【正文】 技術(shù)支持，協(xié)助服務(wù)臺解決未知錯誤。一線事件解決或轉(zhuǎn)移。2 解決方案流程背景事件和問題管理作為獨立的流程管理，事件管理關(guān)注的是服務(wù)恢復(fù)，而問題管理考慮的是識別并消除事件隱患。約定報告的內(nèi)容和服務(wù)成果記錄。管理變更。業(yè)務(wù)關(guān)系管理服務(wù)部按照《業(yè)務(wù)關(guān)系管理程序》的要求，牽頭并定期組織銷售部門，開展服務(wù)管理評價活動，討論、匯報服務(wù)范圍、SLA、合同或業(yè)務(wù)需求的變化，及性能、成績、結(jié)果和措施計劃，并形成會議紀(jì)要。為達(dá)到SLA所要求的服務(wù)級別目標(biāo)和業(yè)務(wù)需求所應(yīng)具備的資金條件。服務(wù)部應(yīng)在服務(wù)變更時，計算服務(wù)變更成本，并通過《變更管理程序》進(jìn)行批準(zhǔn)。與SLA中定義需求相比較，以識別不符合SLA有效目標(biāo)的事項。使員工理解調(diào)用、執(zhí)行計劃的角色與職責(zé)，并能訪問IT服務(wù)持續(xù)性文件。當(dāng)出現(xiàn)有關(guān)IT服務(wù)系統(tǒng)配置項的變更時，服務(wù)部應(yīng)按《變更管理程序》的要求執(zhí)行。銷售部門代表客戶，與服務(wù)部簽訂《服務(wù)級別協(xié)議》。當(dāng)出現(xiàn)新服務(wù)或變更服務(wù)時，服務(wù)部根據(jù)《服務(wù)策劃管理程序》的要求，組織實施IT服務(wù)策劃和實施工作。在評估中發(fā)現(xiàn)的任何不符合標(biāo)準(zhǔn)的活動都應(yīng)該采取糾正措施予以改進(jìn)，對于發(fā)現(xiàn)的潛在問題應(yīng)該予以控制。服務(wù)部經(jīng)理負(fù)責(zé)組織IT服務(wù)項目，按各項目階段性工作計劃、費用預(yù)算的內(nèi)容，以及IT服務(wù)管理的要求，收集與IT服務(wù)相關(guān)的信息，監(jiān)控、測量和評審與本業(yè)務(wù)相關(guān)的服務(wù)規(guī)劃要求、已有的SLA符合要求的程度。甘肅萬維公司為不斷滿足市場需求和企業(yè)自身發(fā)展需要，將在未來將原有的三大技術(shù)服務(wù)內(nèi)容重新規(guī)劃和設(shè)計，細(xì)化成六大服務(wù)內(nèi)容：基礎(chǔ)設(shè)施服務(wù)、運維服務(wù)、專業(yè)技術(shù)服務(wù)、IT安全服務(wù)、咨詢設(shè)計評估服務(wù)、培訓(xùn)服務(wù)。 a) 確定潛在不符合及其原因；b) 評價預(yù)防不符合發(fā)生所需的措施；c) 決定實施所需的預(yù)防措施； d) 記錄所采取措施的結(jié)果； e) 評審所采取的預(yù)防措施。評審結(jié)果應(yīng)清楚地寫入文件應(yīng)保持記錄。 公司應(yīng)確保員工認(rèn)識到所從事信息安全活動的相關(guān)性和重要性，以及如何為實現(xiàn)ISMS目標(biāo)作出貢獻(xiàn)。ISMS應(yīng)考慮相關(guān)法律要求，記錄應(yīng)易于識別和檢索。，更新安全計劃。各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)；各部門、《信息安全管理職責(zé)明細(xì)表》和相應(yīng)的程序文件。該聲明包括以下方面的內(nèi)容：a)所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因；b)對ISO/IEC 27001:2005附錄A中未選用的控制目標(biāo)及控制措施理由的說明。 識別和評價風(fēng)險處理的選擇網(wǎng)絡(luò)管理部組織有關(guān)部門根據(jù)風(fēng)險評估的結(jié)果，形成《風(fēng)險處理計劃》，該計劃明確了風(fēng)險處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時間。