ISO20000-2018信息技术服务管理体系全套体系文件模板汇编(管理手册+程序文件) 南京廖华答案网

ISO20000-2018信息技术服务管理体系全套体系文件模板汇编(管理手册+程序文件) 下载本文

文章发布时间 : 2024/11/14 21:42:58星期四

ISO20000-2018信息技术服务管理-服务管理体系

全套体系文件模板汇编（1份手册+26份程序文件）

文件清单

序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27

文件名称

信息安全与信息技术服务管理手册事件管理程序问题管理程序变更管理程序配置管理程序发布管理程序客户投诉处理程序客户满意度调查程序可用性管理程序持续性管理程序能力管理程序内部审核程序管理评审程序服务改进管理程序服务级别管理程序服务报告管理程序服务策划与实施管理程序供应商管理程序服务预算及核算管理程序客户关系管理程序信息安全管理程序文件控制程序记录控制程序人力资源管理程序

组织环境与相关方要求管理程序风险和机遇的应对控制程序不符合与纠正措施管理程序

文件编号

MC-ITISMS-M-01 MC-ITSMS-P-01 MC-ITSMS-P-02 MC-ITSMS-P-03 MC-ITSMS-P-04 MC-ITSMS-P-05 MC-ITSMS-P-06 MC-ITSMS-P-07 MC-ITSMS-P-08 MC-ITSMS-P-09 MC-ITSMS-P-10 MC-ITSMS-P-11 MC-ITSMS-P-12 MC-ITSMS-P-13 MC-ITSMS-P-14 MC-ITSMS-P-15 MC-ITSMS-P-16 MC-ITSMS-P-17 MC-ITSMS-P-18 MC-ITSMS-P-19 MC-ITSMS-P-20 MC-ITSMS-P-21 MC-ITSMS-P-22 MC-ITSMS-P-23 MC-ITSMS-P-24 MC-ITSMS-P-25 MC-ITSMS-P-26

? 管理手册整合了ISO27001信息安全管理体系的内容，对于仅有ISO20000-2018信息

技术服务管理体系的认证审核不受影响； ? 各程序文件位置已添加书签，方便查看； ? 管理手册全文可预览。

××××××有限公司信息安全与信息技术服务管理手册

信息安全与信息技术服务管理手册

文件编号：MC-ITISMS-M-01 版本：A0

（依据ISO27001: 2013/ISO20000-1: 2018标准编制）

编制：审核：批准：

××××××有限公司发布

第1页共49页

××××××有限公司信息安全与信息技术服务管理手册

修订履历

修订日期版本 2020-01-30 A0 修订内容新制定修订人批准人生效日期 2020-02-01

第2页共49页

××××××有限公司信息安全与信息技术服务管理手册

0.1 颁布令 ........................................................................................................... 5 0.2 管理者代表授权书 ........................................................................................ 6 0.3 企业概况 ....................................................................................................... 7 0.4 手册的管理 .................................................................................................... 8 1 范围 .................................................................................................................. 9 2 规范性引用文件 ............................................................................................... 9 3 术语和定义 ..................................................................................................... 10 4 组织环境 ......................................................................................................... 11

4.1 理解组织及其环境 ....................................................................................... 11 4.2 理解相关方的需求和期望 ........................................................................... 11 4.3 确定管理体系的范围 ................................................................................... 12 4.4 信息安全管理体系 ....................................................................................... 13 4.5 信息技术服务管理体系 ............................................................................... 13 5 领导 ................................................................................................................. 15

5.1 领导和承诺 ................................................................................................... 15 5.2 方针 ............................................................................................................... 16 5.3 组织角色、职责和权限 ............................................................................... 16 6 策划 ................................................................................................................. 17

6.1 应对风险和机会的措施 ............................................................................... 17 6.2 管理目标及其实现策划 ............................................................................... 19 6.3 策划信息技术服务管理体系 ....................................................................... 19 7 支持 ................................................................................................................. 20

7.1 资源 ............................................................................................................... 20 7.2 能力 ............................................................................................................... 20 7.3 意识 ............................................................................................................... 20 7.4 沟通 ............................................................................................................... 21 7.5 文件化信息 ................................................................................................... 21 8 运行 ................................................................................................................. 23

第3页共49页

××××××有限公司信息安全与信息技术服务管理手册

8.1 运行策划和控制 ........................................................................................... 23 8.2 信息安全风险评估与信息技术服务组合 ................................................... 23 8.3 信息安全风险处置与关系、协议管理 ....................................................... 26 8.4 供应与需求 ................................................................................................... 28 8.5 服务设计、构建与转换 ............................................................................... 29 8.6 解决与完成 ................................................................................................... 32 8.7 服务保障 ....................................................................................................... 34 9 绩效评价 ......................................................................................................... 36

9.1 监视、测量、分析和评价 ........................................................................... 36 9.2 内部审核 ....................................................................................................... 36 9.3 管理评审 ....................................................................................................... 37 9.4 信息技术服务报告 ....................................................................................... 39 10 改进 ............................................................................................................... 39

10.1 不符合及纠正措施 ..................................................................................... 39 10.2 持续改进 ..................................................................................................... 40 附录A组织机构图 .............................................................................................. 41 附录B 信息安全与信息技术服务管理职责表 .................................................... 41 附录C 办公区域平面图 ...................................................................................... 43 附录D 信息安全与信息技术服务管理职责分配表 ............................................ 44 附录E 方针和目标 ............................................................................................. 46

E.1 信息技术服务管理方针和目标.................................................................... 46 E.2 信息安全管理方针和目标............................................................................ 47

第4页共49页

××××××有限公司信息安全与信息技术服务管理手册

0.1 颁布令

为提高××××××有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，以及规范我公司IT信息技术服务管理，提供满足顾客要求的信息技术服务，我公司开展贯彻《ISO27001: 2013信息技术-安全技术-信息安全管理体系-要求》和《ISO20000-1: 2018 信息技术-服务管理体系-要求》国际标准的工作，建立、实施和持续改进文件化的信息安全与信息技术服务管理体系，制定了《信息安全与信息技术服务管理手册》（以下简称为“手册”）。

手册是企业的纲领性文件，是指导企业建立并实施信息安全与信息技术服务管理体系的纲领和行动准则，用于贯彻企业的信息安全与信息技术服务管理方针、目标，实现信息安全和信息技术服务管理体系有效运行、持续改进，体现企业对社会的承诺。

手册符合有关信息安全法律、法规要求及《ISO27001:2013 信息技术-安全技术-信息安全管理体系-要求》、《ISO20000-1: 2018 信息技术-服务管理体系-要求》标准和企业实际情况，现正式批准发布，自2020年02月01日起实施，企业全体员工必须遵照执行。

全体员工必须严格按照手册的要求，自觉遵循信息安全和信息技术服务管理方针，贯彻实施本手册的各项要求，努力实现公司信息安全与信息技术服务管方针和目标。

总经理：*** 2020年02月01日

第5页共49页

××××××有限公司信息安全与信息技术服务管理手册

0.2 管理者代表授权书

为贯彻执行信息安全与信息技术服务管理体系，满足《ISO27001: 2013 信息技术-安全技术-信息安全管理体系-要求》、《ISO20000-1: 2018 信息技术-服务管理体系-要求》标准的要求，加强领导，特任命 *** 为我公司信息安全与信息技术服务管理者代表。

授权者代表有如下职责和权限：

1.确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全和信息技术服务管理体系；

2.负责与信息安全与信息技术服务体系有关的协调和联络工作； 3.确保在整个组织内提高信息安全风险的意识； 4.审核风险评估报告、风险处理计划；

5.负责组织编写和批准发布程序文件，负责年度培训计划、支持性文件的审批。

6.主持信息安全与信息技术服务理体系内部审核，任命审核组长，批准内审工作报告；

7.向总经理报告信息安全与信息技术服务管理体系的运行情况和所有改进要求，包括内外部审核情况。

本授权书自任命日起生效执行。

总经理：*** 2020年02月01日

第6页共49页

××××××有限公司信息安全与信息技术服务管理手册

0.3 企业概况

××××××有限公司（以下简称为“公司”）成立于199×年4月，是一家集IT产品软硬件销售、提供技术服务、系统集成的计算机公司，目前公司技术力量雄厚，硬件设备、设施充足。大专学历以上专业技术人员占90%，公司注册资本5000万元人民币。

公司以*****大学软件学院为依托，凭借其雄厚的技术优势，以市场为导向，以软件产品的开发带动硬件产品的销售，成为一家专业的计算机公司。现已开发使用的软件产品有：继电保护管理系统、IT服务管理系统、广州电信定纲定编管理系统、采购管理系统、在线学习考试系统、计重收费业务培训系统、实验室管理系统等。

在硬件方面，公司代理了HP（惠普）、IBM、联想、清华同方等计算机产品，为CISCO、3COM、实达、IBDN、AVAYA等厂商的系统集成伙伴，承接校园网络、企业内部网，为用户提供新技术咨询，系统论证，方案设计、分析，网络安全评估，技术培训，系统工程维护。

