ISO20000-2018信息技術(shù)-服務(wù)管理體系手冊(cè)與程序文件全套資料文件

1、xxxxxxW限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49xxxxxxW限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49信息安全與信息技術(shù)服務(wù)管理手冊(cè)文件編號(hào):MC-ITISMS-M-01版本：A0（依據(jù) IS027001: 2013/ IS020000-1: 2018 標(biāo)準(zhǔn)編制）編制：審核：批準(zhǔn)：XXXXXX有限公司發(fā)布修訂履歷修訂日期版本修訂內(nèi)容修訂人批準(zhǔn)人生效日期2020-01-30A0新制定2020-02-01目錄 TOC o 1-5 h z HYPERLINK l bookmark12 o Current Document 0. 1頒布令5 HYPERLINK l bookmar

2、k14 o Current Document 0. 2管理者代表授權(quán)書6 HYPERLINK l bookmark16 o Current Document 0. 3企業(yè)概況7 HYPERLINK l bookmark18 o Current Document 0.4手冊(cè)的管理8 HYPERLINK l bookmark20 o Current Document 1范圍9 HYPERLINK l bookmark22 o Current Document 2規(guī)范性引用文件9 HYPERLINK l bookmark24 o Current Document 3術(shù)語和定義0 HYPERLINK

3、l bookmark26 o Current Document 4組織環(huán)境114.1理解組織及其環(huán)境112理解相關(guān)方的需求和期望113確定管理體系的范圍124信息安全管理體系13 HYPERLINK l bookmark50 o Current Document 5信息技術(shù)服務(wù)管理體系13 HYPERLINK l bookmark28 o Current Document 5領(lǐng)導(dǎo)151領(lǐng)導(dǎo)和承諾152方針163組織角色、職責(zé)和權(quán)限16 HYPERLINK l bookmark30 o Current Document 6策劃171應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施172管理目標(biāo)及其實(shí)現(xiàn)策劃193策劃信息技術(shù)

4、服務(wù)管理體系19 HYPERLINK l bookmark32 o Current Document 7支持201資源202能力203意識(shí)204溝通215文件化信息21 HYPERLINK l bookmark34 o Current Document 8運(yùn)行231運(yùn)行策劃和控制232信息安全風(fēng)險(xiǎn)評(píng)估與信息技術(shù)服務(wù)組合. 233信息安全風(fēng)險(xiǎn)處置與關(guān)系、協(xié)議管理 264供應(yīng)與需求285服務(wù)設(shè)計(jì)、構(gòu)建與轉(zhuǎn)換298. 6解決與完成327服務(wù)保障34 HYPERLINK l bookmark36 o Current Document 9績效評(píng)價(jià)361監(jiān)視、測(cè)量、分析和評(píng)價(jià)369.2內(nèi)部審核363管理評(píng)

5、審374信息技術(shù)月艮務(wù)扌艮告 39 HYPERLINK l bookmark38 o Current Document 10改進(jìn)391不符合及糾正措施392持續(xù)改進(jìn)40 HYPERLINK l bookmark40 o Current Document 附錄A組織機(jī)構(gòu)圖.41附錄B信息安全與信息技術(shù)服務(wù)管理職責(zé)表附錄C辦公區(qū)域平面圖.43附錄D信息安全與信息技術(shù)服務(wù)管理職責(zé)分配44附錄E方針和目標(biāo)46E.1信息技術(shù)服務(wù)管理方針和目標(biāo)46E. 2信息安全管理方針和目標(biāo)470. 1頒布令為提高X X X X X X有限公司的信息安全管理水平，保障我公司業(yè)務(wù)活動(dòng)的正常進(jìn)行，防止由于信息系統(tǒng)的中斷、數(shù)

6、據(jù)的丟失、敏感信息的泄密所導(dǎo)致的公 司和客戶的損失，以及規(guī)范我公司IT信息技術(shù)服務(wù)管理，提供滿足顧客要求的信息 技術(shù)服務(wù)，我公司開展貫徹US027001:2013信息技術(shù)安全技術(shù)信息安全管理體 系要求和（IS020000-1: 2018信息技術(shù)服務(wù)管理體系要求國際標(biāo)準(zhǔn)的工 作，建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全與信息技術(shù)服務(wù)管理體系，制定了信息安全與信息技術(shù)服務(wù)管理手冊(cè)（以下簡(jiǎn)稱為“手冊(cè)手冊(cè)是企業(yè)的綱領(lǐng)性文件，是指導(dǎo)企業(yè)建立并實(shí)施信息安全與信息技術(shù)服務(wù)管理體系的綱 領(lǐng)和行動(dòng)準(zhǔn)則，用千貫徹企業(yè)的信息安全與信息技術(shù)服務(wù)管理方針、目標(biāo)，實(shí)現(xiàn)信息安全和信 息技術(shù)服務(wù)管理體系有效運(yùn)行、持續(xù)改進(jìn)，體現(xiàn)企

7、業(yè)對(duì)社會(huì)的承諾。手冊(cè)符合有關(guān)信息安全法律、法規(guī)要求及 US027001:2013信息技術(shù) 安全 技術(shù)信息安全 管理體系要求、（IS020000 1: 2018信息技術(shù)服務(wù)管理體系要求標(biāo)準(zhǔn)和企業(yè)實(shí)際情況，現(xiàn) 正式批準(zhǔn)發(fā)布，自2020年02月01日起實(shí)施，企業(yè)全體員工必須遵照?qǐng)?zhí)行。全體員工必須嚴(yán)格按照手冊(cè)的要求，自覺遵循信息安全和信息技術(shù)服務(wù)管理方針，貫徹實(shí)施本手冊(cè)的各項(xiàng)要求，努力實(shí)現(xiàn)公司信息安全與信息技術(shù)服務(wù)管理目標(biāo)?？偨?jīng)理：*2020年02月01日0.2管理者代表授權(quán)書為貫徹執(zhí)行信息安全與信息技術(shù)服務(wù)管理體系，滿足US027001: 2013信 息技術(shù)安全技術(shù)信 息安全管理體系要求、IS020

8、000-1: 2018信息技術(shù)服務(wù)管理體系要求標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng) 導(dǎo)，特任命*為我公司信息安全 與信息技術(shù)服務(wù)管理者代表。授權(quán)者代表有如下職責(zé)和權(quán)限：確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估，全面建立、實(shí)施和保持信息安全和信 息技術(shù)服務(wù)管理體系；負(fù)責(zé)與信息安全與信息技術(shù)服務(wù)體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)；審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃；負(fù)責(zé)組織編寫和批準(zhǔn)發(fā)布程序文件，負(fù)責(zé)年度培訓(xùn)計(jì)劃、支持性文件的審 批。主持信息安全與信息技術(shù)服務(wù)理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報(bào)告；向總經(jīng)理報(bào)告信息安全與信息技術(shù)服務(wù)管理體系的運(yùn)行情況和所有改進(jìn) 要求，包括內(nèi)外 部

9、審核情況。本授權(quán)書自任命日起生效執(zhí)行o總經(jīng)理：2020年02月01日0. 3企業(yè)概況X X X X X X有限公司（以下簡(jiǎn)稱為“公司）成立于199X年4月，是一家 集IT產(chǎn)品軟硬 件銷售、提供技術(shù)服務(wù)、系統(tǒng)集成的計(jì)算機(jī)公司，目前公司技術(shù)力量雄厚，硬件設(shè)備、設(shè)施充足。 大專學(xué)歷以上專業(yè)技術(shù)人員占90%,公司注冊(cè) 資本5000萬元人民幣。公司以*大學(xué)軟件學(xué)院為依托，憑借其雄厚的技術(shù)優(yōu)勢(shì)，以市場(chǎng)為導(dǎo)向，以軟件產(chǎn)品的 開發(fā)帶動(dòng)硬件產(chǎn)品的銷售，成為一家專業(yè)的計(jì)算機(jī)公司?，F(xiàn)己開發(fā)使用的軟件產(chǎn)品有：繼電保護(hù) 管理系統(tǒng)、IT服務(wù)管理系統(tǒng)、廣州電信定綱定編管理系統(tǒng)、采購管理系統(tǒng)、在線學(xué)習(xí)考試系統(tǒng)、 計(jì)重收費(fèi)業(yè)務(wù)

