it服务与信息安全管理手册

山东瀚高科技有限公司 山东瀚高科技有限公司管理体系山东瀚高科技有限公司管理体系 管理手册管理手册 山东瀚高科技有限公司 管理手册 文档发布信息文档发布信息 文档名称：管理手册 文档编号：L1-MM 版 本 号：2.0 保密级别： 内部使用级 拟制人：张春志 审核人： 常瑞东、孟祥辉、卢健、张鲁敏、宋乐、刘学春、母晓 明、韩志平 发布范围：公司管辖的所有部门 发布日期：2011.11.28 批 准 人：苗健 管理手册 修订记录修订记录 版本号修订日期修订人类别修订说明 1.02011.3.1张春志M 2.02011.11.28张春志M换版 注1：修订类别分为：A新建/增加、M修订、D删除 管理手册 目目 录录 颁颁 布布 令令I 任任 命命 书书 II 管理方针和目标管理方针和目标1 山东瀚高有限公司简介山东瀚高有限公司简介2 山东瀚高有限公司组织结构图山东瀚高有限公司组织结构图3 1 目的和范围目的和范围3 1.1目的.3 1.2范围.3 2引用标准引用标准.4 3术语和定义术语和定义.4 4管理体系要求管理体系要求.5 4.1总要求.5 4.1.1管理架构8 4.1.2管理体系运作机制8 4.2管理体系文件.10 4.2.1总则.10 4.2.2质量手册10 4.2.3文件控制11 4.2.4记录和资料控制13 5管理职责管理职责.13 5.1管理承诺.13 5.2以顾客为关注的焦点.14 5.3质量方针.14 5.4策划.15 5.4.1质量方针15 5.4.2质量管理体系策划15 5.5职责、权限和沟通.15 5.5.1职责和权限15 5.5.2管理者代表15 5.5.3内部沟通16 5.6管理评审.16 5.6.1总则16 5.6.2评审输入17 5.6.3评审输出17 管理手册 6资源管理.18 6.2.1资源的提供18 6.2.2人力资源18 6.2.3基础设施19 6.2.4工作环境19 7 产品实现产品实现 .19 7.1 产品实现的策划.19 7.2 与顾客有关的过程20 7.2.1 与产品有关要求的确定20 7.2.2 与产品有关的要求的评审20 7.2.3 顾客沟通21 7.3 设计和开发21 7.4 采购21 7.4.1采购过程.21 7.4.2 采购信息21 7.4.3 采购产品的验证22 7.4 生产和服务提供22 7.5.1 生产和服务提供的控制22 7.5.2 生产和服务过程的确认23 7.5.3 标识和可追溯性23 7.4.4 顾客财产24 7.5.5 产品防护24 7.6 监视和测量装置控制25 8 测量、分析和改进测量、分析和改进 .25 8.1 总则.25 8.2 监视和测量.26 8.2.1 客户满意度.26 8.2.2 内部审核.27 8.2.3 过程的监视和测量.27 8.2.4 产品的监视和测量.28 8.3 不合格品控制.28 8.4 数据分析.29 8.4.1 数据来源.29 8.4.2 数据的收集和分析.29 8.5 持续改进 .30 8.5.1持续改进30 85.2 纠正措施30 8.5.3 预防措施.31 附录附录 A 管理方针释义管理方针释义32 附录附录 B 2011 年度管理目标年度管理目标32 附录附录 C 质量管理体系过程职责分配表质量管理体系过程职责分配表33 管理手册 附录附录 D 管理体系文件清单管理体系文件清单36 管理手册 I 颁颁 布布 令令 为提高山东瀚高科技有限公司 IT 服务管理和信息安全管理水平，规范化运 行管理，山东瀚高科技有限公司依据GB/T 19001-2008 idt ISO9001:2008 质量管理体系 要求 、 ISO/IEC20000-1:2005 Information technology - Service management - Part 1:Specification 、 ISO/IEC 27001:2005 Information technology - Security techniques Information security management systems - requirements ，结合公司实际情况建立符合以上标准 规范要求的管理体系。 管理手册阐述了山东瀚高科技有限公司有关 IT 服务管理、服务质量管 理、信息安全管理的管理方针，是规范山东瀚高科技有限公司服务管理与信息 安全管理的纲领性文件，是建立、实施、评测、改进管理体系的指导性文件。 本手册在编制过程中坚持符合性、适宜性和有效性的统一，并广泛征求意 见修订成稿，现予以发布，自发布日起正式生效实施。山东瀚高科技有限公司 全体员工应认真学习、熟知本手册内容，并严格执行本手册的各项规定和要求。 