不修改体系文件-ISMS手册

1、宝安区松岗祥兴制品厂信息安全手册发布令木公司按照is020000:2005信息技术服务管理一规范和is027001： 2005信息安全管理体系要求以及本公司业务特点编制信息安全管理&it 服务管理休系手册，建立与本公司业务相一致的信息安全与it服务管理体 系，现予以颁布实施。本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯 彻it服务管理理念方针和服务目标。为实现信息安全管理与it服务管理， 开展持续改进服务质量，不断提高客户满意度活动，加强信息安全建设的纲 领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会 的承诺，通过有效的pdca活动向顾客提供满足要

2、求的信息安全管理。本手册符合有关信息安全法律法规要求以及is020000:2005信息技术服 务管理一规范、is027001： 2005信息安全管理体系耍求和公司实际情 况。为能更好的贯彻公司管理层在信息安全与it服务管理方面的策略和方 针，根据is020000:2005信息技术服务管理一规范和is027001： 2005信 息安全管理体系要求的要求任命赵义贵为管理者代表，作为本公司组织和 实施“信息安全管理与it服务管理体系”的负责人。直接向公司管理层报 告。全体员工必须严格按照信息安全管理&it服务管理体系手册要求， 冃觉遵守本手册齐项要求，努力实现公司的信息安全与it服务的方针和

3、目 标。管理者代表职责：a）建立服务管理计划；b）向组织传达满足服务管理冃标和持续改进的重要性；e）确定并提供策划、实施、监视、评审和改进服务交付和管理所需的 资源，如招聘合适的人员，管理人员的更新；1. 确保按照ts027001:2005标准的要求，进行资产识别和风险评估，全面建立、实 施和保持信息安全管理体系；按照iso/iec 20000信息技术服务管理一规范 的要求，组织相关资源，建立、实施和保持it服务管理体系，不断改进it服务 管理体系，确保其有效性、适宜性和符合性。2. 负责与信息安全管理体系有关的协调和联络工作；向公司管理层报告it服务管理 体系的业绩，女n：服务方针和服务目标

4、的业绩、客户满意度状况、各项服务活动 及改进的要求和结果等。3. 确保在整个组织内提高信息安全风险的意识；4. 审核风险评估报告、风险处理计划；5. 批准发布程序文件；6. 主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运 行情况、内外部审核情况。7. 推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重耍性的认知程度，以及为达到公司服务管 理目标所应做出的贡献。总经理:fl期：信息安全方针和信息安全目标信息安全方针：信息安全人人有责本公司信息安全管理方针

5、包括内容如f：一、信息安全管理机制1. 公司采用系统的方法，按照tso/tec 27001:2005建立信息安全管理体系，全面 保护本公司的信息安全。二、信息安全管理组织2. 公司总经理对信息安全工作全面负责，负责批准信息安全方针，确定信息安全要 求，提供信息安全资源。3. 公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保 证信息安全管理体系的持续适宜性和有效性。4. 在公司内部建立信息安全纽织机构，信息安全管理委员会和信息安全协调机构， 保证信息安全管理体系的有效运行。5. 与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全耍求和 发展动态，获得对信息安全

6、管理的支持。三、人员安全6. 信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳 动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。 对岗位调动或离职人员，应及时调整安全职责和权限。7. 对本公司的相关方，要明确安全要求和安全职责。8. 定期对全体员工进行信息安全相关教育，包括：技能、职责和意识。以提高安全 意识。9. 全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全措施。四、识别法律、法规、合同中的安全10. 及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施，保 证满足安全要求。五、风险评估11. 根据本公司业务信

7、息安全的特点、法律法规要求，建立风险评估程序，确定风 险接受准则。12. 采用先进的风险评估技术和软件，定期进行风险评佔，以识别本公司风险的变 化。本公司或环境发生重大变化时，随时评估。13. 应根据风险评估的结果，采取相应措施，降低风险。六、报告安全事件14. 公司建立报告信息安全事件的渠道和相应的主管部门。15. 全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任，一旦发现信息安 全事件，应立即按照规定的途径进行报告。16. 接受信息安全事件报告的主管部门应记录所有报告，及时做出相应的处理，并 向报告人员反馈处理结果。七、监督检查17. 定期对石息安全进行监督检查，包括：日常检查、专项检

8、查、技术性检查、内 部审核等。八、业务持续性18. 公司根据风险评估的结杲，建立业务持续性计划，抵消信息系统的中断造成的 影响，防止关键业务过程受严觅的信息系统故障或者灾难的影响，并确保能够及时恢复。19. 定期对业务持续性计划进行测试和更新。九、违反信息安全要求的惩罚20. 对违反信息安全方针、职责、程序和措施的人员，按规定进行处理。信息安全目标：1不可接受风险处理率:100% （所有不可接受风险应降低到可接受的程度）。2重大顾客因信息安全事件投诉为0次（重大顾客投诉是指直接经济损失金额达1 万元以上）公司it服务策略:客户至上、全员参与、创新高效、系统管理、追求卓越公司it服务目标：公司通