10、培訓(xùn)系統(tǒng)、實(shí)驗(yàn)室管理系統(tǒng)等。在硬件方面，公司代理了 HP （惠普）、舊M、聯(lián)想、清華同方等計(jì)算機(jī)產(chǎn)品，為CISCO、 3C0M、實(shí)達(dá)、舊DN、AVAYA等廠商的系統(tǒng)集成伙伴，承接校園網(wǎng)絡(luò)、企業(yè)內(nèi)部網(wǎng)，為用戶提供新 技術(shù)咨詢，系統(tǒng)論證，方案設(shè)計(jì)、分析，網(wǎng)絡(luò)安全評(píng) 估，技術(shù)培訓(xùn)，系統(tǒng)工程維護(hù)。公司主要大客戶有：*等。公司現(xiàn)已成為* * * * *電腦設(shè)備釆購唯一指定供應(yīng)商、* *指定設(shè)備維護(hù)點(diǎn)、* 有限公司設(shè)備現(xiàn)場(chǎng)維護(hù)及供應(yīng)商。經(jīng)過多年的發(fā)展，公司己形成完善的企業(yè)架構(gòu)，公司始終堅(jiān)持“創(chuàng)新求生存、服務(wù)創(chuàng)效 益、信譽(yù)促發(fā)展”的管理方針，在IT產(chǎn)業(yè)日新月異的今天，將以更成 熟，更優(yōu)質(zhì)的服務(wù)為客戶 提供最

11、佳的解決方案。公司名稱：企業(yè)法人：地址：電話：0.4手冊(cè)的管理信息安全與信息技術(shù)服務(wù)管理手冊(cè)的批準(zhǔn)管理者代表負(fù)責(zé)組織手冊(cè)的編制，總經(jīng)理負(fù)責(zé)手冊(cè)的批準(zhǔn)。手冊(cè)的發(fā)放、更改、作廢與銷毀a）綜合部負(fù)責(zé)按文件管理程序）的要求，進(jìn)行手冊(cè)的登記、發(fā)放、回收、更改、歸檔、 作廢與銷毀工作；b）相關(guān)部門按照受控文件的管理要求對(duì)收到的手冊(cè)進(jìn)行使用和保管；c）綜合部按照規(guī)定發(fā)放修改后的手冊(cè)，并收回失效的文件做出標(biāo)識(shí)統(tǒng)一處理，確保有效 文件的唯一性；d）綜合部保留手冊(cè)修改內(nèi)容的記錄。手冊(cè)的換版當(dāng)存在以下情況時(shí)，需對(duì)手冊(cè)進(jìn)行修訂和換版：a）依據(jù)的（IS027001:2013信息技術(shù) 安全技術(shù)信息安全管理體系要求和IS0

12、20000 1： 2018信息技術(shù)服務(wù)管理體系要求標(biāo)準(zhǔn)有重大變化；b）組織的結(jié)構(gòu)發(fā)生變化；C）內(nèi)外部環(huán)境、生產(chǎn)技術(shù)、信息安全風(fēng)險(xiǎn)等發(fā)生重大改變；換版應(yīng)在管理評(píng)審時(shí)形成決議，重新實(shí)施編、審、批工作。手冊(cè)的控制a）本手冊(cè)標(biāo)識(shí)分受控文件和非受控文件兩種：一受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部門的負(fù)責(zé)人、內(nèi)審員（除綜合部存檔外， 其他相關(guān)人員均以電子版形式發(fā)放）;一非受控文件指印制成單行本，作為投標(biāo)書的資料或?yàn)樯a(chǎn)、銷售目的等 發(fā)給受控 范圍以外的其他相關(guān)人員。b）手冊(cè)有書面文件和電子文件，電子版本文件的有效格式為Word文檔保護(hù) 格式。X X X X X X有限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第

13、頁共49頁X X X X X X有限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 #頁共49頁1范圍從組織環(huán)境的角度考慮，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全 與信息技術(shù)服務(wù)管理體系，確定信息安全與信息技術(shù)服務(wù)方針和目標(biāo)，對(duì)信息安全與信息技術(shù)服 務(wù)進(jìn)行有效管理，確保全體員工理解并遵照?qǐng)?zhí)行信息安全與信息技術(shù)服務(wù)管理體系文件、持續(xù)改 進(jìn)信息安全與信息技術(shù)服務(wù)管理體系的有效性，特制定本手冊(cè)。本手冊(cè)從組織環(huán)境的角度規(guī)定了 X X X X X X有限公司信息安全與信息技術(shù)服務(wù)理體系要 求、管理職責(zé)、內(nèi)部審核、管理評(píng)審和信息安全和信息技術(shù)服務(wù) 管理體系改進(jìn)等方面內(nèi)容。本手冊(cè)適用于X X XX

14、X X有限公司業(yè)務(wù)活動(dòng)所涉及的與軟件的研發(fā)和系 統(tǒng)集成服務(wù)相關(guān)的 信息安全管理活動(dòng)。及X X X X X X有限公司為客戶提供計(jì)算機(jī)信息系統(tǒng)集成，應(yīng)用軟件開發(fā)及 相關(guān)運(yùn)維服務(wù)相關(guān)的信息技術(shù)服務(wù)管理活動(dòng)。本手冊(cè)釆用了IS027001：2013信息技術(shù)安全技術(shù)信息安全管理體系要求和IS0200001:2018信息技術(shù)服務(wù)管理體系要求標(biāo)準(zhǔn)正文的全部內(nèi)容。2規(guī)范性引用文件下列文件中的條款通過引用而成為本手冊(cè)的條款。凡是標(biāo)注日期的引用文件，其隨后所有 的修改單或修訂版均適用于本標(biāo)準(zhǔn)，然而，相關(guān)部門應(yīng)研究是否可使用這些文件的最新版本。 凡是不注日期的引用文件、其最新版本適用于本信息安 全管理手冊(cè)。ISO/

15、IEC 20000-1: 2018信息技術(shù)服務(wù)管理體系要求ISO/ IEC 20000 5: 2018信息技術(shù)服務(wù)管理實(shí)施策劃示例ISO/ IEC 20000-2 : 2019信息技術(shù)服務(wù)管理實(shí)施指南ISO/ IEC 20000-3: 2012信息技術(shù)服務(wù)管理范圍定義和適用性指南ISO/ IEC 27001 : 2013信息技術(shù)安全技術(shù)信息安全管理體系要求ISO/IEC 27000 （信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯ISO/ IEC 27002 : 2013信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則第 #頁共49頁第 頁共49頁xxxxxxW限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)3術(shù)語和定義

16、ISO/IEC 27000 （信息技術(shù)安全技術(shù)信息安全和信息技術(shù)服務(wù)管理體系概述和詞匯、IS0/IEC 20000-1: 2018信息技術(shù)服務(wù)管理體系要求.IS020000-2: 2005信息技術(shù)服務(wù)管理 實(shí)施指南）.IS0/IEC 20000-5:2018信息技術(shù)服務(wù)管 理實(shí)施策劃示例）中規(guī)定的術(shù)語和定義 適用于本手冊(cè)外，以下定義同樣適用。1信息系統(tǒng)信息系統(tǒng)是由計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通訊設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶和規(guī)章制 度組成的以處理信息流為目的的人機(jī)一體化系統(tǒng)，是一個(gè)由人、計(jì) 算機(jī)及其他外圍設(shè)備等組成 的能進(jìn)行信息的收集、傳遞、存貯、加工、維護(hù)和使用的系統(tǒng)。2計(jì)算機(jī)病毒指編制或者在

17、計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能 自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。3信息安全事件指導(dǎo)致信息系統(tǒng)不能提供正常服務(wù)或服務(wù)質(zhì)量下降的技術(shù)故障事件、利用 信息系統(tǒng)從事的 反動(dòng)有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對(duì)信息系統(tǒng)的破壞竊密事件。4相關(guān)方關(guān)注本公司信息安全或與本公司信息安全績效有利益關(guān)系的組織和個(gè)人。主要為：政府、上 級(jí)部門、供方、用戶等。第 頁共49頁xxxxxxW 限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49頁XXXXXX有限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)4組織環(huán)境1理解組織及其環(huán)境公司應(yīng)確定與其目標(biāo)相關(guān)并影響其實(shí)現(xiàn)信息安全和信 息技

18、術(shù)服務(wù)管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問題。1. 1內(nèi)部問題a）公司推行信息安全和信息技術(shù)服務(wù)管理體系的時(shí)間不長，內(nèi)部制度的建立還有很大提升空間；b）內(nèi)部人員對(duì)信息安全和信息技術(shù)服務(wù)體系的理解還需要提升；c）人才儲(chǔ)備不夠；d）人員成本控制較高。1.2組織外部問題a）來自其他品牌的競(jìng)爭(zhēng)；b）法律法規(guī)的變化；0客戶方對(duì)項(xiàng)目要求高、工期緊。2理解相關(guān)方的需求和期望公司信息安全風(fēng)險(xiǎn)評(píng)估小組應(yīng)定期識(shí)別和確定與信息安全和信息技術(shù)服務(wù)管理體系有關(guān)的相關(guān)方。這些相關(guān)方包括與本公司信息安全和信息技術(shù)服務(wù)績效有利益關(guān)系的組織和個(gè)人，主要為：a)政府機(jī)構(gòu)；b)上級(jí)部門火*技術(shù)研究所;c)供方；d)客戶等。政府機(jī)構(gòu)

