ISMS手册-信息安全管理体系手册(6)

服务部应根据预算编制跟踪财务变化，并对超出预算要求的变化，提前向技术服务事业部提出预警信号。 容量管理

技术服务事业部负责现有IT服务系统容量水平的规划，根据《容量管理程序》的要求，制订《容量管理

计划》，应在计划中描述业务需求，包括：

当前和预计的容量和性能需求。

针对服务升级所定义的时间表、阈值和成本。

评估预期的服务升级、变更请求、新技术和技术能力的效果。 预计外部变更的影响，如法律影响等。 对数据和流程进行预先分析。

定义监控服务容量、调整服务性能和提供充分容量的方法、程序和技术。 为达到SLA所要求的服务级别目标和业务需求所应具备的资金条件。

服务部协助收集、统计当前IT基础设施的实际性能和预期要求的运行信息，以支持服务业务的开展。 技术服务事业部应根据服务特点、服务量、服务报告和客户业务等信息，组织对《容量管理计划》进行

评审，并保留评审相关的纪录。

当出现临时的新增或变更服务时，技术服务事业部应根据《容量管理程序》的要求，及时对《容量管理

计划》的相关内容进行评估和更新。

1 关系过程

总则

供应商和客户的关系管理可采用正式合同形式约束。

销售部门按《业务关系管理程序》的要求明确定义供应商和客户的角色、范围和职能，通过合同、沟通、

培训等方式确保实施和参与服务提供的各方：

理解并满足业务需求。 理解能力和约束条件。 理解职责和责任。

业务关系管理

服务部按照《业务关系管理程序》的要求，牵头并定期组织销售部门，开展服务管理评价活动，讨论、

汇报服务范围、SLA、合同或业务需求的变化，及性能、成绩、结果和措施计划，并形成会议纪要。

当服务目标、服务需求、支持合同、业务等发生新增、变更或撤销时，服务部应按《服务策划管理程序》

的要求，提出并评估服务范围和SLA的改进方案，由服务部组织实施。

服务部与客户建立有效的互动、沟通关系，以便及时了解客户的需求或重大变更，并依据需求进行响应。

根据《客户满意度管理规定》，定义、收集、分析客户满意度数据和信息，监控客户满意度的趋势。

技术服务事业部根据《业务关系管理程序》中的客户投诉管理流程，负责收集、统计、分析客户投诉的

记录，识别投诉的发展趋势和存在问题，确保服务的持续性目标的实现。

供应商管理

商务部按《万维公司内控手册》中《供应商管理业务程序》的要求，对供应商提供的IT服务的过程进行

管理，完善供应商管理制度和采购规范，建立和维护公司《合格供应商名单》。并确保：

供应商了解其对本公司承担的责任。 服务要求满足协议约定的服务级别和范围。 管理变更。

记录与相关各相关方的业务交流。

了解所有供应商的业绩并采取相应改进措施。

商务部负责组织相关部门对供应商提供服务的所满足的需求、范围、服务级别、接口和沟通流程等进行

评审并达成一致，按公司正式授权，组织签署与供应商之间的支持合同或供货协议。主要包含：

服务、角色、责任的定义。 服务范围。

合同管理流程、授权级别和合同结束计划。 相关支付条款。

约定报告的内容和服务成果记录。

与供应商签署的支持合同或供货协议应确保与本公司向客户提供服务的SLA相关联，并一致。 商务部负责拟制公司《合格供应商名单》，并负责《合格供应商名单》的维护和管理。