9、过服务质暈改进稈序确定年度服务质暈日标44.1方针服务提供商应意识到总是存在改进服务交付的效率和冇效性的潜在需要。应正式发布服 务质垣和改进的策略。从爭服务管理和服务改进的所有人员都应r解服务质量方针以及他们对于实现方针屮 规定目标的贡献:服务提供商从事服务管理的所有人员尤其要充分理解这对于服务管理过程的意义。住服务捉供商白己的管理结构顾客和影响服务质虽和顾客要求的其他供方之间要保持 良处的沟通。质量方针？（我公司）合理承诺，超值服务，在执行成本领先的战略z下全力提升服务质量。1信息安全管理手册说明1. 1公司简介11编制依据和目的本手册在遵循is09001： 2005信息安全管理体系要求与i

10、so/iec 20000信息技 术服务管理一规范的要求编制而成，包扌占了 is027001: 2005的全部要求，对附录a的删 减见适用性声明soa。手册描述公司的信息安全管理体系的总要求，以确保公司的信息安全管理体系能够 达到is027001： 2005信息安全管理标准的要求；满足木公司向客户提供it服务所需的it 基础设施和it技术支持服务，适用于向客户或认证机构证实，本公司具备提供符合客户需求的it服 务能力和服务质量。本公司的体系程序是手册的支持性文件，是对体系运作的具体描述。12适用范围信息安全管理&it服务管理体系手册适用于本公司提供安全管理体系认证服务与it 服务有关的所

11、有部门和活动。1. 3术语和定义131本手册应用iso/iec 20000中的术语及定义。1. 3. 2本手册应用ts0/tec27001中的术语及定义。2信息安全管理&it服务管理手册的管理2. 1手册的编制、批准和发布2. 1. 1按照公司业务发展战略和客户需求，经公司管理者代表批准，技术服务事业部组织相关人员, 结合本公司业务特点，根据iso/1ec 20000标准的要求编写。2. 1. 2it服务管理手册由公司管理者代表批准后发布。2. 2手册的分发2. 2. 1技术服务事业部负责手册的发放、更新、管理与存档。2. 2. 2公司各部门负责手册的使川和保管。2. 3手册的受控状态

12、2. 3. 1书面形式的手册分“有效文件”和“保留文件”两种形式。作为公司日常运营的依据及提供 给外部认证机构的手册均为“有效文件”形式。2. 3. 2当手册内容变更时，“有效文件”形式的手册应及时予以更新和发放。2. 3. 3 “有效文件”形式的文件在更新后，如需保存原来的版木，以便于追溯，则应当川“保留文 件”的标识予以区分。2. 3. 4电子形式的手册由技术服务事业部在工作流转系统中进行管理。2. 4手册的变更2. 4. 1因公司战略调整、客户需求或改进活动等引起的手册内容的变更，按公司总经理指示，技术 服务爭业部组织相关部门对涉及变更的内容进行更新，并经公司总经理批准后发布。2. 4.

13、 2更新后的手册，应及时地发放给公司内部原手册持有者，并收回iu版的手册。对电子形式的手册，由技术服务事业部按工作流转系统中的管理规则进行更新和归档管理。2. 5公司内部手册持有者的责任2. 5. 1与公司或部门内部的相关人员沟通、学习手册的要求并遵照执行。2. 5. 2妥善保管，不得私自更改、曲解手册的内容。不得随意向其他与公司业务无关的第三方传播, 如需提供公司以外的第三方参考，应经技术服务事业部提交公司主管副总经理审核后，报公司总经理批 准。3公司架构和安全承诺3. 1公司行政组织架构3. 2公司信息安全管理体系组织架构图生衣部质"啻部质量保证测试客户服务部商,务部综合管理部人

14、力资源注：每个虚线框内为一个信息安全小组，部门的负责人为安全组长，各岗位负责人为该 岗位的安全员。3. 3公司it服务管理职能关系架构图可川性与 连皱性笛州！il* i 血匡窗理b. 一 一 一 一l _i 变更笛血imj/zs-mu!- i. imb哌务级别i笹理；一 l 一月艮务报古3. 4信息安全承诺公司成立安全管理委员会来领导信息安全工作，并确定相应的职责和作用。 制订信息安全方针和信息安全h标，建立和完善公司的信息安全管理体系。提供充分的资源以保证信息安全管理体系的制定、实施、运作、监控、维护和改 善。；对公司信息资产实行有效管理，确保信息的机密性，维持信息的完整性和可用性, 防范对