19、和上級(jí)部門的要求詳見法律法規(guī)清單，客戶和供方的要求包含在合 同要求中。4.3 確定管理體系的范圍本公司根據(jù)組織環(huán)境、內(nèi)外部面臨的問題、相關(guān)方的需求和期望、組織所執(zhí)行的活動(dòng)之間以及與其它組織的活動(dòng)之間的接口和依賴性定義 了信息安全與信息技術(shù)服務(wù)管理體系的邊界和適用性，本公司信息安全與信息技術(shù)服務(wù)管 理體系的范圍如下：3. 1信息安全范圍：與計(jì)算機(jī)信息系統(tǒng)集成，應(yīng)用軟件開發(fā)及相關(guān)運(yùn)維服務(wù)相關(guān)的信息安全管理 活動(dòng)。3. 2信息技術(shù)服務(wù)范圍：為客戶提供計(jì)算機(jī)信息系統(tǒng)集成，應(yīng)用軟件開發(fā)及相關(guān)運(yùn)維服務(wù)相關(guān)的信息技 術(shù)服務(wù)管理 活動(dòng)。與4.3.1、4.3. 2范圍活動(dòng)相關(guān)的信息系統(tǒng)、各部門（包括市場(chǎng)部，技術(shù)

20、部，綜合部）的所有員工，活動(dòng)、產(chǎn)品包含的全部信息資產(chǎn)（不在體系覆蓋范圍內(nèi)的相 關(guān)部門，以 公司內(nèi)部相關(guān)方形式出現(xiàn)）。4. 3. 3組織范圍：本公司信息安全與信息技術(shù)服務(wù)管理體系適用的組織范圍，見附錄A組織 機(jī)構(gòu)圖。4. 3. 4物理范圍 中國*省*市*本公司信息安全與信息技術(shù)服務(wù)管理體系的物理范圍安全邊界詳見附錄C辦公區(qū)域平面圖。XXX XXX有限公司4. 4信息安全管理體系信息安全與信息技術(shù)服務(wù)管理手冊(cè)本公司在日常經(jīng)營管理活動(dòng)中，按ISO/IEC 27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體 系-要求規(guī)定，建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系。信息安全管理體系使用的過 程基于

21、圖1所示的PDCA模型。圖1信息安全管理體系模型4. 5信息技術(shù)服務(wù)管理體系本公司IT服務(wù)管理團(tuán)隊(duì)按照IS020000-1： 2018標(biāo)準(zhǔn)的要求，遵循PDCA模 式策劃、實(shí)施、檢 查和改進(jìn)IT服務(wù)管理體系。信息技術(shù)服務(wù)管理體系使用的過 程基于圖2所示的PDCA模型。圖2信息技術(shù)服務(wù)管理體系模型4. 5. 1 策劃（P ）xxxxxxW 限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49頁xxxxxxW 限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49頁IT負(fù)責(zé)人負(fù)責(zé)組織策劃ITSMS的實(shí)施和發(fā)布，同時(shí)建立、實(shí)施和維護(hù)服務(wù)管 理計(jì)劃。服務(wù) 管理策劃/計(jì)劃應(yīng)包含或引用至少以下內(nèi)容：a）由本公司IT服

22、務(wù)部門來實(shí)現(xiàn)的服務(wù)管理目標(biāo)；b）服務(wù)要求；c）影響服務(wù)管理體系的已知限制；d）策略、標(biāo)準(zhǔn)和法律法規(guī)要求和合同義務(wù)；e）權(quán)限、職責(zé)和流程角色框架；f）針對(duì)計(jì)劃、服務(wù)管理流程和服務(wù)的權(quán)限和職責(zé)；g）完成服務(wù)管理目標(biāo)所需要的人力、技術(shù)、信息和財(cái)務(wù)資源；h）在與其它各方合作時(shí)釆取的步驟，包括設(shè)計(jì)和轉(zhuǎn)化新的或的服務(wù)流程；i ）對(duì)服務(wù)管理流程和服務(wù)管理體系的其它組成部分進(jìn)行整合時(shí)接口的步驟j）風(fēng)險(xiǎn)管理和接受風(fēng)險(xiǎn)的準(zhǔn)則的步驟；k）用于支持服務(wù)管理體系的技術(shù)；l）服務(wù)管理體系和服務(wù)的成效需要被測(cè)酰、報(bào)告和改進(jìn)。特定流程的計(jì)劃應(yīng)與服務(wù)管理計(jì)劃相一致。該服務(wù)管理計(jì)劃和特定流程的計(jì)劃，應(yīng)按照計(jì)劃的時(shí)間間隔進(jìn)行評(píng)估，

23、如果適用，進(jìn)行更新。4. 5. 2 實(shí)施（D）本公司根據(jù)服務(wù)管理計(jì)劃，通過策劃、轉(zhuǎn)化、交付和提高來實(shí)施和運(yùn)行服務(wù) 管理體系，包 含但不限于以下行為：a）為服務(wù)實(shí)施準(zhǔn)備資金并做好預(yù)算分配，有效管理預(yù)算執(zhí)行，以確保服務(wù)管理體系能夠 按步驟、持續(xù)的完成實(shí)施；b）建立專業(yè)的IT服務(wù)團(tuán)隊(duì)，合理分配服務(wù)角色和職責(zé)，通過任命或招聘的方式確保人 員到位；c）對(duì)IT服務(wù)管理團(tuán)隊(duì)，技術(shù)和信息資源進(jìn)行有效的管理；d）設(shè)定相關(guān)KPI指標(biāo)確保過程運(yùn)行質(zhì)量，識(shí)別評(píng)估并控制IT服務(wù)的風(fēng)險(xiǎn)；e）按照各個(gè)服務(wù)管理流程的方針、計(jì)劃、程序和定義實(shí)施服務(wù)管理；f）根據(jù)IT服務(wù)報(bào)告管理過程要求，定期出具IT服務(wù)管理體系運(yùn)行相關(guān)報(bào) 告以

24、對(duì)服務(wù)管 理行為的績效進(jìn)行監(jiān)控和報(bào)告。4. 5. 3監(jiān)視、測(cè)量和評(píng)審（C）公司建立內(nèi)部審核及管理評(píng)審控制程序等以及ITSMS的有效性和服務(wù)效果進(jìn)行 監(jiān)督和度 量。以證實(shí)ITSMS和各項(xiàng)服務(wù)的能力可以實(shí)現(xiàn)服務(wù)管理目標(biāo)并達(dá)到服 務(wù)的要求。同時(shí)已識(shí)別 不符合本部分的ISO/ IEC 20000-1:2018的要求，包括服務(wù)提供者或服務(wù)要求確定ITSMS的要 求。對(duì)內(nèi)部審核和管理評(píng)審的結(jié)果予以記錄，其中包 括不符合項(xiàng)，關(guān)注以及確定的行動(dòng)。并將 結(jié)果和行動(dòng)通知各利益相關(guān)方。5.4 改進(jìn)（A）各部門通過實(shí)施過程以識(shí)別、測(cè)量、報(bào)告，并進(jìn)行持續(xù)改進(jìn)活動(dòng)，包括：a）過程所有者可使用日常的活動(dòng)來實(shí)施單個(gè)過程的改進(jìn)

25、，即實(shí)施單個(gè)的糾正和預(yù)防措施；b）跨組織或涉及多個(gè)過程的改進(jìn)。5領(lǐng)導(dǎo)1領(lǐng)導(dǎo)和承諾高層管理者應(yīng)通過以下方式展示其關(guān)于信息安全與信息技術(shù)服務(wù)管理體系的領(lǐng)導(dǎo)力和承 諾：a）確保制定信息安全和信息技術(shù)服務(wù)管理體系的方針和目標(biāo)，與戰(zhàn)略方向一致；b）確保將信息安全與信息技術(shù)服務(wù)管理體系要求整合到組織的業(yè)務(wù)過程中；c）確保信息安全與信息技術(shù)服務(wù)管理體系所需資源可用；d）確保對(duì)信息技術(shù)服務(wù)生命周期的相關(guān)方進(jìn)行控制和管理；e）傳達(dá)信息安全與信息技術(shù)服務(wù)管理有效實(shí)施、符合信息安全與信息技術(shù)xxxxxxW 限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49頁xxxxxxW 限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共