公司主要大客户有：***********等。

公司现已成为*****电脑设备采购唯一指定供应商、******指定设备维护点、*******有限公司设备现场维护及供应商。

经过多年的发展,公司已形成完善的企业架构，公司始终坚持“创新求生存、服务创效益、信誉促发展”的管理方针，在IT产业日新月异的今天，将以更成熟，更优质的服务为客户提供最佳的解决方案。

公司名称：企业法人：地址：电话：

第7页共49页

××××××有限公司信息安全与信息技术服务管理手册

0.4 手册的管理

1.《信息安全与信息技术服务管理手册》的批准

管理者代表负责组织手册的编制，总经理负责手册的批准。 2.手册的发放、更改、作废与销毁

a）综合部负责按《文件管理程序》的要求，进行手册的登记、发放、回收、更改、归档、作废与销毁工作；

b）相关部门按照受控文件的管理要求对收到的手册进行使用和保管； c）综合部按照规定发放修改后的手册，并收回失效的文件做出标识统一处理，确保有效文件的唯一性；

d）综合部保留手册修改内容的记录。 3.手册的换版

当存在以下情况时，需对手册进行修订和换版：

a）依据的《ISO27001: 2013 信息技术-安全技术-信息安全管理体系-要求》和《ISO20000-1: 2018 信息技术-服务管理体系-要求》标准有重大变化；

b）组织的结构发生变化；

c）内外部环境、生产技术、信息安全风险等发生重大改变；换版应在管理评审时形成决议，重新实施编、审、批工作。 4.手册的控制

a）本手册标识分受控文件和非受控文件两种：

——受控文件发放范围为公司领导、各相关部门的负责人、内审员（除综合部存档外，其他相关人员均以电子版形式发放）；

——非受控文件指印制成单行本，作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。

b）手册有书面文件和电子文件，电子版本文件的有效格式为Word文档保护格式。

第8页共49页

××××××有限公司信息安全与信息技术服务管理手册

1 范围

从组织环境的角度考虑，为建立、实施、运行、监视、评审、保持和改进文件化的信息安全与信息技术服务管理体系，确定信息安全与信息技术服务方针和目标，对信息安全与信息技术服务进行有效管理，确保全体员工理解并遵照执行信息安全与信息技术服务管理体系文件、持续改进信息安全与信息技术服务管理体系的有效性，特制定本手册。

本手册从组织环境的角度规定了××××××有限公司信息安全与信息技术服务理体系要求、管理职责、内部审核、管理评审和信息安全和信息技术服务管理体系改进等方面内容。

本手册适用于××××××有限公司业务活动所涉及的与软件的研发和系统集成服务相关的信息安全管理活动。及××××××有限公司为客户提供计算机信息系统集成，应用软件开发及相关运维服务相关的信息技术服务管理活动。

本手册采用了《ISO27001: 2013 信息技术-安全技术-信息安全管理体系-要求》和《ISO20000-1: 2018 信息技术-服务管理体系-要求》标准正文的全部内容。

2 规范性引用文件

下列文件中的条款通过引用而成为本手册的条款。凡是标注日期的引用文件，其随后所有的修改单或修订版均适用于本标准，然而，相关部门应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。

ISO/IEC 20000-1: 2018 《信息技术-服务管理体系-要求》 ISO/IEC 20000-5: 2018 《信息技术-服务管理实施策划示例》 ISO/IEC 20000-2: 2019 《信息技术-服务管理实施指南》

ISO/IEC 20000-3: 2012 《信息技术-服务管理范围定义和适用性指南》 ISO/IEC 27001: 2013 《信息技术-安全技术-信息安全管理体系-要求》 ISO/IEC 27000《信息技术-安全技术-信息安全管理体系-概述和词汇》

第9页共49页

××××××有限公司信息安全与信息技术服务管理手册

ISO/IEC 27002: 2013《信息技术-安全技术-信息安全管理实用规则》

3 术语和定义

ISO/IEC 27000《信息技术-安全技术-信息安全和信息技术服务管理体系-概述和词汇》、ISO/IEC 20000-1: 2018信息技术-服务管理体系-要求》、ISO20000-2：2005《信息技术服务管理实施指南》、ISO/IEC 20000-5:2018《信息技术-服务管理实施策划示例》中规定的术语和定义适用于本手册外，以下定义同样适用。

3.1 信息系统

信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统，是一个由人、计算机及其他外围设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。

3.2 计算机病毒

指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

3.3 信息安全事件

指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。

3.4 相关方

关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为：政府、上级部门、供方、用户等。

第10页共49页

××××××有限公司信息安全与信息技术服务管理手册

4 组织环境

4.1 理解组织及其环境

公司应确定与其目标相关并影响其实现信息安全和信息技术服务管理体系预期结果的能力的外部和内部问题。 4.1.1 内部问题

a) 公司推行信息安全和信息技术服务管理体系的时间不长，内部制度的建

立还有很大提升空间；

b) 内部人员对信息安全和信息技术服务体系的理解还需要提升； c) 人才储备不够； d) 人员成本控制较高。 4.1.2 组织外部问题

a) 来自其他品牌的竞争； b) 法律法规的变化；

c) 客户方对项目要求高、工期紧。 4.2 理解相关方的需求和期望

公司信息安全风险评估小组应定期识别和确定与信息安全和信息技术服务管理体系有关的相关方。

这些相关方包括与本公司信息安全和信息技术服务绩效有利益关系的组织和个人，主要为：

a) 政府机构；

b) 上级部门**技术研究所； c) 供方； d) 客户等。

第11页共49页

××××××有限公司信息安全与信息技术服务管理手册

政府机构和上级部门的要求详见《法律法规清单》，客户和供方的要求包含在合同要求中。

4.3 确定管理体系的范围

本公司根据组织环境、内外部面临的问题、相关方的需求和期望、组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性定义了信息安全与信息技术服务管理体系的边界和适用性，本公司信息安全与信息技术服务管理体系的范围如下：

4.3.1 信息安全范围：

与计算机信息系统集成，应用软件开发及相关运维服务相关的信息安全管理活动。

4.3.2 信息技术服务范围：

为客户提供计算机信息系统集成，应用软件开发及相关运维服务相关的信息技术服务管理活动。

与4.3.1、4.3.2范围活动相关的信息系统、各部门（包括市场部，技术部，综合部）的所有员工，活动、产品包含的全部信息资产（不在体系覆盖范围内的相关部门，以公司内部相关方形式出现）。 4.3.3 组织范围：

本公司信息安全与信息技术服务管理体系适用的组织范围，见<附录A 组织机构图>。 4.3.4 物理范围

中国**省**市*********

本公司信息安全与信息技术服务管理体系的物理范围安全边界详见<附录C 办公区域平面图>。

第12页共49页

××××××有限公司信息安全与信息技术服务管理手册

4.4 信息安全管理体系

本公司在日常经营管理活动中，按ISO/IEC 27001: 2013《信息技术-安全技术-信息安全管理体系-要求》规定，建立、实施、保持和持续改进信息安全管理体系。

信息安全管理体系使用的过程基于图1所示的PDCA模型。

图1 信息安全管理体系模型

4.5 信息技术服务管理体系

本公司IT服务管理团队按照 ISO20000-1：2018标准的要求，遵循 PDCA 模式策划、实施、检查和改进IT服务管理体系。信息技术服务管理体系使用的过程基于图2所示的PDCA模型。

图2 信息技术服务管理体系模型

第13页共49页

××××××有限公司信息安全与信息技术服务管理手册

4.5.1 策划（P）

IT负责人负责组织策划ITSMS的实施和发布，同时建立、实施和维护服务管理计划。服务管理策划/计划应包含或引用至少以下内容：

a) 由本公司IT服务部门来实现的服务管理目标； b) 服务要求；

c) 影响服务管理体系的已知限制；

d) 策略、标准和法律法规要求和合同义务； e) 权限、职责和流程角色框架；

f) 针对计划、服务管理流程和服务的权限和职责；

g) 完成服务管理目标所需要的人力、技术、信息和财务资源；

h) 在与其它各方合作时采取的步骤，包括设计和转化新的或的服务流程； i) 对服务管理流程和服务管理体系的其它组成部分进行整合时接口的步骤。 j) 风险管理和接受风险的准则的步骤； k) 用于支持服务管理体系的技术；

l) 服务管理体系和服务的成效需要被测量、报告和改进。

特定流程的计划应与服务管理计划相一致。该服务管理计划和特定流程的计划，应按照计划的时间间隔进行评估，如果适用，进行更新。 4.5.2 实施（D）

本公司根据服务管理计划，通过策划、转化、交付和提高来实施和运行服务管理体系，包含但不限于以下行为：

a) 为服务实施准备资金并做好预算分配，有效管理预算执行，以确保服务

管理体系能够按步骤、持续的完成实施；

b) 建立专业的IT服务团队，合理分配服务角色和职责，通过任命或招聘的

方式确保人员到位；

c) 对IT服务管理团队，技术和信息资源进行有效的管理；

d) 设定相关KPI指标确保过程运行质量，识别、评估并控制IT服务的风险；

第14页共49页

××××××有限公司信息安全与信息技术服务管理手册

e) 按照各个服务管理流程的方针、计划、程序和定义实施服务管理； f) 根据IT服务报告管理过程要求，定期出具IT服务管理体系运行相关报

告以对服务管理行为的绩效进行监控和报告。

4.5.3 监视、测量和评审（C）

公司建立内部审核及管理评审控制程序等以及ITSMS的有效性和服务效果进行监督和度量。以证实ITSMS和各项服务的能力可以实现服务管理目标并达到服务的要求。同时已识别不符合本部分的ISO/IEC 20000-1:2018的要求，包括服务提供者或服务要求确定ITSMS的要求。对内部审核和管理评审的结果予以记录，其中包括不符合项，关注以及确定的行动。并将结果和行动通知各利益相关方。 4.5.4 改进（A）

