信息安全和信息技術(shù)服務(wù)管理手冊(cè)2023

第1頁(yè)共51頁(yè)受控2023-01-05發(fā)布2023-01-05實(shí)施變更說(shuō)明編制審核ISO27001-2022體系轉(zhuǎn)版小組 5 5 52規(guī)范性引用文件 53術(shù)語(yǔ)和定義 4組織環(huán)境 84.1理解組織及其環(huán)境 84.2理解相關(guān)方的需求和期望 84.3確定信息技術(shù)服務(wù)管理體系范圍 94.4信息技術(shù)服務(wù)管理體系 9 95.1領(lǐng)導(dǎo)和承諾 5.2方針 5.2.1建立管理方針 5.2.2溝通管理方針 5.3組織的角色、責(zé)任和權(quán)限 6規(guī)劃 1 6.1.2信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估 6.1.3信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置 6.2管理目標(biāo)及其實(shí)現(xiàn)規(guī)劃 6.2.1確定目標(biāo) 6.2.2策劃實(shí)現(xiàn)目標(biāo) 6.3規(guī)劃信息技術(shù)服務(wù)管理體系 7支持 7.1資源 7.2能力 7.3意識(shí) 7.4溝通 7.5文件化信息 7.5.2創(chuàng)建和更新 7.5.3文件化信息的控制 7.5.4管理體系文件化信息 7.6知識(shí) 8.1運(yùn)行策劃和控制 8.2.3控制服務(wù)生命周期的相關(guān)方 8.2.4服務(wù)目錄管理 8.2.5資產(chǎn)管理 8.2.6配置管理 8.3.2業(yè)務(wù)關(guān)系管理 8.3.3服務(wù)級(jí)別管理 8.3.4供應(yīng)商管理 8.4.1服務(wù)預(yù)算與核算 8.5.1變更管理 24 8.5.3發(fā)布與部署管理 8.6.1事件管理 288.6.2服務(wù)請(qǐng)求管理 8.7.1服務(wù)可用性管理 8.7.2服務(wù)連續(xù)性管理 9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià) 9.3管理評(píng)審 9.4服務(wù)報(bào)告 附錄1:體系組織機(jī)構(gòu)圖及各自主要職責(zé) 附錄2:管理體系職責(zé)對(duì)照表 41附錄3:公司簡(jiǎn)介 49附錄4:信息技術(shù)服務(wù)管理手冊(cè)發(fā)布令 附錄5:方針和目標(biāo) 511范圍提供服務(wù)的供應(yīng)商采用跟本公司一致的方法，按GB/T22080-2016/ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》和ISO/IEC20000-1:2018《信息技術(shù)服務(wù)管理體系要求》建立信息b)對(duì)信息安全管理體系和信息技術(shù)服務(wù)管理體系c)通過(guò)有效實(shí)施和運(yùn)行信息安全管理體系和信息技術(shù)服務(wù)管理體系，以改進(jìn)服務(wù)的規(guī)劃、本手冊(cè)適用于公司內(nèi)部各部門和外部(包括國(guó)家主管部門和認(rèn)證機(jī)構(gòu))評(píng)價(jià)本公司滿足GB/T22080-2016/ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》、ISO/IECISMS:XXXXXXXXXXXXXXX2規(guī)范性引用文件標(biāo)注日期的引用文件，其隨后所有的修改單(不包括勘誤的內(nèi)容)或修改版均不適用于本《信息安全和信息技術(shù)服務(wù)管理手冊(cè)》,然而，公司應(yīng)研究是否可使用這些文件的最新版本。GB/T22080-2016/ISO/IEC27001:2022《信息安全管理體系要求》GBT22081-2016/ISO/IEC27002:2013《信息安全管理實(shí)用規(guī)則》ISO/IEC20000-1:2018《信息技術(shù)服務(wù)管理第一部分服務(wù)管理體系要求》ISO/IEC20000-2:2012《信息技術(shù)服務(wù)管理第二部分服務(wù)管理系統(tǒng)應(yīng)用指南》3術(shù)語(yǔ)和定義ISO/IEC27000界定的術(shù)語(yǔ)和定義、ISO/IEC20000-1:2018的術(shù)語(yǔ)和定義適用于本管理手冊(cè)。