ISO20000-2018程序文件汇编VIP

（北京）科技有限公司信息技术服务程序文件汇编依据ISO/IEC20000:2018标准编制编号：LS/ITSMS-CX-2020版本号：A/0编制人：审核人：批准人：受控受控状态：受控发布日期：2020.1.6生效日期：2020.1.6文件修订履历表序号条款号修改章节(内容)修改人审批生效日期

目录TOC\o"1-3"\h\u文件控制程序 4记录控制程序 7人力资源控制程序 9内部审核管理程序 13管理评审管理程序 15纠正措施控制程序 18监视和测量控制程序 20设计、转换及实施新的或变更的服务管理程序 23供应商及第三方服务管理程序 31信息安全管理程序 36符合性控制程序…………………………40信息安全风险评估管理程序……………42信息技术服务事件控制程序……………48服务级别管理程序…………………….50.服务报告管理程序…………………….55持续性管理程序……………………….57可用性管理程序……………………….62服务预算及核算管理程序…………….66顾客满意度测量控制程序……………71能力管理程序………………………….74.业务关系管理程序……………………78问题管理程序………………………….80配置管理程序…………………………84变更管理程序…………………………89发布和部署管理程序…………………93文件控制程序LS/ITSMS-CX-011．目的对于公司信息技术服务管理体系有关的文件进行控制，确保各相关场所使用文件为有效版本。2．范围适用于信息技术服务管理体系有关的文件控制。3.职责3.1总经理负责批准发布信息技术服务手册手册。3.2管理者代表负责审核信息技术服务手册手册。3.3各部门负责相关文件的编制、使用和保管，负责本部门与信息技术服务管理体系系有关的文件的收集、整理和归档等。3.4综合部负责公司对现有体系文件进行管理。4．程序4.1文件分类及保管4.1.1信息技术服务手册（包含了所有过程控制的程序文件），由综合部备案保存。4.1.2公司体系文件分为两类a.部门管理文件作为各部门运行信息技术服务管理体系的常用实施细则：包括管理标准（部门管理制度）；工作标准（岗位责任制和任职要求等）；技术标准（国家标准、行业标准、企业标准及作业指导书、测试标准及规范等）；部门记录文件等，由各相关部门自行保存。b.其他文件：可以是针对特定软件、项目或合同编制的工作计划、设计输出文件或其他标准、规范等，文件的组成应适合于其特有的活动方式。由各相应的部门保存、使用。4.1.3公司级管理性文件，如各种行政管理制度、部分外来的管理性文件，包括与信息技术服务管理体系有关的政策、法规文件等，由研发部负责保存。4.2文件的编号4.2.1信息技术服务管理体系文件的编号a.信息技术服务手册手册公司名称代号(LS)-信息技术(IT)-手册（SC）—生效年，手册中各章以章节号区分。例如：LS/ITSMS-SC-2020，表示本公司信息技术服务手册2020年生效。b.程序文件公司名称代号(LS)-信息技术(ITSMS)—程序文件代号(CX)-版次序号。例如：LS/ITSMS-CX-01，表示本公司信息技术服务管理体系程序文件为01序号。c.三层文件、规范公司名称代号(LS)-信息技术(ITSMS)—三级文件代号(SJ)-序号。例如：LS/ITSMS-SJ-03，表示本公司三级文件为03序号。d.体系运行记录记录代号：文件编号—序号。例如：LS/ITSMS-CX-01-01，表示本公司记录文件附录LS/ITSMS-CX-01第一个记录。e.外来文件公司名称代号(LS)-信息技术服务（ITSMS）—外来文件代号(WL)-版次。例如：LS/ISMS-WL-2020，表示本公司外来文件为2020年版。4.3文件的编写、审核、批准、发放。文件发布前应得到批准，以确保文件是适宜的。4.3.1信息技术服务手册手册由编写小组负责组织编写，由管理者代表审核，上报总经理批准发布，由综合部负责登记、发放。4.3.2各部门管理文件由各部门经理组织编写、汇总，报总经理审批，综合部负责登记、发放。4.3.3应确保文件使用的各场所都应得到相关文件的适用版本。文件的发放、回收要得到有效控制，电子版文件的发放要确保文件版本的有效性。4.4文件的受控状况文件分为“受控”和“非受控”两大类，凡与信息技术服务（ITSMS）体系运行紧密相关的文件应为受控，由各主管部门按规定执行。所有受控文件必须在该文件封面右上角加盖表明其受控状态的印章。4.5文件的更改4.5.1信息技术服务手册手册由综合部组织更改，填写《文件更改申请单》，经管理者代表审核，上报总经理批准后更改，由综合部发放。综合部应保留文件更改内容的记录。4.5.2其他文件的更改由相应主管部门填写《文件更改申请单》，经原审批部门审批，再由各相应部门指定人员进行更改、发放、处理。如果指定其他部门审批时，该部门应获得审批所需依据的有关背景资料。4.5.3所有被更改的原文件必须由相应主管部门收回或删除，以确保有效文件的唯一性。4.6文件的领用4.6.1文件使用者应执行综合部的文件管理流程，登记领用。4.6.2因破损而重新领用的新文件，分发号不变，并收回相应旧文件；因丢失而补发的文件，应给予新的分发号，并注明已丢失的文件的分发号失效；发放部门作好相应发放签收记录。4.7文件的保存、作废与销毁4.7.1文件的保存a.与信息技术服务管理体系相关的文件都必须分类存放在干燥通风、安全的地方。b.各部门文件由本部门保管，综合部不定期对各部门文件保管情况进行检查。c.对受控文件，各部门应及时整理本部门使用文件的部门受控文件，并将清单报综合部备案，汇总成《受控文件清单》。d.任何人不得在受控文件上乱涂画改，不准私自外借，确保文件的清晰、易于识别和检索。4.7.2文件的作废与销毁a.所有失效或作废文件由相关部门及时从所有发放或使用场所收回，加盖“作废”印章，确保防止作废文件的非预期使用。b.为某种原因需保留的任何已作废的文件，应进行适当的标识。c.对要销毁的作废文件，由研发部负责统一销毁并填写《文件销毁记录》。4.7.3文件的借阅、复制借阅、复制与信息技术服务管理体系有关的文件，应填写《文件借阅、复制记录》，由管理者代表批准后向综合部借阅。复制的受控文件必须登记编号。4.7.4重要文档（资料）存档管理执行《存档管理制度》。4.8外来文件的控制4.8.1对收到的与信息技术服务（ITSMS）体系有关的外来文件，交综合部识别适用性，并控制分发以确保其有效。4.8.2综合部负责收集相关国家、行业、国际标准的最新版本，分发到相关部门使用，并把旧标准收回。4.8.3各部门要把上述标准及其他与信息技术服务管理体系有关的外来文件报综合部备案，由综合部填入《受控文件清单》中。4.9每年由综合部组织对现有信息技术服务管理体系文件进行定期评审，各部门结合平时使用情况进行适时评审，必要时予以修改，执行4.5条款规定。4.4对承载媒体不是纸张的文件的控制，也应参照上述规定执行。4.11作为记录的文件应执行《记录控制程序》。5.相关文件5.1《记录控制程序》6.记录6.1《受控文件清单》6.2《文件销毁记录》6.3《文件更改申请单》6.4《文件借阅、复制记录》6.5《文件收发记录》