各部门通过实施过程以识别、测量、报告，并进行持续改进活动，包括： a) 过程所有者可使用日常的活动来实施单个过程的改进，即实施单个的纠

正和预防措施；

b) 跨组织或涉及多个过程的改进。

5 领导

5.1 领导和承诺

高层管理者应通过以下方式展示其关于信息安全与信息技术服务管理体系的领导力和承诺：

a) 确保制定信息安全和信息技术服务管理体系的方针和目标，与战略方向

一致；

b) 确保将信息安全与信息技术服务管理体系要求整合到组织的业务过程中； c) 确保信息安全与信息技术服务管理体系所需资源可用； d) 确保对信息技术服务生命周期的相关方进行控制和管理；

e) 传达信息安全与信息技术服务管理有效实施、符合信息安全与信息技术

第15页共49页

××××××有限公司信息安全与信息技术服务管理手册

服务管理体系要求的重要性；

f) 确保信息安全与信息技术服务管理体系实现其预期结果；

g) 指挥并支持人员为信息安全与信息技术服务管理体系的有效实施做出贡献； h) 确保为组织和确定的客户创造价值；

i) 沟通有效的信息技术服务管理的重要性，实现信息技术服务管理目标，交付

价值和符合信息技术服务管理体系的要求； j) 促进持续改进；

k) 支持其他相关角色在其职责范围内展示他们的领导力。

l) 定期对信息安全与信息技术服务管理体系进行内审和管理评审，以确保

体系的适宜性、充分性和有效性；

5.2 方针

高层管理者应建立信息安全与信息技术服务方针。(见信息安全与信息技术服务方针目标文件)。 5.3 组织角色、职责和权限

本公司总经理为信息安全与信息技术服务管理体系的最高责任者。总经理指定了信息安全与信息技术服务管理者代表。无论信息安全与信息技术服务管理者代表在其他方面的职责如何，对信息安全负有以下职责：

a) 建立并实施信息安全与信息技术服务管理体系必要的程序并维持其有效

运行；

b) 对信息安全与信息技术服务管理体系的运行绩效向总经理报告； c) 对各部门的信息安全与信息技术服务管理体系的运行情况在公司内部进

行通告。

各部门负责人为本部门信息安全与信息技术服务管理责任者，全体员工都应按信息安全与信息技术服务管理体系的要求自觉履行信息安全义务。各部门、人

第16页共49页

××××××有限公司信息安全与信息技术服务管理手册

员有关信息安全与信息技术服务职责分配见<附录D 信息安全与信息技术服务管理职责分配表>。

6 策划

6.1 应对风险和机会的措施

6.1.1 当策划信息安全和信息技术服务管理体系时，要考虑公司面临的内外部问题、相关方的要求和期望，确定需要应对的风险和机会。

a) 确保信息安全和信息技术服务管理体系能实现其预期效果； b) 防止或减少意外的影响； c) 实现持续改进。

6.1.2 公司应策划以下方面的文件化信息：

a) 有关的风险：

1) 组织；

2) 不满足信息安全和信息技术服务要求； 3) 信息技术服务生命周期中的相关方。

b) 风险对客户的影响和信息安全、服务管理体系及其机遇； c) 风险接受标准； d) 风险管理的方法。 6.1.3 公司应策划

a) 应对风险和机遇的措施及优先级； b) 如何

1) 将这些措施整合到信息安全和信息技术服务管理体系过程中，并予

以实现；

2) 评价这些措施的有效性。

第17页共49页

××××××有限公司信息安全与信息技术服务管理手册

6.1.4 信息安全风险评估

相关部门负责组织制定《信息安全风险识别与评价管理程序》，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。信息安全风险评估依据《信息安全风险识别与评价管理程序》进行，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。

a) 识别风险

在已确定的信息安全和信息技术服务管理体系范围内，本公司按《信息安全风险识别与评价管理程序》识别与信息保密性、完整性和可用性损失有关的风险，并确定每个风险的负责人。

b) 分析和评价风险

本公司按《信息安全风险识别与评价管理程序》规定，分析风险发生的可能性和可能导致的潜在后果，并计算风险等级。根据风险接受准则，判断风险为可接受或需要处理。 6.1.5 信息安全风险处置

组织相关部门根据风险评估的结果，对风险进行处置，确定风险控制措施。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：

a) 控制风险，采用适当的内部控制措施；

b) 接受风险（不可能将所有风险降低为零，但可控制到可接受范围内）； c) 避免风险（如物理隔离）；

d) 转移风险（如将风险转移给保险者、供方、分包商）。

控制措施的选择原则来源于 ISO27001: 2013《信息技术-安全技术-信息安全管理体系-要求》附录A。本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。对风险处置计划要得到风险负责人的批准，风险处置后的剩余风险，也要得到风险责任人的批准。

第18页共49页

××××××有限公司信息安全与信息技术服务管理手册

相关部门负责组织编制《信息安全适用性声明》（SOA）。该声明包括以下方面的内容：

a) 所选择控制目标与控制措施的概要描述，以及选择的原因；

b) 对ISO27001: 2013 附录A中未选用的控制目标及控制措施理由的说明。 6.2 管理目标及其实现策划 6.2.1 信息安全目标和实现规划

公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标，并在全公司发布，参见信息安全方针目标文件。 6.2.2 信息技术服务管理目标及其实现策划

公司IT服务最高管理者应确保对信息技术服务管理的策划： a) 制定适宜的IT服务管理目标，以明确公司IT服务管理的宗旨； b) 包括构建信息技术服务管理框架，确保正确地、清晰地理解客户需求，

有效地满足客户需求和提高客户满意度，实现对客户服务需求的承诺； c) 包括持续改进SMS（服务管理体系）成效的承诺和包括通过在第4.5节

中介绍的持续改策略的服务承诺；

d) 提供一个建立和检查服务管理目标的框架；

e) 公司的所有IT服务员工都要严格遵守并理解公司的IT服务方针、程序

和制度。

建立服务持续性管理过程，对服务持续适宜性进行评审。 6.3 策划信息技术服务管理体系

公司应制定、实施和维护信息技术服务管理计划。计划应考虑到服务管理方针，服务管理目标，风险与机遇。

服务要求和ISO20000-1：2018标准的要求。服务管理计划应包含或引用以下内容：

第19页共49页

××××××有限公司信息安全与信息技术服务管理手册

a) 服务清单；

b) 影响服务管理体系和服务的已知限制；

c) 有关的方针、标准和法律法规要求、合同的义务； d) 服务管理体系和服务的权限、职责；

e) 运行服务管理体系和服务所需要的人员、技术、信息和财务资源； f) 服务生命周期中和相关方采取的工作方法； g) 支持服务管理体系的技术；

h) 如何测量、审核、报告和改进服务管理体系和服务的有效性。其他的计划应与服务管理计划相一致。

7 支持

7.1 资源

本公司确定并提供建立、实施、保持和持续改进信息安全与信息技术服务管理体系所需资源。 7.2 能力

公司相关部门组织制定并实施《人力资源管理程序》文件，达到以下要求： a) 确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力； b) 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作； c) 适用时，采取措施以获得必要的能力，并评估所采取措施的有效性； d) 保留适当的文件化信息作为能力的证据。

