ISMS-信息安全與服務(wù)管理手冊(cè)

文件編號(hào)：ISMS-0001-2022受控狀態(tài):

信息安全與服務(wù)管理手冊(cè)

(依據(jù)ISO/IEC27001:2013>ISO/IEC20000.1:2018)

目錄

0.1發(fā)布令......................................................................................4

0.2任命書......................................................................................5

0.3公司簡(jiǎn)介....................................................................................6

0.4管理方針與目標(biāo)..............................................................................6

1范圍..........................................................................................9

2.引用標(biāo)準(zhǔn)..................................................................................10

3.術(shù)語和定義................................................................................11

4.組織環(huán)境..................................................................................16

4.1了解組織及其背景........................................................................16

4.I.1內(nèi)部問題.................................................................................................................................................................16

4.1.2組織外部問題.........................................................................................................................................................16

42理解相關(guān)方的需求和期望..................................................................17

4.........................................................................................................................................................3確定管理體系范圍..17

4..............................................................................................................................................................4管理體系的建立.17

5.領(lǐng)導(dǎo)力....................................................................................19

51領(lǐng)導(dǎo)力和承諾.............................................................................19

5.2方針.....................................................................................19

5.3組織的角色、職責(zé)和權(quán)限...................................................................20

6.策劃......................................................................................21

6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施...................................................................21

62管理目標(biāo)及其實(shí)現(xiàn)策劃....................................................................23

63策劃服務(wù)管理體系........................................................................24

7.支持......................................................................................24

7.1資源.....................................................................................24

72能力.....................................................................................25

7.3意識(shí).....................................................................................26

7.4溝通.....................................................................................26

7.5文檔化的信息............................................................................27

7.5.1總則...........................................................................................................................................................................27

7.5.2創(chuàng)建和更新..............................................................................................................................................................27

75.3文檔化信息的控制.................................................................................................................................................28

8.運(yùn)行........................................................................................29

8.1運(yùn)行策劃與控制.................................................................................................................................................29

8.2信息安全風(fēng)險(xiǎn)評(píng)估與服務(wù)組合.........................................................................................................................30

8.2.1信息安全風(fēng)險(xiǎn)評(píng)估..............................................................................................................................................30

8.2.2服務(wù)交付.................................................................................................................................................................30

I

8.2.3服務(wù)策劃............................................................................30

8.2.4控制服務(wù)生命周期涉及的各相關(guān)方.....................................................30

8.2.5服務(wù)目錄管理........................................................................31

8.2.6資產(chǎn)管理............................................................................31

8.2.7配置管理............................................................................31

8.3信息安全風(fēng)險(xiǎn)處置及關(guān)系和協(xié)議.......................................................32

8.3.2關(guān)系與協(xié)議總則(SMS8.3.1).......................................................................................................................32

8.3.3業(yè)務(wù)關(guān)系管理(SMS8.3.2)...........................................................................................................................32

8.3.4服務(wù)水平管理(SMS8.3.3)...........................................................................................................................33

8.3.5供應(yīng)商管理(SMS8.3.4)................................................................................................................................33

8.3.5.1管理外部供應(yīng)商(SMS8.3.4.1)................................................................................................................33

8.3,5.2管理內(nèi)部供應(yīng)商和充當(dāng)供應(yīng)商的客戶(SMS8.3.4.2).................................................................................34

8.4供應(yīng)與需求、...........................................................................34

8.4.1服務(wù)預(yù)算與核算......................................................................34

8.4.2需求管理............................................................................35

8.4.3能力管理............................................................................35

85服務(wù)設(shè)計(jì)'構(gòu)建與轉(zhuǎn)換....................................................................35

8.5.1變更管理............................................................................35

8.5.l.l變更管理策略.........35

8.5.1.2變更管理啟動(dòng)..........................................35

8.5.1.3變更管理活動(dòng).........36

8.5.2服務(wù)設(shè)計(jì)與轉(zhuǎn)換.....................................................................36

8.5.2.1策劃新的或變更的服務(wù)..................................36

8.5.2.2設(shè)計(jì).....................................................................................37

852.3構(gòu)建與轉(zhuǎn)換..........37

8.5.3發(fā)布與部署管理......................................................................38

86解決與履行..............................................................................38

8.6.1事件管理............................................................................38

8.6.2服務(wù)請(qǐng)求管理........................................................................38

8.6.3問題管理............................................................................39

87服務(wù)保障................................................................................39

8.7.1服務(wù)可用性管理......................................................................39

8.7.2服務(wù)連續(xù)性管理.....................................................................40

8.7.3信息安全管理.......................................................................40

8.73.1信息安全策略........40

873.2信息安全控制措施......................................41

873.3信息安全事件.........41

9.績(jī)效評(píng)價(jià)............................................................................................41

9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià).............................................................41

9.2內(nèi)部審核...........................................................................42

9.3管理評(píng)審.....................................................................42

94服務(wù)報(bào)告.................................................................................44

2

10.改進(jìn)44

10.1不符合及糾正措施......................................................................44

10.1.1不符合和糾正措施....................................................................44

10.1.2應(yīng)形成文檔化的信息作為以下方面的證據(jù):.............................................45

10.2持續(xù)改進(jìn)..............................................................................45

3

0.1發(fā)布令

為提高我公司的信息安全與服務(wù)管理水平，保障我公司業(yè)務(wù)活動(dòng)的正常進(jìn)行，防止由于

信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密、計(jì)劃外的服務(wù)中斷所導(dǎo)致的公司和客戶用

戶的損失，我公司于2022年1月開展貫徹IS027001：2013《信息技術(shù)-安全技術(shù)-信息安全

管理體系要求》、IS020000.1：2018《信息技術(shù)-服務(wù)管理-服務(wù)管理體系要求》國(guó)際標(biāo)準(zhǔn)

工作，建立、實(shí)施和持續(xù)改進(jìn)文檔化的信息安全與服務(wù)管理體系，制定了本公司《信息安全

與服務(wù)管理手冊(cè)》（下簡(jiǎn)稱本手冊(cè)）。

本手冊(cè)是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實(shí)施信息安全管理體系的綱領(lǐng)和行動(dòng)準(zhǔn)

則，用于貫徹企業(yè)的信息安全管理方針、目標(biāo)，實(shí)現(xiàn)信息安全管理體系有效運(yùn)行、持續(xù)改進(jìn),

體現(xiàn)企業(yè)對(duì)社會(huì)的承諾。

本手冊(cè)符合有關(guān)信息安全和服務(wù)法律法規(guī)要求及ISO27001：2013《信息技術(shù)-安全技術(shù)

-信息安全管理體系要求》、ISD20000.1：2018《信息技術(shù)-服務(wù)管理-服務(wù)管理體系要求》

國(guó)際標(biāo)準(zhǔn)和企'也實(shí)際情況，現(xiàn)正式批準(zhǔn)發(fā)布，自2022年1月3日發(fā)布之日起實(shí)施，公司全體

