ISMS手册-信息安全管理体系手册(5)

7 ISMS管理评审

7.1总则

管理者应按策划的时间间隔评审公司的ISMS（至少一年一次），以确保其持续的适宜性、充分性和有效性。评审应包括评价ISMS改进的机会和变更的需要，包括安全方针和安全目标的适宜性。评审结果应清楚地写入文件应保持记录。 7.2管理评审输入

管理评审的输入应包括以下方面的信息：

a) ISMS审核（包括内审和外审）和管理评审的结果； b) 相关方（客户、供应商、内部员工等）的反馈；

c) 公司用于改进ISMS业绩和有效性的技术、产品或程序的发展及变化； d) 预防和纠正措施的实施情况；

e) 上次风险评估未充分指出的弱点或威胁； f) 体系有效性测量的结果；

g) 上次管理评审所采取措施的跟踪验证；

h) 影响ISMS的变更，如信息安全组织架构变化等； i) 改进的建议。 7.3管理评审输出

管理评审的输出应包括与以下方面有关的任何决定和措施 a) ISMS有效性的改进

b) 风险评估和风险处理计划的更新

c) 必要时修订影响信息安全的程序和控制措施，以反映可能影响ISMS的内外事件，包括以下变化

1 业务需求； 2 安全需求；

3 影响已有业务需求的业务过程； 4 法律法规环境； 5 合同义务；

6 风险和/或风险接受准则。 d) 资源需求

e)针对被测量的控制措施有效性的改进

相关文件： 《管理评审程序》

8 ISMS的改进

8.1持续改进

公司应通过应用信息安全方针、安全目标、审核结果、监控事件的分析、纠正和预防措施和管理评审，持续改进ISMS的有效性。 8.2纠正措施

公司应采取措施消除ISMS实施和运行的不符合原因，以防止其再发生。纠正措施文件程序应规定以下方面的要求。

a) 识别ISMS实施和运行的不符合项； b) 确定不符合的原因；

c) 评价确保不符合不再发生所需的措施； d) 决定和实施所需的纠正措施； e) 记录所采取措施的结果； f) 评审所采取的纠正措施。 8.3预防措施

公司应决定措施以防范未来的不符合，防止发生采取的预防措施应与潜在问题的影响相匹配，预防措施文件程序应规定以下方面的要求。

a) 确定潜在不符合及其原因；

b) 评价预防不符合发生所需的措施；

c) 决定实施所需的预防措施； d) 记录所采取措施的结果； e) 评审所采取的预防措施。

公司应识别发生变化的风险，并通过关注变化显著的风险来识别预防措施要求。应根据风险评估结果来确定预防措施的优先级。

相关文件： 《纠正措施控制程序》 《预防措施控制程序》

IT服务管理

服务管理规划和实施

在开展IT服务管理的活动中，PDCA原理贯穿于IT服务管理体系的全部流程，其中： P（计划） — 根据客户要求和公司策略建立目标和流程。 D（实施） — 实施流程。

C（检查） — 根据策略、目标和要求对过程和服务进行监控、测量，并报告结果。 A（改进） — 采取措施以持续改进流程的性能。 计划服务管理

服务部向客户提供三大服务项目：常驻现场技术服务、定期巡检技术服务、咨询规划设计服务。甘肃万维公司为不断满足市场需求和企业自身发展需要，将在未来将原有的三大技术服务内容重新规划和设计，细化成六大服务内容：基础设施服务、运维服务、专业技术服务、IT安全服务、咨询设计评估服务、培训服务。从而实现在坚持原有行业内的服务的基础上向行业外扩展的计划。

服务部根据公司IT服务管理职能关系架构图中的所分配的职责并依据条款4-9中所规定的服务管理过程向客户提供IT服务。

相关部门根据管理评审的结果及结论，结合本部门的工作实际，由技术服务事业部组织相关部门对当前与本部门相关的IT服务工作的改进需求、以及公司业务发展策略、技术动态、政策法规要求、下一年度IT服务工作的安排进行规划，制订本部门的年度工作计划，并按公司内控制度制订对应的部门年度费用预算。 实施IT服务

