【正文】 負責擬定客戶服務計劃，具體實施客戶管理，客戶關懷，現(xiàn)場管理，問題管理，服務需求管理，服務規(guī)范，突發(fā)事件管理等工作。按照服務部培訓計劃要求，組織技術培訓及人員技術學習的指導。按照技術服務事業(yè)部工作安排，完成IT服務產(chǎn)品化的設計、規(guī)劃和制定工作。在公司規(guī)定的范圍內(nèi)，服務臺承擔維護客戶基本信息等日常運作管理中的特定任務。負責管理公司向行業(yè)外提供IT服務的技術組和服務組的工作，參與擬制、審核IT服務技術發(fā)展和服務規(guī)劃的策略、計劃和實施方案，并定期提出相關技術發(fā)展和服務質(zhì)量的評估報告和改進建議。負責公司向行業(yè)外提供的IT技術服務，向技術服務事業(yè)部總監(jiān)報告。參與擬制公司IT服務管理成本，報批后監(jiān)督執(zhí)行，并定期做出評估報告和改進建議。審核運維和服務部門與客戶、公司內(nèi)部其他部門和供應商之間的服務目錄、服務級別以及對客戶的服務級別承諾文件。擬制并審核公司采購管理制度。 負責與質(zhì)量管理體系認證中心等外部機構的聯(lián)系。參與擬制、審核有關系公司IT服務管理的對外溝通和客戶服務口徑，組織制訂并審核完善規(guī)范的客戶服務體系和知識庫。負責組織協(xié)調(diào)公司有關部門與政府、企事業(yè)單位的溝通，并負責監(jiān)督所分管部門對合同用戶需求實現(xiàn)的及時性和準確性。負責管理公司資產(chǎn)，監(jiān)督公司資產(chǎn)的運行效率，保證公司資產(chǎn)的安全和優(yōu)化配置。配合公司經(jīng)營目標，組織擬制人力資源發(fā)展及人員編制數(shù)額計劃，確保人員編制的合理性和準確性。人力資源部經(jīng)理向公司總經(jīng)理報告，負責公司的人事管理和人力資源開發(fā)工作。5 輸出的文件記錄和文檔文件屬性完成的部門/職位《IT服務管理手冊》A服務部《文件和記錄管理程序》B服務部《服務策劃管理程序》B服務部《服務級別管理程序》B服務部《可用性與IT服務持續(xù)性管理程序》B服務部《IT財務管理程序》B服務部《容量管理程序》B服務部《信息安全管理程序》B服務部《業(yè)務關系管理程序》B服務部《事件管理程序》B服務部《問題管理程序》B服務部《配置管理程序》B服務部《變更管理程序》B服務部《容量管理程序》B服務部《服務質(zhì)量改進管理程序》B服務部附：各部門主要工作職責公司管理事務部分綜合部經(jīng)理向公司總經(jīng)理報告。服務部對發(fā)布未成功的原因進行確認，如需重新實施變更，則按《變更管理程序》的要求執(zhí)行。服務部根據(jù)需要負責制訂《發(fā)布計劃》，確保相關的信息系統(tǒng)、基礎設施、服務和文檔得到認可、授權、預定、協(xié)調(diào)和跟蹤。應考慮：清晰定義變更的范圍、使業(yè)務增值的變更才能被認可，例如商業(yè)的、法律的、規(guī)章的、法令的、根據(jù)優(yōu)先級和風險為變更安排時間、在變更實施中驗證配置項變更、需要時監(jiān)控并改進變更實施時間。應：保護其不受未授權訪問、變更或破壞、提供災害后恢復方法、對受控軟件、測試產(chǎn)品和支持文檔等備份的恢復進行限制。被管理的配置項主要包括：信息系統(tǒng)和軟件（包括第三方軟件）的發(fā)布、相關系統(tǒng)文檔、例如要求規(guī)范、設計、測試報告、發(fā)布文檔、每個應用環(huán)境配置基線、或描述應用環(huán)境、標準硬件組成和發(fā)布、備份和電子資料庫、如最終軟件庫（DSL）、配置管理包或工具、許可證、安全組件、如防火墻、服務相關文檔、例如服務級別協(xié)議、活動程序、務支持設施、例如機房電源。