【正文】 控制措施有效性所需的程序文件； h) 標(biāo)準(zhǔn)所要求的記錄； i) 適用性聲明。 相關(guān)文件：《文件控制程序》《記錄控制程序》5 管理職責(zé) 管理層應(yīng)通過以下措施對其建立、實施、運行、監(jiān)控、評審、維護和改進ISMS的承諾提供證據(jù)。 受審核區(qū)域的負(fù)責(zé)人應(yīng)確保立即采取措施，以消除發(fā)現(xiàn)的不符合及其原因。 公司應(yīng)采取措施消除ISMS實施和運行的不符合原因，以防止其再發(fā)生。D（實施） — 實施流程。實施IT服務(wù)技術(shù)服務(wù)事業(yè)部組織相關(guān)部門按批準(zhǔn)后的公司年度計劃，對計劃周期內(nèi)的工作任務(wù)、目標(biāo)、績效要求進行分解，組織各部門制訂各自的年度工作計劃和費用預(yù)算，并進行跟蹤、檢查。服務(wù)實施的趨勢。任何不符合ISO/IEC 200001：2005標(biāo)準(zhǔn)的活動都應(yīng)被糾正。服務(wù)目錄應(yīng)定義所有服務(wù)，并包含服務(wù)名稱、服務(wù)目標(biāo)或標(biāo)準(zhǔn)、聯(lián)系接口、服務(wù)提供時間和例外、安全方面的考慮和安排。當(dāng)出現(xiàn)重要業(yè)務(wù)變更時，銷售部門應(yīng)及時與技術(shù)服務(wù)事業(yè)部溝通，按原流程重新組織相關(guān)部門，調(diào)整、修訂《服務(wù)級別協(xié)議》，并作為服務(wù)改進計劃的輸入。應(yīng)清晰的分配調(diào)用IT服務(wù)持續(xù)性計劃的責(zé)任，并清晰的計劃對每個目標(biāo)采取措施的責(zé)任。對《可用性與IT服務(wù)持續(xù)性計劃》中內(nèi)容和目標(biāo)的變更，服務(wù)部應(yīng)及時組織相關(guān)部門按《變更管理程序》的要求進行評估、驗證和確認(rèn)，確保變更的效果及滿足SLA的要求。IT服務(wù)的預(yù)算及財務(wù)管理技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)國家的有關(guān)法律法規(guī)和財務(wù)政策，及《IT財務(wù)管理程序》的要求，根據(jù)公司的業(yè)務(wù)策略（包括產(chǎn)品策略、銷售策略、服務(wù)策略等），組織擬制、審核本部門的總體性和階段性的IT服務(wù)費用預(yù)算及成本標(biāo)準(zhǔn)。評估預(yù)期的服務(wù)升級、變更請求、新技術(shù)和技術(shù)能力的效果。1 關(guān)系過程總則供應(yīng)商和客戶的關(guān)系管理可采用正式合同形式約束。技術(shù)服務(wù)事業(yè)部根據(jù)《業(yè)務(wù)關(guān)系管理程序》中的客戶投訴管理流程，負(fù)責(zé)收集、統(tǒng)計、分析客戶投訴的記錄，識別投訴的發(fā)展趨勢和存在問題，確保服務(wù)的持續(xù)性目標(biāo)的實現(xiàn)。主要包含：服務(wù)、角色、責(zé)任的定義。商務(wù)部按《供應(yīng)商管理程序》的要求，對公司合格供應(yīng)商進行季度評價和年度評審，監(jiān)督、記錄供應(yīng)商對本公司SLA的落實情況，擬制《供應(yīng)商合作分析報告》，將評定的結(jié)果及時反饋給相關(guān)供應(yīng)商，并組織進行相關(guān)調(diào)整和改進。解決方案的效果和成本。一線客戶聯(lián)系。服務(wù)臺應(yīng)在證實事件已經(jīng)解決并且服務(wù)已經(jīng)恢復(fù)的時候，事件才能最終關(guān)閉。服務(wù)部根據(jù)配置項之間的關(guān)系、屬性、狀態(tài)類別、重要程度和優(yōu)先級，確定配置管理數(shù)據(jù)庫的范圍、分解的層數(shù)、詳細(xì)的程度，完成配置管理數(shù)據(jù)庫的構(gòu)建，擬制《配置管理數(shù)據(jù)庫初始化表單》，形成配置基線，并和公司的服務(wù)目標(biāo)、與公司的SLA保持一致。配置評審程序應(yīng)包含缺陷記錄、執(zhí)行糾正措施和報告結(jié)果。