【正文】 負(fù)責(zé)擬定客戶服務(wù)計(jì)劃，具體實(shí)施客戶管理，客戶關(guān)懷，現(xiàn)場(chǎng)管理，問題管理，服務(wù)需求管理，服務(wù)規(guī)范，突發(fā)事件管理等工作。按照服務(wù)部培訓(xùn)計(jì)劃要求，組織技術(shù)培訓(xùn)及人員技術(shù)學(xué)習(xí)的指導(dǎo)。按照技術(shù)服務(wù)事業(yè)部工作安排，完成IT服務(wù)產(chǎn)品化的設(shè)計(jì)、規(guī)劃和制定工作。在公司規(guī)定的范圍內(nèi)，服務(wù)臺(tái)承擔(dān)維護(hù)客戶基本信息等日常運(yùn)作管理中的特定任務(wù)。負(fù)責(zé)管理公司向行業(yè)外提供IT服務(wù)的技術(shù)組和服務(wù)組的工作，參與擬制、審核IT服務(wù)技術(shù)發(fā)展和服務(wù)規(guī)劃的策略、計(jì)劃和實(shí)施方案，并定期提出相關(guān)技術(shù)發(fā)展和服務(wù)質(zhì)量的評(píng)估報(bào)告和改進(jìn)建議。負(fù)責(zé)公司向行業(yè)外提供的IT技術(shù)服務(wù)，向技術(shù)服務(wù)事業(yè)部總監(jiān)報(bào)告。參與擬制公司IT服務(wù)管理成本，報(bào)批后監(jiān)督執(zhí)行，并定期做出評(píng)估報(bào)告和改進(jìn)建議。審核運(yùn)維和服務(wù)部門與客戶、公司內(nèi)部其他部門和供應(yīng)商之間的服務(wù)目錄、服務(wù)級(jí)別以及對(duì)客戶的服務(wù)級(jí)別承諾文件。擬制并審核公司采購管理制度。 負(fù)責(zé)與質(zhì)量管理體系認(rèn)證中心等外部機(jī)構(gòu)的聯(lián)系。參與擬制、審核有關(guān)系公司IT服務(wù)管理的對(duì)外溝通和客戶服務(wù)口徑，組織制訂并審核完善規(guī)范的客戶服務(wù)體系和知識(shí)庫。負(fù)責(zé)組織協(xié)調(diào)公司有關(guān)部門與政府、企事業(yè)單位的溝通，并負(fù)責(zé)監(jiān)督所分管部門對(duì)合同用戶需求實(shí)現(xiàn)的及時(shí)性和準(zhǔn)確性。負(fù)責(zé)管理公司資產(chǎn)，監(jiān)督公司資產(chǎn)的運(yùn)行效率，保證公司資產(chǎn)的安全和優(yōu)化配置。配合公司經(jīng)營(yíng)目標(biāo)，組織擬制人力資源發(fā)展及人員編制數(shù)額計(jì)劃，確保人員編制的合理性和準(zhǔn)確性。人力資源部經(jīng)理向公司總經(jīng)理報(bào)告，負(fù)責(zé)公司的人事管理和人力資源開發(fā)工作。5 輸出的文件記錄和文檔文件屬性完成的部門/職位《IT服務(wù)管理手冊(cè)》A服務(wù)部《文件和記錄管理程序》B服務(wù)部《服務(wù)策劃管理程序》B服務(wù)部《服務(wù)級(jí)別管理程序》B服務(wù)部《可用性與IT服務(wù)持續(xù)性管理程序》B服務(wù)部《IT財(cái)務(wù)管理程序》B服務(wù)部《容量管理程序》B服務(wù)部《信息安全管理程序》B服務(wù)部《業(yè)務(wù)關(guān)系管理程序》B服務(wù)部《事件管理程序》B服務(wù)部《問題管理程序》B服務(wù)部《配置管理程序》B服務(wù)部《變更管理程序》B服務(wù)部《容量管理程序》B服務(wù)部《服務(wù)質(zhì)量改進(jìn)管理程序》B服務(wù)部附：各部門主要工作職責(zé)公司管理事務(wù)部分綜合部經(jīng)理向公司總經(jīng)理報(bào)告。服務(wù)部對(duì)發(fā)布未成功的原因進(jìn)行確認(rèn)，如需重新實(shí)施變更，則按《變更管理程序》的要求執(zhí)行。服務(wù)部根據(jù)需要負(fù)責(zé)制訂《發(fā)布計(jì)劃》，確保相關(guān)的信息系統(tǒng)、基礎(chǔ)設(shè)施、服務(wù)和文檔得到認(rèn)可、授權(quán)、預(yù)定、協(xié)調(diào)和跟蹤。