對重大事件的處理，服務部按《服務臺工作指導手冊》的要求執(zhí)行。事件驗證和關閉。資源要求。當公司與供應商的支持合同或供貨協(xié)議需要修訂或變更時，商務部應重新組織相關部門進行合同評審，在評審中應討論和明確對本公司SLA影響和變更，并按照《變更管理程序》的要求實施。商務部負責組織相關部門對供應商提供服務的所滿足的需求、范圍、服務級別、接口和溝通流程等進行評審并達成一致，按公司正式授權，組織簽署與供應商之間的支持合同或供貨協(xié)議。根據(jù)《客戶滿意度管理規(guī)定》，定義、收集、分析客戶滿意度數(shù)據(jù)和信息，監(jiān)控客戶滿意度的趨勢。當出現(xiàn)臨時的新增或變更服務時，技術服務事業(yè)部應根據(jù)《容量管理程序》的要求，及時對《容量管理計劃》的相關內(nèi)容進行評估和更新。針對服務升級所定義的時間表、閾值和成本。預計未來的可用性。并通過能力管理和配置管理活動，評價所有服務組成的有效性，預知可能的、潛在的問題，并采取預防措施。應考慮：IT服務持續(xù)性計劃考慮對服務和系統(tǒng)組成的關系。 商務部應依據(jù)與客戶簽訂的SLA以及《供應商管理程序》的要求，組織簽署與供應商之間的支持合同（或協(xié)議）。服務交付過程服務級別管理服務部負責與相關部門溝通，制訂公司的《服務目錄》。監(jiān)控IT服務運行中出現(xiàn)的不符合項，組織相關部門實施、驗證改進活動。資源利用。 相關部門根據(jù)管理評審的結果及結論，結合本部門的工作實際，由技術服務事業(yè)部組織相關部門對當前與本部門相關的IT服務工作的改進需求、以及公司業(yè)務發(fā)展策略、技術動態(tài)、政策法規(guī)要求、下一年度IT服務工作的安排進行規(guī)劃，制訂本部門的年度工作計劃，并按公司內(nèi)控制度制訂對應的部門年度費用預算。相關文件：《糾正措施控制程序》 《預防措施控制程序》 IT服務管理服務管理規(guī)劃和實施在開展IT服務管理的活動中，PDCA原理貫穿于IT服務管理體系的全部流程，其中：P（計劃） — 根據(jù)客戶要求和公司策略建立目標和流程。 d) 資源需求e)針對被測量的控制措施有效性的改進相關文件：《管理評審程序》8 ISMS的改進 公司應通過應用信息安全方針、安全目標、審核結果、監(jiān)控事件的分析、糾正和預防措施和管理評審，持續(xù)改進ISMS的有效性。應建立形成文件的程序，以規(guī)定策劃和實施審核的職責和要求以及報告結果和保持記錄。例如，記錄包括訪問者登記審核記錄和訪問授權。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全的要求等；d) 對信息安全目標及分解進行適當?shù)墓芾?，確保改進達到預期的效果。，由總經(jīng)理主持，每年至少一次對信息安全管理體系的有效性進行評審，其中包括信息安全范圍、方針、目標的符合性及控制措施有效性的評審，考慮安全審核、事件、有效性測量的結果，以及所有相關方的建議和反饋。具體職責是：研究決定貫標工作涉及到的重大事項；審定公司信息安全方針、目標、工作計劃和重要文件；為貫標工作的有序推進和信息安全管理體系的有效運行提供必要的資源。b)控制目標及控制措施的選擇原則來源于ISO/IEC 27001:2005《信息技術安全技術信息安全管理體系要求》附錄A，具體控制措施參考ISO/IEC 27002:2005《信息技術安全技術信息安全管理實用規(guī)則》。 