26、49頁XXXXXX有限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49頁服務(wù)管理體系要求的重要性；f）確保信息安全與信息技術(shù)服務(wù)管理體系實(shí)現(xiàn)其預(yù)期結(jié)果；g）指揮并支持人員為信息安全與信息技術(shù)服務(wù)管理體系的有效實(shí)施做出貢獻(xiàn)；h）確保為組織和確定的客戶創(chuàng)造價(jià)值；i）溝通有效的信息技術(shù)服務(wù)管理的重要性，實(shí)現(xiàn)信息技術(shù)服務(wù)管理目標(biāo)，交付 價(jià)值和符 合信息技術(shù)服務(wù)管理體系的要求；j）促進(jìn)持續(xù)改進(jìn)；k）支持其他相關(guān)角色在其職責(zé)范圍內(nèi)展示他們的領(lǐng)導(dǎo)力。l）定期對(duì)信息安全與信息技術(shù)服務(wù)管理體系進(jìn)行內(nèi)審和管理評(píng)審，以確保 體系的適宜性、充分性和有效性；2方針高層管理者應(yīng)建立信息安全與信息技術(shù)服務(wù)方針。（見信息安全與

27、信息技術(shù)服 務(wù)方針目標(biāo) 文件）。3組織角色、職責(zé)和權(quán)限本公司總經(jīng)理為信息安全與信息技術(shù)服務(wù)管理體系的最高責(zé)任者 。總經(jīng)理指定了信息安全與信息技術(shù)服務(wù)管理者代表。無論信息安全與信息技術(shù) 服務(wù)管理者 代表在其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)：a）建立并實(shí)施信息安全與信息技術(shù)服務(wù)管理體系必要的程序并維持其有效運(yùn)行；b）對(duì)信息安全與信息技術(shù)服務(wù)管理體系的運(yùn)行績效向總經(jīng)理報(bào)告；c）對(duì)各部門的信息安全與信息技術(shù)服務(wù)管理體系的運(yùn)行情況在公司內(nèi)部進(jìn) 行通告。各部門負(fù)責(zé)人為本部門信息安全與信息技術(shù)服務(wù)管理責(zé)任者，全體員工都應(yīng)按 信息安全與信息技術(shù)服務(wù)管理體系的要求自覺履行信息安全義務(wù)。各部門、人員有關(guān)信

28、息安全與信息技術(shù)服務(wù)職責(zé)分配見附錄 D信息安全與信息技術(shù)服務(wù)管理職責(zé)分配表。6策劃1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施1. 1當(dāng)策劃信息安全和信息技術(shù)服務(wù)管理體系時(shí)，要考慮公司面臨的內(nèi)外部問題、相關(guān)方 的要求和期望，確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)會(huì)。a）確保信息安全和信息技術(shù)服務(wù)管理體系能實(shí)現(xiàn)其預(yù)期效果；b）防止或減少意外的影響；c）實(shí)現(xiàn)待續(xù)改進(jìn)。1. 2公司應(yīng)策劃以下方面的文件化信息：a）有關(guān)的風(fēng)險(xiǎn)：1）組織；2）不滿足信息安全和信息技術(shù)服務(wù)要求；3）信息技術(shù)服務(wù)生命周期中的相關(guān)方。b）風(fēng)險(xiǎn)對(duì)客戶的影響和信息安全、服務(wù)管理體系及其機(jī)遇；c）風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)；d）風(fēng)險(xiǎn)管理的方法。1.3公司應(yīng)策劃a）應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施

29、及優(yōu)先級(jí)；b）如何1）將這些措施整合到信息安全和信息技術(shù)服務(wù)管理體系過程中，并予 以實(shí)現(xiàn)；2）評(píng)價(jià)這些措施的有效性。1.4信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)部門負(fù)責(zé)組織制定（信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序，建立識(shí)別適 用于信息安全 管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估 方法,建立接受風(fēng)險(xiǎn)的準(zhǔn)則 并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。信息安全風(fēng)險(xiǎn)評(píng)估依據(jù)信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序進(jìn)行, 以保證所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。a）識(shí)別風(fēng)險(xiǎn)在已確定的信息安全和信息技術(shù)服務(wù)管理體系范圍內(nèi)，本公司按信息安全 風(fēng)險(xiǎn)識(shí)別與評(píng) 價(jià)管理程序識(shí)別與信息保密性、完整性和可用性損失有關(guān)的

30、風(fēng)險(xiǎn)，并確定每個(gè)風(fēng)險(xiǎn)的負(fù)責(zé)人。b）分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序規(guī)定，分析風(fēng)險(xiǎn)發(fā)生的可能性和可能導(dǎo)致 的潛在后果，并計(jì)算風(fēng)險(xiǎn)等級(jí)。根據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可 接受或需要處理。1. 5信息安全風(fēng)險(xiǎn)處置組織相關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，對(duì)風(fēng)險(xiǎn)進(jìn)行處置，確定風(fēng)險(xiǎn)控制措施。對(duì)千信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧?a)控制風(fēng)險(xiǎn),采用適當(dāng)?shù)膬?nèi)部控制措施;b)接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零，但可控制到可接受范圍內(nèi)）;c)避免風(fēng)險(xiǎn)（如物理隔離）;d)轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）?？刂拼胧┑倪x擇原則來源千IS027001: 2013信息

31、技術(shù)安全技術(shù)信息安全管理體系要求附錄A。本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。對(duì)風(fēng)險(xiǎn)處置計(jì)劃要得到風(fēng)險(xiǎn)負(fù)責(zé)人的批準(zhǔn)，風(fēng)險(xiǎn)處置后的剩余風(fēng)險(xiǎn),也要得到風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)相關(guān)部門負(fù)責(zé)組織編制信息安全適用性聲明（SOA） o該聲明包括以下方面 的內(nèi)容:a）所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因；第 頁共49頁第 #頁共49頁XXXXXX有限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)b）對(duì)IS027001: 2013附錄A中未選用的控制目標(biāo)及控制措施理由的說明。2管理目標(biāo)及其實(shí)現(xiàn)策劃2. 1信息安全目標(biāo)和實(shí)現(xiàn)規(guī)劃公司在相關(guān)職能和層次上建立了與信息安全方針保持一致的信息安全目標(biāo)，

32、并在全公司發(fā)布，參見信息安全方針目標(biāo)文件。6. 2. 2信息技術(shù)服務(wù)管理目標(biāo)及其實(shí)現(xiàn)策劃公司IT服務(wù)最高管理者應(yīng)確保對(duì)信息技術(shù)服務(wù)管理的策劃：a）制定適宜的IT服務(wù)管理目標(biāo)，以明確公司IT服務(wù)管理的宗旨；b）包括構(gòu)建信息技術(shù)服務(wù)管理框架，確保正確地、清晰地理解客戶需求，有效地滿足客 戶需求和提高客戶滿意度，實(shí)現(xiàn)對(duì)客戶服務(wù)需求的承諾；c）包括持續(xù)改進(jìn)SMS （服務(wù)管理體系）成效的承諾和包括通過在第4. 5節(jié)中介紹的持續(xù) 改策略的服務(wù)承諾；d）提供一個(gè)建立和檢查服務(wù)管理目標(biāo)的框架；e）公司的所有IT服務(wù)員工都要嚴(yán)格遵守并理解公司的IT服務(wù)方針、程序和制度。建立服務(wù)持續(xù)性管理過程，對(duì)服務(wù)持續(xù)適宜性進(jìn)

33、行評(píng)審。6. 3策劃信息技術(shù)服務(wù)管理體系公司應(yīng)制定、實(shí)施和維護(hù)信息技術(shù)服務(wù)管理計(jì)劃。計(jì)劃應(yīng)考慮到服務(wù)管理方針，服務(wù)管理目標(biāo)，風(fēng)險(xiǎn)與機(jī)遇。服務(wù)要求和IS020000 1: 2018標(biāo)準(zhǔn)的要求。服務(wù)管理計(jì)劃應(yīng)包含或引用以下內(nèi)容：a）服務(wù)清單；b）影響服務(wù)管理體系和服務(wù)的已知限制；c）有關(guān)的方針、標(biāo)準(zhǔn)和法律法規(guī)要求、合同的義務(wù)；d）服務(wù)管理體系和服務(wù)的權(quán)限、職責(zé)；xxxxxxW 限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49頁XXXXXX有限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49頁e）運(yùn)行服務(wù)管理體系和服務(wù)所需要的人員、技術(shù)、信息和財(cái)務(wù)資源；f）服務(wù)生命周期中和相關(guān)方釆取的工作方法；g）支

