《ISMS-信息安全与服务管理手册.docx》由会员分享,可在线阅读,更多相关《ISMS-信息安全与服务管理手册.docx(48页珍藏版)》请在三一办公上搜索。
1、受控状态:文件编号:ISMS-0001-2022信息安全与服务管理手册(依据ISO/IEC27001:2013ISO/IEC20000.1:2018)0.1发布令40.2任命书50.3公司简介604管理方针与目标61范围92 .引用标准103 .术语和定义114 .组织环境164.1 了解组织及其背景164. 1.1内部问题.164.1. 2组织外部问题.164. 2理解相关方的需求和期望174. 3确定管理体系范围.175. 4管理体系的建立176. 领导力195. 1领导力和承诺195. 2方针195. 3组织的角色、职责和权限206.策划216. 1应对风险和机遇的措施216.2管理目标
2、及其实现策划236.3策划服务管理体系247.支持247.1资源247.2能力257.3意识267.4沟通267.5文档化的信息277. 5.1总则.278. 5.2创建和更新.279. 5.3文档化信息的控制.288.运行298. 1运行策划与控制298. 2信息安全风险评估与服务组合309. 2.1信息安全风险评估.308. 2.2服务交付.308. 2.3服务策划.309. 2.4控制服务生命周期涉及的各相关方3010. 2.5月艮务目录管理.3111. .6资产管理.3112. .7配置管理.318. 3信息安全风险处置及关系和协议.328. 3.2关系与协议总则(SMS8.3.1)3
3、28. 3.3业务关系管理(SMS8.3.2)328. 3.5供应商管理(SMS8.3.4)338. 3.5.1管理外部供应商(SMS8.3.4.1)3310. 3.5.2管理内部供应商和充当供应商的客户(SMS8.3.4.2)348.4供应与需求.348 .4.1服务预算与核算.349 .4.3能力管理.358.5服务设计、构建与转换358.5. 1变更管理.358.5.1.1 变更管理策略358.5.1.2 变更管理启动358.5.1.3 变更管理活动368. 5.2服务设计与转换368.1.1.1 策划新的或变更的服务368.1.1.2 设计378.5.3发布与部署管理.388.6解决与
4、履行388.6.1事牛管理.388.6.2服务请求管理.388.6.3问题管壬里.398.7服务保障391.1.1 7.1服务可用性管理.391.1.2 服务连续性管理.401.1.3 信息安全管理.401.1.1 .1信息安全策略408.73.3 信息安全事件419.绩效评价419. 7监视、测量、分析和评价.4110. 内部审核4211. 3管理评审429. 4月及务报告4410. 1不符合及纠正措施.4410.1.1不符合和纠正措施.4410.12应形成文档化的信息作为以下方面的证据:4510.2持续改进.450.1发布令为提高我公司的信息安全与服务管理水平,保障我公司业务活动的正常进行
5、,防止由于信息系统的中断、数据的丢失、敏感信息的泄密、计划外的服务中断所导致的公司和客户用户的损失,我公司于2022年1月开展贯彻IS027001:2013信息技术-安全技术-信息安全管理体系要求、IS020000.1:2018信息技术-服务管理-服务管理体系要求国际标准工作,建立、实施和持续改进文档化的信息安全与服务管理体系,制定了本公司信息安全与服务管理手册(下简称本手册)。本手册是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。本手册符合有关信息安全和服务法律法规要
6、求及ISO27001:2013信息技术-安全技术-信息安全管理体系要求、ISO20000.1:2018信息技术-服务管理-服务管理体系要求国际标准和企业实际情况,现正式批准发布,自2022年1月6日发布之日起实施,公司全体员工必须遵照执行。公司各级干部职工必须严格按照本手册的要求,自觉遵循公司信息安全、服务管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全、服务管理目标。总经理:批准日期:O.2任命书为贯彻执行信息安全与服务管理体系,满足IS027001:2013信息技术-安全技术-信息安全管理体系要求、IS020000.1:2018信息技术-服务管理-服务管理体系要求国际标准的要求,加
