ISMS手册信息安全管理体系手册

信息安全管理IT服务管理体系手册公布令我司按照ISO0:《信息技术服务管理—规范》和ISO27001：《信息安全管理体系规定》以及我司业务特点编制《信息安全管理&IT服务管理体系手册》，建立与我司业务相一致的信息安全与IT服务管理体系，现予以颁布实施。本手册是公司法规性文献，用于贯彻公司信息安全管理方针和目的，贯彻IT服务管理理念方针和服务目的。为实现信息安全管理与IT服务管理，开展持续改善服务质量，不停提高客户满意度活动，加强信息安全建设的大纲性文献和行动准则。是全体员工必须恪守的原则性规范。体现公司对社会的承诺，通过有效的PDCA活动向顾客提供满足规定的信息安全管理和IT服务。本手册符合有关信息安全法律法规规定以及ISO0:《信息技术服务管理—规范》、ISO27001：《信息安全管理体系规定》和公司实际状况。为能更加好的贯彻公司管理层在信息安全与IT服务管理方面的方略和方针，根据ISO0:《信息技术服务管理—规范》和ISO27001：《信息安全管理体系规定》的规定任命XXXXX为管理者代表，作为我司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。全体员工必须严格按照《信息安全管理&IT服务管理体系手册》规定，自觉恪守本手册各项规定，努力实现公司的信息安全与IT服务的方针和目的。管理者代表职责：a)建立服务管理计划；b)向组织传达满足服务管理目的和持续改善的重要性；e)拟定并提供策划、实施、监视、评审和改善服务交付和管理所需的资源，如招聘适宜的人员，管理人员的更新；确保按照ISO207001:原则的规定，进行资产识别和风险评定，全方面建立、实施和保持信息安全管理体系；按照ISO/IEC0《信息技术服务管理－规范》的规定，组织有关资源，建立、实施和保持IT服务管理体系，不停改善IT服务管理体系，确保其有效性、适宜性和符合性。负责与信息安全管理体系有关的协调和联系工作；向公司管理层报告IT服务管理体系的业绩，如：服务方针和服务目的的业绩、客户满意度状况、各项服务活动及改善的规定和成果等。确保在整个组织内提高信息安全风险的意识；审核风险评定报告、风险解决计划；同意公布程序文献；主持信息安全管理体系内部审核，任命审核组长，同意内审工作报告；向最高管理者报告信息安全管理体系的业绩和改善规定，涉及信息安全管理体系运行状况、内外部审核状况。7．推动公司各部门领导，主动组织全体员工，通过工作实践、教育培训、业务指导等方式不停提高员工对满足客户需求的重要性的认知程度，以及为达成公司服务管理目的所应做出的奉献。总经理：日期：信息安全方针和信息安全目的信息安全方针：信息安全人人有责我司信息安全管理方针涉及内容以下：一、信息安全管理机制1．公司采用系统的办法，按照ISO/IEC27001:建立信息安全管理体系，全方面保护我司的信息安全。二、信息安全管理组织2．公司总经理对信息安全工作全方面负责，负责同意信息安全方针，拟定信息安全规定，提供信息安全资源。3．公司总经理任命管理者代表负责建立、实施、检查、改善信息安全管理体系，确保信息安全管理体系的持续适宜性和有效性。4．在公司内部建立信息安全组织机构，信息安全管理委员会和信息安全协调机构，确保信息安全管理体系的有效运行。5．与上级部门、地方政府、有关专业部门建立定时经常性的联系，理解安全规定和发展动态，获得对信息安全管理的支持。三、人员安全6．信息安全需要全体员工的参加和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包含对信息安全的规定。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调节安全职责和权限。7．对我司的有关方，要明确安全规定和安全职责。8．定时对全体员工进行信息安全有关教育，涉及：技能、职责和意识。以提高安全意识。9．全体员工及有关方人员必须推行安全职责，执行安全方针、程序和安全方法。四、识别法律、法规、合同中的安全10．及时识别顾客、合作方、有关方、法律法规对信息安全的规定，采用方法，确保满足安全规定。五、风险评定11．根据我司业务信息安全的特点、法律法规规定，建立风险评定程序，拟定风险接受准则。12．采用先进的风险评定技术和软件，定时进行风险评定，以识别我司风险的变化。我司或环境发生重大变化时，随时评定。13．应根据风险评定的成果，采用对应方法，减少风险。六、报告安全事件14．公司建立报告信息安全事件的渠道和对应的主管部门。15．全体员工有报告信息安全隐患、威胁、单薄点、事故的责任，一旦发现信息安全事件，应立刻按照规定的途径进行报告。16．接受信息安全事件报告的主管部门应统计全部报告，及时做出对应的解决，并向报告人员反馈解决成果。七、监督检查17．定时对信息安全进行监督检查，涉及：日常检查、专项检查、技术性检查、内部审核等。八、业务持续性18．公司根据风险评定的成果，建立业务持续性计划，抵消信息系统的中断造成的影响，避免核心业务过程受严重的信息系统故障或者灾难的影响，并确保能够及时恢复。19．定时对业务持续性计划进行测试和更新。九、违反信息安全规定的处罚20．对违反信息安全方针、职责、程序和方法的人员，按规定进行解决。信息安全目的：1.不可接受风险解决率：100%（全部不可接受风险应减少到可接受的程度）。2.重大顾客因信息安全事件投诉为0次（重大顾客投诉是指直接经济损失金额达1万元以上）信息安全管理手册阐明1．1公司介绍XX1.1编制根据和目的本手册在遵照ISO9001：《信息安全管理体系规定》与ISO/IEC0《信息技术服务管理－规范》的规定编制而成，涉及了ISO27001：的全部规定，对附录A的删减见《合用性声明SoA》。手册描述公司的信息安全管理体系的总规定，以确保公司的信息安全管理体系能够达成ISO27001：信息安全管理原则的规定；满足我司向客户提供IT服务所需的IT基础设施和IT技术支持服务，合用于向客户或认证机构证明，我司含有提供符合客户需求的IT服务能力和服务质量。我司的体系程序是手册的支持性文献，是对体系运作的具体描述。1.2合用范畴信息安全管理&IT服务管理体系手册合用于我司提供安全管理体系认证服务与IT服务有关的全部部门和活动。1．3术语和定义1．3．1本手册应用ISO/IEC0中的术语及定义。1．3．2本手册应用ISO/IEC27001中的术语及定义。2信息安全管理&IT服务管理手册的管理2．1手册的编制、同意和公布2．1．1按照公司业务发展战略和客户需求，经公司管理者代表同意，技术服务事业部组织有关人员，结合我司业务特点，根据ISO/IEC0原则的规定编写。2．1．2《IT服务管理手册》由公司管理者代表同意后公布。2．2手册的分发2．2．1技术服务事业部负责手册的发放、更新、管理与存档。2．2．2公司各部门负责手册的使用和保管。2．3手册的受控状态2．3．1书面形式的手册分“有效文献”和“保存文献”两种形式。作为公司日常运行的根据及提供应外部认证机构的手册均为“有效文献”形式。2．3．2当手册内容变更时，“有效文献”形式的手册应及时予以更新和发放。2．3．3“有效文献”形式的文献在更新后，如需保存原来的版本，方便于追溯，则应当用“保存文献”的标记予以辨别。2．3．4电子形式的手册由技术服务事业部在工作流转系统中进行管理。2．4手册的变更2．4．1因公司战略调节、客户需求或改善活动等引发的手册内容的变更，按公司总经理批示，技术服务事业部组织有关部门对涉及变更的内容进行更新，并经公司总经理同意后公布。