【正文】 財(cái)務(wù)政策，及《IT財(cái)務(wù)管理程序》的要求，根據(jù)公司的業(yè)務(wù)策略（包括產(chǎn)品策略、銷售策略、服務(wù)策略等），組織擬制、審核本部門的總體性和階段性的IT服務(wù)費(fèi)用預(yù)算及成本標(biāo)準(zhǔn)。考慮、評(píng)估供應(yīng)商的影響。與SLA中定義需求相比較，以識(shí)別不符合SLA有效目標(biāo)的事項(xiàng)?？捎眯曰顒?dòng)包括：監(jiān)控和記錄服務(wù)的可用性。對(duì)《可用性與IT服務(wù)持續(xù)性計(jì)劃》中內(nèi)容和目標(biāo)的變更，服務(wù)部應(yīng)及時(shí)組織相關(guān)部門按《變更管理程序》的要求進(jìn)行評(píng)估、驗(yàn)證和確認(rèn)，確保變更的效果及滿足SLA的要求。當(dāng)業(yè)務(wù)環(huán)境發(fā)生重大變化時(shí)，服務(wù)部應(yīng)重新組織評(píng)審、修訂《可用性與IT服務(wù)持續(xù)性計(jì)劃》。使員工理解調(diào)用、執(zhí)行計(jì)劃的角色與職責(zé)，并能訪問IT服務(wù)持續(xù)性文件。在遠(yuǎn)程的安全地點(diǎn)，所有IT服務(wù)持續(xù)性文件應(yīng)存儲(chǔ)和維護(hù)至少一份，與其他必要的設(shè)備保存在一起。應(yīng)清晰的分配調(diào)用IT服務(wù)持續(xù)性計(jì)劃的責(zé)任，并清晰的計(jì)劃對(duì)每個(gè)目標(biāo)采取措施的責(zé)任。可用性和IT服務(wù)持續(xù)性管理服務(wù)部應(yīng)按照《可用性與IT服務(wù)持續(xù)性管理程序》的要求，擬制《可用性與IT服務(wù)持續(xù)性計(jì)劃》，根據(jù)客戶業(yè)務(wù)優(yōu)先級(jí)、服務(wù)級(jí)別協(xié)議和評(píng)估的風(fēng)險(xiǎn)，按設(shè)計(jì)的工作量計(jì)劃維護(hù)有效的服務(wù)能力，并與《服務(wù)級(jí)別協(xié)議》的目標(biāo)保持一致。當(dāng)出現(xiàn)有關(guān)IT服務(wù)系統(tǒng)配置項(xiàng)的變更時(shí)，服務(wù)部應(yīng)按《變更管理程序》的要求執(zhí)行。服務(wù)部擬制內(nèi)部服務(wù)報(bào)告，對(duì)計(jì)劃間隔內(nèi)的客戶服務(wù)狀況、問題趨勢(shì)、服務(wù)數(shù)據(jù)、SLA目標(biāo)實(shí)現(xiàn)等進(jìn)行匯總、統(tǒng)計(jì)和分析，組織召開月度服務(wù)質(zhì)量分析會(huì)議，形成會(huì)議紀(jì)要后發(fā)放。當(dāng)出現(xiàn)重要業(yè)務(wù)變更時(shí)，銷售部門應(yīng)及時(shí)與技術(shù)服務(wù)事業(yè)部溝通，按原流程重新組織相關(guān)部門，調(diào)整、修訂《服務(wù)級(jí)別協(xié)議》，并作為服務(wù)改進(jìn)計(jì)劃的輸入?！斗?wù)級(jí)別協(xié)議》包含以下內(nèi)容：服務(wù)的簡(jiǎn)述、術(shù)語表、客戶職責(zé)、服務(wù)部門職責(zé)和義務(wù)、服務(wù)目標(biāo)、服務(wù)時(shí)間、工作量限制（最大及最小工作量），支持和相關(guān)服務(wù)、影響和優(yōu)先級(jí)描述、授權(quán)細(xì)節(jié)，及授權(quán)人員聯(lián)系信息、有效期或SLA變更控制機(jī)制（包含升級(jí)和通知流程）、服務(wù)中斷采取的糾正措施，計(jì)劃和協(xié)調(diào)中斷，包括通知事件及頻率、溝通的簡(jiǎn)述，包括報(bào)告、投訴程序、在SLA中規(guī)定條款的例外情況。銷售部門代表客戶，與服務(wù)部簽訂《服務(wù)級(jí)別協(xié)議》。公司應(yīng)該根據(jù)當(dāng)前的服務(wù)能力對(duì)《服務(wù)目錄》進(jìn)行更新與維護(hù)。服務(wù)目錄應(yīng)定義所有服務(wù)，并包含服務(wù)名稱、服務(wù)目標(biāo)或標(biāo)準(zhǔn)、聯(lián)系接口、服務(wù)提供時(shí)間和例外、安全方面的考慮和安排。服務(wù)部應(yīng)報(bào)告新服務(wù)或變更服務(wù)按計(jì)劃實(shí)施所達(dá)到的結(jié)果，服務(wù)部按《發(fā)布管理程序》，執(zhí)行實(shí)施發(fā)布評(píng)審，比較實(shí)際結(jié)果與期望結(jié)果的一致性。當(dāng)出現(xiàn)新服務(wù)或變更服務(wù)時(shí)，服務(wù)部根據(jù)《服務(wù)策劃管理程序》的要求，組織實(shí)施IT服務(wù)策劃和實(shí)施工作。新服務(wù)或變更服務(wù)的策劃與實(shí)施制訂新服務(wù)或變更服務(wù)計(jì)劃銷售部門負(fù)責(zé)與客戶溝通，服務(wù)部配合，收集客戶對(duì)現(xiàn)有SLA的滿意度水平。任何不符合ISO/IEC 200001：2005標(biāo)準(zhǔn)的活動(dòng)都應(yīng)被糾正。服務(wù)部按管理評(píng)審的要求，確定服務(wù)改進(jìn)的測(cè)量、報(bào)告和溝通流程和內(nèi)容。在評(píng)估中發(fā)現(xiàn)的任何不符合標(biāo)準(zhǔn)的活動(dòng)都應(yīng)該采取糾正措施予以改進(jìn)，對(duì)于發(fā)現(xiàn)的潛在問題應(yīng)該予以控制。