7、强公司领导,特任命为我公司信息安全与服务管理体系管理者代表(体系负责人),并授权其如下职责和权限:1 .确保按照标准的要求,全面建立、实施和保持信息安全与服务管理体系;2 .负责信息安全与服务管理体系有关的协调和联络工作;3 .确保信息安全业务风险及服务质量得到有效控制;4 .确保在整个组织内提高信息安全与服务管理能力;5 .传达信息安全、服务管理目标的重要性和持续改善的必要性与重要性;6 .组织信息安全与服务管理体系的内部审核;7 .提供服务资源以满足服务交付、支持及信息安全、服务交付的作业与管理活动;8 .对信息安全与服务管理组织和服务的风险进行管理;9 .信息安全与服务流程的处理、评审、
8、决策等。10 .向最高管理者报告信息安全与服务管理体系及信息安全与服务管理体系的业绩和改进要求,包括信息技术服务管理体系和信息安全管理体系运行情况、内外部审核情况。本任命书自任命之日起生效执行。总经理:批准日期:0.3公司简介0.4管理方针与目标为防止由于信息系统的中断、数据的丢失、敏感信息的泄密及计划外的服务中断、对外提供应用软件运维服务质量的下降所导致的企业和客户用户的损失、丢失,本公司建立了信息安全与服务管理体系,制订了信息安全与服务管理方针,确定了信息安全目标。信息安全管理方针:研究企业,服务企业,精心设计,用心服务服务管理方针:以客户为中心,提供精准/专业服务;以流程为导向,超越客户
9、期望本公司信息安全、服务管理方针包括内容如下:一、信息安全管理与服务机制基于风险和机遇分析、适用法律法规的遵守情况,公司采用体系过程的方法,按照IS027001:2013.IS020000.1:2018建立信息安全与服务管理体系,全面保护本公司的信息安全、服务到位。二、信息安全与服务管理组织1 .公司总经理对信息安全与服务工作全面负责,负责批准信息安全、服务管理方针,确定信息安全要求、相关方服务需求,提供信息安全与服务资源。2 .公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。3 .公司运营管理部,保证信息安全与服务管理体系的有效运
10、行。4 .与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全、服务管理的支持。三、人员安全1 .信息安全与服务需要全体员工的参与和支持,全体员工都有保护信息安全与服务的职责,在劳动合同、岗位职责中应包含对信息安全与服务的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整其信息安全、服务职责和权限。2 .对本公司的相关方,要明确安全、服务要求和安全、服务职责。3 .定期对全体员工进行信息安全与服务体系相关教育,包括:技能、职责和意识。以提高安全意识。4 .全体员工及相关方人员必须履行安全职责,执行信息安全、服务方针、程序和安全措
11、施。四、识别法律、法规、合同中的安全及时识别顾客、合作方、相关方、法律法规对信息安全与运维服务的要求,采取措施,保证满足安全、服务要求,力争超越。五、风险评估1 .根据本公司业务信息安全与服务管理业务的特点、法律法规要求,建立信息安全风险识别与评价管理程序,确定风险接受准则。2 .采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。3 .应根据风险评估的结果,采取相应措施,降低风险。4 .为变更请求、服务请求、服务可用性、服务连续性提供输入。六、报告事件1.公司建立报告信息安全与运维服务事件的渠道和相应的主管部门。2,全体员工有报告信息安全与
