智慧城市事业部审核要点 附智慧城市事业部内审检查表

1、审核员蒲金培受审部门智慧城市部审核F1期审核标准审核要点审核判定4.4ISMS组织应按照本标准的要求，建立、实施、保持和持续改进信息安全管理体系。符合7.1资源组织应确定并提供信息安全管理体系的建立，实施，维护和持续改进所需的资源。符合7.2能力组织应：a）确定员工在ISMS管控下工作的必备能力，这会影响到组织的信息安全绩效：b）确保这些人在适当的教育，培训或取得经验后是能胜任的；c）在适当情况下，釆取行动以获得必要的能力，并评估所釆取行动的有效性；d）保留适当的文档化信息作为证据。符合7.3意识作为组织工作的人员应了解a）信息安全方针b）他们对信息安全管理体系有效性的贡献，包括提高信息安全績

2、效的收益；c）不符合信息安全管理体系所带来的影响。符合7 57.4沟通组织应确定信息安全管理体系中内部和外部相关的沟通需求：a）沟通什么b）何时沟通c）和谁沟通d）谁应该沟通e）怎样的沟通过程是有效的。符合7.5文档 化信息7.5.1总则组织的信息安全管理体系应该包括：a）本国际标准所需的文档化信息：b）记录信息系统安全管理体系有效性必要的文档化信息。符合7.5.2创建 和更新当创建和更新文档化信息时，组织应确保适当的：a）识别和描述b）格式c）适当和足够的审查和标准符合7.5.3文档 化信息的控 制信息安全管理体系与本国际标准要求的文档化信息应被管理，以确保：a）当文档化信息被需要时是可用且

3、适用的；b）得到充分的保护（例如保密性丧失，使用不当，完整性丧失） 对文档化信息的控制，组织应制定一下活动（如适用）：c）分配，访问，检索和使用d）存储和保存，包括易读性的保存e）变更管理（例如版本控制）f）保留和处置组织信息安全管理体系的规划和运作必要的外来文档化信息，应被适当识别和管理符合9.2内部审核组织应在计划的时间间隔进行内部审核，以提供信息确定信息安全管理体系是否：a）符合组织自身信息安全管理体系的要求本标准的要求b）得到有效的实施和保持组织应c）规划、建立、实施和保持审核方案，包括频次、方法、职责、计划要求和报告。评审方案应考虑关注 过程的重要性以及以往审核的结果；d）为每次审核

4、定义审核准则和审核范围；e）审核员的选择和审核的实施应确保审核过程的客观性和公正性：f）确保审核结果报告给相关的管理者；g）保留文件记录信息作为审核方案和审核结果的证据。符合A.5信息安全策略符合A. 5.1信息A.5.1.1信息安全策略信息安全管理实施的需要。符合安全管理 方向A.5.1.2信息安全策略的 评审确保方针持续的适宜性、充分性和有效性。符合A.6信息安全组织符合A.6.1内部 组织A.6.1.1信息安全的角色 和职责确定评审安全方针及处理重大安全事故，确定与安全有关重大事项所必须的沟通机制。符合A.6.1.2职责分离网络管理与操作职责应予以分配，以防止非授权的更改及误用信息或服务

5、。符合A.6.1.3与政府部门的联 系与法律实施部门、标准机构等组织保持适当的联系是必须的，以获得必要的安全管理、标准、法律法规 方面的信息。符合A.6.1.4与特定利益集团 的联系为及时掌握有关的安全信息，获得来自外部的专家的建议，及时对可能存在的薄弱点进行预防，掌握新 技术发展的动态，应与专业的小组保持联系。符合A.6.1.5项目管理中的信 息安全掌控项日管理中的信息安全，及时对可能存在的薄弱点进行预防。符合A.6.2移动 设备和远 程办公A.6.2.1移动设备策略本公司拥有笔记本电脑等移动式计算或通信设施，应予以控制防止其失窃及非授权的访问符合A.6.2.2远程办公公司存在远程工作的情况

6、。符合A.7人力资源安全符合A.7.1任用 之前A.7.1.1 审査通过人员考察，防止人员带来的信息安全风险。符合A.7.1.2任用的条款及条 件履行信息安全保密协议是雇佣人员的一个基本条件。签订保密协议是很好的控制手段。符合A.7.2任用 中A.7.2.1管理职责管理者应该要求员工、合作方以及第三方用户依据组织建立的方针和程序来应用安全符合A.7.2.2信息安全意识， 教育和培训安全意识及必要的信息系统操作技能培训是信息安全管理工作的前提。符合A.7.2.3纪律处理过程建立惩戒过程对信息安全控制是必要的。符合A.7.3任用 终止或变 化A.7.3.1任用终止或变化 的责任执行工作终止或工作变

7、化的职责应清晰的定义和分配。符合A.8资产管甚符合A.8.1对资 产负责A.8.1.1资产清单公司需建立重要资产清单并实施保护。符合A.8.1.2资产责任人明确资产的责任人，确保资产的管理明确到人/部门。符合A.8.1.3资产的运行使用公司资产的使用应进行有效控制。符合A.8.1.4资产的归还公司资产的归还应进行有效控制。符合A.8.2信息 分类A.8.2.1信息的分类本公司的信息安全涉及信息的敏感性，适当的分类控制是必要的。符合A.8.2.2信息的标记按分类方案进行标注。符合A.8.2.3资产的处理规定资产操作的安全的要求符合A.8.3介质 处理A.8.3.1可移动介质的管 理本公司存在含有

8、敏感信息的磁盘、光盘、打印报告等可移动媒体。符合A.8.3.2介质的处置当媒体不再需要时，对含有敏感信息媒体釆用安全的处置办法是必须。符合A.8.3.3物理介质传输本公司存在如文件等信息媒体传送及客户图像光盘的运输活动，确定安全的传送方法是必要的。符合A.9访问控制符合A.9.1访问 控制的业 务要求A.9.1.1访问控制策略明确访问的业务要求，并符合信息安全方针的规定要求，对信息访问实施有效控制。符合A.9.1.2网络服务的使用 政策制定策略，明确用户访问网络和网络服务的范围，防止非授权的网络访问。符合A.9.2用户 访问管理A.9.2.1用户注册和注销本公司存在多用户信息系统，应建立用广登

