ISMS手册-信息安全管理体系手册(3)

3．6服务管理职能说明

3．6．1为保证IT服务管理体系的顺利实施，以及实施后得到持续的管理和维护，在现有的组织架构外

建立服务管理职能关系架构。IT服务管理职能关系架构，并不替代现有的按技术类别进行的分工，现有的按技术类别进的分工，在将来的IT服务管理体系中仍将发挥其作用。服务部根据IT服务管理程序要求对所有服务合同按照项目进行管理与运行，由项目经理按照服务管理职能关系架构中的要求对项目执行管理。一个完整的服务项目必须包含服务台、事件管理、业务关系管理、信息安全管理、供应商管理和IT财务管理。对于上图虚线框内的的问题管理、发布管理、配置管理、变更管理、可用性和连续性管理、容量管理、服务级别管理以及服务报告可由服务部经理依照与用户签署的服务合同进行选择裁剪。

3．6．2 角色分配说明

3．6．2．1针对服务部当前组织架构及人员状况，将不再为每一具体流程分配流程经理。为此将13个

流程，按其必要程度分成必选流程和可裁剪流程两大模块。由项目经理负责相应流程的实施、管理和控制。对项目组成员主要是组织、协调、安排相应工作任务的完成，可能并不是由自己去完成。

3．6．2．1．1 项目经理 职责说明：

1）、负责IT服务项目的立项工作，按照服务合同要求负责相应流程的实施、管理和控制。组织、协调、安排项目组成员完成相应工作任务。

2）、负责从服务台接受事件报告开始，分配相应的职能小组进行事件处理，直至找到问题的根本原因的

整个过程的管理和协调。

3）、负责各系统的配置管理、变更和发布控制。

4）、负责系统的可用性规划和管理、负责安排系统连续性的计划和演练，并负责系统容量的规划和监控。 5）、主要负责与用户的沟通，对供应商的管理，以及项目的预/决算的管理。 3．6．2．1．2能力要求：

熟悉服务部的各种服务管理流程，具有较强的内部协调能力。

由管理者代表授权技术服务事业部总监，按ISO/IEC 20000的要求，负责协调和组织所有与IT服务有

关的活动，通过管理和实施各项活动，使IT服务业务的质量得到有效的保持和维护。

技术服务事业部组织制订、批准和发布公司IT服务策略、服务目标，并使其成为公司关注的焦点，成

为公司协调、统一、凝聚公司的所有活动和资源的准则，成为建立、实施、保持并改进IT服务管理体系的宗旨。

3．6．3公司 IT服务策略：

客户至上、全员参与、创新高效、系统管理、追求卓越 公司 IT服务目标：

公司通过服务质量改进程序确定年度服务质量目标

公司的IT服务目标按ISO/IEC 20000的要求，与公司的业务相结合，并通过流程绩效不断提高和改进。 技术服务事业部负责组织相关部门，通过会议、评审、书面报告、培训等方式，及时有效沟通工作，

达到IT服务管理目标和持续改进的需求，并在公司中积极贯彻实施IT服务管理的重要性。

技术服务事业部负责组织相关部门按照PDCA的要求，通过对所属业务的规划，适时优化和提供资源以

计划、实施、监控、评审和改进IT服务的交付和管理。

管理者代表按照《服务质量改进管理程序》中的计划间隔，由技术服务事业部负责组织相关部门实施IT

服务管理体系的内部审核，确保IT服务管体系的有效性与符合性。

管理者代表按照《服务质量改进管理程序》中的计划间隔，组织相关部门执行IT服务管理体系的管理评

审，确保IT服务管理体系持续的稳定、充分和有效。

3．6．4文件要求

3．6．4．1公司的文件管理体系分为A、B、C、D四层，即A层为管理手册、B层为程序文件、C层为

工作流程或规定、D层为记录。

3．6．4．2管理手册 — 描述IT服务管理体系的文件，是全体员工必须长期遵循的法规性文件。 3．6．4．3程序文件 — 覆盖公司主要业务过程的流程文件，是管理手册的支撑性文件。

3．6．4．4工作流程或规定— 是开展具体业务工作的规范类、指导性文件，是程序文件的支持性文件。 3．6．4．5记录 — 在开展具体业务工作过程中产生的记录类文件，主要是为具体工作结果提供各种可

追溯性证据。

3．6．4．6技术服务事业部负责组织制订《文件和记录管理程序》，明确文件的拟制、批准、发放、变更、

存档等管理要求，并监控实施。

3．6．4．7技术服务事业部负责组织相关部门，根据公司的业务特点及标准的要求，制订相关的程序文

件，经公司管理者代表批准后实施。

3．6．4．8技术服务事业部负责组织拟制与本部门业务相关的各类C层文件，并按《文件和记录管理程

序》的要求对文件和记录的有效性进行管理。

4信息安全管 4.1总要求

4.1.1 公司根据整体业务活动（软件开发、经营、服务和日常管理活动）和所面临的风险，按ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系-要求》规定，参照ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实用规则》标准，建立、实施、运作、监控、维护并改进文件化的信息安全管理体系。 4.1.2本手册使用的过程基于PDCA模式。

