序號頁次標(biāo)題與標(biāo)準(zhǔn)對應(yīng)條款I(lǐng)SO/IEC27001-2022ISO/IEC20000.1-201811范圍22企業(yè)狀況33~4術(shù)語和定義68~11第四章組織環(huán)境4.1理解組織及其環(huán)境4.2理解相關(guān)方的需求和期望4.3確定信息安全管理體系范圍4.4信息安全管理體系解織其解關(guān)的求期望定務(wù)理系務(wù)理712~14第五章領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)作用和承諾5.2方針5.3組織的角色、職責(zé)和權(quán)限5.1領(lǐng)導(dǎo)和承諾5.2方針5.3組織的角色、職責(zé)和權(quán)限815~23第六章策劃6.1應(yīng)對風(fēng)險(xiǎn)和機(jī)遇的措施6.2信息安全目標(biāo)及其實(shí)現(xiàn)的策劃6.3變更策劃6.1應(yīng)對風(fēng)險(xiǎn)和機(jī)遇的措施6.2務(wù)理標(biāo)其現(xiàn)策劃6.3劃務(wù)理924~32第七章支持7.1資源7.2能力7.3意識7.4溝通7.5文件化信息7.1資源7.2能力7.3意識7.4溝通7.5文件化信息1033~42第八章運(yùn)行8.1運(yùn)行策劃與控制8.2信息安全風(fēng)險(xiǎn)評估8.3信息安全風(fēng)險(xiǎn)處置8.1運(yùn)行策劃和控制8.2服務(wù)組合8.3關(guān)系與協(xié)議8.4供應(yīng)與需求8.5服務(wù)設(shè)計(jì)、構(gòu)建與轉(zhuǎn)換8.6解決與完成8.7服務(wù)保障1143~47第九章績效評價(jià)9.1監(jiān)視、測量、分析和評價(jià)9.2內(nèi)部審核9.3管理評審9.1監(jiān)視、測量、分析和評價(jià)9.2內(nèi)部審核9.3管理評審9.4服務(wù)報(bào)告1248-49第十章改進(jìn)10.1持續(xù)改進(jìn)10.2不符合和糾正措施10.1不符合和糾正措施10.2持續(xù)改進(jìn)1350~60附件：附件1：信息安全/IT服務(wù)管理方針、目標(biāo)附件2：S/IS目標(biāo)/指標(biāo)附件3：體系過程圖附件4：組織結(jié)構(gòu)圖附件5：ISMS職責(zé)分配表附件6：ISMS職責(zé)分配表附件7：部門職責(zé)附件8：管理者代表任命書附件9：工藝流程圖附件10：公司敏感場所平面圖附件11：網(wǎng)絡(luò)拓?fù)鋱D目錄36031.范圍 5129011.0前言 5236931.1管理體系范圍 663121.2手冊的控制 6299062.企業(yè)狀況 6118632.1企業(yè)簡介 6228902.2主要產(chǎn)品 7195162.3規(guī)范性引用文件 7263273術(shù)語和定義 741624組織環(huán)境 11289284.1理解組織及其環(huán)境 1176034.2理解相關(guān)方的需求和期望 12145944.3確定管理體系的范圍 1362254.4一體化管理體系 14262065領(lǐng)導(dǎo)作用 15310295.1領(lǐng)導(dǎo)作用與承諾 15181545.2管理方針 1650125.3崗位、職責(zé)和權(quán)限 17294156策劃 1843276.1應(yīng)對風(fēng)險(xiǎn)和機(jī)遇的措施 1879806.2管理目標(biāo)及其實(shí)施的策劃 2199846.3IT服務(wù)管理的策劃方法 21300246.4變更的策劃 2282096.5策劃和實(shí)施新服務(wù)或變更的服務(wù) 23189476.6服務(wù)交付過程的策劃 23193847支持 2732467.1資源 27270097.2能力 30240897.3意識 31247157.4溝通 31297497.5形成文件的信息 32299948運(yùn)行 35224298.1運(yùn)行策劃和控制 35298858.2信息安全風(fēng)險(xiǎn)評估和信息技術(shù)服務(wù)組合 36129638.3信息安全處置與關(guān)系、協(xié)議管理 39207538.4供應(yīng)與需求 42260068.5服務(wù)設(shè)計(jì)、構(gòu)建與轉(zhuǎn)換 43122988.6解決與完成 46292708.7服務(wù)保障 4885679績效評價(jià) 53317209.1監(jiān)視、測量、分析和評價(jià) 5354999.2內(nèi)部審核 56194539.3管理評審 572584310.改進(jìn) 582100510.1持續(xù)改進(jìn) 582316910.2不符合與糾正和預(yù)防措施 5810959附件1：信息安全/IT服務(wù)管理方針、目標(biāo) 5912818附件1.1信息安全/IT服務(wù)管理方針 5921553附件1.2信息安全/IT服務(wù)管理目標(biāo) 609421附件2：信息安全/IT服務(wù)目標(biāo)及部門分解目標(biāo) 6012799附件3：過程流程圖 6124965附件4：組織機(jī)構(gòu)圖 634373附件5：信息安全職能分配表 6415792附件6：IT服務(wù)管理職能分配表 6525838附件7.部門職責(zé) 662871附件8：管理者代表任命書 686852附件9：工藝流程圖 698598附件9.1軟件產(chǎn)品實(shí)現(xiàn)過程流程圖 6930370附件9.2服務(wù)過程流程圖 7023844附件10：公司敏感場所平面圖 7121016附件11：公司網(wǎng)絡(luò)拓?fù)鋱D 721.范圍1.0前言本手冊以ISO/IEC27001-2022標(biāo)準(zhǔn)的章節(jié)順序?yàn)橹骶€,在信息安全管理體系標(biāo)準(zhǔn)的基礎(chǔ)上增加了ISO/IEC20000.1-2018的條款要求，并結(jié)合本公司的實(shí)際情況編制而成。目的是依據(jù)信息安全和信息技術(shù)服務(wù)管理體系的相容性，建立并保持整合型一體化管理體系，提高一體化管理體系運(yùn)行績效和體系管理水平，并為通過第三方認(rèn)證以及提高顧客和其他相關(guān)方的信任度和滿意度，為提高公司的市場競爭能力起到重要作用。1.1管理體系范圍本公司對ISO/IEC27001-2022《信息安全網(wǎng)絡(luò)安全隱私保護(hù)安全管理體系要求》和ISO/IEC20000.1-2018《服務(wù)管理體系要求》標(biāo)準(zhǔn)的所有條款內(nèi)容全部采用，無刪減。適用性說明：本公司采用的ISO/IEC27001-2022《信息安全網(wǎng)絡(luò)安全隱私保護(hù)安全管理體系要求》附錄A中的“控制目標(biāo)和控制”經(jīng)評估確認(rèn)，刪減部分不適用控制條款，無增加附錄A以外的控制措施。刪減條款號和理由如下：無。本公司信息安全管理體系的范圍是：與計(jì)算機(jī)應(yīng)用軟硬件開發(fā)、銷售、服務(wù)及系統(tǒng)集成相關(guān)的信息安全管理活動；本公司信息技術(shù)（IT）服務(wù)一體化的范圍是：向外部客戶提供計(jì)算機(jī)軟硬件設(shè)計(jì)開發(fā)、運(yùn)維服務(wù)。注冊地址：合肥市高新區(qū)文曲路919號超遠(yuǎn)科技園B座3樓1.2手冊的控制本手冊由質(zhì)量部組織編寫，管理者代表審核，總經(jīng)理批準(zhǔn)下發(fā)。手冊封面及有手冊版本號（A/0版、B/0版、C/0版…）、手冊生效日期的標(biāo)識，每一章節(jié)標(biāo)有版本號、章節(jié)修改狀態(tài)（阿拉伯?dāng)?shù)字標(biāo)識）。手冊分為受控和非受控兩種。受控的手冊有受控標(biāo)識及保管部門。受控的手冊發(fā)放給與公司信息安全/IT服務(wù)管理體系運(yùn)作相關(guān)的部門。非受控手冊發(fā)放給需要了解公司管理的外部顧客及機(jī)構(gòu)，當(dāng)發(fā)放非受控管理手冊時(shí)，報(bào)管理者代表批準(zhǔn)。手冊需要修改時(shí)，由提出修改的人員寫出書面修改申請，報(bào)管理者代表審批，經(jīng)正式修改的手冊，需組織相關(guān)人員進(jìn)行評審，評審后由原審批人審批，并根據(jù)發(fā)放范圍將修改的章節(jié)發(fā)放給相關(guān)部門，同時(shí)收回作廢的章節(jié)。手冊的原稿由質(zhì)量部保管。手冊各章節(jié)的修改可通過修改狀態(tài)進(jìn)行控制，各章節(jié)的修改將在修改記錄中注明，章節(jié)進(jìn)行修改后，該章節(jié)的修改狀態(tài)（阿拉伯?dāng)?shù)字）將更改。當(dāng)手冊章節(jié)修改超過半數(shù)后，將對整個(gè)手冊進(jìn)行換版修改，經(jīng)換版修改后的手冊版本號將提升，各章節(jié)的修改狀態(tài)則從0重新開始。2.企業(yè)狀況2.1企業(yè)簡介安徽成方智能科技有限公司成立于2014年，是一家以軟硬件設(shè)計(jì)、開發(fā)和生產(chǎn)為主的新型科技公司，專業(yè)提供多任務(wù)軍事演練和仿真整體解決方案以及各型軍事裝備模擬器。公司致力于軍用領(lǐng)域的多任務(wù)體系化整體解決方案和虛擬現(xiàn)實(shí)/融合現(xiàn)實(shí)（實(shí)裝）訓(xùn)練網(wǎng)絡(luò)化系統(tǒng)平臺的研發(fā)和生產(chǎn)。產(chǎn)品涵蓋：試驗(yàn)裝備效能評估、作戰(zhàn)試驗(yàn)仿真、沉浸式訓(xùn)練和半實(shí)戰(zhàn)化演練、聯(lián)合作戰(zhàn)演練、電子化推演、智能化藍(lán)軍對抗等各個(gè)方向。公司集結(jié)了一大批以國內(nèi)行業(yè)資深專家和教授為帶頭人的員工隊(duì)伍，在仿真技術(shù)、網(wǎng)絡(luò)技術(shù)、自控技術(shù)、伺服技術(shù)、計(jì)算機(jī)技術(shù)等領(lǐng)域具有深厚的技術(shù)底蘊(yùn)和成熟的工程經(jīng)驗(yàn)，擁有多項(xiàng)核心技術(shù)和專利專著，并與國內(nèi)多家知名科研院所、軍事院所開展了深入合作，為公司的不斷創(chuàng)新發(fā)展提供強(qiáng)大的技術(shù)支持。2.2主要產(chǎn)品產(chǎn)品涵蓋軍民品，主要有試驗(yàn)裝備效能評估、作戰(zhàn)試驗(yàn)仿真、沉浸式訓(xùn)練和半實(shí)戰(zhàn)化演練、聯(lián)合作戰(zhàn)演練、電子化推演、智能化藍(lán)軍對抗等各個(gè)方向；以及網(wǎng)絡(luò)工程設(shè)計(jì)安裝、應(yīng)用系統(tǒng)集成服務(wù)、信息處理平臺系統(tǒng)、訓(xùn)練器材；人工智能、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)技術(shù)開發(fā)及系統(tǒng)集成服務(wù)等。2.3規(guī)范性引用文件下列文件中的條款通過引用而成為本手冊的條款：ISO/IEC20000-1:2018《信息技術(shù)-服務(wù)管理體系-要求》ISO/IEC20000-5:2018《信息技術(shù)-服務(wù)管理實(shí)施策劃實(shí)例》ISO/IEC20000-2:2018《信息技術(shù)-服務(wù)管理實(shí)施指南》ISO/IEC20000-3:2018《信息技術(shù)-服務(wù)管理范圍定義和適用性指南》ISO/IEC27000《信息技術(shù)-安全技術(shù)-信息安全管理體系-概述和詞匯》ISO/IEC27001:2022《信息安全網(wǎng)絡(luò)安全隱私保護(hù)安全管理體系要求》ISO/IEC27002:2022《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》GB/T24353-2022《風(fēng)險(xiǎn)管理指南》3術(shù)語和定義ISO/IEC27000的術(shù)語和定義適用于本《信息安全管理手冊》，縮寫：ISMS：InformationSecurityManagementSystems信息安全管理體系；SOA:StatementofApplicability適用性聲明；PDCA:PlanDoCheckAction計(jì)劃、實(shí)施、檢查、改進(jìn)。3.1審核為獲得客觀證據(jù)并對其進(jìn)行客觀評價(jià)，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過程。注1：審核可以是內(nèi)部（第一方）審核或外部（第二方或第三方）審核，也可以是組合審核（組合兩個(gè)或多個(gè)標(biāo)準(zhǔn)或要求）。注2：內(nèi)部審核由公司自己或由他方以公司的名義進(jìn)行。注3：“審核證據(jù)”和“審核準(zhǔn)則”在ISO19011中定義。3.2能力能夠運(yùn)用知識和技能來實(shí)現(xiàn)預(yù)期的結(jié)果。3.3符合（合格）：滿足要求。3.4持續(xù)改進(jìn)提高績效的循環(huán)活動。3.5糾正措施為消除不符合的原因或降低其他再次發(fā)生的可能性或不期望的情況所采取的措施。3.6成文信息公司需要控制和維護(hù)的信息及其所載體。例如：方針、計(jì)劃、過程描述、程序、服務(wù)級別協(xié)議或合同。3.7有效性完成計(jì)劃的活動并得到計(jì)劃結(jié)果的程度。3.8相關(guān)方可影響SMS或服務(wù)相關(guān)決策或活動、受到影響或自以為受到影響的個(gè)人或公司。3.9管理體系公司建立方針和目標(biāo)以及實(shí)現(xiàn)這些目標(biāo)的過程的相關(guān)關(guān)聯(lián)或相互作用的一組要素。3.10測量確定數(shù)值的過程。3.11監(jiān)測確定體系、過程或活動的狀態(tài)。3.12不符合未滿足要求。3.13目標(biāo)要實(shí)現(xiàn)的結(jié)果。3.14組織為實(shí)現(xiàn)目標(biāo)，由職責(zé)、權(quán)限和相互關(guān)系構(gòu)成自身功能的一個(gè)人或一組人。3.15外包安排外部公司承擔(dān)公司的部分職能和過程。3.16績效可測量的結(jié)果。3.17方針由最高管理者正式發(fā)布的公司的宗旨和方向。3.18過程利用輸入實(shí)現(xiàn)預(yù)期結(jié)果的相互關(guān)聯(lián)或相互作用的一組活動。3.19要求明示的、通常隱含的或必須履行的需求和期望。3.20風(fēng)險(xiǎn)不確定的影響。注1：影響是指偏離預(yù)期，可以是正面或負(fù)面的。注2：不確定是一種對某個(gè)事件或事件的局部的結(jié)果或可能性缺乏理解或信息補(bǔ)充分的情形。注3:通常，風(fēng)險(xiǎn)是通過有關(guān)可能事件（ISO指南73:2009,3.5.1.3中的定義）和后果（ISO指南73:2009,3.6.1.3中的定義）或兩者的組合來描述其特征的。注4：通常，風(fēng)險(xiǎn)是以事件后果（ISO指南73:2009,3.6.1.3中的定義）的組合來表達(dá)的。3.21最高管理層在最高層指導(dǎo)或控制公司的一個(gè)人或一組人。注1：最高管理層在公司內(nèi)有授權(quán)或提供資源的權(quán)力。注2：如果管理體系的范圍僅涵蓋公司的一部分，在這個(gè)情況下，最高管理層指的書指導(dǎo)和控制公司該部分的一個(gè)人或一組人。3.22資產(chǎn)對公司具有潛在或?qū)嶋H價(jià)值的元素、事物或?qū)嶓w。注1：價(jià)值可以是有型的或無形的，金融的或非金融的，包括對風(fēng)險(xiǎn)和負(fù)債的考慮。在資產(chǎn)壽命的不同階段，它可以是正面的，也可以是負(fù)面的。注2：實(shí)物資產(chǎn)通常是指公司擁有的設(shè)備，庫存和財(cái)產(chǎn)。實(shí)物資產(chǎn)與無形資產(chǎn)相反，無形資產(chǎn)是非物資資產(chǎn)，如租約、品牌、數(shù)字資產(chǎn)、使用權(quán)、許可、知識產(chǎn)權(quán)、聲譽(yù)或協(xié)議等。注3：涉及一組資產(chǎn)組合或系統(tǒng)也可視為資產(chǎn)。注4：資產(chǎn)也可以是配置項(xiàng)。但某些配置項(xiàng)可能不是資產(chǎn)。（來源：ISO/IEC19770-5:2015,3.2，經(jīng)修改，“注4”包含了新的內(nèi)容。）3.23配置項(xiàng)CI需要加以控制以提供服務(wù)的元素。3.24客戶接受服務(wù)的公司公司的一部分。例如：消費(fèi)者、委托人、收益者、贊助商或采購方。注1：客戶可以提供服務(wù)的公司的內(nèi)部或外部。注2：客戶也可以是用戶?？蛻粢部梢猿洚?dāng)供方。3.25外部供應(yīng)商與公司簽訂合同，參與規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換、交付或改進(jìn)服務(wù)、服務(wù)組件或過程的公司外方。注1：外部供應(yīng)商包括規(guī)定的主要供方，但不包括其分包供方。注2：如果SMS范圍內(nèi)的公司是較大公司的一部分，其他方是較大公司外的相關(guān)方。3.26事件服務(wù)的意外中斷、服務(wù)質(zhì)量下降但尚未對客戶或用戶的服務(wù)產(chǎn)生影響的事項(xiàng)。3.27信息安全保護(hù)信息的保密性、完整性和可用性。注1：此外也可包括其他屬性，如真實(shí)性、可核查性、不可否認(rèn)性和可靠性。（來源：ISO/IEC27000:2018,3.28）3.28事件由單個(gè)或一系列意外或有害的信息安全事態(tài)所組成，極有可能危及業(yè)務(wù)運(yùn)行或威脅信息安全。3.29內(nèi)部供應(yīng)商較大公司中SMS范圍之外的一部分，該部分簽訂有文件化協(xié)議以促進(jìn)規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換、交付或改進(jìn)服務(wù)、服務(wù)組件或過程。例如：采購、基礎(chǔ)設(shè)施、財(cái)務(wù)、人力資源、設(shè)施等。注1：內(nèi)部供應(yīng)商或SMS范圍內(nèi)的公司都是同一個(gè)大型公司的一部分。3.30已知錯(cuò)誤已找到根本原因，或已找到減少、消除其對服務(wù)影響的方法的問題。3.31問題一個(gè)或多個(gè)實(shí)際或潛在事件的原因。3.32程序?yàn)檫M(jìn)行某項(xiàng)活動或過程所規(guī)定的路徑。注1：程序可以形成文件，也可不形成文件。3.33記錄闡明所取得的結(jié)果或提供所完成活動的證據(jù)的文件。例如：審核報(bào)告、事件詳細(xì)信息、培訓(xùn)人員清單、會議記錄等。注1：記錄也可用于正式的可追溯性，并為驗(yàn)證、預(yù)防措施和糾正措施提供的證據(jù)。注2：通常，記錄不需要控制版本。3.34發(fā)布作為一個(gè)或多個(gè)變更的結(jié)果，部署到運(yùn)行環(huán)境的，服務(wù)或服務(wù)組件以及新服務(wù)的一個(gè)或多個(gè)變更的組合。3.35變更請求對服務(wù)、服務(wù)組件或SMS進(jìn)行變更的提案。注1：服務(wù)的變更包括新服務(wù)的提供、服務(wù)的遷移以及不再需要的服務(wù)的下線。3.36服務(wù)通過促進(jìn)客戶達(dá)成想要實(shí)現(xiàn)的結(jié)果，為客戶提供價(jià)值的方式。注1：服務(wù)通常是無形的。注2：本標(biāo)準(zhǔn)使用的術(shù)語“服務(wù)”是指SMS范圍內(nèi)的服務(wù)。應(yīng)明確區(qū)分對術(shù)語“服務(wù)”不同意圖的使用。3.37服務(wù)可用性服務(wù)或服務(wù)組件在規(guī)定的時(shí)間或規(guī)定的時(shí)間內(nèi)提供所要求的功能的能力。3.38服務(wù)目錄公司向客戶提供的服務(wù)的成文信息。3.39服務(wù)組件服務(wù)的一部分，與其它元素組合提供完整的服務(wù)。例如：基礎(chǔ)架構(gòu)，應(yīng)用程序、文檔、許可證、信息、資源、支持性服務(wù)。3.40服務(wù)連續(xù)性不間斷提供服務(wù)，或按照約定提供持續(xù)的可用性的能力。注1：服務(wù)連續(xù)性管理可以是業(yè)務(wù)連續(xù)性管理的子集。ISO22301是業(yè)務(wù)連續(xù)性管理的管理體系標(biāo)準(zhǔn)。3.41服務(wù)級別協(xié)議SLA公司和客戶之間，用于定義服務(wù)及其達(dá)成一致的績效所簽署的文件化協(xié)議。注1：公司與外部供應(yīng)商，內(nèi)部供應(yīng)商或作為供方的客戶之間也可以建立服務(wù)級別協(xié)議。注2：服務(wù)級別協(xié)議可以包含在合同或其它類型的文件化協(xié)議中。3.42服務(wù)級別目標(biāo)公司承諾的服務(wù)的具體可衡量特征。3.43服務(wù)管理指導(dǎo)和控制用于規(guī)劃、設(shè)計(jì)、轉(zhuǎn)換、交付和改進(jìn)服務(wù)的公司的活動和資源以實(shí)現(xiàn)價(jià)值的一系列能力和流程。3.44服務(wù)管理體系SMS管理體系指導(dǎo)和控制公司的服務(wù)管理活動。3.45服務(wù)提供方管理和提供服務(wù)或向客戶提供服務(wù)的公司。3.46服務(wù)請求信息獲取、咨詢、服務(wù)訪問或預(yù)授權(quán)變更的請求。3.47服務(wù)要求客戶或用戶與公司之間關(guān)于服務(wù)和SMS所規(guī)定的或必須的請求。注1：在SMS的背景下，服務(wù)要求應(yīng)形成文件并達(dá)成一致，而不是采用一般性的暗示。還可能存在其他要求，例如法律和監(jiān)管要求。3.48轉(zhuǎn)換將新的或已變更的服務(wù)導(dǎo)入或移出運(yùn)行環(huán)境所涉及的活動。3.49用戶與服務(wù)交互包括一個(gè)人或一群人?？蛻粢部梢允怯脩簟?.50價(jià)值重要、有益或有用。4組織環(huán)境4.1理解組織及其環(huán)境本公司依據(jù)ISO/IEC27001-2022《信息安全網(wǎng)絡(luò)安全隱私保護(hù)安全管理體系要求》和ISO/IEC20000.1-2018標(biāo)準(zhǔn)的要求，結(jié)合本公司產(chǎn)品和服務(wù)的特點(diǎn)和戰(zhàn)略規(guī)劃，確定與本公司其宗旨相關(guān)的，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。注：對這些事項(xiàng)的確定，見GB/T24353-2022[2]中5.4.1建立外部和內(nèi)部環(huán)境的內(nèi)容。公司領(lǐng)導(dǎo)層應(yīng)組織相關(guān)人員分析公司與業(yè)務(wù)和發(fā)展有關(guān)的內(nèi)外部影響環(huán)境。4.1.1外部環(huán)境外部環(huán)境，包括國際、國家、地區(qū)或本地、金融行業(yè)等引起的法律、技術(shù)、競爭、文化、社會、經(jīng)濟(jì)和自然環(huán)境、顧客等方面的問題。主要分析如下方面：1、政治法律環(huán)境分析：分析國家在金融行業(yè)等方面的大政方針、政策變化改革情況、相應(yīng)信息安全的法律法規(guī)制定和修訂、對行業(yè)的影響情況；

