资源描述
****公司信息安全管理体系文件 信息安全目标与度量管理规定
常州大江网络工程有限公司
信息技术服务管理体系
ISO20000标准符合性声明
文件编号:SA-02001
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属本公司所有,受到有关产权及版权法保护。任何个人、机构未经本公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
文件密级:内部使用 第 1 页 共 12页
1. 分发控制
读者
文档权限
说明
公司内部员工
只读
2. 文件版本信息
版本号
修订
变更描述
日期
审核
批准
V1.0
编写组
全文
20100726
刘文中
陈明楷
3. 文件版本信息说明
文件版本信息,记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。
大江网络信息技术服务管理体系文件 ISO20000标准符合性声明
体系标准编号
体系标准目录
体系标准款项
相关文件
3 管理体系要求:提供管理体系,包括有效管理和实施所有IT服务所需的方针和框架。
3.1
管理职责
通过引导并采取措施,最高管理者或执行管理者应提供在组织业务与顾客需求环境中,所承诺开发、实施和改进其服务管理能力的证据。
管理者应:
a) 确定服务管理的方针、目标和计划;
b) 通报满足服务管理目标和持续改进要求的重要性;
c) 确保顾客需求已得到确定,并满足改进顾客满意度的目标;
d) 指定一位负责协作和管理所有服务的管理成员;
e) 确定并提供资源,以便策划、实施、监视、评审和改进服务的交付与管理,例如,补充适当人员、对人员流动进行管理;
f) 对服务管理组织和服务的风险进行管理;
g) 根据计划的时间间隔进行服务管理评审,以确保连续的适宜性、充分性和有效性。
《信息技术服务管理手册》
3.2
文件要求
服务提供商应提供文件和记录,以确保有效的策划、运行和控制服务管理。
《信息技术服务管理手册》;
《文件控制管理规定》;
《记录控制管理规定》;
a) 形成文件的服务管理方针和计划;
b) 形成文件的服务级别协议;
c) 形成文件的本部分要求的过程和程序;
d) 本部分要求的记录。
应确立创建、评审、批准、维护和控制不同类型文件和记录的程序和职责。
3.3
能力、意识和培训
应在定义并保持所有服务管理角色和职责的同时,定义并保持有效执行它们所要求的能力。
《教育培训管理办法》;
要对人员能力和培训进行评审和管理,以使人员有效地执行他们的角色。
高级管理人员应确保其雇员知道他们的活动的相关性和重要性、如何致力于完成服务管理目标。
4 服务管理的策划与实施(PDCA): 策划:根据顾客的要求和组织的方针,为提供结果建立必要的目标和过程;
实施:实施过程;检查:根据方针、目标和产品要求,对过程和产品进行监视和测量,并报告结果;处置:采取措施,以持续改进过程业绩。
4.1
服务管理的策划
策划服务管理的实施和交付。
应对服务管理进行策划,这些计划应定义:
a) 服务提供商的服务管理范围;
b) 服务管理要完成的目标和要求;
c) 要执行的过程;如何管理、审核并改进服务质量;
d) 管理目标和职责的框架,包括高层责任人、过程责任人和供方的管理;
e) 服务管理过程与协调活动的方式之间的接口;
f) 识别、评估并管理在完成规定目标过程中的问题和风险所采取的方法;
g) 连接创建或修改服务的项目的方法;
h) 完成规定目标所必要的资源、设施和预算;支持过程的适当工具;
《信息技术服务管理手册》;
《信息技术服务管理组织建设管理规定》;
《内部审核管理规定》;
《管理评审规定》;
为评审、授权、通报、实施并维护这些计划,应具备条理清晰的管理导向和形成文件的职责。
任何针对特定过程生成的计划都应与服务管理计划保持一致。
4.2
实施服务管理和提供服务
实施服务管理目标和计划。
服务提供商应实施服务管理计划,以管理并交付服务,包括:
a) 资金和预算的分配;
b) 角色和职责的分配;
c) 编制并维护每个过程或过程集合的策略、计划、程序和定义;
d) 服务风险的识别和管理;
e) 团队的管理,例如,补充并培养适当的人员,对人员的连续性进行管理;
f) 设施和预算的管理;
g) 包括服务台和服务运行组在内的团队的管理;
