ISO20000-2018程序文件匯編

（北京）科技有限公司信息技術(shù)服務(wù)程序文件匯編依據(jù)ISO/IEC20000:2018標(biāo)準(zhǔn)編制編號：LS/ITSMS-CX-2020版本號：A/0編制人：審核人：批準(zhǔn)人：受控受控狀態(tài)：受控發(fā)布日期：2020.1.6生效日期：2020.1.6文件修訂履歷表序號條款號修改章節(jié)(內(nèi)容)修改人審批生效日期

目錄TOC\o"1-3"\h\u文件控制程序 4記錄控制程序 7人力資源控制程序 9內(nèi)部審核管理程序 13管理評審管理程序 15糾正措施控制程序 18監(jiān)視和測量控制程序 20設(shè)計、轉(zhuǎn)換及實(shí)施新的或變更的服務(wù)管理程序 23供應(yīng)商及第三方服務(wù)管理程序 31信息安全管理程序 36符合性控制程序…………………………40信息安全風(fēng)險評估管理程序……………42信息技術(shù)服務(wù)事件控制程序……………48服務(wù)級別管理程序…………………….50.服務(wù)報告管理程序…………………….55持續(xù)性管理程序……………………….57可用性管理程序……………………….62服務(wù)預(yù)算及核算管理程序…………….66顧客滿意度測量控制程序……………71能力管理程序………………………….74.業(yè)務(wù)關(guān)系管理程序……………………78問題管理程序………………………….80配置管理程序…………………………84變更管理程序…………………………89發(fā)布和部署管理程序…………………93文件控制程序LS/ITSMS-CX-011．目的對于公司信息技術(shù)服務(wù)管理體系有關(guān)的文件進(jìn)行控制，確保各相關(guān)場所使用文件為有效版本。2．范圍適用于信息技術(shù)服務(wù)管理體系有關(guān)的文件控制。3.職責(zé)3.1總經(jīng)理負(fù)責(zé)批準(zhǔn)發(fā)布信息技術(shù)服務(wù)手冊手冊。3.2管理者代表負(fù)責(zé)審核信息技術(shù)服務(wù)手冊手冊。3.3各部門負(fù)責(zé)相關(guān)文件的編制、使用和保管，負(fù)責(zé)本部門與信息技術(shù)服務(wù)管理體系系有關(guān)的文件的收集、整理和歸檔等。3.4綜合部負(fù)責(zé)公司對現(xiàn)有體系文件進(jìn)行管理。4．程序4.1文件分類及保管4.1.1信息技術(shù)服務(wù)手冊（包含了所有過程控制的程序文件），由綜合部備案保存。4.1.2公司體系文件分為兩類a.部門管理文件作為各部門運(yùn)行信息技術(shù)服務(wù)管理體系的常用實(shí)施細(xì)則：包括管理標(biāo)準(zhǔn)（部門管理制度）；工作標(biāo)準(zhǔn)（崗位責(zé)任制和任職要求等）；技術(shù)標(biāo)準(zhǔn)（國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)及作業(yè)指導(dǎo)書、測試標(biāo)準(zhǔn)及規(guī)范等）；部門記錄文件等，由各相關(guān)部門自行保存。b.其他文件：可以是針對特定軟件、項(xiàng)目或合同編制的工作計劃、設(shè)計輸出文件或其他標(biāo)準(zhǔn)、規(guī)范等，文件的組成應(yīng)適合于其特有的活動方式。由各相應(yīng)的部門保存、使用。4.1.3公司級管理性文件，如各種行政管理制度、部分外來的管理性文件，包括與信息技術(shù)服務(wù)管理體系有關(guān)的政策、法規(guī)文件等，由研發(fā)部負(fù)責(zé)保存。4.2文件的編號4.2.1信息技術(shù)服務(wù)管理體系文件的編號a.信息技術(shù)服務(wù)手冊手冊公司名稱代號(LS)-信息技術(shù)(IT)-手冊（SC）—生效年，手冊中各章以章節(jié)號區(qū)分。例如：LS/ITSMS-SC-2020，表示本公司信息技術(shù)服務(wù)手冊2020年生效。b.程序文件公司名稱代號(LS)-信息技術(shù)(ITSMS)—程序文件代號(CX)-版次序號。例如：LS/ITSMS-CX-01，表示本公司信息技術(shù)服務(wù)管理體系程序文件為01序號。c.三層文件、規(guī)范公司名稱代號(LS)-信息技術(shù)(ITSMS)—三級文件代號(SJ)-序號。例如：LS/ITSMS-SJ-03，表示本公司三級文件為03序號。d.體系運(yùn)行記錄記錄代號：文件編號—序號。例如：LS/ITSMS-CX-01-01，表示本公司記錄文件附錄LS/ITSMS-CX-01第一個記錄。e.外來文件公司名稱代號(LS)-信息技術(shù)服務(wù)（ITSMS）—外來文件代號(WL)-版次。例如：LS/ISMS-WL-2020，表示本公司外來文件為2020年版。4.3文件的編寫、審核、批準(zhǔn)、發(fā)放。文件發(fā)布前應(yīng)得到批準(zhǔn)，以確保文件是適宜的。4.3.1信息技術(shù)服務(wù)手冊手冊由編寫小組負(fù)責(zé)組織編寫，由管理者代表審核，上報總經(jīng)理批準(zhǔn)發(fā)布，由綜合部負(fù)責(zé)登記、發(fā)放。4.3.2各部門管理文件由各部門經(jīng)理組織編寫、匯總，報總經(jīng)理審批，綜合部負(fù)責(zé)登記、發(fā)放。4.3.3應(yīng)確保文件使用的各場所都應(yīng)得到相關(guān)文件的適用版本。文件的發(fā)放、回收要得到有效控制，電子版文件的發(fā)放要確保文件版本的有效性。4.4文件的受控狀況文件分為“受控”和“非受控”兩大類，凡與信息技術(shù)服務(wù)（ITSMS）體系運(yùn)行緊密相關(guān)的文件應(yīng)為受控，由各主管部門按規(guī)定執(zhí)行。所有受控文件必須在該文件封面右上角加蓋表明其受控狀態(tài)的印章。4.5文件的更改4.5.1信息技術(shù)服務(wù)手冊手冊由綜合部組織更改，填寫《文件更改申請單》，經(jīng)管理者代表審核，上報總經(jīng)理批準(zhǔn)后更改，由綜合部發(fā)放。綜合部應(yīng)保留文件更改內(nèi)容的記錄。4.5.2其他文件的更改由相應(yīng)主管部門填寫《文件更改申請單》，經(jīng)原審批部門審批，再由各相應(yīng)部門指定人員進(jìn)行更改、發(fā)放、處理。如果指定其他部門審批時，該部門應(yīng)獲得審批所需依據(jù)的有關(guān)背景資料。4.5.3所有被更改的原文件必須由相應(yīng)主管部門收回或刪除，以確保有效文件的唯一性。4.6文件的領(lǐng)用4.6.1文件使用者應(yīng)執(zhí)行綜合部的文件管理流程，登記領(lǐng)用。4.6.2因破損而重新領(lǐng)用的新文件，分發(fā)號不變，并收回相應(yīng)舊文件；因丟失而補(bǔ)發(fā)的文件，應(yīng)給予新的分發(fā)號，并注明已丟失的文件的分發(fā)號失效；發(fā)放部門作好相應(yīng)發(fā)放簽收記錄。4.7文件的保存、作廢與銷毀4.7.1文件的保存a.與信息技術(shù)服務(wù)管理體系相關(guān)的文件都必須分類存放在干燥通風(fēng)、安全的地方。b.各部門文件由本部門保管，綜合部不定期對各部門文件保管情況進(jìn)行檢查。c.對受控文件，各部門應(yīng)及時整理本部門使用文件的部門受控文件，并將清單報綜合部備案，匯總成《受控文件清單》。d.任何人不得在受控文件上亂涂畫改，不準(zhǔn)私自外借，確保文件的清晰、易于識別和檢索。4.7.2文件的作廢與銷毀a.所有失效或作廢文件由相關(guān)部門及時從所有發(fā)放或使用場所收回，加蓋“作廢”印章，確保防止作廢文件的非預(yù)期使用。b.為某種原因需保留的任何已作廢的文件，應(yīng)進(jìn)行適當(dāng)?shù)臉?biāo)識。c.對要銷毀的作廢文件，由研發(fā)部負(fù)責(zé)統(tǒng)一銷毀并填寫《文件銷毀記錄》。4.7.3文件的借閱、復(fù)制借閱、復(fù)制與信息技術(shù)服務(wù)管理體系有關(guān)的文件，應(yīng)填寫《文件借閱、復(fù)制記錄》，由管理者代表批準(zhǔn)后向綜合部借閱。復(fù)制的受控文件必須登記編號。4.7.4重要文檔（資料）存檔管理執(zhí)行《存檔管理制度》。4.8外來文件的控制4.8.1對收到的與信息技術(shù)服務(wù)（ITSMS）體系有關(guān)的外來文件，交綜合部識別適用性，并控制分發(fā)以確保其有效。4.8.2綜合部負(fù)責(zé)收集相關(guān)國家、行業(yè)、國際標(biāo)準(zhǔn)的最新版本，分發(fā)到相關(guān)部門使用，并把舊標(biāo)準(zhǔn)收回。4.8.3各部門要把上述標(biāo)準(zhǔn)及其他與信息技術(shù)服務(wù)管理體系有關(guān)的外來文件報綜合部備案，由綜合部填入《受控文件清單》中。4.9每年由綜合部組織對現(xiàn)有信息技術(shù)服務(wù)管理體系文件進(jìn)行定期評審，各部門結(jié)合平時使用情況進(jìn)行適時評審，必要時予以修改，執(zhí)行4.5條款規(guī)定。4.4對承載媒體不是紙張的文件的控制，也應(yīng)參照上述規(guī)定執(zhí)行。4.11作為記錄的文件應(yīng)執(zhí)行《記錄控制程序》。5.相關(guān)文件5.1《記錄控制程序》6.記錄6.1《受控文件清單》6.2《文件銷毀記錄》6.3《文件更改申請單》6.4《文件借閱、復(fù)制記錄》6.5《文件收發(fā)記錄》

記錄控制程序LS/ITSMS-CX-021.目的對信息技術(shù)服務(wù)管理體系所要求的記錄予以控制。2.范圍適用于為證明產(chǎn)品符合要求和信息技術(shù)服務(wù)管理體系有效運(yùn)行的記錄。3.職責(zé)3.1綜合部負(fù)責(zé)設(shè)計記錄格式，監(jiān)督其使用。3.2各部門負(fù)責(zé)收集、整理、保管本部門的記錄，負(fù)責(zé)人負(fù)責(zé)批準(zhǔn)本部門編制的記錄格式。4.程序4.1各部門負(fù)責(zé)收集、整理、保存本部門的記錄。4.2記錄的標(biāo)識、編號記錄的標(biāo)識、編號按《文件控制程序》執(zhí)行。4.3記錄填寫4.3.1記錄填寫要及時、真實(shí)、內(nèi)容完整、字跡清晰，不得隨意涂改；如因某種原因不能填寫的項(xiàng)目，應(yīng)能說明理由，并將該項(xiàng)目用單杠劃去；各相關(guān)欄目負(fù)責(zé)人簽名不允許空白。4.3.2如因筆誤或計算錯誤要修改原數(shù)據(jù)，應(yīng)采用單杠劃去原數(shù)據(jù)，在其上方寫上更改后的數(shù)據(jù)，加蓋或簽上更改人的印章或姓名及日期。4.4記錄的保存、保護(hù)4.4.1各部門必須把所有記錄分類，依日期順序整理好，存放于通風(fēng)、干燥的地方，所有的記錄保持清潔，字跡清晰。各部門按規(guī)定的期限保存記錄，對于保存一年以上的記錄交研發(fā)部保存。4.4.2綜合部編制《信息技術(shù)服務(wù)記錄清單》，將公司所有與信息技術(shù)服務(wù)管理體系運(yùn)行有關(guān)的記錄匯總，包括名稱、編號（版本）、保存期、使用部門等內(nèi)容，并匯集備案記錄的原始樣本。各部門應(yīng)將本部門使用的記錄清單作為部門管理文件的附錄，并匯總本部門的記錄原始樣本。4.4.3綜合部不定期要檢查一次各部門記錄的使用、管理情況。4.5記錄發(fā)放、借閱和復(fù)制4.5.1各部門填寫《文件收發(fā)記錄》，向綜合部領(lǐng)用所需記錄空白表。4.5.2各部門保管的記錄應(yīng)便于檢索，需借閱或復(fù)制者要經(jīng)相應(yīng)部門負(fù)責(zé)人批準(zhǔn)并填寫《文件借閱、復(fù)制記錄》，由記錄管理人登記備案。4.6記錄的銷毀處理記錄如超過保存期或其他特殊情況需要銷毀時，綜合部負(fù)責(zé)統(tǒng)一銷毀并填寫《文件銷毀記錄》。4.7記錄格式4.7.1各部門的記錄格式由綜合部統(tǒng)一編制，編寫小組審批，交綜合部備案。4.7.2各相關(guān)部門可根據(jù)工作需要提出記錄格式設(shè)計更改，執(zhí)行《文件控制程序》有文件更改的規(guī)定。5.相關(guān)文件5.1《文件控制程序》6.記錄6.1《信息技術(shù)服務(wù)記錄清單》