注：适用的措施可包括，例如针对现有雇员提供培训、指导或重新分配；雇佣或签约有能力的人员。 7.3 意识

公司通过培训、教训等措施，保证工作人员了解：

第20页共49页

××××××有限公司信息安全与信息技术服务管理手册

a) 信息安全与信息技术服务方针；

b) 其对信息安全与信息技术服务管理体系有效性的贡献，包括改进信息安

全与信息技术服务绩效带来的益处；

c) 不符合信息安全与信息技术服务管理体系要求带来的影响。 7.4 沟通

公司制定了信息安全与信息技术服务沟通管理程序，明确了信息安全和信息技术服务管理体系相关的内部和外部的沟通需求，包括：

a) 沟通内容； b) 沟通时间； c) 沟通对象； d) 谁负责沟通； e) 沟通方式。 7.5 文件化信息 7.5.1 总则

本公司信息安全与信息技术服务管理体系文件包括： a) 信息安全与信息技术服务管理体系范围； b) 信息安全与信息技术服务管理方针和目标； c) 信息安全与信息技术服务管理计划； d) 信息安全与信息技术服务管理体系的过程；

e) 本手册要求的《信息安全风险识别与评价管理程序》、《业务持续性管理

程序》、《纠正措施管理程序》等支持性程序；

f) 信息安全与信息技术服务管理体系引用的支持性程序。如：《文件管理程

序》、《记录管理程序》、《内部审核管理程序》等；

第21页共49页

××××××有限公司信息安全与信息技术服务管理手册

g) 服务级别协议（SLA）及服务目录；

h) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序； i) 《风险评估报告》、《风险处理计划》以及信息安全与信息技术服务管理

体系要求的记录类文件；

j) 相关的法律、法规和信息安全标准； k) 与外部供应商的合同、协议； l) 适用性声明（SOA）。 7.5.2 创建和更新

公司相关部门制定并实施《文件管理程序》，创建和更新文件化信息时，应确保适当的：

a) 标识和描述（例如标题、日期、作者或编号）；

b) 格式（例如语言、软件版本、图表）和介质（例如纸质、电子介质）； c) 对适宜性和充分性的评审和批准。 7.5.3 文件化信息的控制

公司相关部门制定并实施《文件管理程序》，对信息安全与信息技术服务管理体系所要求的文件进行控制。对手册、程序文件、管理规定、作业指导书和为保证信息安全与信息技术服务管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作做出规定，以确保在使用场所能够及时获得适用文件的有效版本。

文件化信息控制应确保：

a) 在需要的地点和时间，是可用和适宜的；

b) 得到充分的保护（如避免保密性损失、不恰当使用、完整性损失等）。为

控制文件化信息，适用时，公司应开展以下活动： c) 分发，访问，检索和使用；

第22页共49页

××××××有限公司信息安全与信息技术服务管理手册

d) 存储和保护，包括保持可读性； e) 控制变更（例如版本控制）； f) 保留和处置。

组织确定的为策划和运行信息安全与信息技术服务管理体系所必需的外来的文件化信息，应得到适当的识别，并予以控制。

注：访问隐含仅允许浏览文件化信息，或允许和授权浏览及更改文件化信息等决定。

8 运行

8.1 运行策划和控制

公司应针对满足信息安全与信息技术服务要求及实施确定的控制措施制定相关的程序和规章制度，所需的过程予以策划、实施和控制。组织也应实施计划以实现确定的信息安全与信息技术服务目标。

公司应详细记录信息安全与信息技术服务管理体系运行过程中的各种信息数据，以确保信息安全与信息技术服务管理体系是否正在按照计划有效运行。

当公司信息安全与信息技术服务方针、目标、工作计划和程序、控制措施等发生变更时，应进行管理。计划的变更要按照计划进行控制；非预期的变更要评审变更的影响，确保变更没有负面的影响，必要时采取措施减轻负面影响。

公司目前没有外包过程。

8.2 信息安全风险评估与信息技术服务组合 8.2.1 信息安全风险评估

相关部门按照6.1.2章的风险接受准则和风险评估方法，每年至少进行一次风险评估，并产出风险评估报告。当重大变更提出或发生时，也需要执行信息安全风险评估。 8.2.2 服务交付

第23页共49页

××××××有限公司信息安全与信息技术服务管理手册

各相关部门应依照本手册运行服务管理体系，确保协作活动和资源，应执行交付服务所需要的活动。服务组合通常管理服务生命周期中的所有服务，包括提议的、开发中的、服务目录中的在线服务和即将停止的服务。服务组合管理确保服务提供者有正确的服务构成。服务组合管理活动包括服务策划，控制服务生命周期的相关方、服务目录管理、资产管理和配置管理。 8.2.3 策划服务

已存在服务、新服务、服务变更的要求应确认和保留文件化信息。公司各部门应基于组织、客户、用户和相关方的需求确认服务的关键性。公司应确认和管理服务间的依赖关系和复制关系。

考虑巳知限制和风险，公司应提议服务变更，以便服务与服务管理方针、服务管理目标和服务要求保持一致。

考虑可用资源，公司应对服务变更进行优先排序和提议新服务、服务变更，以便服务管理目标和业务目标保持一致。 8.2.4 控制服务生命周期的相关方

8.2.4.1 公司应对本文件规定的要求负责以及服务的交付，而不管哪一方参与了支持服务生命周期的活动。

公司应确认和应用本标准评估和选择服务生命周期中的其它相关方。其它相关方可以是外部供应商、内部供应商和客户充当的供应商。

其它相关方不应提供和运行服务管理体系范围内所有的服务、服务组件或流程。

公司应确认和文件化下列内容： a) 其它相关方提供和运行的服务； b) 其它相关方提供和运行的服务组件；

c) 其他相关方运行的服务管理体系范围内的流程或部分流程。

公司应集成组织自身或其它相关方提供和运行的服务管理体系范围内的服

第24页共49页

××××××有限公司信息安全与信息技术服务管理手册

务、服务组件和流程。以满足服务要求。公司应进行协调包括服务生命周期中，策划、设计、转换、交付和改进活动的其它相关方。 8.2.4.2 公司应对其它相关方定义和应用下列控制措施：

a) 测量和评估过程绩效；

测量和评估服务、服务组件满足服务要求的有效性。

8.2.5 服务目录管理

公司应创建和维护一个或多个服务服务目录。服务目录应包括描述服务的组织、客户、用户和其他相关方的信息、它们预期的结果和服务间的依赖关系。

公司应对客户、用户和其他相关方提供合适的访问（部分）服务目录的渠道。 8.2.6 资产管理

公司应确保管理用于交付服务的资产以满足服务要求和章节6.3规定的义务。 8.2.7 配置管理

配置项的类型应定义，服务应分类为配置项。

配置信息应记录到适合服务关键性和类型的详细程度，访问配置信息应受控。每个配置项的配置信息应包括：

a) 唯一性标识； b) 配置项类型； c) 配置项描述； d) 与其它配置项的关系： e) 状态。

配置项应受控，配置项的变更应可追溯和可审计的，以维护配置信息的完整性。配置项的变更发布后，配置项应更新。

适用时，配置信息应对其它服务管理活动可用。

第25页共49页

××××××有限公司信息安全与信息技术服务管理手册

8.3 信息安全风险处置与关系、协议管理 8.3.1 信息安全风险处置

相关部门按照6.1.3章的信息安全风险处置计划进行实施，并按照风险接受准则评价实施效果，对风险处理后的残余风险，得到风险负责人的批准。 8.3.2 关系与协议总则

公司利用供应商以: a) 提供和运行服务； b) 提供和运行服务组件：

c) 运行服务管理体系范围内的流程或部分流程。 8.3.3 业务关系管理

服务的客户、用户和相关方应予以识别，并保留成文信息。公司应指定一个或多个专人负责管理客户关系和维护客户满意度。公司应与确定客户和相关方沟通的安排，沟通应促进对不断进化的服务运行的业务环境的理解, 应使公司能够响应新的或变更的服务的要求。

公司应与客户按策划的时间间隔评审服务绩效趋势和结果。

公司应按照策划的时间间隔，基于对服务的客户进行抽样，调查客户满意度。应对结果进行分析和评审以识别改进机会。

服务投诉应予以记录、管理直至关闭和报告。当服务投诉通过正常渠道得不到解决，应升级处理。 8.3.4 服务级别管理

公司应与客户约定交付的服务。

对于所交付的每项服务,公司应基于服务要求与客户协商确定一个或多个服务级别协议（SLAs）。服务级别协议应包括服务级别目标，工作量和例外情况。

公司应按照策划的时间间隔监控、评审和汇报：

第26页共49页

××××××有限公司信息安全与信息技术服务管理手册

a) 服务级别目标的绩效；

b) 与服务级别目标的工作量比较，实际和周期性的工作量的变更。服务级别目标未满足时，公司应识别改进机会。公司和客户交付服务的协议可以以多种形式存在，如成文的协议，会议中的口头协定，电子邮件形式的协议或同意服务许可协议的形式。 8.3.5 供应商管理 8.3.5.1 管理外部供应商

公司应指定一个或多个专人负责管理与外部供应商的关系、合同和绩效。组织和外部供应商应协商形成成文的合同。合同中应包含或引用以下内容： a) 外部供应商提供或者运行的服务范围、服务组件、流程或部分流程； b) 外部供应商需要满足的要求； c) 服务等级目标或其它合同义务； d) 公司外部供应商的职责与权限。