9、记和解除登记程序。符合A.9.2.2用户访问开通本公司存在多权限信息系统，应建立用户访问权限的开通程序。符合A.9.2.3特殊访问权限管 理本公司网络系统管理员拥有特权，特权不适当的使用会造成系统的破坏。符合A.9.2.4用户秘密认证信 息的管理为查处活动的个人责任，对连接到网络终端应有唯一的用户IDo符合A.9.2.5用户访问权的复 查内部用户会发生岗位变化，或有的用户的访问权是有时限要求的，为防止非授权的访问，对用户访问的 评审是必要的。符合A.9.2.6移除或调整访问 权限员工调动或离职前应对其访问权限进行解除，防止非授权的访问的发生。符合A.9.3用户 职责A.9.3.1秘密认证信息的

10、 使用使用户遵循口令使用规则，防止口令泄密或被解密。符合A.9.4系统 和应用程 序的访问 控制A.9.4.1信息访问限制本公司信息访问权限是根据业务运做的需要及信息安全考虑所规定的，系统的访问功能应加以限制。符合A.9.4.2安全登录程序为减少非授权访问的机会，对信息服务系统的访问采用安全登录程序。符合A.9.4.3 口令管理系统用户访问信息系统和服务是按授权的范围进行访问的，并拥有曰令，因此建立正式的管理过程对口令进 行分配并控制是必须的。符合A.9.4.4特权实用程序的 使用对系统特殊权限实用程序的使用应控制，防止恶意破坏系统安全。符合A.9.4.5程序源码的访问 控制本公司有软件开发活

11、动，有程序源库（源代码）存在，需要控制。符合A.10密码学符合A.10.1 密码控制A.10.1.1密码使用控制 政策公司使用VPN加密措施保护信息传输符合A.10.1.2密钥管理对公司VPN使用的密钥管理。符合A.11物理和环境安全符合A.11.1 安全区域A.11.1.1物理安全边界本公司有包含重要信息处理设施的区域，如网络机房、录入部机房，应确定其安全周界，并对其实施保 护。符合A.11.1.2物理入口控制安全区域进入应经过授权，未经授权的非法访问会对信息安全构成威胁。符合A.11.1.3办公室，房间 和设施的安全保护对安全区域内的办公室、房间和设施应有特殊的安全要求。符合A.11.1.

12、4外部和环境威 胁的安全保护应设计并应用物理安全控制，防范火灾、水灾，以及其它形式的自然或人为灾害。符合A.11.1.5在安全区域工 作在安全区域工作的人员只有严格遵守安全规则，才能保证安全区域安全。符合A.11.1.6交接区安全对特别安全区域，禁止外来人员直接进入传送物资是必要的。符合A.11.2 设备A.11.2.1设备安全和保 护设备存在火灾、吸烟、灰尘、未经授权访问等威胁。符合A.11.2.2支持性设备供电中断或异常会给信息系统造成影响，甚至影响正常的生产作业。符合A.11.2.3布缆安全通信电缆、光缆需要进行正常的维护，以防止侦听和损坏。符合A.11.2.4设备维护设备保持良好的运行

13、状态是保持信息的完整性及可用性的基础。符合A.11.2.5资产的移动设备、信息、软件等重要信息资产未经授权的迁移会造成其丢失或非法访问的危害。符合A.11.2.6场外设备和资 产安全本公司有移动设备，离开正常的办公场所应进行控制，防止其被盗窃、未经授权的访问等危害的发生。符合A.11.2.7设备的安全处 置或再利用对本公司储存有关敏感信息的设备，如服务器、终端，对其处置和再利用应将其信息清除符合A.11.2.8无人值守的用 户设备存在非授权访问的可能，应釆取适当的保护措施，如网络预留的端口。符合A.11.2.9清除桌面和清 屏策略不实行清除桌面或清除屏幕策略，会受到信息资产丢失、失窃或遭到非法

14、访问的威胁。符合A.12操作安全符合A.12.1 操 作程序和 职责A.12.1.1文件化的操作 程序标准规定的文件化程序要求必须予以满足符合A.12.1.2变更管理未加以控制的系统更改会造成系统故障和安全故障。符合A.12.1.3容量管理网络管理与操作职责应予以分配，以防止非授权的更改及误用信息或服务。符合A.12.1.4开发，测试和 运行环境的分离公司具有应用软件的开发能力，因此开发与操作设施必须进行分离，以防止不期望的系统的更改或未授 权的访问。符合A.12.2 恶 意软件防 护A.12.2.1控制恶意软件恶意软件的威胁是客观存在的，特别是本公司许多电脑终端可以访问互联网。符合A.12.

15、3 备 份A.12.3.1信息备份必须对重要信息和软件定期备份，以防止信息和软件的丢失和不可用，及支持业务可持续性。符合A.12.4 记 录和监控A.12.4.1事件日志为访问监测提供帮助建立事态记录（审核日志）是必须的C符合A.12.4.2日志信息的保 护对于日志的访问进行限制，防止被篡改和未经授权的访问.符合A.12.4.3管理员和操作 员日志保持操作者的活动记录是必要的，它是事故调查和分析的依据。符合A.12.4.4时钟同步实施时钟同步，是生产与获取客观证据的需要。符合A.12.5 操 作软件的 控制A.12.5.1操作软件的安 装对软件在作业系统中的执行应予以控制，否则易受到未经授权的

