信息安全和信息技術(shù)服務(wù)管理手冊(cè)2023

(依據(jù)ISO/IEC27001：2022標(biāo)準(zhǔn)、ISO/IEC20000-1:2018標(biāo)準(zhǔn)編制)文件編號(hào)：ISMS/ITSMS-01-01版本：D/0受控狀態(tài)：批準(zhǔn)：審核：編制：2023-01-05發(fā)布2023-01-05實(shí)施變更記錄變更日期版本號(hào)變更說明編制審核批準(zhǔn)2023.1.5D/0ISO27001-2022體系轉(zhuǎn)版信息安全小組

目錄1范圍 51.1總則 51.2應(yīng)用 52規(guī)范性引用文件 63術(shù)語和定義 64組織環(huán)境 84.1理解組織及其環(huán)境 84.2理解相關(guān)方的需求和期望 84.3確定信息技術(shù)服務(wù)管理體系范圍 94.4信息技術(shù)服務(wù)管理體系 95領(lǐng)導(dǎo) 105.1領(lǐng)導(dǎo)和承諾 105.2方針 105.2.1建立管理方針 105.2.2溝通管理方針 115.3組織的角色、責(zé)任和權(quán)限 116規(guī)劃 116.1.1總則 116.1.2信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估 126.1.3信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置 126.2管理目標(biāo)及其實(shí)現(xiàn)規(guī)劃 136.2.1確定目標(biāo) 136.2.2策劃實(shí)現(xiàn)目標(biāo) 136.3規(guī)劃信息技術(shù)服務(wù)管理體系 137支持 147.1資源 147.2能力 147.3意識(shí) 157.4溝通 157.5文件化信息 167.5.1總則 167.5.2創(chuàng)建和更新 167.5.3文件化信息的控制 167.5.4管理體系文件化信息 177.6知識(shí) 178運(yùn)行 178.1運(yùn)行策劃和控制 178.2服務(wù)組合 188.2.1服務(wù)交付 188.2.2策劃服務(wù) 188.2.3控制服務(wù)生命周期的相關(guān)方 188.2.4服務(wù)目錄管理 198.2.5資產(chǎn)管理 198.2.6配置管理 198.3關(guān)系與協(xié)議 218.3.1總則 218.3.2業(yè)務(wù)關(guān)系管理 218.3.3服務(wù)級(jí)別管理 228.3.4供應(yīng)商管理 228.4供應(yīng)與需求 248.4.1服務(wù)預(yù)算與核算 248.4.2需求管理 248.4.3能力管理 258.5服務(wù)設(shè)計(jì)、構(gòu)建與轉(zhuǎn)換 258.5.1變更管理 258.5.2服務(wù)設(shè)計(jì)與轉(zhuǎn)換 268.5.3發(fā)布與部署管理 278.6解決與完成 298.6.1事件管理 298.6.2服務(wù)請(qǐng)求管理 298.6.3問題管理 308.7服務(wù)保障 318.7.1服務(wù)可用性管理 318.7.2服務(wù)連續(xù)性管理 318.7.3信息安全管理 329績(jī)效評(píng)價(jià) 339.1監(jiān)視、測(cè)量、分析和評(píng)價(jià) 339.2內(nèi)部審核 339.3管理評(píng)審 349.4服務(wù)報(bào)告 3510改進(jìn) 3510.1不符合及糾正措施 3510.2持續(xù)改進(jìn) 36附錄1：體系組織機(jī)構(gòu)圖及各自主要職責(zé) 38附錄2：管理體系職責(zé)對(duì)照表 43信息安全管理職責(zé)分配表 43附錄3：公司簡(jiǎn)介 51附錄4：信息技術(shù)服務(wù)管理手冊(cè)發(fā)布令 52附錄5：方針和目標(biāo) 53信息安全方針：積極預(yù)防、快速響應(yīng)、持續(xù)改進(jìn)、確保安全 53服務(wù)管理方針：服務(wù)至上，誠(chéng)信守約，技術(shù)創(chuàng)新，追求卓越 53變更管理方針：控制服務(wù)變更，降低變更風(fēng)險(xiǎn) 531范圍1.1總則公司為證實(shí)有能力穩(wěn)定地提供滿足顧客和適用的法律、法規(guī)要求的信息技術(shù)服務(wù)，并要求向本公司提供服務(wù)的供應(yīng)商采用跟本公司一致的方法，按GB/T22080-2016/ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》和ISO/IEC20000-1:2018《信息技術(shù)服務(wù)管理體系要求》建立信息安全管理體系和信息技術(shù)服務(wù)管理體系，它適用于：本公司規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換、交付和改進(jìn)信息安全管理體系和信息技術(shù)服務(wù)管理體系；對(duì)信息安全管理體系和信息技術(shù)服務(wù)管理體系進(jìn)行監(jiān)視、測(cè)量和評(píng)審；通過有效實(shí)施和運(yùn)行信息安全管理體系和信息技術(shù)服務(wù)管理體系，以改進(jìn)服務(wù)的規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換和交付；必要時(shí)尋求外部組織對(duì)本公司信息安全管理體系和信息技術(shù)服務(wù)管理體系的認(rèn)證；對(duì)符合本標(biāo)準(zhǔn)的情況進(jìn)行自我評(píng)估和自我聲明。1.2應(yīng)用本手冊(cè)適用于公司內(nèi)部各部門和外部（包括國(guó)家主管部門和認(rèn)證機(jī)構(gòu)）評(píng)價(jià)本公司滿足GB/T22080-2016/ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》、ISO/IEC20000-1:2018《信息技術(shù)服務(wù)管理體系要求》、顧客、法律法規(guī)要求和本公司要求的能力。本手冊(cè)覆蓋范圍：ISMS：XXXXXXXXXXXXXXXXXXXXXITSMS：XXXXXXXXXXXXXXXXXXXXX相關(guān)的軟硬件運(yùn)維服務(wù)。本手冊(cè)采用了GB/T22080-2016/ISO/IEC27001:2022標(biāo)準(zhǔn)，不適用條款見《信息安全適用性聲明》，ISO/IEC20000-1:2018標(biāo)準(zhǔn)正文的全部?jī)?nèi)容，無刪減條款。組織范圍：管理層、信息安全小組、技術(shù)研發(fā)部、xxx部、xxxxx產(chǎn)部覆蓋地址：xxxxxxxxxxxx

2規(guī)范性引用文件下列文件中的條款通過本《信息安全和信息技術(shù)服務(wù)管理手冊(cè)》的引用而成為本手冊(cè)的條款。凡是標(biāo)注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修改版均不適用于本《信息安全和信息技術(shù)服務(wù)管理手冊(cè)》，然而，公司應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本手冊(cè)。本公司依據(jù)以下標(biāo)準(zhǔn)及公司情況建立信息安全和信息技術(shù)服務(wù)管理手冊(cè)：GB/T22080-2016/ISO/IEC27001:2022《信息安全管理體系要求》GBT22081-2016/ISO/IEC27002:2013《信息安全管理實(shí)用規(guī)則》ISO/IEC20000-1：2018《信息技術(shù)服務(wù)管理第一部分服務(wù)管理體系要求》ISO/IEC20000-2：2012《信息技術(shù)服務(wù)管理第二部分服務(wù)管理系統(tǒng)應(yīng)用指南》3術(shù)語和定義ISO/IEC27000界定的術(shù)語和定義、ISO/IEC20000-1:2018的術(shù)語和定義適用于本管理手冊(cè)。（本）組織、（本）公司、我公司指：xxxxxxxxxxxxx。ITSMS：InformationTechnologyServiceManagementSystems＝信息技術(shù)服務(wù)管理體系。3.1.2能力competence應(yīng)用知識(shí)和技能實(shí)現(xiàn)預(yù)期結(jié)果的本領(lǐng)。3.1.6文件化信息documentedinformation組織需要控制并保持的信息及其載體。例如：方針，計(jì)劃，過程描述，程序，服務(wù)級(jí)別協(xié)議或者合同。3.2.1資產(chǎn)asset對(duì)組織有潛在或?qū)嶋H價(jià)值的元素、事物或?qū)嶓w。3.2.2配置項(xiàng)configurationitem為提供一項(xiàng)或多項(xiàng)服務(wù)需要控制的元素。3.2.4外部供應(yīng)商externalsupplier通過合同約定，對(duì)規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換，交付或改進(jìn)服務(wù)、服務(wù)組件或者過程的提供協(xié)助的組織外部的其它方。3.2.5事件incident計(jì)劃外的服務(wù)中斷、服務(wù)質(zhì)量下降或尚未對(duì)客戶服務(wù)造成影響的事態(tài)。3.2.6信息安全informationsecurity保護(hù)信息的保密性，完整性和可用性。還包括其它屬性，例如真實(shí)性，可核查性，不可否認(rèn)性和可靠性。3.2.7信息安全事件informationsecurityincident單個(gè)或一系列意外或突發(fā)的、具有損害業(yè)務(wù)運(yùn)營(yíng)和威脅信息安全的極大可能性的事態(tài)。3.2.8內(nèi)部供應(yīng)商internalsupplier通過文件化的協(xié)議約定，對(duì)規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換，交付或改進(jìn)服務(wù)、服務(wù)組件或者過程提供協(xié)助的服務(wù)管理體系范圍外的大型組織的一部分。例如：采購(gòu)，基礎(chǔ)設(shè)施，財(cái)務(wù)，人員，設(shè)備。3.2.9已知錯(cuò)誤knownerror已識(shí)別根本原因或已有方法可降低或消除其對(duì)服務(wù)影響的問題。3.2.10問題problem造成一個(gè)或多個(gè)實(shí)際或潛在事件的根本原因。3.2.13發(fā)布（名詞）release,noun作為一項(xiàng)或多項(xiàng)變更的結(jié)果，將一組一個(gè)或多個(gè)新的或變更的服務(wù)或服務(wù)組件部署到實(shí)際運(yùn)行環(huán)境。3.2.14變更請(qǐng)求requestforchange對(duì)服務(wù)，服務(wù)組件或服務(wù)管理體系進(jìn)行變更的提議。3.2.15服務(wù)service通過促進(jìn)客戶達(dá)成其期望的結(jié)果而向客戶提供價(jià)值的方式。3.2.16服務(wù)可用性serviceavailability服務(wù)或服務(wù)組件在指定的時(shí)間點(diǎn)或時(shí)間段完成要求的功能的能力?？捎眯酝ǔ？梢杂每蛻魧?shí)際使用服務(wù)或服務(wù)組件的時(shí)間與約定服務(wù)時(shí)間的比率或百分比來表示。3.2.17服務(wù)目錄servicecatalogue組織提供給客戶服務(wù)的文件化信息。3.2.18服務(wù)組件servicecomponent一項(xiàng)服務(wù)的單個(gè)單元，該單元與其它單元結(jié)合可提供一項(xiàng)完整的服務(wù)。例如：基礎(chǔ)設(shè)施，應(yīng)用，許可證，信息，資源或支持服務(wù)。服務(wù)組件可以由配置項(xiàng)、資產(chǎn)或其它要素構(gòu)成。3.2.19服務(wù)連續(xù)性servicecontinuity按照商定的服務(wù)可用性或連續(xù)無中斷提供服務(wù)的能力。3.2.20服務(wù)級(jí)別協(xié)議servicelevelagreementSLA組織和客戶之間定義服務(wù)和服務(wù)指標(biāo)的形成文件的協(xié)議。3.2.21服務(wù)級(jí)別目標(biāo)serviceleveltarget確定組織提供服務(wù)的可測(cè)量的特性。3.2.25服務(wù)請(qǐng)求servicerequest請(qǐng)求提供信息、建議、服務(wù)訪問或預(yù)授權(quán)變更。3.2.26服務(wù)要求servicerequirement客戶和用戶對(duì)服務(wù)的需求，包括服務(wù)級(jí)別要求，以及服務(wù)提供方的需求和服務(wù)管理體系要求以及義務(wù)。3.2.27轉(zhuǎn)換transition將一項(xiàng)新的或變更的服務(wù)移入或移出實(shí)際運(yùn)行環(huán)境所涉及的活動(dòng)。