【文章內(nèi)容簡介】 息安全過程的有效策劃、運行和控制以及規(guī)定如何測量控制措施有效性所需的程序文件； h) 標準所要求的記錄； i) 適用性聲明。 所有文件應按ISMS方針要求在需要時可獲得。 ISMS所要求的文件應予以保護和控制，應編制形成文件的程序以規(guī)定以下方面所需的管理措施：a) 文件發(fā)布前得到批準以確保文件是充分的； b) 必要時對文件進行評審與更新并再次批準； c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別； d) 確保在使用處可獲得適用文件的適用版本； e) 確保文件保持合法并易于識別； f) 確保外來文件得到識別； g) 確保文件的分發(fā)是受控的； h) 防止作廢文件的非預期使用； i) 若因任何原因而保留作廢文件時對這些文件進行適當?shù)臉俗R； 應建立并保持記錄，以提供符合要求和ISMS有效運行的證據(jù)。記錄應得到保護并且受控。ISMS應考慮相關(guān)法律要求，記錄應易于識別和檢索。應編制形成文件的程序，以規(guī)定記錄的識別、貯存、保護、檢索、保存期限和處置所需的控制，確定記錄需要和程度的管理過程。 保持過程業(yè)績的記錄以及與ISMS有關(guān)的安全事件的記錄。例如，記錄包括訪問者登記審核記錄和訪問授權(quán)。 相關(guān)文件：《文件控制程序》《記錄控制程序》5 管理職責 管理層應通過以下措施對其建立、實施、運行、監(jiān)控、評審、維護和改進ISMS的承諾提供證據(jù)。 a) 建立信息安全方針； b) 確保信息安全目標和計劃的建立； c) 為信息安全分配角色和職責； d) 向公司傳達滿足信息安全目標、符合信息安全方針、法律責任和持續(xù)改進的重要性； e) 提供足夠的資源以建立、實施、運行、監(jiān)控、評審、維護和改進ISMS； f) 決定可接受風險的標準和可接受風險的等級； g) 確保ISMS內(nèi)部審核的執(zhí)行； h) 進行ISMS管理評審。 相關(guān)文件：《信息安全方針和目標》《部門職責》《管理評審程序》《系統(tǒng)風險評估方法》 資源管理 公司應確定和提供以下方面所需的資源 a) 建立建立、實施、運行、監(jiān)控、維護和改進ISMS b) 確保信息安全程序支持業(yè)務需求； c) 識別并確定法律法規(guī)要求和合同安全責任； d) 通過正確應用所有實施的控制措施的來維持足夠的安全； e) 必要時進行評估，并對評估結(jié)果采取適當?shù)膶胧?f) 必要時改進ISMS的有效性。 、意識和能力 公司應確保在ISMS中任命職責的人員應能夠勝任要求的任務 a) 確定從事影響信息安全工作的人員所必需的能力； b) 提供足夠的能力培訓或其它措施，必要時聘用有能力的人員滿足這些要求； c) 評估所提供的培訓和采取措施的有效性； d) 保持教育、培訓、技能、經(jīng)驗和資質(zhì)的適當記錄。 公司應確保員工認識到所從事信息安全活動的相關(guān)性和重要性，以及如何為實現(xiàn)ISMS目標作出貢獻。相關(guān)文件：《人力資源管理控制程序》6 ISMS內(nèi)部審核公司應按計劃的時間間隔進行ISMS內(nèi)部審核，以確定控制目標、控制措施、過程和程序是否： a) 符合標準及相關(guān)法律法規(guī)的要求； b) 符合確定的信息安全要求； c) 得到有效地實施和維護； d) 按期望運行。 內(nèi)部審核程序應進行計劃，并考慮受審核過程的狀況、重要性和受審核的區(qū)域以及上次審核結(jié)果，應規(guī)定審核準則、范圍、頻次和方式，審核員的選擇和審核活動應保證審核過程的客觀和公正，審核員不能審核自己的工作。應建立形成文件的程序，以規(guī)定策劃和實施審核的職責和要求以及報告結(jié)果和保持記錄。 受審核區(qū)域的負責人應確保立即采取措施，以消除發(fā)現(xiàn)的不符合及其原因。