2、國內(nèi)經(jīng)濟(jì)環(huán)境分析：現(xiàn)階段和未來10年國家及行業(yè)經(jīng)濟(jì)發(fā)展、改革的形勢和趨勢，國民生產(chǎn)總值的增長情況，對行業(yè)的市場發(fā)展的影響；

3、社會文化環(huán)境分析：本地區(qū)和客戶所在區(qū)域的社會經(jīng)濟(jì)、文化、政府部門服務(wù)意識、營商環(huán)境等對本行業(yè)和公司發(fā)展的影響；

4、產(chǎn)業(yè)競爭行業(yè)環(huán)境分析：國內(nèi)與公司業(yè)務(wù)有競爭的同行的發(fā)展?fàn)顩r、核心競爭力、主要影響區(qū)域等；5、顧客方對項(xiàng)目的工期要求緊、質(zhì)量高、價(jià)格低等要求。4.1.2內(nèi)部環(huán)境內(nèi)部環(huán)境包括：公司的理念、價(jià)值觀、文化、績效等方面的問題。主要分析如下方面：企業(yè)的軟件設(shè)計(jì)開發(fā)能力：要考慮公司在行業(yè)的技術(shù)能力情況，開發(fā)和完成的項(xiàng)目優(yōu)勢和技術(shù)特點(diǎn)及能力，技術(shù)人員的能力及可擴(kuò)展能力；2、企業(yè)的營銷能力：公司在行業(yè)的地位、市場占有率，營銷人員的拓展能力，通過技術(shù)、產(chǎn)品和服務(wù)保持市場的能力；

