ISMS手冊信息安全管理IT服務(wù)管理體系手冊1

/信息安全管理IT服務(wù)管理體系手冊發(fā)布令本公司按照ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》和ISO27001：2005《信息安全管理體系要求》以與本公司業(yè)務(wù)特點(diǎn)編制《信息安全管理&IT服務(wù)管理體系手冊》，建立與本公司業(yè)務(wù)相一致的信息安全與IT服務(wù)管理體系，現(xiàn)予以頒布實(shí)施。本手冊是公司法規(guī)性文件，用于貫徹公司信息安全管理方針和目標(biāo)，貫徹IT服務(wù)管理理念方針和服務(wù)目標(biāo)。為實(shí)現(xiàn)信息安全管理與IT服務(wù)管理，開展持續(xù)改進(jìn)服務(wù)質(zhì)量，不斷提高客戶滿意度活動(dòng)，加強(qiáng)信息安全建設(shè)的綱領(lǐng)性文件和行動(dòng)準(zhǔn)則。是全體員工必須遵守的原則性規(guī)范。體現(xiàn)公司對社會(huì)的承諾，通過有效的PDCA活動(dòng)向顧客提供滿足要求的信息安全管理和IT服務(wù)。本手冊符合有關(guān)信息安全法律法規(guī)要求以與ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》、ISO27001：2005《信息安全管理體系要求》和公司實(shí)際情況。為能更好的貫徹公司管理層在信息安全與IT服務(wù)管理方面的策略和方針，根據(jù)ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》和ISO27001：2005《信息安全管理體系要求》的要求任命XXXXX為管理者代表，作為本公司組織和實(shí)施“信息安全管理與IT服務(wù)管理體系”的負(fù)責(zé)人。直接向公司管理層報(bào)告。全體員工必須嚴(yán)格按照《信息安全管理&IT服務(wù)管理體系手冊》要求，自覺遵守本手冊各項(xiàng)要求，努力實(shí)現(xiàn)公司的信息安全與IT服務(wù)的方針和目標(biāo)。管理者代表職責(zé)：a)建立服務(wù)管理計(jì)劃；b)向組織傳達(dá)滿足服務(wù)管理目標(biāo)和持續(xù)改進(jìn)的重要性；e)確定并提供策劃、實(shí)施、監(jiān)視、評審和改進(jìn)服務(wù)交付和管理所需的資源，如招聘合適的人員，管理人員的更新；確保按照ISO207001:2005標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評估，全面建立、實(shí)施和保持信息安全管理體系；按照ISO/IEC20000《信息技術(shù)服務(wù)管理－規(guī)范》的要求，組織相關(guān)資源，建立、實(shí)施和保持IT服務(wù)管理體系，不斷改進(jìn)IT服務(wù)管理體系，確保其有效性、適宜性和符合性。負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；向公司管理層報(bào)告IT服務(wù)管理體系的業(yè)績，如：服務(wù)方針和服務(wù)目標(biāo)的業(yè)績、客戶滿意度狀況、各項(xiàng)服務(wù)活動(dòng)與改進(jìn)的要求和結(jié)果等。確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)；審核風(fēng)險(xiǎn)評估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃；批準(zhǔn)發(fā)布程序文件；主持信息安全管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報(bào)告；向最高管理者報(bào)告信息安全管理體系的業(yè)績和改進(jìn)要求，包括信息安全管理體系運(yùn)行情況、內(nèi)外部審核情況。7．推動(dòng)公司各部門領(lǐng)導(dǎo)，積極組織全體員工，通過工作實(shí)踐、教育培訓(xùn)、業(yè)務(wù)指導(dǎo)等方式不斷提高員工對滿足客戶需求的重要性的認(rèn)知程度，以與為達(dá)到公司服務(wù)管理目標(biāo)所應(yīng)做出的貢獻(xiàn)。總經(jīng)理：日期：

信息安全方針和信息安全目標(biāo)信息安全方針：信息安全人人有責(zé)本公司信息安全管理方針包括內(nèi)容如下：一、信息安全管理機(jī)制1．公司采用系統(tǒng)的方法，按照ISO/IEC27001:2005建立信息安全管理體系，全面保護(hù)本公司的信息安全。二、信息安全管理組織2．公司總經(jīng)理對信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。3．公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。4．在公司內(nèi)部建立信息安全組織機(jī)構(gòu)，信息安全管理委員會(huì)和信息安全協(xié)調(diào)機(jī)構(gòu)，保證信息安全管理體系的有效運(yùn)行。5．與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動(dòng)態(tài)，獲得對信息安全管理的支持。三、人員安全6．信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動(dòng)合同、崗位職責(zé)中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對崗位調(diào)動(dòng)或離職人員，應(yīng)與時(shí)調(diào)整安全職責(zé)和權(quán)限。7．對本公司的相關(guān)方，要明確安全要求和安全職責(zé)。8．定期對全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識(shí)。以提高安全意識(shí)。9．全體員工與相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。四、識(shí)別法律、法規(guī)、合同中的安全10．與時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。五、風(fēng)險(xiǎn)評估11．根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。12．采用先進(jìn)的風(fēng)險(xiǎn)評估技術(shù)和軟件，定期進(jìn)行風(fēng)險(xiǎn)評估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評估。13．應(yīng)根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。六、報(bào)告安全事件14．公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門。15．全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。16．接受信息安全事件報(bào)告的主管部門應(yīng)記錄所有報(bào)告，與時(shí)做出相應(yīng)的處理，并向報(bào)告人員反饋處理結(jié)果。七、監(jiān)督檢查17．定期對信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。八、業(yè)務(wù)持續(xù)性18．公司根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計(jì)劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠與時(shí)恢復(fù)。19．定期對業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測試和更新。九、違反信息安全要求的懲罰20．對違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。信息安全目標(biāo)：1.不可接受風(fēng)險(xiǎn)處理率：100%（所有不可接受風(fēng)險(xiǎn)應(yīng)降低到可接受的程度）。2.重大顧客因信息安全事件投訴為0次（重大顧客投訴是指直接經(jīng)濟(jì)損失金額達(dá)1萬元以上）

信息安全管理手冊說明1．1公司簡介XX1.1編制依據(jù)和目的本手冊在遵循ISO9001：2005《信息安全管理體系要求》與ISO/IEC20000《信息技術(shù)服務(wù)管理－規(guī)范》的要求編制而成，包括了ISO27001：2005的全部要求，對附錄A的刪減見《適用性聲明SoA》。手冊描述公司的信息安全管理體系的總要求，以確保公司的信息安全管理體系能夠達(dá)到ISO27001：2005信息安全管理標(biāo)準(zhǔn)的要求；滿足本公司向客戶提供IT服務(wù)所需的IT基礎(chǔ)設(shè)施和IT技術(shù)支持服務(wù)，適用于向客戶或認(rèn)證機(jī)構(gòu)證實(shí)，本公司具備提供符合客戶需求的IT服務(wù)能力和服務(wù)質(zhì)量。本公司的體系程序是手冊的支持性文件，是對體系運(yùn)作的具體描述。1.2適用范圍信息安全管理&IT服務(wù)管理體系手冊適用于本公司提供安全管理體系認(rèn)證服務(wù)與IT服務(wù)有關(guān)的所有部門和活動(dòng)。1．3術(shù)語和定義1．3．1本手冊應(yīng)用ISO/IEC20000中的術(shù)語與定義。1．3．2本手冊應(yīng)用ISO/IEC27001中的術(shù)語與定義。2信息安全管理&IT服務(wù)管理手冊的管理2．1手冊的編制、批準(zhǔn)和發(fā)布2．1．1按照公司業(yè)務(wù)發(fā)展戰(zhàn)略和客戶需求，經(jīng)公司管理者代表批準(zhǔn)，技術(shù)服務(wù)事業(yè)部組織相關(guān)人員，結(jié)合本公司業(yè)務(wù)特點(diǎn)，根據(jù)ISO/IEC20000標(biāo)準(zhǔn)的要求編寫。2．1．2《IT服務(wù)管理手冊》由公司管理者代表批準(zhǔn)后發(fā)布。2．2手冊的分發(fā)2．2．1技術(shù)服務(wù)事業(yè)部負(fù)責(zé)手冊的發(fā)放、更新、管理與存檔。2．2．2公司各部門負(fù)責(zé)手冊的使用和保管。2．3手冊的受控狀態(tài)2．3．1書面形式的手冊分“有效文件”和“保留文件”兩種形式。作為公司日常運(yùn)營的依據(jù)與提供給外部認(rèn)證機(jī)構(gòu)的手冊均為“有效文件”形式。2．3．2當(dāng)手冊內(nèi)容變更時(shí)，“有效文件”形式的手冊應(yīng)與時(shí)予以更新和發(fā)放。2．3．3“有效文件”形式的文件在更新后，如需保存原來的版本，以便于追溯，則應(yīng)當(dāng)用“保留文件”的標(biāo)識(shí)予以區(qū)分。2．3．4電子形式的手冊由技術(shù)服務(wù)事業(yè)部在工作流轉(zhuǎn)系統(tǒng)中進(jìn)行管理。2．4手冊的變更2．4．1因公司戰(zhàn)略調(diào)整、客戶需求或改進(jìn)活動(dòng)等引起的手冊內(nèi)容的變更，按公司總經(jīng)理指示，技術(shù)服務(wù)事業(yè)部組織相關(guān)部門對涉與變更的內(nèi)容進(jìn)行更新，并經(jīng)公司總經(jīng)理批準(zhǔn)后發(fā)布。2．4．2更新后的手冊，應(yīng)與時(shí)地發(fā)放給公司內(nèi)部原手冊持有者，并收回舊版的手冊。對電子形式的手冊，由技術(shù)服務(wù)事業(yè)部按工作流轉(zhuǎn)系統(tǒng)中的管理規(guī)則進(jìn)行更新和歸檔管理。2．5公司內(nèi)部手冊持有者的責(zé)任2．5．1與公司或部門內(nèi)部的相關(guān)人員溝通、學(xué)習(xí)手冊的要求并遵照執(zhí)行。2．5．2妥善保管，不得私自更改、曲解手冊的內(nèi)容。不得隨意向其他與公司業(yè)務(wù)無關(guān)的第三方傳播，如需提供公司以外的第三方參考，應(yīng)經(jīng)技術(shù)服務(wù)事業(yè)部提交公司主管副總經(jīng)理審核后，報(bào)公司總經(jīng)理批準(zhǔn)。