本手册将根据内、外部环境的变化适时进行评审、修改和完善。 此令！ 山东瀚高科技有限公司总经理： 苗健 2011 年 11 月 28 日 管理手册 II 任任 命命 书书 山东瀚高科技有限公司山东瀚高科技有限公司“管理者代表管理者代表”任命书任命书 为了贯彻执行GB/T 19001-2008 idt ISO9001:2008 质量管理体系 要求 、 ISO 9001:2008 Quality management systems - Requirements 、 ISO/IEC 20000-1:2005 Information technology - Service management - Part 1:Specification 、 ISO/IEC 27001:2005 Information technology - Security techniques Information security management systems - requirements ，加 强对管理体系运作的领导，确保山东瀚高科技有限公司管理体系的建立、实施、 运作、监视、评审、保护和改进，特任命 常瑞东 为山东瀚高科技有限公司管 理者代表。 管理者代表的职责和权限是： 1.代表总经理负责按标准要求建立、实施、运作、监视、评审、持续改 山东瀚高科技有限公司的管理体系，实现公司的服务管理，质量管理 与信息安全管理方针和目标； 2.协助总经理开展管理评审，并向总经理报告管理体系业绩和改进需求； 3.负责组织山东瀚高科技有限公司管理手册的编写、修订和审核工 作； 4.确保在整个山东瀚高科技有限公司内提高满足客户要求的意识； 5.负责提出资源配置以实现 IT 服务的交付和管理； 6.负责协调和管理所有的 IT 服务管理工作； 7.负责协调和管理所有的质量管理工作； 8.提高公司全体人员的信息安全意识； 9.负责公司管理体系有关事宜的外部联络工作。 管理手册 III 山东瀚高科技有限公司总经理： 苗健 管理手册 1 管理方针和目标管理方针和目标 管理方针管理方针 顾客至上、安全第一、质量为本、持续改进 管理目标管理目标 安全可靠安全可靠：保证山东瀚高科技有限公司各项业务的安全运行，达 到行业领先的高可用性，是压倒一切的管理要求。 客户满意客户满意：以专业和完善的服务，达到行业领先的服务水平，实 现客户满意。 效率和效益效率和效益：在确保安全可靠和客户满意的前提下，以诚信合作 的精神和专业的技能，达成高效率和高效益。 管理政策管理政策 推进“流程化管理、标准化服务、高素质团队、高效率运作”的 体系建设；向客户提供安全、可靠和稳定的信息系统管理服务，并 持续优化服务质量。 服务理念服务理念 超越客户的期望值。 批准：苗健 2011 年 11 月 28 日 关于管理方针的释义见本文件附录关于管理方针的释义见本文件附录A部分部分 管理手册 2 山东瀚高科技有限公司简介山东瀚高科技有限公司简介 山东瀚高科技有限公司成立于 2005 年，是国内领先的基础软件服务提供 商。公司自成立以来一直致力于基础软件的研发、销售、服务和培训业务，瀚 高和各大国际知名厂商密切合作，建立了具有国内领先水平的技术工程师团队， 开创了基础软件综合服务产品化的先河，研发了具有自主知识产权的服务管理 软件，建立并完善了综合服务管理系统。秉承“专注数据服务，共享你我智慧” 的理念，以数据为中心开展数据备份、容灾、数据仓库、数据综合利用等各项 服务，瀚高将会一如既往的在数据平台服务领域加大投入，通过组织和业务流 程的标准化，实现产品和服务的专业化，不断提高自身竞争力，巩固在业界的 领先地位，引领数据服务产品化的潮流。 主要服务：主要服务： 数据库 基础软件 中间件 BI 的实施与咨询 服务资源：服务资源： 优秀的管理和技术团队 规范、专业的 IT 服务管理流程和信息安全管理规范 管理手册 3 山东瀚高有限公司组织结构图山东瀚高有限公司组织结构图 总经理 综合管理部 销售副总技术副总 销售部 商务部 客户服务部 产品部 售前支持部 系统支持部 1 目的和范围目的和范围 1.1 目的目的 山东瀚高为了规范公司的内部运作，安全、及时、准确地为客户提供服务， 确保服务品质和信息安全，并注重持续改进，以期实现客户满意，而建立的运 行管理体系符合以下标准规范的全部要求： GB/T 19001-2008 idt ISO 9001:2008 ISO/IEC20000-1:2005 ISO/IEC 27001:2005 1.2 范围范围 本手册适用于： 山东瀚高下属的各部门； 管理者代表 管理手册 4 公司所在驻地：济南市舜华路 2000 号舜泰广场 8 号楼西 19 层（北向） 山东瀚高科技有限公司 根据山东瀚高的业务特点，对 GB/T 19001-2008 idt ISO 9001:2008、ISO/IEC20000-1:2005 以及 ISO/IEC 27001:2005 标准中不 适用于本公司的部分条款作了删减。