識別風險在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風險管理程序》，采用Inforiskmanager風險管理軟件，對所有的資產(chǎn)進行了識別，并識別了這些資產(chǎn)的所有者。本公司ISMS的物理范圍為本公司位于常州市常州市鸝欣麗都2幢乙單元503室的辦公場所，安全邊界詳見附錄A（規(guī)范性附錄）《辦公場所平面圖》。3．6．4．6技術服務事業(yè)部負責組織制訂《文件和記錄管理程序》，明確文件的擬制、批準、發(fā)放、變更、存檔等管理要求，并監(jiān)控實施。技術服務事業(yè)部負責組織相關部門按照PDCA的要求，通過對所屬業(yè)務的規(guī)劃，適時優(yōu)化和提供資源以計劃、實施、監(jiān)控、評審和改進IT服務的交付和管理。3）、負責各系統(tǒng)的配置管理、變更和發(fā)布控制。對于上圖虛線框內(nèi)的的問題管理、發(fā)布管理、配置管理、變更管理、可用性和連續(xù)性管理、容量管理、服務級別管理以及服務報告可由服務部經(jīng)理依照與用戶簽署的服務合同進行選擇裁剪。5生產(chǎn)技術部是我公司信息系統(tǒng)安全管理部門。1. 負責管理體系的建立、實施、保持、測量和改進?！魧τ脩糍~號、口令和權限進行嚴格管理，防止對信息系統(tǒng)的非授權訪問?！舸_保公司所有員工都接受信息安全的教育培訓，提高信息安全意識。3 公司架構和安全承諾總 經(jīng) 理文檔培訓倉庫采購人力資源財務物流銷售市場測試質(zhì)量保證質(zhì)管部實施研發(fā)綜合管理部生技部商務部總 經(jīng) 理管理者代表商務部生技部綜合管理部副管理者代表研發(fā)實施質(zhì)管部質(zhì)量保證測試客戶服務部銷售物流財務人力資源采購倉庫培訓文檔安全委員會注：每個虛線框內(nèi)為一個信息安全小組，部門的負責人為安全組長，各崗位負責人為該崗位的安全員。2．3．3“有效文件”形式的文件在更新后，如需保存原來的版本，以便于追溯，則應當用“保留文件”的標識予以區(qū)分。2 信息安全管理amp。信息安全目標：：100% （所有不可接受風險應降低到可接受的程度）。13．應根據(jù)風險評估的結果，采取相應措施，降低風險。7．對本公司的相關方，要明確安全要求和安全職責?？偨?jīng)理：日期：信息安全方針和信息安全目標信息安全方針：信息安全 人人有責本公司信息安全管理方針包括內(nèi)容如下：一、信息安全管理機制1．公司采用系統(tǒng)的方法，按照ISO/IEC 27001:2005建立信息安全管理體系，全面保護本公司的信息安全。為能更好的貫徹公司管理層在信息安全與IT服務管理方面的策略和方針，根據(jù)ISO20000:2005《信息技術服務管理—規(guī)范》和ISO27001：2005《信息安全管理體系要求》的要求任命XXXXX為管理者代表，作為本公司組織和實施“信息安全管理與IT服務管理體系”的負責人。 信息安全管理IT服務管理體系手冊發(fā)布令本公司按照ISO20000:2005《信息技術服務管理—規(guī)范》和ISO27001：2005《信息安全管理體系要求》以及本公司業(yè)務特點編制《信息安全管理amp。直接向公司管理層報告。二、信息安全管理組織2．公司總經(jīng)理對信息安全工作全面負責，負責批準信息安全方針，確定信息安全要求，提供信息安全資源。 8．定期對全體員工進行信息安全相關教育，包括：技能、職責和意識。六、報告安全事件14．公司建立報告信息安全事件的渠道和相應的主管部門。（重大顧客投訴是指直接經(jīng)濟損失金額達1萬元以上）1 信息安全管理手冊說明1．