3公司架構(gòu)和安全承諾3.1公司行政組織架構(gòu)總經(jīng)理總經(jīng)理文檔培訓(xùn)倉庫采購人力資源財(cái)務(wù)物流銷售市場測試質(zhì)量保證質(zhì)管部實(shí)文檔培訓(xùn)倉庫采購人力資源財(cái)務(wù)物流銷售市場測試質(zhì)量保證質(zhì)管部實(shí)施研發(fā)綜合管理部生技部商務(wù)部3.2公司信息安全管理體系組織架構(gòu)圖總經(jīng)理總經(jīng)理管理者代表商務(wù)部生技部綜合管理部副管理者代表研發(fā)實(shí)施質(zhì)管部質(zhì)量保證測試客戶服務(wù)部銷售物流財(cái)務(wù)人力資源采購倉庫培訓(xùn)文檔安全委員會(huì)注：每個(gè)虛線框內(nèi)為一個(gè)信息安全小組，部門的負(fù)責(zé)人為安全組長，各崗位負(fù)責(zé)人為該崗位的安全員。

3．3公司IT服務(wù)管理職能關(guān)系架構(gòu)圖3.4信息安全承諾◆公司成立安全管理委員會(huì)來領(lǐng)導(dǎo)信息安全工作，并確定相應(yīng)的職責(zé)和作用?！糁朴喰畔踩结樅托畔踩繕?biāo)，建立和完善公司的信息安全管理體系?！籼峁┏浞值馁Y源以保證信息安全管理體系的制定、實(shí)施、運(yùn)作、監(jiān)控、維護(hù)和改善?！魧拘畔①Y產(chǎn)實(shí)行有效管理，確保信息的機(jī)密性，維持信息的完整性和可用性，防范對信息的未經(jīng)授權(quán)訪問。對公司信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估，制定風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)，對公司不能接受的風(fēng)險(xiǎn)進(jìn)行處置?！艚I(yè)務(wù)持續(xù)性管理流程。進(jìn)行業(yè)務(wù)持續(xù)性風(fēng)險(xiǎn)評估，編寫、測試并實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃，以保證公司關(guān)鍵業(yè)務(wù)的連續(xù)，不受重大故障和災(zāi)難的影響?！舸_保公司所有員工都接受信息安全的教育培訓(xùn)，提高信息安全意識(shí)?！舯Ｗo(hù)公司、客戶、相關(guān)合作方的信息安全?！艚⒐拘畔踩M織架構(gòu)，明確信息安全責(zé)任，確定報(bào)告可疑的和發(fā)生的信息安全事故與事件的流程，對違反安全制度的人員進(jìn)行懲罰?！艚⑽锢戆踩途W(wǎng)絡(luò)安全管理制度，以確保信息的安全性。◆保護(hù)公司軟件和信息的完整性，防止病毒與各種惡意軟件的入侵?！羧魏稳嗽谖唇?jīng)審批的情況下，禁止將信息資產(chǎn)帶離公司?！艄舅袉T工都要嚴(yán)格遵守公司的安全方針、程序和制度?！艨刂茖?nèi)外部網(wǎng)絡(luò)服務(wù)的訪問，保護(hù)網(wǎng)絡(luò)服務(wù)的安全性與可用性。◆對用戶賬號、口令和權(quán)限進(jìn)行嚴(yán)格管理，防止對信息系統(tǒng)的非授權(quán)訪問?！魧χ匾畔⑦M(jìn)行備份保護(hù)，以保證信息的可用性。◆定期對信息安全管理體系進(jìn)行內(nèi)審和管理評審。

3.5信息安全管理委員會(huì)為了加強(qiáng)對信息安全管理體系運(yùn)作的管理，江蘇金馬揚(yáng)名信息技術(shù)有限公司公司成立信息安全管理委員會(huì)，其職責(zé)見下列明細(xì)表。信息安全管理職責(zé)明細(xì)表序號單位/部門信息安全職責(zé)1信息安全管理委員會(huì)信息安全管理委員會(huì)是我公司信息安全最高組織機(jī)構(gòu)，負(fù)責(zé)本單位網(wǎng)絡(luò)與信息安全重大事項(xiàng)的決策和協(xié)調(diào)，并對全公司信息安全工作負(fù)責(zé)。2總經(jīng)理信息安全第一責(zé)任人，制定信息安全方針，對信息安全全面負(fù)責(zé)。3管理者代表經(jīng)總經(jīng)理授權(quán)負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系。4綜合管理部我公司信息安全管理體系的歸口管理部門。負(fù)責(zé)管理體系的建立、實(shí)施、保持、測量和改進(jìn)。負(fù)責(zé)文件控制、記錄控制、內(nèi)部審核的組織、管理評審的組織和體系的改進(jìn)。負(fù)責(zé)本公司保密工作的管理。安全區(qū)域的保衛(wèi)管理部門，負(fù)責(zé)安全區(qū)域的管理。負(fù)責(zé)全公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、意識(shí)和培訓(xùn)，員工離職管理。負(fù)責(zé)涉密信息上網(wǎng)、涉密計(jì)算機(jī)運(yùn)行、檢修、報(bào)廢的監(jiān)督管理。對信息安全日常工作實(shí)施動(dòng)態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容。參與涉密與司法介入的信息安全事件的調(diào)查。5生產(chǎn)技術(shù)部是我公司信息系統(tǒng)安全管理部門。負(fù)責(zé)局域網(wǎng)上所承擔(dān)的各類信息系統(tǒng)的管理職能；負(fù)責(zé)我公司信息系統(tǒng)安全日常管理。6其他部門認(rèn)真執(zhí)行信息安全管理的方針、標(biāo)準(zhǔn)、安全策略和規(guī)范，做好內(nèi)部培訓(xùn)。備注：以上職能劃分，適用所有信息安全管理體系文件。信息安全管理委員會(huì)組成人員：姓名部門職務(wù)備注3．6服務(wù)管理職能說明3．6．1為保證IT服務(wù)管理體系的順利實(shí)施，以與實(shí)施后得到持續(xù)的管理和維護(hù)，在現(xiàn)有的組織架構(gòu)外建立服務(wù)管理職能關(guān)系架構(gòu)。IT服務(wù)管理職能關(guān)系架構(gòu)，并不替代現(xiàn)有的按技術(shù)類別進(jìn)行的分工，現(xiàn)有的按技術(shù)類別進(jìn)的分工，在將來的IT服務(wù)管理體系中仍將發(fā)揮其作用。服務(wù)部根據(jù)IT服務(wù)管理程序要求對所有服務(wù)合同按照項(xiàng)目進(jìn)行管理與運(yùn)行，由項(xiàng)目經(jīng)理按照服務(wù)管理職能關(guān)系架構(gòu)中的要求對項(xiàng)目執(zhí)行管理。一個(gè)完整的服務(wù)項(xiàng)目必須包含服務(wù)臺(tái)、事件管理、業(yè)務(wù)關(guān)系管理、信息安全管理、供應(yīng)商管理和IT財(cái)務(wù)管理。對于上圖虛線框內(nèi)的的問題管理、發(fā)布管理、配置管理、變更管理、可用性和連續(xù)性管理、容量管理、服務(wù)級別管理以與服務(wù)報(bào)告可由服務(wù)部經(jīng)理依照與用戶簽署的服務(wù)合同進(jìn)行選擇裁剪。3．6．2角色分配說明3．6．2．1針對服務(wù)部當(dāng)前組織架構(gòu)與人員狀況，將不再為每一具體流程分配流程經(jīng)理。為此將13個(gè)流程，按其必要程度分成必選流程和可裁剪流程兩大模塊。由項(xiàng)目經(jīng)理負(fù)責(zé)相應(yīng)流程的實(shí)施、管理和控制。對項(xiàng)目組成員主要是組織、協(xié)調(diào)、安排相應(yīng)工作任務(wù)的完成，可能并不是由自己去完成。3．6．2．1．1項(xiàng)目經(jīng)理職責(zé)說明：

1）、負(fù)責(zé)IT服務(wù)項(xiàng)目的立項(xiàng)工作，按照服務(wù)合同要求負(fù)責(zé)相應(yīng)流程的實(shí)施、管理和控制。組織、協(xié)調(diào)、安排項(xiàng)目組成員完成相應(yīng)工作任務(wù)。2）、負(fù)責(zé)從服務(wù)臺(tái)接受事件報(bào)告開始，分配相應(yīng)的職能小組進(jìn)行事件處理，直至找到問題的根本原因的整個(gè)過程的管理和協(xié)調(diào)。3）、負(fù)責(zé)各系統(tǒng)的配置管理、變更和發(fā)布控制。4）、負(fù)責(zé)系統(tǒng)的可用性規(guī)劃和管理、負(fù)責(zé)安排系統(tǒng)連續(xù)性的計(jì)劃和演練，并負(fù)責(zé)系統(tǒng)容量的規(guī)劃和監(jiān)控。5）、主要負(fù)責(zé)與用戶的溝通，對供應(yīng)商的管理，以與項(xiàng)目的預(yù)/決算的管理。3．6．2．1．2能力要求：

熟悉服務(wù)部的各種服務(wù)管理流程，具有較強(qiáng)的內(nèi)部協(xié)調(diào)能力。由管理者代表授權(quán)技術(shù)服務(wù)事業(yè)部總監(jiān)，按ISO/IEC20000的要求，負(fù)責(zé)協(xié)調(diào)和組織所有與IT服務(wù)有關(guān)的活動(dòng)，通過管理和實(shí)施各項(xiàng)活動(dòng)，使IT服務(wù)業(yè)務(wù)的質(zhì)量得到有效的保持和維護(hù)。技術(shù)服務(wù)事業(yè)部組織制訂、批準(zhǔn)和發(fā)布公司IT服務(wù)策略、服務(wù)目標(biāo)，并使其成為公司關(guān)注的焦點(diǎn)，成為公司協(xié)調(diào)、統(tǒng)一、凝聚公司的所有活動(dòng)和資源的準(zhǔn)則，成為建立、實(shí)施、保持并改進(jìn)IT服務(wù)管理體系的宗旨。3．6．3公司IT服務(wù)策略：客戶至上、全員參與、創(chuàng)新高效、系統(tǒng)管理、追求卓越公司IT服務(wù)目標(biāo)：公司通過服務(wù)質(zhì)量改進(jìn)程序確定年度服務(wù)質(zhì)量目標(biāo)公司的IT服務(wù)目標(biāo)按ISO/IEC20000的要求，與公司的業(yè)務(wù)相結(jié)合，并通過流程績效不斷提高和改進(jìn)。技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門，通過會(huì)議、評審、書面報(bào)告、培訓(xùn)等方式，與時(shí)有效溝通工作，達(dá)到IT服務(wù)管理目標(biāo)和持續(xù)改進(jìn)的需求，并在公司中積極貫徹實(shí)施IT服務(wù)管理的重要性。技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門按照PDCA的要求，通過對所屬業(yè)務(wù)的規(guī)劃，適時(shí)優(yōu)化和提供資源以計(jì)劃、實(shí)施、監(jiān)控、評審和改進(jìn)IT服務(wù)的交付和管理。管理者代表按照《服務(wù)質(zhì)量改進(jìn)管理程序》中的計(jì)劃間隔，由技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門實(shí)施IT服務(wù)管理體系的內(nèi)部審核，確保IT服務(wù)管體系的有效性與符合性。管理者代表按照《服務(wù)質(zhì)量改進(jìn)管理程序》中的計(jì)劃間隔，組織相關(guān)部門執(zhí)行IT服務(wù)管理體系的管理評審，確保IT服務(wù)管理體系持續(xù)的穩(wěn)定、充分和有效。3．6．4文件要求3．6．4．1公司的文件管理體系分為A、B、C、D四層，即A層為管理手冊、B層為程序文件、C層為工作流程或規(guī)定、D層為記錄。3．6．4．2管理手冊—描述IT服務(wù)管理體系的文件，是全體員工必須長期遵循的法規(guī)性文件。3．6．4．3程序文件—覆蓋公司主要業(yè)務(wù)過程的流程文件，是管理手冊的支撐性文件。3．6．4．4工作流程或規(guī)定—是開展具體業(yè)務(wù)工作的規(guī)范類、指導(dǎo)性文件，是程序文件的支持性文件。3．6．4．5記錄—在開展具體業(yè)務(wù)工作過程中產(chǎn)生的記錄類文件，主要是為具體工作結(jié)果提供各種可追溯性證據(jù)。3．6．4．6技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織制訂《文件和記錄管理程序》，明確文件的擬制、批準(zhǔn)、發(fā)放、變更、存檔等管理要求，并監(jiān)控實(shí)施。3．6．4．