12、运维服务隐患、威胁、薄弱点、事故的责任,一旦发现信息安全与服务事件,应立即按照规定的途径进行报告。3.接受信息安全与运维服务事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。七、监督检查定期对信息安全、运维服务质量进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。八、业务持续性和可用性1 .公司根据风险评估的结果,建立业务持续性和可用性计划,抵消信息系统、运维业务的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。2 .定期对业务持续性和可用性计划进行测试和更新。九、违反信息安全、服务要求的惩罚对违反信息安全方针
13、、服务方针、职责、程序和措施的人员,按规定进行处理。信息安全目标如下:1.信息零泄漏。3 .公司的重大信息安全事故为零。服务目标如下:1 .客户满意度290旅2 .有效投诉W2次;投诉及建议处理及时率:100%3 .客户请求反馈率:100%4 .故障解决率:100机总经理:批准日期:1范围公司从自身组织环境的角度考虑,为建立、实施、运行、监视、评审、保持和改进文件化的信息安全与服务管理体系,确定信息安全、服务方针和目标,对信息安全和服务进行有效管理,确保全体员工理解并遵照执行信息安全与服务管理体系文件、持续改进信息安全与服务管理体系的有效性,特制定本管理手册。本手册规定了公司信息安全与服务管理
14、体系要求、管理职责、运行策划和控制、内部审核、管理评审、信息安全和服务管理体系改进等方面内容。本手册适用于公司所有范围内的信息安全与服务业务活动,包括应用软件的研发、系统集成、运维服务等。本手册依据ISO/IEC27001:2013信息技术-安全技术-信息技术管理体系要求和IS0/IEC20000.1:2018信息技术-服务管理第1部分:服务管理体系要求,结合本行业信息安全与服务业务特点编写,对本公司信息安全与服务管理体系作出了概括性描述,为公司建立、实施、运作和保持信息安全与服务管理体系提供框架。2.引用标准2. 1ISO/IEC27000:2018信息技术-安全技术-信息安全管理体系概述和
15、词汇2.2 IS0/IEC27001:2013信息技术-安全技术-信息安全管理体系要求2.3 IS0/IEC27002:2013信息技术-安全技术-信息安全管理实用规则2.4 IS0/IEC20000.1:2018信息技术-服务管理-服务管理体系要求2.5 IS0/IEC9001:2015质量管理体系要求3.术语和定义3.1 本公司(或公司、我公司)3.2 有关信息安全的术语和定义3.2.1 可用性:保证被授权的使用者需要时能够访问信息及相关资产。3.2.2 保密性:保证信息只被授权的人访问。3.2.3 信息安全:保持信息的保密性、完整性和可用性。3.2.4 信息安全管理体系:是整个管理体系的
16、一部分,建立在业务风险的方法上,以开发、实施、完成、评审和维护信息安全。注:管理体系包括组织的结构、方针、计划、活动、责任、实践、程序、过程和资源3.2.5完整性:保护信息和处理过程的准确和完整。3. 2.6风险接受:接受一个风险的决定。3. 2.7风险分析:系统化地使用信息识别来源和估计风险。4. 2.8风险评估:风险分析和风险评价的整个过程。3.2.9 风险评价:比较估计风险与给出的风险标准,确定风险严重性的过程。3.2.10 风险管理:指导和控制组织风险的联合行动。3.2.11 11风险处理:选择和实施措施以更改风险的处理过程。3.2.12适用性声明:描述适用于组织的ISMS范围的控制目
17、标和控制措施。这些控制目标和控制措施是建立在风险评估和处理过程的结论和结果基础上。3.2.13风险:对目标的不确定性影响。3.2. 14风险程度:以后果和其可能性的组合来表示的风险大小。3. 3有关服务的术语和定义3.3. 1资产:对组织有潜在或实际价值的项目、事物和实体。3.4. 2配置项:为了交付一项或多项服务而需要被控制的组件。3.3.3客户:接受一项服务或多项服务的组织或组织的一部分。例:消费者,客户,受益人,赞助商或购买者。3.3.4外部供应商:组织外部的其他方通过签订合同参与服务、服务组件和过程的策划、设计、转换、交付和改进。3.3.5内部供应商:SMS范围外的大组织的一部分通过文