改進措施包括所采取措施的驗證并匯報驗證結(jié)果。相關(guān)文件：《內(nèi)部審核控制程序》7 ISMS管理評審 管理者應按策劃的時間間隔評審公司的ISMS（至少一年一次），以確保其持續(xù)的適宜性、充分性和有效性。評審應包括評價ISMS改進的機會和變更的需要，包括安全方針和安全目標的適宜性。評審結(jié)果應清楚地寫入文件應保持記錄。 管理評審的輸入應包括以下方面的信息： a) ISMS審核（包括內(nèi)審和外審）和管理評審的結(jié)果； b) 相關(guān)方（客戶、供應商、內(nèi)部員工等）的反饋； c) 公司用于改進ISMS業(yè)績和有效性的技術(shù)、產(chǎn)品或程序的發(fā)展及變化； d) 預防和糾正措施的實施情況； e) 上次風險評估未充分指出的弱點或威脅； f) 體系有效性測量的結(jié)果； g) 上次管理評審所采取措施的跟蹤驗證； h) 影響ISMS的變更，如信息安全組織架構(gòu)變化等； i) 改進的建議。 管理評審的輸出應包括與以下方面有關(guān)的任何決定和措施 a) ISMS有效性的改進 b) 風險評估和風險處理計劃的更新 c) 必要時修訂影響信息安全的程序和控制措施，以反映可能影響ISMS的內(nèi)外事件，包括以下變化 1 業(yè)務需求； 2 安全需求； 3 影響已有業(yè)務需求的業(yè)務過程； 4 法律法規(guī)環(huán)境； 5 合同義務； 6 風險和/或風險接受準則。 d) 資源需求e)針對被測量的控制措施有效性的改進相關(guān)文件：《管理評審程序》8 ISMS的改進 公司應通過應用信息安全方針、安全目標、審核結(jié)果、監(jiān)控事件的分析、糾正和預防措施和管理評審，持續(xù)改進ISMS的有效性。 公司應采取措施消除ISMS實施和運行的不符合原因，以防止其再發(fā)生。糾正措施文件程序應規(guī)定以下方面的要求。 a) 識別ISMS實施和運行的不符合項； b) 確定不符合的原因； c) 評價確保不符合不再發(fā)生所需的措施； d) 決定和實施所需的糾正措施； e) 記錄所采取措施的結(jié)果； f) 評審所采取的糾正措施。 公司應決定措施以防范未來的不符合，防止發(fā)生采取的預防措施應與潛在問題的影響相匹配，預防措施文件程序應規(guī)定以下方面的要求。 a) 確定潛在不符合及其原因；b) 評價預防不符合發(fā)生所需的措施；c) 決定實施所需的預防措施； d) 記錄所采取措施的結(jié)果； e) 評審所采取的預防措施。公司應識別發(fā)生變化的風險，并通過關(guān)注變化顯著的風險來識別預防措施要求。應根據(jù)風險評估結(jié)果來確定預防措施的優(yōu)先級。相關(guān)文件：《糾正措施控制程序》 《預防措施控制程序》 IT服務管理服務管理規(guī)劃和實施在開展IT服務管理的活動中，PDCA原理貫穿于IT服務管理體系的全部流程，其中：P（計劃） — 根據(jù)客戶要求和公司策略建立目標和流程。D（實施） — 實施流程。C（檢查） — 根據(jù)策略、目標和要求對過程和服務進行監(jiān)控、測量，并報告結(jié)果。A（改進） — 采取措施以持續(xù)改進流程的性能。計劃服務管理 服務部向客戶提供三大服務項目：常駐現(xiàn)場技術(shù)服務、定期巡檢技術(shù)服務、咨詢規(guī)劃設(shè)計服務。甘肅萬維公司為不斷滿足市場需求和企業(yè)自身發(fā)展需要，將在未來將原有的三大技術(shù)服務內(nèi)容重新規(guī)劃和設(shè)計，細化成六大服務內(nèi)容：基礎(chǔ)設(shè)施服務、運維服務、專業(yè)技術(shù)服務、IT安全服務、咨詢設(shè)計評估服務、培訓服務。從而實現(xiàn)在堅持原有行業(yè)內(nèi)的服務的基礎(chǔ)上向行業(yè)外擴展的計劃。 