ISMS手冊信息安全管理IT服務(wù)管理體系手冊1

/信息安全管理IT服務(wù)管理體系手冊發(fā)布令本公司按照ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》和ISO27001：2005《信息安全管理體系要求》以與本公司業(yè)務(wù)特點編制《信息安全管理&IT服務(wù)管理體系手冊》，建立與本公司業(yè)務(wù)相一致的信息安全與IT服務(wù)管理體系，現(xiàn)予以頒布實施。本手冊是公司法規(guī)性文件，用于貫徹公司信息安全管理方針和目標，貫徹IT服務(wù)管理理念方針和服務(wù)目標。為實現(xiàn)信息安全管理與IT服務(wù)管理，開展持續(xù)改進服務(wù)質(zhì)量，不斷提高客戶滿意度活動，加強信息安全建設(shè)的綱領(lǐng)性文件和行動準則。是全體員工必須遵守的原則性規(guī)范。體現(xiàn)公司對社會的承諾，通過有效的PDCA活動向顧客提供滿足要求的信息安全管理和IT服務(wù)。本手冊符合有關(guān)信息安全法律法規(guī)要求以與ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》、ISO27001：2005《信息安全管理體系要求》和公司實際情況。為能更好的貫徹公司管理層在信息安全與IT服務(wù)管理方面的策略和方針，根據(jù)ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》和ISO27001：2005《信息安全管理體系要求》的要求任命XXXXX為管理者代表，作為本公司組織和實施“信息安全管理與IT服務(wù)管理體系”的負責人。直接向公司管理層報告。全體員工必須嚴格按照《信息安全管理&IT服務(wù)管理體系手冊》要求，自覺遵守本手冊各項要求，努力實現(xiàn)公司的信息安全與IT服務(wù)的方針和目標。管理者代表職責：a)建立服務(wù)管理計劃；b)向組織傳達滿足服務(wù)管理目標和持續(xù)改進的重要性；e)確定并提供策劃、實施、監(jiān)視、評審和改進服務(wù)交付和管理所需的資源，如招聘合適的人員，管理人員的更新；確保按照ISO207001:2005標準的要求，進行資產(chǎn)識別和風險評估，全面建立、實施和保持信息安全管理體系；按照ISO/IEC20000《信息技術(shù)服務(wù)管理－規(guī)范》的要求，組織相關(guān)資源，建立、實施和保持IT服務(wù)管理體系，不斷改進IT服務(wù)管理體系，確保其有效性、適宜性和符合性。負責與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；向公司管理層報告IT服務(wù)管理體系的業(yè)績，如：服務(wù)方針和服務(wù)目標的業(yè)績、客戶滿意度狀況、各項服務(wù)活動與改進的要求和結(jié)果等。確保在整個組織內(nèi)提高信息安全風險的意識；審核風險評估報告、風險處理計劃；批準發(fā)布程序文件；主持信息安全管理體系內(nèi)部審核，任命審核組長，批準內(nèi)審工作報告；向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運行情況、內(nèi)外部審核情況。7．推動公司各部門領(lǐng)導，積極組織全體員工，通過工作實踐、教育培訓、業(yè)務(wù)指導等方式不斷提高員工對滿足客戶需求的重要性的認知程度，以與為達到公司服務(wù)管理目標所應(yīng)做出的貢獻?？偨?jīng)理：日期：

信息安全方針和信息安全目標信息安全方針：信息安全人人有責本公司信息安全管理方針包括內(nèi)容如下：一、信息安全管理機制1．公司采用系統(tǒng)的方法，按照ISO/IEC27001:2005建立信息安全管理體系，全面保護本公司的信息安全。二、信息安全管理組織2．公司總經(jīng)理對信息安全工作全面負責，負責批準信息安全方針，確定信息安全要求，提供信息安全資源。3．公司總經(jīng)理任命管理者代表負責建立、實施、檢查、改進信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。4．在公司內(nèi)部建立信息安全組織機構(gòu)，信息安全管理委員會和信息安全協(xié)調(diào)機構(gòu)，保證信息安全管理體系的有效運行。5．與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。三、人員安全6．信息安全需要全體員工的參與和支持，全體員工都有保護信息安全的職責，在勞動合同、崗位職責中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責任。對崗位調(diào)動或離職人員，應(yīng)與時調(diào)整安全職責和權(quán)限。7．對本公司的相關(guān)方，要明確安全要求和安全職責。8．定期對全體員工進行信息安全相關(guān)教育，包括：技能、職責和意識。以提高安全意識。9．全體員工與相關(guān)方人員必須履行安全職責，執(zhí)行安全方針、程序和安全措施。四、識別法律、法規(guī)、合同中的安全10．與時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。五、風險評估11．根據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風險評估程序，確定風險接受準則。12．采用先進的風險評估技術(shù)和軟件，定期進行風險評估，以識別本公司風險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。13．應(yīng)根據(jù)風險評估的結(jié)果，采取相應(yīng)措施，降低風險。六、報告安全事件14．公司建立報告信息安全事件的渠道和相應(yīng)的主管部門。15．全體員工有報告信息安全隱患、威脅、薄弱點、事故的責任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進行報告。16．接受信息安全事件報告的主管部門應(yīng)記錄所有報告，與時做出相應(yīng)的處理，并向報告人員反饋處理結(jié)果。七、監(jiān)督檢查17．定期對信息安全進行監(jiān)督檢查，包括：日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審核等。八、業(yè)務(wù)持續(xù)性18．公司根據(jù)風險評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴重的信息系統(tǒng)故障或者災難的影響，并確保能夠與時恢復。19．定期對業(yè)務(wù)持續(xù)性計劃進行測試和更新。九、違反信息安全要求的懲罰20．對違反信息安全方針、職責、程序和措施的人員，按規(guī)定進行處理。信息安全目標：1.不可接受風險處理率：100%（所有不可接受風險應(yīng)降低到可接受的程度）。2.重大顧客因信息安全事件投訴為0次（重大顧客投訴是指直接經(jīng)濟損失金額達1萬元以上）

信息安全管理手冊說明1．1公司簡介XX1.1編制依據(jù)和目的本手冊在遵循ISO9001：2005《信息安全管理體系要求》與ISO/IEC20000《信息技術(shù)服務(wù)管理－規(guī)范》的要求編制而成，包括了ISO27001：2005的全部要求，對附錄A的刪減見《適用性聲明SoA》。手冊描述公司的信息安全管理體系的總要求，以確保公司的信息安全管理體系能夠達到ISO27001：2005信息安全管理標準的要求；滿足本公司向客戶提供IT服務(wù)所需的IT基礎(chǔ)設(shè)施和IT技術(shù)支持服務(wù)，適用于向客戶或認證機構(gòu)證實，本公司具備提供符合客戶需求的IT服務(wù)能力和服務(wù)質(zhì)量。本公司的體系程序是手冊的支持性文件，是對體系運作的具體描述。1.2適用范圍信息安全管理&IT服務(wù)管理體系手冊適用于本公司提供安全管理體系認證服務(wù)與IT服務(wù)有關(guān)的所有部門和活動。1．3術(shù)語和定義1．3．1本手冊應(yīng)用ISO/IEC20000中的術(shù)語與定義。1．3．2本手冊應(yīng)用ISO/IEC27001中的術(shù)語與定義。2信息安全管理&IT服務(wù)管理手冊的管理2．1手冊的編制、批準和發(fā)布2．1．1按照公司業(yè)務(wù)發(fā)展戰(zhàn)略和客戶需求，經(jīng)公司管理者代表批準，技術(shù)服務(wù)事業(yè)部組織相關(guān)人員，結(jié)合本公司業(yè)務(wù)特點，根據(jù)ISO/IEC20000標準的要求編寫。2．1．2《IT服務(wù)管理手冊》由公司管理者代表批準后發(fā)布。2．2手冊的分發(fā)2．2．1技術(shù)服務(wù)事業(yè)部負責手冊的發(fā)放、更新、管理與存檔。2．2．2公司各部門負責手冊的使用和保管。2．3手冊的受控狀態(tài)2．3．1書面形式的手冊分“有效文件”和“保留文件”兩種形式。作為公司日常運營的依據(jù)與提供給外部認證機構(gòu)的手冊均為“有效文件”形式。2．3．2當手冊內(nèi)容變更時，“有效文件”形式的手冊應(yīng)與時予以更新和發(fā)放。2．3．3“有效文件”形式的文件在更新后，如需保存原來的版本，以便于追溯，則應(yīng)當用“保留文件”的標識予以區(qū)分。2．3．4電子形式的手冊由技術(shù)服務(wù)事業(yè)部在工作流轉(zhuǎn)系統(tǒng)中進行管理。2．4手冊的變更2．4．1因公司戰(zhàn)略調(diào)整、客戶需求或改進活動等引起的手冊內(nèi)容的變更，按公司總經(jīng)理指示，技術(shù)服務(wù)事業(yè)部組織相關(guān)部門對涉與變更的內(nèi)容進行更新，并經(jīng)公司總經(jīng)理批準后發(fā)布。2．4．2更新后的手冊，應(yīng)與時地發(fā)放給公司內(nèi)部原手冊持有者，并收回舊版的手冊。對電子形式的手冊，由技術(shù)服務(wù)事業(yè)部按工作流轉(zhuǎn)系統(tǒng)中的管理規(guī)則進行更新和歸檔管理。2．5公司內(nèi)部手冊持有者的責任2．5．1與公司或部門內(nèi)部的相關(guān)人員溝通、學習手冊的要求并遵照執(zhí)行。2．5．2妥善保管，不得私自更改、曲解手冊的內(nèi)容。不得隨意向其他與公司業(yè)務(wù)無關(guān)的第三方傳播，如需提供公司以外的第三方參考，應(yīng)經(jīng)技術(shù)服務(wù)事業(yè)部提交公司主管副總經(jīng)理審核后，報公司總經(jīng)理批準。