服務(wù)部在組織、開展變更時，還應(yīng)在變更計劃中對具體實施進行說明：發(fā)起、記錄和分類、評估變更對服務(wù)、客戶和發(fā)布計劃的影響、緊急程度、成本、收益和風(fēng)險、如果沒有成功時可以恢復(fù)或修訂、備案，如變更請求與受影響的配置項、更新后的實施和發(fā)布計劃版本、根據(jù)變更的類型、大小和風(fēng)險，得到變更負(fù)責(zé)方的認(rèn)可或拒絕、由負(fù)責(zé)變更組件的團隊負(fù)責(zé)人進行實施、測試、驗證、取消、結(jié)束和評審、時間安排、監(jiān)控和報告、與事件、問題、其它變更和配置項記錄聯(lián)系。一般包括：發(fā)布日期和交付描述、本次發(fā)布關(guān)閉或解決的相關(guān)變更、問題和已知錯誤，以及在發(fā)布測試期間被識別的已知錯誤、在可行的情況下，為每個實施地點制訂一份活動計劃、如發(fā)布失敗，可以被撤銷或修復(fù)的方式、驗證和驗收流程、對客戶和服務(wù)支持人員的交流、準(zhǔn)備、備案和培訓(xùn)、采購、存儲、分發(fā)、聯(lián)系、接受和銷毀商品的后勤工作和流程、確保服務(wù)級別所需的支持資源、可能對發(fā)布測試和實施造成影響的相關(guān)變更和風(fēng)險的標(biāo)識、與相關(guān)人員、客戶代表安排的更新、評審會議。如屬潛在問題引起的發(fā)布未成功，則應(yīng)按《問題管理程序》的要求執(zhí)行。負(fù)責(zé)公司日常綜合行政事務(wù)，組織建立和監(jiān)督執(zhí)行公司各項行政制度，參與公司發(fā)展戰(zhàn)略規(guī)劃的制訂。負(fù)責(zé)制定公司人事管理制度，研究、分析并提出改進工作意見和建議。負(fù)責(zé)員工各項福利與勞動保護管理工作，營造員工與公司之間的和諧關(guān)系。參與公司重要事項的分析和決策，為企業(yè)的生產(chǎn)經(jīng)營、業(yè)務(wù)發(fā)展及對外投資等事項提供財務(wù)方面的分析和決策依據(jù)。參與制訂并審核公司對客戶的所有的服務(wù)級別承諾文件，并在得到公司正式授權(quán)后代表公司組織簽署與供應(yīng)商之間的服務(wù)級別承諾文件。項目管理部經(jīng)理向負(fù)責(zé)技術(shù)的公司副總經(jīng)理報告。商務(wù)部經(jīng)理向負(fù)責(zé)技術(shù)的公司副總經(jīng)理報告。負(fù)責(zé)組織和管理公司供應(yīng)商的開發(fā)工作，跟蹤新技術(shù)、新產(chǎn)品和新方案，比較現(xiàn)有合格供應(yīng)商、采購和運營的狀況，根據(jù)公司相關(guān)部門的需求尋找新的供應(yīng)商，持續(xù)對系統(tǒng)建設(shè)和運維工作更高的性能價格比提出改進目標(biāo)。在ISO20000開始貫徹的初期，當(dāng)公司尚不能與客戶簽署正式的服務(wù)級別協(xié)議時，公司中作為運維和服務(wù)部門的代表，與銷售部門簽署經(jīng)過批準(zhǔn)后的服務(wù)級別協(xié)議。負(fù)責(zé)管理技術(shù)服務(wù)事業(yè)部的IT服務(wù)質(zhì)量和安全生產(chǎn)保證工作，對服務(wù)部所有承擔(dān)的行業(yè)外IT服務(wù)項目負(fù)管理責(zé)任，并定期提出相關(guān)服務(wù)評估報告和改進建議。組織擬制公司在IT服務(wù)方面的策略、服務(wù)政策、計劃和流程。負(fù)責(zé)擬制IT服務(wù)管理中的相關(guān)管理程序和流程的改進和變更，并定期做出評估報告和改進建議。現(xiàn)場服務(wù)工作監(jiān)督和回訪結(jié)果的反饋，工程移交情況跟蹤和客戶意見的反饋工作。組織擬定技術(shù)組專項技術(shù)巡檢方案、計劃、實施，變更管理。參與新產(chǎn)品系統(tǒng)的配置管理、容量管理、變更管理、發(fā)布管理、可用性管理和IT服務(wù)持續(xù)性管理的工作，保證其順利運行。收集現(xiàn)場服務(wù)人員培訓(xùn)的需求，組織實施包括合同、方案的學(xué)習(xí)、服務(wù)規(guī)范學(xué)習(xí)、配套技術(shù)、工具的學(xué)習(xí)，經(jīng)驗交流等工作。