1信息安全及信息技术服务体系管理手册.doc

文档编号：XXXX-IT/ISMS-A-01

XXXX有限公司

信息安全及信息技术服务

管理手册

依据：ISO/IEC27001:2022标准

ISO/IEC20000-1:2018标准

拟制

编制小组

审核

XXX

批准

XXX

日期

2023.1.10

日期

2023.1.10

日期

2023.1.10

修订记录

日期

版本

修订内容概要

拟制

审核

批准

2023.1.10

A/0

新版发行

编制小组

XXX

XXX

XXXX有限公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。

0.1目录

0.1目录

0.2颁布令

0.3授权书

0.4前言

1范围

1.1总则

1.2应用

2规范性引用文件

3术语和定义

4组织环境

4.1理解组织及其环境

4.2理解相关方的需求和期望

4.3确定服务管理体系范围

4.4信息安全及信息技术服务管理体系

4.4.1信息安全管理体系

4.4.2信息技术服务管理体系

5领导

5.1领导和承诺

5.2方针

5.2.1制定方针

5.2.2方针沟通

5.3组织角色、职责、权限和沟通

5.3.1信息安全和信息技术服务组织机构

5.3.2信息安全和信息技术服务职责和权限

6规划

6.1应对风险和机会的措施

6.1.1总则

6.1.2信息安全风险管理

6.1.3信息服务风险管理

6.2信息安全和信息技术服务管理体系目标和规划实现

6.3策划服务管理体系

7支持

7.1资源

7.2人力资源及能力

7.3意识

7.4沟通

7.5文件化信息

7.5.1总则

7.5.2创建和更新

7.5.3文件记录信息的控制

7.5.4管理体系文档信息

7.6知识

8运行

8.1运行的规划和控制

8.2信息安全风险评估

8.3信息安全风险处置

8.4服务组合

8.4.1服务交付

8.4.2服务策划

8.4.3服务生命周期内各参与方的控制

8.4.4服务目录管理

8.4.5资产管理

8.4.6配置管理

8.5关系与协议

8.5.1总则

8.5.2业务关系管理

8.5.3服务级别管理

8.5.4供应商管理

8.6供给与需求

8.6.1服务的预算与核算

8.6.2需求管理

8.6.3能力管理

8.7服务设计、创建和转换

8.7.1变更管理

8.7.2服务设计和转换

8.7.3发布和部署管理

8.8解决与实现

8.8.1事件管理

8.8.2服务请求管理

8.8.3问题管理

8.9服务保证

8.9.1服务可用性管理

8.9.2服务连续性管理

8.9.3信息安全及信息技术服务管理

9绩效评价

9.1监视、测量、分析和评价

9.2内部审核

9.3管理评审

9.4服务报告

10改进

10.1不符合和纠正措施

10.2持续改进

附录一：组织概况

附录二：组织结构图及部门职责说明

附录三：1.信息安全职能分配表

2.信息技术服务管理体系职责分配表

附录四：程序文件清单

附录五：流程图

0.2颁布令

经公司全体员工的共同努力依据ISO/IEC27001:2022（以下统称ISO/IEC27001:2022）和ISO/IEC20000-1:2018标准建立的XXXX有限公司信息安全及信息技术服务管理体系已得到建立。

指导管理体系运行的《信息安全及信息技术服务管理手册》经评审后，现予以批准发布。《信息安全及信息技术服务管理手册》的发布，标志着我公司从现在起，必须按照ISO/IEC27001:2022和ISO/IEC20000-1:2018标准的要求和《信息安全及信息技术服务管理手册》所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供管理业务，以确立公司在社会上的良好信誉。

为了实现这一目标，我们不仅需要信息安全和服务质量的不断改进，更需要服务过程的有效管理和改进，以满足用户对信息技术服务和信息安全的期望和业务发展对信息技术服务和信息安全的要求。

《信息安全及信息技术服务管理手册》是由管理层和各部门主管组合的编制小组编制的，是公司规范内部管理的指导性文件，也是全体员工在向顾客提供服务过程必须遵循的行动准则。《信息安全及信息技术服务管理手册》一经发布，就是强制性文件，全体员工必须认真学习、切实执行。

本手册A/0版本修订自2023.1.10生效实施。

总经理：XXX

2023.1.10

0.3授权书

为贯彻执行ISO/IEC27001:2022和ISO/IEC20000-1:2018管理体系，加强对信息安全和信息技术服务管理体系运行