3公司架構(gòu)和安全承諾3.1公司行政組織架構(gòu)總經(jīng)理總經(jīng)理文檔培訓倉庫采購人力資源財務(wù)物流銷售市場測試質(zhì)量保證質(zhì)管部實文檔培訓倉庫采購人力資源財務(wù)物流銷售市場測試質(zhì)量保證質(zhì)管部實施研發(fā)綜合管理部生技部商務(wù)部3.2公司信息安全管理體系組織架構(gòu)圖總經(jīng)理總經(jīng)理管理者代表商務(wù)部生技部綜合管理部副管理者代表研發(fā)實施質(zhì)管部質(zhì)量保證測試客戶服務(wù)部銷售物流財務(wù)人力資源采購倉庫培訓文檔安全委員會注：每個虛線框內(nèi)為一個信息安全小組，部門的負責人為安全組長，各崗位負責人為該崗位的安全員。

3．3公司IT服務(wù)管理職能關(guān)系架構(gòu)圖3.4信息安全承諾◆公司成立安全管理委員會來領(lǐng)導信息安全工作，并確定相應(yīng)的職責和作用?！糁朴喰畔踩结樅托畔踩繕耍⒑屯晟乒镜男畔踩芾眢w系。◆提供充分的資源以保證信息安全管理體系的制定、實施、運作、監(jiān)控、維護和改善?！魧拘畔①Y產(chǎn)實行有效管理，確保信息的機密性，維持信息的完整性和可用性，防范對信息的未經(jīng)授權(quán)訪問。對公司信息資產(chǎn)進行風險評估，制定風險可接受標準，對公司不能接受的風險進行處置?！艚I(yè)務(wù)持續(xù)性管理流程。進行業(yè)務(wù)持續(xù)性風險評估，編寫、測試并實施業(yè)務(wù)持續(xù)性計劃和災難恢復計劃，以保證公司關(guān)鍵業(yè)務(wù)的連續(xù)，不受重大故障和災難的影響。◆確保公司所有員工都接受信息安全的教育培訓，提高信息安全意識?！舯Ｗo公司、客戶、相關(guān)合作方的信息安全?！艚⒐拘畔踩M織架構(gòu)，明確信息安全責任，確定報告可疑的和發(fā)生的信息安全事故與事件的流程，對違反安全制度的人員進行懲罰?！艚⑽锢戆踩途W(wǎng)絡(luò)安全管理制度，以確保信息的安全性。◆保護公司軟件和信息的完整性，防止病毒與各種惡意軟件的入侵?！羧魏稳嗽谖唇?jīng)審批的情況下，禁止將信息資產(chǎn)帶離公司。◆公司所有員工都要嚴格遵守公司的安全方針、程序和制度?！艨刂茖?nèi)外部網(wǎng)絡(luò)服務(wù)的訪問，保護網(wǎng)絡(luò)服務(wù)的安全性與可用性?！魧τ脩糍~號、口令和權(quán)限進行嚴格管理，防止對信息系統(tǒng)的非授權(quán)訪問?！魧χ匾畔⑦M行備份保護，以保證信息的可用性?！舳ㄆ趯π畔踩芾眢w系進行內(nèi)審和管理評審。

3.5信息安全管理委員會為了加強對信息安全管理體系運作的管理，江蘇金馬揚名信息技術(shù)有限公司公司成立信息安全管理委員會，其職責見下列明細表。信息安全管理職責明細表序號單位/部門信息安全職責1信息安全管理委員會信息安全管理委員會是我公司信息安全最高組織機構(gòu)，負責本單位網(wǎng)絡(luò)與信息安全重大事項的決策和協(xié)調(diào)，并對全公司信息安全工作負責。2總經(jīng)理信息安全第一責任人，制定信息安全方針，對信息安全全面負責。3管理者代表經(jīng)總經(jīng)理授權(quán)負責建立、實施、檢查、改進信息安全管理體系。4綜合管理部我公司信息安全管理體系的歸口管理部門。負責管理體系的建立、實施、保持、測量和改進。負責文件控制、記錄控制、內(nèi)部審核的組織、管理評審的組織和體系的改進。負責本公司保密工作的管理。安全區(qū)域的保衛(wèi)管理部門，負責安全區(qū)域的管理。負責全公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、意識和培訓，員工離職管理。負責涉密信息上網(wǎng)、涉密計算機運行、檢修、報廢的監(jiān)督管理。對信息安全日常工作實施動態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容。參與涉密與司法介入的信息安全事件的調(diào)查。5生產(chǎn)技術(shù)部是我公司信息系統(tǒng)安全管理部門。負責局域網(wǎng)上所承擔的各類信息系統(tǒng)的管理職能；負責我公司信息系統(tǒng)安全日常管理。6其他部門認真執(zhí)行信息安全管理的方針、標準、安全策略和規(guī)范，做好內(nèi)部培訓。備注：以上職能劃分，適用所有信息安全管理體系文件。信息安全管理委員會組成人員：姓名部門職務(wù)備注3．6服務(wù)管理職能說明3．6．1為保證IT服務(wù)管理體系的順利實施，以與實施后得到持續(xù)的管理和維護，在現(xiàn)有的組織架構(gòu)外建立服務(wù)管理職能關(guān)系架構(gòu)。IT服務(wù)管理職能關(guān)系架構(gòu)，并不替代現(xiàn)有的按技術(shù)類別進行的分工，現(xiàn)有的按技術(shù)類別進的分工，在將來的IT服務(wù)管理體系中仍將發(fā)揮其作用。服務(wù)部根據(jù)IT服務(wù)管理程序要求對所有服務(wù)合同按照項目進行管理與運行，由項目經(jīng)理按照服務(wù)管理職能關(guān)系架構(gòu)中的要求對項目執(zhí)行管理。一個完整的服務(wù)項目必須包含服務(wù)臺、事件管理、業(yè)務(wù)關(guān)系管理、信息安全管理、供應(yīng)商管理和IT財務(wù)管理。對于上圖虛線框內(nèi)的的問題管理、發(fā)布管理、配置管理、變更管理、可用性和連續(xù)性管理、容量管理、服務(wù)級別管理以與服務(wù)報告可由服務(wù)部經(jīng)理依照與用戶簽署的服務(wù)合同進行選擇裁剪。3．6．2角色分配說明3．6．2．1針對服務(wù)部當前組織架構(gòu)與人員狀況，將不再為每一具體流程分配流程經(jīng)理。為此將13個流程，按其必要程度分成必選流程和可裁剪流程兩大模塊。由項目經(jīng)理負責相應(yīng)流程的實施、管理和控制。對項目組成員主要是組織、協(xié)調(diào)、安排相應(yīng)工作任務(wù)的完成，可能并不是由自己去完成。3．6．2．1．1項目經(jīng)理職責說明：

1）、負責IT服務(wù)項目的立項工作，按照服務(wù)合同要求負責相應(yīng)流程的實施、管理和控制。組織、協(xié)調(diào)、安排項目組成員完成相應(yīng)工作任務(wù)。2）、負責從服務(wù)臺接受事件報告開始，分配相應(yīng)的職能小組進行事件處理，直至找到問題的根本原因的整個過程的管理和協(xié)調(diào)。3）、負責各系統(tǒng)的配置管理、變更和發(fā)布控制。4）、負責系統(tǒng)的可用性規(guī)劃和管理、負責安排系統(tǒng)連續(xù)性的計劃和演練，并負責系統(tǒng)容量的規(guī)劃和監(jiān)控。5）、主要負責與用戶的溝通，對供應(yīng)商的管理，以與項目的預/決算的管理。3．6．2．1．2能力要求：

熟悉服務(wù)部的各種服務(wù)管理流程，具有較強的內(nèi)部協(xié)調(diào)能力。由管理者代表授權(quán)技術(shù)服務(wù)事業(yè)部總監(jiān)，按ISO/IEC20000的要求，負責協(xié)調(diào)和組織所有與IT服務(wù)有關(guān)的活動，通過管理和實施各項活動，使IT服務(wù)業(yè)務(wù)的質(zhì)量得到有效的保持和維護。技術(shù)服務(wù)事業(yè)部組織制訂、批準和發(fā)布公司IT服務(wù)策略、服務(wù)目標，并使其成為公司關(guān)注的焦點，成為公司協(xié)調(diào)、統(tǒng)一、凝聚公司的所有活動和資源的準則，成為建立、實施、保持并改進IT服務(wù)管理體系的宗旨。3．6．3公司IT服務(wù)策略：客戶至上、全員參與、創(chuàng)新高效、系統(tǒng)管理、追求卓越公司IT服務(wù)目標：公司通過服務(wù)質(zhì)量改進程序確定年度服務(wù)質(zhì)量目標公司的IT服務(wù)目標按ISO/IEC20000的要求，與公司的業(yè)務(wù)相結(jié)合，并通過流程績效不斷提高和改進。技術(shù)服務(wù)事業(yè)部負責組織相關(guān)部門，通過會議、評審、書面報告、培訓等方式，與時有效溝通工作，達到IT服務(wù)管理目標和持續(xù)改進的需求，并在公司中積極貫徹實施IT服務(wù)管理的重要性。技術(shù)服務(wù)事業(yè)部負責組織相關(guān)部門按照PDCA的要求，通過對所屬業(yè)務(wù)的規(guī)劃，適時優(yōu)化和提供資源以計劃、實施、監(jiān)控、評審和改進IT服務(wù)的交付和管理。管理者代表按照《服務(wù)質(zhì)量改進管理程序》中的計劃間隔，由技術(shù)服務(wù)事業(yè)部負責組織相關(guān)部門實施IT服務(wù)管理體系的內(nèi)部審核，確保IT服務(wù)管體系的有效性與符合性。管理者代表按照《服務(wù)質(zhì)量改進管理程序》中的計劃間隔，組織相關(guān)部門執(zhí)行IT服務(wù)管理體系的管理評審，確保IT服務(wù)管理體系持續(xù)的穩(wěn)定、充分和有效。3．6．4文件要求3．6．4．1公司的文件管理體系分為A、B、C、D四層，即A層為管理手冊、B層為程序文件、C層為工作流程或規(guī)定、D層為記錄。3．6．4．2管理手冊—描述IT服務(wù)管理體系的文件，是全體員工必須長期遵循的法規(guī)性文件。3．6．4．3程序文件—覆蓋公司主要業(yè)務(wù)過程的流程文件，是管理手冊的支撐性文件。3．6．4．4工作流程或規(guī)定—是開展具體業(yè)務(wù)工作的規(guī)范類、指導性文件，是程序文件的支持性文件。3．6．4．