16、软件安装和更改的影响，导致系统及数 据完整性丢失。符合A.12.6 技 术漏洞管 理A.12.6.1技术漏洞的管 理公司具有网络设备及网络应用，对技术薄弱点的控制是必须的。符合A.12.6.2限制软件的安 装对软件在作业系统中的安装应予以控制，否则易受到未经授权的软件安装和更改的影响，导致系统及数 据完整性丢失。符合A.12.7 信 息系统审 计考虑A.12.7.1信息系统审计 控制对作业系统的审核应事先策划，避免对作业系统造成不良影响。符合A.13通信安全符合A.13.1 网 络安全管 理A.13.1.1网络控制本公司业务对于网络的依赖性很大，各种管理应用系统，网络结构复杂，实施网络控制是必

17、须的。符合A.13.1.2网络服务的安 全明确规定网络服务安全属性值实施网络安全管理的需要。符合A.13.1.3网络隔离公司业务系统网络、门禁系统网络等网络应予以隔离，减小网络中断产生的影响，并易于管理。符合A.13.2 信息传输A.13.2.1信息传输的策 略和程序本公司有日常与客户进行信息交换的业务。还有语音、传真等形式的信息交换，应确保其安全。符合A.13.2.2信息传输协议本公司存在与其他组织（顾客）进行信息交换的活动。符合A.13.2.3电子消息公司有通过MSN形式，电子邮件形式的电子讯息传递，需要得到有效的控制。符合A.13.2.4保密或不泄露 协议公司员工应确保公司秘密信息不被泄

18、漏。符合A.14系统获取，开发和维护符合A.14.1 信A.14.1.1安全需求分析为确保系统具有一定的安全功能及规避开发过程的安全风险，増加新系统或扩大原有系统，应确定控制符合息系统的 安全要求和规范要求。A.14.1.2保护公共网络 上的应用服务为确保公共网络上的应用服务的安全性及规避安全风险。符合A.14.1.3保护应用服务 交易本公司目前不存在应用服务交易，本条款不适用。符合A.14.2 开 发和支持 过程中的 安全A.14.2.1安全开发策略系统具应有一定的安全功能及规避开发过程的安全风险。符合A.14.2.2变更控制程序为防止未授权或不充分的更改，避免系统故障与中断，需要实施严格更

19、改控制。符合A.14.2.3操作平台变更 后对应用的技术评估操作平台的不充分更改对应用系统会造成严重的影响。符合A.14.2.4软件包变更的 限制软件包的更改会引入薄弱点，导致内部控制故障，应进行严格限制。符合A.14.2.5系统开发程序增加新系统或扩大原有系统，应确定控制要求。符合A.14.2.6安全的开发环 境系统应具有一定的安全功能及规避开发过程的安全风险，确保开发环境的安全。符合A.14.2.7外包开发公司目前没有软件外包开发的情况。符合A.14.2.8系统安全性测 试本公司存在建立新的信息系统、系统升级或使用新版本的活动，建立接受标准和在接受之前进行系统安 全测试是必须的。符合A.1

20、4.2.9系统验收测试本公司存在建立新的信息系统、系统升级或使用新版本的活动，建立接受标准和在接受之前进行系统验 收测试是必须的。符合A.14.3 测试数据A.14.3.1测试数据的保 护对包括敏感作业数据的测试数据不适当的保护会涉及到保密性的破坏。符合A.15供应关系符合A.15.1 供 应关糸的 安全A.15.1.1供应关系的信息安令策略本公司存在供应商访问组织资产的情况，应于供应商协商并记录相关信息安全要求。符合A.15.1.2供应商协议中的安全本公司存在与供应商为组织提供IT基础设施组件的情况，应于供应商协商并记录相关信息安全要 求。符合A.15.1.3信息和通信技 术供应链在供应商协

21、议中，包括信息和通信技术服务以及产品供应链相关信息安全风险处理要求。符合A.15.2 供 应商服务 交付管理A.15.2.1监测和审查供 应商服务供应商服务过程应该得到监控并评审，保证达到协议的要求。符合A.15.2.2供应商服务变 更管理供应商服务的更改应得到有效控制。防止无法达到公司的要求或引入新的风险。符合A.16信息安全事件管理符合A.16.1 信 息安全事 件管理和 持续改进A.16.1.1职责和程序安全事件有时总会发生的，一旦发生必须进行迅速有效的反应。符合A.16.1.2报告信息安全 事态安全事故有可能发生，一旦发生必须报告。符合A.16.1.3报告信息安全 弱点信息安全薄弱点是

22、不可避免的，建立报告制度是预防发生的最好途径之一。符合A.16.1.4信息安全事件 的评估与决策信息安全事态应被评估，并确定是否应该划分为信息安全事件。符合A.16.1.5信息安全事故 的响应具有与信息安全事件响应相一致的文件化的规程。符合A.16.1.6回顾信息安全 事故只有对事故进行有效鉴定，才能从中吸取教训，防止再发生。符合A.16.1.7搜集证据本公司有可能涉及法律诉讼或纠纷，所提供的证据应符合相关的证据法规。符合A.17信息安全方面的业务连续性管理符合A.17.1 信 息安全连 续性A.17.1.1规划信息安全 连续性为确保本公司关键业务中断能及时恢复，应编写并实施信息安全持续性计划

23、。符合A.17.1.2实现信息安全 连续性确保信息安全连续性计划的有效实施。符合A.17.1.3验证，评审和 评估信息安全连续性为保持信息安全连续性计划的可靠性和有效性，应定期测试、维护和评审。符合A.17.2 冗余A.17.2.1信息处理设施 的可用性公司的信息处理设备应实现冗余部署。满足高可用性的要求。符合A.18符合性符合A.18.1 信 息安全评 审A.18.1.1信息安全的独 立审査为验证信息安全管理体系实施的有效性及符合性，公司定期进行内部审核，审核需要客观公正性。符合A.18.1.2信息安全政策 和标准确保体系有效实施，定期评审是必须的。符合A.18.1.3技术符合性检 查为验证

24、信息系统保符合安全技术标准，必要的技术评审是需要的。符合A.18.1 信 息安全审 査A.18.2.1识别使用的法 律和合同的要求为遵守适用的相关法律法规和合同，应对其进行识别并将其要求文件化。符合A.18.2.2知识产权(IPR)软件的使用与复制涉及知识产权问题（软件著作权），应使用正版软件。符合A.18.2.3文档化信息的 保护记录的保持应符合法律法规要求。符合A.18.2.4隐私和个人信 息的保护应按国家有关法规或规章对员工的个人档案、养老基金帐户等数据或信息进行管理与保护 8.4.3、8.5.1 8.5.2、8.6.1、86.2、8.6.3、8.7.1、8. 7. 2、8.7.3、9.

