质量
上海辉电电力设备工程有限公司
信息安全/信息技术服务
管理手册
编号:HD-ISIT-SC 版本:B/0
编制: | 虞婷婷 |
审核: | 马振雷 |
批准: | 孙 民 |
发布日期: | 2021/02/01 |
实施日期: | 2021/02/01 |
---------------------------------------------------------------------
上海辉电电力对本文件资料享受著作权及其它专属权利,未经书面许可,不得将该等文件资料(其全部或任何部分)披露予任何第三方,或进行修改后使用。
修订履历
版本 | 变更履历 | 变更人/变更日期 | 审核人/审核日期 | 批准人/批准日期 |
V1.0 | 初次发布 | 马振雷 2020/01/05 | 孙民 2020/01/05 | |
V1.1 | 根据ISO20000和ISO27001的体系要求做了相应调整 | 虞婷婷 2020/8/5 | 马振雷 2020/8/5 | 孙民 2020/8/5 |
V1.2 | 根据ISO20000和ISO27001的体系要求做了职能分配调整 | 虞婷婷 2020/8/12 | 马振雷 2020/8/12 | 孙民 2020/8/12 |
V2.0 | 1.20000换版更新 2.组织结构变化更新 | 虞婷婷 2021/2/1 | 马振雷 2021/2/1 | 孙民 2021/2/1 |
|
目录
4.3确定信息安全/信息技术服务管理体系范围........................................................................ 2
4.4 信息安全/信息技术服务管理体系及其过程....................................................................... 2
6.2信息安全/信息技术服务目标及其实现规划........................................................................ 2
8.3.4.2 管理内部供应商和充当供应商的客户......................................................................... 2
颁布令
为提高上海辉电电力设备工程有限公司的信息安全/信息技术服务管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,以及规范我公司IT信息技术服务管理,提供满足顾客要求的信息技术服务,我公司开展贯彻ISO/IEC27001:2013《信息技术一安全技术-信息安全管理体系-要求》和ISO/IEC20000-1:2018《信息技术-服务管理-服务管理体系-要求》国际标准工作,建立、实施和持续改进文件化的管理手册体系,制定了《信息安全/信息技术服务管理手册》。
《信息安全/信息技术服务管理手册》是企业的法规性文件,说明了本公司信息安全/信息技术服务管理体系的范围,程序文件的提要,说明了信息安全/信息技术服务实现过程的顺序和相互关系,以及对它们的管理和控制方法。
《信息安全/信息技术服务管理手册》符合有关信息安全法律、法规及标准要求和企业实际情况,经管代审核,总经理批准,自 2021 年02月01日起正式实施,企业全体员工必须认真学习,严格遵照执行,贯彻实施本手册的各项要求,努力实现公司信息安全/信息技术服务管理方针和目标。
总经理:孙 民
2021年02月01日
授权书
为贯彻执行GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC 20000:2018《信息技术-服务管理-服务管理体系-要求》,加强对信息安全/信息技术服务管理体系运行的领导,特授权:
1、授权马振雷 为公司管理者代表,其主要职责(角色)和权限为:
1)确保公司信息安全/信息技术服务管理体系所需过程得到建立、实施、运行和保持。确保信息安全/信息技术服务业务风险得到有效控制。
2)向最高管理者报告信息安全/信息技术服务管理体系业绩(绩效)和任何改善需求,为最高管理层评审提供依据。
3)确保满足顾客、相关方及法律法规要求的信息安全/信息技术服务意识和信息安全/信息技术服务风险意识在公司内得到形成和提高。
4)在信息安全/信息技术服务管理体系事宜方面负责与外部的联络。
2、授权李琰辉 为ISMS/ITSMS信息安全/信息技术服务管理项目责任人,其主要职责(角色)和权限为:确保信息安全/信息技术服务管理方的控制措施得到形成、实施、运行和控制。
3、授权各部门主管为信息安全/信息技术服务管理体系在本部门的责任人,对ISMS/ITSMS要求在本部门的实施负责。
总经理:孙 民
2021年02月01日
0 前言
上海辉电电力设备工程有限公司的《信息安全/信息技术服务管理手册》(以下简称本手册)依据GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC 20000:2018《信息技术-服务管理-服务管理体系-要求》,参照GB/T 22081-2017/ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实用规则》、ISO/IEC 20000-2:2005 《信息技术-服务管理实施指南》,结合本行业信息安全的特点编写。本手册对本公司信息安全/信息技术服务管理体系作出了概括性描述,为建立、实施和保持信息安全/信息技术服务管理体系提供框架。
1 范围
1.1 总则
为建立、实施、运行、监视、评审、保持和改进文件化的信息安全/信息技术服务管理体系,确定信息安全/信息技术服务方针和目标,对信息安全/信息技术服务风险进行有效管理,确保全体员工理解并遵照执行信息安全/信息技术服务管理体系文件、持续改进信息安全/信息技术服务管理体系的有效性,特制定本手册。
1.2 应用
1.2.1 覆盖范围
本《信息安全/信息技术服务管理手册》规定了上海辉电电力设备工程有限公司信息安全管理体系涉及的:与网路通信设备的销售;信息系统集成及维护服务相关的信息安全管理活动;信息技术服务管理体系涉及的:计算机信息系统软、硬件运维所涉及的信息技术服务管理活动,具体见4.3条款规定。
1.2.2 删减说明
本《信息安全/信息技术服务管理手册》采用了GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC 20000:2018《信息技术-服务管理-服务管理体系-要求》正文的全部内容,对标准条款无删减,对ISO/IEC 27001:2013附录A的删减及理由详见《信息安全适用性声明SOA》。
2 规范性引用文件
下列文件中的条款通过引用而成为本手册的条款。凡是标注日期的引用文件,其随
后所有的修改单或修订版均适用于本手册,然而,相关部门应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
ISO/IEC 27000《信息技术-安全技术-信息安全管理体系-概述和词汇》
ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》
ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实用规则》
ISO/IEC 20000-1: 2018 《信息技术-服务管理体系-要求》
ISO/IEC 20000-2:2005 《信息技术-服务管理实施指南》
ISO/IEC 20000-3:2009 《信息技术-服务管理范围定义和适用性指南》
ISO/IEC 20000-5:2018 《信息技术-服务管理实施策划示例》
3 术语和定义
3.1 术语
ISO/IEC 27000《信息技术-安全技术-信息安全管理体系-概述和词汇》、ISO/IEC 20000-1: 2018 《信息技术-服务管理体系-要求》、ISO20000-2:2018《信息技术服务管理实施指南》、ISO/IEC 20000-5:2018《信息技术-服务管理实施策划示例》中规定的术语和定义适用于本《信息安全/ 信息技术服务管理手册》。
3.2 缩写