由于公司为客户提供服务活动，为 常规业务，不涉及到 7.3 设计和开发，故对 7.3 删除。上述条款的删除， 不免除公司满足法律法规和客户要求的责任。ISO/IEC20000-1:2005 以 及 ISO/IEC 27001:2005 删减详见L1-SOA-适用性声明-V1.0 。 山东瀚高管理体系适用于与数据备份、容灾、数据仓库、数据综合利用 的服务相关的管理活动。 2 引用标准引用标准 本手册引用或依据下列相关国家/国际标准，当该标准增补或修订时，使用 标准的最新版本： 1)GB/T 19001:2008质量管理体系要求 2)GB/T 19000:2008质量管理体系基础和术语 3)ISO 9001:2008Quality management systems - Requirements 4)ISO 9000:2008Quality management system - Fundamentals and vocabulary 5)ISO/IEC 20000-1:2005 IT 服务管理第一部分：服务管理规范 6)ISO/IEC 20000-2-2005 IT 服务管理第二部分：服务管理实践守则 7)ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求 8)ISO/IEC 27002:2007 信息技术-安全技术-信息安全管理实施指南 管理手册 5 3 术语和定义术语和定义 本手册采用 GB/T 19000-2008 idt ISO 9001:2008、ISO/IEC 20000- 1:2005、ISO/IEC 27001:2005 的术语和定义。 4 管理体系要求管理体系要求 4.1 总要求总要求 山东瀚高将充分遵循 GB/19000 2008、ISO 9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005 等标准的要求， 建立、实施运行管理体系，并持续改进，以保证其有效性。公司应： a) 确定质量管理体系所需的过程及其在整个组织中的应用； b) 确定这些过程的顺序和相互作用； c) 确定为确保这些过程的有效运作和控制所需的准则和方法； d) 确保可以获得必要的资源和信息，以支持这些过程的运作和监视； e) 监视、测量(适用时)和分析这些过程； f) 实施必要的措施，以实现对这些过程所策划的结果和对这些过程的持 续改进。 公司应按标准的要求管理这些过程，并对对公司所选择的任何影响产品 符合要求的外包过程，应确保对其实施控制。对此类外包过程控制的类型和 程度应在供应商管理手册中加以规定。 管理手册 6 管理体系模式图： 资源管理过程 产品实现过程 管理手册 7 客户要求识 别 合同评审服务策划 服务提供 采购控制 服务质量监 控 客户满意 数据 备份 容灾 管理 数据 仓储 数据 利用 热线 服务 输入 测量、分析、改进过程 管理手册 8 4.1.1 管理架构管理架构 山东瀚高根据 GB/19000 2008、ISO 9001:2008、ISO/IEC 20000- 1:2005、ISO/IEC 27001:2005 的要求，建立符合公司业务特点的管理架构，明 确各部门/岗位职责、沟通方式和渠道。 山东瀚高设立管理者代表，确保管理体系的建立、实施和持续改进工作的 落实，管理者代表负责向公司最高管理者报告管理体系的业绩和任何改进的需 求，确保在公司内提高对客户服务意识和信息安全意识；负责与管理体系有关 事宜的外部联络工作。 山东瀚高明确了管理方针、目标以及达成方针和目标的措施，并明确了管 理体系的实施范围。管理目标的有效性每年至少评价一次。 山东瀚高开展管理评审和内部审核工作，评估和管理风险，持续的评估和 改进管理体系。 山东瀚高明确了标准适用范围，ISO/IEC20000-1:2005、ISO/IEC 27001:2005 记录在适用性声明文件中。 4.1.2 管理体系运作机制管理体系运作机制 山东瀚高在管理体系建立和维护过程中，充分遵循 GB/T 19001-2008 idt ISO9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005 等标准的要求， 采用 PDCA 模式建立、实施和维护管理体系，以保证其持续有效性，具体如下 图所示。 管理手册 9 L1 管理手册 L2 程序文件 L3 工作指引 L4 表单记录 管理体系 P D C A 体系管理 持续改进 1.