ISMS手册信息安全管理体系手册

1、信息安全管理 IT 服务管理体系手册发布令本公司按照 020000:2005信息技术服务管理一规范和IS027001: 2005 信息安全管理体系要求以及本公司业务特点编制信息安全管理 &IT 服务 管理体系手册 ，建立与本公司业务相一致的信息安全与 IT 服务管理体系， 现 予以颁布实施。本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与 IT 服务管理，开展 持续改进服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文 件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺， 通过有效的 PDCA 活动

2、向顾客提供满足要求的信息安全管理和 IT 服务。本手册符合有关信息安全法律法规要求以及IS020000:2005信息技术服务管理规范、 IS027001: 2005信息安全管理体系要求和公司实际情况。 为能更好的贯彻公司管理层在信息安全与 IT 服务管理方面的策略和方针， 根据 IS020000:2005信息技术服务管理一规范和 IS027001： 2005信息安全管 理体系要求的要求任命 XXXXX 为管理者代表，作为本公司组织和实施“信 息安全管理与 IT 服务管理体系”的负责人。直接向公司管理层报告。全体员工必须严格按照信息安全管理 &IT 服务管理体系手册要求，自 觉遵守本手册各项要求

3、，努力实现公司的信息安全与 IT 服务的方针和目标。管理者代表职责：a) 建立服务管理计划；b) 向组织传达满足服务管理目标和持续改进的重要性；e) 确定并提供策划、 实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新；1确保按照 ISO207001:2005 标准的要求，进行资产识别和风险评估，全面建立、实施 和保持信息安全管理体系；按照 ISO/IEC 20000 信息技术服务管理规范的要 求，组织相关资源，建立、实施和保持 IT 服务管理体系，不断改进 IT 服务管理体系， 确保其有效性、适宜性和符合性。2负责与信息安全管理体系有关的协调和联络工作；向公司管

4、理层报告IT 服务管理体系的业绩，如：服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改 进的要求和结果等。3确保在整个组织内提高信息安全风险的意识； 4审核风险评估报告、风险处理计划；5批准发布程序文件；6主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告； 向最高管理者报告信息安全管理体系的业绩和改进要求， 包括信息安全管理体系运行情 况、内外部审核情况。7推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方 式不断提高员工对满足客户需求的重要性的认知程度，以及为达到公司服务管理目标 所应做出的贡献。总经理：日期：信息安全方针和信息安全目标信息安全方

5、针： 信息安全 人人有责本公司信息安全管理方针包括内容如下：一、信息安全管理机制1公司采用系统的方法，按照 ISO/IEC 27001:2005 建立信息安全管理体系，全面保护 本公司的信息安全。二、信息安全管理组织 2公司总经理对信息安全工作全面负责，负责批准信息安全方针，确定信息安全要求， 提供信息安全资源。3公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保证 信息安全管理体系的持续适宜性和有效性。4在公司内部建立信息安全组织机构，信息安全管理委员会和信息安全协调机构，保 证信息安全管理体系的有效运行。5与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全

6、要求和发 展动态，获得对信息安全管理的支持。三、人员安全6信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动 合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗 位调动或离职人员，应及时调整安全职责和权限。7对本公司的相关方，要明确安全要求和安全职责。8定期对全体员工进行信息安全相关教育，包括：技能、职责和意识。以提高安全意 识。9全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全措施。四、识别法律、法规、合同中的安全 10及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施，保证满 足安全要求。五、风险评估11根据本

7、公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接 受准则。12采用先进的风险评估技术和软件，定期进行风险评估，以识别本公司风险的变化。 本公司或环境发生重大变化时，随时评估。13应根据风险评估的结果，采取相应措施，降低风险。六、报告安全事件14公司建立报告信息安全事件的渠道和相应的主管部门。15全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任，一旦发现信息安全事 件，应立即按照规定的途径进行报告。16接受信息安全事件报告的主管部门应记录所有报告，及时做出相应的处理，并向报 告人员反馈处理结果。七、监督检查17定期对信息安全进行监督检查，包括：日常检查、专项检查、技术性检查

8、、内部审 核等。八、业务持续性18公司根据风险评估的结果， 建立业务持续性计划， 抵消信息系统的中断造成的影响， 防止关键业务过程受严重的信息系统故障或者灾难的影响，并确保能够及时恢复。19定期对业务持续性计划进行测试和更新。九、违反信息安全要求的惩罚 20对违反信息安全方针、职责、程序和措施的人员，按规定进行处理。信息安全目标：1. 不可接受风险处理率： 100% （所有不可接受风险应降低到可接受的程度）。2. 重大顾客因信息安全事件投诉为 0次（重大顾客投诉是指直接经济损失金额达 1万元 以上）1 信息安全管理手册说明11 公司简介XX1.1 编制依据和目的本手册在遵循 ISO9001 ：