25、 1、9.2、9.4 10. k 10.2审核组：体系标 准编号体系标 准目录审核检査记录表审核结果5.3公司角 色、职责 和权限最高管理层应确保在公司内与SMS和服务相关的角色的职责和权限得到分配和沟通。最高管理层应分配职责和权限，以：a）确保SMS符合本标准的要求；b）向最高管理层报告SMS和服务的绩效。査职责分配表、査公司机构图、査岗位职责、査手册5. 3部门和岗位职责。智慧城市事业部部长和研发中心部长从各自角度向最高管理者汇报SMS和服务的绩效。5.3公司角色，职责和权限最高管理层应确保在公司内与SMS和服务相关的角色的职责和权限得到分配和沟通。最高管理层应分配职责和权限，以：c）确保

26、SMS符合本标准的要求；d）向最高管理层报告SMS和服务的绩效。公司明确了各部门职责和权限，各岗位任职要求和岗位职责。5. 3.1、公司总经理根据公司IT运维服务管理的需要设置和完善了公司的公司机构（见手册信息技术服务管 理职能关系架构图，组织结构图；对与SMS管理体系有关的部门和人员规定了 SMS职责，明确了相互间 的协作关系（见手册SMS管理体系职能分配表、各部门职责、各部门信息技术服务目标、各级岗位人员 任职条件。为SMS管理体系有效运行，实现有效的持续改进提供公司保证。公司在全公司范围内设立信息技术服务管理公司，分为决策IT、管理监督层和贯彻执行层三个层面。决策层为总经理、管理者代表，

27、负责公司信息技术服务管理的战略方向把控和决策。管理监督层为行政综合部、智慧城市事业部、研发中心、测绘工程事业部、安全质量部及相关部门负责人，符合眯册帐輕 册技欢骥*項卷弓犯gc制酬隅義聚H缺檢細堆iI舊径沒稍枣養霞驱堂窒履妲依簽茉旳愚應-峋破#鬣農芷.我軸迫當重*史吴裏韓歸胃机忍白弟，囹驚程眼氐*赂必梔吳匸笠蛔華胡忒話聚蓄暇劇噩虻裝册的E甜挙H互幣股耙虻&志/汞妃集忠H農枚山1w酬依幽粗。輦幽签鄭将也1為岷 T拒”将幽破題仙妃骤枳噢総飙妲農军哩宓驱鼠。帶玄堆*毋襄 林珂,史快|破必劇蓄*戡也室将眼寒收。飙萩K髭扱寺。順时伺帐韻-a e e导林盤堆枢虻茶重HH艺檢：E挹足床鳏zH*醐洛匸遂世回册

28、册RPifeS 桩状鼬談桩。 哩.不驟电串 口 罢麻麻旳 淼S 堆豈仙玻妃冊必机妾蛊友塌荒圮 觀裝册 .。检收 换快* 史 足把Hn?幽法加思貝照，将祁架 ffl 襲必也I幽形券牡堆祇順艇聚 創曹收蛆足飙髭史.劇妲15/堆灯勢寂麝K醐财 m 飆 n? g mu tt .炽般耘* 成題应匸噩 S 牘隴無革.季邮联聚白犀世 fc 妄堆圈環豈跡卿 快处擧旳壮 收i m劇噢率辱掛w練足牠帐葢麒tk幽反 -W*与股塌悠華E w頫：E躯糸如艇fc ，罂肩視现毋足 罪吋醐聚或83H w e鼬/條nn体系标 准编号体系标 准目录审核检査记录表审核结果公司各部门主要负责人负责领导本部门信息技术服务各流程建设工作

29、管理工作，对本部门的信息技术服 务管理管理提供资源和管理保证，并对相关信息技术服务管理工作进行领导、管理和监督。公司各流程经理负责依据信息技术服务管理体系标准，进行特定流程的设计、推广及优化，并及时向部 门负责人汇报流程的运行状况。公司流程经理人员名单见附件3：流程经理人员名单。市场营销部职责：负责业务关系管理、负责供应商管理、负责顾客满足度调査。行政综合部职责：负责人力资源管理。负责文件管理。研发中心职责：负责策划管理体系、负责监督SMS运行、负责目标考核。负责风险和机遇的识别，制订 应对措施。IT智慧城市事业部职责：负责事件管理流程、问题管理流程、变更管理流程、发布管理流程、配置管理 流程

30、、服务级别管理流程、可持续性管理流程、可用性管理流程、容量管理流程、服务报告管理流程、安全 管理流程等具体流程管理。组织目标和绩效考核。组织内部审核。财务部职责：负责IT财务管理。测绘工程事业部：负责按服务级别协议提供资源，负责协助安全管理、事件管理、配置管理、容量管理。体系标 准编号体系标 准目录审核检査记录表审核结果信息技术服务管理体系的日常管理工作由行政综合部、智慧城市事业部、研发中心分别负责。1、各部门负责人职责：负责信息技术服务管理体系的日常管理工作和监督工作；负责体系各流程运行质量的整体管理和持续改进工作；根据本规定要求，确定相关信息技术服务管理公司、机构人选，并推动本部门信息技术