策划与准备（Plan） 主要是做好建设管理体系的各种前期工作，包括： 管理现场调查，明确 IT 服务管理、服务质量管理和信息安全管 理的目标，明确管理角色和管理框架的结构，建立风险评估方 法，确定管理审核和改进服务质量的方法。 进行管理体系设计，根据公司管理方针和业务特点，对业务过 程进行识别，确定管理范围，明确过程控制的方法及过程之间 的相互关系和接口。 对人员进行教育培训。 2.建设与实施（Do） 根据策划与准备阶段的结果，建立并推广、执行基于 IT 服务管理、 服务质量管理和信息安全管理的管理体系，规范运行管理以实现预期的 管理目标，为实现风险控制、评价和改进管理体系、实现持续改进提供 不可或缺的依据。 3.评估审核（Check） 通过对管理体系运行情况的监视、测量，定期实施内部审核，确保 管理体系下的各项管理制度得到落实，及时发现管理体系运行过程中存 在的问题，为管理体系的持续改进提供基础。 管理手册 10 4.持续改进（Act） 建立管理体系持续改进测量，根据评估审核的结果，制定执行纠正 和预防措施，进一步改进完善各项管理制度，以保证管理体系的持续有 效性，保障信息安全，提高服务管理的有效性和效率。 4.2 管理体系管理体系文件文件 4.2.1 总则总则 管理体系充分考虑了 ISO/IEC 20000-1:2005 标准中关于新服务或变更服务 的策划实施过程、服务交付过程、关系过程、解决过程、控制过程、发布过程， 具体内容已被融合到管理体系的相关文件之中。 管理体系充分考虑了 GB/ 19000-2008 idt ISO 9001:2008 标准中关于产品 实现测量分析改进的内容，具体内容已被融合到管理体系的相关文件之中。 质量管理体系文件应包括： a) 形成文件的质量方针和质量目标（在手册中描述） ； b) 质量手册； c）本标准所要求的形成文件的程序和记录； d) 组织确定的为确保其过程有效策划、运作和控制所需的文件，包括记 录。 4.2.2 质量手册质量手册 公司编制和保持质量手册，质量手册包括： a) 质量管理体系的范围，包括任何删减的细节与理由（见范围） ； b) 为质量管理体系建立的形成文件的程序或对其引用（见附录文件清 单） ； 管理手册 11 c) 质量管理体系过程之间的相互作用的表述。 4.2.3 文件文件控制控制 山东瀚高依据 GB/ 19000-2008 idt ISO 9001:2008、ISO/IEC 20000- 1:2005、ISO/IEC 27001:2005 标准的要求，结合公司的业务特点和实际情况， 建立和执行适宜的文件以保障管理体系的有效、高效运行，并对文件进行持续 的修订完善，以保证其有效性。 1 公司文件体系结构： 山东瀚高管理体系相关的文件由上而下分为四个阶层，如下图所示： L1 管理手册 L2 程序文件 L3 工作指引 L4 表单记录 L1 第一阶层文件（简称一阶文件）：管理手册第一阶层文件（简称一阶文件）：管理手册 包含山东瀚高管理方针和策略，是山东瀚高管理体系的纲领性文件。 一阶文件包括管理手册 、 适用性声明 、 管理体系策划 。质量管 理明确了体系的范围，包括任何删减的细节与理由；描述了质量管理体系 建立所形成文件的程序或对其引用；对质量管理体系过程之间的相互作用 进行表述。 L2 第二阶层文件（简称二阶文件）：程序文件第二阶层文件（简称二阶文件）：程序文件 为达到 GB/T 19001-2008 idt ISO9001:2008、ISO/IEC20000- 1:2005、ISO/IEC 27001:2005 标准要求而制定的各项管理制度、规范、流 程以及相关支持性文件。 管理手册 12 L3 第三阶层文件（简称三阶文件）：工作指引第三阶层文件（简称三阶文件）：工作指引 用来解释特殊工作和活动细节的作业指导书、实施细则和操作手册等。 L4 第四阶层文件（简称四阶文件）：表单记录第四阶层文件（简称四阶文件）：表单记录 根据 GB/T 19000-2008 idt ISO 9001:2008、ISO/IEC 20000- 1:2005、ISO/IEC 27001:2005 标准的要求和体系实际运行需要，通过表单 模板，对管理体系实施的活动过程和结果的记录进行规范，形成记录文件， 用于作为管理评审、内部审核、外部审核、持续改进的客观证据。 2 文件控制 管理体系文档建立、颁布及修订，应采取适当管控措施。 管理体系文件的制定应符合公司的服务规模、产品类型、过程复杂程度、 员工能力素质等实际情况，以便于理解应用。公司编制文件管理手册 ，规 定以下方面所需的控制要求： a.文件发布前得到批准，以确保文件是充分与适宜的；为文件的充分性与 适宜性，在文件发布前进行批准。 b.