9、2005 信息安全管理体系要求与 ISO/IEC 20000 信息技术服 务管理-规范的要求 编制而成，包括了 IS027001 : 2005的全部要求，对附录A的删减见适 用性声明 SoA。手册描述公司的信息安全管理体系的总要求，以确保公司的信息安全管理体系能够达到 IS027001 : 2005 信息安全管理标准的要求；满足 本公司向客户提供 IT 服务所需的 IT 基础设施和 IT 技术支持服务，适用于向客户或认证机构证实，本公司具备提供符合客户需求的IT 服务能力和服务质量。本公司的体系程序是手册的支持性文件，是对体系运作的具体描述1.2适用范围信息安全管理&IT服务管理体系手册适用于

10、本公司提供安全管理体系认证服务与IT服务有关的所有部门和活动。1. 3术语和定义1. 3. 1本手册应用ISO/IEC 20000中的术语及定义。1. 3. 2本手册应用ISO/IEC27001中的术语及定义。2信息安全管理&IT服务管理手册的管理2. 1手册的编制、批准和发布2. 1. 1按照公司业务发展战略和客户需求，经公司管理者代表批准，技术服务事业部组织相关人员，结合本 公司业务特点，根据 ISO/IEC 20000标准的要求编写。2. 1. 2IT服务管理手册由公司管理者代表批准后发布。2. 2手册的分发2. 2. 1技术服务事业部负责手册的发放、更新、管理与存档。2. 2. 2公司

11、各部门负责手册的使用和保管。2. 3手册的受控状态2. 3. 1书面形式的手册分“有效文件”和“保留文件”两种形式。作为公司日常运营的依据及提供给外部认 证机构的手册均为“有效文件”形式。2. 3. 2当手册内容变更时，“有效文件”形式的手册应及时予以更新和发放。2. 3. 3 “有效文件”形式的文件在更新后，如需保存原来的版本，以便于追溯，则应当用“保留文件”的标 识予以区分。2. 3. 4电子形式的手册由技术服务事业部在工作流转系统中进行管理。2. 4手册的变更2. 4. 1因公司战略调整、客户需求或改进活动等引起的手册内容的变更，按公司总经理指示，技术服务事业 部组织相关部门对涉及变更的

12、内容进行更新，并经公司总经理批准后发布。2. 4. 2更新后的手册，应及时地发放给公司内部原手册持有者，并收回旧版的手册。对电子形式的手册，由 技术服务事业部按工作流转系统中的管理规则进行更新和归档管理。2. 5公司内部手册持有者的责任2. 5. 1与公司或部门内部的相关人员沟通、学习手册的要求并遵照执行。2. 5. 2妥善保管，不得私自更改、曲解手册的内容。不得随意向其他与公司业务无关的第三方传播，如需提供公司以外的第三方参考，应经技术服务事业部提交公司主管副总经理审核后，报公司总经理批准。3公司架构和安全承诺3.1公司行政组织架构3.2公司信息安全管理体系组织架构图注：每个虚线框内为一个信

13、息安全小 的安全员。3. 3公司it服务管理职能关系架构图、组，部门的经责人为安全组长，各岗位负责人为该岗位管理者代表3.4信息安全承全委员会副管理者代表公司成立安全管理委员会来领导信息安全工作，并确定相应的职责和作用 制订提供对公信息安全方针和信息安全目标，建立和完善公司的信息安全管理体系 充分的资源以保证信息司信息资产实行有效管理，确保信息的机密性，维持信息的完整性和可用性，防安全管理体系的制定、实施、运作、监控、维护和改善范生技部的未经授权访问。质公司信息资产进行风险评估，制定风险可接合管理部 对公 司不能接受的风险进行处置、建立业务持续性管理流程。进行业务持续性风险评估，编写、：测试并

14、实施业务持续性 计划和灾难恢复计;划，以保证公司关键业务的连续，不受重大故障和灾难的影响 确保公司所有员工都接受信息安全的教育培训，提高信息安全意识。I保护公司、客户:、相关合作方的信息安全建立公司信息安;全组织架构，明确信息安全责任，确定报告可疑的和发生的信息安全事故及事件的流 建立物理安全 保护公司软件 任何人在未经 公司所有员工程;，对违反安全制度的人员进行惩罚1氐侧保信息的安全售与各种恶意软件的 资产带离公司 针务程序和制度。和网络安全 息的完整性， 的情况下，禁止将 严格遵守公司的安全管理制度,和信审批都要以确 病毒 信息 全方物入侵流人 力 资 源控制对内外部网络服务的访问，保护网