图3 服务提供商与供方的关系示例

公司应评估外部供应商的服务等级目标或若其它合同义务与客户的服务等级目标保持一致，和管理己识别的风险。

公司应按照策划的时间间隔监视外部供应商的绩效。服务等级目标和其他合

第27页共49页

××××××有限公司信息安全与信息技术服务管理手册

同义务未满足的场合，公司应确保识别改进机会。

公司应按照策划的时间间隔依据当前的服务要求评审合同。变更授权前，合同的变更对服务管理体系和服务的影响应予以评估。

公司和外部供应商的争议应予以记录、管理直至关闭。 8.3.5.2 管理内部供应商和充当供应商的客户

对于每一个内部供应商和充当供应商的客户，公司应开发、协商和维护成文的协议，以定义服务等级目标、其他承诺、活动和相互间的接口。

公司应按照策划的时间间隔监视内部供应商和充当供应商的客户的绩效。服务等级目标和其它约定的承诺未满足的情况，公司应确保识别改进机会。 8.4 供应与需求 8.4.1 服务预算与核算

公司应在保持与财务管理方针和流程一致的情况下进行单个服务或一组服务的预算和核算。

应对服务成本进行预算，使提供的服务能有效地进行财务控制和决策。按照策划的时间间隔，公司应依据预算来监视和报告实际成本，审核财务预测并管理成本。 8.4.2 需求管理

按照策划的时间间隔，公司应： a) 确定服务当前需求和预测未来需求； b) 监视和评审需求与服务使用情况。 8.4.3 能力管理

考虑服务和性能要求，人员、技术、信息和财务资源的能力要求应予以确定、保留成文信息和维护。公司应对能为进行策划，包括：

a) 基于服务需求，当前和预测的能力；

第28页共49页

××××××有限公司信息安全与信息技术服务管理手册

b) 对约定的服务等级目标、服务可用性、服务连续性要求的预期影响； c) 能力变更的时间跨度和阀值。

公司应提供充分的容量满足商定的容量和性能要求。公司应监视能力的使用，分析能力和性能数据和识别改进机会。 8.5 服务设计、构建与转换 8.5.1 变更管理 8.5.1.1 变更管理方针

变更管理方针应予以制定和保留成文信息，以定义： a) 在变更管理控制下的服务组件和其它事项； b) 变更类别，包拈紧急变更，以及如何进行管理； c) 对客户或服务有潜在重大影响变更的确定标准。 8.5.1.2 变更管理启动

变更请求，包括增加、移除或转移服务，应予以记录和分类。公司应在下列情况依照8.5.2章节的服务设计和转换流程：

a) 由变更管理方针确定的，对客户或其它服务有潜在重大影响的新服务； b) 由变更管理方针确定的，对客户或其它服务有潜在重大影响的服务变更； c) 依据变更管理方针，通过服务设计和转换管理的变更类别； d) 移除服务；

e) 转移已存在的服务至客户或其他方； f) 从客户或其他方转移已存在的服务至组织；

评估、授权、调度和评审按8.5.2章节范围内的新服务或变更的服务应通过章节8.5.1.3的“变更管理活动”进行管理。

不在条款 8.5.2 范围内的变更请求应通过条款 8.5.1.3 的“变更管理活动”

第29页共49页

××××××有限公司信息安全与信息技术服务管理手册

进行管理。

8.5.1.3 变更管理活动

组织和相关方应就变更请求的授权和优先级做出决策。决策应考虑风险、业务收益、可行性和财务影响。决策也应考虑变更的潜在影响：

a) 已存在服务；

b) 客户、用户和其它相关方； c) 本手册规定的方针和计划：

d) 能力、服务可用性、服务连续性和信息安全； e) 其它变更请求、发布和部署计划。

授权的变更应予以准备、确认，可行的情况下，进行测试。授权变更的建议发布日期和其它细节应和相关方沟通。

回退或补救不成功变更的活动应予以策划，可行的情况下，进行测试。不成功的变更应予以调查和采取约定的措施。

公司应评审变更的有效性，与相关方采取约定的措施。

应按照策划的时间间隔分析变更请求记录以识别趋势。分析所得的结果和结论应予以记录和评审以识别改进机会。 8.5.2 服务设计与转换

8.5.2.1 策划新的或变更的服务

策划应依照8.2.2章节确定的新的或者变更的服务的要求，应包括或引用下列内容：

a) 设计、构建和转换活动的权限和职责；

b) 组织以及其他相关方拟执行的活动，包括时间跨度； c) 人员、技术、信息和财务资源； d) 与其它服务的依赖关系；

第30页共49页

××××××有限公司信息安全与信息技术服务管理手册

e) 新的服务或变更的服务需要的测试； f) 服务验收标准；

g) 以可测量的术语表述的交付新的或变更的服务的预期结果；

h) 对服务管理体系、其它服务、计划的变更、客户、用户和其它相关方的

影响。

针对将要被移除的服务，公司应进行服务移除的策划。策划额外应包括移除归档、数据的废弃与转移、文档信息以及服务组件。

受新的或变更的服务影响的配置项应通过配置管理控制。 8.5.2.2 设计

新的或变更的服务应予以设计和保留成文信息以满足8.2.2章节确定的服务要求。设计应包括下列内容：

a) 交付新的或变更的服务时的各方权限和职责； b) 对人员、技术、信息和财务资源变更的要求； c) 对适当的教育、培训和经验的要求；

d) 支持服务的新的或变更的服务等级协议、合同和其他形成文件的协议； e) 变更对服务管理体系的影响，包括新的或变更的方针、计划、过程、程

序、测量或知识； f) 对其它服务的影响；

g) 更新服务目录（一个成多个）。 8.5.2.3 构建与转换

新的或变更的服务应被构建和测试，以验证其能否满足服务要求，设计文件的要求，以及约定的验收标准。如果不符合服务验收标准，组织和相关方应就必要的措施和部署进行决策。

发布和部署管理应被用于部署已批准的新的或变更的服务到实际运行环境中。

第31页共49页

××××××有限公司信息安全与信息技术服务管理手册

转换活动完成后，公司应向相关方报告所实现的结果，并与预期结果进行对比。 8.5.3 发布与部署管理

公司应定义发布类型，包括紧急发布，发布频率和如何管理。

公司应与对新的或变更的服务和服务组件部署到实际运行环境进行策划。策划应与变更管理过程协调一致，并包含对相关的变更请求、已知错误和通过该发布所关闭问题的引用。策划应包括每个发布的部署日期、交付物和部署方法。

公司应依据成文的验收准则对发布进行验证，并在部署前被授权。如果未能满足验收准则，组织相关方应就采取必要的措施和部署进行决策。

发布部署到实际运行环境前，应建立受影响的配置项的基线。

发布应部署到实际运行环境中，以使服务和服务组件的完整性得到保持。应监视和分析发布的成功或失败。测量内容应包括发布在部署之后至随后的发布中的事件。分析的结果和结论应予以记录和评审以识别改进机会。

适用时，发布成功成者失败、未来发布日期的信息应对其它服务管理活动可用。

8.6 解决与完成 8.6.1 事件管理

事件应： a) 记录和分类；

b) 考虑影响和紧急性，进行优先排序； c) 需要时升级； d) 解决； e) 关闭。

事件记录应根据采取的措施进行更新。

公司应确定识别重大事件的标准。重大事件依据成文的程序进行分类和管理。

第32页共49页

××××××有限公司信息安全与信息技术服务管理手册

重大事件的信息应通知最高管理者。公司应分配管理重大事件的责任人。事件解决后，重大事件应予以汇报和评审，以识别改进机会。 8.6.2 服务请求管理

服务请求应： a) 记录和分类； b) 优先排序； c) 完成； d) 关闭。

服务请求应根据采取的措施进行更新。

服务请求完成的指南应对服务请求完成的有关人员可用。 8.6.3 问题管理

公司应分析事件数据和趋势，以识别问题。公司应进行根本原因分析和确定潜在的措施，以阻止事件的重复发生。问题应：

a) 记录和分类； b) 优先排序； c) 需要时升级； d) 可能时进行解决； e) 关闭。

问题记录应根据采取的措施进行更新，问题解决的变更应依据变更管理方针进行管理。

根本原因已经识别，但问题没有永久解决时，公司应确认降低和消除问题对服务影响的措施，已知错误应予以记录。适用时，己知错误的最新信息和问题解决方案应对其它服务管理活动可用。

按照策划的时间间隔，问题解决方案的有效性应予以监视、评审和报告。

第33页共49页

××××××有限公司信息安全与信息技术服务管理手册

8.7 服务保障 8.7.1 服务可用性管理

按策划的时间间隔，与服务可用性有关的风险应予以评估和保留成文信息。公司应确定服务可用性要求和目标。协定的要求应考虑相关的业务要求、服务要求、SLA 和风险。

服务可用性的要求和目标应保留成文信息并维护。

服务可用性应予以监控、记录结果和目标作比较。非计划的不可用应予以调查和采取必要的措施。 8.7.2 服务连续性管理

按策划的时间间隔，与服务连续性有关的风险应予以评估并保留成文信息。公司应确定服务连续性要求。协定的要求应考虑相关的业务要求、服务要求、SLA 和风险。

公司应建立、实施和维护一个或多个业务连续性计划。业务连续性计划应包括或引用下列内容：

a) 激活服务连续性计划的标准和职责； b) 在重大服务中断时实施的程序； c) 激活服务连续性计划时的可用性目标； d) 服务恢复要求；

e) 返回正常工作条件的程序。

正常服务位置访问被阻止时，服务连续性计划和联系人清单应有可访问的渠道。

按策划的时间间隔，服务连续性计划应按照服务要求进行测试。服务环境有重大变更后，服务连续性计划应重新测试。测试的结果应予以记录。每次测试后和服务连续计划激活后，发现有缺陷或不足时，公司应采取必要的措施。