管理体系文件应定期进行评审、修订完善，并再次批准以保持文件要求 与实际运作的一致性，充分保障文件的有效性、充分性和适宜性。 c.确保文件的更改和现行修订状态得到识别； d.确保在使用处可获得有关版本的适用文件； e.确保文件保持清晰、易于识别； f.确保组织所确定的策划和运行质量管理体系所需的外来文件得到识别， 并控制其分发； g.防止作废文件的非预期使用，若因任何原因而保留作废文件时，对这些 文件进行适当的标识。 文件可以以任何媒体形式呈现，如纸张、磁盘、光盘、照片、样片等。 管理手册 13 文件的审核、发布、变更、修订、废止等，应依照文件管理手册进行 管控。 4.2.4 记录和资料控制记录和资料控制 公司应建立及维持管理体系所要求的“记录” ，以提供为符合要求和质量 管理体系有效运行提供证据，记录应维持受控，记录应保持清晰,并易于阅读、 辨识及检索查阅。 记录应妥善保管，其鉴别、储存、取用、保护、保存期限、处置等事项， 应依照记录和外来文件管理手册进行管控。 管理体系文档及记录，可以以任何形式进行存放（包括：纸本及电子文档） 。 5 管理职责管理职责 5.1 管理职责管理职责 公司管理层应在管理体系建立、实施、运行、监视、评审和持续改进中提 供承诺和支持，并通过各种活动完成以下工作，以确保相关各项工作的顺利开 展，并提供承诺和支持的证据。 1.建立符合相关标准的管理组织，包括决策层、管理层和执行层。 2.制订 IT 服务管理、信息安全管理、服务质量管理的管理方针和目标。 3.提供足够的资源，以保证管理体系策划、实施、运行、监视、评审、持 续改进等工作的顺利开展，以建立符合 GB/19000 2008、ISO 9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005 标准要求， 以及山东瀚高实际需要的管理体系。 4.确立山东瀚高管理体系持续改进计划和适当的沟通计划，确保管理体系 的持续有效性，满足公司的实际运行管理需要。 管理手册 14 5.以各种方式，持续向公司全体员工传达传达符合管理目标、管理方针、 满足顾客和法律法规要求以及持续改进的必要性、重要性，传达满足其 他相关方要求的重要性。 6.以增进顾客满意为目的，确保顾客的各种要求得到确定并予以满足。 7.分配管理体系相关的角色和职责，包括指定管理者代表负责所有服务的 协调和管理。 8.对山东瀚高信息资产实行有效管理，确保信息资产的机密性（C） 、完 整性（I） 、可用性（A） 。 9.组织开展风险管理工作，核定风险可接受标准，对公司不能接受的风险 进行处置。 10. 组织建立瀚高业务连续性管理体系，以保证公司主要业务的连续，不受 重大故障和灾难的影响。 11. 组织对山东瀚高全体员工进行信息安全、IT 服务管理的教育培训，提 高信息安全意识和服务意识。 12. 组织山东瀚高管理体系的推广工作，确保所有员工理解并严格遵守各项 管理制度、规范和程序。确保管理体系管理评审、内部审核工作的进行。 5.2 以顾客为关注焦点以顾客为关注焦点 总经理应以增强顾客满意为目的，确保顾客的要求得到确定并予以满足。 5.3 质量方针质量方针 总经理确保其制定的质量方针： a. 与公司的宗旨相适应； b. 包括对满足要求和持续改进质量管理体系有效性的承诺； c. 提供制定和评审质量目标的框架； 管理手册 15 d. 在组织内得到沟通和理解； e. 最高管理者通过管理评审，对质量方针的持续适宜性进行评审。 5.4. 策划策划 5.4.1 质量目标质量目标 最高管理者确保： a. 管理者代表根据质量方针提供的框架，组织在公司和公司内部相关的职 能、层次和岗位上建立可测量的质量目标。形成公司目标体系。公司质量目标 包括满足产品要求所需的内容。 b. 质量目标由最高管理者批准，由管理者代表组织跟踪、监督和考核，质 量目标通过管理评审进行评审和修订，以保证其持续适宜性。 目标以及各部门分解见附录 B。 5.4.2 质量管理体系策划质量管理体系策划 最高管理者确保： a.为达到已确定的质量目标，由管理者代表主持对质量管理体系进行持续、 全面策划和修订、变更，以满足 4.1 质量管理体系总要求的各个方面，形成并 持续改进完整的文件体系和完善的组织体系。 b. 在对质量管理体系的变更进行策划和实施时，保持质量体系的完整性。 5.5. 职责、权限和沟通职责、权限和沟通 5.5.1 职责和权限职责和权限 最高管理者应确保组织内的职责、权限得到规定和沟通。具体参见组织 架构与部门职责 。 管理手册 16 5.5.2 管理者代表管理者代表 最高管理者任命一名管理者作为管理者代表，对质量管理体系进行管理、 监督、评价和协调。管理者代表的职责和权限包括但不限于： a. 