记录控制程序LS/ITSMS-CX-021.目的对信息技术服务管理体系所要求的记录予以控制。2.范围适用于为证明产品符合要求和信息技术服务管理体系有效运行的记录。3.职责3.1综合部负责设计记录格式，监督其使用。3.2各部门负责收集、整理、保管本部门的记录，负责人负责批准本部门编制的记录格式。4.程序4.1各部门负责收集、整理、保存本部门的记录。4.2记录的标识、编号记录的标识、编号按《文件控制程序》执行。4.3记录填写4.3.1记录填写要及时、真实、内容完整、字迹清晰，不得随意涂改；如因某种原因不能填写的项目，应能说明理由，并将该项目用单杠划去；各相关栏目负责人签名不允许空白。4.3.2如因笔误或计算错误要修改原数据，应采用单杠划去原数据，在其上方写上更改后的数据，加盖或签上更改人的印章或姓名及日期。4.4记录的保存、保护4.4.1各部门必须把所有记录分类，依日期顺序整理好，存放于通风、干燥的地方，所有的记录保持清洁，字迹清晰。各部门按规定的期限保存记录，对于保存一年以上的记录交研发部保存。4.4.2综合部编制《信息技术服务记录清单》，将公司所有与信息技术服务管理体系运行有关的记录汇总，包括名称、编号（版本）、保存期、使用部门等内容，并汇集备案记录的原始样本。各部门应将本部门使用的记录清单作为部门管理文件的附录，并汇总本部门的记录原始样本。4.4.3综合部不定期要检查一次各部门记录的使用、管理情况。4.5记录发放、借阅和复制4.5.1各部门填写《文件收发记录》，向综合部领用所需记录空白表。4.5.2各部门保管的记录应便于检索，需借阅或复制者要经相应部门负责人批准并填写《文件借阅、复制记录》，由记录管理人登记备案。4.6记录的销毁处理记录如超过保存期或其他特殊情况需要销毁时，综合部负责统一销毁并填写《文件销毁记录》。4.7记录格式4.7.1各部门的记录格式由综合部统一编制，编写小组审批，交综合部备案。4.7.2各相关部门可根据工作需要提出记录格式设计更改，执行《文件控制程序》有文件更改的规定。5.相关文件5.1《文件控制程序》6.记录6.1《信息技术服务记录清单》

人力资源控制程序LS/ITSMS-CX-031目的为规范针对公司员工在任用前、任用中、任用后的相关安全职责以及行为的管理，特制定本文件。2适用范围本文件适用于本公司员工，包括正式员工与实习人员及学员。3岗位职责综合部负责人员信息技术服务、质量职责制订、任用前的人员资料核实和背景调查、任用中的信息技术服务、质量培训组织和纪律处理、任用变更或终止时的资产归还和访问权限撤销的流程提起。4管理规定4.1任用前综合部需确保人员在任用前，在适当的岗位描述、任用条款和条件中明确说明其应履行的信息技术服务、质量职责，确保人员理解其信息技术服务、质量职责，确保人员承担的角色符合公司的信息技术服务、质量要求，以降低设施被盗窃、滥用和误用的风险。要对任用的员工、承包方和第三方的候选人员进行充分的审查，特别是对于关键岗位、关键职务人员，以及其他会大量接触敏感信息的人员。4.1.1员工筛选综合部负责组织对公司各个职位的应聘人员进行筛选、对应聘人员进行面试、资料核实和背景调查。背景调查时应考虑个人简历、职业推荐信、原单位离职证明、身份证明、学历和职业资格证件等。对员工的背景调查应在申请职位时进行。调查包括以下内容：1）是否有适当的推荐人，申请人的工作能力和个人职业道德情况；2）检查申请人的简历是否完整及准确；3）确认其声明的学历和职业资格是否真实；4）身份证明（包括身份证、护照或其它文件）检查；5）监管部门要求；6）其它需要调查的内容。各部门负责人可根据本部门对上岗员工的特殊要求，提出必要的附加调查内容，并反馈给职能部人事，以便选出合适的人员。对于承包方人员和第三方人员也要执行人员背景调查过程。与承包方的合同中要清晰地规定承包方负有对其为本公司提供服务的人员进行人员背景调查的职责，并对背景调查的结果负责。同样，与第三方的协议或约定中应清晰的界定背景调查的职责归属问题。出于背景调查目的收集、处理被调查人员信息时，应在不违反相关的法律法规的前提下进行。4.1.2安全职责对于员工，必须通过书面的岗位职责对其安全角色和职责进行描述和说明。对于承包方和第三方的安全角色和职责，应按照组织的信息技术服务、质量制度进行定义，清晰地传达给相关人员，并要求其签署保密协议和信息技术服务承诺书。安全职责应包括但不限于以下要求：1）遵守公司信息技术服务、质量方面的各项规章制度；2）按照公司的要求实施各项安全措施控制；3）按照要求组织、参与或配合公司的各项信息技术服务、质量检查活动；4）保护公司的信息资产免受非授权访问、泄露、修改和破坏；5）积极参加各项信息技术服务、质量培训；6）报告安全事件、潜在安全事件、以及其他可能引发安全风险的事件。4.1.3任用条款和条件综合部每年都需要组织员工签署保密协议，所有员工都需要签署。公司应与承包方在公司层面签订保密协议（或合同中包含保密条款）。综合部负责组织承包方人员签订《保密协议》，并以此作为其获准为本公司提供服务、接触本公司敏感信息的前提条件；对口部门负责组织与第三方人员签订保密协议，保密协议由公司综合部统一保存。保密条款或保密协议具有法律效力，保密协议或包含保密条款的合同在签订前，要经过公司相关部门的合规性审查，以避免法律法规风险。4.2任用中员工、承包方和第三方如需申请使用公司网络访问权限或应用系统访问权限，必须通过综合部审批通过后，才能授予工作所需的最小权限。员工、承包方和第三方的工作岗位发生变化时，必须通过公司相关部门审批，对其访问权限进行相应的调整。4.2.1管理职责综合部应采取必要措施，保证员工、承包方和第三方严格遵守公司已建立的各项息技术服务、质量制度。管理职责应包括但不限于以下内容：确保员工、承包方和第三方在被授权访问敏感信息或敏感信息系统前，了解其信息技术服务、质量的角色和职责；建立恰当的信息技术服务、质量奖惩机制；监督员工、承包方和第三方遵守任用条款和条件，以及相关的信息技术服务、质量制度；制定并颁布各项信息技术服务、质量制度、操作指引、实施指南等；综合部负责组织公司员工（适当时也可以包括承包方人员和第三方人员）进行与其工作职能相关的信息技术服务、质量意识培训和教育。4.2.2信息技术服务、质量培训信息技术服务知识/质量知识培训纳入公司统一的培训体系内，由综合部负责组织、实施及考核。信息技术服务、质量知识培训作为公司每年度全员培训计划的必设内容。从事信息技术服务、质量管理工作的人员和各部门信息技术服务员，每年必须参加专门的信息技术服务、质量技术与标准培训。全员信息技术服务、质量培训每年度不少于一次，培训可采用多种方式，培训内容包括岗位安全职责、信息技术服务管理体系文件、信息技术服务、质量知识和技术等。新员工必须参加信息技术服务/质量培训，培训内容包括工作人员信息技术服务守则、基本的信息技术服务意识、信息技术服务及质量知识和技术等。各部门可根据工作需要，在部门内组织信息技术服务、质量培训，信息技术服务、质量管理工作小组可提供协助，培训内容可以包括岗位信息技术服务知识培训、专项信息技术服务知识培训等。综合部按照年度信息技术服务、质量培训计划，组织相关人员进行培训，为加强培训效果，可以有针对性的安排考核和计分。考核内容可以包括理论考核、实际操作技能考核等；考核形式可以包括问答、问卷、试验等；培训讲师负责登记考核和计分结果。参与培训的人员通过调查问卷等方式，对讲师的授课技巧、培训的组织、培训效果等情况进行评估，培训课程评价结果由职能部人事分析汇总。4.2.3纪律处理过程对于信息技术服务违规的人员，在正式纪律处理之前应有一个信息技术服务违规的确认过程，对于承包方和第三方人员的纪律处理需要承包方和第三方代表的参与；正式的纪律处理过程应确保正确、公平、公正地对待被怀疑信息技术服务违规的人员；对内部员工的具体纪律处理按公司相关管理规定执行；对承包方和第三方的纪律处理依照相关法律法规、合同处理，如法规或合同中均无规定，可双方协商处理。4.3任用变更或终止4.3.1任用变更与终止职责应清晰地定义和分配员工、承包方和第三方的任用变更或任用终止的信息技术服务职责。变更或终止的传达应包括信息技术服务要求和法律职责，必要时，在与员工、承包方人员或第三方人员的雇佣合同、保密协议、信息技术服务责任书或信息技术服务承诺书中应包含在任用终止后仍然有效的信息技术服务职责和义务内容。内部员工的任用变更或终止由所在部门、综合部等负责处理，承包方、第三方的任用变更或终止由对口部门、综合部等负责处理。5.相关文件5.1《文件控制程序》6.记录6.1《保密协议》6.2《培训计划》6.3《培训记录》6.4《离职审批单》