應(yīng)考慮：清晰定義變更的范圍、使業(yè)務(wù)增值的變更才能被認(rèn)可，例如商業(yè)的、法律的、規(guī)章的、法令的、根據(jù)優(yōu)先級(jí)和風(fēng)險(xiǎn)為變更安排時(shí)間、在變更實(shí)施中驗(yàn)證配置項(xiàng)變更、需要時(shí)監(jiān)控并改進(jìn)變更實(shí)施時(shí)間。應(yīng)：保護(hù)其不受未授權(quán)訪問、變更或破壞、提供災(zāi)害后恢復(fù)方法、對(duì)受控軟件、測(cè)試產(chǎn)品和支持文檔等備份的恢復(fù)進(jìn)行限制。被管理的配置項(xiàng)主要包括：信息系統(tǒng)和軟件（包括第三方軟件）的發(fā)布、相關(guān)系統(tǒng)文檔、例如要求規(guī)范、設(shè)計(jì)、測(cè)試報(bào)告、發(fā)布文檔、每個(gè)應(yīng)用環(huán)境配置基線、或描述應(yīng)用環(huán)境、標(biāo)準(zhǔn)硬件組成和發(fā)布、備份和電子資料庫、如最終軟件庫（DSL）、配置管理包或工具、許可證、安全組件、如防火墻、服務(wù)相關(guān)文檔、例如服務(wù)級(jí)別協(xié)議、活動(dòng)程序、務(wù)支持設(shè)施、例如機(jī)房電源。對(duì)重大事件的處理，服務(wù)部按《服務(wù)臺(tái)工作指導(dǎo)手冊(cè)》的要求執(zhí)行。事件驗(yàn)證和關(guān)閉。資源要求。當(dāng)公司與供應(yīng)商的支持合同或供貨協(xié)議需要修訂或變更時(shí)，商務(wù)部應(yīng)重新組織相關(guān)部門進(jìn)行合同評(píng)審，在評(píng)審中應(yīng)討論和明確對(duì)本公司SLA影響和變更，并按照《變更管理程序》的要求實(shí)施。商務(wù)部負(fù)責(zé)組織相關(guān)部門對(duì)供應(yīng)商提供服務(wù)的所滿足的需求、范圍、服務(wù)級(jí)別、接口和溝通流程等進(jìn)行評(píng)審并達(dá)成一致，按公司正式授權(quán)，組織簽署與供應(yīng)商之間的支持合同或供貨協(xié)議。根據(jù)《客戶滿意度管理規(guī)定》，定義、收集、分析客戶滿意度數(shù)據(jù)和信息，監(jiān)控客戶滿意度的趨勢(shì)。當(dāng)出現(xiàn)臨時(shí)的新增或變更服務(wù)時(shí)，技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)《容量管理程序》的要求，及時(shí)對(duì)《容量管理計(jì)劃》的相關(guān)內(nèi)容進(jìn)行評(píng)估和更新。針對(duì)服務(wù)升級(jí)所定義的時(shí)間表、閾值和成本。預(yù)計(jì)未來的可用性。并通過能力管理和配置管理活動(dòng)，評(píng)價(jià)所有服務(wù)組成的有效性，預(yù)知可能的、潛在的問題，并采取預(yù)防措施。應(yīng)考慮：IT服務(wù)持續(xù)性計(jì)劃考慮對(duì)服務(wù)和系統(tǒng)組成的關(guān)系。 商務(wù)部應(yīng)依據(jù)與客戶簽訂的SLA以及《供應(yīng)商管理程序》的要求，組織簽署與供應(yīng)商之間的支持合同（或協(xié)議）。服務(wù)交付過程服務(wù)級(jí)別管理服務(wù)部負(fù)責(zé)與相關(guān)部門溝通，制訂公司的《服務(wù)目錄》。監(jiān)控IT服務(wù)運(yùn)行中出現(xiàn)的不符合項(xiàng)，組織相關(guān)部門實(shí)施、驗(yàn)證改進(jìn)活動(dòng)。資源利用。 相關(guān)部門根據(jù)管理評(píng)審的結(jié)果及結(jié)論，結(jié)合本部門的工作實(shí)際，由技術(shù)服務(wù)事業(yè)部組織相關(guān)部門對(duì)當(dāng)前與本部門相關(guān)的IT服務(wù)工作的改進(jìn)需求、以及公司業(yè)務(wù)發(fā)展策略、技術(shù)動(dòng)態(tài)、政策法規(guī)要求、下一年度IT服務(wù)工作的安排進(jìn)行規(guī)劃，制訂本部門的年度工作計(jì)劃，并按公司內(nèi)控制度制訂對(duì)應(yīng)的部門年度費(fèi)用預(yù)算。