3、企業(yè)的協(xié)同系統(tǒng)運(yùn)行維護(hù)服務(wù)、軟件開發(fā)市場的地位：要詳細(xì)分析公司在行業(yè)中的優(yōu)勢地位，公司技術(shù)、產(chǎn)品和服務(wù)的領(lǐng)先程度，制定如何利用優(yōu)勢提高發(fā)展空間的策略；公司信息安全控制的技術(shù)和管理水平對產(chǎn)品和服務(wù)的影響；4、企業(yè)文化的傳承：公司的價(jià)值觀、愿景適合內(nèi)外部環(huán)境的氛圍，文化、知識的獲取和使用，公司績效與員工的相關(guān)性，公司或員工運(yùn)行環(huán)境的影響和適合等；5、內(nèi)部人員對信息安全和信息技術(shù)服務(wù)體系的理解需要進(jìn)一步提高。具體分析與評價(jià)的要求見《組織環(huán)境與相關(guān)方需求分析控制程序》，分析評價(jià)結(jié)果體現(xiàn)在《內(nèi)外部環(huán)境分析報(bào)告》中以指導(dǎo)相關(guān)部門具體工作。4.2理解相關(guān)方的需求和期望公司信息安全風(fēng)險(xiǎn)評估小組應(yīng)定期識別和確定與信息安全和信息技術(shù)服務(wù)管理體系有關(guān)的相關(guān)方。公司的相關(guān)方包括：客戶（新建和改擴(kuò)建IT系統(tǒng)需求單位）、供方（IT智能化設(shè)備、軟件等供應(yīng)商；辦公和設(shè)計(jì)開發(fā)設(shè)備及輔助設(shè)備設(shè)施供方；辦公和產(chǎn)品用耗材供方；外部協(xié)作方等）、員工（管理者、質(zhì)量技術(shù)人員、開發(fā)人員、服務(wù)人員等）、政府部門（政府主管部門、安全保密部門等）、投資方（股東、投資者）、認(rèn)證和咨詢單位以及其他相關(guān)單位和人員。（1）識別相關(guān)方的需要和期望包括：政府部門：認(rèn)真負(fù)責(zé)的社會服務(wù)意識；遵守法律法規(guī)的要求；對信息安全的責(zé)任。對駐區(qū)產(chǎn)生的實(shí)際影響和潛在影響等。管理服務(wù)部門：承擔(dān)的信息安全管理職責(zé)；業(yè)務(wù)運(yùn)營及保障要求；風(fēng)險(xiǎn)預(yù)防和控制；行政管理的要求等?？蛻簦禾峁┑漠a(chǎn)品和服務(wù)、項(xiàng)目實(shí)施和服務(wù)質(zhì)量，包括符合性、可靠性、可用性、完整性、保密性、價(jià)格和壽命周期；項(xiàng)目安全性；項(xiàng)目產(chǎn)品和服務(wù)的責(zé)任、對信息安全影響等。供方：繼續(xù)經(jīng)營的機(jī)會，包括制定共同的戰(zhàn)略；共享知識和利潤，共同承擔(dān)損失；要求承擔(dān)的信息安全義務(wù)和要求；服務(wù)管理要求；遵紀(jì)守法要求；合作共贏等。投資方：投資效益；社會責(zé)任、遵紀(jì)守法要求。員工：工作滿意，包括個(gè)人價(jià)值的體現(xiàn)、得到承認(rèn)和個(gè)人發(fā)展前景；良好的工作環(huán)境和氛圍；公司的三觀（世界觀、價(jià)值觀、人生觀）；社會責(zé)任。認(rèn)證和咨詢方：公司體系運(yùn)行的適宜性、充分性和有效性；遵紀(jì)守法要求。評價(jià)相關(guān)方的需要和期望相關(guān)方的需求和期望信息獲得方法：通過內(nèi)外部環(huán)境分析結(jié)果、媒介和網(wǎng)絡(luò)收集、主動調(diào)查、水平對比主動提高、監(jiān)視相關(guān)方需求、期望和滿意。采取措施以滿足相關(guān)方的需要和期望建立確定相關(guān)性的準(zhǔn)則:

A.對組織績效或決策的潛在影響或損害；B.利益相關(guān)方產(chǎn)生風(fēng)險(xiǎn)及機(jī)遇的能力；C.被組織決策或活動影響的能力。考慮識別的相關(guān)方信息；對照相關(guān)性準(zhǔn)則，列出公司相關(guān)要求；確保將相關(guān)要求在體系策劃時(shí)考慮到公司管理體系的要求中并有效實(shí)施。（4）定期評價(jià)措施的有效性在意識和考慮到各利益相關(guān)方及其要求可能是不斷變化的,因此領(lǐng)導(dǎo)層應(yīng)定期組織進(jìn)行監(jiān)控及評審。評審結(jié)果應(yīng)保存并下發(fā)指導(dǎo)相關(guān)部門工作。相關(guān)方的要求和期望的識別要求見《組織環(huán)境與相關(guān)方需求分析控制程序》、《信息安全相關(guān)方協(xié)作管理程序》，實(shí)施策劃及結(jié)果在第六章和第八章描述。4.3確定管理體系的范圍本公司根據(jù)組織環(huán)境、內(nèi)外部面臨的問題、相關(guān)方的需求和期望、組織所執(zhí)行的活動之間以及與其他組織活動之間接口的依懶性定義了信息安全與信息技術(shù)服務(wù)管理體系的邊界性和適用性，本公司信息安全和信息技術(shù)服務(wù)管理體系的范圍如下：4.3.1信息安全范圍與計(jì)算機(jī)信息系統(tǒng)集成，應(yīng)用軟件開發(fā)及相關(guān)運(yùn)維服務(wù)相關(guān)的信息安全管理活動。4.3.2信息技術(shù)服務(wù)范圍為客戶提供計(jì)算機(jī)信息系統(tǒng)集成，應(yīng)用軟件開發(fā)及相關(guān)運(yùn)維服務(wù)相關(guān)的信息技術(shù)服務(wù)管理活動。與4.3.1、4.3.2范圍活動相關(guān)的信息系統(tǒng)、各部門的所有員工，活動、產(chǎn)品包含的全部信息資產(chǎn)。4.3.3組織范圍本公司信息安全與信息技術(shù)服務(wù)管理體系適用組織范圍，見附件《組織機(jī)構(gòu)圖》。4.3.4資產(chǎn)范圍：所述業(yè)務(wù)活動；組織范圍內(nèi)及物理環(huán)境內(nèi)相關(guān)的硬件、軟件、數(shù)據(jù)、文檔、人員及支持性服務(wù)等全部信息資產(chǎn)和相關(guān)技術(shù)手段；本手冊采用ISO/IEC27001-2022《信息安全網(wǎng)絡(luò)安全隱私保護(hù)安全管理體系要求》正文的全部內(nèi)容，對附錄A的刪減及理由詳見《信息安全適用性聲明SOA》。4.3.5地域范圍注冊地址：合肥市高新區(qū)文曲路919號超遠(yuǎn)科技園B座3樓生產(chǎn)地址：合肥市高新區(qū)文曲路919號超遠(yuǎn)科技園B座3樓本公司信息安全與信息技術(shù)服務(wù)管理體系的物理范圍安全邊界見附件：《公司敏感場所平面圖》公司的主要過程：包括市場調(diào)研、顧客要求識別、項(xiàng)目設(shè)計(jì)、設(shè)備設(shè)施采購、軟件和服務(wù)過程監(jiān)測、交付與服務(wù)、研發(fā)、經(jīng)維和人員管理等有關(guān)的質(zhì)量、信息安全和IT服務(wù)管理的實(shí)施過程及相關(guān)管理活動。4.4一體化管理體系4.4.1總則本公司依據(jù)ISO/IEC27001-2022《信息安全網(wǎng)絡(luò)安全隱私保護(hù)安全管理體系要求》和ISO/IEC20000.1-2018標(biāo)準(zhǔn)的要求，建立了信息安全/IT服務(wù)管理一體化管理體系、過程及其相互作用，并形成文件，本公司全體員工將有效地貫徹執(zhí)行并持續(xù)改進(jìn)其有效性。4.4.2過程方法本公司按照ISO/IEC27001-2022《信息安全網(wǎng)絡(luò)安全隱私保護(hù)安全管理體系要求》、ISO/IEC27002:2022《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》標(biāo)準(zhǔn)建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理體系、ISO/IEC20000.1-2018標(biāo)準(zhǔn)的要求，運(yùn)用過程方法對本公司的信息安全/IT服務(wù)管理活動進(jìn)行控制，確保信息安全/IT服務(wù)管理一體化管理體系的有效實(shí)施，并實(shí)現(xiàn)本公司的信息安全/IT服務(wù)管理方針和信息安全/IT服務(wù)管理目標(biāo)。本公司通過以下活動對過程實(shí)施控制：本公司對管理體系所需要的過程進(jìn)行確定，針對信息安全管理體系和技術(shù)服務(wù)管理體系采用不同的過程管控（圖1、圖2），并細(xì)化管理要求，編制《過程流程圖》（見附件2）及程序文件對這些過程進(jìn)行系統(tǒng)管理，確定每個(gè)過程所需的輸入和期望的輸出，確定這些過程的順序和相互作用：信息安全管理體系使用的過程基于圖1信息技術(shù)服務(wù)管理體系使用的過程基于圖2制定文件《風(fēng)險(xiǎn)和機(jī)遇應(yīng)對控制程序》，確定產(chǎn)生非預(yù)期的輸出或過程失效對產(chǎn)品和顧客滿意帶來的風(fēng)險(xiǎn)，以及應(yīng)對措施；識別信息安全風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)接受準(zhǔn)則，降低風(fēng)險(xiǎn)影響；制定文件確定過程實(shí)施所需的準(zhǔn)則、方法、測量及相關(guān)的績效指標(biāo)，以確保這些過程的有效運(yùn)行和控制；確定和提供每個(gè)過程實(shí)施所需的資源；規(guī)定每個(gè)過程相關(guān)執(zhí)行人員的職責(zé)和權(quán)限；依照規(guī)定實(shí)施各個(gè)流程,以實(shí)現(xiàn)策劃的結(jié)果;對過程進(jìn)行監(jiān)測和分析,定期進(jìn)行體系評審,必要時(shí)變更過程,以確保過程持續(xù)產(chǎn)生公司期望的結(jié)果；采取改進(jìn)措施，確保持續(xù)改進(jìn)過程以及實(shí)現(xiàn)結(jié)果。5領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)作用與承諾5.1.1針對建立和運(yùn)行一體化管理體系的領(lǐng)導(dǎo)作用與承諾本公司總經(jīng)理承諾在管理過程中實(shí)施以下活動：建立公司一體化管理體系管理方針，并確保方針與組織的戰(zhàn)略方向保持一致以及方針在公司內(nèi)得到理解和實(shí)施；確保將一體化管理體系要求整合到組織業(yè)務(wù)過程；確保對信息技術(shù)服務(wù)生命周期的相關(guān)方進(jìn)行控制和管理；在相關(guān)職能、層次、過程上建立公司管理目標(biāo)，定期對目標(biāo)的完成情況進(jìn)行分析、總結(jié)以及改進(jìn)，確保將一體化管理體系要求納入組織的業(yè)務(wù)運(yùn)作以及實(shí)現(xiàn)管理體系預(yù)期的輸出；建立公司培訓(xùn)系統(tǒng)，定期制定培訓(xùn)計(jì)劃，提高全體員工的過程方法的意識，傳達(dá)有效的體系管理以及滿足管理體系、產(chǎn)品要求、服務(wù)需求和信息安全的重要性；建立合理的公司組織結(jié)構(gòu),確保一體化管理體系所需資源能被獲得；建立有效的溝通渠道,吸納、指導(dǎo)和支持員工參與對公司一體化管理體系的有效性做出貢獻(xiàn)，增強(qiáng)體系持續(xù)改進(jìn)和創(chuàng)新；管理崗位的任命，公司內(nèi)部公開發(fā)布任命書，以支持其他管理者在其負(fù)責(zé)領(lǐng)域證實(shí)其領(lǐng)導(dǎo)作用。定期對一體化管理體系進(jìn)行內(nèi)審和管理評審，以確保體系的適宜性、充分性、有效性。5.1.2對顧客需求和期望的領(lǐng)導(dǎo)作用與承諾本公司總經(jīng)理承諾在管理過程中實(shí)施以下活動：對可能影響信息安全的符合性、顧客滿意的風(fēng)險(xiǎn)得到識別和應(yīng)對；顧客要求得到確定和滿足；保持以穩(wěn)定提供滿足顧客和信息安全相關(guān)法規(guī)要求的產(chǎn)品和服務(wù)為焦點(diǎn)；保持以增強(qiáng)顧客滿意為焦點(diǎn)。注：本標(biāo)準(zhǔn)中對“業(yè)務(wù)”的引用可以廣義地解釋為對公司存在的目的而言是核心的那些活動。5.2管理方針總經(jīng)理負(fù)責(zé)組織制定信息安全/IT服務(wù)管理綜合管理方針，體現(xiàn)滿足顧客要求、法律法規(guī)要求及持續(xù)改進(jìn)的承諾，并使其在各層次得到充分的理解及切實(shí)的執(zhí)行。5.2.1信息安全/IT服務(wù)管理方針的制定原則本公司總經(jīng)理負(fù)責(zé)制定信息安全/IT服務(wù)管理方針，方針應(yīng)滿足以下要求（但不限于）：與本公司的宗旨相適應(yīng)；考慮本公司活動、產(chǎn)品和服務(wù)的特點(diǎn)；包括對滿足產(chǎn)品和服務(wù)適用要求、適用的信息安全相關(guān)要求和持續(xù)改進(jìn)管理體系以提高績效的承諾；提供制定和評審信息安全目標(biāo)/IT服務(wù)目標(biāo)的框架；滿足并履行相關(guān)法律法規(guī)的要求；相關(guān)方的要求與期望；對服務(wù)持續(xù)改進(jìn)的承諾。5.2.2本公司信息安全/IT服務(wù)管理方針詳見本手冊附件。5.2.3管理層通過各種宣傳方式，將信息安全/IT服務(wù)管理方針宣傳到本公司各層次，確保信息安全/IT服務(wù)管理方針得到正確的理解和實(shí)施。5.2.4在每次管理評審會議上，總經(jīng)理應(yīng)組織對信息安全/IT服務(wù)管理方針的持續(xù)適宜性和有效性進(jìn)行評審，并根據(jù)評審結(jié)果對其做出必要的調(diào)整。5.2.5當(dāng)有相關(guān)方需要公司提供信息安全/IT服務(wù)管理方針時(shí)，應(yīng)由綜合管理部及時(shí)提供，并做好發(fā)放記錄。5.3崗位、職責(zé)和權(quán)限本公司編制《部門職責(zé)》和各崗位人員職責(zé)和權(quán)限明確規(guī)定各部門與崗位的職責(zé)、權(quán)限和相互關(guān)系。制定并執(zhí)行《信息交流與溝通控制程序》，對內(nèi)、外部的溝通進(jìn)行規(guī)定。部門和崗位職責(zé)等通過綜合管理部進(jìn)行招聘、崗位人員能力評價(jià)、培訓(xùn)和績效考核等方式進(jìn)行告知或進(jìn)一步溝通，使所有員工完全了解所屬部門和本人崗位職責(zé)和權(quán)限，尤其熟知在信息安全/IT服務(wù)管理一體化管理體系運(yùn)行中的崗位責(zé)任，明確管理意識。5.3.1公司各部門的信息安全/IT服務(wù)管理職能分配情況分別參見附件4：信息安全職能分配表、附件5：IT服務(wù)管理職能分配表。各部門的相互關(guān)系在信息安全/IT服務(wù)管理一體化管理體系結(jié)構(gòu)圖中明確，參見附件3：組織結(jié)構(gòu)圖。5.3.2部門和各崗位的職責(zé)見《部門職責(zé)》和各崗位人員職責(zé)和權(quán)限。5.3.2.1總經(jīng)理a)全面領(lǐng)導(dǎo)公司的日常工作，向公司傳達(dá)滿足顧客和法律法規(guī)要求的重要性；b)參加公司例會會議，討論研究經(jīng)營管理工作中的重大問題，檢查和部署工作；c)制定公司信息安全/IT服務(wù)管理方針、信息安全/IT服務(wù)管理目標(biāo)；d)批準(zhǔn)管理手冊；e)主持管理評審；f)具有管理和部門負(fù)責(zé)人以上干部的任免權(quán)，一般干部和員工的聘任權(quán)；g)確保管理體系運(yùn)行所必要的資源配備h)確保產(chǎn)品和服務(wù)實(shí)現(xiàn)過程風(fēng)險(xiǎn)、組織信息安全風(fēng)險(xiǎn)和運(yùn)維服務(wù)風(fēng)險(xiǎn)的管理。5.3.2.2管理者代表總經(jīng)理任命行政總監(jiān)擔(dān)任管理者代表，詳見附件6：管理者代表任命書。a)負(fù)責(zé)建立、實(shí)施和保持本公司的一體化管理體系所需的過程的有效運(yùn)行；負(fù)責(zé)組織貫徹落實(shí)公司的信息安全/IT服務(wù)管理的方針、目標(biāo)；b)負(fù)責(zé)向總經(jīng)理報(bào)告一體化管理體系的業(yè)績，包括改進(jìn)的需求；c)在整個(gè)組織內(nèi)提高滿足顧客要求意識、風(fēng)險(xiǎn)的控制、信息安全風(fēng)險(xiǎn)的防范意識；d)就本公司信息安全/IT服務(wù)管理一體化管理體系的有關(guān)事宜，與外部各方聯(lián)絡(luò)；e)負(fù)責(zé)組織內(nèi)審工作；f)負(fù)責(zé)組織對體系過程的監(jiān)視和測量管理。5.3.2.3綜合管理部信息安全/IT服務(wù)管理一體化管理體系的建立和運(yùn)行主控部門。5.3.2.4信息安全管理小組（信息管理部）信息安全管理小組為非專設(shè)機(jī)構(gòu)，由總經(jīng)理為主任，由行政總監(jiān)和綜合管理部、營銷中心、研發(fā)中心、信息管理部負(fù)責(zé)人組成，常設(shè)辦公地點(diǎn)在信息管理部，信息管理部負(fù)責(zé)人主持日常工作。代表總經(jīng)理負(fù)責(zé)公司整體信息安全管理工作，推動信息安全工作的實(shí)施；協(xié)助制定信息安全方針、信息安全管理目標(biāo)；負(fù)責(zé)審核信息安全小組提交的信息安全管理體系、規(guī)范及管理辦法；負(fù)責(zé)決策與信息安全管理相關(guān)的重大事項(xiàng)，包括信息安全組織機(jī)構(gòu)調(diào)整、信息安全關(guān)鍵人事變動以及信息安全管理重大策略變更、確認(rèn)可接受的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)水平等；評審與監(jiān)督重大信息安全事故的處理與改進(jìn)；定期組織信息安全/IT服務(wù)管理體系（ISMS/ITSMS）評審等。5.3.2.5其它部門的職責(zé)、權(quán)限見《部門職責(zé)》。5.3.3崗位職責(zé)、權(quán)限和任職條件公司各崗位的職責(zé)、權(quán)限和任職條件的描述參見相應(yīng)的各崗位人員職責(zé)和權(quán)限?！恫块T職責(zé)》由綜合管理部統(tǒng)一編制、行政總監(jiān)審核、總經(jīng)理批準(zhǔn)。綜合管理部負(fù)責(zé)受控以及備案已被審批的《部門職責(zé)》，綜合管理部以及崗位歸屬部門各保留一份。各崗位人員職責(zé)和權(quán)限包含該崗位的工作概述、具體工作職責(zé)、工作協(xié)調(diào)關(guān)系、管理權(quán)限、任職資格等內(nèi)容信息。具體包含信息，編制部門依據(jù)崗位需要進(jìn)行控制。6策劃6.1應(yīng)對風(fēng)險(xiǎn)和機(jī)遇的措施6.1.1當(dāng)策劃信息安全和信息技術(shù)服務(wù)管理體系時(shí)，要考慮公司面臨的內(nèi)外部環(huán)境、相關(guān)方的要求和期望，制定《風(fēng)險(xiǎn)和機(jī)遇應(yīng)對控制程序》，明確風(fēng)險(xiǎn)和機(jī)遇的識別方法/途徑、風(fēng)險(xiǎn)和機(jī)遇事件的評估方式、制定主要風(fēng)險(xiǎn)和機(jī)遇的應(yīng)對措施的要求、評價(jià)這些措施有效性的方法。a)確保信息安全和信息技術(shù)服務(wù)管理體系能實(shí)現(xiàn)預(yù)期的結(jié)果；b)防止或減少意外的影響；c)實(shí)現(xiàn)持續(xù)改進(jìn)。6.1.2公司策劃以下文件化信息：a)有關(guān)的風(fēng)險(xiǎn)1）組織；2）不滿足信息安全和信息技術(shù)服務(wù)要求；3）信息技術(shù)服務(wù)生命中的相關(guān)方。b)風(fēng)險(xiǎn)對客戶的影響和信息安全、服務(wù)管理體系及其機(jī)遇；c)風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)；d)風(fēng)險(xiǎn)管理的方法。6.1.3公司應(yīng)策劃a)應(yīng)對風(fēng)險(xiǎn)和機(jī)遇的措施及優(yōu)先級；b)如何1）將這些措施整合到信息安全和信息技術(shù)服務(wù)管理體系過程中，并予以實(shí)現(xiàn)；2）評價(jià)這些措施的有效性。6.1.4信息安全風(fēng)險(xiǎn)評估信息安全管理小組組織制定《信息安全風(fēng)險(xiǎn)評估控制程序》,建立識別適用于信息安全管理體系和已經(jīng)識別業(yè)務(wù)的信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評估方法,建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識別風(fēng)險(xiǎn)的可接受等級。信息安全風(fēng)險(xiǎn)評估執(zhí)行《信息安全風(fēng)險(xiǎn)評估控制程序》進(jìn)行,以保證所選擇的風(fēng)險(xiǎn)評估方法應(yīng)確保風(fēng)險(xiǎn)評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。a)識別風(fēng)險(xiǎn)在已確定的信息安全管理體系范圍內(nèi),本公司按《信息安全風(fēng)險(xiǎn)評估控制程序》對所有的資產(chǎn)和資產(chǎn)所有者進(jìn)行了識別;對每一項(xiàng)資產(chǎn)保密性、完整性、可用性和法律法規(guī)及重要性級別進(jìn)行了量化賦值,根據(jù)重要資產(chǎn)判斷準(zhǔn)則確定是否為重要資產(chǎn),形成《重要信息資產(chǎn)清單》。同時(shí)根據(jù)《信息安全風(fēng)險(xiǎn)評估控制程序》識別對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、現(xiàn)有的控制措施及現(xiàn)有控制措施的有效性,并通過對這些項(xiàng)目的賦值計(jì)算出在喪失保密性、完整性和可用性可能對重要資產(chǎn)造成的影響。信息安全資產(chǎn)清單需對風(fēng)險(xiǎn)的所有者進(jìn)行指定。b)分析和評價(jià)風(fēng)險(xiǎn)本公司按《信息安全風(fēng)險(xiǎn)評估控制程序》分析和評價(jià)風(fēng)險(xiǎn):1)針對重要資產(chǎn)的價(jià)值和脆弱性嚴(yán)重程度,計(jì)算出風(fēng)險(xiǎn)發(fā)生的影響值;2)針對每一項(xiàng)威脅發(fā)生頻率、脆弱性被威脅利用的容易程度進(jìn)行賦值,然后計(jì)算得出風(fēng)險(xiǎn)發(fā)生的可能性;3)根據(jù)《信息安全風(fēng)險(xiǎn)評估控制程序》計(jì)算風(fēng)險(xiǎn)等級,從而得出風(fēng)險(xiǎn)等級;4)根據(jù)《信息安全風(fēng)險(xiǎn)評估控制程序》及風(fēng)險(xiǎn)接受準(zhǔn)則,判斷風(fēng)險(xiǎn)為可接受或需要處理。c)信息安全風(fēng)險(xiǎn)處置綜合管理部及相關(guān)部門根據(jù)風(fēng)險(xiǎn)評估的結(jié)果,形成《信息安全風(fēng)險(xiǎn)處理計(jì)劃》,該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。對于信息安全風(fēng)險(xiǎn),應(yīng)考慮控制措施與費(fèi)用的平衡原則,選用以下適當(dāng)?shù)拇胧?1)控制風(fēng)險(xiǎn),采用適當(dāng)?shù)膬?nèi)部控制措施;2)接受風(fēng)險(xiǎn)，承擔(dān)風(fēng)險(xiǎn)損失;3)避免風(fēng)險(xiǎn);4)轉(zhuǎn)移風(fēng)險(xiǎn)。d)選擇控制目標(biāo)與控制措施信息安全管理小組根據(jù)相關(guān)法律法規(guī)要求、信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評估的結(jié)果,組織有關(guān)部門選擇和制定了信息安全目標(biāo),并將目標(biāo)分解到有關(guān)部門(見《信息安全控制適用性聲明(SOA)》):1)信息安全控制目標(biāo)獲得總經(jīng)理的批準(zhǔn)。2)控制目標(biāo)及控制措施的選擇原則來源于ISO/IEC27001-2022《信息安全網(wǎng)絡(luò)安全隱私保護(hù)安全管理體系要求》附錄A,具體控制措施參考ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》。3)本公司根據(jù)信息安全管理的需要,可以選擇標(biāo)準(zhǔn)之外的其他控制措施。e)殘余風(fēng)險(xiǎn)對風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)應(yīng)形成《信息安全殘余風(fēng)險(xiǎn)評估報(bào)告》并得到公司管理者的批準(zhǔn)。f)適用性聲明信息管理部編制《信息安全控制適用性聲明(SOA)》，該聲明包括以下方面的內(nèi)容:1)所選擇控制目標(biāo)與控制措施的概要描述,以及選擇的原因;2)對ISO/IEC27001-2022《信息安全網(wǎng)絡(luò)安全隱私保護(hù)安全管理體系要求》錄A中未選用的控制目標(biāo)及控制措施理由的說明。g)法律法規(guī)和其它要求本公司通過建立并保持《法律法規(guī)獲取更新與合規(guī)性評價(jià)程序》，用來確定：1)適用于本公司信息安全和IT服務(wù)管理的法律要求及應(yīng)遵守的其他管理要求；2)建立獲取這些法律和要求的渠道；3)這些要求對其風(fēng)險(xiǎn)和信息安全的適用性；4)本公司確保在建立、實(shí)施和保持一體化管理體系時(shí)，對它應(yīng)遵守的法律要求和其他要求加以考慮，通過收集適用的法律法規(guī)和其它要求，為遵守法律法規(guī)和其它要求創(chuàng)造前提，以提高企業(yè)和員工遵守法律法規(guī)和其它要求的自覺性；5)公司及時(shí)更新有關(guān)法規(guī)和其他要求的信息，并將這些信息傳達(dá)給員工和其他有關(guān)的相關(guān)方。6.2管理目標(biāo)及其實(shí)施的策劃總經(jīng)理負(fù)責(zé)組織對信息安全/IT服務(wù)管理目標(biāo)及其實(shí)施的策劃，該策劃是針對實(shí)現(xiàn)信息安全/IT服務(wù)管理方針，在公司的相關(guān)職能、層次、過程上確定信息安全/IT服務(wù)管理目標(biāo)，確保信息安全/IT服務(wù)管理目標(biāo)實(shí)施所需的資源和過程得到識別、實(shí)施、策劃。6.2.1信息安全/IT服務(wù)管理目標(biāo)a)總經(jīng)理應(yīng)確保在本公司內(nèi)部相關(guān)職能和層次上建立信息安全/IT服務(wù)管理目標(biāo)。信息安全/IT服務(wù)管理目標(biāo)應(yīng)充分體現(xiàn)信息安全/IT服務(wù)管理方針的精神，并考慮過程風(fēng)險(xiǎn)控制、信息安全及服務(wù)風(fēng)險(xiǎn)、技術(shù)能力、運(yùn)營、財(cái)務(wù)、相關(guān)方觀點(diǎn)及相關(guān)法律法規(guī)的要求。必要時(shí)需在各相應(yīng)部門的層次上展開分解。次級目標(biāo)/指標(biāo)作為對公司總體信息安全/IT服務(wù)管理目標(biāo)的支持，應(yīng)與總目標(biāo)保持一致，目標(biāo)應(yīng)具體，指標(biāo)應(yīng)具有可測量性。b)各項(xiàng)信息安全/IT服務(wù)管理目標(biāo)必須形成書面文件，并發(fā)布執(zhí)行。對信息安全/IT服務(wù)管理目標(biāo)與指標(biāo)的達(dá)成情況將在定期的管理評審及日常監(jiān)測中進(jìn)行審查，并在正式的內(nèi)部溝通過程中進(jìn)行總結(jié)交流，確保對目標(biāo)達(dá)成情況的監(jiān)控。c)詳見附件1：信息安全/IT服務(wù)管理方針和目標(biāo)。6.2.2服務(wù)管理的目標(biāo)和要求服務(wù)管理的目標(biāo)和要求是指針對公司提供軟件及系統(tǒng)運(yùn)行維護(hù)服務(wù)計(jì)劃要達(dá)到的具體服務(wù)目標(biāo)。該目標(biāo)和要求根據(jù)運(yùn)維服務(wù)需求的不同而有所區(qū)別，應(yīng)根據(jù)服務(wù)計(jì)劃制定。服務(wù)管理的目標(biāo)和要求要服從IT服務(wù)管理目標(biāo)。6.3IT服務(wù)管理的策劃方法IT服務(wù)管理策劃應(yīng)成為組織管理體系過程的一部分，用于將顧客服務(wù)要求和管理者的意圖轉(zhuǎn)化為服務(wù)，并為指導(dǎo)服務(wù)的進(jìn)程提供一份路線圖。6.3.1服務(wù)管理計(jì)劃多重的服務(wù)管理計(jì)劃也是一個(gè)大的服務(wù)管理方案。將每個(gè)策劃要求與相應(yīng)的角色、職責(zé)和規(guī)程聯(lián)系起來進(jìn)行管理，服務(wù)提供方基本的服務(wù)管理過程應(yīng)相互保持一致。服務(wù)管理計(jì)劃宜包括：a)服務(wù)管理(或一部分服務(wù)管理)的實(shí)施；b)服務(wù)管理過程的交付；c)服務(wù)管理過程的變更；d)服務(wù)管理過程的改進(jìn)；e)新服務(wù)(相對于在協(xié)商一致的服務(wù)管理范圍內(nèi)影響過程的程度而言)。6.3.2服務(wù)管理計(jì)劃要考慮的事項(xiàng)服務(wù)管理計(jì)劃宜顧及服務(wù)管理過程和由下列事件引起的服務(wù)變更：a)服務(wù)改進(jìn)；b)服務(wù)變更；c)基礎(chǔ)設(shè)施標(biāo)準(zhǔn)化；d)法律的變更；e)法規(guī)的變更，例如地方稅率變更；f)部門規(guī)章的發(fā)布或廢止；g)合并和采購。6.3.3服務(wù)管理計(jì)劃的范圍和內(nèi)容服務(wù)管理計(jì)劃宜定義：a)服務(wù)提供方的服務(wù)管理范圍；b)服務(wù)管理要實(shí)現(xiàn)的目標(biāo)和要求；c)為實(shí)現(xiàn)定義的目標(biāo)必須的資源、設(shè)施和預(yù)算；d)崗位和職責(zé)的分配；e)服務(wù)管理過程之間的接口以及協(xié)調(diào)各活動和過程的方式；f)識別、評估和管理與目標(biāo)相關(guān)的事項(xiàng)和風(fēng)險(xiǎn)所采取的方法；g)按日期排定的資金、技術(shù)和資源等時(shí)間表；h)變更計(jì)劃和計(jì)劃中定義的服務(wù)分方法；i)服務(wù)提供方如何證實(shí)持續(xù)的服務(wù)質(zhì)量控制；j)將執(zhí)行的過程；k)支持過程的適當(dāng)工具。6.4變更的策劃6.4.1信息安全/IT服務(wù)管理一體化管理體系策劃a)總經(jīng)理組織對本公司信息安全/IT服務(wù)管理一體化管理體系進(jìn)行策劃，即對實(shí)現(xiàn)方針、目標(biāo)所需的資源和過程進(jìn)行策劃。詳細(xì)參見附件：過程流程圖。b)根據(jù)本公司的實(shí)際情況及標(biāo)準(zhǔn)、顧客的要求，本公司對信息安全/IT服務(wù)管理一體化管理體系的建立進(jìn)行了周密的策劃，在總體上涵蓋ISO/IEC27001-2022《信息安全網(wǎng)絡(luò)安全隱私保護(hù)安全管理體系要求》和ISO/IEC20000.1-2018標(biāo)準(zhǔn)的所有要素，形成了信息安全/IT服務(wù)管理手冊、程序文件及工作指引，將所有影響信息安全/IT服務(wù)管理的過程納入了控制范疇。6.4.2對信息安全/IT服務(wù)管理一體化管理體系的變更的策劃應(yīng)經(jīng)總經(jīng)理批準(zhǔn)，并由管理者代表有計(jì)劃地進(jìn)行。同時(shí)，在對信息安全/IT服務(wù)管理一體化管理體系的更改進(jìn)行策劃和實(shí)施時(shí)，保持信息安全/IT服務(wù)管理一體化管理體系的完整性。6.5策劃和實(shí)施新服務(wù)或變更的服務(wù)服務(wù)提供方應(yīng)確保新服務(wù)和對服務(wù)的變更，按各方協(xié)商一致的成本和服務(wù)質(zhì)量交付和管理。6.5.1新的或變更的服務(wù)需考慮的主題策劃新的或變更的服務(wù)宜評審如下方面：a)預(yù)算；b)員工資源；c)現(xiàn)有的服務(wù)級別；d)服務(wù)級別協(xié)議(SLA)和其他目標(biāo)或服務(wù)承諾；e)現(xiàn)有的服務(wù)管理過程、規(guī)程和文件；f)服務(wù)管理范圍，包括以前的范圍之外的服務(wù)管理過程的實(shí)施。6.5.2變更記錄所有服務(wù)變更宜反映在變更管理記錄中。這包括如下計(jì)劃：a)員工招聘或再培訓(xùn)；b)位置變更；c)用戶培訓(xùn)；d)變更的交流；c)支撐技術(shù)特性的變更；f)服務(wù)的正式關(guān)閉。6.5.3新的或變更的服務(wù)的實(shí)施a)新服務(wù)或變更服務(wù)的實(shí)施應(yīng)按照《新的或變更的服務(wù)管理程序》的要求，通過正式變更管理來策劃和批準(zhǔn)。b)在進(jìn)入實(shí)際運(yùn)行環(huán)境之前，新服務(wù)或變更的服務(wù)應(yīng)由服務(wù)提供方進(jìn)行驗(yàn)收。c)服務(wù)提供方應(yīng)在實(shí)施后，針對策劃的內(nèi)容報(bào)告新服務(wù)或變更的服務(wù)實(shí)施結(jié)果。通過變更管理過程的安排進(jìn)行實(shí)施后的評審，比較實(shí)際結(jié)果與策劃內(nèi)容的符合程度。6.6服務(wù)交付過程的策劃6.6.1服務(wù)級別管理（SLM）a)服務(wù)目錄服務(wù)提供方負(fù)責(zé)與相關(guān)部門溝通，制訂公司的《服務(wù)目錄》。服務(wù)目錄應(yīng)定義所有服務(wù)，并包含服務(wù)名稱、服務(wù)目標(biāo)或標(biāo)準(zhǔn)、聯(lián)系接口、服務(wù)提供時(shí)間和例外、安全方面的考慮和安排。