4組織環(huán)境4.1理解組織及其環(huán)境公司確定了與信息安全和信息技術(shù)服務(wù)目標(biāo)相關(guān)并影響實(shí)現(xiàn)信息安全和信息技術(shù)服務(wù)管理體系預(yù)期結(jié)果能力的外部環(huán)境、內(nèi)部環(huán)境和風(fēng)險(xiǎn)管理流程環(huán)境。確保風(fēng)險(xiǎn)準(zhǔn)則制定過程中外部相關(guān)方的目標(biāo)和關(guān)注點(diǎn)被加以考慮，與公司的文化、流程、組織架構(gòu)和戰(zhàn)略相匹配。風(fēng)險(xiǎn)管理實(shí)施中要考慮需求因素、所需資源、責(zé)任和能力及相關(guān)記錄。外部環(huán)境包括但不限于：a)社會(huì)和文化、政治、法律、監(jiān)管、金融、技術(shù)、經(jīng)濟(jì)、自然環(huán)境和競(jìng)爭(zhēng)環(huán)境，無論國(guó)家、區(qū)域或地方；b)影響公司各目標(biāo)的主要驅(qū)動(dòng)和趨勢(shì)； c)與外部利益相關(guān)方的價(jià)值觀的關(guān)系。內(nèi)部環(huán)境包括但不限于：a)治理、組織機(jī)構(gòu)、角色和責(zé)任；b)政策、目標(biāo)、實(shí)現(xiàn)目標(biāo)的戰(zhàn)略；c)自身價(jià)值觀、企業(yè)文化、知識(shí)水平。公司應(yīng)對(duì)內(nèi)部和外部環(huán)境采用以下適當(dāng)?shù)姆绞竭M(jìn)行監(jiān)視和評(píng)審：由總經(jīng)理通過公司年度總結(jié)大會(huì)進(jìn)行評(píng)審。由總經(jīng)理在公司一年一度的管理評(píng)審活動(dòng)中進(jìn)行評(píng)審。4.2理解相關(guān)方的需求和期望公司的生存與發(fā)展，依賴并來源于理解與滿足顧客、工作人員及其他相關(guān)方的需求和期望，努力做到超越顧客的需求和期望。公司的相關(guān)方主要是顧客、主管部門、工作人員以及受公司信息安全和信息技術(shù)服務(wù)影響的相關(guān)方。顧客的需求和期望主要體現(xiàn)在合同中進(jìn)行約定，公司根據(jù)合同要求滿足顧客的需求和期望；受公司信息安全和信息技術(shù)服務(wù)影響的相關(guān)方主要是政府、鄰居、員工等，因此公司嚴(yán)格按照相關(guān)法律法規(guī)要求執(zhí)行。公司總經(jīng)理以實(shí)現(xiàn)顧客、工作人員和相關(guān)方的需求和期望為目標(biāo)，在本公司內(nèi)實(shí)施如下措施：a)通過相關(guān)方調(diào)查、新聞媒體的宣傳報(bào)道、座談會(huì)等方式，及時(shí)與相關(guān)方聯(lián)系，確保相關(guān)方的需求和期望得到確定、轉(zhuǎn)化為要求并盡可能予以滿足，以提高相關(guān)方的滿意度；b)關(guān)注相關(guān)方的信息安全和信息技術(shù)服務(wù)要求，包括法律法規(guī)要求與合同義務(wù)，以求得共同的發(fā)展；公司各部門應(yīng)在管理體系運(yùn)行過程中對(duì)公司管理體系有關(guān)的相關(guān)方及其需求和期望的相關(guān)信息進(jìn)行監(jiān)視，并于每年管理評(píng)審時(shí)對(duì)其評(píng)審，保留相關(guān)的資料。c)其中哪些將通過信息安全管理體系得到解決；4.3確定信息技術(shù)服務(wù)管理體系范圍本管理手冊(cè)描述的信息技術(shù)服務(wù)管理體系要求，適用于：a)物理范圍：xxxxxxxxxxb)組織范圍：管理層、信息安全小組、xxxx部、xxxx部、技術(shù)研發(fā)部、xxxx部、xxxx部c)業(yè)務(wù)范圍：ISMS：xxxxxxxxxxx相關(guān)的信息安全管理活動(dòng)ITSMS：xxxxxxxxxxxxx相關(guān)的軟硬件運(yùn)維服務(wù)。4.4信息技術(shù)服務(wù)管理體系公司按照本手冊(cè)的規(guī)范性引用文件中所述標(biāo)準(zhǔn)的要求，建立公司信息安全管理體系和信息技術(shù)服務(wù)管理體系，包括所需的過程、過程的管理、過程組成系統(tǒng)的應(yīng)用，形成文件加以實(shí)施和保持，并持續(xù)改進(jìn)管理體系的有效性。做到：a）識(shí)別信息安全和信息技術(shù)服務(wù)管理體系所需的全部過程，包括所需的輸入和期望的輸出；b）確定過程的順序和相互作用；c）確定所需的準(zhǔn)則和方法（監(jiān)視、測(cè)量和相關(guān)績(jī)效指標(biāo)），以確保這些過程運(yùn)行和控制有效；d）確保各過程均可以獲得必要的資源和信息，以支持這些過程的運(yùn)行和對(duì)這些過程的監(jiān)視；e）規(guī)定各過程相關(guān)的責(zé)任和權(quán)限；f）應(yīng)對(duì)公司確定的風(fēng)險(xiǎn)和機(jī)遇；g）監(jiān)視、測(cè)量和分析這些過程，依據(jù)監(jiān)視、測(cè)量和分析的效果采取相應(yīng)措施，實(shí)施所需的變更，以確保實(shí)現(xiàn)過程的預(yù)期結(jié)果；h）改進(jìn)這些過程，不斷提高信息技術(shù)服務(wù)管理體系的有效性；i）保留并保持所有的按照策劃進(jìn)行的文件化信息，支持過程的有效運(yùn)行。5領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾公司總經(jīng)理通過領(lǐng)導(dǎo)和行動(dòng)，在公司業(yè)務(wù)和客戶要求的范疇內(nèi)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)公司的信息安全和信息技術(shù)服務(wù)管理能力，證實(shí)其對(duì)管理體系的領(lǐng)導(dǎo)作用和承諾：a)確保制定管理體系的方針和目標(biāo)，與戰(zhàn)略方向一致；b)確保管理計(jì)劃的創(chuàng)建、實(shí)施和維護(hù)，以支持管理方針，實(shí)現(xiàn)管理目標(biāo)、信息安全和技術(shù)服務(wù)要求；c)確保關(guān)于管理體系的決策授權(quán)合理分配；d)確保為組織和確定的客戶創(chuàng)造價(jià)值；e)確保對(duì)服務(wù)生命周期的相關(guān)方進(jìn)行控制和管理；f)確保將信息安全和信息技術(shù)服務(wù)管理體系要求整合到組織過程中；g)確保信息安全和信息技術(shù)服務(wù)管理體系以及業(yè)務(wù)活動(dòng)所需資源（基礎(chǔ)設(shè)施及環(huán)境、人力資源、設(shè)備、軟件、工具等）可用；h)溝通有效的信息安全和信息技術(shù)服務(wù)管理的重要性，實(shí)現(xiàn)管理目標(biāo)，提供價(jià)值并符合管理體系要求；i)確保管理體系達(dá)到預(yù)期結(jié)果；j)指導(dǎo)并支持相關(guān)人員為管理體系和服務(wù)的有效性做出貢獻(xiàn)，對(duì)全體員工進(jìn)行持續(xù)的信息安全和信息技術(shù)服務(wù)教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全和服務(wù)意識(shí)和能力；k)促進(jìn)信息安全和信息技術(shù)服務(wù)管理體系的持續(xù)改進(jìn)；l)支持其他相關(guān)管理者在其職責(zé)范圍內(nèi)發(fā)揮領(lǐng)導(dǎo)作用，以證實(shí)他們?cè)谄湄?zé)任范圍內(nèi)的領(lǐng)導(dǎo)作用。5.2方針5.2.1建立管理方針信息安全方針：積極預(yù)防、快速響應(yīng)、持續(xù)改進(jìn)、確保安全服務(wù)管理方針：服務(wù)至上、誠(chéng)信守約、技術(shù)創(chuàng)新、追求卓越公司倡導(dǎo)守信用、重承諾，服務(wù)做到盡善盡美；遵守服務(wù)協(xié)議和服務(wù)規(guī)范，滿足并超越客戶的需求，不斷提高信息技術(shù)服務(wù)水平。以上方針：a)適應(yīng)了公司的宗旨和環(huán)境并支持其戰(zhàn)略方向；b)為建立信息安全目標(biāo)和服務(wù)管理目標(biāo)提供框架；c)包括了對(duì)滿足適用的信息安全和技術(shù)服務(wù)管理相關(guān)要求的承諾；d)包括了對(duì)持續(xù)改進(jìn)信息安全和信息技術(shù)服務(wù)管理體系以及信息安全和服務(wù)的承諾。5.2.2溝通管理方針管理方針應(yīng)：a)可獲取并保持文件化信息；b)在公司內(nèi)得到溝通；通過會(huì)議、培訓(xùn)等方式溝通方針及其含義；c)適用時(shí)，可為相關(guān)方獲取。5.3組織的角色、責(zé)任和權(quán)限本公司最高管理層應(yīng)確保與管理體系及相關(guān)崗位的責(zé)任和權(quán)限得到分配和溝通。最高管理層應(yīng)分配責(zé)任和權(quán)限，以：a)確保管理體系符合標(biāo)準(zhǔn)的要求；b)向最高管理者報(bào)告管理體系的績(jī)效。為了有效地實(shí)施管理體系，公司規(guī)定了各級(jí)各崗位人員的職責(zé)、權(quán)限和相互關(guān)系，并在相關(guān)層次所管轄的范圍內(nèi)予以傳達(dá)，對(duì)于從事與管理體系有關(guān)工作所必需的特權(quán)，均加以規(guī)定。具體各部門職責(zé)詳見附錄1：信息安全和信息技術(shù)服務(wù)管理體系組織機(jī)構(gòu)圖及部門主要職責(zé)。為了能夠更好地貫徹公司最高管理層在管理方面的策略和方針，根據(jù)GB/T22080-2016/ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》和ISO/IEC20000-1：2018《信息技術(shù)服務(wù)管理－服務(wù)管理體系要求》的要求，任命王杰強(qiáng)為公司管理體系的管理者代表，作為公司組織和實(shí)施管理體系的負(fù)責(zé)人，直接向公司總經(jīng)理報(bào)告、負(fù)責(zé)。6規(guī)劃6.1.1總則當(dāng)策劃信息安全和信息技術(shù)服務(wù)管理體系時(shí)，組織應(yīng)考慮4.1中提及的問題和4.2中提及的要求，確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)會(huì)，以：a）確保信息安全和信息技術(shù)服務(wù)管理體系能實(shí)現(xiàn)其預(yù)期結(jié)果；b）防止或減少意外的影響；c）實(shí)現(xiàn)持續(xù)改進(jìn)。組織應(yīng)規(guī)劃:d）應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)會(huì)的措施；e）如何整合和實(shí)施這些措施并將其納入信息安全和信息技術(shù)服務(wù)管理體系過程并評(píng)價(jià)這些措施的有效性。6.1.2信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估公司通過實(shí)施和運(yùn)用信息安全和技術(shù)服務(wù)控制手段，保護(hù)信息資產(chǎn)的機(jī)密性、完整性和可訪問性，履行信息安全方針和服務(wù)管理方針的要求，實(shí)現(xiàn)管理目標(biāo)，管理信息安全相關(guān)風(fēng)險(xiǎn)。公司通過建立《風(fēng)險(xiǎn)評(píng)估控制程序》定義并應(yīng)用風(fēng)險(xiǎn)評(píng)估過程，保證風(fēng)險(xiǎn)接受和執(zhí)行信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估的一致性、有效性和可比較的結(jié)果。通過識(shí)別信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)，如應(yīng)用信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估過程來識(shí)別信息技術(shù)服務(wù)和信息安全管理體系范圍內(nèi)的信息喪失保密性、完整性和可用性的相關(guān)風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)責(zé)任人。在分析信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)時(shí)，評(píng)估所識(shí)別風(fēng)險(xiǎn)的級(jí)別，發(fā)生后將導(dǎo)致的潛在影響和風(fēng)險(xiǎn)發(fā)生的現(xiàn)實(shí)可能性。