信息安全管理IT服務管理體系手冊

信息安全管理IT服務管理體系手冊

發(fā)布令

本公司按照￡020000:2005《信息技術服務管理一規(guī)范》和IS027001:

2005《信息安全管理體系要求》以及本公司業(yè)務特點編制《信息安全管理&IT

服務管理體系手冊》，建立與本公司業(yè)務相一致的信息安全與IT服務管理體系，

現予以頒布實施。

本手冊是公司法規(guī)性文件，用于貫徹公司信息安全管理方針和目標，貫徹IT

服務管理理念方針和服務目標。為實現信息安全管理與口服務管理，開展持續(xù)

改進服務質量，不斷提高客戶滿意度活動，加強信息安全建設的綱領性文件和行

動準則。是全體員工必須遵守的原則性規(guī)范。體現公司對社會的承諾，通過有效

的PDCA活動向顧客提供滿足要求的信息安全管理和IT服務。

本手冊符合有關信息安全法律法規(guī)要求以及IS020000:2005《信息技術服

務管理一規(guī)范》、￡027001:2005《信息安全管理體系要求》和公司實際情況。

為能更好的貫徹公司管理層在信息安全與IT服務管理方面的策略和方針，根據

IS020000:2005《信息技術服務管理一規(guī)范》和IS027001:2005《信息安全

管理體系要求》的要求任命XXXXX為管理者代表，作為本公司組織和實施"信

息安全管理與IT服務管理體系”的負責人。直接向公司管理層報告。

全體員工必須嚴格按照《信息安全管理&IT服務管理體系手冊》要求，自覺

遵守本手冊各項要求，努力實現公司的信息安全與IT服服務的方針和目標。

管理者代表職責：

a）建立服務管理計劃；

b）向組織傳達滿足服務管理目標和持續(xù)改進的重要性；

e）確定并提供策劃、實施、監(jiān)視、評審和改進服務交付和管理所需的資源，

如招聘合適的人員，管理人員的更新；

1.確保按照150207001:2005標準的要求，進行資產識別和風險評估，全

面建立、實施和保持信息安全管理體系；按照ISO/IEC20000《信息技術服務

管理-規(guī)范》的要求，組織相關資源,建立、實施和保持IT服務管理體系，不

斷改進IT服務管理體系，確保其有效性、適宜性和符合性。

2.負責與信息安全管理體系有關的協調和聯絡工作；向公司管理層報告IT

服務管理體系的業(yè)績，如：服務方針和服務目標的業(yè)績、客戶滿意度狀況、各項

服務活動及改進的要求和結果等。

3.確保在整個組織內提高信息安全風險的意識；

4.審核風險評估報告、風險處理計劃；

5.批準發(fā)布程序文件；

6.主持信息安全管理體系內部審核，任命審核組長，批準內審工作報告；

向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理

體系運行情況、內外部審核情況。

7.推動公司各部門領導，積極組織全體員工，通過工作實踐、教育培訓I、

業(yè)務指導等方式不斷提高員工對滿足客戶需求的重要性的認知程度，以及為達到

公司服務管理目標所應做出的貢獻。

總經理：

日期：

信息安全方針和信息安全目標

信息安全方針：信息安全人人有責

本公司信息安全管理方針包括內容如下：

一、信息安全管理機制

1.公司采用系統(tǒng)的方法，按照ISO/IEC27001:2005建立信息安全管理體

系，全面保護本公司的信息安全。

二、信息安全管理組織

2.公司總經理對信息安全工作全面負責，負責批準信息安全方針，確定信

息安全要求，提供信息安全資源。

3.公司總經理任命管理者代表負責建立、實施、檢查、改進信息安全管理

體系，保證信息安全管理體系的持續(xù)適宜性和有效性。

4.在公司內部建立信息安全組織機構，信息安全管理委員會和信息安全協

調機構，保證信息安全管理體系的有效運行。

5.與上級部門、地方政府、相關專業(yè)部門建立定期經常性的聯系，了解安

全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。

6.信息安全需要全體員工的參與和支持，全體員工都有保護信息安全的職

責，在勞動合同、崗位職責中應包含對信息安全的要求，特殊崗位的人員應規(guī)定

特別的安全責任。對崗位調動或離職人員，應及時調整安全職責和權限。

7.對本公司的相關方，要明確安全要求和安全職責。

8.定期對全體員工進行信息安全相關教育，包括：技能、職責和意識。以

提高安全意識。

9.全體員工及相關方人員必須履行安全職責,執(zhí)行安全方針、程序和安全

措施。

四、識別法律、法規(guī)、合同中的安全

10.及時識別顧客、合作方、相關方、法律法規(guī)對信息安全的要求，采取

措施，保證滿足安全要求。

五、風險評估

11.根據本公司業(yè)務信息安全的特點、法律法規(guī)要求，建立風險評估程序,

確定風險接受準則。

12.采用先進的風險評估技術和軟件，定期進行風險評估，以識別本公司

風險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。

13.應根據風險評估的結果，采取相應措施，降低風險。

六、報告安全事件

14.公司建立報告信息安全事件的渠道和相應的主管部門。

15.全體員工有報告信息安全隱患、威脅、薄弱點、事故的責任,一旦發(fā)