人力資源控制程序LS/ITSMS-CX-031目的為規(guī)范針對公司員工在任用前、任用中、任用后的相關(guān)安全職責(zé)以及行為的管理，特制定本文件。2適用范圍本文件適用于本公司員工，包括正式員工與實(shí)習(xí)人員及學(xué)員。3崗位職責(zé)綜合部負(fù)責(zé)人員信息技術(shù)服務(wù)、質(zhì)量職責(zé)制訂、任用前的人員資料核實(shí)和背景調(diào)查、任用中的信息技術(shù)服務(wù)、質(zhì)量培訓(xùn)組織和紀(jì)律處理、任用變更或終止時的資產(chǎn)歸還和訪問權(quán)限撤銷的流程提起。4管理規(guī)定4.1任用前綜合部需確保人員在任用前，在適當(dāng)?shù)膷徫幻枋?、任用條款和條件中明確說明其應(yīng)履行的信息技術(shù)服務(wù)、質(zhì)量職責(zé)，確保人員理解其信息技術(shù)服務(wù)、質(zhì)量職責(zé)，確保人員承擔(dān)的角色符合公司的信息技術(shù)服務(wù)、質(zhì)量要求，以降低設(shè)施被盜竊、濫用和誤用的風(fēng)險。要對任用的員工、承包方和第三方的候選人員進(jìn)行充分的審查，特別是對于關(guān)鍵崗位、關(guān)鍵職務(wù)人員，以及其他會大量接觸敏感信息的人員。4.1.1員工篩選綜合部負(fù)責(zé)組織對公司各個職位的應(yīng)聘人員進(jìn)行篩選、對應(yīng)聘人員進(jìn)行面試、資料核實(shí)和背景調(diào)查。背景調(diào)查時應(yīng)考慮個人簡歷、職業(yè)推薦信、原單位離職證明、身份證明、學(xué)歷和職業(yè)資格證件等。對員工的背景調(diào)查應(yīng)在申請職位時進(jìn)行。調(diào)查包括以下內(nèi)容：1）是否有適當(dāng)?shù)耐扑]人，申請人的工作能力和個人職業(yè)道德情況；2）檢查申請人的簡歷是否完整及準(zhǔn)確；3）確認(rèn)其聲明的學(xué)歷和職業(yè)資格是否真實(shí)；4）身份證明（包括身份證、護(hù)照或其它文件）檢查；5）監(jiān)管部門要求；6）其它需要調(diào)查的內(nèi)容。各部門負(fù)責(zé)人可根據(jù)本部門對上崗員工的特殊要求，提出必要的附加調(diào)查內(nèi)容，并反饋給職能部人事，以便選出合適的人員。對于承包方人員和第三方人員也要執(zhí)行人員背景調(diào)查過程。與承包方的合同中要清晰地規(guī)定承包方負(fù)有對其為本公司提供服務(wù)的人員進(jìn)行人員背景調(diào)查的職責(zé)，并對背景調(diào)查的結(jié)果負(fù)責(zé)。同樣，與第三方的協(xié)議或約定中應(yīng)清晰的界定背景調(diào)查的職責(zé)歸屬問題。出于背景調(diào)查目的收集、處理被調(diào)查人員信息時，應(yīng)在不違反相關(guān)的法律法規(guī)的前提下進(jìn)行。4.1.2安全職責(zé)對于員工，必須通過書面的崗位職責(zé)對其安全角色和職責(zé)進(jìn)行描述和說明。對于承包方和第三方的安全角色和職責(zé)，應(yīng)按照組織的信息技術(shù)服務(wù)、質(zhì)量制度進(jìn)行定義，清晰地傳達(dá)給相關(guān)人員，并要求其簽署保密協(xié)議和信息技術(shù)服務(wù)承諾書。安全職責(zé)應(yīng)包括但不限于以下要求：1）遵守公司信息技術(shù)服務(wù)、質(zhì)量方面的各項(xiàng)規(guī)章制度；2）按照公司的要求實(shí)施各項(xiàng)安全措施控制；3）按照要求組織、參與或配合公司的各項(xiàng)信息技術(shù)服務(wù)、質(zhì)量檢查活動；4）保護(hù)公司的信息資產(chǎn)免受非授權(quán)訪問、泄露、修改和破壞；5）積極參加各項(xiàng)信息技術(shù)服務(wù)、質(zhì)量培訓(xùn)；6）報告安全事件、潛在安全事件、以及其他可能引發(fā)安全風(fēng)險的事件。4.1.3任用條款和條件綜合部每年都需要組織員工簽署保密協(xié)議，所有員工都需要簽署。公司應(yīng)與承包方在公司層面簽訂保密協(xié)議（或合同中包含保密條款）。綜合部負(fù)責(zé)組織承包方人員簽訂《保密協(xié)議》，并以此作為其獲準(zhǔn)為本公司提供服務(wù)、接觸本公司敏感信息的前提條件；對口部門負(fù)責(zé)組織與第三方人員簽訂保密協(xié)議，保密協(xié)議由公司綜合部統(tǒng)一保存。保密條款或保密協(xié)議具有法律效力，保密協(xié)議或包含保密條款的合同在簽訂前，要經(jīng)過公司相關(guān)部門的合規(guī)性審查，以避免法律法規(guī)風(fēng)險。4.2任用中員工、承包方和第三方如需申請使用公司網(wǎng)絡(luò)訪問權(quán)限或應(yīng)用系統(tǒng)訪問權(quán)限，必須通過綜合部審批通過后，才能授予工作所需的最小權(quán)限。員工、承包方和第三方的工作崗位發(fā)生變化時，必須通過公司相關(guān)部門審批，對其訪問權(quán)限進(jìn)行相應(yīng)的調(diào)整。4.2.1管理職責(zé)綜合部應(yīng)采取必要措施，保證員工、承包方和第三方嚴(yán)格遵守公司已建立的各項(xiàng)息技術(shù)服務(wù)、質(zhì)量制度。管理職責(zé)應(yīng)包括但不限于以下內(nèi)容：確保員工、承包方和第三方在被授權(quán)訪問敏感信息或敏感信息系統(tǒng)前，了解其信息技術(shù)服務(wù)、質(zhì)量的角色和職責(zé)；建立恰當(dāng)?shù)男畔⒓夹g(shù)服務(wù)、質(zhì)量獎懲機(jī)制；監(jiān)督員工、承包方和第三方遵守任用條款和條件，以及相關(guān)的信息技術(shù)服務(wù)、質(zhì)量制度；制定并頒布各項(xiàng)信息技術(shù)服務(wù)、質(zhì)量制度、操作指引、實(shí)施指南等；綜合部負(fù)責(zé)組織公司員工（適當(dāng)時也可以包括承包方人員和第三方人員）進(jìn)行與其工作職能相關(guān)的信息技術(shù)服務(wù)、質(zhì)量意識培訓(xùn)和教育。4.2.2信息技術(shù)服務(wù)、質(zhì)量培訓(xùn)信息技術(shù)服務(wù)知識/質(zhì)量知識培訓(xùn)納入公司統(tǒng)一的培訓(xùn)體系內(nèi)，由綜合部負(fù)責(zé)組織、實(shí)施及考核。信息技術(shù)服務(wù)、質(zhì)量知識培訓(xùn)作為公司每年度全員培訓(xùn)計劃的必設(shè)內(nèi)容。從事信息技術(shù)服務(wù)、質(zhì)量管理工作的人員和各部門信息技術(shù)服務(wù)員，每年必須參加專門的信息技術(shù)服務(wù)、質(zhì)量技術(shù)與標(biāo)準(zhǔn)培訓(xùn)。全員信息技術(shù)服務(wù)、質(zhì)量培訓(xùn)每年度不少于一次，培訓(xùn)可采用多種方式，培訓(xùn)內(nèi)容包括崗位安全職責(zé)、信息技術(shù)服務(wù)管理體系文件、信息技術(shù)服務(wù)、質(zhì)量知識和技術(shù)等。新員工必須參加信息技術(shù)服務(wù)/質(zhì)量培訓(xùn)，培訓(xùn)內(nèi)容包括工作人員信息技術(shù)服務(wù)守則、基本的信息技術(shù)服務(wù)意識、信息技術(shù)服務(wù)及質(zhì)量知識和技術(shù)等。各部門可根據(jù)工作需要，在部門內(nèi)組織信息技術(shù)服務(wù)、質(zhì)量培訓(xùn)，信息技術(shù)服務(wù)、質(zhì)量管理工作小組可提供協(xié)助，培訓(xùn)內(nèi)容可以包括崗位信息技術(shù)服務(wù)知識培訓(xùn)、專項(xiàng)信息技術(shù)服務(wù)知識培訓(xùn)等。綜合部按照年度信息技術(shù)服務(wù)、質(zhì)量培訓(xùn)計劃，組織相關(guān)人員進(jìn)行培訓(xùn)，為加強(qiáng)培訓(xùn)效果，可以有針對性的安排考核和計分?？己藘?nèi)容可以包括理論考核、實(shí)際操作技能考核等；考核形式可以包括問答、問卷、試驗(yàn)等；培訓(xùn)講師負(fù)責(zé)登記考核和計分結(jié)果。參與培訓(xùn)的人員通過調(diào)查問卷等方式，對講師的授課技巧、培訓(xùn)的組織、培訓(xùn)效果等情況進(jìn)行評估，培訓(xùn)課程評價結(jié)果由職能部人事分析匯總。4.2.3紀(jì)律處理過程對于信息技術(shù)服務(wù)違規(guī)的人員，在正式紀(jì)律處理之前應(yīng)有一個信息技術(shù)服務(wù)違規(guī)的確認(rèn)過程，對于承包方和第三方人員的紀(jì)律處理需要承包方和第三方代表的參與；正式的紀(jì)律處理過程應(yīng)確保正確、公平、公正地對待被懷疑信息技術(shù)服務(wù)違規(guī)的人員；對內(nèi)部員工的具體紀(jì)律處理按公司相關(guān)管理規(guī)定執(zhí)行；對承包方和第三方的紀(jì)律處理依照相關(guān)法律法規(guī)、合同處理，如法規(guī)或合同中均無規(guī)定，可雙方協(xié)商處理。4.3任用變更或終止4.3.1任用變更與終止職責(zé)應(yīng)清晰地定義和分配員工、承包方和第三方的任用變更或任用終止的信息技術(shù)服務(wù)職責(zé)。變更或終止的傳達(dá)應(yīng)包括信息技術(shù)服務(wù)要求和法律職責(zé)，必要時，在與員工、承包方人員或第三方人員的雇傭合同、保密協(xié)議、信息技術(shù)服務(wù)責(zé)任書或信息技術(shù)服務(wù)承諾書中應(yīng)包含在任用終止后仍然有效的信息技術(shù)服務(wù)職責(zé)和義務(wù)內(nèi)容。內(nèi)部員工的任用變更或終止由所在部門、綜合部等負(fù)責(zé)處理，承包方、第三方的任用變更或終止由對口部門、綜合部等負(fù)責(zé)處理。5.相關(guān)文件5.1《文件控制程序》6.記錄6.1《保密協(xié)議》6.2《培訓(xùn)計劃》6.3《培訓(xùn)記錄》6.4《離職審批單》