15、络服务的安全性与可用性。对用户账号、口令和权限进行严格管理，防止对信息系统的非授权访问 对重要信息进行备份保护，以保证信息的可用性。定期对信息安全管理体系进行内审和管理评审。3.5信息安全管理委员会 为了加强对信息安全管理体系运作的管理， 江苏金马扬名信息 全管理委员会，其职责见下列明细表。:号、技术有限公司公库序号单位/部门信息安全职责11信息安全管理委员会信息安全管理委员会是我公司信息安全最高组织机构，负责本单位网络与信息安全重大事项的决策和协调，并对全公司信息安全工作负责。2总经理信息安全第一责任人，制定信息安全方针，对信息安全全面负责。3管理者代表经总经理授权负责建立、实施、检查、改进

16、信息安全管理体系。购信息安全管理职责明细表4综合管理部我公司信息安全管理体系的归口管理部门。1. 负责管理体系的建立、实施、保持、测量和改进。2. 负责文件控制、记录控制、内部审核的组织、管理评审的组织和体系 的改进。3. 负责本公司保密工作的管理。4. 安全区域的保卫管理部门，负责安全区域的管理。5. 负责全公司人员安全管理，包括人员聘用管理，保密协议签署，员工 的能力、意识和培训，员工离职管理。6. 负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。7. 对信息安全日常工作实施动态考核，将信息安全管理作为企业管理的重要工作内容。8. 参与涉密及司法介入的信息安全事件的调查。5生产技术

17、部是我公司信息系统安全管理部门。负责局域网上所承担的各类信息系统的管理职能； 负责我公司信息系统安全日常管理。6其他部门认真执行信息安全管理的方针、标准、安全策略和规范，做好内部培训。备注：以上职能划分，适用所有信息安全管理体系文件信息安全管理委员会组成人员：姓名部门职务备注3. 6服务管理职能说明3 . 6. 1为保证IT服务管理体系的顺利实施，以及实施后得到持续的管理和维护，在现有的组织架构外建立服务管理职能关系架构。IT服务管理职能关系架构，并不替代现有的按技术类别进行的分工，现有的按技术 类别进的分工，在将来的 IT服务管理体系中仍将发挥其作用。服务部根据IT服务管理程序要求对所有服务

18、合同按照项目进行管理与运行，由项目经理按照服务管理职能关系架构中的要求对项目执行管理。一个完整的服务项目必须包含服务台、事件管理、业务关系管理、信息安全管理、供应商管理和IT财务管理。对于上图虚线框内的的问题管理、发布管理、配置管理、变更管理、可用性和连续性管理、容量管理、服务级别管理以及 服务报告可由服务部经理依照与用户签署的服务合同进行选择裁剪。3. 6. 2角色分配说明3 . 6. 2 . 1针对服务部当前组织架构及人员状况，将不再为每一具体流程分配流程经理。为此将13个流程,按其必要程度分成必选流程和可裁剪流程两大模块。由项目经理负责相应流程的实施、 管理和控制。对项目组成员主要是组织

19、、协调、安排相应工作任务的完成，可能并不是由自己去完成。3. 6. 2. 1 . 1项目经理职责说明：1）、负责IT服务项目的立项工作，按照服务合同要求负责相应流程的实施、管理和控制。组织、协调、安排 项目组成员完成相应工作任务。2）、负责从服务台接受事件报告开始，分配相应的职能小组进行事件处理，直至找到问题的根本原因的整个 过程的管理和协调。3）、负责各系统的配置管理、变更和发布控制。4）、负责系统的可用性规划和管理、负责安排系统连续性的计划和演练，并负责系统容量的规划和监控。5）、主要负责与用户的沟通，对供应商的管理，以及项目的预/决算的管理。362 12 能力要求： 熟悉服务部的各种服务

20、管理流程，具有较强的内部协调能力。由管理者代表授权技术服务事业部总监，按ISO/IEC 20000 的要求，负责协调和组织所有与 IT 服务有关的活动，通过管理和实施各项活动，使 IT 服务业务的质量得到有效的保持和维护。技术服务事业部组织制订、批准和发布公司IT 服务策略、服务目标，并使其成为公司关注的焦点，成为公司协调、统一、凝聚公司的所有活动和资源的准则，成为建立、实施、保持并改进 IT 服务管理体系的宗旨。 363公司 IT 服务策略： 客户至上、全员参与、创新高效、系统管理、追求卓越 公司 IT 服务目标： 公司通过服务质量改进程序确定年度服务质量目标公司的 IT 服务目标按 ISO

21、/IEC 20000 的要求，与公司的业务相结合，并通过流程绩效不断提高和改进。 技术服务事业部负责组织相关部门，通过会议、评审、书面报告、培训等方式，及时有效沟通工作，达到 IT 服务管理目标和持续改进的需求，并在公司中积极贯彻实施 IT 服务管理的重要性。 技术服务事业部负责组织相关部门按照 PDCA 的要求，通过对所属业务的规划，适时优化和提供资源以计划、 实施、监控、评审和改进 IT 服务的交付和管理。管理者代表按照服务质量改进管理程序中的计划间隔，由技术服务事业部负责组织相关部门实施 IT 服务 管理体系的内部审核，确保 IT 服务管体系的有效性与符合性。 管理者代表按照服务质量改进