；b) 識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求； c) 定期進(jìn)行信息安全風(fēng)險評估，信息安全管理體系評審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d）采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護(hù)各類信息，實現(xiàn)信息共享；e) 對全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強員工的信息安全意識和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。相關(guān)文件：《信息安全方針及目標(biāo)》（ISMS） 信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全管理體系的范圍包括：a) 本公司涉及軟件開發(fā)、營銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng)；b) 與所述信息系統(tǒng)有關(guān)的活動；c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工；d) 所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。3．6．4．3程序文件 — 覆蓋公司主要業(yè)務(wù)過程的流程文件，是管理手冊的支撐性文件。 技術(shù)服務(wù)事業(yè)部組織制訂、批準(zhǔn)和發(fā)布公司IT服務(wù)策略、服務(wù)目標(biāo)，并使其成為公司關(guān)注的焦點，成為公司協(xié)調(diào)、統(tǒng)一、凝聚公司的所有活動和資源的準(zhǔn)則，成為建立、實施、保持并改進(jìn)IT服務(wù)管理體系的宗旨。3．6．2．1．1 項目經(jīng)理職責(zé)說明：1）、負(fù)責(zé)IT服務(wù)項目的立項工作，按照服務(wù)合同要求負(fù)責(zé)相應(yīng)流程的實施、管理和控制。IT服務(wù)管理職能關(guān)系架構(gòu)，并不替代現(xiàn)有的按技術(shù)類別進(jìn)行的分工，現(xiàn)有的按技術(shù)類別進(jìn)的分工，在將來的IT服務(wù)管理體系中仍將發(fā)揮其作用。6. 負(fù)責(zé)涉密信息上網(wǎng)、涉密計算機運行、檢修、報廢的監(jiān)督管理。2總經(jīng)理信息安全第一責(zé)任人，制定信息安全方針，對信息安全全面負(fù)責(zé)?！羧魏稳嗽谖唇?jīng)審批的情況下，禁止將信息資產(chǎn)帶離公司。對公司信息資產(chǎn)進(jìn)行風(fēng)險評估，制定風(fēng)險可接受標(biāo)準(zhǔn)，對公司不能接受的風(fēng)險進(jìn)行處置。2．5公司內(nèi)部手冊持有者的責(zé)任2．5．1與公司或部門內(nèi)部的相關(guān)人員溝通、學(xué)習(xí)手冊的要求并遵照執(zhí)行。2．3手冊的受控狀態(tài)2．3．1書面形式的手冊分“有效文件”和“保留文件”兩種形式。IT服務(wù)管理體系手冊適用于本公司提供安全管理體系認(rèn)證服務(wù)與IT服務(wù)有關(guān)的所有部門和活動。八、業(yè)務(wù)持續(xù)性18．公司根據(jù)風(fēng)險評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時恢復(fù)。五、風(fēng)險評估11．根據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風(fēng)險評估程序，確定風(fēng)險接受準(zhǔn)則。三、人員安全6．