相關(guān)文件：《糾正措施控制程序》 《預(yù)防措施控制程序》 IT服務(wù)管理服務(wù)管理規(guī)劃和實(shí)施在開展IT服務(wù)管理的活動(dòng)中，PDCA原理貫穿于IT服務(wù)管理體系的全部流程，其中：P（計(jì)劃） — 根據(jù)客戶要求和公司策略建立目標(biāo)和流程。 d) 資源需求e)針對(duì)被測(cè)量的控制措施有效性的改進(jìn)相關(guān)文件：《管理評(píng)審程序》8 ISMS的改進(jìn) 公司應(yīng)通過應(yīng)用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施和管理評(píng)審，持續(xù)改進(jìn)ISMS的有效性。應(yīng)建立形成文件的程序，以規(guī)定策劃和實(shí)施審核的職責(zé)和要求以及報(bào)告結(jié)果和保持記錄。例如，記錄包括訪問者登記審核記錄和訪問授權(quán)。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識(shí)別顧客對(duì)信息安全的要求等；d) 對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果。，由總經(jīng)理主持，每年至少一次對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，其中包括信息安全范圍、方針、目標(biāo)的符合性及控制措施有效性的評(píng)審，考慮安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。具體職責(zé)是：研究決定貫標(biāo)工作涉及到的重大事項(xiàng)；審定公司信息安全方針、目標(biāo)、工作計(jì)劃和重要文件；為貫標(biāo)工作的有序推進(jìn)和信息安全管理體系的有效運(yùn)行提供必要的資源。b)控制目標(biāo)及控制措施的選擇原則來源于ISO/IEC 27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》附錄A，具體控制措施參考ISO/IEC 27002:2005《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》。 識(shí)別風(fēng)險(xiǎn)在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風(fēng)險(xiǎn)管理程序》，采用Inforiskmanager風(fēng)險(xiǎn)管理軟件，對(duì)所有的資產(chǎn)進(jìn)行了識(shí)別，并識(shí)別了這些資產(chǎn)的所有者。本公司ISMS的物理范圍為本公司位于常州市常州市鸝欣麗都2幢乙單元503室的辦公場(chǎng)所，安全邊界詳見附錄A（規(guī)范性附錄）《辦公場(chǎng)所平面圖》。3．6．4．6技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織制訂《文件和記錄管理程序》，明確文件的擬制、批準(zhǔn)、發(fā)放、變更、存檔等管理要求，并監(jiān)控實(shí)施。技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門按照PDCA的要求，通過對(duì)所屬業(yè)務(wù)的規(guī)劃，適時(shí)優(yōu)化和提供資源以計(jì)劃、實(shí)施、監(jiān)控、評(píng)審和改進(jìn)IT服務(wù)的交付和管理。3）、負(fù)責(zé)各系統(tǒng)的配置管理、變更和發(fā)布控制。對(duì)于上圖虛線框內(nèi)的的問題管理、發(fā)布管理、配置管理、變更管理、可用性和連續(xù)性管理、容量管理、服務(wù)級(jí)別管理以及服務(wù)報(bào)告可由服務(wù)部經(jīng)理依照與用戶簽署的服務(wù)合同進(jìn)行選擇裁剪。5生產(chǎn)技術(shù)部是我公司信息系統(tǒng)安全管理部門。1. 