18、档化协议参与到服务、服务组件或过程的策划、涉及、交付或改进。3.3.6事态:一组特定情形的发生或改变。注:一个事态可能是一个或多个发生,并可能有多种原因;可能有一些未发生的事情组成;可能有时被称为“事件”或“事故”。Io3.3.7事件:计划外的服务中断,服务质量下降或还未对客户和用户服务产生影响的事态。3.3.8信息安全事件:单个或一系列的不期望或意外的信息安全事态,具有损害业务运作和威胁信息安全的极大的可能性。3.3.9信息安全事故:一个信息安全事故由单个的或一系列的有害或意外信息安全事件组成,它们具有损害业务运作和威胁信息安全的极大的可能性。3.3.10已知错误:一个已识别根本原因或已有方
19、案降低或消除对服务影响的问题。3.3.11问题:一个或多个真实或潜在事件的根本原因。3.3.12程序:为进行某项活动或过程所规定的方法。3.3.13记录:阐明所取得的结果或提供所完成活动的证据的文件。示例:审计报告、事件详情、培训签到表或会议纪要。Io3.3.14发布:作为一个或多个变更的结果,部署到实际生产环境的一个或多个新的或变更的服务或服务组件的集合。3.3.15变更请求:对一项服务、服务组件或服务管理体系所做变更的提议。3.3.16服务:通过促进客户期望的结果,为客户交付价值的一种方式。3.3.17服务可用性:服务或服务组件在约定的时间点或时间段内执行所需功能的能力。3.3.18服务目
20、录:关于组织提供给客户的服务的文档化信息。3.3.19服务组件:服务的一部分,该部分与其他要素合并时将提供一个完整的服务。示例:基础设施、应用、文件、许可证、信息、资源或支持的服务。o3.3.20服务连续性:不间断或与商定的可用性保持一致的提供服务的能力。3.3.21服务水平协议:组织和客户之间签署的协议,用以识别服务及其约定的绩效。3.3.22服务水平目标:组织承诺的一项服务的具体的、可测量的特征。3.3.23服务管理:一组的功能和过程,用以指导和控制组织策划、设计、转换、交付和改进服务的活动和资源,以交付价值。3.3.24服务管理体系:指导和控制组织服务管理活动的管理体系。3.3.25服务
21、提供方:管理一项或多项服务并将其交付给客户的组织。3.3.26服务请求:对信息、建议、服务访问或预授权变更的请求。3.3.27服务需求/要求:客户、用户以及与服务和SMS相关的组织声明的或义务的要求。3.3.28转换:将一项新的或变更的服务移入或移出生产环境的活动。3.3.29用户:与服务相互影响或从服务中获益的个人或团体。3.3.30价值:重要性、益处或有用性。3.3.31配置基线:在服务或服务组件生命周期过程中特定时间段、正式指定的配置信息。3.3.32配置管理数据库(CMDB):存储用来记录每个配置项的特性和配置项之间关系的数据。3.4其它1.1.1 1信息系统:由计算机硬件、网络和通讯
22、设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统,是一个由人、计算机及其他外围设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。1.1.2 计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。1.1.3 运营级别协议(OLA):IT服务提供商与同一机构的另一部门间达成的协议。OLA支持IT服务提供商向客户提供IT服务。OLA规定了要提供的商品或服务,以及双方的责任。例如,下列情况可以签订0LA:IT服务提供商与采购部门间为了在约定的时间获得硬件。服务台与支持组之间为
23、了在约定的时间解决故障。参见服务级别协议。3.4.4 协议:描述双方或多方之间达成一致意见的正式文件。除非作为合同的一部分,协议不具有法律约束力。参见“服务级别协议”、“运营级别协议”。3.4.5 计划内中断时间:约定的不提供IT服务的时间。计划内中断时间通常用于维护、升级和测试。3.4.6 优先级:用于确定故障、问题或变更的相对重要性的类别。优先级的依据是影响度和紧急度,用它来确定采取行动所需的时间。例如SLA可以规定:优先级2的故障必须在12小时内解决。3.4.7 流程:用于实现特点目标的一系列有组织的活动。流程获得一个或多个定义的输入,然后将它们变成定义的输出、流程可以包括任何角色、责任