信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動合同、崗位職責(zé)中應(yīng)包含對信息安全的要求。2． 負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；向公司管理層報告IT服務(wù)管理體系的業(yè)績，如：服務(wù)方針和服務(wù)目標(biāo)的業(yè)績、客戶滿意度狀況、各項服務(wù)活動及改進(jìn)的要求和結(jié)果等。是全體員工必須遵守的原則性規(guī)范。為實現(xiàn)信息安全管理與IT服務(wù)管理，開展持續(xù)改進(jìn)服務(wù)質(zhì)量，不斷提高客戶滿意度活動，加強信息安全建設(shè)的綱領(lǐng)性文件和行動準(zhǔn)則。管理者代表職責(zé)：a) 建立服務(wù)管理計劃； b) 向組織傳達(dá)滿足服務(wù)管理目標(biāo)和持續(xù)改進(jìn)的重要性； e) 確定并提供策劃、實施、監(jiān)視、評審和改進(jìn)服務(wù)交付和管理所需的資源，如招聘合適的人員，管理人員的更新； 1． 確保按照ISO207001:2005標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識別和風(fēng)險評估，全面建立、實施和保持信息安全管理體系；按照ISO/IEC 20000 《信息技術(shù)服務(wù)管理－規(guī)范》的要求，組織相關(guān)資源，建立、實施和保持IT服務(wù)管理體系，不斷改進(jìn)IT服務(wù)管理體系，確保其有效性、適宜性和符合性。5．與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。四、識別法律、法規(guī)、合同中的安全10．及時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。七、監(jiān)督檢查17．定期對信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審核等。信息安全管理amp。2．2．2公司各部門負(fù)責(zé)手冊的使用和保管。對電子形式的手冊，由技術(shù)服務(wù)事業(yè)部按工作流轉(zhuǎn)系統(tǒng)中的管理規(guī)則進(jìn)行更新和歸檔管理?！魧拘畔①Y產(chǎn)實行有效管理，確保信息的機密性，維持信息的完整性和可用性，防范對信息的未經(jīng)授權(quán)訪問?！舯Ｗo(hù)公司軟件和信息的完整性，防止病毒與各種惡意軟件的入侵。信息安全管理職責(zé)明細(xì)表序號單位/部門信息安全職責(zé)1信息安全管理委員會信息安全管理委員會是我公司信息安全最高組織機構(gòu)，負(fù)責(zé)本單位網(wǎng)絡(luò)與信息安全重大事項的決策和協(xié)調(diào)，并對全公司信息安全工作負(fù)責(zé)。5. 負(fù)責(zé)全公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、意識和培訓(xùn)，員工離職管理。信息安全管理委員會組成人員：姓名部門職務(wù)備注3．6服務(wù)管理職能說明3．6．1為保證IT服務(wù)管理體系的順利實施，以及實施后得到持續(xù)的管理和維護(hù)，在現(xiàn)有的組織架構(gòu)外建立服務(wù)管理職能關(guān)系架構(gòu)。對項目組成員主要是組織、協(xié)調(diào)、安排相應(yīng)工作任務(wù)的完成，可能并不是由自己去完成。 由管理者代表授權(quán)技術(shù)服務(wù)事業(yè)部總監(jiān)，按ISO/IEC 20000的要求，負(fù)責(zé)協(xié)調(diào)和組織所有與IT服務(wù)有關(guān)的活動，通過管理和實施各項活動，使IT服務(wù)業(yè)務(wù)的質(zhì)量得到有效的保持和維護(hù)。3．6．4．2管理手冊 — 描述IT服務(wù)管理體系的文件，是全體員工必須長期遵循的法規(guī)性文件。