員工必須遵照?qǐng)?zhí)行。

公司各級(jí)干部職工必須嚴(yán)格按照本手冊(cè)的要求，自覺遵循公司信息安全、服務(wù)管理方針,

貫徹實(shí)施本手冊(cè)的各項(xiàng)要求，努力實(shí)現(xiàn)公司信息安全、服務(wù)管理目標(biāo)。

總經(jīng)理：

批準(zhǔn)日期:

4

0.2任命書

為貫徹執(zhí)行信息安全與服務(wù)管理體系，滿足IS027001：2013《信息技術(shù)-安全技術(shù)-信息

安全管理體系要求》、IS02000S1：2018《信息技術(shù)-服務(wù)管理-服務(wù)管理體系要求》國(guó)際

標(biāo)準(zhǔn)的要求，加強(qiáng)公司領(lǐng)導(dǎo)，特任命為我公司信息安全與服務(wù)管理體系管理者代表（體

系負(fù)責(zé)人），并授權(quán)其如下職責(zé)和權(quán)限：

1.確保按照標(biāo)準(zhǔn)的要求，全面建立、實(shí)施和保持信息安全與服務(wù)管理體系；

2.負(fù)責(zé)信息安全與服務(wù)管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；

3.確保信息安全業(yè)務(wù)風(fēng)險(xiǎn)及服務(wù)質(zhì)量得到有效控制：

4.確保在整個(gè)組織內(nèi)提高信息安全與服務(wù)管理能力；

5.傳達(dá)信息安全、服務(wù)管理目標(biāo)的重要性和持續(xù)改善的必要性與重要性；

6.組織信息安全與服務(wù)管理體系的內(nèi)部審核；

7.提供服務(wù)資源以滿足服務(wù)交付、支持及信息安全、服務(wù)交付的作業(yè)與管理活動(dòng)；

8.對(duì)信息安全與服務(wù)管理組織和服務(wù)的風(fēng)險(xiǎn)進(jìn)行管理；

9.信息安全與服務(wù)流程的處理、評(píng)審、決策等。

10.向最高管理者報(bào)告信息安全與服務(wù)管理體系及信息安全與服務(wù)管理體系的業(yè)績(jī)和改

進(jìn)要求，包括信息技術(shù)服務(wù)管理體系和信息安全管理體系運(yùn)行情況、內(nèi)外部審核情況。

本任命書自任命之日起生效執(zhí)行c

總經(jīng)理：

批準(zhǔn)日期:

5

0.3公司簡(jiǎn)介

0.4管理方針與目標(biāo)

為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密及計(jì)劃外的服務(wù)中斷、對(duì)外

提供應(yīng)用軟件運(yùn)維服務(wù)質(zhì)量的下降所導(dǎo)致的企業(yè)和客戶用戶的損失、丟失，本公司建立了信

息安全與服務(wù)管理體系，制訂了信息安全與服務(wù)管理方針，確定了信息安全目標(biāo)。

信息安全管理方針：

研究企業(yè)，服務(wù)企業(yè)，精心設(shè)計(jì)，用心服務(wù)

服務(wù)管理方針：

以客戶為中心，提供精準(zhǔn)/專業(yè)服務(wù)；以流程為導(dǎo)向，超越客戶期望

本公司信息安全、服務(wù)管理方針包括內(nèi)容如下：

一、信息安全管理與服務(wù)機(jī)制

基于風(fēng)險(xiǎn)和機(jī)遇分析、適用法律法規(guī)的遵守情況，公司采用體系過程的方法，按照

1SO27OO1：2013.1S020000.1：2018建立信息安全與服務(wù)管理體系，全面保護(hù)本公司的信息

安全、服務(wù)到位。

二、信息安全與服務(wù)管理組織

1.公司總經(jīng)理對(duì)信息安全與服務(wù)工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全、服務(wù)管理方針，確

定信息安全要求、相關(guān)方服務(wù)需求，提供信息安全與服務(wù)資源。

2.公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信

息安全管理體系的持續(xù)適宜性和有效性。

3.公司運(yùn)營(yíng)管理部，保證信息安全與服務(wù)管理體系的有?效運(yùn)行。

4.與上級(jí)部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系,了解安全要求和發(fā)展

動(dòng)態(tài)，獲得對(duì)信息安全、服務(wù)管理的支持。

三、人員安全

6

1.信息安全與服務(wù)需要全體員工的參與和支持，全體員工都有保護(hù)信息安全與服務(wù)的職

責(zé)，在勞動(dòng)合同、崗位職責(zé)中應(yīng)包含對(duì)信息安全與服務(wù)的要求。特殊崗位的人員應(yīng)規(guī)定特別

的安全責(zé)任。對(duì)崗位調(diào)動(dòng)或離職人員，應(yīng)及時(shí)調(diào)整其信息安全、服務(wù)職責(zé)和權(quán)限。

2.對(duì)本公司的相關(guān)方，要明確安全、服務(wù)要求和安全、服務(wù)職責(zé)。

3.定期對(duì)全體員工進(jìn)行信息安全與服務(wù)體系相關(guān)教育，包括：技能、職責(zé)和意識(shí)。以提

高安全意識(shí)。

4.全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行信息安全、服務(wù)方針、程序和安全措

施。

四、識(shí)別法律、法規(guī)、合同中的安全

及時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全與運(yùn)維服務(wù)的要求，采取措施，

保證滿足安全、服務(wù)要求，力爭(zhēng)超越。

五、風(fēng)險(xiǎn)評(píng)估

1.根據(jù)本公司業(yè)務(wù)信息安全與服務(wù)管理業(yè)務(wù)的特點(diǎn)、法律法規(guī)要求，建立信息安全風(fēng)險(xiǎn)

識(shí)別與評(píng)價(jià)管理程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。

2.采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或

環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。

3.應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。

4.為變更請(qǐng)求、服務(wù)請(qǐng)求、服務(wù)可用性、服務(wù)連續(xù)性提供輸入。

六、報(bào)告事件

1.公司建立報(bào)告信息安全與運(yùn)維服務(wù)事件的渠道和相應(yīng)的主管部門。

2.全體員工有報(bào)告信息安全與運(yùn)維服務(wù)隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)信

息安全與服務(wù)事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。

3.接受信息安全與運(yùn)維服務(wù)事件報(bào)告的主管部門應(yīng)記錄所有報(bào)告，及時(shí)做出相應(yīng)的處理,

并向報(bào)告人員反饋處理結(jié)果。

七、監(jiān)督檢查

定期對(duì)信息安全、運(yùn)維服務(wù)質(zhì)量進(jìn)行監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢

查、內(nèi)部審核等。

八、業(yè)務(wù)持續(xù)性和可用性

7

1.公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，建立業(yè)務(wù)持續(xù)性和可用性計(jì)劃，抵消信息系統(tǒng)、運(yùn)維業(yè)務(wù)