24、、工具和可靠提供输出所需的管理控制。流程可以定义政策、标准、指南、活动和工作指令(如果需要)。3.4.8项目:临时的组织,拥有实现目标或其它结果所需的人员和其它资产。每个项目都有生命周期,通常包括起动、策划、执行、关闭等。通常使用正规的方法(例如PRINCE2)管理项目。3.4.9恢复点目标(RPO):中断后恢复服务时可能丢失的最多数据。恢复点目标用故障前的时间长度表示。例如,一天的恢复点目标可以得到每日备份的支持,因此可能失去最多24小时的数据。应该为每项IT服务协商、达成和记录恢复点目标,并作为服务设计和IT服务连续性计划的要求。3.4.10恢复时间目标(RTO):中断后为恢复IT服务预留
25、的最长时间。提供的服务级别可以低于正常的服务水平目标。应该为每项IT服务协商、达成和记录恢复时间目标。3.4.11冗余:容错的同义词,备用的。冗余一词还有过时或不再需要的意思。3.4.12需求:需要什么的正式说明。例如服务级别需求,项目需求或流程所需的交付物。3. 4.13服务器:一种联网的计算机,可以提供软件功能给其它计算机使用。3.4. 14服务台:服务提供商与用户间的单一联系点。典型的服务台负责管理故障和服务请求,还负责与用户的沟通。3.5. 15服务组合:服务提供商所管理的服务全集。服务组合用于管理所有服务的整个生命周期,包括三个类别:服务通道(提议或开发中);服务目录(实时或可以部署
26、的);以及停用的服务。3.6. 16单点故障:在故障时可能导致故障,并且还没有为此实施对策的任何配置项。SPOF可以是流程或活动中的个人、步骤,或者是IT基础架构的组件。3.7. 17威胁,:任何可能利用脆弱性的事物。故障的任何潜在原因可以认为是威胁。例如,火灾是可以利用易燃地板材料脆弱性的威胁。该术语常用于信息安全管理和IT服务连续性管理,还适用于其它领域,例如问题和可用性管理。3.8. 18阈(yu)值:可以引发告警或采取管理行动的指标值。例如“4小时内未解决的优先级为1的故障”、“1小时内出现5次磁盘错误”或者“一个月内超过10次失败的变更”。3.4.19支撑合同(IJC):IT服务提供
27、商与第三方之间的合同。第三方为客户提供支持IT服务交付的商品或服务。支撑合同定义了达到SLA中约定的服务水平目标所需的目标和责任。3.4.20紧急度:测量故障、问题或变更多久会对业务产生重大的影响。例如,如果故障到财年底才会影响业务,则影响大的故障可能紧急程度较低。指定优先级时要考虑到影响度和紧急度。3. 4.21服务改进:在服务中发现不足,在不足中改进服务,使服务不断提升的循环活动。4.组织环境4.1 了解组织及其背景本公司依据ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求、IS0/IEC20000.1:2018信息技术-服务管理-服务管理体系要求的内容,编制了组
28、织环境与相关方要求控制程序,并结合本公司的信息安全与对外提供应用软件运维服务业务活动和风险的实际情况,建立、保持并持续改进信息安全、服务管理体系。IS0/IEC27001:2013信息安全管理体系标准、IS0/IEC20000.1:2018服务管理体系标准建立在国际上通用的PDCA管理理论模式上,即计划、实施、检查、改进的基础上。本公司应确定与ISMS、SMS和服务相关的目的和影响其达到预期效果的能力的内、外部问题。4. 1.1内部问题a)公司内部信息安全与服务管理制度的建立还有很大提升空间;b)内部人员对信息安全管理体系尤其服务管理体系的理解还需要提升;c)人员能力不足、人才储备不够;d)人
29、员成本控制较高;e)高层次专业技术人员缺乏、引进困难,等。5. 1.2组织外部问题a)来自其他国内外品牌的竞争;b)适用法律法规要求,包括安全、环境法规及行为准则的变化;c)客户对项目要求高、工期紧;d)水灾、疫情、暴风雨等不可抗力问题;e)国家经济政策走向、通货膨胀预测、信贷的不确定性,等。6. 1.3内外分析与评价最高管理层确保在公司年度经营计划、发展策划或管理评审中,对所监视的公司内外部经营环境的变化进行评审,根据评审分析,对可能影响公司管理体系预期结果实现的因素进行对策决策,并评价与公司宗旨或战略目标的适宜性。各职能部门在各自的信息安全与运维服务业务的运作过程中,对可能影响业务实现预期
