【正文】 必選流程和可裁剪流程兩大模塊。由項(xiàng)目經(jīng)理負(fù)責(zé)相應(yīng)流程的實(shí)施、管理和控制。對(duì)項(xiàng)目組成員主要是組織、協(xié)調(diào)、安排相應(yīng)工作任務(wù)的完成，可能并不是由自己去完成。3．6．2．1．1 項(xiàng)目經(jīng)理職責(zé)說明：1）、負(fù)責(zé)IT服務(wù)項(xiàng)目的立項(xiàng)工作，按照服務(wù)合同要求負(fù)責(zé)相應(yīng)流程的實(shí)施、管理和控制。組織、協(xié)調(diào)、安排項(xiàng)目組成員完成相應(yīng)工作任務(wù)。2）、負(fù)責(zé)從服務(wù)臺(tái)接受事件報(bào)告開始，分配相應(yīng)的職能小組進(jìn)行事件處理，直至找到問題的根本原因的整個(gè)過程的管理和協(xié)調(diào)。3）、負(fù)責(zé)各系統(tǒng)的配置管理、變更和發(fā)布控制。4）、負(fù)責(zé)系統(tǒng)的可用性規(guī)劃和管理、負(fù)責(zé)安排系統(tǒng)連續(xù)性的計(jì)劃和演練，并負(fù)責(zé)系統(tǒng)容量的規(guī)劃和監(jiān)控。5）、主要負(fù)責(zé)與用戶的溝通，對(duì)供應(yīng)商的管理，以及項(xiàng)目的預(yù)/決算的管理。3．6．2．1．2能力要求：熟悉服務(wù)部的各種服務(wù)管理流程，具有較強(qiáng)的內(nèi)部協(xié)調(diào)能力。 由管理者代表授權(quán)技術(shù)服務(wù)事業(yè)部總監(jiān)，按ISO/IEC 20000的要求，負(fù)責(zé)協(xié)調(diào)和組織所有與IT服務(wù)有關(guān)的活動(dòng)，通過管理和實(shí)施各項(xiàng)活動(dòng)，使IT服務(wù)業(yè)務(wù)的質(zhì)量得到有效的保持和維護(hù)。 技術(shù)服務(wù)事業(yè)部組織制訂、批準(zhǔn)和發(fā)布公司IT服務(wù)策略、服務(wù)目標(biāo)，并使其成為公司關(guān)注的焦點(diǎn)，成為公司協(xié)調(diào)、統(tǒng)一、凝聚公司的所有活動(dòng)和資源的準(zhǔn)則，成為建立、實(shí)施、保持并改進(jìn)IT服務(wù)管理體系的宗旨。3．6．3公司 IT服務(wù)策略：客戶至上、全員參與、創(chuàng)新高效、系統(tǒng)管理、追求卓越公司 IT服務(wù)目標(biāo)：公司通過服務(wù)質(zhì)量改進(jìn)程序確定年度服務(wù)質(zhì)量目標(biāo) 公司的IT服務(wù)目標(biāo)按ISO/IEC 20000的要求，與公司的業(yè)務(wù)相結(jié)合，并通過流程績(jī)效不斷提高和改進(jìn)。 技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門，通過會(huì)議、評(píng)審、書面報(bào)告、培訓(xùn)等方式，及時(shí)有效溝通工作，達(dá)到IT服務(wù)管理目標(biāo)和持續(xù)改進(jìn)的需求，并在公司中積極貫徹實(shí)施IT服務(wù)管理的重要性。技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門按照PDCA的要求，通過對(duì)所屬業(yè)務(wù)的規(guī)劃，適時(shí)優(yōu)化和提供資源以計(jì)劃、實(shí)施、監(jiān)控、評(píng)審和改進(jìn)IT服務(wù)的交付和管理。 管理者代表按照《服務(wù)質(zhì)量改進(jìn)管理程序》中的計(jì)劃間隔，由技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門實(shí)施IT服務(wù)管理體系的內(nèi)部審核，確保IT服務(wù)管體系的有效性與符合性。管理者代表按照《服務(wù)質(zhì)量改進(jìn)管理程序》中的計(jì)劃間隔，組織相關(guān)部門執(zhí)行IT服務(wù)管理體系的管理評(píng)審，確保IT服務(wù)管理體系持續(xù)的穩(wěn)定、充分和有效。3．6．4文件要求3．6．4．1公司的文件管理體系分為A、B、C、D四層，即A層為管理手冊(cè)、B層為程序文件、C層為工作流程或規(guī)定、D層為記錄。3．6．4．2管理手冊(cè) — 描述IT服務(wù)管理體系的文件，是全體員工必須長(zhǎng)期遵循的法規(guī)性文件。3．6．4．3程序文件 — 覆蓋公司主要業(yè)務(wù)過程的流程文件，是管理手冊(cè)的支撐性文件。3．6．4．4工作流程或規(guī)定— 是開展具體業(yè)務(wù)工作的規(guī)范類、指導(dǎo)性文件，是程序文件的支持性文件。3．6．4．5記錄 — 在開展具體業(yè)務(wù)工作過程中產(chǎn)生的記錄類文件，主要是為具體工作結(jié)果提供各種可追溯性證據(jù)。3．6．4．6技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織制訂《文件和記錄管理程序》，明確文件的擬制、批準(zhǔn)、發(fā)放、變更、存檔等管理要求，并監(jiān)控實(shí)施。3．6．4．7技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門，根據(jù)公司的業(yè)務(wù)特點(diǎn)及標(biāo)準(zhǔn)的要求，制訂相關(guān)的程序文件，經(jīng)公司管理者代表批準(zhǔn)后實(shí)施。3．6．4．8技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織擬制與本部門業(yè)務(wù)相關(guān)的各類C層文件，并按《文件和記錄管理程序》的要求對(duì)文件和記錄的有效性進(jìn)行管理。4信息安全管 公司根據(jù)整體業(yè)務(wù)活動(dòng)（軟件開發(fā)、經(jīng)營(yíng)、服務(wù)和日常管理活動(dòng)）和所面臨的風(fēng)險(xiǎn)，按ISO/IEC 27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》規(guī)定，參照ISO/IEC 27002:2005《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》標(biāo)準(zhǔn)，建立、實(shí)施、運(yùn)作、監(jiān)控、維護(hù)并改進(jìn)文件化的信息安全管理體系。相關(guān)文件：《信息安全方針及目標(biāo)》（ISMS） 信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全管理體系的范圍包括：a) 本公司涉及軟件開發(fā)、營(yíng)銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng)；b) 與所述信息系統(tǒng)有關(guān)的活動(dòng)；c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工；d) 所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。