信息安全和信息技術(shù)服務(wù)管理手冊(cè)2023

編號(hào)：ISMS/ITSMS-01-01

信息安全和信息技術(shù)服務(wù)管理手冊(cè)版次：D/0

?姓脆械械輻爵I

（依據(jù)ISO/IEC27001：2022標(biāo)準(zhǔn)、TSO/TEC200007:2018標(biāo)準(zhǔn)編制）

文件編號(hào)：ISMS/ITSMS-01-01

版本：D/0

受控

受控狀態(tài):

批準(zhǔn)：

審核：_________

編制：_________

2023-01-05發(fā)布2023-01-05實(shí)施

第1頁(yè)共51頁(yè)

變更記錄

變更日期版本號(hào)變更說(shuō)明編制審核批準(zhǔn)

信息安全

2023.1.5D/0ISO27001-2022體系轉(zhuǎn)版

小組

目錄

1范圍.......................................................................................5

1.1總則.....................................................................................5

1.2應(yīng)用.....................................................................................5

2規(guī)范性引用文件............................................................................5

3術(shù)語(yǔ)和定義.................................................................................6

4組織環(huán)境..................................................................................8

4.1理解組織及其環(huán)境........................................................................8

4.2理解相關(guān)方的需求和期望..................................................................8

4.3確定信息技術(shù)服務(wù)管理體系范圍...........................................................9

4.4信息技術(shù)服務(wù)管理體系....................................................................9

5領(lǐng)導(dǎo).......................................................................................9

5.1領(lǐng)導(dǎo)和承諾..............................................................................9

￡.2方針....................................................................................10

5.2.1建立管理方針.....................................................................10

5.2.2溝通管理方針.....................................................................10

5.3組織的角色、責(zé)任和權(quán)限................................................................10

6規(guī)劃......................................................................................II

￡.1.1總則..................................................................................II

C.1.2信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估...........................................................II

e.1.3信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置...........................................................12

C.2管理目標(biāo)及其實(shí)現(xiàn)規(guī)劃...................................................................12

6.2.1確定目標(biāo)........................................................................12

6.2.2策劃實(shí)現(xiàn)目標(biāo)....................................................................13

6.3規(guī)劃信息技術(shù)服務(wù)管理體系..............................................................13

7支持......................................................................................14

7.1資源...................................................................................14

7.2能力...................................................................................14

7.3意識(shí)...................................................................................14

7.4溝通...................................................................................15

7.5文件化信息.............................................................................15

7.5.1總則.............................................................................15

7.5.2創(chuàng)建和更新.......................................................................15

7.5.3文件化信息的控制................................................................16

7.5.4管理體系文件化信息...............................................................16

7.6知識(shí)....................................................................................16

8運(yùn)行......................................................................................17

91運(yùn)行策劃和控制.........................................................................17

8.2服務(wù)組合...............................................................................17

8.2.1服務(wù)交付.......................................................................17

8.2.2策劃服務(wù).......................................................................17

8.2.3控制服務(wù)生命周期的相關(guān)方.......................................................17

8.2.4服務(wù)目錄管理....................................................................18

8.2.5資產(chǎn)管理........................................................................18

8.2.6配置管理........................................................................18

&3關(guān)系與協(xié)議.............................................................................20

8.3.1總則.............................................................................20

8.3.2業(yè)務(wù)關(guān)系管理.....................................................................20

8.3.3服務(wù)級(jí)別管理....................................................................21

8.3.4供應(yīng)商管理.......................................................................22

8.4供應(yīng)與需求.............................................................................23

8.4.1服務(wù)預(yù)算與核算..................................................................23

8.4.2需求管理........................................................................23

8.4.3能力管理........................................................................24

8.5服務(wù)設(shè)計(jì)、構(gòu)建與轉(zhuǎn)換..................................................................24

8.5.1變更管理.........................................................................24

8.5.2服務(wù)設(shè)計(jì)與轉(zhuǎn)換..................................................................25

8.5.3發(fā)布與部若管理...................................................................26

8.6解決與完成.............................................................................28

8.6.1事件管理.........................................................................28

8.6.2服務(wù)請(qǐng)求管理.....................................................................28

8.6.3問(wèn)題管理.........................................................................29

8.7服務(wù)保障...............................................................................29

8.7.1服務(wù)可用性管理..................................................................29

8.7.2服務(wù)連續(xù)性管理...................................................................30

8.7.3信息安全管理....................................................................30

9績(jī)效評(píng)價(jià).................................................................................31

9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià).................................................................31

9.2內(nèi)部審核................................................................................32

9.3管理評(píng)審................................................................................33

9.4服務(wù)報(bào)告................................................................................33

10改進(jìn).....................................................................................34

10.1不符合及糾正措施.....................................................................34

10.2持續(xù)改進(jìn).............................................................................34

附錄1：體系組織機(jī)構(gòu)圖及各自主要職責(zé)......................................................36

附錄2：管理體系職責(zé)對(duì)照表.................................................................41

附錄3：公司簡(jiǎn)介...........................................................................49

附錄4：信息技術(shù)服務(wù)管理手冊(cè)發(fā)布令........................................................50

附錄5：方針和目標(biāo).........................................................................51

1范圍

1.1總則

公司為證實(shí)有能力穩(wěn)定地提供滿足顧客和適用的法律、法規(guī)要求的信息技術(shù)服務(wù)，并要求向本公司

提供服務(wù)的供應(yīng)商采用跟本公司一致的方法，按GB/T22080-2016/IS0/1EC27001:2022《信息技術(shù)安

全技術(shù)信息安全管理體系要求》和1SO/IEC20000-1:2018《信息技術(shù)服務(wù)管理體系耍求》建立信息

安全管理體系和信息技術(shù)服務(wù)管理體系，它適用于：

a）本公司規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換、交付和改進(jìn)信息安全管理體系和信息技術(shù)服務(wù)管理體系；

b）對(duì)信息安全管理體系和信息技術(shù)服務(wù)管理體系進(jìn)行監(jiān)視、測(cè)量和評(píng)審：

c）通過(guò)有效實(shí)施和運(yùn)行信息安全管理體系和信息技術(shù)服務(wù)管理體系，以改進(jìn)服務(wù)的規(guī)劃、設(shè)計(jì)、

轉(zhuǎn)換和交付；

（1）必要時(shí)尋求外部組織對(duì)本公司信息安全管理體系和信息技術(shù)服務(wù)管理體系的認(rèn)證；

e）對(duì)符合本標(biāo)準(zhǔn)的情況進(jìn)行自我評(píng)估和自我聲明。

1.2應(yīng)用

本手冊(cè)適用于公司內(nèi)部各部門和外部（包括國(guó)家主管部門和認(rèn)證機(jī)構(gòu)）評(píng)價(jià)本公司滿足GB/T

22080-2016/ISO/IEC27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》、IS0/1EC

20000-1:2018《信息技術(shù)服務(wù)管理體系要求》、顧客、法律法規(guī)要求和本公司要求的能力。

本手冊(cè)覆蓋范圍：

ISMS：XXXXXXXXXXXXXXXXXXXXX

ITSMS：XXXXXXXXXXXXXXXXXXXXX相關(guān)的軟硬件運(yùn)維服務(wù)。

本手冊(cè)采用rGB/T22080-20：6/ISO/IEC27001:2022標(biāo)準(zhǔn)，不適用條款見(jiàn)《信息安全適用性聲明》，

ISO/IEC20000-1:2018標(biāo)準(zhǔn)正文的全部?jī)?nèi)容，無(wú)刪減條款。

組織范圍：管理層、信息安全小組、技術(shù)研發(fā)部、xxx部、xxxxx產(chǎn)部

覆蓋地址：XXXXXXXXXXXX

2規(guī)范性引用文件

下列文件中的條款通過(guò)木《信息安全和信息技術(shù)服務(wù)管理手冊(cè)》的引用而成為本手冊(cè)的條款。凡是

標(biāo)注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修改版均不適用于本《信息安全和

信息技術(shù)服務(wù)管理手冊(cè)》，然而，公司應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文