將分析評(píng)估結(jié)果按風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較；為實(shí)施風(fēng)險(xiǎn)處置確定已分析風(fēng)險(xiǎn)的優(yōu)先級(jí)。信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估過程，應(yīng)：（1）建立并保持信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)接受準(zhǔn)則和執(zhí)行信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則；（2）確保重復(fù)性的信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估可產(chǎn)生一致的，有效的和可比較的結(jié)果；（3）識(shí)別信息安全體系范圍內(nèi)的信息喪失保密性、完整性和可用性的相關(guān)風(fēng)險(xiǎn)和責(zé)任人。（4）分析、評(píng)估所識(shí)別的風(fēng)險(xiǎn)發(fā)生后將導(dǎo)致的潛在影響和現(xiàn)實(shí)可能性，確定風(fēng)險(xiǎn)級(jí)別；（5）將風(fēng)險(xiǎn)分析結(jié)果同風(fēng)險(xiǎn)接受準(zhǔn)則進(jìn)行對(duì)比，確定實(shí)施風(fēng)險(xiǎn)處置的優(yōu)先級(jí)。6.1.3信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置在定義并應(yīng)用信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置過程，具體如下：（1）在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的前提下，選擇適當(dāng)?shù)男畔踩图夹g(shù)服務(wù)風(fēng)險(xiǎn)處置選項(xiàng)；（2）為實(shí)施所選擇的信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置選項(xiàng)，確定所有必需的控制措施；（3）將確定的控制措施與《信息安全適用性聲明》的控制措施進(jìn)行比較，以核實(shí)沒有遺漏必要的控制措施；（4）確定適用性聲明。適用性聲明要包含必要的控制措施、對(duì)包含的合理性聲明以及刪減的合理性說明。（5）制定信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置計(jì)劃；（6）公司最高管理者對(duì)信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置計(jì)劃以及接受信息安全技術(shù)服務(wù)殘余風(fēng)險(xiǎn)的批準(zhǔn)。6.2管理目標(biāo)及其實(shí)現(xiàn)規(guī)劃6.2.1確定目標(biāo)公司應(yīng)在相關(guān)職能和層級(jí)上制定管理目標(biāo)。管理目標(biāo)應(yīng)：a)與管理方針保持一致；b)可測(cè)量；c)考慮適用的要求；d)予以監(jiān)視；e)予以溝通；f)適當(dāng)時(shí)更新。應(yīng)保留有關(guān)服務(wù)管理目標(biāo)的文件化信息。管理目標(biāo)：信息安全泄密事件0件年度客戶信息安全投訴件數(shù)<3件客戶資料外泄事件為0源代碼泄露事件為0客戶數(shù)據(jù)外泄事件為0服務(wù)客戶滿意率≥90%；年度服務(wù)中斷時(shí)間≤8小時(shí)；6.2.2策劃實(shí)現(xiàn)目標(biāo)公司應(yīng)制定目標(biāo)實(shí)現(xiàn)的規(guī)劃，在策劃如何實(shí)現(xiàn)管理目標(biāo)時(shí)，組織應(yīng)確定：a)要做什么；b)需要什么資源；c)由誰負(fù)責(zé)；d)什么時(shí)候完成；e)如何評(píng)價(jià)結(jié)果。6.3規(guī)劃信息技術(shù)服務(wù)管理體系公司應(yīng)制定、實(shí)施和維護(hù)服務(wù)管理計(jì)劃，計(jì)劃應(yīng)考慮到服務(wù)管理方針、服務(wù)管理目標(biāo)、風(fēng)險(xiǎn)與機(jī)遇、服務(wù)要求和標(biāo)準(zhǔn)的要求。服務(wù)管理計(jì)劃應(yīng)包含或引用以下內(nèi)容：a)服務(wù)清單；b)影響服務(wù)管理體系和服務(wù)的已知限制；c)有關(guān)的方針、標(biāo)準(zhǔn)和法律法規(guī)要求、合同的義務(wù)；d)服務(wù)管理體系和服務(wù)的權(quán)限、職責(zé)；e)運(yùn)行服務(wù)管理體系和服務(wù)所需要的人員、技術(shù)、信息和財(cái)務(wù)資源；f)服務(wù)生命周期中和相關(guān)方合作采取的工作方法；g)支持服務(wù)管理體系的技術(shù)；h)如何測(cè)量、審核、報(bào)告和改進(jìn)服務(wù)管理體系和服務(wù)的有效性。公司對(duì)特定過程生成的計(jì)劃應(yīng)與服務(wù)管理計(jì)劃保持一致。對(duì)服務(wù)管理計(jì)劃應(yīng)按照計(jì)劃時(shí)間間隔評(píng)審，如不適用，要進(jìn)行更新。7支持7.1資源總經(jīng)理及各級(jí)管理者負(fù)責(zé)確定和提供以下活動(dòng)所需要的人員、技術(shù)、信息和財(cái)務(wù)資源：1）建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)管理體系和運(yùn)行所需的資源；2）滿足服務(wù)要求和實(shí)現(xiàn)管理目標(biāo)所需的資源。以保證：a) 建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)管理體系；b) 確保程序支持業(yè)務(wù)要求；c) 識(shí)別并指出法律法規(guī)要求和合同責(zé)任；d) 通過正確應(yīng)用所實(shí)施的所有控制來保持充分的服務(wù)；e) 必要時(shí)，進(jìn)行評(píng)審，并對(duì)評(píng)審的結(jié)果采取適當(dāng)措施；f) 需要時(shí)，改進(jìn)管理體系的有效性。7.2能力為有效地實(shí)施信息安全和信息技術(shù)服務(wù)管理，貫徹管理方針，實(shí)現(xiàn)管理目標(biāo)，必須對(duì)管理體系涉及的所有人員從適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)方面來考慮員工的資源能力，尤其是從事與信息安全和技術(shù)服務(wù)活動(dòng)有關(guān)的人員，來考核其影響本公司信息安全和技術(shù)服務(wù)績(jī)效所需的能力水平，以增強(qiáng)其信息安全和技術(shù)服務(wù)能力水平，保證其勝任所在崗位的工作。公司應(yīng)：a)確定在組織控制下從事會(huì)影響組織信息安全和信息技術(shù)服務(wù)管理體系以及信息安全和服務(wù)的績(jī)效與有效性的工作人員的必要能力；b)基于適當(dāng)?shù)慕逃⑴嘤?xùn)或經(jīng)驗(yàn)，確保這些人員是勝任的；c)適用時(shí)，采取措施以獲得所需的能力，并評(píng)價(jià)措施的有效性；d)保留適當(dāng)?shù)奈募畔ⅲ鳛槿藛T能力的證據(jù)。適用的措施可包括：如針對(duì)在職人員提供培訓(xùn)、輔導(dǎo)或重新分配；聘任或外包能勝任的人員。7.3意識(shí)公司應(yīng)確保在其控制下的工作人員知曉并理解：a)服務(wù)管理方針；b)服務(wù)管理目標(biāo)；c)與自身工作有關(guān)的服務(wù)；d)其對(duì)管理體系有效性的貢獻(xiàn)，包括改進(jìn)績(jī)效帶來的益處；e)不符合管理體系要求帶來的后果和影響。7.4溝通公司應(yīng)建立溝通機(jī)制和渠道，確定與管理體系范圍內(nèi)的業(yè)務(wù)相關(guān)的內(nèi)部和外部的溝通，包括：a)溝通什么；b)何時(shí)溝通；c)與誰溝通；d)如何溝通；e)誰負(fù)責(zé)溝通。公司已了解到與信息安全和技術(shù)服務(wù)管理人員之間溝通的重要性，相關(guān)部門與信息安全和技術(shù)服務(wù)管理人員通過會(huì)議、內(nèi)部平臺(tái)、網(wǎng)絡(luò)、通訊、評(píng)審報(bào)告及反饋等方式進(jìn)行溝通，并傳達(dá)信息安全和信息技術(shù)服務(wù)管理體系的重要性。溝通包括內(nèi)部和外部的溝通。7.5文件化信息7.5.1總則為確保有效的規(guī)劃、運(yùn)行和控制信息安全與服務(wù)管理，公司制定以下四個(gè)層次與類別的文件：a) 管理手冊(cè)：信息安全和信息技術(shù)服務(wù)管理體系過程描述，包含管理方針與目標(biāo)、管理體系覆蓋范圍。b) 程序文件：描述各個(gè)管理過程，支持管理手冊(cè)的實(shí)施與運(yùn)行。c) 作業(yè)文件：為確保過程的有效規(guī)劃、運(yùn)行的控制所需要的形成文件的規(guī)程，是開展具體業(yè)務(wù)工作的規(guī)范類、指導(dǎo)性文件，也是程序文件的支持性文件等。d) 記錄：在開展具體業(yè)務(wù)工作過程中產(chǎn)生的記錄類文件，主要是為具體工作結(jié)果提供各種可追溯性證據(jù)。7.5.2創(chuàng)建和更新創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模篴)標(biāo)識(shí)和描述（例如標(biāo)題、日期、作者或索引編號(hào)）；b)格式（例如語言、軟件版本、圖表）和介質(zhì)（例如紙質(zhì)的、電子的）；c)評(píng)審和批準(zhǔn)，以保持適宜性和充分性。7.5.3文件化信息的控制編制《文件控制程序》和《記錄控制程序》，用以控制管理體系運(yùn)行所需要的文件，以確保：a)在需要的場(chǎng)合和時(shí)機(jī)，均可獲得并適用；b)予以妥善保護(hù)（如防止泄密、不當(dāng)使用或者缺失等）；為控制文件化信息，適用時(shí)，組織應(yīng)進(jìn)行下列活動(dòng)：a)分發(fā)，訪問，檢索和使用；b)存儲(chǔ)和保護(hù)，包括保持可讀性；c)變更控制（例如版本控制）；d)保留和處置；e)對(duì)于組織確定的策劃和運(yùn)行管理體系所必需的來自外部的文件化信息，應(yīng)得到適當(dāng)?shù)淖R(shí)別，并予以控制。7.5.4管理體系文件化信息管理體系文件化信息包括：a)管理體系范圍；b)管理方針和目標(biāo)；c)服務(wù)管理計(jì)劃；d)變更管理方針、信息安全方針和服務(wù)連續(xù)性計(jì)劃（一個(gè)或多個(gè)）；e)管理體系的過程；f)信息安全與服務(wù)要求；g)服務(wù)目錄；h)服務(wù)級(jí)別協(xié)議（SLA）；i)與外部供應(yīng)商的合同；j)與內(nèi)部供應(yīng)商和充當(dāng)供應(yīng)商的客戶的協(xié)議；k)ISO/IEC27001:2022標(biāo)準(zhǔn)、ISO/IEC20000-1:2018標(biāo)準(zhǔn)要求的程序；l)證明符合ISO/IEC27001:2022標(biāo)準(zhǔn)、ISO/IEC20000-1:2018標(biāo)準(zhǔn)和管理體系要求的記錄。7.6知識(shí)公司應(yīng)確定和保持必要的知識(shí)，以運(yùn)行服務(wù)管理體系和服務(wù)。這些知識(shí)對(duì)適用的人員應(yīng)是相關(guān)的、可用的、有用的。注：知識(shí)是與管理體系、服務(wù)和相關(guān)方有關(guān)的，使用和共享知識(shí)以實(shí)現(xiàn)預(yù)期結(jié)果和運(yùn)行管理體系及服務(wù)。8運(yùn)行8.1運(yùn)行策劃和控制公司應(yīng)通過下列諸項(xiàng)以策劃、實(shí)施和控制滿足要求所需的過程，并實(shí)施第6章中確定的措施：a)基于要求，建立過程的績(jī)效準(zhǔn)則；b)按照績(jī)效準(zhǔn)則實(shí)施過程控制；c)應(yīng)保持文件化信息達(dá)到必要的程度，以確保這些過程按計(jì)劃得到執(zhí)行；d)應(yīng)控制策劃的變更并評(píng)審非預(yù)期變更的后果，必要時(shí)，采取措施減輕不利影響（見8.5.1）。e)應(yīng)確保外包過程受控（見8.2.3）。8.2服務(wù)組合8.2.1服務(wù)交付公司應(yīng)運(yùn)行管理體系，確?；顒?dòng)和資源的協(xié)調(diào)。公司應(yīng)執(zhí)行提供服務(wù)所需要的活動(dòng)。服務(wù)組合通常管理服務(wù)生命周期中的所有服務(wù)，包括服務(wù)目錄中的、已存在的、正在實(shí)施中的、變更中的服務(wù)和即將停止的服務(wù)。服務(wù)組合管理確保公司有正確的服務(wù)構(gòu)成。