技術(shù)服務(wù)事業(yè)部按照《服務(wù)質(zhì)量改進(jìn)管理程序》的要求，組織IT服務(wù)管理體系的管理評(píng)審活動(dòng)，以確保IT服務(wù)要求得到有效的實(shí)施和維護(hù)。服務(wù)實(shí)施的趨勢(shì)?？蛻魸M意度。服務(wù)部經(jīng)理負(fù)責(zé)組織IT服務(wù)項(xiàng)目，按各項(xiàng)目階段性工作計(jì)劃、費(fèi)用預(yù)算的內(nèi)容，以及IT服務(wù)管理的要求，收集與IT服務(wù)相關(guān)的信息，監(jiān)控、測(cè)量和評(píng)審與本業(yè)務(wù)相關(guān)的服務(wù)規(guī)劃要求、已有的SLA符合要求的程度。技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織IT服務(wù)項(xiàng)目的立項(xiàng)工作，并按照項(xiàng)目管理規(guī)定對(duì)項(xiàng)目計(jì)劃周期內(nèi)的工作任務(wù)、目標(biāo)、績(jī)效要求進(jìn)行分解，制訂項(xiàng)目實(shí)施計(jì)劃和費(fèi)用預(yù)算，并進(jìn)行跟蹤、檢查。實(shí)施IT服務(wù)技術(shù)服務(wù)事業(yè)部組織相關(guān)部門按批準(zhǔn)后的公司年度計(jì)劃，對(duì)計(jì)劃周期內(nèi)的工作任務(wù)、目標(biāo)、績(jī)效要求進(jìn)行分解，組織各部門制訂各自的年度工作計(jì)劃和費(fèi)用預(yù)算，并進(jìn)行跟蹤、檢查。 服務(wù)部根據(jù)公司IT服務(wù)管理職能關(guān)系架構(gòu)圖中的所分配的職責(zé)并依據(jù)條款49中所規(guī)定的服務(wù)管理過程向客戶提供IT服務(wù)。甘肅萬維公司為不斷滿足市場(chǎng)需求和企業(yè)自身發(fā)展需要，將在未來將原有的三大技術(shù)服務(wù)內(nèi)容重新規(guī)劃和設(shè)計(jì)，細(xì)化成六大服務(wù)內(nèi)容：基礎(chǔ)設(shè)施服務(wù)、運(yùn)維服務(wù)、專業(yè)技術(shù)服務(wù)、IT安全服務(wù)、咨詢?cè)O(shè)計(jì)評(píng)估服務(wù)、培訓(xùn)服務(wù)。A（改進(jìn)） — 采取措施以持續(xù)改進(jìn)流程的性能。D（實(shí)施） — 實(shí)施流程。應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果來確定預(yù)防措施的優(yōu)先級(jí)。 a) 確定潛在不符合及其原因；b) 評(píng)價(jià)預(yù)防不符合發(fā)生所需的措施；c) 決定實(shí)施所需的預(yù)防措施； d) 記錄所采取措施的結(jié)果； e) 評(píng)審所采取的預(yù)防措施。 a) 識(shí)別ISMS實(shí)施和運(yùn)行的不符合項(xiàng)； b) 確定不符合的原因； c) 評(píng)價(jià)確保不符合不再發(fā)生所需的措施； d) 決定和實(shí)施所需的糾正措施； e) 記錄所采取措施的結(jié)果； f) 評(píng)審所采取的糾正措施。 公司應(yīng)采取措施消除ISMS實(shí)施和運(yùn)行的不符合原因，以防止其再發(fā)生。 管理評(píng)審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施 a) ISMS有效性的改進(jìn) b) 風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新 c) 必要時(shí)修訂影響信息安全的程序和控制措施，以反映可能影響ISMS的內(nèi)外事件，包括以下變化 1 業(yè)務(wù)需求； 2 安全需求； 3 影響已有業(yè)務(wù)需求的業(yè)務(wù)過程； 4 法律法規(guī)環(huán)境； 5 合同義務(wù)； 6 風(fēng)險(xiǎn)和/或風(fēng)險(xiǎn)接受準(zhǔn)則。評(píng)審結(jié)果應(yīng)清楚地寫入文件應(yīng)保持記錄。相關(guān)文件：《內(nèi)部審核控制程序》7 ISMS管理評(píng)審 管理者應(yīng)按策劃的時(shí)間間隔評(píng)審公司的ISMS（至少一年一次），以確保其持續(xù)的適宜性、充分性和有效性。 受審核區(qū)域的負(fù)責(zé)人應(yīng)確保立即采取措施，以消除發(fā)現(xiàn)的不符合及其原因。 內(nèi)部審核程序應(yīng)進(jìn)行計(jì)劃，并考慮受審核過程的狀況、重要性和受審核的區(qū)域以及上次審核結(jié)果，應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方式，審核員的選擇和審核活動(dòng)應(yīng)保證審核過程的客觀和公正，審核員不能審核自己的工作。 公司應(yīng)確保員工認(rèn)識(shí)到所從事信息安全活動(dòng)的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)ISMS目標(biāo)作出貢獻(xiàn)。 