7技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織相關(guān)部門，根據(jù)公司的業(yè)務(wù)特點(diǎn)與標(biāo)準(zhǔn)的要求，制訂相關(guān)的程序文件，經(jīng)公司管理者代表批準(zhǔn)后實(shí)施。3．6．4．8技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織擬制與本部門業(yè)務(wù)相關(guān)的各類C層文件，并按《文件和記錄管理程序》的要求對文件和記錄的有效性進(jìn)行管理。4信息安全管4.1總要求4.1.1公司根據(jù)整體業(yè)務(wù)活動(dòng)（軟件開發(fā)、經(jīng)營、服務(wù)和日常管理活動(dòng)）和所面臨的風(fēng)險(xiǎn)，按ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》規(guī)定，參照ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》標(biāo)準(zhǔn)，建立、實(shí)施、運(yùn)作、監(jiān)控、維護(hù)并改進(jìn)文件化的信息安全管理體系。4.1.2本手冊使用的過程相關(guān)文件：《信息安全方針與目標(biāo)》4.2建立和管理信息安全管理體系（ISMS）4.2.1建立ISMS4.2.1.1信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全管理體系的范圍包括：a)本公司涉與軟件開發(fā)、營銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng)；b)與所述信息系統(tǒng)有關(guān)的活動(dòng)；c)與所述信息系統(tǒng)有關(guān)的部門和所有員工；d)所述活動(dòng)、系統(tǒng)與支持性系統(tǒng)包含的全部信息資產(chǎn)。組織范圍：本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見本手冊JIN/QM—3.2《公司信息安全管理體系組織架構(gòu)》。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。本公司ISMS的物理范圍為本公司位于常州市常州市鸝欣麗都2幢乙單元503室的辦公場所，安全邊界詳見附錄A（規(guī)范性附錄）《辦公場所平面圖》。4.2.1.2信息安全管理體系的方針為了滿足適用法律法規(guī)與相關(guān)方要求，維持軟件開發(fā)和經(jīng)營的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針，見本信息安全管理手冊第0.3條款。該信息安全方針符合以下要求：a)為信息安全目標(biāo)建立了框架，并為信息安全活動(dòng)建立整體的方向和原則；b)考慮業(yè)務(wù)與法律或法規(guī)的要求，與合同的安全義務(wù)；c)與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持信息安全管理體系；d)建立了風(fēng)險(xiǎn)評價(jià)的準(zhǔn)則；e)經(jīng)最高管理者批準(zhǔn)。為實(shí)現(xiàn)信息安全管理體系方針，本公司承諾：a)在各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全目標(biāo)和控制措施；明確信息安全的管理職責(zé)，見本信息安全管理手冊第3.4條款。；b)識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c)定期進(jìn)行信息安全風(fēng)險(xiǎn)評估，信息安全管理體系評審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d）采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；e)對全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力；f)制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。4.2.1.3風(fēng)險(xiǎn)評估的方法生技部負(fù)責(zé)制定《信息安全風(fēng)險(xiǎn)管理程序》，建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級。信息安全風(fēng)險(xiǎn)評估采用信息安全風(fēng)險(xiǎn)管理軟件（Info-riskmanager）進(jìn)行，以保證所選擇的風(fēng)險(xiǎn)評估方法應(yīng)確保風(fēng)險(xiǎn)評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。4.2.1.4識(shí)別風(fēng)險(xiǎn)在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風(fēng)險(xiǎn)管理程序》，采用Info-riskmanager風(fēng)險(xiǎn)管理軟件，對所有的資產(chǎn)進(jìn)行了識(shí)別，并識(shí)別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)與人力資源。對每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了《重要資產(chǎn)清單》。同時(shí)，根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》，識(shí)別了對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。4.2.1.5分析和評價(jià)風(fēng)險(xiǎn)本公司按《信息安全風(fēng)險(xiǎn)管理程序》，采用信息安全風(fēng)險(xiǎn)管理軟件，分析和評價(jià)風(fēng)險(xiǎn)：a)針對重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值；b)針對每一項(xiàng)威脅、薄弱點(diǎn)，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值；c)根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》計(jì)算風(fēng)險(xiǎn)等級；d)根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》與風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。4.2.1.6識(shí)別和評價(jià)風(fēng)險(xiǎn)處理的選擇網(wǎng)絡(luò)管理部組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，形成《風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法與起始、完成時(shí)間。對于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴)控制風(fēng)險(xiǎn)，采用適當(dāng)?shù)膬?nèi)部控制措施；b)接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）；c)避免風(fēng)險(xiǎn)（如物理隔離）；d)轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）。4.2.1.7選擇控制目標(biāo)與控制措施網(wǎng)絡(luò)管理部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求與風(fēng)險(xiǎn)評估的結(jié)果，組織有關(guān)部門制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門（見《信息安全適用性聲明》）：a)信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。b)控制目標(biāo)與控制措施的選擇原則來源于ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》附錄A，具體控制措施參考ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》。c)本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。4.2.1.8對風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)，得到了公司最高管理者的批準(zhǔn)。4.2.1.9最高管理者通過本手冊對實(shí)施和運(yùn)行信息安全管理體系進(jìn)行了授權(quán)。4.2.1.10適用性聲明生技部負(fù)責(zé)編制《信息安全適用性聲明》（SoA）。該聲明包括以下方面的內(nèi)容：a)所選擇控制目標(biāo)與控制措施的概要描述，以與選擇的原因；b)對ISO/IEC27001:2005附錄A中未選用的控制目標(biāo)與控制措施理由的說明。4.2.2實(shí)施和運(yùn)行ISMS4.2.2.1為確保信息安全管理體系有效實(shí)施，對已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展以下活動(dòng)：a)形成《風(fēng)險(xiǎn)處理計(jì)劃》，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)與安全控制措施的優(yōu)先級；b)為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《風(fēng)險(xiǎn)處理計(jì)劃》，明確各崗位的信息安全職責(zé)；c)實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d)確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；e)進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力；f)對信息安全體系的運(yùn)作進(jìn)行管理；g)對信息安全所需資源進(jìn)行管理；h)實(shí)施控制程序，對信息安全事件（或征兆）進(jìn)行迅速反應(yīng)。4.2.2.2信息安全組織機(jī)構(gòu)本公司成立了的信息安全領(lǐng)導(dǎo)機(jī)構(gòu)-信息安全委員會(huì)，其職責(zé)是實(shí)現(xiàn)信息安全管理體系方針和本公司承諾。具體職責(zé)是：研究決定貫標(biāo)工作涉與到的重大事項(xiàng)；審定公司信息安全方針、目標(biāo)、工作計(jì)劃和重要文件；為貫標(biāo)工作的有序推進(jìn)和信息安全管理體系的有效運(yùn)行提供必要的資源。本公司由相關(guān)部門代表組成信息安全管理網(wǎng)絡(luò)，采用聯(lián)席會(huì)議（協(xié)調(diào)會(huì)）的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以：a)確保安全活動(dòng)的執(zhí)行符合信息安全方針；b)確定怎樣處理不符合；c)批準(zhǔn)信息安全的方法和過程，如風(fēng)險(xiǎn)評估、信息分類；d)識(shí)別重大的威脅變化，以與信息和相關(guān)的信息處理設(shè)施對威脅的暴露；e)評估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性；f)有效的推動(dòng)組織內(nèi)信息安全教育、培訓(xùn)和意識(shí)；g)評價(jià)根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識(shí)別的信息安全事件推薦適當(dāng)?shù)拇胧?.2.2.3信息安全職責(zé)和權(quán)限本公司總經(jīng)理為信息安全最高責(zé)任者?？偨?jīng)理指定了信息安全管理者代表。