服务连续性计划已经激活时，公司应报告原因、影响和恢复活动。

第34页共49页

××××××有限公司信息安全与信息技术服务管理手册

8.7.3 信息安全管理 8.7.3.1 信息安全策略

授权的管理者应同意组织的信息安全策略。信息安全策略应保留成文信息并考虑服务要求及6.3章节要求的义务。

适用时，信息安全策略应可用和可获取，公司应沟通符合信息安全策略的重要性和应用策略于服务管理体系和服务的下列人员：

a) 组织； b) 客户和用户；

c) 外部供应商、内部供应商和其它相关方。 8.7.3.2 信息安全控制措施

按策划的时间间隔，与服务管理体系和服务有关的信息安全风险应予以评估并保留成文信息。信息安全控制措施应确认、实施和运行，以支持信息安全策略和应对识别的信息安全风险。信息安全控制措施的决策应保留成文信息。

公司应同意和实施信息安全控制措施以应对与外部组织有关的信息安全风险。

公司应监控和评审信息安全控制措施的有效性，必要时，采取措施。 8.7.3.3 信息安全事件

信息安全事件应： a) 记录和分类；

b) 考虑信息安全风险，进行优先排序； c) 必要时进行升级； d) 解决； e) 关闭。

公司应基于类型、数量、对服务管理体系和相关方的影响分析信息安全事件，信息安全事件应报告和评审，以发现改进机会。

第35页共49页

××××××有限公司信息安全与信息技术服务管理手册

9 绩效评价

9.1 监视、测量、分析和评价

各部门采用适宜的方法来监视信息安全及信息技术服务管理过程，并在适当时进行测量。这些方法应证实过程实现所策划的结果的能力。 9.1.1 信息安全管理体系监视、测量、分析和评价

通过实施不定期检查、内部审核、事故（事件）报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：

a) 及时发现处理结果中的错误、信息安全体系的事故（事件）和隐患； b) 及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各

类攻击；

c) 使管理者确认人工或自动执行的安全活动达到预期的结果； d) 使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效； e) 积累信息安全方面的经验;

9.1.2 信息安全管理体系监视、测量、分析和评价

a) IT部门负责事件管理、问题管理、配置管理、能力管理等程序的监视、

测量和评审。负责对服务级别管理程序、供应商管理程序、服务改进与策划管理、满意度调查管理、投诉管理、变更管理等程序的监视、测量和评审。

b) 人力资源负责人力资源管理程序的监视、测量和评审。 c) 财务部负责服务预算及核算管理程序的监视、测量和评审。

9.1.3 公司应记录可能对信息安全和信息技术服务管理体系有效性或业绩有影响的活动和事情，并进行分析和评价，分析和评价结果上报管理者代表。 9.2 内部审核

公司应建立并实施《内部审核管理程序》，《内部审核管理程序》应包括策划

第36页共49页

××××××有限公司信息安全与信息技术服务管理手册

和实施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔进行内部审核，以确定其信息安全与信息技术服务管理体系的控制目标、控制措施、过程和程序是否：

a) 符合标准的要求；

b) 组织自身对信息安全与信息技术服务管理体系的要求； c) 得到有效地实施和保持。

应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果，对审核方案进行策划。应编制内审年度计划，确定审核的准则、范围、频次和方法。

每次审核前，内审组长应策划编制内审计划，确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。

应按审核计划的要求实施审核，包括：

a) 进行首次会议，明确审核的目的和范围，采用的方法和程序； b) 实施现场审核，检查相关文件、记录和凭证，与相关人员进行交流； c) 进行对检查内容进行分析，召开内审小组首次会议、末次会议，宣布审

核意见和不符合报告； d) 审核组长编制审核报告。

对审核中提出的不符合项报告，责任部门应编制纠正措施，由综合部组织对受审部门的纠正措施的实施情况进行跟踪、验证。

按照《记录管理程序》的要求，保存审核记录。内部审核报告，应作为管理评审的输入之一。 9.3 管理评审

总经理为确认信息安全与信息技术服务管理体系的适宜性、充分性和有效性，每年对信息安全与信息技术服务管理体系进行一次评审。该管理评审应包括对信息安全与信息技术服务管理体系是否需改进或变更的评价，以及对信息安全与信

第37页共49页

××××××有限公司信息安全与信息技术服务管理手册

息技术服务管理体系方针、目标的评价。管理评审的结果应形成书面记录。 9.3.1 管理评审输入

在管理评审时，管理者代表应组织相关部门提前提供以下相关资料，供最高责任者和信息安全与信息技术服务委员会进行评审：

a) 以往管理评审要求采取措施的状态；

b) 与信息安全与信息技术服务管理体系相关的外部和内部情况的变化； c) 信息安全与信息技术服务绩效有关的反馈，包括以下方面的趋势：

1) 不符合和纠正措施； 2) 监视和测量结果； 3) 审核结果；

d) 客户及其他相关方反馈；

e) 标准要求的信息安全与信息技术服务管理方针和其他要求的遵守性、适

宜性；

f) 实现信息安全与信息技术服务管理目标； g) 信息安全与信息技术服务绩效；

h) 信息技术服务生命周期中其它相关方的绩效；

i) 当前和预测的人员、技术、信息和财务资源级别和人、技术资源的能力； j) 风险评估的结果、风险处置计划、应对风险和机遇措施的有效性； k) 影响信息安全与信息技术服务管理体系和信息安全、服务的变更； l) 持续改进的机会。 7.3.2 管理评审的输出

管理评审报告应包括与持续改进机会相关的决定以及变更信息安全与信息技术服务管理体系的任何需求。

第38页共49页

××××××有限公司信息安全与信息技术服务管理手册

9.4 信息技术服务报告

公司应确定服务报告的要求和用途关于服务管理体系和服务绩效、有效性的服务报告应使用服务管理体系和服务交付活动产生的信息。服务报告应包括趋势。

公司应基于服务报告的发现决策和采取措施，已协定的措施应和其他相关方沟通。

10 改进

10.1 不符合及纠正措施 10.1.1 不符合和纠正措施

公司应建立并实施《纠正措施管理程序》，当发生不符合时，公司应： a) 对不符合做出反应，适用时：

1) 采取措施控制并纠正不符合； 2) 处理后果。

b) 通过以下方法，评价采取消除不符合原因的措施的需求，防止不符合再

发生，或在其他地方发生： 1) 评审不符合； 2) 确定不符合的原因；

3) 确定类似的不符合是否存在，或可能发生。 c) 实施需要的措施；

d) 评审所采取的纠正措施的有效性；

e) 必要时，对信息安全和信息技术服务管理体系进行变更。纠正措施应与所遇到的不符合的影响程度相适应。 10.1.2 各相关部门应形成文件化的信息作为以下方面的证据：

a) 不符合的性质及所采取的任何后续措施；

第39页共49页

××××××有限公司信息安全与信息技术服务管理手册

b) 任何纠正措施的结果。 10.2 持续改进

公司应持续改进信息安全与信息技术服务管理体系及信息安全、服务的适宜性、充分性和有效性。

授权决策时，组织应确定适用于改进机会的评估标准。评估标准应包括和组织服务管理目标保持一致。

改进机会应保留成文信息。组织应对确认的改进机会进行管理，包括下列活动：

a) 在质量、价值、能力、成本、成果、资源利用率和风险降低等方面设置

一个或多个改进目标；

b) 确保改进活动进行优先排序、策划和实施； c) 必要时，对服务管理体系进行变更；

d) 针对设定的目标，测量实施的改进，目标未满足的场合，采取必要的措

施；

e) 汇报实施的改进。

第40页共49页

××××××有限公司信息安全与信息技术服务管理手册

附录A组织机构图

附录B 信息安全与信息技术服务管理职责表

序号 1 部门总经理职责 1) 信息安全与信息技术服务第一责任人，制定信息安全与信息技术服务方针，对信息安全与信息技术服务全面负责。 2) 组织制定并批准信息安全与信息技术服务管理方针、信息安全与信息技术服务目标和计划。为发展、贯彻、运行和保持 ISMS 和ITSMS提供充足的资源为员工提供所需的资源，并赋予其职责范围内的自主权。负责任命管理者代表，并定期进行管理评审。 3) 决定风险的可接受水平。 4) 负责批准公司信息安全管理手册和管理评审计划。 2 管理者代表负责建立、实施、检查、改进信息安全与信息技术服务管理体系（具体见《管理者代表授权书》）。第41页共49页