2．4．2更新后的手册，应及时地发放给公司内部原手册持有者，并收回旧版的手册。对电子形式的手册，由技术服务事业部按工作流转系统中的管理规则进行更新和归档管理。2．5公司内部手册持有者的责任2．5．1与公司或部门内部的有关人员沟通、学习手册的规定并遵照执行。2．5．2妥善保管，不得私自更改、曲解手册的内容。不得随意向其它与公司业务无关的第三方传输，如需提供公司以外的第三方参考，应经技术服务事业部提交公司主管副总经理审核后，报公司总经理同意。3公司架构和安全承诺3.1公司行政组织架构总经理总经理文档培训仓库采购人力资源财务物流销售市场测试质量确保质管部文档培训仓库采购人力资源财务物流销售市场测试质量确保质管部实施研发综合管理部生技部商务部3.2公司信息安全管理体系组织架构图总经理总经理管理者代表商务部生技部综合管理部副管理者代表研发实施质管部质量确保测试客户服务部销售物流财务人力资源采购仓库培训文档安全委员会注：每个虚线框内为一种信息安全小组，部门的负责人为安全组长，各岗位负责人为该岗位的安全员。3．3公司IT服务管理职能关系架构图3.4信息安全承诺◆公司成立安全管理委员会来领导信息安全工作，并拟定对应的职责和作用。◆制订信息安全方针和信息安全目的，建立和完善公司的信息安全管理体系。◆提供充足的资源以确保信息安全管理体系的制订、实施、运作、监控、维护和改善。◆对公司信息资产实施有效管理，确保信息的机密性，维持信息的完整性和可用性，防备对信息的未经授权访问。对公司信息资产进行风险评定，制订风险可接受原则，对公司不能接受的风险进行处置。◆建立业务持续性管理流程。进行业务持续性风险评定，编写、测试并实施业务持续性计划和灾难恢复计划，以确保公司核心业务的持续，不受重大故障和灾难的影响。◆确保公司全部员工都接受信息安全的教育培训，提高信息安全意识。◆保护公司、客户、有关合作方的信息安全。◆建立公司信息安全组织架构，明确信息安全责任，拟定报告可疑的和发生的信息安全事故及事件的流程，对违反安全制度的人员进行处罚。◆建立物理安全和网络安全管理制度，以确保信息的安全性。◆保护公司软件和信息的完整性，避免病毒与多种恶意软件的入侵。◆任何人在未经审批的状况下，严禁将信息资产带离公司。◆公司全部员工都要严格恪守公司的安全方针、程序和制度。◆控制对内外部网络服务的访问，保护网络服务的安全性与可用性。◆对顾客账号、口令和权限进行严格管理，避免对信息系统的非授权访问。◆对重要信息进行备份保护，以确保信息的可用性。◆定时对信息安全管理体系进行内审和管理评审。3.5信息安全管理委员会为了加强对信息安全管理体系运作的管理，江苏金马扬名信息技术有限公司公司成立信息安全管理委员会，其职责见下列明细表。信息安全管理职责明细表序号单位/部门信息安全职责1信息安全管理委员会信息安全管理委员会是我公司信息安全最高组织机构，负责本单位网络与信息安全重大事项的决策和协调，并对全公司信息安全工作负责。2总经理信息安全第一负责人，制订信息安全方针，对信息安全全方面负责。3管理者代表经总经理授权负责建立、实施、检查、改善信息安全管理体系。4综合管理部我公司信息安全管理体系的归口管理部门。负责管理体系的建立、实施、保持、测量和改善。负责文献控制、统计控制、内部审核的组织、管理评审的组织和体系的改善。负责我司保密工作的管理。安全区域的保卫管理部门，负责安全区域的管理。负责全公司人员安全管理，涉及人员聘任管理，保密合同订立，员工的能力、意识和培训，员工离职管理。负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。对信息安全日常工作实施动态考核，将信息安全管理作为公司管理的重要工作内容。参加涉密及司法介入的信息安全事件的调查。5生产技术部是我公司信息系统安全管理部门。负责局域网上所承当的各类信息系统的管理职能；负责我公司信息系统安全日常管理。6其它部门认真执行信息安全管理的方针、原则、安全方略和规范，做好内部培训。备注：以上职能划分，合用全部信息安全管理体系文献。信息安全管理委员会构成人员：姓名部门职务备注3．6服务管理职能阐明3．6．1为确保IT服务管理体系的顺利实施，以及实施后得到持续的管理和维护，在现有的组织架构外建立服务管理职能关系架构。IT服务管理职能关系架构，并不替代现有的按技术类别进行的分工，现有的按技术类别进的分工，在将来的IT服务管理体系中仍将发挥其作用。服务部根据IT服务管理程序规定对全部服务合同按照项目进行管理与运行，由项目经理按照服务管理职能关系架构中的规定对项目执行管理。一种完整的服务项目必须包含服务台、事件管理、业务关系管理、信息安全管理、供应商管理和IT财务管理。对于上图虚线框内的的问题管理、公布管理、配备管理、变更管理、可用性和持续性管理、容量管理、服务级别管理以及服务报告可由服务部经理根据与顾客订立的服务合同进行选择裁剪。3．6．2角色分派阐明3．6．2．1针对服务部目前组织架构及人员状况，将不再为每一具体流程分派流程经理。为此将13个流程，按其必要程度分成必选流程和可裁剪流程两大模块。由项目经理负责对应流程的实施、管理和控制。对项目构组员重要是组织、协调、安排对应工作任务的完毕，可能并不是由自己去完毕。3．6．2．1．1项目经理职责阐明：

1）、负责IT服务项目的立项工作，按照服务合同规定负责对应流程的实施、管理和控制。组织、协调、安排项目构组员完毕对应工作任务。2）、负责从服务台接受事件报告开始，分派对应的职能小组进行事件解决，直至找到问题的根本因素的整个过程的管理和协调。3）、负责各系统的配备管理、变更和公布控制。4）、负责系统的可用性规划和管理、负责安排系统持续性的计划和演习，并负责系统容量的规划和监控。5）、重要负责与顾客的沟通，对供应商的管理，以及项目的预/决算的管理。3．6．2．1．2能力规定：

熟悉服务部的多种服务管理流程，含有较强的内部协调能力。由管理者代表授权技术服务事业部总监，按ISO/IEC0的规定，负责协调和组织全部与IT服务有关的活动，通过管理和实施各项活动，使IT服务业务的质量得到有效的保持和维护。技术服务事业部组织制订、同意和公布公司IT服务方略、服务目的，并使其成为公司关注的焦点，成为公司协调、统一、凝聚公司的全部活动和资源的准则，成为建立、实施、保持并改善IT服务管理体系的宗旨。3．6．3公司IT服务方略：客户至上、全员参加、创新高效、系统管理、追求卓越公司IT服务目的：公司通过服务质量改善程序拟定年度服务质量目的公司的IT服务目的按ISO/IEC0的规定，与公司的业务相结合，并通过流程绩效不停提高和改善。技术服务事业部负责组织有关部门，通过会议、评审、书面报告、培训等方式，及时有效沟通工作，达成IT服务管理目的和持续改善的需求，并在公司中主动贯彻实施IT服务管理的重要性。技术服务事业部负责组织有关部门按照PDCA的规定，通过对所属业务的规划，适时优化和提供资源以计划、实施、监控、评审和改善IT服务的交付和管理。管理者代表按照《服务质量改善管理程序》中的计划间隔，由技术服务事业部负责组织有关部门实施IT服务管理体系的内部审核，确保IT服务管体系的有效性与符合性。管理者代表按照《服务质量改善管理程序》中的计划间隔，组织有关部门执行IT服务管理体系的管理评审，确保IT服务管理体系持续的稳定、充足和有效。3．6．4文献规定3．6．4．1公司的文献管理体系分为A、B、C、D四层，即A层为管理手册、B层为程序文献、C层为工作流程或规定、D层为统计。