确保质量管理体系所需的过程得到建立、实施和保持； b. 向最高管理者报告质量管理体系的业绩和任何改进的需求； c. 确保在整个组织内提高满足顾客要求的意识； d. 本手册规定的其他职责和权限。 5.5.3 内部沟通内部沟通 最高管理者应确保在组织内建立适当的沟通过程，并确保对质量管理体系 的有效性进行沟通。公司的沟通方式包括：会议、看板、电话、网络邮件、记 录传递、培训等方式。 5.6 管理评审管理评审 5.6.1 总则总则 为确保管理体系，包括服务管理与安全方针和目标持续的适宜性、充分性 和有效性： 1.由山东瀚高建立并保持管理评审控制程序 ，指导管理评审工作的执 行。 2.公司每年至少开展一次管理评审，两次间隔不得超过十二个月。一般情 况下，采取会议的形式，安排在内部审核之后。当出现下列情况之一时， 应及时进行管理评审： 公司管理体系发生重大变化。 国家法律、法规、相关标准发生重大变化。 外审之前。 其它认为需要评审时。 管理手册 17 3.管理评审由总经理主持，各部门负责人参加，需要时，由总经理决定具 体的参加人员。 4.管理审查会议的决议事项以会议纪要形式体现，由各相关部门负责配合 执行，并对执行状况予以追踪评估。 5.6.2 评审输入评审输入 综合管理部组织有关部门按计划的要求收集整理有关文件和数据资料提交 管理评审，包括： 1)内部和外部审核的结果； 2)相关方（客户、政府部门、供应商、内部员工等）的反馈； 3)管理目标有效性测量结果； 4)客户满意度调查信息反馈及客户投诉； 5)山东瀚高用于改进管理体系执行绩效和有效性的技术、产品或程序的发 展及变化； 6)全年的管理体系运作状况； 7)对过程和服务测量和监视的结果； 8)纠正和预防措施的实施情况； 9)以往风险评估未充分指出的脆弱性或威胁； 10) 以往管理评审所采取措施的跟踪验证； 11) 经策划的可能影响管理体系的变更； 12) 管理体系文件的适用性，包括修改要求等； 13) 改进的建议。 5.6.3 评审输出评审输出 按照服务管理与安全方针和目标对上述信息进行全面的讨论、评价、分析， 决定所要采取的改进措施，包括： 管理手册 18 1)管理体系有效性的改进，应考虑业务需求、安全需求、影响已有业务需 求的业务过程、法律法规环境、合同责任、风险和/或风险接受等级等； 2)方针和目标的修订； 3)与客户要求有关的改进； 4)更新风险评估和风险处置计划； 5)资源需求； 6)改进测量控制措施有效性的方式； 7)对现有管理体系（包括方针和目标）的评价结论及对现有服务是否符合 要求的评价。 6 资源管理资源管理 6.1 资源资源的提供的提供 公司应确定并提供必要的足够资源以策划、建立、实施、运作、监视、评 审、保持和改进管理体系，通过满足客要求，增强顾客满意。包括人力资源、 基础设施、工作环境。 6.2 人力资源人力资源 1.基于适当的教育、培训、技能和经验，从事影响产品与要求的符合性工 作的人员应是能够胜任的。岗位职责以及相应的能力需求应有清晰明确 的定义。 2.应合理为每个员工分配工作岗位，并为其所知晓。 3.应使全体员工认识到其所从事工作的关联性和重要性，以及如何为实现 管理目标作出贡献。 4.应根据员工岗位职责要求，提供适当的教育培训或采取其它措施，以满 足工作岗位能力需求。 管理手册 19 5.应建立员工教育培训管理制度，并评估教育培训的成效或所采取措施的 有效性。 6.应维持相关人员教育、培训、技能及经验的适当记录。 7.聘用人员前应对其背景进行调查验证，并签署相关信息安全职责的文件。 具体执行人力资源实施细则。 6.3 基础设施基础设施 确定、提供和维护满足相关法律、法规、标准、合约要求的所必需的基础 设施，如办公场所、办公设备、网络设备（包括硬件和软件） 、支持性服务（如通 讯或信息系统）等，并按既定的策略、管理措施进行使用。 6.4 工作环境工作环境 提供满足相关法律、法规、标准、合约要求的所必需的工作环境，并按既 定的策略、管理措施进行使用。 7 产品实现产品实现 7.1 产品实现的策划产品实现的策划 根据公司业务特点，为确保产品代理分销、软件产品、服务和系统集成项 目达到客户满意，公司相关业务部门对实现上述产品和服务的全过程进行了策 划并制定了相应的文件；产品实现的策划应与质量管理体系其他过程的要求相 一致。在对产品实现进行策划时，应确定以下方面的适当内容： a. 产品的质量目标和要求，见服务级别管理手册 ； b. 针对产品确定过程、文件和资源的需求； c. 产品所要求的验证、确认、监视、测量、检验和试验活动，以及产品接 收准则； d. 为实现过程及其产品满足要求提供证据所需的记录。 管理手册 20 对应用于特定产品、项目或合同的质量管理体系、IT 服务管理体系和信息 安全管理体系的过程（包括产品实现过程）和资源，通过制定计划的方法进行 规定。 