15、信息的未经授权访问。对公司信息资产进行风险评估，制定风险可接受标准, 对公司不能接受的风险进行处置。建立业务持续性管理流程。进行业务持续性风险评估，编写、测试并实施业务持 续性计划和灾难恢复计划，以保证公司关键业务的连续，不受重大故障和灾难的影 响。确保公司所有员工都接受信息安全的教育培训，提高信息安全意识。保护公司、客户、相关合作方的信息安全。建立公司信息安全组织架构，明确信息安全责任，确定报告可疑的和发生的信息 安全事故及事件的流程，对违反安全制度的人员进行惩罚。建立物理安全和网络安全管理制度，以确保信息的安全性。保护公司软件和信息的完整性，防止病毒与各种恶意软件的入侵。任何人在未经审批的

16、情况下，禁止将信息资产带离公司。公司所有员工都要严格遵守公司的安全方针、程序和制度。控制对内外部网络服务的访问，保护网络服务的安全性与可用性。对用户账号、口令和权限进行严格管理，防止对信息系统的非授权访问。对重要信息进行备份保护，以保证信息的可用性。定期对信息安全管理体系进行内审和管理评审。为了加强对信息安全管理体系运作的管理,江苏金马扬名信息技术有限公司公司成35信息安全管理委员会立信息安全管理委员会，其职责见下列明细表。信息安全管理职责明细表序号单位/部门信息安全职责1信息安全 管理委员会信息安全管理委员会是我公司信息安全最高组织机构，负责木单位网 络与信息女全重大事项的决策和协调，并对全

17、公司信息女全工作负责。2总经理信息安全第一责任人，制定信息安全方针，对信息安全全面负责。3管理者代表经总经理授权负责建立、实施、检查、改进信息安全管理体系。4综合管理部我公司信息安全管理体系的归口管理部门。1. 负责管理体系的建立、实施、保持、测量和改进。2. 负责文件控制、记录控制、内部审核的组织、管理评审的组织和 体系的改进。3. 负责本公司保密工作的管理。4. 安全区域的保卫管理部门，负责安全区域的管理。5. 负责全公司人员女全管理，包括人员聘用管理，保密协议签署， 员工的能力、意识和培训，员工离职管理。6. 负责涉密信息上网、涉密计算机运行、检修、报废的监整管理。7. 对信息安全h常工

18、作实施动态考核，将信息安全管理作为金业管 理的重要工作内容。8. 参与涉密及司法介入的信息安全事件的调查。5生产技术部是我公司信息系统安全管理部门。负责局域网上所承担的各类信息系统的管理职能； 负责我公司信息系统安全口常管理。6其他部门认真执行信息安全管理的方针、标准、安全策略和规范，做好内部培 训。备注：以上职能划分，适用所有信息安全管理体系文件。信息安全管理委员会组成人员:姓名职务备注3. 6服务管理职能说明3. 6. 1为保证it服务管理体系的顺利实施，以及实施后得到持续的管理和维护，在现有的组织架 构外建立服务管理职能关系架构。it服务管理职能关系架构，并不替代现有的按技术类别进 行的

19、分工，现有的按技术类别述的分工，存将來的it服务管理体系中仍将发挥其作用。服务 部根据it服务管理程序要求对所有服务合同按照项忖进行管理与运行，由项h经理按照服务 管理职能关系架构中的要求对项廿执行管理。一个完整的服务项廿必须包含服务台、事件管 理、业务关系管理、信息女全管理、供应商管理和it财务管理。对于上图虚线框内的的问题 管理、发布管理、配置管理、变更管理、可用性和连续性管理、容量管理、服务级别管理以 及服务报告可由服务部经理依照与用户签署的服务合同进行选择裁剪。3. 6. 2角色分配说明3. 6. 2. 1针对服务部当前组织架构及人员状况，将不再为每一具体流程分配流程经理。为此将13

20、个流程，按其必要程度分成必选流程和可裁剪流程两人模块。由项目经理负责相应流程的实 施、管理和控制。对项目纽成员主要是纽织、协调、安排相应工作任务的完成，可能并不是 由口己去完成。3. 6. 2. 1. 1 项 bl 经理职责说明：1）、负责it服务项目的立项工作，按照服务合同要求负责和应流程的实施、管理和控制。组 织、协调、安排项目组成员完成相应工作任务。2）、负责从服务台接受事件报告开始，分配相应的职能小组进行事件处理，直至找到问题的根本原因的整个过程的管理和协调。3）、负责各系统的配置管理、变更和发布控制。4）、负责系统的可用性规划和管理、负责安排系统连续性的计划和演练，并负责系统容量的规

21、划和监控。5）、主要负责与用户的沟通，对供应商的管理，以及项口的预/决算的管理。3. 6. 2. 1. 2能力要求:熟悉服务部的各种服务管理流程，具有较强的内部协调能力。山管理者代表授权技术服务事业部总监，按1s0/1ec 20000的要求，负责协调和组织所有与it服 务有关的活动，通过管理和实施各项活动，使it服务业务的质量得到有效的保持和维护。技术服务爭业部组织制订、批准和发布公司it服务策略、服务丨|标，并使其成为公司关注的焦点, 成为公司协调、统一、凝聚公司的所有活动和资源的准则，成为建立、实施、保持并改进it 服务管理体系的宗旨。3. 6. 3公司it服务策略：客户至上、全员参、创新