現信息安全事件，應立即按照規(guī)定的途徑進行報告。

16.接受信息安全事件報告的主管部門應記錄所有報告，及時做出相應的

處理，并向報告人員反饋處理結果。

七、監(jiān)督檢查

17.定期對信息安全進行監(jiān)督檢查，包括：日常檢查、專項檢查、技術性

檢查、內部審核等。

八、業(yè)務持續(xù)性

18.公司根據風險評估的結果，建立業(yè)務持續(xù)性計劃，抵消信息系統(tǒng)的中

斷造成的影響，防止關鍵業(yè)務過程受嚴重的信息系統(tǒng)故障或者災難的影響，并確

保能夠及時恢復。

19.定期對業(yè)務持續(xù)性計劃進行測試更新。

九、違反信息安全要求的懲罰

20.對違反信息安全方針、職責、程序和措施的人員，按規(guī)定進行處理。

信息安全目標：

1.不可接受風險處理率：100%（所有不可接受風險應降低至何接受的程度）。

2.重大顧客因信息安全事件投訴為0次（重大顧客投訴是指直接經濟損失金

額達1萬元以上）

1信息安全管理手冊說明

1.1公司簡介

XX

1.1編制依據和目的

本手冊在遵循￡09001:2005《信息安全管理體系要求》與ISO/IEC

20000《信息技術服務管理-規(guī)范》的要求編制而成，包括了IS027001:2005

的全部要求，對附錄A的刪減見《適用性聲明SoA》。

手冊描述公司的信息安全管理體系的總要求，以確保公司的信息安全管理體

系能夠達到￡027001:2005信息安全管理標準的要求；滿足本公司向客戶提

供IT服務所需的IT基礎設施和IT技術支持服務適用于向客戶或認證機構證實,

本公司具備提供符合客戶需求的IT服務能力和服務質量。

本公司的體系程序是手冊的支持性文件，是對體系運作的具體描述。

1.2適用范圍

信息安全管理&IT服務管理體系手冊適用于本公司提供安全管理體系認證

服務與IT服務有關的所有部門和活動。

1.3術語和定義

1.3.1本手冊應用ISO/IEC20000中的術語及定義。

1.3.2本手冊應用ISO/IEC27001中的術語及定義。

2信息安全管理&IT服務管理手冊的管理

2.1手冊的編制、批準和發(fā)布

2.1.1按照公司業(yè)務發(fā)展戰(zhàn)略和客戶需求，經公司管理者代表批準，技術

服務事業(yè)部組織相關人員,結合本公司業(yè)務特點，根據ISO/IEC20000標準的

要求編寫。

2.1.2?IT服務管理手冊》由公司管理者代表批準后發(fā)布。

2.2手冊的分發(fā)

2.2.1技術服務事業(yè)部負責手冊的發(fā)放、更新、管理與存檔。

2.2.2公司各部門負責手冊的使用和保管。

2.3手冊的受控狀態(tài)

2.3.1書面形式的手冊分"有效文件"和"保留文件"兩種形式。作為公

司日常運營的依據及提供給外部認證機構的于冊均為“有效文件”形式。

2.3.2當手冊內容變更時，"有效文件”形式的手冊應及時予以更新和發(fā)

放。

2.3.3"有效文件”形式的文件在更新后，如需保存原來的版本，以便于

追溯，則應當用"保留文件"的標識予以區(qū)分。

2.3.4電子形式的手冊由技術服務事業(yè)部在工作流轉系統(tǒng)中進行管理。

2.4手冊的變更

2.4.1因公司戰(zhàn)略調整、客戶需求或改進活動等引起的手冊內容的變更,

按公司總經理指示，技術服務事業(yè)部組織相關部門對涉及變更的內容進行更新,

并經公司總經理批準后發(fā)布。

2.4.2更新后的手冊，應及時地發(fā)放給公司內部原手冊持有者，并收回舊

版的手冊。對電子形式的，冊，由技術服務事業(yè)部按工作流轉系統(tǒng)中的管理規(guī)則

進行更新和歸檔管理。

2.5公司內部手冊持有者的責任

2.5.1與公司或部門內部的相關人員溝通、學習手冊的要求并遵照執(zhí)行。

2.5.2妥善保管，不得私自更改、曲解手冊的內容。不得隨意向其他與公

司業(yè)務無關的第三方傳播，如需提供公司以外的第三方參考，應經技術服務事業(yè)

部提交公司主管副總經理審核后，報公司總經理批準。

3公司架構和安全承諾

3.1公司行政組織架構

3.2公司信息安全管理體系組織架構圖

注：每個虛線框內為一個信息安全小組，部門的負責人為安全組長，名崗位

負責人為該崗位的安全員。

3.3公司IT服務管理職能關系架構圖

3.4信息安全承諾

?公司成立安全管理委員會來領導信息安全工作，并確定相應的職責和作用。

?制訂信息安全方針和信息安全目標建立和完善公司的信息安全管理體系。

?提供充分的資源以保證信息安全管理體系的制定、實施、運作、監(jiān)控、維

護和改善。

?對公司信息資產實行有效管理，確保信息的機密性，維持信息的完整性和

可用性，防范對信息的未經授權訪問。對公司信息資產進行風險評估，制定風險

可接受標準，對公司不能接受的風險進行處置。

?建立業(yè)務持續(xù)性管理流程。進行業(yè)務持續(xù)性風險評估，編寫、測試并實施

業(yè)務持續(xù)性計劃和災難恢復計劃，以保證公司關鍵業(yè)務的連續(xù)，不受重大故障和

災難的影響。

?確保公司所有員工都接受信息安全的教育培訓I,提高信息安全意識。

?保護公司、客戶、相關合作方的信息安全。

?建立公司信息安全組織架構，明確信息安全責任，確定報告可疑的和發(fā)生

的信息安全事故及事件的流程，對違反安全制度的人員進行懲罰。

?建立物理安全和網絡安全管理制度，以確保信息的安全性。

?保護公司軟件和信息的完整性，防止病毒與各種惡意軟件的入侵。

?任何人在未經審批的情況下，禁止將信息資產帶離公司。

?公司所有員工都要嚴格遵守公司的安全方針、程序和制度。

?控制對內外部網絡服務的訪問，保護網絡服務的安全性與可用性。

?對用戶賬號、口令和權限進行嚴格管理，防止對信息系統(tǒng)的非授權訪問。

?對重要信息進行備份保護，以保證信息的可用性。

?定期對信息安全管理體系進行內審和管理評審。

3.5信息安全管理委員會

為了加強對信息安全管理體系運作的管理，江蘇金馬揚名信息技術有限公司

公司成立信息安全管理委員會，其職責見下列明細表。

信息安全管理職責明細表

序號單位/部門信息安全職責

信息安全

信息安全管理委員會是我公司信息安全最高組織機構，負責本單位網絡

1管理委員

與信息安全重大事項的決策和協調，并對全公司信息安全工作負責。

會

2總經理信息安全第一責任人，制定信息安全方針，對信息安全全面負責。

3管理者代表經總經理授權負責建立、實施、檢查、改進信息安全管理體系。

我公司信息安全管理體系的歸口管理部門。

1.負責管理體系的建立、實施、保持、測量和改進。

2.負責文件控制、記錄控制、內部審核的組織、管理評審的組織

和體系的改進。

3.負責本公司保密工作的管理。

4.安全區(qū)域的保衛(wèi)管理部門，負責安全區(qū)域的管理。

4綜合管理部

5.負責全公司人員安全管理，包括人員聘用管理，保密協議簽署，

員工的能力、意識和培訓，員工離職管理。

6.負責涉密信息上網、涉密計算機運行、檢修、報廢的監(jiān)督管理。

7.對信息安全日常工作實施動態(tài)考核，將信息安全管理作為企業(yè)