《服務(wù)目錄》是公司所提供的運(yùn)維服務(wù)內(nèi)容的匯總，公司與客戶簽署服務(wù)級別協(xié)議（SLA）時(shí)應(yīng)參考《服務(wù)目錄》。

服務(wù)提供方應(yīng)該根據(jù)當(dāng)前的服務(wù)能力對《服務(wù)目錄》進(jìn)行更新與維護(hù)。b)服務(wù)級別協(xié)議（SLA）根據(jù)公司的戰(zhàn)略策劃、資源要求及客戶需求，服務(wù)提供方在與營銷和其他相關(guān)部門溝通、確定SLA時(shí)，應(yīng)考慮：1)可接受持續(xù)損失服務(wù)的最大周期；2)可接受降級服務(wù)的最大周期；3)服務(wù)恢復(fù)時(shí)，可接受降級服務(wù)級別。C）服務(wù)提供方簽訂《SLA服務(wù)級別協(xié)議》應(yīng)明確：1)服務(wù)要求和期望服務(wù)工作量特征的協(xié)議;2)服務(wù)目標(biāo)協(xié)議;3)服務(wù)級別實(shí)現(xiàn);4)工作量的測量和報(bào)告;5)服務(wù)目標(biāo)不能完成的分析與說明。

d)服務(wù)提供方應(yīng)依據(jù)與客戶簽訂的SLA以及《服務(wù)級別管理程序》的要求，組織簽署與供應(yīng)商之間的支持合同（或協(xié)議），并應(yīng)由相關(guān)方定期評審。

e)當(dāng)出現(xiàn)重要業(yè)務(wù)變更時(shí)，服務(wù)提供方應(yīng)及時(shí)與服務(wù)內(nèi)部團(tuán)體溝通，按原過程重新組織相關(guān)部門，調(diào)整、修訂《SLA服務(wù)級別協(xié)議》，并作為服務(wù)改進(jìn)計(jì)劃的輸入。6.6.2服務(wù)報(bào)告及內(nèi)容要求根據(jù)服務(wù)提供方提供服務(wù)的可靠信息，及時(shí)做出服務(wù)決策和有效的溝通，按要求編制經(jīng)過與客戶協(xié)商一致的、可靠的和準(zhǔn)確的服務(wù)報(bào)告。a)服務(wù)提供方應(yīng)就向客戶提交的《服務(wù)報(bào)告》的內(nèi)容與客戶協(xié)商并達(dá)成一致。

b)服務(wù)提供方擬制內(nèi)部《服務(wù)報(bào)告》，對計(jì)劃間隔內(nèi)的客戶服務(wù)狀況、問題趨勢、服務(wù)數(shù)據(jù)、SLA目標(biāo)實(shí)現(xiàn)等進(jìn)行匯總、統(tǒng)計(jì)和分析，組織召開月度服務(wù)質(zhì)量分析會議，形成會議紀(jì)要后發(fā)放。

c)服務(wù)報(bào)告主要包括的內(nèi)容：1)執(zhí)行服務(wù)級別目標(biāo)的績效；2)違反SLA、安全管理要求等的不符合項(xiàng)和結(jié)論；3)工作量特征，如能力、資源利用；4)報(bào)告主要事件、變更；5)定期趨勢信息；6)客戶滿意度分析。

d)服務(wù)報(bào)告應(yīng)及時(shí)、清晰、可靠和簡明，便于分析、決策和有效溝通。

e)當(dāng)出現(xiàn)有關(guān)IT服務(wù)系統(tǒng)配置項(xiàng)的變更時(shí)，服務(wù)提供方應(yīng)按《IT服務(wù)變更管理程序》的要求執(zhí)行。6.6.3服務(wù)連續(xù)性和可用性管理策劃a)服務(wù)連續(xù)性和可用性需求