服務(wù)組合管理活動(dòng)包括服務(wù)策劃、控制服務(wù)生命周期的相關(guān)方、服務(wù)目錄管理、資產(chǎn)管理和配置管理。8.2.2策劃服務(wù)已存在服務(wù)、新服務(wù)、服務(wù)變更的要求應(yīng)確認(rèn)和保留文件化信息。公司應(yīng)基于組織、客戶、用戶和相關(guān)方的需求確認(rèn)服務(wù)的關(guān)鍵性。公司應(yīng)確認(rèn)和管理服務(wù)間的依賴性和重復(fù)性。考慮已知限制和風(fēng)險(xiǎn)，公司應(yīng)提議服務(wù)變更，以便服務(wù)與服務(wù)管理方針、服務(wù)管理目標(biāo)和服務(wù)要求保持一致。考慮可用資源，公司應(yīng)對(duì)服務(wù)變更請(qǐng)求、提議新服務(wù)、服務(wù)變更進(jìn)行優(yōu)先排序，以便服務(wù)管理目標(biāo)和業(yè)務(wù)目標(biāo)保持一致。8.2.3控制服務(wù)生命周期的相關(guān)方無論任何相關(guān)方涉及到在支持服務(wù)生命周期中執(zhí)行活動(dòng)，公司應(yīng)對(duì)標(biāo)準(zhǔn)規(guī)定的要求和提供的服務(wù)負(fù)責(zé)。應(yīng)確認(rèn)和應(yīng)用標(biāo)準(zhǔn)來評(píng)估和選擇服務(wù)生命周期中的其它相關(guān)方。其它相關(guān)方可以是外部供應(yīng)商、內(nèi)部供應(yīng)商和客戶充當(dāng)?shù)墓?yīng)商。其它相關(guān)方不應(yīng)提供和運(yùn)行信息技術(shù)服務(wù)管理體系范圍內(nèi)所有的服務(wù)、服務(wù)組件或流程（不可全部外包）。公司應(yīng)確認(rèn)和文件化下列內(nèi)容：a)其它相關(guān)方提供和運(yùn)行的服務(wù)；b)其它相關(guān)方提供和運(yùn)行的服務(wù)組件；c)其它相關(guān)方運(yùn)行的信息技術(shù)服務(wù)管理體系范圍內(nèi)的流程或部分流程。公司應(yīng)集成組織自身或其它相關(guān)方提供和運(yùn)行的服務(wù)管理體系范圍內(nèi)的服務(wù)、服務(wù)組件和流程，以滿足服務(wù)要求。公司應(yīng)進(jìn)行協(xié)調(diào)包括服務(wù)生命周期中規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換、交付和改進(jìn)活動(dòng)的其它相關(guān)方。公司應(yīng)對(duì)其它相關(guān)方定義和應(yīng)用下列控制措施：a)測(cè)量和評(píng)估過程績(jī)效；b)測(cè)量和評(píng)估服務(wù)、服務(wù)組件滿足服務(wù)要求的有效性。8.2.4服務(wù)目錄管理公司應(yīng)創(chuàng)建和維護(hù)一個(gè)或多個(gè)服務(wù)目錄。服務(wù)目錄應(yīng)包括描述服務(wù)的組織、客戶、用戶和其它相關(guān)方的信息、它們預(yù)期的結(jié)果和服務(wù)間依賴關(guān)系。組織應(yīng)向客戶、用戶和其它相關(guān)方提供合適的訪問（部分）服務(wù)目錄的渠道。公司內(nèi)部經(jīng)過評(píng)審，制訂公司服務(wù)目錄。服務(wù)目錄應(yīng)定義所有服務(wù)，并包含服務(wù)名稱、服務(wù)目標(biāo)或標(biāo)準(zhǔn)、聯(lián)系接口、服務(wù)提供時(shí)間和例外、安全方面的考慮和安排。服務(wù)目錄是公司所提供的服務(wù)內(nèi)容的匯總，公司與客戶簽署SLA時(shí)應(yīng)參考。公司應(yīng)該根據(jù)當(dāng)前的服務(wù)能力對(duì)服務(wù)目錄進(jìn)行更新與維護(hù)。8.2.5資產(chǎn)管理公司應(yīng)確保管理用于提供服務(wù)的資產(chǎn)以滿足服務(wù)要求和條款6.3c）規(guī)定的義務(wù)。8.2.6配置管理應(yīng)根據(jù)《配置管理程序》的要求，評(píng)估所有與信息技術(shù)服務(wù)相關(guān)的重要資產(chǎn)和配置項(xiàng)，識(shí)別、定義、維護(hù)信息技術(shù)服務(wù)和基礎(chǔ)設(shè)施的組件，明確配置項(xiàng)之間的關(guān)系、屬性和作用，定義命名規(guī)范、版本號(hào)，以確保有效管理IT資產(chǎn)和配置。制訂和實(shí)施《配置項(xiàng)分類定義表》，每個(gè)配置項(xiàng)的配置信息應(yīng)包括：a)唯一性標(biāo)識(shí)；b)配置項(xiàng)類型；c)配置項(xiàng)描述；d)與其它配置項(xiàng)的關(guān)系；e)狀態(tài)。適用時(shí)，被管理的配置項(xiàng)主要包括：a) 信息系統(tǒng)和軟件的發(fā)布，相關(guān)系統(tǒng)文檔，例如要求規(guī)范、設(shè)計(jì)、測(cè)試報(bào)告、發(fā)布文檔；b) 為每個(gè)項(xiàng)目或信息系統(tǒng)應(yīng)用環(huán)境配置基線、或描述應(yīng)用環(huán)境、標(biāo)準(zhǔn)硬件（如安裝過的終端設(shè)備）組成和發(fā)布；c) 備份和電子資料庫，如最終軟件庫（DSL）；d) 配置管理包或工具；e) 許可證；f) 安全組件，例如防火墻；g) 服務(wù)相關(guān)文檔，例如服務(wù)級(jí)別協(xié)議、活動(dòng)程序；h) 支持設(shè)施，例如機(jī)房電源。根據(jù)配置項(xiàng)之間的關(guān)系、屬性、狀態(tài)類別、重要程度和優(yōu)先級(jí)，確定配置信息的范圍、分解的層數(shù)、詳細(xì)的程度，完成配置信息的構(gòu)建，形成配置基線，并和公司的服務(wù)目標(biāo)和SLA保持一致。服務(wù)要根據(jù)配置項(xiàng)進(jìn)行分類?？芍朴啞杜渲霉芾碛?jì)劃》，并每年進(jìn)行更新。計(jì)劃的主要內(nèi)容應(yīng)包括：a) 配置管理的范圍、目標(biāo)、策略、標(biāo)準(zhǔn)角色和責(zé)任。b) 配置管理流程定義服務(wù)和基礎(chǔ)設(shè)施中配置項(xiàng)，配置控制變更，記錄和報(bào)告配置項(xiàng)情況，證實(shí)配置項(xiàng)的完整性和正確性。c) 責(zé)任、可檢索、可審計(jì)的要求，例如出于安全、法律、規(guī)章或業(yè)務(wù)目的。d) 配置控制（訪問、保護(hù)、版本、開發(fā)、發(fā)布控制）。e) 交互控制流程，及信息接口和發(fā)布。f) 資源管理規(guī)劃和建立，以便使資產(chǎn)和配置受控，并維持配置管理系統(tǒng)，如培訓(xùn)活動(dòng)。g) 與配置相關(guān)的供應(yīng)商管理要求和活動(dòng)。在配置管理過程中應(yīng)監(jiān)控配置項(xiàng)的整個(gè)生命周期，確保只有被授權(quán)且可識(shí)別的配置項(xiàng)才被接受，并記錄從接受到銷毀的全過程；沒有被認(rèn)可的變更請(qǐng)求，不能添加、修改、替換或刪除配置項(xiàng)。應(yīng)保存有效的配置記錄，以反映配置項(xiàng)狀態(tài)、位置和版本的變化，并通過各種狀態(tài)監(jiān)控配置項(xiàng)的變更，例如訂購(gòu)、接收、測(cè)試、使用、變更、拆卸、取消。配置項(xiàng)的更新信息應(yīng)作為配置管理計(jì)劃和變更管理的輸入。為保護(hù)系統(tǒng)、服務(wù)和基礎(chǔ)設(shè)施的完整性和安全性，配置項(xiàng)信息應(yīng)被保存在一個(gè)安全環(huán)境。應(yīng)：a) 保護(hù)其不受未授權(quán)訪問、變更或破壞。b) 提供災(zāi)害后恢復(fù)方法。c) 對(duì)受控軟件、測(cè)試產(chǎn)品和支持文檔等備份的恢復(fù)進(jìn)行限制。配置評(píng)審程序應(yīng)包含缺陷記錄、執(zhí)行糾正措施和報(bào)告結(jié)果。應(yīng)定期編制《配置項(xiàng)管理報(bào)告》，報(bào)告應(yīng)包括：配置項(xiàng)最新版本、配置項(xiàng)的位置和軟件主要版本的位置、相互依賴關(guān)系、版本歷史。在任何時(shí)候都可核對(duì)配置項(xiàng)以下內(nèi)容：服務(wù)配置項(xiàng)或系統(tǒng)、變更、基準(zhǔn)線、開發(fā)或發(fā)布、版本或變量。應(yīng)在計(jì)劃的時(shí)間間隔內(nèi)組織相關(guān)部門實(shí)施配置認(rèn)可和審核活動(dòng)，并檢查是否有充分的資源以支持：a) 保護(hù)物理配置和公司的知識(shí)資本；b) 確保公司控制其配置、原件和許可證；c) 確保配置信息準(zhǔn)確、可控、可見。應(yīng)確保變更、發(fā)布、系統(tǒng)或環(huán)境符合其合同約定或事先約定的要求且配置記錄是準(zhǔn)確的。配置項(xiàng)的變更應(yīng)可追溯和可審計(jì)，以維護(hù)配置信息的完整性。配置項(xiàng)的變更發(fā)布后，配置項(xiàng)應(yīng)更新。適用時(shí)，配置信息應(yīng)對(duì)其它服務(wù)管理活動(dòng)可用。在審核中出現(xiàn)的缺陷或不符合項(xiàng)應(yīng)被記錄、評(píng)估和改進(jìn)。8.3關(guān)系與協(xié)議8.3.1總則公司可以通過供應(yīng)商以：a)提供和運(yùn)行服務(wù)；b)提供和運(yùn)行服務(wù)組件；c)運(yùn)行服務(wù)管理體系范圍內(nèi)的流程或部分流程。8.3.2業(yè)務(wù)關(guān)系管理對(duì)公司提供服務(wù)的客戶、用戶和其他相關(guān)方建立檔案。定期組織相關(guān)部門開展服務(wù)管理評(píng)價(jià)活動(dòng)，討論匯報(bào)服務(wù)范圍、SLA、合同或業(yè)務(wù)需求的變化，及性能、成績(jī)、結(jié)果和措施計(jì)劃；評(píng)審服務(wù)的績(jī)效趨勢(shì)和服務(wù)的結(jié)果。當(dāng)服務(wù)目標(biāo)、服務(wù)需求、支持合同、業(yè)務(wù)等發(fā)生新增、變更或撤銷時(shí)，應(yīng)提出并評(píng)估服務(wù)范圍和SLA的改進(jìn)方案，變更的結(jié)果以書面形式及時(shí)通知相關(guān)的部門和客戶，并監(jiān)控改進(jìn)措施的實(shí)施。與客戶建立有效的互動(dòng)、溝通關(guān)系，以便及時(shí)了解客戶的需求或重大變更，并依據(jù)需求進(jìn)行響應(yīng)。定義、收集、分析客戶滿意度數(shù)據(jù)和信息，按計(jì)劃的時(shí)間間隔，根據(jù)客戶的代表性樣本衡量對(duì)服務(wù)的滿意度，應(yīng)對(duì)結(jié)果進(jìn)行分析、評(píng)審，以確定改進(jìn)的機(jī)會(huì)，監(jiān)控客戶滿意度的趨勢(shì)。定義客戶投訴的范圍、類別、接口、處理及升級(jí)措施，以便有效處理客戶投訴。按客戶投訴管理流程，記錄、調(diào)查、反應(yīng)、報(bào)告和關(guān)閉所有正式服務(wù)投訴，定期收集、統(tǒng)計(jì)、分析客戶投訴的記錄，識(shí)別投訴的發(fā)展趨勢(shì)和存在問題，確保服務(wù)的持續(xù)性目標(biāo)的實(shí)現(xiàn)。8.3.3服務(wù)級(jí)別管理根據(jù)公司的戰(zhàn)略規(guī)劃、資源要求及客戶需求，與其他相關(guān)部門溝通、確定SLA時(shí)，應(yīng)考慮：可接受持續(xù)損失服務(wù)的最大周期；可接受降級(jí)服務(wù)的最大周期；服務(wù)恢復(fù)時(shí)，可接受降級(jí)服務(wù)級(jí)別?？蛻舸砼c客戶簽訂《服務(wù)級(jí)別協(xié)議》。應(yīng)明確：服務(wù)要求和期望服務(wù)工作量特征的協(xié)議、服務(wù)目標(biāo)協(xié)議、服務(wù)級(jí)別實(shí)現(xiàn)、工作量的測(cè)量和報(bào)告，以及服務(wù)目標(biāo)不能完成的分析與說明?！斗?wù)級(jí)別協(xié)議》包含以下內(nèi)容：服務(wù)的簡(jiǎn)述、術(shù)語表、客戶職責(zé)、服務(wù)部門職責(zé)和義務(wù)、服務(wù)目標(biāo)、服務(wù)時(shí)間、工作量限制（最大及最小工作量）、支持和相關(guān)服務(wù)、影響和優(yōu)先級(jí)描述、授權(quán)細(xì)節(jié)及授權(quán)人員聯(lián)系信息、有效期或SLA變更控制機(jī)制（包含升級(jí)和通知流程）、服務(wù)中斷采取的糾正措施、計(jì)劃和協(xié)調(diào)中斷（包括通知事件及頻率）、溝通的簡(jiǎn)述（包括報(bào)告、投訴程序）、在SLA中規(guī)定條款的例外情況。