無論信息安全管理者代表在其他方面的職責(zé)如何，對信息安全負(fù)有以下職責(zé)：a)建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；b)對信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全領(lǐng)導(dǎo)小組或最高責(zé)任者報(bào)告。各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)；各部門、人員有關(guān)信息安全職責(zé)分配見本信息安全管理手冊第3.4條款《信息安全管理職責(zé)明細(xì)表》和相應(yīng)的程序文件。4.2.2.4各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全目標(biāo)、控制措施（包括安全運(yùn)行的各種控制程序）的要求實(shí)施信息安全控制措施。4.2.3監(jiān)控和評審ISMS4.2.3.1本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故（事件）報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：a)與時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故（事件）和隱患；b)與時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c)使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；d)使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效；e)積累信息安全方面的經(jīng)驗(yàn);4.2.3.2根據(jù)以上活動(dòng)的結(jié)果以與來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對信息安全管理體系的有效性進(jìn)行評審，其中包括信息安全范圍、方針、目標(biāo)的符合性與控制措施有效性的評審，考慮安全審核、事件、有效性測量的結(jié)果，以與所有相關(guān)方的建議和反饋。管理評審的具體要求，見本手冊第7章。4.2.3.3網(wǎng)絡(luò)管理部應(yīng)組織有關(guān)部門按照《信息安全風(fēng)險(xiǎn)管理程序》的要求，采用信息安全風(fēng)險(xiǎn)管理軟件，對風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對以下方面變更情況應(yīng)與時(shí)進(jìn)行風(fēng)險(xiǎn)評估：a)組織；b)技術(shù)；c)業(yè)務(wù)目標(biāo)和過程；d)已識(shí)別的威脅；e)實(shí)施控制的有效性；f)外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以與社會(huì)環(huán)境的變化。4.2.3.4按照計(jì)劃的時(shí)間間隔進(jìn)行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求，見本手冊第6章。4.2.3.5定期對信息安全管理體系進(jìn)行管理評審，以確保范圍的充分性，并識(shí)別信息安全管理體系過程的改進(jìn)，管理評審的具體要求，見本手冊第7章。4.2.3.6考慮監(jiān)視和評審活動(dòng)的發(fā)現(xiàn)，更新安全計(jì)劃。4.2.3.7記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動(dòng)和事情。4.2.4保持與持續(xù)改進(jìn)ISMS我公司開展以下活動(dòng)，以確保信息安全管理體系的持續(xù)改進(jìn)：a)實(shí)施每年管理評審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的項(xiàng)目；b)按照《內(nèi)部審核管理程序》、《糾正措施管理程序》、《預(yù)防措施管理程序》的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織與本公司安全事故（事件）的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性；c)通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系與識(shí)別顧客對信息安全的要求等；d)對信息安全目標(biāo)與分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果。相關(guān)文件：《系統(tǒng)風(fēng)險(xiǎn)評估方法》《適用性聲明》《管理評審程序》《內(nèi)部審核控制程序》《糾正措施控制程序》《預(yù)防措施控制程序》4.3文件要求4.3.1總則ISMS文件應(yīng)包括：a)形成文件的ISMS方針和控制目標(biāo)；b)ISMS范圍c)ISMS的支持性程序和控制措施；d)風(fēng)險(xiǎn)評估方法的描述；e)風(fēng)險(xiǎn)評估報(bào)告；f)風(fēng)險(xiǎn)處置計(jì)劃；g)公司為確保其信息安全過程的有效策劃、運(yùn)行和控制以與規(guī)定如何測量控制措施有效性所需的程序文件；h)標(biāo)準(zhǔn)所要求的記錄；i)適用性聲明。所有文件應(yīng)按ISMS方針要求在需要時(shí)可獲得。4.3.2文件控制ISMS所要求的文件應(yīng)予以保護(hù)和控制，應(yīng)編制形成文件的程序以規(guī)定以下方面所需的管理措施：a)文件發(fā)布前得到批準(zhǔn)以確保文件是充分的；b)必要時(shí)對文件進(jìn)行評審與更新并再次批準(zhǔn)；c)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；d)確保在使用處可獲得適用文件的適用版本；e)確保文件保持合法并易于識(shí)別；f)確保外來文件得到識(shí)別；g)確保文件的分發(fā)是受控的；h)防止作廢文件的非預(yù)期使用；i)若因任何原因而保留作廢文件時(shí)對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)；4.3.3記錄控制應(yīng)建立并保持記錄，以提供符合要求和ISMS有效運(yùn)行的證據(jù)。記錄應(yīng)得到保護(hù)并且受控。ISMS應(yīng)考慮相關(guān)法律要求，記錄應(yīng)易于識(shí)別和檢索。應(yīng)編制形成文件的程序，以規(guī)定記錄的識(shí)別、貯存、保護(hù)、檢索、保存期限和處置所需的控制，確定記錄需要和程度的管理過程。保持過程業(yè)績的記錄以與與ISMS有關(guān)的安全事件的記錄。例如，記錄包括訪問者登記審核記錄和訪問授權(quán)。相關(guān)文件：《文件控制程序》《記錄控制程序》5管理職責(zé)5.1管理承諾管理層應(yīng)通過以下措施對其建立、實(shí)施、運(yùn)行、監(jiān)控、評審、維護(hù)和改進(jìn)ISMS的承諾提供證據(jù)。a)建立信息安全方針；b)確保信息安全目標(biāo)和計(jì)劃的建立；c)為信息安全分配角色和職責(zé)；d)向公司傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、法律責(zé)任和持續(xù)改進(jìn)的重要性；e)提供足夠的資源以建立、實(shí)施、運(yùn)行、監(jiān)控、評審、維護(hù)和改進(jìn)ISMS；f)決定可接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和可接受風(fēng)險(xiǎn)的等級；g)確保ISMS內(nèi)部審核的執(zhí)行；h)進(jìn)行ISMS管理評審。相關(guān)文件：《信息安全方針和目標(biāo)》《部門職責(zé)》《管理評審程序》《系統(tǒng)風(fēng)險(xiǎn)評估方法》5.2資源管理5.2.1資源提供公司應(yīng)確定和提供以下方面所需的資源a)建立建立、實(shí)施、運(yùn)行、監(jiān)控、維護(hù)和改進(jìn)ISMSb)確保信息安全程序支持業(yè)務(wù)需求；c)識(shí)別并確定法律法規(guī)要求和合同安全責(zé)任；d)通過正確應(yīng)用所有實(shí)施的控制措施的來維持足夠的安全；e)必要時(shí)進(jìn)行評估，并對評估結(jié)果采取適當(dāng)?shù)膶?yīng)措施；f)必要時(shí)改進(jìn)ISMS的有效性。5.2.2培訓(xùn)、意識(shí)和能力公司應(yīng)確保在ISMS中任命職責(zé)的人員應(yīng)能夠勝任要求的任務(wù)a)確定從事影響信息安全工作的人員所必需的能力；b)提供足夠的能力培訓(xùn)或其它措施，必要時(shí)聘用有能力的人員滿足這些要求；c)評估所提供的培訓(xùn)和采取措施的有效性；d)保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資質(zhì)的適當(dāng)記錄。公司應(yīng)確保員工認(rèn)識(shí)到所從事信息安全活動(dòng)的相關(guān)性和重要性，以與如何為實(shí)現(xiàn)ISMS目標(biāo)作出貢獻(xiàn)。相關(guān)文件：《人力資源管理控制程序》6ISMS內(nèi)部審核公司應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行ISMS內(nèi)部審核，以確定控制目標(biāo)、控制措施、過程和程序是否：a)符合標(biāo)準(zhǔn)與相關(guān)法律法規(guī)的要求；b)符合確定的信息安全要求；c)得到有效地實(shí)施和維護(hù)；d)按期望運(yùn)行。內(nèi)部審核程序應(yīng)進(jìn)行計(jì)劃，并考慮受審核過程的狀況、重要性和受審核的區(qū)域以與上次審核結(jié)果，應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方式，審核員的選擇和審核活動(dòng)應(yīng)保證審核過程的客觀和公正，審核員不能審核自己的工作。應(yīng)建立形成文件的程序，以規(guī)定策劃和實(shí)施審核的職責(zé)和要求以與報(bào)告結(jié)果和保持記錄。受審核區(qū)域的負(fù)責(zé)人應(yīng)確保立即采取措施，以消除發(fā)現(xiàn)的不符合與其原因。改進(jìn)措施包括所采取措施的驗(yàn)證并匯報(bào)驗(yàn)證結(jié)果。相關(guān)文件：《內(nèi)部審核控制程序》7ISMS管理評審7.1總則管理者應(yīng)按策劃的時(shí)間間隔評審公司的ISMS（至少一年一次），以確保其持續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評價(jià)ISMS改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安全目標(biāo)的適宜性。評審結(jié)果應(yīng)清楚地寫入文件應(yīng)保持記錄。7.2管理評審輸入管理評審的輸入應(yīng)包括以下方面的信息：a)ISMS審核（包括內(nèi)審和外審）和管理評審的結(jié)果；b)相關(guān)方（客戶、供應(yīng)商、內(nèi)部員工等）的反饋；c)公司用于改進(jìn)ISMS業(yè)績和有效性的技術(shù)、產(chǎn)品或程序的發(fā)展與變化；d)預(yù)防和糾正措施的實(shí)施情況；e)上次風(fēng)險(xiǎn)評估未充分指出的弱點(diǎn)或威脅；f)體系有效性測量的結(jié)果；g)上次管理評審所采取措施的跟蹤驗(yàn)證；h)影響ISMS的變更，如信息安全組織架構(gòu)變化等；i)改進(jìn)的建議。7.3管理評審輸出管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施a)ISMS有效性的改進(jìn)b)風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理計(jì)劃的更新c)必要時(shí)修訂影響信息安全的程序和控制措施，以反映可能影響ISMS的內(nèi)外事件，包括以下變化1業(yè)務(wù)需求；2安全需求；3影響已有業(yè)務(wù)需求的業(yè)務(wù)過程；4法律法規(guī)環(huán)境；5合同義務(wù)；6風(fēng)險(xiǎn)和/或風(fēng)險(xiǎn)接受準(zhǔn)則。d)資源需求e)針對被測量的控制措施有效性的改進(jìn)相關(guān)文件：《管理評審程序》

