【正文】 明細(xì)表序號(hào)單位/部門信息安全職責(zé)1信息安全管理委員會(huì)信息安全管理委員會(huì)是我公司信息安全最高組織機(jī)構(gòu)，負(fù)責(zé)本單位網(wǎng)絡(luò)與信息安全重大事項(xiàng)的決策和協(xié)調(diào)，并對(duì)全公司信息安全工作負(fù)責(zé)。3管理者代表經(jīng)總經(jīng)理授權(quán)負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系。1. 負(fù)責(zé)管理體系的建立、實(shí)施、保持、測(cè)量和改進(jìn)。3. 負(fù)責(zé)本公司保密工作的管理。5. 負(fù)責(zé)全公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、意識(shí)和培訓(xùn)，員工離職管理。7. 對(duì)信息安全日常工作實(shí)施動(dòng)態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容。5生產(chǎn)技術(shù)部是我公司信息系統(tǒng)安全管理部門。6其他部門認(rèn)真執(zhí)行信息安全管理的方針、標(biāo)準(zhǔn)、安全策略和規(guī)范，做好內(nèi)部培訓(xùn)。信息安全管理委員會(huì)組成人員：姓名部門職務(wù)備注3．6服務(wù)管理職能說明3．6．1為保證IT服務(wù)管理體系的順利實(shí)施，以及實(shí)施后得到持續(xù)的管理和維護(hù)，在現(xiàn)有的組織架構(gòu)外建立服務(wù)管理職能關(guān)系架構(gòu)。服務(wù)部根據(jù)IT服務(wù)管理程序要求對(duì)所有服務(wù)合同按照項(xiàng)目進(jìn)行管理與運(yùn)行，由項(xiàng)目經(jīng)理按照服務(wù)管理職能關(guān)系架構(gòu)中的要求對(duì)項(xiàng)目執(zhí)行管理。對(duì)于上圖虛線框內(nèi)的的問題管理、發(fā)布管理、配置管理、變更管理、可用性和連續(xù)性管理、容量管理、服務(wù)級(jí)別管理以及服務(wù)報(bào)告可由服務(wù)部經(jīng)理依照與用戶簽署的服務(wù)合同進(jìn)行選擇裁剪。為此將13個(gè)流程，按其必要程度分成必選流程和可裁剪流程兩大模塊。對(duì)項(xiàng)目組成員主要是組織、協(xié)調(diào)、安排相應(yīng)工作任務(wù)的完成，可能并不是由自己去完成。組織、協(xié)調(diào)、安排項(xiàng)目組成員完成相應(yīng)工作任務(wù)。3）、負(fù)責(zé)各系統(tǒng)的配置管理、變更和發(fā)布控制。5）、主要負(fù)責(zé)與用戶的溝通，對(duì)供應(yīng)商的管理，以及項(xiàng)目的預(yù)/決算的管理。 由管理者代表授權(quán)技術(shù)服務(wù)事業(yè)部總監(jiān)，按ISO/IEC 20000的要求，負(fù)責(zé)協(xié)調(diào)和組織所有與IT服務(wù)有關(guān)的活動(dòng)，通過管理和實(shí)施各項(xiàng)活動(dòng)，使IT服務(wù)業(yè)務(wù)的質(zhì)量得到有效的保持和維護(hù)。3．6．3公司 IT服務(wù)策略：客戶至上、全員參與、創(chuàng)新高效、系統(tǒng)管理、追求卓越公司 IT服務(wù)目標(biāo)：公司通過服務(wù)質(zhì)量改進(jìn)程序確定年度服務(wù)質(zhì)量目標(biāo) 公司的IT服務(wù)目標(biāo)按ISO/IEC 20000的要求，與公司的業(yè)務(wù)相結(jié)合，并通過流程績(jī)效不斷提高和改進(jìn)。技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門按照PDCA的要求，通過對(duì)所屬業(yè)務(wù)的規(guī)劃，適時(shí)優(yōu)化和提供資源以計(jì)劃、實(shí)施、監(jiān)控、評(píng)審和改進(jìn)IT服務(wù)的交付和管理。管理者代表按照《服務(wù)質(zhì)量改進(jìn)管理程序》中的計(jì)劃間隔，組織相關(guān)部門執(zhí)行IT服務(wù)管理體系的管理評(píng)審，確保IT服務(wù)管理體系持續(xù)的穩(wěn)定、充分和有效。3．6．4．2管理手冊(cè) — 描述IT服務(wù)管理體系的文件，是全體員工必須長(zhǎng)期遵循的法規(guī)性文件。3．6．4．4工作流程或規(guī)定— 是開展具體業(yè)務(wù)工作的規(guī)范類、指導(dǎo)性文件，是程序文件的支持性文件。3．6．4．6技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織制訂《文件和記錄管理程序》，明確文件的擬制、批準(zhǔn)、發(fā)放、變更、存檔等管理要求，并監(jiān)控實(shí)施。3．6．4．8技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織擬制與本部門業(yè)務(wù)相關(guān)的各類C層文件，并按《文件和記錄管理程序》的要求對(duì)文件和記錄的有效性進(jìn)行管理。組織范圍：本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見本手冊(cè)JIN/QM—《公司信息安全管理體系組織架構(gòu)》。