30、结果的公司内外部因素进行监视,并进行分析,确定其可能的影响并制定对策措施,必要时,将相关的情况报总经理批示。4. 2理解相关方的需求和期望本公司按组织环境与相关方要求控制程序确定:a)ISMS、SMS和服务的相关方;b)和这些相关方有关信息安全、服务管理的要求。本公司主要相关方包括:股东、社区、社会团体、供应商、客户、政府行政单位、员工及其家属、竞争对手、周边企业及居民,等。本公司应对确认的相关方及要求的相关信息进行监视和评审。4 .3确定管理体系范围根据本公司的业务性质、地理位置、信息资产和技术的特点,本公司明确体系范围如下:物理边界:山东省济南市高新区舜华路1号齐鲁软件园2号楼创业广场B座
31、一层信息安全管理体系的产品范围:管理软件的设计开发与服务、计算机信息系统集成;服务管理体系的产品范围:应用软件运维服务。运营管理部负责拟定“适用性声明”,应对未采用的ISO/IEC27001:2013附录A中的条款的原因予以说明,同时对采用的IS0/IEC27001:2013附录A以外的所有控制措施予以描述,经公司管理层审批后执行。公司运维服务部由事业部维护人员抽调组成,在SMS内,从事应用软件运维服务工作,不涉及ISMSo4.4管理体系的建立按照IS0/IEC27001:2013、ISO/IEC20000.1:2018国际标准的要求,本公司建立、实施、保持和持续改进信息安全与服务管理体系。其
32、体系模型如下:信息安全管理体系使用的过程基于图1所示的PDCA模型,如下:图1信息安全管理体系模型服务管理体系使用的过程基于图2所示的PDCA模型,如下。图2服务管理体系模型5 .领导力5.1 领导力和承诺本公司高层管理者应通过以下方式展示其关于信息安全与服务管理体系的领导力和承诺:a)确保制定信息安全和服务管理体系的方针和目标,与战略方向一致;b)确保将信息安全与服务管理体系耍求整合到组织的业务过程中;c)确保信息安全与服务管理体系所需资源可用;d)确保对信息技术服务生命周期的相关方进行控制和管理;e)传达信息安全与服务管理有效实施、符合信息安全与服务管理体系要求的重要性;f)确保信息安全与
33、服务管理体系实现其预期结果;g)指挥并支持人员为信息安全与服务管理体系的有效实施做出贡献;h)确保为组织和确定的客户创造价值;i)确定接受风险的准则和可接受的风险等级;j)沟通有效的服务管理的重要性,实现服务管理目标,交付价值和符合服务管理体系的要求;k)促进持续改进;1)支持其他相关角色在其职责范围内展示他们的领导力;m)定期对信息安全与服务管理体系进行内审和管理评审,以确保体系持续的适宜性、充分性和有效性。5. 2方针6. 2.1方针的制订本公司信息安全、服务管理方针是本公司信息安全与运维服务管理的纲领,提供了本公司信息安全与运维服务的管理方向,确定了信息安全与服务管理目标的框架,体现了公
34、司信息安全与服务方面的长期战略。公司管理层建立信息安全、服务管理方针(见0.4章节):a)适合本公司的业务宗旨和方向;b)为建立信息安全、服务管理目标提供框架,信息安全、服务目标见0.4章节;c)包括满足有关信息安全、服务适当要求的承诺;d)包括ISMS、SMS持续改进的承诺。信息安全、服务管理方针应:e)是以文档化的身份可用的;f)在组织内传达;g)适当时,对相关方是可用的。本公司信息安全、服务管理方针体现和包括了以下内容:阐述了有关信息安全与服务行为的总体指导思想和原则,提供了制订信息安全与服务管理目标的框架;考虑了业务及法律或法规的要求,以及合同的安全义务;体现了本公司建立和保持ISMS
35、.SMS作为公司的发展战略和风险管理手段的信息安全与服务管理的长期战略要求;确立了风险评价的标准和风险评估的方法;体现公司管理层加强及支持信息安全与服务管理的意图和承诺。信息安全、服务管理方针由公司管理层审批后,应以适当的方式传达给员工。5. 2.2方针的管理为确保公司ISMS、SMS和服务有效运作,及时满足客户需求,公司依据标准及公司要求,建立管理方针。本公司承诺:a)在公司内各层次建立完整的管理本公司机构,确定ISMS和SMS方针、目标和控制措施,明确体系的管理职责;b)识别并满足适用法律、法规和相关方要求;c)定期进行风险评估、ISMS和SMS评审,采取纠正预防措施,保证体系的持续有效性