22、高效、系统管理、追求卓越公司it服务n标：公司通过服务质量改进程序确定年度服务质量n标公司的it服务忖标按iso/iec 20000的要求，与公司的业务相结合，并通过流程绩效不断捉高和 改进。技术服务事业部负责组织相关部门，通过会议、评审、书而报告、培训等方式，及时有效沟通工作, 达到it服务管理口标和持续改进的需求，并在公司中积极贯彻实施it服务管理的重要性。技术服务事业部负责组织相关部门按照pdca的要求，通过对所属业务的规划，适时优化和提供资源 以计划、实施、监控、评审和改进it服务的交付和管理。管理者代表按照服务质量改进管理程序中的计划间隔，由技术服务事业部负责组织相关部门实施it服务

23、管理体系的内部审核，确保it服务管体系的有效性与符合性。管理者代表按照服务质量改进管理程序中的计划间隔，组织相关部门执行it服务管理体系的管 理评审，确保it服务管理体系持续的稳定、充分和有效。36. 4文件要求364. 1公司的文件管理体系分为a、b、c、d四层，即a层为管理手册、b层为程序文件、c 层为工作流程或规定、d层为记录。3. 6. 4. 2管理手册一描述it服务管理体系的文件，是全体员工必须长期遵循的法规性文件。3. 6. 4. 3程序文件一覆盖公司主要业务过程的流程文件，是管理手册的支撑性文件。3. 6. 4. 4工作流程或规定一是开展具体业务工作的规范类、指导性文件，是程序文

24、件的支持性文 件。3. 6. 4. 5记录一在开展具体业务工作过程中产生的记录类文件，主要是为具体工作结果提供各种 可追溯性证据。3. 6. 4. 6技术服务事业部负责组织制订文件和记录管理程序，明确文件的拟制、批准、发放、 变更、存档等管理要求，并监控实施。3. 6. 4. 7技术服务爭业部负责组织相关部门，根据公司的业务特点及标准的要求，制订相关的程 序文件，经公司管理者代表批准后实施。3. 6. 4. 8技术服务事业部负责组织拟制与木部门业务相关的各类c层文件，并按文件和记录管 理稈序的要求对文件和记录的有效性进行管理。4信息安全管4. 1总要求4.1.1公司根据整体业务活动（软件开发、

25、经营、服务和fi常管理活动）和所面临的风 险，按is0/iec 27001:2005信息技术-安全技术-信息安全管理体系-要求规定，参 照is0/iec 27002:2005信息技术-安全技术-信息安全管理实用规则标准，建立、实 施、运作、监控、维护并改进文件化的信息安全管理休系。4. 1. 2本手册使用的过程基于pdca模式。适用于isms过程的pdca模式相关方管理信'息安全相关文件:信息安全方针及目标4. 2建立和管理信息安全管理体系（isms）4. 2. 1 建立 isms4. 2. 1. 1信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术定义了范

26、围和边界，本公 司信息安全管理体系的范围包括：a）本公司涉及软件开发、营销、服务和日常管理的业务系统；b）与所述信息系统有关的活动；c）与所述信息系统有关的部门和所有员工；d）所述活动、系统及支持性系统包含的全部信息资产。本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围，见本 手册jin/qm3. 2公司信息安全管理体系组织架构。物理范木公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管 理体系的物理范围和信息安全边界。木公司isms的物理范围为本公司位于常州市常州市鹏欣丽都2幢乙单元503室的 办公场所，安全边界详见附录a （规范性附录）办公场所平而图。

27、4. 2. 1. 2信息安全管理体系的方针为了满足适用法律法规及相关方要求，维持软件开发和经营的正常进行，实现业务 可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定 义了信息安全管理体系方针，见本信息安全管理手册第0. 3条款。该信息安全方针符合以下耍求：a）为信息安全fl标建立了框架，并为信息安全活动建立整体的方向和原则；b）考虑业务及法律或法规的要求，及合同的安全义务；c）与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系；d）建立了风险评价的准则；e）经最高管理者批准。为实现信息安全管理体系方针，本公司承诺：a）在各层次建立完整的信息安全管理组织机

28、构，确定信息安全目标和控制措施；明 确信息安全的管理职责，见本信息安全管理手册第3. 4条款。；b）识别并满足适用法律、法规和相关方信息安全要求；0）定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证 体系的持续有效性；d）采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享;e）对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能 力；f）制定并保持完善的业务连续性计划，实现可持续发展。4.2. 1.3风险评估的方法生技部负责制定信息安全风险管理程序，建立识别适用于信息安全管理体系和 已经识别的业务信息安全、法律和法规要求的风险评估方法