22、管理程序中的计划间隔，组织相关部门执行 IT 服务管理体系的管理评审， 确保 IT 服务管理体系持续的稳定、充分和有效。364 文件要求3. 6. 4. 1公司的文件管理体系分为 A、B、C、D四层，即A层为管理手册、B层为程序文件、C层为工作 流程或规定、 D 层为记录。3. 6. 4. 2 管理手册 描述 IT 服务管理体系的文件，是全体员工必须长期遵循的法规性文件。3. 6. 4. 3 程序文件 覆盖公司主要业务过程的流程文件，是管理手册的支撑性文件。3. 6. 4. 4 工作流程或规定 是开展具体业务工作的规范类、指导性文件，是程序文件的支持性文件。3. 6. 4. 5 记录 在开展具

23、体业务工作过程中产生的记录类文件，主要是为具体工作结果提供各种可追溯 性证据。3. 6. 4. 6 技术服务事业部负责组织制订文件和记录管理程序，明确文件的拟制、批准、发放、变更、 存档等管理要求，并监控实施。3. 6. 4. 7 技术服务事业部负责组织相关部门，根据公司的业务特点及标准的要求，制订相关的程序文件， 经公司管理者代表批准后实施。3. 6. 4. 8 技术服务事业部负责组织拟制与本部门业务相关的各类C 层文件，并按文件和记录管理程序的要求对文件和记录的有效性进行管理。4 信息安全管4.1 总要求4.1.1 公司根据整体业务活动（软件开发、经营、服务和日常管理活动）和所面临的风险，

24、按 ISO/IEC 27001:2005信息技术 - 安全技术 -信息安全管理体系 -要求规定，参照 ISO/IEC 27002:2005信息技术 -安全技术 -信息安全管理实用规则标准，建立、实施、运作、监控、 维护并改进文件化的信息安全管理体系。4.1.2 本手册使用的过程基于 PDCA 模式。相关文件：信息安全方针及目标4.2 建立和管理信息安全管理体系( ISMS )4.2.1 建立 ISMS4.2.1.1 信息安全管理体系的范围和边界 本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界，本公司信 息安全管理体系的范围包括：a) 本公司涉及软件开发、营销、服务和日常管理

25、的业务系统；b) 与所述信息系统有关的活动；c) 与所述信息系统有关的部门和所有员工；d) 所述活动、系统及支持性系统包含的全部信息资产。 组织范围： 本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围， 见本手册JIN/QM 3.2公司信息安全管理体系组织架构。 物理范围： 本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。本公司 ISMS 的物理范围为本公司位于 xxxxxxxxxxxxxxx 的办公场所， 安全边界详见附 录 A (规范性附录)办公场所平面图。4.2.1.2 信息安全管理体系的方针 为了满足适用法律法规

26、及相关方要求， 维持软件开发和经营的正常进行， 实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息 安全管理体系方针，见本信息安全管理手册第 0.3 条款。该信息安全方针符合以下要求：a) 为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；b) 考虑业务及法律或法规的要求，及合同的安全义务；c) 与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系；d) 建立了风险评价的准则；e) 经最高管理者批准。 为实现信息安全管理体系方针，本公司承诺：a) 在各层次建立完整的信息安全管理组织机构，确定信息安全目标和控制措施；明确 信息安全

27、的管理职责，见本信息安全管理手册第 3.4 条款。；b) 识别并满足适用法律、法规和相关方信息安全要求；c) 定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体 系的持续有效性；d) 采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；e) 对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；f) 制定并保持完善的业务连续性计划，实现可持续发展。4.2.1.3 风险评估的方法 生技部负责制定信息安全风险管理程序，建立识别适用于信息安全管理体系和已经 识别的业务信息安全、 法律和法规要求的风险评估方法， 建立接受风险的准则并识别风险

28、的 可接受等级。信息安全风险评估采用信息安全风险管理软件（I nfo-riskmanager）进行，以保证所选择的风险评估方法应确保风险评估能产生可比较 的和可重复的结果。4.2.1.4 识别风险 在已确定的信息安全管理体系范围内，本公司按信息安全风险管理程序，采用In fo-riskma nager风险管理软件，对所有的资产进行了识别，并识别了这些资产的所有者。资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价 值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值，根据重要资产判断 依据确定是否为重要资产，形成了重要资产清单。同时，根据信息安全风险管理

29、程序，识别了对这些资产的威胁、可能被威胁利用的 脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。4.2.1.5 分析和评价风险 本公司按信息安全风险管理程序，采用信息安全风险管理软件，分析和评价风险：a）针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值；b）针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全失 效发生的可能性，并进行赋值；c）根据信息安全风险管理程序计算风险等级；d）根据信息安全风险管理程序及风险接受准则，判断风险为可接受或需要处理。4.2.1.6 识别和评价风险处理的选择 网络管理部组织有关部门根据风

