)、服務(wù)變更的要求應(yīng)確認(rèn)和保留文件化信息。公司應(yīng)基于組織、客戶、用戶和相關(guān)方的需求確認(rèn)服務(wù)的關(guān)鍵性。公司應(yīng)確認(rèn)和管理服務(wù)間的依賴性和重復(fù)性。考慮已知限制和風(fēng)險，公司應(yīng)提議服務(wù)變更，以便服務(wù)與服務(wù)管理方針、服務(wù)管理目標(biāo)和服務(wù)要求保持一致?？紤]可用資源，公司應(yīng)對服務(wù)變更請求、提議新服務(wù)、服務(wù)變更進(jìn)行優(yōu)先排序，以便服務(wù)管理目標(biāo)和業(yè)務(wù)目標(biāo)保持一致。8.2.3控制服務(wù)生命周期的相關(guān)方無論任何相關(guān)方涉及到在支持服務(wù)生命周期中執(zhí)行活動，公司應(yīng)對標(biāo)準(zhǔn)規(guī)定的要求和提供的服務(wù)負(fù)責(zé)。應(yīng)確認(rèn)和應(yīng)用標(biāo)準(zhǔn)來評估和選擇服務(wù)生命周期中的其它相關(guān)方。其它相關(guān)方可以是外部供應(yīng)商、內(nèi)部供應(yīng)商和客戶充當(dāng)?shù)墓?yīng)商。其它相關(guān)方不應(yīng)提供和運(yùn)行信息技術(shù)服務(wù)管理體系范圍內(nèi)所有的服務(wù)、服務(wù)組件或流程（不可全部外包）。公司應(yīng)確認(rèn)和文件化下列內(nèi)容：a)其它相關(guān)方提供和運(yùn)行的服務(wù)；b)其它相關(guān)方提供和運(yùn)行的服務(wù)組件；c)其它相關(guān)方運(yùn)行的信息技術(shù)服務(wù)管理體系范圍內(nèi)的流程或部分流程。公司應(yīng)集成組織自身或其它相關(guān)方提供和運(yùn)行的服務(wù)管理體系范圍內(nèi)的服務(wù)、服務(wù)組件和流程，以滿足服務(wù)要求。公司應(yīng)進(jìn)行協(xié)調(diào)包括服務(wù)生命周期中規(guī)劃、設(shè)計、轉(zhuǎn)換、交付和改進(jìn)活動的其它相關(guān)方。公司應(yīng)對其它相關(guān)方定義和應(yīng)用下列控制措施：a)測量和評估過程績效；b)測量和評估服務(wù)、服務(wù)組件滿足服務(wù)要求的有效性。8.2.4服務(wù)目錄管理公司應(yīng)創(chuàng)建和維護(hù)一個或多個服務(wù)目錄。服務(wù)目錄應(yīng)包括描述服務(wù)的組織、客戶、用戶和其它相關(guān)方的信息、它們預(yù)期的結(jié)果和服務(wù)間依賴關(guān)系。組織應(yīng)向客戶、用戶和其它相關(guān)方提供合適的訪問（部分）服務(wù)目錄的渠道。公司內(nèi)部經(jīng)過評審，制訂公司服務(wù)目錄。服務(wù)目錄應(yīng)定義所有服務(wù)，并包含服務(wù)名稱、服務(wù)目標(biāo)或標(biāo)準(zhǔn)、聯(lián)系接口、服務(wù)提供時間和例外、安全方面的考慮和安排。服務(wù)目錄是公司所提供的服務(wù)內(nèi)容的匯總，公司與客戶簽署SLA時應(yīng)參考。公司應(yīng)該根據(jù)當(dāng)前的服務(wù)能力對服務(wù)目錄進(jìn)行更新與維護(hù)。8.2.5資產(chǎn)管理公司應(yīng)確保管理用于提供服務(wù)的資產(chǎn)以滿足服務(wù)要求和條款6.3c）規(guī)定的義務(wù)。8.2.6配置管理應(yīng)根據(jù)《配置管理程序》的要求，評估所有與信息技術(shù)服務(wù)相關(guān)的重要資產(chǎn)和配置項，識別、定義、維護(hù)信息技術(shù)服務(wù)和基礎(chǔ)設(shè)施的組件，明確配置項之間的關(guān)系、屬性和作用，定義命名規(guī)范、版本號，以確保有效管理IT資產(chǎn)和配置。制訂和實施《配置項分類定義表》，每個配置項的配置信息應(yīng)包括：a)唯一性標(biāo)識；b)配置項類型；c)配置項描述；d)與其它配置項的關(guān)系；e)狀態(tài)。適用時，被管理的配置項主要包括：a) 信息系統(tǒng)和軟件的發(fā)布，相關(guān)系統(tǒng)文檔，例如要求規(guī)范、設(shè)計、測試報告、發(fā)布文檔；b) 為每個項目或信息系統(tǒng)應(yīng)用環(huán)境配置基線、或描述應(yīng)用環(huán)境、標(biāo)準(zhǔn)硬件（如安裝過的終端設(shè)備）組成和發(fā)布；c) 備份和電子資料庫，如最終軟件庫（DSL）；d) 配置管理包或工具；e) 許可證；f) 安全組件，例如防火墻；g) 服務(wù)相關(guān)文檔，例如服務(wù)級別協(xié)議、活動程序；h) 支持設(shè)施，例如機(jī)房電源。根據(jù)配置項之間的關(guān)系、屬性、狀態(tài)類別、重要程度和優(yōu)先級，確定配置信息的范圍、分解的層數(shù)、詳細(xì)的程度，完成配置信息的構(gòu)建，形成配置基線，并和公司的服務(wù)目標(biāo)和SLA保持一致。服務(wù)要根據(jù)配置項進(jìn)行分類?？芍朴啞杜渲霉芾碛媱潯罚⒚磕赀M(jìn)行更新。計劃的主要內(nèi)容應(yīng)包括：a) 配置管理的范圍、目標(biāo)、策略、標(biāo)準(zhǔn)角色和責(zé)任。b) 配置管理流程定義服務(wù)和基礎(chǔ)設(shè)施中配置項，配置控制變更，記錄和報告配置項情況，證實配置項的完整性和正確性。c) 責(zé)任、可檢索、可審計的要求，例如出于安全、法律、規(guī)章或業(yè)務(wù)目的。d) 配置控制（訪問、保護(hù)、版本、開發(fā)、發(fā)布控制）。e) 交互控制流程，及信息接口和發(fā)布。f) 資源管理規(guī)劃和建立，以便使資產(chǎn)和配置受控，并維持配置管理系統(tǒng)，如培訓(xùn)活動。g) 與配置相關(guān)的供應(yīng)商管理要求和活動。在配置管理過程中應(yīng)監(jiān)控配置項的整個生命周期，確保只有被授權(quán)且可識別的配置項才被接受，并記錄從接受到銷毀的全過程；沒有被認(rèn)可的變更請求，不能添加、修改、替換或刪除配置項。應(yīng)保存有效的配置記錄，以反映配置項狀態(tài)、位置和版本的變化，并通過各種狀態(tài)監(jiān)控配置項的變更，例如訂購、接收、測試、使用、變更、拆卸、取消。配置項的更新信息應(yīng)作為配置管理計劃和變更管理的輸入。為保護(hù)系統(tǒng)、服務(wù)和基礎(chǔ)設(shè)施的完整性和安全性，配置項信息應(yīng)被保存在一個安全環(huán)境。應(yīng)：a) 保護(hù)其不受未授權(quán)訪問、變更或破壞。b) 提供災(zāi)害后恢復(fù)方法。c) 對受控軟件、測試產(chǎn)品和支持文檔等備份的恢復(fù)進(jìn)行限制。