應(yīng)依據(jù)與客戶簽訂的SLA的要求，組織簽署與供應(yīng)商之間的支持合同（或協(xié)議）。當(dāng)出現(xiàn)重要業(yè)務(wù)變更時(shí)，應(yīng)及時(shí)溝通，按原流程重新組織相關(guān)部門，調(diào)整、修訂《服務(wù)級(jí)別協(xié)議》，并作為服務(wù)改進(jìn)計(jì)劃的輸入。按計(jì)劃的時(shí)間間隔對(duì)以下方面進(jìn)行監(jiān)視、評(píng)審和報(bào)告：a）針對(duì)服務(wù)級(jí)別目標(biāo)的績(jī)效；b）與SLA中的工作量限制相比，工作量的實(shí)際和周期性變化。如果未達(dá)到服務(wù)級(jí)別目標(biāo)，則應(yīng)識(shí)別改進(jìn)機(jī)會(huì)。8.3.4供應(yīng)商管理對(duì)涉及的所有供應(yīng)商提供的技術(shù)服務(wù)過程進(jìn)行管理，完善供應(yīng)商管理制度和采購(gòu)規(guī)范，實(shí)施采購(gòu)，確保：供應(yīng)商了解其對(duì)本公司承擔(dān)的責(zé)任。服務(wù)要求滿足協(xié)議約定的服務(wù)級(jí)別和范圍。管理變更。記錄與相關(guān)各方的業(yè)務(wù)交流。了解所有供應(yīng)商的業(yè)績(jī)并采取相應(yīng)改進(jìn)措施。應(yīng)指定一名或多名專人負(fù)責(zé)管理與外部供應(yīng)商的關(guān)系、合同和績(jī)效。組織相關(guān)部門對(duì)外部供應(yīng)商提供服務(wù)的所滿足的需求、范圍、服務(wù)級(jí)別、接口和溝通流程等進(jìn)行評(píng)審并達(dá)成一致，按公司正式授權(quán)，組織簽署與外部供應(yīng)商之間的支持合同或供貨協(xié)議。合同中應(yīng)包括或包含對(duì)以下內(nèi)容的引用：服務(wù)、角色、責(zé)任的定義。由外部供應(yīng)商提供或運(yùn)營(yíng)的服務(wù)范圍，服務(wù)組件，過程或過程的一部分。外部供應(yīng)商應(yīng)滿足的要求。服務(wù)級(jí)別目標(biāo)或其他合同義務(wù)。組織和外部供應(yīng)商的權(quán)限和責(zé)任。與外部供應(yīng)商簽署的支持合同或供貨協(xié)議應(yīng)確保與本公司向客戶提供服務(wù)的SLA相關(guān)聯(lián)，并保持一致。當(dāng)公司與外部供應(yīng)商的支持合同或供貨協(xié)議需要修訂或變更時(shí)，應(yīng)重新組織相關(guān)部門進(jìn)行合同評(píng)審，在評(píng)審中應(yīng)討論和明確對(duì)本公司SLA的影響和變更，并按照《變更管理程序》的要求實(shí)施。按計(jì)劃的時(shí)間間隔，對(duì)公司合格供應(yīng)商進(jìn)行年度評(píng)審，監(jiān)督、評(píng)價(jià)、記錄外部供應(yīng)商對(duì)本公司SLA的落實(shí)情況和績(jī)效，將評(píng)定的結(jié)果及時(shí)反饋給相關(guān)供應(yīng)商，并組織進(jìn)行相關(guān)調(diào)整和改進(jìn)。應(yīng)組織管理與外部供應(yīng)商之間的合同沖突，并在支持合同或供貨協(xié)議中明確。如果爭(zhēng)議無法通過正常途徑解決時(shí)，應(yīng)交由更高級(jí)別的解決途徑。應(yīng)確保所有合同沖突被記錄、調(diào)查、解決并正式關(guān)閉。對(duì)于每個(gè)內(nèi)部供應(yīng)商或充當(dāng)供應(yīng)商的客戶，應(yīng)編制、商定和維護(hù)文件化協(xié)議，以定義各方之間的服務(wù)級(jí)別目標(biāo)、其它承諾、活動(dòng)和接口。應(yīng)按計(jì)劃的時(shí)間間隔，監(jiān)視內(nèi)部供應(yīng)商或充當(dāng)供應(yīng)商的客戶的績(jī)效。如果未達(dá)到服務(wù)級(jí)別目標(biāo)和其它商定的承諾，應(yīng)組織進(jìn)行相關(guān)調(diào)整和改進(jìn)，確保改進(jìn)機(jī)會(huì)得到識(shí)別。8.4供應(yīng)與需求8.4.1服務(wù)預(yù)算與核算公司編制并實(shí)施：a)服務(wù)組件的預(yù)算和核算至少包括：1)用于提供服務(wù)的資產(chǎn)（包括許可證）；2)共享資源；3)管理費(fèi)用；4)資金和運(yùn)行費(fèi)用；5)外部供應(yīng)商的服務(wù)；6)人員；7)設(shè)施；b)與服務(wù)相關(guān)的間接成本和直接成本的分?jǐn)?，并為每個(gè)服務(wù)提供總體成本；c)有效的財(cái)物控制和授權(quán)。應(yīng)對(duì)支出進(jìn)行預(yù)算，使交付的服務(wù)能有效地進(jìn)行財(cái)務(wù)控制和業(yè)務(wù)決策。應(yīng)按計(jì)劃的時(shí)間間隔，對(duì)比預(yù)算監(jiān)視并報(bào)告預(yù)算的支出，評(píng)審財(cái)務(wù)預(yù)測(cè)，從而管理支出。應(yīng)根據(jù)國(guó)家的有關(guān)法律法規(guī)和財(cái)務(wù)政策的要求，根據(jù)公司的業(yè)務(wù)策略（包括產(chǎn)品策略、銷售策略、服務(wù)策略等），組織擬制、審核公司及部門的總體性和階段性的信息技術(shù)服務(wù)費(fèi)用預(yù)算及成本標(biāo)準(zhǔn)。各部門根據(jù)公司業(yè)務(wù)發(fā)展戰(zhàn)略、公司現(xiàn)有的SLA要求，及本部門業(yè)務(wù)的特點(diǎn)，按部門工作計(jì)劃的內(nèi)容，組織擬制本部門階段性的費(fèi)用預(yù)算計(jì)劃，經(jīng)匯總、報(bào)批后實(shí)施。在預(yù)算期間出現(xiàn)的服務(wù)變更引起的預(yù)算變化，相關(guān)部門應(yīng)按要求執(zhí)行預(yù)算變更申請(qǐng)。在對(duì)《服務(wù)級(jí)別協(xié)議》進(jìn)行評(píng)審時(shí)，應(yīng)根據(jù)公司策略，評(píng)估實(shí)現(xiàn)服務(wù)目標(biāo)和需求的成本，并根據(jù)確定的服務(wù)級(jí)別協(xié)議跟蹤成本的變化。應(yīng)在服務(wù)變更時(shí)，計(jì)算服務(wù)變更成本，并通過《變更管理程序》進(jìn)行批準(zhǔn)。應(yīng)根據(jù)預(yù)算編制跟蹤財(cái)務(wù)變化，對(duì)超出預(yù)算要求的變化，提前向相關(guān)部門和公司領(lǐng)導(dǎo)提出預(yù)警信號(hào)。8.4.2需求管理為了理解并滿足客戶當(dāng)前和未來的需求，按照策劃的時(shí)間間隔，公司及相關(guān)部門應(yīng)：a)確定服務(wù)當(dāng)前需求和預(yù)測(cè)未來需求；b)監(jiān)視和報(bào)告服務(wù)需求與使用情況。能力管理與需求管理配合，策劃和提供充足的能力以滿足需求。8.4.3能力管理應(yīng)根據(jù)服務(wù)和性能要求，并考慮公司人員、技術(shù)、信息和財(cái)務(wù)資源進(jìn)行能力規(guī)劃。能力規(guī)劃至少應(yīng)包括：a)基于服務(wù)需求，當(dāng)前和預(yù)測(cè)的能力；b)對(duì)約定的服務(wù)等級(jí)目標(biāo)、服務(wù)可用性、服務(wù)連續(xù)性要求的預(yù)期影響；c)服務(wù)能力變更的時(shí)間跨度和閥值。應(yīng)統(tǒng)計(jì)當(dāng)前信息技術(shù)服務(wù)的實(shí)際性能和預(yù)期要求的運(yùn)行信息，以支持服務(wù)業(yè)務(wù)的開展。應(yīng)根據(jù)服務(wù)特點(diǎn)、服務(wù)量、服務(wù)報(bào)告和客戶業(yè)務(wù)等信息，組織對(duì)能力規(guī)劃進(jìn)行評(píng)審，并保留評(píng)審相關(guān)的記錄。當(dāng)出現(xiàn)臨時(shí)的新增或變更服務(wù)時(shí)，應(yīng)根據(jù)要求，及時(shí)對(duì)能力規(guī)劃的相關(guān)內(nèi)容進(jìn)行評(píng)估和更新。8.5服務(wù)設(shè)計(jì)、構(gòu)建與轉(zhuǎn)換8.5.1變更管理變更管理方針根據(jù)公司業(yè)務(wù)需要或客戶需求，應(yīng)建立變更管理方針并形成文件，以定義：a)受變更管理控制的服務(wù)組件和其它元素；b)變更類別，包括緊急變更，以及如何管理；c)確定可能對(duì)客戶或服務(wù)產(chǎn)生重大影響的變更的判斷標(biāo)準(zhǔn)。變更管理方針：控制服務(wù)變更，降低變更風(fēng)險(xiǎn)變更管理啟動(dòng)所有變更請(qǐng)求，包括增加、刪除或轉(zhuǎn)移服務(wù)的提議，應(yīng)予以記錄和分類。對(duì)以下情形，公司應(yīng)按照8.5.2條款中的服務(wù)設(shè)計(jì)和轉(zhuǎn)換進(jìn)行管理：a)根據(jù)變更管理方針，可能對(duì)客戶或其它服務(wù)產(chǎn)生重大影響的新服務(wù)；b)根據(jù)變更管理方針，可能對(duì)客戶或其它服務(wù)產(chǎn)生重大影響的服務(wù)變更；c)根據(jù)變更管理方針，應(yīng)由服務(wù)設(shè)計(jì)和轉(zhuǎn)換管理的變更類別；d)服務(wù)的下線；e)將現(xiàn)有服務(wù)從公司轉(zhuǎn)移到客戶或其它各方；f)將現(xiàn)有服務(wù)從客戶或其它各方轉(zhuǎn)移到公司。應(yīng)通過條款中的“變更管理活動(dòng)”對(duì)條款8.5.2范圍內(nèi)的新服務(wù)或變更的服務(wù)進(jìn)行評(píng)估、批準(zhǔn)、安排和評(píng)審等管理。對(duì)不通過條款8.5.2管理的變更請(qǐng)求應(yīng)通過條款中的“變更管理活動(dòng)”進(jìn)行管理。變更管理活動(dòng).1公司和相關(guān)方應(yīng)就變更請(qǐng)求的批準(zhǔn)和優(yōu)先級(jí)做出決策。做出決策時(shí)應(yīng)考慮風(fēng)險(xiǎn)、商業(yè)收益、可行性和財(cái)務(wù)影響。決策還應(yīng)考慮變更對(duì)以下要素帶來的潛在影響：a)現(xiàn)有服務(wù)；b)客戶、用戶和其它相關(guān)方；c)標(biāo)準(zhǔn)要求的方針和計(jì)劃；d)能力、服務(wù)可用性、服務(wù)連續(xù)性和信息安全；e)其它變更請(qǐng)求、發(fā)布和部署計(jì)劃。.2得到批準(zhǔn)的變更應(yīng)進(jìn)行準(zhǔn)備、驗(yàn)證，并在可能的情況下進(jìn)行測(cè)試。得到批準(zhǔn)的變更的建議部署日期和其它部署詳細(xì)信息應(yīng)通知相關(guān)方。應(yīng)將變更安排的時(shí)間信息及時(shí)提供給與變更有關(guān)的人員，變更狀態(tài)和安排的實(shí)施時(shí)間應(yīng)作為變更和發(fā)布時(shí)間安排的依據(jù)。.3應(yīng)對(duì)變更失敗的回退或補(bǔ)救措施進(jìn)行規(guī)劃，應(yīng)在可行時(shí)進(jìn)行測(cè)試。.4應(yīng)在變更實(shí)施后組織對(duì)其效果和改進(jìn)記錄進(jìn)行評(píng)審，評(píng)審結(jié)果應(yīng)妥善保管并作為服務(wù)改進(jìn)計(jì)劃的輸入。實(shí)施后評(píng)審應(yīng)檢查：變更是否滿足目標(biāo)、客戶對(duì)結(jié)果是否滿意、沒有預(yù)期之外的負(fù)面影響。.5應(yīng)在變更中考慮緊急變更的要求，識(shí)別緊急變更的需求、風(fēng)險(xiǎn)和必要性，定義緊急變更的內(nèi)容、范圍、級(jí)別、權(quán)限、接口、活動(dòng)等，并在變更后評(píng)審。.6應(yīng)對(duì)失敗的變更進(jìn)行調(diào)查，應(yīng)按計(jì)劃的時(shí)間間隔，分析變更請(qǐng)求記錄以發(fā)現(xiàn)趨勢(shì)性現(xiàn)象。應(yīng)對(duì)變更分析結(jié)果和結(jié)論采取相應(yīng)的糾正、預(yù)防措施，并保存相關(guān)的記錄。8.5.2服務(wù)設(shè)計(jì)與轉(zhuǎn)換策劃新的或變更的服務(wù)策劃應(yīng)根據(jù)8.2.2條款中確定的新的或者變更的服務(wù)的要求，應(yīng)包括或引用下列內(nèi)容：a）設(shè)計(jì)、構(gòu)建和轉(zhuǎn)換活動(dòng)的權(quán)限和職責(zé)；b)公司以及其他相關(guān)方擬執(zhí)行的活動(dòng)，包括時(shí)間跨度；c)人員、技術(shù)、信息和財(cái)務(wù)資源；d）與其它服務(wù)的依賴關(guān)系；e)新的服務(wù)或變更的服務(wù)需要的測(cè)試；f)服務(wù)驗(yàn)收準(zhǔn)則；g)交付新服務(wù)或變更服務(wù)的預(yù)期結(jié)果的可測(cè)量性描述；h)對(duì)信息技術(shù)服務(wù)管理體系、其它服務(wù)、計(jì)劃的變更、客戶、用戶和其它相關(guān)方的影響。