【正文】 4．5記錄 — 在開展具體業(yè)務工作過程中產(chǎn)生的記錄類文件，主要是為具體工作結果提供各種可追溯性證據(jù)。3．6．4．3程序文件 — 覆蓋公司主要業(yè)務過程的流程文件，是管理手冊的支撐性文件。3．6．4文件要求3．6．4．1公司的文件管理體系分為A、B、C、D四層，即A層為管理手冊、B層為程序文件、C層為工作流程或規(guī)定、D層為記錄。 管理者代表按照《服務質量改進管理程序》中的計劃間隔，由技術服務事業(yè)部負責組織相關部門實施IT服務管理體系的內部審核，確保IT服務管體系的有效性與符合性。 技術服務事業(yè)部負責組織相關部門，通過會議、評審、書面報告、培訓等方式，及時有效溝通工作，達到IT服務管理目標和持續(xù)改進的需求，并在公司中積極貫徹實施IT服務管理的重要性。 技術服務事業(yè)部組織制訂、批準和發(fā)布公司IT服務策略、服務目標，并使其成為公司關注的焦點，成為公司協(xié)調、統(tǒng)一、凝聚公司的所有活動和資源的準則，成為建立、實施、保持并改進IT服務管理體系的宗旨。3．6．2．1．2能力要求：熟悉服務部的各種服務管理流程，具有較強的內部協(xié)調能力。4）、負責系統(tǒng)的可用性規(guī)劃和管理、負責安排系統(tǒng)連續(xù)性的計劃和演練，并負責系統(tǒng)容量的規(guī)劃和監(jiān)控。2）、負責從服務臺接受事件報告開始，分配相應的職能小組進行事件處理，直至找到問題的根本原因的整個過程的管理和協(xié)調。3．6．2．1．1 項目經(jīng)理職責說明：1）、負責IT服務項目的立項工作，按照服務合同要求負責相應流程的實施、管理和控制。由項目經(jīng)理負責相應流程的實施、管理和控制。3．6．2 角色分配說明3．6．2．1針對服務部當前組織架構及人員狀況，將不再為每一具體流程分配流程經(jīng)理。一個完整的服務項目必須包含服務臺、事件管理、業(yè)務關系管理、信息安全管理、供應商管理和IT財務管理。IT服務管理職能關系架構，并不替代現(xiàn)有的按技術類別進行的分工，現(xiàn)有的按技術類別進的分工，在將來的IT服務管理體系中仍將發(fā)揮其作用。備注：以上職能劃分，適用所有信息安全管理體系文件。負責局域網(wǎng)上所承擔的各類信息系統(tǒng)的管理職能；負責我公司信息系統(tǒng)安全日常管理。8. 參與涉密及司法介入的信息安全事件的調查。6. 負責涉密信息上網(wǎng)、涉密計算機運行、檢修、報廢的監(jiān)督管理。4. 安全區(qū)域的保衛(wèi)管理部門，負責安全區(qū)域的管理。2. 負責文件控制、記錄控制、內部審核的組織、管理評審的組織和體系的改進。4綜合管理部我公司信息安全管理體系的歸口管理部門。2總經(jīng)理信息安全第一責任人，制定信息安全方針，對信息安全全面負責。為了加強對信息安全管理體系運作的管理，江蘇金馬揚名信息技術有限公司公司成立信息安全管理委員會，其職責見下列明細表。◆對重要信息進行備份保護，以保證信息的可用性?！艨刂茖韧獠烤W(wǎng)絡服務的訪問，保護網(wǎng)絡服務的安全性與可用性。◆任何人在未經(jīng)審批的情況下，禁止將信息資產(chǎn)帶離公司。◆建立物理安全和網(wǎng)絡安全管理制度，以確保信息的安全性?！舯Ｗo公司、客戶、相關合作方的信息安全。進行業(yè)務持續(xù)性風險評估，編寫、測試并實施業(yè)務持續(xù)性計劃和災難恢復計劃，以保證公司關鍵業(yè)務的連續(xù)，不受重大故障和災難的影響。對公司信息資產(chǎn)進行風險評估，制定風險可接受標準，對公司不能接受的風險進行處置。◆提供充分的資源以保證信息安全管理體系的制定、實施、運作、監(jiān)控、維護和改善。3．3公司IT服務管理職能關系架構圖◆公司成立安全管理委員會來領導信息安全工作，并確定相應的職責和作用。不得隨意向其他與公司業(yè)務無關的第三方傳播，如需提供公司以外的第三方參考，應經(jīng)技術服務事業(yè)部提交公司主管副總經(jīng)理審核后，報公司總經(jīng)理批準。2．5公司內部手冊持有者的責任2．5．1與公司或部門內部的相關人員溝通、學習手冊的要求并遵照執(zhí)行。2．4．2更新后的手冊，應及時地發(fā)放給公司內部原手冊持有者，并收回舊版的手冊。2．3．4電子形式的手冊由技術服務事業(yè)部在工作流轉系統(tǒng)中進行管理。2．3．2當手冊內容變更時，“有效文件”形式的手冊應及時予以更新和發(fā)放。2．3手冊的受控狀態(tài)2．3．1書面形式的手冊分“有效文件”和“保留文件”兩種形式。2．2手冊的分發(fā)2．2．1技術服務事業(yè)部負責手冊的發(fā)放、更新、管理與存檔。