3．6．4．2管理手册—描述IT服务管理体系的文献，是全体员工必须长久遵照的法规性文献。3．6．4．3程序文献—覆盖公司重要业务过程的流程文献，是管理手册的支撑性文献。3．6．4．4工作流程或规定—是开展具体业务工作的规范类、指导性文献，是程序文献的支持性文献。3．6．4．5统计—在开展具体业务工作过程中产生的统计类文献，重要是为具体工作成果提供多种可追溯性证据。3．6．4．6技术服务事业部负责组织制订《文献和统计管理程序》，明确文献的拟制、同意、发放、变更、存档等管理规定，并监控实施。3．6．4．7技术服务事业部负责组织有关部门，根据公司的业务特点及原则的规定，制订有关的程序文献，经公司管理者代表同意后实施。3．6．4．8技术服务事业部负责组织拟制与本部门业务有关的各类C层文献，并按《文献和统计管理程序》的规定对文献和统计的有效性进行管理。4信息安全管4.1总规定4.1.1公司根据整体业务活动（软件开发、经营、服务和日常管理活动）和所面临的风险，按ISO/IEC27001:《信息技术-安全技术-信息安全管理体系-规定》规定，参考ISO/IEC27002:《信息技术-安全技术-信息安全管理实用规则》原则，建立、实施、运作、监控、维护并改善文献化的信息安全管理体系。4.1.2本手册使用的过程有关文献：《信息安全方针及目的》4.2建立和管理信息安全管理体系（ISMS）4.2.1建立ISMS4.2.1.1信息安全管理体系的范畴和边界我司根据业务特性、组织构造、地理位置、资产和技术定义了范畴和边界，我司信息安全管理体系的范畴涉及：a)我司涉及软件开发、营销、服务和日常管理的业务系统；b)与所述信息系统有关的活动；c)与所述信息系统有关的部门和全部员工；d)所述活动、系统及支持性系统包含的全部信息资产。组织范畴：我司根据组织的业务特性和组织构造定义了信息安全管理体系的组织范畴，见本手册JIN/QM—3.2《公司信息安全管理体系组织架构》。物理范畴：我司根据组织的业务特性、组织构造、地理位置、资产和技术定义了信息安全管理体系的物理范畴和信息安全边界。我司ISMS的物理范畴为我司位于xxxxxxxxxxxxxxx的办公场合，安全边界详见附录A（规范性附录）《办公场合平面图》。4.2.1.2信息安全管理体系的方针为了满足合使用方法律法规及有关方规定，维持软件开发和经营的正常进行，实现业务可持续发展的目的。我司根据组织的业务特性、组织构造、地理位置、资产和技术定义了信息安全管理体系方针，见本信息安全管理手册第0.3条款。该信息安全方针符合下列规定：a)为信息安全目的建立了框架，并为信息安全活动建立整体的方向和原则；b)考虑业务及法律或法规的规定，及合同的安全义务；c)与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系；d)建立了风险评价的准则；e)经最高管理者同意。为实现信息安全管理体系方针，我司承诺：a)在各层次建立完整的信息安全管理组织机构，拟定信息安全目的和控制方法；明确信息安全的管理职责，见本信息安全管理手册第3.4条款。；b)识别并满足合使用方法律、法规和有关方信息安全规定；c)定时进行信息安全风险评定，信息安全管理体系评审，采用纠正防止方法，确保体系的持续有效性；d）采用先进有效的设施和技术，解决、传递、储存和保护各类信息，实现信息共享；e)对全体员工进行持续的信息安全教育和培训，不停增强员工的信息安全意识和能力；f)制订并保持完善的业务持续性计划，实现可持续发展。4.2.1.3风险评定的办法生技部负责制订《信息安全风险管理程序》，建立识别合用于信息安全管理体系和已经识别的业务信息安全、法律和法规规定的风险评定办法，建立接受风险的准则并识别风险的可接受等级。信息安全风险评定采用信息安全风险管理软件（Info-riskmanager）进行，以确保所选择的风险评定办法应确保风险评定能产生可比较的和可重复的成果。4.2.1.4识别风险在已拟定的信息安全管理体系范畴内，我司按《信息安全风险管理程序》，采用Info-riskmanager风险管理软件，对全部的资产进行了识别，并识别了这些资产的全部者。资产涉及硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按本身价值、信息分类、保密性、完整性、法律法规符合性规定进行了量化赋值，根据重要资产判断根据拟定与否为重要资产，形成了《重要资产清单》。同时，根据《信息安全风险管理程序》，识别了对这些资产的威胁、可能被威胁运用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。4.2.1.5分析和评价风险我司按《信息安全风险管理程序》，采用信息安全风险管理软件，分析和评价风险：a)针对重要资产本身价值、保密性、完整性和可用性、合规性损失造成的后果进行赋值；b)针对每一项威胁、单薄点，对资产造成的影响，考虑现有的控制方法，鉴定安全失效发生的可能性，并进行赋值；c)根据《信息安全风险管理程序》计算风险等级；d)根据《信息安全风险管理程序》及风险接受准则，判断风险为可接受或需要解决。4.2.1.6识别和评价风险解决的选择网络管理部组织有关部门根据风险评定的成果，形成《风险解决计划》，该计划明确了风险解决责任部门、负责人、解决办法及起始、完毕时间。对于信息安全风险，应考虑控制方法与费用的平衡原则，选用下列适宜的方法：a)控制风险，采用适宜的内部控制方法；b)接受风险（不可能将全部风险减少为零）；c)避免风险（如物理隔离）；d)转移风险（如将风险转移给保险者、供方、分包商）。4.2.1.7选择控制目的与控制方法网络管理部根据信息安全方针、业务发展规定及风险评定的成果，组织有关部门制订了信息安全目的，并将目的分解到有关部门（见《信息安全合用性声明》）：a)信息安全控制目的获得了信息安全最高责任者的同意。b)控制目的及控制方法的选择原则来源于ISO/IEC27001:《信息技术-安全技术-信息安全管理体系-规定》附录A，具体控制方法参考ISO/IEC27002:《信息技术-安全技术-信息安全管理实用规则》。c)我司根据信息安全管理的需要，能够选择原则之外的其它控制方法。4.2.1.8对风险解决后的剩余风险，得到了公司最高管理者的同意。4.2.1.9最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。4.2.1.10合用性声明生技部负责编制《信息安全合用性声明》（SoA）。该声明涉及下列方面的内容：a)所选择控制目的与控制方法的概要描述，以及选择的因素；b)对ISO/IEC27001:附录A中未选用的控制目的及控制方法理由的阐明。4.2.2实施和运行ISMS4.2.2.1为确保信息安全管理体系有效实施，对已识别的风险进行有效解决，我司开展下列活动：a)形成《风险解决计划》，以拟定适宜的管理方法、职责及安全控制方法的优先级；b)为实现已拟定的安全目的、实施《风险解决计划》，明确各岗位的信息安全职责；c)实施所选择的控制方法，以实现控制目的的规定；d)拟定如何测量所选择的控制方法的有效性，并规定这些测量方法如何用于评定控制的有效性以得出可比较的、可重复的成果；e)进行信息安全培训，提高全员信息安全意识和能力；f)对信息安全体系的运作进行管理；g)对信息安全所需资源进行管理；h)实施控制程序，对信息安全事件（或征兆）进行快速反映。4.2.2.2信息安全组织机构我司成立了的信息安全领导机构-信息安全委员会，其职责是实现信息安全管理体系方针和我司承诺。