内部审核管理程序LS/ITSMS-CX-041目的为明确信息技术服务管理体系内审的实施方法，保证内审定期有效地实施，为管理评审和持续改进提供依据，确保信息技术服务管理体系的有效运行，特制定本程序。2范围本程序适用于本公司信息技术服务管理体系内部审核(简称：内审)工作的实施和管理。3职责3.1综合部负责制定年度审核计划与每次的审核计划，制定内审检查表以供各部门检查各项活动是否在信息技术服务保障内；任命内部审核小组可以进行内审；负责管理和监督内审的进行与内审结果的确认。3.2其他各部门配合内部审核小组进行内审，对内审中发现的问题进行整改。4程序4.1年度内审计划4.1.1计划制定内部审核小组组长制定年度审核计划，确认当年年度的审核的目的范围，受审部门及受审的时间安排。交由总经理审批。4.2内审4.2.1内审时机内部审核原则上每年进行两次，由内部审核小组组长制定《内部审核计划》，经总经理批准后实施；若在非内审期内发现特殊情况，如有重要信息技术服务事件发生，或公司重要业务发生变化，可由内部审核小组组长申请增加内审的次数，由总经理决定是否进行内审。4.2.2任命每次审核前，由内部审核小组发出任命通知，对参加信息技术服务审核的人员及部门进行任命。内部审核小组应制定《内部审核计划》，经总经理批准，并由综合部通知被审核部门，被审核部门到时应选派有关人员配合审核。4.2.3内审员4.2.3.1资格要求内审员必须是熟悉本组织业务和信息系统情况，参加信息技术服务管理体系内审员培训并考核合格的本组织人员。4.2.3.2独立性要求内审员应来自于不同的职能部门，审核人员应与被审活动无直接责任，以保持工作的独立性。4.2.4资格评定4.3内部审核的实施4.3.1审核实施内审员应按《内部审核计划》规定实施审核，各有关部门应积极配合。4.3.2不符合项开具对审核中发现的不符合项，由内审员开出《不符合项报告》。4.4纠正措施与跟踪审核4.4.1纠正所有不符合项应由不符合项的责任部门负责按以下要求制定纠正措施并认真实施：a)检查本部门其他方面和其他各部门是否存在类似情况；b)对所有存在的不符合的问题按有关规定改正过来；c)调查产生该不符合项的原因，填入《不符合项报告》的"产生不符合项的原因"栏内，调查人要签字，并写明日期；d)列明消除不符合项产生原因的措施计划，并说明具体步骤及完成日期，填入《不符合项报告》的“纠正措施”栏内，经部门领导批准，并写明日期；e)按制定的纠正措施认真实施，并将实施结果记入《不符合项报告》的“实施结果”栏内，记录人要签字，并写明日期。4.4.2跟踪内审员在规定期限进行跟踪审核，对纠正措施的实施及有效性进行验证，并将验证结果记入《不符合项报告》。4.5审核报告4.5.1审核报告内部审核结束后，审核组长应起草《内部审核报告》，编制《内部审核报告》，报总经理审阅，总经理签署意见后发至各部门。4.5.2管理评审输入内部审核的结果应作为管理评审输入的一部分。4.5.3记录保管综合部应妥善保存评审记录。5相关文件《信息技术服务管理手册》6相关记录《内部审核计划》《不符合项报告》《内部审核报告》

管理评审管理程序LS/ITSMS-CX-051目的为确保组织信息技术服务管理体系持续的适宜性、充分性和有效性，评估组织信息技术服务管理体系改进和变更的需要，特制定本程序。2范围本程序适用于对信息技术服务管理体系中要求进行的管理评审的实施程序的管理。3职责3.1总经理主持信息技术服务管理体系管理评审。3.2综合部负责信息技术服务管理体系管理评审的组织管理。4程序4.1管理评审策划4.1.1管理评审的频次4.1.1.1定期管理评审由总经理主持，通常每年进行一次，一般在内部审核后一至两个月内进行。4.1.1.2非定期当遇到下列情况时，可不受4.1.1.1的限制，由综合部制定计划，报总经理批准后实施:a)当出现重大信息技术服务事件时；b)当信息技术服务管理体系发生较大变化时；c)当客户要求或外部环境条件发生重大变化时；d)内部审核、客户审核或ISO/IEC20000外部审核时，发现了对全组织有影响，属信息技术服务管理体系上的重大不符合事项时。4.1.2管理评审的方式管理评审以专题会议的方式进行，由总经理主持管理评审，评审会议由总经理、信息技术服务小组、内审员、相关部门负责人参加，必要时可吸收对应专业管理人员参加。4.1.3管理评审的准备4.1.3.1计划编制综合部根据公司管理层的要求组织编制《管理评审计划》，报管理者代表审核，总经理批准后，提前一周下发至各相关部门。4.1.3.2相关准备相关部门按《管理评审计划》要求，对照信息技术服务管理体系运行情况进行自评，按各自职责做好相关信息、资料的准备工作，并将有关信息、资料于管理评审会议召开前3天提供给综合部。4.1.3.3资料汇总4.1.3.4议程管理评审会议召开前1天，综合部应安排好会议的议程。4.2管理评审输入4.2.1资料各相关部门接到《管理评审计划》后应向综合部提供如下材料和信息：1)信息技术服务管理体系运行的改进建议2)本部门相关的外部反馈意见；3)本部门改进信息技术服务管理体系绩效的技术、产品和程序；4)预防和纠正措施的实施情况；5)本部门相关的有效性测量、考核情况及建议；6)风险评估未考虑的威胁和脆弱性；7)提供的资源满足需要的情况；8)与本部门相关的其它情况；9)信息技术服务管理体系变更和改进的建议。4.2.2报告要求以下内容可作为管理评审的输入：a)信息技术服务管理体系方针、目标、指标的完成情况；b)内、外部审核结果和合规性评价的结果；c)客户反馈（客户满意度测量结果、客户投诉、客户抱怨、投诉和抱怨的处理结果）；d)改进信息技术服务管理体系绩效的技术、产品和程序；e)预防措施与纠正措施实施状况；f)风险评估未考虑的威胁和脆弱性；g)有效性测量、考核情况及建议；h)上次管理评审跟踪措施的实施情况；i)可能影响信息技术服务管理体系的变更的情况（如：内部员工的变化，法律、法规的变化，组织机构或产品、活动的变化，外部环境的变化等）；j)信息技术服务管理体系变更和改进的建议。4.3管理评审会议4.3.1会议签到综合部组织召开管理评审会议，与会人员在《管理评审会议签到表》上签到。4.3.2报告总经理主持召开管理评审会议，作信息技术服务管理体系运行情况的专题报告。全体与会人员根据各部门体系运行情况报告，讨论并评审信息技术服务管理体系的适宜性、充分性和有效性。4.3.4总结总经理对管理评审作结论性评价，提出要求和决策。4.3.5会议记录综合部负责管理评审现场记录，形成《管理评审报告》。4.4管理评审输出4.4.1报告内容《管理评审报告》包括以下内容：a)管理评审的目的、时间、参加人员及评审内容；b)信息技术服务管理体系的适用性、充分性、有效性的综合评价和需要改进的地方；c)方针、目标、指标适宜性的评价及需要的更改；d)风险评估和风险处理计划的更新要求；e)修订程序和控制措施的需求；f)管理评审确定的改进决定和措施、责任部门和完成日期。4.4.2批准《管理评审报告》经综合部审核后交总经理批准。4.4.3发放及归档综合部将经过总经理批准的《管理评审报告》以文件形式下发各部门并存档。4.5改进和验证4.5.1改进根据《管理评审报告》提出的要求，综合部组织各相关部门制定改进措施计划，并对实施情况进行协调、监督、检查4.5.2文件控制《管理评审报告》要求进行文件修改的，由综合部按《文件控制程序》执行。4.5.3验证综合部组织相关职能部门对确定的纠正与预防改进措施的实施情况进行跟踪检查，并做好记录。4.5.4记录归档管理评审资料、文件和记录按《记录控制程序》的要求归档和保管。5相关文件《信息技术服务手册》《文件控制程序》《记录控制程序》6相关记录《管理评审计划》《管理评审报告》《改进措施计划》