30、险评估的结果，形成风险处理计划，该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：a）控制风险，采用适当的内部控制措施；b）接受风险（不可能将所有风险降低为零）；c）避免风险（如物理隔离）；d）转移风险（如将风险转移给保险者、供方、分包商）。4.2.1.7选择控制目标与控制措施网络管理部根据信息安全方针、 业务发展要求及风险评估的结果， 组织有关部门制定了 信息安全目标，并将目标分解到有关部门（见信息安全适用性声明）：a）信息安全控制目标获得了信息安全最高责任者的批准。b）控制目标及控制措施的选择原则来源于IS

31、O/IEC 27001:2005信息技术-安全技术-信 息安全管理体系-要求附录A，具体控制措施参考ISO/IEC 27002:2005信息技术-安全技 术-信息安全管理实用规则。c）本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。4.2.1.8 对风险处理后的剩余风险，得到了公司最高管理者的批准。4.2.1.9 最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。4.2.1.10 适用性声明生技部负责编制信息安全适用性声明（SoA）。该声明包括以下方面的内容：a）所选择控制目标与控制措施的概要描述，以及选择的原因；b）对ISO/IEC 27001:2005附录A中未选用

32、的控制目标及控制措施理由的说明。4.2.2 实施和运行 ISMS4.2.2.1 为确保信息安全管理体系有效实施， 对已识别的风险进行有效处理， 本公司开展以下 活动：a）形成风险处理计划，以确定适当的管理措施、职责及安全控制措施的优先级；b）为实现已确定的安全目标、实施风险处理计划，明确各岗位的信息安全职责；c）实施所选择的控制措施，以实现控制目标的要求；d）确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的 有效性以得出可比较的、可重复的结果；e）进行信息安全培训，提高全员信息安全意识和能力；f）对信息安全体系的运作进行管理；g）对信息安全所需资源进行管理；h）实施控

33、制程序，对信息安全事件（或征兆）进行迅速反应。4.2.2.2 信息安全组织机构本公司成立了的信息安全领导机构 -信息安全委员会，其职责是实现信息安全管理体系 方针和本公司承诺。具体职责是：研究决定贯标工作涉及到的重大事项；审定公司信息安全 方针、目标、工作计划和重要文件；为贯标工作的有序推进和信息安全管理体系的有效运行 提供必要的资源。本公司由相关部门代表组成信息安全管理网络，采用联席会议（协调会）的方式，进行 信息安全协调和协作，以：a）确保安全活动的执行符合信息安全方针；b）确定怎样处理不符合；c）批准信息安全的方法和过程，如风险评估、信息分类；d）识别重大的威胁变化，以及信息和相关的信息

34、处理设施对威胁的暴露；e）评估信息安全控制措施实施的充分性和协调性；f）有效的推动组织内信息安全教育、培训和意识；g）评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适 当的措施。4.2.2.3信息安全职责和权限本公司总经理为信息安全最高责任者。 总经理指定了信息安全管理者代表。 无论信息安 全管理者代表在其他方面的职责如何，对信息安全负有以下职责：a）建立并实施信息安全管理体系必要的程序并维持其有效运行；b）对信息安全管理体系的运行情况和必要的改善措施向信息安全领导小组或最高责任 者报告。各部门负责人为本部门信息安全管理责任者， 全体员工都应按保密承诺的要求自觉履行 信

35、息安全保密义务；各部门、人员有关信息安全职责分配见本信息安全管理手册第3.4 条款信息安全管理职责明细表和相应的程序文件。4.2.2.4 各部门应按照信息安全适用性声明中规定的安全目标、控制措施（包括安全运行的各种控制程序） 的要求实施信息安全控制措施。4.2.3 监控和评审 ISMS4.2.3.1本公司通过实施不定期安全检查、 内部审核、事故（事件） 报告调查处理、 电子监控、 定期技术检查等控制措施并报告结果以实现：a）及时发现处理结果中的错误、信息安全体系的事故（事件）和隐患；b）及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；c）使管理者确认人工或自动执行的安全活

36、动达到预期的结果；d）使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；e）积累信息安全方面的经验；4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈，由总经理主持， 每年至少一次对信息安全管理体系的有效性进行评审，其中包括信息安全范围、方针、目标的符合性及控制 措施有效性的评审，考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反 馈。管理评审的具体要求，见本手册第 7 章。4.2.3.3 网络管理部应组织有关部门按照信息安全风险管理程序的要求，采用信息安全 风险管理软件， 对风险处理后的残余风险进行定期评审， 以验证残余风险是否达到可接受的 水平，对以下方面变更