34、持服務(wù)管理體系的技術(shù)；h）如何測(cè)量、審核、報(bào)告和改進(jìn)服務(wù)管理體系和服務(wù)的有效性。 其他的計(jì)劃應(yīng)與服務(wù)管理計(jì)劃相一致。7支持1資源本公司確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全與信息技術(shù)服務(wù)管理體系所需資源。2能力公司相關(guān)部門組織制定并實(shí)施人力資源管理程序文件，達(dá)到以下要求：a）確定在組織控制下從事會(huì)影響組織信息安全績效的工作人員的必要能力b）確保上述人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任其工作；c）適用時(shí)，采取措施以獲得必要的能力，并評(píng)估所采取措施的有效性；d）保留適當(dāng)?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)。注：適用的措施可包括，例如針對(duì)現(xiàn)有雇員提供培訓(xùn)、指導(dǎo)或重新分配；雇傭或簽約有能力的人員。

35、3意識(shí)公司通過培訓(xùn)、教訓(xùn)等措施，保證工作人員了解：a）信息安全與信息技術(shù)服務(wù)方針；b）其對(duì)信息安全與信息技術(shù)服務(wù)管理體系有效性的貢獻(xiàn)，包括改進(jìn)信息安全與信息技術(shù)服務(wù)績效帶來的益處；c）不符合信息安全與信息技術(shù)服務(wù)管理體系要求帶來的影響。4溝通公司制定了信息安全與信息技術(shù)服務(wù)溝通管理程序，明確了信息安全和信息 技術(shù)服務(wù)管理體系相關(guān)的內(nèi)部和外部的溝通需求，包括：a)溝通內(nèi)容；b)溝通時(shí)間；c)溝通對(duì)象；d)誰負(fù)責(zé)溝通；e)溝通方式。5文件化信息5. 1總則本公司信息安全與信息技術(shù)服務(wù)管理體系文件包括:a)信息安全與信息技術(shù)服務(wù)管理體系范圍；b)信息安全與信息技術(shù)服務(wù)管理方針和目標(biāo)；c)信息安全與信

36、息技術(shù)服務(wù)管理計(jì)劃；d)信息安全與信息技術(shù)服務(wù)管理體系的過程；e)本手冊(cè)要求的信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序、（業(yè)務(wù)持續(xù)性管理程序、（糾正措施管理程序）等支持性程序；f)信息安全與信息技術(shù)服務(wù)管理體系引用的支持性程序。女口：文件管理程序、記錄管理程序、內(nèi)部審核管理程序等；g)服務(wù)級(jí)別協(xié)議（SLA）及服務(wù)目錄；h)為確保有效策劃、運(yùn)作和控制信息安全過程所制定的文件化操作程序；i)風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃以及信息安全與信息技術(shù)服務(wù)管理體系要求的記錄類文件；j)相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；k）與外部供應(yīng)商的合同、協(xié)議;1）適用性聲明（SOA） 05. 2創(chuàng)建和更新公司相關(guān)部門制定并實(shí)施文件管理

37、程序，創(chuàng)建和更新文件化信息時(shí)，應(yīng) 確保適當(dāng)?shù)模篴）標(biāo)識(shí)和描述（例如標(biāo)題、日期、作者或編號(hào)）;b）格式（例如語言、軟件版本、圖表）和介質(zhì)，例如紙質(zhì)、電子介質(zhì)）；c）對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)。5. 3文件化信息的控制公司相關(guān)部門制定并實(shí)施文件管理程序，對(duì)信息安全與信息技術(shù)服務(wù)管理體系所要求的 文件進(jìn)行控制。對(duì)手冊(cè)、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全與信息技術(shù)服務(wù)管 理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、 作廢、回收等管理工作做出規(guī)定，以確保在使用場(chǎng)所能夠及時(shí)獲得適用文件的有效版本。文件化信息控制應(yīng)確保：a）在需要的地點(diǎn)和時(shí)間，是可用和適

38、宜的；b）得到充分的保護(hù)（如避免保密性損失、不恰當(dāng)使用、完整性損失等）。為控制文件化信 息，適用時(shí)，公司應(yīng)開展以下活動(dòng)：c）分發(fā)，訪問，檢索和使用；d）存儲(chǔ)和保護(hù)，包括保持可讀性；e）控制變更（例如版本控制）；f）保留和處置。組織確定的為策劃和運(yùn)行信息安全與信息技術(shù)服務(wù)管理體系所必需的外來的文件化信息，應(yīng)得到適當(dāng)?shù)淖R(shí)別，并予以控制。注：訪問隱含僅允許瀏覽文件化信息，或允許和授權(quán)瀏覽及更改文件化信息 等決定。8運(yùn)行1運(yùn)行策劃和控制公司應(yīng)針對(duì)滿足信息安全與信息技術(shù)服務(wù)要求及實(shí)施確定的控制措施制定相關(guān)的程序和規(guī) 章制度，所需的過程予以策劃、實(shí)施和控制。組織也應(yīng)實(shí)施計(jì)劃以實(shí)現(xiàn)確定的信息安全與信息技 術(shù)

39、服務(wù)目標(biāo)。公司應(yīng)詳細(xì)記錄信息安全與信息技術(shù)服務(wù)管理體系運(yùn)行過程中的各種信息數(shù)據(jù)，以確保信 息安全與信息技術(shù)服務(wù)管理體系是否正在按照計(jì)劃有效運(yùn)行。當(dāng)公司信息安全與信息技術(shù)服務(wù)方針、目標(biāo)、工作計(jì)劃和程序、控制措施等發(fā)生變更時(shí)，應(yīng) 進(jìn)行管理。計(jì)劃的變更要按照計(jì)劃進(jìn)行控制；非預(yù)期的變更要評(píng)審變更的影響，確保變更沒有負(fù) 面的影響，必要時(shí)采取措施減輕負(fù)面影響。公司目前沒有外包過程。2信息安全風(fēng)險(xiǎn)評(píng)估與信息技術(shù)服務(wù)組合2. 1信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)部門按照6.1.2章的風(fēng)險(xiǎn)接受準(zhǔn)則和風(fēng)險(xiǎn)評(píng)估方法，每年至少進(jìn)行一次 風(fēng)險(xiǎn)評(píng)估，并 產(chǎn)出風(fēng)險(xiǎn)評(píng)估報(bào)告。當(dāng)重大變更提出或發(fā)生時(shí)，也需要執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估。2. 2服務(wù)

40、交付第 頁共49頁第 #頁共49頁XXXXXX有限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)各相關(guān)部門應(yīng)依照本手冊(cè)運(yùn)行服務(wù)管理體系，確保協(xié)作活動(dòng)和資源，應(yīng)執(zhí)行交付服務(wù)所需要 的活動(dòng)。服務(wù)組合通常管理服務(wù)生命周期中的所有服務(wù)，包括提議的、開發(fā)中的、服務(wù)目錄中的 在線服務(wù)和即將停止的服務(wù)。服務(wù)組合管理確保 服務(wù)提供者有正確的服務(wù)構(gòu)成。服務(wù)組合管理 活動(dòng)包括服務(wù)策劃，控制服務(wù)生命周期的相關(guān)方、服務(wù)目錄管理、資產(chǎn)管理和配置管理。2. 3策劃服務(wù)已存在服務(wù)、新服務(wù)、服務(wù)變更的要求應(yīng)確認(rèn)和保留文件化信息。公司各部門應(yīng)基千組織、客戶、用戶和相關(guān)方的需求確認(rèn)服務(wù)的關(guān)鍵性。公司應(yīng)確認(rèn)和管理服務(wù)間的依賴關(guān)系和復(fù)制關(guān)系?？?/p>

41、慮巳知限制和風(fēng)險(xiǎn)，公司應(yīng)提議服務(wù)變更，以便服務(wù)與服務(wù)管理方針、服務(wù)管理目標(biāo)和服 務(wù)要求保持一致?？紤]可用資源，公司應(yīng)對(duì)服務(wù)變更進(jìn)行優(yōu)先排序和提議新服務(wù)、服務(wù)變更，以便服務(wù)管理目 標(biāo)和業(yè)務(wù)目標(biāo)保持一致。2. 4控制服務(wù)生命周期的相關(guān)方2. 4. 1公司應(yīng)對(duì)本文件規(guī)定的要求負(fù)責(zé)以及服務(wù)的交付，而不管哪一方參與了支持服務(wù)生 命周期的活動(dòng)。公司應(yīng)確認(rèn)和應(yīng)用本標(biāo)準(zhǔn)評(píng)估和選擇服務(wù)生命周期中的其它相關(guān)方。其它相 關(guān)方可以是外 部供應(yīng)商、內(nèi)部供應(yīng)商和客戶充當(dāng)?shù)墓?yīng)商。其它相關(guān)方不應(yīng)提供和運(yùn)行服務(wù)管理體系范圍內(nèi)所有的服務(wù)、服務(wù)組件或流 程。公司應(yīng)確認(rèn)和文件化下列內(nèi)容：a）其它相關(guān)方提供和運(yùn)行的服務(wù)；b）其它相關(guān)