8ISMS的改進(jìn)8.1持續(xù)改進(jìn)公司應(yīng)通過應(yīng)用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施和管理評審，持續(xù)改進(jìn)ISMS的有效性。8.2糾正措施公司應(yīng)采取措施消除ISMS實(shí)施和運(yùn)行的不符合原因，以防止其再發(fā)生。糾正措施文件程序應(yīng)規(guī)定以下方面的要求。a)識(shí)別ISMS實(shí)施和運(yùn)行的不符合項(xiàng)；b)確定不符合的原因；c)評價(jià)確保不符合不再發(fā)生所需的措施；d)決定和實(shí)施所需的糾正措施；e)記錄所采取措施的結(jié)果；f)評審所采取的糾正措施。8.3預(yù)防措施公司應(yīng)決定措施以防范未來的不符合，防止發(fā)生采取的預(yù)防措施應(yīng)與潛在問題的影響相匹配，預(yù)防措施文件程序應(yīng)規(guī)定以下方面的要求。a)確定潛在不符合與其原因；b)評價(jià)預(yù)防不符合發(fā)生所需的措施；c)決定實(shí)施所需的預(yù)防措施；d)記錄所采取措施的結(jié)果；e)評審所采取的預(yù)防措施。公司應(yīng)識(shí)別發(fā)生變化的風(fēng)險(xiǎn)，并通過關(guān)注變化顯著的風(fēng)險(xiǎn)來識(shí)別預(yù)防措施要求。應(yīng)根據(jù)風(fēng)險(xiǎn)評估結(jié)果來確定預(yù)防措施的優(yōu)先級。相關(guān)文件：《糾正措施控制程序》《預(yù)防措施控制程序》

IT服務(wù)管理服務(wù)管理規(guī)劃和實(shí)施在開展IT服務(wù)管理的活動(dòng)中，PDCA原理貫穿于IT服務(wù)管理體系的全部流程，其中：P（計(jì)劃）—根據(jù)客戶要求和公司策略建立目標(biāo)和流程。D（實(shí)施）—實(shí)施流程。C（檢查）—根據(jù)策略、目標(biāo)和要求對過程和服務(wù)進(jìn)行監(jiān)控、測量，并報(bào)告結(jié)果。A（改進(jìn)）—采取措施以持續(xù)改進(jìn)流程的性能。計(jì)劃服務(wù)管理服務(wù)部向客戶提供三大服務(wù)項(xiàng)目：常駐現(xiàn)場技術(shù)服務(wù)、定期巡檢技術(shù)服務(wù)、咨詢規(guī)劃設(shè)計(jì)服務(wù)。甘肅萬維公司為不斷滿足市場需求和企業(yè)自身發(fā)展需要，將在未來將原有的三大技術(shù)服務(wù)內(nèi)容重新規(guī)劃和設(shè)計(jì)，細(xì)化成六大服務(wù)內(nèi)容：基礎(chǔ)設(shè)施服務(wù)、運(yùn)維服務(wù)、專業(yè)技術(shù)服務(wù)、IT安全服務(wù)、咨詢設(shè)計(jì)評估服務(wù)、培訓(xùn)服務(wù)。從而實(shí)現(xiàn)在堅(jiān)持原有行業(yè)內(nèi)的服務(wù)的基礎(chǔ)上向行業(yè)外擴(kuò)展的計(jì)劃。服務(wù)部根據(jù)公司IT服務(wù)管理職能關(guān)系架構(gòu)圖中的所分配的職責(zé)并依據(jù)條款4-9中所規(guī)定的服務(wù)管理過程向客戶提供IT服務(wù)。相關(guān)部門根據(jù)管理評審的結(jié)果與結(jié)論，結(jié)合本部門的工作實(shí)際，由技術(shù)服務(wù)事業(yè)部組織相關(guān)部門對當(dāng)前與本部門相關(guān)的IT服務(wù)工作的改進(jìn)需求、以與公司業(yè)務(wù)發(fā)展策略、技術(shù)動(dòng)態(tài)、政策法規(guī)要求、下一年度IT服務(wù)工作的安排進(jìn)行規(guī)劃，制訂本部門的年度工作計(jì)劃，并按公司內(nèi)控制度制訂對應(yīng)的部門年度費(fèi)用預(yù)算。實(shí)施IT服務(wù)技術(shù)服務(wù)事業(yè)部組織相關(guān)部門按批準(zhǔn)后的公司年度計(jì)劃，對計(jì)劃周期內(nèi)的工作任務(wù)、目標(biāo)、績效要求進(jìn)行分解，組織各部門制訂各自的年度工作計(jì)劃和費(fèi)用預(yù)算，并進(jìn)行跟蹤、檢查。相關(guān)部門年度工作計(jì)劃、年度費(fèi)用預(yù)算應(yīng)與已批準(zhǔn)的本部門年度工作計(jì)劃、預(yù)算一致，如有變更，引起預(yù)算的變化，應(yīng)上報(bào)技術(shù)服務(wù)事業(yè)部按照相關(guān)流程審批、執(zhí)行。技術(shù)服務(wù)事業(yè)部負(fù)責(zé)組織IT服務(wù)項(xiàng)目的立項(xiàng)工作，并按照項(xiàng)目管理規(guī)定對項(xiàng)目計(jì)劃周期內(nèi)的工作任務(wù)、目標(biāo)、績效要求進(jìn)行分解，制訂項(xiàng)目實(shí)施計(jì)劃和費(fèi)用預(yù)算，并進(jìn)行跟蹤、檢查。監(jiān)視、測量和評審服務(wù)部負(fù)責(zé)收集、匯總、整理IT服務(wù)項(xiàng)目的日常服務(wù)數(shù)據(jù)。服務(wù)部經(jīng)理負(fù)責(zé)組織IT服務(wù)項(xiàng)目，按各項(xiàng)目階段性工作計(jì)劃、費(fèi)用預(yù)算的內(nèi)容，以與IT服務(wù)管理的要求，收集與IT服務(wù)相關(guān)的信息，監(jiān)控、測量和評審與本業(yè)務(wù)相關(guān)的服務(wù)規(guī)劃要求、已有的SLA符合要求的程度。IT服務(wù)項(xiàng)目在運(yùn)行中，應(yīng)監(jiān)控、測量和評審的內(nèi)容為：既定的IT服務(wù)目標(biāo)的達(dá)成程度?？蛻魸M意度。資源利用。服務(wù)實(shí)施的趨勢。嚴(yán)重不符合。技術(shù)服務(wù)事業(yè)部按照《服務(wù)質(zhì)量改進(jìn)管理程序》的要求，組織IT服務(wù)管理體系的管理評審活動(dòng)，以確保IT服務(wù)要求得到有效的實(shí)施和維護(hù)。持續(xù)改進(jìn)服務(wù)部每年至少進(jìn)行一次服務(wù)管理體系的有效性評估，評估通過內(nèi)部審核的方式進(jìn)行。在評估中發(fā)現(xiàn)的任何不符合標(biāo)準(zhǔn)的活動(dòng)都應(yīng)該采取糾正措施予以改進(jìn)，對于發(fā)現(xiàn)的潛在問題應(yīng)該予以控制。服務(wù)部在內(nèi)部審核后，應(yīng)進(jìn)行管理評審，管理評審的內(nèi)容包括：各流程的執(zhí)行狀況報(bào)告，存在問題與改進(jìn)建議，內(nèi)部審核結(jié)果，相關(guān)方的反饋以與其他可能影響體系運(yùn)行的要素。服務(wù)部按管理評審的要求，確定服務(wù)改進(jìn)的測量、報(bào)告和溝通流程和內(nèi)容。監(jiān)控IT服務(wù)運(yùn)行中出現(xiàn)的不符合項(xiàng)，組織相關(guān)部門實(shí)施、驗(yàn)證改進(jìn)活動(dòng)。任何不符合ISO/IEC20000-1：2005標(biāo)準(zhǔn)的活動(dòng)都應(yīng)被糾正。對于內(nèi)部審核、管理評審或其他活動(dòng)中所發(fā)現(xiàn)的不符合項(xiàng)或潛在不符合項(xiàng)，應(yīng)按照《服務(wù)質(zhì)量改進(jìn)管理程序》要求進(jìn)行與時(shí)糾正。新服務(wù)或變更服務(wù)的策劃與實(shí)施制訂新服務(wù)或變更服務(wù)計(jì)劃銷售部門負(fù)責(zé)與客戶溝通，服務(wù)部配合，收集客戶對現(xiàn)有SLA的滿意度水平。分析、整理客戶新的或變更服務(wù)的要求，與時(shí)反饋客戶的改進(jìn)需求。當(dāng)出現(xiàn)新服務(wù)或變更服務(wù)時(shí)，服務(wù)部根據(jù)《服務(wù)策劃管理程序》的要求，組織實(shí)施IT服務(wù)策劃和實(shí)施工作。服務(wù)部組織對新服務(wù)或變更服務(wù)策劃結(jié)果的驗(yàn)證、確認(rèn)，驗(yàn)證通過后按《服務(wù)策劃管理程序》實(shí)施。服務(wù)部應(yīng)報(bào)告新服務(wù)或變更服務(wù)按計(jì)劃實(shí)施所達(dá)到的結(jié)果，服務(wù)部按《發(fā)布管理程序》，執(zhí)行實(shí)施發(fā)布評審，比較實(shí)際結(jié)果與期望結(jié)果的一致性。服務(wù)交付過程服務(wù)級別管理服務(wù)部負(fù)責(zé)與相關(guān)部門溝通，制訂公司的《服務(wù)目錄》。服務(wù)目錄應(yīng)定義所有服務(wù)，并包含服務(wù)名稱、服務(wù)目標(biāo)或標(biāo)準(zhǔn)、聯(lián)系接口、服務(wù)提供時(shí)間和例外、安全方面的考慮和安排?！斗?wù)目錄》是公司所提供的服務(wù)內(nèi)容的匯總，公司與客戶簽署SLA時(shí)應(yīng)參考《服務(wù)目錄》。公司應(yīng)該根據(jù)當(dāng)前的服務(wù)能力對《服務(wù)目錄》進(jìn)行更新與維護(hù)。根據(jù)公司的戰(zhàn)略規(guī)劃、資源要求與客戶需求，服務(wù)部在與銷售部門和其他相關(guān)部門溝通、確定SLA時(shí)，應(yīng)考慮：可接受持續(xù)損失服務(wù)的最大周期、可接受降級服務(wù)的最大周期，服務(wù)恢復(fù)時(shí)，可接受降級服務(wù)級別。銷售部門代表客戶，與服務(wù)部簽訂《服務(wù)級別協(xié)議》。應(yīng)明確：服務(wù)要求和期望服務(wù)工作量特征的協(xié)議、服務(wù)目標(biāo)協(xié)議、服務(wù)級別實(shí)現(xiàn)、工作量的測量和報(bào)告，以與服務(wù)目標(biāo)不能完成的分析與說明?！斗?wù)級別協(xié)議》包含以下內(nèi)容：服務(wù)的簡述、術(shù)語表、客戶職責(zé)、服務(wù)部門職責(zé)和義務(wù)、服務(wù)目標(biāo)、服務(wù)時(shí)間、工作量限制（最大與最小工作量），支持和相關(guān)服務(wù)、影響和優(yōu)先級描述、授權(quán)細(xì)節(jié)，與授權(quán)人員聯(lián)系信息、有效期或SLA變更控制機(jī)制（包含升級和通知流程）、服務(wù)中斷采取的糾正措施，計(jì)劃和協(xié)調(diào)中斷，包括通知事件與頻率、溝通的簡述，包括報(bào)告、投訴程序、在SLA中規(guī)定條款的例外情況。商務(wù)部應(yīng)依據(jù)與客戶簽訂的SLA以與《供應(yīng)商管理程序》的要求，組織簽署與供應(yīng)商之間的支持合同（或協(xié)議）。當(dāng)出現(xiàn)重要業(yè)務(wù)變更時(shí)，銷售部門應(yīng)與時(shí)與技術(shù)服務(wù)事業(yè)部溝通，按原流程重新組織相關(guān)部門，調(diào)整、修訂《服務(wù)級別協(xié)議》，并作為服務(wù)改進(jìn)計(jì)劃的輸入。服務(wù)報(bào)告服務(wù)部應(yīng)就向客戶提交的服務(wù)報(bào)告的內(nèi)容、報(bào)告周期與客戶協(xié)商并達(dá)成一致。服務(wù)部擬制內(nèi)部服務(wù)報(bào)告，對計(jì)劃間隔內(nèi)的客戶服務(wù)狀況、問題趨勢、服務(wù)數(shù)據(jù)、SLA目標(biāo)實(shí)現(xiàn)等進(jìn)行匯總、統(tǒng)計(jì)和分析，組織召開月度服務(wù)質(zhì)量分析會(huì)議，形成會(huì)議紀(jì)要后發(fā)放。服務(wù)報(bào)告主要包括的內(nèi)容：執(zhí)行服務(wù)級別目標(biāo)的績效，違反SLA、安全管理要求等的不符合項(xiàng)和結(jié)論、工作量特征，如，數(shù)量、資源利用、報(bào)告主要事件、變更、定期趨勢信息、客戶滿意度分析。當(dāng)出現(xiàn)有關(guān)IT服務(wù)系統(tǒng)配置項(xiàng)的變更時(shí)，服務(wù)部應(yīng)按《變更管理程序》的要求執(zhí)行。