內(nèi)部審核管理程序LS/ITSMS-CX-041目的為明確信息技術(shù)服務(wù)管理體系內(nèi)審的實(shí)施方法，保證內(nèi)審定期有效地實(shí)施，為管理評審和持續(xù)改進(jìn)提供依據(jù)，確保信息技術(shù)服務(wù)管理體系的有效運(yùn)行，特制定本程序。2范圍本程序適用于本公司信息技術(shù)服務(wù)管理體系內(nèi)部審核(簡稱：內(nèi)審)工作的實(shí)施和管理。3職責(zé)3.1綜合部負(fù)責(zé)制定年度審核計劃與每次的審核計劃，制定內(nèi)審檢查表以供各部門檢查各項(xiàng)活動是否在信息技術(shù)服務(wù)保障內(nèi)；任命內(nèi)部審核小組可以進(jìn)行內(nèi)審；負(fù)責(zé)管理和監(jiān)督內(nèi)審的進(jìn)行與內(nèi)審結(jié)果的確認(rèn)。3.2其他各部門配合內(nèi)部審核小組進(jìn)行內(nèi)審，對內(nèi)審中發(fā)現(xiàn)的問題進(jìn)行整改。4程序4.1年度內(nèi)審計劃4.1.1計劃制定內(nèi)部審核小組組長制定年度審核計劃，確認(rèn)當(dāng)年年度的審核的目的范圍，受審部門及受審的時間安排。交由總經(jīng)理審批。4.2內(nèi)審4.2.1內(nèi)審時機(jī)內(nèi)部審核原則上每年進(jìn)行兩次，由內(nèi)部審核小組組長制定《內(nèi)部審核計劃》，經(jīng)總經(jīng)理批準(zhǔn)后實(shí)施；若在非內(nèi)審期內(nèi)發(fā)現(xiàn)特殊情況，如有重要信息技術(shù)服務(wù)事件發(fā)生，或公司重要業(yè)務(wù)發(fā)生變化，可由內(nèi)部審核小組組長申請增加內(nèi)審的次數(shù)，由總經(jīng)理決定是否進(jìn)行內(nèi)審。4.2.2任命每次審核前，由內(nèi)部審核小組發(fā)出任命通知，對參加信息技術(shù)服務(wù)審核的人員及部門進(jìn)行任命。內(nèi)部審核小組應(yīng)制定《內(nèi)部審核計劃》，經(jīng)總經(jīng)理批準(zhǔn)，并由綜合部通知被審核部門，被審核部門到時應(yīng)選派有關(guān)人員配合審核。4.2.3內(nèi)審員4.2.3.1資格要求內(nèi)審員必須是熟悉本組織業(yè)務(wù)和信息系統(tǒng)情況，參加信息技術(shù)服務(wù)管理體系內(nèi)審員培訓(xùn)并考核合格的本組織人員。4.2.3.2獨(dú)立性要求內(nèi)審員應(yīng)來自于不同的職能部門，審核人員應(yīng)與被審活動無直接責(zé)任，以保持工作的獨(dú)立性。4.2.4資格評定4.3內(nèi)部審核的實(shí)施4.3.1審核實(shí)施內(nèi)審員應(yīng)按《內(nèi)部審核計劃》規(guī)定實(shí)施審核，各有關(guān)部門應(yīng)積極配合。4.3.2不符合項(xiàng)開具對審核中發(fā)現(xiàn)的不符合項(xiàng)，由內(nèi)審員開出《不符合項(xiàng)報告》。4.4糾正措施與跟蹤審核4.4.1糾正所有不符合項(xiàng)應(yīng)由不符合項(xiàng)的責(zé)任部門負(fù)責(zé)按以下要求制定糾正措施并認(rèn)真實(shí)施：a)檢查本部門其他方面和其他各部門是否存在類似情況；b)對所有存在的不符合的問題按有關(guān)規(guī)定改正過來；c)調(diào)查產(chǎn)生該不符合項(xiàng)的原因，填入《不符合項(xiàng)報告》的"產(chǎn)生不符合項(xiàng)的原因"欄內(nèi)，調(diào)查人要簽字，并寫明日期；d)列明消除不符合項(xiàng)產(chǎn)生原因的措施計劃，并說明具體步驟及完成日期，填入《不符合項(xiàng)報告》的“糾正措施”欄內(nèi)，經(jīng)部門領(lǐng)導(dǎo)批準(zhǔn)，并寫明日期；e)按制定的糾正措施認(rèn)真實(shí)施，并將實(shí)施結(jié)果記入《不符合項(xiàng)報告》的“實(shí)施結(jié)果”欄內(nèi)，記錄人要簽字，并寫明日期。4.4.2跟蹤內(nèi)審員在規(guī)定期限進(jìn)行跟蹤審核，對糾正措施的實(shí)施及有效性進(jìn)行驗(yàn)證，并將驗(yàn)證結(jié)果記入《不符合項(xiàng)報告》。4.5審核報告4.5.1審核報告內(nèi)部審核結(jié)束后，審核組長應(yīng)起草《內(nèi)部審核報告》，編制《內(nèi)部審核報告》，報總經(jīng)理審閱，總經(jīng)理簽署意見后發(fā)至各部門。4.5.2管理評審輸入內(nèi)部審核的結(jié)果應(yīng)作為管理評審輸入的一部分。4.5.3記錄保管綜合部應(yīng)妥善保存評審記錄。5相關(guān)文件《信息技術(shù)服務(wù)管理手冊》6相關(guān)記錄《內(nèi)部審核計劃》《不符合項(xiàng)報告》《內(nèi)部審核報告》

管理評審管理程序LS/ITSMS-CX-051目的為確保組織信息技術(shù)服務(wù)管理體系持續(xù)的適宜性、充分性和有效性，評估組織信息技術(shù)服務(wù)管理體系改進(jìn)和變更的需要，特制定本程序。2范圍本程序適用于對信息技術(shù)服務(wù)管理體系中要求進(jìn)行的管理評審的實(shí)施程序的管理。3職責(zé)3.1總經(jīng)理主持信息技術(shù)服務(wù)管理體系管理評審。3.2綜合部負(fù)責(zé)信息技術(shù)服務(wù)管理體系管理評審的組織管理。4程序4.1管理評審策劃4.1.1管理評審的頻次4.1.1.1定期管理評審由總經(jīng)理主持，通常每年進(jìn)行一次，一般在內(nèi)部審核后一至兩個月內(nèi)進(jìn)行。4.1.1.2非定期當(dāng)遇到下列情況時，可不受4.1.1.1的限制，由綜合部制定計劃，報總經(jīng)理批準(zhǔn)后實(shí)施:a)當(dāng)出現(xiàn)重大信息技術(shù)服務(wù)事件時；b)當(dāng)信息技術(shù)服務(wù)管理體系發(fā)生較大變化時；c)當(dāng)客戶要求或外部環(huán)境條件發(fā)生重大變化時；d)內(nèi)部審核、客戶審核或ISO/IEC20000外部審核時，發(fā)現(xiàn)了對全組織有影響，屬信息技術(shù)服務(wù)管理體系上的重大不符合事項(xiàng)時。4.1.2管理評審的方式管理評審以專題會議的方式進(jìn)行，由總經(jīng)理主持管理評審，評審會議由總經(jīng)理、信息技術(shù)服務(wù)小組、內(nèi)審員、相關(guān)部門負(fù)責(zé)人參加，必要時可吸收對應(yīng)專業(yè)管理人員參加。4.1.3管理評審的準(zhǔn)備4.1.3.1計劃編制綜合部根據(jù)公司管理層的要求組織編制《管理評審計劃》，報管理者代表審核，總經(jīng)理批準(zhǔn)后，提前一周下發(fā)至各相關(guān)部門。4.1.3.2相關(guān)準(zhǔn)備相關(guān)部門按《管理評審計劃》要求，對照信息技術(shù)服務(wù)管理體系運(yùn)行情況進(jìn)行自評，按各自職責(zé)做好相關(guān)信息、資料的準(zhǔn)備工作，并將有關(guān)信息、資料于管理評審會議召開前3天提供給綜合部。4.1.3.3資料匯總4.1.3.4議程管理評審會議召開前1天，綜合部應(yīng)安排好會議的議程。4.2管理評審輸入4.2.1資料各相關(guān)部門接到《管理評審計劃》后應(yīng)向綜合部提供如下材料和信息：1)信息技術(shù)服務(wù)管理體系運(yùn)行的改進(jìn)建議2)本部門相關(guān)的外部反饋意見；3)本部門改進(jìn)信息技術(shù)服務(wù)管理體系績效的技術(shù)、產(chǎn)品和程序；4)預(yù)防和糾正措施的實(shí)施情況；5)本部門相關(guān)的有效性測量、考核情況及建議；6)風(fēng)險評估未考慮的威脅和脆弱性；7)提供的資源滿足需要的情況；8)與本部門相關(guān)的其它情況；9)信息技術(shù)服務(wù)管理體系變更和改進(jìn)的建議。4.2.2報告要求以下內(nèi)容可作為管理評審的輸入：a)信息技術(shù)服務(wù)管理體系方針、目標(biāo)、指標(biāo)的完成情況；b)內(nèi)、外部審核結(jié)果和合規(guī)性評價的結(jié)果；c)客戶反饋（客戶滿意度測量結(jié)果、客戶投訴、客戶抱怨、投訴和抱怨的處理結(jié)果）；d)改進(jìn)信息技術(shù)服務(wù)管理體系績效的技術(shù)、產(chǎn)品和程序；e)預(yù)防措施與糾正措施實(shí)施狀況；f)風(fēng)險評估未考慮的威脅和脆弱性；g)有效性測量、考核情況及建議；h)上次管理評審跟蹤措施的實(shí)施情況；i)可能影響信息技術(shù)服務(wù)管理體系的變更的情況（如：內(nèi)部員工的變化，法律、法規(guī)的變化，組織機(jī)構(gòu)或產(chǎn)品、活動的變化，外部環(huán)境的變化等）；j)信息技術(shù)服務(wù)管理體系變更和改進(jìn)的建議。4.3管理評審會議4.3.1會議簽到綜合部組織召開管理評審會議，與會人員在《管理評審會議簽到表》上簽到。4.3.2報告總經(jīng)理主持召開管理評審會議，作信息技術(shù)服務(wù)管理體系運(yùn)行情況的專題報告。全體與會人員根據(jù)各部門體系運(yùn)行情況報告，討論并評審信息技術(shù)服務(wù)管理體系的適宜性、充分性和有效性。4.3.4總結(jié)總經(jīng)理對管理評審作結(jié)論性評價，提出要求和決策。4.3.5會議記錄綜合部負(fù)責(zé)管理評審現(xiàn)場記錄，形成《管理評審報告》。4.4管理評審輸出4.4.1報告內(nèi)容《管理評審報告》包括以下內(nèi)容：a)管理評審的目的、時間、參加人員及評審內(nèi)容；b)信息技術(shù)服務(wù)管理體系的適用性、充分性、有效性的綜合評價和需要改進(jìn)的地方；c)方針、目標(biāo)、指標(biāo)適宜性的評價及需要的更改；d)風(fēng)險評估和風(fēng)險處理計劃的更新要求；e)修訂程序和控制措施的需求；f)管理評審確定的改進(jìn)決定和措施、責(zé)任部門和完成日期。4.4.2批準(zhǔn)《管理評審報告》經(jīng)綜合部審核后交總經(jīng)理批準(zhǔn)。4.4.3發(fā)放及歸檔綜合部將經(jīng)過總經(jīng)理批準(zhǔn)的《管理評審報告》以文件形式下發(fā)各部門并存檔。4.5改進(jìn)和驗(yàn)證4.5.1改進(jìn)根據(jù)《管理評審報告》提出的要求，綜合部組織各相關(guān)部門制定改進(jìn)措施計劃，并對實(shí)施情況進(jìn)行協(xié)調(diào)、監(jiān)督、檢查4.5.2文件控制《管理評審報告》要求進(jìn)行文件修改的，由綜合部按《文件控制程序》執(zhí)行。4.5.3驗(yàn)證綜合部組織相關(guān)職能部門對確定的糾正與預(yù)防改進(jìn)措施的實(shí)施情況進(jìn)行跟蹤檢查，并做好記錄。4.5.4記錄歸檔管理評審資料、文件和記錄按《記錄控制程序》的要求歸檔和保管。5相關(guān)文件《信息技術(shù)服務(wù)手冊》《文件控制程序》《記錄控制程序》6相關(guān)記錄《管理評審計劃》《管理評審報告》《改進(jìn)措施計劃》

糾正措施控制程序LS/ITSMS-CX-061目的為了對信息技術(shù)服務(wù)管理體系運(yùn)行出現(xiàn)的不符合事項(xiàng)（信息技術(shù)服務(wù)事故、審核中出現(xiàn)的不符合等）或潛在不符合事項(xiàng)進(jìn)行分析，并采取糾正措施，消除產(chǎn)生不符合（潛在不符合）原因，以防再發(fā)生類似不符合。特制定糾正措施控制程序。2范圍適用于對信息技術(shù)服務(wù)管理體系糾正措施的管理。3職責(zé)3.1綜合部是糾正措施的歸口管理部門，負(fù)責(zé)收集信息并組織責(zé)任部門分析原因，制定糾正措施，并跟蹤驗(yàn)證糾正措施實(shí)施情況。3.3管理者代表負(fù)責(zé)對信息系統(tǒng)安全的監(jiān)控，發(fā)現(xiàn)不符合（潛在不符合）時監(jiān)督、協(xié)調(diào)糾正措施的實(shí)施。3.4各部門各部門負(fù)責(zé)本部門的不合格原因分析及糾正措施的制定和實(shí)施。4程序4.1不符合的識別4.1.1制定糾正措施項(xiàng)目的主要依據(jù)：a)信息技術(shù)服務(wù)事件；b)信息技術(shù)服務(wù)監(jiān)控中發(fā)現(xiàn)的不符合；c)內(nèi)、外部審核中發(fā)現(xiàn)的不符合，以及管理評審的改進(jìn)指令；d)各種數(shù)據(jù)分析的報告等。4.1.2各部門對過程、體系的不合格根據(jù)評審結(jié)論，采取措施實(shí)施糾正并進(jìn)行了有效地處理后，將有關(guān)信息報綜合部。4.2不符合原因的確定4.2.1綜合部依據(jù)收集的信息進(jìn)行分類，對反復(fù)發(fā)生的和較嚴(yán)重的不符合，組織有關(guān)部門人員進(jìn)行現(xiàn)狀調(diào)查。4.2.2根據(jù)調(diào)查結(jié)果，確定產(chǎn)生不符合的原因，可采用統(tǒng)計技術(shù)等方法進(jìn)行分析并予以記錄。