本公司ISMS的物理范圍為本公司位于xxxxxxxxxxxxxxx的辦公場(chǎng)所，安全邊界詳見附錄A（規(guī)范性附錄）《辦公場(chǎng)所平面圖》。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針。為實(shí)現(xiàn)信息安全管理體系方針，本公司承諾：a) 在各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全目標(biāo)和控制措施；明確信息安全的管理職責(zé)。 風(fēng)險(xiǎn)評(píng)估的方法生技部負(fù)責(zé)制定《信息安全風(fēng)險(xiǎn)管理程序》，建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。 識(shí)別風(fēng)險(xiǎn)在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風(fēng)險(xiǎn)管理程序》，采用Inforiskmanager風(fēng)險(xiǎn)管理軟件，對(duì)所有的資產(chǎn)進(jìn)行了識(shí)別，并識(shí)別了這些資產(chǎn)的所有者。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了《重要資產(chǎn)清單》。 分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按《信息安全風(fēng)險(xiǎn)管理程序》，采用信息安全風(fēng)險(xiǎn)管理軟件，分析和評(píng)價(jià)風(fēng)險(xiǎn)：a) 針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值；b) 針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值；c) 根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》計(jì)算風(fēng)險(xiǎn)等級(jí)；d) 根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴) 控制風(fēng)險(xiǎn)，采用適當(dāng)?shù)膬?nèi)部控制措施；b) 接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）；c) 避免風(fēng)險(xiǎn)（如物理隔離）；d) 轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）。b)控制目標(biāo)及控制措施的選擇原則來源于ISO/IEC 27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》附錄A，具體控制措施參考ISO/IEC 27002:2005《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》。 對(duì)風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)，得到了公司最高管理者的批準(zhǔn)。 適用性聲明生技部負(fù)責(zé)編制《信息安全適用性聲明》（SoA）。 ，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展以下活動(dòng)：a)形成《風(fēng)險(xiǎn)處理計(jì)劃》，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級(jí)；b)為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《風(fēng)險(xiǎn)處理計(jì)劃》，明確各崗位的信息安全職責(zé)；c)實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d)確定如何測(cè)量所選擇的控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；e)進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力；f)對(duì)信息安全體系的運(yùn)作進(jìn)行管理；g)對(duì)信息安全所需資源進(jìn)行管理；h)實(shí)施控制程序，對(duì)信息安全事件（或征兆）進(jìn)行迅速反應(yīng)。具體職責(zé)是：研究決定貫標(biāo)工作涉及到的重大事項(xiàng)；審定公司信息安全方針、目標(biāo)、工作計(jì)劃和重要文件；為貫標(biāo)工作的有序推進(jìn)和信息安全管理體系的有效運(yùn)行提供必要的資源。 本公司總經(jīng)理為信息安全最高責(zé)任者。無論信息安全管理者代表在其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)：a) 建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；b) 對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全領(lǐng)導(dǎo)小組或最高責(zé)任者報(bào)告。 各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全目標(biāo)、控制措施（包括安全運(yùn)行的各種控制程序）的要求實(shí)施信息安全控制措施。