件，其最新版本適用于本手冊(cè)。

本公司依據(jù)以下標(biāo)準(zhǔn)及公司情況建立信息安全和信息技術(shù)服務(wù)管理手冊(cè)：

GB/T22080-2016/IS0/IEC27001:2022《信息安全管理體系要求》

GBT22081-2016/IS0/IEC27002:2013《信息安全管理實(shí)用規(guī)則》

ISO/IEC20000-1：2018《信息技術(shù)服務(wù)管理第一部分服務(wù)管理體系要求》

IS0/IEC20000-2：2012《信息技術(shù)服務(wù)管理第二部分服務(wù)管理系統(tǒng)應(yīng)用指南》

3術(shù)語(yǔ)和定義

ISO/IEC27000界定的術(shù)語(yǔ)和定義、ISO/IEC20000T:2018的術(shù)語(yǔ)和定義適用于本管理手冊(cè)。

（本）組織、（木）公司、我公司指：XXXXXXXXXXXXXo

ITSMS：InformationTechnologyServiceManagementSystems=信息技術(shù)服務(wù)管理體系。

2.1.2能力competence

應(yīng)用知識(shí)和技能實(shí)現(xiàn)預(yù)期結(jié)果的本領(lǐng)。

3.1.6文件化信息documentedinformation

組織需要控制并保持的信息及其載體。例如：方針，計(jì)劃，過(guò)程描述，程序，服務(wù)級(jí)別協(xié)議或者合同。

3.2.1資產(chǎn)asset

對(duì)組織有潛在或?qū)嶋H價(jià)值的元素-、事物或?qū)嶓w。

3.2.2配置項(xiàng)configurationitem

為提供一項(xiàng)或多項(xiàng)服務(wù)需要控制的元素。

2.2.4外部供應(yīng)商exlernalsupplier

通過(guò)合同約定，對(duì)規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換，交付或改進(jìn)服務(wù)、服務(wù)組件或者過(guò)程的提供協(xié)助的組織外部的其

它方。

3.2.5事件incident

計(jì)劃外的服務(wù)中斷、服務(wù)質(zhì)量下降或尚未對(duì)客戶服務(wù)造成影響的事態(tài)。

2.2.6信息安全informationsecurity

保護(hù)信息的保密性，完整性和可用性。還包括其它屬性，例如真實(shí)性，可核查性，不可否認(rèn)性和可靠性。

2.2.7信息安全事件informationsecurityincident

單個(gè)或一系列意外或突發(fā)的、具有損害業(yè)務(wù)運(yùn)營(yíng)和威脅信息安全的極大可能性的事態(tài)。

3.2.8內(nèi)部供應(yīng)商internalsupplier

通過(guò)文件化的協(xié)議約定，對(duì)規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換，交付或改進(jìn)服務(wù)、服務(wù)組件或者過(guò)程提供協(xié)助的服務(wù)管

理體系范圍外的大型組織的一部分。例如：采購(gòu)，基礎(chǔ)設(shè)施，財(cái)務(wù)，人員，設(shè)備。

3.2.9已知錯(cuò)誤knownerror

己識(shí)別根本原因或已有方法可降低或消除其對(duì)服務(wù)影響的問(wèn)題。

3.2.10問(wèn)題problem

造成一個(gè)或多個(gè)實(shí)際或潛在事件的根本原因。

3.2.13發(fā)布（名詞）release,noun

作為一項(xiàng)或多項(xiàng)變更的結(jié)果，將一組一個(gè)或多個(gè)新的或變更的服務(wù)或服務(wù)組件部署到實(shí)際運(yùn)行環(huán)境。

3.2.14變更請(qǐng)求requestforchange

對(duì)服務(wù)，服務(wù)組件或服務(wù)管理體系進(jìn)行變更的提議。

3.2.15服務(wù)service

通過(guò)促進(jìn)客戶達(dá)成其期望的結(jié)果而向客戶提供價(jià)值的方式。

3.2.16服務(wù)可用性serviceavailability

服務(wù)或服務(wù)組件在指定的時(shí)間點(diǎn)或時(shí)間段完成要求的功能的能力。

可用性通?？梢杂每蛻魧?shí)際使用服務(wù)或服務(wù)組件的時(shí)間與約定服務(wù)時(shí)間的比率或百分比來(lái)表示c

3.2.17服務(wù)目錄servicecatalogue

組織提供給客戶服務(wù)的文件化信息。

3.2.18服務(wù)組件servicecomponent

一項(xiàng)服務(wù)的單個(gè)單元，該單元與其它單元結(jié)合可提供一項(xiàng)完整的服務(wù)。例如：基礎(chǔ)設(shè)施，應(yīng)用，許可證,

信息，資源或支持服務(wù)。服務(wù)組件可以由配置項(xiàng)、資產(chǎn)或其它要素構(gòu)成。

3.2.19服務(wù)連續(xù)性servicecontinuity

按照商定的服務(wù)可用性或連續(xù)無(wú)中斷提供服務(wù)的能力°

3.2.20服務(wù)級(jí)別協(xié)議servicelevelagreementSLA

組織和客戶之間定義服務(wù)和服務(wù)指標(biāo)的形成文件的協(xié)議。

3.2.21服務(wù)級(jí)別目標(biāo)serviceleveltarget

詢定組織提供服務(wù)的可測(cè)量的特性。

3.2.25服務(wù)請(qǐng)求servicerequest

請(qǐng)求提供信息、建議、服務(wù)訪問(wèn)或預(yù)授權(quán)變更。

3.2.26服務(wù)要求servicerequirement

客戶和用戶對(duì)服務(wù)的需求，包括服務(wù)級(jí)別要求，以及服務(wù)提供方的需求和服務(wù)管理體系要求以及義務(wù)。

3.2.27轉(zhuǎn)換transition

將一項(xiàng)新的或變更的服務(wù)移入或移出實(shí)際運(yùn)行環(huán)境所涉及的活動(dòng)。

4組織環(huán)境

4.1理解組織及其環(huán)境

公司確定了與信息安全和信息技術(shù)服務(wù)目標(biāo)相關(guān)并影響實(shí)現(xiàn)信息安全和信息技術(shù)服務(wù)管理體系預(yù)

期結(jié)果能力的外部環(huán)境、內(nèi)部環(huán)境和風(fēng)險(xiǎn)管理流程環(huán)境。確保風(fēng)險(xiǎn)準(zhǔn)則制定過(guò)程中外部相關(guān)方的目標(biāo)和

美注點(diǎn)被加以考慮，與公司的文化、流程、組織架構(gòu)和戰(zhàn)略相匹配。風(fēng)險(xiǎn)管理實(shí)施中要考慮需求因素、

所需資源、責(zé)任和能力及相關(guān)記錄。

外部環(huán)境包括但不限?。?/p>

a）社會(huì)和文化、政治、法律、監(jiān)管、金融、技術(shù)、經(jīng)濟(jì)、自然環(huán)境和競(jìng)爭(zhēng)環(huán)境，無(wú)論國(guó)家、區(qū)域或

地方；

b）影響公司各目標(biāo)的主要驅(qū)動(dòng)和趨勢(shì)；

c）與外部利益相關(guān)方的價(jià)值觀的關(guān)系。

內(nèi)部環(huán)境包括但不限于：

a）治理、組織機(jī)構(gòu)、角色和責(zé)任；

b）政策、目標(biāo)、實(shí)現(xiàn)目標(biāo)的戰(zhàn)略；

c）自身價(jià)值觀、企業(yè)文化、知識(shí)水平。

公司應(yīng)對(duì)內(nèi)部和外部環(huán)境采用以下適當(dāng)?shù)姆绞竭M(jìn)行監(jiān)視和評(píng)審：

由總經(jīng)理通過(guò)公司年度總結(jié)大會(huì)進(jìn)行評(píng)審。

由總經(jīng)理在公司一年一度的管理評(píng)審活動(dòng)中進(jìn)行評(píng)審。

4.2理解相關(guān)方的需求和期望

公司的生存與發(fā)展，依賴并來(lái)源于理解與滿足顧客、工作人員及其他相關(guān)方的需求和期望，努尢做

到超越顧客的需求和期望。公司的相關(guān)方主要是顧客、主管部門、工作人員以及受公司信息安全和信息

技術(shù)服務(wù)影響的相關(guān)方。顧客的需求和期望主要體現(xiàn)在合同中進(jìn)行約定，公司根據(jù)合同要求滿足顧客的

需求和期望：受公司信息安全和信息技術(shù)服務(wù)影響的相關(guān)方主要是政府、鄰居、員工等，因此公司嚴(yán)格

按照相關(guān)法律法規(guī)要求執(zhí)行。公司總經(jīng)理以實(shí)現(xiàn)顧客、工作人員和相關(guān)方的需求和期望為目標(biāo)，在本公