配置評審程序應(yīng)包含缺陷記錄、執(zhí)行糾正措施和報告結(jié)果。應(yīng)定期編制《配置項管理報告》，報告應(yīng)包括：配置項最新版本、配置項的位置和軟件主要版本的位置、相互依賴關(guān)系、版本歷史。在任何時候都可核對配置項以下內(nèi)容：服務(wù)配置項或系統(tǒng)、變更、基準(zhǔn)線、開發(fā)或發(fā)布、版本或變量。應(yīng)在計劃的時間間隔內(nèi)組織相關(guān)部門實施配置認(rèn)可和審核活動，并檢查是否有充分的資源以支持：a) 保護(hù)物理配置和公司的知識資本；b) 確保公司控制其配置、原件和許可證；c) 確保配置信息準(zhǔn)確、可控、可見。應(yīng)確保變更、發(fā)布、系統(tǒng)或環(huán)境符合其合同約定或事先約定的要求且配置記錄是準(zhǔn)確的。配置項的變更應(yīng)可追溯和可審計，以維護(hù)配置信息的完整性。配置項的變更發(fā)布后，配置項應(yīng)更新。適用時，配置信息應(yīng)對其它服務(wù)管理活動可用。在審核中出現(xiàn)的缺陷或不符合項應(yīng)被記錄、評估和改進(jìn)。8.3關(guān)系與協(xié)議8.3.1總則公司可以通過供應(yīng)商以：a)提供和運(yùn)行服務(wù)；b)提供和運(yùn)行服務(wù)組件；c)運(yùn)行服務(wù)管理體系范圍內(nèi)的流程或部分流程。8.3.2業(yè)務(wù)關(guān)系管理對公司提供服務(wù)的客戶、用戶和其他相關(guān)方建立檔案。定期組織相關(guān)部門開展服務(wù)管理評價活動，討論匯報服務(wù)范圍、SLA、合同或業(yè)務(wù)需求的變化，及性能、成績、結(jié)果和措施計劃；評審服務(wù)的績效趨勢和服務(wù)的結(jié)果。當(dāng)服務(wù)目標(biāo)、服務(wù)需求、支持合同、業(yè)務(wù)等發(fā)生新增、變更或撤銷時，應(yīng)提出并評估服務(wù)范圍和SLA的改進(jìn)方案，變更的結(jié)果以書面形式及時通知相關(guān)的部門和客戶，并監(jiān)控改進(jìn)措施的實施。與客戶建立有效的互動、溝通關(guān)系，以便及時了解客戶的需求或重大變更，并依據(jù)需求進(jìn)行響應(yīng)。定義、收集、分析客戶滿意度數(shù)據(jù)和信息，按計劃的時間間隔，根據(jù)客戶的代表性樣本衡量對服務(wù)的滿意度，應(yīng)對結(jié)果進(jìn)行分析、評審，以確定改進(jìn)的機(jī)會，監(jiān)控客戶滿意度的趨勢。定義客戶投訴的范圍、類別、接口、處理及升級措施，以便有效處理客戶投訴。按客戶投訴管理流程，記錄、調(diào)查、反應(yīng)、報告和關(guān)閉所有正式服務(wù)投訴，定期收集、統(tǒng)計、分析客戶投訴的記錄，識別投訴的發(fā)展趨勢和存在問題，確保服務(wù)的持續(xù)性目標(biāo)的實現(xiàn)。8.3.3服務(wù)級別管理根據(jù)公司的戰(zhàn)略規(guī)劃、資源要求及客戶需求，與其他相關(guān)部門溝通、確定SLA時，應(yīng)考慮：可接受持續(xù)損失服務(wù)的最大周期；可接受降級服務(wù)的最大周期；服務(wù)恢復(fù)時，可接受降級服務(wù)級別。客戶代表與客戶簽訂《服務(wù)級別協(xié)議》。應(yīng)明確：服務(wù)要求和期望服務(wù)工作量特征的協(xié)議、服務(wù)目標(biāo)協(xié)議、服務(wù)級別實現(xiàn)、工作量的測量和報告，以及服務(wù)目標(biāo)不能完成的分析與說明?！斗?wù)級別協(xié)議》包含以下內(nèi)容：服務(wù)的簡述、術(shù)語表、客戶職責(zé)、服務(wù)部門職責(zé)和義務(wù)、服務(wù)目標(biāo)、服務(wù)時間、工作量限制（最大及最小工作量）、支持和相關(guān)服務(wù)、影響和優(yōu)先級描述、授權(quán)細(xì)節(jié)及授權(quán)人員聯(lián)系信息、有效期或SLA變更控制機(jī)制（包含升級和通知流程）、服務(wù)中斷采取的糾正措施、計劃和協(xié)調(diào)中斷（包括通知事件及頻率）、溝通的簡述（包括報告、投訴程序）、在SLA中規(guī)定條款的例外情況。應(yīng)依據(jù)與客戶簽訂的SLA的要求，組織簽署與供應(yīng)商之間的支持合同（或協(xié)議）。當(dāng)出現(xiàn)重要業(yè)務(wù)變更時，應(yīng)及時溝通，按原流程重新組織相關(guān)部門，調(diào)整、修訂《服務(wù)級別協(xié)議》，并作為服務(wù)改進(jìn)計劃的輸入。按計劃的時間間隔對以下方面進(jìn)行監(jiān)視、評審和報告：a）針對服務(wù)級別目標(biāo)的績效；b）與SLA中的工作量限制相比，工作量的實際和周期性變化。如果未達(dá)到服務(wù)級別目標(biāo)，則應(yīng)識別改進(jìn)機(jī)會。8.3.4供應(yīng)商管理對涉及的所有供應(yīng)商提供的技術(shù)服務(wù)過程進(jìn)行管理，完善供應(yīng)商管理制度和采購規(guī)范，實施采購，確保：供應(yīng)商了解其對本公司承擔(dān)的責(zé)任。服務(wù)要求滿足協(xié)議約定的服務(wù)級別和范圍。管理變更。記錄與相關(guān)各方的業(yè)務(wù)交流。了解所有供應(yīng)商的業(yè)績并采取相應(yīng)改進(jìn)措施。應(yīng)指定一名或多名專人負(fù)責(zé)管理與外部供應(yīng)商的關(guān)系、合同和績效。組織相關(guān)部門對外部供應(yīng)商提供服務(wù)的所滿足的需求、范圍、服務(wù)級別、接口和溝通流程等進(jìn)行評審并達(dá)成一致，按公司正式授權(quán)，組織簽署與外部供應(yīng)商之間的支持合同或供貨協(xié)議。合同中應(yīng)包括或包含對以下內(nèi)容的引用：服務(wù)、角色、責(zé)任的定義。由外部供應(yīng)商提供或運(yùn)營的服務(wù)范圍，服務(wù)組件，過程或過程的一部分。外部供應(yīng)商應(yīng)滿足的要求。服務(wù)級別目標(biāo)或其他合同義務(wù)。組織和外部供應(yīng)商的權(quán)限和責(zé)任。與外部供應(yīng)商簽署的支持合同或供貨協(xié)議應(yīng)確保與本公司向客戶提供服務(wù)的SLA相關(guān)聯(lián)，并保持一致。當(dāng)公司與外部供應(yīng)商的支持合同或供貨協(xié)議需要修訂或變更時，應(yīng)重新組織相關(guān)部門進(jìn)行合同評審，在評審中應(yīng)討論和明確對本公司SLA的影響和變更，并按照《變更管理程序》的要求實施。按計劃的時間間隔，對公司合格供應(yīng)商進(jìn)行年度評審，監(jiān)督、評價、記錄外部供應(yīng)商對本公司SLA的落實情況和績效，將評定的結(jié)果及時反饋給相關(guān)供應(yīng)商，并組織進(jìn)行相關(guān)調(diào)整和改進(jìn)。