31、服务管理工作的 开展落实。2、各流程经理：依据本规定要求，切实履行相关职责，完成信息技术服务管理体系中各项流程工作的运 转；负责完成本流程运行质量的具体日常管理工作并及时与质管处沟通；负责本流程的持续改进工作。3、全体员工：理解并遵守本规定定义的内容，配合流程经理的工作，确保各自岗位职责范围内涉及的相 关流程工作的开展。眯册帐輕 册1昭gSWE*s当地|S3K着最免爐磐體鼬飙涅溫i il 4H炫幽卫旺視.S食函兵，鉴缶番骤歩密旺麗爆脚撷图盖鼬建幽书曝嚥覇皓胞涅槌虫同興不郵噢不曲，歩驱氐报司鷲照劇。希军駐幽隅.餃长图弋飙米短一陇攻W装呆*裕捋陶撰腫n?会麻今砰臨聚不i.买玄，S S .也羿林板e

32、w.菸迎照玦.怒金.2H，歩g:EK爐螂幽&史IS1劇照劇且骤骤園骤*n旺頰回S撕歩飙減歩媒耘垢辻：g牛掂登麻绑也啓wwews*S區也寤幽tntnWWfcgg快酗*塚*涅圜会爵热*潞温際S3郷鄙军鼬足馭昭鄙黑 遊，庭 融岷眼瓶粗华福根 欝e wst!点暇妃应埠當辰妃s s W W an爆何幽剧単qppJ8q$也I飙鄙co柜陳，G牴該公條nn眯册帐輕 册Oft 寤，*58坦皿.率梁，製噢得辑 8暝 SWo=択蛛鼬田破曝枳駛艦e.靶*.宣短w賴-谜罢聽标枢鼬由噸鹽籽蝸相田第規 砖坐林海圖聽驱W胳握.H驱，.冬柬 糸诲册咪：S聘植圈劇材思加大呂衆骤氛実回力四実里出泅足歩:e關必舞史贺SK暢期：EI耘

33、的，W蚓1K奥楽鄭照回暇冬基骤，洛歩歩W睫歩區Y驱朝媒頫書劇鯉幽回劇釈般爐鼠寧W富齟飙玄花飙*耘幽垣：只故黑媛駁腰夂换：版或1S眼度垣：垣：跃回医垣：駁回期ftfm淤植粗玻材归回票迦应1妃妃骥坐聲齒茶玻也WI創益 6*665& 工 二 三理條nn眯册帐輕 册*册.W茶-蛔絕t诲史K -。得皿個瞪8?.臨足顓长回.頫尊2一某M史太，堆我册0仙韻册彩足M S 8S3 y?右长足 迎骤RP歩短， “ 勢ffiE 技 X歩題圈职郡撅蛙B興剧半1燧駅貝奥依fS娯齟H鮫会髭电歩眠撮*9&幽祖般暇暇职圈W与喊鷺帽鼬絕鼬YY紹幽拒 i5W阻股叫米釈$e崩捋始吋盤綏骅駅实罢E 聰 我 臨蛔無肩时何同蛔歩电股幽盪

34、电寂妃应酬妃竈鼬8J43 d-d H bbtoj益6ws炫爽， xQ條nn体系标 准编号体系标 准目录审核检査记录表审核结果监督发布流程的进展，确保流程中各个控制点符合要求；发布流程的改进，提出改进计划。5）、配置管理流程经理职责如下：负责配置管理流程的设计和改进；负责配置管理流程文档的维护和管理；C.确保配置管理流程文档符合体系文件控制管理规定；确保配置管理流程的有效执行；监控流程执行效果并进行汇报；确立流程中各个角色和职责的清晰定义和有效工作,负责配置管理系统和工具的需求定义；保证在公司内提供必要的流程培训；识别流程改进的机会；确立流程改进目标；体系标 准编号体系标 准目录审核检査记录表审

35、核结果对流程的变更进行管理，包括对所有与配置管理流程相关的改进建议和变更进行回顾和审批；m.设定配置管理流程的绩效指标；n.确保与相关流程的集成；O.参与信息技术服务管理其它流程的制订和回顾；P.定义配置管理数据库（CMDB）的访问权限，保证配置管理数据库（CMDB）的有效性；Q.对配置管理数据库（CMDB）的结构变更进行审批；r.定期公司人员对配置项进行审计并釆取纠正改进措施。6）、服务级别管理流程经理职责如下：负责服务级别流程的设计和改进；负责建立和维护服务级别协议（SLA）结构；C.与客户商谈达成双方认可的服务级别需求与客户商谈签订服务级别协议（SLA）；协助商谈建立供应商支持合同；体系

36、标 准编号体系标 准目录审核检査记录表审核结果公司和维护定期的服务级别回顾；监控服务级别协议的履行程度；监控服务改进计划实施进度和效果；确保完成协议规定的目标、维护和提升服务水平。7)、可持续性管理流程经理职责如下：公司进行风险和灾难规避评估；公司进行业务影响度分析(BIA)；C.向突发事件提供整体恢复策略建议；牵头确定和建设业务连续性恢复方案；参与或牵头公司可持续性和灾难恢复小组设计开发关键系统的灾难恢复预案；根据可持续性和灾难恢复预案，参与或牵头公司进行*公司灾难恢复或各类应急预案的演练工 作；监控可持续性管理流程运行情况；体系标 准编号体系标 准目录审核检査记录表审核结果h.负责流程的持

37、续改进。8）、可用性管理流程经理职责如下：可用性管理流程创建及维护，保证流程的正常运转；根据业务需求分析得出可用性管理目标或改进点；确保在规定成本内的可用性符合SLA要求；向客户报告公司的可用性指标；确认可用性需求包含了容量和可用性计划。9）、容量管理流程经理职责如下：负责容量管理流程的设计和改进；确保容量计划的定期制定和维护；汇总各领域容量报表并定期公布；定期对容量计划的执行过程进行验收；体系标 准编号体系标 准目录审核检査记录表审核结果参与容量优化方案的评估审批；回顾容量优化方案的执行结果。10）、财务流程经理职责如下：负责综合汇总确认；财务流程执行的管理。11）、服务报告流程经理职责如下