管理的重要工作內容。

8.參與涉密及司法介入的信息安全事件的調查。

是我公司信息系統(tǒng)安全管理部門。

5生產技術部負責局域網上所承擔的各類信息系統(tǒng)的管理職能；

負責我公司信息系統(tǒng)安全日常管理。

6其他部門認真執(zhí)行信息安全管理的方針、標準、安全策略和規(guī)范，做好內部培訓I。

備注：以上職能劃分，適用所有信息安全管理體系文件。

信息安全管理委員會組成人員：

姓名部門職務備注

3.6服務管理職能說明

3.6.1為保證IT服務管理體系的順利實施，以及實施后得到持續(xù)的管理

和維護，在現有的組織架構外建立服務管理職能關系架構。IT服務管理職能關

系架構，并不替代現有的按技術類別進行的分工，現有的按技術類別進的分工，

在將來的IT服務管理體系中仍將發(fā)揮其作用。服務部根據IT服務管理程序要求

對所有服務合同按照項目進行管理與運行，由項目經理按照服務管理職能關系架

構中的要求對項目執(zhí)行管理。一個完整的服務項目必須包含服務臺、事件管理、

業(yè)務關系管理、信息安全管理、供應商管理和IT財務管理。對于上圖虛線框內

的的問題管理、發(fā)布管理、配置管理、變更管理、可用性和連續(xù)性管理、容量管

理、服務級別管理以及服務報告可由服務部經理依照與用戶簽署的服務合同進行

選擇裁剪。

3.6.2角色分配說明

3.6.2.1針對服務部當前組織架構及人員狀況，將不再為每一具體流程

分配流程經理。為此將13個流程，按其必要程度分成必選流程和可裁剪流程兩

大模塊。由項目經理負責相應流程的實施、管理和控制，對項目組成員主要是組

織、協調、安排相應工作任務的完成，可能并不是由自己去完成。

3.6.2.1.1項目經理

職責說明：

1）、負責IT服務項目的立項工作，按照服務合同要求負責相應流程的實施、管

理和控制。組織、協調、安排項目組成員完成相應工作任務。

2）、負責從服務臺接受事件報告開始，分配相應的職能小組進行事件處理，

直至找到問題的根本原因的整個過程的管理和協調。

3人負責各系統(tǒng)的配置管理、變更和發(fā)布控制。

4）、負責系統(tǒng)的可用性規(guī)劃和管理、負責安排系統(tǒng)連續(xù)性的計劃和演練，

并負責系統(tǒng)容量的規(guī)劃和監(jiān)控。

5）、主要負責與用戶的溝通，對供應商的管理，以及項目的預/決算的管理。

3.6.2.1.2能力要求：熟悉服務部的各種服務管理流程，具有較強的

內部協調能力。

由管理者代表授權技術服務事業(yè)部總監(jiān)，按ISO/IEC20000的要求，負

責協調和組織所有與IT服務有關的活動，通過管理和實施各項活動，使IT服務

業(yè)務的質量得到有效的保持和維護。

技術服務事業(yè)部組織制訂、批準和發(fā)布公司IT服務策略、服務目標，并

使其成為公司關注的焦點，成為公司協調、統(tǒng)一、凝聚公司的所有活動和資源的

準則，成為建立、實施、保持并改進IT服務管理體系的宗旨。

3.6.3

公司IT服務策略：

客戶至上、全員參與、創(chuàng)新高效、系統(tǒng)管理、追求卓越

公司IT服務目標：

公司通過服務質量改進程序確定年度服務質量目標

公司的IT服務目標按ISO/IEC20000的要求，與公司的業(yè)務相結合，并

通過流程績效不斷提高和改進。

技術服務事業(yè)部負責組織相關部門，通過會議、評審、書面報告、培訓等

方式，及時有效溝通工作，達到IT服務管理目標和持續(xù)改進的需求，并在公司

中積極貫徹實施IT服務管理的重要性。

技術服務事業(yè)部負責組織相關部門按照PDCA的要求，通過對所屬業(yè)務的

規(guī)劃，適時優(yōu)化和提供資源以計劃、實施、監(jiān)控、評審和改進IT服務的交付和

管理。

管理者代表按照《月筋質量改進管理程序》中的計劃間隔，由技術服務事

業(yè)部負責組織相關部門實施IT服務管理體系的內部審核，確保IT服務管體系的

有效性與符合性。

管理者代表按照《服務質量改進管理程序》中的計劃間隔，組織相關部門執(zhí)