服務部根據(jù)公司IT服務管理職能關(guān)系架構(gòu)圖中的所分配的職責并依據(jù)條款49中所規(guī)定的服務管理過程向客戶提供IT服務。 相關(guān)部門根據(jù)管理評審的結(jié)果及結(jié)論，結(jié)合本部門的工作實際，由技術(shù)服務事業(yè)部組織相關(guān)部門對當前與本部門相關(guān)的IT服務工作的改進需求、以及公司業(yè)務發(fā)展策略、技術(shù)動態(tài)、政策法規(guī)要求、下一年度IT服務工作的安排進行規(guī)劃，制訂本部門的年度工作計劃，并按公司內(nèi)控制度制訂對應的部門年度費用預算。實施IT服務技術(shù)服務事業(yè)部組織相關(guān)部門按批準后的公司年度計劃，對計劃周期內(nèi)的工作任務、目標、績效要求進行分解，組織各部門制訂各自的年度工作計劃和費用預算，并進行跟蹤、檢查。相關(guān)部門年度工作計劃、年度費用預算應與已批準的本部門年度工作計劃、預算一致，如有變更，引起預算的變化，應上報技術(shù)服務事業(yè)部按照相關(guān)流程審批、執(zhí)行。技術(shù)服務事業(yè)部負責組織IT服務項目的立項工作，并按照項目管理規(guī)定對項目計劃周期內(nèi)的工作任務、目標、績效要求進行分解，制訂項目實施計劃和費用預算，并進行跟蹤、檢查。監(jiān)視、測量和評審服務部負責收集、匯總、整理IT服務項目的日常服務數(shù)據(jù)。服務部經(jīng)理負責組織IT服務項目，按各項目階段性工作計劃、費用預算的內(nèi)容，以及IT服務管理的要求，收集與IT服務相關(guān)的信息，監(jiān)控、測量和評審與本業(yè)務相關(guān)的服務規(guī)劃要求、已有的SLA符合要求的程度。IT服務項目在運行中，應監(jiān)控、測量和評審的內(nèi)容為：既定的IT服務目標的達成程度?？蛻魸M意度。資源利用。服務實施的趨勢。嚴重不符合。技術(shù)服務事業(yè)部按照《服務質(zhì)量改進管理程序》的要求，組織IT服務管理體系的管理評審活動，以確保IT服務要求得到有效的實施和維護。持續(xù)改進服務部每年至少進行一次服務管理體系的有效性評估，評估通過內(nèi)部審核的方式進行。在評估中發(fā)現(xiàn)的任何不符合標準的活動都應該采取糾正措施予以改進，對于發(fā)現(xiàn)的潛在問題應該予以控制。服務部在內(nèi)部審核后，應進行管理評審，管理評審的內(nèi)容包括：各流程的執(zhí)行狀況報告，存在問題及改進建議，內(nèi)部審核結(jié)果，相關(guān)方的反饋以及其他可能影響體系運行的要素。服務部按管理評審的要求，確定服務改進的測量、報告和溝通流程和內(nèi)容。監(jiān)控IT服務運行中出現(xiàn)的不符合項，組織相關(guān)部門實施、驗證改進活動。任何不符合ISO/IEC 200001：2005標準的活動都應被糾正。對于內(nèi)部審核、管理評審或其他活動中所發(fā)現(xiàn)的不符合項或潛在不符合項，應按照《服務質(zhì)量改進管理程序》要求進行及時糾正。新服務或變更服務的策劃與實施制訂新服務或變更服務計劃銷售部門負責與客戶溝通，服務部配合，收集客戶對現(xiàn)有SLA的滿意度水平。分析、整理客戶新的或變更服務的要求，及時反饋客戶的改進需求。當出現(xiàn)新服務或變更服務時，服務部根據(jù)《服務策劃管理程序》的要求，組織實施IT服務策劃和實施工作。服務部組織對新服務或變更服務策劃結(jié)果的驗證、確認，驗證通過后按《服務策劃管理程序》實施。服務部應報告新服務或變更服務按計劃實施所達到的結(jié)果，服務部按《發(fā)布管理程序》，執(zhí)行實施發(fā)布評審，比較實際結(jié)果與期望結(jié)果的一致性。服務交付過程服務級別管理服務部負責與相關(guān)部門溝通，制訂公司的《服務目錄》。服務目錄應定義所有服務，并包含服務名稱、服務目標或標準、聯(lián)系接口、服務提供時間和例外、安全方面的考慮和安排?！