4.3評價確保不符合的措施要求4.3.1針對確定的原因，相關(guān)部門負(fù)責(zé)組織有關(guān)人員進(jìn)行評價是否需要采取糾正措施，評價考慮的重點(diǎn)是從成本、業(yè)績、可信性等方面考慮，應(yīng)與所發(fā)生不合格的影響程度相適應(yīng)。4.3.2可能產(chǎn)生信息技術(shù)服務(wù)事故和體系運(yùn)行中發(fā)生的重大不符合，必須采取糾正措施。5.3.3糾正措施是偶然發(fā)生的或資源投入較大的或承擔(dān)較高風(fēng)險的可暫不采取。5.3.4其他情況由評價人員根據(jù)實(shí)際確定。4.4糾正措施的實(shí)施4.4.1依據(jù)評價結(jié)果，對應(yīng)采取糾正措施的不符合時，形成《糾正措施實(shí)施記錄》，落實(shí)不符合的責(zé)任部門。4.4.2確定的糾正措施內(nèi)容要有責(zé)任部門和完成時間的要求，不符合的責(zé)任部門按照《糾正措施實(shí)施記錄》的要求，認(rèn)真實(shí)施糾正措施，并對措施的實(shí)施進(jìn)行監(jiān)視，同時將實(shí)施的結(jié)果記入《糾正措施實(shí)施記錄》。4.4.3內(nèi)部審核過程中發(fā)現(xiàn)的不符合所采取的糾正措施執(zhí)行《內(nèi)審管理規(guī)定》。4.5糾正措施的控制及記錄4.5.1責(zé)任部門按糾正和防措施計劃時間要求，組織實(shí)施糾正措施。4.5.2實(shí)施過程應(yīng)做好記錄。糾正措施完成后，應(yīng)將結(jié)果填入《糾正措施實(shí)施記錄》中，向管理者代表報告，待進(jìn)行效果驗(yàn)證和評審。4.5.3在糾正措施實(shí)施中，管理者代表負(fù)責(zé)配置必要的資源，協(xié)助分析原因和確定責(zé)任部門，并監(jiān)督措施的實(shí)施。4.5.4由糾正措施引起體系文件的更改，執(zhí)行《文件管理規(guī)定》4.5.5糾正措施的相關(guān)記錄作為下次管理評審的輸入。4.6糾正措施的評審4.6.1根據(jù)責(zé)任部門的報告，綜合部應(yīng)組織有關(guān)人員進(jìn)行現(xiàn)場評審驗(yàn)證，評審其能否防止類似的不合格再發(fā)生。4.6.2評審驗(yàn)證后，應(yīng)將結(jié)果記入《糾正措施實(shí)施記錄》中。5相關(guān)文件：文件管理程序6相關(guān)記錄糾正措施實(shí)施記錄

監(jiān)視和測量控制程序LS/ITSMS-CX-071目的通過對各項(xiàng)控制措施滿足控制目標(biāo)的實(shí)現(xiàn)程度及法律、法規(guī)符合性的監(jiān)視、測量與分析，為策劃、實(shí)施、持續(xù)改進(jìn)信息技術(shù)服務(wù)管理體系提供依據(jù)。2適用范圍本程序適用于對本公司區(qū)域內(nèi)所有業(yè)務(wù)職能部門的安全特性控制、績效及管理體系運(yùn)行的監(jiān)視和測量。3術(shù)語和定義引用ISO/IEC20000-2011標(biāo)準(zhǔn)及本公司《信息技術(shù)服務(wù)管理手冊》中的術(shù)語和定義。4職責(zé)4.1管理者代表4.1.1負(fù)責(zé)掌握信息技術(shù)服務(wù)管理體系的總體運(yùn)行情況，并向最高管理者匯報，對最高管理者負(fù)責(zé)。4.1.2負(fù)責(zé)每半年組織對本公司職能部門目標(biāo)、指標(biāo)的完成情況進(jìn)行考核。4.2信息技術(shù)服務(wù)小組4.2.1負(fù)責(zé)本程序的編制、修訂和監(jiān)督實(shí)施。4.2.2負(fù)責(zé)每半年對體系進(jìn)行監(jiān)視和測量，對各職能部門的監(jiān)視和測量執(zhí)行情況進(jìn)行監(jiān)督、檢查和指導(dǎo)，為糾正和預(yù)防提供信息。4.2.3負(fù)責(zé)收集的顧客信息技術(shù)服務(wù)方面信息，并進(jìn)行匯總、分析和傳遞。4.2.4負(fù)責(zé)組織各部門獲取、識別、更新適用于本公司信息技術(shù)服務(wù)管理體系運(yùn)行的所有法律法規(guī)，發(fā)布《信息技術(shù)服務(wù)法律法規(guī)清單》，對本程序的實(shí)施情況進(jìn)行組織、監(jiān)督和檢查。負(fù)責(zé)法律法規(guī)的更新以及適用性的確認(rèn)，并傳達(dá)給各部門。5控制措施和目標(biāo)實(shí)現(xiàn)程度的監(jiān)視測量5.1監(jiān)視和測量的范圍及依據(jù)5.1.1根據(jù)本公司業(yè)務(wù)范圍內(nèi)信息資產(chǎn)的控制范圍，確定監(jiān)視和測量范圍。5.1.2測量的范圍一般包括：控制措施的實(shí)現(xiàn)過程；關(guān)鍵特性；控制措施實(shí)現(xiàn)目標(biāo)程度；適用法律、法規(guī)的符合性；業(yè)務(wù)持續(xù)性控制措施；事故、事件和其它不良的績效；不可接受風(fēng)險計劃中確定的措施；顧客信息技術(shù)服務(wù)的滿意程度。5.1.3監(jiān)視和測量的依據(jù)是法律法規(guī)、技術(shù)標(biāo)準(zhǔn)、顧客合同、適用性聲明、管理手冊、程序文件等。5.2監(jiān)視和測量的要求應(yīng)按照國家及地方技術(shù)規(guī)范規(guī)定和顧客要求的檢驗(yàn)和試驗(yàn)項(xiàng)目、標(biāo)準(zhǔn)、方法進(jìn)行監(jiān)視和測量。必要時，本公司各職能部門指定專人編寫作業(yè)文件予以規(guī)定，規(guī)定的嚴(yán)格程度應(yīng)與問題的復(fù)雜程度和風(fēng)險相適應(yīng)。5.3監(jiān)視和測量的實(shí)施5.3.1信息技術(shù)服務(wù)小組根據(jù)各職能部門確立的監(jiān)視和測量范圍，確定監(jiān)視和測量的依據(jù)、項(xiàng)目、關(guān)鍵特性、頻次、使用的儀器設(shè)備等。5.3.2監(jiān)視和測量可選擇的方法a.對控制過程進(jìn)行日常檢查；b.信息技術(shù)服務(wù)措施狀況的抽查；c.設(shè)備裝置的檢查；d.作業(yè)環(huán)境的監(jiān)視；e.記錄檢查。5.3.3控制過程的監(jiān)視和測量a.信息技術(shù)服務(wù)小組負(fù)責(zé)組織控制措施實(shí)施過程的監(jiān)視和測量。b.信息處理設(shè)備進(jìn)場/入庫前必須按照采購計劃，對物資設(shè)備的數(shù)量、規(guī)格、信息技術(shù)服務(wù)要求進(jìn)行驗(yàn)證，審核產(chǎn)品證明文件的符合性。驗(yàn)證方法應(yīng)符合，并保留相應(yīng)的原始記錄。c.使用前必須經(jīng)過復(fù)驗(yàn)、檢驗(yàn)的物資，按相應(yīng)的標(biāo)準(zhǔn)、規(guī)范進(jìn)行復(fù)驗(yàn)。d.未經(jīng)監(jiān)視和測量的信息處理硬件軟件不得投入使用，對驗(yàn)證不合格的，按照《信息技術(shù)服務(wù)事件管理程序》執(zhí)行。e.因工作急需，未經(jīng)檢驗(yàn)和試驗(yàn)放行（硬件、軟件），必須具備放行后一旦發(fā)現(xiàn)問題能夠追回的條件。f.緊急放行后，應(yīng)及時進(jìn)行檢驗(yàn)和試驗(yàn)，發(fā)現(xiàn)問題及時追回或處理。g.為控制措施目標(biāo)所需的主動監(jiān)視和測量，以巡檢、設(shè)施監(jiān)控、統(tǒng)計分析等適用的方法進(jìn)行。5.3.4本公司不可接受風(fēng)險處置計劃關(guān)鍵特性和績效的監(jiān)視和測量，由信息技術(shù)服務(wù)小組、信息技術(shù)服務(wù)小組/質(zhì)量小組按照計劃策劃的時間間隔，對特性的效果與相關(guān)部門協(xié)商測試方法，執(zhí)行本程序。對不易測評績效的關(guān)鍵特性，采用觀察現(xiàn)場表現(xiàn)的監(jiān)視和測量方式。有必要時，可委托有資格的外部檢測機(jī)構(gòu)實(shí)施。對事態(tài)、事件和其他不良績效的測量，由信息技術(shù)服務(wù)小組組織，其他部門協(xié)同，利用統(tǒng)計報告并結(jié)合《信息技術(shù)服務(wù)事件管理程序》進(jìn)行分析和改進(jìn)。5.3.5管理體系運(yùn)行過程的監(jiān)視和測量5.3.5.1管理體系運(yùn)行要遵守法律、法規(guī)的要求。綜合部要對本公司各職能部門適用的法律、法規(guī)、標(biāo)準(zhǔn)、規(guī)范的獲取和識別，進(jìn)行監(jiān)視和測量。5.3.5.2管理體系運(yùn)行過程的檢查各部門要每半年對管理管理體系的目標(biāo)、指標(biāo)及管理體系運(yùn)行情況進(jìn)行監(jiān)視和測量。5.3.6顧客信息技術(shù)服務(wù)滿意程度的監(jiān)視和測量5.3.6.1顧客信息技術(shù)服務(wù)滿意程度信息的收集與傳遞a.顧客信息技術(shù)服務(wù)滿意程度信息包括滿意信息和不滿意信息，顧客滿意程度信息的收集最好采取書面問卷形式，特殊情況下也可采用口頭方式。b.各部門與顧客進(jìn)行溝通，收集來自顧客的對信息技術(shù)服務(wù)滿意程度信息，并在內(nèi)部進(jìn)行傳遞，作為方針、目標(biāo)、管理評審的依據(jù)。c.對顧客投訴的問題和回訪中發(fā)現(xiàn)的問題，由部門指定問題項(xiàng)目負(fù)責(zé)人組織有關(guān)人員對問題進(jìn)行復(fù)查，與顧客共同分析原因，按照《信息技術(shù)服務(wù)事件管理程序》《糾正措施控制程序》及時做出處理。5.3.7證據(jù)收集當(dāng)本公司與其他公司或某個人（包括內(nèi)部與外部人員）發(fā)生法律糾紛時，涉及法律糾紛的部門應(yīng)立即書面報告公司，由公司法律顧問會同該部門進(jìn)行證據(jù)收集，準(zhǔn)備實(shí)施法律訴訟；證據(jù)收集應(yīng)符合以下要求：a.所呈證據(jù)應(yīng)符合國家有關(guān)的證據(jù)法規(guī)；b.符合用于提供可接受證據(jù)的任何已發(fā)布的標(biāo)準(zhǔn)或法規(guī)；c.對已收集到的證據(jù)進(jìn)行安全的保管，防止未經(jīng)授權(quán)的更改或破壞；d.收集到的證據(jù)符合法庭所要求的形式。5.3.8控制目標(biāo)的符合性主要通過實(shí)施定期評估的方法來實(shí)現(xiàn)，頻次與法律法規(guī)符合性評價相同，具體方法如下：歷史統(tǒng)計模式：雖然完成了某些控制措施，但看不到控制措施被采用的證據(jù)，而只能看到現(xiàn)在管理的狀態(tài)，經(jīng)過統(tǒng)計現(xiàn)在狀態(tài)的績效與原有績效的比較，可以推導(dǎo)出是否達(dá)到了控制目標(biāo)的要求和是否按照要求才去了措施。文本審閱模式：文本審閱法是通過翻閱控制措施要求的相關(guān)的文件、檔案來了解控制措施過程，獲得書證。實(shí)地觀察模式：通過實(shí)地查看某些控制措施的實(shí)施過程，核對策劃的實(shí)施程序，判斷完成現(xiàn)有目標(biāo)的績效，獲得過程物證?？傊?，要用“嘴”問，要用耳“聽”，要用“腦”判斷與分析。得出一個客觀的評價結(jié)果，記錄在《信息技術(shù)服務(wù)法律法規(guī)符合性評估報告》。5.4研發(fā)部每年要針對本公司與信息技術(shù)服務(wù)（ITSMS）法律法規(guī)遵循情況編寫全公司法律法規(guī)符合性評估報告，對于不符合的情況，責(zé)任部門應(yīng)實(shí)施糾正措施并實(shí)施。6法律法規(guī)符合性的監(jiān)視測量執(zhí)行《符合性控制程序》7相關(guān)文件《糾正措施控制程序》《信息技術(shù)服務(wù)事件管理程序》《信息技術(shù)服務(wù)風(fēng)險評估管理程序》