司內(nèi)實(shí)施如下措施：

a）通過(guò)相關(guān)方調(diào)查、新聞媒體的宣傳報(bào)道、座談會(huì)等方式，及時(shí)與和關(guān)方聯(lián)系，確保和美方的需求

和期望得到確定、轉(zhuǎn)化為要求并盡可能予以滿足，以提高相關(guān)方的滿意度：

b）關(guān)注相關(guān)方的信息安全和信息技術(shù)服務(wù)要求，包括法律法規(guī)要求與合同義務(wù)，以求得共同的發(fā)展：

公司各部門應(yīng)在管理體系運(yùn)行過(guò)程中對(duì)公司管理體系有關(guān)的相關(guān)方及其需求和期望的相關(guān)信息進(jìn)

行監(jiān)視，并于每年管理評(píng)審時(shí)對(duì)其評(píng)審，保留相關(guān)的資料。

c）其中哪些將通過(guò)信息安全管理體系得到解決;

4.3確定信息技術(shù)服務(wù)管理體系范圍

本管理手冊(cè)描述的信息技術(shù)服務(wù)管理體系要求，適用了?：

a）物理范圍：xxxxxxxxxx

b）組織范圍：管理層、信息安全小組、xxxx部、xxxx部、技術(shù)研發(fā)部、xxxx部、xxxx部

c）業(yè)務(wù)范圍：

ISMS：xxxxxxxxxxx相關(guān)的信息安全管理活動(dòng)

ITSMS：xxxxxxxxxxxxx相關(guān)的軟硬件運(yùn)維服務(wù)。

4.4信息技術(shù)服務(wù)管理體系

公司按照本手冊(cè)的規(guī)范性引用文件中所述標(biāo)準(zhǔn)的要求，建立公司信息安全管理體系和信息技術(shù)服務(wù)

管理體系，包括所需的過(guò)程、過(guò)程的管理、過(guò)程組成系統(tǒng)的應(yīng)用，形成文件加以實(shí)施和保持，并持續(xù)改

進(jìn)管理體系的有效性。做到：

a）識(shí)別信息安全和信息技術(shù)服務(wù)管理體系所需的全部過(guò)程，包括所需的輸入和期望的輸出：

b）確定過(guò)程的順序和相互作用；

c）確定所需的準(zhǔn)則和方法（監(jiān)視、測(cè)量和相關(guān)績(jī)效指標(biāo)），以確保這些過(guò)程運(yùn)行和控制有效；

d）確保各過(guò)程均可以獲得必要的資源和信息，以支持這些過(guò)程的運(yùn)行和對(duì)這些過(guò)程的監(jiān)視：

e）規(guī)定各過(guò)程相關(guān)的責(zé)任和僅限；

f）應(yīng)對(duì)公司確定的風(fēng)險(xiǎn)和機(jī)遇；

g）監(jiān)視、測(cè)量和分析這些過(guò)程，依據(jù)監(jiān)視、測(cè)量和分析的效果采取相應(yīng)措施，實(shí)施所需的變更，

以確保實(shí)現(xiàn)過(guò)程的預(yù)期結(jié)果：

h）改進(jìn)這些過(guò)程，不斷提高信息技術(shù)服務(wù)管理體系的有效性；

i）保留并保持所有的按照策劃進(jìn)行的文件化信息，支持過(guò)程的有效運(yùn)行。

5領(lǐng)導(dǎo)

5.1領(lǐng)導(dǎo)和承諾

公司總經(jīng)理通過(guò)領(lǐng)導(dǎo)和行動(dòng)，在公司業(yè)務(wù)和客戶要求的范疇內(nèi)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保

持和改進(jìn)公司的信息安全和信息技術(shù)服務(wù)管理能力，證實(shí)其對(duì)管理體系的領(lǐng)導(dǎo)作用和承諾：

a）確保制定管理體系的方針和目標(biāo)，與戰(zhàn)略方向一致；

b）確保管理計(jì)劃的創(chuàng)建、實(shí)施和維護(hù)，以支持管理方針，實(shí)現(xiàn)管理目標(biāo)、信息安全和技術(shù)服務(wù)要求：

c）確保關(guān)于管理體系的決策授權(quán)合理分配：

d）確保為組織和確定的客戶創(chuàng)造價(jià)值：

e）確保對(duì)服務(wù)生命周期的相關(guān)方進(jìn)行控制和管理；

n確保將信息安全和信息技術(shù)服務(wù)管理體系要求整合到組織過(guò)程中：

g）確保信息安全和信息技術(shù)服務(wù)管理體系以及業(yè)務(wù)活動(dòng)所需資源（基礎(chǔ)設(shè)施及環(huán)境、人力資源、設(shè)備、

軟件、工具等）可用；

h）溝通有效的信息安全和信息技術(shù)服務(wù)管理的重要性，實(shí)現(xiàn)管理目標(biāo)，提供價(jià)值并符合管理體系要求：

i）確保管理體系達(dá)到預(yù)期結(jié)果：

j）指導(dǎo)并支持相關(guān)人員為管理體系和服務(wù)的有效性做出貢獻(xiàn)，對(duì)全體員工進(jìn)行持續(xù)的信息安全和信息

技術(shù)服務(wù)教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全和服務(wù)意識(shí)和能力：

k）促進(jìn)信息安全和信息技術(shù)服務(wù)管理體系的持續(xù)改進(jìn)：

1）支持其他相關(guān)管理者在其職責(zé)范圍內(nèi)發(fā)揮領(lǐng)導(dǎo)作用，以證實(shí)他們?nèi)纹湄?zé)任范圍內(nèi)的領(lǐng)導(dǎo)作用。

5.2方針

5.2.1建立管理方針

信息安全方針：積極預(yù)防、快速響應(yīng)、持續(xù)改進(jìn)、確保安全

服務(wù)管理方針：服務(wù)至上、誠(chéng)信守約、技術(shù)創(chuàng)新、追求卓越

公司倡導(dǎo)守信用、重承諾，服務(wù)做到盡善盡美：遵守服務(wù)協(xié)議和服務(wù)規(guī)范，滿足并超越客戶的需求，

不斷提高信息技術(shù)服務(wù)水平。

以上方針：

a）適應(yīng)了公司的宗旨和環(huán)境并支持其戰(zhàn)略方向：

b）為建立信息安全目標(biāo)和服務(wù)管理目標(biāo)提供框架：

c）包括「對(duì)滿足適用的信息安全和技術(shù)服務(wù)管理相關(guān)要求的承諾；

d）包括了對(duì)持續(xù)改進(jìn)信息安全和信息技術(shù)服務(wù)管理體系以及信息安全和服務(wù)的承諾。

5.2.2溝通管理方針

管理方針應(yīng)：

a）可獲取并保持文件化信息；

b）在公司內(nèi)得到溝通；通過(guò)會(huì)議、培訓(xùn)等方式溝通方針及其含義；

c）適用時(shí)，可為相關(guān)方獲取。

5.3組織的角色、責(zé)任和權(quán)限

本公司最高管理層應(yīng)確保與管理體系及相關(guān)崗位的責(zé)任和權(quán)限得到分配和溝通。最高管理層應(yīng)分配

責(zé)任和權(quán)限，以:

a）確保管理體系符合標(biāo)準(zhǔn)的要求：

b）向最高管理者報(bào)告管理體系的績(jī)效。

為了有效地實(shí)施管理體系，公司規(guī)定了各級(jí)各崗位人員的職責(zé)、權(quán)限和相互關(guān)系，并在相關(guān)層次所

管轄的范圍內(nèi)予以傳達(dá)，對(duì)于從事與管理體系有關(guān)工作所必需的特權(quán)，均加以規(guī)定。

具體各部門職責(zé)詳見(jiàn)附錄1：信息安全和信息技術(shù)服務(wù)管理體系組織機(jī)構(gòu)圖及部門主要職責(zé)。

為了能夠更好地貫徹公司最高管理層在管理方面的策略和方針，根據(jù)GB/T22080-2016/ISO/IEC

27001:2022《信息技術(shù)安全技術(shù)信息安全管理體系要求》和ISO/IEC20000-1：2018《信息技術(shù)服

務(wù)管理一服務(wù)管理體系要求》的要求，任命王杰強(qiáng)為公司管理體系的管理者代表，作為公司組織和實(shí)施

管理體系的負(fù)責(zé)人，直接向公司總經(jīng)理報(bào)告、負(fù)責(zé)。

6規(guī)劃

6.1.1總則

當(dāng)策劃信息安全和信息技術(shù)服務(wù)管理體系時(shí)，組織應(yīng)考慮4.1中提及的問(wèn)題和4.2中提及的要求，

確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)會(huì)，以：

a）確保信息安全和信息技術(shù)服務(wù)管理體系能實(shí)現(xiàn)其預(yù)期結(jié)果：

b）防止或減少意外的影響；

c）實(shí)現(xiàn)持續(xù)改進(jìn)。

組織應(yīng)規(guī)劃：

d）應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)會(huì)的措施：

e）如何整合和實(shí)施這些措施并將其納入信息安全和信息技術(shù)服務(wù)管理體系過(guò)程并評(píng)價(jià)這些措施的

有效性。

6.1.2信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估

公司通過(guò)實(shí)施和運(yùn)用信息安全和技術(shù)服務(wù)控制手段，保護(hù)信息資產(chǎn)的機(jī)密性、完整性和可訪問(wèn)性，

履行信息安全方針和服務(wù)管理方針的要求，實(shí)現(xiàn)管理目標(biāo)，管理信息安全相關(guān)風(fēng)險(xiǎn)。

公司通過(guò)建立《風(fēng)險(xiǎn)評(píng)估控制程序》定義并應(yīng)用風(fēng)險(xiǎn)評(píng)估過(guò)程，保證風(fēng)險(xiǎn)接受和執(zhí)行信息安全和技

術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估的一致性、有效性和可比較的結(jié)果。通過(guò)識(shí)別信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)，如應(yīng)用信息安

全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估過(guò)程來(lái)識(shí)別信息技術(shù)服務(wù)和信息安全管理體系范圍內(nèi)的信息喪失保密性、完整性

和可用性的相關(guān)風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)責(zé)任人。在分析信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)時(shí)，評(píng)估所識(shí)別風(fēng)險(xiǎn)的級(jí)別，發(fā)

生后將導(dǎo)致的潛在影響和風(fēng)險(xiǎn)發(fā)生的現(xiàn)實(shí)可能性。將分析評(píng)估結(jié)果按風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較；為實(shí)施風(fēng)險(xiǎn)處

置確定已分析風(fēng)險(xiǎn)的優(yōu)先級(jí)。

信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估過(guò)程，應(yīng)：

（1）建立并保持信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)接受準(zhǔn)則和執(zhí)行信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則：

（2）確保重復(fù)性的信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)評(píng)估可產(chǎn)生一致的，有效的和可比較的結(jié)果：

（3）識(shí)別信息安全體系范圍內(nèi)的信息喪失保密性、完整性和可用性的相關(guān)風(fēng)險(xiǎn)和責(zé)任人。

（4）分析、評(píng)估所識(shí)別的風(fēng)險(xiǎn)發(fā)生后將導(dǎo)致的潛在影響和現(xiàn)實(shí)可能性，確定風(fēng)險(xiǎn)級(jí)別：

（5）將風(fēng)險(xiǎn)分析結(jié)果同風(fēng)險(xiǎn)接受準(zhǔn)則進(jìn)行對(duì)比，確定實(shí)施風(fēng)險(xiǎn)處置的優(yōu)先級(jí)。

6.1.3信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置

在定義并應(yīng)用信息安全和技術(shù)眼務(wù)風(fēng)險(xiǎn)處置過(guò)程，具體如下：

（1）在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的前提下，選擇適當(dāng)?shù)男畔踩图夹g(shù)服務(wù)風(fēng)險(xiǎn)處置選項(xiàng)；

（2）為實(shí)施所選擇的信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置選項(xiàng)，確定所有必需的控制措施：

（3）將確定的控制措施與《信息安全適用性聲明》的控制措施進(jìn)行比較，以核實(shí)沒(méi)有遺漏必要的控

制3昔施；

（4）確定適用性聲.明。適用性聲明要包含必要的控制措施、對(duì)包含的合理性聲明以及刪減的合理性

說(shuō)明。

（5）制定信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置,計(jì)劃；

（6）公司最高管理者對(duì)信息安全和技術(shù)服務(wù)風(fēng)險(xiǎn)處置計(jì)劃以及接受信息安全技術(shù)服務(wù)殘余風(fēng)險(xiǎn)的批

準(zhǔn)。

6.2管理目標(biāo)及其實(shí)現(xiàn)規(guī)劃

6.2.1確定目標(biāo)

公司應(yīng)在相關(guān)職能和層級(jí)上制定管理目標(biāo)。

管理目標(biāo)應(yīng)：

a）與管理方針保持一致：

b）可測(cè)量；

c）考慮適用的要求；

d）予以監(jiān)視：

e）予以溝通；

0適當(dāng)時(shí)更新。

應(yīng)保留有關(guān)服務(wù)管理目標(biāo)的文件化信息。

管理目標(biāo)：

?信息安全泄密事件0件

?年度客戶信息安全投訴件數(shù)＜3件

?客戶資料外泄事件為0

?源代碼泄露事件為0

?客戶數(shù)據(jù)外泄事件為0

?服務(wù)客戶滿意率290席：

?年度服務(wù)中斷時(shí)間W8小時(shí)：

e.2.2策劃實(shí)現(xiàn)目標(biāo)

公司應(yīng)制定目標(biāo)實(shí)現(xiàn)的規(guī)劃，在策劃如何實(shí)現(xiàn)管理目標(biāo)時(shí)，組織應(yīng)確定：

a）要做什么：

b）需要什么資源；

c）由誰(shuí)負(fù)責(zé)；

d）什么時(shí)候完成；

e）如何評(píng)價(jià)結(jié)果。

6.3規(guī)劃信息技術(shù)服務(wù)管理體系

公司應(yīng)制定、實(shí)施和維護(hù)服務(wù)管理計(jì)劃，計(jì)劃應(yīng)考慮到服務(wù)管理方針、服務(wù)管理目標(biāo)、風(fēng)險(xiǎn)與機(jī)遇、

垠務(wù)要求和標(biāo)準(zhǔn)的要求。

服務(wù)管理計(jì)劃應(yīng)包含或引用以下內(nèi)容：

a）服務(wù)清單；

b）影響服務(wù)管理體系和服務(wù)的已知限制；

c）有關(guān)的方針、標(biāo)準(zhǔn)和法律法規(guī)要求、合同的義務(wù)；

d）服務(wù)管理體系和服務(wù)的權(quán)限、職責(zé)；

e）運(yùn)行服務(wù)管理體系和服務(wù)所需要的人員、技術(shù)、信息和財(cái)務(wù)資源；

f）服務(wù)生命周期中和相關(guān)方合作采取的工作方法；

g）支持服務(wù)管理體系的技術(shù)；

h）如何測(cè)量、審核、報(bào)告和改進(jìn)服務(wù)管埋體系和服務(wù)的有效性。

公司對(duì)特定過(guò)程生成的計(jì)劃應(yīng)與服務(wù)管理計(jì)劃保持一致。對(duì)服務(wù)管理計(jì)劃應(yīng)按照計(jì)劃時(shí)間間隔評(píng)