纠正措施控制程序LS/ITSMS-CX-061目的为了对信息技术服务管理体系运行出现的不符合事项（信息技术服务事故、审核中出现的不符合等）或潜在不符合事项进行分析，并采取纠正措施，消除产生不符合（潜在不符合）原因，以防再发生类似不符合。特制定纠正措施控制程序。2范围适用于对信息技术服务管理体系纠正措施的管理。3职责3.1综合部是纠正措施的归口管理部门，负责收集信息并组织责任部门分析原因，制定纠正措施，并跟踪验证纠正措施实施情况。3.3管理者代表负责对信息系统安全的监控，发现不符合（潜在不符合）时监督、协调纠正措施的实施。3.4各部门各部门负责本部门的不合格原因分析及纠正措施的制定和实施。4程序4.1不符合的识别4.1.1制定纠正措施项目的主要依据：a)信息技术服务事件；b)信息技术服务监控中发现的不符合；c)内、外部审核中发现的不符合，以及管理评审的改进指令；d)各种数据分析的报告等。4.1.2各部门对过程、体系的不合格根据评审结论，采取措施实施纠正并进行了有效地处理后，将有关信息报综合部。4.2不符合原因的确定4.2.1综合部依据收集的信息进行分类，对反复发生的和较严重的不符合，组织有关部门人员进行现状调查。4.2.2根据调查结果，确定产生不符合的原因，可采用统计技术等方法进行分析并予以记录。4.3评价确保不符合的措施要求4.3.1针对确定的原因，相关部门负责组织有关人员进行评价是否需要采取纠正措施，评价考虑的重点是从成本、业绩、可信性等方面考虑，应与所发生不合格的影响程度相适应。4.3.2可能产生信息技术服务事故和体系运行中发生的重大不符合，必须采取纠正措施。5.3.3纠正措施是偶然发生的或资源投入较大的或承担较高风险的可暂不采取。5.3.4其他情况由评价人员根据实际确定。4.4纠正措施的实施4.4.1依据评价结果，对应采取纠正措施的不符合时，形成《纠正措施实施记录》，落实不符合的责任部门。4.4.2确定的纠正措施内容要有责任部门和完成时间的要求，不符合的责任部门按照《纠正措施实施记录》的要求，认真实施纠正措施，并对措施的实施进行监视，同时将实施的结果记入《纠正措施实施记录》。4.4.3内部审核过程中发现的不符合所采取的纠正措施执行《内审管理规定》。4.5纠正措施的控制及记录4.5.1责任部门按纠正和防措施计划时间要求，组织实施纠正措施。4.5.2实施过程应做好记录。纠正措施完成后，应将结果填入《纠正措施实施记录》中，向管理者代表报告，待进行效果验证和评审。4.5.3在纠正措施实施中，管理者代表负责配置必要的资源，协助分析原因和确定责任部门，并监督措施的实施。4.5.4由纠正措施引起体系文件的更改，执行《文件管理规定》4.5.5纠正措施的相关记录作为下次管理评审的输入。4.6纠正措施的评审4.6.1根据责任部门的报告，综合部应组织有关人员进行现场评审验证，评审其能否防止类似的不合格再发生。4.6.2评审验证后，应将结果记入《纠正措施实施记录》中。5相关文件：文件管理程序6相关记录纠正措施实施记录

监视和测量控制程序LS/ITSMS-CX-071目的通过对各项控制措施满足控制目标的实现程度及法律、法规符合性的监视、测量与分析，为策划、实施、持续改进信息技术服务管理体系提供依据。2适用范围本程序适用于对本公司区域内所有业务职能部门的安全特性控制、绩效及管理体系运行的监视和测量。3术语和定义引用ISO/IEC20000-2011标准及本公司《信息技术服务管理手册》中的术语和定义。4职责4.1管理者代表4.1.1负责掌握信息技术服务管理体系的总体运行情况，并向最高管理者汇报，对最高管理者负责。4.1.2负责每半年组织对本公司职能部门目标、指标的完成情况进行考核。4.2信息技术服务小组4.2.1负责本程序的编制、修订和监督实施。4.2.2负责每半年对体系进行监视和测量，对各职能部门的监视和测量执行情况进行监督、检查和指导，为纠正和预防提供信息。4.2.3负责收集的顾客信息技术服务方面信息，并进行汇总、分析和传递。4.2.4负责组织各部门获取、识别、更新适用于本公司信息技术服务管理体系运行的所有法律法规，发布《信息技术服务法律法规清单》，对本程序的实施情况进行组织、监督和检查。负责法律法规的更新以及适用性的确认，并传达给各部门。5控制措施和目标实现程度的监视测量5.1监视和测量的范围及依据5.1.1根据本公司业务范围内信息资产的控制范围，确定监视和测量范围。5.1.2测量的范围一般包括：控制措施的实现过程；关键特性；控制措施实现目标程度；适用法律、法规的符合性；业务持续性控制措施；事故、事件和其它不良的绩效；不可接受风险计划中确定的措施；顾客信息技术服务的满意程度。5.1.3监视和测量的依据是法律法规、技术标准、顾客合同、适用性声明、管理手册、程序文件等。5.2监视和测量的要求应按照国家及地方技术规范规定和顾客要求的检验和试验项目、标准、方法进行监视和测量。必要时，本公司各职能部门指定专人编写作业文件予以规定，规定的严格程度应与问题的复杂程度和风险相适应。5.3监视和测量的实施5.3.1信息技术服务小组根据各职能部门确立的监视和测量范围，确定监视和测量的依据、项目、关键特性、频次、使用的仪器设备等。5.3.2监视和测量可选择的方法a.对控制过程进行日常检查；b.信息技术服务措施状况的抽查；c.设备装置的检查；d.作业环境的监视；e.记录检查。5.3.3控制过程的监视和测量a.信息技术服务小组负责组织控制措施实施过程的监视和测量。b.信息处理设备进场/入库前必须按照采购计划，对物资设备的数量、规格、信息技术服务要求进行验证，审核产品证明文件的符合性。验证方法应符合，并保留相应的原始记录。c.使用前必须经过复验、检验的物资，按相应的标准、规范进行复验。d.未经监视和测量的信息处理硬件软件不得投入使用，对验证不合格的，按照《信息技术服务事件管理程序》执行。e.因工作急需，未经检验和试验放行（硬件、软件），必须具备放行后一旦发现问题能够追回的条件。f.紧急放行后，应及时进行检验和试验，发现问题及时追回或处理。g.为控制措施目标所需的主动监视和测量，以巡检、设施监控、统计分析等适用的方法进行。5.3.4本公司不可接受风险处置计划关键特性和绩效的监视和测量，由信息技术服务小组、信息技术服务小组/质量小组按照计划策划的时间间隔，对特性的效果与相关部门协商测试方法，执行本程序。对不易测评绩效的关键特性，采用观察现场表现的监视和测量方式。有必要时，可委托有资格的外部检测机构实施。对事态、事件和其他不良绩效的测量，由信息技术服务小组组织，其他部门协同，利用统计报告并结合《信息技术服务事件管理程序》进行分析和改进。5.3.5管理体系运行过程的监视和测量5.3.5.1管理体系运行要遵守法律、法规的要求。综合部要对本公司各职能部门适用的法律、法规、标准、规范的获取和识别，进行监视和测量。5.3.5.2管理体系运行过程的检查各部门要每半年对管理管理体系的目标、指标及管理体系运行情况进行监视和测量。5.3.6顾客信息技术服务满意程度的监视和测量5.3.6.1顾客信息技术服务满意程度信息的收集与传递a.顾客信息技术服务满意程度信息包括满意信息和不满意信息，顾客满意程度信息的收集最好采取书面问卷形式，特殊情况下也可采用口头方式。b.各部门与顾客进行沟通，收集来自顾客的对信息技术服务满意程度信息，并在内部进行传递，作为方针、目标、管理评审的依据。c.对顾客投诉的问题和回访中发现的问题，由部门指定问题项目负责人组织有关人员对问题进行复查，与顾客共同分析原因，按照《信息技术服务事件管理程序》《纠正措施控制程序》及时做出处理。5.3.7证据收集当本公司与其他公司或某个人（包括内部与外部人员）发生法律纠纷时，涉及法律纠纷的部门应立即书面报告公司，由公司法律顾问会同该部门进行证据收集，准备实施法律诉讼；证据收集应符合以下要求：a.