42、方提供和運(yùn)行的服務(wù)組件；c）其他相關(guān)方運(yùn)行的服務(wù)管理體系范圍內(nèi)的流程或部分流程。公司應(yīng)集成組織自身或其它相關(guān)方提供和運(yùn)行的服務(wù)管理體系范圍內(nèi)的服務(wù)、服務(wù)組件和流程。以滿足服務(wù)要求。公司應(yīng)進(jìn)行協(xié)調(diào)包括服務(wù)生命周期中，策劃、設(shè)計(jì)、xxxxxxW 限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49頁XXXXXX有限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49頁轉(zhuǎn)換、交付和改進(jìn)活動(dòng)的其它相關(guān)方。2. 4. 2公司應(yīng)對(duì)其它相關(guān)方定義和應(yīng)用下列控制措施：a）測(cè)量和評(píng)估過程績效；b）側(cè)量和評(píng)估服務(wù)、服務(wù)組件滿足服務(wù)要求的有效性。8. 2. 5服務(wù)目錄管理公司應(yīng)創(chuàng)建和維護(hù)一個(gè)或多個(gè)服務(wù)服務(wù)目錄。服務(wù)目錄應(yīng)包括

43、描述服務(wù)的組織、客戶、用 戶和其他相關(guān)方的信息、它們預(yù)期的結(jié)果和服務(wù)間的依賴關(guān)系。公司應(yīng)對(duì)客戶、用戶和其他相關(guān)方提供合適的訪問（部分）服務(wù)目錄的渠道。8. 2. 6資產(chǎn)管理公司應(yīng)確保管理用于交付服務(wù)的資產(chǎn)以滿足服務(wù)要求和章節(jié)6. 3規(guī)定的義務(wù)。8. 2. 7配置管理配置項(xiàng)的類型應(yīng)定義，服務(wù)應(yīng)分類為配置項(xiàng)。配置信息應(yīng)記錄到適合服務(wù)關(guān)鍵性和類型的詳細(xì)程度，訪問配置信息應(yīng)受控。每個(gè)配置項(xiàng)的配置信息應(yīng)包括：a）住，性牛示i只；b）配置項(xiàng)類型；c）配置項(xiàng)描述；d）與其它配置項(xiàng)的關(guān)系：e）狀態(tài)。配置項(xiàng)應(yīng)受控，配置項(xiàng)的變更應(yīng)可追溯和可審計(jì)的，以維護(hù)配置信息的完整 性。配置項(xiàng)的 變更發(fā)布后，配置項(xiàng)應(yīng)更新。適用

44、時(shí)，配置信息應(yīng)對(duì)其它服務(wù)管理活動(dòng)可用。8. 3信息安全風(fēng)險(xiǎn)處置與關(guān)系、協(xié)議管理8. 3. 1信息安全風(fēng)險(xiǎn)處置相關(guān)部門按照6. 1. 3章的信息安全風(fēng)險(xiǎn)處置計(jì)劃進(jìn)行實(shí)施，并按照風(fēng)險(xiǎn)接受準(zhǔn)則評(píng)價(jià) 實(shí)施效果，對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)，得到風(fēng)險(xiǎn)負(fù)責(zé)人的批準(zhǔn)。8. 3. 2關(guān)系與協(xié)議總則公司利用供應(yīng)商以：a）提供和運(yùn)行服務(wù)；b）提供和運(yùn)行服務(wù)組件：c）運(yùn)行服務(wù)管理體系范圍內(nèi)的流程或部分流程。8. 3. 3業(yè)務(wù)關(guān)系管理服務(wù)的客戶、用戶和相關(guān)方應(yīng)予以識(shí)別，并保留成文信息。公司應(yīng)指定一個(gè)或多個(gè)專人負(fù)責(zé)管理客戶關(guān)系和維護(hù)客戶滿意度。公司應(yīng)與確定客戶和相關(guān)方溝通的安排，溝通應(yīng)促進(jìn)對(duì)不斷進(jìn)化的服務(wù)運(yùn)行的業(yè)務(wù)環(huán)境的理解

45、，應(yīng)使公司能夠響應(yīng)新的或變更的服務(wù)的要求。公司應(yīng)與客戶按策劃的時(shí)間間隔評(píng)審服務(wù)績效趨勢(shì)和結(jié)果。公司應(yīng)按照策劃的時(shí)間間隔，基于對(duì)服務(wù)的客戶進(jìn)行抽樣，調(diào)查客戶滿意度。應(yīng)對(duì)結(jié)果進(jìn)行分析和評(píng)審以識(shí)別改進(jìn)機(jī)會(huì)。服務(wù)投訴應(yīng)予以記錄、管理直至關(guān)閉和報(bào)告。當(dāng)服務(wù)投訴通過正常渠道得不到 解決， 應(yīng)升級(jí)處理。8. 3. 4服務(wù)級(jí)別管理公司應(yīng)與客戶約定交付的服務(wù)。對(duì)于所交付的每項(xiàng)服務(wù)，公司應(yīng)基于服務(wù)要求與客戶協(xié)商確定一個(gè)或多個(gè)服務(wù)級(jí)別協(xié)議（SLAs） o服務(wù)級(jí)別協(xié)議應(yīng)包括服務(wù)級(jí)別目標(biāo)，工作量和例外情況。公司應(yīng)按照策劃的時(shí)間間隔監(jiān)控、評(píng)審和匯報(bào)：a）服務(wù)級(jí)別目標(biāo)的績效；b）與服務(wù)級(jí)別目標(biāo)的工作量比較，實(shí)際和周期性的工

46、作量的變更。服務(wù)級(jí)別目標(biāo)未滿足時(shí)，公司應(yīng)識(shí)別改進(jìn)機(jī)會(huì)。公司和客戶交付服務(wù)的協(xié)議可以以多種形式存在，如成文的協(xié)議，會(huì)議中的口頭協(xié)定，電子郵件形式的協(xié)議 或同 意服務(wù)許可協(xié)議的形式。8. 3. 5供應(yīng)商管理8. 3. 5. 1管理外部供應(yīng)商公司應(yīng)指定一個(gè)或多個(gè)專人負(fù)責(zé)管理與外部供應(yīng)商的關(guān)系、合同和績效。組織和外部供應(yīng)商應(yīng)協(xié)商形成成文的合同。合同中應(yīng)包含或引用以下內(nèi)容：a）外部供應(yīng)商提供或者運(yùn)行的服務(wù)范圍、服務(wù)組件、流程或部分流程；b）外部供應(yīng)商需要滿足的要求；c）服務(wù)等級(jí)目標(biāo)或其它合同義務(wù)；d）公司外部供應(yīng)商的職責(zé)與權(quán)限。圖3服務(wù)提供商與供方的關(guān)系示例公司應(yīng)評(píng)估外部供應(yīng)商的服務(wù)等級(jí)目標(biāo)或若其它合同

47、義務(wù)與客戶的服務(wù)等級(jí)目標(biāo)保持 一致，和管理己識(shí)別的風(fēng)險(xiǎn)。公司應(yīng)按照策劃的時(shí)間間隔監(jiān)視外部供應(yīng)商的績效。服務(wù)等級(jí)目標(biāo)和其他合同義務(wù)未滿足的場(chǎng)合，公司應(yīng)確保識(shí)別改進(jìn)機(jī)會(huì)。公司應(yīng)按照策劃的時(shí)間間隔依據(jù)當(dāng)前的服務(wù)要求評(píng)審合同。變更授權(quán)前，合同的變更對(duì) 服務(wù)管理體系和服務(wù)的影響應(yīng)予以評(píng)估。xxxxxxW 限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49頁第 頁共49頁XXXXXX有限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)公司和外部供應(yīng)商的爭(zhēng)議應(yīng)予以記錄、管理直至關(guān)閉。8. 3. 5. 2管理內(nèi)部供應(yīng)商和充當(dāng)供應(yīng)商的客戶 對(duì)于每一個(gè)內(nèi)部供應(yīng)商和充當(dāng)供應(yīng)商的客戶，公司應(yīng)開發(fā)、協(xié)商和維護(hù)成文的協(xié)議，以定義服務(wù)等級(jí)