的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故隨或者災(zāi)難的影響，并確保能夠

及時(shí)恢復(fù)。

2.定期對(duì)業(yè)務(wù)持續(xù)性和可用性計(jì)劃進(jìn)行測(cè)試和更新。

九、違反信息安全、服務(wù)要求的懲罰

對(duì)違反信息安全方針、服務(wù)方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。

信息安全目標(biāo)如下：

1.信息零泄漏。

2.公司的重大信息安全事故為零。

服務(wù)目標(biāo)如下：

1.客戶滿意度290%；

2.有效投訴呈2次；投訴及建議處理及時(shí)率：100%

3.客戶請(qǐng)求反饋率：100%

4.故障解決率：100機(jī)

總經(jīng)理：

批準(zhǔn)日期:

8

1范圍

公司從自身組織環(huán)境的角度考慮，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)

文件化的信息安全與服務(wù)管理體系，確定信息安全、服務(wù)方針和目標(biāo)，對(duì)信息安全和服

務(wù)進(jìn)行有效管理，確保全體員工理解并遵照?qǐng)?zhí)行信息安全與服務(wù)管理體系文件、持續(xù)改

進(jìn)信息安全與服務(wù)管理體系的有效性，特制定本管理手冊(cè)。

本手冊(cè)規(guī)定了公司信息安全與服務(wù)管理體系要求、管理職責(zé)、運(yùn)行策劃和控制、內(nèi)

部審核、管理評(píng)審、信息安全和服務(wù)管理體系改進(jìn)等方面內(nèi)容。

本手冊(cè)適用于公司所有范圍內(nèi)的信息安全與服務(wù)業(yè)務(wù)活動(dòng)，包括應(yīng)用軟件的研發(fā)、

系統(tǒng)集成、運(yùn)維服務(wù)等。

本手冊(cè)依據(jù)ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息技術(shù)管理體系要求》和

《IS0/IEC20000.1:2018信息技術(shù)-服務(wù)管理第1部分:服務(wù)管理體系要求》,結(jié)合本行業(yè)

信息安全與服務(wù)業(yè)務(wù)特點(diǎn)編寫，對(duì)本公司信息安全與服務(wù)管理體系作出了概括性描述，為公

司建立、實(shí)施、運(yùn)作和保持信息安全與服務(wù)管理體系提供框架。

9

2.引用標(biāo)準(zhǔn)

2.1TSO/IEC27000：2018《信息技術(shù)-安全技術(shù)-信息安全管理體系概述和詞匯》

2.2ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》

2.3TS0/TEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》

2.4ISO/IEC20000.1:2018《信息技術(shù)-服務(wù)管理-服務(wù)管理體系要求》

2.5ISO/IEC9001:2015《質(zhì)量管理體系要求》

10

3.術(shù)語和定義

3.1本公司（或公司、我公司）

3.2有關(guān)信息安全的術(shù)語和定義

3.2.1可用性：保證被授權(quán)的使用者需要時(shí)能夠訪問信息及相關(guān)資產(chǎn)。

3.2.2保密性：保證信息只被授權(quán)的人訪問。

3.2.3信息安全：保持信息的保密性、完整性和可用性。

3.2.4信息安全管理體系：是整個(gè)管理體系的一部分，建立在業(yè)務(wù)風(fēng)險(xiǎn)的方法上，以開發(fā)、

實(shí)施、完成、評(píng)審和維護(hù)信息安全。［注：管理體系包括組織的結(jié)構(gòu)、方針、計(jì)?劃、活動(dòng)、責(zé)

任、實(shí)踐、程序、過程和資源］。

3.2.5完整性：保護(hù)信息和處理過程的準(zhǔn)確和完整。

3.2.6風(fēng)險(xiǎn)接受：接受一個(gè)風(fēng)險(xiǎn)的決定。

3.2.7風(fēng)險(xiǎn)分析：系統(tǒng)化地使用信息識(shí)別來源和估計(jì)風(fēng)險(xiǎn)。

3.2.8風(fēng)險(xiǎn)評(píng)估：風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程。

3.2.9風(fēng)險(xiǎn)評(píng)價(jià)：比較估計(jì)風(fēng)險(xiǎn)與給出的風(fēng)險(xiǎn)標(biāo)準(zhǔn)，確定風(fēng)險(xiǎn)嚴(yán)重性的過程。

3.2.10風(fēng)險(xiǎn)管理：指導(dǎo)和控制組織風(fēng)險(xiǎn)的聯(lián)合行動(dòng)。

3.2.11風(fēng)險(xiǎn)處理：選擇和實(shí)施措施以更改風(fēng)險(xiǎn)的處理過程。

3.2.12適用性聲明：描述適用于組織的ISMS范圍的控制目標(biāo)和控制措施。這些控制目標(biāo)和

控制措施是建立在風(fēng)險(xiǎn)評(píng)估和處理過程的結(jié)論和結(jié)果基礎(chǔ)上。

3.2.13風(fēng)險(xiǎn)：對(duì)目標(biāo)的不確定性影響。

3.2.14風(fēng)險(xiǎn)程度：以后果和其可能性的組合來表不的風(fēng)險(xiǎn)大小。

3.3有關(guān)服務(wù)的術(shù)語和定義

3.3.1資產(chǎn)：對(duì)組織有潛在或?qū)嶋H價(jià)值的項(xiàng)目、事物和實(shí)體。

3.3.2配置項(xiàng)：為了交付一項(xiàng)或多項(xiàng)服務(wù)而需要被控制的組件。

3.3.3客戶：接受一項(xiàng)服務(wù)或多項(xiàng)服務(wù)的組織或組織的一部分。［例：消費(fèi)者，客戶，受益人,

贊助商或購(gòu)買者］。

3.3.4外部供應(yīng)商：組織外部的其他方通過簽訂合同參與服務(wù)、服務(wù)組件和過程的策劃、設(shè)

計(jì)、轉(zhuǎn)換、交付和改進(jìn)。

3.3.5內(nèi)部供應(yīng)商：SMS范圍外的大組織的一部分通過文檔化協(xié)議參與到服務(wù)、服務(wù)組件或

過程的策劃、涉及、交付或改進(jìn)。

II

3.3.6事態(tài)：一組特定情形的發(fā)生或改變。［注：一個(gè)事態(tài)可能是一個(gè)或多個(gè)發(fā)生，并可能有

多種原因；可能有一些未發(fā)生的事情組成；可能有時(shí)被稱為“事件”或“事故”。

3.3.7事件：計(jì)劃外的服務(wù)中斷，服務(wù)質(zhì)量下降或還未對(duì)客戶和用戶服務(wù)產(chǎn)生影響的事態(tài),

3.3.8信息安全事件：?jiǎn)蝹€(gè)或一系列的不期望或意外的信息安全事態(tài)，具有損害業(yè)務(wù)運(yùn)作和

威脅信息安全的極大的可能性。

3.3.9信息安全事故：一個(gè)信息安全事故由單個(gè)的或一系列的有害或意外信息安全事件組成,

它們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大的可能性。

3.3.10已知錯(cuò)誤：一個(gè)已識(shí)別根本原因或已有方案降低或消除對(duì)服務(wù)影響的問題。

3.3.11問題：一個(gè)或多個(gè)真實(shí)或潛在事件的根本原因。

3.3.12程序：為進(jìn)行某項(xiàng)活動(dòng)或過程所規(guī)定的方法。

3.3.13記錄：闡明所取得的結(jié)果或提供所完成活動(dòng)的證據(jù)的文件。［示例：審計(jì)報(bào)告、事件

詳情、培訓(xùn)簽到表或會(huì)議紀(jì)要

3.3.14發(fā)布：作為一個(gè)或多個(gè)變更的結(jié)果，部署到實(shí)際生產(chǎn)環(huán)境的一個(gè)或多個(gè)新的或變更的