5記錄—在開展具體業(yè)務(wù)工作過程中產(chǎn)生的記錄類文件，主要是為具體工作結(jié)果提供各種可追溯性證據(jù)。3．6．4．6技術(shù)服務(wù)事業(yè)部負責組織制訂《文件和記錄管理程序》，明確文件的擬制、批準、發(fā)放、變更、存檔等管理要求，并監(jiān)控實施。3．6．4．7技術(shù)服務(wù)事業(yè)部負責組織相關(guān)部門，根據(jù)公司的業(yè)務(wù)特點與標準的要求，制訂相關(guān)的程序文件，經(jīng)公司管理者代表批準后實施。3．6．4．8技術(shù)服務(wù)事業(yè)部負責組織擬制與本部門業(yè)務(wù)相關(guān)的各類C層文件，并按《文件和記錄管理程序》的要求對文件和記錄的有效性進行管理。4信息安全管4.1總要求4.1.1公司根據(jù)整體業(yè)務(wù)活動（軟件開發(fā)、經(jīng)營、服務(wù)和日常管理活動）和所面臨的風險，按ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》規(guī)定，參照ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》標準，建立、實施、運作、監(jiān)控、維護并改進文件化的信息安全管理體系。4.1.2本手冊使用的過程相關(guān)文件：《信息安全方針與目標》4.2建立和管理信息安全管理體系（ISMS）4.2.1建立ISMS4.2.1.1信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全管理體系的范圍包括：a)本公司涉與軟件開發(fā)、營銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng)；b)與所述信息系統(tǒng)有關(guān)的活動；c)與所述信息系統(tǒng)有關(guān)的部門和所有員工；d)所述活動、系統(tǒng)與支持性系統(tǒng)包含的全部信息資產(chǎn)。組織范圍：本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見本手冊JIN/QM—3.2《公司信息安全管理體系組織架構(gòu)》。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。本公司ISMS的物理范圍為本公司位于常州市常州市鸝欣麗都2幢乙單元503室的辦公場所，安全邊界詳見附錄A（規(guī)范性附錄）《辦公場所平面圖》。4.2.1.2信息安全管理體系的方針為了滿足適用法律法規(guī)與相關(guān)方要求，維持軟件開發(fā)和經(jīng)營的正常進行，實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針，見本信息安全管理手冊第0.3條款。該信息安全方針符合以下要求：a)為信息安全目標建立了框架，并為信息安全活動建立整體的方向和原則；b)考慮業(yè)務(wù)與法律或法規(guī)的要求，與合同的安全義務(wù)；c)與組織戰(zhàn)略和風險管理相一致的環(huán)境下，建立和保持信息安全管理體系；d)建立了風險評價的準則；e)經(jīng)最高管理者批準。為實現(xiàn)信息安全管理體系方針，本公司承諾：a)在各層次建立完整的信息安全管理組織機構(gòu)，確定信息安全目標和控制措施；明確信息安全的管理職責，見本信息安全管理手冊第3.4條款。；b)識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c)定期進行信息安全風險評估，信息安全管理體系評審，采取糾正預防措施，保證體系的持續(xù)有效性；d）采用先進有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共享；e)對全體員工進行持續(xù)的信息安全教育和培訓，不斷增強員工的信息安全意識和能力；f)制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。4.2.1.3風險評估的方法生技部負責制定《信息安全風險管理程序》，建立識別適用于信息安全管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風險評估方法，建立接受風險的準則并識別風險的可接受等級。信息安全風險評估采用信息安全風險管理軟件（Info-riskmanager）進行，以保證所選擇的風險評估方法應(yīng)確保風險評估能產(chǎn)生可比較的和可重復的結(jié)果。4.2.1.4識別風險在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風險管理程序》，采用Info-riskmanager風險管理軟件，對所有的資產(chǎn)進行了識別，并識別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)與人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進行了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了《重要資產(chǎn)清單》。同時，根據(jù)《信息安全風險管理程序》，識別了對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。4.2.1.5分析和評價風險本公司按《信息安全風險管理程序》，采用信息安全風險管理軟件，分析和評價風險：a)針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導致的后果進行賦值；b)針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進行賦值；c)根據(jù)《信息安全風險管理程序》計算風險等級；d)根據(jù)《信息安全風險管理程序》與風險接受準則，判斷風險為可接受或需要處理。4.2.1.6識別和評價風險處理的選擇網(wǎng)絡(luò)管理部組織有關(guān)部門根據(jù)風險評估的結(jié)果，形成《風險處理計劃》，該計劃明確了風險處理責任部門、負責人、處理方法與起始、完成時間。對于信息安全風險，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧篴)控制風險，采用適當?shù)膬?nèi)部控制措施；b)接受風險（不可能將所有風險降低為零）；c)避免風險（如物理隔離）；d)轉(zhuǎn)移風險（如將風險轉(zhuǎn)移給保險者、供方、分包商）。4.2.1.7選擇控制目標與控制措施網(wǎng)絡(luò)管理部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求與風險評估的結(jié)果，組織有關(guān)部門制定了信息安全目標，并將目標分解到有關(guān)部門（見《信息安全適用性聲明》）：a)信息安全控制目標獲得了信息安全最高責任者的批準。b)控制目標與控制措施的選擇原則來源于ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》附錄A，具體控制措施參考ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》。c)本公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施。4.2.1.8對風險處理后的剩余風險，得到了公司最高管理者的批準。4.2.1.9最高管理者通過本手冊對實施和運行信息安全管理體系進行了授權(quán)。4.2.1.10適用性聲明生技部負責編制《信息安全適用性聲明》（SoA）。該聲明包括以下方面的內(nèi)容：a)所選擇控制目標與控制措施的概要描述，以與選擇的原因；b)對ISO/IEC27001:2005附錄A中未選用的控制目標與控制措施理由的說明。4.2.2實施和運行ISMS4.2.2.1為確保信息安全管理體系有效實施，對已識別的風險進行有效處理，本公司開展以下活動：a)形成《風險處理計劃》，以確定適當?shù)墓芾泶胧?、職責與安全控制措施的優(yōu)先級；b)為實現(xiàn)已確定的安全目標、實施《風險處理計劃》，明確各崗位的信息安全職責；c)實施所選擇的控制措施，以實現(xiàn)控制目標的要求；d)確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復的結(jié)果；e)進行信息安全培訓，提高全員信息安全意識和能力；f)對信息安全體系的運作進行管理；g)對信息安全所需資源進行管理；h)實施控制程序，對信息安全事件（或征兆）進行迅速反應(yīng)。4.2.2.2信息安全組織機構(gòu)本公司成立了的信息安全領(lǐng)導機構(gòu)-信息安全委員會，其職責是實現(xiàn)信息安全管理體系方針和本公司承諾。具體職責是：研究決定貫標工作涉與到的重大事項；審定公司信息安全方針、目標、工作計劃和重要文件；為貫標工作的有序推進和信息安全管理體系的有效運行提供必要的資源。本公司由相關(guān)部門代表組成信息安全管理網(wǎng)絡(luò)，采用聯(lián)席會議（協(xié)調(diào)會）的方式，進行信息安全協(xié)調(diào)和協(xié)作，以：a)確保安全活動的執(zhí)行符合信息安全方針；b)確定怎樣處理不符合；c)批準信息安全的方法和過程，如風險評估、信息分類；d)識別重大的威脅變化，以與信息和相關(guān)的信息處理設(shè)施對威脅的暴露；e)評估信息安全控制措施實施的充分性和協(xié)調(diào)性；f)有效的推動組織內(nèi)信息安全教育、培訓和意識；g)評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安全事件推薦適當?shù)拇胧?.2.2.3信息安全職責和權(quán)限本公司總經(jīng)理為信息安全最高責任者?？偨?jīng)理指定了信息安全管理者代表。無論信息安全管理者代表在其他方面的職責如何，對信息安全負有以下職責：a)建立并實施信息安全管理體系必要的程序并維持其有效運行；b)對信息安全管理體系的運行情況和必要的改善措施向信息安全領(lǐng)導小組或最高責任者報告。