在公司 IT 服务业务中，服务产品实现的策划，一方面通过新服务和服务 变更管理手册对现有服务产品进行变更或研发新的服务产品；另一方面，通 过服务级别管理手册及事件管理手册 ，对服务产品的执行过程进行策划。 7.2 与顾客有关的过程与顾客有关的过程 7.2.1 与产品有关要求的确定与产品有关要求的确定 公司应确定产品的要求，要求由以下方面构成： 1) 客户规定的要求，包括对交付和交付后活动的要求，交付后的活动包括 诸如担保条件下的措施、合同规定的维护服务、附加服务（回收或最终处置） 等； 2) 客户虽未明确提出，但规定的或预期的用途所必需的要求； 3) 与产品有关的国家法令法规、行业规定的要求； 4) 公司认为必要的附加要求（注：此要求不得与前 3 项要求的任何一项有 抵触） 。 7.2.2 与产品有关的要求的评审与产品有关的要求的评审 与客户进行有效的沟通，充分且正确的了解客户的要求和期望，确保公司 有能力实现客户的要求，以达到用户满意。 公司应评审与产品有关的要求。评审应在组织向顾客作出提供产品的承诺 之前进行（如：提交标书、接受合同或订单及接受合同或订单的更改） ，并应确 保： a. 产品要求得到规定； b. 与以前表述不一致的合同或订单的要求已予解决； 管理手册 21 c. 组织有能力满足规定的要求。 评审结果及评审所引起的措施的记录应予保持。 若顾客提供的要求没有形成文件，公司应在接收顾客要求前应对顾客要求 进行确认。 若产品要求发生变更（包括合同以及技术要求等） ，公司应确保相关文件得 到修改，并确保相关人员知道已变更的要求。 公司通过有关的产品信息，如产品目录、产品广告内容进行销售时，应 在发布信息前对相关内容进行评审。 具体遵照供应商管理手册中合同评审管理流程 。 7.2.3 顾客沟通顾客沟通 为增进与客户的沟通，公司应对以下有关方面进行确定并实施与顾客沟通： a. 为客户提供产品信息； b. 接收客户的问询、合同或者订单的处理，包括，对其的修改； C. 及时获取客户的反馈，包括意见和投诉。公司通过设立投诉电话等手段， 建立有效的沟通方法。 所有客户信息的记录，都应保存并做分析处理，定期向管理层报告。所有 与质量相关的客户需求、投诉记录、满意度调查的结果和反馈都会通过业务管 理过程进行处理和分析。 具体参见服务报告管理手册 、 新服务与服务变更管理手册 、 事件管 理手册 、 业务关系管理手册 。 7.3 设计和开发设计和开发 根据公司的认证范围，本条款已进行删减，列出的目的便于与标准对应。 7.4 采购采购 管理手册 22 7.4.1 采购过程采购过程 商务部应确保采购的产品符合规定的采购要求。对供方及采购的产品控制的 类型和程度应取决于采购的产品对随后的产品实现或最终产品的影响。 商务部应根据供方按组织的要求提供产品的能力评价和选择供方。应制定选 择、评价和重新评价的准则。评价结果及评价所引起的任何必要措施的记录应 予保持。 7.4.2 采购信息采购信息 采购信息应表述拟采购的产品，适当时包括： a) 产品、程序、过程和设备的批准要求： b) 人员资格的要求； c) 质量管理体系的要求。 在与供方沟通前，组织应确保规定的采购要求是充分与适宜的。 7.4.3 采购产品的验证采购产品的验证 各使用部门应确定并实施检验或其他必要的活动，以确保商务部采购的产 品满足规定的采购要求。采购完成后，供应商的服务进行监督和评审，定期回 顾评审供应商是否达到约定的服务级别目标，并对其结果进行分析处理。 当公司或其顾客拟在供方的现场实施验证时，组织应在采购信息中对拟验 证的安排和产品放行的方法作出规定。 本公司与产品和服务有关的采购由商务部对采购过程进行控制，具体参见 供应商管理手册 。 7.5 生产和服务提供生产和服务提供 7.5.1 生产和服务提供的控制生产和服务提供的控制 为了对生产和服务的运作进行有效的控制，本公司应策划并在受控条件下 进行提供，适用时，受控条件应包括： 1) 根据项目和顾客要求，由各项目承担部门负责公司获得规定产品特性的 信息，包括隐含的要求及法律法规要求； 管理手册 23 2) 需要时，由项目承担部门制定作业指导书，包括计划编制规范和实施规 范等。 3) 由项目承担部门负责获得、使用和维护生产与服务运作用的设备及软件 版本管理，执行相关配置规范等； 4) 获得和使用监视和测量设备； 5) 由项目承担部门负责按相关控制文件的要求实施监控活动； 6) 实施放行、交付和适用的交付后活动。 本公司在为客户提供生产和服务过程具体参见服务级别管理手册 、 能 力和可用性管理手册 、 设备管理手册 、 业务持续性管理手册 、 事件管理 手册 、 问题管理手册 、 网络安全管理手册以及备份等信息安全管理文件。 