本组织、本公司、我公司:指上海辉电电力设备工程有限公司。
ISMS:Information Security Management Systems 信息安全管理体系;
ITSMS:InformationTechnology Service Management System 信息技术服务管理体系
SOA::Statement of Applicability 适用性声明;
PDCA::Plan Do Check Action 计划、实施、检查、改进。
3.3 信息系统
信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和
规章制度组成的以处理信息流为目的的人机一体化系统,是一个由人、计算机及其他外 围设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。
3.4 计算机病毒
指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
3.5 信息安全事件
指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统 从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。
3.6 信息安全
保护信息的机密性,完整性和可用性。
3.7 相关方
关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为: 政府、上级部门、供方、用户等。
3.8 资产
对组织有潜在或实际价值的物品、事物或实体。
3.9 配置项
为交付一项或多项服务需要控制的元素。
3.10 服务
通过帮助客户达成其期望的结果而向客户交付价值的手段。
3.11 服务等级指标
组织承诺的服务具体的可测量的特性。
3.1.12 风险
不确定性的影响。
注 1:影响是指偏离预期-积极或消极的。
注 2:不确定性是指对事件,其后果或可能性的信息缺失或只了解部分信息的状态。
注 3:通常用潜在事件(如 ISO 指南 73:2009,3.5.1.3 定义)和后果(如 ISO 指南 73:2009,3.6.1.3 定义),或者两者的组合来表现风险的特性。
4 组织环境
4.1理解组织及其环境
本公司应确定与 ISMS/ITSMS 相关的目的和影响其达到预期效果的能力的内外部问题。依据GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC 20000:2018《信息技术-服务管理-服务管理体系-要求》的要求,结合本公司的业务活动和风险的实际情况建立、保持并持续改进信息安全/信息技术服务管理体系。
最高管理者应确定与本公司信息安全及信息技术服务目标和战略方向相关并影响实现信息安全及信息技术服务管理体系预期结果的各种内部问题(公司的价值观、文化、知识、绩效等相关因素)和外部问题(国际、国家、地区和当地的各种法律法规、技术、竞争、文化和社会因素等)。这些问题可以包括需要考虑的正面和负面因素或条件。
本公司定期对这些内部和外部问题的相关信息进行监视和评审,以确保其充分和适宜。
4.2理解相关方的需求和期望
本公司根据相关方提出的信息安全/信息技术服务的需求和期望,考虑建立信息安全/信息技术服务管理体系,包括以下相关方:
--顾客;
--最终用户或受益人;
--业主,股东;
--银行;
--外部供应商;
--雇员及其他为公司工作者;
--法律法规及监管机关;
--地方社区团体;
--非政府公司等。
相关方需求包括:法律法规、地方规定、合同义务等。
4.3确定信息安全/信息技术服务管理体系范围
本公司根据业务特征、组织结构、地理位置、资产和技术确定了范围和边界:
a) 组织结构:已在附录组织机构图进行了定义;
b) 业务办公地理位置:上海市长宁区仙霞路137号盛高国际大厦2201-2203室;
c) ISMS/ITSMS的边界是:上海市长宁区仙霞路137号盛高国际大厦2201-2203室;
d) ISMS的范围是:上海辉电电力设备工程有限公司所涉及的与网路通信设备的销售;信息系统集成及维护服务相关的信息安全管理活动;
ITSMS的范围是:上海辉电电力设备工程有限公司所涉及的计算机信息系统软、硬件运维所涉及的信息技术服务管理活动;
e) 本《信息安全/信息技术服务管理手册》采用了GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC 20000:2018《信息技术-服务管理-服务管理体系-要求》正文的全部内容,对标准条款无删减,对ISO/IEC 27001:2013附录A的删减及理由详见《信息安全适用性声明SOA》。
4.4 信息安全/信息技术服务管理体系及其过程
本公司的信息安全/信息技术服务管理体系按照ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC 20000:2018《信息技术-服务管理-服务管理体系-要求》规定,参照ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实用规则》、ISO/IEC 20000-5:2018《信息技术-服务管理实施策划示例》标准建立、实施、运行、监视、评审、保持和改进文件化的信息安全/信息技术服务管理体系。
5. 领导
5.1领导和承诺
公司管理者应展示关于ISMS/ITSMS 的领导力和承诺:
a) 对信息安全/信息技术服务管理体系的有效性承担责任;
b) 确保信息安全/信息技术服务方针和信息安全/信息技术服务目标被建立,并与组织环境相适应,与战略方向兼容;
c) 确保服务管理计划的创建、实施和维护,以支持服务管理方针,实现服务管理目标和服务的要求;
d) 确保信息安全/信息技术服务管理体系的要求集成到组织的过程中;
e) 确保为组织和客户创造的价值是确定的;
f) 确保对服务生命周期的相关方进行控制;
g) 确保信息安全/信息技术服务管理体系所需要的资源是可用的;
h) 传达有效的信息安全/信息技术服务管理和符合信息安全/信息技术服务管理体系要求的重要性;
i) 确保信息安全/信息技术服务管理体系达到其预期的效果;
j) 促使、指导和支持员工,有助于信息安全/信息技术服务管理体系的效率;
k) 推进持续改进;
l) 支持其他相关管理角色展示他们的领导力,同样适用于他们的职责范围。
5.2方针
5.2.1 制定信息安全/信息技术服务方针
公司最高管理者应建立信息安全/信息技术服务方针:
a) 适合组织的宗旨和环境并支持其战略方向;
b) 包括信息安全/信息技术服务目标(见 6.2),或为建立信息安全/信息技术服务目标提供框架;
c) 包括满足有关信息安全/信息技术服务适当要求的承诺;
d) 包括 ISMS/ITSMS 持续改进的承诺。
5.2.2 沟通信息安全/信息技术服务方针
信息安全/信息技术服务方针应:
a) 是以文件化信息并可用;
b) 在组织内得到沟通、传达和应用;
c) 适当时,对相关方所获取并是可用的。
为了满足适用法律法规及相关方要求,维持ISMS/ITSMS范围内的业务正常进行,实现业务可持续发展,本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全方针:满足客户要求,实施风险管理,确保信息安全,实现持续改进;信息技术服务方针:快速响应、交付及时、安全服务、顾客满意。
5.3组织的角色、责任和权限
公司管理层应确保与信息安全/信息技术服务相关角色的职责和权限被分配和传达。 公司管理层应分配职责和权限:
a) 确保ISMS/ITSMS符合本国际标准的要求;
b) 将ISMS/ITSMS绩效及其改进机遇报告给公司最高管理者。
注:最高管理者也可以分配组织内ISMS/ITSMS 绩效报告的职责和权限。
并任命管理者代表,使其负责ISMS/ITSMS的建立、实施、保持和改进,明确所有相关人员在体系中的职责和义务(参见公司相关任命文件),确保体系运行的有效性。
6. 规划
6.1应对风险和机会的措施
6.1.1 总则
当规划 ISMS/ITSMS 时,本公司应当考虑 4.1 提到的问题和 4.2 中所提到的要求,并确定需要处理的风险和机遇:
a) 确保 ISMS/ITSMS 实现预期的效果;