ITSMS:InformationTechnologyServ3.2.13發(fā)布(名詞)release,noun3.2.19服務(wù)連續(xù)性service4.1理解組織及其環(huán)境公司確定了與信息安全和信息技術(shù)服務(wù)目標(biāo)相關(guān)并影響實(shí)現(xiàn)信息安全和信息技術(shù)服務(wù)管理體系預(yù)c)自身價(jià)值觀、企業(yè)文化、知識(shí)水平。4.2理解相關(guān)方的需求和期望公司各部門應(yīng)在管理體系運(yùn)行過(guò)程中對(duì)公司管理體系有關(guān)的相關(guān)方及其需求和期望的相關(guān)信息進(jìn)c)其中哪些將通過(guò)信息安全管理體系得到解決；4.3確定信息技術(shù)服務(wù)管理體系范圍ISMS:xxxxxxxxxxx相關(guān)的信息安全管理活動(dòng)4.4信息技術(shù)服務(wù)管理體系c)確定所需的準(zhǔn)則和方法(監(jiān)視、測(cè)量和相關(guān)績(jī)效指標(biāo)),以確保這些過(guò)程運(yùn)行和控制有效；g)監(jiān)視、測(cè)量和分析這些過(guò)程，依據(jù)監(jiān)視、測(cè)5.1領(lǐng)導(dǎo)和承諾b)確保管理計(jì)劃的創(chuàng)建、實(shí)施和維護(hù)，以支持管理方針，實(shí)現(xiàn)管g)確保信息安全和信息技術(shù)服務(wù)管理體系以及業(yè)務(wù)活動(dòng)所需資源(基礎(chǔ)設(shè)施及環(huán)境、人力資源、設(shè)備、軟件、工具等)可用；j)指導(dǎo)并支持相關(guān)人員為管理體系和服務(wù)的有效性做出貢獻(xiàn)，對(duì)全體員工進(jìn)行持續(xù)的信息安全和信息5.2方針5.2.2溝通管理方針5.3組織的角色、責(zé)任和權(quán)限具體各部門職責(zé)詳見(jiàn)附錄1:信息安全和信息技術(shù)服務(wù)管理體系組織機(jī)構(gòu)圖及部門主要職責(zé)。為了能夠更好地貫徹公司最高管理層在管理方面的策略和方針，根據(jù)GB/T22080-2016/ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》和ISO/IEC20000-1:2018《信息技術(shù)服當(dāng)策劃信息安全和信息技術(shù)服務(wù)管理體系時(shí)，組織應(yīng)考慮4.1中提及的問(wèn)題和4.2中提及的要求，e)如何整合和實(shí)施這些措施并將其納入信息安全和信息技術(shù)服務(wù)管理體系過(guò)程并評(píng)價(jià)這些措施的6.1.2信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估(1)建立并保持信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)接受準(zhǔn)則和執(zhí)行信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則；(2)確保重復(fù)性的信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估可產(chǎn)生一致的，有效的和可比較的結(jié)果；(3)識(shí)別信息安全體系范圍內(nèi)的信息喪失保密性、完整性和可用性的相關(guān)風(fēng)險(xiǎn)和責(zé)任人。(4)分析、評(píng)估所識(shí)別的風(fēng)險(xiǎn)發(fā)生后將導(dǎo)致的潛在影響和現(xiàn)實(shí)可能性，確定風(fēng)險(xiǎn)級(jí)別；(5)將風(fēng)險(xiǎn)分析結(jié)果同風(fēng)險(xiǎn)接受準(zhǔn)則進(jìn)行對(duì)比，確定實(shí)施風(fēng)險(xiǎn)處置的優(yōu)先級(jí)。