參與擬定、規(guī)劃服務(wù)部內(nèi)部有關(guān)分擔(dān)服務(wù)級別協(xié)議所規(guī)定責(zé)任的部門和人員分工，并擬制相關(guān)的分工文件和服務(wù)級別承諾文件。負(fù)責(zé)現(xiàn)場工程師技術(shù)能力評價和成長目標(biāo)的考核。負(fù)責(zé)IT服務(wù)技術(shù)組人員的工作業(yè)績的考核。在公司規(guī)定的范圍內(nèi)，在I T客戶提出新的服務(wù)請求而需進行有關(guān)變更時，服務(wù)臺負(fù)責(zé)聯(lián)絡(luò)有關(guān)方面，維修或替換有關(guān)的軟硬件組件。組織擬制、審核相關(guān)備件管理計劃組織擬制、審核公司在客戶服務(wù)業(yè)務(wù)方面的策略、客戶服務(wù)政策、計劃和流程。 服務(wù)部經(jīng)理負(fù)責(zé)服務(wù)臺、服務(wù)組、技術(shù)組的工作。根據(jù)經(jīng)過審批的IT服務(wù)管理方案，組織擬制相關(guān)的IT服務(wù)計劃和實施方案，報批后監(jiān)督執(zhí)行，并定期提出相關(guān)服務(wù)評估報告和改進建議。審核公司在IT服務(wù)、系統(tǒng)集成和運行維護方面的工作計劃、過程文件，審核相關(guān)資源需求計劃，持續(xù)提高公司技術(shù)服務(wù)的工作效率。根據(jù)公司的發(fā)展規(guī)劃，負(fù)責(zé)組織相關(guān)部門討論、確定采購需求規(guī)劃，擬定供應(yīng)商發(fā)展、采購計劃和預(yù)算評估報告。結(jié)合公司的發(fā)展目標(biāo)、IT服務(wù)系統(tǒng)的服務(wù)級別協(xié)議內(nèi)容及公司各部門的工作指標(biāo)，組織管理體系的改進，并協(xié)助建立客戶滿意度指標(biāo)評價系統(tǒng)。負(fù)責(zé)組織擬制、審核公司公司IT服務(wù)管理的相關(guān)需求計劃，參與評審相關(guān)供應(yīng)商。負(fù)責(zé)組織推動公司的市場管理體系建設(shè)工作，提高公司在市場發(fā)展方面的運行效率和能力。負(fù)責(zé)監(jiān)督、審計公司財務(wù)管理制度和財務(wù)計劃的執(zhí)行情況，審核財務(wù)報表，向總經(jīng)理提交財務(wù)管理工作報告、財務(wù)分析和改進建議。負(fù)責(zé)擬制員工勞動紀(jì)律管理制度，負(fù)責(zé)考勤、獎懲、差假、調(diào)動等管理工作。負(fù)責(zé)公司的企業(yè)文化建設(shè)。服務(wù)部組織對IT服務(wù)系統(tǒng)的運行監(jiān)控，收集生產(chǎn)系統(tǒng)運行信息，完成《月度服務(wù)質(zhì)量分析報告》。如果發(fā)布未成功，則應(yīng)按《發(fā)布計劃》中制訂的撤銷計劃的內(nèi)容，實施回退操作，并將發(fā)布情況及時報告服務(wù)部。4 發(fā)布過程發(fā)布管理服務(wù)部根據(jù)《變更管理程序》的要求，結(jié)合業(yè)務(wù)對信息系統(tǒng)、基礎(chǔ)設(shè)施、服務(wù)和文檔等進行規(guī)劃，識別發(fā)布的內(nèi)容、種類、層次、影響等，制訂發(fā)布策略來配置發(fā)布活動，包括：發(fā)布頻度和類型、發(fā)布管理的角色和責(zé)任、發(fā)布測試和實施的授權(quán)、所有發(fā)布的唯一標(biāo)識和描述、分組變更以進行版本發(fā)布、為提高效率和可重復(fù)性，建立、安裝、發(fā)布分發(fā)流程自動化方法、發(fā)布的驗證和接受。變更管理服務(wù)部根據(jù)公司業(yè)務(wù)需要或客戶需求，制訂《變更計劃》。為保護系統(tǒng)、服務(wù)和基礎(chǔ)設(shè)施的完整性和安全性，配置項信息應(yīng)被保存在一個安全環(huán)境。3 控制流程配置管理服務(wù)部應(yīng)根據(jù)《配置管理程序》的要求，評估所有與IT服務(wù)相關(guān)的重要資產(chǎn)和配置項，識別、定義、維護IT服務(wù)和基礎(chǔ)設(shè)施的組件，明確配置項之間的關(guān)系、屬性和作用，定義命名規(guī)范、版本號，制訂和實施《配置項分類定義表》，以確保有效管理IT資產(chǎn)和配置。