，由總經(jīng)理主持，每年至少一次對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，其中包括信息安全范圍、方針、目標(biāo)的符合性及控制措施有效性的評(píng)審，考慮安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。 網(wǎng)絡(luò)管理部應(yīng)組織有關(guān)部門按照《信息安全風(fēng)險(xiǎn)管理程序》的要求，采用信息安全風(fēng)險(xiǎn)管理軟件，對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：a) 組織； b) 技術(shù)；c) 業(yè)務(wù)目標(biāo)和過程；d) 已識(shí)別的威脅；e) 實(shí)施控制的有效性； f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。，以確保范圍的充分性，并識(shí)別信息安全管理體系過程的改進(jìn)，管理評(píng)審的具體要求，見本手冊(cè)第7章。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識(shí)別顧客對(duì)信息安全的要求等；d) 對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果。 所有文件應(yīng)按ISMS方針要求在需要時(shí)可獲得。記錄應(yīng)得到保護(hù)并且受控。應(yīng)編制形成文件的程序，以規(guī)定記錄的識(shí)別、貯存、保護(hù)、檢索、保存期限和處置所需的控制，確定記錄需要和程度的管理過程。例如，記錄包括訪問者登記審核記錄和訪問授權(quán)。 a) 建立信息安全方針； b) 確保信息安全目標(biāo)和計(jì)劃的建立； c) 為信息安全分配角色和職責(zé)； d) 向公司傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、法律責(zé)任和持續(xù)改進(jìn)的重要性； e) 提供足夠的資源以建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)ISMS； f) 決定可接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和可接受風(fēng)險(xiǎn)的等級(jí)； g) 確保ISMS內(nèi)部審核的執(zhí)行； h) 進(jìn)行ISMS管理評(píng)審。 、意識(shí)和能力 公司應(yīng)確保在ISMS中任命職責(zé)的人員應(yīng)能夠勝任要求的任務(wù) a) 確定從事影響信息安全工作的人員所必需的能力； b) 提供足夠的能力培訓(xùn)或其它措施，必要時(shí)聘用有能力的人員滿足這些要求； c) 評(píng)估所提供的培訓(xùn)和采取措施的有效性； d) 保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資質(zhì)的適當(dāng)記錄。相關(guān)文件：《人力資源管理控制程序》6 ISMS內(nèi)部審核公司應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行ISMS內(nèi)部審核，以確定控制目標(biāo)、控制措施、過程和程序是否： a) 符合標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求； b) 符合確定的信息安全要求； c) 得到有效地實(shí)施和維護(hù)； d) 按期望運(yùn)行。應(yīng)建立形成文件的程序，以規(guī)定策劃和實(shí)施審核的職責(zé)和要求以及報(bào)告結(jié)果和保持記錄。改進(jìn)措施包括所采取措施的驗(yàn)證并匯報(bào)驗(yàn)證結(jié)果。評(píng)審應(yīng)包括評(píng)價(jià)ISMS改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安全目標(biāo)的適宜性。 管理評(píng)審的輸入應(yīng)包括以下方面的信息： a) ISMS審核（包括內(nèi)審和外審）和管理評(píng)審的結(jié)果； b) 相關(guān)方（客戶、供應(yīng)商、內(nèi)部員工等）的反饋； c) 公司用于改進(jìn)ISMS業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序的發(fā)展及變化； d) 預(yù)防和糾正措施的實(shí)施情況； e) 上次風(fēng)險(xiǎn)評(píng)估未充分指出的弱點(diǎn)或威脅； f) 體系有效性測(cè)量的結(jié)果； g) 上次管理評(píng)審所采取措施的跟蹤驗(yàn)證； h) 影響ISMS的變更，如信息安全組織架構(gòu)變化等； i) 改進(jìn)的建議。 d) 資源需求e)針對(duì)被測(cè)量的控制措施有效性的改進(jìn)相關(guān)文件：《管理評(píng)審程序》8 ISMS的改進(jìn) 公司應(yīng)通過應(yīng)用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施和管理評(píng)審，持續(xù)改進(jìn)ISMS的有效性。糾正措施文件程序應(yīng)規(guī)定以下方面的要求。 公司應(yīng)決定措施以防范未來的不符合，防止發(fā)生采取的預(yù)防措施應(yīng)與潛在問題的影響相匹配，預(yù)防措施文件程序應(yīng)規(guī)定以下方面的要求。