服務(wù)報(bào)告應(yīng)與時(shí)、清晰、可靠和簡明，便于分析、決策和有效溝通。可用性和IT服務(wù)持續(xù)性管理服務(wù)部應(yīng)按照《可用性與IT服務(wù)持續(xù)性管理程序》的要求，擬制《可用性與IT服務(wù)持續(xù)性計(jì)劃》，根據(jù)客戶業(yè)務(wù)優(yōu)先級、服務(wù)級別協(xié)議和評估的風(fēng)險(xiǎn)，按設(shè)計(jì)的工作量計(jì)劃維護(hù)有效的服務(wù)能力，并與《服務(wù)級別協(xié)議》的目標(biāo)保持一致。應(yīng)考慮：IT服務(wù)持續(xù)性計(jì)劃考慮對服務(wù)和系統(tǒng)組成的關(guān)系。應(yīng)清晰的分配調(diào)用IT服務(wù)持續(xù)性計(jì)劃的責(zé)任，并清晰的計(jì)劃對每個(gè)目標(biāo)采取措施的責(zé)任。備份服務(wù)恢復(fù)所需的數(shù)據(jù)、文件、軟件、任何設(shè)備和必要員工，在重大服務(wù)失敗或?yàn)?zāi)難時(shí)，保持快速有效。在遠(yuǎn)程的安全地點(diǎn)，所有IT服務(wù)持續(xù)性文件應(yīng)存儲(chǔ)和維護(hù)至少一份，與其他必要的設(shè)備保存在一起。定期開展IT服務(wù)持續(xù)性計(jì)劃的測試。使員工理解調(diào)用、執(zhí)行計(jì)劃的角色與職責(zé)，并能訪問IT服務(wù)持續(xù)性文件。服務(wù)部每年末組織對《可用性與IT服務(wù)持續(xù)性計(jì)劃》進(jìn)行評審，并根據(jù)業(yè)務(wù)需求的變化與時(shí)調(diào)整計(jì)劃的內(nèi)容和目標(biāo)，確保從普通到重大服務(wù)失效的任何環(huán)境下都能滿足與客戶協(xié)商的要求。當(dāng)業(yè)務(wù)環(huán)境發(fā)生重大變化時(shí)，服務(wù)部應(yīng)重新組織評審、修訂《可用性與IT服務(wù)持續(xù)性計(jì)劃》。并通過能力管理和配置管理活動(dòng)，評價(jià)所有服務(wù)組成的有效性，預(yù)知可能的、潛在的問題，并采取預(yù)防措施。對《可用性與IT服務(wù)持續(xù)性計(jì)劃》中內(nèi)容和目標(biāo)的變更，服務(wù)部應(yīng)與時(shí)組織相關(guān)部門按《變更管理程序》的要求進(jìn)行評估、驗(yàn)證和確認(rèn)，確保變更的效果與滿足SLA的要求。服務(wù)部應(yīng)定期對可用性信息進(jìn)行測量和記錄，未計(jì)劃的不可用應(yīng)被調(diào)查、評估，并采取適當(dāng)?shù)募m正或預(yù)防措施?？捎眯曰顒?dòng)包括：監(jiān)控和記錄服務(wù)的可用性。服務(wù)準(zhǔn)確的歷史數(shù)據(jù)。與SLA中定義需求相比較，以識(shí)別不符合SLA有效目標(biāo)的事項(xiàng)。記錄不符合項(xiàng)，并組織評審?？紤]、評估供應(yīng)商的影響。預(yù)計(jì)未來的可用性。IT服務(wù)的預(yù)算與財(cái)務(wù)管理技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)國家的有關(guān)法律法規(guī)和財(cái)務(wù)政策，與《IT財(cái)務(wù)管理程序》的要求，根據(jù)公司的業(yè)務(wù)策略（包括產(chǎn)品策略、銷售策略、服務(wù)策略等），組織擬制、審核本部門的總體性和階段性的IT服務(wù)費(fèi)用預(yù)算與成本標(biāo)準(zhǔn)。技術(shù)服務(wù)事業(yè)部根據(jù)公司業(yè)務(wù)發(fā)展戰(zhàn)略、公司現(xiàn)有的SLA要求，與本部門業(yè)務(wù)的特點(diǎn)，按部門工作計(jì)劃的內(nèi)容，組織擬制本部門階段性的費(fèi)用預(yù)算計(jì)劃，經(jīng)財(cái)務(wù)部匯總、報(bào)批后實(shí)施。在預(yù)算期間出現(xiàn)的服務(wù)變更引起的預(yù)算變化，相關(guān)部門應(yīng)按《IT財(cái)務(wù)管理程序》的要求執(zhí)行預(yù)算變更申請。在對《服務(wù)級別協(xié)議》進(jìn)行評審時(shí)，服務(wù)部應(yīng)根據(jù)公司策略，評估實(shí)現(xiàn)服務(wù)目標(biāo)和需求的成本，并根據(jù)確定的服務(wù)級別協(xié)議跟蹤成本的變化。服務(wù)部應(yīng)在服務(wù)變更時(shí)，計(jì)算服務(wù)變更成本，并通過《變更管理程序》進(jìn)行批準(zhǔn)。服務(wù)部應(yīng)根據(jù)預(yù)算編制跟蹤財(cái)務(wù)變化，并對超出預(yù)算要求的變化，提前向技術(shù)服務(wù)事業(yè)部提出預(yù)警信號。容量管理技術(shù)服務(wù)事業(yè)部負(fù)責(zé)現(xiàn)有IT服務(wù)系統(tǒng)容量水平的規(guī)劃，根據(jù)《容量管理程序》的要求，制訂《容量管理計(jì)劃》，應(yīng)在計(jì)劃中描述業(yè)務(wù)需求，包括：當(dāng)前和預(yù)計(jì)的容量和性能需求。針對服務(wù)升級所定義的時(shí)間表、閾值和成本。評估預(yù)期的服務(wù)升級、變更請求、新技術(shù)和技術(shù)能力的效果。預(yù)計(jì)外部變更的影響，如法律影響等。對數(shù)據(jù)和流程進(jìn)行預(yù)先分析。定義監(jiān)控服務(wù)容量、調(diào)整服務(wù)性能和提供充分容量的方法、程序和技術(shù)。為達(dá)到SLA所要求的服務(wù)級別目標(biāo)和業(yè)務(wù)需求所應(yīng)具備的資金條件。服務(wù)部協(xié)助收集、統(tǒng)計(jì)當(dāng)前IT基礎(chǔ)設(shè)施的實(shí)際性能和預(yù)期要求的運(yùn)行信息，以支持服務(wù)業(yè)務(wù)的開展。技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)服務(wù)特點(diǎn)、服務(wù)量、服務(wù)報(bào)告和客戶業(yè)務(wù)等信息，組織對《容量管理計(jì)劃》進(jìn)行評審，并保留評審相關(guān)的紀(jì)錄。當(dāng)出現(xiàn)臨時(shí)的新增或變更服務(wù)時(shí)，技術(shù)服務(wù)事業(yè)部應(yīng)根據(jù)《容量管理程序》的要求，與時(shí)對《容量管理計(jì)劃》的相關(guān)內(nèi)容進(jìn)行評估和更新。關(guān)系過程總則供應(yīng)商和客戶的關(guān)系管理可采用正式合同形式約束。銷售部門按《業(yè)務(wù)關(guān)系管理程序》的要求明確定義供應(yīng)商和客戶的角色、范圍和職能，通過合同、溝通、培訓(xùn)等方式確保實(shí)施和參與服務(wù)提供的各方：理解并滿足業(yè)務(wù)需求。理解能力和約束條件。理解職責(zé)和責(zé)任。業(yè)務(wù)關(guān)系管理服務(wù)部按照《業(yè)務(wù)關(guān)系管理程序》的要求，牽頭并定期組織銷售部門，開展服務(wù)管理評價(jià)活動(dòng)，討論、匯報(bào)服務(wù)范圍、SLA、合同或業(yè)務(wù)需求的變化，與性能、成績、結(jié)果和措施計(jì)劃，并形成會(huì)議紀(jì)要。當(dāng)服務(wù)目標(biāo)、服務(wù)需求、支持合同、業(yè)務(wù)等發(fā)生新增、變更或撤銷時(shí)，服務(wù)部應(yīng)按《服務(wù)策劃管理程序》的要求，提出并評估服務(wù)范圍和SLA的改進(jìn)方案，由服務(wù)部組織實(shí)施。服務(wù)部與客戶建立有效的互動(dòng)、溝通關(guān)系，以便與時(shí)了解客戶的需求或重大變更，并依據(jù)需求進(jìn)行響應(yīng)。根據(jù)《客戶滿意度管理規(guī)定》，定義、收集、分析客戶滿意度數(shù)據(jù)和信息，監(jiān)控客戶滿意度的趨勢。技術(shù)服務(wù)事業(yè)部根據(jù)《業(yè)務(wù)關(guān)系管理程序》中的客戶投訴管理流程，負(fù)責(zé)收集、統(tǒng)計(jì)、分析客戶投訴的記錄，識(shí)別投訴的發(fā)展趨勢和存在問題，確保服務(wù)的持續(xù)性目標(biāo)的實(shí)現(xiàn)。供應(yīng)商管理商務(wù)部按《萬維公司內(nèi)控手冊》中《供應(yīng)商管理業(yè)務(wù)程序》的要求，對供應(yīng)商提供的IT服務(wù)的過程進(jìn)行管理，完善供應(yīng)商管理制度和采購規(guī)范，建立和維護(hù)公司《合格供應(yīng)商名單》。并確保：供應(yīng)商了解其對本公司承擔(dān)的責(zé)任。服務(wù)要求滿足協(xié)議約定的服務(wù)級別和范圍。管理變更。記錄與相關(guān)各相關(guān)方的業(yè)務(wù)交流。了解所有供應(yīng)商的業(yè)績并采取相應(yīng)改進(jìn)措施。商務(wù)部負(fù)責(zé)組織相關(guān)部門對供應(yīng)商提供服務(wù)的所滿足的需求、范圍、服務(wù)級別、接口和溝通流程等進(jìn)行評審并達(dá)成一致，按公司正式授權(quán)，組織簽署與供應(yīng)商之間的支持合同或供貨協(xié)議。主要包含：服務(wù)、角色、責(zé)任的定義。服務(wù)范圍。合同管理流程、授權(quán)級別和合同結(jié)束計(jì)劃。相關(guān)支付條款。約定報(bào)告的內(nèi)容和服務(wù)成果記錄。與供應(yīng)商簽署的支持合同或供貨協(xié)議應(yīng)確保與本公司向客戶提供服務(wù)的SLA相關(guān)聯(lián)，并一致。商務(wù)部負(fù)責(zé)擬制公司《合格供應(yīng)商名單》，并負(fù)責(zé)《合格供應(yīng)商名單》的維護(hù)和管理。當(dāng)公司與供應(yīng)商的支持合同或供貨協(xié)議需要修訂或變更時(shí)，商務(wù)部應(yīng)重新組織相關(guān)部門進(jìn)行合同評審，在評審中應(yīng)討論和明確對本公司SLA影響和變更，并按照《變更管理程序》的要求實(shí)施。商務(wù)部按《供應(yīng)商管理程序》的要求，對公司合格供應(yīng)商進(jìn)行季度評價(jià)和年度評審，監(jiān)督、記錄供應(yīng)商對本公司SLA的落實(shí)情況，擬制《供應(yīng)商合作分析報(bào)告》，將評定的結(jié)果與時(shí)反饋給相關(guān)供應(yīng)商，并組織進(jìn)行相關(guān)調(diào)整和改進(jìn)。商務(wù)部應(yīng)組織管理與供應(yīng)商之間的合同沖突，并在支持合同或供貨協(xié)議中明確。如果爭議無法通過正常途徑解決時(shí)，應(yīng)交由更高級別的解決途徑。商務(wù)部應(yīng)確保所有合同沖突被記錄、調(diào)查、解決并正式關(guān)閉。解決方案流程背景事件和問題管理作為獨(dú)立的流程管理，事件管理關(guān)注的是服務(wù)恢復(fù)，而問題管理考慮的是識(shí)別并消除事件隱患。事件或問題解決的時(shí)間安排應(yīng)考慮以下因素：優(yōu)先級?，F(xiàn)有技能。資源要求。解決方案的效果和成本。實(shí)施解決方案所需時(shí)間。事件管理服務(wù)部服務(wù)臺(tái)按照《事件管理程序》的要求，根據(jù)事件的影響和緊急程度確定事件處理優(yōu)先級別，并基于優(yōu)先級別確定解決事件的目標(biāo)。其中應(yīng)包括：接收請求、記錄、優(yōu)先級分配、分類。一線事件解決或轉(zhuǎn)移?？紤]安全事件。事件跟蹤和生命周期管理。事件驗(yàn)證和關(guān)閉。一線客戶聯(lián)系。事件升級。事件報(bào)告方式包括電話、拜訪、傳真或者電子郵件，所有事件應(yīng)在服務(wù)臺(tái)正式記錄，并可檢索和分析。服務(wù)部對升級的事件提供解決方案，協(xié)助服務(wù)臺(tái)關(guān)閉事件。服務(wù)部負(fù)責(zé)對升級的技術(shù)問題提供處理事件的技術(shù)支持，協(xié)助服務(wù)臺(tái)解決未知錯(cuò)誤。技術(shù)服務(wù)事業(yè)部組織建立事件知識(shí)庫，以確保服務(wù)臺(tái)人員可訪問經(jīng)常更新的知識(shí)庫。