ISO20000认证体系信息安全管理变更与文件

ISO20000认证系统信息安全变更如何管理？ISO20000认证系统信息安全事件如何管理？ISO20000认证系统有哪些信息安全管理文件和记录？ISO20000认证系统信息安全管理需要定义哪些职责？

如何管理ISO20000认证系统的信息安全变更和事件Managinginformationchangesandincidents？
信息安全变更和事件应根据变更管理流程、事件管理流程和服务请求管理流程进行处理。应对变更请求进行评估，以确定新的或变更服务的信息安全风险，并将其作为提议变更的结果。变更请求还基于评估现有服务、流程、政策和现有信息安全控制的潜在影响。

服务提供者应利用信息安全事件报告、信息安全评估报告和审计报告的评估结果来识别潜在的不足和改进机会。
ISO20000认证系统信息安全管理文档及DOCUMENTSANDRECORDS记录。
ISM过程生成和保留的文档和记录包括:
a)信息安全策略；
b)信息安全政策；
c)信息安全计划；
d)信息安全管理程序。
e)信息安全报告；
f)ISM流程的执行效率和效果报告；
g)信息安全事件管理报告；
h)信息安全风险评估；

一、信息资产清单。
文件和记录应定期分析，以便向管理层提供信息安全政策执行效果的信息。其他重要信息包括信息安全事件趋势分析，应输入改进服务和访问信息、资产和系统控制计划。
ISO20000认证系统的信息安全管理权限和责任AUTHORITIESANDRESPONSIBILITIES。
除ISO20000认证标准中描述的流程所有者、流程经理和程序执行者外，ISM流程所需的权限和责任还包括：
a)需要访问ISM配置项和数据的客户、服务提供者和相关方；
b)个人维护信息安全控制。