1公司簡介XX本手冊在遵循ISO9001：2005 《信息安全管理體系要求》與ISO/IEC 20000 《信息技術服務管理－規(guī)范》的要求編制而成，包括了ISO27001：2005的全部要求，對附錄A的刪減見《適用性聲明SoA》。IT服務管理手冊的管理2．1手冊的編制、批準和發(fā)布2．1．1按照公司業(yè)務發(fā)展戰(zhàn)略和客戶需求，經(jīng)公司管理者代表批準，技術服務事業(yè)部組織相關人員，結合本公司業(yè)務特點，根據(jù)ISO/IEC 20000標準的要求編寫。2．3．4電子形式的手冊由技術服務事業(yè)部在工作流轉(zhuǎn)系統(tǒng)中進行管理。3．3公司IT服務管理職能關系架構圖◆公司成立安全管理委員會來領導信息安全工作，并確定相應的職責和作用?！舯Ｗo公司、客戶、相關合作方的信息安全?！魧χ匾畔⑦M行備份保護，以保證信息的可用性。2. 負責文件控制、記錄控制、內(nèi)部審核的組織、管理評審的組織和體系的改進。負責局域網(wǎng)上所承擔的各類信息系統(tǒng)的管理職能；負責我公司信息系統(tǒng)安全日常管理。3．6．2 角色分配說明3．6．2．1針對服務部當前組織架構及人員狀況，將不再為每一具體流程分配流程經(jīng)理。4）、負責系統(tǒng)的可用性規(guī)劃和管理、負責安排系統(tǒng)連續(xù)性的計劃和演練，并負責系統(tǒng)容量的規(guī)劃和監(jiān)控。 管理者代表按照《服務質(zhì)量改進管理程序》中的計劃間隔，由技術服務事業(yè)部負責組織相關部門實施IT服務管理體系的內(nèi)部審核，確保IT服務管體系的有效性與符合性。3．6．4．7技術服務事業(yè)部負責組織相關部門，根據(jù)公司的業(yè)務特點及標準的要求，制訂相關的程序文件，經(jīng)公司管理者代表批準后實施。 信息安全管理體系的方針為了滿足適用法律法規(guī)及相關方要求，維持軟件開發(fā)和經(jīng)營的正常進行，實現(xiàn)業(yè)務可持續(xù)發(fā)展的目的。資產(chǎn)包括硬件、設施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務及人力資源。c)本公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施。本公司由相關部門代表組成信息安全管理網(wǎng)絡，采用聯(lián)席會議（協(xié)調(diào)會）的方式，進行信息安全協(xié)調(diào)和協(xié)作，以：a) 確保安全活動的執(zhí)行符合信息安全方針；b) 確定怎樣處理不符合；c) 批準信息安全的方法和過程，如風險評估、信息分類；d) 識別重大的威脅變化，以及信息和相關的信息處理設施對威脅的暴露；e) 評估信息安全控制措施實施的充分性和協(xié)調(diào)性；f) 有效的推動組織內(nèi)信息安全教育、培訓和意識；g) 評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安全事件推薦適當?shù)拇胧９芾碓u審的具體要求，見本手冊第7章。相關文件：《系統(tǒng)風險評估方法》《適用性聲明》《管理評審程序》《內(nèi)部審核控制程序》《糾正措施控制程序》《預防措施控制程序》 ISMS文件應包括： a) 形成文件的ISMS方針和控制目標； b) ISMS范圍c) ISMS的支持性程序和控制措施； d) 風險評估方法的描述； e) 風險評估報告； f) 風險處置計劃； g) 公司為確保其信息安全過程的有效策劃、運行和控制以及規(guī)定如何測量