手册信息安全管理体系手册

信息安全管理 IT 服务管理体系手册发布令本公司按照 ISO20000:2005 信息技术服务管理规范和ISO27001 ：2005 信息安全管理体系要求以及本公司业务特点编制信息安全管理&IT服务管理体系手册，建立与本公司业务相一致的信息安全与IT 服务管理体系，现予以颁布实施。本手册是公司法规性文件， 用于贯彻公司信息安全管理方针和目标，贯彻 IT服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理，开展持续改进服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺，通过有效的 PDCA 活动向顾客提供满足要求的信息安全管理和 IT 服务。本手册符合有关信息安全法律法规要求以及ISO20000:2005 信息技术服务管理规范、ISO27001 ：2005信息安全管理体系要求 和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针， 根据ISO20000:2005 信息技术服务管理规范和ISO27001 ：2005 信息安全管理体系要求 的要求任命 XXXXX 为管理者代表， 作为本公司组织和实施 “信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。全体员工必须严格按照 信息安全管理 &IT 服务管理体系手册 要求，自觉遵守本手册各项要求，努力实现公司的信息安全与IT 服务的方针和目标。管理者代表职责：a) 建立服务管理计划；b) 向组织传达满足服务管理目标和持续改进的重要性；e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新；1 确保按照 ISO207001:2005标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；按照ISO/IEC 20000信息技术服务管理规范的要求，组织相关资源，建立、实施和保持IT 服务管理体系，不断改进IT 服务管理体系，确保其有效性、适宜性和符合性。2 负责与信息安全管理体系有关的协调和联络工作；向公司管理层报告IT 服务管理体系的业绩，如：服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。3 确保在整个组织内提高信息安全风险的意识；4 审核风险评估报告、风险处理计划；5 批准发布程序文件；6 主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。7推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度，以及为达到公司服务管理目标所应做出的贡献。总经理：日期：信息安全方针和信息安全目标信息安全方针： 信息安全人人有责本公司信息安全管理方针包括内容如下：一、信息安全管理机制1 公司采用系统的方法，按照ISO/IEC 27001:2005建立信息安全管理体系，全面保护本公司的信息安全。二、信息安全管理组织2 公司总经理对信息安全工作全面负责，负责批准信息安全方针，确定信息安全要求，提供信息安全资源。3 公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性。4 在公司内部建立信息安全组织机构，信息安全管理委员会和信息安全协调机构，保证信息安全管理体系的有效运行。5 与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全管理的支持。三、人员安全6 信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整安全职责和权限。7 对本公司的相关方，要明确安全要求和安全职责。8 定期对全体员工进行信息安全相关教育，包括：技能、职责和意识。以提高安全意识。9 全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全措施。四、识别法律、法规、合同中的安全10 及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施，保证满足安全要求。五、风险评估11 根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。12 采用先进的风险评估技术和软件，定期进行风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。