為實現(xiàn)信息安全管理體系方針，本公司承諾：a) 在各層次建立完整的信息安全管理組織機構(gòu)，確定信息安全目標(biāo)和控制措施；明確信息安全的管理職責(zé)。 分析和評價風(fēng)險本公司按《信息安全風(fēng)險管理程序》，采用信息安全風(fēng)險管理軟件，分析和評價風(fēng)險：a) 針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值；b) 針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值；c) 根據(jù)《信息安全風(fēng)險管理程序》計算風(fēng)險等級；d) 根據(jù)《信息安全風(fēng)險管理程序》及風(fēng)險接受準(zhǔn)則，判斷風(fēng)險為可接受或需要處理。 適用性聲明生技部負(fù)責(zé)編制《信息安全適用性聲明》（SoA）。無論信息安全管理者代表在其他方面的職責(zé)如何，對信息安全負(fù)有以下職責(zé)：a) 建立并實施信息安全管理體系必要的程序并維持其有效運行；b) 對信息安全管理體系的運行情況和必要的改善措施向信息安全領(lǐng)導(dǎo)小組或最高責(zé)任者報告。，以確保范圍的充分性，并識別信息安全管理體系過程的改進(jìn)，管理評審的具體要求，見本手冊第7章。記錄應(yīng)得到保護(hù)并且受控。 、意識和能力 公司應(yīng)確保在ISMS中任命職責(zé)的人員應(yīng)能夠勝任要求的任務(wù) a) 確定從事影響信息安全工作的人員所必需的能力； b) 提供足夠的能力培訓(xùn)或其它措施，必要時聘用有能力的人員滿足這些要求； c) 評估所提供的培訓(xùn)和采取措施的有效性； d) 保持教育、培訓(xùn)、技能、經(jīng)驗和資質(zhì)的適當(dāng)記錄。評審應(yīng)包括評價ISMS改進(jìn)的機會和變更的需要，包括安全方針和安全目標(biāo)的適宜性。 公司應(yīng)決定措施以防范未來的不符合，防止發(fā)生采取的預(yù)防措施應(yīng)與潛在問題的影響相匹配，預(yù)防措施文件程序應(yīng)規(guī)定以下方面的要求。計劃服務(wù)管理 服務(wù)部向客戶提供三大服務(wù)項目：常駐現(xiàn)場技術(shù)服務(wù)、定期巡檢技術(shù)服務(wù)、咨詢規(guī)劃設(shè)計服務(wù)。監(jiān)視、測量和評審服務(wù)部負(fù)責(zé)收集、匯總、整理IT服務(wù)項目的日常服務(wù)數(shù)據(jù)。持續(xù)改進(jìn)服務(wù)部每年至少進(jìn)行一次服務(wù)管理體系的有效性評估，評估通過內(nèi)部審核的方式進(jìn)行。分析、整理客戶新的或變更服務(wù)的要求，及時反饋客戶的改進(jìn)需求。根據(jù)公司的戰(zhàn)略規(guī)劃、資源要求及客戶需求，服務(wù)部在與銷售部門和其他相關(guān)部門溝通、確定SLA時，應(yīng)考慮：可接受持續(xù)損失服務(wù)的最大周期、可接受降級服務(wù)的最大周期，服務(wù)恢復(fù)時，可接受降級服務(wù)級別。服務(wù)報告主要包括的內(nèi)容：執(zhí)行服務(wù)級別目標(biāo)的績效，違反SLA、安全管理要求等的不符合項和結(jié)論、工作量特征，如，數(shù)量、資源利用、報告主要事件、變更、定期趨勢信息、客戶滿意度分析。定期開展IT服務(wù)持續(xù)性計劃的測試。服務(wù)準(zhǔn)確的歷史數(shù)據(jù)。在對《服務(wù)級別協(xié)議》進(jìn)行評審時，服務(wù)部應(yīng)根據(jù)公司策略，評估實現(xiàn)服務(wù)目標(biāo)和需求的成本，并根據(jù)確定的服務(wù)級別協(xié)議跟蹤成本的變化。定義監(jiān)控服務(wù)容量、調(diào)整服務(wù)性能和提供充分容量的方法、程序和技術(shù)。理解職責(zé)和責(zé)任。