組織范圍：本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見本手冊(cè)JIN/QM—《公司信息安全管理體系組織架構(gòu)》。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。本公司ISMS的物理范圍為本公司位于常州市常州市鸝欣麗都2幢乙單元503室的辦公場(chǎng)所，安全邊界詳見附錄A（規(guī)范性附錄）《辦公場(chǎng)所平面圖》。 信息安全管理體系的方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持軟件開發(fā)和經(jīng)營(yíng)的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針。該信息安全方針符合以下要求：a) 為信息安全目標(biāo)建立了框架，并為信息安全活動(dòng)建立整體的方向和原則；b) 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)；c) 與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持信息安全管理體系；d) 建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；e) 經(jīng)最高管理者批準(zhǔn)。為實(shí)現(xiàn)信息安全管理體系方針，本公司承諾：a) 在各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全目標(biāo)和控制措施；明確信息安全的管理職責(zé)。；b) 識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求； c) 定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，信息安全管理體系評(píng)審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d）采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；e) 對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。 風(fēng)險(xiǎn)評(píng)估的方法生技部負(fù)責(zé)制定《信息安全風(fēng)險(xiǎn)管理程序》，建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。信息安全風(fēng)險(xiǎn)評(píng)估采用信息安全風(fēng)險(xiǎn)管理軟件（Inforiskmanager）進(jìn)行，以保證所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。 識(shí)別風(fēng)險(xiǎn)在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風(fēng)險(xiǎn)管理程序》，采用Inforiskmanager風(fēng)險(xiǎn)管理軟件，對(duì)所有的資產(chǎn)進(jìn)行了識(shí)別，并識(shí)別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了《重要資產(chǎn)清單》。同時(shí)，根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》，識(shí)別了對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。 分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按《信息安全風(fēng)險(xiǎn)管理程序》，采用信息安全風(fēng)險(xiǎn)管理軟件，分析和評(píng)價(jià)風(fēng)險(xiǎn)：a) 針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值；b) 針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值；c) 根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》計(jì)算風(fēng)險(xiǎn)等級(jí)；d) 根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇網(wǎng)絡(luò)管理部組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成《風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴) 控制風(fēng)險(xiǎn)，采用適當(dāng)?shù)膬?nèi)部控制措施；b) 接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）；c) 避免風(fēng)險(xiǎn)（如物理隔離）；d) 轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）。網(wǎng)絡(luò)管理部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門（見《信息安全適用性聲明》）：a)信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。b)控制目標(biāo)及控制措施的選擇原則來源于ISO/IEC 27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》附錄A，具體控制措施參考ISO/IEC 27002:2005《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》。c)本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。 對(duì)風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)，得到了公司最高管理者的批準(zhǔn)。 最高管理者通過本手冊(cè)對(duì)實(shí)施和運(yùn)行信息安全管理體系進(jìn)行了授權(quán)。 適用性聲明生技部負(fù)責(zé)編制《信息安全適用性聲明》（SoA）。該聲明包括以下方面的內(nèi)容：a)所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因；b)對(duì)ISO/IEC 27001:2005附錄A中未選用的控制目標(biāo)及控制措施理由的說明。 ，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展以下活動(dòng)：a)形成《風(fēng)險(xiǎn)處理計(jì)劃》，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級(jí)；b)為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《風(fēng)險(xiǎn)處理計(jì)劃》，明確各崗位的信息安全職責(zé)；c)實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d)確定如何測(cè)量所選擇的控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；e)進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力；f)對(duì)信息安全體系的運(yùn)作進(jìn)行管理；g)對(duì)信息安全所需資源進(jìn)行管理；h)實(shí)施控制程序，對(duì)信息安全事件（或征兆）進(jìn)行迅速反應(yīng)。 信息安全組織機(jī)構(gòu)本公司成立了的信息安全領(lǐng)導(dǎo)機(jī)構(gòu)信息安全委員會(huì)，其職責(zé)是實(shí)現(xiàn)信息安全管理體系方針和本公司承諾。具體職責(zé)是：研究決定貫標(biāo)工作涉及到的重大事項(xiàng)；審定公司信息安全方針、目標(biāo)、工作計(jì)劃和重要文件；為貫標(biāo)工作的有序推進(jìn)和信息安全管理體系的有效運(yùn)行提供必要的資源。本公司由相關(guān)部門代表組成信息安全管理網(wǎng)絡(luò)，采用聯(lián)席會(huì)議（協(xié)調(diào)會(huì)）的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以：a) 確保安全活動(dòng)的執(zhí)行符合信息安全方針；b) 確定怎樣處理不符合；c) 批準(zhǔn)信息安全的方法和過程，如風(fēng)險(xiǎn)評(píng)估、信息分類；d) 識(shí)別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對(duì)威脅的暴露；e) 評(píng)估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性；f) 有效的推動(dòng)組織內(nèi)信息安全教育、培訓(xùn)和意識(shí)；g) 評(píng)價(jià)根據(jù)信息安全事件監(jiān)控和評(píng)審得出的信息，并根據(jù)識(shí)別的信息安全事件推薦適當(dāng)?shù)拇胧?本公司總經(jīng)理為信息安全最高責(zé)任者。總經(jīng)理指定了信息安全管理者代表。無(wú)論信息安全管理者代表在其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)：a) 建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；b) 對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全領(lǐng)導(dǎo)小組或最高責(zé)任者報(bào)告。各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)；各部門、《信息安全管理職責(zé)明細(xì)表》和相應(yīng)的程序文件。 各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全目標(biāo)、控制措施（包括安全運(yùn)行的各種控制程序）的要求實(shí)施信息安全控制措施。 、內(nèi)部審核、事故（事件）報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：a)及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故（事件）和隱患；b)及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c)使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；d)使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效；e)積累信息安全方面的經(jīng)驗(yàn)。，由總經(jīng)理主持，每年至少一次對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，其中包括信息安全范圍、方針、目標(biāo)的符合性及控制措施有效性的評(píng)審，考慮安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理評(píng)審的具體要求，見本手冊(cè)第7章。 網(wǎng)絡(luò)管理部應(yīng)組織有關(guān)部門按照《信息安全風(fēng)險(xiǎn)管理程序》的要求，采用信息安全風(fēng)險(xiǎn)管理軟件，對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：a) 組織； b) 技術(shù)；c) 業(yè)務(wù)目標(biāo)和過程；d) 已識(shí)別的威脅；e) 實(shí)施控制的有效性； f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。，內(nèi)部審核的具體要求，見本手冊(cè)第6章。，以確保范圍的充分性，并識(shí)別信息安全管理體系過程的改進(jìn)，管理評(píng)審的具體要求，見本手冊(cè)第7章。，更新安全計(jì)劃。我公司開展以下活動(dòng)，以確保信息安全管理體系的持續(xù)改進(jìn)：a) 實(shí)施每年管理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的項(xiàng)目；b) 按照《內(nèi)部審核管理程序》、《糾正措施管理程序》、《預(yù)防措施管理程序》的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故（事件）的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性；c) 通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對(duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識(shí)別顧客對(duì)信息安全的要求等；d) 對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾恚_保改進(jìn)達(dá)到預(yù)期的效果。相關(guān)文件：《系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法》《適用性聲明》《管理評(píng)審程序》《內(nèi)部審核控制程序》《糾正措施控制程序》《預(yù)防措施控制程序》 ISMS文件應(yīng)包括： a) 形成文件的ISMS方針和控制目標(biāo)； b) ISMS范圍c) ISMS的支持性程序和控制措施； d) 風(fēng)險(xiǎn)評(píng)估方法的描述； e) 風(fēng)險(xiǎn)評(píng)估報(bào)告； f) 風(fēng)險(xiǎn)處置計(jì)劃； g) 公司為