13 应根据风险评估的结果，采取相应措施，降低风险。六、报告安全事件14 公司建立报告信息安全事件的渠道和相应的主管部门。15 全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任，一旦发现信息安全事件，应立即按照规定的途径进行报告。16 接受信息安全事件报告的主管部门应记录所有报告，及时做出相应的处理，并向报告人员反馈处理结果。七、监督检查17 定期对信息安全进行监督检查，包括：日常检查、专项检查、技术性检查、内部审核等。八、业务持续性18 公司根据风险评估的结果， 建立业务持续性计划， 抵消信息系统的中断造成的影响，防止关键业务过程受严重的信息系统故障或者灾难的影响，并确保能够及时恢复。19 定期对业务持续性计划进行测试和更新。九、违反信息安全要求的惩罚20 对违反信息安全方针、职责、程序和措施的人员，按规定进行处理。信息安全目标：1.不可接受风险处理率： 100%（所有不可接受风险应降低到可接受的程度）。2.重大顾客因信息安全事件投诉为0 次（重大顾客投诉是指直接经济损失金额达1 万元以上）1 信息安全管理手册说明11 公司简介XX编制依据和目的本手册在遵循 ISO9001 ：2005 信息安全管理体系要求与 ISO/IEC 20000信息技术服务管理规范的要求编制而成，包括了 ISO27001 ：2005 的全部要求， 对附录 A 的删减见适用性声明 SoA 。手册描述公司的信息安全管理体系的总要求，以确保公司的信息安全管理体系能够达到ISO27001 ： 2005信息安全管理标准的要求；满足 本公司向客户提供 IT 服务所需的 IT 基础设施和 IT 技术支持服务， 适用于向客户或认证机构证实，本公司具备提供符合客户需求的IT 服务能力和服务质量。本公司的体系程序是手册的支持性文件，是对体系运作的具体描述。适用范围信息安全管理 &IT 服务管理体系手册适用于本公司提供安全管理体系认证服务与IT 服务有关的所有部门和活动。1 3 术语和定义1 3 1 本手册应用ISO/IEC 20000中的术语及定义。1 3 2 本手册应用ISO/IEC27001中的术语及定义。2 信息安全管理 &IT 服务管理手册的管理2 1 手册的编制、批准和发布2 1 1 按照公司业务发展战略和客户需求，经公司管理者代表批准，技术服务事业部组织相关人员，结合本公司业务特点，根据ISO/IEC 20000标准的要求编写。2 1 2 IT 服务管理手册由公司管理者代表批准后发布。2 2 手册的分发2 2 1 技术服务事业部负责手册的发放、更新、管理与存档。2 2 2 公司各部门负责手册的使用和保管。2 3 手册的受控状态2 3 1 书面形式的手册分“有效文件”和“保留文件”两种形式。作为公司日常运营的依据及提供给外部认证机构的手册均为“有效文件”形式。2 3 2 当手册内容变更时，“有效文件”形式的手册应及时予以更新和发放。2 3 3“有效文件”形式的文件在更新后，如需保存原来的版本，以便于追溯，则应当用“保留文件”的标识予以区分。2 3 4 电子形式的手册由技术服务事业部在工作流转系统中进行管理。2 4 手册的变更2 4 1 因公司战略调整、客户需求或改进活动等引起的手册内容的变更，按公司总经理指示，技术服务事业部组织相关部门对涉及变更的内容进行更新，并经公司总经理批准后发布。2 4 2 更新后的手册，应及时地发放给公司内部原手册持有者，并收回旧版的手册。对电子形式的手册，由技术服务事业部按工作流转系统中的管理规则进行更新和归档管理。2 5 公司内部手册持有者的责任2 5 1 与公司或部门内部的相关人员沟通、学习手册的要求并遵照执行。2 5 2 妥善保管，不得私自更改、曲解手册的内容。不得随意向其他与公司业务无关的第三方传播，如需提供公司以外的第三方参考，应经技术服务事业部提交公司主管副总经理审核后，报公司总经理批准。3 公司架构和安全承诺公司行政组织架构总 经 理生技部质管部商务部综合管理部公司信息安全管理体系组织架构图总 经 理注：每个虚线框内为一个信息安全小组，部门的负责人为安全组长，各岗位负责人为该岗位的安全员。安全委员会副管理者代表33 公司 IT 服务管理职能关系架构图信息安全承诺公司成立安全管理委员会来领导信息安全工作，并确定相应的职责和作用。制订信息安全方针和信息安全目标，建立和完善公司的信息安全管理体系。生技部 质管部 商务部 综合管理部提供充分的资源以保证信息安全管理体系的制定、实施、运作、监控、维护和改善。对公司信息资产实行有效管理，确保信息的机密性，维持信息的完整性和可用性，防范对信息的未经授权访问。对公司信息资产进行风险评估，制定风险可接受标准，对公司不能接受的风险进行处置。