所呈证据应符合国家有关的证据法规；b.符合用于提供可接受证据的任何已发布的标准或法规；c.对已收集到的证据进行安全的保管，防止未经授权的更改或破坏；d.收集到的证据符合法庭所要求的形式。5.3.8控制目标的符合性主要通过实施定期评估的方法来实现，频次与法律法规符合性评价相同，具体方法如下：历史统计模式：虽然完成了某些控制措施，但看不到控制措施被采用的证据，而只能看到现在管理的状态，经过统计现在状态的绩效与原有绩效的比较，可以推导出是否达到了控制目标的要求和是否按照要求才去了措施。文本审阅模式：文本审阅法是通过翻阅控制措施要求的相关的文件、档案来了解控制措施过程，获得书证。实地观察模式：通过实地查看某些控制措施的实施过程，核对策划的实施程序，判断完成现有目标的绩效，获得过程物证。总之，要用“嘴”问，要用耳“听”，要用“脑”判断与分析。得出一个客观的评价结果，记录在《信息技术服务法律法规符合性评估报告》。5.4研发部每年要针对本公司与信息技术服务（ITSMS）法律法规遵循情况编写全公司法律法规符合性评估报告，对于不符合的情况，责任部门应实施纠正措施并实施。6法律法规符合性的监视测量执行《符合性控制程序》7相关文件《纠正措施控制程序》《信息技术服务事件管理程序》《信息技术服务风险评估管理程序》

设计、转换及实施新的或变更的服务管理程序LS/ITSMS-CX-081、目的本程序对设计、转换及实施的新的或变更的客户服务管理过程进行了说明，以达到以下目的：确保新的客户服务和变更的客户服务以合适的成本和服务质量被交付和管理；根据公司和客户之间协定启动新的服务和变更的客户服务；通过对新的客户服务或变更的客户服务管理，积累项目管理经验，持续改进，以进一步提高项目管理能力、服务质量和客户满意度。2、过程定义2.1范围本程序适用于信息技术服务所覆盖的所有部门。2.2服务管理负责人研发部运维负责人2.3主要输入输入来源服务需求说明书IT服务售前需求调研服务规范（客服工作手册）作业文件，客服业务指导书其它服务管理流程为达成合同约定，客户服务过程中实施的流程2.4主要输出输出去向服务合同相关部门负责合同签属，档案管理员负责合同归档服务计划提交到服务管理负责人评审组员周报、服务报告、会议纪录、会议纪要由研发部负责人负责监控检查服务监视、测试与评审结果提交公司领导层服务总结报告服务报告管理所定义的服务报告流程。服务改进管理对监控、测试与评审结果的一个改进服务的过程服务项目资料库包括：项目过程记录，客户服务资产信息、服务记录、知识库、文档资料库等2.5职责权限服务管理负责人：负责服务级别管理流程；制作和更新服务目录；更新现有的服务改进方案；与有关方面协商谈判、并负责签订和维护SLA；评审IT服务的运作绩效、并在必要的时候采取改进措施。市场部：定期进行策划活动的销售分析总结工作；结合销售策划活动，定期对服务进行分析、总结；对客户进行整体定位的规划管理，制定相应规范，以此来指导客户管理及业务部门的发展客户等工作；基于客户整体规划，实施客户的管理；定期进行客户的分析总结，及时发现业务部门在客户发展及维护中可能存在的问题；根据客户情况及大客户的相关标准规范，进行大客户的管理工作；市场部一线支持技术人员：与客户进行沟通，实施服务计划；了解用户的需求，修改《服务需求说明书》；负责客户满意调查工作，并编写调查报告，集中整理客户意见，促成客户服务改进服务；市场部客户服务负责人：参与客户服务的SLA的制定和修改；安排客户服务的服务计划的编制；督促一线支持的事件完成情况；项目内部资源调配，必要时，请求二线或三线支持；必要时，提交问题管理；提交服务报告和会议纪要；负责客户服务预算与核算管理；研发部、综合部：全面负责整个公司的客户服务管理工作。负责服务管理体系的制定、修改和完善。负责监控服务级别并主持服务评审和服务改进工作。为客户服务可用性、持续性、服务能力提供支持和资源保障。负责客户服务资源的统一规划和配置，增强技术技能，提高服务质量，不断提高客户满意度。全面负责客户服务的信息技术服务管理，组织编写信息技术服务策略。负责客户投诉处理流程、公司客户的定期回访、客户满意度调查以及客户投诉处理工作。2.6过程重要控制点服务级别协议：产品运营开发部要形成一个服务级别协议，公告用户，作为服务目标；制定服务计划：项目负责人要排出项目的服务计划，作为服务实施计划指导；服务实施：运用所有的服务管理流程，实现服务目标，并及时提供服务报告；持续改进：为进一步提高服务质量、规范服务、降低成本的所有活动。2.7过程测量指标客户服务必备文档：服务需求说明书；服务级别协议；服务规范服务目录；服务计划表；部门费用预算表；服务报告（频率根据服务级别协议出）；服务总结报告；3.术语术语定义服务项目客户服务的推广服务规范规范一线客服人员，使之得以实现服务级别协议4.流程5.过程描述5.1新增、变更服务服务管理负责人通过对服务需求的识别和分析，确认新增或变更服务。5.2新服务及变更服务的策划客户需求的变化、技术和环境的变化等多种因素均可能导致新增的信息技术服务需求或者现有信息技术服务的变更，通常这会导致现有信息技术基础设施的变化、新信息系统的开发测试和上线、现有信息处理系统的变更等。新服务及变更服务策划的内容具体包括：对新服务及变更服务中涉及到的角色和职责分别进行定义，并计划出客户和供应商在实施过程中需要采取的活动；对现有的信息技术服务管理框架和服务进行变更，以确保新的框架和服务描述能够包括新服务及变更服务的范围；与新服务及变更服务涉及到的相关方进行沟通，以确保新服务及变更服务的目标与实施过程保持一致；新服务及变更服务的合同和协议与业务需求的变更保持一致；如有人力资源方面的新增需求，确保人力资源和招聘计划能够满足新服务及变更服务的人力要求；如果新服务及变更服务有新的技术要求，确保新的信息技术技能和培训的要求能够得到满足；新服务及变更服务中将采用的过程、测量、方法和工具；新服务及变更服务所需的预算和开发、实施时间表；新服务及变更服务的接收准则；用可测量的术语表达的、新服务运行的预测结果。新服务及变更服务策划活动完成后，应按照附件1格式，填写“新服务及变更服务计划报告”。5.3设计和开发新的或变更的服务对新的或变更的服务设计并以书面形式明确新的或变更的服务，一般包括：交付新的或变更的服务的权限和职责；交付新的或变更的服务所需由服务提供方、客户和其他方执行的活动；新的或变更的人力资源要求，包括适当的教育、培训、技巧和经验要求；交付新的或变更的服务的财务资源要求；支持交付的新的或变更的服务的新的或变更的技术；新的或变更的策划和方针；与服务需求一致的新的和变更的合同和其他文件；对服务管理体系（SMS）的变更；新的或变更的SLAs；服务目录的更新；用于交付新的或变更服务的程序、测量和信息。确保设计以使新的或变更的服务满足服务需求；应根据书面的设计开发新的或变更的服务。5.4转换新的或变更的服务通过对新的或变更的服务测试以证明满足服务需求和设计文件。确保新的和变更的服务验收通过，服务验收准则由服务提供方和相关方事先协定。如果未达到服务验收标准，服务提供方和相关方应决定采取必要的措施修正。确保发布和部署管理过程应用在实际环境中部署已批准的新的或变更的服务。转换活动完成后，服务提供方应向相关方汇报期望成果和实际结果的对比。5.5服务实施服务实施是客户服务负责人及一线支持人员运用各个服务管理流程，完成服务计划的过程，目标是服务级别协议，体现形式是形成服务记录、个人周报、日报、服务报告、会议纪录和会议纪要。一线支持对的客户服务情况形成服务记录，记入ITSM客户服务系统；一线支持每周对服务实施情况进行总结，形成《个人周报》，以电子邮件方式提交技术研发产品运营开发部负责人；服务报告管理负责人对客户服务情况，每月填写《服务报告》，提交研发部负责人；各部门每周召开部门例会，形成《会议记录》，对作出的决议，形成《会议纪要》；客户服务职能划分如下：一线支持：负责培训计划拟定，培训实施，账号开通，售后服务。