市，如不適用，要進(jìn)行更新。

7支持

7.1資源

總經(jīng)理及各級(jí)管理者負(fù)責(zé)確定和提供以下活動(dòng)所需要的人員、技術(shù)、信息和財(cái)務(wù)資源：

1）建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)管理體系和運(yùn)行所需的資源；

2）滿足服務(wù)要求和實(shí)現(xiàn)管理目標(biāo)所需的資源。

以保證：

a）建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)管理體系：

b）確保程序支持業(yè)務(wù)要求；

c）識(shí)別并指出法律法規(guī)要求和合同責(zé)任；

d）通過(guò)正確應(yīng)用所實(shí)施的所有控制來(lái)保持充分的服務(wù)：

e）必要時(shí)，進(jìn)行評(píng)審，并對(duì)評(píng)審的結(jié)果采取適當(dāng)措施：

f）需要時(shí)，改進(jìn)管理體系的有效性。

7.2能力

為有效地實(shí)施信息安全和信息技術(shù)服務(wù)管理，貫徹管理方針，實(shí)現(xiàn)管理目標(biāo)，必須對(duì)管理體系涉及

的所有人員從適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)方面來(lái)考慮員工的資源能力，尤其是從事與信息安全和技術(shù)服務(wù)

活動(dòng)有關(guān)的人員，來(lái)考核其影響本公司信息安全和技術(shù)服務(wù)績(jī)效所需的能力水平，以增強(qiáng)其信息安全和

技術(shù)服務(wù)能力水平，保證其勝任所在崗位的工作。

公司應(yīng)：

a）確定在組織控制下從事會(huì)影響組織信息安全和信息技術(shù)服務(wù)管理體系以及信息安全和服務(wù)

的績(jī)效與有效性的工作人員的必要能力：

b）基于適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)，確保這些人員是勝任的；

c）適用時(shí)，采取措施以獲得所需的能力，并評(píng)價(jià)措施的有效性；

d）保留適當(dāng)?shù)奈募畔?，作為人員能力的證據(jù)。

適用的措施可包括：如針對(duì)在職人員提供培訓(xùn)、輔導(dǎo)或重新分配：聘任或外包能勝任的人員。

7.3意識(shí)

公司應(yīng)確保在其控制下的工作人員知曉并理解：

a）服務(wù)管理方針；

b）服務(wù)管理目標(biāo)：

c）與自身工作有關(guān)的服務(wù)；

d）其對(duì)管理體系有效性的貢獻(xiàn)，包括改進(jìn)績(jī)效帶來(lái)的益處;

e）不符合管理體系要求帶來(lái)的后果和影響。

7.4溝通

公司應(yīng)建立溝通機(jī)制和渠道，確定與管理體系范圍內(nèi)的業(yè)務(wù)相關(guān)的內(nèi)部和外部的溝通，包括：

a）溝通什么；

b）何時(shí)溝通；

c）與誰(shuí)溝通；

d）如何溝通;

e）誰(shuí)負(fù)責(zé)溝通。

公司已了解到與信息安全和技術(shù)服務(wù)管理人員之間溝通的重要性，相關(guān)部門與信息安全和技術(shù)

服務(wù)管理人員通過(guò)會(huì)議、內(nèi)部平臺(tái)、網(wǎng)絡(luò)、通訊、評(píng)審報(bào)告及反饋等方式進(jìn)行溝通，并傳達(dá)信息安

全和信息技術(shù)服務(wù)管理體系的重要性。溝通包括內(nèi)部和外部的溝通。

7.5文件化信息

7.5.1總則

為確保有效的規(guī)劃、運(yùn)行和控制信息安全與服務(wù)管理，公司制定以下四個(gè)層次與類別的文件：

a）管理手冊(cè)：信息安全和信息技術(shù)服務(wù)管理體系過(guò)程描述，包含管理方針與目標(biāo)、管理體系

覆蓋范圍。

b）程序文件：描述各個(gè)管理過(guò)程，支持管理手冊(cè)的實(shí)施與運(yùn)行。

c）作業(yè)文件：為確保過(guò)程的有效規(guī)劃、運(yùn)行的控制所需要的形成文件的規(guī)程，是開(kāi)展具體業(yè)

務(wù)工作的規(guī)范類、指導(dǎo)性文件，也是程序文件的支持性文件等。

d）記錄：在開(kāi)展具體業(yè)務(wù)工作過(guò)程中產(chǎn)生的記錄類文件，主要是為具體工作結(jié)果提供各種可

追溯性證據(jù)。

7.5.2創(chuàng)建和更新

創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模?/p>

a）標(biāo)識(shí)和描述（例如標(biāo)題、日期、作者或索引編號(hào)）；

b）格式（例如語(yǔ)言、軟件版本、圖表）和介質(zhì)（例如紙質(zhì)的、電子的）；

c）評(píng)審和批準(zhǔn)，以保持適宜性和充分性。

7.5.3文件化信息的控制

7.5.3.1編制《文件控制程序》和《記錄控制程序》，用以控制管理體系運(yùn)行所需要的文件，以確

保：

a）在需要的場(chǎng)合和時(shí)機(jī)，均可獲得并適用；

b）予以妥善保護(hù)（如防止泄密、不當(dāng)使用或者缺失等）；

7.532為控制文件化信息，適用時(shí)，組織應(yīng)進(jìn)行下列活動(dòng)：

a）分發(fā)，訪問(wèn)，檢索和使用；

b）存儲(chǔ)和保護(hù)，包括保持可讀性；

c）變更控制（例如版本控制）：

d）保留和處置；

e）對(duì)于組織確定的策劃和運(yùn)行管理體系所必需的來(lái)自外部的文件化信息，應(yīng)得到適當(dāng)?shù)淖R(shí)別,

并予以控制。

7.5.4管理體系文件化信息

管埋體系文件化信息包括：

a）管理體系范圍；

b）管理方針和目標(biāo)：

c）服務(wù)管理計(jì)劃；

d）變更管理方針、信息安全方針和服務(wù)連續(xù)性計(jì)劃（一個(gè)或多個(gè)）：

e）管理體系的過(guò)程；

f）信息安全與服務(wù)要求；

g）服務(wù)目錄;

h）服務(wù)級(jí)別協(xié)議（SLA）；

i）與外部供應(yīng)商的合同；

j）與內(nèi)部供應(yīng)商和充當(dāng)供應(yīng)商的客戶的協(xié)議；

k）ISO/IEC27001:2022標(biāo)準(zhǔn)、ISO/IEC20000-1:2018標(biāo)準(zhǔn)要求的程序；

I）證明符合ISO/IEC27001:2022標(biāo)準(zhǔn)、ISO/IEC20000-1:2018標(biāo)準(zhǔn)和管理體系要求的記錄。

7.6知識(shí)

公司應(yīng)確定和保持必要的知識(shí)，以運(yùn)行服務(wù)管理體系和服務(wù)。這些知識(shí)對(duì)適用的人員應(yīng)是相關(guān)

的、可用的、有用的。

注：知識(shí)是與管理體系、服務(wù)和相關(guān)方有關(guān)的，使用和共享知識(shí)以實(shí)現(xiàn)預(yù)期結(jié)果和運(yùn)行管理體

系及服務(wù)。

8運(yùn)行

8.1運(yùn)行策劃和控制

公司應(yīng)通過(guò)下列諸項(xiàng)以策劃、實(shí)施和控制滿足耍求所需的過(guò)程，并實(shí)施第6章中確定的措施：

a）基于要求，建立過(guò)程的績(jī)效準(zhǔn)則；

b）按照績(jī)效準(zhǔn)則實(shí)施過(guò)程控制：

0應(yīng)保持文件化信息達(dá)到必要的程度，以確保這些過(guò)程按計(jì)劃得到執(zhí)行；

d）應(yīng)控制策劃的變更并評(píng)審豐預(yù)期變更的后果，必要時(shí)，采取措施減輕不利影響（見(jiàn)851）。

0應(yīng)確保外包過(guò)程受控（見(jiàn)8.2.3）。

8.2服務(wù)組合

8.2.1服務(wù)交付

公司應(yīng)運(yùn)行管理體系，確?；顒?dòng)和資源的協(xié)調(diào)。公司應(yīng)執(zhí)行提供服務(wù)所需要的活動(dòng)。