對(duì)于將要移除的服務(wù)，策劃還應(yīng)包括移除服務(wù)的日期，以及數(shù)據(jù)、文件化信息和服務(wù)組件的存檔、處理或傳輸活動(dòng)。對(duì)于將要轉(zhuǎn)移的服務(wù)，策劃還應(yīng)包括服務(wù)轉(zhuǎn)移的日期以及數(shù)據(jù)、文件化信息、知識(shí)和服務(wù)組件轉(zhuǎn)移的活動(dòng)。受新的或變更的服務(wù)影響的配置項(xiàng)應(yīng)通過配置管理進(jìn)行控制。設(shè)計(jì)新的或者變更的服務(wù)應(yīng)予以設(shè)計(jì)和保留文件化信息以滿足8.2.2條款確定的服務(wù)要求。設(shè)計(jì)應(yīng)包括下列內(nèi)容：a）提供新的或變更的服務(wù)時(shí)的各方權(quán)限和職責(zé)；b)對(duì)人員、技術(shù)、信息和財(cái)務(wù)資源變更的要求；c)適當(dāng)?shù)慕逃⑴嘤?xùn)和經(jīng)驗(yàn)的要求；d）支持服務(wù)的新的或變更的服務(wù)級(jí)別協(xié)議、合同和其他形成文件的協(xié)議；e)變更對(duì)信息技術(shù)服務(wù)管理體系的影響，包括新的或變更的方針、計(jì)劃、過程、程序、措施和知識(shí)；f)對(duì)其它服務(wù)的影響；g)更新服務(wù)目錄（一個(gè)或多個(gè)）。構(gòu)建與轉(zhuǎn)換新的或變更的服務(wù)應(yīng)被建立和測(cè)試，以驗(yàn)證其能否滿足服務(wù)要求、設(shè)計(jì)文件的要求，以及約定的驗(yàn)收標(biāo)準(zhǔn)。如果不符合服務(wù)驗(yàn)收標(biāo)準(zhǔn)，公司和相關(guān)方應(yīng)就必要的措施和部署進(jìn)行決策。發(fā)布和部署管理應(yīng)被用于已批準(zhǔn)的新的或變更的服務(wù)部署到實(shí)際運(yùn)行環(huán)境中。轉(zhuǎn)換活動(dòng)完成后，應(yīng)向相關(guān)方報(bào)告所實(shí)現(xiàn)的結(jié)果，并與預(yù)期結(jié)果進(jìn)行對(duì)比。8.5.3發(fā)布與部署管理根據(jù)變更管理程序、發(fā)布和部署管理程序的要求，結(jié)合業(yè)務(wù)對(duì)信息系統(tǒng)、基礎(chǔ)設(shè)施、服務(wù)和文檔等進(jìn)行規(guī)劃，識(shí)別發(fā)布的內(nèi)容、種類、層次、影響等，制訂發(fā)布策略來配置發(fā)布活動(dòng)，包括：a) 發(fā)布頻度和類型。b) 發(fā)布管理的角色和責(zé)任。c) 發(fā)布測(cè)試和實(shí)施的授權(quán)。d) 所有發(fā)布的唯一標(biāo)識(shí)和描述。e) 分組變更以進(jìn)行版本發(fā)布。f) 為提高效率和可重復(fù)性，建立、安裝、發(fā)布分發(fā)流程自動(dòng)化方法。g) 發(fā)布的驗(yàn)證和接受。公司各部門溝通發(fā)布策略，確保相關(guān)的信息系統(tǒng)、基礎(chǔ)設(shè)施、服務(wù)和文檔得到認(rèn)可、授權(quán)、預(yù)定、協(xié)調(diào)和跟蹤。應(yīng)分階段規(guī)劃發(fā)布和回撤計(jì)劃，規(guī)劃內(nèi)容一般包括：a) 發(fā)布日期、交付描述和部署方法；b) 本次發(fā)布關(guān)閉或解決的相關(guān)變更、問題和已知錯(cuò)誤，以及在發(fā)布測(cè)試期間被識(shí)別的已知錯(cuò)誤；c) 在可行的情況下，為每個(gè)實(shí)施地點(diǎn)制定一份活動(dòng)計(jì)劃；d) 如發(fā)布失敗，可以被回撤或修復(fù)的方式；e) 驗(yàn)證和驗(yàn)收流程；f) 對(duì)客戶和服務(wù)支持人員的交流、準(zhǔn)備、備案和培訓(xùn)；g) 采購(gòu)、存儲(chǔ)、分發(fā)、聯(lián)系、接受和銷毀商品的后勤工作和流程；h) 確保維護(hù)服務(wù)級(jí)別所需的支持資源；i) 可能對(duì)發(fā)布測(cè)試和實(shí)施造成影響的相關(guān)變更和風(fēng)險(xiǎn)的標(biāo)識(shí)；j) 與相關(guān)人員、客戶代表安排的更新、評(píng)審會(huì)議。當(dāng)進(jìn)行重大升級(jí)時(shí)，安排仿真環(huán)境的驗(yàn)證和評(píng)審，確保發(fā)布進(jìn)入生產(chǎn)時(shí)與預(yù)期狀態(tài)一致。發(fā)布的結(jié)果包括發(fā)布通告、安裝指南、基于相關(guān)配置基準(zhǔn)線的已安裝軟硬件等。發(fā)布應(yīng)依據(jù)文件化的驗(yàn)收標(biāo)準(zhǔn)進(jìn)行驗(yàn)證，并在部署前獲得批準(zhǔn)。制訂發(fā)布計(jì)劃，經(jīng)批準(zhǔn)后，按發(fā)布計(jì)劃的要求實(shí)施發(fā)布，并及時(shí)反饋上線成功的驗(yàn)證信息。在發(fā)布管理活動(dòng)中，驗(yàn)證和認(rèn)可流程應(yīng)包括：a) 檢查測(cè)試環(huán)境與實(shí)際工作環(huán)境是否一致；b) 檢查發(fā)布開發(fā)源于配置管理下的版本，發(fā)布安裝在測(cè)試環(huán)境中并采用事先計(jì)劃好的工作流程；c) 檢查測(cè)試已經(jīng)完成，例如功能性測(cè)試和非功能性測(cè)試，業(yè)務(wù)許可測(cè)試，開發(fā)、發(fā)布、分發(fā)和安裝規(guī)程的測(cè)試；d) 確保發(fā)布滿足客戶和公司的需要；e) 確保發(fā)布授權(quán)方確定測(cè)試每階段的結(jié)束；f) 檢查目標(biāo)平臺(tái)滿足安裝的軟硬件要求；g) 當(dāng)發(fā)布實(shí)現(xiàn)其目標(biāo)時(shí)，檢查發(fā)布實(shí)施的完整。如果發(fā)布未成功，則應(yīng)按制訂的撤銷計(jì)劃的內(nèi)容，實(shí)施回退操作，并將發(fā)布情況及時(shí)報(bào)告和記錄。對(duì)發(fā)布未成功的原因進(jìn)行確認(rèn)，如需重新實(shí)施變更，則按《變更管理程序》的要求執(zhí)行。如屬潛在問題引起的發(fā)布未成功，則應(yīng)按《問題管理程序》的要求執(zhí)行。發(fā)布成功后，應(yīng)及時(shí)將發(fā)布信息對(duì)配置項(xiàng)進(jìn)行更新。對(duì)發(fā)布和部署相關(guān)文檔進(jìn)行保存，以尋求并確定改進(jìn)的機(jī)會(huì)。有關(guān)發(fā)布成功或失敗以及將來發(fā)布日期的信息，在適當(dāng)時(shí)，應(yīng)提供給其它服務(wù)管理活動(dòng)。8.6解決與完成8.6.1事件管理公司編制《事件管理程序》，對(duì)所有事件進(jìn)行明確，并考慮以下因素：a)記錄和分類；b)考慮影響和緊急性，進(jìn)行優(yōu)先排序；c)需要時(shí)升級(jí)；d)解決；e)關(guān)閉。事件報(bào)告方式包括電話、拜訪、電子郵件等，以及值班人員巡檢發(fā)現(xiàn)的事件，所有事件應(yīng)正式記錄，并可檢索和分析。事件記錄要隨著采取的措施進(jìn)行更新。應(yīng)組織相關(guān)部門定義事件的等級(jí)、種類，包括重大事件，并明確授權(quán)處理人員的角色、權(quán)限接口、責(zé)任和處理流程。要確定服務(wù)項(xiàng)目的重大事件，根據(jù)公司的各項(xiàng)服務(wù)標(biāo)準(zhǔn)對(duì)重大事件進(jìn)行分類和管理。并將重大事件的信息報(bào)告總經(jīng)理。公司的重大事件由相關(guān)部門經(jīng)理和公司領(lǐng)導(dǎo)負(fù)責(zé)。對(duì)重大事件的處理，應(yīng)組織相關(guān)部門評(píng)審后實(shí)施，處理措施在評(píng)審時(shí)，應(yīng)考慮配置項(xiàng)的變更、財(cái)務(wù)方面的可行性。評(píng)審的結(jié)果作為服務(wù)改進(jìn)計(jì)劃的輸入。當(dāng)重大事件解決后，要及時(shí)匯報(bào)和評(píng)審，以識(shí)別改進(jìn)的機(jī)會(huì)。8.6.2服務(wù)請(qǐng)求管理所有的服務(wù)請(qǐng)求應(yīng)：a)記錄和分類；b)優(yōu)先排序；c)解決；d)關(guān)閉。所有服務(wù)請(qǐng)求應(yīng)正式記錄，并可檢索和分析。服務(wù)請(qǐng)求應(yīng)根據(jù)采取的措施進(jìn)行更新。服務(wù)請(qǐng)求解決的指南應(yīng)對(duì)服務(wù)請(qǐng)求完成的有關(guān)人員可用。8.6.3問題管理根據(jù)《問題管理程序》對(duì)事件原因預(yù)先識(shí)別、分析、管理直至關(guān)閉，以減少對(duì)業(yè)務(wù)的影響。問題應(yīng)：a)得到記錄和分類；b)優(yōu)先分級(jí)；c)基于需要進(jìn)行升級(jí)；d)盡可能解決；e)關(guān)閉。根據(jù)日常檢查、測(cè)試、事件數(shù)量和類型的趨勢(shì)分析等糾正措施，識(shí)別潛在問題。所有被識(shí)別的問題都應(yīng)該得到記錄。問題記錄應(yīng)根據(jù)所采取的行動(dòng)及時(shí)更新。在接受和記錄問題之后，服務(wù)部門首先根據(jù)問題分級(jí)分類準(zhǔn)則，對(duì)受理的問題進(jìn)行分級(jí)和分類以方便后續(xù)的監(jiān)視和報(bào)告。在問題進(jìn)行分級(jí)/分類后，將問題轉(zhuǎn)給相應(yīng)的專項(xiàng)工程師。在問題得到解決后，相關(guān)信息應(yīng)加入知識(shí)庫，同時(shí)應(yīng)升級(jí)所有相關(guān)文件，如用戶指南和系統(tǒng)文件。記錄對(duì)服務(wù)或問題管理流程的改進(jìn)，并作為服務(wù)改進(jìn)計(jì)劃的輸入。解決問題所需要的變更，按《變更管理程序》的要求，依據(jù)變更管理方針，經(jīng)批準(zhǔn)后實(shí)施變更。應(yīng)分析事件和問題的數(shù)據(jù)和趨勢(shì)，以識(shí)別根本原因和潛在預(yù)防措施。當(dāng)發(fā)現(xiàn)根本原因，但問題并沒有徹底解決時(shí)，應(yīng)采取措施以減輕或消除問題對(duì)服務(wù)的影響。已知錯(cuò)誤應(yīng)被記錄。已知錯(cuò)誤的更新信息和問題解決方案應(yīng)提供給事件管理和服務(wù)請(qǐng)求管理等其他服務(wù)過程。應(yīng)按計(jì)劃的時(shí)間間隔，對(duì)問題解決的有效性監(jiān)視、評(píng)審和報(bào)告。8.7服務(wù)保障8.7.1服務(wù)可用性管理按策劃的時(shí)間間隔，與服務(wù)可用性有關(guān)的風(fēng)險(xiǎn)應(yīng)予以評(píng)估并保留文件化信息。應(yīng)確定服務(wù)可用性要求和目標(biāo)，要考慮相關(guān)的業(yè)務(wù)要求、服務(wù)要求、SLA和風(fēng)險(xiǎn)。服務(wù)可用性的要求和目標(biāo)應(yīng)保留文件化信息并維護(hù)。服務(wù)可用性應(yīng)予以監(jiān)控、記錄結(jié)果并與目標(biāo)作比較。非計(jì)劃的不可用應(yīng)予以調(diào)查和采取必要的措施?？捎眯曰顒?dòng)可以包括：a) 監(jiān)控和記錄服務(wù)的可用性；b) 維護(hù)準(zhǔn)確的歷史數(shù)據(jù)；c) 與SLA中定義需求相比較，以識(shí)別不符合SLA有效目標(biāo)的事項(xiàng)；d) 記錄不符合項(xiàng)，并組織評(píng)審；e) 考慮、評(píng)估供應(yīng)商的影響；f) 預(yù)計(jì)未來的可用性。在考慮服務(wù)可用性以及制定服務(wù)連續(xù)性計(jì)劃時(shí)要考慮識(shí)別的服務(wù)的風(fēng)險(xiǎn)。8.7.2服務(wù)連續(xù)性管理按照策劃的時(shí)間間隔，應(yīng)評(píng)估服務(wù)連續(xù)性有關(guān)的風(fēng)險(xiǎn)并保留文件化信息。要確定服務(wù)連續(xù)性的要求，包括相關(guān)的業(yè)務(wù)要求、服務(wù)要求、SLA和風(fēng)險(xiǎn)。要針對(duì)服務(wù)項(xiàng)目建立、實(shí)施和維護(hù)一個(gè)或多個(gè)服務(wù)連續(xù)性計(jì)劃。