【正文】 財務(wù)政策，及《IT財務(wù)管理程序》的要求，根據(jù)公司的業(yè)務(wù)策略（包括產(chǎn)品策略、銷售策略、服務(wù)策略等），組織擬制、審核本部門的總體性和階段性的IT服務(wù)費用預(yù)算及成本標準。考慮、評估供應(yīng)商的影響。與SLA中定義需求相比較，以識別不符合SLA有效目標的事項?？捎眯曰顒影ǎ罕O(jiān)控和記錄服務(wù)的可用性。對《可用性與IT服務(wù)持續(xù)性計劃》中內(nèi)容和目標的變更，服務(wù)部應(yīng)及時組織相關(guān)部門按《變更管理程序》的要求進行評估、驗證和確認，確保變更的效果及滿足SLA的要求。當業(yè)務(wù)環(huán)境發(fā)生重大變化時，服務(wù)部應(yīng)重新組織評審、修訂《可用性與IT服務(wù)持續(xù)性計劃》。使員工理解調(diào)用、執(zhí)行計劃的角色與職責(zé)，并能訪問IT服務(wù)持續(xù)性文件。在遠程的安全地點，所有IT服務(wù)持續(xù)性文件應(yīng)存儲和維護至少一份，與其他必要的設(shè)備保存在一起。應(yīng)清晰的分配調(diào)用IT服務(wù)持續(xù)性計劃的責(zé)任，并清晰的計劃對每個目標采取措施的責(zé)任。可用性和IT服務(wù)持續(xù)性管理服務(wù)部應(yīng)按照《可用性與IT服務(wù)持續(xù)性管理程序》的要求，擬制《可用性與IT服務(wù)持續(xù)性計劃》，根據(jù)客戶業(yè)務(wù)優(yōu)先級、服務(wù)級別協(xié)議和評估的風(fēng)險，按設(shè)計的工作量計劃維護有效的服務(wù)能力，并與《服務(wù)級別協(xié)議》的目標保持一致。當出現(xiàn)有關(guān)IT服務(wù)系統(tǒng)配置項的變更時，服務(wù)部應(yīng)按《變更管理程序》的要求執(zhí)行。服務(wù)部擬制內(nèi)部服務(wù)報告，對計劃間隔內(nèi)的客戶服務(wù)狀況、問題趨勢、服務(wù)數(shù)據(jù)、SLA目標實現(xiàn)等進行匯總、統(tǒng)計和分析，組織召開月度服務(wù)質(zhì)量分析會議，形成會議紀要后發(fā)放。當出現(xiàn)重要業(yè)務(wù)變更時，銷售部門應(yīng)及時與技術(shù)服務(wù)事業(yè)部溝通，按原流程重新組織相關(guān)部門，調(diào)整、修訂《服務(wù)級別協(xié)議》，并作為服務(wù)改進計劃的輸入?！斗?wù)級別協(xié)議》包含以下內(nèi)容：服務(wù)的簡述、術(shù)語表、客戶職責(zé)、服務(wù)部門職責(zé)和義務(wù)、服務(wù)目標、服務(wù)時間、工作量限制（最大及最小工作量），支持和相關(guān)服務(wù)、影響和優(yōu)先級描述、授權(quán)細節(jié)，及授權(quán)人員聯(lián)系信息、有效期或SLA變更控制機制（包含升級和通知流程）、服務(wù)中斷采取的糾正措施，計劃和協(xié)調(diào)中斷，包括通知事件及頻率、溝通的簡述，包括報告、投訴程序、在SLA中規(guī)定條款的例外情況。銷售部門代表客戶，與服務(wù)部簽訂《服務(wù)級別協(xié)議》。公司應(yīng)該根據(jù)當前的服務(wù)能力對《服務(wù)目錄》進行更新與維護。服務(wù)目錄應(yīng)定義所有服務(wù)，并包含服務(wù)名稱、服務(wù)目標或標準、聯(lián)系接口、服務(wù)提供時間和例外、安全方面的考慮和安排。服務(wù)部應(yīng)報告新服務(wù)或變更服務(wù)按計劃實施所達到的結(jié)果，服務(wù)部按《發(fā)布管理程序》，執(zhí)行實施發(fā)布評審，比較實際結(jié)果與期望結(jié)果的一致性。當出現(xiàn)新服務(wù)或變更服務(wù)時，服務(wù)部根據(jù)《服務(wù)策劃管理程序》的要求，組織實施IT服務(wù)策劃和實施工作。新服務(wù)或變更服務(wù)的策劃與實施制訂新服務(wù)或變更服務(wù)計劃銷售部門負責(zé)與客戶溝通，服務(wù)部配合，收集客戶對現(xiàn)有SLA的滿意度水平。任何不符合ISO/IEC 200001：2005標準的活動都應(yīng)被糾正。服務(wù)部按管理評審的要求，確定服務(wù)改進的測量、報告和溝通流程和內(nèi)容。在評估中發(fā)現(xiàn)的任何不符合標準的活動都應(yīng)該采取糾正措施予以改進，對于發(fā)現(xiàn)的潛在問題應(yīng)該予以控制。