29、，建立接受风险的准则并识 别风险的可接受等级。信息安全风险评估釆用信息安全风险管理软件（info-riskmanager）进行，以保证所选择的风险评估方法应确保风险评估能产生 可比较的和可重复的结果。4. 2.1.4识别风险在已确定的信息安全管理体系范围内，本公司按信息安全风险管理程序，采用 info-riskmanagcr风险管理软件，对所有的资产进行了识别，并识别了这些资产的所有 者。资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产 按口身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值，根据 重要资产判断依据确定是否为重要资产，形成了重要资产清单。

30、同时，根据信息安全风险管理程序，识別了对这些资产的威胁、可能被威胁利 用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的 影响。4. 2.1.5分析和评价风险本公司按信息安全风险管理程序，采用信息安全风险管理软件，分析和评价风 险：a）针对觅要资产自身价值、保密性、完整性和可用性、合规性损失导致的后杲进行 赋值；b）针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全 失效发生的可能性，并进行赋值；c）根据信息安全风险管理程序计算风险等级；d）根据信息安全风险管理程序及风险接受准则，判断风险为可接受或需要处理。 4.2. 1.6识别和评价风险处理的选

31、择网络管理部组织有关部门根据风险评估的结果，形成风险处理计划，该计划明 确了风险处理责任部门、负责人、处理方法及起始、完成时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以卜适当的措施：a）控制风险，采用适当的内部控制措施；b）接受风险（不可能将所有风险降低为零）；c）避免风险（如物理隔离）；d）转移风险（如将风险转移给保险者、供方、分包商）。4. 2. 1.7选择控制tj标与控制措施网络管理部根据信息安全方针、业务发展要求及风险评估的结果，纽.织有关部门制 定了信息安全目标，并将目标分解到有关部门（见信息安全适用性声明）:小信息安全控制目标获得了信息安全最高责任者的批准。b）控制

32、目标及控制措施的选择原则來源于tso/tec 27001:2005信息技术-安全技 术-信息安全管理体系-要求附录a,具体控制措施参考tso/tec 27002:2005信息技 术-安全技术-信息安全管理实用规则。c）本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。4.2. 1.8对风险处理后的剩余风险，得到了公司最高管理者的批准。4. 2. 1. 9最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。 4.2.1.10适用性声明生技部负责编制信息安全适用性声明（soa） o该声明包括以下方面的内容：小所选择控制目标与控制措施的概要描述，以及选择的原因；b）对1s0/1e

33、c 27001:2005附录a中未选川的控制目标及控制措施理由的说明。4. 2. 2实施和运行isms4. 2.2.1为确保信息安全管理体系有效实遍，对已识别的风险进行有效处理，木公司开 展以下活动：小形成风险处理计划，以确定适当的管理措施、职责及安全控制措施的优先级;b）为实现已确定的安全目标、实施风险处理计划，明确各岗位的信息安全职责;c）实施所选择的控制措施，以实现控制口标的要求；d）确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控 制的有效性以得出可比较的、可重复的结果；e）进行信息安全培训，提高全员信息安全意识和能力；f）对信息安全体系的运作进行管理；g）对信息

34、安全所需资源进行管理；h）实施控制程序，对信息安全事件（或征兆）进行迅速反应。4. 2. 2. 2信息安全组织机构本公司成立了的信息安全领导机构-信息安全委员会，其职责是实现信息安全管理体 系方针和本公司承诺。具体职责是：研究决定贯标工作涉及到的重大事项；审定公司信 息安全方针、目标、工作计划和重要文件；为贯标工作的有序推进和信息安全管理体系 的有效运行提供必要的资源。本公司由相关部门代表组成信息安全管理网络，采用联席会议（协调会）的方式， 进行信息安全协调和协作，以：a）确保安全活动的执行符合信息安全方针；b）确定怎样处理不符合；c）批准信息安全的方法和过程，如风险评估、信息分类；d）识别重

35、大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露；e）评估信息安全控制措施实施的充分性和i办调性；f）有效的推动组织内信息安全教育、培训和意识；g）评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐 适当的措施。4.2. 2. 3信息安全职责和权限木公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信 息安全管理者代表在其他方面的职责如何，对信息安全负有以下职责：a）建立并实施信息安全管理体系必要的程序并维持其有效运行；b）对信息安全管理体系的运行情况和必要的改善措丿施向信息安全领导小纽或最高 责任者报告。各部门负责人为本部门信息安全管理责任者，全体

36、员工都应按保密承诺的要求自觉 履行信息安全保密义务；各部门、人员有关言息安全职责分配见本信息安全管理手册第3.4条款信息安全 管理职责明细表和相应的程序文件。4.2.2m各部门应按照信息安全适用性声明中规定的安全目标、控制措施（包括安全运行的各种 控制程序）的耍求实施信息安全控制措施。4.2.3监控和评审isms4.2.3. 1本公司通过实施不定期安全检查、内部审核、事故（事件）报告调查处理、电 子监控、定期技术检查等控制措施并报告结果以实现：a）及时发现处理结果屮的错误、信息安全体系的事故（事件）和隐患；b）及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；c）使管理者确