行IT服務管理體系的管理評審確保IT服務管理體系持續(xù)的穩(wěn)定、充分和有效。

3.6.4文件要求

3.6.4.1公司的文件管理體系分為A、B、C、D四層，即A

層為管理手冊、B層為程序文件、C層為工作流程或規(guī)定、D層為記錄。

3.6.4.2管理手冊一描述IT服務管理體系的文件，是全體員工必須長

期遵循的法規(guī)性文件。

3.6.4.3程序文件一覆蓋公司主要業(yè)務過程的流程文件，是管理手冊

的支撐性文件。

3.6.4.4工作流程或規(guī)定一是開展具體業(yè)務工作的規(guī)范類.指導性文件，

是程序文件的支持性文件。

3.6.4.5記錄一在開展具體業(yè)務工作過程中產生的記錄類文件，主要

是為具體工作結果提供各種可追溯性證據。

3.6.4.6技術服務事業(yè)部負責組織制訂《文件和記錄管理程序》，明確

文件的擬制、批準、發(fā)放、變更、存檔等管理要求，并監(jiān)控實施。

3.6.4.7技術服務事業(yè)部負責組織相關部門，根據公司的業(yè)務特點及標

準的要求，制訂相關的程序文件，經公司管理者代表批準后實施。

3.6.4.8技術服務事業(yè)部負責組織擬制與本部門業(yè)務相關的各類C層文

件，并按《文件和記錄管理程序》的要求對文件和記錄的有效性進行管理。

4信息安全

4.1總要求

4.1.1公司根據整體業(yè)務活動（軟件開發(fā)、經營、服務和日常管理活動）和

所面臨的風險，按ISO/IEC27001:2005《信息技術-安全技術-信息安全管理體

系-要求》規(guī)定，參照ISO/IEC27002:2005《信息技術-安全技術-信息安全管理

實用規(guī)則》標準，建立、實施、運作、監(jiān)控、維護并改進文件化的信息安全管理

體系。

4.1.2本手冊使用的過程基于PDCA模式。

相關文件：

《信息安全方針及目標》

4.2建立和管理信息安全管理體系（ISMS）

4.2.1建立ISMS

4.2.1.1信息安全管理體系的范圍和邊界

本公司根據業(yè)務特征、組織結構、地理位置、資產和技術定義了范圍和邊界，

本公司信息安全管理體系的范圍包括：

a）本公司涉及軟件開發(fā)、營銷、服務和日常管理的業(yè)務系統(tǒng)；

b）與所述信息系統(tǒng)有關的活動；

C）與所述信息系統(tǒng)有關的部門和所有員工；

d）所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產。

組織范圍：

本公司根據組織的業(yè)務特征和組織結構定義了信息安全管理體系的組織范

圍，見本手冊JIN/QM—3.2《公司信息安全管理體系組織架構》。

物理范圍：

本公司根據組織的業(yè)務特征、組織結構、地理位置、資產和技術定義了信息

安全管理體系的物理范圍和信息安全邊界。

本公司ISMS的物理范圍為本公司位于***2幢乙單元503室的辦公場所，

安全邊界詳見附錄A（規(guī)范性附錄）《辦公場所平面匿》。

4.2.1.2信息安全管理體系的方針

為了滿足適用法律法規(guī)及相關方要求，維持軟件開發(fā)和經營的正常進行，實

現業(yè)務可持續(xù)發(fā)展的目的。本公司根據組織的業(yè)務特征、組織結構、地理位置、

資產和技術定義了信息安全管理體系方針，見本信息安全管理手冊第03條款。

該信息安全方針符合以下要求：

a）為信息安全目標建立了框架，并為信息安全活動建立整體的方向和原則；

b）考慮業(yè)務及法律或法規(guī)的要求，及合同的安全義務；

c）與組織戰(zhàn)略和風險管理相一致的環(huán)境下，建立和保持信息安全管理體系；

d）建立了風險評價的準則；

e）經最高管理者批準，

為實現信息安全管理體系方針，本公司承諾：

a）在各層次建立完整的信息安全管理組織機構，確定信息安全目標和控制

措施；明確信息安全的管理職責，見本信息安全管理手冊第3.4條款。；

b）識別并滿足適用法律、法規(guī)和相關方信息安全要求；

c）定期進行信息安全風險評估，信息安全管理體系評審，采取糾正預防措

施，保證體系的持續(xù)有效性；

d）采用先進有效的設施和技術,處理、傳遞、儲存和保護各類信息，實現

信息共享；

e）對全體員工進行持續(xù)的信息安全教育和培訓，不斷增強員工的信息安全

意識和能力；

f）制定并保持完善的業(yè)務連續(xù)性計劃，實現可持續(xù)發(fā)展。

4.2.1.3風險評估的方法

生技部負責制定《信息安全風險管理程序》，建立識別適用于信息安全管理

體系和已經識別的業(yè)務信息安全、法律和法規(guī)要求的風險評估方法，建立接受風

險的準則并識別風險的可接受等級。信息安全風險評估采用信息安全風險管理軟

件

（Info-riskmanager）進行，以保證所選擇的風險評估方法應確保風險評

估能產生可比較的和可重復的結果。

4.2.1.4識別風險

在已確定的信息安全管理體系范圍內本公司按《信息安全風險管理程序》，

采用Info-riskmanager風險管理軟件，對所有的資產進行了識別，井識別了這

些資產的所有者。資產包括硬件、設施、軟件與系統(tǒng)、數據、文檔、服務及人力

資源。對每一項資產按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性

要求進行了量化賦值，根據重要資產判斷依據確定是否為重要資產，形成了《重

要資產清單》。

同時，根據《信息安全風險管理程序》，識別了對這些資產的威脅、可能被

威脅利用的脆弱性、識別資產價值、保密性、完整性和可用性、合規(guī)性損失可能

對資產造成的影響。

4.2.1.5分析和評價風險

本公司按《信息安全風險管理程序》，采用信息安全風險管理軟件，分析和

評價風險：

a）針對重要資產自身價值、保密性、完整性和可用性、合規(guī)性損失導致的

后果進行賦值；

b）針對每一項威脅、薄弱點,對資產造成的影響，考慮現有的控制措施,

判定安全失效發(fā)生的可能性,并進行賦值；

c）根據《信息安全風瞼管理程序》計算風險等級；

d）根據《信息安全風險管理程序》及風險接受準則，判斷風險為可接受或

需要處理。

4.2.1.6識別和評價風險處理的選擇

網絡管理部組織有關部門根據風險評估的結果，形成《風險處理計劃》，該

計劃明確了風險處理責任部門、負責人、處理方法及起始、完成時間。

對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當的措

施：

a）控制風險，采用適當的內部控制措施；

b）接受風險（不可能將所有風險降低為零）；

c）避免風險（如物理隔離）；

d）轉移風險（如將風險轉移給保險者、供方、分包商）。

4.2.1.7選擇控制目標與控制措施

網絡管理部根據信息安全方針、業(yè)務發(fā)展要求及風險評估的結果，組織有關

部門制定了信息安全目標，并將目標分解到有關部門見《信息安全適用性聲明》）:

a）信息安全控制目標獲得了信息安全最高責任者的批準。

b）控制目標及控制措施的選擇原則來源于ISO/IEC27001:2005《信息技術

-安全技術-信息安全管理體系-要求》附錄A,具體控制措施參考ISO/IEC

27002:2005《信息技術-安全技術-信息安全管理實用規(guī)則》。

c）本公司根據信息安全管理的需要，可以選擇標準之外的其他控制措施。

4.2.1.8對風險處理后的剩余風險，得到了公司最高管理者的批準。

4.2.1.9最高管理者通過本手冊對實施和運行信息安全管理體系進行了授權。

4.2.1.10適用性聲明

生技部負責編制《信息安全適用性聲明》（SoA）。該聲明包括以下方面的

內容：

a）所選擇控制目標與控制措施的概要描述，以及選擇的原因；

b）對ISO/IEC27001:2005附錄A中未選用的控制目標及控制措施理由的

說明。

4.2.2實施和運行11sMs

4.2.2.1為確保信息安全管理體系有效實施，對已識別的風險進行有效處理，

本公司開展以下活動：

a）形成《風險處理計劃》，以確定適當的管理措施、職責及安全控制措施的

優(yōu)先級；

b）為實現已確定的安全目標、實施《風險處理計劃》,明確各崗位的信息安

全職責；

c）實施所選擇的控制措施，以實現控制目標的要求；

d）確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于

評估控制的有效性以得出可匕匕較的、可重復的結果；

e）進行信息安全培訓，提高全員信息安全意識和能力；

f）對信息安全體系的運作進行管理；

g）對信息安全所需資源進行管理；

h）實施控制程序,對信息安全事件（或征兆）進行迅速反應。

422.2信息安全組織機構

本公司成立了的信息安全領導機構-信息安全委員會，其職責是實現信息安

全管理體系方針和本公司承諾。具體職責是：研究決定貫標工作涉及到的重大事

項；審定公司信息安全方針、目標、工作計劃和重要文件；為貫標工作的有序推

進和信息安全管理體系的有效運行提供必要的資源。

本公司由相關部門代表組成信息安全管理網絡，采用聯席會議（協調會）的

方式，進行信息安全協調和協作，以：

a）確保安全活動的執(zhí)行符合信息安全方針；

b）確定怎樣處理不符合；

c）批準信息安全的方法和過程,如風險評估、信息分類；

d）識別重大的威脅變化，以及信息和相關的信息處理設施對威脅的暴露；

e）評估信息安全控制措施實施的充分性和協調性；

f）有效的推動組織內信息安全教育、培訓和意識；

g）評價根據信息安全事件監(jiān)控和評審得出的信息，并根據識別的信息安全

事件推薦適當的措施。

4.2.23信息安全職責和權限

本公司總經理為信息安全最高責任者。總經理指定了信息安全管理者代表。

無論信息安全管理者代表在其他方面的職責如何，對信息安全負有以下職責：

a）建立并實施信息安全管理體系必要的程序并維持其有效運行；

b）對信息安全管理體系的運行情況和必要的改善措施向信息安全領導小組

或最高責任者報告。

各部門負責人為本部門信息安全管理責任者，全體員工都應按保密承諾的要

求自覺履行信息安全保密義務；

各部門、人員有關信息安全職責分配見本信息安全管理手冊第3.4條款《信

息安全管理職責明細表》和相應的程序文件。

422.4名部門應按照《信息安全適用性聲明》中規(guī)定的安全目標、控制措

施（包括安全運行的各種控制程序）的要求實施信息安全控制措施。

4.2.3監(jiān)控和評審ISMS

4.2.3.1本公司通過實施不定期安全檢查、內部審核、事故（事件）報告調

查處理、電子監(jiān)控、定期技術檢查等控制措施并報告結果以實現：

a）及時發(fā)現處理結果中的錯誤、信息安全體系的事故（事件）和隱患；

b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類

攻擊；

c）使管理者確認人工或自動執(zhí)行的安全活動達到預期的結果；

d）使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；

e）積累信息安全方面的經驗；

423.2根據以上活動的結果以及來自相關方的建議和反饋，由總經理主持,

每年至少一次對信息安全管理體系的有效性進行評審,其中包括信息安全范圍、

方針、目標的符合性及控制措施有效性的評審，考慮安全審核、事件、有效性測

量的結果，以及所有相關方的建議和反饋。管理評審的具體要求，見本手冊第7

章。

423.3網絡管理部應組織有關部門按照《信息安全風險管理程序》的要求，

采用信息安全風險管理軟件，對風險處理后的殘余風險進行定期評審，以驗證殘

余風險是否達到可接受的水平，對以下方面變更情況應及時進行風險評估：

a）組織;

b）技術；

c）業(yè)務目標和過程；

d）已識別的威脅；

e）實施控制的有效性；

f）外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的

變化。

423.4按照計劃的時間間隔進行信息安全管理體系內部審核，內部審核的

具體要求，見本手冊第6章。

423.5定期對信息安全管理體系進行管理評審，以確保范圍的充分性,并

識別信息安全管理體系過程的改進，管理評審的具體要求，見本手冊第7章。

4.23.6考慮監(jiān)褥口評審活動的發(fā)現，更新安全計劃。

423.7記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。

424保持與持續(xù)改進ISMS

我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進：

a）實施每年管理評審、內部審核、安全檢查等活動以確定需改進的項目；

b）按照《內部審核管理程序》、《糾正措施管理程序》、《預防措施管理

程序》的要求采取適當的糾正和預防措施；吸取其他組織及本公司安全事故（事

件）的經驗教訓，不斷改進安全措施的有效性；

c）通過適當的手段保持在內部對信息安全措施的執(zhí)行情況與結果進行有效

的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯系

及識別顧客對信息安全的要求等；

d）對信息安全目標及分解進行適當的管理，確保改進達到預期的效果。

相關文件：

《系統(tǒng)風險評估方法》

《適用性聲明》

《管理評審程序》

《內部審核控制程序》

《糾正措施控制程序》

《預防措施控制程序》

43文件要求

4.3.1總則

ISMS文件應包括:

a）形成文件的ISMS方針和控制目標；

b）ISMS范圍

c）ISMS的支持性程序和控制措施；

d）風險評估方法的描述；

e）風險評估報告；

f）風險處置計劃；

g）公司為確保其信息安全過程的有效策劃、運行和控制以及規(guī)定如何測量

控制措施有效性所需的程序文件；

h）標準所要求的記錄；

|）適用性聲明。

所有文件應按ISMS方針要求在需要時可獲得。

4.3.2文彳牛控制

ISMS所要求的文件應予以保護和控制，應編制形成文件的程序以規(guī)定以下

方面所需的管理措施：

a）文件發(fā)布前得到批注以確保文件是充分的；

b）必要時對文件進行評審與更新并再次批準；

c）確保文件的更改和現行修訂狀態(tài)得到識別；

d）確保在使用處可獲得適用文件的適用版本；

e）確保文件保持合法并易于識別；

f）確保外來文件得到識別；

g）確保文件的分發(fā)是受控的；

h）防止作廢文件的非預期使用；

i）若因任何原因而保留作廢文件時對這些文件進行適當的標識；

4.3.3記錄控制

應建立并保持記錄，以提供符合要求和ISMS有效運行的證據。記錄應得到

保護并且受控。ISMS應考慮相關法律要求，記錄應易于識別和檢索。應編制形

成文件的程序，以規(guī)定記錄的識別、貯存、保護、檢索、保存期限和處置所需的

控制，確定記錄需要和程度的管理過程。

保持過程業(yè)績的記錄以及與ISMS有關的安全事件的記錄。例如，記錄包括

訪問者登記審核記錄和訪問授權。

相關文件：

《文件控制程序》

《記錄控制程序》

5管理職責

5.1管理承諾

管理層應通過以下措施對其建立、實施、運行、監(jiān)控、評審、維護和改進ISMS

的承諾提供證據。

a）建立信息安全方針；

b）確保信息安全目標和計劃的建立；

c）為信息安全分配角色和職責；

d）向公司傳達滿足信息安全目標、符合信息安全方針、法律責任和持續(xù)改

進的重要性；

e）提供足夠的資源以建立、實施、運行、監(jiān)控、評審、維護和改進ISMS;