建立业务持续性管理流程。进行业务持续性风险评估，编写、测试并实施业务持续性研实质测客销物财人计划和灾难恢复计划，以保证公司关键业务的连续，不受重大故障和灾难的影响。确保公司所有员工都接受信息安全的教育培训，提高信息安全意识。务力发施量试户售流保护公司、客户、相关合作方的信息安全。建立公司信息安全组织架构，明确信息安全责任，确定报告可疑的和发生的信息安全事故及事件的流程，对违反安全制度的人员进行惩罚。建立物理安全和网络安全管理制度，以确保信息的安全性。保护公司软件和信息的完整性，防止病毒与各种恶意软件的入侵。任何人在未经审批的情况下，禁止将信息资产带离公司。 采仓培公司所有员工都要严格遵守公司的安全方针、程序和制度。购库训控制对内外部网络服务的访问，保护网络服务的安全性与可用性。对用户账号、口令和权限进行严格管理，防止对信息系统的非授权访问。对重要信息进行备份保护，以保证信息的可用性。定期对信息安全管理体系进行内审和管理评审。信息安全管理委员会为了加强对信息安全管理体系运作的管理，江苏金马扬名信息技术有限公司公司成立信息安全管理委员会，其职责见下列明细表。文档信息安全管理职责明细表序号单位/部门信息安全职责信息安全信息安全管理委员会是我公司信息安全最高组织机构，负责本单位网1管理委员会络与信息安全重大事项的决策和协调，并对全公司信息安全工作负责。2总经理信息安全第一责任人，制定信息安全方针，对信息安全全面负责。3管理者代表经总经理授权负责建立、实施、检查、改进信息安全管理体系。我公司信息安全管理体系的归口管理部门。1. 负责管理体系的建立、实施、保持、测量和改进。2. 负责文件控制、记录控制、内部审核的组织、管理评审的组织和体系的改进。3. 负责本公司保密工作的管理。4. 安全区域的保卫管理部门，负责安全区域的管理。4 综合管理部5. 负责全公司人员安全管理，包括人员聘用管理，保密协议签署，员工的能力、意识和培训，员工离职管理。6. 负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。7. 对信息安全日常工作实施动态考核，将信息安全管理作为企业管理的重要工作内容。8. 参与涉密及司法介入的信息安全事件的调查。是我公司信息系统安全管理部门。5生产技术部负责局域网上所承担的各类信息系统的管理职能；负责我公司信息系统安全日常管理。认真执行信息安全管理的方针、标准、安全策略和规范，做好内部培6其他部门训。备注：以上职能划分，适用所有信息安全管理体系文件。信息安全管理委员会组成人员：姓名部门职务备注3 6 服务管理职能说明3 6 1 为保证 IT 服务管理体系的顺利实施，以及实施后得到持续的管理和维护，在现有的组织架构外建立服务管理职能关系架构。IT 服务管理职能关系架构，并不替代现有的按技术类别进行的分工，现有的按技术类别进的分工，在将来的IT 服务管理体系中仍将发挥其作用。服务部根据IT 服务管理程序要求对所有服务合同按照项目进行管理与运行，由项目经理按照服务管理职能关系架构中的要求对项目执行管理。一个完整的服务项目必须包含服务台、事件管理、业务关系管理、信息安全管理、 供应商管理和IT 财务管理。 对于上图虚线框内的的问题管理、发布管理、 配置管理、变更管理、可用性和连续性管理、容量管理、服务级别管理以及服务报告可由服务部经理依照与用户签署的服务合同进行选择裁剪。3 6 2 角色分配说明3 6 2 1 针对服务部当前组织架构及人员状况，将不再为每一具体流程分配流程经理。为此将13 个流程，按其必要程度分成必选流程和可裁剪流程两大模块。由项目经理负责相应流程的实施、管理和控制。对项目组成员主要是组织、协调、安排相应工作任务的完成，可能并不是由自己去完成。36 21 1 项目经理职责说明：1 ）、负责 IT 服务项目的立项工作，按照服务合同要求负责相应流程的实施、管理和控制。组织、协调、安排项目组成员完成相应工作任务。2 ）、负责从服务台接受事件报告开始，分配相应的职能小组进行事件处理，直至找到问题的根本原因的整个过程的管理和协调。3 ）、负责各系统的配置管理、变更和发布控制。4 ）、负责系统的可用性规划和管理、负责安排系统连续性的计划和演练，并负责系统容量的规划和监控。5 ）、主要负责与用户的沟通，对供应商的管理，以及项目的预/ 决算的管理。36 21 2 能力要求：熟悉服务部的各种服务管理流程，具有较强的内部协调能力。由管理者代表授权技术服务事业部总监，按ISO/IEC 20000的要求，负责协调和组织所有与IT 服务有关的活动，通过管理和实施各项活动，使IT 服务业务的质量得到有效的保持和维护。