ISO20000認證系統信息安全變更如何管理？ISO20000認證系統信息安全事件如何管理？ISO20000認證系統有哪些信息安全管理文件和記錄？ISO20000認證系統信息安全管理需要定義哪些職責？

如何管理ISO20000認證系統的信息安全變更和事件Managinginformationchangesandincidents？
信息安全變更和事件應根據變更管理流程、事件管理流程和服務(wù)請求管理流程進(jìn)行處理。應對變更請求進(jìn)行評估，以確定新的或變更服務(wù)的信息安全風(fēng)險，并將其作為提議變更的結果。變更請求還基于評估現有服務(wù)、流程、政策和現有信息安全控制的潛在影響。

服務(wù)提供者應利用信息安全事件報告、信息安全評估報告和審計報告的評估結果來(lái)識別潛在的不足和改進(jìn)機會(huì )。
ISO20000認證系統信息安全管理文檔及DOCUMENTSANDRECORDS記錄。
ISM過(guò)程生成和保留的文檔和記錄包括:
a)信息安全策略；
b)信息安全政策；
c)信息安全計劃；
d)信息安全管理程序。
e)信息安全報告；
f)ISM流程的執行效率和效果報告；
g)信息安全事件管理報告；
h)信息安全風(fēng)險評估；

一、信息資產(chǎn)清單。
文件和記錄應定期分析，以便向管理層提供信息安全政策執行效果的信息。其他重要信息包括信息安全事件趨勢分析，應輸入改進(jìn)服務(wù)和訪(fǎng)問(wèn)信息、資產(chǎn)和系統控制計劃。
ISO20000認證系統的信息安全管理權限和責任AUTHORITIESANDRESPONSIBILITIES。
除ISO20000認證標準中描述的流程所有者、流程經(jīng)理和程序執行者外，ISM流程所需的權限和責任還包括：
a)需要訪(fǎng)問(wèn)ISM配置項和數據的客戶(hù)、服務(wù)提供者和相關(guān)方；
b)個(gè)人維護信息安全控制。