37、情况应及时进行风险评估：a) 组织；b) 技术；c) 业务目标和过程；d) 已识别的威胁；e) 实施控制的有效性；f) 外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。4.2.3.4 按照计划的时间间隔进行信息安全管理体系内部审核， 内部审核的具体要求， 见本手 册第 6 章。4.2.3.5 定期对信息安全管理体系进行管理评审， 以确保范围的充分性， 并识别信息安全管理 体系过程的改进，管理评审的具体要求，见本手册第 7 章。 4.2.3.6考虑监视和评审活动的发现，更新安全计划。4.2.3.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。4.2.4 保持与持

38、续改进 ISMS 我公司开展以下活动，以确保信息安全管理体系的持续改进： a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目； b) 按照内部审核管理程序、纠正措施管理程序、预防措施管理程序的要 求采取适当的纠正和预防措施；吸取其他组织及本公司安全事故(事件)的经验教训，不断 改进安全措施的有效性；c) 通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包 括获取外部信息安全专家的建议、 信息安全政府行政主管部门的联系及识别顾客对信息安全 的要求等；d) 对信息安全目标及分解进行适当的管理，确保改进达到预期的效果。 相关文件：系统风险评估方法适用性声明管理评

39、审程序内部审核控制程序纠正措施控制程序预防措施控制程序4.3 文件要求4.3.1 总则ISMS 文件应包括：a) 形成文件的 ISMS 方针和控制目标；b) ISMS 范围c) ISMS 的支持性程序和控制措施；d) 风险评估方法的描述；e) 风险评估报告；f) 风险处置计划；g) 公司为确保其信息安全过程的有效策划、运行和控制以及规定如何测量控制措施有效性所需的程序文 件；h) 标准所要求的记录；i) 适用性声明。所有文件应按 ISMS 方针要求在需要时可获得。4.3.2 文件控制ISMS所要求的文件应予以保护和控制，应编制形成文件的程序以规定以下方面所需的管理措施：a) 文件发布前得到批准

40、以确保文件是充分的；b) 必要时对文件进行评审与更新并再次批准；c) 确保文件的更改和现行修订状态得到识别；d) 确保在使用处可获得适用文件的适用版本；e) 确保文件保持合法并易于识别；f) 确保外来文件得到识别；g) 确保文件的分发是受控的；h) 防止作废文件的非预期使用；i) 若因任何原因而保留作废文件时对这些文件进行适当的标识；4.3.3 记录控制应建立并保持记录，以提供符合要求和ISMS有效运行的证据。记录应得到保护并且受控。ISMS应考虑相关法律要求，记录应易于识别和检索。应编制形成文件的程序，以规定记录的识别、贮存、保护、检索、保存 期限和处置所需的控制，确定记录需要和程度的管理过

41、程。保持过程业绩的记录以及与 ISMS有关的安全事件的记录。 例如，记录包括访问者登记审核记录和访问授权。 相关文件：文件控制程序 记录控制程序5 管理职责5.1 管理承诺管理层应通过以下措施对其建立、实施、运行、监控、评审、维护和改进ISMS的承诺提供证据。a) 建立信息安全方针；b) 确保信息安全目标和计划的建立；c) 为信息安全分配角色和职责；d) 向公司传达满足信息安全目标、符合信息安全方针、法律责任和持续改进的重要性；e) 提供足够的资源以建立、实施、运行、监控、评审、维护和改进ISMS；f) 决定可接受风险的标准和可接受风险的等级；g) 确保ISMS内部审核的执行；h) 进行ISM

42、S管理评审。相关文件：信息安全方针和目标部门职责管理评审程序系统风险评估方法5.2 资源管理5.2.1 资源提供公司应确定和提供以下方面所需的资源a) 建立建立、实施、运行、监控、维护和改进 ISMSb) 确保信息安全程序支持业务需求；c) 识别并确定法律法规要求和合同安全责任；d) 通过正确应用所有实施的控制措施的来维持足够的安全；e) 必要时进行评估，并对评估结果采取适当的对应措施；f) 必要时改进ISMS的有效性。5.2.2 培训、意识和能力公司应确保在 ISMS 中任命职责的人员应能够胜任要求的任务a) 确定从事影响信息安全工作的人员所必需的能力；b) 提供足够的能力培训或其它措施，必

43、要时聘用有能力的人员满足这些要求；c) 评估所提供的培训和采取措施的有效性；d) 保持教育、培训、技能、经验和资质的适当记录。 公司应确保员工认识到所从事信息安全活动的相关性和重要性，以及如何为实现 ISMS 目标作出贡献。 相关文件：人力资源管理控制程序6 ISMS 内部审核公司应按计划的时间间隔进行ISMS 内部审核，以确定控制目标、控制措施、过程和程序是否：a) 符合标准及相关法律法规的要求；b) 符合确定的信息安全要求；c) 得到有效地实施和维护；d) 按期望运行。内部审核程序应进行计划， 并考虑受审核过程的状况、 重要性和受审核的区域以及上次审核结果， 应规定 审核准则、范围、频次和