36、;d)采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;e)对全体员工进行持续的体系教育和培训,不断增强员工的信息安全、服务、业务连续性意识和能力;f)制定并保持完善的业务连续性计划,实现可持续发展。上述管理方针由公司总经理批准发布,并定期评审其适用性、充分性,必要时予以修订。6. 3组织的角色、职责和权限公司管理层应确保与ISMS、SMS和服务相关角色的职责和权限被分配和传达。公司管理层应分配职责和权限:a)确保ISMS、SMS符合本国际标准的要求;b)将ISMS、SMS和服务绩效报告给公司管理层。公司设立运营管理部为专门的机构,并任命其人员,使其负责ISMS、SMS和
37、服务的建立、实施、保持和改进,明确所有相关人员在体系中的职责和义务,确保ISMS、SMS和服务运行的有效性。各部门分配与职能见公司文件PANSOFT-SMS-100L2022MES软件管理层和部门职责权限、PANSOFTTTSS-05-01-运维组织结构及职责说明,包括本手册附录1组织结构、附录2管理体系职责分配表。7. 策划7.1 应对风险和机遇的措施7.1.1 总则当策划ISMS.SMS时,本公司应当考虑本手册4.1提到的问题和4.2中所提到的要求,并确定需要处理的风险和机遇:a)确保ISMSSMS实现预期的效果;b)防止或减少不良影响;c)实现ISMS、SMS和服务的持续改进;d)应对这
38、些风险和机遇的措施,并确定其优先级;e)如何1)集成和实施这些措施到ISMS、SMS过程中;2)评估这些措施的有效性。公司已编制风险和机遇确定与应对控制程序。7.1.2 风险评估运营管理部应确认和文档化:a)有关的风险:本公司、不满足服务要求、服务生命周期中的相关方:b)风险对客户的影响和服务管理体系及服务的机遇;c)风险接受标准;d)风险管理的方法。运营管理部制订信息安全风险识别与评价管理程序,组织各相关部门实施。该程序确立了适用于信息安全与服务管理体系,并满足信息安全、服务法律法规要求的风险评估方法。通过建立和保持该程序,将有助于公司管理层为ISMS、SMS建立安全策略和目标,识别并确定可
39、接受风险的水平和标准。运营管理部按照信息安全风险识别与评价管理程序,评价安全问题所可能导致的业务危害,考虑该危害的严重程度时,必须考虑到信息资产的保密性、完整性和可用性受损后所产生的现实后果和长远影响。1)风险识别运营管理部按照信息安全风险识别与评价管理程序从以下几个方面,对风险进行识别:a)识别ISMS、SMS和交付服务范围内所有的信息资产及其负责人,并对资产的保密性、完整性和可用性价值进行评估;b)识别各信息资产所可能面对的威胁,;c)识别各威胁可能利用的脆弱性;d)确认以上信息资产的保密性、完整性和可用性受损后所产生的影响和潜在后果。2)风险分析和评价运营管理部按照信息安全风险识别与评价
40、管理程序,评价安全问题所可能导致的业务危害,考虑该危害的严重程度时,必须考虑到信息资产的保密性、完整性和可用性受损后所产生的现实后果和长远影响。根据与这些信息资产有关的主要威胁和脆弱性,以及当前采取的控制措施,评价安全问题出现的可能性。根据信息安全风险识别与评价管理程序,计算风险系数。根据风险评价的结果,决定风险是否接受或应采取的处理措施。7.1.3 风险处置根据信息安全风险识别与评价管理程序,运营管理部:1)确定和评价提供处理风险的可选措施;根据风险评价的结果,确定可接受风险的水平,决定风险处理措施,包括:使用合适的控制措施接受风险,但应保证该风险在可接受水平,并应保证符合公司的信息安全方针
41、。2)选择处理风险的控制目标和控制措施。从ISO/IEC27001:2013附录A中选择适当的控制目标和控制措施,如有必要可在ISO/IEC27001:2013附录A范围之外增加额外的控制目标和控制措施,但应对这些额外的控制目标和控制措施予以记录。3)残余风险的确认应对采取控制措施后的残余风险予以预测,由公司管理层批准残余风险。4)由公司管理层授权实施和运作。运营管理部根据适用性声明所列控制措施,制定风险处置计划。风险处置计划应对所选控制措施的实施制定具体的工作方案和时间表。a)该方案还应考虑到资金的保证,并规定具体的负责部门和负责人。b)运营管理部应组织完成风险处置计划,实施适用性声明中所选