h) 按照计划报告进度;
i) 各服务管理过程的协作。
《业务关系流程管理办法》;
《服务级别流程管理办法》;
《信息技术服务管理手册》;
4.3
监视、测量和评审
监视、测量和评审正在实现的服务管理目标和计划。
服务提供商应采用适宜的方法来监视并适当的测量服务管理过程。这些方法应证实过程具有达到计划结果的能力。
《信息技术服务管理手册》;
《内部审核管理规定》;
《管理评审规定》;
管理层应根据计划的时间间隔进行评审,以确定服务管理需求是否:
a) 符合服务管理计划、本标准的要求;
b) 得到有效地实施和保持。
考虑拟审核的过程和区域的状况和重要性以及以往审核的结果,应对审核方案进行策划。应规定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。
服务管理的评审、评估与审核的目标,应与诸如审核及评审的结果和已识别的补救措施等一并记录在案。任何重大的不符合及相关事宜都应通报给相关方。
4.4
持续改进
改进服务交付和管理的有效性和效率。
4.4.1
策略
应发布有关服务改进的策略。任何与标准或服务管理计划的不符合都应进行补救。应清楚定义服务改进活动的角色和职责。
《信息技术服务管理手册》;
4.4.2
改进的管理
应评估、记录、排定优先顺序并授权所有建议的服务改进, 应使用服务改进计划来控制活动。
《纠正预防管理规定》;
服务提供商应具有一个适当的过程,来识别、测量、报告并管理处于进行中的改进活动。它应包括:
a) 单个过程的改进,可由过程责任人和相关人员来实施,例如,执行单个纠正和预防措施;
b) 整个组织的改进或多个过程的改进。
4.4.3
活动
服务提供商应执行活动以:
a) 收集并分析数据,为服务提供商的能力建立基线和标杆,以管理和交付服务与服务管理过程;
b) 识别、策划并实施改进;
c) 与所有相关方进行商议;
d) 设定改进质量、成本和资源利用的目标;
e) 考虑来自所有的服务管理过程改进的有关输入;
f) 测量、报告并通报服务改进;
g) 修订服务管理方针、过程、程序和计划中必须修订的内容;
h) 确保所有批准的措施都已交付执行,并达到了预期目标。
《信息技术服务管理手册》;
《各个流程管理办法》;
5 策划和实施新服务或变更的服务:确保新服务和服务的变更,按各方协商一致的成本和服务质量交付和管理。
5
策划和实施新服务或变更的服务
对新服务或变更的服务的提议,应考虑由服务交付和管理所产生的成本以及组织上、技术上和商业上的影响。
《信息技术服务管理手册》;
《新服务及变更服务管理办法》;
包括服务的终止在内,新服务或变更服务的实施,应通过正式变更管理来策划和批准。
策划和实施应包括足够的资金和资源,以进行服务交付和管理所需的变更。
该计划应包括:
a) 实施、运行和维护新服务或变更的服务的角色和职责,包括顾客和供方要执行的活动;
b) 现存服务管理框架和服务的变更;
c) 通报给相关方;
d) 新的或变更的合同和协议,以与业务需求的变更保持一致;
e) 人力和招聘的需求;
f) 技能和培训需求,例如,终端用户、技术支持;
g) 与新服务或变更的服务有关的将要使用的过程、测量、方法和工具,例如,容量管理、财务管理;
h) 预算和时间进度表;
i) 服务验收准则;
j) 以可测量术语表示的运行新服务而产生的预期成果。
在进入实际运行环境之前,新服务或变更的服务应由服务提供商进行验收。
服务提供商应在实施之后,针对策划的内容,报告新服务或已变更服务取得的成果。应通过变更管理过程进行实施后的评审,对实际成果与策划内容进行比较。
6 服务交付过程
6.1
服务级别管理
定义、协商、记录并管理服务级别。
与相应服务级别目标和工作量特性一起提供的整体服务范围,应由相关方进行协商并记录。
《服务级别流程管理办法》;
所提供的每个服务都应定义、协商并记录在一个或多个服务级别协议(SLAs)中。
SLAs连同支持服务协议、供方合同及相关程序,都应由所有相关方签署并记录。
SLAs应处于变更管理过程的控制之下。
SLAs应由相关方定期评审,而得以保持,从而确保它们得到及时更新,并随时保持有效。
应依目标对服务级别进行监视和报告,显示有关当前和今后趋势的信息。应报告并评审不符合的原因。应记录在这个过程中已识别的改进措施,并为服务改进计划提供输入。
6.2
服务报告