f）決定可接受風險的標準和可接受風險的等級；

g）確保ISMS內部審核的執(zhí)行；

h）進行ISMS管理評審。

相關文件：

《信息安全方針和目標》

《部門職責》

《管理評審程序》

《系統(tǒng)風險評估方法》

5.2資源管理

5.2.1資源提供

公司應確定和提供以下方面所需的資源

a）建立建立、實施、運行、監(jiān)控、維護和改進ISMS

b）確保信息安全程序支持業(yè)務需求；

c）識別并確定法律法規(guī)要求和合同安全責任；

d）通過正確應用所有實施的控制措施的來維持足夠的安全；

e）必要時進行評估，并對評估結果采取適當的對應措施；

f）必要時改進ISMS的有效性。

5.2.2培訓|、意識和能力

公司應確保在ISMS中任命職責的人員應能夠勝任要求的任務

a）確定從事影響信息安全工作的人員所必需的能力；

b）提供足夠的能力培訓或具它措施，必要時聘用有能力的人員滿足這些要

求；

c）評估所提供的培訓和采取措施的有效性；

d）保持教育、培訓I、技能、經驗和資質的適當記錄。

公司應確保員工認識到所從事信息安全活動的相關性和重要性，以及如何為

實現ISMS目標作出貢獻。

相關文件：

《人力資源管理控制程序》

6ISMS內部審核

公司應按計劃的時間間隔進行ISMS內部審核以確定控制目標、控制措施、

過程和程序是否：

a）符合標準及相關法律法規(guī)的要求；

b）符合確定的信息安全要求；

c）得到有效地實施和維護；

d）按期望運行。

內部審核程序應進行計劃，并考慮受審核過程的狀況、重要性和受審核的區(qū)

域以及上次審核結果，應規(guī)定審核準則、范圍、頻次和方式，審核員的選題口審

核活動應保證審核過程的客觀和公正，審核員不能審核自己的工作。

應建立形成文件的程序，以規(guī)定策劃和實施審核的職責和要求以及報告結果

和保持記錄。

受審核區(qū)域的負責人應確保立即采取措施，以消除發(fā)現的不符合及其原因。

改進措施包括所采取措施的驗證并匯報驗證結果。

相關文件：

《內部審核控制程序》

7ISMS管理評審

7.1總則

管理者應按策劃的時間間隔評審公司的ISMS（至少一年一次），以確保其

持續(xù)的適宜性、充分性和有效性。評審應包括評價ISMS改進的機會和變更的需

要，包括安全方針和安全目標的適宜性。評審結果應清楚地寫入文件應保持記錄。

7.2管理評審輸入

管理評審的輸入應包括以下方面的信息：

a）ISMS審核（包括內審和外審）和管理評審的結果；

b）相關方（客戶、供應商、內部員工等）的反饋；

c）公司用于改進ISMS業(yè)績和有效性的技術、產品或程序的發(fā)展及變化；

d）預防和糾正措施的實施情況；

e）上次風險評估未充分指出的弱點或威脅；

f）體系有效性測量的結果；

g）上次管理評審所采取措施的跟蹤驗證；

h）影響ISMS的變更，如信息安全組織架構變化等；

i）改進的建議。

7.3管理評審輸出

管理評審的輸出應包括與以下方面有關的任何決定和措施

a）ISMS有效性的改進

b）風險評估和風險處理計劃的更新

c）必要時修訂影響信息安全的程序和控制措施，以反映可能影響ISMS的內

外事件，包括以下變化

1業(yè)務需求；

2安全需求；

3影響已有業(yè)務需求的業(yè)務過程；

4法律法規(guī)環(huán)境；

5合同義務；

6風險和/或風險接受準則。

d）資源需求

e）針對被測量的控制措施有效性的改進

相關文件：

《管理評審程序》

8ISMS的改進

8.1持續(xù)改進

公司應通過應用信息安全方針、安全目標、審核結果、監(jiān)控事件的分析、糾

正和預防措施和管理評審，持續(xù)改進ISMS的有效性。

8.2糾正措施

公司應采取措施消除【SMS實施和運行的不符合原因，以防止其再發(fā)生。糾

正措施文件程序應規(guī)定以下方面的要求。

a）識別ISMS實施和運行的不符合項；

b）確定不符合的原因；

c）評價確保不符合不再發(fā)生所需的措施；

d）決定和實施所需的糾正措施；

e）記錄所采取措施的結果；

f）評審所采取的糾正措施。

8.3預防措施

公司應決定措施以防范未來的不符合，防止發(fā)生采取的預防措施應與潛在問

題的影響相匹配，預防措施文件程序應規(guī)定以下方面的要求。

a）確定潛在不符合及其原因；

b）評價預防不符合發(fā)生所需的措施；

c）決定實施所需的預防措施；

d）記錄所采取措施的結果；

e）評審所采取的預防措施。

公司應識別發(fā)生變化的風險，并通過關注變化顯著的風險來識別預防措施要

求。應根據風險評估結果來確定預防措施的優(yōu)先級。

相關文件：

《糾正措施控制程序》

《預防措施控制程序》

IT服務管理

服務管理規(guī)劃和實施

在開展IT服務管理的活動中，PDCA原理貫穿于IT服務管理體系的全部流

程，其中：

P（計劃）一根據客戶要求和公司策略建立目標和流程。

D（實施）—實施流程。

C（檢查）—根據策略、目標和要求對過程和服務進行監(jiān)控、測量，并報

告結果。

A（改進）一采取措施以持續(xù)改進流程的性能。

計劃服務管理

服務部向客戶提供三大服務項目：常駐現場技術服務、定期巡檢技術服務、

咨詢規(guī)劃設計服務。甘肅萬維公司為不斷滿足市場需求和企業(yè)自身發(fā)展需要，將

在未來將原有的三大技術服務內容重新規(guī)劃和設計，細化成六大服務內容：基礎

設施服務、運維服務、專業(yè)技術服務、IT安全服務、咨詢設計評估服務、培訓

服務。從而實現在堅持原有行業(yè)內的服務的基礎上向行業(yè)外擴展的計劃。

服務部根據公司IT服務管理職能關系架構圖中的所分配的職責并依據條款

4-9中所規(guī)定的服務管理過程向客戶提供IT服務。

相關部門根據管理評審的結果及結論，結合本部門的工作實際，由技術服務

事業(yè)部組織相關部門對當前與本部門相關的IT服務工作的改進需求、以及公司

業(yè)務發(fā)展策略、技術動態(tài)、政策法規(guī)要求、下一年度口服務工作的安排進行規(guī)