38、：服务报告管理流程的制定；服务报告管理流程的回顾和改进；C.报告列表结构的设计和维护；定期审计服务报告的准确性和真实性；负责外部报告的编制和分发。眯册帐輕 册1.。劇Y枚tn m*买抵.医聚氷林珅貼罢幽骐?羸加凡短臨喧般儼*地划饗敗玻出 靶K展装展盘“.舞攵.国雑- 驱骐丄惧尊革足捋 垣与一棘攵択丨明ul屁餐.迎砖BK砖畛帜 足 快以柬K妝# J： 股 欢 E七歌幽吳醐彰.切定釈曾1思區虫綱飙，收増S .WgS帳收孵帐股书2WWSSS3嶼右翅快我WS最K玄器帽公丄拔陳護臨S幽幽磯iW姉姑癢今屬主黑飙瓠瞄1飆根根黑：E帳撮Sffi展骥擬林獄獄掀嶼脚1国国惬洛釈，累仁駅理革革也彖今皺噸眦飙員。|叔

39、炬稲今Jd6Ta53ti基J43 dfzOJCOii條nn眯册帐輕 册5H去-器。幣华盟必垢咽S册 枳枢吾 ，雪雪即法旦囹食Q書書M 鎌4 皓E-H-ft ft金技輕冊推搅議當口蛊償出回塌値席層崩幽幽“毎挡：sm米靠蠶奮驱崩幽编回姙煨皿sBg曲期/歩骐枢北回炊嘰蕾箱蕭曾鼬幽劇垣囹何女玄窮ESSf照鼬拒劇珂林羹喧廢奥您尘段 g 知邮卑枢 落噸噸辰骐圈蜃暈胃苫 #農基 *663&工 碧， 骤 d x5 6 -6稍骐，寸寸II條nn体系标 准编号体系标 准目录审核检査记录表审核结果服务级别管理流程经理：IT运维事业部；业务关系管理流程经理：行政综合部；事件管理流程经理：IT运维事业部；问题管理流程经

40、理：IT运维事业部；变更管理流程经理：IT运维事业部；发布管理流程经理：IT运维事业部；配置管理流程经理：IT运维事业部；容量管理流程经理：IT运维事业部；财务流程经理：行政综合部；安全管理流程：IT运维事业部。6.1风机机 对和的 应险遇会6.1应对风险和机遇的机会6.1.1在规划SMS时，公司应考虑4.1中提到的事项和4.2中提到的要求，并确定需要应对的风险和机会：a）确保SMS能够实现其预期结果；b）预防和减少不良后果；c）实现SMS和服务的持续改进。符合。6.1.2公司应确定并形成文件符合体系标 准编号体系标 准目录审核检査记录表审核结果a）与以下相关的风险1）公司$2）未能满足服务要

41、求；3）参与服务生命周期的其他各方；b）SMS和服务风险和机会对客户的影响；c）风险的验收标准；d）管理风险所釆取的措施。査有风险识别和控制措施表，详见附件。 符合。6.1.3公司应指定计划：a）处置这些风险和机会所应采取的活动及实施优先级；b）如何：1）将这些活动整合并实施到其SMS过程中；2）评估这些活动的有效性。査有风险分级表，详见附件。风险计划，详见附件。 符合。6.2服务管 理目标 及其实 现的规 划6.2服务管理目标及其实现的规划6.2.1确定目标公司应在相关职能和层级上建立服务管理目标。服务管理目标应：a）与服务管理方针一致；b）可测量；c）考虑适用的要求；体系标 准编号体系标

42、准目录审核检査记录表审核结果（1）得到监视；e）得到沟通:f）适时更新。査SMS管理手册有服务管理目标的文件化信息。符合。6.2.2目标实现的规划在规划如何实现服务管理目标时，公司应确定：a）需要什么；执行SMS体系文件相关规定。b）需要哪些资源；需要财务资源、人力资源、管理手册（运行准则）、客户需求、软件、硬件。等。c）由谁负责；各部门根据职责完成目标，由智蕙城市事业部部长进行考核，上报管代和总经理，抄送综合部备案。d）什么时候完成；每月完成，每季度考核一次。e）如何评估结果。要求达到目标目标考核值。信息技术服务目标：客户单位满意率N98%1、财务部1）项目资金计划率100%2）项目资金保障

43、率100%。体系标 准编号体系标 准目录审核检査记录表审核结果3）财务预算完成率100%o2、市场营销部1）签约供应商供货质量、时效的达标率95%。2）服务合同履约率100%。3）客户事件处理满意度95%。4）客户服务满意度95%。5）客户满意度调査表反馈率95%。6）投诉平均回复时长2个工作日内。7）客户对投诉处理结果的满意度95%。3、测绘工程事业部1）按合同要求，按时按质100%提供资源。2）变更执行准确度100%o3）项目竣工资料准确存档率100%。4）配合运维故障处理率100%。5）配合事件处理率100%。6）检査问题上报率100%o4、综合部1）有效文件发放率100%。2）人力资源

44、满足要求率100%o3）培训计划执行率100%。4）培训有效性100%o体系标 准编号体系标 准目录审核检査记录表审核结果5）巳建立完备的运行记录的流程占流程总数的比例。6）依照制度要求公司评审并及时进行完善和修订的流程占流程总数的比例。5、智慧城市事业部1）运行管理过程关键绩效指标（KPI）:、局域网络系统全年正常运行率100%o、客户服务满意率98%。、坐席人员一次解决的呼叫百分比90%。、升级到二线支持的呼叫量百分比10%o2）、发布管理过程关键绩效指标（KPI）:、规定周期内发布成功的比率95%。、准时发布百分比为100%。、发布导致的事故数量为0。3）、变更管理过程关键绩效指标（KP