××××××有限公司信息安全与信息技术服务管理手册

序号 3 部门职责 IT技术部-研是我公司的信息系统安全管理部门。发组 1) 负责公司信息系统安全日常管理。负责技术管理过程的信息安全管理。 2) 负责对影响我公司业务连续性的信息系统隐患进行管理。 3) 对公司在经营过程中产生的数据进行备份和保护。 4) 负责公司计算机相关设备的运行维护和管理。 5) 负责本部门职责范围内的信息安全管理体系运行工作。 6) 负责对用户访问网络实施授权管理，防止非授权用户非法入侵公司信息系统。 7) 负责对网络的运行情况进行监控。 8) 负责局域网上所承担的各类信息系统的管理职能。 9) 负责对网络设备的严格控制，以及网络服务的管理。 10) 负责新产品（设备）的研发工作，及研发过程中的信息安全管理。 4 技术部-售前售中售后技术支持组 1) 负责公司项目实施过程中的信息安全与信息技术服务管理。 2) 负责项目施工质量、进度及验收管理，制作项目验交报告。 3) 负责物料的选型与物料样品的测试判定工作。 4) 负责新产品（设备）的研发工作，及研发过程中的信息安全管理。 5) 负责公司产品的售前和售后的信息安全管理。 5 综合部—人事行政组我公司信息安全管理体系的归口管理部门。 1) 负责信息安全与信息技术服务管理体系的建立、实施、保持、测量和改进。 2) 负责文件控制、记录控制、内部审核的组织、管理评第42页共49页

××××××有限公司信息安全与信息技术服务管理手册

序号部门职责审的组织和体系的改进。 3) 负责本公司保密工作的管理。 4) 负责安全区域的管理。负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。对信息安全与信息技术服务日常工作实施动态考核，将信息安全与信息技术服务管理作为企业管理的重要工作内容。参与涉密及司法介入的信息安全事件的调查。 5) 负责信息安全与信息技术服务管理体系的运行工作。 6) 负责对公司所有竣工项目进行质量巡检和售后服务中信息安全管理工作。 7) 负责对顾客反馈的质量问题进行分析、制定措施，并及时处理。 8) 负责公司物料采购中的信息安全管理。 9) 负责对内产品验收：面向内部，以产品质量为导向，保证交付。负责对外产品采购、验收；面向友商、供应厂商，做好甲方工作。 10) 负责公司人员安全管理，包括人员聘用管理，保密协议签署，员工的能力、意识和培训，员工离职管理。 6 财务部负责公司财务相关的信息安全管理，包括出纳、人员工资发放 7 市场部负责公司的市场拓展，完成收款和维护客户关系方面的信息安全管理。 8 采购部负责IT设备的采购以及供应商的管理。附录C 办公区域平面图

（略）

第43页共49页

××××××有限公司信息安全与信息技术服务管理手册

附录D 信息安全与信息技术服务管理职责分配表

注：斜体字对应的是ISO2000-1：2018信息技术服务管理体系独有的条款。

责任部门标准条款最高管理者管理者代表IT技术部综合部业务部财务部采购部 4.1 理解组织及其环境 4.2 理解相关方的需求和期望 4.3 确定管理体系的范围 4.4 5.1 信息安全和信息技术服务管理体系领导作用和承诺 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● 5.2 方针 5.3 组织角色、职责和权限 6.1 应对风险和机会的措施 6.2 管理目标及其实现策划 6.3 策划信息技术服务管理体系 7.1 资源 7.2 能力 7.3 意识 7.4 沟通 7.5 文件化信息第44页共49页

××××××有限公司信息安全与信息技术服务管理手册

责任部门标准条款最高管理者管理者代表IT技术部综合部业务部财务部采购部 8.1 运行策划和控制 8.2 8.3 信息安全风险评估与信息技术服务组合信息安全风险处置与关系、协议管理 ○ ○ ○ ○ ○ ○ ● ● ● ● ● ● ○ ● ● ● ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ● ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 8.4 供应与需求 ● ● ● ○ ○ ● ○ ○ ○ 8.5 服务设计、构建与转换 8.6 解决与完成 8.7 服务保障 9.1 监视、测量、分析和评价 9.2 内部审核 9.3 管理评审 9.4 信息技术服务报告 10 改进 10.1 不符合及纠正措施 10.2 持续改进注：●为主导部门，○为协助部门。

第45页共49页

××××××有限公司信息安全与信息技术服务管理手册

附录E 方针和目标

E.1 信息技术服务管理方针和目标

为防止由于信息技术服务的不及时所导致的企业和客户的损失，本公司建立了信息技术服务管理体系，制定了信息技术服务方针，确定了信息技术服务目标。

本方针适用于公司 IT 服务管理部门，提供了针对 IT 服务管理部门的管理目标和服务管理的方向。

? 信息技术服务管理方针：

快速响应、交付及时、安全服务、顾客满意

? 信息技术服务管理目标：

××××××有限公司信息技术服务管理的总体目标： 1) 客户服务满意率≥95%；

2) 提供高可用性和高可靠性的IT服务； 3) 提供可持续改进的IT支持服务。

第46页共49页

××××××有限公司信息安全与信息技术服务管理手册

E.2 信息安全管理方针和目标

为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失，本公司建立了信息安全管理体系，制订了信息安全方针，确定了信息安全目标。

? 信息安全管理方针：

数据保密控制风险持续改进全员参与提高绩效客户满意

本公司信息安全管理方针包括内容如下：一、信息安全管理机制

公司采用系统的方法，按照 ISO/IEC 27001: 2013 建立信息安全管理体系，全面保护本公司的信息安全。

二、信息安全管理组织

1.公司总经理对信息安全工作全面负责，负责批准信息安全方针，确定信息安全要求，提供信息安全资源。

2.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性。

3．在公司内部建立信息安全组织机构，信息安全管理委员会，保证信息安全管理体系的有效运行。

4.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态，获得对信息安全管理的支持。

三、人员安全

1.信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整安全职责和权限。

第47页共49页

××××××有限公司信息安全与信息技术服务管理手册

2.对本公司的相关方，要明确安全要求和安全职责。

3.定期对全体员工进行信息安全相关教育，包括：技能、职责和意识，以提高安全意识。

4.全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全措施。

四、识别法律、法规、合同中的安全

及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施，保证满足安全要求。

五、风险评估

1.根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。

2.采用先进的风险评估技术，定期进行风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。

3.应根据风险评估的结果，采取相应措施，降低风险。六、报告安全事件

1.公司建立报告信息安全事件的渠道和相应的主管部门。

2.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任，一旦发现信息安全事件，应立即按照规定的途径进行报告。

3.接受信息安全事件报告的主管部门应记录所有报告，及时做出相应的处理，并向报告人员反馈处理结果。

七、监督检查

定期对信息安全进行监督检查，包括：日常检查、专项检查、技术性检查、内部审核、管理评审等。每年管理评审或发生重大变化时对信息安全方针的持续适宜性、充分性和有效性进行评价，必要时进行修订。

八、业务持续性

第48页共49页

××××××有限公司信息安全与信息技术服务管理手册

1.公司根据风险评估的结果，建立业务持续性计划，抵消信息系统的中断造成的影响，防止关键业务过程受严重的信息系统故障或者灾难的影响，并确保能够及时恢复。

2.定期对业务持续性计划进行测试和更新。九、违反信息安全要求的惩罚

对违反信息安全方针、职责、程序和措施的人员，按规定进行处理。 ? 信息安全目标

公司总体重大信息安全事件(事故)为零，各部门信息安全目标如下：部门综合部目标 1) 公司经营策略，各类机密数据的泄露，遗失类安全事件为零，各类信息设施的可用性达到90%以上。 2) 人力资源泄密安全事件为零 1) 项目的施工方案及客户的资料2) 泄露，遗失类安全事件为零。公司产品的设计方案及产品的相关机密数据的泄露遗失类安全事件为零。软件源代码、研发资料泄露或每季度遗失类安全事件为零。客户数据泄露、遗失类安全事件为零。每年客户投诉不得多于3次。现场施工设备安装损坏率为零。系统集成现场技术资料泄露、遗失类安全事件为零统计频率评价方法 IT技术部 3) 4) 每个季度收集相关的安全事件并汇总，与目标比较看是否达到目标 5) 6) 市场部采购部公司方案，报价等机密信息的泄露，遗失类安全事件为零。 IT设备采购合格率≥98%。第49页共49页

××××××有限公司

ISO20000.1：2018信息技术服务管理-服务管理体系程序文件

发布日期：二〇二〇年二月一日

××××××有限公司信息技术服务管理体系

程序文件清单

第1页共1页

××××××有限公司信息技术服务管理体系

事件管理程序

文件编号：MC-ITSMS-P-01 版本：A0

编制：审核：批准：

××××××有限公司发布

第1页共8页

××××××有限公司信息技术服务管理体系

修订履历

修订日期版本 2020-01-30 A0 修订内容新制定修订人批准人生效日期 2020-02-01

第2页共8页

××××××有限公司信息技术服务管理体系

事件管理程序

1 目的

事件管理是一个被动性的任务，为了减少或消除存在或可能存在于IT服务中的干扰因素给IT服务带来的影响，以确保用户可以尽快恢复自己的正常工作。因此，将事件记录下来并分类，再分配给适当的专业人员处理，同时监控事件的发展，并在事件得到解决之后将其关闭。