6.1.3信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置(1)在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的前提下，選擇適當(dāng)?shù)男畔踩图夹g(shù)服務(wù)風(fēng)險(xiǎn)處置選項(xiàng)；(2)為實(shí)施所選擇的信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置選項(xiàng)，確定所有必需的控制措施；(3)將確定的控制措施與《信息安全適用性聲明》的控制措施進(jìn)行比較，以核實(shí)沒(méi)(4)確定適用性聲明。適用性聲明要包含必要的控制措施、對(duì)包含的合理性聲明(5)制定信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置計(jì)劃；(6)公司最高管理者對(duì)信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置計(jì)劃以及接受信息安全技術(shù)6.2管理目標(biāo)及其實(shí)現(xiàn)規(guī)劃6.2.1確定目標(biāo)●信息安全泄密事件0件●年度客戶信息安全投訴件數(shù)<3件●客戶資料外泄事件為0●源代碼泄露事件為0●客戶數(shù)據(jù)外泄事件為06.2.2策劃實(shí)現(xiàn)目標(biāo)6.3規(guī)劃信息技術(shù)服務(wù)管理體系h)如何測(cè)量、審核、報(bào)告和改進(jìn)服務(wù)管理體系和服務(wù)的有效性。公司對(duì)特定過(guò)程生成的計(jì)劃應(yīng)與服務(wù)管理計(jì)劃保持一致。對(duì)2)滿足服務(wù)要求和實(shí)現(xiàn)管理目標(biāo)所需的資源。a)確定在組織控制下從事會(huì)影響組織信息安全和信7.5文件化信息b)程序文件：描述各個(gè)管理過(guò)程，支持管理手冊(cè)的實(shí)施與a)標(biāo)識(shí)和描述(例如標(biāo)題、日期、作者或索引編號(hào));b)格式(例如語(yǔ)言、軟件版本、圖表)和介質(zhì)(例如紙質(zhì)的、電子的);b)予以妥善保護(hù)(如防止泄密、不當(dāng)使用或者缺失等);c)變更控制(例如版本控制);d)變更管理方針、信息安全方針和服務(wù)連續(xù)性計(jì)劃(一個(gè)或多個(gè));h)服務(wù)級(jí)別協(xié)議(SLA);7.6知識(shí)注：知識(shí)是與管理體系、服務(wù)和相關(guān)方有關(guān)的，使用和共享知識(shí)以實(shí)現(xiàn)預(yù)期結(jié)果和運(yùn)行管理體8運(yùn)行8.1運(yùn)行策劃和控制公司應(yīng)通過(guò)下列諸項(xiàng)以策劃、實(shí)施和控制滿足要求所需的過(guò)程，并實(shí)施第6章中確定的措施：d)應(yīng)控制策劃的變更并評(píng)審非預(yù)期變更的后果，必要時(shí)，采取措施減輕不利影響(見(jiàn)8.5.1)。e)應(yīng)確保外包過(guò)程受控(見(jiàn)8.2.3)。8.2服務(wù)組合8.2.2策劃服務(wù)8.2.3控制服務(wù)生命周期的相關(guān)方其它相關(guān)方不應(yīng)提供和運(yùn)行信息技術(shù)服務(wù)管理體系范圍內(nèi)所有的服務(wù)、服務(wù)組件或流程(不可全部外b)測(cè)量和評(píng)估服務(wù)、服務(wù)組件滿足服務(wù)要8.2.4服務(wù)目錄管理方的信息、它們預(yù)期的結(jié)果和服務(wù)間依賴關(guān)系。組織應(yīng)向客戶、用戶和其它相關(guān)分)服務(wù)目錄的渠道。公司應(yīng)確保管理用于提供服務(wù)的資產(chǎn)以滿足服務(wù)要求和條款6.3c)規(guī)定的義務(wù)。8.2.6.1應(yīng)根據(jù)《配置管理程序》的要求，評(píng)估所有與信息技術(shù)服務(wù)相關(guān)的重要資產(chǎn)和配置項(xiàng)，識(shí)別、定義、維護(hù)信息技術(shù)服務(wù)和基礎(chǔ)設(shè)施的組件，明確配置項(xiàng)之間的關(guān)系、屬性和作用，定義命名規(guī)范、版本號(hào)，以確保有效管理IT資產(chǎn)和配置。