37、认人工或口动执行的安全活动达到预期的结果；d）使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；e）积累信息安全方面的经验；4. 2.3.2根据以上活动的结果以及来自相关方的建议和反馈，由总经理主持，每年至少 一次对信息安全管理体系的有效性进行评审，其中包括信息安全范围、方针、h标的符 合性及控制措施有效性的评审，考虑安全审核、事件、有效性测量的结果，以及所有相 关方的建议和反馈。管理评审的具体要求，见本手册第7章。4. 2.3.3网络管理部应组织有关部门按照信息安全风险管理程序的要求，采用信息 安全风险管理软件，对风险处理后的残余风险进行定期评审，以验证残余风险是否达到 可接受的水

38、平，对以下方面变更情况应及时进行风险评估：a）组织;b）技术；c）业务冃标和过程；d）已识别的威胁；e）实施控制的有效性；f）外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。4. 2.3.4按照计划的时间间隔进行信息安全管理体系内部审核，内部审核的具体要求， 见本手册第6章。4. 2. 3. 5定期对信息安全管理体系进行管理评审，以确保范i韦i的充分性，并识别信息安 全管理体系过程的改进，管理评审的具体要求，见本手册第7章。4. 2. 3. 6考虑监视和评审活动的发现，更新安全计划。4. 2. 3. 7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。4. 2.

39、4保持与持续改进isms我公司开展以下活动，以确保信息安全管理体系的持续改进：a）实施每年管理评审、内部审核、安全检查等活动以确定需改进的项冃；b）按照内部审核管理程序、纠正措施管理程序、预防措施管理程序的 耍求采取适当的纠正和预防措施；吸取其他组织及本公司安全事故（事件）的经验教训, 不断改进安全措施的有效性；c）通过适当的手段保持在内部对信息安全措施的执行悄况与结果进行有效的沟通。 包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信 息安全的耍求等；d）对信息安全目标及分解进行适当的管理，确保改进达到预期的效果。相关文件:系统风险评估方法适用性声明管理评审程序内部

40、审核控制程序纠正措施控制程序预防措施控制程序4. 3文件要求4. 3. 1总则isms文件应包括：a）形成文件的isms方针和控制目标；b）isms范围c）isms的支持性程序和控制扌苦施；d）风险评估方法的描述；e）风险评估报告；f）风险处置计划；g）公司为确保其信息安全过程的有效策划、运行和控制以及规定如何测量控制措施有效性所需的程序文件；h）标准所更求的记录；i）适用性声明。所有文件应按isms方针要求在需要时可获得。4. 3. 2文件控制isms所要求的文件应予以保护和控制，应编制形成文件的程序以规定以下方面所需的管理措施：小文件发布前得到批准以确保文件是充分的；b）必耍时对文件进行评

41、审与更新并再次批准；c）确保文件的更改和现行修订状态得到识别；d）确保在使用处可获得适用文件的适用版木；e）确保文件保持合法并易于识别；f）确保外来文件得到识别；g）确保文件的分发是受控的；h）防止作废文件的非预期使用；1）若因任何原因而保留作废文件时对这些文件进行适当的标识；4. 3. 3记录控制应建立并保持记录，以提供符合耍求和1sms有效运行的证据。记录应得到保护并且受 控。jlsms应考虑相关法律要求，记录应易于识别和检索。应编制形成文件的程序，以规 定记录的识别、贮存、保护、检索、保存期限和处置所需的控制，确定记录需要和程度 的管理过程。保持过程业绩的记录以及与isms有关的安全事件

42、的记录。例如，记录包括访问者登记 审核记录和访问授权。相关文件:文件控制程序记录控制程序5管理职责5. 1管理承诺管理层应通过以下措施对其建立、实施、运行、监控、评审、维护和改进isms的承诺 提供证据。a）建立信息安全方针；b）确保信息安全目标和计划的建立；c）为信息安全分配角色和职责；d）向公司传达满足信息安全h标、符合信息安全方针、法律责任和持续改进的重要 性；e）提供足够的资源以建立、实施、运行、监控、评审、维护和改进isms；f）决定可接受风险的标准和可接受风险的等级；g）确保isms内部审核的执行；h）进行isms管理评审。相关文件:信息安全方针和冃标部门职责管理评审程序系统风险评

43、估方法5.2资源管理5. 2. 1资源提供公司应确定和提供以卜方面所需的资源a）建立建立、实施、运行、监控、维护和改进ismsb）确保信息安全程序支持业务需求；0）识别并确定法律法规要求和合同安全责任；d）通过正确应用所有实施的控制措施的來维持足够的安全；e）必要时进行评估，并对评估结果采取适当的对应措施；f）必要时改进isms的有效性。5.2.2培训、意识和能力公司应确保在isms屮任命职责的人员应能够胜任要求的任务a）确定从事影响信息安全工作的人员所必需的能力；b）提供足够的能力培训或其它措施，必要时聘用有能力的人员满足这些要求；c）评估所提供的培训和采取措施的有效性；d）保持教育、培训、