各部門負責人為本部門信息安全管理責任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)；各部門、人員有關(guān)信息安全職責分配見本信息安全管理手冊第3.4條款《信息安全管理職責明細表》和相應(yīng)的程序文件。4.2.2.4各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全目標、控制措施（包括安全運行的各種控制程序）的要求實施信息安全控制措施。4.2.3監(jiān)控和評審ISMS4.2.3.1本公司通過實施不定期安全檢查、內(nèi)部審核、事故（事件）報告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)：a)與時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故（事件）和隱患；b)與時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c)使管理者確認人工或自動執(zhí)行的安全活動達到預期的結(jié)果；d)使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e)積累信息安全方面的經(jīng)驗;4.2.3.2根據(jù)以上活動的結(jié)果以與來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對信息安全管理體系的有效性進行評審，其中包括信息安全范圍、方針、目標的符合性與控制措施有效性的評審，考慮安全審核、事件、有效性測量的結(jié)果，以與所有相關(guān)方的建議和反饋。管理評審的具體要求，見本手冊第7章。4.2.3.3網(wǎng)絡(luò)管理部應(yīng)組織有關(guān)部門按照《信息安全風險管理程序》的要求，采用信息安全風險管理軟件，對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方面變更情況應(yīng)與時進行風險評估：a)組織；b)技術(shù)；c)業(yè)務(wù)目標和過程；d)已識別的威脅；e)實施控制的有效性；f)外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以與社會環(huán)境的變化。4.2.3.4按照計劃的時間間隔進行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求，見本手冊第6章。4.2.3.5定期對信息安全管理體系進行管理評審，以確保范圍的充分性，并識別信息安全管理體系過程的改進，管理評審的具體要求，見本手冊第7章。4.2.3.6考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃。4.2.3.7記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。4.2.4保持與持續(xù)改進ISMS我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進：a)實施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進的項目；b)按照《內(nèi)部審核管理程序》、《糾正措施管理程序》、《預防措施管理程序》的要求采取適當?shù)募m正和預防措施；吸取其他組織與本公司安全事故（事件）的經(jīng)驗教訓，不斷改進安全措施的有效性；c)通過適當?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系與識別顧客對信息安全的要求等；d)對信息安全目標與分解進行適當?shù)墓芾?，確保改進達到預期的效果。相關(guān)文件：《系統(tǒng)風險評估方法》《適用性聲明》《管理評審程序》《內(nèi)部審核控制程序》《糾正措施控制程序》《預防措施控制程序》4.3文件要求4.3.1總則ISMS文件應(yīng)包括：a)形成文件的ISMS方針和控制目標；b)ISMS范圍c)ISMS的支持性程序和控制措施；d)風險評估方法的描述；e)風險評估報告；f)風險處置計劃；g)公司為確保其信息安全過程的有效策劃、運行和控制以與規(guī)定如何測量控制措施有效性所需的程序文件；h)標準所要求的記錄；i)適用性聲明。所有文件應(yīng)按ISMS方針要求在需要時可獲得。4.3.2文件控制ISMS所要求的文件應(yīng)予以保護和控制，應(yīng)編制形成文件的程序以規(guī)定以下方面所需的管理措施：a)文件發(fā)布前得到批準以確保文件是充分的；b)必要時對文件進行評審與更新并再次批準；c)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d)確保在使用處可獲得適用文件的適用版本；e)確保文件保持合法并易于識別；f)確保外來文件得到識別；g)確保文件的分發(fā)是受控的；h)防止作廢文件的非預期使用；i)若因任何原因而保留作廢文件時對這些文件進行適當?shù)臉俗R；4.3.3記錄控制應(yīng)建立并保持記錄，以提供符合要求和ISMS有效運行的證據(jù)。記錄應(yīng)得到保護并且受控。ISMS應(yīng)考慮相關(guān)法律要求，記錄應(yīng)易于識別和檢索。應(yīng)編制形成文件的程序，以規(guī)定記錄的識別、貯存、保護、檢索、保存期限和處置所需的控制，確定記錄需要和程度的管理過程。保持過程業(yè)績的記錄以與與ISMS有關(guān)的安全事件的記錄。例如，記錄包括訪問者登記審核記錄和訪問授權(quán)。相關(guān)文件：《文件控制程序》《記錄控制程序》5管理職責5.1管理承諾管理層應(yīng)通過以下措施對其建立、實施、運行、監(jiān)控、評審、維護和改進ISMS的承諾提供證據(jù)。a)建立信息安全方針；b)確保信息安全目標和計劃的建立；c)為信息安全分配角色和職責；d)向公司傳達滿足信息安全目標、符合信息安全方針、法律責任和持續(xù)改進的重要性；e)提供足夠的資源以建立、實施、運行、監(jiān)控、評審、維護和改進ISMS；f)決定可接受風險的標準和可接受風險的等級；g)確保ISMS內(nèi)部審核的執(zhí)行；h)進行ISMS管理評審。相關(guān)文件：《信息安全方針和目標》《部門職責》《管理評審程序》《系統(tǒng)風險評估方法》5.2資源管理5.2.1資源提供公司應(yīng)確定和提供以下方面所需的資源a)建立建立、實施、運行、監(jiān)控、維護和改進ISMSb)確保信息安全程序支持業(yè)務(wù)需求；c)識別并確定法律法規(guī)要求和合同安全責任；d)通過正確應(yīng)用所有實施的控制措施的來維持足夠的安全；e)必要時進行評估，并對評估結(jié)果采取適當?shù)膶?yīng)措施；f)必要時改進ISMS的有效性。5.2.2培訓、意識和能力公司應(yīng)確保在ISMS中任命職責的人員應(yīng)能夠勝任要求的任務(wù)a)確定從事影響信息安全工作的人員所必需的能力；b)提供足夠的能力培訓或其它措施，必要時聘用有能力的人員滿足這些要求；c)評估所提供的培訓和采取措施的有效性；d)保持教育、培訓、技能、經(jīng)驗和資質(zhì)的適當記錄。公司應(yīng)確保員工認識到所從事信息安全活動的相關(guān)性和重要性，以與如何為實現(xiàn)ISMS目標作出貢獻。相關(guān)文件：《人力資源管理控制程序》6ISMS內(nèi)部審核公司應(yīng)按計劃的時間間隔進行ISMS內(nèi)部審核，以確定控制目標、控制措施、過程和程序是否：a)符合標準與相關(guān)法律法規(guī)的要求；b)符合確定的信息安全要求；c)得到有效地實施和維護；d)按期望運行。內(nèi)部審核程序應(yīng)進行計劃，并考慮受審核過程的狀況、重要性和受審核的區(qū)域以與上次審核結(jié)果，應(yīng)規(guī)定審核準則、范圍、頻次和方式，審核員的選擇和審核活動應(yīng)保證審核過程的客觀和公正，審核員不能審核自己的工作。應(yīng)建立形成文件的程序，以規(guī)定策劃和實施審核的職責和要求以與報告結(jié)果和保持記錄。受審核區(qū)域的負責人應(yīng)確保立即采取措施，以消除發(fā)現(xiàn)的不符合與其原因。改進措施包括所采取措施的驗證并匯報驗證結(jié)果。相關(guān)文件：《內(nèi)部審核控制程序》7ISMS管理評審7.1總則管理者應(yīng)按策劃的時間間隔評審公司的ISMS（至少一年一次），以確保其持續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評價ISMS改進的機會和變更的需要，包括安全方針和安全目標的適宜性。評審結(jié)果應(yīng)清楚地寫入文件應(yīng)保持記錄。7.2管理評審輸入管理評審的輸入應(yīng)包括以下方面的信息：a)ISMS審核（包括內(nèi)審和外審）和管理評審的結(jié)果；b)相關(guān)方（客戶、供應(yīng)商、內(nèi)部員工等）的反饋；c)公司用于改進ISMS業(yè)績和有效性的技術(shù)、產(chǎn)品或程序的發(fā)展與變化；d)預防和糾正措施的實施情況；e)上次風險評估未充分指出的弱點或威脅；f)體系有效性測量的結(jié)果；g)上次管理評審所采取措施的跟蹤驗證；h)影響ISMS的變更，如信息安全組織架構(gòu)變化等；i)改進的建議。7.3管理評審輸出管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施a)ISMS有效性的改進b)風險評估和風險處理計劃的更新c)必要時修訂影響信息安全的程序和控制措施，以反映可能影響ISMS的內(nèi)外事件，包括以下變化1業(yè)務(wù)需求；2安全需求；3影響已有業(yè)務(wù)需求的業(yè)務(wù)過程；4法律法規(guī)環(huán)境；5合同義務(wù)；6風險和/或風險接受準則。d)資源需求e)針對被測量的控制措施有效性的改進相關(guān)文件：《管理評審程序》