具体职责是：研究决定贯标工作涉及到的重大事项；审定公司信息安全方针、目的、工作计划和重要文献；为贯标工作的有序推动和信息安全管理体系的有效运行提供必要的资源。我司由有关部门代表构成信息安全管理网络，采用联席会议（协调会）的方式，进行信息安全协调和协作，以：a)确保安全活动的执行符合信息安全方针；b)拟定如何解决不符合；c)同意信息安全的办法和过程，如风险评定、信息分类；d)识别重大的威胁变化，以及信息和有关的信息解决设施对威胁的暴露；e)评定信息安全控制方法实施的充足性和协调性；f)有效的推动组织内信息安全教育、培训和意识；g)评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适宜的方法。4.2.2.3信息安全职责和权限我司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其它方面的职责如何，对信息安全负有下列职责：a)建立并实施信息安全管理体系必要的程序并维持其有效运行；b)对信息安全管理体系的运行状况和必要的改善方法向信息安全领导小组或最高责任者报告。各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的规定自觉推行信息安全保密义务；各部门、人员有关信息安全职责分派见本信息安全管理手册第3.4条款《信息安全管理职责明细表》和对应的程序文献。4.2.2.4各部门应按照《信息安全合用性声明》中规定的安全目的、控制方法（涉及安全运行的多种控制程序）的规定实施信息安全控制方法。4.2.3监控和评审ISMS4.2.3.1我司通过实施不定时安全检查、内部审核、事故（事件）报告调查解决、电子监控、定时技术检查等控制方法并报告成果以实现：a)及时发现解决成果中的错误、信息安全体系的事故（事件）和隐患；b)及时理解识别失败的和成功的安全破坏和事件、信息解决系统遭受的各类攻击；c)使管理者确认人工或自动执行的安全活动达成预期的成果；d)使管理者掌握信息安全活动和解决安全破坏所采用的方法与否有效；e)积累信息安全方面的经验;4.2.3.2根据以上活动的成果以及来自有关方的建议和反馈，由总经理主持，每年最少一次对信息安全管理体系的有效性进行评审，其中涉及信息安全范畴、方针、目的的符合性及控制方法有效性的评审，考虑安全审核、事件、有效性测量的成果，以及全部有关方的建议和反馈。管理评审的具体规定，见本手册第7章。4.2.3.3网络管理部应组织有关部门按照《信息安全风险管理程序》的规定，采用信息安全风险管理软件，对风险解决后的残存风险进行定时评审，以验证残存风险与否达成可接受的水平，对下列方面变更状况应及时进行风险评定：a)组织；b)技术；c)业务目的和过程；d)已识别的威胁；e)实施控制的有效性；f)外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。4.2.3.4按照计划的时间间隔进行信息安全管理体系内部审核，内部审核的具体规定，见本手册第6章。4.2.3.5定时对信息安全管理体系进行管理评审，以确保范畴的充足性，并识别信息安全管理体系过程的改善，管理评审的具体规定，见本手册第7章。4.2.3.6考虑监视和评审活动的发现，更新安全计划。4.2.3.7统计可能对信息安全管理体系有效性或业绩有影响的活动和事情。4.2.4保持与持续改善ISMS我公司开展下列活动，以确保信息安全管理体系的持续改善：a)实施每年管理评审、内部审核、安全检查等活动以拟定需改善的项目；b)按照《内部审核管理程序》、《纠正方法管理程序》、《防止方法管理程序》的规定采用适宜的纠正和防止方法；吸取其它组织及我司安全事故（事件）的经验教训，不停改善安全方法的有效性；c)通过适宜的手段保持在内部对信息安全方法的执行状况与成果进行有效的沟通。涉及获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的规定等；d)对信息安全目的及分解进行适宜的管理，确保改善达成预期的效果。有关文献：《系统风险评定办法》《合用性声明》《管理评审程序》《内部审核控制程序》《纠正方法控制程序》《防止方法控制程序》4.3文献规定4.3.1总则ISMS文献应涉及：a)形成文献的ISMS方针和控制目的；b)ISMS范畴c)ISMS的支持性程序和控制方法；d)风险评定办法的描述；e)风险评定报告；f)风险处置计划；g)公司为确保其信息安全过程的有效策划、运行和控制以及规定如何测量控制方法有效性所需的程序文献；h)原则所规定的统计；i)合用性声明。全部文献应按ISMS方针规定在需要时可获得。4.3.2文献控制ISMS所规定的文献应予以保护和控制，应编制形成文献的程序以规定下列方面所需的管理方法：a)文献公布前得到同意以确保文献是充足的；b)必要时对文献进行评审与更新并再次同意；c)确保文献的更改和现行修订状态得到识别；d)确保在使用处可获得合用文献的合用版本；e)确保文献保持正当并易于识别；f)确保外来文献得到识别；g)确保文献的分发是受控的；h)避免作废文献的非预期使用；i)若因任何因素而保存作废文献时对这些文献进行适宜的标记；4.3.3统计控制应建立并保持统计，以提供符合规定和ISMS有效运行的证据。统计应得到保护并且受控。ISMS应考虑有关法律规定，统计应易于识别和检索。应编制形成文献的程序，以规定统计的识别、贮存、保护、检索、保存期限和处置所需的控制，拟定统计需要和程度的管理过程。保持过程业绩的统计以及与ISMS有关的安全事件的统计。例如，统计涉及访问者登记审核统计和访问授权。有关文献：《文献控制程序》《统计控制程序》5管理职责5.1管理承诺管理层应通过下列方法对其建立、实施、运行、监控、评审、维护和改善ISMS的承诺提供证据。a)建立信息安全方针；b)确保信息安全目的和计划的建立；c)为信息安全分派角色和职责；d)向公司传达满足信息安全目的、符合信息安全方针、法律责任和持续改善的重要性；e)提供足够的资源以建立、实施、运行、监控、评审、维护和改善ISMS；f)决定可接受风险的原则和可接受风险的等级；g)确保ISMS内部审核的执行；h)进行ISMS管理评审。有关文献：《信息安全方针和目的》《部门职责》《管理评审程序》《系统风险评定办法》5.2资源管理5.2.1资源提供公司应拟定和提供下列方面所需的资源a)建立建立、实施、运行、监控、维护和改善ISMSb)确保信息安全程序支持业务需求；c)识别并拟定法律法规规定和合同安全责任；d)通过对的应用全部实施的控制方法的来维持足够的安全；e)必要时进行评定，并对评定成果采用适宜的对应方法；f)必要时改善ISMS的有效性。5.2.2培训、意识和能力公司应确保在ISMS中任命职责的人员应能够胜任规定的任务a)拟定从事影响信息安全工作的人员所必需的能力；b)提供足够的能力培训或其它方法，必要时聘任有能力的人员满足这些规定；c)评定所提供的培训和采用方法的有效性；d)保持教育、培训、技能、经验和资质的适宜统计。公司应确保员工认识到所从事信息安全活动的有关性和重要性，以及如何为实现ISMS目的作出奉献。有关文献：《人力资源管理控制程序》6ISMS内部审核公司应按计划的时间间隔进行ISMS内部审核，以拟定控制目的、控制方法、过程和程序与否：a)符合原则及有关法律法规的规定；b)符合拟定的信息安全规定；c)得到有效地实施和维护；d)按盼望运行。