b) 增强有利影响,防止或减少不良影响;
c) 实现ISMS/ITSMS的持续改进;
公司应策划:
d) 处理这些风险和机遇的行动;
e) 如何集成和实施这些行动到 ISMS/ITSMS 过程中;
f) 如何评估这些行动的有效性。
6.1.2信息安全风险评估
1) 识别风险
总裁办按照《信息安全风险管理程序》从以下几个方面,对信息安全风险进行识别:
识别ISMS范围内所有的信息资产及其负责人,并对资产的保密性、完整性和可用性价值进行评估;
识别各信息资产所可能面对的威胁;
识别各威胁可能利用的脆弱性;
确认以上信息资产的保密性、完整性和可用性受损后所产生的影响和潜在后果。
2) 评估风险
总裁办按照《信息安全风险管理程序》,评价安全问题所可能导致的业务危害,考虑该危害的严重程度时,必须考虑到信息资产的保密性、完整性和可用性受损后所产生的现实后果和长远影响。
根据与这些信息资产有关的主要威胁和脆弱性,以及当前采取的控制措施,评价安全问题出现的可能性。
根据《信息安全风险管理程序》,计算风险系数。
根据风险评价的结果,决定风险是否接受或应采取的处理措施。
6.1.3信息安全风险处置
1) 确定和评价提供处理风险的可选措施
总裁办根据风险评价的结果,确定可接受风险的水平,决定风险处理措施,包括以下内容:
使用合适的控制措施接受风险,但应保证该风险在可接受水平,并应保证符合公司的信息安全方针避免风险、转移风险。
2) 选择处理风险的控制目标和控制措施
总裁办负责从GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》附录A中选择适当的控制目标和控制措施,如有必要可在GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》附录A范围之外增加额外的控制目标和控制措施,但应对这些额外的控制目标和控制措施予以记录。
3) 残余风险的确认
总裁办应对采取控制措施后的残余风险予以预测,由公司管理层批准残余风险(见《风险评估报告》)。
4) 由公司管理层授权实施和运作ISMS/ITSMS(见:手册“发布令”页)。
5) 适用性声明
“适用性声明”应对未采用的GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》附录A中的条款的原因予以说明,同时对采用的GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》附录A以外的所有控制措施予以说明。
具体参见《适用性声明》(版本号:1.0)
6.1.4信息技术服务风险的确认和成文信息
总裁办按照《环境分析相关方要求风险和机遇的应对措施控制程序》识别与信息技术服务:
a)有关的风险
1)组织;
2)不满足服务要求;
3)服务生命周期中的相关方;
b)风险对客户的影响和服务管理体系及服务的机遇;
c)风险接受标准;
d)所采取的风险管理的方法。
6.1.5 信息技术服务措施策划
组织应策划:
a)应对信息技术服务的风险和机遇的措施及优先级;
b)如何:
1)将这些措施整合到服务管理体系过程中,并予以实施;
2)评价这些措施的有效性。
注 1:应对风险和机遇的选择包括:避免风险,面对或增加风险以追求机遇,通过协定的措施移除风险源,改变风险的后果或可能性,降低风险,和其他方共担风险或通过充分的信息决策接受风险。
6.2信息安全/信息技术服务目标及其实现规划
6.2.1 组织应对信息安全/信息技术服务管理体系所需的相关职能、层次和过程设定信息安全/信息技术服务目标。信息安全/信息技术服务目标应:
a) 与信息安全/信息技术服务方针保持一致;
b) 可测量;
c) 考虑适用的要求以及风险评估和风险处置的结果;
d) 与提供合格产品和服务以及增强顾客满意相关;
e) 予以监视;
f) 予以沟通;
g) 适时更新。
根据公司产品和服务特点,确定公司的信息安全/信息技术服务目标:
ISMS的目标是:
a.客户信息安全事故为0。;
b. 公司的重大信息安全事故为0。
ITSMS的目标是:
1. 客户服务满意率≥95%;
2. 服务响应及时率≥98%;
3.事件及时解决率≥98%。
公司一般于每年初将ISMS/ITSMS目标分解到各部门,形成部门ISMS/ITSMS管理目标,并对各部门的ISMS/ITSMS管理目标的达成情况进行考核。
ISMS/ITSMS目标实施一段时期后,根据公司发展情况,做适宜的调整,确定新的ISMS/ITSMS目标。
6.2.2 策划如何实现信息安全/信息技术服务目标时,组织应确定:
a) 采取的措施;
b) 需要的资源;
c) 由谁负责;
d) 何时完成;
e) 如何评价结果。
6.3 策划服务管理体系
组织应制定、实施和维护服务管理计划。计划应考虑到服务管理方针。服务管理目标,风险与机遇。服务要求和本标准的要求。
服务管理计划应包括或包含以下内容:
a) 服务清单;
b) 影响服务管理体系和服务的已知限制;
c) 有关的方针,标准和法律法规要求、合同的要求;以及这些义务如何应用到服务管理体系和服务中;
d) 服务管理体系和服务的权限、职责;
e) 运行服务管理体系和服务所需要的人员、技术、信息和财务资源;
f) 服务生命周期中和相关方采取的工作方法;
g) 支持服务管理体系的技术;
h) 如何测量、审核、报告和改进服务管理体系和服务的有效性。
其他的策划活动应与服务管理策划相一致。
7. 支持
7.1资源
为确保ISMS/ITSMS的有效运行,公司管理层应提供充足必要的资源,该资源包括资金、技术、人力等方面,以保证:
a) 建立、贯彻、运行和保持ISMS/ITSMS;
b) 确保信息安全/信息技术服务程序支持业务要求;
c) 识别和强调法律和法规的要求和合同的安全义务;
d) 正确地应用所有实施的控制措施以保持充分的安全;
e) 必要时进行评审,并对评审结果做出适当的响应;
f) 需要时,改善ISMS/ITSMS的有效性。
7.2能力
为有效地实施信息安全/信息技术服务管理,贯彻信息安全/信息技术服务管理方针,实现信息安全/信息技术服务目标,必须对ISMS/ITSMS涉及的所有人员进行培训,以增强其信息安全/信息技术服务意识,保证其胜任所在岗位的工作。
按公司ISMS/ITSMS中的《各级员工任职要求》,行政人事签定相关协议,并根据《人力资源控制程序》中的规定对人员进行适当的培训。以上文件对以下方面做出了规定:
a) 确定人员有效地完成ISMS/ITSMS工作所必需的能力;
b) 提供能力培训,必要时,可聘用有能力的人员以满足需求;
c) 评估培训和所采取行动的效果;
d) 保持员工的教育、培训、技能、经验和资格记录。
注:适当的措施可包括,例如针对在职人员提供培训、辅导或重新分配:或者聘任、外包胜任的人员。
7.3意识
本公司控制措施下工作的人员应意识到:
a) 信息安全/信息技术服务方针及目标;
b) 与工作有关的服务;
c) 他们对ISMS/ITSMS有效性的贡献,包括提高信息安全/信息技术服务绩效的收益;
d) 不符合ISMS/ITSMS 要求所带来的影响。
7.4沟通
本公司应确定有关ISMS/ITSMS内部和外部沟通的需求:
a) 沟通什么;
b) 何时沟通;
c) 和谁沟通;
d) 谁应该沟通;
e) 怎样的沟通过程是有效的。
7.5文件化信息
7.5.1总则
由管理者代表负责,总裁办负责文件管理和控制,建立ISMS/ITSMS文件体系, 确保其适合本公司的规模、活动类型、安全要求的范围和复杂性,对文件的载体本手册不做具体要求,但其内容至少包括以下方面:
a) 文件化的信息安全/信息技术服务方针和控制目标;
b) ISMS/ITSMS的范围;
c) 支持ISMS/ITSMS的程序和控制措施;
d) 风险评估方法的描述;
e) 风险评估报告;
f) 风险处理计划;
g) 为确保信息安全/信息技术服务管理进程中的计划、运行和控制的有效性而必需的文件化程序;
h) ISMS/ITSMS程序所要求的记录
i) 适用性声明(见《适用性声明》)
7.5.2创建和更新
公司相关部门制定并实施《文件管理程序》,创建和更新文件化信息时,应确保适当的:
a) 标识和描述(例如标题、日期、作者或编号);
b) 格式(例如语言、软件版本、图表)和介质(例如纸质、电子介质);