技术服务事业部组织相关部门按批准后的公司年度计划，对计划周期内的工作任务、目标、绩效要求进行分解，组织各部门制订各自的年度工作计划和费用预算，并进行跟踪、检查。

相关部门年度工作计划、年度费用预算应与已批准的本部门年度工作计划、预算一致，如有变更，引起预算的变化，应上报技术服务事业部按照相关流程审批、执行。

技术服务事业部负责组织IT服务项目的立项工作，并按照项目管理规定对项目计划周期内的工作任务、目标、绩效要求进行分解，制订项目实施计划和费用预算，并进行跟踪、检查。 监视、测量和评审

服务部负责收集、汇总、整理IT服务项目的日常服务数据。 服务部经理负责组织IT服务项目，按各项目阶段性工作计划、费用预算的内容，以及IT服务管理的要求，收集与IT服务相关的信息，监控、测量和评审与本业务相关的服务规划要求、已有的SLA符合要求的程度。IT服务项目在运行中，应监控、测量和评审的内容为： 既定的IT服务目标的达成程度。 客户满意度。 资源利用。

服务实施的趋势。 严重不符合。

技术服务事业部按照《服务质量改进管理程序》的要求，组织IT服务管理体系的管理评审活动，以确保IT服务要求得到有效的实施和维护。 持续改进

服务部每年至少进行一次服务管理体系的有效性评估，评估通过内部审核的方式进行。

在评估中发现的任何不符合标准的活动都应该采取纠正措施予以改进，对于发现的潜在问题应该予以控制。

服务部在内部审核后，应进行管理评审，管理评审的内容包括：各流程的执行状况报告，存在问题及改进建议，内部审核结果，相关方的反馈以及其他可能影响体系运行的要素。

服务部按管理评审的要求，确定服务改进的测量、报告和沟通流程和内容。监控IT服务运行中出现的不符合项，组织相关部门实施、验证改进活动。任何不符合ISO/IEC 20000-1：2005标准的活动都应被纠正。 对于内部审核、管理评审或其他活动中所发现的不符合项或潜在不符合项，应按照《服务质量改进管理

程序》要求进行及时纠正。 新服务或变更服务的策划与实施 制订新服务或变更服务计划

销售部门负责与客户沟通，服务部配合，收集客户对现有SLA的满意度水平。分析、整理客户新的或变更服务的要求，及时反馈客户的改进需求。

当出现新服务或变更服务时，服务部根据《服务策划管理程序》的要求，组织实施IT服务策划和实施工作。

服务部组织对新服务或变更服务策划结果的验证、确认，验证通过后按《服务策划管理程序》实施。 服务部应报告新服务或变更服务按计划实施所达到的结果，服务部按《发布管理程序》，执行实施发布评审，比较实际结果与期望结果的一致性。 服务交付过程 服务级别管理

服务部负责与相关部门沟通，制订公司的《服务目录》。服务目录应定义所有服务，并包含服务名称、服务目标或标准、联系接口、服务提供时间和例外、安全方面的考虑和安排。

《服务目录》是公司所提供的服务内容的汇总，公司与客户签署SLA时应参考《服务目录》。 公司应该根据当前的服务能力对《服务目录》进行更新与维护。

根据公司的战略规划、资源要求及客户需求，服务部在与销售部门和其他相关部门沟通、确定SLA时，应考虑：可接受持续损失服务的最大周期、可接受降级服务的最大周期，服务恢复时，可接受降级服务级别。

销售部门代表客户，与服务部签订《服务级别协议》。应明确：服务要求和期望服务工作量特征的协议、服务目标协议、服务级别实现、工作量的测量和报告，以及服务目标不能完成的分析与说明。

《服务级别协议》包含以下内容：服务的简述、术语表、客户职责、服务部门职责和义务、服务目标、服务时间、工作量限制（最大及最小工作量），支持和相关服务、影响和优先级描述、授权细节，及授权人员联系信息、有效期或SLA变更控制机制（包含升级和通知流程）、服务中断采取的纠正措施，计划和协调中断，包括通知事件及频率、沟通的简述，包括报告、投诉程序、在SLA中规定条款的例外情况。 商务部应依据与客户签订的SLA以及《供应商管理程序》的要求，组织签署与供应商之间的支持合同（或协议）。