設(shè)計、轉(zhuǎn)換及實(shí)施新的或變更的服務(wù)管理程序LS/ITSMS-CX-081、目的本程序?qū)υO(shè)計、轉(zhuǎn)換及實(shí)施的新的或變更的客戶服務(wù)管理過程進(jìn)行了說明，以達(dá)到以下目的：確保新的客戶服務(wù)和變更的客戶服務(wù)以合適的成本和服務(wù)質(zhì)量被交付和管理；根據(jù)公司和客戶之間協(xié)定啟動新的服務(wù)和變更的客戶服務(wù)；通過對新的客戶服務(wù)或變更的客戶服務(wù)管理，積累項(xiàng)目管理經(jīng)驗(yàn)，持續(xù)改進(jìn)，以進(jìn)一步提高項(xiàng)目管理能力、服務(wù)質(zhì)量和客戶滿意度。2、過程定義2.1范圍本程序適用于信息技術(shù)服務(wù)所覆蓋的所有部門。2.2服務(wù)管理負(fù)責(zé)人研發(fā)部運(yùn)維負(fù)責(zé)人2.3主要輸入輸入來源服務(wù)需求說明書IT服務(wù)售前需求調(diào)研服務(wù)規(guī)范（客服工作手冊）作業(yè)文件，客服業(yè)務(wù)指導(dǎo)書其它服務(wù)管理流程為達(dá)成合同約定，客戶服務(wù)過程中實(shí)施的流程2.4主要輸出輸出去向服務(wù)合同相關(guān)部門負(fù)責(zé)合同簽屬，檔案管理員負(fù)責(zé)合同歸檔服務(wù)計劃提交到服務(wù)管理負(fù)責(zé)人評審組員周報、服務(wù)報告、會議紀(jì)錄、會議紀(jì)要由研發(fā)部負(fù)責(zé)人負(fù)責(zé)監(jiān)控檢查服務(wù)監(jiān)視、測試與評審結(jié)果提交公司領(lǐng)導(dǎo)層服務(wù)總結(jié)報告服務(wù)報告管理所定義的服務(wù)報告流程。服務(wù)改進(jìn)管理對監(jiān)控、測試與評審結(jié)果的一個改進(jìn)服務(wù)的過程服務(wù)項(xiàng)目資料庫包括：項(xiàng)目過程記錄，客戶服務(wù)資產(chǎn)信息、服務(wù)記錄、知識庫、文檔資料庫等2.5職責(zé)權(quán)限服務(wù)管理負(fù)責(zé)人：負(fù)責(zé)服務(wù)級別管理流程；制作和更新服務(wù)目錄；更新現(xiàn)有的服務(wù)改進(jìn)方案；與有關(guān)方面協(xié)商談判、并負(fù)責(zé)簽訂和維護(hù)SLA；評審IT服務(wù)的運(yùn)作績效、并在必要的時候采取改進(jìn)措施。市場部：定期進(jìn)行策劃活動的銷售分析總結(jié)工作；結(jié)合銷售策劃活動，定期對服務(wù)進(jìn)行分析、總結(jié)；對客戶進(jìn)行整體定位的規(guī)劃管理，制定相應(yīng)規(guī)范，以此來指導(dǎo)客戶管理及業(yè)務(wù)部門的發(fā)展客戶等工作；基于客戶整體規(guī)劃，實(shí)施客戶的管理；定期進(jìn)行客戶的分析總結(jié)，及時發(fā)現(xiàn)業(yè)務(wù)部門在客戶發(fā)展及維護(hù)中可能存在的問題；根據(jù)客戶情況及大客戶的相關(guān)標(biāo)準(zhǔn)規(guī)范，進(jìn)行大客戶的管理工作；市場部一線支持技術(shù)人員：與客戶進(jìn)行溝通，實(shí)施服務(wù)計劃；了解用戶的需求，修改《服務(wù)需求說明書》；負(fù)責(zé)客戶滿意調(diào)查工作，并編寫調(diào)查報告，集中整理客戶意見，促成客戶服務(wù)改進(jìn)服務(wù)；市場部客戶服務(wù)負(fù)責(zé)人：參與客戶服務(wù)的SLA的制定和修改；安排客戶服務(wù)的服務(wù)計劃的編制；督促一線支持的事件完成情況；項(xiàng)目內(nèi)部資源調(diào)配，必要時，請求二線或三線支持；必要時，提交問題管理；提交服務(wù)報告和會議紀(jì)要；負(fù)責(zé)客戶服務(wù)預(yù)算與核算管理；研發(fā)部、綜合部：全面負(fù)責(zé)整個公司的客戶服務(wù)管理工作。負(fù)責(zé)服務(wù)管理體系的制定、修改和完善。負(fù)責(zé)監(jiān)控服務(wù)級別并主持服務(wù)評審和服務(wù)改進(jìn)工作。為客戶服務(wù)可用性、持續(xù)性、服務(wù)能力提供支持和資源保障。負(fù)責(zé)客戶服務(wù)資源的統(tǒng)一規(guī)劃和配置，增強(qiáng)技術(shù)技能，提高服務(wù)質(zhì)量，不斷提高客戶滿意度。全面負(fù)責(zé)客戶服務(wù)的信息技術(shù)服務(wù)管理，組織編寫信息技術(shù)服務(wù)策略。負(fù)責(zé)客戶投訴處理流程、公司客戶的定期回訪、客戶滿意度調(diào)查以及客戶投訴處理工作。2.6過程重要控制點(diǎn)服務(wù)級別協(xié)議：產(chǎn)品運(yùn)營開發(fā)部要形成一個服務(wù)級別協(xié)議，公告用戶，作為服務(wù)目標(biāo)；制定服務(wù)計劃：項(xiàng)目負(fù)責(zé)人要排出項(xiàng)目的服務(wù)計劃，作為服務(wù)實(shí)施計劃指導(dǎo)；服務(wù)實(shí)施：運(yùn)用所有的服務(wù)管理流程，實(shí)現(xiàn)服務(wù)目標(biāo)，并及時提供服務(wù)報告；持續(xù)改進(jìn)：為進(jìn)一步提高服務(wù)質(zhì)量、規(guī)范服務(wù)、降低成本的所有活動。2.7過程測量指標(biāo)客戶服務(wù)必備文檔：服務(wù)需求說明書；服務(wù)級別協(xié)議；服務(wù)規(guī)范服務(wù)目錄；服務(wù)計劃表；部門費(fèi)用預(yù)算表；服務(wù)報告（頻率根據(jù)服務(wù)級別協(xié)議出）；服務(wù)總結(jié)報告；3.術(shù)語術(shù)語定義服務(wù)項(xiàng)目客戶服務(wù)的推廣服務(wù)規(guī)范規(guī)范一線客服人員，使之得以實(shí)現(xiàn)服務(wù)級別協(xié)議4.流程5.過程描述5.1新增、變更服務(wù)服務(wù)管理負(fù)責(zé)人通過對服務(wù)需求的識別和分析，確認(rèn)新增或變更服務(wù)。5.2新服務(wù)及變更服務(wù)的策劃客戶需求的變化、技術(shù)和環(huán)境的變化等多種因素均可能導(dǎo)致新增的信息技術(shù)服務(wù)需求或者現(xiàn)有信息技術(shù)服務(wù)的變更，通常這會導(dǎo)致現(xiàn)有信息技術(shù)基礎(chǔ)設(shè)施的變化、新信息系統(tǒng)的開發(fā)測試和上線、現(xiàn)有信息處理系統(tǒng)的變更等。新服務(wù)及變更服務(wù)策劃的內(nèi)容具體包括：對新服務(wù)及變更服務(wù)中涉及到的角色和職責(zé)分別進(jìn)行定義，并計劃出客戶和供應(yīng)商在實(shí)施過程中需要采取的活動；對現(xiàn)有的信息技術(shù)服務(wù)管理框架和服務(wù)進(jìn)行變更，以確保新的框架和服務(wù)描述能夠包括新服務(wù)及變更服務(wù)的范圍；與新服務(wù)及變更服務(wù)涉及到的相關(guān)方進(jìn)行溝通，以確保新服務(wù)及變更服務(wù)的目標(biāo)與實(shí)施過程保持一致；新服務(wù)及變更服務(wù)的合同和協(xié)議與業(yè)務(wù)需求的變更保持一致；如有人力資源方面的新增需求，確保人力資源和招聘計劃能夠滿足新服務(wù)及變更服務(wù)的人力要求；如果新服務(wù)及變更服務(wù)有新的技術(shù)要求，確保新的信息技術(shù)技能和培訓(xùn)的要求能夠得到滿足；新服務(wù)及變更服務(wù)中將采用的過程、測量、方法和工具；新服務(wù)及變更服務(wù)所需的預(yù)算和開發(fā)、實(shí)施時間表；新服務(wù)及變更服務(wù)的接收準(zhǔn)則；用可測量的術(shù)語表達(dá)的、新服務(wù)運(yùn)行的預(yù)測結(jié)果。新服務(wù)及變更服務(wù)策劃活動完成后，應(yīng)按照附件1格式，填寫“新服務(wù)及變更服務(wù)計劃報告”。5.3設(shè)計和開發(fā)新的或變更的服務(wù)對新的或變更的服務(wù)設(shè)計并以書面形式明確新的或變更的服務(wù)，一般包括：交付新的或變更的服務(wù)的權(quán)限和職責(zé)；交付新的或變更的服務(wù)所需由服務(wù)提供方、客戶和其他方執(zhí)行的活動；新的或變更的人力資源要求，包括適當(dāng)?shù)慕逃?、培?xùn)、技巧和經(jīng)驗(yàn)要求；交付新的或變更的服務(wù)的財務(wù)資源要求；支持交付的新的或變更的服務(wù)的新的或變更的技術(shù)；新的或變更的策劃和方針；與服務(wù)需求一致的新的和變更的合同和其他文件；對服務(wù)管理體系（SMS）的變更；新的或變更的SLAs；服務(wù)目錄的更新；用于交付新的或變更服務(wù)的程序、測量和信息。確保設(shè)計以使新的或變更的服務(wù)滿足服務(wù)需求；應(yīng)根據(jù)書面的設(shè)計開發(fā)新的或變更的服務(wù)。5.4轉(zhuǎn)換新的或變更的服務(wù)通過對新的或變更的服務(wù)測試以證明滿足服務(wù)需求和設(shè)計文件。確保新的和變更的服務(wù)驗(yàn)收通過，服務(wù)驗(yàn)收準(zhǔn)則由服務(wù)提供方和相關(guān)方事先協(xié)定。如果未達(dá)到服務(wù)驗(yàn)收標(biāo)準(zhǔn)，服務(wù)提供方和相關(guān)方應(yīng)決定采取必要的措施修正。確保發(fā)布和部署管理過程應(yīng)用在實(shí)際環(huán)境中部署已批準(zhǔn)的新的或變更的服務(wù)。轉(zhuǎn)換活動完成后，服務(wù)提供方應(yīng)向相關(guān)方匯報期望成果和實(shí)際結(jié)果的對比。5.5服務(wù)實(shí)施服務(wù)實(shí)施是客戶服務(wù)負(fù)責(zé)人及一線支持人員運(yùn)用各個服務(wù)管理流程，完成服務(wù)計劃的過程，目標(biāo)是服務(wù)級別協(xié)議，體現(xiàn)形式是形成服務(wù)記錄、個人周報、日報、服務(wù)報告、會議紀(jì)錄和會議紀(jì)要。一線支持對的客戶服務(wù)情況形成服務(wù)記錄，記入ITSM客戶服務(wù)系統(tǒng)；一線支持每周對服務(wù)實(shí)施情況進(jìn)行總結(jié)，形成《個人周報》，以電子郵件方式提交技術(shù)研發(fā)產(chǎn)品運(yùn)營開發(fā)部負(fù)責(zé)人；服務(wù)報告管理負(fù)責(zé)人對客戶服務(wù)情況，每月填寫《服務(wù)報告》，提交研發(fā)部負(fù)責(zé)人；各部門每周召開部門例會，形成《會議記錄》，對作出的決議，形成《會議紀(jì)要》；客戶服務(wù)職能劃分如下：一線支持：負(fù)責(zé)培訓(xùn)計劃擬定，培訓(xùn)實(shí)施，賬號開通，售后服務(wù)。檔案管理人員：負(fù)責(zé)合同管理與歸檔。參照本體系文件《事件和服務(wù)請求管理規(guī)定》、《問題管理規(guī)定》、《配置管理規(guī)定》、《發(fā)布部署管理規(guī)定》、《服務(wù)連續(xù)性和可用性管理規(guī)定》、《能力管理規(guī)定》、《服務(wù)報告管理規(guī)定》等。5.6服務(wù)監(jiān)視、測量和評審對服務(wù)實(shí)施過程（各管理流程）的執(zhí)行結(jié)果進(jìn)行有效的測量、監(jiān)視和審查，重點(diǎn)關(guān)注服務(wù)質(zhì)量、客戶滿意度、服務(wù)報告等方面的內(nèi)容。一線支持內(nèi)部檢查：一線支持每周召開部門例會，填寫《會議紀(jì)錄》，并形成《會議紀(jì)要》，會議內(nèi)容包括：項(xiàng)目負(fù)責(zé)人匯報服務(wù)中存在的問題；投訴處理；回訪情況；根據(jù)匯報情況，下達(dá)整改任務(wù)；傳達(dá)公司會議精神。