c) 对适宜性和充分性的评审和批准。
7.5.3.1 应控制信息安全/信息技术服务管理体系和本标准所要求的形成文件的信息,以确保:
a) 无论何时何处需要这些信息,均可获得并使用;
b) 予以妥善保护(如防止失密、不当使用或不完整)。
7.5.3.2 为控制形成文件的信息,适用时,组织应关注下列活动:
a) 分发、访问、检索和使用;
b) 储存和防护,包括保持可读性;
c) 变更控制(如:版本控制);
d) 保留和处置。
对策划和运行信息安全/信息技术服务管理体系所必需的来自外部的原始的形成文件的信息,公司应进行适当识别和控制。具体见《文件控制程序》 。
7.5.4服务管理体系的文件化信息控制
服务管理体系的文件化信息包括:
a) 服务管理体系范围;
b) 服务管理的方针和目标;
c) 服务管理策划;
d) 变更管理方针、信息安全方针和服务连续性计划(一个或多个);
e) 组织的服务管理体系的过程;
f) 服务要求;
g) 服务目录;
h) 服务等级协议;
i) 与外部供应商的合同;
j) 与内部供应商和充当供应商的客户的协议;
k) 本标准要求的程序;
l) 证明符合本标准和组织的服务管理体系要求的记录。
注:条款 7.5.4 提供了服务管理体系的重要文件化信息列表。本标准对于文件化信息和记录还有其它的要求。
7.6 组织知识
组织应确定和保持必要的知识,以支持服务管理体系和服务的运行。这些知识对适用的人员应是相关的、可用的、有用的。
注:对于组织来说其服务管理体系、服务和相关方是特定的。使用和共享知识以用来支持实现预期结果和运行服务管理体系及服务。
8. 运行
8.1 运行规划和控制
公司应策划、实施和控制用来满足信息安全/信息技术服务要求过程,并实施在 6.1 中确定的行动。 组织还应当实施计划,以实现在 6.2 中确定的信息安全/信息技术服务目标。
a) 基于要求,建立绩效标准的过程;
b) 按照建立的绩效标准,实施过程控制;
c)本公司应保存相关的文档化信息,以保证过程已按照计划完成。
组织应控制计划内的变更并评审非计划变更的结果,必要时,采取措施以减轻任何不良影响。 组织应确保外包过程被确定和受控,公司识别云服务、电信为外包过程。
8.2a)信息安全风险控制过程
8.2.1 a)信息安全风险评估
1、识别风险
在已确定的信息安全管理体系范围内,按照计划,或者在重大改变提出或发生时进行信息安全风险评估,本公司执行《信息安全风险评估管理程序》,对所有的资产进行列表识别,并识别这些资产的所有者。资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按信息分类、保密性、完整性、可用性要求进行了量化赋值,形成《资产清单》。
同时,根据《信息安全风险评估管理程序》,识别对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。
2、分析和评价风险
本公司按《信息安全风险评估管理程序》,分析和评价风险:
a)针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;
b)针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;
c)根据《信息安全风险评估管理程序》计算风险等级;
d)根据《信息安全风险评估管理程序》中的风险接受准则,判断风险为可接受或需要处理。
8.2.2a)信息安全风险处置
公司根据风险评估的结果,形成《风险处理计划》,计划明确风险处理责任部门、负责人、处理方法及起始、完成时间。公司根据计划进行了处置,并保持处置的记录。对风险处理后的剩余风险,应得到相应管理者的批准。
8.2b) ITSMS服务组合
8.2.1 b) 服务交付
组织应运营ITSMS,以确保活动和资源的协调。组织应执行提供服务所需的活动。注:服务组合用于管理所有服务的整个生命周期,包括建议的服务,开发中的服务,服务目录中定义的现有服务以及计划下线的服务。服务组合的管理确保服务提供方具有适当的服务组合。本标准中的服务组合活动包括规划服务、服务生命周期中所涉及各方的控制、服务目录管理、资产管理和配置管理。
8.2.2 b) 策划服务
确定和记录现有服务、新服务和服务变更的服务要求。组织应根据组织、客户、用户和其他相关方的需求确定服务的重要性。组织应确定和管理服务之间的依赖关系和副本。组织应根据需要提出变更,以使服务与服务管理方针、服务管理目标和服务要求保持一致,同时考虑已知的约束和风险。组织应考虑变更请求和新服务或变更服务提议的优先级,以便与业务需求和服务管理目标保持一致,同时考虑可用资源。
8.2.3 b) 控制服务生命周期的相关方
8.2.3.1 无论任何相关方涉及到在支持服务生命周期中执行活动,组织应对本标准的要求和交付的服务持有义务。
组织应确认和应用本标准的评估和选择服务生命周期中的其他相关方。其他相关方可以是外部供应商、内部供应商和客户充当的供应商。
其他相关方不应提供和运行服务管理体系范围内所有的服务、服务组件或过程。
组织应确认和成文化下列内容:
a) 其他相关方提供和运行的服务;
b) 其他相关方提供和运行的服务组件;
c) 其他相关方运行的组织的服务管理体系范围内的过程或部分过程。
组织应集成组织自身或其他相关方提供和运行的服务管理体系内的服务、服务组件和过程,以满足服务要求。
组织应进行协调包括服务生命周期中,策划、设计、转换、交付和改进活动的其他相关方。
8.2.3.2 组织应对其他相关方定义和应用下列控制措施:
a)测量和评估过程绩效;
b)测量和评估服务、服务组件满足服务要求的有效性。
8.2.4 b) 服务目录管理
组织应创建和维护一个或多个服务目录。服务目录应包括描述服务的组织、客户、用户和其他相关 方的信息、
它们预期的结果和服务间的依赖关系。
组织应对客户、用户和其他相关方提供合适的访问(部分)服务目录的途径。
8.2.5 b) 资产管理
组织应确保管理用于交付服务的资产以满足服务要求和条款 6.3c 规定的义务。
注:ISO 55001 和 ISO/IEC 19770-1 规定了支持实施、运营资产和 IT 资产管理要求。
注:另外,资产作为配置项时,参考配置管理。
8.2.6 b) 配置管理
8.2.6.1行政人事部应根据《配置管理程序》的要求,评估所有与IT 服务相关的重要资产和配置项,识别、定义、维护IT 服务和基础设施的组件,明确配置项之间的关系、属性和作用,定义命名规范、版本号,制订和实施《配置项分类定义表》,以确保有效管理IT 资产和配置。
8.2.6.2每个配置项均有唯一标识,并记录在CMDB 中,同时每个配置项记录的信息记录应包括:
a) 配置项的说明。
b) 配置项和其它配置项之间的关系。
c) 配置项和服务组件之间的关系。
d) 状态。
e) 版本。
f) 位置。
g) 有关更改请求。
h) 相关的问题和已知错误。
8.2.6.3被管理的配置项主要包括:信息系统和软件(包括第三方软件)的发布、相关系统文档、例如要求规范、设计、测试报告、发布文档、每个应用环境配置基线、或描述应用环境、标准硬件组成和发布、备份和电子资料库、如最终软件库(DSL)、配置管理包或工具、许可证、安全组件、如防火墙、服务相关文档、例如服务级别协议、活动程序、务支持设施、例如机房电源。
8.2.6.4综合管理部根据配置项之间的关系、属性、状态类别、重要程度和优先级,确定配置管理数据库的范围、分解的层数、详细的程度,完成配置管理数据库的构建。
8.2.6.5综合管理部制订《配置管理计划》,并每年末进行更新。主要包括:配置管理的范围、目标、策略、标准角色和责任、配置管理过程定义服务和基础设施中配置项,配置控制变更,记录和报告配置项情况,证实配置项的完整性和正确性责任、可检索、可审计的要求,如出于安全、法律、规章或业务目的、配置控制(访问、保护、版本、开发、发布控制)、交互控制过程,及信息接口和发布、资源管理策划和建立,以便使资产和配置受控,并维持配置管理系统,如培训活动、与配置相关的供应商管理要求和活动。
8.2.6.6综合管理部在配置管理过程中应监控配置项的整个生命周期,确保只有被授权且可识别的配置项才被接受,并记录从接受到销毁的全过程;没有被认可的变更请求,不能添加、修改、替换或删除配置项。