公司應(yīng)識(shí)別發(fā)生變化的風(fēng)險(xiǎn)，并通過關(guān)注變化顯著的風(fēng)險(xiǎn)來識(shí)別預(yù)防措施要求。相關(guān)文件：《糾正措施控制程序》 《預(yù)防措施控制程序》 IT服務(wù)管理服務(wù)管理規(guī)劃和實(shí)施在開展IT服務(wù)管理的活動(dòng)中，PDCA原理貫穿于IT服務(wù)管理體系的全部流程，其中：P（計(jì)劃） — 根據(jù)客戶要求和公司策略建立目標(biāo)和流程。C（檢查） — 根據(jù)策略、目標(biāo)和要求對(duì)過程和服務(wù)進(jìn)行監(jiān)控、測(cè)量，并報(bào)告結(jié)果。計(jì)劃服務(wù)管理 服務(wù)部向客戶提供三大服務(wù)項(xiàng)目：常駐現(xiàn)場(chǎng)技術(shù)服務(wù)、定期巡檢技術(shù)服務(wù)、咨詢規(guī)劃設(shè)計(jì)服務(wù)。從而實(shí)現(xiàn)在堅(jiān)持原有行業(yè)內(nèi)的服務(wù)的基礎(chǔ)上向行業(yè)外擴(kuò)展的計(jì)劃。 相關(guān)部門根據(jù)管理評(píng)審的結(jié)果及結(jié)論，結(jié)合本部門的工作實(shí)際，由技術(shù)服務(wù)事業(yè)部組織相關(guān)部門對(duì)當(dāng)前與本部門相關(guān)的IT服務(wù)工作的改進(jìn)需求、以及公司業(yè)務(wù)發(fā)展策略、技術(shù)動(dòng)態(tài)、政策法規(guī)要求、下一年度IT服務(wù)工作的安排進(jìn)行規(guī)劃，制訂本部門的年度工作計(jì)劃，并按公司內(nèi)控制度制訂對(duì)應(yīng)的部門年度費(fèi)用預(yù)算。相關(guān)部門年度工作計(jì)劃、年度費(fèi)用預(yù)算應(yīng)與已批準(zhǔn)的本部門年度工作計(jì)劃、預(yù)算一致，如有變更，引起預(yù)算的變化，應(yīng)上報(bào)技術(shù)服務(wù)事業(yè)部按照相關(guān)流程審批、執(zhí)行。監(jiān)視、測(cè)量和評(píng)審服務(wù)部負(fù)責(zé)收集、匯總、整理IT服務(wù)項(xiàng)目的日常服務(wù)數(shù)據(jù)。IT服務(wù)項(xiàng)目在運(yùn)行中，應(yīng)監(jiān)控、測(cè)量和評(píng)審的內(nèi)容為：既定的IT服務(wù)目標(biāo)的達(dá)成程度。資源利用。嚴(yán)重不符合。持續(xù)改進(jìn)服務(wù)部每年至少進(jìn)行一次服務(wù)管理體系的有效性評(píng)估，評(píng)估通過內(nèi)部審核的方式進(jìn)行。服務(wù)部在內(nèi)部審核后，應(yīng)進(jìn)行管理評(píng)審，管理評(píng)審的內(nèi)容包括：各流程的執(zhí)行狀況報(bào)告，存在問題及改進(jìn)建議，內(nèi)部審核結(jié)果，相關(guān)方的反饋以及其他可能影響體系運(yùn)行的要素。監(jiān)控IT服務(wù)運(yùn)行中出現(xiàn)的不符合項(xiàng)，組織相關(guān)部門實(shí)施、驗(yàn)證改進(jìn)活動(dòng)。對(duì)于內(nèi)部審核、管理評(píng)審或其他活動(dòng)中所發(fā)現(xiàn)的不符合項(xiàng)或潛在不符合項(xiàng)，應(yīng)按照《服務(wù)質(zhì)量改進(jìn)管理程序》要求進(jìn)行及時(shí)糾正。分析、整理客戶新的或變更服務(wù)的要求，及時(shí)反饋客戶的改進(jìn)需求。服務(wù)部組織對(duì)新服務(wù)或變更服務(wù)策劃結(jié)果的驗(yàn)證、確認(rèn)，驗(yàn)證通過后按《服務(wù)策劃管理程序》實(shí)施。服務(wù)交付過程服務(wù)級(jí)別管理服務(wù)部負(fù)責(zé)與相關(guān)部門溝通，制訂公司的《服務(wù)目錄》。《服務(wù)目錄》是公司所提供的服務(wù)內(nèi)容的匯總，公司與客戶簽署SLA時(shí)應(yīng)參考《服務(wù)目錄》。根據(jù)公司的戰(zhàn)略規(guī)劃、資源要求及客戶需求，服務(wù)部在與銷售部門和其他相關(guān)部門溝通、確定SLA時(shí)，應(yīng)考慮：可接受持續(xù)損失服務(wù)的最大周期、可接受降級(jí)服務(wù)的最大周期，服務(wù)恢復(fù)時(shí)，可接受降級(jí)服務(wù)級(jí)別。應(yīng)明確：服務(wù)要求和期望服務(wù)工作量特征的協(xié)議、服務(wù)目標(biāo)協(xié)議、服務(wù)級(jí)別實(shí)現(xiàn)、工作量的測(cè)量和報(bào)告，以及服務(wù)目標(biāo)不能完成的分析與說明。 商務(wù)部應(yīng)依據(jù)與客戶簽訂的SLA以及《供應(yīng)商管理程序》的要求，組織簽署與供應(yīng)商之間的支持合同（或協(xié)議）。服務(wù)報(bào)告服務(wù)部應(yīng)就向客戶提交的服務(wù)報(bào)告的內(nèi)容、報(bào)告周期與客戶協(xié)商并達(dá)成一致。服務(wù)報(bào)告主要包括的內(nèi)容：執(zhí)行服務(wù)級(jí)別目標(biāo)的績(jī)效，違反SLA、安全管理要求等的不符合項(xiàng)和結(jié)論、工作量特征，如，數(shù)量、資源利用、報(bào)告主要事件、變更、定期