44、方式，审核员的选择和审核活动应保证审核过程的客观和公正，审核员不能审核自己 的工作。应建立形成文件的程序，以规定策划和实施审核的职责和要求以及报告结果和保持记录。 受审核区域的负责人应确保立即采取措施， 以消除发现的不符合及其原因。 改进措施包括所采取措施的验 证并汇报验证结果。相关文件：内部审核控制程序7 ISMS 管理评审7.1 总则管理者应按策划的时间间隔评审公司的 ISMS (至少一年一次)，以确保其持续的适宜性、充分性和有效 性。评审应包括评价 ISMS 改进的机会和变更的需要，包括安全方针和安全目标的适宜性。评审结果应清楚地 写入文件应保持记录。7.2 管理评审输入管理评审的输入应

45、包括以下方面的信息：a) ISMS 审核(包括内审和外审)和管理评审的结果；b) 相关方(客户、供应商、内部员工等)的反馈；c) 公司用于改进 ISMS 业绩和有效性的技术、产品或程序的发展及变化；d) 预防和纠正措施的实施情况；e) 上次风险评估未充分指出的弱点或威胁；f) 体系有效性测量的结果；g) 上次管理评审所采取措施的跟踪验证；h) 影响 ISMS 的变更，如信息安全组织架构变化等；i) 改进的建议。7.3 管理评审输出管理评审的输出应包括与以下方面有关的任何决定和措施a) ISMS 有效性的改进b) 风险评估和风险处理计划的更新c) 必要时修订影响信息安全的程序和控制措施，以反映可

46、能影响 ISMS 的内外事件，包括以下变化1 业务需求；2 安全需求；3 影响已有业务需求的业务过程；4 法律法规环境；5 合同义务；6 风险和 / 或风险接受准则。d) 资源需求e) 针对被测量的控制措施有效性的改进相关文件： 管理评审程序8 ISMS 的 改进8.1 持续改进 公司应通过应用信息安全方针、安全目标、审核结果、监控事件的分析、纠正和预防措施和管理评审，持 续改进 ISMS 的有效性。8.2 纠正措施公司应采取措施消除 ISMS 实施和运行的不符合原因， 以防止其再发生。 纠正措施文件程序应规定以下方 面的要求。a) 识别 ISMS 实施和运行的不符合项；b) 确定不符合的原因

47、；c) 评价确保不符合不再发生所需的措施；d) 决定和实施所需的纠正措施；e) 记录所采取措施的结果；f) 评审所采取的纠正措施。8.3 预防措施 公司应决定措施以防范未来的不符合，防止发生采取的预防措施应与潜在问题的影响相匹配，预防措施 文件程序应规定以下方面的要求。a) 确定潜在不符合及其原因；b) 评价预防不符合发生所需的措施；c) 决定实施所需的预防措施；d) 记录所采取措施的结果；e) 评审所采取的预防措施。 公司应识别发生变化的风险，并通过关注变化显着的风险来识别预防措施要求。应根据风险评 估结果来确定预防措施的优先级。相关文件：纠正措施控制程序预防措施控制程序IT 服务管理 服务

48、管理规划和实施 在开展 IT 服务管理的活动中， PDCA 原理贯穿于 IT 服务管理体系的全部流程，其中：P (计划) 一根据客户要求和公司策略建立目标和流程。D (实施) 实施流程。C (检查) 一根据策略、目标和要求对过程和服务进行监控、测量，并报告结果。A (改进) 采取措施以持续改进流程的性能。计划服务管理 服务部向客户提供三大服务项目：常驻现场技术服务、定期巡检技术服务、咨询规划设计服务。甘肃万维 公司为不断满足市场需求和企业自身发展需要，将在未来将原有的三大技术服务内容重新规划和设计，细化成 六大服务内容：基础设施服务、运维服务、专业技术服务、 IT 安全服务、咨询设计评估服务、

49、培训服务。从 而实现在坚持原有行业内的服务的基础上向行业外扩展的计划。服务部根据公司 IT 服务管理职能关系架构图中的所分配的职责并依据条款 4-9 中所规定的服务管理过程向 客户提供 IT 服务。相关部门根据管理评审的结果及结论， 结合本部门的工作实际， 由技术服务事业部组织相关部门对当前与本 部门相关的 IT 服务工作的改进需求、以及公司业务发展策略、技术动态、政策法规要求、下一年度 IT 服务工 作的安排进行规划，制订本部门的年度工作计划，并按公司内控制度制订对应的部门年度费用预算。 实施 IT 服务 技术服务事业部组织相关部门按批准后的公司年度计划， 对计划周期内的工作任务、 目标、