項(xiàng)目管理檢查：服務(wù)報告管理負(fù)責(zé)人在每月對項(xiàng)目完成的情況、效果、績效、問題進(jìn)行總結(jié)，形成《服務(wù)報告》。內(nèi)部審核：公司每年組織一次服務(wù)管理體系的內(nèi)部審核，成立內(nèi)審小組，由內(nèi)審小組執(zhí)行內(nèi)審工作。參照《內(nèi)部審核程序》。管理評審：公司每年組織一次服務(wù)管理體系的管理評審，由總經(jīng)理主持管理評審會議，各部門主管參加，并形成《管理評審報告》。參照公司《管理評審程序》。5.7持續(xù)改進(jìn)為了不斷提高客戶滿意程度和服務(wù)管理水平，研發(fā)部應(yīng)積極識別持續(xù)改進(jìn)的機(jī)會并運(yùn)用《服務(wù)改進(jìn)管理規(guī)定》予以實(shí)施。持續(xù)改進(jìn)的輸入信息包括：相關(guān)部門內(nèi)部檢查的結(jié)果、日常服務(wù)過程中出現(xiàn)的問題、內(nèi)部審核和管理評審需要解決的問題、服務(wù)的績效和目標(biāo)等。參照本體系文件《服務(wù)改進(jìn)管理規(guī)定》。5.8服務(wù)總結(jié)服務(wù)管理負(fù)責(zé)人據(jù)達(dá)成的服務(wù)合同的期間，完成一個服務(wù)周期（通常一年為期限），總結(jié)客戶服務(wù)經(jīng)驗(yàn)，提出客戶服務(wù)存在的主要問題，形成客戶服務(wù)總結(jié)報告，提交到技術(shù)研發(fā)產(chǎn)品運(yùn)營開發(fā)部負(fù)責(zé)人。5.9資料歸檔客戶服務(wù)部應(yīng)該對以下資料進(jìn)行歸檔：客戶信息服務(wù)需求說明書客戶服務(wù)管理過程中產(chǎn)生的文件：服務(wù)合同服務(wù)計劃表服務(wù)級別協(xié)議服務(wù)規(guī)范服務(wù)目錄服務(wù)報告服務(wù)總結(jié)報告部門成本預(yù)算如果大型項(xiàng)目，還包括：《風(fēng)險評估報告》《可用性計劃》《持續(xù)性實(shí)施計劃》《能力計劃》6.相關(guān)文件7.相關(guān)記錄《》（非制式）

供應(yīng)商及第三方服務(wù)管理程序LS/ITSMS-CX-091目的為加強(qiáng)對供應(yīng)商服務(wù)提供商（合作商）的控制，減少安全風(fēng)險，防范公司信息資產(chǎn)損失，加強(qiáng)對第三方服務(wù)提供商（合作商）的控制，減少安全風(fēng)險，防范公司信息資產(chǎn)損失，特制定本程序。2范圍適用于組織信息技術(shù)服務(wù)管理供應(yīng)商服務(wù)管理活動,包括供應(yīng)商確定過程、供應(yīng)商的服務(wù)安全控制措施、供應(yīng)商的服務(wù)監(jiān)督和評審方法、供應(yīng)商的變更管理。適用于組織信息技術(shù)服務(wù)（ITSMS）第三方服務(wù)管理活動,包括第三方確定過程、第三方的服務(wù)安全控制措施、第三方的服務(wù)監(jiān)督和評審方法、第三方的變更管理。3職責(zé)3.1綜合部負(fù)責(zé)統(tǒng)一管理供應(yīng)商服務(wù)的控制活動，負(fù)責(zé)統(tǒng)一管理第三方服務(wù)的控制活動。負(fù)責(zé)信息處理設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件的采購和維護(hù)供應(yīng)商服務(wù)的管理。負(fù)責(zé)確定合格的供應(yīng)商服務(wù)商，負(fù)責(zé)確定合格的第三方服務(wù)商，并與供應(yīng)商服務(wù)商/第三方服務(wù)商簽訂服務(wù)合同和保密協(xié)議；負(fù)責(zé)定期對供應(yīng)商服務(wù)商/第三方服務(wù)商進(jìn)行監(jiān)督和評審；負(fù)責(zé)做好供應(yīng)商服務(wù)商/第三方服務(wù)商的變更管理。3.2研發(fā)部負(fù)責(zé)對供應(yīng)商服務(wù)商/第三方服務(wù)商的服務(wù)進(jìn)行安全控制；4相關(guān)文件《信息技術(shù)服務(wù)管理手冊》5程序5.1供應(yīng)商管理5.1.1供應(yīng)商服務(wù)的確定本組織所需的供應(yīng)商服務(wù)包括：采購的物資需要委托供應(yīng)商進(jìn)行監(jiān)造；技術(shù)開發(fā)項(xiàng)目需要分包；信息處理設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件需要供應(yīng)商進(jìn)行開發(fā)和維護(hù)；信息技術(shù)服務(wù)管理/質(zhì)量管理體系等需要委托供應(yīng)商提供服務(wù)；管理服務(wù)提供商，管理咨詢，業(yè)務(wù)咨詢，外部審核方；清潔、物業(yè)、會計以及其他外包的支持性服務(wù)提供商；其他服務(wù)提供方。在與供應(yīng)商簽署服務(wù)合同前，相關(guān)的主管部門應(yīng)明確供應(yīng)商服務(wù)的內(nèi)容和要求，評估由于供應(yīng)商服務(wù)帶來的信息技術(shù)服務(wù)風(fēng)險，并對供應(yīng)商提供服務(wù)的能力進(jìn)行評定，應(yīng)確保供應(yīng)商有充分的提供服務(wù)的能力，并且具備有效的工作計劃，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)的連貫性，必要時可以通過招投標(biāo)，確定合格的供應(yīng)商服務(wù)提供商。對重要的供應(yīng)商服務(wù)提供商，應(yīng)確定其信息技術(shù)服務(wù)管理體系管理要求和提供服務(wù)的能力要求，制定《供應(yīng)商信息技術(shù)服務(wù)管理體系核查計劃》和《供應(yīng)商信息技術(shù)服務(wù)管理體系核查表》并進(jìn)行現(xiàn)場評定。確定合格的供應(yīng)商服務(wù)提供商后，相關(guān)主管部門應(yīng)與供應(yīng)商簽署供應(yīng)商服務(wù)合同(SLA)，并在服務(wù)合同中體現(xiàn)信息技術(shù)服務(wù)風(fēng)險金。如果服務(wù)中涉及需要供應(yīng)商保密的信息，必須明確供應(yīng)商的責(zé)任，并簽訂《供應(yīng)商服務(wù)保密協(xié)議》。如果供應(yīng)商服務(wù)涉及組織的知識產(chǎn)權(quán)，應(yīng)明確供應(yīng)商的知識產(chǎn)權(quán)保護(hù)責(zé)任，與供應(yīng)商簽署《知識產(chǎn)權(quán)聲明書》。5.1.2對供應(yīng)商服務(wù)的安全控制供應(yīng)商需要提供服務(wù)人員的姓名、技術(shù)能力評定、聯(lián)系方式等信息，服務(wù)人員需持有效身份證明進(jìn)入工作場所。服務(wù)人員進(jìn)入組織區(qū)域提供服務(wù)的，應(yīng)按照《相關(guān)方信息技術(shù)服務(wù)管理體系管理程序》中有關(guān)臨時人員的管理方法進(jìn)行控制。供應(yīng)商服務(wù)人員在現(xiàn)場提供服務(wù)的，應(yīng)遵守現(xiàn)場有關(guān)規(guī)定。供應(yīng)商服務(wù)人員在遠(yuǎn)程提供服務(wù)時，必須明確時間、地點(diǎn)、聯(lián)系人、工作安排、預(yù)期結(jié)果、觀察期等。對供應(yīng)商技術(shù)人員在服務(wù)中需要設(shè)備入網(wǎng)時，供應(yīng)商技術(shù)人員應(yīng)填寫《供應(yīng)商邏輯訪問申請授權(quán)表》，經(jīng)相關(guān)主管部門審核、公司主管領(lǐng)導(dǎo)批準(zhǔn)后，方可入網(wǎng)。供應(yīng)商技術(shù)人員對系統(tǒng)進(jìn)行檢查和維護(hù)時，需要有組織的專業(yè)人員陪同，應(yīng)按照《安全區(qū)域管理程序》和《信息系統(tǒng)訪問與使用監(jiān)控管理程序》進(jìn)行控制，并需要填寫《供應(yīng)商工作記錄單》，或在檢查和維護(hù)記錄、外來人員工作記錄中填寫供應(yīng)商服務(wù)情況。5.1.3對供應(yīng)商服務(wù)的監(jiān)督和評審5.1.3.1 確定供應(yīng)商質(zhì)量評審指標(biāo)在與供應(yīng)商簽訂合同時，明確供應(yīng)商的評審指標(biāo)確定，一般包括：產(chǎn)品質(zhì)量及時性、規(guī)范性、效率、服務(wù)驗(yàn)收交付物。5.1.3.2 發(fā)放調(diào)查表由綜合部制定《供應(yīng)商服務(wù)質(zhì)量評審調(diào)查表》，并發(fā)放調(diào)查表到享用供應(yīng)商提供服務(wù)的各相關(guān)部門。5.1.3.3 收集服務(wù)記錄、數(shù)據(jù)分析綜合部根據(jù)各部門反饋的《供應(yīng)商服務(wù)質(zhì)量評審調(diào)查表》，進(jìn)行優(yōu)劣分析。5.1.3.4 到貨驗(yàn)收采購貨品到貨后，綜合部、研發(fā)部組織人員對貨品進(jìn)行驗(yàn)收，以保證貨品的合格率，驗(yàn)收合格率會作為對供應(yīng)商的考核指標(biāo)。5.1.3.5 服務(wù)評審相關(guān)部門根據(jù)前期數(shù)據(jù)分析結(jié)果，進(jìn)行服務(wù)評審；供應(yīng)商提供服務(wù)不合格者，要求其限期進(jìn)行整改；并在整改過程中進(jìn)行時時跟蹤與監(jiān)督。5.1.3.6 列入合格供方清單綜合部根據(jù)服務(wù)評審結(jié)果，將首次評審合格者與后期整改后合格的供應(yīng)商企業(yè)，列入《合格供方清單》。5.1.4供應(yīng)商服務(wù)的變更管理當(dāng)供應(yīng)商發(fā)生變更時，相關(guān)主管部門應(yīng)對供應(yīng)商的服務(wù)和服務(wù)的現(xiàn)有狀態(tài)進(jìn)行評估，并編寫《供應(yīng)商變更報告》。對于變更過的供應(yīng)商仍需要按照本程序的5.1.1至5.1.3條款進(jìn)行控制和管理。當(dāng)服務(wù)內(nèi)容發(fā)生變更時，相關(guān)主管部門應(yīng)對供應(yīng)商的服務(wù)和服務(wù)的現(xiàn)有狀態(tài)進(jìn)行評估，還要對服務(wù)內(nèi)容變更后對現(xiàn)有信息系統(tǒng)影響進(jìn)行評估，確保信息系統(tǒng)的安全性，并編寫《供應(yīng)商變更報告》。對于變更過的供應(yīng)商服務(wù)內(nèi)容仍需要按照本程序的5.1至5.3條款進(jìn)行控制和管理。5.2第三方服務(wù)管理5.2.1第三方服務(wù)的確定本組織所需的第三方服務(wù)包括：采購的物資需要委托第三方進(jìn)行監(jiān)造；技術(shù)開發(fā)項(xiàng)目需要分包；信息處理設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件需要第三方進(jìn)行開發(fā)和維護(hù)；信息技術(shù)服務(wù)管理/質(zhì)量管理體系等需要委托第三方提供服務(wù)；管理服務(wù)提供商，管理咨詢，業(yè)務(wù)咨詢，外部審核方；清潔、物業(yè)、會計以及其他外包的支持性服務(wù)提供商；其他服務(wù)提供方。在與第三方簽署服務(wù)合同前，相關(guān)的主管部門應(yīng)明確第三方服務(wù)的內(nèi)容和要求，評估由于第三方服務(wù)帶來的信息技術(shù)服務(wù)風(fēng)險，并對第三方提供服務(wù)的能力進(jìn)行評定，應(yīng)確保第三方有充分的提供服務(wù)的能力，并且具備有效的工作計劃，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)的連貫性，必要時可以通過招投標(biāo)，確定合格的第三方服務(wù)提供商。