服務(wù)或服務(wù)組件的集合。

3.3.15變更請(qǐng)求：對(duì)一項(xiàng)服務(wù)、服務(wù)組件或服務(wù)管理體系所做變更的提議。

3.3.16服務(wù)：通過促進(jìn)客戶期望的結(jié)果，為客戶交付價(jià)值的一種方式。

3.3.17服務(wù)可用性：服務(wù)或服務(wù)組件在約定的時(shí)間點(diǎn)或時(shí)間段內(nèi)執(zhí)行所需功能的能力。

3.3.18服務(wù)目錄：關(guān)于組織提供給客戶的服務(wù)的文檔化信息。

3.3.19服務(wù)組件：服務(wù)的一部分，該部分與其他要素合并時(shí)將提供一個(gè)完整的服務(wù)。［示例:

基礎(chǔ)設(shè)施、應(yīng)用、文件、許可證、信息、資源或支持的服務(wù)。］。

3.3.20服務(wù)連續(xù)性：不間斷或與商定的可用性保持一致的提供服務(wù)的能力。

3.3.21服務(wù)水平協(xié)議：組織和客戶之間簽署的協(xié)議，用以識(shí)別服務(wù)及其約定的績(jī)效。

3.3.22服務(wù)水平目標(biāo)：組織承諾的一項(xiàng)服務(wù)的具體的、可測(cè)量的特征。

3.3.23服務(wù)管理：一組的功能和過程，用以指導(dǎo)和控制組織策劃、設(shè)計(jì)、轉(zhuǎn)換、交付和改進(jìn)

服務(wù)的活動(dòng)和資源，以交付價(jià)值。

3.3.24服務(wù)管理體系：指導(dǎo)和控制組織服務(wù)管理活動(dòng)的管理體系。

3.3.25服務(wù)提供方：管理一項(xiàng)或多項(xiàng)服務(wù)并將其交付給客戶的組織。

3.3.26服務(wù)請(qǐng)求：對(duì)信息、建議、服務(wù)訪問或預(yù)授權(quán)變更的請(qǐng)求。

3.3.27服務(wù)需求/要求：客戶、用戶以及與服務(wù)和SMS相關(guān)的組織聲明的或義務(wù)的要求。

3.3.28轉(zhuǎn)換：將一項(xiàng)新的或變更的服務(wù)移入或移出生產(chǎn)環(huán)境的活動(dòng).

3.3.29用戶：與服務(wù)相互影響或從服務(wù)中獲益的個(gè)人或團(tuán)體。

3.3.30價(jià)值：重要性、益處或有用性。

3.3.31配置.基線：在服務(wù)或服務(wù)組件生命周期過程中特定時(shí)間段、正式指定的配置信息。

3.3.32配置管理數(shù)據(jù)庫(kù)(CMDB)：存儲(chǔ)用來記錄每個(gè)配置項(xiàng)的特性和配置項(xiàng)之間關(guān)

系的數(shù)據(jù)。

3.4其它

3.4.1信息系統(tǒng)：由計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通訊設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶和規(guī)

章制度組成的以處理信息流為目的的人機(jī)一體化系統(tǒng)，是一個(gè)由人、計(jì)算機(jī)及其他外圍設(shè)備

等組成的能進(jìn)行信息的收集、傳遞、存貯、加工、維護(hù)和使用的系統(tǒng)。

3.4.2計(jì)算機(jī)病毒：指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響

計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

3.4.3運(yùn)營(yíng)級(jí)別協(xié)議(OLA)：IT服務(wù)提供商與同一機(jī)構(gòu)的另一部門間達(dá)成的協(xié)議。0LA支持

1T服務(wù)提供商向客戶提供1T服務(wù)。0LA規(guī)定了要提供的商品或服務(wù)，以及雙方的責(zé)任。例

如，下列情況可以簽訂0LA：

?IT服務(wù)提供商與采購(gòu)部門間為了在約定的時(shí)間獲得硬件。

-服務(wù)臺(tái)與支持組之間為了在約定的時(shí)間解決故障。參見服務(wù)級(jí)別協(xié)議。

3.4.4協(xié)議:描述雙方或多方之間達(dá)成一致意見的正式文件。除非作為合同的一部分，協(xié)議不

具有法律約束力。參見“服務(wù)級(jí)別協(xié)議”、“運(yùn)營(yíng)級(jí)別協(xié)議”。

3.4.5訂劃內(nèi)中斷時(shí)間：約定的不提供IT服務(wù)的時(shí)間。計(jì)劃內(nèi)中斷時(shí)間通常用于維護(hù)、升

級(jí)和測(cè)試。

3.4.6優(yōu)先級(jí)：用于確定故障、問題或變更的相對(duì)重要性的類別。優(yōu)先級(jí)的依據(jù)是影響度和

緊急度，用它來確定采取行動(dòng)所需的時(shí)間。例如SLA可以規(guī)定：優(yōu)先級(jí)2的故障必須在12

小時(shí)內(nèi)解決。

3.4.7流程：用于實(shí)現(xiàn)特點(diǎn)目標(biāo)的一系列有組織的活動(dòng)。流程獲得一個(gè)或多個(gè)定義的輸入，

然后將它們變成定義的輸出、流程可以包括任何角色、責(zé)任、工具和可靠提供輸出所需的管

理控制。流程可以定義政策、標(biāo)準(zhǔn)、指南、活動(dòng)和工作指令：如果需要)。

13

3.4.8項(xiàng)目：臨時(shí)的組織，擁有實(shí)現(xiàn)目標(biāo)或其它結(jié)果所需的人員和其它資產(chǎn).每個(gè)項(xiàng)目都有

生命周期，通常包括起動(dòng)、策劃、執(zhí)行、關(guān)閉等。通常使用正規(guī)的方法（例如PRINCE2）管

理項(xiàng)目。

3.4.9恢復(fù)點(diǎn)目標(biāo)（RPO）：中斷后恢復(fù)服務(wù)時(shí)可能丟失的最多數(shù)據(jù)?；謴?fù)點(diǎn)目標(biāo)用故障前的

時(shí)間長(zhǎng)度表示。例如，一天的恢復(fù)點(diǎn)目標(biāo)可以得到每日備份的支持，因此可能失去最多24小

時(shí)的數(shù)據(jù)。應(yīng)該為每項(xiàng)IT服務(wù)協(xié)商、達(dá)成和記錄恢復(fù)點(diǎn)目標(biāo)，并作為服務(wù)設(shè)計(jì)和IT服務(wù)