劃，制訂本部門的年度工作計劃，并按公司內控制度制訂對應的部門年度費用預

算。

實施IT服務

技術服務事業(yè)部組織相關部門按批準后的公司年度計劃，對計劃周期內的工

作任務、目標、績效要求進行分解，組織各部門制訂各自的年度工作計劃和費用

預算，并進行跟蹤、檢查。

相關部門年度工作計劃、年度費用預算應與已批準的本部門年度工作計劃、

預算一致，如有變更，引起預算的變化，應上報技術服務事業(yè)部按照相關流程審

批、執(zhí)行。

技術服務事業(yè)部負責組織IT服務項目的立項工作，并按照項目管理規(guī)定對

項目計劃周期內的工作任務、目標、績效要求進行分解，制訂項目實施計劃和費

用預算，并進行跟蹤、檢查。

監(jiān)視、測量和評審

服務部負責收集、匯總、整理IT服務項目的日常服務數據。

服務部經理負責組織【T服務項目，按各項目階段性工作計劃、費用預算的

內容，以及IT服務管理的要求，收集與IT服務相關的/言息，監(jiān)控、測量和評審

與本業(yè)務相關的服務規(guī)劃要求、已有的SLA符合要求的程度。IT服務項目在運

行中,應監(jiān)控、測量和評審的內容為：

既定的IT服務目標的達成程度。

客戶滿意度。

資源利用。

服務實施的趨勢。

嚴重不符合。

技術服務事業(yè)部按照《服務質量改進管理程序》的要求，組織IT服務管理

體系的管理評審活動，以確保IT服務要求得到有效的實廊口維護。

持續(xù)改進

服務部每年至少進行一次服務管理體系的有效性評估，評估通過內部審核的

方式進行。

仕評估中發(fā)現的任何不符合標準的活動都應該采取糾正措施予以改進，對于

發(fā)現的潛在問題應該予以控制。

服務部在內部審核后，應進行管理評審，管理評審的內容包括：各流程的執(zhí)