44、技能、经验和资质的适当记录。公司应确保员工认识到所从事信息安全活动的相关性和重要性，以及如何为实现isms 目标作出贡献。相关文件:人力资源管理控制程序6 isms内部审核公司应按计划的时间间隔进行isms内部审核，以确定控制目标、控制措施、过程和 程序是否：a）符合标准及相关法律法规的要求；b）符合确定的信息安全要求；c）得到有效地实施和维护；d）按期望运行。内部审核程序应进行计划，并考虑受审核过程的状况、重要性和受审核的区域以及 上次审核结果，应规定审核准则、范围、频次和方式，审核员的选择和审核活动应保证 审核过程的客观和公止，审核员不能审核自己的工作。应建立形成文件的程序，以规定策划和实

45、施审核的职责和要求以及报告结果和保持 记录。受审核区域的负责人应确保立即采取措施，以消除发现的不符合及其原因。改进措 施包括所采取措施的验证并汇报验证结果。相关文件:内部审核控制程序7 isms管理评审7. 1总则管理者应按策划的时间间隔评审公司的isms （至少一年一次），以确保其持续的适 宜性、充分性和有效性。评审应包括评价isms改进的机会和变更的需要，包拾安全方针 和安全冃标的适宜性。评审结果应清楚地写入文件应保持记录。7. 2管理评审输入管理评审的输入应包括以下方面的信息：a）isms审核（包括内审和外审）和管理评审的结果；b）相关方（客户、供应商、内部员工等）的反馈；c）公司用于改

46、进isms业绩和有效性的技术、产品或程序的发展及变化；d）预防和纠正措施的实施情况；e）上次风险评佔未充分指出的弱点或威胁；f）体系有效性测量的结果；g）上次管理评审所采取措施的跟踪验证；h）影响isms的变更，如信息安全组织架构变化等；i）改进的建议。7. 3管理评审输出管理评审的输出应包括与以卜-方面有关的任何决定和措施a）isms有效性的改进b）风险评估和风险处理计划的更新c）必要时修订影响信息安全的程序和控制措施，以反映可能彩响isms的内外事件, 包括以下变化1业务需求；2安全需求；3影响己有业务需求的业务过程；4法律法规环境；5合同义务；6风险和/或风险接受准则。d）资源需求e）针

47、寸被测量的控制措施有效性的改进相关文件:管理评审程序8 isms的改进8. 1持续改进公司应通过应用信息安全方针、安全目标、审核结果、监控事件的分析、纠正和预 防措施和管理评审，持续改进isms的有效性。8. 2纠正措施公司应采取措施消除isms实施和运行的不符合原因，以防止其再发生。纠正措施文 件程序应规定以下方面的耍求。a）识别isms实施和运行的不符合项；b）确定不符合的原因；c）评价确保不符合不再发生所需的措施；d）决定和实施所需的纠正措施；e）记录所采取措施的结果；f）评审所采収的纠正措施。8. 3预防措施公司应决定措施以防范未来的不符合，防i匕发生采取的预防措施应与潜在问题的影 响

48、相匹配，预防措施文件程序应规定以下方面的要求。a）确定潜在不符合及其原因；b）评价预防不符合发生所需的措施；c）决定实施所需的预防措施；d）记录所采取措施的结果；e）评审所采取的预防措施。公司应识别发牛变化的风险，并通过关注变化显著的风险来识別预防措施要求。应根据风险 评估结果來确定预防措施的优先级。相关文件:纠正措施控制程序预防措施控制程序it服务管理服务管理规划和实施在开展it服务管理的活动中，pdca原理贯穿于it服务管理体系的全部流程，其中：p （计划）一根据客户要求和公司策略建立日标和流程。d （实施）一实施流程。c （检查）根据策略、目标和要求对过程和服务进行监控、测量，并报告结果

49、。a （改进）一采取措施以持续改进流程的性能。计划服务管理服务部向客户提供三大服务项目：常驻现场技术服务、定期巡检技术服务、咨询规划设计服务。 甘肃万维公司为不断满足市场需求和企业自身发展需要，将在未来将原有的三大技术服务内容重新规 划和设计，细化成六大服务内容：基础设施服务、运维服务、专业技术服务、it安全服务、咨询设计 评估服务、培训服务。从而实现在坚持原有行业内的服务的基础上向行业外扩展的计划。服务部根据公司it服务管理职能关系架构图中的所分配的职责并依据条款4-9中所规定的服务管 理过程向客户提供1t服务。相关部门根据管理评审的结果及结论，结合木部门的工作实际，由技术服务事业部组织相关