技術(shù)服務(wù)事業(yè)部按照《服務(wù)質(zhì)量改進管理程序》的要求，組織IT服務(wù)管理體系的管理評審活動，以確保IT服務(wù)要求得到有效的實施和維護。服務(wù)實施的趨勢?？蛻魸M意度。服務(wù)部經(jīng)理負責(zé)組織IT服務(wù)項目，按各項目階段性工作計劃、費用預(yù)算的內(nèi)容，以及IT服務(wù)管理的要求，收集與IT服務(wù)相關(guān)的信息，監(jiān)控、測量和評審與本業(yè)務(wù)相關(guān)的服務(wù)規(guī)劃要求、已有的SLA符合要求的程度。技術(shù)服務(wù)事業(yè)部負責(zé)組織IT服務(wù)項目的立項工作，并按照項目管理規(guī)定對項目計劃周期內(nèi)的工作任務(wù)、目標、績效要求進行分解，制訂項目實施計劃和費用預(yù)算，并進行跟蹤、檢查。實施IT服務(wù)技術(shù)服務(wù)事業(yè)部組織相關(guān)部門按批準后的公司年度計劃，對計劃周期內(nèi)的工作任務(wù)、目標、績效要求進行分解，組織各部門制訂各自的年度工作計劃和費用預(yù)算，并進行跟蹤、檢查。 服務(wù)部根據(jù)公司IT服務(wù)管理職能關(guān)系架構(gòu)圖中的所分配的職責(zé)并依據(jù)條款49中所規(guī)定的服務(wù)管理過程向客戶提供IT服務(wù)。甘肅萬維公司為不斷滿足市場需求和企業(yè)自身發(fā)展需要，將在未來將原有的三大技術(shù)服務(wù)內(nèi)容重新規(guī)劃和設(shè)計，細化成六大服務(wù)內(nèi)容：基礎(chǔ)設(shè)施服務(wù)、運維服務(wù)、專業(yè)技術(shù)服務(wù)、IT安全服務(wù)、咨詢設(shè)計評估服務(wù)、培訓(xùn)服務(wù)。A（改進） — 采取措施以持續(xù)改進流程的性能。D（實施） — 實施流程。應(yīng)根據(jù)風(fēng)險評估結(jié)果來確定預(yù)防措施的優(yōu)先級。 a) 確定潛在不符合及其原因；b) 評價預(yù)防不符合發(fā)生所需的措施；c) 決定實施所需的預(yù)防措施； d) 記錄所采取措施的結(jié)果； e) 評審所采取的預(yù)防措施。 a) 識別ISMS實施和運行的不符合項； b) 確定不符合的原因； c) 評價確保不符合不再發(fā)生所需的措施； d) 決定和實施所需的糾正措施； e) 記錄所采取措施的結(jié)果； f) 評審所采取的糾正措施。 公司應(yīng)采取措施消除ISMS實施和運行的不符合原因，以防止其再發(fā)生。 管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施 a) ISMS有效性的改進 b) 風(fēng)險評估和風(fēng)險處理計劃的更新 c) 必要時修訂影響信息安全的程序和控制措施，以反映可能影響ISMS的內(nèi)外事件，包括以下變化 1 業(yè)務(wù)需求； 2 安全需求； 3 影響已有業(yè)務(wù)需求的業(yè)務(wù)過程； 4 法律法規(guī)環(huán)境； 5 合同義務(wù)； 6 風(fēng)險和/或風(fēng)險接受準則。評審結(jié)果應(yīng)清楚地寫入文件應(yīng)保持記錄。相關(guān)文件：《內(nèi)部審核控制程序》7 ISMS管理評審 管理者應(yīng)按策劃的時間間隔評審公司的ISMS（至少一年一次），以確保其持續(xù)的適宜性、充分性和有效性。 受審核區(qū)域的負責(zé)人應(yīng)確保立即采取措施，以消除發(fā)現(xiàn)的不符合及其原因。 內(nèi)部審核程序應(yīng)進行計劃，并考慮受審核過程的狀況、重要性和受審核的區(qū)域以及上次審核結(jié)果，應(yīng)規(guī)定審核準則、范圍、頻次和方式，審核員的選擇和審核活動應(yīng)保證審核過程的客觀和公正，審核員不能審核自己的工作。 公司應(yīng)確保員工認識到所從事信息安全活動的相關(guān)性和重要性，以及如何為實現(xiàn)ISMS目標作出貢獻。 相關(guān)文件：《信息安全方針和目標》《部門職責(zé)》《管理評審程序》《系統(tǒng)風(fēng)險評估方法》 資源管理 公司應(yīng)確定和提供以下方面所需的資源 a) 建立建立、實施、運行、監(jiān)控、維護和改進ISMS b) 確保信息安全程序支持業(yè)務(wù)需求； c) 識別并確定法律法規(guī)要求和合同安全責(zé)任； d) 通過正確應(yīng)用所有實施的控制措施的來維持足夠的安全； e) 必要時進行評估，并對評估結(jié)果采取適當?shù)膶?yīng)措施； f) 必要時改進ISMS的有效性。 