行狀況報告，存在問題及改進建議，內部審核結果，相關方的反饋以及其他可能

影響體系運行的要素。

服務部按管理評審的要求，確定服務改進的測量、報告和溝通流程和內容。

監(jiān)控IT服務運行中出現的不符合項，組織相關部門實施、驗證改進活動。任何

不符合ISO/IEC20000-1:2005標準的活動都應被糾正。

對于內部審核、管理評審或其他活動中所發(fā)現的不符合項或潛在不符合項,

應按照《服務質量改進管理程序》要求進行及時糾正。

新服務或變更服務的策劃與實施

制訂新服務或變更服務計劃

銷售部門負責與客戶溝通，服務部配合，收集客戶對現有SLA的滿意度水

平。分析、整理客戶新的或變更服務的要求，及時反饋客戶的改進需求。

當出現新服務或變更服務時，服務部根據《服務策劃管理程序》的要求，組

織實施IT服務策劃和實施工作。

服務部組織對新服務或變更服務策劃結果的驗證、確認，驗證通過后按《服

務策劃管理程序》實施。

服務部應報告新服務或變更服務按計劃實施所達到的結果，服務部按《發(fā)布

管理程序》，執(zhí)行實施發(fā)布評審，比較實際結果與期望結果的一致性。

服務交付過程

服務級別管理

服務部負責與相關部門溝通，制訂公司的《服務目錄》。服務目錄應定義所

有服務，并包含服務名稱、服務目標或標準、聯系接口、服務提供時間和例外、

安全方面的考慮和安排。

《服務目錄》是公司所提供的服務內容的匯總，公司與客戶簽署SLA時應

參考《服務目錄》。

公司應該根據當前的服務能力對《服務目錄》進行更新與維護。

根據公司的戰(zhàn)略規(guī)劃、資源要求及客戶需求，服務部在與銷售部門和其他相

關部門溝通、確定SLA時，應考慮：可接受持續(xù)損失服務的最大周期、可接受

降級服務的最大周期，服務恢復時，可接受降級服務級別。

銷售部門代表客戶，與服務部簽訂《服務級別協議》。應明確：服務要求和

期望服務工作量特征的協議、服務目標協議、服務級別實現、工作量的測量和報

告，以及服務目標不能完成的分析與說明。

《服務級別協議》包含以下內容：服務的簡述、術語表、客戶職責、服務部

門職責和義務、服務目標、服務時間、工作量限制（最大及最小工作量），支持

和相關服務、影響和優(yōu)先級描述、授權細節(jié)，及授權人員聯系信息、有效期或

SLA變更控制機制（包含升級和通知流程）、服務中斷采取的糾正措施，計劃和

協調中斷，包括通知事件及頻率、溝通的簡述，包括報告、投訴程序、在SLA

中規(guī)定條款的例外情況。

商務部應依據與客戶簽訂的SLA以及《供應商管理程序》的要求，組織簽

署與供應商之間的支持合同（或協議）。

當出現重要業(yè)務變更時，銷售部門應及時與技術服務事業(yè)部溝通，按原流程

重新組織相關部門，調整、修訂《服務級別協議》，并作為服務改進計劃的輸入。

服務報告

服務部應就向客戶提交的服務報告的內容、報告周期與客戶協商并達成一致。

服務部擬制內部服務報告，對計劃間隔內的客戶服務狀況、問題趨勢、服務

數據、SLA目標實現等進行匯總、統(tǒng)計和分析組織召開月度服務質量分析會議，

形成會議紀要后發(fā)放。

服務報告主要包括的內容：執(zhí)行服務級別目標的績效，違反SLA、安全管理

要求等的不符合項和結論、工作量特征，如，數量、費源利用、報告主要事件、

變更、定期趨勢信息、客戶滿意度分析。

當出現有關IT服務系統(tǒng)配置項的變更時，服務部應按《變更管理程序》的

要求執(zhí)行。

服務報告應及時、清晰、可靠和簡明，便于分析、決策和有效溝通。

可用性和IT服務持續(xù)性管理

服務部應按照《可用性與IT服務持續(xù)性管理程序》的要求，擬制《可用性

與IT服務持續(xù)性計劃》，根據客戶業(yè)務優(yōu)先級、服務級別協議和評估的風險，

按設計的工作量計劃維護有效的服務能力，并與《服務級別協議》的目標保持一

致。應考慮：

IT服務持續(xù)性計劃考慮對服務和系統(tǒng)組成的關系。

應清晰的分配調用IT服務持續(xù)性計劃的責任，并清晰的計劃對每個目標采

取措施的責任。

備份服務恢復所需的數據、文件、軟件、任何設備和必要員工，仕重大服務

失敗或災難時，保持快速有效。

在遠程的安全地點，所有IT服務持續(xù)性文件應存儲和維護至少T分，與其

他必要的設備保存在一起。

定期開展IT服務持續(xù)性計劃的測試。

使員工理解調用、執(zhí)行計劃的角色與職責，并能訪問n■服務持續(xù)性文件。

服務部每年末組織對《可用性與IT服務持續(xù)性計劃》進行評審，并根據業(yè)

務需求的變化及時調整計劃的內容和目標，確保從普通到重大服務失效的任何環(huán)

境下都能滿足與客戶協商的要求。

當業(yè)務環(huán)境發(fā)生重大變化時，服務部應重新組織評審、修訂《可用性與IT

服務持續(xù)性計劃》。并通過能力管理和配置管理活動，評價所有服務組成的有效

性，預知可能的、潛在的問題，并采取預防措施。

對《可用性與n■服務持續(xù)性計劃》中內容和目標的變更，服務部應及時組

織相關部門按《變更管理程序》的要求進行評估、瞼證和確認，確保變更的效果

及滿足SLA的要求。

服務部應定期對可用性信息進行測量和記錄，未計劃的不可用應被調直、評

估，并采取適當的絹正或預防措施?？捎眯曰顒影ǎ?/p>

監(jiān)控和記錄服務的可用性。

服務準確的歷史數據。

與SLA中定義需求相比較，以識別不符合SLA有效目標的事項。

記錄不符合項，并組織評審。

考慮、評估供應商的影響。

預計未來的可用性。

IT服務的預算及財務管理

技術服務事業(yè)部應根據國家的有關法律法規(guī)和財務政策，及《IT財務管理

程序》的要求，根據公司的業(yè)務策略（包括產品策略、銷售策略、服務策略等），

組織擬制、審核本部門的總體性和階段性的IT服務費用預算及成本標準。

技術服務事業(yè)部根據公司業(yè)務發(fā)展戰(zhàn)略、公司現有的SLA要求，及本部門

業(yè)務的特點，按部門工作計劃的內容，組織擬制本部門階段性的費用預算計劃，

經財務部匯總、報批后實施。

在預算期間出現的服務變更引起的碩算變化，相關部門應按《IT財務管理

程序》的要求執(zhí)行預算變更申請。

在對《服務級別協議》進行評審時，服務部應根據公司策略，評估實現服務

目標和需求的成本，并根據確定的服務級別協議跟蹤成本的變化。

服務部應在服務變更時，計算服務變更成本，并通過《變更管理程序》進行

批準。

服務部應根據預算編制跟蹤財務變化，并對超出預算要求的變化，提前向技

術服務事業(yè)部提出預警信號。

容量管理

技術服務事業(yè)部負責現有IT服務系統(tǒng)容量水平的規(guī)劃，根據《容量管理程

序》的要求，制訂《容量管理計劃》，應在計劃中描述業(yè)務需求，包括：

當前和預計的容量和性能需求。

針對服務升級所定義的時間表、閾值和成本。

評估預期的服務升級、變更請求、新技術和技術能力的效果。

預計外部變更的影響，如法律影響等。

對數據和流程進行預先分析。

定義監(jiān)控服務容量、調整服務性能和提供充分容量的方法、程序和技術。

為達到SLA所要求的服務級別目標和業(yè)務需求所應具備的資金條件。

服務部協助收集、統(tǒng)計當前IT基礎設施的實際性能和預期要求的運行信息，

以支持服務業(yè)務的開展。

技術服務事業(yè)部應根據服務特點、服務量、服務報告和客戶業(yè)務等信息，組

織對《容量管理計劃》進行評審，并保留評審相關的紀錄。

當出現臨時的新增或變更服務時，技術服務事業(yè)部應根據《容量管理程序》

的要求，及時對《容量管理計劃》的相關內容進行評估和更新。

1關系過程

總則

供應商和客戶的關系管理可采用正式合同形式約束。

銷售部門按《業(yè)務關系管理程序》的要求明確定義供應商和客戶的角色、范

圍和職能，通過合同、溝通、培訓等方式確保實施和參與服務提供的各方：

理解并滿足業(yè)務需求。

理解能力和約束條件。

理解職責和責任。

業(yè)務關系管理

服務部按照《業(yè)務關系管理程序》的要求，奉頭并定期組織銷售部門，開展

服務管理評價活動，討論、匯報服務范圍、SLA、合同或業(yè)務需求的變化，及性

能、成績、結果和措施計劃，并形成會議紀要。

當服務目標、服務需求、支持合同、業(yè)務等發(fā)生新增、變更或撤銷時，服務

部應按《服務策劃管理程序》的要求，提出并評估服務范圍和SLA的改進方案，

由服務部組織實施。

服務部與客戶建立有效的互動、溝通關系，以便及時了解客戶的需求或重大

變更，并依據需求進行響應。根據《客戶滿意度管理規(guī)定》，定義、收集、分析

客戶滿意度數據和信息，監(jiān)控客戶滿意度的趨勢。

技術服務事業(yè)部根據《業(yè)務關系管理程序》中的客戶投訴管理流程，負責收

集、統(tǒng)計、分析客戶投訴的記錄，識別投訴的發(fā)展趨勢和存在問題，確保服務的

持續(xù)性目標的實現。

供應商管理

商務部按《萬維公司內控手冊》中《供應商管理業(yè)務程序》的要求，對供應

商提供的IT服務的過程進行管理，完善供應商管理制度和采購規(guī)范，建立和維

護公司《合格供應商名單》。并確保：

供應商了解其對本公司承擔的責任。

服務要求滿足協議約定的服務級別和范圍