45、I）、紧急变更的数量。、失败变更的百分比为0。、成功变更的比率95%。体系标 准编号体系标 准目录审核检査记录表审核结果4）、服务级别管理过程的绩效指标、服务响应及时率N98%;、系统故障修复率N95%、局域网络系统全年正常运行率N99.90%;、客户服务满意率N95%;、实现公司信息资产的保密性、完整性和可用性安全保障；、为客户提供及时的、持续的和高质量的信息技术服务并不断改进；、桌面运维年度满意度达到95%以上；、桌面运维年度投诉率不超过5%；、业务单位报修后，工作日本地8小时内到达现场，12小时内解决问题（不含硬件设备故障维修）。省 内12小时内到达现场，24小时内解决问题（不含硬件设备

46、故障维修）。、服务热线实行24小时服务，10分钟内做出。5）、容量管理过程的关键绩效指标（KPI） t体系标 准编号体系标 准目录审核检査记录表审核结果、容量原因导致的停机时间2小时/季度。、容量原因导致的问题数10次。6）、服务报告管理过程的关键绩效指标（KPI）：、各流程经理依照制度要求按时提交相关服务报告的比例95%O7）、问题管理过程的关键绩效指标（KPI）：、问题成功解决率98%、关闭一个问题的平均时长4小时。8）、可用性管理的关键绩效指标（KPI）:、公司局域网全年（包括工作时间和非工作时间）正常运行率99.50%。、业务应用系统全年（包括工作时间和非工作时间）正常运行率99.50

47、%。9）、信息技术服务连续性管理的关键绩效指标（KPI）目标值、RT0达成率2小时。、RP0达成率0.5小时。、演练和预案的匹配度95%。、对信息系统应急预案进行定期修订的周期1年。体系标 准编号体系标 准目录审核检査记录表审核结果10）、服务可用性管理的关键绩效指标（KPI）:1）、2小时故障的次数。11）、事件管理的关键绩效指标（KPI）：、事件总数为12、事件的平均解决时间4小时。、按优先级计算的平均解决时间2小时。、一线解决率50%。、超时未解决的事件数量为4。、超时事件解决率10%。、事件一次解决率80%。、事件成功关闭数量比率100%。、正确转交的事件数量比率100%。12）、服务

48、级别管理的关键绩效指标（KPI）：、第三方支持服务问题导致的SLA违反数量为0。、服务问题导致的SLA违反数量为0。13）、配置管理过程的关键绩效指标（KPI）：体系标 准编号体系标 准目录审核检査记录表审核结果、巳建立关联关系的配置项占所有配置项的比例50%。、没有对应配置项更新的变更请求的数量为0。6、研发中心：1）、变更执行准确率100%。2）、服务热线有效响应率100%。3）、顾客满意度95%监督公司体系文件管理，体系文件有效性100%。11）、公司有用知识获取率100%。12）、目标考核100%按策划进行。目标进行了分解，按策划实施了考核，能实现。高级管理人员应确保其雇员知道他们的活

49、动的相关性和重要性、如何致力于完成服务管理目标。公司应创建，实施和维护服务管理计划。规划应考电服务管理方针、服务管理目标，风险和机遇、服务要求 和本标准中规定的要求。服务管理计划应包括或包含对以下内容的引用:体系标 准编号体系标 准目录审核检査记录表审核结果a）服务清单；b）可能影响SMS和服务的己知约束；c）方针、标准、法律、法规和合同要求等相关义务，以及这些义务如何适用于SMS和服务；d）SMS和服务的权限和责任；e）运营SMS和服务所需的人力，技术，信息和财务资源；f）与参与服务生命周期的其它各方合作的方法；g）用于支持SMS的技术；h）如何测量、审计、报告和改进SMS和服务的有效性。其

50、他规划活动应与服务管理计划保持一致。有服务管理计划。详见附件。7.1资源公司应确定并提供SMS的建立、实施，维护和持续改进所需的人力，技术，信息和财务资源以及服务的运行， 己满足服务要求并实现服务管理目标。有人力资源表査有IT运维财务预算及批复表其余详见7相关内容。符合。符合体系标 准编号体系标 准目录审核检査记录表审核结果7.2能力a）确定在其控制下从事回影响公司SMS和服务绩效和有效性的工作人员的必要能力；应在定义并保持所有服务管理角色和职责的同时，定义并保持有效执行它们所要求的能力。b）确保上述人员在适当的教育，培训或经验的基础上胜任其工作；c）在适用的情况下，釆取措施以获得必要的能力，

51、并评估所釆取措施的有效性； 要对人员能力和培训进行评审和管理，以使人员有效地执行他们的角色。d）保留适当的文件化信息作为能力证据。注：适用的措施可包括，例如：为现有雇员提供培训、指导或重新分配；或雇用或签约具有相应能力的人员。符合7.3意识在公司控制下工作的人员应了解：a）服务管理方针；b）服务管理目标；c）其工作与服务的关系；d）其对SMS有效性的贡献，包括改进SMS绩效带来的收益；e）不符合SMS要求的影响。随机询问各部门2名员工服务管理体系意识。符合。符合7.4沟通公司应确定与SMS和服务相关的内部和外部沟通需求，包括：a）沟通什么：b）何时沟通；c）与谁沟通；符合体系标 准编号体系标

52、准目录审核检査记录表审核结果（1）如何沟通；e）谁将负责沟通。内部沟通：SMS管理体系要求，体系文件发布前，全公司各级管理人员，各部门人员。通过学习，考试等方式实现沟通。 由综合部负责沟通。査学习培训内容，有考试卷。外部沟通：综合部负责SMS和服务相关认证管理体系方面的沟通，对认证公司沟通内容包括：包括审核前审核策划，审 核时间的确定，审核计划的确认，老师的接送，食宿安排，审核过程协调，审核结论和不符合项确认，纠正 措施的完成，审核老师差旅食宿费用的报销，负责完成认证费付款，认证公司评定的结论和证书的接收或监 督审核结论的接收，认证监管信息的传递（发生时）。综合部负责接受认可委、认监委（发生时