IT服務管理手冊的管理2．1手冊的編制、批準和發(fā)布2．1．1按照公司業(yè)務發(fā)展戰(zhàn)略和客戶需求，經(jīng)公司管理者代表批準，技術服務事業(yè)部組織相關人員，結合本公司業(yè)務特點，根據(jù)ISO/IEC 20000標準的要求編寫。1．3．2本手冊應用ISO/IEC27001中的術語及定義。IT服務管理體系手冊適用于本公司提供安全管理體系認證服務與IT服務有關的所有部門和活動。本公司的體系程序是手冊的支持性文件，是對體系運作的具體描述。（重大顧客投訴是指直接經(jīng)濟損失金額達1萬元以上）1 信息安全管理手冊說明1．1公司簡介XX本手冊在遵循ISO9001：2005 《信息安全管理體系要求》與ISO/IEC 20000 《信息技術服務管理－規(guī)范》的要求編制而成，包括了ISO27001：2005的全部要求，對附錄A的刪減見《適用性聲明SoA》。九、違反信息安全要求的懲罰20．對違反信息安全方針、職責、程序和措施的人員，按規(guī)定進行處理。八、業(yè)務持續(xù)性18．公司根據(jù)風險評估的結果，建立業(yè)務持續(xù)性計劃，抵消信息系統(tǒng)的中斷造成的影響，防止關鍵業(yè)務過程受嚴重的信息系統(tǒng)故障或者災難的影響，并確保能夠及時恢復。16．接受信息安全事件報告的主管部門應記錄所有報告，及時做出相應的處理，并向報告人員反饋處理結果。六、報告安全事件14．公司建立報告信息安全事件的渠道和相應的主管部門。本公司或環(huán)境發(fā)生重大變化時，隨時評估。五、風險評估11．根據(jù)本公司業(yè)務信息安全的特點、法律法規(guī)要求，建立風險評估程序，確定風險接受準則。9．全體員工及相關方人員必須履行安全職責，執(zhí)行安全方針、程序和安全措施。 8．定期對全體員工進行信息安全相關教育，包括：技能、職責和意識。對崗位調動或離職人員，應及時調整安全職責和權限。三、人員安全6．信息安全需要全體員工的參與和支持，全體員工都有保護信息安全的職責，在勞動合同、崗位職責中應包含對信息安全的要求。4．在公司內部建立信息安全組織機構，信息安全管理委員會和信息安全協(xié)調機構，保證信息安全管理體系的有效運行。二、信息安全管理組織2．公司總經(jīng)理對信息安全工作全面負責，負責批準信息安全方針，確定信息安全要求，提供信息安全資源。7．推動公司各部門領導，積極組織全體員工，通過工作實踐、教育培訓、業(yè)務指導等方式不斷提高員工對滿足客戶需求的重要性的認知程度，以及為達到公司服務管理目標所應做出的貢獻。2． 負責與信息安全管理體系有關的協(xié)調和聯(lián)絡工作；向公司管理層報告IT服務管理體系的業(yè)績，如：服務方針和服務目標的業(yè)績、客戶滿意度狀況、各項服務活動及改進的要求和結果等。IT服務管理體系手冊》要求，自覺遵守本手冊各項要求，努力實現(xiàn)公司的信息安全與IT服務的方針和目標。直接向公司管理層報告。本手冊符合有關信息安全法律法規(guī)要求以及ISO20000:2005《信息技術服務管理—規(guī)范》、ISO27001：2005《信息安全管理體系要求》和公司實際情況。是全體員工必須遵守的原則性規(guī)范。本手冊是公司法規(guī)性文件，用于貫徹公司信息安全管理方針和目標，貫徹IT服務管理理念方針和服務目標。 信息安全管理IT服務管理體系手冊發(fā)布令本公司按照ISO20000:2005《信息技術服務管理—規(guī)范》和ISO27001：2005《信息安全管理體系要求》以及本公司業(yè)務特點編制《信息安全管理amp。IT服務管理體系手冊》，建立與本公司業(yè)務相一致的信息安全與IT服務管理體系，現(xiàn)予以頒布實施。為實現(xiàn)信息安全管理與IT服務管理，開展持續(xù)改進服務質量，不斷提高客戶滿意度活動，加強信息安全建設的綱領性文件和行動準則。體現(xiàn)公司對社會的承諾，通過有效的PDCA活動向顧客提供滿足要求的信息安全管理和IT服務。為能更好的貫徹公司管理層在信息安全與IT服務管理方面的策略和方針，根據(jù)ISO20000:2005《信息技術服務管理—規(guī)范》和ISO27001：2005《信息安全管理體系要求》的要求任命XXXXX為管理者代表，作為本公司組織和實施“信息安全管理與IT服務管理體系”的負責人。全體員工必須嚴格按照《信息安全管理amp。管理者代表職責：a) 建立服務管理計劃； b) 向組織傳達滿足服務管理目標和持續(xù)改進的重要性； e) 確定并提供策劃、實施、監(jiān)視、評審和改進服務交付和管理所需的資源，如招聘合適的人員，管理人員的更新； 1． 