制訂和實(shí)施《配置項(xiàng)分類定義表》,每個(gè)配置項(xiàng)b)為每個(gè)項(xiàng)目或信息系統(tǒng)應(yīng)用環(huán)境配置基線、或描述應(yīng)用環(huán)境、標(biāo)準(zhǔn)硬件(如安裝過(guò)的終端設(shè)備)組成和發(fā)布；c)備份和電子資料庫(kù)，如最終軟件庫(kù)(DSL);c)責(zé)任、可檢索、可審計(jì)的要求，例如出于安全、法律、規(guī)章或業(yè)務(wù)目的。d)配置控制(訪問(wèn)、保護(hù)、版本、開發(fā)、發(fā)布控制)。f)資源管理規(guī)劃和建立，以便使資產(chǎn)c)對(duì)受控軟件、測(cè)試產(chǎn)品和支持文檔等備份的恢復(fù)進(jìn)行限制。8.3關(guān)系與協(xié)議服務(wù)目標(biāo)、服務(wù)時(shí)間、工作量限制(最大及最小工作量)、支持和相關(guān)服務(wù)、影響和優(yōu)先級(jí)描述、授權(quán)細(xì)節(jié)及授權(quán)人員聯(lián)系信息、有效期或SLA變更控制機(jī)制(包含升級(jí)和通知流程)、服務(wù)中斷采取的糾正措施、計(jì)劃和協(xié)調(diào)中斷(包括通知事件及頻率)、溝通的簡(jiǎn)述(包括報(bào)告、投訴程序)、8.3.3.4應(yīng)依據(jù)與客戶簽訂的SLA別協(xié)議》,并作為服務(wù)改進(jìn)計(jì)劃的輸入。8.4供應(yīng)與需求1)用于提供服務(wù)的資產(chǎn)(包括許可證);2)共享資源；3)管理費(fèi)用；4)資金和運(yùn)行費(fèi)用；5)外部供應(yīng)商的服務(wù)；6)人員；7)設(shè)施；8.4.1.3應(yīng)根據(jù)國(guó)家的有關(guān)法律法規(guī)和財(cái)務(wù)政策的要求，根據(jù)公司的業(yè)務(wù)策略(包括產(chǎn)品策略、銷售策略、服務(wù)策略等),組織擬制、審核公司及部門的總體性和階段性的信息技術(shù)服務(wù)費(fèi)用預(yù)算及8.4.1.4各部門根據(jù)公司業(yè)務(wù)發(fā)展戰(zhàn)略、公司現(xiàn)有的SLA要求，及本部門業(yè)務(wù)的特點(diǎn)，按部門工作計(jì)劃的內(nèi)容，組織擬制本部門階段性的費(fèi)用預(yù)算計(jì)劃，經(jīng)匯總、報(bào)批后實(shí)施。8.4.1.5在預(yù)算期間出現(xiàn)的服務(wù)變更引起的預(yù)算變化，相關(guān)部門應(yīng)按要求執(zhí)行預(yù)算變更申請(qǐng)。8.4.1.6在對(duì)《服務(wù)級(jí)別協(xié)議》進(jìn)行評(píng)審時(shí)，應(yīng)根據(jù)公司策略，評(píng)估實(shí)現(xiàn)服務(wù)目標(biāo)和需求的成本，并根據(jù)確定的服務(wù)級(jí)別協(xié)議跟蹤成本的變化。8.4.1.7應(yīng)在服務(wù)變更時(shí)，計(jì)算服務(wù)變更成本，并通過(guò)《變更管理程序》進(jìn)行批準(zhǔn)。8.4.1.8應(yīng)根據(jù)預(yù)算編制跟蹤財(cái)務(wù)變化，對(duì)超出預(yù)算要求的變化，提前向相關(guān)部門和公司領(lǐng)導(dǎo)提出預(yù)警8.5服務(wù)設(shè)計(jì)、構(gòu)建與轉(zhuǎn)換h)對(duì)信息技術(shù)服務(wù)管理體系、其它服務(wù)、計(jì)劃的變對(duì)于將要移除的服務(wù)，策劃還應(yīng)包括移除服務(wù)的日期，以及新的或者變更的服務(wù)應(yīng)予以設(shè)計(jì)和保留文件化信息以滿足8e)變更對(duì)信息技術(shù)服務(wù)管理體系的影響，包括新的或變更的方針、計(jì)劃、過(guò)程、程序、措施和知g)更新服務(wù)目錄(一個(gè)或多個(gè))。