服務(wù)連續(xù)性計(jì)劃應(yīng)包括或引用下列內(nèi)容：a）啟動(dòng)服務(wù)連續(xù)性計(jì)劃的標(biāo)準(zhǔn)和職責(zé)；b）在服務(wù)嚴(yán)重中斷時(shí)實(shí)施的程序；c）啟用服務(wù)連續(xù)性計(jì)劃時(shí)的可用性目標(biāo)；d）服務(wù)恢復(fù)要求；e）返回正常工作條件的程序。服務(wù)連續(xù)性計(jì)劃和聯(lián)系人名單由專人保存，確保正常服務(wù)位置訪問被阻止時(shí)可以查詢。按照策劃的時(shí)間間隔，由相關(guān)部門每年對(duì)服務(wù)連續(xù)性計(jì)劃按照服務(wù)的要求進(jìn)行測(cè)試。當(dāng)服務(wù)環(huán)境有重大變更時(shí)，要對(duì)服務(wù)連續(xù)性計(jì)劃進(jìn)行重新測(cè)試，測(cè)試的結(jié)果要記錄。每次測(cè)試完成后和服務(wù)連續(xù)性計(jì)劃啟用后，要對(duì)服務(wù)連續(xù)性計(jì)劃進(jìn)行評(píng)審。發(fā)現(xiàn)服務(wù)連續(xù)性計(jì)劃有缺陷或不足時(shí)，要采取必要的措施。服務(wù)連續(xù)性計(jì)劃已經(jīng)啟用后，要報(bào)告啟用的原因、影響和恢復(fù)情況。8.7.3信息安全管理信息安全方針總經(jīng)理批準(zhǔn)公司的信息安全方針。須保留文件化信息并考慮服務(wù)要求及6.3C）要求的義務(wù)。信息安全方針：風(fēng)險(xiǎn)控制、信息保密、綜合管理、持續(xù)改進(jìn)適用時(shí)，信息安全方針應(yīng)可用、可獲取，要與以下相關(guān)人員溝通符合信息安全方針的重要性，并要求管理體系運(yùn)行過程中應(yīng)用信息安全方針：a)組織；b）客戶和用戶；c）外部供應(yīng)商、內(nèi)部供應(yīng)商和其他相關(guān)方。信息安全控制措施根據(jù)公司業(yè)務(wù)及SLA要求，制訂信息安全管理方針、目標(biāo)，并識(shí)別、分類信息安全資產(chǎn)，包括：提供服務(wù)所需要的信息安全資產(chǎn)目錄。根據(jù)信息安全資產(chǎn)對(duì)服務(wù)的重要性以及所要求的保護(hù)級(jí)別對(duì)信息安全資產(chǎn)進(jìn)行分類，并指派相應(yīng)的安全負(fù)責(zé)人。對(duì)信息安全資產(chǎn)實(shí)施安全風(fēng)險(xiǎn)評(píng)估，并應(yīng)考慮以下因素：特性（例如軟件漏洞、運(yùn)行錯(cuò)誤、通信失敗）。發(fā)生的可能性。潛在的業(yè)務(wù)影響。信息安全政策目標(biāo)，滿足客戶特定安全需要以及所采用的法規(guī)條例。歷史經(jīng)驗(yàn)。制訂信息安全管理的相關(guān)文件，描述相關(guān)風(fēng)險(xiǎn)的控制，及運(yùn)行和維護(hù)控制的方式。應(yīng)規(guī)定信息安全管理的權(quán)限，在訪問信息系統(tǒng)和服務(wù)時(shí)，應(yīng)基于已定義的所有必要安全需求的正式協(xié)議。要注意處置提供服務(wù)的外部組織的信息安全風(fēng)險(xiǎn)。每年應(yīng)按計(jì)劃的時(shí)間間隔，評(píng)估和記錄信息技術(shù)服務(wù)管理體系和服務(wù)中的信息安全風(fēng)險(xiǎn)。應(yīng)監(jiān)測(cè)和評(píng)審信息安全控制措施的有效性并采取必要的措施。信息安全事件對(duì)信息安全事件進(jìn)行如下處理：a）記錄和分類；b）考慮信息安全風(fēng)險(xiǎn)，事件的影響和緊急程度進(jìn)行優(yōu)先排序；c）需要時(shí)，進(jìn)行升級(jí)處理；d）解決；e）關(guān)閉。應(yīng)報(bào)告、調(diào)查和記錄所有信息安全事件，要針對(duì)信息安全事件的類型、數(shù)量、對(duì)信息技術(shù)服務(wù)管理體系和相關(guān)方的影響進(jìn)行分析。發(fā)生信息安全事件應(yīng)報(bào)告和評(píng)審，以識(shí)別改進(jìn)的機(jī)會(huì)。9績(jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)公司采用適宜的方法監(jiān)控和測(cè)量信息安全風(fēng)險(xiǎn)與服務(wù)以及管理體系。公司制定《監(jiān)視和測(cè)量管理程序》，以確定：a)需要監(jiān)視和測(cè)量管理體系和服務(wù)的內(nèi)容；b)適用的監(jiān)視、測(cè)量、分析和評(píng)估方法，以確保有效的結(jié)果。c)何時(shí)進(jìn)行監(jiān)視和測(cè)量；d)何時(shí)應(yīng)分析和評(píng)估監(jiān)視和測(cè)量的結(jié)果。應(yīng)保留適當(dāng)?shù)奈募畔⒆鳛楸O(jiān)視和測(cè)量結(jié)果的證據(jù)。應(yīng)定期根據(jù)服務(wù)管理目標(biāo)對(duì)管理體系績(jī)效和有效性進(jìn)行評(píng)估，根據(jù)信息安全與技術(shù)服務(wù)要求對(duì)信息安全與技術(shù)服務(wù)的有效性進(jìn)行評(píng)估。9.2內(nèi)部審核公司每年按照計(jì)劃的時(shí)間間隔（一年內(nèi)）進(jìn)行內(nèi)部審核，以確定管理體系和控制目標(biāo)、控制措施、過程和程序是否：a）符合ISO/IEC27001:203標(biāo)準(zhǔn)、ISO/IEC20000-1:2018標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；b）滿足服務(wù)需求和所提出的服務(wù)管理體系要求；c）符合已識(shí)別的信息技術(shù)服務(wù)管理計(jì)劃；d）有效被實(shí)施和維護(hù)；e）按預(yù)期執(zhí)行。應(yīng)考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果、變更的影響，對(duì)內(nèi)部審核方案進(jìn)行策劃、建立、實(shí)施和維護(hù)。審核方案應(yīng)包括審核的準(zhǔn)則、范圍、頻次、方法、責(zé)任、規(guī)劃要求和報(bào)告。每次審核前，應(yīng)編制內(nèi)審計(jì)劃，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括：進(jìn)行首次會(huì)議，明確審核的目的和范圍，采用的方法和程序；實(shí)施現(xiàn)場(chǎng)審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流，填寫審核發(fā)現(xiàn)；對(duì)檢查內(nèi)容進(jìn)行分析，召開內(nèi)審小組會(huì)議、末次會(huì)議，宣布審核意見和不符合報(bào)告；審核組長(zhǎng)編制審核報(bào)告。對(duì)審核中提出的不符合項(xiàng)報(bào)告，責(zé)任部門應(yīng)編制糾正措施，組織對(duì)受審部門的糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證；保存所有審核記錄。內(nèi)部審核報(bào)告，應(yīng)作為管理評(píng)審的輸入之一。9.3管理評(píng)審公司管理層應(yīng)按照計(jì)劃的時(shí)間間隔（一年內(nèi)）評(píng)審管理體系、信息安全風(fēng)險(xiǎn)與技術(shù)服務(wù)，以確保其持續(xù)的適宜性、充分性和有效性。管理評(píng)審應(yīng)包括評(píng)價(jià)管理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括管理方針和目標(biāo)。管理評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。管理評(píng)審的輸入應(yīng)至少包括以下信息：a）以往管理評(píng)審的結(jié)果和提出措施的狀態(tài)；b）與管理體系相關(guān)的外部和內(nèi)部事項(xiàng)的變化；c）有關(guān)管理體系績(jī)效，包括以下方面的趨勢(shì)：1）不符合和糾正措施；2）監(jiān)視和測(cè)量結(jié)果；3）審核結(jié)果；d）持續(xù)改進(jìn)的機(jī)會(huì)；e）客戶和其他相關(guān)方反饋；f）管理方針和其他方針的遵守性、適宜性；g）管理目標(biāo)實(shí)現(xiàn)情況；h）信息安全管理與技術(shù)服務(wù)的績(jī)效；i）服務(wù)生命周期中其他相關(guān)方的績(jī)效；j）當(dāng)前和預(yù)測(cè)的人員、技術(shù)、信息和財(cái)務(wù)資源水平以及人員和技術(shù)資源的能力；k）風(fēng)險(xiǎn)評(píng)估的結(jié)果、應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇措施的有效性；l）影響管理體系和服務(wù)的變更。管理評(píng)審的輸出包括與持續(xù)改進(jìn)機(jī)遇相關(guān)的決定以及變更管理體系和服務(wù)的任何需求。應(yīng)保留管理評(píng)審相關(guān)的記錄和資料作為管理評(píng)審結(jié)果的證據(jù)。9.4服務(wù)報(bào)告9.4.1應(yīng)就向客戶提交的服務(wù)報(bào)告的目的、內(nèi)容、要求、報(bào)告周期等進(jìn)行規(guī)定。9.4.2相關(guān)服務(wù)部門根據(jù)服務(wù)管理體系活動(dòng)和提供服務(wù)的信息擬制服務(wù)報(bào)告，對(duì)計(jì)劃間隔內(nèi)的客戶服務(wù)狀況、問題趨勢(shì)、服務(wù)數(shù)據(jù)、SLA目標(biāo)實(shí)現(xiàn)等進(jìn)行匯總、統(tǒng)計(jì)和分析。9.4.3服務(wù)報(bào)告應(yīng)就服務(wù)管理體系和服務(wù)的績(jī)效以及有效性進(jìn)行報(bào)告。服務(wù)報(bào)告應(yīng)包括趨勢(shì)分析。服務(wù)報(bào)告還可以包括以下內(nèi)容：執(zhí)行服務(wù)級(jí)別目標(biāo)的績(jī)效，違反SLA、安全管理要求等的不符合項(xiàng)和結(jié)論，工作量特征（如：數(shù)量、資源利用、周期變化），報(bào)告重大事件和變更，定期趨勢(shì)信息，服務(wù)成本，服務(wù)投訴情況，問題解決的有效性，客戶滿意度分析等。9.4.4服務(wù)報(bào)告應(yīng)及時(shí)、清晰、可靠和簡(jiǎn)明，便于分析、決策和有效溝通。9.4.5應(yīng)根據(jù)服務(wù)報(bào)告中的結(jié)果做出決策并采取行動(dòng)。達(dá)成一致的行動(dòng)應(yīng)通知有關(guān)各方。10改進(jìn)10.1不符合及糾正措施10.1.1對(duì)管理體系運(yùn)行過程和審核中提出的不符合項(xiàng)，責(zé)任部門應(yīng)制定糾正措施，公司對(duì)糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證。a)對(duì)不符合做出反應(yīng)，適用時(shí)：1)采取措施，以控制并予以糾正；2)處理后果；b)通過以下活動(dòng)，評(píng)價(jià)是否需要采取措施，以消除產(chǎn)生不符合的原因，避免其再次發(fā)生或在其他場(chǎng)合發(fā)生：1)評(píng)審不符合；2)確定不符合的原因；3)確定類似的不符合是否存在，或可能發(fā)生；c)實(shí)現(xiàn)任何需要的措施；d)評(píng)審任何所采取的糾正措施的有效性；e)必要時(shí)，對(duì)服務(wù)管理體系進(jìn)行變更。所采取的糾正措施應(yīng)與所遇到的不符合的影響相適合。10.1.2公司應(yīng)保留文件化信息作為以下方面的證據(jù)：a)不符合的性質(zhì)及所采取的任何后續(xù)措施；b)任何糾正措施的結(jié)果。10.2持續(xù)改進(jìn)本公司要持續(xù)改進(jìn)管理體系和服務(wù)的適宜性、充分性和有效性。公司建立有管理體系和服務(wù)的持續(xù)改進(jìn)策略，其中包括對(duì)改進(jìn)機(jī)會(huì)的評(píng)估標(biāo)準(zhǔn)。批準(zhǔn)決策時(shí)，要確定適用于改進(jìn)機(jī)會(huì)的評(píng)價(jià)準(zhǔn)則。評(píng)價(jià)準(zhǔn)則應(yīng)包括改進(jìn)和公司管理目標(biāo)保持一致。應(yīng)有文件化的程序（包括權(quán)利和責(zé)任）用以識(shí)別、記錄、評(píng)估、批準(zhǔn)、劃分優(yōu)先級(jí)、管理、測(cè)量和報(bào)告改進(jìn)措施。改進(jìn)機(jī)會(huì)（包括改進(jìn)和預(yù)防措施）應(yīng)被文件化。