当公司与供应商的支持合同或供货协议需要修订或变更时，商务部应重新组织相关部门进行合同评审，

在评审中应讨论和明确对本公司SLA影响和变更，并按照《变更管理程序》的要求实施。

商务部按《供应商管理程序》的要求，对公司合格供应商进行季度评价和年度评审，监督、记录供应商

对本公司SLA的落实情况，拟制《供应商合作分析报告》，将评定的结果及时反馈给相关供应商，并组织进行相关调整和改进。

商务部应组织管理与供应商之间的合同冲突，并在支持合同或供货协议中明确。如果争议无法通过正常

途径解决时，应交由更高级别的解决途径。

商务部应确保所有合同冲突被记录、调查、解决并正式关闭。

2 解决方案流程

背景

事件和问题管理作为独立的流程管理，事件管理关注的是服务恢复，而问题管理考虑的是识别并消除事

件隐患。

事件或问题解决的时间安排应考虑以下因素：

优先级。 现有技能。 资源要求。

解决方案的效果和成本。 实施解决方案所需时间。

事件管理

服务部服务台按照《事件管理程序》的要求，根据事件的影响和紧急程度确定事件处理优先级别，并基

于优先级别确定解决事件的目标。其中应包括：

接收请求、记录、优先级分配、分类。 一线事件解决或转移。 考虑安全事件。

事件跟踪和生命周期管理。 事件验证和关闭。

一线客户联系。 事件升级。

事件报告方式包括电话、拜访、传真或者电子邮件，所有事件应在服务台正式记录，并可检索和分析。 服务部对升级的事件提供解决方案，协助服务台关闭事件。

服务部负责对升级的技术问题提供处理事件的技术支持，协助服务台解决未知错误。

技术服务事业部组织建立事件知识库，以确保服务台人员可访问经常更新的知识库。知识库中包括技术

专家、以前事件、相关问题、已知错误、配置管理数据库（CMDB）、检查清单等有助于恢复服务的各种信息。

对重大事件的处理，服务部按《服务台工作指导手册》的要求执行。 服务台应在证实事件已经解决并且服务已经恢复的时候，事件才能最终关闭。 问题管理

服务部根据《问题管理控制程序》对问题原因的预先识别、分析、管理直至关闭，以减少对业务的影响。 服务部根据日常检查、测试、事故数量和类型的趋势分析等纠正措施，识别潜在问题。所有被识别的问

题都应该得到记录。

在问题得到解决后，服务部将相关信息应加入问题知识库，服务部同时应升级所有相关文件，如用户指

南和系统文件。

记录对服务或问题管理流程的改进，并作为服务改进计划的输入。

3 控制流程

配置管理

服务部应根据《配置管理程序》的要求，评估所有与IT服务相关的重要资产和配置项，识别、定义、维

护IT服务和基础设施的组件，明确配置项之间的关系、属性和作用，定义命名规范、版本号，制订和实施《配置项分类定义表》，以确保有效管理IT资产和配置。被管理的配置项主要包括：信息系统和软件（包括第三方软件）的发布、相关系统文档、

例如要求规范、设计、测试报告、发布文档、每个应用环境配置基线、或描述应用环境、标准硬件组成和发布、备份和电子资料库、如最终软件库（DSL）、配置管理包或工具、许可证、安全组件、如防火墙、服务相关文档、例如服务级别协议、活动程序、务支持设施、例如机房电源。

服务部根据配置项之间的关系、属性、状态类别、重要程度和优先级，确定配置管理数据库的范围、分

解的层数、详细的程度，完成配置管理数据库的构建，拟制《配置管理数据库初始化表单》，形成配置基线，并和公司的服务目标、与公司的SLA保持一致。

服务部制订《配置管理计划》，并每年末进行更新。主要包括：配置管理的范围、目标、策略、标准角色

和责任、配置管理流程定义服务和基础设施中配置项，配置控制变更，记录和报告配置项情况，证实配置项的完整性和正确性责任、可检索、可审计的要求，例如出于安全、法律、规章或业务目的、配置控制（访问、保护、版本、开发、发布控制）、交互控制流程，及信息接口和发布、资源管理规划和建立，以便使资产和配置受控，并维持配置管理系统，如培训活动、与配置相关的供应商管理要求和活动。

服务部在配置管理过程中应监控配置项的整个生命周期，确保只有被授权且可识别的配置项才被接受，

并记录从接受到销毁的全过程；没有被认可的变更请求，不能添加、修改、替换或删除配置项。

服务部应保存有效的配置记录，以反映配置项状态、位置和版本的变化，并通过各种状态监控配置项的

变更，例如订购、接收、测试、使用、变更、拆卸、取消。配置项的更新信息应作为配置管理计划和变更管理的输入。

为保护系统、服务和基础设施的完整性和安全性，配置项信息应被保存在一个安全环境。应：保护其不

受未授权访问、变更或破坏、提供灾害后恢复方法、对受控软件、测试产品和支持文档等备份的恢复进行限制。

配置评审程序应包含缺陷记录、执行纠正措施和报告结果。

服务部应定期拟制《配置项管理报告》，报告应包括：配置项最新版本、配置项的位置和软件主要版本的

位置、相互依赖关系、版本历史。在任何时候都可核对配置项以下内容：服务配置项或系统、变更、基准线、开发或发布、版本或变量。

服务部应定期组织相关部门实施配置认可和审核活动，并检查是否有充分的资源以支持：保护物理配置

和公司的知识资本、确保公司控制其配置、原件和许可证、确保配置信息是准确、可控、可见。

服务部应确保变更、发布、系统或环境符合其合同约定或事先约定的要求而且配置记录是准确的。 在审核中出现的缺陷或不符合项应被记录、评估和改进。 变更管理

服务部根据公司业务需要或客户需求，制订《变更计划》。应考虑：清晰定义变更的范围、使业务增值的

变更才能被认可，例如商业的、法律的、规章的、法令的、根据优先级和风险为变更安排时间、在变更实施中验证配置项变更、需要时监控并改进变更实施时间。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库ISMS手册-信息安全管理体系手册(6)在线全文阅读。