为依据可靠信息做出决策和有效沟通,编制协商一致的、及时的、可靠的、准确的报告。
应清晰地描述每一份服务报告,包括它的标识、目的、读者和数据源的详情。
《服务报告流程管理办法》
应生成服务报告以满足已识别要求和顾客需求。
服务报告应包括:
a) 与服务级别目标相对应的绩效;
b) 不符合项和问题,比如违背SLA、安全漏洞;
c) 工作量特征,比如容量、资源利用率;
d) 主要事态之后的绩效报告,例如重大事件和变更;
e) 趋势信息;
f) 满意度分析。
管理决策和纠正措施应充分考虑服务报告中的发现,并应通报给相关方。
6.3
服务连续性和可用性管理
确保向顾客承诺的协商一致的服务连续性和可用性在任何情况下都能得到满足。
可用性和服务连续性的需求应基于业务计划、SLAs和风险评估来确定。需求应包括访问权和响应次数,以及系统部件的端对端可用性。
《可用性流程管理办法》;
《IT服务连续性流程管理办法》
应制定可用性和服务连续性计划,并至少每年对其进行一次评审,以确保所有情况下(从正常情况到服务重要损失情况)各方同意的要求得到满足。应对这些计划进行维护,以确保它们反映了企业所要求的协商一致的变更。
当业务环境发生重大变更时,应重新测试可用性及服务连续性计划。
变更管理过程应评估任一变更对于可用性和服务连续性计划的影响。
应对可用性进行测量和记录。应对计划之外的不可用性进行调查并采取适当措施。
当正常的工作访问被阻止时,应具有可用的服务连续性计划、联系人清单和配置管理数据库。服务连续性计划应包括返回正常工作状态。
应依据机构的要求来测试服务连续性计划。
应记录所有的连续性测试,测试失效之处应在行动计划中明确描述。
6.4
IT服务的预算与结算
服务供应成本的预算和结算。
应具备清楚的策略和过程进行:
a) 包括IT资产、共享资源、日常开支、外部供应服务、人员、保险和许可证等所有部件的预算和结算;
b) 与服务相关的间接成本和直接成本的分摊;
c) 有效的财务控制和授权。
《IT服务预算及财务管理办法》
应对支出进行足够详细的预算,以达到有效的财务控制和业务决策。
服务提供商应监视并报告预算的支出,评审财务预报,从而管理支出。
应通过变更管理过程来对服务变更进行估价和批准。
6.5
容量管理
确保服务提供商在所有时间内具有足够容量来满足当前及将来商定的顾客的业务要求。
容量管理应生成并维护一个容量计划。
《容量流程管理办法》;
容量管理应涉及业务要求并包括:
a) 当前和预计的容量与性能需求;
b) 已识别的服务升级的时间进度表、阈值和成本;
c) 预期的服务升级、变更请求、新技术和技能对容量的影响评价;
d) 预计的外部变更影响,例如,政策法规;
e) 能够进行预期分析的数据和过程;
应识别方法、程序和技巧,以监视服务容量、调整服务绩效并提供足够容量。
6.6
信息安全管理
在所有服务活动中有效地管理信息安全。
具有适当授权的管理者应批准信息安全方针,并通报给所有适当的相关人员和顾客。
信息安全管理体系文件
应执行适当的安全控制措施,以:
a) 实施信息安全方针的需求;
b) 对与访问服务或系统相关的风险进行管理。
安全控制措施应形成文件。这些文件应描述控制措施相关的风险、运行的方式、控制的维护。
在实施变更之前,应评估对控制措施的变更的影响。
应基于规定了所有必需的安全需求的正式协议,来安排外部组织访问信息系统和服务。
应尽可能快速地依照事件管理程序报告和记录安全事件。应有适当的程序来确保所有的安全事件的调查,并采取管理措施。
应有适当的机制以使安全事件与故障的类型、数量和影响得以量化和监视。应记录该过程中已识别的改进措施,并作为服务改进计划的输入。
7 关系过程
7.1
概述
关系过程描述的是供方管理和业务关系管理两个方面。
7.2
业务关系管理
基于对顾客及其业务驱动的理解,建立并保持服务提供商与顾客之间的良好关系。
服务提供商应识别并记录服务的利益相关方和顾客。
《业务关系流程管理办法》;
《服务级别流程管理办法》;
服务提供商和顾客至少应每年参加一次服务评审,讨论对于服务范围、SLA合同(若有的话)或企业要求的任何变更。这些会议应形成书面的会议记录。
该服务的其他利益相关方也可受邀参加会议。
对合同的变更,若还有对SLAs的变更,应在适当的时候进行.应服从变更管理过程。
服务提供商应随时了解企业要求和主要变更,以便准备响应这些要求。