8.2.6.7综合管理部应保存有效的配置记录,以反映配置项状态、位置和版本的变化,并通过各种状态监控配置项的变更,例如订购、接收、测试、使用、变更、拆卸、取消。配置项的更新信息应作为配置管理计划和变更管理的输入。
8.2.6.8为保护系统、服务和基础设施的完整性和安全性,配置项信息应被保存在一个安全环境。应:保护其不受未授权访问、变更或破坏、提供灾害后恢复方法、对受控软件、测试产品和支持文档等备份的恢复进行限制。
8.2.6.9配置评审程序应包含缺陷记录、执行纠正措施和报告结果。
8.2.6.10综合管理部应定期填写《配置项管理记录》,包括:配置项最新版本、配置项的位置和软件主要版本的位置、相互依赖关系、版本历史。在任何时候都可核对配置项以下内容:服务配置项或系统、变更、基准线、开发或发布、版本或变量。
8.2.6.11综合管理部应定期组织相关部门实施配置认可和审核活动,并检查是否有充分的资源以支持:保护物理配置和公司的知识资本、确保公司控制其配置、原件和许可证、确保配置信息是准确、可控、可见。
8.2.6.12综合管理部应确保变更、发布、系统或环境符合其合同约定或事先约定的要求且配置记录是准确的。
8.2.6.13 在审核中出现的缺陷或不符合项应被记录、评估和改进。
8.3 ITSMS关系和协议
b) ITSMS关系与协议
8.3.1 总则
组织使用供应商以:
a) 提供和运行服务;
b) 提供和运行服务组件;
c) 运行服务管理体系范围内的过程和部分过程。
图 中 表示了用途、协议和业务关系管理、服务等级管理、供应商管理的关系。
图 中-参与服务生命周期的相关方之间的关系和协议
注:本标准的供应商管理不包括供应商的采购过程。
8.3.2 业务关系管理
8.3.2.1销售部应当建立目录包括所有客户、用户和各利益相关方,并对于每一个客户应当指定专人负责管理客户关系管理和客户满意度。
8.3.2.2销售部按照《业务关系管理程序》要求,牵头并定期组织销售部门,开展服务管理评价活动,讨论、汇报服务范围、SLA、合同或业务需求的变化,及性能、成绩、结果和措施计划,形成会议纪要。
8.3.2.3当服务目标、服务需求、支持合同、业务等发生新增、变更或撤销时,研发部应按《新的或变更的服务设计管理程序》的要求,提出并评估服务范围和SLA 的改进方案,由市场部组织实施。
8.3.2.4销售部与客户建立有效的互动、沟通关系,以便及时了解客户的需求或重大变更,并依据需求进行响应。根据《业务关系管理程序》,定义、收集、分析客户满意度数据和信息,监控客户满意度的趋势。
8.3.2.5销售部根据《业务关系管理程序》中的客户投诉管理过程,负责收集、统计、分析客户投诉的记录,识别投诉的发展趋势和存在问题,确保服务的连续性目标的实现。同时联络客户在计划的时间间隔复审服务的表现。
8.3.3 服务等级管理
组织应与客户约定交付的服务。
对于所交付的每项服务,组织应基于服务要求建立一个或多个服务等级协议。服务等级协议应包括服务等级
目标,工作量和例外情况。
组织应按照策划的时间间隔监测、评审和报告:
a) 服务等级指标的绩效;
b) 与服务等级协议的工作量相比,实际和周期性的工作量的变更。
服务等级指标未满足时,组织应识别改进机会。
注:组织和客户间交付服务的协议可以以多种形式存在,如文件化的协议,会议中的口头协定,电子邮件形式的协议或同意服务许可协议的形式。
8.3.4 供应商管理
8.3.4.1 管理外部供应商
销售部按《供应商管理程序》的要求,指定专人管理与外部供应商(包括采购供应商、外包服务供应商)的关系、合同和绩效。
对于每个外部供应商来说,组织应和外部供应商协商形成文件化的合同。合同中应包含或引用以下内容:
a) 外部供应商提供或者运行的服务范围、服务组件、过程或部分过程;
b) 外部供应商需要满足的要求;
c) 服务等级指标或其他合同义务;
d) 组织与外部供应商的职责与权限。
组织应评估外部供应商的服务等级指标或者其他合同义务与客户的服务等级指标的一致性,并且管理已识别的风险。
组织应定义和管理外部供应商的接口。
组织应按照策划的时间间隔监测外部供应商的绩效。服务等级指标和其他合同义务未满足的场合,组织应确保改进机会可识别。
组织应按照策划的时间间隔依据当前的服务要求评审合同。变更授权前,合同的变更对服务管理体系和服务的影响应予以评估。
组织和外部供应商的争议应予以记录、管理直至关闭。
8.3.4.2 管理内部供应商和充当供应商的客户
对于每一个内部供应商和充当供应商的客户,组织应 开发、协商和维护文件化的协议,以定义服务等级指标,其他承诺,活动和相关方间的接口。
组织应按照策划的时间间隔监测内部供应商或充当供应商的客户的绩效。服务等级指标和其他约定的承诺未满足的场合,组织应确保识别改进机会。
8.4 ITSMS供应与需求
8.4.1 服务预算与核算
组织应在保持与财务管理方针和过程一致的情况下进行服务或一组服务的预算和核算。
应对服务成本进行预算,确保提供的服务能有效地进行财务控制和决策。
按照策划的时间间隔,组织应依据预算来监测和报告实际成本,审核财务预测并管理成本。
注:有许多,但不是所有组织会对服务进行计费。本标准中服务的预算和核算过程不包括计费,以确保适用于所有组织。
8.4.2 需求管理
按照策划的时间间隔,组织应:
a) 确定服务的当前需求和预测未来需求;
b) 监测和报告需求与服务使用情况。
注:需求管理负责理解客户当前和未来的服务需求。能力管理与需求管理配合,策划和提供充足的能力以满足需求。
8.4.3 能力管理
考虑服务和绩效要求,人员、技术、信息和财务资源的能力要求应予以确定、保留和维护文件化信息。组织应对能力进行策划,包括:
a) 基于服务需求,当前和预测的能力;
b) 对约定的服务等级指标、服务可用性、服务连续性要求的预期影响;
c) 服务能力变更的时间跨度和阀值。
组织应提供充分的能力满足约定的能力和绩效要求。组织应监测能力的使用、分析能力和绩效数据和识别改进绩效的机会。
8.5 ITSMS服务设计、建立与转换
8.5.1 变更管理
8.5.1.1 变更管理方针
变更管理方针应予以制定和保留文件化信息,以定义:
a) 在变更管理控制下的服务组件和其他事项;
b) 变更类别,包括紧急变更,以及如何进行管理;
c) 对客户或服务有潜在重大影响变更的确定标准。
本公司的变更管理方针为:主动追求,适应变革,止于至善。
8.5.1.2 变更管理启动
变更请求,包括增加、移除或转移服务,应予以记录和分类。
组织应在下列情况使用 8.5.2 章中的服务设计和转换流程:
a) 由变更管理方针确定的,对客户或其他服务有潜在重大影响的新服务;
b) 由变更管理方针确定的,对客户或其他服务有潜在重大影响的服务变更;
c) 依据变更管理方针,通过服务设计和转换管理的变更种类;
d) 移除服务;
e) 转移已存在的服务至客户或其他方;
f) 从客户或其他方转移已存在的服务至组织。
评估、授权、调度和评审 8.5.2 范围内的新服务或变更的服务应通过 8.5.1.3 的“变更管理活动”进行管理。
不在 8.5.2 范围内的变更请求应通过条款 8.5.1.3 的“变更管理活动”进行管理。
8.5.1.3 变更管理活动
组织和相关方应就变更请求的授权和优先级做出决策。决策应考虑风险、业务收益、可行性和财务影响。决
策也应考虑变更的潜在影响:
a) 现有的服务;
b) 客户、用户和其他相关方;
c) 本标准要求的方针和计划;
d) 能力、服务可用性、服务连续性和信息安全;
e) 其他变更请求、发布和部署计划。
授权的变更应予以准备、确认,可行的情况下,进行测试。授权变更的建议发布日期和其他细节应和相关方沟通。
回退或补救不成功变更的活动应予以策划,可行的情况下,进行测试。不成功的变更应予以调查和采取约定的措施。
组织应评审变更的有效性,与相关方采取约定的措施。
应按照策划的时间间隔分析变更请求的记录以识别趋势。分析所得的结果和结论应予以记录和评审以识别改进机会。
8.5.2 服务设计与转换
8.5.2.1 策划新的或变更的服务
策划应使用 8.2.2 中确定的新的或者变更的服务的要求,应包括或引用下列内容:
a) 设计、构建和转换活动的权限和职责;
b) 组织以及其他相关方执行的活动,包括时间跨度;
c) 人员、技术、信息和财务资源;
d) 与其他服务的依赖关系;
e) 新的服务或变更的服务所需的测试;