8ISMS的改進8.1持續(xù)改進公司應(yīng)通過應(yīng)用信息安全方針、安全目標、審核結(jié)果、監(jiān)控事件的分析、糾正和預防措施和管理評審，持續(xù)改進ISMS的有效性。8.2糾正措施公司應(yīng)采取措施消除ISMS實施和運行的不符合原因，以防止其再發(fā)生。糾正措施文件程序應(yīng)規(guī)定以下方面的要求。a)識別ISMS實施和運行的不符合項；b)確定不符合的原因；c)評價確保不符合不再發(fā)生所需的措施；d)決定和實施所需的糾正措施；e)記錄所采取措施的結(jié)果；f)評審所采取的糾正措施。8.3預防措施公司應(yīng)決定措施以防范未來的不符合，防止發(fā)生采取的預防措施應(yīng)與潛在問題的影響相匹配，預防措施文件程序應(yīng)規(guī)定以下方面的要求。a)確定潛在不符合與其原因；b)評價預防不符合發(fā)生所需的措施；c)決定實施所需的預防措施；d)記錄所采取措施的結(jié)果；e)評審所采取的預防措施。公司應(yīng)識別發(fā)生變化的風險，并通過關(guān)注變化顯著的風險來識別預防措施要求。應(yīng)根據(jù)風險評估結(jié)果來確定預防措施的優(yōu)先級。相關(guān)文件：《糾正措施控制程序》《預防措施控制程序》

IT服務(wù)管理服務(wù)管理規(guī)劃和實施在開展IT服務(wù)管理的活動中，PDCA原理貫穿于IT服務(wù)管理體系的全部流程，其中：P（計劃）—根據(jù)客戶要求和公司策略建立目標和流程。D（實施）—實施流程。C（檢查）—根據(jù)策略、目標和要求對過程和服務(wù)進行監(jiān)控、測量，并報告結(jié)果。A（改進）—采取措施以持續(xù)改進流程的性能。計劃服務(wù)管理服務(wù)部向客戶提供三大服務(wù)項目：常駐現(xiàn)場技術(shù)服務(wù)、定期巡檢技術(shù)服務(wù)、咨詢規(guī)劃設(shè)計服務(wù)。甘肅萬維公司為不斷滿足市場需求和企業(yè)自身發(fā)展需要，將在未來將原有的三大技術(shù)服務(wù)內(nèi)容重新規(guī)劃和設(shè)計，細化成六大服務(wù)內(nèi)容：基礎(chǔ)設(shè)施服務(wù)、運維服務(wù)、專業(yè)技術(shù)服務(wù)、IT安全服務(wù)、咨詢設(shè)計評估服務(wù)、培訓服務(wù)。從而實現(xiàn)在堅持原有行業(yè)內(nèi)的服務(wù)的基礎(chǔ)上向行業(yè)外擴展的計劃。服務(wù)部根據(jù)公司IT服務(wù)管理職能關(guān)系架構(gòu)圖中的所分配的職責并依據(jù)條款4-9中所規(guī)定的服務(wù)管理過程向客戶提供IT服務(wù)。相關(guān)部門根據(jù)管理評審的結(jié)果與結(jié)論，結(jié)合本部門的工作實際，由技術(shù)服務(wù)事業(yè)部組織相關(guān)部門對當前與本部門相關(guān)的IT服務(wù)工作的改進需求、以與公司業(yè)務(wù)發(fā)展策略、技術(shù)動態(tài)、政策法規(guī)要求、下一年度IT服務(wù)工作的安排進行規(guī)劃，制訂本部門的年度工作計劃，并按公司內(nèi)控制度制訂對應(yīng)的部門年度費用預算。實施IT服務(wù)技術(shù)服務(wù)事業(yè)部組織相關(guān)部門按批準后的公司年度計劃，對計劃周期內(nèi)的工作任務(wù)、目標、績效要求進行分解，組織各部門制訂各自的年度工作計劃和費用預算，并進行跟蹤、檢查。相關(guān)部門年度工作計劃、年度費用預算應(yīng)與已批準的本部門年度工作計劃、預算一致，如有變更，引起預算的變化，應(yīng)上報技術(shù)服務(wù)事業(yè)部按照相關(guān)流程審批、執(zhí)行。技術(shù)服務(wù)事業(yè)部負責組織IT服務(wù)項目的立項工作，并按照項目管理規(guī)定對項目計劃周期內(nèi)的工作任務(wù)、目標、績效要求進行分解，制訂項目實施計劃和費用預算，并進行跟蹤、檢查。監(jiān)視、測量和評審服務(wù)部負責收集、匯總、整理IT服務(wù)項目的日常服務(wù)數(shù)據(jù)。服務(wù)部經(jīng)理負責組織IT服務(wù)項目，按各項目階段性工作計劃、費用預算的內(nèi)容，以與IT服務(wù)管理的要求，收集與IT服務(wù)相關(guān)的信息，監(jiān)控、測量和評審與本業(yè)務(wù)相關(guān)的服務(wù)規(guī)劃要求、已有的SLA符合要求的程度。IT服務(wù)項目在運行中，應(yīng)監(jiān)控、測量和評審的內(nèi)容為：既定的IT服務(wù)目標的達成程度。客戶滿意度。資源利用。服務(wù)實施的趨勢。嚴重不符合。技術(shù)服務(wù)事業(yè)部按照《服務(wù)質(zhì)量改進管理程序》的要求，組織IT服務(wù)管理體系的管理評審活動，以確保IT服務(wù)要求得到有效的實施和維護。持續(xù)改進服務(wù)部每年至少進行一次服務(wù)管理體系的有效性評估，評估通過內(nèi)部審核的方式進行。在評估中發(fā)現(xiàn)的任何不符合標準的活動都應(yīng)該采取糾正措施予以改進，對于發(fā)現(xiàn)的潛在問題應(yīng)該予以控制。服務(wù)部在內(nèi)部審核后，應(yīng)進行管理評審，管理評審的內(nèi)容包括：各流程的執(zhí)行狀況報告，存在問題與改進建議，內(nèi)部審核結(jié)果，相關(guān)方的反饋以與其他可能影響體系運行的要素。服務(wù)部按管理評審的要求，確定服務(wù)改進的測量、報告和溝通流程和內(nèi)容。監(jiān)控IT服務(wù)運行中出現(xiàn)的不符合項，組織相關(guān)部門實施、驗證改進活動。任何不符合ISO/IEC20000-1：2005標準的活動都應(yīng)被糾正。對于內(nèi)部審核、管理評審或其他活動中所發(fā)現(xiàn)的不符合項或潛在不符合項，應(yīng)按照《服務(wù)質(zhì)量改進管理程序》要求進行與時糾正。新服務(wù)或變更服務(wù)的策劃與實施制訂新服務(wù)或變更服務(wù)計劃銷售部門負責與客戶溝通，服務(wù)部配合，收集客戶對現(xiàn)有SLA的滿意度水平。分析、整理客戶新的或變更服務(wù)的要求，與時反饋客戶的改進需求。當出現(xiàn)新服務(wù)或變更服務(wù)時，服務(wù)部根據(jù)《服務(wù)策劃管理程序》的要求，組織實施IT服務(wù)策劃和實施工作。服務(wù)部組織對新服務(wù)或變更服務(wù)策劃結(jié)果的驗證、確認，驗證通過后按《服務(wù)策劃管理程序》實施。服務(wù)部應(yīng)報告新服務(wù)或變更服務(wù)按計劃實施所達到的結(jié)果，服務(wù)部按《發(fā)布管理程序》，執(zhí)行實施發(fā)布評審，比較實際結(jié)果與期望結(jié)果的一致性。服務(wù)交付過程服務(wù)級別管理服務(wù)部負責與相關(guān)部門溝通，制訂公司的《服務(wù)目錄》。服務(wù)目錄應(yīng)定義所有服務(wù)，并包含服務(wù)名稱、服務(wù)目標或標準、聯(lián)系接口、服務(wù)提供時間和例外、安全方面的考慮和安排?！斗?wù)目錄》是公司所提供的服務(wù)內(nèi)容的匯總，公司與客戶簽署SLA時應(yīng)參考《服務(wù)目錄》。公司應(yīng)該根據(jù)當前的服務(wù)能力對《服務(wù)目錄》進行更新與維護。根據(jù)公司的戰(zhàn)略規(guī)劃、資源要求與客戶需求，服務(wù)部在與銷售部門和其他相關(guān)部門溝通、確定SLA時，應(yīng)考慮：可接受持續(xù)損失服務(wù)的最大周期、可接受降級服務(wù)的最大周期，服務(wù)恢復時，可接受降級服務(wù)級別。銷售部門代表客戶，與服務(wù)部簽訂《服務(wù)級別協(xié)議》。應(yīng)明確：服務(wù)要求和期望服務(wù)工作量特征的協(xié)議、服務(wù)目標協(xié)議、服務(wù)級別實現(xiàn)、工作量的測量和報告，以與服務(wù)目標不能完成的分析與說明?！斗?wù)級別協(xié)議》包含以下內(nèi)容：服務(wù)的簡述、術(shù)語表、客戶職責、服務(wù)部門職責和義務(wù)、服務(wù)目標、服務(wù)時間、工作量限制（最大與最小工作量），支持和相關(guān)服務(wù)、影響和優(yōu)先級描述、授權(quán)細節(jié)，與授權(quán)人員聯(lián)系信息、有效期或SLA變更控制機制（包含升級和通知流程）、服務(wù)中斷采取的糾正措施，計劃和協(xié)調(diào)中斷，包括通知事件與頻率、溝通的簡述，包括報告、投訴程序、在SLA中規(guī)定條款的例外情況。商務(wù)部應(yīng)依據(jù)與客戶簽訂的SLA以與《供應(yīng)商管理程序》的要求，組織簽署與供應(yīng)商之間的支持合同（或協(xié)議）。當出現(xiàn)重要業(yè)務(wù)變更時，銷售部門應(yīng)與時與技術(shù)服務(wù)事業(yè)部溝通，按原流程重新組織相關(guān)部門，調(diào)整、修訂《服務(wù)級別協(xié)議》，并作為服務(wù)改進計劃的輸入。服務(wù)報告服務(wù)部應(yīng)就向客戶提交的服務(wù)報告的內(nèi)容、報告周期與客戶協(xié)商并達成一致。服務(wù)部擬制內(nèi)部服務(wù)報告，對計劃間隔內(nèi)的客戶服務(wù)狀況、問題趨勢、服務(wù)數(shù)據(jù)、SLA目標實現(xiàn)等進行匯總、統(tǒng)計和分析，組織召開月度服務(wù)質(zhì)量分析會議，形成會議紀要后發(fā)放。服務(wù)報告主要包括的內(nèi)容：執(zhí)行服務(wù)級別目標的績效，違反SLA、安全管理要求等的不符合項和結(jié)論、工作量特征，如，數(shù)量、資源利用、報告主要事件、變更、定期趨勢信息、客戶滿意度分析。當出現(xiàn)有關(guān)IT服務(wù)系統(tǒng)配置項的變更時，服務(wù)部應(yīng)按《變更管理程序》的要求執(zhí)行。服務(wù)報告應(yīng)與時、清晰、可靠和簡明，便于分析、決策和有效溝通。