知識庫中包括技術(shù)專家、以前事件、相關(guān)問題、已知錯誤、配置管理數(shù)據(jù)庫（CMDB）、檢查清單等有助于恢復(fù)服務(wù)的各種信息。事件跟蹤和生命周期管理?，F(xiàn)有技能。商務(wù)部負(fù)責(zé)擬制公司《合格供應(yīng)商名單》，并負(fù)責(zé)《合格供應(yīng)商名單》的維護和管理。了解所有供應(yīng)商的業(yè)績并采取相應(yīng)改進措施。服務(wù)部與客戶建立有效的互動、溝通關(guān)系，以便及時了解客戶的需求或重大變更，并依據(jù)需求進行響應(yīng)。技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)服務(wù)特點、服務(wù)量、服務(wù)報告和客戶業(yè)務(wù)等信息，組織對《容量管理計劃》進行評審，并保留評審相關(guān)的紀(jì)錄。容量管理技術(shù)服務(wù)事業(yè)部負(fù)責(zé)現(xiàn)有IT服務(wù)系統(tǒng)容量水平的規(guī)劃，根據(jù)《容量管理程序》的要求，制訂《容量管理計劃》，應(yīng)在計劃中描述業(yè)務(wù)需求，包括：當(dāng)前和預(yù)計的容量和性能需求?？紤]、評估供應(yīng)商的影響。當(dāng)業(yè)務(wù)環(huán)境發(fā)生重大變化時，服務(wù)部應(yīng)重新組織評審、修訂《可用性與IT服務(wù)持續(xù)性計劃》。可用性和IT服務(wù)持續(xù)性管理服務(wù)部應(yīng)按照《可用性與IT服務(wù)持續(xù)性管理程序》的要求，擬制《可用性與IT服務(wù)持續(xù)性計劃》，根據(jù)客戶業(yè)務(wù)優(yōu)先級、服務(wù)級別協(xié)議和評估的風(fēng)險，按設(shè)計的工作量計劃維護有效的服務(wù)能力，并與《服務(wù)級別協(xié)議》的目標(biāo)保持一致?！斗?wù)級別協(xié)議》包含以下內(nèi)容：服務(wù)的簡述、術(shù)語表、客戶職責(zé)、服務(wù)部門職責(zé)和義務(wù)、服務(wù)目標(biāo)、服務(wù)時間、工作量限制（最大及最小工作量），支持和相關(guān)服務(wù)、影響和優(yōu)先級描述、授權(quán)細(xì)節(jié)，及授權(quán)人員聯(lián)系信息、有效期或SLA變更控制機制（包含升級和通知流程）、服務(wù)中斷采取的糾正措施，計劃和協(xié)調(diào)中斷，包括通知事件及頻率、溝通的簡述，包括報告、投訴程序、在SLA中規(guī)定條款的例外情況。服務(wù)部應(yīng)報告新服務(wù)或變更服務(wù)按計劃實施所達到的結(jié)果，服務(wù)部按《發(fā)布管理程序》，執(zhí)行實施發(fā)布評審，比較實際結(jié)果與期望結(jié)果的一致性。服務(wù)部按管理評審的要求，確定服務(wù)改進的測量、報告和溝通流程和內(nèi)容。客戶滿意度。 服務(wù)部根據(jù)公司IT服務(wù)管理職能關(guān)系架構(gòu)圖中的所分配的職責(zé)并依據(jù)條款49中所規(guī)定的服務(wù)管理過程向客戶提供IT服務(wù)。應(yīng)根據(jù)風(fēng)險評估結(jié)果來確定預(yù)防措施的優(yōu)先級。 管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施 a) ISMS有效性的改進 b) 風(fēng)險評估和風(fēng)險處理計劃的更新 c) 必要時修訂影響信息安全的程序和控制措施，以反映可能影響ISMS的內(nèi)外事件，包括以下變化 1 業(yè)務(wù)需求； 2 安全需求； 3 影響已有業(yè)務(wù)需求的業(yè)務(wù)過程； 4 法律法規(guī)環(huán)境； 5 合同義務(wù)； 6 風(fēng)險和/或風(fēng)險接受準(zhǔn)則。 內(nèi)部審核程序應(yīng)進行計劃，并考慮受審核過程的狀況、重要性和受審核的區(qū)域以及上次審核結(jié)果，應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方式，審核員的選擇和審核活動應(yīng)保證審核過程的客觀和公正，審核員不能審核自己的工作。 