應(yīng)組織管理與外部供應(yīng)商之間的合同沖突，并在支持合同或供貨協(xié)議中明確。如果爭議無法通過正常途徑解決時，應(yīng)交由更高級別的解決途徑。應(yīng)確保所有合同沖突被記錄、調(diào)查、解決并正式關(guān)閉。對于每個內(nèi)部供應(yīng)商或充當(dāng)供應(yīng)商的客戶，應(yīng)編制、商定和維護(hù)文件化協(xié)議，以定義各方之間的服務(wù)級別目標(biāo)、其它承諾、活動和接口。應(yīng)按計劃的時間間隔，監(jiān)視內(nèi)部供應(yīng)商或充當(dāng)供應(yīng)商的客戶的績效。如果未達(dá)到服務(wù)級別目標(biāo)和其它商定的承諾，應(yīng)組織進(jìn)行相關(guān)調(diào)整和改進(jìn)，確保改進(jìn)機(jī)會得到識別。8.4供應(yīng)與需求8.4.1服務(wù)預(yù)算與核算公司編制并實施：a)服務(wù)組件的預(yù)算和核算至少包括：1)用于提供服務(wù)的資產(chǎn)（包括許可證）；2)共享資源；3)管理費用；4)資金和運(yùn)行費用；5)外部供應(yīng)商的服務(wù)；6)人員；7)設(shè)施；b)與服務(wù)相關(guān)的間接成本和直接成本的分?jǐn)?，并為每個服務(wù)提供總體成本；c)有效的財物控制和授權(quán)。應(yīng)對支出進(jìn)行預(yù)算，使交付的服務(wù)能有效地進(jìn)行財務(wù)控制和業(yè)務(wù)決策。應(yīng)按計劃的時間間隔，對比預(yù)算監(jiān)視并報告預(yù)算的支出，評審財務(wù)預(yù)測，從而管理支出。應(yīng)根據(jù)國家的有關(guān)法律法規(guī)和財務(wù)政策的要求，根據(jù)公司的業(yè)務(wù)策略（包括產(chǎn)品策略、銷售策略、服務(wù)策略等），組織擬制、審核公司及部門的總體性和階段性的信息技術(shù)服務(wù)費用預(yù)算及成本標(biāo)準(zhǔn)。各部門根據(jù)公司業(yè)務(wù)發(fā)展戰(zhàn)略、公司現(xiàn)有的SLA要求，及本部門業(yè)務(wù)的特點，按部門工作計劃的內(nèi)容，組織擬制本部門階段性的費用預(yù)算計劃，經(jīng)匯總、報批后實施。在預(yù)算期間出現(xiàn)的服務(wù)變更引起的預(yù)算變化，相關(guān)部門應(yīng)按要求執(zhí)行預(yù)算變更申請。在對《服務(wù)級別協(xié)議》進(jìn)行評審時，應(yīng)根據(jù)公司策略，評估實現(xiàn)服務(wù)目標(biāo)和需求的成本，并根據(jù)確定的服務(wù)級別協(xié)議跟蹤成本的變化。應(yīng)在服務(wù)變更時，計算服務(wù)變更成本，并通過《變更管理程序》進(jìn)行批準(zhǔn)。應(yīng)根據(jù)預(yù)算編制跟蹤財務(wù)變化，對超出預(yù)算要求的變化，提前向相關(guān)部門和公司領(lǐng)導(dǎo)提出預(yù)警信號。8.4.2需求管理為了理解并滿足客戶當(dāng)前和未來的需求，按照策劃的時間間隔，公司及相關(guān)部門應(yīng)：a)確定服務(wù)當(dāng)前需求和預(yù)測未來需求；b)監(jiān)視和報告服務(wù)需求與使用情況。能力管理與需求管理配合，策劃和提供充足的能力以滿足需求。8.4.3能力管理應(yīng)根據(jù)服務(wù)和性能要求，并考慮公司人員、技術(shù)、信息和財務(wù)資源進(jìn)行能力規(guī)劃。能力規(guī)劃至少應(yīng)包括：a)基于服務(wù)需求，當(dāng)前和預(yù)測的能力；b)對約定的服務(wù)等級目標(biāo)、服務(wù)可用性、服務(wù)連續(xù)性要求的預(yù)期影響；c)服務(wù)能力變更的時間跨度和閥值。應(yīng)統(tǒng)計當(dāng)前信息技術(shù)服務(wù)的實際性能和預(yù)期要求的運(yùn)行信息，以支持服務(wù)業(yè)務(wù)的開展。應(yīng)根據(jù)服務(wù)特點、服務(wù)量、服務(wù)報告和客戶業(yè)務(wù)等信息，組織對能力規(guī)劃進(jìn)行評審，并保留評審相關(guān)的記錄。當(dāng)出現(xiàn)臨時的新增或變更服務(wù)時，應(yīng)根據(jù)要求，及時對能力規(guī)劃的相關(guān)內(nèi)容進(jìn)行評估和更新。8.5服務(wù)設(shè)計、構(gòu)建與轉(zhuǎn)換8.5.1變更管理變更管理方針根據(jù)公司業(yè)務(wù)需要或客戶需求，應(yīng)建立變更管理方針并形成文件，以定義：a)受變更管理控制的服務(wù)組件和其它元素；b)變更類別，包括緊急變更，以及如何管理；c)確定可能對客戶或服務(wù)產(chǎn)生重大影響的變更的判斷標(biāo)準(zhǔn)。變更管理方針：控制服務(wù)變更，降低變更風(fēng)險變更管理啟動所有變更請求，包括增加、刪除或轉(zhuǎn)移服務(wù)的提議，應(yīng)予以記錄和分類。對以下情形，公司應(yīng)按照8.5.2條款中的服務(wù)設(shè)計和轉(zhuǎn)換進(jìn)行管理：a)根據(jù)變更管理方針，可能對客戶或其它服務(wù)產(chǎn)生重大影響的新服務(wù)；b)根據(jù)變更管理方針，可能對客戶或其它服務(wù)產(chǎn)生重大影響的服務(wù)變更；c)根據(jù)變更管理方針，應(yīng)由服務(wù)設(shè)計和轉(zhuǎn)換管理的變更類別；d)服務(wù)的下線；e)將現(xiàn)有服務(wù)從公司轉(zhuǎn)移到客戶或其它各方；f)將現(xiàn)有服務(wù)從客戶或其它各方轉(zhuǎn)移到公司。應(yīng)通過條款中的“變更管理活動”對條款8.5.2范圍內(nèi)的新服務(wù)或變更的服務(wù)進(jìn)行評估、批準(zhǔn)、安排和評審等管理。對不通過條款8.5.2管理的變更請求應(yīng)通過條款中的“變更管理活動”進(jìn)行管理。變更管理活動.1公司和相關(guān)方應(yīng)就變更請求的批準(zhǔn)和優(yōu)先級做出決策。做出決策時應(yīng)考慮風(fēng)險、商業(yè)收益、可行性和財務(wù)影響。決策還應(yīng)考慮變更對以下要素帶來的潛在影響：a)現(xiàn)有服務(wù)；b)客戶、用戶和其它相關(guān)方；c)標(biāo)準(zhǔn)要求的方針和計劃；d)能力、服務(wù)可用性、服務(wù)連續(xù)性和信息安全；e)其它變更請求、發(fā)布和部署計劃。.2得到批準(zhǔn)的變更應(yīng)進(jìn)行準(zhǔn)備、驗證，并在可能的情況下進(jìn)行測試。得到批準(zhǔn)的變更的建議部署日期和其它部署詳細(xì)信息應(yīng)通知相關(guān)方。