可用性和IT服務(wù)持續(xù)性管理服務(wù)部應(yīng)按照《可用性與IT服務(wù)持續(xù)性管理程序》的要求，擬制《可用性與IT服務(wù)持續(xù)性計劃》，根據(jù)客戶業(yè)務(wù)優(yōu)先級、服務(wù)級別協(xié)議和評估的風險，按設(shè)計的工作量計劃維護有效的服務(wù)能力，并與《服務(wù)級別協(xié)議》的目標保持一致。應(yīng)考慮：IT服務(wù)持續(xù)性計劃考慮對服務(wù)和系統(tǒng)組成的關(guān)系。應(yīng)清晰的分配調(diào)用IT服務(wù)持續(xù)性計劃的責任，并清晰的計劃對每個目標采取措施的責任。備份服務(wù)恢復所需的數(shù)據(jù)、文件、軟件、任何設(shè)備和必要員工，在重大服務(wù)失敗或災難時，保持快速有效。在遠程的安全地點，所有IT服務(wù)持續(xù)性文件應(yīng)存儲和維護至少一份，與其他必要的設(shè)備保存在一起。定期開展IT服務(wù)持續(xù)性計劃的測試。使員工理解調(diào)用、執(zhí)行計劃的角色與職責，并能訪問IT服務(wù)持續(xù)性文件。服務(wù)部每年末組織對《可用性與IT服務(wù)持續(xù)性計劃》進行評審，并根據(jù)業(yè)務(wù)需求的變化與時調(diào)整計劃的內(nèi)容和目標，確保從普通到重大服務(wù)失效的任何環(huán)境下都能滿足與客戶協(xié)商的要求。當業(yè)務(wù)環(huán)境發(fā)生重大變化時，服務(wù)部應(yīng)重新組織評審、修訂《可用性與IT服務(wù)持續(xù)性計劃》。并通過能力管理和配置管理活動，評價所有服務(wù)組成的有效性，預知可能的、潛在的問題，并采取預防措施。對《可用性與IT服務(wù)持續(xù)性計劃》中內(nèi)容和目標的變更，服務(wù)部應(yīng)與時組織相關(guān)部門按《變更管理程序》的要求進行評估、驗證和確認，確保變更的效果與滿足SLA的要求。服務(wù)部應(yīng)定期對可用性信息進行測量和記錄，未計劃的不可用應(yīng)被調(diào)查、評估，并采取適當?shù)募m正或預防措施?？捎眯曰顒影ǎ罕O(jiān)控和記錄服務(wù)的可用性。服務(wù)準確的歷史數(shù)據(jù)。與SLA中定義需求相比較，以識別不符合SLA有效目標的事項。記錄不符合項，并組織評審?？紤]、評估供應(yīng)商的影響。預計未來的可用性。IT服務(wù)的預算與財務(wù)管理技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)國家的有關(guān)法律法規(guī)和財務(wù)政策，與《IT財務(wù)管理程序》的要求，根據(jù)公司的業(yè)務(wù)策略（包括產(chǎn)品策略、銷售策略、服務(wù)策略等），組織擬制、審核本部門的總體性和階段性的IT服務(wù)費用預算與成本標準。技術(shù)服務(wù)事業(yè)部根據(jù)公司業(yè)務(wù)發(fā)展戰(zhàn)略、公司現(xiàn)有的SLA要求，與本部門業(yè)務(wù)的特點，按部門工作計劃的內(nèi)容，組織擬制本部門階段性的費用預算計劃，經(jīng)財務(wù)部匯總、報批后實施。在預算期間出現(xiàn)的服務(wù)變更引起的預算變化，相關(guān)部門應(yīng)按《IT財務(wù)管理程序》的要求執(zhí)行預算變更申請。在對《服務(wù)級別協(xié)議》進行評審時，服務(wù)部應(yīng)根據(jù)公司策略，評估實現(xiàn)服務(wù)目標和需求的成本，并根據(jù)確定的服務(wù)級別協(xié)議跟蹤成本的變化。服務(wù)部應(yīng)在服務(wù)變更時，計算服務(wù)變更成本，并通過《變更管理程序》進行批準。服務(wù)部應(yīng)根據(jù)預算編制跟蹤財務(wù)變化，并對超出預算要求的變化，提前向技術(shù)服務(wù)事業(yè)部提出預警信號。容量管理技術(shù)服務(wù)事業(yè)部負責現(xiàn)有IT服務(wù)系統(tǒng)容量水平的規(guī)劃，根據(jù)《容量管理程序》的要求，制訂《容量管理計劃》，應(yīng)在計劃中描述業(yè)務(wù)需求，包括：當前和預計的容量和性能需求。針對服務(wù)升級所定義的時間表、閾值和成本。評估預期的服務(wù)升級、變更請求、新技術(shù)和技術(shù)能力的效果。預計外部變更的影響，如法律影響等。對數(shù)據(jù)和流程進行預先分析。定義監(jiān)控服務(wù)容量、調(diào)整服務(wù)性能和提供充分容量的方法、程序和技術(shù)。為達到SLA所要求的服務(wù)級別目標和業(yè)務(wù)需求所應(yīng)具備的資金條件。服務(wù)部協(xié)助收集、統(tǒng)計當前IT基礎(chǔ)設(shè)施的實際性能和預期要求的運行信息，以支持服務(wù)業(yè)務(wù)的開展。技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)服務(wù)特點、服務(wù)量、服務(wù)報告和客戶業(yè)務(wù)等信息，組織對《容量管理計劃》進行評審，并保留評審相關(guān)的紀錄。當出現(xiàn)臨時的新增或變更服務(wù)時，技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)《容量管理程序》的要求，與時對《容量管理計劃》的相關(guān)內(nèi)容進行評估和更新。關(guān)系過程總則供應(yīng)商和客戶的關(guān)系管理可采用正式合同形式約束。銷售部門按《業(yè)務(wù)關(guān)系管理程序》的要求明確定義供應(yīng)商和客戶的角色、范圍和職能，通過合同、溝通、培訓等方式確保實施和參與服務(wù)提供的各方：理解并滿足業(yè)務(wù)需求。理解能力和約束條件。理解職責和責任。業(yè)務(wù)關(guān)系管理服務(wù)部按照《業(yè)務(wù)關(guān)系管理程序》的要求，牽頭并定期組織銷售部門，開展服務(wù)管理評價活動，討論、匯報服務(wù)范圍、SLA、合同或業(yè)務(wù)需求的變化，與性能、成績、結(jié)果和措施計劃，并形成會議紀要。當服務(wù)目標、服務(wù)需求、支持合同、業(yè)務(wù)等發(fā)生新增、變更或撤銷時，服務(wù)部應(yīng)按《服務(wù)策劃管理程序》的要求，提出并評估服務(wù)范圍和SLA的改進方案，由服務(wù)部組織實施。服務(wù)部與客戶建立有效的互動、溝通關(guān)系，以便與時了解客戶的需求或重大變更，并依據(jù)需求進行響應(yīng)。根據(jù)《客戶滿意度管理規(guī)定》，定義、收集、分析客戶滿意度數(shù)據(jù)和信息，監(jiān)控客戶滿意度的趨勢。技術(shù)服務(wù)事業(yè)部根據(jù)《業(yè)務(wù)關(guān)系管理程序》中的客戶投訴管理流程，負責收集、統(tǒng)計、分析客戶投訴的記錄，識別投訴的發(fā)展趨勢和存在問題，確保服務(wù)的持續(xù)性目標的實現(xiàn)。供應(yīng)商管理商務(wù)部按《萬維公司內(nèi)控手冊》中《供應(yīng)商管理業(yè)務(wù)程序》的要求，對供應(yīng)商提供的IT服務(wù)的過程進行管理，完善供應(yīng)商管理制度和采購規(guī)范，建立和維護公司《合格供應(yīng)商名單》。并確保：供應(yīng)商了解其對本公司承擔的責任。服務(wù)要求滿足協(xié)議約定的服務(wù)級別和范圍。管理變更。記錄與相關(guān)各相關(guān)方的業(yè)務(wù)交流。了解所有供應(yīng)商的業(yè)績并采取相應(yīng)改進措施。商務(wù)部負責組織相關(guān)部門對供應(yīng)商提供服務(wù)的所滿足的需求、范圍、服務(wù)級別、接口和溝通流程等進行評審并達成一致，按公司正式授權(quán)，組織簽署與供應(yīng)商之間的支持合同或供貨協(xié)議。主要包含：服務(wù)、角色、責任的定義。服務(wù)范圍。合同管理流程、授權(quán)級別和合同結(jié)束計劃。相關(guān)支付條款。約定報告的內(nèi)容和服務(wù)成果記錄。與供應(yīng)商簽署的支持合同或供貨協(xié)議應(yīng)確保與本公司向客戶提供服務(wù)的SLA相關(guān)聯(lián)，并一致。商務(wù)部負責擬制公司《合格供應(yīng)商名單》，并負責《合格供應(yīng)商名單》的維護和管理。當公司與供應(yīng)商的支持合同或供貨協(xié)議需要修訂或變更時，商務(wù)部應(yīng)重新組織相關(guān)部門進行合同評審，在評審中應(yīng)討論和明確對本公司SLA影響和變更，并按照《變更管理程序》的要求實施。商務(wù)部按《供應(yīng)商管理程序》的要求，對公司合格供應(yīng)商進行季度評價和年度評審，監(jiān)督、記錄供應(yīng)商對本公司SLA的落實情況，擬制《供應(yīng)商合作分析報告》，將評定的結(jié)果與時反饋給相關(guān)供應(yīng)商，并組織進行相關(guān)調(diào)整和改進。商務(wù)部應(yīng)組織管理與供應(yīng)商之間的合同沖突，并在支持合同或供貨協(xié)議中明確。如果爭議無法通過正常途徑解決時，應(yīng)交由更高級別的解決途徑。商務(wù)部應(yīng)確保所有合同沖突被記錄、調(diào)查、解決并正式關(guān)閉。解決方案流程背景事件和問題管理作為獨立的流程管理，事件管理關(guān)注的是服務(wù)恢復，而問題管理考慮的是識別并消除事件隱患。事件或問題解決的時間安排應(yīng)考慮以下因素：優(yōu)先級?，F(xiàn)有技能。資源要求。解決方案的效果和成本。實施解決方案所需時間。事件管理服務(wù)部服務(wù)臺按照《事件管理程序》的要求，根據(jù)事件的影響和緊急程度確定事件處理優(yōu)先級別，并基于優(yōu)先級別確定解決事件的目標。其中應(yīng)包括：接收請求、記錄、優(yōu)先級分配、分類。一線事件解決或轉(zhuǎn)移?？紤]安全事件。事件跟蹤和生命周期管理。事件驗證和關(guān)閉。一線客戶聯(lián)系。事件升級。事件報告方式包括電話、拜訪、傳真或者電子郵件，所有事件應(yīng)在服務(wù)臺正式記錄，并可檢索和分析。