相關(guān)文件：《文件控制程序》《記錄控制程序》5 管理職責(zé) 管理層應(yīng)通過以下措施對其建立、實施、運行、監(jiān)控、評審、維護和改進ISMS的承諾提供證據(jù)。 保持過程業(yè)績的記錄以及與ISMS有關(guān)的安全事件的記錄。ISMS應(yīng)考慮相關(guān)法律要求，記錄應(yīng)易于識別和檢索。 ISMS所要求的文件應(yīng)予以保護和控制，應(yīng)編制形成文件的程序以規(guī)定以下方面所需的管理措施：a) 文件發(fā)布前得到批準以確保文件是充分的； b) 必要時對文件進行評審與更新并再次批準； c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別； d) 確保在使用處可獲得適用文件的適用版本； e) 確保文件保持合法并易于識別； f) 確保外來文件得到識別； g) 確保文件的分發(fā)是受控的； h) 防止作廢文件的非預(yù)期使用； i) 若因任何原因而保留作廢文件時對這些文件進行適當?shù)臉俗R； 應(yīng)建立并保持記錄，以提供符合要求和ISMS有效運行的證據(jù)。相關(guān)文件：《系統(tǒng)風(fēng)險評估方法》《適用性聲明》《管理評審程序》《內(nèi)部審核控制程序》《糾正措施控制程序》《預(yù)防措施控制程序》 ISMS文件應(yīng)包括： a) 形成文件的ISMS方針和控制目標； b) ISMS范圍c) ISMS的支持性程序和控制措施； d) 風(fēng)險評估方法的描述； e) 風(fēng)險評估報告； f) 風(fēng)險處置計劃； g) 公司為確保其信息安全過程的有效策劃、運行和控制以及規(guī)定如何測量控制措施有效性所需的程序文件； h) 標準所要求的記錄； i) 適用性聲明。我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進：a) 實施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進的項目；b) 按照《內(nèi)部審核管理程序》、《糾正措施管理程序》、《預(yù)防措施管理程序》的要求采取適當?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故（事件）的經(jīng)驗教訓(xùn)，不斷改進安全措施的有效性；c) 通過適當?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進行有效的溝通。，更新安全計劃。，內(nèi)部審核的具體要求，見本手冊第6章。管理評審的具體要求，見本手冊第7章。 、內(nèi)部審核、事故（事件）報告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)：a)及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故（事件）和隱患；b)及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c)使管理者確認人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果；d)使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e)積累信息安全方面的經(jīng)驗。各部門負責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)；各部門、《信息安全管理職責(zé)明細表》和相應(yīng)的程序文件?？偨?jīng)理指定了信息安全管理者代表。本公司由相關(guān)部門代表組成信息安全管理網(wǎng)絡(luò)，采用聯(lián)席會議（協(xié)調(diào)會）的方式，進行信息安全協(xié)調(diào)和協(xié)作，以：a) 確保安全活動的執(zhí)行符合信息安全方針；b) 確定怎樣處理不符合；c) 批準信息安全的方法和過程，如風(fēng)險評估、信息分類；d) 識別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對威脅的暴露；e) 評估信息安全控制措施實施的充分性和協(xié)調(diào)性；f) 有效的推動組織內(nèi)信息安全教育、培訓(xùn)和意識；g) 評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安全事件推薦適當?shù)拇胧?信息安全組織機構(gòu)本公司成立了的信息安全領(lǐng)導(dǎo)機構(gòu)信息安全委員會，其職責(zé)是實現(xiàn)信息安全管理體系方針和本公司承諾。