内部审核程序应进行计划，并考虑受审核过程的状况、重要性和受审核的区域以及上次审核成果，应规定审核准则、范畴、频次和方式，审核员的选择和审核活动应确保审核过程的客观和公正，审核员不能审核自己的工作。应建立形成文献的程序，以规定策划和实施审核的职责和规定以及报告成果和保持统计。受审核区域的负责人应确保立刻采用方法，以消除发现的不符合及其因素。改善方法涉及所采用方法的验证并报告验证成果。有关文献：《内部审核控制程序》7ISMS管理评审7.1总则管理者应按策划的时间间隔评审公司的ISMS（最少一年一次），以确保其持续的适宜性、充足性和有效性。评审应涉及评价ISMS改善的机会和变更的需要，涉及安全方针和安全目的的适宜性。评审成果应清晰地写入文献应保持统计。7.2管理评审输入管理评审的输入应涉及下列方面的信息：a)ISMS审核（涉及内审和外审）和管理评审的成果；b)有关方（客户、供应商、内部员工等）的反馈；c)公司用于改善ISMS业绩和有效性的技术、产品或程序的发展及变化；d)防止和纠正方法的实施状况；e)上次风险评定未充足指出的弱点或威胁；f)体系有效性测量的成果；g)上次管理评审所采用方法的跟踪验证；h)影响ISMS的变更，如信息安全组织架构变化等；i)改善的建议。7.3管理评审输出管理评审的输出应涉及与下列方面有关的任何决定和方法a)ISMS有效性的改善b)风险评定和风险解决计划的更新c)必要时修订影响信息安全的程序和控制方法，以反映可能影响ISMS的内外事件，涉及下列变化1业务需求；2安全需求；3影响已有业务需求的业务过程；4法律法规环境；5合同义务；6风险和/或风险接受准则。d)资源需求e)针对被测量的控制方法有效性的改善有关文献：《管理评审程序》8ISMS的改善8.1持续改善公司应通过应用信息安全方针、安全目的、审核成果、监控事件的分析、纠正和防止方法和管理评审，持续改善ISMS的有效性。8.2纠正方法公司应采用方法消除ISMS实施和运行的不符合因素，以避免其再发生。纠正方法文献程序应规定下列方面的规定。a)识别ISMS实施和运行的不符合项；b)拟定不符合的因素；c)评价确保不符合不再发生所需的方法；d)决定和实施所需的纠正方法；e)统计所采用方法的成果；f)评审所采用的纠正方法。8.3防止方法公司应决定方法以防备将来的不符合，避免发生采用的防止方法应与潜在问题的影响相匹配，防止方法文献程序应规定下列方面的规定。a)拟定潜在不符合及其因素；b)评价防止不符合发生所需的方法；c)决定实施所需的防止方法；d)统计所采用方法的成果；e)评审所采用的防止方法。公司应识别发生变化的风险，并通过关注变化显着的风险来识别防止方法规定。应根据风险评定成果来拟定防止方法的优先级。有关文献：《纠正方法控制程序》《防止方法控制程序》IT服务管理服务管理规划和实施在开展IT服务管理的活动中，PDCA原理贯穿于IT服务管理体系的全部流程，其中：P（计划）—根据客户规定和公司方略建立目的和流程。D（实施）—实施流程。C（检查）—根据方略、目的和规定对过程和服务进行监控、测量，并报告成果。A（改善）—采用方法以持续改善流程的性能。计划服务管理服务部向客户提供三大服务项目：常驻现场技术服务、定时巡检技术服务、咨询规划设计服务。甘肃万维公司为不停满足市场需求和公司本身发展需要，将在将来将原有的三大技术服务内容重新规划和设计，细化成六大服务内容：基础设施服务、运维服务、专业技术服务、IT安全服务、咨询设计评定服务、培训服务。从而实现在坚持原有行业内的服务的基础上向行业外扩展的计划。服务部根据公司IT服务管理职能关系架构图中的所分派的职责并根据条款4-9中所规定的服务管理过程向客户提供IT服务。有关部门根据管理评审的成果及结论，结合本部门的工作实际，由技术服务事业部组织有关部门对目前与本部门有关的IT服务工作的改善需求、以及公司业务发展方略、技术动态、政策法规规定、下一年度IT服务工作的安排进行规划，制订本部门的年度工作计划，并按公司内控制度制订对应的部门年度费用预算。实施IT服务技术服务事业部组织有关部门按同意后的公司年度计划，对计划周期内的工作任务、目的、绩效规定进行分解，组织各部门制订各自的年度工作计划和费用预算，并进行跟踪、检查。有关部门年度工作计划、年度费用预算应与已同意的本部门年度工作计划、预算一致，如有变更，引发预算的变化，应上报技术服务事业部按照有关流程审批、执行。技术服务事业部负责组织IT服务项目的立项工作，并按照项目管理规定对项目计划周期内的工作任务、目的、绩效规定进行分解，制订项目实施计划和费用预算，并进行跟踪、检查。监视、测量和评审服务部负责收集、汇总、整顿IT服务项目的日常服务数据。服务部经理负责组织IT服务项目，按各项目阶段性工作计划、费用预算的内容，以及IT服务管理的规定，收集与IT服务有关的信息，监控、测量和评审与本业务有关的服务规划规定、已有的SLA符合规定的程度。IT服务项目在运行中，应监控、测量和评审的内容为：既定的IT服务目的的达成程度。客户满意度。资源运用。服务实施的趋势。严重不符合。技术服务事业部按照《服务质量改善管理程序》的规定，组织IT服务管理体系的管理评审活动，以确保IT服务规定得到有效的实施和维护。持续改善服务部每年最少进行一次服务管理体系的有效性评定，评定通过内部审核的方式进行。在评定中发现的任何不符合原则的活动都应当采用纠正方法予以改善，对于发现的潜在问题应当予以控制。服务部在内部审核后，应进行管理评审，管理评审的内容涉及：各流程的执行状况报告，存在问题及改善建议，内部审核成果，有关方的反馈以及其它可能影响体系运行的要素。服务部按管理评审的规定，拟定服务改善的测量、报告和沟通流程和内容。监控IT服务运行中出现的不符合项，组织有关部门实施、验证改善活动。任何不符合ISO/IEC0-1：原则的活动都应被纠正。对于内部审核、管理评审或其它活动中所发现的不符合项或潜在不符合项，应按照《服务质量改善管理程序》规定进行及时纠正。新服务或变更服务的策划与实施制订新服务或变更服务计划销售部门负责与客户沟通，服务部配合，收集客户对现有SLA的满意度水平。分析、整顿客户新的或变更服务的规定，及时反馈客户的改善需求。当出现新服务或变更服务时，服务部根据《服务策划管理程序》的规定，组织实施IT服务策划和实施工作。服务部组织对新服务或变更服务策划成果的验证、确认，验证通过后按《服务策划管理程序》实施。服务部应报告新服务或变更服务按计划实施所达成的成果，服务部按《公布管理程序》，执行实施公布评审，比较实际成果与盼望成果的一致性。服务交付过程服务级别管理服务部负责与有关部门沟通，制订公司的《服务目录》。服务目录应定义全部服务，并包含服务名称、服务目的或原则、联系接口、服务提供时间和例外、安全方面的考虑和安排。《服务目录》是公司所提供的服务内容的汇总，公司与客户订立SLA时应参考《服务目录》。公司应当根据目前的服务能力对《服务目录》进行更新与维护。根据公司的战略规划、资源规定及客户需求，服务部在与销售部门和其它有关部门沟通、拟定SLA时，应考虑：可接受持续损失服务的最大周期、可接受降级服务的最大周期，服务恢复时，可接受降级服务级别。销售部门代表客户，与服务部订立《服务级别合同》。应明确：服务规定和盼望服务工作量特性的合同、服务目的合同、服务级别实现、工作量的测量和报告，以及服务目的不能完毕的分析与阐明。《服务级别合同》包含下列内容：服务的简述、术语表、客户职责、服务部门职责和义务、服务目的、服务时间、工作量限制（最大及最小工作量），支持和有关服务、影响和优先级描述、授权细节，及授权人员联系信息、使用期或SLA变更控制机制（包含升级和告知流程）、服务中断采用的纠正方法，计划和协调中断，涉及告知事件及频率、沟通的简述，涉及报告、投诉程序、在SLA中规定条款的例外状况。