f) 服务接受标准;
g) 以可测量的术语表达交付新的或变更的服务的预期结果
h) 对服务管理体系、其他服务、策划的变更、客户、用户和其他相关方的影响。
针对将要被移除的服务,策划额外应包括服务和活动的归档,数据,文件化信息及服务组件的清除或转移。
针对将要被转移的服务,策划额外应包括转移服务的日期,转移数据的活动,文件化信息,知识和服务组件。
受新的或变更的服务影响的配置项应通过配置管理控制。
8.5.2.2 设计
新的或者变更的服务应予以设计和保留文件化信息以满足 8.2.2 中确定的服务要求。设计应包括下列有关内容:
a) 交付新的或变更的服务时的各方权限和职责;
b) 对人员、技术、信息和财务资源变更的要求;
c) 对适当的教育、培训和经验的要求;
d) 支持服务的新的或变更的服务等级协议、合同或其他形成文件的协议;
e) 变更对服务管理体系的影响,包括新的或变更的方针、策划、过程、程序、测量或知识;
f) 对其他服务的影响;
g) 更新服务目录(一个或多个)。
8.5.2.3 构建与转换
新的或变更的服务应被构建和测试,以证实能否满足服务要求,设计文件的要求,以及约定的服务接受标准。
如果不符合服务接受标准,组织和相关方应就必要的措施和部署进行决策。
发布和部署管理应被用于部署从已批准的新的或变更的服务到实际运行环境中。
转换活动完成后,组织应向相关方报告所实现的结果,并与预期结果进行对比。
8.5.3 发布与部署管理
组织应定义发布类型,包括紧急发布,发布频率和如何管理。
组织应对新的或变更的服务和服务组件部署到实际运行环境进行策划。策划应与变更管理过程协调一致,并包含对相关的变更请求、已知错误或通过发布已被关闭的问题的引用。策划应包括每个发布的部署日期、交付物和部署方法。
组织应依据成文的接受准则对发布进行验证,并在部署前被授权。如果未能满足接受准则,组织和相关方应采取必要的措施和部署进行决策。
发布部署到实际运行环境前,应建立受影响的配置项的基线。
发布应部署到实际运行环境中,以使服务和服务组件的完整性得到维护。
应监测和分析发布的成功或失败。测量内容应包括发布在部署之后至随后发布的事件。分析的结果和结论应予以记录和评审以识别改进机会。
适用时,发布成功或者失败、未来发布日期的信息应对其他服务管理活动可用。
8.6 ITSMS解决与完成
8.6.1 事件管理
事件应:
a) 记录和分类;
b) 考虑影响和紧急性,进行优先排序;
c) 需要时升级;
d) 解决;
e) 关闭。
事件记录应根据采取的措施进行更新。
组织应确定识别重大事件的标准。重大事件依据成文的程序进行分类和管理。重大事件的信息应通知最高管理者。组织应分配管理重大事件的责任。事件解决后,重大事件应予以汇报和评审,以识别改进机会。
8.6.2 服务请求管理
服务请求应:
a) 记录和分类;
b) 优先排序;
c) 完成;
d) 关闭。
服务请求应根据采取的措施进行更新。
服务请求完成的指南应对服务请求完成的有关人员可用。
8.6.3 问题管理
组织应分析事件数据和趋势,以识别问题。组织应进行根本原因分析和确定潜在的措施,以阻止事件的出现或者再出现。
问题应:
a) 记录和分类;
b) 优先排序;
c) 需要时升级;
d) 可能发生时进行解决;
e) 关闭。
问题记录应根据采取的措施进行更新。问题解决的所需变更应依据变更管理方针进行管理。
根本原因已经识别,但问题没有永久解决时,组织应确定降低和消除问题对服务影响的措施。已知错误应予以记录。适用时,已知错误的最新信息和问题解决方案应对其他服务管理活动可用。
按照策划的时间间隔,问题解决方案的有效性应予以监测、评审和报告。
8.7 ITSMS服务保障
8.7.1 服务可用性管理
按照策划的时间间隔,与服务可用性有关的风险应予以评估和保留文件化信息。组织应确定服务可用性要求
和目标。协定的要求应考虑相关的业务要求、服务要求、服务等级协议和风险。
服务可用性的要求和目标应保留文件化信息并维护。
服务可用性应予以监测,记录结果与目标作比较。非策划的不可用应予以调查和采取必要的措施。
注:6.1 中识别的风险为服务可用性、连续性和信息安全提供了输入。
8.7.2 服务连续性管理
按照策划的时间间隔,与服务连续性有关的风险应予以评估和保留文件化信息。组织应确定服务连续性要求。
协定的要求应考虑相关的业务要求、服务要求、服务等级协议和风险。
组织应建立、实施和维护一个或者多个业务连续性策划。业务连续性策划应包括或引用下列内容;
a) 激活服务连续性的标准和职责;
b) 在重大服务事件丢失时实施的程序;
c) 激活服务连续性策划时的可用性目标;
d) 服务恢复要求;
e) 返回正常工作条件的程序。
正常服务位置访问被组织时,服务连续性策划和联系人清单应有可访问的渠道。
按照策划的时间间隔,服务连续性策划应按照服务连续性要求进行测试。服务环境有重大变更后,服务连续性策划应重新测试。测试的结果应予以记录。每次测试后和服务连续性策划后,应实施评审,发现有缺陷或不足时。组织应采取必要的措施。
服务连续性策划已经激活时,组织应报告原因,影响和恢复活动。
9. 绩效评价
9.1 监视、测量、分析和评价
a) 总裁办应按ISMS/ITSMS体系文件的有关规定对ISMS/ITSMS的运行情况进行适宜的监控和评审,并及时对所发现的不符合进行整改,以便迅速从处理结果中发现错误及时识别安全破坏事故,不论其是否成功;使公司管理层确定员工的信息安全/信息技术服务活动或通过信息技术实施的信息安全及服务活动是否达到了所期望的目标;利用指标来帮助发现安全事件及服务事件、问题,从而防止安全事故及服务事件的发生;确定为解决破坏安全及服务问题所采取的措施是否有效。
b) 总裁办应定期评审ISMS/ITSMS的有效性,评审内容包括安全政策、服务管理计划,安全/服务目标和安全/服务控制,同时还应考虑到安全/服务审核的结果、安全/服务事故及所有利益相关方的建议和反馈。
c) 测量控制措施的有效性,验证已满足安全/服务需求。
d) 在评审残余风险和可接受风险的水平时,应考虑以下方面的变化:
组织
技术
业务目标和过程
已识别的威胁
所实施控制措施的有效性
外部事件:如法律法规的变化或社会环境的变化
e) 管理者代表应按计划定期进行ISMS/ITSMS内审,具体参见《内部审核控制程序》。
f) 公司应每年进行ISMS/ITSMS管理评审,以确保ISMS/ITSMS的范围保持充分,ISMS/ITSMS的改进得到确认。具体参见《管理评审控制程序》。
g) 根据监视和评审活动的发现,更新安全/服务计划。
应记录可能影响ISMS/ITSMS有效性的行为和事件、问题。
9.2 内部审核
按《内部审核控制程序》执行。以确保ISMS/ITSMS的控制目标、控制手段、过程和程序:
a) 符合GB/T22080-2016/ISO/IEC27001:2013、ISO/IEC 20000:2018《信息技术-服务管理-服务管理体系-要求》标准和相关法律法规的要求;
b) 符合识别的信息安全/信息技术服务要求;
c) 被有效地实施和维护;
d) 达到预想的业绩。
在制定内审程序时应考虑被审核区域和过程的状态和重要性,包括前次审核的结果。应确定审核准则、范围、频次和方法。选择有资质的审核员,确保审核过程客观公正。审核员不应审核自己的工作。
被审核区域的管理者负责保证及时采取措施以消除被发现的不符合及其原因。改进行为应包括对措施实施和效果的验证。
9.3 管理评审
公司管理层应按《管理评审控制程序》的要求定期举行公司管理体系的管理评审,以确保ISMS/ITSMS的持续适宜性、充分性和有效性。该评审包括对信息安全/信息技术服务方针和信息安全/信息技术服务目标的评审,并将评审结果以文件的形式记录下来。
a) ISMS/ITSMS审核和评审的结果
b) 与安全/服务管理体系相关的外部和内部因素的变化相关方的反馈
c) 用于改善ISMS/ITSMS绩效和有效性而在公司中使用的技术、产品和程序
d) 预防和纠正措施的状况
e) 初始风险评价中未列出的脆弱性和威胁
f) 风险评估的结果、应对风险和机遇措施的有效性
g) 有效性、绩效度量的结果
h) 前次管理评审后的跟踪措施
i) 影响ISMS/ITSMS的任何改变
j) 改进的建议
a) 改善ISMS/ITSMS的有效性
b) 更新风险评估和风险处理计划