斗漳夸洝肥枪舅峁┑姆諆?nèi)容的匯總，公司與客戶簽署SLA時應參考《服務目錄》。公司應該根據(jù)當前的服務能力對《服務目錄》進行更新與維護。根據(jù)公司的戰(zhàn)略規(guī)劃、資源要求及客戶需求，服務部在與銷售部門和其他相關(guān)部門溝通、確定SLA時，應考慮：可接受持續(xù)損失服務的最大周期、可接受降級服務的最大周期，服務恢復時，可接受降級服務級別。銷售部門代表客戶，與服務部簽訂《服務級別協(xié)議》。應明確：服務要求和期望服務工作量特征的協(xié)議、服務目標協(xié)議、服務級別實現(xiàn)、工作量的測量和報告，以及服務目標不能完成的分析與說明?！斗占墑e協(xié)議》包含以下內(nèi)容：服務的簡述、術(shù)語表、客戶職責、服務部門職責和義務、服務目標、服務時間、工作量限制（最大及最小工作量），支持和相關(guān)服務、影響和優(yōu)先級描述、授權(quán)細節(jié)，及授權(quán)人員聯(lián)系信息、有效期或SLA變更控制機制（包含升級和通知流程）、服務中斷采取的糾正措施，計劃和協(xié)調(diào)中斷，包括通知事件及頻率、溝通的簡述，包括報告、投訴程序、在SLA中規(guī)定條款的例外情況。 商務部應依據(jù)與客戶簽訂的SLA以及《供應商管理程序》的要求，組織簽署與供應商之間的支持合同（或協(xié)議）。當出現(xiàn)重要業(yè)務變更時，銷售部門應及時與技術(shù)服務事業(yè)部溝通，按原流程重新組織相關(guān)部門，調(diào)整、修訂《服務級別協(xié)議》，并作為服務改進計劃的輸入。服務報告服務部應就向客戶提交的服務報告的內(nèi)容、報告周期與客戶協(xié)商并達成一致。服務部擬制內(nèi)部服務報告，對計劃間隔內(nèi)的客戶服務狀況、問題趨勢、服務數(shù)據(jù)、SLA目標實現(xiàn)等進行匯總、統(tǒng)計和分析，組織召開月度服務質(zhì)量分析會議，形成會議紀要后發(fā)放。服務報告主要包括的內(nèi)容：執(zhí)行服務級別目標的績效，違反SLA、安全管理要求等的不符合項和結(jié)論、工作量特征，如，數(shù)量、資源利用、報告主要事件、變更、定期趨勢信息、客戶滿意度分析。當出現(xiàn)有關(guān)IT服務系統(tǒng)配置項的變更時，服務部應按《變更管理程序》的要求執(zhí)行。服務報告應及時、清晰、可靠和簡明，便于分析、決策和有效溝通?？捎眯院虸T服務持續(xù)性管理服務部應按照《可用性與IT服務持續(xù)性管理程序》的要求，擬制《可用性與IT服務持續(xù)性計劃》，根據(jù)客戶業(yè)務優(yōu)先級、服務級別協(xié)議和評估的風險，按設(shè)計的工作量計劃維護有效的服務能力，并與《服務級別協(xié)議》的目標保持一致。應考慮：IT服務持續(xù)性計劃考慮對服務和系統(tǒng)組成的關(guān)系。應清晰的分配調(diào)用IT服務持續(xù)性計劃的責任，并清晰的計劃對每個目標采取措施的責任。備份服務恢復所需的數(shù)據(jù)、文件、軟件、任何設(shè)備和必要員工，在重大服務失敗或災難時，保持快速有效。在遠程的安全地點，所有IT服務持續(xù)性文件應存儲和維護至少一份，與其他必要的設(shè)備保存在一起。定期開展IT服務持續(xù)性計劃的測試。使員工理解調(diào)用、執(zhí)行計劃的角色與職責，并能訪問IT服務持續(xù)性文件。服務部每年末組織對《可用性與IT服務持續(xù)性計劃》進行評審，并根據(jù)業(yè)務需求的變化及時調(diào)整計劃的內(nèi)容和目標，確保從普通到重大服務失效的任何環(huán)境下都能滿足與客戶協(xié)商的要求。當業(yè)務環(huán)境發(fā)生重大變化時，服務部應重新組織評審、修訂《可用性與IT服務持續(xù)性計劃》。并