知識(shí)庫中包括技術(shù)專家、以前事件、相關(guān)問題、已知錯(cuò)誤、配置管理數(shù)據(jù)庫（CMDB）、檢查清單等有助于恢復(fù)服務(wù)的各種信息。對重大事件的處理，服務(wù)部按《服務(wù)臺(tái)工作指導(dǎo)手冊》的要求執(zhí)行。服務(wù)臺(tái)應(yīng)在證實(shí)事件已經(jīng)解決并且服務(wù)已經(jīng)恢復(fù)的時(shí)候，事件才能最終關(guān)閉。問題管理服務(wù)部根據(jù)《問題管理控制程序》對問題原因的預(yù)先識(shí)別、分析、管理直至關(guān)閉，以減少對業(yè)務(wù)的影響。服務(wù)部根據(jù)日常檢查、測試、事故數(shù)量和類型的趨勢分析等糾正措施，識(shí)別潛在問題。所有被識(shí)別的問題都應(yīng)該得到記錄。在問題得到解決后，服務(wù)部將相關(guān)信息應(yīng)加入問題知識(shí)庫，服務(wù)部同時(shí)應(yīng)升級所有相關(guān)文件，如用戶指南和系統(tǒng)文件。記錄對服務(wù)或問題管理流程的改進(jìn)，并作為服務(wù)改進(jìn)計(jì)劃的輸入?？刂屏鞒膛渲霉芾矸?wù)部應(yīng)根據(jù)《配置管理程序》的要求，評估所有與IT服務(wù)相關(guān)的重要資產(chǎn)和配置項(xiàng)，識(shí)別、定義、維護(hù)IT服務(wù)和基礎(chǔ)設(shè)施的組件，明確配置項(xiàng)之間的關(guān)系、屬性和作用，定義命名規(guī)范、版本號，制訂和實(shí)施《配置項(xiàng)分類定義表》，以確保有效管理IT資產(chǎn)和配置。被管理的配置項(xiàng)主要包括：信息系統(tǒng)和軟件（包括第三方軟件）的發(fā)布、相關(guān)系統(tǒng)文檔、例如要求規(guī)范、設(shè)計(jì)、測試報(bào)告、發(fā)布文檔、每個(gè)應(yīng)用環(huán)境配置基線、或描述應(yīng)用環(huán)境、標(biāo)準(zhǔn)硬件組成和發(fā)布、備份和電子資料庫、如最終軟件庫（DSL）、配置管理包或工具、許可證、安全組件、如防火墻、服務(wù)相關(guān)文檔、例如服務(wù)級別協(xié)議、活動(dòng)程序、務(wù)支持設(shè)施、例如機(jī)房電源。服務(wù)部根據(jù)配置項(xiàng)之間的關(guān)系、屬性、狀態(tài)類別、重要程度和優(yōu)先級，確定配置管理數(shù)據(jù)庫的范圍、分解的層數(shù)、詳細(xì)的程度，完成配置管理數(shù)據(jù)庫的構(gòu)建，擬制《配置管理數(shù)據(jù)庫初始化表單》，形成配置基線，并和公司的服務(wù)目標(biāo)、與公司的SLA保持一致。服務(wù)部制訂《配置管理計(jì)劃》，并每年末進(jìn)行更新。主要包括：配置管理的范圍、目標(biāo)、策略、標(biāo)準(zhǔn)角色和責(zé)任、配置管理流程定義服務(wù)和基礎(chǔ)設(shè)施中配置項(xiàng)，配置控制變更，記錄和報(bào)告配置項(xiàng)情況，證實(shí)配置項(xiàng)的完整性和正確性責(zé)任、可檢索、可審計(jì)的要求，例如出于安全、法律、規(guī)章或業(yè)務(wù)目的、配置控制（訪問、保護(hù)、版本、開發(fā)、發(fā)布控制）、交互控制流程，與信息接口和發(fā)布、資源管理規(guī)劃和建立，以便使資產(chǎn)和配置受控，并維持配置管理系統(tǒng)，如培訓(xùn)活動(dòng)、與配置相關(guān)的供應(yīng)商管理要求和活動(dòng)。服務(wù)部在配置管理過程中應(yīng)監(jiān)控配置項(xiàng)的整個(gè)生命周期，確保只有被授權(quán)且可識(shí)別的配置項(xiàng)才被接受，并記錄從接受到銷毀的全過程；沒有被認(rèn)可的變更請求，不能添加、修改、替換或刪除配置項(xiàng)。服務(wù)部應(yīng)保存有效的配置記錄，以反映配置項(xiàng)狀態(tài)、位置和版本的變化，并通過各種狀態(tài)監(jiān)控配置項(xiàng)的變更，例如訂購、接收、測試、使用、變更、拆卸、取消。配置項(xiàng)的更新信息應(yīng)作為配置管理計(jì)劃和變更管理的輸入。為保護(hù)系統(tǒng)、服務(wù)和基礎(chǔ)設(shè)施的完整性和安全性，配置項(xiàng)信息應(yīng)被保存在一個(gè)安全環(huán)境。應(yīng)：保護(hù)其不受未授權(quán)訪問、變更或破壞、提供災(zāi)害后恢復(fù)方法、對受控軟件、測試產(chǎn)品和支持文檔等備份的恢復(fù)進(jìn)行限制。配置評審程序應(yīng)包含缺陷記錄、執(zhí)行糾正措施和報(bào)告結(jié)果。服務(wù)部應(yīng)定期擬制《配置項(xiàng)管理報(bào)告》，報(bào)告應(yīng)包括：配置項(xiàng)最新版本、配置項(xiàng)的位置和軟件主要版本的位置、相互依賴關(guān)系、版本歷史。在任何時(shí)候都可核對配置項(xiàng)以下內(nèi)容：服務(wù)配置項(xiàng)或系統(tǒng)、變更、基準(zhǔn)線、開發(fā)或發(fā)布、版本或變量。服務(wù)部應(yīng)定期組織相關(guān)部門實(shí)施配置認(rèn)可和審核活動(dòng)，并檢查是否有充分的資源以支持：保護(hù)物理配置和公司的知識(shí)資本、確保公司控制其配置、原件和許可證、確保配置信息是準(zhǔn)確、可控、可見。服務(wù)部應(yīng)確保變更、發(fā)布、系統(tǒng)或環(huán)境符合其合同約定或事先約定的要求而且配置記錄是準(zhǔn)確的。在審核中出現(xiàn)的缺陷或不符合項(xiàng)應(yīng)被記錄、評估和改進(jìn)。變更管理服務(wù)部根據(jù)公司業(yè)務(wù)需要或客戶需求，制訂《變更計(jì)劃》。應(yīng)考慮：清晰定義變更的范圍、使業(yè)務(wù)增值的變更才能被認(rèn)可，例如商業(yè)的、法律的、規(guī)章的、法令的、根據(jù)優(yōu)先級和風(fēng)險(xiǎn)為變更安排時(shí)間、在變更實(shí)施中驗(yàn)證配置項(xiàng)變更、需要時(shí)監(jiān)控并改進(jìn)變更實(shí)施時(shí)間。服務(wù)部在組織、開展變更時(shí)，還應(yīng)在變更計(jì)劃中對具體實(shí)施進(jìn)行說明：發(fā)起、記錄和分類、評估變更對服務(wù)、客戶和發(fā)布計(jì)劃的影響、緊急程度、成本、收益和風(fēng)險(xiǎn)、如果沒有成功時(shí)可以恢復(fù)或修訂、備案，如變更請求與受影響的配置項(xiàng)、更新后的實(shí)施和發(fā)布計(jì)劃版本、根據(jù)變更的類型、大小和風(fēng)險(xiǎn)，得到變更負(fù)責(zé)方的認(rèn)可或拒絕、由負(fù)責(zé)變更組件的團(tuán)隊(duì)負(fù)責(zé)人進(jìn)行實(shí)施、測試、驗(yàn)證、取消、結(jié)束和評審、時(shí)間安排、監(jiān)控和報(bào)告、與事件、問題、其它變更和配置項(xiàng)記錄聯(lián)系。服務(wù)部應(yīng)將變更計(jì)劃安排的時(shí)間信息與時(shí)提供給與變更有關(guān)的人員，變更狀態(tài)和安排的實(shí)施時(shí)間應(yīng)作為變更和發(fā)布時(shí)間安排的依據(jù)。服務(wù)部應(yīng)在變更實(shí)施后組織對其效果和改進(jìn)記錄進(jìn)行評審，評審結(jié)果應(yīng)妥善保管并作為服務(wù)改進(jìn)計(jì)劃的輸入。實(shí)施后評審（PIR）應(yīng)檢查：變更是否滿足目標(biāo)、客戶對結(jié)果是否滿意、沒有預(yù)期之外的負(fù)面影響。服務(wù)部應(yīng)在《變更計(jì)劃》中考慮緊急變更的要求，識(shí)別緊急變更的需求、風(fēng)險(xiǎn)和必要性，定義緊急變更的內(nèi)容、范圍、級別、權(quán)限、接口、活動(dòng)等，并在變更后評審。服務(wù)部應(yīng)對變更分析結(jié)果和結(jié)論采取相應(yīng)的糾正、預(yù)防措施，并保存相關(guān)的記錄。發(fā)布過程發(fā)布管理服務(wù)部根據(jù)《變更管理程序》的要求，結(jié)合業(yè)務(wù)對信息系統(tǒng)、基礎(chǔ)設(shè)施、服務(wù)和文檔等進(jìn)行規(guī)劃，識(shí)別發(fā)布的內(nèi)容、種類、層次、影響等，制訂發(fā)布策略來配置發(fā)布活動(dòng)，包括：發(fā)布頻度和類型、發(fā)布管理的角色和責(zé)任、發(fā)布測試和實(shí)施的授權(quán)、所有發(fā)布的唯一標(biāo)識(shí)和描述、分組變更以進(jìn)行版本發(fā)布、為提高效率和可重復(fù)性，建立、安裝、發(fā)布分發(fā)流程自動(dòng)化方法、發(fā)布的驗(yàn)證和接受。服務(wù)部根據(jù)需要負(fù)責(zé)制訂《發(fā)布計(jì)劃》，確保相關(guān)的信息系統(tǒng)、基礎(chǔ)設(shè)施、服務(wù)和文檔得到認(rèn)可、授權(quán)、預(yù)定、協(xié)調(diào)和跟蹤。一般包括：發(fā)布日期和交付描述、本次發(fā)布關(guān)閉或解決的相關(guān)變更、問題和已知錯(cuò)誤，以與在發(fā)布測試期間被識(shí)別的已知錯(cuò)誤、在可行的情況下，為每個(gè)實(shí)施地點(diǎn)制訂一份活動(dòng)計(jì)劃、如發(fā)布失敗，可以被撤銷或修復(fù)的方式、驗(yàn)證和驗(yàn)收流程、對客戶和服務(wù)支持人員的交流、準(zhǔn)備、備案和培訓(xùn)、采購、存儲(chǔ)、分發(fā)、聯(lián)系、接受和銷毀商品的后勤工作和流程、確保服務(wù)級別所需的支持資源、可能對發(fā)布測試和實(shí)施造成影響的相關(guān)變更和風(fēng)險(xiǎn)的標(biāo)識(shí)、與相關(guān)人員、客戶代表安排的更新、評審會(huì)議。當(dāng)進(jìn)行重大升級時(shí)，服務(wù)部組織安排仿真環(huán)境的驗(yàn)證和評審，確保發(fā)布進(jìn)入生產(chǎn)時(shí)與預(yù)期狀態(tài)一致。發(fā)布的結(jié)果包括發(fā)布通告、安裝指南、基于相關(guān)配置基準(zhǔn)線的已安裝軟硬件等。服務(wù)部按《發(fā)布計(jì)劃》的安排，組織上線實(shí)施工作。制訂《上線計(jì)劃》，經(jīng)批準(zhǔn)后，按《發(fā)布計(jì)劃》的要求實(shí)施發(fā)布。并與時(shí)向服務(wù)部反饋上線成功的驗(yàn)證信息。如果發(fā)布未成功，則應(yīng)按《發(fā)布計(jì)劃》中制訂的撤銷計(jì)劃的內(nèi)容，實(shí)施回退操作，并將發(fā)布情況與時(shí)報(bào)告服務(wù)部。服務(wù)部對發(fā)布未成功的原因進(jìn)行確認(rèn)，如需重新實(shí)施變更，則按《變更管理程序》的要求執(zhí)行。如屬潛在問題引起的發(fā)布未成功，則應(yīng)按《問題管理程序》的要求執(zhí)行。發(fā)布成功后，服務(wù)部應(yīng)與時(shí)將發(fā)布信息對配置管理數(shù)據(jù)庫進(jìn)行更新。服務(wù)臺(tái)應(yīng)與時(shí)將發(fā)布成功的信息對事件知識(shí)庫進(jìn)行更新。服務(wù)部與時(shí)更新問題知識(shí)庫。服務(wù)部負(fù)責(zé)發(fā)布文檔的保存。并負(fù)責(zé)上線文檔的保存。服務(wù)部組織對IT服務(wù)系統(tǒng)的運(yùn)行監(jiān)控，收集生產(chǎn)系統(tǒng)運(yùn)行信息，完成《月度服務(wù)質(zhì)量分析報(bào)告》。輸出的文件記錄和文檔文件屬性完成的部門/職位《IT服務(wù)管理手冊》A服務(wù)部《文件和記錄管理程序》B服務(wù)部《服務(wù)策劃管理程序》B服務(wù)部《服務(wù)級別管理程序》B服務(wù)部《可用性與IT服務(wù)持續(xù)性管理程序》B服務(wù)部《IT財(cái)務(wù)管理程序》B服務(wù)部《容量管理程序》B服務(wù)部《信息安全管理程序》B服務(wù)部《業(yè)務(wù)關(guān)系管理程序》B服務(wù)部《事件管理程序》B服務(wù)部《問題管理程序》B服務(wù)部《配置管理程序》B服務(wù)部《變更管理程序》B服務(wù)部《容量管理程序》B服務(wù)部《服務(wù)質(zhì)量改進(jìn)管理程序》B服務(wù)部附：各部門主要工作職責(zé)公司管理事務(wù)部分綜合部經(jīng)理向公司總經(jīng)理報(bào)告。