6.2 中确定的信息安全/信息技术服务目标。

a) 基于要求，建立绩效标准的过程；

b) 按照建立的绩效标准，实施过程控制；

c）本公司应保存相关的文档化信息，以保证过程已按照计划完成。

组织应控制计划内的变更并评审非计划变更的结果，必要时，采取措施以减轻任何不良影响。 组织应确保外包过程被确定和受控，公司识别云服务、电信为外包过程。

8.2a）信息安全风险控制过程

8.2.1 a）信息安全风险评估

1、识别风险

在已确定的信息安全管理体系范围内，按照计划，或者在重大改变提出或发生时进行信息安全风险评估，本公司执行《信息安全风险评估管理程序》，对所有的资产进行列表识别，并识别这些资产的所有者。资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按信息分类、保密性、完整性、可用性要求进行了量化赋值，形成《资产清单》。

同时，根据《信息安全风险评估管理程序》，识别对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。

2、分析和评价风险

本公司按《信息安全风险评估管理程序》，分析和评价风险：

a)针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值；

b)针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全失效发生的可能性，并进行赋值；

c)根据《信息安全风险评估管理程序》计算风险等级；

d)根据《信息安全风险评估管理程序》中的风险接受准则，判断风险为可接受或需要处理。

8.2.2a）信息安全风险处置

公司根据风险评估的结果，形成《风险处理计划》，计划明确风险处理责任部门、负责人、处理方法及起始、完成时间。公司根据计划进行了处置，并保持处置的记录。对风险处理后的剩余风险，应得到相应管理者的批准。

8.2b) ITSMS服务组合

8.2.1 b) 服务交付

组织应运营ITSMS，以确保活动和资源的协调。组织应执行提供服务所需的活动。注：服务组合用于管理所有服务的整个生命周期，包括建议的服务，开发中的服务，服务目录中定义的现有服务以及计划下线的服务。服务组合的管理确保服务提供方具有适当的服务组合。本标准中的服务组合活动包括规划服务、服务生命周期中所涉及各方的控制、服务目录管理、资产管理和配置管理。

8.2.2 b) 策划服务

确定和记录现有服务、新服务和服务变更的服务要求。组织应根据组织、客户、用户和其他相关方的需求确定服务的重要性。组织应确定和管理服务之间的依赖关系和副本。组织应根据需要提出变更，以使服务与服务管理方针、服务管理目标和服务要求保持一致，同时考虑已知的约束和风险。组织应考虑变更请求和新服务或变更服务提议的优先级，以便与业务需求和服务管理目标保持一致，同时考虑可用资源。