確保按照ISO207001:2005標準的要求，進行資產(chǎn)識別和風險評估，全面建立、實施和保持信息安全管理體系；按照ISO/IEC 20000 《信息技術服務管理－規(guī)范》的要求，組織相關資源，建立、實施和保持IT服務管理體系，不斷改進IT服務管理體系，確保其有效性、適宜性和符合性。3． 確保在整個組織內提高信息安全風險的意識；4． 審核風險評估報告、風險處理計劃；5． 批準發(fā)布程序文件；6． 主持信息安全管理體系內部審核，任命審核組長，批準內審工作報告；向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運行情況、內外部審核情況?？偨?jīng)理：日期：信息安全方針和信息安全目標信息安全方針：信息安全 人人有責本公司信息安全管理方針包括內容如下：一、信息安全管理機制1．公司采用系統(tǒng)的方法，按照ISO/IEC 27001:2005建立信息安全管理體系，全面保護本公司的信息安全。3．公司總經(jīng)理任命管理者代表負責建立、實施、檢查、改進信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。5．與上級部門、地方政府、相關專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。特殊崗位的人員應規(guī)定特別的安全責任。7．對本公司的相關方，要明確安全要求和安全職責。以提高安全意識。四、識別法律、法規(guī)、合同中的安全10．及時識別顧客、合作方、相關方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。12．采用先進的風險評估技術和軟件，定期進行風險評估，以識別本公司風險的變化。13．應根據(jù)風險評估的結果，采取相應措施，降低風險。15．全體員工有報告信息安全隱患、威脅、薄弱點、事故的責任，一旦發(fā)現(xiàn)信息安全事件，應立即按照規(guī)定的途徑進行報告。七、監(jiān)督檢查17．定期對信息安全進行監(jiān)督檢查，包括：日常檢查、專項檢查、技術性檢查、內部審核等。19．定期對業(yè)務持續(xù)性計劃進行測試和更新。信息安全目標：：100% （所有不可接受風險應降低到可接受的程度）。手冊描述公司的信息安全管理體系的總要求，以確保公司的信息安全管理體系能夠達到ISO27001：2005信息安全管理標準的要求；滿足本公司向客戶提供IT服務所需的IT基礎設施和IT技術支持服務，適用于向客戶或認證機構證實，本公司具備提供符合客戶需求的IT服務能力和服務質量。信息安全管理amp。1．3術語和定義1．3．1本手冊應用ISO/IEC 20000中的術語及定義。2 信息安全管理amp。2．1．2《IT服務管理手冊》由公司管理者代表批準后發(fā)布。2．2．2公司各部門負責手冊的使用和保管。作為公司日常運營的依據(jù)及提供給外部認證機構的手冊均為“有效文件”形式。2．3．3“有效文件”形式的文件在更新后，如需保存原來的版本，以便于追溯，則應當用“保留文件”的標識予以區(qū)分。2．4手冊的變更2．4．1因公司戰(zhàn)略調整、客戶需求或改進活動等引起的手冊內容的變更，按公司總經(jīng)理指示，技術服務事業(yè)部組織相關部門對涉及變更的內容進行更新，并經(jīng)公司總經(jīng)理批準后發(fā)布。對電子形式的手冊，由技術服務事業(yè)部按工作流轉系統(tǒng)中的管理規(guī)則進行更新和歸檔管理。2．5．2妥善保管，不得私自更改、曲解手冊的內容。3 公司架構和安全承諾總 經(jīng) 理文檔培訓倉庫采購人力資源財務物流銷售市場測試質量保證質管部實施研發(fā)綜合管理部生技部商務部總 經(jīng) 理管理者代表商務部生技部綜合管理部副管理者代表研發(fā)實施質管部質量保證測試客戶服務部銷售物流財務人力資源采購倉庫培訓文檔安全委員會注：每個虛線框內為一個信息安全小組，部門的負責人為安全組長，各崗位負責人為該崗位的安全員?！糁朴喰畔踩结樅托畔踩繕?，建立和完善公司的信息安全管理體系?！魧拘畔①Y產(chǎn)實行有效管理，確保信息的機密性，維持信息的完整性和可用性，防范對信息的未經(jīng)授權訪問?！艚I(yè)務持續(xù)性管理流程?！舸_保公司所有員工都接受信息安全的教育培訓，提高信息安全意識?！艚⒐拘畔踩M織架構，明確信息安全責任，確定報告可疑的和發(fā)生的信息安全事故及事件的流程，對違反安全制度的人員進行懲罰?！舯Ｗo公司軟件和信息的完整性，防止病毒與各種惡意軟件的入侵。◆公司所有員工都要嚴格遵守公司的安全方針、程序和制度?！魧τ脩糍~號、口令和權限進行嚴格管理，防止對信息系統(tǒng)的非授權訪問?！舳ㄆ趯π畔踩芾眢w系進行內審和管理評審。信息安全管理職責