連續(xù)性計(jì)劃的要求。

3.4.10恢復(fù)時(shí)間目標(biāo)（RT0）：中斷后為恢復(fù)IT服務(wù)預(yù)留的坡長(zhǎng)時(shí)間。提供的服務(wù)級(jí)別可以

低于正常的服務(wù)水平目標(biāo)。應(yīng)該為每項(xiàng)IT服務(wù)協(xié)商、達(dá)成和記錄恢復(fù)時(shí)間目標(biāo)。

3.4.11冗余：容錯(cuò)的同義詞，備用的。冗余一詞還有過時(shí)或不再需要的意思。

3.4.12需求：需要什么的正式說明。例如服務(wù)級(jí)別需求，項(xiàng)目需求或流程所需的交付物。

3.4.13服務(wù)器：一種聯(lián)網(wǎng)的計(jì)算機(jī)，可以提供軟件功能給其它計(jì)算機(jī)使用。

3.4.14服務(wù)臺(tái)：服務(wù)提供商與用戶間的單?聯(lián)系點(diǎn)。典型的服務(wù)臺(tái)負(fù)責(zé)管理故障和服務(wù)請(qǐng)求,

還負(fù)責(zé)與用戶的溝通。

3.4.15服務(wù)組合：服務(wù)提供商所管理的服務(wù)全集。服務(wù)組合用于管理所有服務(wù)的整個(gè)生命周

期，包括三個(gè)類別：服務(wù)通道（提議或開發(fā)中）；服務(wù)目錄〔實(shí)時(shí)或可以部署的）；以及停

用的服務(wù)。

3.4.16單點(diǎn)故障：在故障時(shí)可能導(dǎo)致故障，并且還沒有為此實(shí)施對(duì)策的任何配置項(xiàng)。SP0F可

以是流程或活動(dòng)中的個(gè)人、步驟，或者是IT基礎(chǔ)架構(gòu)的組件。

3.4.17威肋，：任何可能利用脆弱性的事物。故障的任何潛在原因可以認(rèn)為是威脅。例如，火

災(zāi)是可以利用易燃地板材料脆弱性的威脅。該術(shù)語常用于信息安全管理和TT服務(wù)連續(xù)性管

理，還適用于其它領(lǐng)域，例如間即和可用性管理。

3.4.18閾（yu）值：可以引發(fā)告警或采取管理行動(dòng)的指標(biāo)值，例如“4小時(shí)內(nèi)未解決的優(yōu)先

級(jí)為1的故障”、“1小時(shí)內(nèi)出現(xiàn)5次磁盤錯(cuò)誤”或者“一個(gè)月內(nèi)超過10次失敗的變更”。

3.4.19支撐合同（UC）：IT服務(wù)提供商與第三方之間的合同。第三方為客戶提供支持IT服

務(wù)交付的商品或服務(wù)。支撐合同定義了達(dá)到SLA中約定的服務(wù)水平目標(biāo)所需的目標(biāo)和責(zé)任。

3.4.20緊急度：測(cè)量故障、問題或變更多久會(huì)對(duì)業(yè)務(wù)產(chǎn)生重大的影響。例如，如果故障到財(cái)

年底才會(huì)影響'也務(wù)，則影響大的故障可能緊急程度較低。指定優(yōu)先級(jí)時(shí)要考慮到影響度和緊

急度。

3.4.21服務(wù)改進(jìn)：在服務(wù)中發(fā)現(xiàn)不足，在不足中改進(jìn)服務(wù)，使服務(wù)不斷提升的循環(huán)活動(dòng)。

4.組織環(huán)境

4.1了解組織及其背景

本公司依據(jù)ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》、

IS0/IEC20000.1:2018《信息技術(shù)-服務(wù)管理-服務(wù)管理體系要求》的內(nèi)容，編制

了《組織環(huán)境與相關(guān)方要求控制程序》，并結(jié)合本公司的信息安全與時(shí)外提供應(yīng)用軟件運(yùn)維

服務(wù)業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的實(shí)際情況，建立、保持并持續(xù)改進(jìn)信息安全、服務(wù)管理體系。

ISO/IEC27001:2013信息安全管理體系標(biāo)準(zhǔn)、ISO/IEC20000.1:2018服務(wù)管理體

系標(biāo)準(zhǔn)建立在國(guó)際上通用的PDCA管理理論模式上，即計(jì)劃、實(shí)施、檢查、改進(jìn)的基礎(chǔ)上，

本公司應(yīng)確定與ISMS、SMS和服務(wù)相關(guān)的目的和影響其達(dá)到預(yù)期效果的能力的內(nèi)、外部

問題。

4.1.1內(nèi)部問題

a）公司內(nèi)部信息安全與服務(wù)管理制度的建立還有很大提升空間；

b）內(nèi)部人員對(duì)信息安全管理體系尤其服務(wù)管理體系的理解還需要提升；

c）人員能力不足、人才儲(chǔ)備不夠；

d）人員成本控制較高；

e）高層次專業(yè)技術(shù)人員缺乏、引進(jìn)困難，等。

4.1.2組織外部問題

a）來自其他國(guó)內(nèi)外品牌的競(jìng)爭(zhēng)；

b）適用法律法規(guī)要求，包括安全、環(huán)境法規(guī)及行為準(zhǔn)則的變化；

c）客戶對(duì)項(xiàng)目要求高、工期緊；

d）水災(zāi)、疫情、暴風(fēng)雨等不可抗力問題；

e）國(guó)家經(jīng)濟(jì)政策走向、通貨膨脹預(yù)測(cè)、信貸的不確定性，等。

4.1.3內(nèi)外分析與評(píng)價(jià)

16

最高管理層確保在公司年度經(jīng)營(yíng)計(jì)劃、發(fā)展策劃或管理評(píng)審中，對(duì)所監(jiān)視的公司內(nèi)外部

經(jīng)營(yíng)環(huán)境的變化進(jìn)行評(píng)審，根據(jù)評(píng)審分析，對(duì)可能影響公司管理體系預(yù)期結(jié)果實(shí)現(xiàn)的因素進(jìn)

行對(duì)策決策，并評(píng)價(jià)與公司宗旨或戰(zhàn)略目標(biāo)的適宜性。

各職能部門在各自的信息安全與運(yùn)維服務(wù)業(yè)務(wù)的運(yùn)作過程中，對(duì)可能影響業(yè)務(wù)實(shí)現(xiàn)

