《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC 20000:2018《信息技术-服务管理-服务管理体系-要求》的要求，结合本公司的业务活动和风险的实际情况建立、保持并持续改进信息安全/信息技术服务管理体系。

最高管理者应确定与本公司信息安全及信息技术服务目标和战略方向相关并影响实现信息安全及信息技术服务管理体系预期结果的各种内部问题（公司的价值观、文化、知识、绩效等相关因素）和外部问题（国际、国家、地区和当地的各种法律法规、技术、竞争、文化和社会因素等）。这些问题可以包括需要考虑的正面和负面因素或条件。

本公司定期对这些内部和外部问题的相关信息进行监视和评审，以确保其充分和适宜。

4.2理解相关方的需求和期望

本公司根据相关方提出的信息安全/信息技术服务的需求和期望，考虑建立信息安全/信息技术服务管理体系，包括以下相关方：

--顾客；

--最终用户或受益人；

--业主，股东；

--银行；

--外部供应商；

--雇员及其他为公司工作者；

--法律法规及监管机关；

--地方社区团体；

--非政府公司等。

相关方需求包括：法律法规、地方规定、合同义务等。

4.3确定信息安全/信息技术服务管理体系范围

本公司根据业务特征、组织结构、地理位置、资产和技术确定了范围和边界：

a) 组织结构：已在附录组织机构图进行了定义；

b) 业务办公地理位置：上海市长宁区仙霞路137号盛高国际大厦2201-2203室；

c) ISMS/ITSMS的边界是：上海市长宁区仙霞路137号盛高国际大厦2201-2203室；

d)  ISMS的范围是：上海辉电电力设备工程有限公司所涉及的与网路通信设备的销售；信息系统集成及维护服务相关的信息安全管理活动；

ITSMS的范围是：上海辉电电力设备工程有限公司所涉及的计算机信息系统软、硬件运维所涉及的信息技术服务管理活动；

e) 本《信息安全/信息技术服务管理手册》采用了GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC 20000:2018《信息技术-服务管理-服务管理体系-要求》正文的全部内容，对标准条款无删减，对ISO/IEC 27001:2013附录A的删减及理由详见《信息安全适用性声明SOA》。

4.4 信息安全/信息技术服务管理体系及其过程

本公司的信息安全/信息技术服务管理体系按照ISO/IEC 27001:2013