应具备一个投诉程序。正式的服务投诉的定义应与顾客协商一致。所有正式的服务投诉应由服务提供商进行记录,并调查原因,采取措施,予以报告并正式关闭。当投诉不能通过常规渠道解决时,服务升级应对顾客可用。
服务提供商应指定专职个人或小组,负责管理顾客满意事宜和整个业务关系过程。应具备从定期的顾客满意度测量获取反馈信息并据此采取措施的过程。在此过程中识别的改进应予记录,并作为改进服务的输入。
7.3
供方管理
管理供方,确保提供无缝的和高质量的服务。
服务提供商应具有记录在案的供方管理过程,并应指定一名合同经理来负责每个供方。
《供应商管理办法》;
《服务级别管理办法》;
《变更流程管理办法》;
应就供方所提供服务的需求、范围、服务级别和交流过程与所有方面协商一致并记录。
供方的SLAs应与机构的SLAs密切结合。
由每方使用的过程间的接口应予以记录并协商一致。
主供方与分包方之间的所有职责和关系都应清楚记录且得到证实。
应以一个适当的过程来进行每年至少一次的对于合同或正式协议的主要评审,从而确保业务要求和协议责任都得以满足。
对合同的变更,若还有对SLAs的变更,应在适当的时候或者在要求的其他时间内,紧随这些评审之后进行。任一变更都应服从变更管理过程。
应具备解决合同纠纷的正式过程。
应以一个适当的过程来处理服务的预期结束、服务的提前结束或向其他方的服务转交。
应监视并评审对服务级别目标的履行。应对该过程中已识别的改进进行记录,并作为服务改进计划的输入。
8 解决过程
8.2
事件管理
尽快恢复协商一致的服务或响应服务请求。
所有的事件都应记录。
《事件流程管理办法》;
《配置流程管理办法》;
应采用程序来管理事件的影响。
该程序应定义所有事件的记录、优先次序、业务影响、分类、更新、升级、解决和正式关闭。
应及时通知顾客有关他们所报告的事件或服务请求的进展情况,如果不能满足他们的服务级别,则应事先警告,并且就此进行协商。
所有涉及事件管理的人员都应有权使用诸如已知错误、问题解决方案和配置管理数据库(CMDB)等相关信息。
应依照已定义过程对重大事件进行分类和管理。
8.3
问题管理
通过对服务事件原因的主动式识别、分析和管理,直至问题关闭,以使对业务的破坏最小化。
所有已识别的问题都应记录。
《问题流程管理办法》;
《配置流程管理办法》;
应采取程序来识别、最小化或避免事件和问题的影响。它们应定义所有问题的记录、分类、更新、升级、解决和关闭。
应采取预防性措施来减少潜在问题,例如,事件大小和类型的随后趋势分析。
为改正潜在问题的诱因而要求进行的变更,应传达给变更管理过程。
应对问题解决的有效性进行监视、评审和报告。
问题管理应负责确保有关已知错误和已改正问题的更新信息能被事件管理得到。
应对这个过程中识别的改进进行记录,并作为服务改进计划的输入。
9 控制过程
9.1
配置管理
定义和控制服务与基础设施的部件,并维护准确的配置信息。
应具备一套综合的方法来策划变更和配置管理。
《变更流程管理办法》;
《发布流程管理办法》;
《配置流程管理办法》;
《预算及财务流程管理办法》;
服务提供商应定义金融资产结算过程的接口。
应具备策略来决定什么可以定义为配置项及其组成部件。
应对记录每个项的信息进行定义,而且信息应包括有效的服务管理所必需的关系和文档。
配置管理应提供识别、控制与追踪服务和基础设施的可识别部件版本的机制。控制的程度应足以满足业务需求、失效的风险和服务关键性。
配置管理应为变更管理过程提供有关被请求变更对服务和基础设施配置所造成的影响的信息。在适当的地方,配置项的变更应是可追踪的和可审核的。
配置控制程序应确保系统、服务和服务部件的完整性得到维护。
适当的配置项的基线应在向当前环境发布之前就确定。
数字化配置项的原始拷贝,如软件、测试产品、支持文档,应控制在安全的物理库或电子库,并由配置记录引用。
所有的配置项都应是可唯一识别的,并记录在一个严格控制其更新访问的CMDB中。应主动管理并验证CMDB,以确保其可靠性和准确性。配置项的状态、它们的版本、位置、相关的变更与问题、有关文档,对需要这些信息的人应是可得到的。
配置审核程序应包括记录不足之处、启动纠正措施并报告结果。
9.2
变更管理
以受控的方式,确保所有变更得到评估、批准、实施和评审。
应对服务和基础设施的变更进行清晰定义并记录其范围。
《变更流程管理办法》;
《配置流程管理办法》;