預(yù)期結(jié)果的公司內(nèi)外部因素進(jìn)行監(jiān)視，并進(jìn)行分析，確定其可能的影響并制定對(duì)策措施，

必要時(shí)，將相關(guān)的情況報(bào)總經(jīng)理批示。

4.2理解相關(guān)方的需求和期望

本公司按《組織環(huán)境與相關(guān)方要求控制程序》確定：

a)ISMS、SMS和服務(wù)的相關(guān)方;

b)和這些相關(guān)方有關(guān)信息安全、服務(wù)管理的要求。

本公司主要相關(guān)方包括：股東、社區(qū)、社會(huì)團(tuán)體、供應(yīng)商、、客戶、政府行政單位、員

工及其家屬、競(jìng)爭(zhēng)對(duì)手、周邊企業(yè)及居民，等。

本公司應(yīng)對(duì)確認(rèn)的相關(guān)方及要求的相關(guān)信息進(jìn)行監(jiān)視和評(píng)審。

4.3確定管理體系范圍

根據(jù)本公司的業(yè)務(wù)性質(zhì)、地理位置、信息資產(chǎn)和技術(shù)的特點(diǎn)，本公司明確體系范圍如下:

物理邊界：山東省濟(jì)南市高新區(qū)舜華路1號(hào)齊魯軟件園2號(hào)樓創(chuàng)業(yè)廣場(chǎng)B座一層

信息安全管理體系的產(chǎn)品范圍：管理軟件的設(shè)計(jì)開發(fā)與服務(wù)、計(jì)算機(jī)信息系統(tǒng)集成；

服務(wù)管理體系的產(chǎn)品范圍：應(yīng)用軟件運(yùn)維服務(wù)。

運(yùn)營(yíng)管理部負(fù)責(zé)擬定“適用性聲明”，應(yīng)對(duì)未采用的ISO/IEC27001:2013附錄A中的

條款的原因予以說明，同時(shí)對(duì)采用的ISO/IEC27001:2013附錄A以外的所有控制措施予以

描述，經(jīng)公司管理層審批后執(zhí)行。

公司運(yùn)維服務(wù)部由事業(yè)部維護(hù)人員抽調(diào)組成，在SMS內(nèi)，從事應(yīng)用軟件運(yùn)維服務(wù)工作，

不涉及ISMSo

4.4管理體系的建立

按照1S0/IEC27001：2013、1S0/IEC20000.1:2018國(guó)際標(biāo)準(zhǔn)的要求，本公司建立、實(shí)施、

保持和持續(xù)改進(jìn)信息安全與服務(wù)管理體系。其體系模型如下：

信息安全管理體系使用的過程基于圖1所示的PDCA模型，如下:

圖1信息安全管理體系模型

服務(wù)管理體系使用的過程基于圖2所示的PDCA模型，如下。

圖2服務(wù)管理體系模型

18

5.領(lǐng)導(dǎo)力

5.1領(lǐng)導(dǎo)力和承諾

本公司高層管理者應(yīng)通過以下方式展示其關(guān)于信息安全與服務(wù)管理體系的領(lǐng)導(dǎo)力

和承諾：

a）確保制定信息安全和服務(wù)管理體系的方針和目標(biāo)，與戰(zhàn)略方向一致；

b）確保將信息安全與服務(wù)管理體系要求整合到組織的業(yè)務(wù)過程中；

c）確保信息安全與服務(wù)管理體系所需資源可用；

d）確保對(duì)信息技術(shù)服務(wù)生命周期的相關(guān)方進(jìn)行控制和管理；

e）傳達(dá)信息安全與服務(wù)管理有效實(shí)施、符合信息安全與赧務(wù)管理體系要求的重要

性；

f）確保信息安全與服務(wù)管理體系實(shí)現(xiàn)其預(yù)期結(jié)果；

g）指揮并支持人員為信息安全與服務(wù)管理體系的有效實(shí)施做出貢獻(xiàn)；

h）確保為組織和確定的客戶創(chuàng)造價(jià)值；

i）確定接受風(fēng)險(xiǎn)的準(zhǔn)則和可接受的風(fēng)險(xiǎn)等級(jí)；

j）溝通有效的服務(wù)管理的重要性，實(shí)現(xiàn)服務(wù)管理目標(biāo)，交付價(jià)值和符合服務(wù)管理體

系的要求；

k）促進(jìn)持續(xù)改進(jìn)；

1）支持其他相關(guān)角色在其職責(zé)范圍內(nèi)展示他們的領(lǐng)導(dǎo)力；

m）定期對(duì)信息安全與服務(wù)管理體系進(jìn)行內(nèi)審和管理評(píng)審，以確保體系持續(xù)的適宜

性、充分性和有效性。

5.2方針

5.2.1方針的制訂

本公司信息安全、服務(wù)管理方針是本公司信息安全與運(yùn)維服務(wù)管理的綱領(lǐng)，提供了本公

司信息安全與運(yùn)維服務(wù)的管理方向，確定了信息安全與服務(wù)管理目標(biāo)的框架，體現(xiàn)了公司信

息安全與服務(wù)方面的長(zhǎng)期戰(zhàn)略。

公司管理層建立信息安全、服務(wù)管理方針（見0.4章節(jié)）：

a）適合本公司的業(yè)務(wù)宗旨和方向；

b）為建立信息安全、服務(wù)管理目標(biāo)提供框架，信息安全、服務(wù)LI標(biāo)見0.4章節(jié)；

C）包括滿足有關(guān)信息安全、服務(wù)適當(dāng)要求的承諾；

d）包括ISMS、SMS持續(xù)改進(jìn)的承諾。

信息安全、服務(wù)管理方針應(yīng)：

e）是以文檔化的身份可用的；

f）在組織內(nèi)傳達(dá)；

g）適當(dāng)時(shí)，對(duì)相關(guān)方是可用的。

本公司信息安全、服務(wù)管理方針體現(xiàn)和包括了以下內(nèi)容：

闡述了有關(guān)信息安全與服務(wù)行為的總體指導(dǎo)思想和原則，提供了制訂信息安全與服務(wù)管

理目標(biāo)的框架；考慮了業(yè)務(wù)及法律或法規(guī)的要求，以及合同的安全義務(wù)；體現(xiàn)了本公司建立

和保持ISMS、SMS作為公司的發(fā)展戰(zhàn)略和風(fēng)險(xiǎn)管理手段的信息安全與服務(wù)管理的長(zhǎng)期戰(zhàn)略要

求；確立了風(fēng)險(xiǎn)評(píng)價(jià)的標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評(píng)估的方法；體現(xiàn)公司管理層加強(qiáng)及支持信息安全與服務(wù)

管理的意圖和承諾。

信息安全、服務(wù)管理方針由公司管理層審批后，應(yīng)以適當(dāng)?shù)姆绞絺鬟_(dá)給員工。

5.2.2方針的管理

為確保公司ISMS、SMS和服務(wù)有效運(yùn)作，及時(shí)滿足客戶需求，公司依據(jù)標(biāo)準(zhǔn)及公司要求,

建立管理方針。本公司承諾：

a）在公司內(nèi)各層次建立完整的管理本公司機(jī)構(gòu)，確定ISYS和SMS方針、目標(biāo)和控制措

施，明確體系的管理職責(zé)；

b）識(shí)別并滿足適用法律、法規(guī)和相關(guān)方要求；

c）定期進(jìn)行風(fēng)險(xiǎn)評(píng)估、ISMS和SMS評(píng)審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；

d）采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；

e）對(duì)全體員工進(jìn)行持續(xù)的體系教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全、服務(wù)、業(yè)務(wù)連續(xù)