服務(wù)部對升級的事件提供解決方案，協(xié)助服務(wù)臺關(guān)閉事件。服務(wù)部負責對升級的技術(shù)問題提供處理事件的技術(shù)支持，協(xié)助服務(wù)臺解決未知錯誤。技術(shù)服務(wù)事業(yè)部組織建立事件知識庫，以確保服務(wù)臺人員可訪問經(jīng)常更新的知識庫。知識庫中包括技術(shù)專家、以前事件、相關(guān)問題、已知錯誤、配置管理數(shù)據(jù)庫（CMDB）、檢查清單等有助于恢復服務(wù)的各種信息。對重大事件的處理，服務(wù)部按《服務(wù)臺工作指導手冊》的要求執(zhí)行。服務(wù)臺應(yīng)在證實事件已經(jīng)解決并且服務(wù)已經(jīng)恢復的時候，事件才能最終關(guān)閉。問題管理服務(wù)部根據(jù)《問題管理控制程序》對問題原因的預先識別、分析、管理直至關(guān)閉，以減少對業(yè)務(wù)的影響。服務(wù)部根據(jù)日常檢查、測試、事故數(shù)量和類型的趨勢分析等糾正措施，識別潛在問題。所有被識別的問題都應(yīng)該得到記錄。在問題得到解決后，服務(wù)部將相關(guān)信息應(yīng)加入問題知識庫，服務(wù)部同時應(yīng)升級所有相關(guān)文件，如用戶指南和系統(tǒng)文件。記錄對服務(wù)或問題管理流程的改進，并作為服務(wù)改進計劃的輸入。控制流程配置管理服務(wù)部應(yīng)根據(jù)《配置管理程序》的要求，評估所有與IT服務(wù)相關(guān)的重要資產(chǎn)和配置項，識別、定義、維護IT服務(wù)和基礎(chǔ)設(shè)施的組件，明確配置項之間的關(guān)系、屬性和作用，定義命名規(guī)范、版本號，制訂和實施《配置項分類定義表》，以確保有效管理IT資產(chǎn)和配置。被管理的配置項主要包括：信息系統(tǒng)和軟件（包括第三方軟件）的發(fā)布、相關(guān)系統(tǒng)文檔、例如要求規(guī)范、設(shè)計、測試報告、發(fā)布文檔、每個應(yīng)用環(huán)境配置基線、或描述應(yīng)用環(huán)境、標準硬件組成和發(fā)布、備份和電子資料庫、如最終軟件庫（DSL）、配置管理包或工具、許可證、安全組件、如防火墻、服務(wù)相關(guān)文檔、例如服務(wù)級別協(xié)議、活動程序、務(wù)支持設(shè)施、例如機房電源。服務(wù)部根據(jù)配置項之間的關(guān)系、屬性、狀態(tài)類別、重要程度和優(yōu)先級，確定配置管理數(shù)據(jù)庫的范圍、分解的層數(shù)、詳細的程度，完成配置管理數(shù)據(jù)庫的構(gòu)建，擬制《配置管理數(shù)據(jù)庫初始化表單》，形成配置基線，并和公司的服務(wù)目標、與公司的SLA保持一致。服務(wù)部制訂《配置管理計劃》，并每年末進行更新。主要包括：配置管理的范圍、目標、策略、標準角色和責任、配置管理流程定義服務(wù)和基礎(chǔ)設(shè)施中配置項，配置控制變更，記錄和報告配置項情況，證實配置項的完整性和正確性責任、可檢索、可審計的要求，例如出于安全、法律、規(guī)章或業(yè)務(wù)目的、配置控制（訪問、保護、版本、開發(fā)、發(fā)布控制）、交互控制流程，與信息接口和發(fā)布、資源管理規(guī)劃和建立，以便使資產(chǎn)和配置受控，并維持配置管理系統(tǒng)，如培訓活動、與配置相關(guān)的供應(yīng)商管理要求和活動。服務(wù)部在配置管理過程中應(yīng)監(jiān)控配置項的整個生命周期，確保只有被授權(quán)且可識別的配置項才被接受，并記錄從接受到銷毀的全過程；沒有被認可的變更請求，不能添加、修改、替換或刪除配置項。服務(wù)部應(yīng)保存有效的配置記錄，以反映配置項狀態(tài)、位置和版本的變化，并通過各種狀態(tài)監(jiān)控配置項的變更，例如訂購、接收、測試、使用、變更、拆卸、取消。配置項的更新信息應(yīng)作為配置管理計劃和變更管理的輸入。為保護系統(tǒng)、服務(wù)和基礎(chǔ)設(shè)施的完整性和安全性，配置項信息應(yīng)被保存在一個安全環(huán)境。應(yīng)：保護其不受未授權(quán)訪問、變更或破壞、提供災害后恢復方法、對受控軟件、測試產(chǎn)品和支持文檔等備份的恢復進行限制。配置評審程序應(yīng)包含缺陷記錄、執(zhí)行糾正措施和報告結(jié)果。服務(wù)部應(yīng)定期擬制《配置項管理報告》，報告應(yīng)包括：配置項最新版本、配置項的位置和軟件主要版本的位置、相互依賴關(guān)系、版本歷史。在任何時候都可核對配置項以下內(nèi)容：服務(wù)配置項或系統(tǒng)、變更、基準線、開發(fā)或發(fā)布、版本或變量。服務(wù)部應(yīng)定期組織相關(guān)部門實施配置認可和審核活動，并檢查是否有充分的資源以支持：保護物理配置和公司的知識資本、確保公司控制其配置、原件和許可證、確保配置信息是準確、可控、可見。服務(wù)部應(yīng)確保變更、發(fā)布、系統(tǒng)或環(huán)境符合其合同約定或事先約定的要求而且配置記錄是準確的。在審核中出現(xiàn)的缺陷或不符合項應(yīng)被記錄、評估和改進。變更管理服務(wù)部根據(jù)公司業(yè)務(wù)需要或客戶需求，制訂《變更計劃》。應(yīng)考慮：清晰定義變更的范圍、使業(yè)務(wù)增值的變更才能被認可，例如商業(yè)的、法律的、規(guī)章的、法令的、根據(jù)優(yōu)先級和風險為變更安排時間、在變更實施中驗證配置項變更、需要時監(jiān)控并改進變更實施時間。服務(wù)部在組織、開展變更時，還應(yīng)在變更計劃中對具體實施進行說明：發(fā)起、記錄和分類、評估變更對服務(wù)、客戶和發(fā)布計劃的影響、緊急程度、成本、收益和風險、如果沒有成功時可以恢復或修訂、備案，如變更請求與受影響的配置項、更新后的實施和發(fā)布計劃版本、根據(jù)變更的類型、大小和風險，得到變更負責方的認可或拒絕、由負責變更組件的團隊負責人進行實施、測試、驗證、取消、結(jié)束和評審、時間安排、監(jiān)控和報告、與事件、問題、其它變更和配置項記錄聯(lián)系。服務(wù)部應(yīng)將變更計劃安排的時間信息與時提供給與變更有關(guān)的人員，變更狀態(tài)和安排的實施時間應(yīng)作為變更和發(fā)布時間安排的依據(jù)。服務(wù)部應(yīng)在變更實施后組織對其效果和改進記錄進行評審，評審結(jié)果應(yīng)妥善保管并作為服務(wù)改進計劃的輸入。實施后評審（PIR）應(yīng)檢查：變更是否滿足目標、客戶對結(jié)果是否滿意、沒有預期之外的負面影響。服務(wù)部應(yīng)在《變更計劃》中考慮緊急變更的要求，識別緊急變更的需求、風險和必要性，定義緊急變更的內(nèi)容、范圍、級別、權(quán)限、接口、活動等，并在變更后評審。服務(wù)部應(yīng)對變更分析結(jié)果和結(jié)論采取相應(yīng)的糾正、預防措施，并保存相關(guān)的記錄。發(fā)布過程發(fā)布管理服務(wù)部根據(jù)《變更管理程序》的要求，結(jié)合業(yè)務(wù)對信息系統(tǒng)、基礎(chǔ)設(shè)施、服務(wù)和文檔等進行規(guī)劃，識別發(fā)布的內(nèi)容、種類、層次、影響等，制訂發(fā)布策略來配置發(fā)布活動，包括：發(fā)布頻度和類型、發(fā)布管理的角色和責任、發(fā)布測試和實施的授權(quán)、所有發(fā)布的唯一標識和描述、分組變更以進行版本發(fā)布、為提高效率和可重復性，建立、安裝、發(fā)布分發(fā)流程自動化方法、發(fā)布的驗證和接受。服務(wù)部根據(jù)需要負責制訂《發(fā)布計劃》，確保相關(guān)的信息系統(tǒng)、基礎(chǔ)設(shè)施、服務(wù)和文檔得到認可、授權(quán)、預定、協(xié)調(diào)和跟蹤。一般包括：發(fā)布日期和交付描述、本次發(fā)布關(guān)閉或解決的相關(guān)變更、問題和已知錯誤，以與在發(fā)布測試期間被識別的已知錯誤、在可行的情況下，為每個實施地點制訂一份活動計劃、如發(fā)布失敗，可以被撤銷或修復的方式、驗證和驗收流程、對客戶和服務(wù)支持人員的交流、準備、備案和培訓、采購、存儲、分發(fā)、聯(lián)系、接受和銷毀商品的后勤工作和流程、確保服務(wù)級別所需的支持資源、可能對發(fā)布測試和實施造成影響的相關(guān)變更和風險的標識、與相關(guān)人員、客戶代表安排的更新、評審會議。當進行重大升級時，服務(wù)部組織安排仿真環(huán)境的驗證和評審，確保發(fā)布進入生產(chǎn)時與預期狀態(tài)一致。發(fā)布的結(jié)果包括發(fā)布通告、安裝指南、基于相關(guān)配置基準線的已安裝軟硬件等。服務(wù)部按《發(fā)布計劃》的安排，組織上線實施工作。制訂《上線計劃》，經(jīng)批準后，按《發(fā)布計劃》的要求實施發(fā)布。并與時向服務(wù)部反饋上線成功的驗證信息。如果發(fā)布未成功，則應(yīng)按《發(fā)布計劃》中制訂的撤銷計劃的內(nèi)容，實施回退操作，并將發(fā)布情況與時報告服務(wù)部。服務(wù)部對發(fā)布未成功的原因進行確認，如需重新實施變更，則按《變更管理程序》的要求執(zhí)行。如屬潛在問題引起的發(fā)布未成功，則應(yīng)按《問題管理程序》的要求執(zhí)行。發(fā)布成功后，服務(wù)部應(yīng)與時將發(fā)布信息對配置管理數(shù)據(jù)庫進行更新。服務(wù)臺應(yīng)與時將發(fā)布成功的信息對事件知識庫進行更新。服務(wù)部與時更新問題知識庫。服務(wù)部負責發(fā)布文檔的保存。并負責上線文檔的保存。服務(wù)部組織對IT服務(wù)系統(tǒng)的運行監(jiān)控，收集生產(chǎn)系統(tǒng)運行信息，完成《月度服務(wù)質(zhì)量分析報告》。