保持過程業(yè)績的記錄以及與ISMS有關(guān)的安全事件的記錄。我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進：a) 實施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進的項目；b) 按照《內(nèi)部審核管理程序》、《糾正措施管理程序》、《預(yù)防措施管理程序》的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故（事件）的經(jīng)驗教訓(xùn)，不斷改進安全措施的有效性；c) 通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進行有效的溝通。 、內(nèi)部審核、事故（事件）報告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)：a)及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故（事件）和隱患；b)及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c)使管理者確認(rèn)人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果；d)使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e)積累信息安全方面的經(jīng)驗。 信息安全組織機構(gòu)本公司成立了的信息安全領(lǐng)導(dǎo)機構(gòu)信息安全委員會，其職責(zé)是實現(xiàn)信息安全管理體系方針和本公司承諾。網(wǎng)絡(luò)管理部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險評估的結(jié)果，組織有關(guān)部門制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門（見《信息安全適用性聲明》）：a)信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。信息安全風(fēng)險評估采用信息安全風(fēng)險管理軟件（Inforiskmanager）進行，以保證所選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。3．6．4．5記錄 — 在開展具體業(yè)務(wù)工作過程中產(chǎn)生的記錄類文件，主要是為具體工作結(jié)果提供各種可追溯性證據(jù)。 技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門，通過會議、評審、書面報告、培訓(xùn)等方式，及時有效溝通工作，達到IT服務(wù)管理目標(biāo)和持續(xù)改進的需求，并在公司中積極貫徹實施IT服務(wù)管理的重要性。2）、負(fù)責(zé)從服務(wù)臺接受事件報告開始，分配相應(yīng)的職能小組進行事件處理，直至找到問題的根本原因的整個過程的管理和協(xié)調(diào)。一個完整的服務(wù)項目必須包含服務(wù)臺、事件管理、業(yè)務(wù)關(guān)系管理、信息安全管理、供應(yīng)商管理和IT財務(wù)管理。8. 參與涉密及司法介入的信息安全事件的調(diào)查。4綜合管理部我公司信息安全管理體系的歸口管理部門?！艨刂茖?nèi)外部網(wǎng)絡(luò)服務(wù)的訪問，保護網(wǎng)絡(luò)服務(wù)的安全性與可用性。進行業(yè)務(wù)持續(xù)性風(fēng)險評估，編寫、測試并實施業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃，以保證公司關(guān)鍵業(yè)務(wù)的連續(xù)，不受重大故障和災(zāi)難的影響。不得隨意向其他與公司業(yè)務(wù)無關(guān)的第三方傳播，如需提供公司以外的第三方參考，應(yīng)經(jīng)技術(shù)服務(wù)事業(yè)