商务部应根据与客户订立的SLA以及《供应商管理程序》的规定，组织订立与供应商之间的支持合同（或合同）。当出现重要业务变更时，销售部门应及时与技术服务事业部沟通，按原流程重新组织有关部门，调节、修订《服务级别合同》，并作为服务改善计划的输入。服务报告服务部应就向客户提交的服务报告的内容、报告周期与客户协商并达成一致。服务部拟制内部服务报告，对计划间隔内的客户服务状况、问题趋势、服务数据、SLA目的实现等进行汇总、统计和分析，组织召开月度服务质量分析会议，形成会议纪要后发放。服务报告重要涉及的内容：执行服务级别目的的绩效，违反SLA、安全管理规定等的不符合项和结论、工作量特性，如，数量、资源运用、报告重要事件、变更、定时趋势信息、客户满意度分析。当出现有关IT服务系统配备项的变更时，服务部应按《变更管理程序》的规定执行。服务报告应及时、清晰、可靠和简要，便于分析、决策和有效沟通。可用性和IT服务持续性管理服务部应按照《可用性与IT服务持续性管理程序》的规定，拟制《可用性与IT服务持续性计划》，根据客户业务优先级、服务级别合同和评定的风险，按设计的工作量计划维护有效的服务能力，并与《服务级别合同》的目的保持一致。应考虑：IT服务持续性计划考虑对服务和系统构成的关系。应清晰的分派调用IT服务持续性计划的责任，并清晰的计划对每个目的采用方法的责任。备份服务恢复所需的数据、文献、软件、任何设备和必要员工，在重大服务失败或灾难时，保持快速有效。在远程的安全地点，全部IT服务持续性文献应存储和维护最少一份，与其它必要的设备保存在一起。定时开展IT服务持续性计划的测试。使员工理解调用、执行计划的角色与职责，并能访问IT服务持续性文献。服务部每年末组织对《可用性与IT服务持续性计划》进行评审，并根据业务需求的变化及时调节计划的内容和目的，确保从普通到重大服务失效的任何环境下都能满足与客户协商的规定。当业务环境发生重大变化时，服务部应重新组织评审、修订《可用性与IT服务持续性计划》。并通过能力管理和配备管理活动，评价全部服务构成的有效性，预知可能的、潜在的问题，并采用防止方法。对《可用性与IT服务持续性计划》中内容和目的的变更，服务部应及时组织有关部门按《变更管理程序》的规定进行评定、验证和确认，确保变更的效果及满足SLA的规定。服务部应定时对可用性信息进行测量和统计，未计划的不可用应被调查、评定，并采用适宜的纠正或防止方法。可用性活动涉及：监控和统计服务的可用性。服务精确的历史数据。与SLA中定义需求相比较，以识别不符合SLA有效目的的事项。统计不符合项，并组织评审。考虑、评定供应商的影响。预计将来的可用性。IT服务的预算及财务管理技术服务事业部应根据国家的有关法律法规和财务政策，及《IT财务管理程序》的规定，根据公司的业务方略（涉及产品方略、销售方略、服务方略等），组织拟制、审核本部门的总体性和阶段性的IT服务费用预算及成本原则。技术服务事业部根据公司业务发展战略、公司现有的SLA规定，及本部门业务的特点，按部门工作计划的内容，组织拟制本部门阶段性的费用预算计划，经财务部汇总、报批后实施。在预算期间出现的服务变更引发的预算变化，有关部门应按《IT财务管理程序》的规定执行预算变更申请。在对《服务级别合同》进行评审时，服务部应根据公司方略，评定实现服务目的和需求的成本，并根据拟定的服务级别合同跟踪成本的变化。服务部应在服务变更时，计算服务变更成本，并通过《变更管理程序》进行同意。服务部应根据预算编制跟踪财务变化，并对超出预算规定的变化，提前向技术服务事业部提出预警信号。容量管理技术服务事业部负责现有IT服务系统容量水平的规划，根据《容量管理程序》的规定，制订《容量管理计划》，应在计划中描述业务需求，涉及：目前和预计的容量和性能需求。针对服务升级所定义的时间表、阈值和成本。评定预期的服务升级、变更请求、新技术和技术能力的效果。预计外部变更的影响，如法律影响等。对数据和流程进行预先分析。定义监控服务容量、调节服务性能和提供充足容量的办法、程序和技术。为达成SLA所规定的服务级别目的和业务需求所应含有的资金条件。服务部协助收集、统计目前IT基础设施的实际性能和预期规定的运行信息，以支持服务业务的开展。技术服务事业部应根据服务特点、服务量、服务报告和客户业务等信息，组织对《容量管理计划》进行评审，并保存评审有关的纪录。当出现临时的新增或变更服务时，技术服务事业部应根据《容量管理程序》的规定，及时对《容量管理计划》的有关内容进行评定和更新。关系过程总则供应商和客户的关系管理可采用正式合同形式约束。销售部门按《业务关系管理程序》的规定明拟定义供应商和客户的角色、范畴和职能，通过合同、沟通、培训等方式确保实施和参加服务提供的各方：理解并满足业务需求。理解能力和约束条件。理解职责和责任。业务关系管理服务部按照《业务关系管理程序》的规定，牵头并定时组织销售部门，开展服务管理评价活动，讨论、报告服务范畴、SLA、合同或业务需求的变化，及性能、成绩、成果和方法计划，并形成会议纪要。当服务目的、服务需求、支持合同、业务等发生新增、变更或撤销时，服务部应按《服务策划管理程序》的规定，提出并评定服务范畴和SLA的改善方案，由服务部组织实施。服务部与客户建立有效的互动、沟通关系，方便及时理解客户的需求或重大变更，并根据需求进行响应。根据《客户满意度管理规定》，定义、收集、分析客户满意度数据和信息，监控客户满意度的趋势。技术服务事业部根据《业务关系管理程序》中的客户投诉管理流程，负责收集、统计、分析客户投诉的统计，识别投诉的发展趋势和存在问题，确保服务的持续性目的的实现。供应商管理商务部按《万维公司内控手册》中《供应商管理业务程序》的规定，对供应商提供的IT服务的过程进行管理，完善供应商管理制度和采购规范，建立和维护公司《合格供应商名单》。并确保：供应商理解其对我司承当的责任。服务规定满足合同商定的服务级别和范畴。管理变更。统计与有关各有关方的业务交流。理解全部供应商的业绩并采用对应改善方法。商务部负责组织有关部门对供应商提供服务的所满足的需求、范畴、服务级别、接口和沟通流程等进行评审并达成一致，按公司正式授权，组织订立与供应商之间的支持合同或供货合同。重要包含：服务、角色、责任的定义。服务范畴。合同管理流程、授权级别和合同结束计划。有关支付条款。商定报告的内容和服务成果统计。与供应商订立的支持合同或供货合同应确保与我司向客户提供服务的SLA有关联，并一致。商务部负责拟制公司《合格供应商名单》，并负责《合格供应商名单》的维护和管理。当公司与供应商的支持合同或供货合同需要修订或变更时，商务部应重新组织有关部门进行合同评审，在评审中应讨论和明确对我司SLA影响和变更，并按照《变更管理程序》的规定实施。商务部按《供应商管理程序》的规定，对公司合格供应商进行季度评价和年度评审，监督、统计供应商对我司SLA的贯彻状况，拟制《供应商合作分析报告》，将评定的成果及时反馈给有关供应商，并组织进行有关调节和改善。商务部应组织管理与供应商之间的合同冲突，并在支持合同或供货合同中明确。如果争议无法通过正常途径解决时，应交由更高级别的解决途径。商务部应确保全部合同冲突被统计、调查、解决并正式关闭。解决方案流程背景事件和问题管理作为独立的流程管理，事件管理关注的是服务恢复，而问题管理考虑的是识别并消除事件隐患。事件或问题解决的时间安排应考虑下列因素：优先级。