8.6.3 问题管理

组织应分析事件数据和趋势，以识别问题。组织应进行根本原因分析和确定潜在的措施，以阻止事件的出现或者再出现。

问题应：

a) 记录和分类；

b) 优先排序；

c) 需要时升级；

d) 可能发生时进行解决；

e) 关闭。

问题记录应根据采取的措施进行更新。问题解决的所需变更应依据变更管理方针进行管理。

根本原因已经识别，但问题没有永久解决时，组织应确定降低和消除问题对服务影响的措施。已知错误应予以记录。适用时，已知错误的最新信息和问题解决方案应对其他服务管理活动可用。

按照策划的时间间隔，问题解决方案的有效性应予以监测、评审和报告。

8.7 ITSMS服务保障

8.7.1 服务可用性管理

按照策划的时间间隔，与服务可用性有关的风险应予以评估和保留文件化信息。组织应确定服务可用性要求

和目标。协定的要求应考虑相关的业务要求、服务要求、服务等级协议和风险。

服务可用性的要求和目标应保留文件化信息并维护。

服务可用性应予以监测，记录结果与目标作比较。非策划的不可用应予以调查和采取必要的措施。

注：6.1 中识别的风险为服务可用性、连续性和信息安全提供了输入。

8.7.2 服务连续性管理

按照策划的时间间隔，与服务连续性有关的风险应予以评估和保留文件化信息。组织应确定服务连续性要求。

协定的要求应考虑相关的业务要求、服务要求、服务等级协议和风险。

组织应建立、实施和维护一个或者多个业务连续性策划。业务连续性策划应包括或引用下列内容；

a) 激活服务连续性的标准和职责；

b) 在重大服务事件丢失时实施的程序；

c) 激活服务连续性策划时的可用性目标；

d) 服务恢复要求；

e) 返回正常工作条件的程序。

正常服务位置访问被组织时，服务连续性策划和联系人清单应有可访问的渠道。

按照策划的时间间隔，服务连续性策划应按照服务连续性要求进行测试。服务环境有重大变更后，服务连续性策划应重新测试。测试的结果应予以记录。每次测试后和服务连续性策划后，应实施评审，发现有缺陷或不足时。组织应采取必要的措施。

服务连续性策划已经激活时，组织应报告原因，影响和恢复活动。

9. 绩效评价

9.1  监视、测量、分析和评价

a)  总裁办应按ISMS/ITSMS体系文件的有关规定对ISMS/ITSMS的运行情况进行适宜的监控和评审,并及时对所发现的不符合进行整改,以便迅速从处理结果中发现错误及时识别安全破坏事故,不论其是否成功；使公司管理层确定员工的信息安全/信息技术服务活动或通过信息技术实施的信息安全及服务活动是否达到了所期望的目标；利用指标来帮助发现安全事件及服务事件、问题，从而防止安全事故及服务事件的发生；确定为解决破坏安全及服务问题所采取的措施是否有效。