服務(wù)提供方應(yīng)當(dāng)評估和記錄服務(wù)的連續(xù)性和服務(wù)可用性的風(fēng)險(xiǎn)。并確定與客戶和有關(guān)各方就服務(wù)的連續(xù)性和可用性要求達(dá)成一致。同時(shí)應(yīng)對業(yè)務(wù)計(jì)劃的適用性、服務(wù)要求、SLA和風(fēng)險(xiǎn)予以考慮。

與客戶確定的服務(wù)連續(xù)性和可用性要求致少包括：

1)獲得服務(wù)的權(quán)利；

2)服務(wù)響應(yīng)時(shí)間；

3)點(diǎn)對點(diǎn)服務(wù)的可用性。

b)服務(wù)提供方應(yīng)按照《服務(wù)連續(xù)性和可用性管理程序》的要求，擬制服務(wù)《服務(wù)連續(xù)性和可用性計(jì)劃》，根據(jù)客戶業(yè)務(wù)優(yōu)先級、服務(wù)級別協(xié)議和評估的風(fēng)險(xiǎn)，按設(shè)計(jì)的工作量計(jì)劃維護(hù)有效的服務(wù)能力，并與《服務(wù)級別協(xié)議》的目標(biāo)保持一致。應(yīng)考慮：1)IT服務(wù)連續(xù)性和可用性計(jì)劃考慮可用性的要求和目標(biāo)以及對服務(wù)和系統(tǒng)組成的關(guān)系；

2)應(yīng)清晰的分配調(diào)用IT服務(wù)連續(xù)性和可用性計(jì)劃的責(zé)任，并清晰的計(jì)劃對每個(gè)目標(biāo)采取措施的責(zé)任；3)備份服務(wù)恢復(fù)所需的數(shù)據(jù)、文件、軟件、任何設(shè)備和必要員工，在重大服務(wù)失敗或?yàn)?zāi)難時(shí)，保持快速有效反應(yīng)；

4)在遠(yuǎn)程的安全地點(diǎn)，所有IT服務(wù)連續(xù)性和可用性文件應(yīng)存儲和維護(hù)至少一份，與其他必要的設(shè)備保存在一起；

5)當(dāng)不能正常進(jìn)入服務(wù)位置時(shí)，可獲得服務(wù)的連續(xù)性計(jì)劃，聯(lián)系人名單和配置管理數(shù)據(jù)庫（CMDB）；

6)針對服務(wù)的連續(xù)性計(jì)劃和可行性計(jì)劃的變化需求，服務(wù)部應(yīng)組織相關(guān)部門評估其影響、監(jiān)視和測量《服務(wù)連續(xù)性和可用性計(jì)劃》，具體要求見第九章。6.6.4IT服務(wù)的預(yù)算a)服務(wù)的預(yù)算和核算過程與其它財(cái)務(wù)管理流程之間應(yīng)有的接口。

b)應(yīng)當(dāng)有以下內(nèi)容的策略和書面流程：

1)應(yīng)對支出進(jìn)行預(yù)算，以便開展有效的財(cái)務(wù)控制和為決策制定提供服務(wù)支持；

2)服務(wù)提供方應(yīng)當(dāng)監(jiān)測和報(bào)告預(yù)算的支出，審查財(cái)務(wù)預(yù)算，從而管理成本；

注：服務(wù)提供方對服務(wù)費(fèi)進(jìn)行記賬時(shí)，對預(yù)算編制和核算范圍的服務(wù)過程中不包括賒賬。c)服務(wù)提供方應(yīng)根據(jù)國家的有關(guān)法律法規(guī)和財(cái)務(wù)政策，以及公司的業(yè)務(wù)策略（包括產(chǎn)品策略、銷售策略、服務(wù)策略等），組織擬定、審核運(yùn)維服務(wù)的總體性和階段性的IT服務(wù)費(fèi)用預(yù)算及成本標(biāo)準(zhǔn)。

d)服務(wù)的預(yù)算和核算應(yīng)至少包括：1)IT資產(chǎn)（包括提供服務(wù)的保險(xiǎn)和許可證等）；

2)共享資源；

3)日常管理費(fèi)用；

4)資本和運(yùn)營開支；

5)外部提供的供應(yīng)和服務(wù)；

6)人員、設(shè)施費(fèi)用；

7)將間接成本和直接成本分配給各項(xiàng)服務(wù)，為每個(gè)服務(wù)提供一個(gè)整體成本；

8)有效的財(cái)務(wù)控制和審批。

e)服務(wù)提供方根據(jù)公司業(yè)務(wù)發(fā)展戰(zhàn)略、公司現(xiàn)有的SLA要求，及運(yùn)維服務(wù)業(yè)務(wù)的特點(diǎn)，按服務(wù)計(jì)劃的內(nèi)容，組織擬制服務(wù)階段性的費(fèi)用預(yù)算計(jì)劃，經(jīng)財(cái)務(wù)部匯總、報(bào)批后實(shí)施。

f)在預(yù)算期間出現(xiàn)的服務(wù)變更引起的預(yù)算變化，相關(guān)部門應(yīng)按變更管理流程的要求執(zhí)行預(yù)算變更申請。

g)在對《服務(wù)級別協(xié)議》進(jìn)行評審時(shí)，服務(wù)提供方應(yīng)根據(jù)公司策略，評估實(shí)現(xiàn)服務(wù)目標(biāo)和需求的成本，并根據(jù)確定的服務(wù)級別協(xié)議跟蹤成本的變化。

h)服務(wù)提供方應(yīng)根據(jù)預(yù)算跟蹤財(cái)務(wù)變化，并對超出預(yù)算要求的變化，提前向相關(guān)部門提出預(yù)警信號。核算的要求見第八章。6.6.5服務(wù)能力（容量）管理計(jì)劃服務(wù)提供方為確保在所有的時(shí)間內(nèi)具有足夠能力滿足當(dāng)前的和將來的與客戶商定的運(yùn)維服務(wù)要求。a)服務(wù)提供方負(fù)責(zé)現(xiàn)有IT服務(wù)系統(tǒng)能力水平的策劃，根據(jù)《能力管理程序》的要求，制訂《能力計(jì)劃》，應(yīng)在計(jì)劃中描述業(yè)務(wù)需求，應(yīng)包括：

1)現(xiàn)行的和預(yù)計(jì)的服務(wù)需求；

2)協(xié)議要求對可用性、服務(wù)的連續(xù)性和服務(wù)級別的預(yù)期影響；

3)升級服務(wù)容量的時(shí)間范圍、閥值和成本；

4)法律、法規(guī)、合同或組織變更的潛在影響；

5)新技術(shù)、新工藝的潛在影響；

6)能夠進(jìn)行預(yù)測分析的程序，或它們的引用。

7)人員能力、技術(shù)可行性、信息和為達(dá)到SLA所要求的服務(wù)級別目標(biāo)和業(yè)務(wù)需求所應(yīng)具備的條件。

b)服務(wù)提供方應(yīng)當(dāng)與客戶和有關(guān)方面確定并認(rèn)同容量和性能要求,當(dāng)出現(xiàn)臨時(shí)的新增或變更服務(wù)引起容量計(jì)劃需要進(jìn)行變更時(shí)應(yīng)通過變更管理過程來控制。C)服務(wù)提供方應(yīng)當(dāng)監(jiān)測容量的使用，分析容量數(shù)據(jù)并優(yōu)化性能。每年都應(yīng)重新制定或修訂一次容量計(jì)劃，以滿足服務(wù)需求的成本選擇和確保達(dá)到SLA中協(xié)商一致的服務(wù)級別目標(biāo)及其解決方案要求。服務(wù)提供方應(yīng)提供足夠的能力以完成協(xié)議容量和性能要求。容量的監(jiān)視和測量見第九章。7支持7.1資源7.1.1總則本公司最高管理層負(fù)責(zé)以適當(dāng)方式確定并提供必需的資源（包括人力資源、信息處理設(shè)備設(shè)施、工作環(huán)境等），并對其進(jìn)行有效的管理，以保證本公司信息安全/IT服務(wù)管理一體化管理體系的建立和保持。公司對各類資源及能源進(jìn)行有效管理，在保證正常運(yùn)作的情況下盡可能節(jié)約資源及能源，使資源及能源的利用率最大。針對公司所選擇的任何影響產(chǎn)品符合要求的外包過程，確保對其實(shí)施控制。本公司現(xiàn)識別的外包過程：無。7.1.2人員公司為有效實(shí)施信息安全/IT服務(wù)管理一體化管理體系的運(yùn)行和實(shí)施過程控制提供相關(guān)崗位人員。公司各部門的崗位人員提供由綜合管理部負(fù)責(zé)。各部門根據(jù)本部門人力資源狀況結(jié)合崗位人員職責(zé)和權(quán)限的工作職責(zé)和任職條件提出用人申請，經(jīng)主管領(lǐng)導(dǎo)審批報(bào)綜合管理部。綜合管理部按公司《人力資源管理程序》和崗位任職條件規(guī)定，招聘、試用和錄用適合的崗位人員。對應(yīng)聘者的教育、培訓(xùn)、工作經(jīng)歷、經(jīng)驗(yàn)、個(gè)人道德規(guī)范和遵紀(jì)守法狀況進(jìn)行核查，核查應(yīng)遵循相關(guān)法律法規(guī)和通用道德規(guī)范進(jìn)行，核查的結(jié)果確認(rèn)錄用崗位應(yīng)與從事的業(yè)務(wù)要求、可訪問的信息的等級要求和核查發(fā)現(xiàn)的風(fēng)險(xiǎn)等相適應(yīng)；員工入職后時(shí)應(yīng)簽署聘用合同，除規(guī)定勞動法規(guī)規(guī)定的要求外，還要簽訂入職公司后承擔(dān)對信息安全的職責(zé)、違反要求及造成后果的法律和經(jīng)濟(jì)責(zé)任。錄用后持續(xù)對崗位人員進(jìn)行考核，適用時(shí)，接受與其崗位職責(zé)相關(guān)的意識教育和培訓(xùn)、公司方針政策及應(yīng)遵守的規(guī)章制度和流程的培訓(xùn)，以保證提供的崗位人員滿足崗位要求；在員工的崗位任用變更、終止或解除勞動關(guān)系時(shí)，應(yīng)規(guī)定離職后的競業(yè)限制要求、對信息安全職責(zé)和責(zé)任的持續(xù)有效的要求，尤其是保密和信息資產(chǎn)安全要求。7.1.3信息處理設(shè)備設(shè)施的管理本公司通過建立固定資產(chǎn)管理制度對信息安全/IT服務(wù)管理一體化管理體系運(yùn)行中必要的信息處理設(shè)備設(shè)施進(jìn)行控制，以確保生產(chǎn)和服務(wù)活動有效進(jìn)行。信息管理部負(fù)責(zé)信息處理設(shè)備的采購、調(diào)撥、控制和監(jiān)督；信息處理設(shè)備使用部門負(fù)責(zé)各自部門的設(shè)備管理、使用和維護(hù)工作。a)信息處理設(shè)備設(shè)施包括：1)與計(jì)算機(jī)軟件設(shè)計(jì)開發(fā)和軟件系統(tǒng)運(yùn)行維護(hù)服務(wù)等相適應(yīng)的支持服務(wù)所需要的設(shè)施等及相應(yīng)的裝備（如通電、通水、通路、通訊、環(huán)保設(shè)施、信息系統(tǒng)和各類安全設(shè)施）；