負(fù)責(zé)管理體系的建立、實(shí)施、保持、測(cè)量和改進(jìn)?！魧?duì)用戶賬號(hào)、口令和權(quán)限進(jìn)行嚴(yán)格管理，防止對(duì)信息系統(tǒng)的非授權(quán)訪問?！舸_保公司所有員工都接受信息安全的教育培訓(xùn)，提高信息安全意識(shí)。3 公司架構(gòu)和安全承諾總 經(jīng) 理文檔培訓(xùn)倉庫采購人力資源財(cái)務(wù)物流銷售市場(chǎng)測(cè)試質(zhì)量保證質(zhì)管部實(shí)施研發(fā)綜合管理部生技部商務(wù)部總 經(jīng) 理管理者代表商務(wù)部生技部綜合管理部副管理者代表研發(fā)實(shí)施質(zhì)管部質(zhì)量保證測(cè)試客戶服務(wù)部銷售物流財(cái)務(wù)人力資源采購倉庫培訓(xùn)文檔安全委員會(huì)注：每個(gè)虛線框內(nèi)為一個(gè)信息安全小組，部門的負(fù)責(zé)人為安全組長(zhǎng)，各崗位負(fù)責(zé)人為該崗位的安全員。2．3．3“有效文件”形式的文件在更新后，如需保存原來的版本，以便于追溯，則應(yīng)當(dāng)用“保留文件”的標(biāo)識(shí)予以區(qū)分。2 信息安全管理amp。信息安全目標(biāo)：：100% （所有不可接受風(fēng)險(xiǎn)應(yīng)降低到可接受的程度）。13．應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。7．對(duì)本公司的相關(guān)方，要明確安全要求和安全職責(zé)?？偨?jīng)理：日期：信息安全方針和信息安全目標(biāo)信息安全方針：信息安全 人人有責(zé)本公司信息安全管理方針包括內(nèi)容如下：一、信息安全管理機(jī)制1．公司采用系統(tǒng)的方法，按照ISO/IEC 27001:2005建立信息安全管理體系，全面保護(hù)本公司的信息安全。為能更好的貫徹公司管理層在信息安全與IT服務(wù)管理方面的策略和方針，根據(jù)ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》和ISO27001：2005《信息安全管理體系要求》的要求任命XXXXX為管理者代表，作為本公司組織和實(shí)施“信息安全管理與IT服務(wù)管理體系”的負(fù)責(zé)人。 信息安全管理IT服務(wù)管理體系手冊(cè)發(fā)布令本公司按照ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》和ISO27001：2005《信息安全管理體系要求》以及本公司業(yè)務(wù)特點(diǎn)編制《信息安全管理amp。直接向公司管理層報(bào)告。二、信息安全管理組織2．公司總經(jīng)理對(duì)信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。 8．定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識(shí)。六、報(bào)告安全事件14．公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門。（重大顧客投訴是指直接經(jīng)濟(jì)損失金額達(dá)1萬元以上）1 信息安全管理手冊(cè)說明1．1公司簡(jiǎn)介XX本手冊(cè)在遵循ISO9001：2005 《信息安全管理體系要求》與ISO/IEC 20000 《信息技術(shù)服務(wù)管理－規(guī)范》的要求編制而成，包括了ISO27001：2005的全部要求，對(duì)附錄A的刪減見《適用性聲明SoA》。IT服務(wù)管理手冊(cè)的管理2．1手冊(cè)的編制、批準(zhǔn)和發(fā)布2．1．1按照公司業(yè)務(wù)發(fā)展戰(zhàn)略和客戶需求，經(jīng)公司管理者代表批準(zhǔn)，技術(shù)服務(wù)事業(yè)部組織相關(guān)人員，結(jié)合本公司業(yè)務(wù)特點(diǎn)，根據(jù)ISO/IEC 20000標(biāo)準(zhǔn)的要求編寫。2．3．