1 范围

1.1 总则

为建立、实施、运行、监视、评审、保持和改进文件化的信息安全/信息技术服务管理体系，确定信息安全/信息技术服务方针和目标，对信息安全/信息技术服务风险进行有效管理，确保全体员工理解并遵照执行信息安全/信息技术服务管理体系文件、持续改进信息安全/信息技术服务管理体系的有效性，特制定本手册。

1.2 应用

1.2.1 覆盖范围

本《信息安全/信息技术服务管理手册》规定了上海辉电电力设备工程有限公司信息安全管理体系涉及的:与网路通信设备的销售；信息系统集成及维护服务相关的信息安全管理活动;信息技术服务管理体系涉及的：计算机信息系统软、硬件运维所涉及的信息技术服务管理活动，具体见4.3条款规定。

1.2.2 删减说明

本《信息安全/信息技术服务管理手册》采用了GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC 20000:2018《信息技术-服务管理-服务管理体系-要求》正文的全部内容，对标准条款无删减，对ISO/IEC 27001:2013附录A的删减及理由详见《信息安全适用性声明SOA》。

2 规范性引用文件

下列文件中的条款通过引用而成为本手册的条款。凡是标注日期的引用文件，其随

后所有的修改单或修订版均适用于本手册，然而，相关部门应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。 

ISO/IEC 27000《信息技术-安全技术-信息安全管理体系-概述和词汇》

ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》

ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实用规则》

ISO/IEC 20000-1: 2018 《信息技术-服务管理体系-要求》

ISO/IEC 20000-2:2005 《信息技术-服务管理实施指南》

ISO/IEC 20000-3:2009 《信息技术-服务管理范围定义和适用性指南》

ISO/IEC 20000-5:2018 《信息技术-服务管理实施策划示例》

3 术语和定义

3.1 术语

ISO/IEC 27000《信息技术-安全技术-信息安全管理体系-概述和词汇》、ISO/IEC 20000-1: 2018 《信息技术-服务管理体系-要求》、ISO20000-2:2018《信息技术服务管理实施指南》、ISO/IEC 20000-5:2018