相關(guān)文件：《信息安全方針和目標(biāo)》《部門職責(zé)》《管理評(píng)審程序》《系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法》 資源管理 公司應(yīng)確定和提供以下方面所需的資源 a) 建立建立、實(shí)施、運(yùn)行、監(jiān)控、維護(hù)和改進(jìn)ISMS b) 確保信息安全程序支持業(yè)務(wù)需求； c) 識(shí)別并確定法律法規(guī)要求和合同安全責(zé)任； d) 通過正確應(yīng)用所有實(shí)施的控制措施的來維持足夠的安全； e) 必要時(shí)進(jìn)行評(píng)估，并對(duì)評(píng)估結(jié)果采取適當(dāng)?shù)膶?duì)應(yīng)措施； f) 必要時(shí)改進(jìn)ISMS的有效性。 相關(guān)文件：《文件控制程序》《記錄控制程序》5 管理職責(zé) 管理層應(yīng)通過以下措施對(duì)其建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)ISMS的承諾提供證據(jù)。 保持過程業(yè)績(jī)的記錄以及與ISMS有關(guān)的安全事件的記錄。ISMS應(yīng)考慮相關(guān)法律要求，記錄應(yīng)易于識(shí)別和檢索。 ISMS所要求的文件應(yīng)予以保護(hù)和控制，應(yīng)編制形成文件的程序以規(guī)定以下方面所需的管理措施：a) 文件發(fā)布前得到批準(zhǔn)以確保文件是充分的； b) 必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新并再次批準(zhǔn)； c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別； d) 確保在使用處可獲得適用文件的適用版本； e) 確保文件保持合法并易于識(shí)別； f) 確保外來文件得到識(shí)別； g) 確保文件的分發(fā)是受控的； h) 防止作廢文件的非預(yù)期使用； i) 若因任何原因而保留作廢文件時(shí)對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)； 應(yīng)建立并保持記錄，以提供符合要求和ISMS有效運(yùn)行的證據(jù)。相關(guān)文件：《系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法》《適用性聲明》《管理評(píng)審程序》《內(nèi)部審核控制程序》《糾正措施控制程序》《預(yù)防措施控制程序》 ISMS文件應(yīng)包括： a) 形成文件的ISMS方針和控制目標(biāo)； b) ISMS范圍c) ISMS的支持性程序和控制措施； d) 風(fēng)險(xiǎn)評(píng)估方法的描述； e) 風(fēng)險(xiǎn)評(píng)估報(bào)告； f) 風(fēng)險(xiǎn)處置計(jì)劃； g) 公司為確保其信息安全過程的有效策劃、運(yùn)行和控制以及規(guī)定如何測(cè)量控制措施有效性所需的程序文件； h) 標(biāo)準(zhǔn)所要求的記錄； i) 適用性聲明。我公司開展以下活動(dòng)，以確保信息安全管理體系的持續(xù)改進(jìn)：a) 實(shí)施每年管理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的項(xiàng)目；b) 按照《內(nèi)部審核管理程序》、《糾正措施管理程序》、《預(yù)防措施管理程序》的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故（事件）的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性；c) 通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對(duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。，更新安全計(jì)劃。，內(nèi)部審核的具體要求，見本手冊(cè)第6章。管理評(píng)審的具體要求，見本手冊(cè)第7章。 、內(nèi)部審核、事故（事件）報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：a)及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故（事件）和隱患；b)及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c)使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；d)使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效；e)積累信息安全方面的經(jīng)驗(yàn)。各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)；各部門、《信息安全管理職責(zé)明細(xì)表》和相應(yīng)的程序文件。總經(jīng)理指定了信息安全管理者代表。本公司由相關(guān)部門代表組成信息安全管理網(wǎng)絡(luò)，采用聯(lián)席會(huì)議（協(xié)調(diào)會(huì)）的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以：a) 確保安全活動(dòng)的執(zhí)行符合信息安全方針；b) 確定怎樣處理不符合；c) 批準(zhǔn)信息安全的方法和過程，如風(fēng)險(xiǎn)評(píng)估、信息分類；d) 識(shí)別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對(duì)威脅的暴露；e) 評(píng)估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性；f) 有效的推動(dòng)組織內(nèi)信息安全教育、培訓(xùn)和意識(shí)；g) 評(píng)價(jià)根據(jù)信息安全事件監(jiān)控和評(píng)審得出的信息，并根據(jù)識(shí)別的信息安全事件推薦適當(dāng)?shù)拇胧?