8.5.3發(fā)布與部署管理8.5.3.1根據(jù)變更管理程序、發(fā)布和部署管理程序的要求，結(jié)合業(yè)務(wù)對(duì)信息系統(tǒng)、基礎(chǔ)設(shè)施、服務(wù)和文檔等進(jìn)行規(guī)劃，識(shí)別發(fā)布的內(nèi)容、種類、層次、影響等，制訂發(fā)布策略來(lái)配置發(fā)布活動(dòng)，包括：a)發(fā)布頻度和類型。b)發(fā)布管理的角色和責(zé)任。f)為提高效率和可重復(fù)性，建立、安裝、i)可能對(duì)發(fā)布測(cè)試和實(shí)施造成影響的相關(guān)變更和風(fēng)險(xiǎn)的標(biāo)識(shí)a)檢查測(cè)試環(huán)境與實(shí)際工作環(huán)境是否一致；8.6解決與完成所有服務(wù)請(qǐng)求應(yīng)正式記錄，并可檢索和分析。服務(wù)請(qǐng)求應(yīng)根據(jù)采取的措施進(jìn)行更新。服務(wù)請(qǐng)求解決的指南應(yīng)對(duì)服務(wù)請(qǐng)求完成的有關(guān)人員可用。8.6.3問(wèn)題管理8.6.3.1根據(jù)《問(wèn)題管理程序》對(duì)事件原因預(yù)先識(shí)別、分析、管理直至關(guān)閉，以減少對(duì)業(yè)務(wù)的影響。a)得到記錄和分類；c)基于需要進(jìn)行升級(jí)；d)盡可能解決；8.6.3.2根據(jù)日常檢查、測(cè)試、事件數(shù)量和類型的趨勢(shì)分析等糾正措施，識(shí)別潛在問(wèn)題。所有被識(shí)別的問(wèn)題都應(yīng)該得到記錄。問(wèn)題記錄應(yīng)根據(jù)所采取的行動(dòng)及時(shí)更新。8.6.3.5解決問(wèn)題所需要的變更，按《變更管理程序》的要求，依據(jù)變更管理方針，經(jīng)批準(zhǔn)后實(shí)施8.6.3.6應(yīng)分析事件和問(wèn)題的數(shù)據(jù)和趨勢(shì)，以識(shí)別根本原因和潛在預(yù)防措施。當(dāng)發(fā)現(xiàn)根本原因，但問(wèn)題并沒(méi)有徹底解決時(shí)，應(yīng)采取措施以減輕或消除問(wèn)題對(duì)服務(wù)的影響。已知錯(cuò)誤應(yīng)被記錄。已知錯(cuò)誤的更新信息和問(wèn)題解決方案應(yīng)提供給事件管理和服務(wù)請(qǐng)求管理等其他服務(wù)過(guò)程。8.7.3信息安全管理8.7.3.1信息安全方針a)特性(例如軟件漏洞、運(yùn)行錯(cuò)誤、通信失敗)。9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)公司制定《監(jiān)視和測(cè)量管理程序》,以確定：9.2內(nèi)部審核公司每年按照計(jì)劃的時(shí)間間隔(一年內(nèi))進(jìn)行內(nèi)部審核，以確定管理體系和控制目標(biāo)、控制措b)滿足服務(wù)需求和所提出的服務(wù)管理體系要求；9.3管理評(píng)審公司管理層應(yīng)按照計(jì)劃的時(shí)間間隔(一年內(nèi))評(píng)審管理體系、信息安全風(fēng)險(xiǎn)與技術(shù)服務(wù)，以確9.4服務(wù)報(bào)告和結(jié)論，工作量特征(如：數(shù)量、資源利用、周期變化),報(bào)告重大事件和變更，定期趨勢(shì)信息，9.4.4服務(wù)報(bào)告應(yīng)及時(shí)、清晰、可靠和簡(jiǎn)明，便于分析、決策和有效溝通。10.1不符合及糾正措施1)采取措施，以控制并予以糾正；2)處理后果；1)評(píng)審不符合：2)確定不符合的原因；3)確定類似的不符合是否存在，或可能發(fā)生；10.2持續(xù)改進(jìn)應(yīng)有文件化的程序(包括權(quán)利和責(zé)任)用以識(shí)別、記錄、評(píng)估、批準(zhǔn)、劃分優(yōu)先級(jí)、管理、測(cè)量和改進(jìn)機(jī)會(huì)(包括改進(jìn)和預(yù)防措施)應(yīng)被文件化。