服務(wù)組合通常管理服務(wù)生命周期中的所有服務(wù)，包括服務(wù)目錄中的、已存在的、正在實(shí)施中的、變

更中的服務(wù)和即將停止的服務(wù)。服務(wù)組合管理確保公司有正確的服務(wù)構(gòu)成。服務(wù)組合管理活動(dòng)包括服務(wù)

策劃、控制服務(wù)生命周期的相關(guān)方、服務(wù)目錄管理、資產(chǎn)管理和配置管理。

&2.2策劃服務(wù)

已存在服務(wù)、新服務(wù)、服務(wù)變更的要求應(yīng)確認(rèn)和保留文件化信息。公司應(yīng)基于組織、客戶、用戶和

相關(guān)方的需求確認(rèn)服務(wù)的關(guān)鍵性。公司應(yīng)確認(rèn)和管理服務(wù)間的依賴性和重復(fù)性。

考慮已知限制和風(fēng)險(xiǎn)，公司應(yīng)提議服務(wù)變更，以便服務(wù)與服務(wù)管理方針、服務(wù)管理目標(biāo)和服務(wù)要求

保持一致。

考慮可用資源，公司應(yīng)對(duì)服務(wù)變更請(qǐng)求、提議新服務(wù)、服務(wù)變更進(jìn)行優(yōu)先排序，以便服務(wù)管理目標(biāo)

和業(yè)務(wù)目標(biāo)保持一致。

8.2.3控制服務(wù)生命周期的相關(guān)方

8.231無(wú)論任何相關(guān)方涉及到在支持服務(wù)生命周期中執(zhí)行活動(dòng)，公司應(yīng)對(duì)標(biāo)準(zhǔn)規(guī)定的要求和提供的服

務(wù)負(fù)責(zé)。

應(yīng)確認(rèn)和應(yīng)用標(biāo)準(zhǔn)來(lái)評(píng)估和選擇服務(wù)生命周期中的其它相關(guān)方。其它相關(guān)方可以是外部供應(yīng)商、內(nèi)部供

應(yīng)商和客戶充當(dāng)?shù)墓?yīng)商。

其它相關(guān)方不應(yīng)提供和運(yùn)行信息技術(shù)服務(wù)管理體系范圍內(nèi)所有的服務(wù)、服務(wù)組件或流程（不可全部外

包）。

公司應(yīng)確認(rèn)和文件化下列內(nèi)容：

a）其它相關(guān)方提供和運(yùn)行的服務(wù)：

匕）其它相關(guān)方提供和運(yùn)行的服務(wù)組件：

c）其它相關(guān)方運(yùn)行的信息技術(shù)服務(wù)管理體系范惘內(nèi)的流程或部分流程。

公司應(yīng)集成組織自身或其它相關(guān)方提供和運(yùn)行的服務(wù)管理體系范圍內(nèi)的服務(wù)、服務(wù)組件和流程，以

滿足服務(wù)要求。公司應(yīng)進(jìn)行協(xié)調(diào)包括服務(wù)生命周期中規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換、交付和改進(jìn)活動(dòng)的其它相關(guān)方。

823.2公司應(yīng)對(duì)其它相關(guān)方定義和應(yīng)用卜列控制措施：

a）測(cè)量和評(píng)估過(guò)程績(jī)效：

b）測(cè)量和評(píng)估服務(wù)、服務(wù)組件滿足服務(wù)要求的有效性。

8.2.4服務(wù)目錄管理

公司應(yīng)創(chuàng)建和維護(hù)?個(gè)或多個(gè)服務(wù)目錄。服務(wù)目錄應(yīng)包括描述服務(wù)的組織、客戶、用戶和其它柞關(guān)

方的信息、它們預(yù)期的結(jié)果和服務(wù)間依賴關(guān)系。組織應(yīng)向客戶、用戶和其它相關(guān)方提供合適的訪問(wèn)（部

分）服務(wù)目錄的渠道。

8.2.4.1公司內(nèi)部經(jīng)過(guò)評(píng)審，制訂公司服務(wù)目錄。服務(wù)目錄應(yīng)定義所有服務(wù)，并包含服務(wù)名稱、服務(wù)

目標(biāo)或標(biāo)準(zhǔn)、聯(lián)系接口、服務(wù)提供時(shí)間和例外、安全方面的考慮和安排。

8.2.4.2服務(wù)目錄是公司所提供的服務(wù)內(nèi)容的匯總，公司與客戶簽署SLA時(shí)應(yīng)參考。

824.3公司應(yīng)該根據(jù)當(dāng)前的服務(wù)能力對(duì)服務(wù)目錄進(jìn)行更新與維護(hù)。

8.2.5資產(chǎn)管理

公司應(yīng)確保管理用于提供服務(wù)的資產(chǎn)以滿足服務(wù)要求和條款6.3c）規(guī)定的義務(wù)。

&2.6配置管理

8.261應(yīng)根據(jù)《配置管理程序》的要求，評(píng)估所有與信息技術(shù)服務(wù)相關(guān)的重要資產(chǎn)和配置項(xiàng)，識(shí)

別、定義、維護(hù)信息技術(shù)服務(wù)和基礎(chǔ)設(shè)施的組件，明確配置項(xiàng)之間的關(guān)系、屬性和作用，定義命名

規(guī)范、版本號(hào)，以確保有效管理IT資產(chǎn)和配置。制訂和實(shí)施《配置項(xiàng)分類定義表》，每個(gè)配置項(xiàng)

的配置信息應(yīng)包括：

a）唯一性標(biāo)識(shí)；

b）配置項(xiàng)類型;

c）配置.項(xiàng)描述；

d）與其它配置項(xiàng)的關(guān)系：

e）狀態(tài)。

適用時(shí)，被管理的配置項(xiàng)主要包括：

a）信息系統(tǒng)和軟件的發(fā)布，相關(guān)系統(tǒng)文檔，例如要求規(guī)范、設(shè)計(jì)、測(cè)試報(bào)告、發(fā)布文檔；

b）為每個(gè)項(xiàng)目或信息系統(tǒng)應(yīng)用環(huán)境配置基線、或描述應(yīng)用環(huán)境、標(biāo)準(zhǔn)硬件（如安裝過(guò)的終端

設(shè)備）組成和發(fā)布；

c）備份和電子資料庫(kù)，如最終軟件庫(kù)（DSL）；

d）配置管理包或工具；

e）許可證；

f）安全組件，例如防火墻■；

g）服務(wù)相關(guān)文檔，例如服務(wù)級(jí)別協(xié)議、活動(dòng)程序：

h）支持設(shè)施，例如機(jī)房電源.