档案管理人员：负责合同管理与归档。参照本体系文件《事件和服务请求管理规定》、《问题管理规定》、《配置管理规定》、《发布部署管理规定》、《服务连续性和可用性管理规定》、《能力管理规定》、《服务报告管理规定》等。5.6服务监视、测量和评审对服务实施过程（各管理流程）的执行结果进行有效的测量、监视和审查，重点关注服务质量、客户满意度、服务报告等方面的内容。一线支持内部检查：一线支持每周召开部门例会，填写《会议纪录》，并形成《会议纪要》，会议内容包括：项目负责人汇报服务中存在的问题；投诉处理；回访情况；根据汇报情况，下达整改任务；传达公司会议精神。项目管理检查：服务报告管理负责人在每月对项目完成的情况、效果、绩效、问题进行总结，形成《服务报告》。内部审核：公司每年组织一次服务管理体系的内部审核，成立内审小组，由内审小组执行内审工作。参照《内部审核程序》。管理评审：公司每年组织一次服务管理体系的管理评审，由总经理主持管理评审会议，各部门主管参加，并形成《管理评审报告》。参照公司《管理评审程序》。5.7持续改进为了不断提高客户满意程度和服务管理水平，研发部应积极识别持续改进的机会并运用《服务改进管理规定》予以实施。持续改进的输入信息包括：相关部门内部检查的结果、日常服务过程中出现的问题、内部审核和管理评审需要解决的问题、服务的绩效和目标等。参照本体系文件《服务改进管理规定》。5.8服务总结服务管理负责人据达成的服务合同的期间，完成一个服务周期（通常一年为期限），总结客户服务经验，提出客户服务存在的主要问题，形成客户服务总结报告，提交到技术研发产品运营开发部负责人。5.9资料归档客户服务部应该对以下资料进行归档：客户信息服务需求说明书客户服务管理过程中产生的文件：服务合同服务计划表服务级别协议服务规范服务目录服务报告服务总结报告部门成本预算如果大型项目，还包括：《风险评估报告》《可用性计划》《持续性实施计划》《能力计划》6.相关文件7.相关记录《》（非制式）

供应商及第三方服务管理程序LS/ITSMS-CX-091目的为加强对供应商服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，加强对第三方服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，特制定本程序。2范围适用于组织信息技术服务管理供应商服务管理活动,包括供应商确定过程、供应商的服务安全控制措施、供应商的服务监督和评审方法、供应商的变更管理。适用于组织信息技术服务（ITSMS）第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。3职责3.1综合部负责统一管理供应商服务的控制活动，负责统一管理第三方服务的控制活动。负责信息处理设备、网络、系统、软件的采购和维护供应商服务的管理。负责确定合格的供应商服务商，负责确定合格的第三方服务商，并与供应商服务商/第三方服务商签订服务合同和保密协议；负责定期对供应商服务商/第三方服务商进行监督和评审；负责做好供应商服务商/第三方服务商的变更管理。3.2研发部负责对供应商服务商/第三方服务商的服务进行安全控制；4相关文件《信息技术服务管理手册》5程序5.1供应商管理5.1.1供应商服务的确定本组织所需的供应商服务包括：采购的物资需要委托供应商进行监造；技术开发项目需要分包；信息处理设备、网络、系统、软件需要供应商进行开发和维护；信息技术服务管理/质量管理体系等需要委托供应商提供服务；管理服务提供商，管理咨询，业务咨询，外部审核方；清洁、物业、会计以及其他外包的支持性服务提供商；其他服务提供方。在与供应商签署服务合同前，相关的主管部门应明确供应商服务的内容和要求，评估由于供应商服务带来的信息技术服务风险，并对供应商提供服务的能力进行评定，应确保供应商有充分的提供服务的能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性，必要时可以通过招投标，确定合格的供应商服务提供商。对重要的供应商服务提供商，应确定其信息技术服务管理体系管理要求和提供服务的能力要求，制定《供应商信息技术服务管理体系核查计划》和《供应商信息技术服务管理体系核查表》并进行现场评定。确定合格的供应商服务提供商后，相关主管部门应与供应商签署供应商服务合同(SLA)，并在服务合同中体现信息技术服务风险金。如果服务中涉及需要供应商保密的信息，必须明确供应商的责任，并签订《供应商服务保密协议》。如果供应商服务涉及组织的知识产权，应明确供应商的知识产权保护责任，与供应商签署《知识产权声明书》。5.1.2对供应商服务的安全控制供应商需要提供服务人员的姓名、技术能力评定、联系方式等信息，服务人员需持有效身份证明进入工作场所。服务人员进入组织区域提供服务的，应按照《相关方信息技术服务管理体系管理程序》中有关临时人员的管理方法进行控制。供应商服务人员在现场提供服务的，应遵守现场有关规定。供应商服务人员在远程提供服务时，必须明确时间、地点、联系人、工作安排、预期结果、观察期等。对供应商技术人员在服务中需要设备入网时，供应商技术人员应填写《供应商逻辑访问申请授权表》，经相关主管部门审核、公司主管领导批准后，方可入网。供应商技术人员对系统进行检查和维护时，需要有组织的专业人员陪同，应按照《安全区域管理程序》和《信息系统访问与使用监控管理程序》进行控制，并需要填写《供应商工作记录单》，或在检查和维护记录、外来人员工作记录中填写供应商服务情况。5.1.3对供应商服务的监督和评审5.1.3.1 确定供应商质量评审指标在与供应商签订合同时，明确供应商的评审指标确定，一般包括：产品质量及时性、规范性、效率、服务验收交付物。5.1.3.2 发放调查表由综合部制定《供应商服务质量评审调查表》，并发放调查表到享用供应商提供服务的各相关部门。5.1.3.3 收集服务记录、数据分析综合部根据各部门反馈的《供应商服务质量评审调查表》，进行优劣分析。5.1.3.4 到货验收采购货品到货后，综合部、研发部组织人员对货品进行验收，以保证货品的合格率，验收合格率会作为对供应商的考核指标。5.1.3.5 服务评审相关部门根据前期数据分析结果，进行服务评审；供应商提供服务不合格者，要求其限期进行整改；并在整改过程中进行时时跟踪与监督。5.1.3.6 列入合格供方清单综合部根据服务评审结果，将首次评审合格者与后期整改后合格的供应商企业，列入《合格供方清单》。5.1.4供应商服务的变更管理当供应商发生变更时，相关主管部门应对供应商的服务和服务的现有状态进行评估，并编写《供应商变更报告》。对于变更过的供应商仍需要按照本程序的5.1.1至5.1.3条款进行控制和管理。当服务内容发生变更时，相关主管部门应对供应商的服务和服务的现有状态进行评估，还要对服务内容变更后对现有信息系统影响进行评估，确保信息系统的安全性，并编写《供应商变更报告》。对于变更过的供应商服务内容仍需要按照本程序的5.1至5.3条款进行控制和管理。5.2第三方服务管理5.2.1第三方服务的确定本组织所需的第三方服务包括：采购的物资需要委托第三方进行监造；技术开发项目需要分包；信息处理设备、网络、系统、软件需要第三方进行开发和维护；信息技术服务管理/质量管理体系等需要委托第三方提供服务；管理服务提供商，管理咨询，业务咨询，外部审核方；清洁、物业、会计以及其他外包的支持性服务提供商；其他服务提供方。