2)配置適用的支持性設(shè)備設(shè)施，如車輛、工具。b)信息處理設(shè)備設(shè)施的維修保養(yǎng)

1)由信息管理部安排進(jìn)行日常的維護(hù)，因工作及業(yè)務(wù)需要的建筑物裝修、改造及添置辦公設(shè)施，由有關(guān)部門提出申請，由綜合管理部統(tǒng)一安排；

2)信息管理部根據(jù)軟件開發(fā)產(chǎn)品、運(yùn)維服務(wù)的實(shí)際要求配置設(shè)計(jì)和生產(chǎn)設(shè)施、設(shè)備、工具，各部門按要求對設(shè)備設(shè)施進(jìn)行管理；

3)信息管理部按軟件開發(fā)產(chǎn)品、運(yùn)維服務(wù)項(xiàng)目的設(shè)備、設(shè)施的要求合理配置配備，各部門按要求管理，并日常檢查設(shè)施維護(hù)保養(yǎng)的執(zhí)行情況。

7.1.4過程環(huán)境和安全區(qū)域根據(jù)公司作業(yè)的具體需要，公司考慮工作環(huán)境中必要的人性和生理因素，確保員工的職業(yè)安全、健康和心情愉快，保證公司信息處理區(qū)域的安全，包括：a)健康和安全條件；b)作業(yè)方法；c)工作態(tài)度；d)周圍工作環(huán)境e)物理的、環(huán)境的和其它因素（如噪聲、溫度、濕度、照明或天氣等）。7.1.5IT服務(wù)配置管理策劃服務(wù)提供方要按服務(wù)需求定義和控制服務(wù)所需基礎(chǔ)設(shè)施的部件，保持準(zhǔn)確的配置信息。a)服務(wù)提供方應(yīng)根據(jù)《配置管理程序》的要求，評估所有與IT服務(wù)相關(guān)的重要資產(chǎn)和配置項(xiàng)，識別、定義、維護(hù)IT服務(wù)和基礎(chǔ)設(shè)施的組件，明確配置項(xiàng)之間的關(guān)系、屬性和作用，定義命名規(guī)范、版本號，制訂和實(shí)施《配置分類定義表》，以確保有效管理IT資產(chǎn)和配置。

b)每個(gè)配置項(xiàng)均有唯一標(biāo)識，并記錄在配置管理數(shù)據(jù)庫（CMDB）中,同時(shí)每個(gè)配置項(xiàng)記錄的信息記錄應(yīng)包括:

1)配置項(xiàng)的說明；

2)配置項(xiàng)和其它配置項(xiàng)之間的關(guān)系；

3)配置項(xiàng)和服務(wù)組件之間的關(guān)系；

4)狀態(tài)；

5)版本；

6)位置；

7)有關(guān)更改請求；

8)相關(guān)的問題和已知錯(cuò)誤。

c)被管理的配置項(xiàng)主要包括：1)信息系統(tǒng)和軟件（包括第三方軟件）的發(fā)布；2)相關(guān)系統(tǒng)文檔，例如要求規(guī)格說明、設(shè)計(jì)、測試報(bào)告、發(fā)布文檔；3)每個(gè)應(yīng)用環(huán)境配置基線、或描述應(yīng)用環(huán)境、標(biāo)準(zhǔn)硬件組成和發(fā)布、備份和電子資料庫；4)如最終軟件庫（DSL）；5)配置管理包或工具；6)許可證；7)安全組件，如防火墻；8)服務(wù)相關(guān)文檔，如服務(wù)級別協(xié)議、活動程序；9)服務(wù)支持設(shè)施，如機(jī)房電源。

d)服務(wù)提供方根據(jù)配置項(xiàng)之間的關(guān)系、屬性、狀態(tài)類別、重要程度和優(yōu)先級，確定配置管理數(shù)據(jù)庫的范圍、分解的層數(shù)、詳細(xì)的程度，完成配置管理數(shù)據(jù)庫的構(gòu)建。

e)服務(wù)提供方制訂《項(xiàng)目配置計(jì)劃》，并每年末進(jìn)行更新。主要包括：1)配置管理的范圍、目標(biāo)、策略、標(biāo)準(zhǔn)角色和責(zé)任；2)配置管理過程定義服務(wù)和基礎(chǔ)設(shè)施中配置項(xiàng)，配置控制變更，記錄和報(bào)告配置項(xiàng)情況，證實(shí)配置項(xiàng)的完整性和正確性責(zé)任；3)可檢索、可審計(jì)的要求，如出于安全、法律、規(guī)章或業(yè)務(wù)目的；4)配置控制（訪問、保護(hù)、版本、開發(fā)、發(fā)布控制）；5)交互控制過程，及信息接口和發(fā)布；6)資源管理策劃和建立，以便使資產(chǎn)和配置受控，并維持配置管理系統(tǒng)，如培訓(xùn)活動；7)與配置相關(guān)的供應(yīng)商管理要求和活動。

f)服務(wù)提供方在配置管理過程中應(yīng)監(jiān)控配置項(xiàng)的整個(gè)生命周期，確保只有被授權(quán)且可識別的配置項(xiàng)才被接受，并記錄從接受到銷毀的全過程；沒有被認(rèn)可的變更請求，不能添加、修改、替換或刪除配置項(xiàng)。