服務(wù)要求滿足協(xié)議約定的服務(wù)級別和范圍。相關(guān)支付條款。商務(wù)部應(yīng)確保所有合同沖突被記錄、調(diào)查、解決并正式關(guān)閉。其中應(yīng)包括：接收請求、記錄、優(yōu)先級分配、分類。服務(wù)部對升級的事件提供解決方案，協(xié)助服務(wù)臺關(guān)閉事件。所有被識別的問題都應(yīng)該得到記錄。服務(wù)部在配置管理過程中應(yīng)監(jiān)控配置項的整個生命周期，確保只有被授權(quán)且可識別的配置項才被接受，并記錄從接受到銷毀的全過程；沒有被認(rèn)可的變更請求，不能添加、修改、替換或刪除配置項。服務(wù)部應(yīng)定期組織相關(guān)部門實施配置認(rèn)可和審核活動，并檢查是否有充分的資源以支持：保護(hù)物理配置和公司的知識資本、確保公司控制其配置、原件和許可證、確保配置信息是準(zhǔn)確、可控、可見。實施后評審（PIR）應(yīng)檢查：變更是否滿足目標(biāo)、客戶對結(jié)果是否滿意、沒有預(yù)期之外的負(fù)面影響。服務(wù)部按《發(fā)布計劃》的安排，組織上線實施工作。服務(wù)部及時更新問題知識庫。負(fù)責(zé)公司辦公室設(shè)施環(huán)境、固定資產(chǎn)（包括租賃資產(chǎn)）的實物管理，負(fù)責(zé)公司日常性辦公用品采購工作。負(fù)責(zé)編制員工培訓(xùn)大綱、課程計劃，組織員工培訓(xùn)工作。制定公司資金運營計劃，對公司生產(chǎn)經(jīng)營活動所需要的資金籌措方式進(jìn)行成本計算，監(jiān)督資金管理報告和預(yù)、決算，提供最為經(jīng)濟(jì)的籌資方式。負(fù)責(zé)部門人員及其他日常管理工作。組織擬制和審核公司公司IT服務(wù)管理政策文件，參與擬制和審核公司全部服務(wù)目錄、服務(wù)級別承諾文件。 負(fù)責(zé)組織公司員工在質(zhì)量管理體系知識方面的培訓(xùn)，收集、傳達(dá)、宣傳質(zhì)量法規(guī)與標(biāo)準(zhǔn)，推動和提升全體員工實施質(zhì)量管理的意識和能力。并根據(jù)上述文件，負(fù)責(zé)擬制、審核，并在得到公司正式授權(quán)后代表公司簽署與供應(yīng)商之間的服務(wù)級別承諾文件。在負(fù)責(zé)技術(shù)的公司副總經(jīng)理缺席時，受其委托代行其職務(wù)。負(fù)責(zé)領(lǐng)導(dǎo)公司IT服務(wù)、系統(tǒng)集成和運行維護(hù)方面的狀況監(jiān)督、運維管理，與相關(guān)部門溝通IT服務(wù)、運維技術(shù)的改進(jìn)和落實，提高運維服務(wù)效率、改進(jìn)運維服務(wù)質(zhì)量。組織擬制所有IT服務(wù)管理中的相關(guān)管理程序和流程，保證公司IT服務(wù)的規(guī)范和受控，保證符合可用性目標(biāo)和對客戶的服務(wù)級別承諾文件，報批后監(jiān)督執(zhí)行，并定期做出評估報告和改進(jìn)建議。負(fù)責(zé)管理公司在常駐用戶現(xiàn)場提供IT服務(wù)的工作團(tuán)隊工作，組織擬制和審核該團(tuán)隊相關(guān)工作計劃。負(fù)責(zé)前端的客戶需求和客戶關(guān)系管理，負(fù)責(zé)擬制服務(wù)臺建設(shè)規(guī)劃，對服務(wù)臺進(jìn)行有效的管理，提高客戶滿意度。 技術(shù)組主管負(fù)責(zé)所有IT服務(wù)專項技術(shù)工作的管理和技術(shù)支持工作的分配，向服務(wù)部經(jīng)理報告。負(fù)責(zé)完成技術(shù)組技術(shù)支持工作目標(biāo)，完成技術(shù)服務(wù)事業(yè)部下達(dá)的各項技術(shù)任務(wù)指標(biāo)。負(fù)責(zé)IT服務(wù)重點客戶一站式服務(wù)工作，明確目標(biāo)，加強執(zhí)行力，做好客戶管理。負(fù)責(zé)組織落實對