在与第三方签署服务合同前，相关的主管部门应明确第三方服务的内容和要求，评估由于第三方服务带来的信息技术服务风险，并对第三方提供服务的能力进行评定，应确保第三方有充分的提供服务的能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性，必要时可以通过招投标，确定合格的第三方服务提供商。对重要的第三方服务提供商，应确定其信息技术服务管理/质量管理体系管理要求和提供服务的能力要求，制定《第三方信息技术服务管理体系核查表》并进行现场评定。确定合格的第三方服务提供商后，相关主管部门应与第三方签署第三方服务合同(SLA)，并在服务合同中体现信息技术服务风险金。如果服务中涉及需要第三方保密的信息，必须明确第三方的责任，并签订《第三方服务保密协议》。如果第三方服务涉及组织的知识产权，应明确第三方的知识产权保护责任，与第三方签署《知识产权声明书》。5.2.2对第三方服务的安全控制第三方需要提供服务人员的姓名、技术能力评定、联系方式等信息，服务人员需持有效身份证明进入工作场所。第三方服务人员进入组织区域提供服务的，应按照《相关方信息技术服务管理体系管理程序》中有关临时人员的管理方法进行控制。第三方服务人员在现场提供服务的，应遵守现场有关规定。第三方服务人员在远程提供服务时，必须明确时间、地点、联系人、工作安排、预期结果、观察期等。对第三方技术人员在服务中需要设备入网时，第三方技术人员应填写《第三方逻辑访问申请授权表》，经相关主管部门审核、公司主管领导批准后，方可入网。第三方技术人员对系统进行检查和维护时，需要有组织的专业人员陪同，应按照《安全区域管理程序》和《信息系统访问与使用监控管理程序》进行控制，并需要填写《第三方工作记录单》，或在检查和维护记录、外来人员工作记录中填写第三方服务情况。5.2.3对第三方服务的监督和评审相关主管部门应按照《相关方信息技术服务管理程序》中相关方的监督管理的要求对第三方服务进行监督检查，对服务内容和质量进行记录和评审。第三方服务结束后，第三方应提交《第三方服务报告》，相关主管部门应对第三方服务情况和《第三方服务报告》进行评审。在第三方服务合同规定的保密期限内，相关主管部门应保存第三方服务期间的所有资料，尤其是第三方访问、处理和管理敏感信息、关键信息、信息处理设施的监控和技术分析等方面的资料。5.2.4第三方服务的变更管理当第三方发生变更时，相关主管部门应对第三方的服务和服务的现有状态进行评估，并编写《第三方变更报告》。对于变更过的第三方仍需要按照本程序的5.1至5.3条款进行控制和管理。当服务内容发生变更时，相关主管部门应对第三方的服务和服务的现有状态进行评估，还要对服务内容变更后对现有信息系统影响进行评估，确保信息系统的安全性，并编写《第三方变更报告》。对于变更过的第三方服务内容仍需要按照本程序的5.1至5.3条款进行控制和管理。6记录《供应商/第三方信息技术服务管理体系核查表》《供应商/第三方服务合同》《供应商/第三方服务保密协议》《知识产权声明书》《供应商/第三方逻辑访问申请授权表》《供应商/第三方工作记录单》《供应商/第三方服务报告》《供应商/第三方变更报告》

信息安全管理程序LS/ITSMS-CX-101、目的在所有服务活动中有效管理信息安全；满足服务级别协议中的安全性需求以及合同、法律和外部政策等外部要求；提供一个独立于外部需求的基本的信息系统安全基线；确保有效的信息安全措施在战略层、战术层、运营层三个层面都得到贯彻。2范围本流程适用于IT服务管理体系所覆盖的所有部门。3定义信息安全管理的目标是要保护信息的价值，这种价值取决于机密性、完整性和可用性三个方面。机密性指保护信息免受未经授权的访问和使用；完整性指信息的准确性、完全性和及时性；可用性是信息在任何约定的时间内都可以被访问。这取决于由信息处理系统所提供的持续性。4职责4.1信息安全推进小组负责整个安全管理流程的有效运作；定义并维护信息安全管理相关的文件及所需要的记录模板；管理信息安全管理的实施；确保信息安全管理目标的实现；识别信息安全管理过程中存在的问题并提出改进措施；定期向IT服务管理小组汇报实施过程中存在的问题；定期组织进行漏洞扫描，并根据漏洞扫描的结果提出并落实改进措施。5流程图6程序内容6.1信息安全方针信息安全、人人有责、防范风险、警钟长鸣信息资产是是公司的重要资产，在日常工作中，要对信息资产进行重点保护其保密性、完整性和可用性，并不断完善安全管理措施，降低风险，确保安全，提高用户的信任度。公司全体员工上下齐心协力，共同参与，使信息安全覆盖到每一个经营环节和业务服务，最终实现让企业信息安全得到保障，让用户资料得到保障。6.2需求识别和分析根据服务级别协议中签订的关于安全的详细说明和IT服务部门内在需求，确定安全需求并进行分析。服务级别协议中应该定义安全需求，在可能的情况下还应该以可测度的术语进行定义。该协议的安全部分应当确保客户所有的安全需求和标准能够实现，并且实现的结果能够进行明确的验证。需求识别包括人员安全的需求、数据安全的需求，机房、设备等的安全需求。6.3确定安全实施范围根据安全需求确定安全实施范围。安全实施范围包括列为相应安全等级的数据、人员、机房设备等。6.4信息安全风险评估服务管理人员根据确定的安全实施范围进行风险分析与评估工作，并提交风险分析与评估报告。风险评估包括识别安全实施范围内的资产状况、资产面临的威胁，现在使用的技术方法和管理规范，并进行总体分析得出风险的等级，编制《信息安全风险评估报告》。6.5设计安全规范根据服务级别协议（SLA）的要求，结合已经实施的ISO27001信息安全策略。对信息安全的要求进行讨论，制订公司《信息安全管理手册》，经管理者代表批准后发放相关部门。其中应包括：信息安全活动的总方向及总则框架。信息安全管理的范围、目标、策略和要求。安全的职能和职责。风险评价标准。根据风险评估结果制定相关安全管理制度。6.6实施安全规范在设计好安全规范后，日常需按照安全规范来实施安全管理。在人员安全方面的实施：责任划分的实施，以及岗位分离的实施；书面的操作指示，内部规章；安全问题涉及整个生命周期，应针对系统开发、测试、验收、运营、维护和终止制定安全指南；将开发和测试环境与实际的运营环境分离开来；处理事件的程序（由事件管理负责处理）；恢复设施的实施；为变更管理提供信息输入，病毒防护措施的实施；针对计算机、操作系统、应用系统、数据、网络和网络服务的安全管理措施的实施；数据媒介的处理和安全。6.7监控安全状况对安全规范实施进行监控，在服务月报中体现。对发生的信息安全事件按照《信息安全事件控制程序》执行。6.8维护安全规范服务管理人员根据系统运行及客户服务的风险变化，必要时对《信息安全管理手册》进行修改。由于基础架构、组织和业务流程方面的变化导致相关的风险也随着发生变化，因此安全也需要进行维护。安全维护包括服务级别协议中安全部分的维护以及详细的安全规范的维护。维护需要根据评估子系统流程的结果以及对风险变化的评估结果进行。这些建议既可以直接被计划子流程所采纳，也可以纳入总体的服务级别协议的维护中。安全规范更新通过变更管理实施,参照《变更管理规定》。如果遇到重大变更影响涉及到信息安全，需要加以信息安全评审。6.9信息安全报告对信息安全管理的实施状况及日常发生的安全事件等需编写安全报告，输出为服务报告流程。报告可以提供有关已实现安全绩效方面的信息，并可以让客户了解有关的安全问题。这些报告通常是在与客户签订的协议中所要求的。不论对于客户还是服务提供商来说，报告都是很重要的。客户必须正确地了解有关努力所取得的效率以及实际被采用的安全措施。客户还需要了解所有的安全事件。为报告服务级别协议中定义的安全事件，可通过技术支持部建立直接的沟通渠道。除了在特殊情形下的例外事项，报告都是通过服务级别经理进行传达的。根据信息安全管理需要报告信息安全的实施情况，并提交《服务报告》中。