技术服务事业部组织制订、批准和发布公司IT 服务策略、服务目标，并使其成为公司关注的焦点，成为公司协调、统一、凝聚公司的所有活动和资源的准则，成为建立、实施、保持并改进IT 服务管理体系的宗旨。3 6 3 公司IT 服务策略：客户至上、全员参与、创新高效、系统管理、追求卓越公司IT 服务目标：公司通过服务质量改进程序确定年度服务质量目标公司的 IT 服务目标按ISO/IEC 20000的要求，与公司的业务相结合，并通过流程绩效不断提高和改进。技术服务事业部负责组织相关部门，通过会议、评审、书面报告、培训等方式，及时有效沟通工作，达到 IT 服务管理目标和持续改进的需求，并在公司中积极贯彻实施IT 服务管理的重要性。技术服务事业部负责组织相关部门按照PDCA 的要求，通过对所属业务的规划，适时优化和提供资源以计划、实施、监控、评审和改进IT 服务的交付和管理。管理者代表按照服务质量改进管理程序中的计划间隔，由技术服务事业部负责组织相关部门实施IT服务管理体系的内部审核，确保IT 服务管体系的有效性与符合性。管理者代表按照服务质量改进管理程序中的计划间隔，组织相关部门执行IT 服务管理体系的管理评审，确保IT 服务管理体系持续的稳定、充分和有效。364 文件要求3 6 4 1 公司的文件管理体系分为A 、 B 、 C、 D 四层，即A 层为管理手册、B 层为程序文件、C 层为工作流程或规定、D 层为记录。3 6 4 2 管理手册描述 IT 服务管理体系的文件，是全体员工必须长期遵循的法规性文件。3 6 4 3 程序文件覆盖公司主要业务过程的流程文件，是管理手册的支撑性文件。3 6 4 4 工作流程或规定是开展具体业务工作的规范类、指导性文件，是程序文件的支持性文件。3 6 4 5 记录 在开展具体业务工作过程中产生的记录类文件，主要是为具体工作结果提供各种可追溯性证据。3 6 4 6 技术服务事业部负责组织制订文件和记录管理程序，明确文件的拟制、批准、发放、变更、存档等管理要求，并监控实施。3 6 4 7 技术服务事业部负责组织相关部门，根据公司的业务特点及标准的要求，制订相关的程序文件，经公司管理者代表批准后实施。3 6 4 8 技术服务事业部负责组织拟制与本部门业务相关的各类C 层文件，并按文件和记录管理程序的要求对文件和记录的有效性进行管理。4 信息安全管总要求4.1.1公司根据整体业务活动（软件开发、经营、服务和日常管理活动）和所面临的风险，按 ISO/IEC 27001:2005 信息技术 - 安全技术 - 信息安全管理体系 - 要求规定，参照 ISO/IEC 27002:2005 信息技术 - 安全技术 - 信息安全管理实用规则标准，建立、实施、运作、监控、维护并改进文件化的信息安全管理体系。4.1.2 本手册使用的过程基于PDCA 模式。相关文件：信息安全方针及目标建立和管理信息安全管理体系（ISMS ）4.2.1 建立 ISMS4.2.1.1信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界，本公司信息安全管理体系的范围包括：a) 本公司涉及软件开发、营销、服务和日常管理的业务系统；b) 与所述信息系统有关的活动；c) 与所述信息系统有关的部门和所有员工；d) 所述活动、系统及支持性系统包含的全部信息资产。组织范围：本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围，见本手册JIN/QM 公司信息安全管理体系组织架构。物理范围：本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。本公司 ISMS 的物理范围为本公司位于 xxxxxxxxxxxxxxx 的办公场所，安全边界详见附录 A（规范性附录）办公场所平面图 。4.2.1.2信息安全管理体系的方针为了满足适用法律法规及相关方要求，维持软件开发和经营的正常进行，实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针，见本信息安全管理手册第条款。该信息安全方针符合以下要求：a) 为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；b) 考虑业务及法律或法规的要求，及合同的安全义务；c) 与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系；d) 建立了风险评价的准则；e) 经最高管理者批准。为实现信息安全管理体系方针，本公司承诺：a) 在各层次建立完整的信息安全管理组织机构，确定信息安全目标和控制措施；明确信息安全的管理职责，见本信息安全管理手册第条款。