a)通過(guò)管理體系的建立與實(shí)施，對(duì)持第36頁(yè)共51頁(yè)附錄1:體系組織機(jī)構(gòu)圖及各自主要職責(zé)6、在本企業(yè)管理層中指定一名體系負(fù)責(zé)人(管理者代表);1、分配權(quán)限和職責(zé)，確保管理體系所需的過(guò)程和6、確保用于交付服務(wù)的資產(chǎn)(包括許可證),遵從法律法規(guī)要求和合同義務(wù)。1、負(fù)責(zé)貫徹公司領(lǐng)導(dǎo)指示。做好上下聯(lián)絡(luò)溝通工作，及時(shí)向領(lǐng)導(dǎo)反映第37頁(yè)共51頁(yè)2、根據(jù)領(lǐng)導(dǎo)意圖和公司發(fā)展戰(zhàn)略，負(fù)責(zé)起草年度工作計(jì)劃、年度工作總結(jié)和其他重要文稿，牽頭或3、負(fù)責(zé)全公司日常行政事務(wù)管理，協(xié)助總經(jīng)理處理日常工作，負(fù)責(zé)總經(jīng)理的日常活動(dòng)和外出活動(dòng)的4、組織安排公司辦公會(huì)議，或會(huì)同有關(guān)部門籌備公司其他會(huì)議及有關(guān)重要活動(dòng)，做好會(huì)議記錄和整6、做好公司歷年大事記的原始資料收集和編纂工作，定期或不定期編輯公司簡(jiǎn)訊、簡(jiǎn)報(bào)或內(nèi)部發(fā)行8、負(fù)責(zé)公司辦公設(shè)施的管理。包括公司辦公用品采購(gòu)、發(fā)放、使用登記、保管、維護(hù)管理工作，負(fù)2、承擔(dān)公司的重大課題(國(guó)家級(jí)、省市級(jí)、區(qū)縣級(jí)等)研究開發(fā)任務(wù)；第38頁(yè)共51頁(yè)4、負(fù)責(zé)具體銷售合同(定單)的評(píng)審與組織實(shí)施。12.參與公司年度新產(chǎn)品研發(fā)計(jì)劃，負(fù)責(zé)向技術(shù)中心提供新產(chǎn)品研發(fā)市場(chǎng)信息。第39頁(yè)共51頁(yè)1、應(yīng)根據(jù)合同要求，科學(xué)的編制、調(diào)整生產(chǎn)計(jì)劃，合理的調(diào)配生產(chǎn)資源(人員、設(shè)備)滿足市場(chǎng)的3、組織數(shù)字化中心員工學(xué)習(xí)公司的各項(xiàng)規(guī)章制度，確保各項(xiàng)規(guī)章制度在數(shù)字化中心得以正確、順利4、開展人員培訓(xùn)，定期對(duì)員工進(jìn)行職業(yè)道德、思想素質(zhì)、崗位技能、保密教育、質(zhì)量控制、設(shè)備保5、加強(qiáng)與下屬員工的溝通、交流，力所能及的解決下屬的后顧之憂，激勵(lì)員工積極向上，聽取下屬6、積極培養(yǎng)、選拔后備干部，為數(shù)字化中心第40頁(yè)共51頁(yè)2、不定期對(duì)公司數(shù)字化項(xiàng)目的成品數(shù)據(jù)進(jìn)行質(zhì)量檢查，并對(duì)不合格的產(chǎn)品提出處理意見(jiàn)，并監(jiān)督執(zhí)5、項(xiàng)目結(jié)束后負(fù)責(zé)做好本項(xiàng)目的總結(jié)工作(質(zhì)量、進(jìn)度、數(shù)量、滿意度)及項(xiàng)目是否合格的總體評(píng)第41頁(yè)共51頁(yè)附錄2:管理體系職責(zé)對(duì)照表部門管理層行政部技術(shù)研發(fā)部Xx部Xx部4組織環(huán)境★OOOOOOO★OOOOOOO★OOOOOOO★OOOOOOO5領(lǐng)導(dǎo)★OOOOOOO★OOOOOOO★OOOOOOO6規(guī)劃★OOOOOOO★OOOO○○O★OO★OOOO7支持★OOOOOOO7.2能力OOO★OOOOOOO★OOOOOOO★OOOOOOO★OOOO8運(yùn)行O★★O第42頁(yè)共51頁(yè)部門Xx部行政部技術(shù)研發(fā)部Xx部Xx部★★★★★★★9績(jī)效評(píng)價(jià)★★★★★★★OOOOOOOOOOOO改進(jìn)OOOOOOO★★★★★(信息安全小組)數(shù)字化中心市場(chǎng)營(yíng)銷部行政部技術(shù)研發(fā)部質(zhì)監(jiān)部工程技術(shù)部數(shù)字化服務(wù)部OOOO★★★★★★O★★O★★O★OOOO5.5與職