48、目標(biāo)、其他承諾、活動(dòng)和相互間的接口。公司應(yīng)按照策劃的時(shí)間間隔監(jiān)視內(nèi)部供應(yīng)商和充當(dāng)供應(yīng)商的客戶的績效。服 務(wù)等級(jí)目標(biāo) 和其它約定的承諾未滿足的情況，公司應(yīng)確保識(shí)別改進(jìn)機(jī)會(huì)。8. 4供應(yīng)與需求8. 4.1服務(wù)預(yù)算與核算公司應(yīng)在保持與財(cái)務(wù)管理方針和流程一致的情況下進(jìn)行單個(gè)服務(wù)或一組服務(wù)的預(yù)算和核 算。應(yīng)對(duì)服務(wù)成本進(jìn)行預(yù)算，使提供的服務(wù)能有效地進(jìn)行財(cái)務(wù)控制和決策。按照策劃的時(shí)間間隔，公司應(yīng)依據(jù)預(yù)算來監(jiān)視和報(bào)告實(shí)際成本，審核財(cái)務(wù)預(yù) 測(cè)并管理成 本。8. 4. 2需求管理按照策劃的時(shí)間間隔，公司應(yīng)：a）確定服務(wù)當(dāng)前需求和預(yù)測(cè)未來需求；b）監(jiān)視和評(píng)審需求與服務(wù)使用情況。8. 4. 3能力管理考慮服務(wù)和性能要

49、求，人員、技術(shù)、信息和財(cái)務(wù)資源的能力要求應(yīng)予以確定、保留成文 信息和維護(hù)。公司應(yīng)對(duì)能為進(jìn)行策劃，包括：a）基于服務(wù)需求，當(dāng)前和預(yù)測(cè)的能力；b）對(duì)約定的服務(wù)等級(jí)目標(biāo)、服務(wù)可用性、服務(wù)連續(xù)性要求的預(yù)期影響；c）能力變更的時(shí)間跨度和閥值。公司應(yīng)提供充分的容量滿足商定的容量和性能要求。公司應(yīng)監(jiān)視能力的使用，分析能力和性能數(shù)據(jù)和識(shí)別改進(jìn)機(jī)會(huì)。8. 5服務(wù)設(shè)計(jì)、構(gòu)建與轉(zhuǎn)換8. 5. 1變更管理8. 5. 1. 1變更管理方針變更管理方針應(yīng)予以制定和保留成文信息，以定義：a）在變更管理控制下的服務(wù)組件和其它事項(xiàng)；b）變更類別，包拈緊急變更，以及如何進(jìn)行管理；c）對(duì)客戶或服務(wù)有潛在重大影響變更的確定標(biāo)準(zhǔn)。8.

50、 5. 1. 2變更管理啟動(dòng)變更請(qǐng)求，包括增加、移除或轉(zhuǎn)移服務(wù)，應(yīng)予以記錄和分類。公司應(yīng)在下列情況依照8. 5. 2章節(jié)的服務(wù)設(shè)計(jì)和轉(zhuǎn)換流程：a）由變更管理方針確定的，對(duì)客戶或其它服務(wù)有潛在重大影響的新服務(wù)；b）由變更管理方針確定的，對(duì)客戶或其它服務(wù)有潛在重大影響的服務(wù)變更；c）依據(jù)變更管理方針，通過服務(wù)設(shè)計(jì)和轉(zhuǎn)換管理的變更類別；d）移除服務(wù)；e）轉(zhuǎn)移已存在的服務(wù)至客戶或其他方；f）從客戶或其他方轉(zhuǎn)移己存在的服務(wù)至組織；評(píng)估、授權(quán)、調(diào)度和評(píng)審按8. 5. 2章節(jié)范圍內(nèi)的新服務(wù)或變更的服務(wù)應(yīng)通 過 章節(jié)8. 5. 1. 3的“變更管理活動(dòng)”進(jìn)行管理。不在條款8. 5. 2范圍內(nèi)的變更請(qǐng)求應(yīng)通過條

51、款8. 5. 1. 3的“變更管理活動(dòng) 進(jìn)行管理。8. 5.1. 3變更管理活動(dòng)組織和相關(guān)方應(yīng)就變更請(qǐng)求的授權(quán)和優(yōu)先級(jí)做出決策。決策應(yīng)考慮風(fēng)險(xiǎn)、業(yè)務(wù)收益、可 行性和財(cái)務(wù)影響。決策也應(yīng)考慮變更的潛在影響：a）已存在服務(wù)；XXXXXX有限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)b）客戶、用戶和其它相關(guān)方；C）本手冊(cè)規(guī)定的方針和計(jì)劃：d）能力、服務(wù)可用性、服務(wù)連續(xù)性和信息安全；e）其它變更請(qǐng)求、發(fā)布和部署計(jì)劃。授權(quán)的變更應(yīng)予以準(zhǔn)備、確認(rèn)，可行的情況下，進(jìn)行測(cè)試。授權(quán)變更的建議發(fā)布日期和其它細(xì)節(jié)應(yīng)和相關(guān)方溝通?；赝嘶蜓a(bǔ)救不成功變更的活動(dòng)應(yīng)予以策劃，可行的情況下，進(jìn)行測(cè)試。不成 功的變更應(yīng) 予以調(diào)查和釆取約定

52、的措施。公司應(yīng)評(píng)審變更的有效性，與相關(guān)方釆取約定的措施。應(yīng)按照策劃的時(shí)間間隔分析變更請(qǐng)求記錄以識(shí)別趨勢(shì)。分析所得的結(jié)果和結(jié)論 應(yīng)予以記 錄和評(píng)審以識(shí)別改進(jìn)機(jī)會(huì)。8. 5. 2服務(wù)設(shè)計(jì)與轉(zhuǎn)換8. 5. 2. 1策劃新的或變更的服務(wù)策劃應(yīng)依照8. 2. 2章節(jié)確定的新的或者變更的服務(wù)的要求，應(yīng)包括或引用下列內(nèi)容：a）設(shè)計(jì)、構(gòu)建和轉(zhuǎn)換活動(dòng)的權(quán)限和職責(zé)；b）組織以及其他相關(guān)方擬執(zhí)行的活動(dòng)，包括時(shí)間跨度；c）人員、技術(shù)、信息和財(cái)務(wù)資源；d）與其它服務(wù)的依賴關(guān)系；e）新的服務(wù)或變更的服務(wù)需要的測(cè)試；f）服務(wù)驗(yàn)收標(biāo)準(zhǔn)；g）以可測(cè)量的術(shù)語表述的交付新的或變更的服務(wù)的預(yù)期結(jié)果；h）對(duì)服務(wù)管理體系、其它服務(wù)、計(jì)劃

53、的變更、客戶、用戶和其它相關(guān)方的影響。針對(duì)將要被移除的服務(wù)，公司應(yīng)進(jìn)行服務(wù)移除的策劃。策劃額外應(yīng)包括移除歸檔、數(shù)據(jù) 的廢棄與轉(zhuǎn)移、文檔信息以及服務(wù)組件。XXXXXX有限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49頁XXXXXX有限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49頁受新的或變更的服務(wù) 影響的配置項(xiàng)應(yīng)通過配置 管理控制。8. 5. 2. 2 設(shè)計(jì)新的或變更的服務(wù)應(yīng)予以設(shè)計(jì)和保留成文信息以滿足8.2.2章節(jié)確定的服務(wù)要 求。設(shè)計(jì) 應(yīng)包括下列內(nèi)容：a）交付新的或變更的服務(wù)時(shí)的各方權(quán)限和職責(zé)；b）對(duì)人員、技術(shù)、信息和財(cái)務(wù)資源變更的要求；c）對(duì)適當(dāng)?shù)慕逃?、培?xùn)和經(jīng)驗(yàn)的要求；d）支持服務(wù)的新

54、的或變更的服務(wù)等級(jí)協(xié)議、合同和其他形成文件的協(xié)議；e）變更對(duì)服務(wù)管理體系的影響，包括新的或變更的方針、計(jì)劃、過程、程 序、測(cè)量或知 識(shí)；f）對(duì)其它服務(wù)的影響；g）更新服務(wù)目錄（一個(gè)成多個(gè)）。8.5. 2. 3構(gòu)建與轉(zhuǎn)換新的或變更的服務(wù)應(yīng)被構(gòu)建和測(cè)試，以驗(yàn)證其能否滿足服務(wù)要求，設(shè)計(jì)文件的要求，以及 約定的驗(yàn)收標(biāo)準(zhǔn)。如果不符合服務(wù)驗(yàn)收標(biāo)準(zhǔn)，組織和相關(guān)方應(yīng)就必要的措施和部署進(jìn)行決策。發(fā)布和部署管理應(yīng)被用于部署已批準(zhǔn)的新的或變更的服務(wù)到實(shí)際運(yùn)行環(huán)境中。轉(zhuǎn)換活動(dòng)完成后，公司應(yīng)向相關(guān)方報(bào)告所實(shí)現(xiàn)的結(jié)果，并與預(yù)期結(jié)果進(jìn)行對(duì)比。8. 5. 3發(fā)布與部署管理公司應(yīng)定義發(fā)布類型，包括緊急發(fā)布，發(fā)布頻率和如何管理。