相关文件：

《信息安全方针及目标》

4.2建立和管理信息安全管理体系（ISMS） 4.2.1建立ISMS

4.2.1.1 信息安全管理体系的范围和边界

本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界，本公司信息安全管理体系的范围包括：

a) 本公司涉及软件开发、营销、服务和日常管理的业务系统； b) 与所述信息系统有关的活动；

c) 与所述信息系统有关的部门和所有员工；

d) 所述活动、系统及支持性系统包含的全部信息资产。 组织范围：

本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围，见本手册JIN/QM—3.2《公司信息安全管理体系组织架构》。

物理范围：

本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。

本公司ISMS的物理范围为本公司位于xxxxxxxxxxxxxxx的办公场所，安全边界详见附录A（规范性附录）《办公场所平面图》。 4.2.1.2 信息安全管理体系的方针

为了满足适用法律法规及相关方要求，维持软件开发和经营的正常进行，实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针，见本信息安全管理手册第0.3条款。

该信息安全方针符合以下要求：

a) 为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则； b) 考虑业务及法律或法规的要求，及合同的安全义务；

c) 与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系； d) 建立了风险评价的准则； e) 经最高管理者批准。

为实现信息安全管理体系方针，本公司承诺：

a) 在各层次建立完整的信息安全管理组织机构，确定信息安全目标和控制措施；明确信息安全的管理职责，见本信息安全管理手册第3.4条款。；

b) 识别并满足适用法律、法规和相关方信息安全要求；

c) 定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体系的持续有效性；

d）采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享； e) 对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力； f) 制定并保持完善的业务连续性计划，实现可持续发展。 4.2.1.3 风险评估的方法

生技部负责制定《信息安全风险管理程序》，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。信息安全风险评估采用信息安全风险管理软件

（Info-riskmanager）进行，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。 4.2.1.4 识别风险

在已确定的信息安全管理体系范围内，本公司按《信息安全风险管理程序》，采用Info-riskmanager风险管理软件，对所有的资产进行了识别，并识别了这些资产的所有者。资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值，根据重要资产判断依据确定是否为重要资产，形成了《重要资产清单》。

同时，根据《信息安全风险管理程序》，识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。 4.2.1.5 分析和评价风险

本公司按《信息安全风险管理程序》，采用信息安全风险管理软件，分析和评价风险：

a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值；

b) 针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全失效发生的可能性，并进行赋值；

c) 根据《信息安全风险管理程序》计算风险等级；

d) 根据《信息安全风险管理程序》及风险接受准则，判断风险为可接受或需要处理。 4.2.1.6 识别和评价风险处理的选择

网络管理部组织有关部门根据风险评估的结果，形成《风险处理计划》，该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。

对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施： a) 控制风险，采用适当的内部控制措施； b) 接受风险（不可能将所有风险降低为零）； c) 避免风险（如物理隔离）；

d) 转移风险（如将风险转移给保险者、供方、分包商）。 4.2.1.7选择控制目标与控制措施

网络管理部根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定了信息安全目标，并将目标分解到有关部门（见《信息安全适用性声明》）：

a)信息安全控制目标获得了信息安全最高责任者的批准。

b)控制目标及控制措施的选择原则来源于ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系-要求》附录A，具体控制措施参考ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实用规则》。

c)本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。 4.2.1.8 对风险处理后的剩余风险，得到了公司最高管理者的批准。

4.2.1.9 最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。 4.2.1.10 适用性声明

生技部负责编制《信息安全适用性声明》（SoA）。该声明包括以下方面的内容： a)所选择控制目标与控制措施的概要描述，以及选择的原因；

b)对ISO/IEC 27001:2005附录A中未选用的控制目标及控制措施理由的说明。

4.2.2实施和运行ISMS

4.2.2.1为确保信息安全管理体系有效实施，对已识别的风险进行有效处理，本公司开展以下活动：

a)形成《风险处理计划》，以确定适当的管理措施、职责及安全控制措施的优先级； b)为实现已确定的安全目标、实施《风险处理计划》，明确各岗位的信息安全职责； c)实施所选择的控制措施，以实现控制目标的要求；

d)确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果；

e)进行信息安全培训，提高全员信息安全意识和能力； f)对信息安全体系的运作进行管理； g)对信息安全所需资源进行管理；

h)实施控制程序，对信息安全事件（或征兆）进行迅速反应。 4.2.2.2 信息安全组织机构

本公司成立了的信息安全领导机构-信息安全委员会，其职责是实现信息安全管理体系方针和本公司承诺。具体职责是：研究决定贯标工作涉及到的重大事项；审定公司信息安全方针、目标、工作计划和重要文件；为贯标工作的有序推进和信息安全管理体系的有效运行提供必要的资源。

本公司由相关部门代表组成信息安全管理网络，采用联席会议（协调会）的方式，进行信息安全协调和协作，以：

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库ISMS手册-信息安全管理体系手册(3)在线全文阅读。