性意識(shí)和能力；

D制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展c

上述管理方針由公司總經(jīng)理批準(zhǔn)發(fā)布，并定期評(píng)審其適用性、充分性，必要時(shí)予以修訂。

5.3組織的角色、職責(zé)和權(quán)限

公司管理層應(yīng)確保與ISMS、SMS和服務(wù)相關(guān)角色的職責(zé)和權(quán)限被分配和傳達(dá)。公司管理

層應(yīng)分配職責(zé)和權(quán)限：

a）確保ISMS、SMS符合本國(guó)際標(biāo)準(zhǔn)的要求；

20

b）將ISMS、SMS和服務(wù)績(jī)效報(bào)告給公司管理層。

公司設(shè)立運(yùn)營(yíng)管理部為專門的機(jī)構(gòu)，并任命其人員，使其負(fù)責(zé)ISMS、SMS和服務(wù)的建立、

實(shí)施、保持和改進(jìn)，明確所有相關(guān)人員在體系中的職責(zé)和義務(wù)，確保ISMS、SMS和服務(wù)運(yùn)行

的有效性。

各部門分配與職能見公司文件WANSOFT-SMS-1001-2022MES軟件管理層和部門職責(zé)權(quán)

限》、PANS0FT7TSS-05-01-運(yùn)維組織結(jié)構(gòu)及職責(zé)說明，包括本手冊(cè)附錄1組織結(jié)構(gòu)、附錄2

管理體系職責(zé)分配表。

6.策劃

6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施

6.1.1總則

當(dāng)策劃ISMS、SMS時(shí),本公司應(yīng)當(dāng)考慮本手冊(cè)4.1提到的問題和4.2中所提到的要求,

并確定需要處理的風(fēng)險(xiǎn)和機(jī)遇：

a）確保ISMS、SMS實(shí)現(xiàn)預(yù)期的效果;

b）防止或減少不良影響；

c）實(shí)現(xiàn)ISMS、SMS和服務(wù)的持續(xù)改進(jìn);

d）應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)遇的措施，并確定其優(yōu)先級(jí)；

e）如何

1）集成和實(shí)施這此措施到ISMS、SMS過程中；

2）評(píng)估這些措施的有效性。

公司已編制《風(fēng)險(xiǎn)和機(jī)遇確定與應(yīng)對(duì)控制程序》。

6.1.2風(fēng)險(xiǎn)評(píng)估

運(yùn)營(yíng)管理部應(yīng)確認(rèn)和文檔化：

a）有關(guān)的風(fēng)險(xiǎn)：本公司、不滿足服務(wù)要求、服務(wù)生命周期中的相關(guān)方：

b）風(fēng)險(xiǎn)對(duì)客戶的影響和服務(wù)管理體系及服務(wù)的機(jī)遇；

c）風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)；

d）風(fēng)險(xiǎn)管理的方法。

運(yùn)營(yíng)管理部制訂《信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序》，組織各相關(guān)部門實(shí)施。該程序

確立了適用于信息安全與服務(wù)管理體系，并滿足信息安全、服務(wù)法律法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方

21

法。通過建立和保持該程序，將有助于公司管理層為ISMS、SMS建立安全策略和目標(biāo)，識(shí)別

并確定可接受風(fēng)險(xiǎn)的水平和標(biāo)準(zhǔn)。

運(yùn)營(yíng)管理部按照《信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序》，評(píng)價(jià)安全問題所可能導(dǎo)致的業(yè)

務(wù)危害，考慮該危害的嚴(yán)重程度時(shí)，必須考慮到信息資產(chǎn)的俁密性、完整性和可用性受損后

所產(chǎn)生的現(xiàn)實(shí)后果和長(zhǎng)遠(yuǎn)影響。

1）風(fēng)險(xiǎn)識(shí)別

運(yùn)營(yíng)管理部按照《信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序》從以下幾個(gè)方面，對(duì)風(fēng)險(xiǎn)進(jìn)行識(shí)

別：

a）識(shí)別ISMS、SVS和交付服務(wù)范圍內(nèi)所有的信息資產(chǎn)及其負(fù)責(zé)人，并對(duì)資產(chǎn)的保密性、

完整性和可用性價(jià)值進(jìn)行評(píng)估；

b）識(shí)別各信息資產(chǎn)所可能面對(duì)的威脅；

c）識(shí)別各威脅可能利用的脆弱性；

d）確認(rèn)以上信息資產(chǎn)的保密性、完整性和可用性受損后所產(chǎn)生的影響和潛在后果。

2）風(fēng)險(xiǎn)分析和評(píng)價(jià)

運(yùn)營(yíng)管理部按照《信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序》，評(píng)價(jià)安全問題所可能導(dǎo)致的業(yè)

務(wù)危害，考慮該危害的嚴(yán)重程度時(shí)，必須考慮到信息資產(chǎn)的俁密性、完整性和可用性受損后

所產(chǎn)生的現(xiàn)實(shí)后果和長(zhǎng)遠(yuǎn)影響。

根據(jù)與這曲信息資產(chǎn)有關(guān)的主要威脅和脆弱性，以及當(dāng)前采取的控制措施，評(píng)價(jià)安全問

題出現(xiàn)的可能性。

根據(jù)《信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序》，計(jì)算風(fēng)險(xiǎn)系數(shù)。

根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果，決定風(fēng)險(xiǎn)是否接受或應(yīng)采取的處理措施。

6.1.3風(fēng)險(xiǎn)處置

根據(jù)《信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序》，運(yùn)營(yíng)管理部：

1）確定和評(píng)價(jià)提供處理風(fēng)險(xiǎn)的可選措施；

根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果，確定可接受風(fēng)險(xiǎn)的水平，決定風(fēng)險(xiǎn)處理措施，包括：

使用合適的控制措施接受風(fēng)險(xiǎn)，但應(yīng)保證該風(fēng)險(xiǎn)在可接受水平，并應(yīng)保證符合公司的信

息安全方針。

2）選擇處理風(fēng)險(xiǎn)的控制目標(biāo)和控制措施。

22

從ISO/IEC27001:2013附錄A中選擇適當(dāng)?shù)目刂颇繕?biāo)和控制措施,如有必要可在ISO/IEC

27001:2013附錄A范圍之外增加額外的控制目標(biāo)和控制措施，但應(yīng)對(duì)這些額外的控制目標(biāo)

和控制措施予以記錄。

3）殘余風(fēng)險(xiǎn)的確認(rèn)

應(yīng)對(duì)采取控制措施后的殘余風(fēng)險(xiǎn)予以預(yù)測(cè)，由公司管理層批準(zhǔn)殘余風(fēng)險(xiǎn)。

4）由公司管理層授權(quán)實(shí)施和運(yùn)作。

運(yùn)營(yíng)管理部根據(jù)《適川性聲明》所列控制措施，制定《風(fēng)險(xiǎn)處置計(jì)劃》?！讹L(fēng)險(xiǎn)處置計(jì)