55、公司應(yīng)與 對(duì)新的或變更的服務(wù)和服務(wù)組件部署到實(shí)際運(yùn)行環(huán)境進(jìn)行策劃。策劃應(yīng)與變更管理過程協(xié)調(diào)一致，并包含對(duì)相關(guān)的變更請(qǐng)求、已知錯(cuò)誤和通過該發(fā)布所關(guān)閉問題的引用。策劃應(yīng)包括每個(gè)發(fā)布的部署日期、交付物和部署方法。公司應(yīng)依據(jù)成文的驗(yàn)收準(zhǔn)則對(duì)發(fā)布進(jìn)行驗(yàn)證，并在部署前被授權(quán)。如果未能滿足驗(yàn)收準(zhǔn)則，組織相關(guān)方應(yīng)就采取必要的措施和部署進(jìn)行決策。發(fā)布部署到實(shí)際運(yùn)行環(huán)境前，應(yīng)建立受影響的配置項(xiàng)的基線。發(fā)布應(yīng)部署到實(shí)際運(yùn)行環(huán)境中，以使服務(wù)和服務(wù)組件的完整性得到保持。應(yīng)監(jiān)視和分析發(fā)布的成功或失敗。測(cè)量內(nèi)容應(yīng)包括發(fā)布在部署之后至隨后的發(fā)布中的事件。分析的結(jié)果和結(jié)論應(yīng)予以記錄和評(píng)審以識(shí)別改進(jìn)機(jī)會(huì)。適用時(shí)，發(fā)布成功成者失敗

56、、未來發(fā)布日期的信息應(yīng)對(duì)其它服務(wù)管理活動(dòng)可用。6解決與完成6. 1事件管理事件應(yīng)：a）記錄和分類；b）考慮影響和緊急性，進(jìn)行優(yōu)先排序；c）需要時(shí)升級(jí)；d）解決；e）關(guān)閉。事件記錄應(yīng)根據(jù)釆取的措施進(jìn)行更新。公司應(yīng)確定識(shí)別重大事件的標(biāo)準(zhǔn)。重大事件依據(jù)成文的程序進(jìn)行分類和管理。重大事件的信息應(yīng)通知最高管理者。公司應(yīng)分配管理重大事件的責(zé)任人。事件解決后，重大事件應(yīng)予以匯報(bào)和評(píng)審，以識(shí)別改進(jìn)機(jī)會(huì)。6. 2服務(wù)請(qǐng)求管理服務(wù)請(qǐng)求應(yīng)：a）記錄和分類；b）優(yōu)先排序；c）完成；d）關(guān)閉。服務(wù)請(qǐng)求應(yīng)根據(jù)采取的措施進(jìn)行更新。服務(wù)請(qǐng)求完成的指南應(yīng)對(duì)服務(wù)請(qǐng)求完成的有關(guān)人員可用。列內(nèi)容:第33頁共49頁列內(nèi)容:第33頁共4

57、9頁XXXXXX有限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)6. 3問題管理公司應(yīng)分析事件數(shù)據(jù)和趨勢(shì)，以識(shí)別問題。公司應(yīng)進(jìn)行根本原因分析和確定潛在的措施，以阻止事件的重復(fù)發(fā)生。問題應(yīng)：a）記錄和分類；b）優(yōu)先排序；c）需要時(shí)升級(jí)；d）可能時(shí)進(jìn)行解決；e）關(guān)閉。問題記錄應(yīng)根據(jù)釆取的措施進(jìn)行更新，問題解決的變更應(yīng)依據(jù)變更管理方針 進(jìn)行管理。根本原因已經(jīng)識(shí)別，但問題沒有永久解決時(shí)，公司應(yīng)確認(rèn)降低和消除問題對(duì)服務(wù)影響的措施，已知錯(cuò)誤應(yīng)予以記錄。適用時(shí)，己知錯(cuò)誤的最新信息和問題解決方案應(yīng)對(duì)其它服務(wù)管理活動(dòng)可用。按照策劃的時(shí)間間隔，問題解決方案的有效性應(yīng)予以監(jiān)視、評(píng)審和報(bào)告。7服務(wù)保障7. 1服務(wù)可用性管理按策

58、劃的時(shí)間間隔，與服務(wù)可用性有關(guān)的風(fēng)險(xiǎn)應(yīng)予以評(píng)估和保留成文信息。公司應(yīng)確定服務(wù)可用性要求和目標(biāo)。協(xié)定的要求應(yīng)考慮相關(guān)的業(yè)務(wù)要求、服務(wù)要 求、SLA和風(fēng)險(xiǎn)。服務(wù)可用性的要求和目標(biāo)應(yīng)保留成文信息并維護(hù)。服務(wù)可用性應(yīng)予以監(jiān)控、記錄結(jié)果和目標(biāo)作比較。非計(jì)劃的不可用應(yīng)予以調(diào) 查和釆取必 要的措施。8. 7. 2服務(wù)連續(xù)性管理按策劃的時(shí)間間隔，與服務(wù)連續(xù)性有關(guān)的風(fēng)險(xiǎn)應(yīng)予以評(píng)估并保留成文信息。公司應(yīng)確定服務(wù)連續(xù)性要求。協(xié)定的要求應(yīng)考慮相關(guān)的業(yè)務(wù)要求、服務(wù)要求、財(cái)和風(fēng)險(xiǎn)。公司應(yīng)建立、實(shí)施和維護(hù)一個(gè)或多個(gè)業(yè)務(wù)連續(xù)性計(jì)劃。業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)包 括或引用下xxxxxxW限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49頁

59、xxxxxxW限公司信息安全與信息技術(shù)服務(wù)管理手冊(cè)第 頁共49頁a）激活服務(wù)連續(xù)性計(jì)劃的標(biāo)準(zhǔn)和職責(zé)；b）在重大服務(wù)中斷時(shí)實(shí)施的程序；c）激活服務(wù)連續(xù)性計(jì)劃時(shí)的可用性目標(biāo)；d）服務(wù)恢復(fù)要求；e）返回正常工作條件的程序。正常服務(wù)位置訪問被阻止時(shí)，服務(wù)連續(xù)性計(jì)劃和聯(lián)系人清單應(yīng)有可訪問的渠 道。按策劃的時(shí)間間隔，服務(wù)連續(xù)性計(jì)劃應(yīng)按照服務(wù)要求進(jìn)行測(cè)試。服務(wù)環(huán)境有 重大變更后， 服務(wù)連續(xù)性計(jì)劃應(yīng)重新測(cè)試。測(cè)試的結(jié)果應(yīng)予以記錄。每次測(cè)試后和服務(wù)連續(xù)計(jì)劃激活后，發(fā) 現(xiàn)有缺陷或不足時(shí)，公司應(yīng)釆取必要的措施。服務(wù)連續(xù)性計(jì)劃已經(jīng)激活時(shí)，公司應(yīng)報(bào)告原因、影響和恢復(fù)活動(dòng)。7. 3信息安全管理8. 7. 3. 1信息安全

60、策略授權(quán)的管理者應(yīng)同意組織的信息安全策略。信息安全策略應(yīng)保留成文信息并考 慮服務(wù)要 求及6. 3章節(jié)要求的義務(wù)。適用時(shí)，信息安全策略應(yīng)可用和可獲取，公司應(yīng)溝通符合信息安全策略的重 要性和應(yīng)用 策略千服務(wù)管理體系和服務(wù)的下列人員:a）組織；b）客戶和用戶；c）外部供應(yīng)商、內(nèi)部供應(yīng)商和其它相關(guān)方。8. 7. 3. 2信息安全控制措施按策劃的時(shí)間間隔，與服務(wù)管理體系和服務(wù)有關(guān)的信息安全風(fēng)險(xiǎn)應(yīng)予以評(píng)估并 保留成文 信息。信息安全控制措施應(yīng)確認(rèn)、實(shí)施和運(yùn)行，以支持信息安全策略和 應(yīng)對(duì)識(shí)別的信息安全 風(fēng)險(xiǎn)。信息安全控制措施的決策應(yīng)保留成文信息。公司應(yīng)同意和實(shí)施信息安全控制措施以應(yīng)對(duì)與外部組織有關(guān)的信息安全