当发生以下导致影响ISMS的内外部事件时,应对信息安全有关的程序做必要的更改;
商务要求
安全要求
影响外部商务要求的商务过程
法律法规环境
合同责任
风险水平和(或)风险接受水平
c) 资源需求
d) 对测量控制措施有效性的改进
9.4 服务报告
组织应确定报告的要求和用途。
关于服务管理体系和服务的绩效、有效性的报告应使用服务管理体系和服务交付活动产生的信息。服务报告应包括趋势。
组织应基于服务报告的结果决策和采取措施。已协定的措施应和其他相关方沟通。
注:需要的报告在本标准的相关条款要求,也可以生成额外的报告。
10. 改进
10.1 不符合及纠正措施
10.1.1 当发生不符合时,组织应:
a)对不符合做出反应,适用时:
1)采取措施,以控制并予以纠正;
2)处置后果;
b)通过以下活动,评价是否需要采取措施,以消除产生不符合的原因,避免其再次发生或在其他场合发生;
1)评审不符合;
2)确定不符合的原因;
3)确定类似的不符合是否存在,或可能发生的情况;
c)实现任何需要的措施;
d)评审任何所采取的纠正措施的有效性;
e)必要时,对服务管理体系进行变更。
纠正措施应适用于遇到的不符合的影响。
10.1.2 组织应保留形成文件的信息,作为下列事项的证据:
a)不合格的性质以及随后所采取的措施;
b)任何纠正措施的结果。
10.2 持续改进
组织应持续改进信息安全/信息技术服务管理体系和服务的适用性、充分性和有效性。
授权决策时,组织应确定适用于改进机会的评估标准。评估标准应包括和信息安全/信息技术服务管理目标保持一致。
改进机会应保留文件化信息。
组织应对同意的改进机会进行管理,包括下列活动:
a) 在质量、价值、能力、成本、成果、资源利用率和风险降低等方面设置一个或者多个改进目标;
b) 确保改进活动进行优先排序、策划好实施;
c) 必要时,对信息安全/信息技术服务管理体系进行变更;
d) 针对设定的指标,测量实施的改进,指标未达到的场合,采取必要的措施;
e) 汇报实施的改进。
注:改进包括被动和主动的措施,例如纠正、纠正措施、预防措施、增强、创新和重组。
附录一:公司简介
上海辉电电力设备工程有限公司成立于2004年12月15日,主要从事为国家电网、南方电网下属各省电力公司提供通信、视频和自动化仪器仪表等设备的销售、安装、维护服务等业务。公司作为世界著名通信设备生产厂商华为、诺基亚贝尔、烽火、华三等公司产品的核心代理商,不断将业务拓展到全国电力市场。公司主要销售产品包括交换机、光传输设备、宽带接入设备、数据网络设备、软交换及IMS系统、综合复用设备等大型专业通信系统,在国内的电力通信行业有着骄人的销售业绩。公司紧跟电力行业通信信息化发展的步伐,立足传统通信业务,重点布局电力无线专网,智能电网等新兴领域,逐步开始自主研发无线专网CPE等新一代无线通信产品。公司凭借良好的信誉和售后服务赢得了客户广泛的支持和信任。
公司一贯坚持“以人为本,以科技为本,以质量为本,以服务为本”的经营理念,不断业务创新,提高企业的整体素质和综合实力,力争成为电力通信行业最优秀的设备供应商和服务提供商。产品和服务的质量是公司的生命线,为了不断完善管理工作,确保产品和服务的质量,与配套厂家建立良好的合作关系,更好地满足顾客,我公司在原质量管理工作基础上建立了符合国际标准的管理体系,确定了"一流产品、一流质量、一流服务、一流信誉”的四个一质量方针。
上海辉电电力设备工程有限公司全体员工秉承“和谐、进取、务实、创新”的企业精神,以实现客户全面满意为宗旨,做用户最满意的产品,给用户最好的服务,愿各界朋友与我们共同携手,走向未来!
公司地址:上海市长宁区仙霞路137号盛高国际大厦2201-2203室
联系方式:
邮编:200120
附录二:公司组织结构图
附录三-职能分配表
ISO 27001/ ISO 20000条文要求
| 管 理 层 | 管理者代表 | 总裁办 | 行政人事部 | 技术部 | 销售部 | 财务部 | |
4 | 组织环境 | |||||||
4.1 | 理解组织及其环境 | ▲ | △ | △ | △ | △ | △ | |
4.2 | 理解相关方的需求和期望 | ▲ | △ | △ | △ | △ | △ | |
4.3 | 确定信息安全/信息技术服务管理体系范围 | ▲ | △ | △ | △ | △ | △ | |
4.4 | 信息安全/信息技术服务管理体系 | △ | △ | △ | △ | △ | △ | |
5 | 领导力 | △ | ||||||
5.1 | 领导力和承诺 | ▲ | △ | △ | △ | △ | △ | |
5.2 | 方针 | ▲ | △ | △ | △ | △ | △ | |
5.3 | 组织的角色、职责和权限 | ▲ | ▲ | △ | △ | △ | △ | |
6 | 策划 | △ | ||||||
6.1 | 应对风险和机会的措施 | △ | ▲ | ▲ | △ | △ | △ | △ |
6.2 | 信息安全/信息技术服务目标和规划实现 | ▲ | ▲ | △ | △ | △ | △ | |
6.3 | 策划服务管理体系 | ▲ | △ | ▲ | △ | △ | △ | |
7 | 支持 | |||||||
7.1 | 资源 | ▲ | △ | △ | △ | △ | △ | |
7.2 | 能力 | △ | △ | ▲ | △ | △ | △ | △ |
7.3 | 意识 | △ | △ | ▲ | △ | △ | △ | △ |
7.4 | 沟通 | ▲ | △ | ▲ | △ | △ | △ | △ |
7.5 | 文档化的信息 | △ | △ | △ | ▲ | △ | △ | △ |
7.6 | 知识 | △ | △ | △ | ▲ | △ | △ | △ |
8 | 运行 | |||||||
8.1 | 运行策划及控制 | ▲ | ▲ | ▲ | ▲ | ▲ | ▲ | ▲ |
8.2 ISMS | 信息安全风险评估 | △ | △ | ▲ | △ | △ | △ | △ |
8.2 ITSMS | 服务组合 | △ | △ | △ | △ | ▲ | △ | △ |
8.3 ISMS | 信息安全风险处置 | △ | △ | ▲ | △ | △ | △ | △ |
8.3 ITSMS | 关系与协议 | |||||||
8.3.1 | 总则 | △ | △ | △ | ▲ | △ | △ | △ |
8.3.2 | 业务关系 | △ | △ | △ | △ | △ | ▲ | △ |
8.3.3 | 服务级别管理 | △ | △ | △ | △ | ▲ | △ | △ |
8.3.4 | 供应商关系 | △ | △ | △ | ▲ | △ | △ | △ |
8.4ITSMS | 供应与需求 | △ | △ | △ | △ | △ | △ | |
8.4.1 ITSMS | 服务预算与核算 | △ | △ | △ | △ | △ | △ | ▲ |
8.4.2 ITSMS | 需求管理 | △ | △ | △ | △ | ▲ | △ | △ |
8.4.3 ITSMS | 能力管理 | △ | △ | △ | ▲ | |||
8.5ITSMS | 服务设计、建立和转换 | △ | △ | △ | △ | ▲ | △ | △ |
8.6ITSMS | 解决和完成 | △ | △ | △ | △ | ▲ | △ | △ |
8.7 ITSMS | 服务和保障 | △ | △ | △ | △ | ▲ | △ | △ |
9 | 绩效评价 | △ | ||||||
9.1 | 监视、测量、分析和评价 | ▲ | △ | ▲ | △ | △ | △ | △ |
9.2 | 内部审核 | ▲ | ▲ | △ | △ | △ | △ | △ |
9.3 | 管理评审 | ▲ | △ | △ | △ | △ | △ | △ |
9.4 ITSMS | 服务报告 | ▲ | ||||||
10 | 改进 | △ | ||||||
10.1 | 总则 | ▲ | △ | △ | △ | △ | △ | △ |
10.2 | 不符合及纠正措施 | △ | ▲ | △ | △ | △ | △ | △ |
10.3 | 持续改进 | ▲ | △ | △ | △ | △ | △ | △ |