50、绩效要求进行分解， 组织各部门制订各自的年度工作计划和费用预算，并进行跟踪、检查。相关部门年度工作计划、年度费用预算应与已批准的本部门年度工作计划、预算一致，如有变更，引起预算的 变化，应上报技术服务事业部按照相关流程审批、执行。技术服务事业部负责组织 IT 服务项目的立项工作， 并按照项目管理规定对项目计划周期内的工作任务、 目标、 绩效要求进行分解，制订项目实施计划和费用预算，并进行跟踪、检查。监视、测量和评审 服务部负责收集、汇总、整理 IT 服务项目的日常服务数据。服务部经理负责组织 IT 服务项目，按各项目阶段性工作计划、费用预算的内容，以及IT 服务管理的要求，收集与 IT 服务相

51、关的信息，监控、测量和评审与本业务相关的服务规划要求、已有的SLA 符合要求的程度。 IT服务项目在运行中，应监控、测量和评审的内容为： 既定的 IT 服务目标的达成程度。客户满意度。 资源利用。服务实施的趋势。 严重不符合。技术服务事业部按照服务质量改进管理程序的要求，组织 IT 服务管理体系的管理评审活动，以确保 IT 服 务要求得到有效的实施和维护。持续改进 服务部每年至少进行一次服务管理体系的有效性评估，评估通过内部审核的方式进行。 在评估中发现的任何不符合标准的活动都应该采取纠正措施予以改进，对于发现的潜在问题应该予以控制。 服务部在内部审核后， 应进行管理评审， 管理评审的内容包括

52、： 各流程的执行状况报告， 存在问题及改进建议， 内部审核结果，相关方的反馈以及其他可能影响体系运行的要素。服务部按管理评审的要求，确定服务改进的测量、报告和沟通流程和内容。监控 IT 服务运行中出现的不符合 项，组织相关部门实施、验证改进活动。任何不符合ISO/IEC 20000-1 ： 2005 标准的活动都应被纠正。对于内部审核、管理评审或其他活动中所发现的不符合项或潜在不符合项，应按照服务质量改进管理程序 要求进行及时纠正。新服务或变更服务的策划与实施 制订新服务或变更服务计划 销售部门负责与客户沟通，服务部配合，收集客户对现有 SLA 的满意度水平。分析、整理客户新的或变更服 务的要

53、求，及时反馈客户的改进需求。当出现新服务或变更服务时，服务部根据服务策划管理程序的要求，组织实施 IT 服务策划和实施工作。 服务部组织对新服务或变更服务策划结果的验证、确认，验证通过后按服务策划管理程序实施。服务部应报告新服务或变更服务按计划实施所达到的结果，服务部按发布管理程序，执行实施发布评审， 比较实际结果与期望结果的一致性。服务交付过程 服务级别管理服务部负责与相关部门沟通，制订公司的服务目录。服务目录应定义所有服务，并包含服务名称、服务目 标或标准、联系接口、服务提供时间和例外、安全方面的考虑和安排。服务目录是公司所提供的服务内容的汇总，公司与客户签署 SLA 时应参考服务目录。

54、公司应该根据当前的服务能力对服务目录进行更新与维护。根据公司的战略规划、 资源要求及客户需求， 服务部在与销售部门和其他相关部门沟通、 确定 SLA 时，应考虑： 可接受持续损失服务的最大周期、可接受降级服务的最大周期，服务恢复时，可接受降级服务级别。销售部门代表客户，与服务部签订服务级别协议。应明确：服务要求和期望服务工作量特征的协议、服务 目标协议、服务级别实现、工作量的测量和报告，以及服务目标不能完成的分析与说明。服务级别协议包含以下内容：服务的简述、术语表、客户职责、服务部门职责和义务、服务目标、服务时 间、工作量限制（最大及最小工作量），支持和相关服务、影响和优先级描述、授权细节，及

55、授权人员联系信 息、有效期或 SLA 变更控制机制（包含升级和通知流程）、服务中断采取的纠正措施，计划和协调中断，包 括通知事件及频率、沟通的简述，包括报告、投诉程序、 在 SLA 中规定条款的例外情况。商务部应依据与客户签订的 SLA以及供应商管理程序的要求，组织签署与供应商之间的支持合同 （或协议）。 当出现重要业务变更时， 销售部门应及时与技术服务事业部沟通， 按原流程重新组织相关部门， 调整、 修订服 务级别协议，并作为服务改进计划的输入。服务报告 服务部应就向客户提交的服务报告的内容、报告周期与客户协商并达成一致。 服务部拟制内部服务报告，对计划间隔内的客户服务状况、问题趋势、服务数据、SLA 目标实现等进行汇总、统计和分析，组织召开月度服务质量分析会议，形成会议纪要后发放。服务报告主要包括的内容：执行服务级别目标的绩效，违反SLA 、安全管理要求等的不符合项和结论、工作量特征，如，数量、资源利用、报告主要事件、变更、定期趋