輸出的文件記錄和文檔文件屬性完成的部門/職位《IT服務(wù)管理手冊》A服務(wù)部《文件和記錄管理程序》B服務(wù)部《服務(wù)策劃管理程序》B服務(wù)部《服務(wù)級別管理程序》B服務(wù)部《可用性與IT服務(wù)持續(xù)性管理程序》B服務(wù)部《IT財務(wù)管理程序》B服務(wù)部《容量管理程序》B服務(wù)部《信息安全管理程序》B服務(wù)部《業(yè)務(wù)關(guān)系管理程序》B服務(wù)部《事件管理程序》B服務(wù)部《問題管理程序》B服務(wù)部《配置管理程序》B服務(wù)部《變更管理程序》B服務(wù)部《容量管理程序》B服務(wù)部《服務(wù)質(zhì)量改進管理程序》B服務(wù)部附：各部門主要工作職責公司管理事務(wù)部分綜合部經(jīng)理向公司總經(jīng)理報告。負責公司日常綜合行政事務(wù)，組織建立和監(jiān)督執(zhí)行公司各項行政制度，參與公司發(fā)展戰(zhàn)略規(guī)劃的制訂。負責公司的日常法律事務(wù)，組織法律合同年檢、知識產(chǎn)權(quán)保護等工作，協(xié)調(diào)、處理法律咨詢、法律糾紛。負責擬制、發(fā)送、簽收公司與上級單位和相關(guān)部門間的往來公文；協(xié)調(diào)、處理上級主管部門、各級政府部門的相關(guān)接口工作。負責公司辦公室設(shè)施環(huán)境、固定資產(chǎn)（包括租賃資產(chǎn)）的實物管理，負責公司日常性辦公用品采購工作。負責管理公司的公共車輛，保證公司公共車輛的狀態(tài)良好和滿足公司人員的用車需求。協(xié)助公司各項產(chǎn)業(yè)和國際標準貫徹，并在行政制度方面予以配合。負責公司的企業(yè)文化建設(shè)。人力資源部經(jīng)理向公司總經(jīng)理報告，負責公司的人事管理和人力資源開發(fā)工作。負責制定公司人事管理制度，研究、分析并提出改進工作意見和建議。負責人事考核、考查工作，建立人才庫，規(guī)范人才培養(yǎng)。負責編制年、季、月度用工平衡計劃和工資計劃。負責編制員工培訓大綱、課程計劃，組織員工培訓工作。擬制勞動人事統(tǒng)計工作制度，建立健全人事勞資統(tǒng)計核算標準，核定各崗位工資標準，定期編制勞資人事等有關(guān)的統(tǒng)計報表。負責招聘、錄用、辭退工作，組織擬制每一職位的工作標準與其所需資格、條件，組織簽訂員工勞動合同，依法對員工實施管理。負責擬制員工勞動紀律管理制度，負責考勤、獎懲、差假、調(diào)動等管理工作。配合公司經(jīng)營目標，組織擬制人力資源發(fā)展與人員編制數(shù)額計劃，確保人員編制的合理性和準確性。負責員工各項福利與勞動保護管理工作，營造員工與公司之間的和諧關(guān)系。財務(wù)部分財務(wù)部經(jīng)理負責公司財務(wù)戰(zhàn)略的制定、財務(wù)管理與內(nèi)部控制工作，向公司總經(jīng)理報告。建立科學、系統(tǒng)符合企業(yè)實際情況的財務(wù)核算體系和財務(wù)監(jiān)控體系，向公司經(jīng)營決策提供依據(jù)，協(xié)助總經(jīng)理制定公司戰(zhàn)略，組織公司財務(wù)戰(zhàn)略規(guī)劃的制訂。制定公司資金運營計劃，對公司生產(chǎn)經(jīng)營活動所需要的資金籌措方式進行成本計算，監(jiān)督資金管理報告和預、決算，提供最為經(jīng)濟的籌資方式。組織對重大項目和經(jīng)營活動的財務(wù)風險評估、指導、跟蹤和財務(wù)風險控制，審核公司重大資金流向和重大財務(wù)支出。根據(jù)法律法規(guī)、會計準則、公司政策以與上級主管部門的要求，組織制訂公司財務(wù)管理制度，負責擬制、審核公司的總體性和階段性的財務(wù)規(guī)劃。負責監(jiān)督、審計公司財務(wù)管理制度和財務(wù)計劃的執(zhí)行情況，審核財務(wù)報表，向總經(jīng)理提交財務(wù)管理工作報告、財務(wù)分析和改進建議。負責管理公司資產(chǎn)，監(jiān)督公司資產(chǎn)的運行效率，保證公司資產(chǎn)的安全和優(yōu)化配置。參與公司重要事項的分析和決策，為企業(yè)的生產(chǎn)經(jīng)營、業(yè)務(wù)發(fā)展與對外投資等事項提供財務(wù)方面的分析和決策依據(jù)。協(xié)調(diào)公司同銀行、工商、稅務(wù)等政府部門的關(guān)系，維護公司權(quán)益。向上級主管單位匯報公司經(jīng)營狀況、經(jīng)營成果、財務(wù)收支與計劃的具體情況，對公司經(jīng)營狀況和預算執(zhí)行情況進行分析。負責部門人員與其他日常管理工作。公司市場與銷售管理部分負責市場與銷售的公司副總經(jīng)理協(xié)助總經(jīng)理分管企業(yè)發(fā)展部、互聯(lián)網(wǎng)事業(yè)部、商務(wù)領(lǐng)航事業(yè)部、電信大客戶部、政府營銷事業(yè)部、企業(yè)營銷事業(yè)部的工作，向公司總經(jīng)理報告。組織制訂和審核公司銷售計劃和戰(zhàn)略，以與公司對外市場階段性的目標、策略、計劃、工作分工和資源計劃。負責組織推動公司的市場管理體系建設(shè)工作，提高公司在市場發(fā)展方面的運行效率和能力。負責組織協(xié)調(diào)公司有關(guān)部門與政府、企事業(yè)單位的溝通，并負責監(jiān)督所分管部門對合同用戶需求實現(xiàn)的與時性和準確性。參與制訂并審核公司對客戶的所有的服務(wù)級別承諾文件，并在得到公司正式授權(quán)后代表公司組織簽署與供應(yīng)商之間的服務(wù)級別承諾文件。公司技術(shù)管理部分負責技術(shù)的公司副總經(jīng)理協(xié)助總經(jīng)理分管項目管理部、商務(wù)部、技術(shù)服務(wù)事業(yè)部和軟件研發(fā)部門的工作，向公司總經(jīng)理報告。負責組織擬制、審核公司IT服務(wù)管理的策略、計劃和資源需求，促進工作的管理規(guī)范，提高公司的運營效益和客戶滿意度。組織擬制和審核公司公司IT服務(wù)管理政策文件，參與擬制和審核公司全部服務(wù)目錄、服務(wù)級別承諾文件。負責組織規(guī)劃公司IT服務(wù)管理部門內(nèi)部有關(guān)分擔服務(wù)級別協(xié)議所規(guī)定責任的部門和人員分工，并擬制、審核相關(guān)的分工文件和服務(wù)級別承諾文件。負責提出公司公司IT服務(wù)管理的人員需求，組織協(xié)調(diào)、監(jiān)督執(zhí)行對公司員工、合作伙伴的有關(guān)公司IT服務(wù)管理培訓和政策貫徹。負責組織擬制、審核公司公司IT服務(wù)管理的相關(guān)需求計劃，參與評審相關(guān)供應(yīng)商。參與擬制、審核有關(guān)系公司IT服務(wù)管理的對外溝通和客戶服務(wù)口徑，組織制訂并審核完善規(guī)范的客戶服務(wù)體系和知識庫。項目管理部經(jīng)理向負責技術(shù)的公司副總經(jīng)理報告。負責建立、推動和維護運營系統(tǒng)的國際化質(zhì)量管理體系，監(jiān)控和組織質(zhì)量管理體系的運行、維護，完成質(zhì)量管理體系的第三方權(quán)威機構(gòu)的認證。負責建立公司項目管理制度與文件架構(gòu)，組織實施各類體系文件的管理。負責組織公司員工在質(zhì)量管理體系知識方面的培訓，收集、傳達、宣傳質(zhì)量法規(guī)與標準，推動和提升全體員工實施質(zhì)量管理的意識和能力。負責內(nèi)部質(zhì)量管理體系審核和管理評審，組織、監(jiān)控公司整體質(zhì)量規(guī)劃、質(zhì)量控制與質(zhì)量改進活動的實施，確保質(zhì)量管理體系運行的有效性和適用性。負責制訂公司的項目管理制度，根據(jù)公司總體目標和計劃，組織各部門分解和落實各項工作任務(wù)，提高項目管理的效率和質(zhì)量。結(jié)合公司的發(fā)展目標、IT服務(wù)系統(tǒng)的服務(wù)級別協(xié)議內(nèi)容與公司各部門的工作指標，組織管理體系的改進，并協(xié)助建立客戶滿意度指標評價系統(tǒng)。負責與質(zhì)量管理體系認證中心等外部機構(gòu)的聯(lián)系。商務(wù)部經(jīng)理向負責技術(shù)的公司副總經(jīng)理報告。負責公司商務(wù)部的日常執(zhí)行工作，組織商務(wù)部會議，并落實會議決定的執(zhí)行。參與擬制并審核公司對客戶的所有的服務(wù)目錄、服務(wù)級別以與對客戶的服務(wù)級別承諾文件。并根據(jù)上述文件，負責擬制、審核，并在得到公司正式授權(quán)后代表公司簽署與供應(yīng)商之間的服務(wù)級別承諾文件。負責組織和管理對公司現(xiàn)有供應(yīng)商的評審和監(jiān)督管理，擬制公司合格供應(yīng)商名單，負責監(jiān)督、評審、記錄供應(yīng)商對服務(wù)水平承諾的落實情況。負責組織公司對外商務(wù)洽談，擬制、審核公司對外商務(wù)合作合同，并在得到公司正式授權(quán)后代表公司簽署對外商務(wù)合作合同。根據(jù)公司的發(fā)展規(guī)劃，負責組織相關(guān)部門討論、確定采購需求規(guī)劃，擬定供應(yīng)商發(fā)展、采購計劃和預算評估報告。擬制并審核公司采購管理制度。負責組織和管理公司供應(yīng)商的開發(fā)工作，跟蹤新技術(shù)、新產(chǎn)品和新方案，比較現(xiàn)有合格供應(yīng)商、采購和運營的狀況，根據(jù)公司相關(guān)部門的需求尋找新的供應(yīng)商，持續(xù)對系統(tǒng)建設(shè)和運維工作更高的性能價格比提出改進目標。技術(shù)服務(wù)事業(yè)部總監(jiān)全面負責技術(shù)服務(wù)事業(yè)部的工作，向負責技術(shù)的公司副總經(jīng)理報告。經(jīng)負責技術(shù)的公司副總經(jīng)理特別授權(quán)，管理和監(jiān)督IT服務(wù)管理的重點工作。在負責技術(shù)的公司副總經(jīng)理缺席時，受其委托代行其職務(wù)。負責組織公司的IT服務(wù)管理需求分析和規(guī)劃工作，審核公司所有IT服務(wù)管理的需求說明書，報批后監(jiān)督執(zhí)行，并審核相關(guān)評估報告和改進建議