ISO2023年0-2023年信息技术服务和信息安全管理体系二合一管理手册(升级版).docx

×××××× 信息安全与信息技术效劳治理手册 文件编号：MC-ITISM-01〔A0〕 〔依据 ISO27001: 2023/ISO20230-1: 2023 标准编制〕 ×××××× 公布 ××××××信息安全与信息技术效劳治理手册 ×××××× 信息安全与信息技术效劳治理手册 第 第 10页 共49页 修订履历 修订日期 版本 2023-01-30 A0 修订内容 制定 修订人 批准人 生效日期 2023-02-01 目 录 \l “_TOC_250029“ 公布令 5 \l “_TOC_250028“ 治理者代表授权书 6 \l “_TOC_250027“ 企业概况 7 \l “_TOC_250026“ 手册的治理 8 \l “_TOC_250025“ 范围 9 \l “_TOC_250024“ 标准性引用文件 9 \l “_TOC_250023“ 术语和定义 10 \l “_TOC_250022“ 组织环境 11 \l “_TOC_250021“ 理解组织及其环境 11 \l “_TOC_250020“ 理解相关方的需求和期望 11 \l “_TOC_250019“ 确定治理体系的范围 12 \l “_TOC_250018“ 信息安全治理体系 13 \l “_TOC_250017“ 信息技术效劳治理体系 13 \l “_TOC_250016“ 5 领导 15 \l “_TOC_250015“ 5.1 领导和承诺 15 \l “_TOC_250014“ 5.2 方针 16 \l “_TOC_250013“ 5.3 组织角色、职责和权限 16 \l “_TOC_250012“ 6 筹划 17 \l “_TOC_250011“ 应对风险和时机的措施 17 \l “_TOC_250010“ 治理目标及其实现筹划 19 \l “_TOC_250009“ 筹划信息技术效劳治理体系 19 \l “_TOC_250008“ 7 支持 20 \l “_TOC_250007“ 7.1 资源 20 \l “_TOC_250006“ 7.2 力量 20 \l “_TOC_250005“ 7.3 意识 20 \l “_TOC_250004“ 7.4 沟通 21 \l “_TOC_250003“ 7.5 文件化信息 21 \l “_TOC_250002“ 8 运行 23 \l “_TOC_250001“ 运行筹划和掌握 23 \l “_TOC_250000“ 信息安全风险评估与信息技术效劳组合 23 信息安全风险处置与关系、协议治理 26 供给与需求 28 效劳设计、构建与转换 29 解决与完成 32 效劳保障 34 绩效评价 36 监视、测量、分析和评价 36 内部审核 37 治理评审 38 信息技术效劳报告 39 10 改进 39 不符合及订正措施 39 持续改进 40 附录 A 组织机构图 41 附录 B 信息安全与信息技术效劳治理职责表 41 附录 C 办公区域平面图 43 附录 D 信息安全与信息技术效劳治理职责安排表 44 附录 E 方针和目标 46 信息技术效劳治理方针和目标 46 信息安全治理方针和目标 47 公布令 为提高××××××的信息安全治理水平，保障我公司业务活动的正常进展，防止由于信息系统的中断、数据的丧失、敏感信息的泄密所导致的公司和客户的损失，以及标准我公司 IT 信息技术效劳治理，供给满足顾客要求的信息技术效劳，我公司开展贯彻《ISO27001: 2023 信息技术-安全技术-信息安全治理体系-要求》和《ISO20230-1: 2023 信息技术-效劳治理体系-要求》国际标准的工作，建立、实施和持续改进文件化的信息安全与信息技术效劳治理体系， 制定了《信息安全与信息技术效劳治理手册》〔以下简称为“手册”〕。 手册是企业的纲领性文件，是指导企业建立并实施信息安全与信息技术效劳治理体系的纲领和行动准则，用于贯彻企业的信息安全与信息技术效劳治理方针、目标，实现信息安全和信息技术效劳治理体系有效运行、持续改进，表达企业对社会的承诺。 手册符合有关信息安全法律、法规要求及《 ISO27001:2023 信息技术-安全技术-信息安全治理体系-要求》、《ISO20230-1: 2023 信息技术-效劳治理体系- 要求》标准和企业实际状况，现正式批准公布，自 2023 年 02 月 01 日起实施， 企业全体员工必需遵照执行。 全体员工必需严格依据手册的要求，自觉遵循信息安全和信息技术效劳治理方针，贯彻实施本手册的各项要求，努力实现公司信息安全与信息技术效劳管方针和目标。 总 经