4電子形式的手冊(cè)由技術(shù)服務(wù)事業(yè)部在工作流轉(zhuǎn)系統(tǒng)中進(jìn)行管理。3．3公司IT服務(wù)管理職能關(guān)系架構(gòu)圖◆公司成立安全管理委員會(huì)來領(lǐng)導(dǎo)信息安全工作，并確定相應(yīng)的職責(zé)和作用?！舯Ｗo(hù)公司、客戶、相關(guān)合作方的信息安全?！魧?duì)重要信息進(jìn)行備份保護(hù)，以保證信息的可用性。2. 負(fù)責(zé)文件控制、記錄控制、內(nèi)部審核的組織、管理評(píng)審的組織和體系的改進(jìn)。負(fù)責(zé)局域網(wǎng)上所承擔(dān)的各類信息系統(tǒng)的管理職能；負(fù)責(zé)我公司信息系統(tǒng)安全日常管理。3．6．2 角色分配說明3．6．2．1針對(duì)服務(wù)部當(dāng)前組織架構(gòu)及人員狀況，將不再為每一具體流程分配流程經(jīng)理。4）、負(fù)責(zé)系統(tǒng)的可用性規(guī)劃和管理、負(fù)責(zé)安排系統(tǒng)連續(xù)性的計(jì)劃和演練，并負(fù)責(zé)系統(tǒng)容量的規(guī)劃和監(jiān)控。 管理者代表按照《服務(wù)質(zhì)量改進(jìn)管理程序》中的計(jì)劃間隔，由技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門實(shí)施IT服務(wù)管理體系的內(nèi)部審核，確保IT服務(wù)管體系的有效性與符合性。3．6．4．7技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門，根據(jù)公司的業(yè)務(wù)特點(diǎn)及標(biāo)準(zhǔn)的要求，制訂相關(guān)的程序文件，經(jīng)公司管理者代表批準(zhǔn)后實(shí)施。 信息安全管理體系的方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持軟件開發(fā)和經(jīng)營(yíng)的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。c)本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。本公司由相關(guān)部門代表組成信息安全管理網(wǎng)絡(luò)，采用聯(lián)席會(huì)議（協(xié)調(diào)會(huì)）的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以：a) 確保安全活動(dòng)的執(zhí)行符合信息安全方針；b) 確定怎樣處理不符合；c) 批準(zhǔn)信息安全的方法和過程，如風(fēng)險(xiǎn)評(píng)估、信息分類；d) 識(shí)別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對(duì)威脅的暴露；e) 評(píng)估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性；f) 有效的推動(dòng)組織內(nèi)信息安全教育、培訓(xùn)和意識(shí)；g) 評(píng)價(jià)根據(jù)信息安全事件監(jiān)控和評(píng)審得出的信息，并根據(jù)識(shí)別的信息安全事件推薦適當(dāng)?shù)拇胧９芾碓u(píng)審的具體要求，見本手冊(cè)第7章。相關(guān)文件：《系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法》《適用性聲明》《管理評(píng)審程序》《內(nèi)部審核控制程序》《糾正措施控制程序》《預(yù)防措施控制程序》 ISMS文件應(yīng)包括： a) 形成文件的ISMS方針和控制目標(biāo)； b) ISMS范圍c) ISMS的支持性程序和控制措施； d) 風(fēng)險(xiǎn)評(píng)估方法的描述； e) 風(fēng)險(xiǎn)評(píng)估報(bào)告； f) 風(fēng)險(xiǎn)處置計(jì)劃； g) 公司為確保其信息安全過程的有效策劃、運(yùn)行和控制以及規(guī)定如何測(cè)量