当出现重要业务变更时，销售部门应及时与技术服务事业部沟通，按原流程重新组织相关部门，调整、修订《服务级别协议》，并作为服务改进计划的输入。 服务报告

服务部应就向客户提交的服务报告的内容、报告周期与客户协商并达成一致。

服务部拟制内部服务报告，对计划间隔内的客户服务状况、问题趋势、服务数据、SLA目标实现等进行汇总、统计和分析，组织召开月度服务质量分析会议，形成会议纪要后发放。

服务报告主要包括的内容：执行服务级别目标的绩效，违反SLA、安全管理要求等的不符合项和结论、工作量特征，如，数量、资源利用、报告主要事件、变更、定期趋势信息、客户满意度分析。 当出现有关IT服务系统配置项的变更时，服务部应按《变更管理程序》的要求执行。 服务报告应及时、清晰、可靠和简明，便于分析、决策和有效沟通。 可用性和IT服务持续性管理

服务部应按照《可用性与IT服务持续性管理程序》的要求，拟制《可用性与IT服务持续性计划》，根据客户业务优先级、服务级别协议和评估的风险，按设计的工作量计划维护有效的服务能力，并与《服务级别协议》的目标保持一致。应考虑：

IT服务持续性计划考虑对服务和系统组成的关系。

应清晰的分配调用IT服务持续性计划的责任，并清晰的计划对每个目标采取措施的责任。

备份服务恢复所需的数据、文件、软件、任何设备和必要员工，在重大服务失败或灾难时，保持快速有效。

在远程的安全地点，所有IT服务持续性文件应存储和维护至少一份，与其他必要的设备保存在一起。

定期开展IT服务持续性计划的测试。

使员工理解调用、执行计划的角色与职责，并能访问IT服务持续性文件。

服务部每年末组织对《可用性与IT服务持续性计划》进行评审，并根据业务需求的变化及时调整计划的

内容和目标，确保从普通到重大服务失效的任何环境下都能满足与客户协商的要求。

当业务环境发生重大变化时，服务部应重新组织评审、修订《可用性与IT服务持续性计划》。并通过能

力管理和配置管理活动，评价所有服务组成的有效性，预知可能的、潜在的问题，并采取预防措施。

对《可用性与IT服务持续性计划》中内容和目标的变更，服务部应及时组织相关部门按《变更管理程序》

的要求进行评估、验证和确认，确保变更的效果及满足SLA的要求。

服务部应定期对可用性信息进行测量和记录，未计划的不可用应被调查、评估，并采取适当的纠正或预

防措施。可用性活动包括：

监控和记录服务的可用性。 服务准确的历史数据。

与SLA中定义需求相比较，以识别不符合SLA有效目标的事项。 记录不符合项，并组织评审。 考虑、评估供应商的影响。 预计未来的可用性。

IT服务的预算及财务管理

技术服务事业部应根据国家的有关法律法规和财务政策，及《IT财务管理程序》的要求，根据公司的业

务策略（包括产品策略、销售策略、服务策略等），组织拟制、审核本部门的总体性和阶段性的IT服务费用预算及成本标准。

技术服务事业部根据公司业务发展战略、公司现有的SLA要求，及本部门业务的特点，按部门工作计划

的内容，组织拟制本部门阶段性的费用预算计划，经财务部汇总、报批后实施。

在预算期间出现的服务变更引起的预算变化，相关部门应按《IT财务管理程序》的要求执行预算变更申

请。

在对《服务级别协议》进行评审时，服务部应根据公司策略，评估实现服务目标和需求的成本，并根据

确定的服务级别协议跟踪成本的变化。

服务部应在服务变更时，计算服务变更成本，并通过《变更管理程序》进行批准。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库ISMS手册-信息安全管理体系手册(5)在线全文阅读。