事件管理流程主要功能是尽快解决日常工作环境中出现的事件，保持IT服务的稳定性，其目的包括：

1) 在成本允许的范围内尽快恢复服务。

2) 快速响应服务请求(电话，网站，即时通讯工具)。 3) 跟踪事件处理的状态。 4) 确认事件的解决和用户满意度。 5) 进行事件控制。 6) 按规范记录事件。

7) 就事件的优先级、影响范围等进行分类。 8) 分析，诊断，必要时进行升级。 9) 监视并结束事件。 10) 进行定期服务回顾。 11) 提供一个日常服务接口。

2 过程定义

事件是指在某一服务中不属于标准操作的并能导致或可能导致这个服务中断或服务质量下降的事件。事件管理流程是负责解决IT服务的突发事件的运维流程。它的目的是尽快恢复被中断或受到影响的IT服务，所以它的特点往往是以解决表面现象为目的，而不在于查找根本原因。

1) 事件分类：主动服务、被动服务。 2) 事件状态：已解决、未解决。 2.1 范围

1) 操作系统损坏，需要重新安排软件 2) 软件服务到期

第3页共8页

××××××有限公司信息技术服务管理体系

3) 由于本机硬件问题导致系统无法正常工作 4) 需要把原来的数据库导入新系统中 5) 不会使用软件，需要上门指导学习使用

6) 操作使用软件不当，软件文件损坏导致软件系统无法正常工作 7) 本身电脑因为中病毒、误操作、重新安装操作系统，软件无法启动 2.2 过程负责人

事件管理负责人 2.3 主要输入

输入服务热线、CRM、邮件、即时通讯工具（QQ、MSN） 2.4 主要输出

输出服务报告日常工作记录表 2.5 职责权限 2.5.1 事件管理负责人

主要具有以下职责：

1) 定义并维护事件管理流程文件及所需要的记录模板； 2) 管理事件管理流程的实施，包括一线、二线的执行情况； 3) 确保事件管理流程目标的实现；

4) 识别事件管理过程中存在的问题并及时向部门经理提出；

5) 定期向部门经理汇报实施过程中存在的问题；定义并维护发布管理流程

文件及所需要的记录模板； 6) 负责CRM的扩充、完善和修改。 2.5.2 一线支持

主要具有以下职责：

1) 收集有关事件解决方案的历史数据。 2) 事件的调查和诊断。

3) 根据解决方案把事件的影响降到最小，并确保快速恢复到正常服务水平。

第4页共8页

来源客户去向系统集成部系统集成部 ××××××有限公司信息技术服务管理体系

4) 遇到事件无法解决，将事件提交给相关二线支持，必要时进行事件升级，

上报部门经理。

5) 与服务请求的提交者或其他相关用户进行直接的沟通、跟踪、通报问题

的处理情况。

6) 将事件的解决步骤文档化，并仔细填写日常维护工作记录表。 7) 事件解决后，让用户进行确认事件已解决。 8) 结束事件，根据维护的实际情况更新相关信息。 2.5.3 二线支持

主要具有以下职责：

1) 负责解决客户的现场问题，把事件的影响降到最小。 2) 收集有关事件解决方案的历史数据。 3) 事件的调查和诊断。

4) 根据解决方案进行IT服务恢复。

5) 对利用“替代方案”解决的事件，在资源及时间允许时应找到事件根源。 6) 将事件的解决步骤文档化。

7) 必要时向部门经理汇报并进行事件升级。 8) 负责自行开发应用系统的代码维护。 2.6 过程重要控制点

需要转二线支持，由一线支持负责跟踪，直到确认事件关闭。 2.7 过程测量指标

1) 事件的总数； 2) 事件响应率； 3) 一线解决率； 4) 二线解决率； 5) 客户满意度；

事件流程负责人每月对事件处理的监控数据进行分析统计，形成服务报告。

3 术语

术语 IT服务一线支持二线支持定义公司承诺的对客户提供的系统运行维护服务，主要是指售后服务。指系统集成部的服务热线指系统集成部的研发人员。第5页共8页

××××××有限公司信息技术服务管理体系

4 流程

图1、事件管理流程一序号输入客户来电过程步骤输出负责人/部门1热线受理日常维护工作记录表、CRM一线支持请求记录和分类即时通讯2邮件能否解决否3CRM远程解决热线电话解决一线/二线支持能否解决否派单二线支持5现场服务响应CRMCRM46配置管理是调查诊断7确定解决方案变更管理是否提交问题8客户确认是问题管理一线/二线支持9资料归档10配置核对更新配置管理11服务热线关闭CRM一线支持12服务报告服务报告事件管理负责人 5 过程描述

5.1 热线受理

客户通过热线电话、邮件、即时通讯报告事件，收集好相关信息，受理并进入事件处理流程。

一线支持需要收集以下信息：

第6页共8页

××××××有限公司信息技术服务管理体系

1) 来电客户的单位名称、联系人、电话号码等基本信息。 2) 影响业务的具体原因、故障现象以及所属优先级。 3) 客户的期望解决的时间点。

客服将客户需要处理的事件的相关信息登记到CRM系统的服务台中进行分地域受理。

5.2 请求记录和分类

对于来自热线电话、邮件、即时通讯收集的信息，一线支持记录《日常维护工作记录表》，通过电话方式需要询问客户详细的事件描述，然后根据用户的描述判断事件的分类、优先级等信息。 5.3 热线电话尝试解决

一线支持人员受理事件后，首先根据用户所描述故障情况，参照CRM，对用户进行相应的指导解决。 5.4 远程解决

一线支持人员无法通过电话指导客户解决的事件，在征得客户同意的情况下，可以采用远程工具，登录客户计算机来操作解决。 5.5 二线支持

经一线支持人员尝试解决无果或经判断不属于一线支持能力范围内的，提交二线支持解决。

二线负责解决技术工作遇到的疑难问题，并分析其问题原因。及技术人员新增、各种配套服务设备添加的审批，并牵头解决重大的故障或者服务中产生的纠纷问题。

5.6 现场服务响应

技术人员（一线、二线）与客户确定好到达现场的日期、时间、地点，沟通需要让客户配合的事宜。

技术人员需准备最新版本的安装程序、用户手册、最新版本的升级补丁、现场服务记录单，有必要可约二线支持前往现场。 5.7 调查诊断

现场服务人员（一线、二线）在现场通过标准配置进行比对等方法对故障进行分析，查找出故障原因。 5.8 确定解决方案

技术人员根据故障分析结果确定解决方案，并与客户沟通执行解决方案所需要的时间，确定解决方案的可行性。若发生的事件一时解决不了，需要与客户约定解决时间。对于重大故障（故障等级为高或中）须做好数据备份。

第7页共8页

××××××有限公司信息技术服务管理体系

若故障处理时涉及一般、重大、紧急的变更，转变更管理流程，参考《变更管理程序》。

事件解决后，故障现场负责人分析若属于影响重大或经常出现的问题，需要通过问题管理进行彻底解决的，转问题管理流程，参考《问题管理程序》。 5.9 客户确认

待事件处理完毕，由一线人员通过电话回访方式进行确认，并更新《日常维护工作记录表》。 5.10 资料归档

技术支持人员将《日常维护工作记录表》进行归档。

当事件处理后配置项属性需要变更时，则由一线支持提交配置管理负责人进行配置项修改，参考《配置管理程序》。 5.11 热线关闭

当产生新的解决方案时，需要提交到CRM，对CRM进行相关的维护，该技术服务结束。 5.12 服务报告

事件管理负责人按每月对事件进行总结并分类，并将报告发给系统集成部经理。事件报告内容包括：

1) 2) 3) 4) 5)

本月事件总数。本月服务响应率。

一线支持解决事件总数。二线支持解决事件总数。事件数量的趋势分析和预测。

6 相关文件

《问题管理程序》 MC-ITSMS-P-02 《变更管理程序》 MC-ITSMS-P-03 《配置管理程序》 MC-ITSMS-P-04 《服务报告管理程序》 MC-ITSMS-P-15

7 相关记录

《服务报告》 MC-ITSMS-P-SR-15-01 《日常维护工作记录表》 MC-ITSMS-P-SR-01-01

第8页共8页

××××××有限公司信息技术服务管理体系

问题管理程序

文件编号：MC-ITSMS-P-02 版本：A0

编制：审核：批准：

××××××有限公司发布

第1页共7页

Word文档下载：ISO20000-2018信息技术服务管理体系全套体系文件模.doc

搜索更多:ISO20000-2018信息技术服务管理体系全套体系文件模