附录 | ||||||||
A.5 | 信息安全策略 | |||||||
A.5.1 | 信息安全/信息技术服务管理指导 | ▲ | △ | △ | △ | △ | △ | △ |
A.6 | 信息安全组织 | |||||||
A.6.1 | 内部组织 | ▲ | △ | ▲ | △ | △ | △ | △ |
A.6.2 | 移动设备和远程工作 | ▲ | △ | △ | △ | ▲ | △ | △ |
A.7 | 人力资源安全 | |||||||
A.7.1 | 任用前 | △ | △ | ▲ | △ | △ | △ | △ |
A.7.2 | 任用中 | △ | △ | ▲ | △ | △ | △ | △ |
A.7.3 | 任用的终止和变更 | △ | △ | ▲ | △ | △ | △ | △ |
A.8 | 资产管理 | △ | △ | |||||
A.8.1 | 有关资产的责任 | △ | △ | ▲ | △ | ▲ | ▲ | ▲ |
A.8.2 | 信息分级 | △ | △ | ▲ | △ | ▲ | ▲ | ▲ |
A.8.3 | 介质处理 | △ | △ | ▲ | ▲ | ▲ | ▲ | ▲ |
A.9 | 访问控制 | △ | ||||||
A.9.1 | 访问控制的业务要求 | △ | △ | ▲ | △ | △ | △ | △ |
A.9.2 | 用户访问管理 | △ | △ | △ | ▲ | △ | △ | ▲ |
A.9.3 | 用户责任 | △ | △ | ▲ | ▲ | ▲ | ▲ | ▲ |
A.9.4 | 系统和应用访问控制 | △ | △ | ▲ | △ | ▲ | △ | ▲ |
A.10 | 密码 | |||||||
10.1 | 密码控制 | 删减 | ||||||
A.11 | 物理和环境安全 | △ | △ | |||||
A.11.1 | 安全区域 | △ | △ | △ | ▲ | ▲ | ▲ | ▲ |
A.11.2 | 设备 | △ | △ | △ | ▲ | △ | △ | △ |
A.12 | 运行安全 | △ | △ | |||||
A.12.1 | 运行规程和责任 | △ | △ | △ | ▲ | △ | △ | △ |
A.12.2 | 恶意软件防范 | △ | ▲ | ▲ | ▲ | ▲ | ▲ | ▲ |
A.12.3 | 备份 | △ | △ | △ | ▲ | ▲ | ▲ | △ |
A.12.4 | 日志和监视 | △ | △ | △ | ▲ | △ | △ | △ |
A.12.5 | 运行软件的控制 | △ | △ | △ | ▲ | △ | △ | △ |
A.12.6 | 技术方面的脆弱性管理 | △ | △ | △ | ▲ | △ | △ | △ |
A.12.7 | 信息系统审计的考虑 | △ | △ | △ | ▲ | △ | △ | △ |
A.13 | 通信安全 | |||||||
A.13.1 | 网络安全管理 | △ | △ | △ | ▲ | △ | △ | △ |
A.13.2 | 信息传输 | △ | △ | △ | ▲ | △ | △ | △ |
A.14 | 系统获取、开发和维护 | △ | ||||||
A.14.1.1 | 信息系统的安全要求分析和说明 | △ | △ | △ | ▲ | △ | △ | △ |
A.14.1.2 | 公共网络上应用服务的安全 | 删减 | ||||||
A.14.1.3 | 应用服务事务的保护 | |||||||
A.14.2 | 开发和支持过程中的安全 | |||||||
A.14.3 | 测试数据 | ▲ | ||||||
A.15 | 供应商关系 | |||||||
A.15.1 | 供应商关系中的信息安全 | △ | △ | △ | ▲ | △ | △ | |
A.15.2 | 供应商服务交付管理 | △ | △ | △ | ▲ | △ | △ | |
A.16 | 信息安全事件管理 | |||||||
A.16.1 | 信息安全事件的管理和改进 | △ | ▲ | △ | ▲ | △ | △ | △ |
A.17 | 业务连续性管理的信息安全方面 | △ | ||||||
A.17.1 | 信息安全的连续性 | △ | △ | △ | ▲ | △ | △ | △ |
A.17.2 | 冗余 | △ | △ | △ | ▲ | △ | △ | ▲ |
A.18 | 符合性 | △ | ||||||
A.18.1 | 符合法律和合同要求 | △ | ▲ | ▲ | △ | △ | △ | △ |
A.18.2 | 信息安全评审 | △ | ▲ | △ | △ | △ | △ | △ |
附录四-《信息安全/信息技术服务》管理职责表
序号 | 单位/部门 | 信息安全/信息技术服务职责 |
1 |
总经理 | 《信息安全/信息技术服务》第一责任人,制定《信息安全/信息技术服务》方针,对《信息安全/信息技术服务》全面负责。 组织制定并批准《信息安全/信息技术服务》管理方针、《信息安全/信息技术 服务》目标和计划。 为发展、贯彻、运行和保持 ISMS/ITSMS提供充足的资源为员工提供所需的资源、 培训,并赋予其职责范围内的自主权。 负责任命管理者代表,并定期进行管理评审。 决定风险的可接受水平。 负责批准公司信息安全管理手册管理评审计划。 |
2 | 管理者代表 | 负责建立、实施、检查、改进《信息安全/信息技术服务》管理体系(具体见《管理者代表授权书》)。负责组织编写信息安全/信息技术服务手册和程序文件,审核支持性作业文件。 |
3 | 总裁办 | 负责协助管理者代表对管理体系的建立、实施、保持、测量和改进;内负责协助管理者代表部审核的组织、管理评审的组织和体系的改进。 负责本公司保密工作的管理。 组织信息资产的识别,进行风险评估。 负责协调信息安全/信息技术服务管理体系的各项工作,负责管理体系运行的监督落实。 负责制定风险处理计划,并监督检查计划执行情况,负责确认残余风险。 负责拟定公司信息安全/信息技术服务管理体系“适用性声明”。 |
4 | 总裁办(人事) |
负责公司人员安全管理,包括人员聘用管理,保密协议签署,员工的能力、意 识和培训,员工离职管理。
|
5 |
(行政) | 负责文件控制、记录控制、 负责安全区域的管理。负责涉密信息上网、计算机检修、报废的监督管理。参与涉密及司法介入的信息安全事件的调查。 负责《信息安全/信息技术服务》管理体系的运行工作。负责公司物料采购中的信息安全管理。 负责对内产品验收:面向内部,以产品质量为导向,保证交付。 负责对外产品采购、验收:面向友商、供应厂商,做好甲方工作。 负责公司信息系统安全日常管理。 负责技术管理过程的信息安全管理。 负责对影响我公司业务连续性的信息系统隐患进行管理。 负责对公司在经营过程中产生的数据进行备份和保护。 负 责公司计算机相关设备的运行维护和管理。 负责本部门职责范围内的信息安全管理体系运行工作。 负责对用户访问网络实施授权管理,防止非授权用户非法入侵公司信息系统。 负责对网络的运行情况进行监控。 负责局域网上所承担的各类信息系统的管理职能。 负责对网络设备的严格控制,以及网络服务的管理。 |
6 |
技术部 | 负责公司的系统机场项目的实施和管理。 负责公司的运维项目的实施和管理。 负责项目中的风险识别和风险管理。 |
7 | 财务部 | 会计核算、资金管理、成本控制、内部控制、年月报等; 从财务状态监视公司信息安全管理体系运行及信息安全目标实现状态; 负责控制、管理顾客财产; 负责做好原辅材料、成品运输的防护; 组织供方评定与选择,并负责采购控制,保证采购的原材料符合规定要求。 |
8 | 销售部 | 1)定期组织市场调研,收集市场信息,分析市场动向、特点和发展趋势。 2)完成公司下达的销售任务为目的,确定销售目标,制定销售计划。 3)制定销售管理制度、工作程序,并监督贯彻实施 4)负责销售合同的签署并配合财务部做好资金回收工作。 5)负责对外广告,销售用品的制作、质量管理及合同审定工作。 |
附录五:
1.项目执行流程图附录六:
2.系统集成项目流程
会 员
中 心
服务热线:400-0000-000
服务邮箱:
Service@brilliance-tech.cn
_fg2d.png)