應(yīng)將變更安排的時間信息及時提供給與變更有關(guān)的人員，變更狀態(tài)和安排的實施時間應(yīng)作為變更和發(fā)布時間安排的依據(jù)。.3應(yīng)對變更失敗的回退或補(bǔ)救措施進(jìn)行規(guī)劃，應(yīng)在可行時進(jìn)行測試。.4應(yīng)在變更實施后組織對其效果和改進(jìn)記錄進(jìn)行評審，評審結(jié)果應(yīng)妥善保管并作為服務(wù)改進(jìn)計劃的輸入。實施后評審應(yīng)檢查：變更是否滿足目標(biāo)、客戶對結(jié)果是否滿意、沒有預(yù)期之外的負(fù)面影響。.5應(yīng)在變更中考慮緊急變更的要求，識別緊急變更的需求、風(fēng)險和必要性，定義緊急變更的內(nèi)容、范圍、級別、權(quán)限、接口、活動等，并在變更后評審。.6應(yīng)對失敗的變更進(jìn)行調(diào)查，應(yīng)按計劃的時間間隔，分析變更請求記錄以發(fā)現(xiàn)趨勢性現(xiàn)象。應(yīng)對變更分析結(jié)果和結(jié)論采取相應(yīng)的糾正、預(yù)防措施，并保存相關(guān)的記錄。8.5.2服務(wù)設(shè)計與轉(zhuǎn)換策劃新的或變更的服務(wù)策劃應(yīng)根據(jù)8.2.2條款中確定的新的或者變更的服務(wù)的要求，應(yīng)包括或引用下列內(nèi)容：a）設(shè)計、構(gòu)建和轉(zhuǎn)換活動的權(quán)限和職責(zé)；b)公司以及其他相關(guān)方擬執(zhí)行的活動，包括時間跨度；c)人員、技術(shù)、信息和財務(wù)資源；d）與其它服務(wù)的依賴關(guān)系；e)新的服務(wù)或變更的服務(wù)需要的測試；f)服務(wù)驗收準(zhǔn)則；g)交付新服務(wù)或變更服務(wù)的預(yù)期結(jié)果的可測量性描述；h)對信息技術(shù)服務(wù)管理體系、其它服務(wù)、計劃的變更、客戶、用戶和其它相關(guān)方的影響。對于將要移除的服務(wù)，策劃還應(yīng)包括移除服務(wù)的日期，以及數(shù)據(jù)、文件化信息和服務(wù)組件的存檔、處理或傳輸活動。對于將要轉(zhuǎn)移的服務(wù)，策劃還應(yīng)包括服務(wù)轉(zhuǎn)移的日期以及數(shù)據(jù)、文件化信息、知識和服務(wù)組件轉(zhuǎn)移的活動。受新的或變更的服務(wù)影響的配置項應(yīng)通過配置管理進(jìn)行控制。設(shè)計新的或者變更的服務(wù)應(yīng)予以設(shè)計和保留文件化信息以滿足8.2.2條款確定的服務(wù)要求。設(shè)計應(yīng)包括下列內(nèi)容：a）提供新的或變更的服務(wù)時的各方權(quán)限和職責(zé)；b)對人員、技術(shù)、信息和財務(wù)資源變更的要求；c)適當(dāng)?shù)慕逃?、培?xùn)和經(jīng)驗的要求；d）支持服務(wù)的新的或變更的服務(wù)級別協(xié)議、合同和其他形成文件的協(xié)議；e)變更對信息技術(shù)服務(wù)管理體系的影響，包括新的或變更的方針、計劃、過程、程序、措施和知識；f)對其它服務(wù)的影響；g)更新服務(wù)目錄（一個或多個）。構(gòu)建與轉(zhuǎn)換新的或變更的服務(wù)應(yīng)被建立和測試，以驗證其能否滿足服務(wù)要求、設(shè)計文件的要求，以及約定的驗收標(biāo)準(zhǔn)。如果不符合服務(wù)驗收標(biāo)準(zhǔn)，公司和相關(guān)方應(yīng)就必要的措施和部署進(jìn)行決策。發(fā)布和部署管理應(yīng)被用于已批準(zhǔn)的新的或變更的服務(wù)部署到實際運(yùn)行環(huán)境中。轉(zhuǎn)換活動完成后，應(yīng)向相關(guān)方報告所實現(xiàn)的結(jié)果，并與預(yù)期結(jié)果進(jìn)行對比。8.5.3發(fā)布與部署管理根據(jù)變更管理程序、發(fā)布和部署管理程序的要求，結(jié)合業(yè)務(wù)對信息系統(tǒng)、基礎(chǔ)設(shè)施、服務(wù)和文檔等進(jìn)行規(guī)劃，識別發(fā)布的內(nèi)容、種類、層次、影響等，制訂發(fā)布策略來配置發(fā)布活動，包括：a) 發(fā)布頻度和類型。b) 發(fā)布管理的角色和責(zé)任。c) 發(fā)布測試和實施的授權(quán)。d) 所有發(fā)布的唯一標(biāo)識和描述。e) 分組變更以進(jìn)行版本發(fā)布。f) 為提高效率和可重復(fù)性，建立、安裝、發(fā)布分發(fā)流程自動化方法。g) 發(fā)布的驗證和接受。公司各部門溝通發(fā)布策略，確保相關(guān)的信息系統(tǒng)、基礎(chǔ)設(shè)施、服務(wù)和文檔得到認(rèn)可、授權(quán)、預(yù)定、協(xié)調(diào)和跟蹤。應(yīng)分階段規(guī)劃發(fā)布和回撤計劃，規(guī)劃內(nèi)容一般包括：a) 發(fā)布日期、交付描述和部署方法；b) 本次發(fā)布關(guān)閉或解決的相關(guān)變更、問題和已知錯誤，以及在發(fā)布測試期間被識別的已知錯誤；c) 在可行的情況下，為每個實施地點制定一份活動計劃；d) 如發(fā)布失敗，可以被回撤或修復(fù)的方式；e) 驗證和驗收流程；f) 對客戶和服務(wù)支持人員的交流、準(zhǔn)備、備案和培訓(xùn)；g) 采購、存儲、分發(fā)、聯(lián)系、接受和銷毀商品的后勤工作和流程；h) 確保維護(hù)服務(wù)級別所需的支持資源；i) 可能對發(fā)布測試和實施造成影響的相關(guān)變更和風(fēng)險的標(biāo)識；j) 與相關(guān)人員、客戶代表安排的更新、評審會議。當(dāng)進(jìn)行重大升級時，安排仿真環(huán)境的驗證和評審，確保發(fā)布進(jìn)入生產(chǎn)時與預(yù)期狀態(tài)一致。發(fā)布的結(jié)果包括發(fā)布通告、安裝指南、基于相關(guān)配置基準(zhǔn)線的已安裝軟硬件等。發(fā)布應(yīng)依據(jù)文件化的驗收標(biāo)準(zhǔn)進(jìn)行驗證，并在部署前獲得批準(zhǔn)。制訂發(fā)布計劃，經(jīng)批準(zhǔn)后，按發(fā)布計劃的要求實施發(fā)布，并及時反饋上線成功的驗證信息。在發(fā)布管理活動中，驗證和認(rèn)可流程應(yīng)包括：a) 檢查測試環(huán)境與實際工作環(huán)境是否一致；b) 檢查發(fā)布開發(fā)源于配置管理下的版本，發(fā)布安裝在測試環(huán)境中并采用事先計劃好的工作流程；c) 檢查測試已經(jīng)完成，例如功能性測試和非功能性測試，業(yè)務(wù)許可測試，開發(fā)、發(fā)布、分發(fā)和安裝規(guī)程的測試；d) 確保發(fā)布滿足客戶和公司的需要；e) 確保發(fā)布授權(quán)方確定測試每階段的結(jié)束；f) 檢查目標(biāo)平臺滿足安裝的軟硬件要求；g) 當(dāng)發(fā)布實現(xiàn)其目標(biāo)時，檢查發(fā)布實施的完整。