7相关文件《信息安全事件控制程序》《变更管理规定》《服务报告管理规定》《信息安全策略》8记录信息安全风险评估计划信息安全风险评估表信息安全风险评估报告业务连续性影响分析报告资产识别清单重要信息资产识别清单符合性控制程序LS/ITSMS-CX-111目的为确保组织信息安全活动符合信息安全管理法律法规的要求，确保所应用的信息安全管理法律法规和其他要求的适用性，特制定本程序。2范围本程序适用于组织信息安全管理所涉及的相关法律、法规和其他要求的控制管理。3职责3.1研发部负责收集法律法规和其他要求，组织相关部门对法律法规和其他要求的适宜性和合规性进行评审。3.2各部门负责对本部门的信息安全相关法律法规及其他要求的适宜性的识别、评审、更新，并负责将信息安全相关的法律法规及其他要求文件传达给员工遵照执行。4引用文件《信息技术服务手册》、《文件控制程序》5程序5.1法律、法规和其他要求的分类a)国际性信息安全管理法律、法规和其他要求；b)国家信息安全管理法律法规及标准规范；c)地方和行业性信息安全管理规章及标准规范；d)客户与相关方的信息安全要求。5.2法律、法规和其他要求的获取、识别研发部从政府主管部门或相关权威部门获取相关的国家及地方最新信息安全法律法规及其他要求，并通过政府机构、行业协会、出版机构、图书馆、报刊杂志、书店、相关方等渠道进行补充。客户与相关方信息安全要求，由相关专业部门依据专业工作情况由信息员负责采集并报研发部统一管理。研发部组织各部门对收集的法律法规和其他要求逐一进行识别，确定出适合组织的法律法规及其他要求，编制《法律法规清单》，识别工作一般一年不少于一次。5.3法律、法规和其他要求的文本管理研发部获取信息安全管理法律、法规和其他要求文本后，应补充到《法律法规清单》中。相关部门获取信息安全管理法律、法规和其他要求文本后，应及时将获取的信息安全管理法律、法规和其他要求文本或信息向研发部进行反馈，由研发部补充到《法律法规清单》。研发部负责取得法律法规文本，获得途径可直接从网络下载，并保存为电子档。研发部获取的信息安全法律法规和其他要求的文本或信息应负责汇总并向有关部门进行传递。5.4法律、法规和其他要求的符合性评估组织范围内的适用的信息安全管理法律、法规和其他要求，由研发部负责识别其适用的条款，形成《法律法规清单》，并进行合规性评审。对适用的法律、法规和其他要求，研发部负责制定为满足这些要求的控制措施和职责，将相关内容填入《法律法规清单》。5.5法律、法规和其他要求的更新管理研发部定期与政府相关部门沟通，向提供法律法规更新的专业机构索取最新信息，并通过政府机构、行业协会、出版机构、报刊杂志、中国安全网、会议等渠道补充，以保持对法律法规及其他要求的及时跟踪，获取最新法律法规和其他要求文件。当法律、法规和其他要求更新或增加时，研发部应及时进行识别、并修正和补充《法律法规清单》，及时下载最新版本。对过期或作废的法律法规和其他要求文件，研发部应及时收回，并按《文件控制程序》的要求进行管理。组织至少每年组织一次对《法律法规清单》及其他要求履行情况的合规性评审，形成最新的《法律法规清单》，必要时更新实施控制措施。5.6滥用信息设施的处罚组织员工未经授权不得使用非公开的信息设施，或利用组织信息设施进行与法律相悖的行为。一经发现，组织有权对该员工提出不同程度的处罚措施。包括解除劳动合约，当发现员工行为已经触犯法律时，组织有权对该员工保留法律诉讼的权利。6相关记录《法律法规清单》信息安全风险评估管理程序LS/ITSMS-CX-121适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。2目的本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。3范围本程序适用于第一次完整的风险评估和定期的再评估。在识别资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。识别与评估的重点是涉及公司大数据计算机软件的设计开发方面的信息资产。4职责4.1风险评估职责信息安全小组负责领导风险评估与风险处理工作，小组成员负责具体工作。4.2策划与实施信息技术服务小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《风险评估报告》。4.3信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。4.3.1各部门负责人负责本部门的信息资产识别。4.3.2信息安全小组负责汇总、校对全公司的信息资产。4.3.3信息安全小组负责风险评估的策划。4.3.4信息安全小组负责进行第一次评估与定期的再评估。5程序本公司信息资产的风险评估过程分为如下9个过程，每个过程内的详细活动如下表序号过程活动过程内容1信息资产识别，分组与登记根据资产分内表，对评估范围的资产进行识别，分组和登记；信息资产分组一般分硬件，软件，信息，人员，环境设施，服务和无形资产7种2资产赋值从保密性，完整性和可用性三个方面对信息资产进行赋值。3风险识别与分析识别并登记与资产组相关的主要威胁，弱点和现有控制措施。4风险评价根据预先定义的赋值标准，对风险发生可能性和风险影响赋值并通过资产价值，风险发生可能性和风险影响计算出风险值5确定风险可接受标准根据风险计算结果，确定风险级别，确定公司可接受的风险值，一般来说，风险可接受标准为重，低风险的分界线。6风险控制措施的选择和实施对于超过风险可接受标准的风险，公司选择和实施管理或技术控制措施，以降低风险发生的可能性或影响程度，选择风险控制措施要考虑预估的残余风险值。7控制措施有效制定或利用一定的测量方法，对采取的全部或部分控制措施进行测量，以判断控制措施的有效性，对无效或效果不明显的进行整改。8风险评估更新根据风险评估周期，周期性进行风险评估与处置。9残余风险处置对于风险评估更新后，对于仍超过可受标准的风险可以采取新的控制措施，也可以接受风险5.1信息资产识别、与登记5.1.1信息资产识别资产是本公司直接赋予价值因而需要保护的有用资源，以多种形式存在。信息资产分为：硬件、软件、数据、信息、服务、人员、无形资产七大类。对重要度4级以上的资产，作为重要信息资产进行抽出，做出《重要信息资产清单》信息资产识别由信息安全小组统一组织进行，相关人员要予以协助。5.1.2信息资产分组对于识别出来的信息资产，要根据资产的不同类型和价值进行必要的组合，形成资产组。5.1.3信息资产登记识别出来的信息资产需要详细登记在《信息资产清单》中。5.1.4资产和资产组赋值资产赋值信息资产的赋值通过信息资产的机密性、完整性和可用性赋值确定，信息资产的机密性、完整性、可用性赋值如下：等级C-机密性I-完整性A-可用性5（很高）包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性影响，如果泄露会造成灾难性的损害。完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补，可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上。4（高）包含组织重要秘密、其泄密会使组织的安全和利益遭受严重的损害。完整性价值较高，未经授权的修改或破坏会对组织造成重大影响对业务冲击严重，比较难以弥补可用性价值较高，合法使用者对信息及信息系统的可用度达到每桶90%以上。3（中）包含组织的一般性秘密，其泄密会使组织的安全和利益受到损害。完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补。可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上。2（低）包含仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成损