對重要的第三方服務(wù)提供商，應(yīng)確定其信息技術(shù)服務(wù)管理/質(zhì)量管理體系管理要求和提供服務(wù)的能力要求，制定《第三方信息技術(shù)服務(wù)管理體系核查表》并進(jìn)行現(xiàn)場評定。確定合格的第三方服務(wù)提供商后，相關(guān)主管部門應(yīng)與第三方簽署第三方服務(wù)合同(SLA)，并在服務(wù)合同中體現(xiàn)信息技術(shù)服務(wù)風(fēng)險金。如果服務(wù)中涉及需要第三方保密的信息，必須明確第三方的責(zé)任，并簽訂《第三方服務(wù)保密協(xié)議》。如果第三方服務(wù)涉及組織的知識產(chǎn)權(quán)，應(yīng)明確第三方的知識產(chǎn)權(quán)保護(hù)責(zé)任，與第三方簽署《知識產(chǎn)權(quán)聲明書》。5.2.2對第三方服務(wù)的安全控制第三方需要提供服務(wù)人員的姓名、技術(shù)能力評定、聯(lián)系方式等信息，服務(wù)人員需持有效身份證明進(jìn)入工作場所。第三方服務(wù)人員進(jìn)入組織區(qū)域提供服務(wù)的，應(yīng)按照《相關(guān)方信息技術(shù)服務(wù)管理體系管理程序》中有關(guān)臨時人員的管理方法進(jìn)行控制。第三方服務(wù)人員在現(xiàn)場提供服務(wù)的，應(yīng)遵守現(xiàn)場有關(guān)規(guī)定。第三方服務(wù)人員在遠(yuǎn)程提供服務(wù)時，必須明確時間、地點(diǎn)、聯(lián)系人、工作安排、預(yù)期結(jié)果、觀察期等。對第三方技術(shù)人員在服務(wù)中需要設(shè)備入網(wǎng)時，第三方技術(shù)人員應(yīng)填寫《第三方邏輯訪問申請授權(quán)表》，經(jīng)相關(guān)主管部門審核、公司主管領(lǐng)導(dǎo)批準(zhǔn)后，方可入網(wǎng)。第三方技術(shù)人員對系統(tǒng)進(jìn)行檢查和維護(hù)時，需要有組織的專業(yè)人員陪同，應(yīng)按照《安全區(qū)域管理程序》和《信息系統(tǒng)訪問與使用監(jiān)控管理程序》進(jìn)行控制，并需要填寫《第三方工作記錄單》，或在檢查和維護(hù)記錄、外來人員工作記錄中填寫第三方服務(wù)情況。5.2.3對第三方服務(wù)的監(jiān)督和評審相關(guān)主管部門應(yīng)按照《相關(guān)方信息技術(shù)服務(wù)管理程序》中相關(guān)方的監(jiān)督管理的要求對第三方服務(wù)進(jìn)行監(jiān)督檢查，對服務(wù)內(nèi)容和質(zhì)量進(jìn)行記錄和評審。第三方服務(wù)結(jié)束后，第三方應(yīng)提交《第三方服務(wù)報告》，相關(guān)主管部門應(yīng)對第三方服務(wù)情況和《第三方服務(wù)報告》進(jìn)行評審。在第三方服務(wù)合同規(guī)定的保密期限內(nèi)，相關(guān)主管部門應(yīng)保存第三方服務(wù)期間的所有資料，尤其是第三方訪問、處理和管理敏感信息、關(guān)鍵信息、信息處理設(shè)施的監(jiān)控和技術(shù)分析等方面的資料。5.2.4第三方服務(wù)的變更管理當(dāng)?shù)谌桨l(fā)生變更時，相關(guān)主管部門應(yīng)對第三方的服務(wù)和服務(wù)的現(xiàn)有狀態(tài)進(jìn)行評估，并編寫《第三方變更報告》。對于變更過的第三方仍需要按照本程序的5.1至5.3條款進(jìn)行控制和管理。當(dāng)服務(wù)內(nèi)容發(fā)生變更時，相關(guān)主管部門應(yīng)對第三方的服務(wù)和服務(wù)的現(xiàn)有狀態(tài)進(jìn)行評估，還要對服務(wù)內(nèi)容變更后對現(xiàn)有信息系統(tǒng)影響進(jìn)行評估，確保信息系統(tǒng)的安全性，并編寫《第三方變更報告》。對于變更過的第三方服務(wù)內(nèi)容仍需要按照本程序的5.1至5.3條款進(jìn)行控制和管理。6記錄《供應(yīng)商/第三方信息技術(shù)服務(wù)管理體系核查表》《供應(yīng)商/第三方服務(wù)合同》《供應(yīng)商/第三方服務(wù)保密協(xié)議》《知識產(chǎn)權(quán)聲明書》《供應(yīng)商/第三方邏輯訪問申請授權(quán)表》《供應(yīng)商/第三方工作記錄單》《供應(yīng)商/第三方服務(wù)報告》《供應(yīng)商/第三方變更報告》

信息安全管理程序LS/ITSMS-CX-101、目的在所有服務(wù)活動中有效管理信息安全；滿足服務(wù)級別協(xié)議中的安全性需求以及合同、法律和外部政策等外部要求；提供一個獨(dú)立于外部需求的基本的信息系統(tǒng)安全基線；確保有效的信息安全措施在戰(zhàn)略層、戰(zhàn)術(shù)層、運(yùn)營層三個層面都得到貫徹。2范圍本流程適用于IT服務(wù)管理體系所覆蓋的所有部門。3定義信息安全管理的目標(biāo)是要保護(hù)信息的價值，這種價值取決于機(jī)密性、完整性和可用性三個方面。機(jī)密性指保護(hù)信息免受未經(jīng)授權(quán)的訪問和使用；完整性指信息的準(zhǔn)確性、完全性和及時性；可用性是信息在任何約定的時間內(nèi)都可以被訪問。這取決于由信息處理系統(tǒng)所提供的持續(xù)性。4職責(zé)4.1信息安全推進(jìn)小組負(fù)責(zé)整個安全管理流程的有效運(yùn)作；定義并維護(hù)信息安全管理相關(guān)的文件及所需要的記錄模板；管理信息安全管理的實(shí)施；確保信息安全管理目標(biāo)的實(shí)現(xiàn)；識別信息安全管理過程中存在的問題并提出改進(jìn)措施；定期向IT服務(wù)管理小組匯報實(shí)施過程中存在的問題；定期組織進(jìn)行漏洞掃描，并根據(jù)漏洞掃描的結(jié)果提出并落實(shí)改進(jìn)措施。5流程圖6程序內(nèi)容6.1信息安全方針信息安全、人人有責(zé)、防范風(fēng)險、警鐘長鳴信息資產(chǎn)是是公司的重要資產(chǎn)，在日常工作中，要對信息資產(chǎn)進(jìn)行重點(diǎn)保護(hù)其保密性、完整性和可用性，并不斷完善安全管理措施，降低風(fēng)險，確保安全，提高用戶的信任度。公司全體員工上下齊心協(xié)力，共同參與，使信息安全覆蓋到每一個經(jīng)營環(huán)節(jié)和業(yè)務(wù)服務(wù)，最終實(shí)現(xiàn)讓企業(yè)信息安全得到保障，讓用戶資料得到保障。6.2需求識別和分析根據(jù)服務(wù)級別協(xié)議中簽訂的關(guān)于安全的詳細(xì)說明和IT服務(wù)部門內(nèi)在需求，確定安全需求并進(jìn)行分析。服務(wù)級別協(xié)議中應(yīng)該定義安全需求，在可能的情況下還應(yīng)該以可測度的術(shù)語進(jìn)行定義。該協(xié)議的安全部分應(yīng)當(dāng)確?？蛻羲械陌踩枨蠛蜆?biāo)準(zhǔn)能夠?qū)崿F(xiàn)，并且實(shí)現(xiàn)的結(jié)果能夠進(jìn)行明確的驗(yàn)證。需求識別包括人員安全的需求、數(shù)據(jù)安全的需求，機(jī)房、設(shè)備等的安全需求。6.3確定安全實(shí)施范圍根據(jù)安全需求確定安全實(shí)施范圍。安全實(shí)施范圍包括列為相應(yīng)安全等級的數(shù)據(jù)、人員、機(jī)房設(shè)備等。6.4信息安全風(fēng)險評估服務(wù)管理人員根據(jù)確定的安全實(shí)施范圍進(jìn)行風(fēng)險分析與評估工作，并提交風(fēng)險分析與評估報告。風(fēng)險評估包括識別安全實(shí)施范圍內(nèi)的資產(chǎn)狀況、資產(chǎn)面臨的威脅，現(xiàn)在使用的技術(shù)方法和管理規(guī)范，并進(jìn)行總體分析得出風(fēng)險的等級，編制《信息安全風(fēng)險評估報告》。6.5設(shè)計安全規(guī)范根據(jù)服務(wù)級別協(xié)議（SLA）的要求，結(jié)合已經(jīng)實(shí)施的ISO27001信息安全策略。對信息安全的要求進(jìn)行討論，制訂公司《信息安全管理手冊》，經(jīng)管理者代表批準(zhǔn)后發(fā)放相關(guān)部門。其中應(yīng)包括：信息安全活動的總方向及總則框架。信息安全管理的范圍、目標(biāo)、策略和要求。安全的職能和職責(zé)。風(fēng)險評價標(biāo)準(zhǔn)。根據(jù)風(fēng)險評估結(jié)果制定相關(guān)安全管理制度。6.6實(shí)施安全規(guī)范在設(shè)計好安全規(guī)范后，日常需按照安全規(guī)范來實(shí)施安全管理。在人員安全方面的實(shí)施：責(zé)任劃分的實(shí)施，以及崗位分離的實(shí)施；書面的操作指示，內(nèi)部規(guī)章；安全問題涉及整個生命周期，應(yīng)針對系統(tǒng)開發(fā)、測試、驗(yàn)收、運(yùn)營、維護(hù)和終止制定安全指南；將開發(fā)和測試環(huán)境與實(shí)際的運(yùn)營環(huán)境分離開來；處理事件的程序（由事件管理負(fù)責(zé)處理）；恢復(fù)設(shè)施的實(shí)施；為變更管理提供信息輸入，病毒防護(hù)措施的實(shí)施；針對計算機(jī)、操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的安全管理措施的實(shí)施；數(shù)據(jù)媒介的處理和安全。6.7監(jiān)控安全狀況對安全規(guī)范實(shí)施進(jìn)行監(jiān)控，在服務(wù)月報中體現(xiàn)。對發(fā)生的信息安全事件按照《信息安全事件控制程序》執(zhí)行。6.8維護(hù)安全規(guī)范服務(wù)管理人員根據(jù)系統(tǒng)運(yùn)行及客戶服務(wù)的風(fēng)險變化，必要時對《信息安全管理手冊》進(jìn)行修改。由于基礎(chǔ)架構(gòu)、組織和業(yè)務(wù)流程方面的變化導(dǎo)致相關(guān)的風(fēng)險也隨著發(fā)生變化，因此安全也需要進(jìn)行維護(hù)。安全維護(hù)包括服務(wù)級別協(xié)議中安全部分的維護(hù)以及詳細(xì)的安全規(guī)范的維護(hù)。維護(hù)需要根據(jù)評估子系統(tǒng)流程的結(jié)果以及對風(fēng)險變化的評估結(jié)果進(jìn)行。這些建議既可以直接被計劃子流程所采納，也可以納入總體的服務(wù)級別協(xié)議的維護(hù)中。安全規(guī)范更新通過變更管理實(shí)施,參照《變更管理規(guī)定》。如果遇到重大變更影響涉及到信息安全，需要加以信息安全評審。6.9信息安全報告對信息安全管理的實(shí)施狀況及日常發(fā)生的安全事件等需編寫安全報告，輸出為服務(wù)報告流程。報告可以提供有關(guān)已實(shí)現(xiàn)安全績效方面的信息，并可以讓客戶了解有關(guān)的安全問題。這些報告通常是在與客戶簽訂的協(xié)議中所要求的。不論對于客戶還是服務(wù)提供商來說，報告都是很重要的?？蛻舯仨氄_地了解有關(guān)努力所取得的效率以及實(shí)際被采用的安全措施。客戶還需要了解所有的安全事件。為報告服務(wù)級別協(xié)議中定義的安全事件，可通過技術(shù)支持部建立直接的溝通渠道。除了在特殊情形下的例外事項(xiàng)，報告都是通過服務(wù)級別經(jīng)理進(jìn)行傳達(dá)的。根據(jù)信息安全管理需要報告信息安全的實(shí)施情況，并提交《服務(wù)報告》中。