53、）SMS和服务相关认证管理体系认证方面的沟通。沟通实施。有效。符合。7.5.1总则公司的SMS应包括：a）本标准要求的文件化信息；b）为SMS的有效性，公司所确定的必要的文件化信息。注：由于以下原因，SMS的文件化信息的详略程度可能因公司而异：公司的规模及其活动、流程、产品和服务的类型；流程、服务及其相互作用的复杂性；人员的能力。符合。符合7. 5.2创建和 更新文 件化的 信息应确立创建、评审、批准、维护和控制不同类型文件和记录的程序和职责。 创建和更新文件化信息时，公司应确保适当的：a）标识和描述（例如标题、日期、作者或用印编号）；b）格式（例如语言、软件版本、图形）和价值（例如语言、软件

54、版本、图形）和价值（例如纸张的、电子体系标 准编号体系标 准目录审核检査记录表审核结果的）；C）适宜性和充分性的评审和批准。 査有标识和描述的具体规定。査SMS手册文件有标识。有程序文件清单、作业文件清单。格式目前为电子版（Word文字，图形，EX1表格等）. 査文件有编制、审核、批准。符合。7. 5. 3.1和准的化应控确文件有保护规定。有保护结果：a）可在需要的地方和时间，是可用的和适宜使用的；b）得到充分保护（如，避免保密性损失、不当使用或完整性丧失等）。 符合。符合7.5. 3.2制化适公强下 控件岛町应以珈 为文信用司调活a）分发，访问，检索和使用；b）存储和保护，包括保持可读性；0

55、控制变更（如，版本控制）；d）保留和处置。公司确定的为规划和运行SMS所需的外来文件信息，应得到识别，并予以控制。 注：访问隐含着仅允许浏览文件化信息，或允许浏览及更改文件化信息的授权。 査文件发放，有发文记录。适用处可获得文件，可实现访问，检索和使用。符合体系标 准编号体系标 准目录审核检査记录表审核结果査存储和保护状态，有可读性。 外来文件清单 符合。査文件变更，未发生。 査作废文件管理，未发生。 符合。7.5.4服务管 理体系 文件化 的信息7.5.4服务管理体系文件化的信息SMS的文件化信息应包括：a）SMS的范围；有，符合。祥见手册。b）服务管理的方针和目标,有，符合。祥见手册。c）

56、服务管理计划；有，符合。祥见服务管理计划。d）变更管理策略、信息安全策略和有，符合。祥见变更管理策略、信息安全策略、服务连续性计划。 服务连续性计划： 査到部门未按照公司的要求提供服务连续性计划。不符合：ISO 20000-1:2018标准章节号：8.7.2服务连续性管理要求e）公司的SMS流程；有，符合。祥见手册。f）服务要求；有，符合。祥见服务要求清单。g）服务目录；有，符合。祥见服务目录清单。符合体系标 准编号体系标 准目录审核检査记录表审核结果h）服务级别协议（SLA）；有,符合。祥见服务级别协议（SLA）清单。i）己外部供方的合同；有，符合。祥见外部供方合同登记表。j）与内部供方或作

57、为供方的客户达成的协议；建立内部供方或作为供方的客户达成协议登记表。无协议发生。符合。k）本标准要求的程序；有，符合。祥见程序文件清单。l）证明符合本标准要求和公司SMS的证据。有，符合。祥见符合性声明。条款7.5.4提供了 SMS的关键文档列表。本标准中应还有其他条款，要求将这些信息作为文件化信息或 记录保存。ISO/IEC20000.2提供了额外的指导。7.6知识公司应确定并保持支持SMS和服务运行所需的知识。知识应与相关人员相关，可获得并可适用。注：知识是与特定知识，SMS,服务和相关方相关。使用或共享知识以支持预期结果的实现以及SMS和服 务的运营。査公司安排研发中心确定并保持支持SM

58、S和服务运行所需的知识公司的知识。査公司的知识清单 在公司运维管理软件知识共享区，相关人员可获得并适用。符合8服务管理体系的操作体系标 准编号体系标 准目录审核检査记录表审核结果8.1运营计 划和控 制公司应计划、实施和控制满足要求所需的过程，并通过以下方式实施第6章中确定的行动：a）根据要求建立过程的绩效标准；b）按照既定的绩效标准实施对流程的控制；c）在必要的范围内保存文件化信息，以确保过程按计划进行。公司应控制SMS的计划变更并评审意外变更的后果，在必要时釆取措施减轻任何不利影响。 公司应确保外包过程得到控制。策划服务管理的实施和交付。应对服务管理进行策划，这些计划应定义：a）公司的服务

59、管理范围；b）服务管理要完成的目标和要求；c）要执行的过程；如何管理、审核并改进服务质量；d）管理目标和职责的框架，包括高层责任人、过程责任人和供方的管理；e）服务管理过程与协调活动的方式之间的接口；f）识别、评估并管理在完成规定目标过程中的问题和风险所采取的方法；g）连接创建或修改服务的项目的方法；h）完成规定目标所必要的资源、设施和预算；支持过程的适当工具；为评审、授权、通报、实施并维护这些计划，应具备条理清晰的管理导向和形成文件的职责。 任何针对特定过程生成的计划都应与服务管理计划保持一致。实施服务管理目标和计划。公司应实施服务管理计划，以管理并交付服务，包括：a）资金和预算的分配：b）

60、角色和职责的分配；c）编制并维护每个过程或过程集合的策略、计划、程序和定义；d）服务风险的识别和管理；符合体系标 准编号体系标 准目录审核检査记录表审核结果e）团队的管理，例如，补充并培养适当的人员，对人员的连续性进行管理；f）设施和预算的管理；g）包括服务台和服务运行组在内的团队的管理；h）按照计划报告进度；i）各服务管理过程的协作。公司应执行活动以：1、收集并分析数据，为公司的能力建立基线和标杆，以管理和交付服务与服务管理过程。2、识别、策划并实施改进。考虑来自所有的服务管理过程改进的有关输入。设定改进质量、成本和资源利用 的目标。测量、报告并通报服务改进。3、与所有相关方进行商议。4、修