；b) 识别并满足适用法律、法规和相关方信息安全要求；c) 定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体系的持续有效性；d ）采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；e) 对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；f) 制定并保持完善的业务连续性计划，实现可持续发展。4.2.1.3风险评估的方法生技部负责制定信息安全风险管理程序，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。信息安全风险评估采用信息安全风险管理软件（ Info-riskmanager ）进行，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。4.2.1.4识别风险在已确定的信息安全管理体系范围内，本公司按信息安全风险管理程序，采用Info-riskmanager风险管理软件，对所有的资产进行了识别，并识别了这些资产的所有者。资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值，根据重要资产判断依据确定是否为重要资产，形成了重要资产清单。同时，根据信息安全风险管理程序，识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。4.2.1.5分析和评价风险本公司按信息安全风险管理程序，采用信息安全风险管理软件，分析和评价风险：a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值；b) 针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全失效发生的可能性，并进行赋值；c) 根据信息安全风险管理程序计算风险等级；d) 根据信息安全风险管理程序及风险接受准则，判断风险为可接受或需要处理。4.2.1.6识别和评价风险处理的选择网络管理部组织有关部门根据风险评估的结果，形成风险处理计划，该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：a) 控制风险，采用适当的内部控制措施；b) 接受风险（不可能将所有风险降低为零）；c) 避免风险（如物理隔离）；d) 转移风险（如将风险转移给保险者、供方、分包商）。4.2.1.7 选择控制目标与控制措施网络管理部根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定了信息安全目标，并将目标分解到有关部门（见信息安全适用性声明）：a)信息安全控制目标获得了信息安全最高责任者的批准。b) 控制目标及控制措施的选择原则来源于 ISO/IEC 27001:2005 信息技术 - 安全技术 -信息安全管理体系 - 要求附录 A ，具体控制措施参考ISO/IEC27002:2005 信息技术 - 安全技术 - 信息安全管理实用规则。c)本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。4.2.1.8对风险处理后的剩余风险，得到了公司最高管理者的批准。4.2.1.9最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。4.2.1.10适用性声明生技部负责编制信息安全适用性声明（SoA ）。该声明包括以下方面的内容：a)所选择控制目标与控制措施的概要描述，以及选择的原因；b) 对 ISO/IEC 27001:2005 附录 A 中未选用的控制目标及控制措施理由的说明。4.2.2 实施和运行 ISMS4.2.2.1为确保信息安全管理体系有效实施，对已识别的风险进行有效处理，本公司开展以下活动：a)形成风险处理计划，以确定适当的管理措施、职责及安全控制措施的优先级；b) 为实现已确定的安全目标、实施风险处理计划，明确各岗位的信息安全职责；c)实施所选择的控制措施，以实现控制目标的要求；d) 确定如何测量所选择的控制措施的有效性， 并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果；e)进行信息安全培训，提高全员信息安全意识和能力；f) 对信息安全体系的运作进行管理；g) 对信息安全所需资源进行管理；h) 实施控制程序，对信息安全事件（或征兆）进行迅速反应。4.2.2.2信息安全组织机构本公司成立了的信息安全领导机构- 信息安全委员会，其职责是实现信息安全管理体系方针和本公司承诺。