g)服務(wù)提供方應(yīng)保存有效的配置記錄，以反映配置項(xiàng)狀態(tài)、位置和版本的變化，并通過各種狀態(tài)監(jiān)控配置項(xiàng)的變更，例如訂購、接收、測試、使用、變更、拆卸、取消。配置項(xiàng)的控制見第八章。配置項(xiàng)的更新信息應(yīng)作為項(xiàng)目配置計(jì)劃和變更管理的輸入。7.1.6發(fā)布策略和發(fā)布策劃發(fā)布管理目標(biāo)是在實(shí)際運(yùn)行環(huán)境中，交付、分發(fā)并追蹤一個(gè)或多個(gè)服務(wù)變更。發(fā)布管理應(yīng)協(xié)調(diào)服務(wù)提供方、服務(wù)供應(yīng)商及業(yè)務(wù)活動，策劃和在分布的環(huán)境中交付某個(gè)發(fā)布。服務(wù)提供方根據(jù)《IT服務(wù)變更管理程序》的要求，結(jié)合業(yè)務(wù)對信息系統(tǒng)、基礎(chǔ)設(shè)施、服務(wù)和文檔等進(jìn)行策劃，識別發(fā)布的內(nèi)容、種類、層次、影響等，制訂發(fā)布策略來配置發(fā)布活動，包括：a)發(fā)布頻度和類型；b)發(fā)布管理的角色和責(zé)任；c)發(fā)布測試和實(shí)施的授權(quán)；d)所有發(fā)布的唯一標(biāo)識和描述；e)分組變更以進(jìn)行版本發(fā)布；f)為提高效率和可重復(fù)性，建立、安裝、發(fā)布分發(fā)過程自動化方法；g)發(fā)布的驗(yàn)證和接受。服務(wù)提供方制定《發(fā)布計(jì)劃》，確保影響信息系統(tǒng)、基本設(shè)施、服務(wù)和文檔的變更是經(jīng)協(xié)商一致，并經(jīng)授權(quán)批準(zhǔn)安排和可追蹤的。發(fā)布和試運(yùn)行、驗(yàn)證和驗(yàn)收及發(fā)布和試運(yùn)行后的控制見第八章。7.2能力本公司制定并執(zhí)行《人力資源管理程序》和《部門職責(zé)》、各崗位人員職責(zé)和權(quán)限任職條件，對從事影響產(chǎn)品和服務(wù)要求符合性工作的人員、從事信息安全/IT服務(wù)管理的安全管理和服務(wù)有關(guān)的崗位，都必須按不同崗位及所承擔(dān)工作任務(wù)的需要委派合適的人員，并通過教育和培訓(xùn)確保公司員工都具備相應(yīng)的專業(yè)技能、信息安全/IT服務(wù)管理意識或?qū)I(yè)能力要求。本公司各工作崗位，均須明確崗位職責(zé)，并根據(jù)崗位工作需要確定任職人員的基本要求，包括文化程度、工作經(jīng)歷、培訓(xùn)和特殊資格要求。任職人員的能力鑒定，由人力資源按《人力資源管理程序》和《部門職責(zé)》、各崗位人員職責(zé)和權(quán)限任職條件的規(guī)定組織進(jìn)行，鑒定結(jié)果經(jīng)各部門責(zé)任人審核（必要時(shí)，還應(yīng)報(bào)請主管審批）后委派人員到崗。崗位任職資格的鑒定包括新入職員工和一體化管理體系開始執(zhí)行時(shí)的在職員工。人力資源定期對各崗位員工的能力保持和實(shí)際工作表現(xiàn)進(jìn)行考核評價(jià)，定期評價(jià)結(jié)果應(yīng)全面反映各崗位員工的實(shí)際工作能力、接受的培訓(xùn)、專業(yè)資格和服務(wù)意識。7.3意識7.3.1各部門根據(jù)實(shí)際工作需求對員工培訓(xùn)需求進(jìn)行識別，確定不同的培訓(xùn)要求，并形成相應(yīng)的員工培訓(xùn)計(jì)劃。培訓(xùn)需求的類型包括：員工的入職培訓(xùn)；信息安全/IT服務(wù)管理意識教育；信息安全/IT服務(wù)管理業(yè)務(wù)知識和專業(yè)技能培訓(xùn)；信息安全/IT服務(wù)管理特殊工作所需的資格培訓(xùn)等。7.3.2培訓(xùn)工作必須按計(jì)劃、有組織地進(jìn)行，各部門均有責(zé)任配合人力資源開展培訓(xùn)工作。各項(xiàng)具體培訓(xùn)活動都必須明確培訓(xùn)的目的、內(nèi)容、考核方式及負(fù)責(zé)組織的部門/人員，人力資源負(fù)責(zé)監(jiān)督培訓(xùn)的實(shí)施及控制。7.3.3人力資源負(fù)責(zé)結(jié)合培訓(xùn)考核、意見反饋和實(shí)際工作表現(xiàn)，定期對培訓(xùn)效果進(jìn)行評估，以利改進(jìn)培訓(xùn)活動。7.3.4培訓(xùn)活動的開展及效果評價(jià)，必須包含：a)遵守信息安全/IT服務(wù)管理方針和滿足本公司信息安全/IT服務(wù)管理一體化管理體系要求的重要性；b)各崗位員工的作業(yè)活動對信息安全/IT服務(wù)管理會產(chǎn)生現(xiàn)實(shí)的或潛在的影響；c)提高個(gè)人能力的好處；d)在遵守信息安全/IT服務(wù)管理方針和程序以及滿足本公司信息安全/IT服務(wù)管理一體化管理體系的要求方面，各崗位員工的角色和職責(zé)；e)背離規(guī)定的程序可能導(dǎo)致的結(jié)果。7.3.5各項(xiàng)培訓(xùn)活動結(jié)束后均應(yīng)按《人力資源管理程序》培訓(xùn)的規(guī)定進(jìn)行記錄。7.4溝通7.4.1內(nèi)部溝通和外部信息交流為確保信息安全/IT服務(wù)管理一體化管理體系的內(nèi)部、外部信息交流的暢通有效，公司建立并保持《信息交流與溝通控制程序》。7.4.2信息的來源與職責(zé)a)綜合管理部負(fù)責(zé)公司與上級主管部門、園區(qū)、公司附近居民及團(tuán)體之間的環(huán)境和信息安全等信息交流，負(fù)責(zé)接收及統(tǒng)籌處理公司內(nèi)、外部門所反饋的信息，是公司內(nèi)外信息的反饋、處理中樞；b)營銷中心負(fù)責(zé)公司與顧客之間信息安全/IT服務(wù)管理過程信息的交流，負(fù)責(zé)內(nèi)部產(chǎn)品質(zhì)量信息的交流；綜合管理部負(fù)責(zé)信息安全/IT服務(wù)管理一體化管理體系日常監(jiān)控；內(nèi)、外部審核；管理評審等；c)信息管理部和營銷中心負(fù)責(zé)公司與供應(yīng)商、承包方之間信息安全/IT服務(wù)管理過程的信息的交流；d)綜合管理部負(fù)責(zé)與相關(guān)質(zhì)監(jiān)、安監(jiān)、環(huán)保、安全、保密等部門之間的信息安全/IT服務(wù)管理過程的信息交流；e)各部門負(fù)責(zé)部門內(nèi)信息安全/IT服務(wù)管理過程的信息的反饋、傳達(dá)，并按規(guī)定落實(shí)有關(guān)信息安全/IT服務(wù)管理過程的信息的處理措施。7.4.3交流內(nèi)容法津、法規(guī)等對信息安全/IT服務(wù)管理的要求，外部相關(guān)方的產(chǎn)品和服務(wù)信息安全要求信息，有關(guān)產(chǎn)品和服務(wù)風(fēng)險(xiǎn)防范和信息安全資料，公司的信息安全/IT服務(wù)管理方針、目標(biāo)，公司信息安全/IT服務(wù)管理一體化管理體系的監(jiān)測、審核、管理評審的結(jié)果，顧客相關(guān)投訴，公司的信息安全/IT服務(wù)管理績效及信息安全/IT服務(wù)管理改進(jìn)情況，信息安全/IT服務(wù)管理事故等一切與信息安全/IT服務(wù)管理相關(guān)的信息均可作為交流的內(nèi)容。7.4.4公司內(nèi)各級人員都有責(zé)任和義務(wù)對所發(fā)現(xiàn)的信息安全/IT服務(wù)管理問題逐級向上反饋，受理者對此應(yīng)妥善處理，并做好必要的記錄。7.4.5公司自上而下的采用提案、會議、通知、電話、網(wǎng)絡(luò)、公告、發(fā)文、培訓(xùn)、日常報(bào)表等各種方式向全體員工傳達(dá)信息安全/IT服務(wù)管理等信息。7.4.6公司各部門負(fù)責(zé)與業(yè)務(wù)范圍內(nèi)的相關(guān)方進(jìn)行外部信息交流，交流時(shí)做好必要的確認(rèn)、查詢、處理和記錄等，對涉及到產(chǎn)品和服務(wù)信息安全風(fēng)險(xiǎn)的外部信息的處理與答復(fù)，須經(jīng)管理者代表批準(zhǔn)認(rèn)可后再由相關(guān)部門實(shí)施。7.4.7公司通過網(wǎng)站等方式向社會公開公司信息安全/IT服務(wù)管理安全方針。7.5形成文件的信息7.5.1總則公司根據(jù)ISO/IEC27001-2022《信息安全網(wǎng)絡(luò)安全隱私保護(hù)安全管理體系要求》和ISO/IEC20000.1-2018標(biāo)準(zhǔn)的要求，結(jié)合本公司的特點(diǎn)，建立和維持文件化的信息安全/IT服務(wù)管理一體化管理體系，并建立《文件和資料控制程序》和《記錄控制程序》，明確公司文件的管理要求，以保證公司通過規(guī)范化的管理，實(shí)現(xiàn)公司的信息安全/IT服務(wù)管理目標(biāo)，向顧客提供滿意的產(chǎn)品和服務(wù)。文件化的信息安全/IT服務(wù)管理一體化管理體系覆蓋公司所有影響產(chǎn)品和服務(wù)的信息安全/IT服務(wù)管理的業(yè)務(wù)過程。公司制訂書面程序，明確規(guī)定公司各類文件和資料的發(fā)放范圍和控制方法，確保信息安全/IT服務(wù)管理一體化管理體系的各個(gè)場所都能得到相應(yīng)文件的有效版本，防止誤用。公司對文件系統(tǒng)控制的職責(zé)明確如下：a)總經(jīng)理任命管理者代表，管理者代表負(fù)責(zé)組織信息安全/IT服務(wù)管理一體化管理體系文件的編制、發(fā)行和更改的控制；b)職能部門負(fù)責(zé)對外部門外來文件接收，本部門文件的制定、審核和更改控制。c)綜合管理部負(fù)責(zé)信息安全/IT服務(wù)管理體系文件的編號、發(fā)布、回收及作廢控制。7.5.2編制和更新文件編制由各職能部門根據(jù)職能工作需要組織人員編制，經(jīng)部門審核后報(bào)綜合管理部；綜合管理部對文件進(jìn)行分類、編號、統(tǒng)一格式，報(bào)管理者代表審批，需要時(shí)報(bào)總經(jīng)理批準(zhǔn)；公司的文件形式按制度、規(guī)定、條例、規(guī)程、作業(yè)指導(dǎo)和流程圖等體現(xiàn)不同的管理作用，載體媒介可以紙質(zhì)、電子、張貼看板等表述；任何文件必須經(jīng)過審批后方生效。文件的更改由編制部門提出申請，重新進(jìn)行申報(bào)和審核流程。更替后的舊版本文件由發(fā)放部門回收并記錄，加蓋標(biāo)識后存檔待用。7.5.3文件控制a)信息安全/IT服務(wù)管理一體化管理體系文件本公司信息安全/IT服務(wù)管理一體化管理體系文件的構(gòu)成包括：1)一體化管理手冊2)一體化管理方針和目標(biāo)3)信息安全控制的適用性聲明SOA；信息安全風(fēng)險(xiǎn)處置計(jì)劃；信息安全殘余風(fēng)險(xiǎn)評估報(bào)告；服務(wù)管理計(jì)劃；服務(wù)級別協(xié)議SLA。4)信息安全/IT服務(wù)管理程序文件5)信息安全/IT服務(wù)管理工作指引、技術(shù)文件6)信息安全/IT服務(wù)管理記錄、表格b)管理手冊管理手冊是信息安全/IT服務(wù)管理一體化管理體系最高層次的文件，規(guī)定了公司信息安全/IT服務(wù)管理方針，明確了公司的組織機(jī)構(gòu)設(shè)置、部門的職責(zé)、權(quán)限和相互關(guān)系，規(guī)定了信息安全/IT服務(wù)管理一體化管理體系運(yùn)行所需的程序文件，界定了人力、物力信息資源的管理的內(nèi)容和要求，描述了公司對主要業(yè)務(wù)過程控制的基本原則。c)信息安全/IT服務(wù)管理一體化管理方針和目標(biāo)信息安全/IT服務(wù)管理綜合管理方針，體現(xiàn)滿足顧客要求、法律法規(guī)要求及持續(xù)改進(jìn)的承諾，并使其在各層次得到充分的理解及切實(shí)的執(zhí)行。是公司管理體系運(yùn)行的綱領(lǐng)性策略文件。信息安全/IT服務(wù)管理目標(biāo)應(yīng)充分體現(xiàn)信息安全/IT服務(wù)管理方針的精神，并考慮質(zhì)量管理過程的風(fēng)險(xiǎn)和機(jī)遇、信息安全風(fēng)險(xiǎn)、技術(shù)能力、運(yùn)營、財(cái)務(wù)、相關(guān)方觀點(diǎn)及相關(guān)法律法規(guī)的要求。必要時(shí)尚需在各相應(yīng)部門的層次上展開分解。按標(biāo)準(zhǔn)要求，必須形成書面文件，并發(fā)布執(zhí)行。d)信息安全控制的適用性聲明SOA；信息安全風(fēng)險(xiǎn)處置計(jì)劃；信息安全殘余風(fēng)險(xiǎn)評估報(bào)告，信息安全管理體系進(jìn)行風(fēng)險(xiǎn)控制的必要文件。e)實(shí)施運(yùn)維服務(wù)的服務(wù)管理計(jì)劃；服務(wù)級別協(xié)議SLA。f)信息安全/IT服務(wù)管理程序文件程序文件是公司信息安全/IT服務(wù)管理一體化管理體系的第二層文件，它描述了各部門與信息安全/IT服務(wù)管理等相關(guān)的運(yùn)作過程的控制方法，是具有操作性的管理性文件，并規(guī)定了所需的工作指引和記錄表格。g)工作指引、技術(shù)文件工作指引明確規(guī)定了完成各項(xiàng)工作的方法和技術(shù)細(xì)節(jié)，工作指引是程序文件的補(bǔ)充和支持性文件，并提供了查詢記錄表格的路徑。技術(shù)文件包含了與產(chǎn)品有關(guān)的技術(shù)要求。國家、行業(yè)標(biāo)準(zhǔn)、法規(guī)及顧客提供的技術(shù)文件包括在該層文件中。具體有：1)工作指引·設(shè)計(jì)開發(fā)和服務(wù)作業(yè)指導(dǎo)文件·測試標(biāo)準(zhǔn)·測試設(shè)備校準(zhǔn)文件·設(shè)備設(shè)施維修、保養(yǎng)作業(yè)指導(dǎo)文件·信息安全風(fēng)險(xiǎn)控制作業(yè)指導(dǎo)文件和管理文件?IT服務(wù)管理的專業(yè)性業(yè)務(wù)規(guī)程2)技術(shù)文件·設(shè)計(jì)和服務(wù)輸出·企業(yè)標(biāo)準(zhǔn)·技術(shù)規(guī)格h)文件適宜性評審及更改公司應(yīng)定期對管理體系文件的適宜性進(jìn)行評審，以保證管理體系文件的有效性。文件的修改通常由該文件的原審批部門進(jìn)行審批，當(dāng)專門指定其它部門審批時(shí)，該部門應(yīng)獲得審批所依據(jù)的有關(guān)背景資料。根據(jù)實(shí)際使用需要，更改的文件應(yīng)按程序規(guī)定的方式進(jìn)行標(biāo)識。對作廢的文件應(yīng)按規(guī)定的程序收回處理、或進(jìn)行適宜的標(biāo)識。i)外來文件的控制公司將按規(guī)定的程序和途徑接收或獲取策劃和運(yùn)行管理體系所必須的外來文件，對所接收或收集的外來文件將按類別建立外來文件清單，并按規(guī)定的程序?qū)ν鈦砦募M(jìn)行必要的審定、轉(zhuǎn)化和跟蹤，以確保公司均使用有效的外來文件。當(dāng)公司引用國家或行業(yè)標(biāo)準(zhǔn)、其他相關(guān)方管理和技術(shù)文件時(shí)，應(yīng)明確規(guī)定使用的適用范圍和內(nèi)容及章節(jié)。7.5.4信息安全/IT服務(wù)管理記錄的管理a)公司建立《文件和資料控制程序》和《記錄控制程序》，明確對生產(chǎn)及服務(wù)過程中產(chǎn)生的各類信息安全/IT服務(wù)管理記錄（包括電子媒體產(chǎn)生和保存的信息安全/IT服務(wù)管理記錄）的控制要求，包括對信息安全/IT服務(wù)管理記錄的標(biāo)識、收集、歸檔、保存、查閱和銷毀的控制要求。公司對信息安全/IT服務(wù)管理記錄管理的職責(zé)明確如下：1)信息管理部負(fù)責(zé)明確規(guī)定信息安全/IT服務(wù)管理記錄的控制要求；2)各部門負(fù)責(zé)相關(guān)信息安全/IT服務(wù)管理記錄的收集、保管。b)公司各部門根據(jù)信息安全/IT服務(wù)管理記錄的性質(zhì)，規(guī)定信息安全/IT服務(wù)管理記錄的類別。對各類信息安全/IT服務(wù)管理記錄的標(biāo)識、收集、歸檔規(guī)定控制要求。各相關(guān)部門按照規(guī)定，對形成的各類信息安全/IT服務(wù)管理記錄進(jìn)行收集并歸檔。各部門規(guī)定各類信息安全/IT服務(wù)管理記錄的保存期限，各相關(guān)部門按規(guī)定期限收集并移交信息安全/IT服務(wù)管理記錄給保管部門。各部門將保證信息安全/IT服務(wù)管理記錄在保存過程中避免因保管條件的不足導(dǎo)致?lián)p壞，按照程序進(jìn)行信息安全/IT服務(wù)管理記錄的歸檔和保管，并確保各類信息安全/IT服務(wù)管理一體化管理體系運(yùn)行過程能及時(shí)查閱，并控制信息安全/IT服務(wù)管理記錄的銷毀。對電子媒介保存的信息安全/IT服務(wù)管理記錄的控制要求按規(guī)定的要求執(zhí)行。8運(yùn)行8.1運(yùn)行策劃和控制公司應(yīng)針對為滿足信息安全與信息技術(shù)服務(wù)要求及實(shí)現(xiàn)確定的控制措施制訂相關(guān)的程序和規(guī)章制度，所需的過程予以策劃、實(shí)施和控制。組織也應(yīng)實(shí)施計(jì)劃以實(shí)現(xiàn)確定的信息安全與信息技術(shù)服務(wù)目標(biāo)。公司應(yīng)詳細(xì)記錄信息安全與信息技術(shù)服務(wù)管理體系運(yùn)行過程中的各種信息數(shù)據(jù)，以確保信息安全與信息技術(shù)服務(wù)管理體系是否正在按照計(jì)劃有效運(yùn)行。當(dāng)公司信息安全與信息技術(shù)服務(wù)方針、目標(biāo)、工作計(jì)劃和程序、控制措施等發(fā)生變更時(shí)，應(yīng)進(jìn)行管理。計(jì)劃的變更要按照計(jì)劃進(jìn)行控制；非預(yù)期的變更要評審變更的影響，確保變更沒有負(fù)面的影響，必要時(shí)采取措施