50、部门对 当前与本部门相关的it服务工作的改进需求、以及公司业务发展策略、技术动态、政策法规要求、 下一年度it服务工作的安排进行规划，制订本部门的年度工作计划，并按公司内控制度制订对应的 部门年度费用预算。实施it服务技术服务事业部组织相关部门按批准后的公司年度计划，对计划周期内的工作任务、目标、绩效要求 进行分解，组织各部门制订各白的年度工作计划和费用预算，并进行跟踪、检查。相关部门年度工作计划、年度费用预算应与已批准的本部门年度工作计划、预算一致，如有变更，引 起预算的变化，应上报技术服务事业部按照相关流程审批、执行。技术服务爭业部负责组织it服务项目的立项工作，并按照项目管理规定对项目计

51、划周期内的工作任 务、i标、绩效要求进行分解，制订项目实施计划和费川预算，并进行跟踪、检查。监视、测量和评审服务部负责收集、汇总、整理it服务项h的日常服务数据。服务部经理负责组织it服务项【，按各项目阶段性工作计划、费川预算的内容，以及it服务管理的 要求，收集与it服务相关的信息，监控、测量和评审与本业务相关的服务规划要求、已有的sla符 合要求的程度。it服务项|在运行屮，应监控、测量和评审的内容为：既定的it服务目标的达成程度。客户满意度。资源利用。服务实施的趋势。严重不符合。技术服务事业部按照服务质量改进管理程序的要求，组织it服务管理体系的管理评宙活动，以 确保it服务要求得到有效

52、的实施和维护。持续改进服务部每年至少进行一次服务管理体系的有效性评估，评估通过内部审核的方式进行。在评估中发现的任何不符合标准的活动都应该采取纠正措施了以改进，对于发现的潜在问题应该予以 控制。服务部在内部审核后，应进行管理评审，管理评审的内容包括：各流程的执行状况报告，存在问题及 改进建议，内部审核结果，相关方的反馈以及其他可能影响体系运行的要素。服务部按管理评审的要求，确定服务改进的测量、报告和沟通流程和内容。监控it服务运行屮出现 的不符合项，组织相关部门实施、验证改进活动。任何不符合iso/iec 20000-1： 2005标准的活动都 应被纠正。对于内部审核、管理评市或其他活动中所发

53、现的不符合项或潜在不符合项，应按照服务质量改进管 理程序要求进行及吋纠正。新服务或变更服务的策划与实施制订新服务或变更服务计划销售部门负责与客户沟通，服务部配合，收集客八对现有sla的满意度水平。分析、整理客户新的 或变更服务的要求，及时反馈&户的改进需求。当出现新服务或变更服务吋，服务部根据服务策划管理程序的要求，组织实施it服务策划和实 施工作。服务部组织对新服务或变更服务策划结果的验证、确认，验证通过后按服务策划管理程序实施。 服务部应报告新服务或变更服务按计划实施所达到的结果，服务部按发布管理程序，执行实施发 布评审，比较实际结果与期望结杲的一致性。服务交付过程服务级别管理服务

54、部负责与相关部门沟通，制订公司的服务目录。服务目录应定义所有服务，并包含服务名称、 服务1=1标或标准、联系接口、服务提供时间和例外、安全方血的考虑和安排。服务目录是公司所提供的服务内容的汇总，公司与客户签署sla时应参考服务目录。公司应该根据当询的服务能力对服务目录进行更新与维护。根据公司的战略规划、资源要求及客户需求，服务部在与销售部门和其他相关部门沟通、确定sla时, 应考虑：可接受持续损失服务的最大周期、可接受降级服务的最大周期，服务恢复时，可接受降级服 务级别。销售部门代表客户，与服务部签订服务级别协议。应明确：服务要求和期望服务工作量特征的协 议、服务廿标协议、服务级别实现、工作量

55、的测量和报告，以及服务h标不能完成的分析与说明。服务级别协议包含以下内容：服务的简述、术语表、客户职责、服务部门职责和义务、服务r标、 服务时间、工作量限制（最大及最小工作量），支持和相关服务、影响和优先级描述、授权细节，及 授权人员联系信息、有效期或sla变更控制机制（包含升级和通知流程）、服务中断采取的纠止措施, 计划和协调屮断，包括通知事件及频率、沟通的简述，包括报告、投诉程序、在sla中规定条款的 例外情况。商务部应依据客户签订的sla以及供应商管理程序的要求，组织签署与供应商z间的支持合同 （或协议）。当出现重要业务变更时，销售部门应及时与技术服务爭业部沟通，按原流程重新组织相关部门，调整、 修订服务级别协议，并作为服务改进计划的输入。服务报告服务部应就向客户提交的服务报告的内容、报告周期与客户协商并达成一致。服务部拟制内部服务报告，对计划间隔内的客户服务状况、问题趋势、服务数据、sla目标实现等进 行汇总、统计和分析，组织右开月度服务质量分析会议，形成会议纪要后发放