具体职责是：研究决定贯标工作涉及到的重大事项；审定公司信息安全方针、目标、工作计划和重要文件；为贯标工作的有序推进和信息安全管理体系的有效运行提供必要的资源。本公司由相关部门代表组成信息安全管理网络，采用联席会议（协调会）的方式，进行信息安全协调和协作，以：a) 确保安全活动的执行符合信息安全方针；b) 确定怎样处理不符合；c) 批准信息安全的方法和过程，如风险评估、信息分类；d) 识别重大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露；e) 评估信息安全控制措施实施的充分性和协调性；f) 有效的推动组织内信息安全教育、培训和意识；g) 评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适当的措施。4.2.2.3 信息安全职责和权限本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职责如何，对信息安全负有以下职责：a) 建立并实施信息安全管理体系必要的程序并维持其有效运行；b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全领导小组或最高责任者报告。各部门负责人为本部门信息安全管理责任者， 全体员工都应按保密承诺的要求自觉履行信息安全保密义务；各部门、人员有关信息安全职责分配见本信息安全管理手册第条款信息安全管理职责明细表和相应的程序文件。4.2.2.4各部门应按照信息安全适用性声明中规定的安全目标、控制措施（包括安全运行的各种控制程序）的要求实施信息安全控制措施。4.2.3 监控和评审 ISMS4.2.3.1本公司通过实施不定期安全检查、内部审核、事故（事件）报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：a)及时发现处理结果中的错误、信息安全体系的事故（事件）和隐患；b) 及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；c)使管理者确认人工或自动执行的安全活动达到预期的结果；d) 使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；e)积累信息安全方面的经验;4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈，由总经理主持，每年至少一次对信息安全管理体系的有效性进行评审，其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审，考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。管理评审的具体要求，见本手册第7 章。4.2.3.3网络管理部应组织有关部门按照信息安全风险管理程序的要求，采用信息安全风险管理软件，对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：a) 组织；b) 技术；c) 业务目标和过程；d) 已识别的威胁；e) 实施控制的有效性；f) 外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。4.2.3.4按照计划的时间间隔进行信息安全管理体系内部审核，内部审核的具体要求，见本手册第 6 章。4.2.3.5定期对信息安全管理体系进行管理评审，以确保范围的充分性，并识别信息安全管理体系过程的改进，管理评审的具体要求，见本手册第7 章。4.2.3.6 考虑监视和评审活动的发现，更新安全计划。4.2.3.7 记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。4.2.4 保持与持续改进ISMS我公司开展以下活动，以确保信息安全管理体系的持续改进：a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目；b) 按照内部审核管理程序、纠正措施管理程序、预防措施管理程序的要求采取适当的纠正和预防措施；吸取其他组织及本公司安全事故（事件）的经验教训，不断改进安全措施的有效性；c) 通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、 信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等；d) 对信息安全目标及分解进行适当的管理，确保改进达到预期的效果。