負(fù)責(zé)公司日常綜合行政事務(wù)，組織建立和監(jiān)督執(zhí)行公司各項(xiàng)行政制度，參與公司發(fā)展戰(zhàn)略規(guī)劃的制訂。負(fù)責(zé)公司的日常法律事務(wù)，組織法律合同年檢、知識(shí)產(chǎn)權(quán)保護(hù)等工作，協(xié)調(diào)、處理法律咨詢、法律糾紛。負(fù)責(zé)擬制、發(fā)送、簽收公司與上級單位和相關(guān)部門間的往來公文；協(xié)調(diào)、處理上級主管部門、各級政府部門的相關(guān)接口工作。負(fù)責(zé)公司辦公室設(shè)施環(huán)境、固定資產(chǎn)（包括租賃資產(chǎn)）的實(shí)物管理，負(fù)責(zé)公司日常性辦公用品采購工作。負(fù)責(zé)管理公司的公共車輛，保證公司公共車輛的狀態(tài)良好和滿足公司人員的用車需求。協(xié)助公司各項(xiàng)產(chǎn)業(yè)和國際標(biāo)準(zhǔn)貫徹，并在行政制度方面予以配合。負(fù)責(zé)公司的企業(yè)文化建設(shè)。人力資源部經(jīng)理向公司總經(jīng)理報(bào)告，負(fù)責(zé)公司的人事管理和人力資源開發(fā)工作。負(fù)責(zé)制定公司人事管理制度，研究、分析并提出改進(jìn)工作意見和建議。負(fù)責(zé)人事考核、考查工作，建立人才庫，規(guī)范人才培養(yǎng)。負(fù)責(zé)編制年、季、月度用工平衡計(jì)劃和工資計(jì)劃。負(fù)責(zé)編制員工培訓(xùn)大綱、課程計(jì)劃，組織員工培訓(xùn)工作。擬制勞動(dòng)人事統(tǒng)計(jì)工作制度，建立健全人事勞資統(tǒng)計(jì)核算標(biāo)準(zhǔn)，核定各崗位工資標(biāo)準(zhǔn)，定期編制勞資人事等有關(guān)的統(tǒng)計(jì)報(bào)表。負(fù)責(zé)招聘、錄用、辭退工作，組織擬制每一職位的工作標(biāo)準(zhǔn)與其所需資格、條件，組織簽訂員工勞動(dòng)合同，依法對員工實(shí)施管理。負(fù)責(zé)擬制員工勞動(dòng)紀(jì)律管理制度，負(fù)責(zé)考勤、獎(jiǎng)懲、差假、調(diào)動(dòng)等管理工作。配合公司經(jīng)營目標(biāo)，組織擬制人力資源發(fā)展與人員編制數(shù)額計(jì)劃，確保人員編制的合理性和準(zhǔn)確性。負(fù)責(zé)員工各項(xiàng)福利與勞動(dòng)保護(hù)管理工作，營造員工與公司之間的和諧關(guān)系。財(cái)務(wù)部分財(cái)務(wù)部經(jīng)理負(fù)責(zé)公司財(cái)務(wù)戰(zhàn)略的制定、財(cái)務(wù)管理與內(nèi)部控制工作，向公司總經(jīng)理報(bào)告。建立科學(xué)、系統(tǒng)符合企業(yè)實(shí)際情況的財(cái)務(wù)核算體系和財(cái)務(wù)監(jiān)控體系，向公司經(jīng)營決策提供依據(jù)，協(xié)助總經(jīng)理制定公司戰(zhàn)略，組織公司財(cái)務(wù)戰(zhàn)略規(guī)劃的制訂。制定公司資金運(yùn)營計(jì)劃，對公司生產(chǎn)經(jīng)營活動(dòng)所需要的資金籌措方式進(jìn)行成本計(jì)算，監(jiān)督資金管理報(bào)告和預(yù)、決算，提供最為經(jīng)濟(jì)的籌資方式。組織對重大項(xiàng)目和經(jīng)營活動(dòng)的財(cái)務(wù)風(fēng)險(xiǎn)評估、指導(dǎo)、跟蹤和財(cái)務(wù)風(fēng)險(xiǎn)控制，審核公司重大資金流向和重大財(cái)務(wù)支出。根據(jù)法律法規(guī)、會(huì)計(jì)準(zhǔn)則、公司政策以與上級主管部門的要求，組織制訂公司財(cái)務(wù)管理制度，負(fù)責(zé)擬制、審核公司的總體性和階段性的財(cái)務(wù)規(guī)劃。負(fù)責(zé)監(jiān)督、審計(jì)公司財(cái)務(wù)管理制度和財(cái)務(wù)計(jì)劃的執(zhí)行情況，審核財(cái)務(wù)報(bào)表，向總經(jīng)理提交財(cái)務(wù)管理工作報(bào)告、財(cái)務(wù)分析和改進(jìn)建議。負(fù)責(zé)管理公司資產(chǎn)，監(jiān)督公司資產(chǎn)的運(yùn)行效率，保證公司資產(chǎn)的安全和優(yōu)化配置。參與公司重要事項(xiàng)的分析和決策，為企業(yè)的生產(chǎn)經(jīng)營、業(yè)務(wù)發(fā)展與對外投資等事項(xiàng)提供財(cái)務(wù)方面的分析和決策依據(jù)。協(xié)調(diào)公司同銀行、工商、稅務(wù)等政府部門的關(guān)系，維護(hù)公司權(quán)益。向上級主管單位匯報(bào)公司經(jīng)營狀況、經(jīng)營成果、財(cái)務(wù)收支與計(jì)劃的具體情況，對公司經(jīng)營狀況和預(yù)算執(zhí)行情況進(jìn)行分析。負(fù)責(zé)部門人員與其他日常管理工作。公司市場與銷售管理部分負(fù)責(zé)市場與銷售的公司副總經(jīng)理協(xié)助總經(jīng)理分管企業(yè)發(fā)展部、互聯(lián)網(wǎng)事業(yè)部、商務(wù)領(lǐng)航事業(yè)部、電信大客戶部、政府營銷事業(yè)部、企業(yè)營銷事業(yè)部的工作，向公司總經(jīng)理報(bào)告。組織制訂和審核公司銷售計(jì)劃和戰(zhàn)略，以與公司對外市場階段性的目標(biāo)、策略、計(jì)劃、工作分工和資源計(jì)劃。負(fù)責(zé)組織推動(dòng)公司的市場管理體系建設(shè)工作，提高公司在市場發(fā)展方面的運(yùn)行效率和能力。負(fù)責(zé)組織協(xié)調(diào)公司有關(guān)部門與政府、企事業(yè)單位的溝通，并負(fù)責(zé)監(jiān)督所分管部門對合同用戶需求實(shí)現(xiàn)的與時(shí)性和準(zhǔn)確性。參與制訂并審核公司對客戶的所有的服務(wù)級別承諾文件，并在得到公司正式授權(quán)后代表公司組織簽署與供應(yīng)商之間的服務(wù)級別承諾文件。公司技術(shù)管理部分負(fù)責(zé)技術(shù)的公司副總經(jīng)理協(xié)助總經(jīng)理分管項(xiàng)目管理部、商務(wù)部、技術(shù)服務(wù)事業(yè)部和軟件研發(fā)部門的工作，向公司總經(jīng)理報(bào)告。負(fù)責(zé)組織擬制、審核公司IT服務(wù)管理的策略、計(jì)劃和資源需求，促進(jìn)工作的管理規(guī)范，提高公司的運(yùn)營效益和客戶滿意度。組織擬制和審核公司公司IT服務(wù)管理政策文件，參與擬制和審核公司全部服務(wù)目錄、服務(wù)級別承諾文件。負(fù)責(zé)組織規(guī)劃公司IT服務(wù)管理部門內(nèi)部有關(guān)分擔(dān)服務(wù)級別協(xié)議所規(guī)定責(zé)任的部門和人員分工，并擬制、審核相關(guān)的分工文件和服務(wù)級別承諾文件。負(fù)責(zé)提出公司公司IT服務(wù)管理的人員需求，組織協(xié)調(diào)、監(jiān)督執(zhí)行對公司員工、合作伙伴的有關(guān)公司IT服務(wù)管理培訓(xùn)和政策貫徹。負(fù)責(zé)組織擬制、審核公司公司IT服務(wù)管理的相關(guān)需求計(jì)劃，參與評審相關(guān)供應(yīng)商。參與擬制、審核有關(guān)系公司IT服務(wù)管理的對外溝通和客戶服務(wù)口徑，組織制訂并審核完善規(guī)范的客戶服務(wù)體系和知識(shí)庫。項(xiàng)目管理部經(jīng)理向負(fù)責(zé)技術(shù)的公司副總經(jīng)理報(bào)告。負(fù)責(zé)建立、推動(dòng)和維護(hù)運(yùn)營系統(tǒng)的國際化質(zhì)量管理體系，監(jiān)控和組織質(zhì)量管理體系的運(yùn)行、維護(hù)，完成質(zhì)量管理體系的第三方權(quán)威機(jī)構(gòu)的認(rèn)證。負(fù)責(zé)建立公司項(xiàng)目管理制度與文件架構(gòu)，組織實(shí)施各類體系文件的管理。負(fù)責(zé)組織公司員工在質(zhì)量管理體系知識(shí)方面的培訓(xùn)，收集、傳達(dá)、宣傳質(zhì)量法規(guī)與標(biāo)準(zhǔn)，推動(dòng)和提升全體員工實(shí)施質(zhì)量管理的意識(shí)和能力。負(fù)責(zé)內(nèi)部質(zhì)量管理體系審核和管理評審，組織、監(jiān)控公司整體質(zhì)量規(guī)劃、質(zhì)量控制與質(zhì)量改進(jìn)活動(dòng)的實(shí)施，確保質(zhì)量管理體系運(yùn)行的有效性和適用性。負(fù)責(zé)制訂公司的項(xiàng)目管理制度，根據(jù)公司總體目標(biāo)和計(jì)劃，組織各部門分解和落實(shí)各項(xiàng)工作任務(wù)，提高項(xiàng)目管理的效率和質(zhì)量。結(jié)合公司的發(fā)展目標(biāo)、IT服務(wù)系統(tǒng)的服務(wù)級別協(xié)議內(nèi)容與公司各部門的工作指標(biāo)，組織管理體系的改進(jìn)，并協(xié)助建立客戶滿意度指標(biāo)評價(jià)系統(tǒng)。負(fù)責(zé)與質(zhì)量管理體系認(rèn)證中心等外部機(jī)構(gòu)的聯(lián)系。商務(wù)部經(jīng)理向負(fù)責(zé)技術(shù)的公司副總經(jīng)理報(bào)告。負(fù)責(zé)公司商務(wù)部的日常執(zhí)行工作，組織商務(wù)部會(huì)議，并落實(shí)會(huì)議決定的執(zhí)行。參與擬制并審核公司對客戶的所有的服務(wù)目錄、服務(wù)級別以與對客戶的服務(wù)級別承諾文件。并根據(jù)上述文件，負(fù)責(zé)擬制、審核，并在得到公司正式授權(quán)后代表公司簽署與供應(yīng)商之間的服務(wù)級別承諾文件。負(fù)責(zé)組織和管理對公司現(xiàn)有供應(yīng)商的評審和監(jiān)督管理，擬制公司合格供應(yīng)商名單，負(fù)責(zé)監(jiān)督、評審、記錄供應(yīng)商對服務(wù)水平承諾的落實(shí)情況。負(fù)責(zé)組織公司對外商務(wù)洽談，擬制、審核公司對外商務(wù)合作合同，并在得到公司正式授權(quán)后代表公司簽署對外商務(wù)合作合同。根據(jù)公司的發(fā)展規(guī)劃，負(fù)責(zé)組織相關(guān)部門討論、確定采購需求規(guī)劃，擬定供應(yīng)商發(fā)展、采購計(jì)劃和預(yù)算評估報(bào)告。擬制并審核公司采購管理制度。負(fù)責(zé)組織和管理公司供應(yīng)商的開發(fā)工作，跟蹤新技術(shù)、新產(chǎn)品和新方案，比較現(xiàn)有合格供應(yīng)商、采購和運(yùn)營的狀況，根據(jù)公司相關(guān)部門的需求尋找新的供應(yīng)商，持續(xù)對系統(tǒng)建設(shè)和運(yùn)維工作更高的性能價(jià)格比提出改進(jìn)目標(biāo)。技術(shù)服務(wù)事業(yè)部總監(jiān)全面負(fù)責(zé)技術(shù)服務(wù)事業(yè)部的工作，向負(fù)責(zé)技術(shù)的公司副總經(jīng)理報(bào)告。經(jīng)負(fù)責(zé)技術(shù)的公司副總經(jīng)理特別授權(quán)，管理和監(jiān)督IT服務(wù)管理的重點(diǎn)工作。在負(fù)責(zé)技術(shù)的公司副總經(jīng)理缺席時(shí)，受其委托代行其職務(wù)。負(fù)責(zé)組織公司的IT服務(wù)管理需求分析和規(guī)劃工作，審核公司所有IT服務(wù)管理的需求說明書，報(bào)批后監(jiān)督執(zhí)行，并審核相關(guān)評估報(bào)告和改進(jìn)建議