现有技能。资源规定。解决方案的效果和成本。实施解决方案所需时间。事件管理服务部服务台按照《事件管理程序》的规定，根据事件的影响和紧急程度拟定事件解决优先级别，并基于优先级别拟定解决事件的目的。其中应涉及：接受请求、统计、优先级分派、分类。一线事件解决或转移。考虑安全事件。事件跟踪和生命周期管理。事件验证和关闭。一线客户联系。事件升级。事件报告方式涉及电话、拜访、传真或者电子邮件，全部事件应在服务台正式统计，并可检索和分析。服务部对升级的事件提供解决方案，协助服务台关闭事件。服务部负责对升级的技术问题提供解决事件的技术支持，协助服务台解决未知错误。技术服务事业部组织建立事件知识库，以确保服务台人员可访问经常更新的知识库。知识库中涉及技术专家、以前事件、有关问题、已知错误、配备管理数据库（CMDB）、检查清单等有助于恢复服务的多种信息。对重大事件的解决，服务部按《服务台工作指导手册》的规定执行。服务台应在证明事件已经解决并且服务已经恢复的时候，事件才干最后关闭。问题管理服务部根据《问题管理控制程序》对问题因素的预先识别、分析、管理直至关闭，以减少对业务的影响。服务部根据日常检查、测试、事故数量和类型的趋势分析等纠正方法，识别潜在问题。全部被识别的问题都应当得到统计。在问题得到解决后，服务部将有关信息应加入问题知识库，服务部同时应升级全部有关文献，如顾客指南和系统文献。统计对服务或问题管理流程的改善，并作为服务改善计划的输入。控制流程配备管理服务部应根据《配备管理程序》的规定，评定全部与IT服务有关的重要资产和配备项，识别、定义、维护IT服务和基础设施的组件，明确配备项之间的关系、属性和作用，定义命名规范、版本号，制订和实施《配备项分类定义表》，以确保有效管理IT资产和配备。被管理的配备项重要涉及：信息系统和软件（涉及第三方软件）的公布、有关系统文档、例如规定规范、设计、测试报告、公布文档、每个应用环境配备基线、或描述应用环境、原则硬件构成和公布、备份和电子资料库、如最后软件库（DSL）、配备管理包或工具、许可证、安全组件、如防火墙、服务有关文档、例如服务级别合同、活动程序、务支持设施、例如机房电源。服务部根据配备项之间的关系、属性、状态类别、重要程度和优先级，拟定配备管理数据库的范畴、分解的层数、具体的程度，完毕配备管理数据库的构建，拟制《配备管理数据库初始化表单》，形成配备基线，并和公司的服务目的、与公司的SLA保持一致。服务部制订《配备管理计划》，并每年末进行更新。重要涉及：配备管理的范畴、目的、方略、原则角色和责任、配备管理流程定义服务和基础设施中配备项，配备控制变更，统计和报告配备项状况，证明配备项的完整性和对的性责任、可检索、可审计的规定，例如出于安全、法律、规章或业务目的、配备控制（访问、保护、版本、开发、公布控制）、交互控制流程，及信息接口和公布、资源管理规划和建立，方便使资产和配备受控，并维持配备管理系统，如培训活动、与配备有关的供应商管理规定和活动。服务部在配备管理过程中应监控配备项的整个生命周期，确保只有被授权且可识别的配备项才被接受，并统计从接受到销毁的全过程；没有被承认的变更请求，不能添加、修改、替代或删除配备项。服务部应保存有效的配备统计，以反映配备项状态、位置和版本的变化，并通过多种状态监控配备项的变更，例如订购、接受、测试、使用、变更、拆卸、取消。配备项的更新信息应作为配备管理计划和变更管理的输入。为保护系统、服务和基础设施的完整性和安全性，配备项信息应被保存在一种安全环境。应：保护其不受未授权访问、变更或破坏、提供灾害后恢复办法、对受控软件、测试产品和支持文档等备份的恢复进行限制。配备评审程序应包含缺点统计、执行纠正方法和报告成果。服务部应定时拟制《配备项管理报告》，报告应涉及：配备项最新版本、配备项的位置和软件重要版本的位置、互相依赖关系、版本历史。在任何时候都可核对配备项下列内容：服务配备项或系统、变更、基准线、开发或公布、版本或变量。服务部应定时组织有关部门实施配备承认和审核活动，并检查与否有充足的资源以支持：保护物理配备和公司的知识资本、确保公司控制其配备、原件和许可证、确保配备信息是精确、可控、可见。服务部应确保变更、公布、系统或环境符合其合同商定或事先商定的规定并且配备统计是精确的。在审核中出现的缺点或不符合项应被统计、评定和改善。变更管理服务部根据公司业务需要或客户需求，制订《变更计划》。应考虑：清晰定义变更的范畴、使业务增值的变更才干被承认，例如商业的、法律的、规章的、法令的、根据优先级和风险为变更安排时间、在变更实施中验证配备项变更、需要时监控并改善变更实施时间。服务部在组织、开展变更时，还应在变更计划中对具体实施进行阐明：发起、统计和分类、评定变更对服务、客户和公布计划的影响、紧急程度、成本、收益和风险、如果没有成功时能够恢复或修订、备案，如变更请求与受影响的配备项、更新后的实施和公布计划版本、根据变更的类型、大小和风险，得到变更负责方的承认或回绝、由负责变更组件的团体负责人进行实施、测试、验证、取消、结束和评审、时间安排、监控和报告、与事件、问题、其它变更和配备项统计联系。服务部应将变更计划安排的时间信息及时提供应与变更有关的人员，变更状态和安排的实施时间应作为变更和公布时间安排的根据。服务部应在变更实施后组织对其效果和改善统计进行评审，评审成果应妥善保管并作为服务改善计划的输入。实施后评审（PIR）应检查：变更与否满足目的、客户对成果与否满意、没有预期之外的负面影响。服务部应在《变更计划》中考虑紧急变更的规定，识别紧急变更的需求、风险和必要性，定义紧急变更的内容、范畴、级别、权限、接口、活动等，并在变更后评审。服务部应对变更分析成果和结论采用对应的纠正、防止方法，并保存有关的统计。公布过程公布管理服务部根据《变更管理程序》的规定，结合业务对信息系统、基础设施、服务和文档等进行规划，识别公布的内容、种类、层次、影响等，制订公布方略来配备公布活动，涉及：公布频度和类型、公布管理的角色和责任、公布测试和实施的授权、全部公布的唯一标记和描述、分组变更以进行版本公布、为提高效率和可重复性，建立、安装、公布分发流程自动化办法、公布的验证和接受。服务部根据需要负责制订《公布计划》，确保有关的信息系统、基础设施、服务和文档得到承认、授权、预定、协调和跟踪。普通涉及：公布日期和交付描述、本次公布关闭或解决的有关变更、问题和已知错误，以及在公布测试期间被识别的已知错误、在可行的状况下，为每个实施地点制订一份活动计划、如公布失败，能够被撤销或修复的方式、验证和验收流程、对客户和服务支持人员的交流、准备、备案和培训、采购、存储、分发、联系、接受和销毁商品的后勤工作和流程、确保服务级别所需的支持资源、可能对公布测试和实施造成影响的有关变更和风险的标记、与有关人员、客户代表安排的更新、评审会议。当进行重大升级时，服务部组织安排仿真环境的验证和评审，确保公布进入生产时与预期状态一致。公布的成果涉及公布通告、安装指南、基于有关配备基准线的已安装软硬件等。服务部按《公布计划》的安排，组织上线实施工作。制订《上线计划》，经同意后，按《公布计划》的规定实施公布。并及时向服务部反馈上线成功的验证信息。如果公布未成功，则应按《公布计划》中制订的撤销计划的内容，实施回退操作，并将公布状况及时报告服务部。服务部对公布未成功的因素进行确认，如需重新实施变更，则按《变更管理程序》的规定执行。如属潜在问题引发的公布未成功，则应按《问题管理程序》的规定执行。公布成功后，服务部应及时将公布信息对配备管理数据库进行更新。