如果發(fā)布未成功，則應(yīng)按制訂的撤銷計劃的內(nèi)容，實施回退操作，并將發(fā)布情況及時報告和記錄。對發(fā)布未成功的原因進(jìn)行確認(rèn)，如需重新實施變更，則按《變更管理程序》的要求執(zhí)行。如屬潛在問題引起的發(fā)布未成功，則應(yīng)按《問題管理程序》的要求執(zhí)行。發(fā)布成功后，應(yīng)及時將發(fā)布信息對配置項進(jìn)行更新。對發(fā)布和部署相關(guān)文檔進(jìn)行保存，以尋求并確定改進(jìn)的機(jī)會。有關(guān)發(fā)布成功或失敗以及將來發(fā)布日期的信息，在適當(dāng)時，應(yīng)提供給其它服務(wù)管理活動。8.6解決與完成8.6.1事件管理公司編制《事件管理程序》，對所有事件進(jìn)行明確，并考慮以下因素：a)記錄和分類；b)考慮影響和緊急性，進(jìn)行優(yōu)先排序；c)需要時升級；d)解決；e)關(guān)閉。事件報告方式包括電話、拜訪、電子郵件等，以及值班人員巡檢發(fā)現(xiàn)的事件，所有事件應(yīng)正式記錄，并可檢索和分析。事件記錄要隨著采取的措施進(jìn)行更新。應(yīng)組織相關(guān)部門定義事件的等級、種類，包括重大事件，并明確授權(quán)處理人員的角色、權(quán)限接口、責(zé)任和處理流程。要確定服務(wù)項目的重大事件，根據(jù)公司的各項服務(wù)標(biāo)準(zhǔn)對重大事件進(jìn)行分類和管理。并將重大事件的信息報告總經(jīng)理。公司的重大事件由相關(guān)部門經(jīng)理和公司領(lǐng)導(dǎo)負(fù)責(zé)。對重大事件的處理，應(yīng)組織相關(guān)部門評審后實施，處理措施在評審時，應(yīng)考慮配置項的變更、財務(wù)方面的可行性。評審的結(jié)果作為服務(wù)改進(jìn)計劃的輸入。當(dāng)重大事件解決后，要及時匯報和評審，以識別改進(jìn)的機(jī)會。8.6.2服務(wù)請求管理所有的服務(wù)請求應(yīng)：a)記錄和分類；b)優(yōu)先排序；c)解決；d)關(guān)閉。所有服務(wù)請求應(yīng)正式記錄，并可檢索和分析。服務(wù)請求應(yīng)根據(jù)采取的措施進(jìn)行更新。服務(wù)請求解決的指南應(yīng)對服務(wù)請求完成的有關(guān)人員可用。8.6.3問題管理根據(jù)《問題管理程序》對事件原因預(yù)先識別、分析、管理直至關(guān)閉，以減少對業(yè)務(wù)的影響。問題應(yīng)：a)得到記錄和分類；b)優(yōu)先分級；c)基于需要進(jìn)行升級；d)盡可能解決；e)關(guān)閉。根據(jù)日常檢查、測試、事件數(shù)量和類型的趨勢分析等糾正措施，識別潛在問題。所有被識別的問題都應(yīng)該得到記錄。問題記錄應(yīng)根據(jù)所采取的行動及時更新。在接受和記錄問題之后，服務(wù)部門首先根據(jù)問題分級分類準(zhǔn)則，對受理的問題進(jìn)行分級和分類以方便后續(xù)的監(jiān)視和報告。在問題進(jìn)行分級/分類后，將問題轉(zhuǎn)給相應(yīng)的專項工程師。在問題得到解決后，相關(guān)信息應(yīng)加入知識庫，同時應(yīng)升級所有相關(guān)文件，如用戶指南和系統(tǒng)文件。記錄對服務(wù)或問題管理流程的改進(jìn)，并作為服務(wù)改進(jìn)計劃的輸入。解決問題所需要的變更，按《變更管理程序》的要求，依據(jù)變更管理方針，經(jīng)批準(zhǔn)后實施變更。應(yīng)分析事件和問題的數(shù)據(jù)和趨勢，以識別根本原因和潛在預(yù)防措施。當(dāng)發(fā)現(xiàn)根本原因，但問題并沒有徹底解決時，應(yīng)采取措施以減輕或消除問題對服務(wù)的影響。已知錯誤應(yīng)被記錄。已知錯誤的更新信息和問題解決方案應(yīng)提供給事件管理和服務(wù)請求管理等其他服務(wù)過程。應(yīng)按計劃的時間間隔，對問題解決的有效性監(jiān)視、評審和報告。8.7服務(wù)保障8.7.1服務(wù)可用性管理按策劃的時間間隔，與服務(wù)可用性有關(guān)的風(fēng)險應(yīng)予以評估并保留文件化信息。應(yīng)確定服務(wù)可用性要求和目標(biāo)，要考慮相關(guān)的業(yè)務(wù)要求、服務(wù)要求、SLA和風(fēng)險。服務(wù)可用性的要求和目標(biāo)應(yīng)保留文件化信息并維護(hù)。服務(wù)可用性應(yīng)予以監(jiān)控、記錄結(jié)果并與目標(biāo)作比較。非計劃的不可用應(yīng)予以調(diào)查和采取必要的措施。可用性活動可以包括：a) 監(jiān)控和記錄服務(wù)的可用性；b) 維護(hù)準(zhǔn)確的歷史數(shù)據(jù)；c) 與SLA中定義需求相比較，以識別不符合SLA有效目標(biāo)的事項；d) 記錄不符合項，并組織評審；e) 考慮、評估供應(yīng)商的影響；f) 預(yù)計未來的可用性。在考慮服務(wù)可用性以及制定服務(wù)連續(xù)性計劃時要考慮識別的服務(wù)的風(fēng)險。8.7.2服務(wù)連續(xù)性管理按照策劃的時間間隔，應(yīng)評估服務(wù)連續(xù)性有關(guān)的風(fēng)險并保留文件化信息。要確定服務(wù)連續(xù)性的要求，包括相關(guān)的業(yè)務(wù)要求、服務(wù)要求、SLA和風(fēng)險。要針對服務(wù)項目建立、實施和維護(hù)一個或多個服務(wù)連續(xù)性計劃。服務(wù)連續(xù)性計劃應(yīng)包括或引用下列內(nèi)容：a）啟動服務(wù)連續(xù)性計劃的標(biāo)準(zhǔn)和職責(zé)；b）在服務(wù)嚴(yán)重中斷時實施的程序；c）啟用服務(wù)連續(xù)性計劃時的可用性目標(biāo)；d）服務(wù)恢復(fù)要求；e）返回正常工作條件的程序。服務(wù)連續(xù)性計劃和聯(lián)系人名單由專人保存，確保正常服務(wù)位置訪問被阻止時可以查詢。按照策劃的時間間隔，由相關(guān)部門每年對服務(wù)連續(xù)性計劃按照服務(wù)的要求進(jìn)行測試。當(dāng)服務(wù)環(huán)境有重大變更時，要對服務(wù)連續(xù)性計劃進(jìn)行重新測試，測試的結(jié)果要記錄。每次測試完成后和服務(wù)連續(xù)性計劃啟用后，要對服務(wù)連續(xù)性計劃進(jìn)行評審。發(fā)現(xiàn)服務(wù)連續(xù)性計劃有缺陷或不足時，要采取必要的措施。服務(wù)連續(xù)性計劃已經(jīng)啟用后，要報告啟用的原因、影響和恢復(fù)情況。8.7.3信息安全管理信息安全方針總經(jīng)理批準(zhǔn)公司的信息安全方針。須保留文件化信息并考慮服務(wù)要求及6.3C）要求的義務(wù)。