劃》應(yīng)對(duì)所選控制措施的實(shí)施制定具體的工作方案和時(shí)間表。

a）該方案還應(yīng)考慮到資金的保證，并規(guī)定具體的負(fù)責(zé)部門和負(fù)責(zé)人。

b）運(yùn)營(yíng)管理部應(yīng)組織完成《風(fēng)險(xiǎn)處置計(jì)劃》，實(shí)施《適用性聲明》中所選擇的控制措施，

以達(dá)到保護(hù)信息安全、降低信息安全風(fēng)險(xiǎn)的目標(biāo)。

c）規(guī)定如何度量所選控制措施的有效性，并指明這些度量方法如何用于評(píng)估控制措施的

有效性，產(chǎn)生可比且可再現(xiàn)的結(jié)果。

公司應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施包括：避免風(fēng)險(xiǎn)，接受增加的風(fēng)險(xiǎn)以追求機(jī)遇，通過協(xié)定的

措施移除風(fēng)險(xiǎn)源，改變風(fēng)險(xiǎn)的后果和可能性，降低風(fēng)險(xiǎn)，和其他方共擔(dān)風(fēng)險(xiǎn)或通過充分的信

息決策接受風(fēng)險(xiǎn)。

6.2管理目標(biāo)及其實(shí)現(xiàn)策劃

6.2.1建立目標(biāo)

公司信息安全、服務(wù)管理目標(biāo)應(yīng)：

a）與信息安全、服務(wù)管理方針保持一致；

b）可測(cè)量；

c）考慮適用的要求；

d）予以監(jiān)控；

e）予以溝通；

f）適當(dāng)時(shí)更新。

本公司在相關(guān)職能和層級(jí)上策劃、制定信息安全與服務(wù)管理目標(biāo)。公司級(jí)目標(biāo)見0.4章

節(jié)。相關(guān)職能和層次級(jí)目標(biāo)參照公司級(jí)目標(biāo)或分解。

公司應(yīng)保留有關(guān)信息安全、服務(wù)管理目標(biāo)的成文信息。

6.2.2策劃實(shí)現(xiàn)目標(biāo)

23

最高管理者應(yīng)確保對(duì)信息安全、服務(wù)目標(biāo)進(jìn)行策劃，在策劃實(shí)現(xiàn)信息安全、服務(wù)管理目

標(biāo)時(shí)，公司應(yīng)確定：

a）要做什么；

b）需要什么資源；

c）由誰負(fù)責(zé);

d）什么時(shí)候完成；

e）如何評(píng)價(jià)結(jié)果。

6.3策劃服務(wù)管理體系

本公司建立了遵循Plan（策劃）-Do（實(shí)施）-Check（檢查）-Act（改進(jìn)）模式的H'服

務(wù)管理體系維護(hù)機(jī)制，并按照該機(jī)制實(shí)現(xiàn)體系和過程的持續(xù)改進(jìn)。戴明環(huán)質(zhì)量管理方法可以

確保IT服務(wù)管理體系能夠根據(jù)實(shí)際業(yè)務(wù)環(huán)境的變化實(shí)現(xiàn)不斷的優(yōu)化和調(diào)整。

本公司策劃、制定、實(shí)施和維護(hù)服務(wù)管理計(jì)劃。該計(jì)劃應(yīng)考慮到服務(wù)管理方針、服務(wù)管

理目標(biāo)、風(fēng)險(xiǎn)與機(jī)遇、服務(wù)要求和本標(biāo)準(zhǔn)的要求。其它的計(jì)劃應(yīng)與服務(wù)管理計(jì)劃相一致，強(qiáng)

務(wù)管理計(jì)劃應(yīng)包含或引用以下內(nèi)容：

a）服務(wù)清單:

b）影響服務(wù)管理體系和服務(wù)的已知限制；

c）有關(guān)的方針，標(biāo)準(zhǔn)和法隹法規(guī)要求、合同的義務(wù)；

d）服務(wù)管理體系和服務(wù)的權(quán)限、職責(zé)；

e）運(yùn)行服務(wù)管理體系和服務(wù)所需要的人員、技術(shù)、信息和財(cái)務(wù)資源；

f）服務(wù)生命周期中和相關(guān)方采取的工作方法；

g）支持服務(wù)管理體系的技術(shù)；

h）如何測(cè)量、審核、報(bào)告和改進(jìn)服務(wù)管理體系和服務(wù)的有效性。

公司已編制《服務(wù)管理體系策劃管理程序》。

7.支持

7.1資源

為確保I5M5、5MS和服務(wù)的有效運(yùn)行，公司管理層應(yīng)提供充足必要的資源，該資源包括

人力、技術(shù)、信息、資金等方面，以保證：

a.建立、貫徹、運(yùn)行和保持ISMS、SMS和服務(wù);

b.確保信息安全、服務(wù)程序支持業(yè)務(wù)要求；

24

c.識(shí)別和強(qiáng)調(diào)法律和法規(guī)的要求和合同的安全義務(wù)；

d.正確地應(yīng)用所有實(shí)施的控制措施以保持充分的信息安全與服務(wù)；

e.必要時(shí)進(jìn)行評(píng)審，并對(duì)評(píng)審結(jié)果做出適當(dāng)?shù)捻憫?yīng)；

f.需要時(shí)，改善ISMS、SMS和服務(wù)的有效性；

g.通過提供滿足服務(wù)需求的服務(wù)增強(qiáng)客戶的滿意度。

7.1.1人力資源

通過招聘、培訓(xùn)等方式，確保從事影響ISMS、SMS、服務(wù)績(jī)效和有效性的的人員可以勝

任的應(yīng)崗位、具備相應(yīng)能力。公司必須確定：

a）人員必須具備相應(yīng)的技術(shù)或管理能力；

b）適當(dāng)時(shí)，提供培訓(xùn)或采取其他措施以獲得所需能力；

c）對(duì)采取的措施有評(píng)價(jià)手段，如人員的績(jī)效考核；

d）確保人員意識(shí)到如何實(shí)現(xiàn)信息安全與服務(wù)管理目標(biāo)和應(yīng)作出的努力；

e）保持教育、培訓(xùn)、招聘等記錄。

7.1.2技術(shù)資源

公司應(yīng)確保輸出IT服務(wù)所需要的技術(shù)能力，包括技術(shù)人員的專業(yè)技能水平、儀器設(shè)備、

研發(fā)環(huán)境。公司應(yīng)保持對(duì)新服務(wù)的研發(fā)能力，和解決問題的技術(shù)支持能力。

7.1.3信息資源

公司應(yīng)通過網(wǎng)絡(luò)、文獻(xiàn)、技術(shù)交流會(huì)議等渠道保持信息資源的獲取、更新能力。應(yīng)確定

責(zé)任人搜集信息，并對(duì)信息進(jìn)行分析、篩選，匯總與公司IT服務(wù)能力相匹配的信息資源。服

務(wù)過程中，應(yīng)及