7相關(guān)文件《信息安全事件控制程序》《變更管理規(guī)定》《服務(wù)報告管理規(guī)定》《信息安全策略》8記錄信息安全風(fēng)險評估計劃信息安全風(fēng)險評估表信息安全風(fēng)險評估報告業(yè)務(wù)連續(xù)性影響分析報告資產(chǎn)識別清單重要信息資產(chǎn)識別清單符合性控制程序LS/ITSMS-CX-111目的為確保組織信息安全活動符合信息安全管理法律法規(guī)的要求，確保所應(yīng)用的信息安全管理法律法規(guī)和其他要求的適用性，特制定本程序。2范圍本程序適用于組織信息安全管理所涉及的相關(guān)法律、法規(guī)和其他要求的控制管理。3職責(zé)3.1研發(fā)部負(fù)責(zé)收集法律法規(guī)和其他要求，組織相關(guān)部門對法律法規(guī)和其他要求的適宜性和合規(guī)性進(jìn)行評審。3.2各部門負(fù)責(zé)對本部門的信息安全相關(guān)法律法規(guī)及其他要求的適宜性的識別、評審、更新，并負(fù)責(zé)將信息安全相關(guān)的法律法規(guī)及其他要求文件傳達(dá)給員工遵照執(zhí)行。4引用文件《信息技術(shù)服務(wù)手冊》、《文件控制程序》5程序5.1法律、法規(guī)和其他要求的分類a)國際性信息安全管理法律、法規(guī)和其他要求；b)國家信息安全管理法律法規(guī)及標(biāo)準(zhǔn)規(guī)范；c)地方和行業(yè)性信息安全管理規(guī)章及標(biāo)準(zhǔn)規(guī)范；d)客戶與相關(guān)方的信息安全要求。5.2法律、法規(guī)和其他要求的獲取、識別研發(fā)部從政府主管部門或相關(guān)權(quán)威部門獲取相關(guān)的國家及地方最新信息安全法律法規(guī)及其他要求，并通過政府機(jī)構(gòu)、行業(yè)協(xié)會、出版機(jī)構(gòu)、圖書館、報刊雜志、書店、相關(guān)方等渠道進(jìn)行補(bǔ)充。客戶與相關(guān)方信息安全要求，由相關(guān)專業(yè)部門依據(jù)專業(yè)工作情況由信息員負(fù)責(zé)采集并報研發(fā)部統(tǒng)一管理。研發(fā)部組織各部門對收集的法律法規(guī)和其他要求逐一進(jìn)行識別，確定出適合組織的法律法規(guī)及其他要求，編制《法律法規(guī)清單》，識別工作一般一年不少于一次。5.3法律、法規(guī)和其他要求的文本管理研發(fā)部獲取信息安全管理法律、法規(guī)和其他要求文本后，應(yīng)補(bǔ)充到《法律法規(guī)清單》中。相關(guān)部門獲取信息安全管理法律、法規(guī)和其他要求文本后，應(yīng)及時將獲取的信息安全管理法律、法規(guī)和其他要求文本或信息向研發(fā)部進(jìn)行反饋，由研發(fā)部補(bǔ)充到《法律法規(guī)清單》。研發(fā)部負(fù)責(zé)取得法律法規(guī)文本，獲得途徑可直接從網(wǎng)絡(luò)下載，并保存為電子檔。研發(fā)部獲取的信息安全法律法規(guī)和其他要求的文本或信息應(yīng)負(fù)責(zé)匯總并向有關(guān)部門進(jìn)行傳遞。5.4法律、法規(guī)和其他要求的符合性評估組織范圍內(nèi)的適用的信息安全管理法律、法規(guī)和其他要求，由研發(fā)部負(fù)責(zé)識別其適用的條款，形成《法律法規(guī)清單》，并進(jìn)行合規(guī)性評審。對適用的法律、法規(guī)和其他要求，研發(fā)部負(fù)責(zé)制定為滿足這些要求的控制措施和職責(zé)，將相關(guān)內(nèi)容填入《法律法規(guī)清單》。5.5法律、法規(guī)和其他要求的更新管理研發(fā)部定期與政府相關(guān)部門溝通，向提供法律法規(guī)更新的專業(yè)機(jī)構(gòu)索取最新信息，并通過政府機(jī)構(gòu)、行業(yè)協(xié)會、出版機(jī)構(gòu)、報刊雜志、中國安全網(wǎng)、會議等渠道補(bǔ)充，以保持對法律法規(guī)及其他要求的及時跟蹤，獲取最新法律法規(guī)和其他要求文件。當(dāng)法律、法規(guī)和其他要求更新或增加時，研發(fā)部應(yīng)及時進(jìn)行識別、并修正和補(bǔ)充《法律法規(guī)清單》，及時下載最新版本。對過期或作廢的法律法規(guī)和其他要求文件，研發(fā)部應(yīng)及時收回，并按《文件控制程序》的要求進(jìn)行管理。組織至少每年組織一次對《法律法規(guī)清單》及其他要求履行情況的合規(guī)性評審，形成最新的《法律法規(guī)清單》，必要時更新實(shí)施控制措施。5.6濫用信息設(shè)施的處罰組織員工未經(jīng)授權(quán)不得使用非公開的信息設(shè)施，或利用組織信息設(shè)施進(jìn)行與法律相悖的行為。一經(jīng)發(fā)現(xiàn)，組織有權(quán)對該員工提出不同程度的處罰措施。包括解除勞動合約，當(dāng)發(fā)現(xiàn)員工行為已經(jīng)觸犯法律時，組織有權(quán)對該員工保留法律訴訟的權(quán)利。6相關(guān)記錄《法律法規(guī)清單》信息安全風(fēng)險評估管理程序LS/ITSMS-CX-121適用本程序適用于本公司信息安全管理體系（ISMS）范圍內(nèi)信息安全風(fēng)險評估活動。2目的本程序規(guī)定了本公司所采用的信息安全風(fēng)險評估方法。通過識別信息資產(chǎn)、風(fēng)險等級評估，認(rèn)知本公司的信息安全風(fēng)險，在考慮控制成本與風(fēng)險平衡的前提下選擇合適控制目標(biāo)和控制方式將信息安全風(fēng)險控制在可接受的水平，保持本公司業(yè)務(wù)持續(xù)性發(fā)展，以滿足本公司信息安全管理方針的要求。3范圍本程序適用于第一次完整的風(fēng)險評估和定期的再評估。在識別資產(chǎn)時，本著盡量細(xì)化的原則進(jìn)行，但在評估時我司又會把資產(chǎn)按照系統(tǒng)進(jìn)行規(guī)劃。識別與評估的重點(diǎn)是涉及公司大數(shù)據(jù)計算機(jī)軟件的設(shè)計開發(fā)方面的信息資產(chǎn)。4職責(zé)4.1風(fēng)險評估職責(zé)信息安全小組負(fù)責(zé)領(lǐng)導(dǎo)風(fēng)險評估與風(fēng)險處理工作，小組成員負(fù)責(zé)具體工作。4.2策劃與實(shí)施信息技術(shù)服務(wù)小組每年至少一次，或當(dāng)體系、組織、業(yè)務(wù)、技術(shù)、環(huán)境等影響企業(yè)的重大事項(xiàng)發(fā)生變更、重大事故事件發(fā)生后，負(fù)責(zé)編制信息安全風(fēng)險評估計劃，確認(rèn)評估結(jié)果，形成《風(fēng)險評估報告》。4.3信息資產(chǎn)識別與風(fēng)險評估活動各部門負(fù)責(zé)本部門使用或管理的信息資產(chǎn)的識別，并負(fù)責(zé)本部門所涉及的信息資產(chǎn)的具體安全控制工作。4.3.1各部門負(fù)責(zé)人負(fù)責(zé)本部門的信息資產(chǎn)識別。4.3.2信息安全小組負(fù)責(zé)匯總、校對全公司的信息資產(chǎn)。4.3.3信息安全小組負(fù)責(zé)風(fēng)險評估的策劃。4.3.4信息安全小組負(fù)責(zé)進(jìn)行第一次評估與定期的再評估。5程序本公司信息資產(chǎn)的風(fēng)險評估過程分為如下9個過程，每個過程內(nèi)的詳細(xì)活動如下表序號過程活動過程內(nèi)容1信息資產(chǎn)識別，分組與登記根據(jù)資產(chǎn)分內(nèi)表，對評估范圍的資產(chǎn)進(jìn)行識別，分組和登記；信息資產(chǎn)分組一般分硬件，軟件，信息，人員，環(huán)境設(shè)施，服務(wù)和無形資產(chǎn)7種2資產(chǎn)賦值從保密性，完整性和可用性三個方面對信息資產(chǎn)進(jìn)行賦值。3風(fēng)險識別與分析識別并登記與資產(chǎn)組相關(guān)的主要威脅，弱點(diǎn)和現(xiàn)有控制措施。4風(fēng)險評價根據(jù)預(yù)先定義的賦值標(biāo)準(zhǔn)，對風(fēng)險發(fā)生可能性和風(fēng)險影響賦值并通過資產(chǎn)價值，風(fēng)險發(fā)生可能性和風(fēng)險影響計算出風(fēng)險值5確定風(fēng)險可接受標(biāo)準(zhǔn)根據(jù)風(fēng)險計算結(jié)果，確定風(fēng)險級別，確定公司可接受的風(fēng)險值，一般來說，風(fēng)險可接受標(biāo)準(zhǔn)為重，低風(fēng)險的分界線。6風(fēng)險控制措施的選擇和實(shí)施對于超過風(fēng)險可接受標(biāo)準(zhǔn)的風(fēng)險，公司選擇和實(shí)施管理或技術(shù)控制措施，以降低風(fēng)險發(fā)生的可能性或影響程度，選擇風(fēng)險控制措施要考慮預(yù)估的殘余風(fēng)險值。7控制措施有效制定或利用一定的測量方法，對采取的全部或部分控制措施進(jìn)行測量，以判斷控制措施的有效性，對無效或效果不明顯的進(jìn)行整改。8風(fēng)險評估更新根據(jù)風(fēng)險評估周期，周期性進(jìn)行風(fēng)險評估與處置。9殘余風(fēng)險處置對于風(fēng)險評估更新后，對于仍超過可受標(biāo)準(zhǔn)的風(fēng)險可以采取新的控制措施，也可以接受風(fēng)險5.1信息資產(chǎn)識別、與登記5.1.1信息資產(chǎn)識別資產(chǎn)是本公司直接賦予價值因而需要保護(hù)的有用資源，以多種形式存在。信息資產(chǎn)分為：硬件、軟件、數(shù)據(jù)、信息、服務(wù)、人員、無形資產(chǎn)七大類。對重要度4級以上的資產(chǎn)，作為重要信息資產(chǎn)進(jìn)行抽出，做出《重要信息資產(chǎn)清單》信息資產(chǎn)識別由信息安全小組統(tǒng)一組織進(jìn)行，相關(guān)人員要予以協(xié)助。5.1.2信息資產(chǎn)分組對于識別出來的信息資產(chǎn)，要根據(jù)資產(chǎn)的不同類型和價值進(jìn)行必要的組合，形成資產(chǎn)組。5.1.3信息資產(chǎn)登記識別出來的信息資產(chǎn)需要詳細(xì)登記在《信息資產(chǎn)清單》中。5.1.4資產(chǎn)和資產(chǎn)組賦值資產(chǎn)賦值信息資產(chǎn)的賦值通過信息資產(chǎn)的機(jī)密性、完整性和可用性賦值確定，信息資產(chǎn)的機(jī)密性、完整性、可用性賦值如下：等級C-機(jī)密性I-完整性A-可用性5（很高）包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本利益有著決定性影響，如果泄露會造成災(zāi)難性的損害。完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)，可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上。4（高）包含組織重要秘密、其泄密會使組織的安全和利益遭受嚴(yán)重的損害。完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響對業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到每桶90%以上。3（中）包含組織的一般性秘密，其泄密會使組織的安全和利益受到損害。完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)?？捎眯詢r值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到70%以上。2（低）包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對組織的利益造成損