相关文件：系统风险评估方法适用性声明管理评审程序内部审核控制程序纠正措施控制程序预防措施控制程序文件要求4.3.1 总则ISMS 文件应包括：a) 形成文件的 ISMS 方针和控制目标；b) ISMS 范围c) ISMS 的支持性程序和控制措施；d) 风险评估方法的描述；e) 风险评估报告；f) 风险处置计划；g) 公司为确保其信息安全过程的有效策划、运行和控制以及规定如何测量控制措施有效性所需的程序文件；h) 标准所要求的记录；i) 适用性声明。所有文件应按 ISMS 方针要求在需要时可获得。4.3.2 文件控制ISMS 所要求的文件应予以保护和控制，应编制形成文件的程序以规定以下方面所需的管理措施：a) 文件发布前得到批准以确保文件是充分的；b) 必要时对文件进行评审与更新并再次批准；c) 确保文件的更改和现行修订状态得到识别；d) 确保在使用处可获得适用文件的适用版本；e) 确保文件保持合法并易于识别；f) 确保外来文件得到识别；g) 确保文件的分发是受控的；h) 防止作废文件的非预期使用；i) 若因任何原因而保留作废文件时对这些文件进行适当的标识；4.3.3 记录控制应建立并保持记录， 以提供符合要求和 ISMS 有效运行的证据。 记录应得到保护并且受控。ISMS 应考虑相关法律要求，记录应易于识别和检索。应编制形成文件的程序，以规定记录的识别、贮存、保护、检索、保存期限和处置所需的控制， 确定记录需要和程度的管理过程。保持过程业绩的记录以及与ISMS 有关的安全事件的记录。例如，记录包括访问者登记审核记录和访问授权。相关文件：文件控制程序记录控制程序5 管理职责管理承诺管理层应通过以下措施对其建立、实施、运行、监控、评审、维护和改进 ISMS 的承诺提供证据。a) 建立信息安全方针；b) 确保信息安全目标和计划的建立；c) 为信息安全分配角色和职责；d) 向公司传达满足信息安全目标、符合信息安全方针、法律责任和持续改进的重要性；e) 提供足够的资源以建立、实施、运行、监控、评审、维护和改进ISMS ；f) 决定可接受风险的标准和可接受风险的等级；g) 确保 ISMS 内部审核的执行；h) 进行 ISMS 管理评审。相关文件：信息安全方针和目标部门职责管理评审程序系统风险评估方法资源管理5.2.1 资源提供公司应确定和提供以下方面所需的资源a) 建立建立、实施、运行、监控、维护和改进 ISMSb) 确保信息安全程序支持业务需求；c) 识别并确定法律法规要求和合同安全责任；d) 通过正确应用所有实施的控制措施的来维持足够的安全；e) 必要时进行评估，并对评估结果采取适当的对应措施；f) 必要时改进 ISMS 的有效性。5.2.2 培训、意识和能力公司应确保在 ISMS 中任命职责的人员应能够胜任要求的任务a) 确定从事影响信息安全工作的人员所必需的能力；b) 提供足够的能力培训或其它措施，必要时聘用有能力的人员满足这些要求；c) 评估所提供的培训和采取措施的有效性；d) 保持教育、培训、技能、经验和资质的适当记录。公司应确保员工认识到所从事信息安全活动的相关性和重要性，以及如何为实现ISMS 目标作出贡献。相关文件：人力资源管理控制程序6ISMS 内部审核公司应按计划的时间间隔进行ISMS 内部审核，以确定控制目标、控制措施、 过程和程序是否：a) 符合标准及相关法律法规的要求；b) 符合确定的信息安全要求；c) 得到有效地实施和维护；d) 按期望运行。内部审核程序应进行计划，并考虑受审核过程的状况、重要性和受审核的区域以及上次审核结果，应规定审核准则、范围、频次和方式，审核员的选择和审核活动应保证审核过程的客观和公正，审核员不能审核自己的工作。应建立形成文件的程序， 以规定策划和实施审核的职责和要求以及报告结果和保持记录。受审核区域的负责人应确保立即采取措施，以消除发现的不符合及其原因。改进措施包括所采取措施的验证并汇报验证结果。相关文件：内部审核控制程序7 ISMS 管理评审总则管理者应按策划的时间间隔评审公司的 ISMS（至少一年一次） ，以确保其持续的适宜性、充分性和有效性。评审应包括评价 ISMS 改进的机会和变更的需要，包括安全方针和安全目标的适宜性。评审结果应清楚地写入文件应保持记录。管理评审输入管理评审的输入应包括以下方面的信息：a) ISMS 审核（包括内审和外审）和管理评审的结果；b) 相关方（客户、供应商、内部员工等）的反馈；c) 公司用于改进 ISMS 业绩和有效性的技术、产品或程序的发展及变化；d) 预防和纠正措施的实施情况；e) 上次风险评估未充分指出的弱点或威胁；f) 体系有效性测量的结果；g) 上次管理评审所采取措施的跟踪验证；h) 影响 ISMS 的变更，如信息安全组织架构变化等；i) 改进的建议。