信息安全方針：風(fēng)險控制、信息保密、綜合管理、持續(xù)改進(jìn)適用時，信息安全方針應(yīng)可用、可獲取，要與以下相關(guān)人員溝通符合信息安全方針的重要性，并要求管理體系運(yùn)行過程中應(yīng)用信息安全方針：a)組織；b）客戶和用戶；c）外部供應(yīng)商、內(nèi)部供應(yīng)商和其他相關(guān)方。信息安全控制措施根據(jù)公司業(yè)務(wù)及SLA要求，制訂信息安全管理方針、目標(biāo)，并識別、分類信息安全資產(chǎn)，包括：提供服務(wù)所需要的信息安全資產(chǎn)目錄。根據(jù)信息安全資產(chǎn)對服務(wù)的重要性以及所要求的保護(hù)級別對信息安全資產(chǎn)進(jìn)行分類，并指派相應(yīng)的安全負(fù)責(zé)人。對信息安全資產(chǎn)實施安全風(fēng)險評估，并應(yīng)考慮以下因素：特性（例如軟件漏洞、運(yùn)行錯誤、通信失?。?。發(fā)生的可能性。潛在的業(yè)務(wù)影響。信息安全政策目標(biāo)，滿足客戶特定安全需要以及所采用的法規(guī)條例。歷史經(jīng)驗。制訂信息安全管理的相關(guān)文件，描述相關(guān)風(fēng)險的控制，及運(yùn)行和維護(hù)控制的方式。應(yīng)規(guī)定信息安全管理的權(quán)限，在訪問信息系統(tǒng)和服務(wù)時，應(yīng)基于已定義的所有必要安全需求的正式協(xié)議。要注意處置提供服務(wù)的外部組織的信息安全風(fēng)險。每年應(yīng)按計劃的時間間隔，評估和記錄信息技術(shù)服務(wù)管理體系和服務(wù)中的信息安全風(fēng)險。應(yīng)監(jiān)測和評審信息安全控制措施的有效性并采取必要的措施。信息安全事件對信息安全事件進(jìn)行如下處理：a）記錄和分類；b）考慮信息安全風(fēng)險，事件的影響和緊急程度進(jìn)行優(yōu)先排序；c）需要時，進(jìn)行升級處理；d）解決；e）關(guān)閉。應(yīng)報告、調(diào)查和記錄所有信息安全事件，要針對信息安全事件的類型、數(shù)量、對信息技術(shù)服務(wù)管理體系和相關(guān)方的影響進(jìn)行分析。發(fā)生信息安全事件應(yīng)報告和評審，以識別改進(jìn)的機(jī)會。9績效評價9.1監(jiān)視、測量、分析和評價公司采用適宜的方法監(jiān)控和測量信息安全風(fēng)險與服務(wù)以及管理體系。公司制定《監(jiān)視和測量管理程序》，以確定：a)需要監(jiān)視和測量管理體系和服務(wù)的內(nèi)容；b)適用的監(jiān)視、測量、分析和評估方法，以確保有效的結(jié)果。c)何時進(jìn)行監(jiān)視和測量；d)何時應(yīng)分析和評估監(jiān)視和測量的結(jié)果。應(yīng)保留適當(dāng)?shù)奈募畔⒆鳛楸O(jiān)視和測量結(jié)果的證據(jù)。應(yīng)定期根據(jù)服務(wù)管理目標(biāo)對管理體系績效和有效性進(jìn)行評估，根據(jù)信息安全與技術(shù)服務(wù)要求對信息安全與技術(shù)服務(wù)的有效性進(jìn)行評估。9.2內(nèi)部審核公司每年按照計劃的時間間隔（一年內(nèi)）進(jìn)行內(nèi)部審核，以確定管理體系和控制目標(biāo)、控制措施、過程和程序是否：a）符合ISO/IEC27001:203標(biāo)準(zhǔn)、ISO/IEC20000-1:2018標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；b）滿足服務(wù)需求和所提出的服務(wù)管理體系要求；c）符合已識別的信息技術(shù)服務(wù)管理計劃；d）有效被實施和維護(hù)；e）按預(yù)期執(zhí)行。應(yīng)考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果、變更的影響，對內(nèi)部審核方案進(jìn)行策劃、建立、實施和維護(hù)。審核方案應(yīng)包括審核的準(zhǔn)則、范圍、頻次、方法、責(zé)任、規(guī)劃要求和報告。每次審核前，應(yīng)編制內(nèi)審計劃，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。應(yīng)按審核計劃的要求實施審核，包括：進(jìn)行首次會議，明確審核的目的和范圍，采用的方法和程序；實施現(xiàn)場審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流，填寫審核發(fā)現(xiàn)；對檢查內(nèi)容進(jìn)行分析，召開內(nèi)審小組會議、末次會議，宣布審核意見和不符合報告；審核組長編制審核報告。對審核中提出的不符合項報告，責(zé)任部門應(yīng)編制糾正措施，組織對受審部門的糾正措施的實施情況進(jìn)行跟蹤、驗證；保存所有審核記錄。內(nèi)部審核報告，應(yīng)作為管理評審的輸入之一。9.3管理評審公司管理層應(yīng)按照計劃的時間間隔（一年內(nèi)）評審管理體系、信息安全風(fēng)險與技術(shù)服務(wù)，以確保其持續(xù)的適宜性、充分性和有效性。管理評審應(yīng)包括評價管理體系改進(jìn)的機(jī)會和變更的需要，包括管理方針和目標(biāo)。管理評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。管理評審的輸入應(yīng)至少包括以下信息：a）以往管理評審的結(jié)果和提出措施的狀態(tài)；b）與管理體系相關(guān)的外部和內(nèi)部事項的變化；c）有關(guān)管理體系績效，包括以下方面的趨勢：1）不符合和糾正措施；2）監(jiān)視和測量結(jié)果；3）審核結(jié)果；d）持續(xù)改進(jìn)的機(jī)會；e）客戶和其他相關(guān)方反饋；f）管理方針和其他方針的遵守性、適宜性；g）管理目標(biāo)實現(xiàn)情況；h）信息安全管理與技術(shù)服務(wù)的績效；i）服務(wù)生命周期中其他相關(guān)方的績效；j）當(dāng)前和預(yù)測的人員、技術(shù)、信息和財務(wù)資源水平以及人員和技術(shù)資源的能力；k）風(fēng)險評估的結(jié)果、應(yīng)對風(fēng)險和機(jī)遇措施的有效性；l）影響管理體系和服務(wù)的變更。管理評審的輸出包括與持續(xù)改進(jìn)機(jī)遇相關(guān)的決定以及變更管理體系和服務(wù)的任何需求。應(yīng)保留管理評審相關(guān)的記錄和資料作為管理評審結(jié)果的證據(jù)。9.4服務(wù)報告9.4.1應(yīng)就向客戶提交的服務(wù)報告的目的、內(nèi)容、要求、報告周期等進(jìn)行規(guī)定。9.4.2相關(guān)服務(wù)部門根據(jù)服務(wù)管理體系活動和提供服務(wù)的信息擬制服務(wù)報告，對計劃間隔內(nèi)的客戶服務(wù)狀況、問題趨勢、服務(wù)數(shù)據(jù)、SLA目標(biāo)實現(xiàn)等進(jìn)行匯總、統(tǒng)計和分析。