所有变更请求都应记录并分类,例如,紧急的、突发的、重大的、轻微的。应评估变更请求的风险、影响和业务利益。
变更管理过程应包括,在变更不成功的情况下以何种方式回退变更或进行补救。
应批准变更,对其进行检查,并以受控方式实施。
应对所有成功的变更及其实施之后所采取的行动进行评审。
应具有控制突发变更的授权和实施的相应策略和程序。
应把变更的预定实施日期作为变更和发布进度安排的基础。变更的日程安排,包括全部被批准实施的变更详情及其建议的实施日期,应予以保持并通报给相关方。
应定期分析变更记录,以检查变更的增长程度、频繁重现的类型、呈现的趋势和其他相关信息。应对从变更分析中所得到的结果和结论进行记录。
应对由变更管理识别的改进进行记录,并作为服务改进计划的输入。
10 发布过程
10.1
发布管理
在实际运行环境的发布中,交付、分发并追踪一个或多个变更。
描述发布频率和类型的发布策略应形成文件并协商一致。
《发布流程管理办法》;
《变更流程管理办法》;
《配置流程管理办法》;
服务提供商应与企业对服务、系统、软件和硬件的发布进行策划。就如何进行发布的计划,应与所有相关方,例如顾客、用户、操作和支持人员,协商一致并获得授权。
该过程应包括,在发布不成功的情况下以何种方式回退发布或进行补救。
计划应记录发布日期、交付物、涉及的有关变更请求、已知错误和问题。发布管理过程应传递相应的信息给事件管理过程。
应评估变更请求对其发布计划造成的影响。发布管理程序应包括配置信息和变更记录的更新和更改。依照一个已定义的、并与突发变更管理过程相互联系的过程对突发的发布进行管理。
应建立受控的验收测试环境,以便在分发之前对所有发布项进行测试。
应对发布和分发进行设计和实施,以使硬件和软件的完整性在安装、处理、包装和交付过程中得到维护。
应对发布的成功和失败进行测量,测量内容包括发布之后某段时间内与发布有关的事件。分析应包括对业务、IT运行和支持人力资源的影响评估,并作为服务改进计划的输入。
其中专业理论知识内容包括:保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括:岗位操作指引、勤务技能、消防技能、军事技能。
二.培训的及要求培训目的
安全生产目标责任书
为了进一步落实安全生产责任制,做到“责、权、利”相结合,根据我公司2015年度安全生产目标的内容,现与财务部签订如下安全生产目标:
一、目标值:
1、全年人身死亡事故为零,重伤事故为零,轻伤人数为零。
2、现金安全保管,不发生盗窃事故。
3、每月足额提取安全生产费用,保障安全生产投入资金的到位。
4、安全培训合格率为100%。
二、本单位安全工作上必须做到以下内容:
1、对本单位的安全生产负直接领导责任,必须模范遵守公司的各项安全管理制度,不发布与公司安全管理制度相抵触的指令,严格履行本人的安全职责,确保安全责任制在本单位全面落实,并全力支持安全工作。
2、保证公司各项安全管理制度和管理办法在本单位内全面实施,并自觉接受公司安全部门的监督和管理。
3、在确保安全的前提下组织生产,始终把安全工作放在首位,当“安全与交货期、质量”发生矛盾时,坚持安全第一的原则。
4、参加生产碰头会时,首先汇报本单位的安全生产情况和安全问题落实情况;在安排本单位生产任务时,必须安排安全工作内容,并写入记录。
5、在公司及政府的安全检查中杜绝各类违章现象。
6、组织本部门积极参加安全检查,做到有检查、有整改,记录全。
7、以身作则,不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任,同时要予以查处。
8、虚心接受员工提出的问题,杜绝不接受或盲目指挥;
9、发生事故,应立即报告主管领导,按照“四不放过”的原则召开事故分析会,提出整改措施和对责任者的处理意见,并填写事故登记表,严禁隐瞒不报或降低对责任者的处罚标准。
10、必须按规定对单位员工进行培训和新员工上岗教育;
11、严格执行公司安全生产十六项禁令,保证本单位所有人员不违章作业。
三、 安全奖惩:
1、对于全年实现安全目标的按照公司生产现场管理规定和工作说明书进行考核奖励;对于未实现安全目标的按照公司规定进行处罚。
2、每月接受主管领导指派人员对安全生产责任状的落
文件密级:内部使用 第 12 页 共12页
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