管理评审输出管理评审的输出应包括与以下方面有关的任何决定和措施a) ISMS 有效性的改进b) 风险评估和风险处理计划的更新c) 必要时修订影响信息安全的程序和控制措施，以反映可能影响 ISMS 的内外事件，包括以下变化1 业务需求；2 安全需求；3 影响已有业务需求的业务过程；4 法律法规环境；5 合同义务；6 风险和 / 或风险接受准则。d) 资源需求e)针对被测量的控制措施有效性的改进相关文件：管理评审程序8 ISMS 的改进持续改进公司应通过应用信息安全方针、安全目标、审核结果、监控事件的分析、纠正和预防措施和管理评审，持续改进 ISMS 的有效性。纠正措施公司应采取措施消除 ISMS 实施和运行的不符合原因，以防止其再发生。纠正措施文件程序应规定以下方面的要求。a) 识别 ISMS 实施和运行的不符合项；b) 确定不符合的原因；c) 评价确保不符合不再发生所需的措施；d) 决定和实施所需的纠正措施；e) 记录所采取措施的结果；f) 评审所采取的纠正措施。预防措施公司应决定措施以防范未来的不符合，防止发生采取的预防措施应与潜在问题的影响相匹配，预防措施文件程序应规定以下方面的要求。a) 确定潜在不符合及其原因；b) 评价预防不符合发生所需的措施；c) 决定实施所需的预防措施；d) 记录所采取措施的结果；e) 评审所采取的预防措施。公司应识别发生变化的风险，并通过关注变化显着的风险来识别预防措施要求。应根据风险评估结果来确定预防措施的优先级。相关文件：纠正措施控制程序预防措施控制程序IT 服务管理服务管理规划和实施在开展 IT 服务管理的活动中，PDCA 原理贯穿于IT 服务管理体系的全部流程，其中：P（计划）根据客户要求和公司策略建立目标和流程。D （实施）实施流程。C（检查）根据策略、目标和要求对过程和服务进行监控、测量，并报告结果。A （改进）采取措施以持续改进流程的性能。计划服务管理服务部向客户提供三大服务项目：常驻现场技术服务、定期巡检技术服务、咨询规划设计服务。甘肃万维公司为不断满足市场需求和企业自身发展需要，将在未来将原有的三大技术服务内容重新规划和设计，细化成六大服务内容：基础设施服务、运维服务、专业技术服务、IT 安全服务、咨询设计评估服务、培训服务。从而实现在坚持原有行业内的服务的基础上向行业外扩展的计划。服务部根据公司IT 服务管理职能关系架构图中的所分配的职责并依据条款4-9 中所规定的服务管理过程向客户提供IT 服务。相关部门根据管理评审的结果及结论，结合本部门的工作实际，由技术服务事业部组织相关部门对当前与本部门相关的IT 服务工作的改进需求、以及公司业务发展策略、技术动态、政策法规要求、下一年度 IT 服务工作的安排进行规划，制订本部门的年度工作计划，并按公司内控制度制订对应的部门年度费用预算。实施 IT 服务技术服务事业部组织相关部门按批准后的公司年度计划，对计划周期内的工作任务、目标、绩效要求进行分解，组织各部门制订各自的年度工作计划和费用预算，并进行跟踪、检查。相关部门年度工作计划、年度费用预算应与已批准的本部门年度工作计划、预算一致，如有变更，引起预算的变化，应上报技术服务事业部按照相关流程审批、执行。技术服务事业部负责组织IT 服务项目的立项工作，并按照项目管理规定对项目计划周期内的工作任务、目标、绩效要求进行分解，制订项目实施计划和费用预算，并进行跟踪、检查。监视、测量和评审服务部负责收集、汇总、整理IT 服务项目的日常服务数据。服务部经理负责组织IT 服务项目， 按各项目阶段性工作计划、费用预算的内容， 以及 IT 服务管理的要求，收集与 IT 服务相关的信息，监控、测量和评审与本业务相关的服务规划要求、已有的SLA 符合要求的程度。 IT 服务项目在运行中，应监控、测量和评审的内容为：既定的 IT 服务目标的达成程度。客户满意度。资源利用。服务实施的趋势。严重不符合。技术服务事业部按照服务质量改进管理程序的要求，组织IT 服务管理体系的管理评审活动，以确保IT 服务要求得到有效的实施和维护。持续改进服务部每年至少进行一次服务管理体系的有效性评估，评估通过内部审核的方式进行。在评估中发现的任何不符合标准的活动都应该采取纠正措施予以改进，对于发现的潜在问题应该予以控制。服务部在内部审核后，应进行管理评审，管理评审的内容包括：各流程的执行状况报告，存在问题及改进建议，内部审核结果，相关方的反馈以及其他可能影响体系运行的要素。服务部按管理评审的要求，确定服务改进的测量、报告和沟通流程和内容。监控IT 服务运行中出现的不符合项，组织相关部门实施、验证改进活动。任何不符合ISO/IEC 20000-1：2005 标准的活动都应被纠正。对于内部审核、管理评审或其他活动中所发现的不符合项或潜在不符合项，应按照服务质量改进管理程序要求进行及时纠正。新服务或变更服务的策划与实施制订新服务或变更服务计