8.262根據(jù)配置項(xiàng)之間的關(guān)系、屬性、狀態(tài)類別、重要程度和優(yōu)先級(jí)，確定配置信息的范圍、分

解的層數(shù)、詳細(xì)的程度，完成配置信息的構(gòu)建，形成配置基線，并和公司的服務(wù)目標(biāo)和SLA保持一

致。服務(wù)要根據(jù)配置項(xiàng)進(jìn)行分類。

8.263可制訂《配置管理計(jì)劃》，并每年進(jìn)行更新。計(jì)劃的主要內(nèi)容應(yīng)包括：

a）配置管理的范圍、目標(biāo)、策略、標(biāo)準(zhǔn)角色和責(zé)任。

b）配置管理流程定義服務(wù)和基礎(chǔ)設(shè)施中配置項(xiàng)，配置控制變更，記錄和報(bào)告配置項(xiàng)情況，證

實(shí)配置項(xiàng)的完整性和正確性。

c）責(zé)任、可檢索、可審計(jì)的要求，例如出于安全、法律、規(guī)章或業(yè)務(wù)目的。

d）配置控制（訪問(wèn)、保護(hù)、版本、開(kāi)發(fā)、發(fā)布控制）。

e）交互控制流程，及信息接口和發(fā)布。

f）資源管理規(guī)劃和建立，以便使資產(chǎn)和配置受控，并維持配置管理系統(tǒng)，如培訓(xùn)活動(dòng)。

g）與配置相關(guān)的供應(yīng)商管理要求和活動(dòng)。

82G.4在配置管理過(guò)程中應(yīng)監(jiān)控配置項(xiàng)的整個(gè)生命周期，確保只有被授權(quán)且可識(shí)別的配置項(xiàng)才被

接受，并記錄從接受到銷毀的全過(guò)程；沒(méi)有被認(rèn)可的變更請(qǐng)求，不能添加、修改、替換或刪除配置

項(xiàng)。

8.265應(yīng)保存有效的配置記錄，以反映配置?項(xiàng)狀態(tài)、位置和版本的變化，并通過(guò)各種狀態(tài)監(jiān)控配

置項(xiàng)的變更，例如訂購(gòu)、接收、測(cè)試、使用、變更、拆卸、取消，配置.項(xiàng)的更新信息應(yīng)作為配置管

理計(jì)劃和變更管理的輸入。

8.266為保護(hù)系統(tǒng)、服務(wù)和基礎(chǔ)設(shè)施的完整性和安全性，配置項(xiàng)信息應(yīng)被保存在一個(gè)安全環(huán)境。

應(yīng)：a）保護(hù)其不受未授權(quán)訪問(wèn)、變更或破壞。

b）提供災(zāi)害后恢復(fù)方法。

c）對(duì)受控軟件、測(cè)試產(chǎn)品和支持文檔等備份的恢復(fù)進(jìn)行限制。

8.267配置評(píng)審程序應(yīng)包含缺陷記錄、執(zhí)行糾正措施和報(bào)告結(jié)果。

8.268應(yīng)定期編制《配置項(xiàng)管理報(bào)告》，報(bào)告應(yīng)包括：配置項(xiàng)最新版本、配置項(xiàng)的位置和軟件主

要版本的位置、相互依賴關(guān)系、版本歷史。在任何時(shí)候都可核對(duì)配置項(xiàng)以下內(nèi)容：服務(wù)配置.項(xiàng)或系

統(tǒng)、變更、基準(zhǔn)線、開(kāi)發(fā)或發(fā)布、版本或變量。

8.2.6.9應(yīng)在計(jì)劃的時(shí)間間隔內(nèi)組織相關(guān)部門實(shí)施配置認(rèn)可和審核活動(dòng)，并檢查是否有充分的資

源以支持：

A）保護(hù)物理配置和公司的知識(shí)資本：

b）確保公司控制其配置、原件和許可證；

c）確保配置信息準(zhǔn)確、可控、可見(jiàn)。

8.2610應(yīng)確保變更、發(fā)布、系統(tǒng)或環(huán)境符合其合同約定或事先約定的要求且配置記錄是準(zhǔn)確的。

配置項(xiàng)的變更應(yīng)可追溯和可審計(jì)，以維護(hù)配置信息的完整性。配置項(xiàng)的變更發(fā)布后，配置項(xiàng)應(yīng)更新。

適用時(shí)，配置信息應(yīng)對(duì)其它服務(wù)管理活動(dòng)可用。

8.2.6.11在審核中出現(xiàn)的缺陷或不符合項(xiàng)應(yīng)被記錄、評(píng)估和改進(jìn)。

8.3關(guān)系與協(xié)議

&3.1總則

公司可以通過(guò)供應(yīng)商以：

a）提供和運(yùn)行服務(wù)；

b）提供和運(yùn)行服務(wù)組件；

c）運(yùn)行服務(wù)管埋體系范圍內(nèi)的流程或部分流程。

&3.2業(yè)務(wù)關(guān)系管理

83.2.1對(duì)公司提供服務(wù)的客戶、用戶和其他相關(guān)方建立檔案。

8.322定期組織相關(guān)部門開(kāi)展服務(wù)管理評(píng)價(jià)活動(dòng)，討論匯報(bào)服務(wù)范圍、SLA、合同或業(yè)務(wù)需求的變

化，及性能、成績(jī)、結(jié)果和措施計(jì)劃；評(píng)審服務(wù)的績(jī)效趨勢(shì)和服務(wù)的結(jié)果。

832.3當(dāng)服務(wù)目標(biāo)、服務(wù)需求、支持合同、業(yè)務(wù)等發(fā)生新增、變更或撤銷時(shí)，應(yīng)提出并評(píng)估服務(wù)

范圍和SLA的改進(jìn)方案，變更的結(jié)果以書(shū)面形式及時(shí)通知相關(guān)的部門和客戶，并監(jiān)控改進(jìn)措施的實(shí)

施。

8.324與客戶建立有效的互動(dòng)、溝通關(guān)系，以便及時(shí)「解客戶的需求或重大變更，并依據(jù)需求進(jìn)

行響應(yīng)。定義、收集、分析客戶滿意度數(shù)據(jù)和信息，按計(jì)劃的時(shí)間間隔，根據(jù)客戶的代表性樣本衡

量對(duì)服務(wù)的滿意度，應(yīng)對(duì)結(jié)果進(jìn)行分析、評(píng)審，以確定改進(jìn)的機(jī)會(huì)，監(jiān)控客戶滿意度的趨勢(shì)。

8.325定義客戶投訴的范圍、類別、接口、處理及升級(jí)措施，以便有效處理客戶投訴。按客戶投

訴管理流程，記錄、調(diào)查、反應(yīng)、報(bào)告和關(guān)閉所有正式服務(wù)投訴，定期收集、統(tǒng)計(jì)、分析客戶投訴

的記錄，識(shí)別投訴的發(fā)展趨勢(shì)和存在問(wèn)題，確保服務(wù)的持續(xù)性目標(biāo)的實(shí)現(xiàn)。

&3.3服務(wù)級(jí)別管理

8.331根據(jù)公司的戰(zhàn)略規(guī)劃、資源要求及客戶需求，與其他相關(guān)部門溝通、確定SLA時(shí)，應(yīng)考慮：

可接受持續(xù)損失服務(wù)的最大周期；可接受降級(jí)服務(wù)的最大周期：服務(wù)恢更時(shí)，可接受降級(jí)服務(wù)級(jí)別。

8.332客戶代表與客戶簽訂《服務(wù)級(jí)別協(xié)議》。應(yīng)明確：服務(wù)要求和期望服務(wù)工作量特征的協(xié)議、

服務(wù)目標(biāo)協(xié)議、服務(wù)級(jí)別實(shí)現(xiàn)、工作量的測(cè)量和報(bào)告，以及服務(wù)目標(biāo)不能完成的分析與說(shuō)明。

8.3.33《服務(wù)級(jí)別協(xié)議》包含以下內(nèi)容：服務(wù)的簡(jiǎn)述、術(shù)語(yǔ)表、客戶職責(zé)、服務(wù)部門職責(zé)和義務(wù)、

服務(wù)目標(biāo)、服務(wù)時(shí)間、工作量限制（最大及最小工作量）、支持和相關(guān)服務(wù)、影響和優(yōu)先級(jí)描述、

授權(quán)細(xì)節(jié)及授權(quán)人員聯(lián)系信息、有效期或SLA變更控制機(jī)制（包含升級(jí)和通知流程）、服務(wù)中斷樂(lè)

取的糾正措施、計(jì)劃和協(xié)調(diào)中斷（包括通知事件及頻率）、溝通的簡(jiǎn)述（包括報(bào)告、投訴程序）、

在SLA中規(guī)定條款的例外情況。

8.334應(yīng)依據(jù)與客戶簽訂的SLA的要求，組織簽署與供應(yīng)商之間的支持合同（或協(xié)議）。

833.5當(dāng)出現(xiàn)重要業(yè)務(wù)變更時(shí)，應(yīng)及時(shí)溝通，按原流程重新組織相關(guān)部門，調(diào)整、修訂《服務(wù)級(jí)