該聲明包括以下方面的內(nèi)容：a)所選擇控制目標與控制措施的概要描述，以及選擇的原因；b)對ISO/IEC 27001:2005附錄A中未選用的控制目標及控制措施理由的說明。 最高管理者通過本手冊對實施和運行信息安全管理體系進行了授權(quán)。c)本公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施。網(wǎng)絡(luò)管理部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險評估的結(jié)果，組織有關(guān)部門制定了信息安全目標，并將目標分解到有關(guān)部門（見《信息安全適用性聲明》）：a)信息安全控制目標獲得了信息安全最高責(zé)任者的批準。 識別和評價風(fēng)險處理的選擇網(wǎng)絡(luò)管理部組織有關(guān)部門根據(jù)風(fēng)險評估的結(jié)果，形成《風(fēng)險處理計劃》，該計劃明確了風(fēng)險處理責(zé)任部門、負責(zé)人、處理方法及起始、完成時間。同時，根據(jù)《信息安全風(fēng)險管理程序》，識別了對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。信息安全風(fēng)險評估采用信息安全風(fēng)險管理軟件（Inforiskmanager）進行，以保證所選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。；b) 識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求； c) 定期進行信息安全風(fēng)險評估，信息安全管理體系評審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d）采用先進有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共享；e) 對全體員工進行持續(xù)的信息安全教育和培訓(xùn)，不斷增強員工的信息安全意識和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。該信息安全方針符合以下要求：a) 為信息安全目標建立了框架，并為信息安全活動建立整體的方向和原則；b) 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)；c) 與組織戰(zhàn)略和風(fēng)險管理相一致的環(huán)境下，建立和保持信息安全管理體系；d) 建立了風(fēng)險評價的準則；e) 經(jīng)最高管理者批準。 信息安全管理體系的方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持軟件開發(fā)和經(jīng)營的正常進行，實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。相關(guān)文件：《信息安全方針及目標》（ISMS） 信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全管理體系的范圍包括：a) 本公司涉及軟件開發(fā)、營銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng)；b) 與所述信息系統(tǒng)有關(guān)的活動；c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工；d) 所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。4信息安全管 公司根據(jù)整體業(yè)務(wù)活動（軟件開發(fā)、經(jīng)營、服務(wù)和日常管理活動）和所面臨的風(fēng)險，按ISO/IEC 27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》規(guī)定，參照ISO/IEC 27002:2005《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》標準，建立、實施、運作、監(jiān)控、維護并改進文件化的信息安全管理體系。3．6．4．7技術(shù)服務(wù)事業(yè)部負責(zé)組織相關(guān)部門，根據(jù)公司的業(yè)務(wù)特點及標準的要求，制訂相關(guān)的程序文件，經(jīng)公司管理者代表批準后實施。3．6．