信息安全組織機(jī)構(gòu)本公司成立了的信息安全領(lǐng)導(dǎo)機(jī)構(gòu)信息安全委員會(huì)，其職責(zé)是實(shí)現(xiàn)信息安全管理體系方針和本公司承諾。該聲明包括以下方面的內(nèi)容：a)所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因；b)對(duì)ISO/IEC 27001:2005附錄A中未選用的控制目標(biāo)及控制措施理由的說明。 最高管理者通過本手冊(cè)對(duì)實(shí)施和運(yùn)行信息安全管理體系進(jìn)行了授權(quán)。c)本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。網(wǎng)絡(luò)管理部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門（見《信息安全適用性聲明》）：a)信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇網(wǎng)絡(luò)管理部組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成《風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。同時(shí)，根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》，識(shí)別了對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。信息安全風(fēng)險(xiǎn)評(píng)估采用信息安全風(fēng)險(xiǎn)管理軟件（Inforiskmanager）進(jìn)行，以保證所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。；b) 識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求； c) 定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，信息安全管理體系評(píng)審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d）采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；e) 對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。該信息安全方針符合以下要求：a) 為信息安全目標(biāo)建立了框架，并為信息安全活動(dòng)建立整體的方向和原則；b) 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)；c) 與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持信息安全管理體系；d) 建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；e) 經(jīng)最高管理者批準(zhǔn)。 信息安全管理體系的方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持軟件開發(fā)和經(jīng)營的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。相關(guān)文件：《信息安全方針及目標(biāo)》（ISMS） 信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全管理體系的范圍包括：a) 本公司涉及軟件開發(fā)、營銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng)；b) 與所述信息系統(tǒng)有關(guān)的活動(dòng)；c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工；d) 所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。4信息安全管 公司根據(jù)整體業(yè)務(wù)活動(dòng)（軟件開發(fā)、經(jīng)營、服務(wù)和日常管理活動(dòng)）和所面臨的風(fēng)險(xiǎn)，按ISO/IEC 27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》規(guī)定，參照ISO/IEC 27002:2005《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》標(biāo)準(zhǔn)，建立、實(shí)施、運(yùn)作、監(jiān)控、維護(hù)并改進(jìn)文件化的信息安全管理體系。3．6．4．7技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門，根據(jù)公司的業(yè)務(wù)特點(diǎn)及標(biāo)準(zhǔn)的要求，制訂相關(guān)的程序文件，經(jīng)公司管理者代表批準(zhǔn)后實(shí)施。3．6．