對(duì)批準(zhǔn)的改進(jìn)機(jī)會(huì)進(jìn)行管理，包括下列活動(dòng)：a)在質(zhì)量、價(jià)值、能力、成本、生產(chǎn)力、資源利用率和風(fēng)險(xiǎn)降低等方面設(shè)置一個(gè)或者多個(gè)改進(jìn)目標(biāo)；b)確保改進(jìn)活動(dòng)進(jìn)行優(yōu)先排序、策劃和實(shí)施；c)必要時(shí)，對(duì)管理體系進(jìn)行變更；d)針對(duì)設(shè)定的目標(biāo)，測(cè)量實(shí)施的改進(jìn)，目標(biāo)未滿足時(shí)，采取必要的措施；e)匯報(bào)實(shí)施的改進(jìn)。本公司開展以下活動(dòng)，以確保管理體系的持續(xù)改進(jìn)：通過管理體系的建立與實(shí)施，對(duì)持續(xù)改進(jìn)做出正式的承諾；通過建立管理明確改進(jìn)的方向，確保改進(jìn)達(dá)到預(yù)期的效果；實(shí)施每年管理評(píng)審、內(nèi)部審核、信息安全和技術(shù)服務(wù)有效性檢查等活動(dòng)以確定需改進(jìn)的項(xiàng)目；按照要求采取適當(dāng)?shù)募m正和預(yù)防措施；對(duì)于內(nèi)部審核、管理評(píng)審或其他活動(dòng)中所發(fā)現(xiàn)的不符合項(xiàng)或潛在不符合項(xiàng)，應(yīng)按照要求進(jìn)行及時(shí)糾正并采取糾正措施；通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對(duì)管理措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲取外部信息技術(shù)服務(wù)管理專家的建議、政府行政主管部門的聯(lián)系及識(shí)別顧客對(duì)信息安全和技術(shù)服務(wù)的要求等；在質(zhì)量、價(jià)值、能力、成本、生產(chǎn)率、資源利用率和風(fēng)險(xiǎn)降低等方面的改進(jìn)；實(shí)施批準(zhǔn)的改進(jìn)；g)報(bào)告實(shí)施的改進(jìn)。附錄1：體系組織機(jī)構(gòu)圖及各自主要職責(zé)總經(jīng)理1、全面領(lǐng)導(dǎo)公司的日常工作，向公司員工傳達(dá)滿足顧客和法律、法規(guī)要求的重要性；2、制定公司管理方針和目標(biāo)，確保員工能理解并自覺貫徹執(zhí)行；3、實(shí)施管理體系管理評(píng)審，確保管理體系持續(xù)的適宜性和有效性；4、為管理體系的有效運(yùn)行和持續(xù)改進(jìn)提供必要的資源；5、設(shè)置組織機(jī)構(gòu)并規(guī)定它們的職責(zé)和權(quán)限以及相互關(guān)系；6、在本企業(yè)管理層中指定一名體系負(fù)責(zé)人（管理者代表）；7、為確保管理體系的有效運(yùn)行，在公司內(nèi)建立適當(dāng)?shù)臏贤ㄟ^程，使管理體系的有效性得到溝通。管理者代表1、分配權(quán)限和職責(zé)，確保管理體系所需的過程和活動(dòng)根據(jù)服務(wù)管理的方針和目標(biāo)得到建立、實(shí)施、保持和提高；2、組織內(nèi)部審核，向總經(jīng)理報(bào)告管理體系的績(jī)效和任何改進(jìn)的需求；3、確保在整個(gè)組織內(nèi)提高滿足顧客要求的服務(wù)意識(shí)的形成；4、負(fù)責(zé)對(duì)管理體系有關(guān)事宜與外部方進(jìn)行聯(lián)絡(luò)；5、確保管理過程是與其他管理體系（SMS）管理組件的整合；6、確保用于交付服務(wù)的資產(chǎn)（包括許可證），遵從法律法規(guī)要求和合同義務(wù)。行政部：1、負(fù)責(zé)貫徹公司領(lǐng)導(dǎo)指示。做好上下聯(lián)絡(luò)溝通工作，及時(shí)向領(lǐng)導(dǎo)反映情況、反饋信息；搞好各部門間相互配合、綜合協(xié)調(diào)工作；對(duì)和項(xiàng)工作和計(jì)劃的督辦和檢查。2、根據(jù)領(lǐng)導(dǎo)意圖和公司發(fā)展戰(zhàn)略，負(fù)責(zé)起草年度工作計(jì)劃、年度工作總結(jié)和其他重要文稿，牽頭或協(xié)助公司的規(guī)劃研究。3、負(fù)責(zé)全公司日常行政事務(wù)管理，協(xié)助總經(jīng)理處理日常工作，負(fù)責(zé)總經(jīng)理的日常活動(dòng)和外出活動(dòng)的安排。4、組織安排公司辦公會(huì)議，或會(huì)同有關(guān)部門籌備公司其他會(huì)議及有關(guān)重要活動(dòng)，做好會(huì)議記錄和整理會(huì)議紀(jì)要，根據(jù)需要按會(huì)議決定發(fā)文。5、負(fù)責(zé)公司來往信函的收發(fā)、登記、傳閱、批示，做好公文的擬訂、審核、印刷、傳遞、催辦和檢查，及文書檔案資料的歸檔立卷管理的工作。6、做好公司歷年大事記的原始資料收集和編纂工作，定期或不定期編輯公司簡(jiǎn)訊、簡(jiǎn)報(bào)或內(nèi)部發(fā)行的刊物。7、負(fù)責(zé)公司保密工作和法律事務(wù)，妥善保管和正確使用公司印章和介紹信。負(fù)責(zé)前臺(tái)接待、客人來訪迎送等招待工作。8、負(fù)責(zé)公司辦公設(shè)施的管理。包括公司辦公用品采購(gòu)、發(fā)放、使用登記、保管、維護(hù)管理工作，負(fù)責(zé)傳真機(jī)、復(fù)印機(jī)、長(zhǎng)途電話、手提電話的管理和使用。9、負(fù)責(zé)公司證書資質(zhì)管理及資質(zhì)申報(bào)等相關(guān)工作。10、負(fù)責(zé)公司總務(wù)工作，做好后勤保障。主要是辦公用品采購(gòu)、設(shè)備維護(hù)管理、安全門衛(wèi)等。11、負(fù)責(zé)公司車輛調(diào)度、管理、維修、保養(yǎng)工作，確保公司領(lǐng)導(dǎo)和職工正常工作用車。定期對(duì)司機(jī)進(jìn)行交通安全教育，減少事故和違章，降低油耗。12、為豐富員工文化生活，組織安排各種文體活動(dòng)和旅游活動(dòng)。13、負(fù)責(zé)公司財(cái)務(wù)核算、發(fā)票開具、財(cái)務(wù)報(bào)銷、福利核發(fā)、成本控制等財(cái)務(wù)相關(guān)工作。14、負(fù)責(zé)公司勞動(dòng)關(guān)系管理、勞動(dòng)爭(zhēng)議處理等人力資源相關(guān)工作。15、完成總經(jīng)理交辦的其他任務(wù)。Xxxx技術(shù)部：1、按照公司的業(yè)務(wù)方向進(jìn)行理論性的研究和探討論證；2、承擔(dān)公司的重大課題（國(guó)家級(jí)、省市級(jí)、區(qū)縣級(jí)等）研究開發(fā)任務(wù)；3、組建公司各類高端和重大研發(fā)機(jī)構(gòu)和實(shí)驗(yàn)室；4、負(fù)責(zé)公司高技術(shù)發(fā)展前沿開發(fā)；5、組織實(shí)施公司承擔(dān)的各類科研任務(wù)；6、負(fù)責(zé)組建公司高端人才聚集和交流。技術(shù)研發(fā)部：1.參與新產(chǎn)品開發(fā)，負(fù)責(zé)產(chǎn)品研發(fā)設(shè)計(jì)；

2.主持成本定額的制定和修訂，標(biāo)準(zhǔn)工時(shí)的制定和修訂，標(biāo)準(zhǔn)用料的制定和修訂；

3.現(xiàn)有產(chǎn)品在設(shè)計(jì)上的研究與改良；

4.訂單標(biāo)準(zhǔn)用量的制定和修訂；

5.參與產(chǎn)品推廣方案的制定；

6.會(huì)同行政部實(shí)施定額考核；

7.依據(jù)公司制定的市場(chǎng)開發(fā)計(jì)劃，進(jìn)行深入的市場(chǎng)調(diào)研和項(xiàng)目初步論證，提交可研報(bào)告，為公司的市場(chǎng)開發(fā)提供準(zhǔn)確的信息與數(shù)據(jù)。

8.制定項(xiàng)目前期開發(fā)方案，組織協(xié)調(diào)監(jiān)控項(xiàng)目前期開發(fā)過程，確保項(xiàng)目開發(fā)的準(zhǔn)確高效開展。與公司各部門配合，制定并實(shí)施項(xiàng)目公司市場(chǎng)推廣方案。9.聯(lián)系設(shè)計(jì)單位，組織制定產(chǎn)品設(shè)計(jì)方案。

10.其他相關(guān)職責(zé)。Xxxx職責(zé)1、負(fù)責(zé)市場(chǎng)調(diào)查工作。2、負(fù)責(zé)市場(chǎng)企劃工作。3、負(fù)責(zé)編制和組織實(shí)施年度營(yíng)銷計(jì)劃。4、負(fù)責(zé)具體銷售合同（定單）的評(píng)審與組織實(shí)施。5、負(fù)責(zé)客戶管理。6、負(fù)責(zé)售后服務(wù)管理。7、負(fù)責(zé)營(yíng)銷收入和銷售費(fèi)用的管理。8、負(fù)責(zé)品牌建設(shè)。9、負(fù)責(zé)營(yíng)銷人員隊(duì)伍建設(shè)。10、參與企業(yè)年度工作報(bào)告的編制，負(fù)責(zé)向財(cái)務(wù)部提供相應(yīng)資料。11、參與制定科技發(fā)展戰(zhàn)略，負(fù)責(zé)向技術(shù)中心提供國(guó)、內(nèi)外音視頻產(chǎn)品市場(chǎng)狀況及趨勢(shì)分析報(bào)告。12.參與公司年度新產(chǎn)品研發(fā)計(jì)劃，負(fù)責(zé)向技術(shù)中心提供新產(chǎn)品研發(fā)市場(chǎng)信息。13、參與科研項(xiàng)目的立項(xiàng)及評(píng)審工作，負(fù)責(zé)向技術(shù)中心提供產(chǎn)品的市場(chǎng)需求意向及價(jià)格定位報(bào)告。14、參與網(wǎng)絡(luò)信息建設(shè)，負(fù)責(zé)向行政部提供職責(zé)范圍內(nèi)的相應(yīng)資料。15、參與企業(yè)文化建設(shè)，負(fù)責(zé)向行政部提供職責(zé)范圍內(nèi)企業(yè)文化建設(shè)資料。16、負(fù)責(zé)上級(jí)領(lǐng)導(dǎo)交辦的其他事項(xiàng)。Xxxx部：一、技術(shù)服務(wù)經(jīng)理1、帶領(lǐng)技術(shù)服務(wù)團(tuán)隊(duì)維護(hù)整個(gè)生產(chǎn)線的軟件及數(shù)據(jù)上傳工作，配合生產(chǎn)實(shí)施人員做好技術(shù)服務(wù)支持，保障生產(chǎn)實(shí)施工作的順利進(jìn)行。2、合理分配、安排技術(shù)人員的具體工作，滿足生產(chǎn)加工的需要。3、解決技術(shù)支持過程中遇到的技術(shù)性難題，保證技術(shù)支持工作的正常開展。4、負(fù)責(zé)基層技術(shù)人員的培養(yǎng)、考核工作。5、對(duì)生產(chǎn)實(shí)施過程中遇到的技術(shù)問題給出合理、可行的及技術(shù)解決方案。6、熟悉生產(chǎn)流程，對(duì)生產(chǎn)程序的持續(xù)優(yōu)化提出可行性意見。7、深入研究行業(yè)的技術(shù)發(fā)展趨勢(shì)，保證生產(chǎn)所使用的技術(shù)始終處于同行的前列。8、協(xié)助其他部門，做好技術(shù)支持工作。9、解決領(lǐng)導(dǎo)安排的其他技術(shù)問題。Xxx部：1、應(yīng)根據(jù)合同要求，科學(xué)的編制、調(diào)整生產(chǎn)計(jì)劃，合理的調(diào)配生產(chǎn)資源（人員、設(shè)備）滿足市場(chǎng)的需要。2、建立健全數(shù)字化中心的各項(xiàng)管理、績(jī)效考評(píng)制度，加強(qiáng)員工管理，根據(jù)項(xiàng)目的實(shí)施情況做出公平、公正的獎(jiǎng)懲決定或建議，提高數(shù)字化中心所屬人員的責(zé)任心、積極性。3、組織數(shù)字化中心員工學(xué)習(xí)公司的各項(xiàng)規(guī)章制度，確保各項(xiàng)規(guī)章制度在數(shù)字化中心得以正確、順利地貫徹執(zhí)行。4、開展人員培訓(xùn)，定期對(duì)員工進(jìn)行職業(yè)道德、思想素質(zhì)、崗位技能、保密教育、質(zhì)量控制、設(shè)備保養(yǎng)的培訓(xùn)。定期對(duì)員工進(jìn)行技能考核，培養(yǎng)員工的愛崗敬業(yè)精神，提高操作技能，提高生產(chǎn)效率。5、加強(qiáng)與下屬員工的溝通、交流，力所能及的解決下屬的后顧之憂，激勵(lì)員工積極向上，聽取下屬的合理化建議，并通過整理、匯總后提出改進(jìn)方案，提高工作效率。6、積極培養(yǎng)、選拔后備干部，為數(shù)字化中心的可持續(xù)發(fā)展做出努力。7、隨時(shí)關(guān)注各種生產(chǎn)報(bào)表（產(chǎn)量表、工資表、人員登記表、成品移交確認(rèn)表等），從報(bào)表中發(fā)現(xiàn)問題