能機(jī)構(gòu)的聯(lián)系O★OOO5.6與特定相關(guān)方的聯(lián)系O★OOOO★OOOOO★OOO★★★★★★使用5.12信息的分級(jí)第43頁(yè)共51頁(yè)部門管理層X(jué)xx部Xx部行政部技術(shù)研發(fā)部Xx部Xx部5.13信息的標(biāo)記★★★★★★★5.14信息傳輸OOOO★5.15訪問(wèn)控制★OOOO★OOOO5.17鑒別信息★OOOOO5.18訪問(wèn)權(quán)限O★OO★OOO5.19供應(yīng)商關(guān)系的信息安全OO★OO5.20"在供應(yīng)商協(xié)議中強(qiáng)調(diào)信息安全"O○★〇O5.21ICT(信息與通信技術(shù))供應(yīng)鏈中的信息安全管理OO★OOOO5.22供應(yīng)商服務(wù)的監(jiān)視、評(píng)審和變更管理OO★OOOO5.23云服務(wù)使用中的信息安全O★OOOO★5.24”信息安全事件管理的策劃和準(zhǔn)備"★★★★★★★★5.25信息安全事態(tài)的評(píng)估和決策★OOOOO5.26信息安全事件的響應(yīng)★★★★★★★★5.27從信息安全事件中的學(xué)習(xí)★★★★★★★5.28證據(jù)的收集★★★★★★★★5.29中斷期間的信息安全O★OOOOO★OOOO5.31法律法規(guī)、監(jiān)管和合同要求OO★OOO5.32知識(shí)產(chǎn)權(quán)OOO★OOOO5.33記錄保護(hù)控制OOO★OOOO第44頁(yè)共51頁(yè)部門Xxx部Xx部行政部Xx部Xx部5.34隱私和PI(個(gè)人可識(shí)別信息)的保護(hù)O★OOO5.35信息安全的獨(dú)立評(píng)審O★OOO準(zhǔn)"O★OOO6人員控制O★OOOO★OOO6.3信息安全意識(shí)、教育和培訓(xùn)O★OOOO★OOOO★OOOOOOOO★★OOOO7物理控制O★OOO7.2物理入口O★OOO護(hù)"OOOOOOOO7.5物理和環(huán)境威脅的安全防護(hù)O★OOO7.6在安全區(qū)域工作O★OOO★★7.8設(shè)備安置和保護(hù)第45頁(yè)共51頁(yè)部門管理層X(jué)x部Xxx部Xx部7.9組織場(chǎng)所外的資產(chǎn)安全★★★7.10存儲(chǔ)介質(zhì)★★7.11支持性設(shè)施O★7.12布纜安全O7.13設(shè)備維護(hù)OO7.14設(shè)備的安全處置或再利用★8技術(shù)控制O★★★O★O★8.3信息訪問(wèn)限制OOO★8.4對(duì)源代碼的訪問(wèn)OOO★★★★★★OOOO★8.7惡意軟件防茆★★★★★OOOO★OOO★★★★★★OO★8.12防止數(shù)據(jù)泄漏★★★★★★★★★★OOOO第46頁(yè)共51頁(yè)部門管理層X(jué)x部行政部技術(shù)研發(fā)部Xx部Xx部OOOOOOO★8.16監(jiān)視活動(dòng)OOOOOOO★OOOOOOO★8.18特許權(quán)實(shí)用程序的應(yīng)用OOOOOOO★OOOOOOO★OOOOOOO★OOOOOOO★8.22網(wǎng)絡(luò)隔離OOOOOOO★OOOOOO★8.24密碼使用★★★★★★★★O★O★OO★O★8.27安全系統(tǒng)架構(gòu)和工程原則O8.30外包開發(fā)不適合刪減8.31”開發(fā)、測(cè)試與生產(chǎn)環(huán)境的隔離"OOOO★OOOO8.33測(cè)試信息O8.34”審計(jì)測(cè)試期間的信息系統(tǒng)保護(hù)"OOOO注：★為主控部門○為配合部門一為無(wú)關(guān)部門層管理層數(shù)字化生產(chǎn)部行政部技術(shù)研發(fā)部質(zhì)監(jiān)部工程技術(shù)部數(shù)字化服務(wù)部4★OOOOOOO理解相關(guān)方的需求和期望★OOOOO○O確定服務(wù)管理體系范圍★OOOOOOO服務(wù)管理體系★OOOOOOO5領(lǐng)導(dǎo)力★OOOOOOO★OOOOOOO6規(guī)劃★OOOOOOO劃★OOOOOOO策劃服務(wù)管理體系★OOOOOOO7資源★OOOOOOO能力OOO★OOOO意識(shí)OO