9.4.3服務(wù)報告應(yīng)就服務(wù)管理體系和服務(wù)的績效以及有效性進(jìn)行報告。服務(wù)報告應(yīng)包括趨勢分析。服務(wù)報告還可以包括以下內(nèi)容：執(zhí)行服務(wù)級別目標(biāo)的績效，違反SLA、安全管理要求等的不符合項和結(jié)論，工作量特征（如：數(shù)量、資源利用、周期變化），報告重大事件和變更，定期趨勢信息，服務(wù)成本，服務(wù)投訴情況，問題解決的有效性，客戶滿意度分析等。9.4.4服務(wù)報告應(yīng)及時、清晰、可靠和簡明，便于分析、決策和有效溝通。9.4.5應(yīng)根據(jù)服務(wù)報告中的結(jié)果做出決策并采取行動。達(dá)成一致的行動應(yīng)通知有關(guān)各方。10改進(jìn)10.1不符合及糾正措施10.1.1對管理體系運(yùn)行過程和審核中提出的不符合項，責(zé)任部門應(yīng)制定糾正措施，公司對糾正措施的實施情況進(jìn)行跟蹤、驗證。a)對不符合做出反應(yīng)，適用時：1)采取措施，以控制并予以糾正；2)處理后果；b)通過以下活動，評價是否需要采取措施，以消除產(chǎn)生不符合的原因，避免其再次發(fā)生或在其他場合發(fā)生：1)評審不符合；2)確定不符合的原因；3)確定類似的不符合是否存在，或可能發(fā)生；c)實現(xiàn)任何需要的措施；d)評審任何所采取的糾正措施的有效性；e)必要時，對服務(wù)管理體系進(jìn)行變更。所采取的糾正措施應(yīng)與所遇到的不符合的影響相適合。10.1.2公司應(yīng)保留文件化信息作為以下方面的證據(jù)：a)不符合的性質(zhì)及所采取的任何后續(xù)措施；b)任何糾正措施的結(jié)果。10.2持續(xù)改進(jìn)本公司要持續(xù)改進(jìn)管理體系和服務(wù)的適宜性、充分性和有效性。公司建立有管理體系和服務(wù)的持續(xù)改進(jìn)策略，其中包括對改進(jìn)機(jī)會的評估標(biāo)準(zhǔn)。批準(zhǔn)決策時，要確定適用于改進(jìn)機(jī)會的評價準(zhǔn)則。評價準(zhǔn)則應(yīng)包括改進(jìn)和公司管理目標(biāo)保持一致。應(yīng)有文件化的程序（包括權(quán)利和責(zé)任）用以識別、記錄、評估、批準(zhǔn)、劃分優(yōu)先級、管理、測量和報告改進(jìn)措施。改進(jìn)機(jī)會（包括改進(jìn)和預(yù)防措施）應(yīng)被文件化。對批準(zhǔn)的改進(jìn)機(jī)會進(jìn)行管理，包括下列活動：a)在質(zhì)量、價值、能力、成本、生產(chǎn)力、資源利用率和風(fēng)險降低等方面設(shè)置一個或者多個改進(jìn)目標(biāo)；b)確保改進(jìn)活動進(jìn)行優(yōu)先排序、策劃和實施；c)必要時，對管理體系進(jìn)行變更；d)針對設(shè)定的目標(biāo)，測量實施的改進(jìn)，目標(biāo)未滿足時，采取必要的措施；e)匯報實施的改進(jìn)。本公司開展以下活動，以確保管理體系的持續(xù)改進(jìn)：通過管理體系的建立與實施，對持續(xù)改進(jìn)做出正式的承諾；通過建立管理明確改進(jìn)的方向，確保改進(jìn)達(dá)到預(yù)期的效果；實施每年管理評審、內(nèi)部審核、信息安全和技術(shù)服務(wù)有效性檢查等活動以確定需改進(jìn)的項目；按照要求采取適當(dāng)?shù)募m正和預(yù)防措施；對于內(nèi)部審核、管理評審或其他活動中所發(fā)現(xiàn)的不符合項或潛在不符合項，應(yīng)按照要求進(jìn)行及時糾正并采取糾正措施；通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對管理措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲取外部信息技術(shù)服務(wù)管理專家的建議、政府行政主管部門的聯(lián)系及識別顧客對信息安全和技術(shù)服務(wù)的要求等；在質(zhì)量、價值、能力、成本、生產(chǎn)率、資源利用率和風(fēng)險降低等方面的改進(jìn)；實施批準(zhǔn)的改進(jìn)；g)報告實施的改進(jìn)。附錄1：體系組織機(jī)構(gòu)圖及各自主要職責(zé)總經(jīng)理1、全面領(lǐng)導(dǎo)公司的日常工作，向公司員工傳達(dá)滿足顧客和法律、法規(guī)要求的重要性；2、制定公司管理方針和目標(biāo)，確保員工能理解并自覺貫徹執(zhí)行；3、實施管理體系管理評審，確保管理體系持續(xù)的適宜性和有效性；4、為管理體系的有效運(yùn)行和持續(xù)改進(jìn)提供必要的資源；5、設(shè)置組織機(jī)構(gòu)并規(guī)定它們的職責(zé)和權(quán)限以及相互關(guān)系；6、在本企業(yè)管理層中指定一名體系負(fù)責(zé)人（管理者代表）；7、為確保管理體系的有效運(yùn)行，在公司內(nèi)建立適當(dāng)?shù)臏贤ㄟ^程，使管理體系的有效性得到溝通。管理者代表1、分配權(quán)限和職責(zé)，確保管理體系所需的過程和活動根據(jù)服務(wù)管理的方針和目標(biāo)得到建立、實施、保持和提高；2、組織內(nèi)部審核，向總經(jīng)理報告管理體系的績效和任何改進(jìn)的需求；3、確保在整個組織內(nèi)提高滿足顧客要求的服務(wù)意識的形成；4、負(fù)責(zé)對管理體系有關(guān)事宜與外部方進(jìn)行聯(lián)絡(luò)；5、確保管理過程是與其他管理體系（SMS）管理組件的整合；6、確保用于交付服務(wù)的資產(chǎn)（包括許可證），遵從法律法規(guī)要求和合同義務(wù)。行政部：1、負(fù)責(zé)貫徹公司領(lǐng)導(dǎo)指示。做好上下聯(lián)絡(luò)溝通工作，及時向領(lǐng)導(dǎo)反映情況、反饋信息；搞好各部門間相互配合、綜合協(xié)調(diào)工作；對和項工作和計劃的督辦和檢查。2、根據(jù)領(lǐng)導(dǎo)意圖和公司發(fā)展戰(zhàn)略，負(fù)責(zé)起草年度工作計劃、年度工作總結(jié)和其他重要文稿，牽頭或協(xié)助公司的規(guī)劃研究。3、負(fù)責(zé)全公司日常行政事務(wù)管理，協(xié)助總經(jīng)理處理日常工作，負(fù)責(zé)總經(jīng)理的日?；顒雍屯獬龌顒拥陌才拧?、組織安排公司辦公會議，或會同有關(guān)部門籌備公司其他會議及有關(guān)重要活動，做好會議記錄和整理會議紀(jì)要，根據(jù)需要按會議決定發(fā)文。5、負(fù)責(zé)公司來往信函的收發(fā)、登記、傳閱、批示，做好公文的擬訂、審核、印刷、傳遞、催辦和檢查，及文書檔案資料的歸檔立卷管理的工作。