42、择的控制措施,以达到保护信息安全、降低信息安全风险的目标。c)规定如何度量所选控制措施的有效性,并指明这些度量方法如何用于评估控制措施的有效性,产生可比且可再现的结果。公司应对风险和机遇的措施包括:避免风险,接受增加的风险以追求机遇,通过协定的措施移除风险源,改变风险的后果和可能性,降低风险,和其他方共担风险或通过充分的信息决策接受风险。7.2 管理目标及其实现策划7.2.1 建立目标公司信息安全、服务管理目标应:a)与信息安全、服务管理方针保持一致;b)可测量;c)考虑适用的要求;d)予以监控;e)予以沟通;f)适当时更新。本公司在相关职能和层级上策划、制定信息安全与服务管理目标。公司级目标
43、见04章节。相关职能和层次级目标参照公司级目标或分解。公司应保留有关信息安全、服务管理目标的成文信息。7.2.2 策划实现目标最高管理者应确保对信息安全、服务目标进行策划,在策划实现信息安全、服务管理目标时,公司应确定:a)要做什么;b)需要什么资源;c)由谁负责;d)什么时候完成;e)如何评价结果。6 .3策划服务管理体系本公司建立了遵循Plan(策划)-D。(实施)-Check(检查)-Act(改进)模式的IT服务管理体系维护机制,并按照该机制实现体系和过程的持续改进。戴明环质量管理方法可以确保IT服务管理体系能够根据实际业务环境的变化实现不断的优化和调整。本公司策划、制定、实施和维护服务
44、管理计划。该计划应考虑到服务管理方针、服务管理目标、风险与机遇、服务要求和本标准的要求。其它的计划应与服务管理计划相一致,服务管理计划应包含或引用以下内容:a)服务清单;b)影响服务管理体系和服务的已知限制;c)有关的方针,标准和法律法规要求、合同的义务;d)服务管理体系和服务的权限、职责;e)运行服务管理体系和服务所需要的人员、技术、信息和财务资源;f)服务生命周期中和相关方采取的工作方法;g)支持服务管理体系的技术;h)如何测量、审核、报告和改进服务管理体系和服务的有效性。公司已编制服务管理体系策划管理程序。7.支持7.1 资源为确保ISMS、SMS和服务的有效运行,公司管理层应提供充足必
45、要的资源,该资源包括人力、技术、信息、资金等方面,以保证:a.建立、贯彻、运行和保持ISMS、SMS和服务;b.确保信息安全、服务程序支持业务要求;C.识别和强调法律和法规的要求和合同的安全义务;d.正确地应用所有实施的控制措施以保持充分的信息安全与服务;e.必要时进行评审,并对评审结果做出适当的响应;f.需要时,改善ISMS、SMS和服务的有效性;g.通过提供满足服务需求的服务增强客户的满意度。7. 1.1人力资源通过招聘、培训等方式,确保从事影响ISMS、SMS、服务绩效和有效性的的人员可以胜任相应岗位、具备相应能力。公司必须确定:a)人员必须具备相应的技术或管理能力;b)适当时,提供培训
46、或采取其他措施以获得所需能力;C)对采取的措施有评价手段,如人员的绩效考核;Cl)确保人员意识到如何实现信息安全与服务管理目标和应作出的努力;e)保持教育、培训、招聘等记录。7 .1.2技术资源公司应确保输出IT服务所需要的技术能力,包括技术人员的专业技能水平、仪器设备、研发环境。公司应保持对新服务的研发能力,和解决问题的技术支持能力。8 .1.3信息资源公司应通过网络、文献、技术交流会议等渠道保持信息资源的获取、更新能力。应确定责任人搜集信息,并对信息进行分析、筛选,汇总与公司IT服务能力相匹配的信息资源。服务过程中,应及时对信息进行评价、更新。9 .1.4财务资源公司应保证满足IT服务项目需求的资金,并制定合理的预算核算计划。7.2 能力为有效地实施信息安全与服务管理,贯彻信息安全、服务管理方针,实现信息安全、服务管理目标,公司职能主管部门必须对ISMS、SMS涉及的所有人员进行培训,以增强其信息安全、服务意识,保证其胜任所在岗位的工作。按公司ISMS、SMS和服务的各级岗位员工任职要求,人力资源部签订相关协议,并根据人力资源管理程序中的规定对人员进行适当的