服务台应及时将公布成功的信息对事件知识库进行更新。服务部及时更新问题知识库。服务部负责公布文档的保存。并负责上线文档的保存。服务部组织对IT服务系统的运行监控，收集生产系统运行信息，完毕《月度服务质量分析报告》。输出的文献统计和文档文献属性完毕的部门/职位《IT服务管理手册》A服务部《文献和统计管理程序》B服务部《服务策划管理程序》B服务部《服务级别管理程序》B服务部《可用性与IT服务持续性管理程序》B服务部《IT财务管理程序》B服务部《容量管理程序》B服务部《信息安全管理程序》B服务部《业务关系管理程序》B服务部《事件管理程序》B服务部《问题管理程序》B服务部《配备管理程序》B服务部《变更管理程序》B服务部《容量管理程序》B服务部《服务质量改善管理程序》B服务部附：各部门重要工作职责公司管理事务部分综合部经理向公司总经理报告。负责公司日常综合行政事务，组织建立和监督执行公司各项行政制度，参加公司发展战略规划的制订。负责公司的日常法律事务，组织法律合同年检、知识产权保护等工作，协调、解决法律咨询、法律纠纷。负责拟制、发送、签收公司与上级单位和有关部门间的往来公文；协调、解决上级主管部门、各级政府部门的有关接口工作。负责公司办公室设施环境、固定资产（涉及租赁资产）的实物管理，负责公司日常性办公用品采购工作。负责管理公司的公共车辆，确保公司公共车辆的状态良好和满足公司人员的用车需求。协助公司各项产业和国际原则贯彻，并在行政制度方面予以配合。负责公司的公司文化建设。人力资源部经理向公司总经理报告，负责公司的人事管理和人力资源开发工作。负责制订公司人事管理制度，研究、分析并提出改善工作意见和建议。负责人事考核、考察工作，建立人才库，规范人才培养。负责编制年、季、月度用工平衡计划和工资计划。负责编制员工培训大纲、课程计划，组织员工培训工作。拟制劳动人事统计工作制度，建立健全人事劳资统计核算原则，核定各岗位工资原则，定时编制劳资人事等有关的统计报表。负责招聘、录用、辞退工作，组织拟制每一职位的工作原则及其所需资格、条件，组织订立员工劳动合同，依法对员工实施管理。负责拟制员工劳动纪律管理制度，负责考勤、奖惩、差假、调动等管理工作。配合公司经营目的，组织拟制人力资源发展及人员编制数额计划，确保人员编制的合理性和精确性。负责员工各项福利与劳动保护管理工作，营造员工与公司之间的和谐关系。财务部分财务部经理负责公司财务战略的制订、财务管理及内部控制工作，向公司总经理报告。建立科学、系统符合公司实际状况的财务核算体系和财务监控体系，向公司经营决策提供根据，协助总经理制订公司战略，组织公司财务战略规划的制订。制订公司资金运行计划，对公司生产经营活动所需要的资金筹措方式进行成本计算，监督资金管理报告和预、决算，提供最为经济的筹资方式。组织对重大项目和经营活动的财务风险评定、指导、跟踪和财务风险控制，审核公司重大资金流向和重大财务支出。根据法律法规、会计准则、公司政策以及上级主管部门的规定，组织制订公司财务管理制度，负责拟制、审核公司的总体性和阶段性的财务规划。负责监督、审计公司财务管理制度和财务计划的执行状况，审核财务报表，向总经理提交财务管理工作报告、财务分析和改善建议。负责管理公司资产，监督公司资产的运行效率，确保公司资产的安全和优化配备。参加公司重要事项的分析和决策，为公司的生产经营、业务发展及对外投资等事项提供财务方面的分析和决策根据。协调公司同银行、工商、税务等政府部门的关系，维护公司权益。向上级主管单位报告公司经营状况、经营成果、财务收支及计划的具体状况，对公司经营状况和预算执行状况进行分析。负责部门人员及其它日常管理工作。公司市场及销售管理部分负责市场及销售的公司副总经理协助总经理分管公司发展部、互联网事业部、商务领航事业部、电信大客户部、政府营销事业部、公司营销事业部的工作，向公司总经理报告。组织制订和审核公司销售计划和战略，以及公司对外市场阶段性的目的、方略、计划、工作分工和资源计划。负责组织推动公司的市场管理体系建设工作，提高公司在市场发展方面的运行效率和能力。负责组织协调公司有关部门与政府、企事业单位的沟通，并负责监督所分管部门对合同顾客需求实现的及时性和精确性。参加制订并审核公司对客户的全部的服务级别承诺文献，并在得到公司正式授权后裔表公司组织订立与供应商之间的服务级别承诺文献。公司技术管理部分负责技术的公司副总经理协助总经理分管项目管理部、商务部、技术服务事业部和软件研发部门的工作，向公司总经理报告。负责组织拟制、审核公司IT服务管理的方略、计划和资源需求，增进工作的管理规范，提高公司的运行效益和客户满意度。组织拟制和审核公司公司IT服务管理政策文献，参加拟制和审核公司全部服务目录、服务级别承诺文献。负责组织规划公司IT服务管理部门内部有关分担服务级别合同所规定责任的部门和人员分工，并拟制、审核有关的分工文献和服务级别承诺文献。负责提出公司公司IT服务管理的人员需求，组织协调、监督执行对公司员工、合作伙伴的有关公司IT服务管理培训和政策贯彻。负责组织拟制、审核公司公司IT服务管理的有关需求计划，参加评审有关供应商。参加拟制、审核有关系公司IT服务管理的对外沟通和客户服务口径，组织制订并审核完善规范的客户服务体系和知识库。项目管理部经理向负责技术的公司副总经理报告。负责建立、推动和维护运行系统的国际化质量管理体系，监控和组织质量管理体系的运行、维护，完毕质量管理体系的第三方权威机构的认证。负责建立公司项目管理制度与文献架构，组织实施各类体系文献的管理。负责组织公司员工在质量管理体系知识方面的培训，收集、传达、宣传质量法规与原则，推动和提高全体员工实施质量管理的意识和能力。负责内部质量管理体系审核和管理评审，组织、监控公司整体质量规划、质量控制及质量改善活动的实施，确保质量管理体系运行的有效性和合用性。负责制订公司的项目管理制度，根据公司总体目的和计划，组织各部门分解和贯彻各项工作任务，提高项目管理的效率和质量。结合公司的发展目的、IT服务系统的服务级别合同内容及公司各部门的工作指标，组织管理体系的改善，并协助建立客户满意度指标评价系统。负责与质量管理体系认证中心等外部机构的联系。商务部经理向负责技术的公司副总经理报告。负责公司商务部的日常执行工作，组织商务部会议，并贯彻会议决定的执行。参加拟制并审核公司对客户的全部的服务目录、服务级别以及对客户的服务级别承诺文献。并根据上述文献，负责拟制、审核，并在得到公司正式授权后裔表公司订立与供应商之间的服务级别承诺文献。负责组织和管理对公司现有供应商的评审和监督管理，拟制公司合格供应商名单，负责监督、评审、统计供应商对服务水平承诺的贯彻状况。负责组织公司对外商务洽谈，拟制、审核公司对外商务合作合同，并在得到公司正式授权后裔表公司订立对外商务合作合同。根据公司的发展规划，负责组织有关部门讨论、拟定采购需求规划，拟定供应商发展、采购计划和预算评定报告。拟制并审核公司采购管理制度。负责组织和管理公司供应商的开发工作，跟踪新技术、新产品和新方案，比较现有合格供应商、采购和运行的状况，根据公司有关部门的需求寻找新的供应商，持续对系统建设和运维工作更高的性能价格比提出改善目的。技术服务事业部总监全方面负责技术服务事业部的工作，向负责技术的公司副总经理报告。经负责技术的公司副总经理特别授权，管理和监督IT服务管理的重点工作。在负责技术的公司副总经理缺席时，受其委托代行其职务。负责组织公司的IT服务管理需求分析和规划工作，审核公司全部IT服务管理的需求阐明书，报批后监督执行，并审核有关评定报告和改善建议。审核有关IT服务管理