6、做好公司歷年大事記的原始資料收集和編纂工作，定期或不定期編輯公司簡訊、簡報或內(nèi)部發(fā)行的刊物。7、負(fù)責(zé)公司保密工作和法律事務(wù)，妥善保管和正確使用公司印章和介紹信。負(fù)責(zé)前臺接待、客人來訪迎送等招待工作。8、負(fù)責(zé)公司辦公設(shè)施的管理。包括公司辦公用品采購、發(fā)放、使用登記、保管、維護(hù)管理工作，負(fù)責(zé)傳真機(jī)、復(fù)印機(jī)、長途電話、手提電話的管理和使用。9、負(fù)責(zé)公司證書資質(zhì)管理及資質(zhì)申報等相關(guān)工作。10、負(fù)責(zé)公司總務(wù)工作，做好后勤保障。主要是辦公用品采購、設(shè)備維護(hù)管理、安全門衛(wèi)等。11、負(fù)責(zé)公司車輛調(diào)度、管理、維修、保養(yǎng)工作，確保公司領(lǐng)導(dǎo)和職工正常工作用車。定期對司機(jī)進(jìn)行交通安全教育，減少事故和違章，降低油耗。12、為豐富員工文化生活，組織安排各種文體活動和旅游活動。13、負(fù)責(zé)公司財務(wù)核算、發(fā)票開具、財務(wù)報銷、福利核發(fā)、成本控制等財務(wù)相關(guān)工作。14、負(fù)責(zé)公司勞動關(guān)系管理、勞動爭議處理等人力資源相關(guān)工作。15、完成總經(jīng)理交辦的其他任務(wù)。Xxxx技術(shù)部：1、按照公司的業(yè)務(wù)方向進(jìn)行理論性的研究和探討論證；2、承擔(dān)公司的重大課題（國家級、省市級、區(qū)縣級等）研究開發(fā)任務(wù)；3、組建公司各類高端和重大研發(fā)機(jī)構(gòu)和實驗室；4、負(fù)責(zé)公司高技術(shù)發(fā)展前沿開發(fā)；5、組織實施公司承擔(dān)的各類科研任務(wù)；6、負(fù)責(zé)組建公司高端人才聚集和交流。技術(shù)研發(fā)部：1.參與新產(chǎn)品開發(fā)，負(fù)責(zé)產(chǎn)品研發(fā)設(shè)計；

2.主持成本定額的制定和修訂，標(biāo)準(zhǔn)工時的制定和修訂，標(biāo)準(zhǔn)用料的制定和修訂；

3.現(xiàn)有產(chǎn)品在設(shè)計上的研究與改良；

4.訂單標(biāo)準(zhǔn)用量的制定和修訂；

5.參與產(chǎn)品推廣方案的制定；

6.會同行政部實施定額考核；

7.依據(jù)公司制定的市場開發(fā)計劃，進(jìn)行深入的市場調(diào)研和項目初步論證，提交可研報告，為公司的市場開發(fā)提供準(zhǔn)確的信息與數(shù)據(jù)。

8.制定項目前期開發(fā)方案，組織協(xié)調(diào)監(jiān)控項目前期開發(fā)過程，確保項目開發(fā)的準(zhǔn)確高效開展。與公司各部門配合，制定并實施項目公司市場推廣方案。9.聯(lián)系設(shè)計單位，組織制定產(chǎn)品設(shè)計方案。

10.其他相關(guān)職責(zé)。Xxxx職責(zé)1、負(fù)責(zé)市場調(diào)查工作。2、負(fù)責(zé)市場企劃工作。3、負(fù)責(zé)編制和組織實施年度營銷計劃。4、負(fù)責(zé)具體銷售合同（定單）的評審與組織實施。5、負(fù)責(zé)客戶管理。6、負(fù)責(zé)售后服務(wù)管理。7、負(fù)責(zé)營銷收入和銷售費用的管理。8、負(fù)責(zé)品牌建設(shè)。9、負(fù)責(zé)營銷人員隊伍建設(shè)。10、參與企業(yè)年度工作報告的編制，負(fù)責(zé)向財務(wù)部提供相應(yīng)資料。11、參與制定科技發(fā)展戰(zhàn)略，負(fù)責(zé)向技術(shù)中心提供國、內(nèi)外音視頻產(chǎn)品市場狀況及趨勢分析報告。12.參與公司年度新產(chǎn)品研發(fā)計劃，負(fù)責(zé)向技術(shù)中心提供新產(chǎn)品研發(fā)市場信息。13、參與科研項目的立項及評審工作，負(fù)責(zé)向技術(shù)中心提供產(chǎn)品的市場需求意向及價格定位報告。14、參與網(wǎng)絡(luò)信息建設(shè)，負(fù)責(zé)向行政部提供職責(zé)范圍內(nèi)的相應(yīng)資料。15、參與企業(yè)文化建設(shè)，負(fù)責(zé)向行政部提供職責(zé)范圍內(nèi)企業(yè)文化建設(shè)資料。16、負(fù)責(zé)上級領(lǐng)導(dǎo)交辦的其他事項。Xxxx部：一、技術(shù)服務(wù)經(jīng)理1、帶領(lǐng)技術(shù)服務(wù)團(tuán)隊維護(hù)整個生產(chǎn)線的軟件及數(shù)據(jù)上傳工作，配合生產(chǎn)實施人員做好技術(shù)服務(wù)支持，保障生產(chǎn)實施工作的順利進(jìn)行。2、合理分配、安排技術(shù)人員的具體工作，滿足生產(chǎn)加工的需要。3、解決技術(shù)支持過程中遇到的技術(shù)性難題，保證技術(shù)支持工作的正常開展。4、負(fù)責(zé)基層技術(shù)人員的培養(yǎng)、考核工作。5、對生產(chǎn)實施過程中遇到的技術(shù)問題給出合理、可行的及技術(shù)解決方案。6、熟悉生產(chǎn)流程，對生產(chǎn)程序的持續(xù)優(yōu)化提出可行性意見。7、深入研究行業(yè)的技術(shù)發(fā)展趨勢，保證生產(chǎn)所使用的技術(shù)始終處于同行的前列。8、協(xié)助其他部門，做好技術(shù)支持工作。9、解決領(lǐng)導(dǎo)安排的其他技術(shù)問題。Xxx部：1、應(yīng)根據(jù)合同要求，科學(xué)的編制、調(diào)整生產(chǎn)計劃，合理的調(diào)配生產(chǎn)資源（人員、設(shè)備）滿足市場的需要。2、建立健全數(shù)字化中心的各項管理、績效考評制度，加強(qiáng)員工管理，根據(jù)項目的實施情況做出公平、公正的獎懲決定或建議，提高數(shù)字化中心所屬人員的責(zé)任心、積極性。3、組織數(shù)字化中心員工學(xué)習(xí)公司的各項規(guī)章制度，確保各項規(guī)章制度在數(shù)字化中心得以正確、順利地貫徹執(zhí)行。4、開展人員培訓(xùn)，定期對員工進(jìn)行職業(yè)道德、思想素質(zhì)、崗位技能、保密教育、質(zhì)量控制、設(shè)備保養(yǎng)的培訓(xùn)。定期對員工進(jìn)行技能考核，培養(yǎng)員工的愛崗敬業(yè)精神，提高操作技能，提高生產(chǎn)效率。5、加強(qiáng)與下屬員工的溝通、交流，力所能及的解決下屬的后顧之憂，激勵員工積極向上，聽取下屬的合理化建議，并通過整理、匯總后提出改進(jìn)方案，提高工作效率。6、積極培養(yǎng)、選拔后備干部，為數(shù)字化中心的可持續(xù)發(fā)展做出努力。7、隨時關(guān)注各種生產(chǎn)報表（產(chǎn)量表、工資表、人員登記表、成品移交確認(rèn)表等），從報表中發(fā)現(xiàn)問題