別協(xié)議》，并作為服務(wù)改進(jìn)計(jì)劃的輸入。

83.3.6按計(jì)劃的時(shí)間間隔對(duì)以下方面進(jìn)行監(jiān)視、評(píng)審和報(bào)告：

a）針對(duì)服務(wù)級(jí)別目標(biāo)的績(jī)效；

b）與SLA中的工作量限制相比，工作量的實(shí)際和周期性變化。

如果未達(dá)到服務(wù)級(jí)別目標(biāo)，則應(yīng)識(shí)別改進(jìn)機(jī)會(huì)。

&3.4供應(yīng)商管理

&3.4.1對(duì)涉及的所有供應(yīng)商提供的技術(shù)服務(wù)過(guò)程進(jìn)行管理，完萊供應(yīng)商管理制度和采購(gòu)規(guī)范，實(shí)

施采購(gòu)，確保：

a）供應(yīng)商了解其對(duì)本公司承擔(dān)的責(zé)任。

b）服務(wù)要求滿足協(xié)議約定的服務(wù)級(jí)別和范圍。

c）管理變更。

d）記錄與相關(guān)各方的業(yè)務(wù)交流。

e）了解所有供應(yīng)商的業(yè)績(jī)并采取相應(yīng)改進(jìn)措施。

8.342應(yīng)指定?名或多名專人負(fù)責(zé)管理與外部供應(yīng)商的關(guān)系、合同和績(jī)效。組織相關(guān)部門對(duì)外部

供應(yīng)商提供服務(wù)的所滿足的需求、范圍、服務(wù)級(jí)別、接口和溝通流程等進(jìn)行評(píng)審并達(dá)成?致，按公

司正式授權(quán)，組織簽署與外部供應(yīng)商之間的支持合同或供貨協(xié)議。合同中應(yīng)包括或包含對(duì)以下內(nèi)容

的引用:

a）服務(wù)、角色、責(zé)任的定義。

b）由外部供應(yīng)商提供或運(yùn)營(yíng)的服務(wù)范圍，服務(wù)組件，過(guò)程或過(guò)程的一部分。

c）外部供應(yīng)商應(yīng)滿足的要求。

d）服務(wù)級(jí)別目標(biāo)或其他合同義務(wù)。

e）組織和外部供應(yīng)商的權(quán)限和貨任。

83.4.3與外部供應(yīng)商簽署的支持合同或供貨協(xié)議應(yīng)確保與本公司向客戶提供服務(wù)的SLA相關(guān)聯(lián)，并

保持一致。

83.4.4當(dāng)公司與外部供應(yīng)商的支持合同或供貨協(xié)議需要修訂或變更時(shí)，應(yīng)重新組織相關(guān)部門進(jìn)行

合同評(píng)審，在評(píng)審中應(yīng)討論和明說(shuō)對(duì)本公司SLA的影響和變更，并按照《變更管理程序》的要求實(shí)

施。

8.345按計(jì)劃的時(shí)間間隔，對(duì)公司合格供應(yīng)商進(jìn)行年度評(píng)審，監(jiān)督、評(píng)價(jià)、記錄外部供應(yīng)商對(duì)本

公司SLA的落實(shí)情況和績(jī)效，將評(píng)定的結(jié)果及時(shí)反饋給相關(guān)供應(yīng)商，并組織進(jìn)行相關(guān)調(diào)整和改進(jìn)。

83.4.6應(yīng)組織管理與外部供應(yīng)商之間的合同沖突，并在支持合同或供貨協(xié)議中明確。如果爭(zhēng)議無(wú)

法通過(guò)正常途徑解決時(shí)，應(yīng)交由更高級(jí)別的解決途徑。應(yīng)確保所有合同沖突被記錄、調(diào)查、解決并

正式關(guān)閉。

83.4.7對(duì)于每個(gè)內(nèi)部供應(yīng)商或充當(dāng)供應(yīng)商的客戶，應(yīng)編制、商定和維護(hù)文件化協(xié)議，以定義各方

之間的服務(wù)級(jí)別目標(biāo)、其它承諾、活動(dòng)和接口。

83.4.8應(yīng)按計(jì)劃的時(shí)間間隔，監(jiān)視內(nèi)部供應(yīng)商或充當(dāng)供應(yīng)商的客戶的績(jī)效。如果未達(dá)到服務(wù)級(jí)別

目標(biāo)和其它商定的承諾，應(yīng)組織進(jìn)行相關(guān)調(diào)整和改進(jìn)，確保改進(jìn)機(jī)會(huì)得到識(shí)別。

8.4供應(yīng)與需求

S.4.1服務(wù)預(yù)算與核算

8.4.1.1公司編制并實(shí)施：

a）服務(wù)組件的預(yù)算和核算至少包括：

1）用于提供服務(wù)的資產(chǎn)（包括許可證）；

2）共享資源；

3）管理費(fèi)用;

4）資金和運(yùn)行費(fèi)用：

5）外部供應(yīng)商的服務(wù)；

6）人員；

7）設(shè)施；

b）與服務(wù)相關(guān)的間接成本和宜接成本的分?jǐn)?，并為每個(gè)服務(wù)提供總體成本：

c）有效的財(cái)物控制和授權(quán)。

*4.1.2應(yīng)對(duì)支出進(jìn)行預(yù)算，使交，寸的服務(wù)能有效地進(jìn)行財(cái)務(wù)控制和業(yè)務(wù)決策。應(yīng)按計(jì)劃的時(shí)間間隔，

對(duì)比預(yù)算監(jiān)視并報(bào)告預(yù)算的支出，評(píng)審財(cái)務(wù)預(yù)測(cè)，從而管理支出。

841.3應(yīng)根據(jù)國(guó)家的有關(guān)法律法規(guī)和財(cái)務(wù)政策的要求，根據(jù)公司的業(yè)務(wù)策略（包括產(chǎn)品策略、銷

售策略、服務(wù)策略等），組織擬制、審核公司及部門的總體性和階段性的信息技術(shù)服務(wù)費(fèi)用預(yù)算及

成本標(biāo)準(zhǔn)。

8.4.1.4各部門根據(jù)公司業(yè)務(wù)發(fā)展戰(zhàn)略、公司現(xiàn)有的SIA要求，及本部門業(yè)務(wù)的特點(diǎn)，按部門工作計(jì)

劃的內(nèi)容，組織擬制本部門階段性的費(fèi)用預(yù)算計(jì)劃，經(jīng)匯總、報(bào)批后實(shí)施。

8.4.1.5在預(yù)算期間出現(xiàn)的服務(wù)變更引起的預(yù)算變化，相關(guān)部門應(yīng)按要求執(zhí)行預(yù)算變更申請(qǐng)。

8.4.1.6在對(duì)《服務(wù)級(jí)別協(xié)議》進(jìn)行評(píng)審時(shí)，應(yīng)根據(jù)公司策略，評(píng)估實(shí)現(xiàn)服務(wù)目標(biāo)和需求的成本，

并根據(jù)確定的服務(wù)級(jí)別協(xié)議跟蹤成本的變化。

8.4.L7應(yīng)在服務(wù)變更時(shí)，計(jì)算服務(wù)變更成本，并通過(guò)《變更管理程序》進(jìn)行批準(zhǔn)。

&4.1.8應(yīng)根據(jù)預(yù)算編制跟蹤財(cái)務(wù)變化，對(duì)超出預(yù)算要求的變化，提前向相關(guān)部門和公司領(lǐng)導(dǎo)提出預(yù)警

信號(hào)。

4.2需求管理

為了理解并滿足客戶當(dāng)前和未來(lái)的需求，按照策劃的時(shí)間間隔，公司及相關(guān)部門應(yīng):

a）確定服務(wù)當(dāng)前需求和預(yù)測(cè)未來(lái)需求：