7.5.2 生产和服务过程的确认生产和服务过程的确认 当生产和服务提供的过程输出不能由后续的监视或测量加以验证，致使问 题在产品投入使用后或服务已交付后才显现时，组织应对任何这样的过程实施 确认。公司提供的服务过程，均需要确认，证实这些过程实现所策划结果的能 力。适用时包括： a. 为过程的评审和批准所规定的准则； b.设备的认可和人员资格的鉴定； c.使用特定的方法和程序； d.记录的要求； e. 再确认。 公司通过目标指标监控、人员资格能力、设备能力和可用行、设备符合性 监督方式确认过程能力，并制定相应的作业文件，进行过程确认，并记录。当 公司出现下列问题时，需要再次确认： 管理手册 24 a. 信息事件出现严重以上等级； 客户连续出现次以上投诉。 过程确认遵循能力和可用性管理手册 、 人力资源管理实施细则和 符合性管理手册等文件。 .5.3 标识和可追溯性标识和可追溯性 为了有效识别开发策划、需求分析、设计实现、安装调试、验收交付及维 护服务过程中的各项产品，防止混用，确保本公司提供的软、硬件产品的可追 溯性和唯一标识，实现产品质量保证的明确定位，公司对采购产品的标识进行 如下要求： 1) 入库的采购产品和产品状态采用标签和区域进行标识； 2) 安装现场的采购产品可用包装上的原标识或铭牌进行标识，产品状态可 用标签和相应验证记录进行标识。 3) 软件产品通过版本和版本说明进行标识。 4) 人员通过姓名或者员工卡号标识。 ) 设备通过指示等告警等不同颜色进行标识。 ）项目计划通过审批状态进行标识。 在有可追溯性要求时，由项目组控制和记录产品的唯一性标识。 .5.4 顾客财产顾客财产 有关部门和人员应爱护在公司控制下和使用的顾客财产（包括知识产权和 企业以及个人信息） ，为此，公司针对顾客实物财产会在合同中具体规定了顾客 财产的识别、验证、保护和维护要求，同时规定当顾客财产发生丢失、损坏或 发现不适用的情况时，应报告顾客，并保持记录。 在 IT 服务项目中，对客户信息资产的管理，包括识别、风险评估和处理， 将遵循配置管理手册以及信息安全风险管理手册的相关规定执行。 管理手册 25 7.5.5 产品防护产品防护 为防止产品在内部处理和交付到预定地点期间的损坏和质量降低，公司应 对产品和产品的组成部分提供防护。产品防护包括标识、搬运、包装、贮存和 保护。具体控制如下： 1) 产品的标识执行 7.4.3。 2) 产品搬运过程中应做到轻拿轻放，防摔、防碰、防水，防止野蛮装卸。 对于大型设备应选择适当的搬运工具，并由专业搬运人员操作。 3) 产品的包装一般使用原包装，必要时应内填足够的填充物或增加外包装， 注明产品规格型号、数量等有关内容，并写上“轻拿轻放”等字样及“”标 志。包装应确保防止任何物理或功能性的损伤。 4) 库房储存环境要求防火、防盗、防水、防潮、防磁、防鼠、防蛀。入库 产品要做到先入先出并及时填写相关记录。 5) 网络及集成系统交付前，严禁无关人员随意开机、调试、插拔接头等。 ）对网络内的信息按照信息安全管理手册中的规定执行。 7. 6 监视和测量设备的控制监视和测量设备的控制 公司应确定需实施的监视和测量以及所需的监视和测量设备，为产品符合 确定的要求提供证据。 公司应建立监视和测量设备控制程序 ，以确保监视和测量活动可行并以 与监视和测量的要求相一致的方式实施。 当有必要确保结果有效的场合时，测量设备应做到： 对照能溯源到国际或国家标准的测量标准，按照规定的时间间隔或在使用 前进行校准和（或）验证。当不存在上述标准时，应记录校准或检定的依据； 必要时进行调整或再调整； 能够识别，以确定其校准状态； 管理手册 26 防止可能使测量结果失效的调整； 在搬运、维护和贮存期间防止损坏或失效； 此外，当发现设备不符合要求时，应对以往测量结果的有效性进行评价和 记录，应对该设备和任何受影响的产品采取适当的措施。 校准和验证结果的记录应予保持。 当计算机软件用于规定要求的监视和测量时，应确认其满足预期用途的能 力。确认应在初次使用前进行，并在必要时予以重新确认。确认计算机软件满 足预期用途能力的典型方法包括验证和保持其适用性的配置管理（技术状态管 理） 。 8 测量、分析和改进测量、分析和改进 .1 总则总则 公司策划并实施顾客满意测量、内部审核、产品监视和测量、过程监视和 测量、不合格品控制、数据分析、持续改进等过程，以便： 应策划并实施以下方面所需的监视、测量、分析和改进过程： 证实与产品要求的符合性； 确保质量管理体系的符合性； C持续改进质量管理体系的有效性。 这应包括对统计技术在内的适用方法及其应用程度的确定。 .2 监视和测量监视和测量 .2.1 顾客满意顾客满意 公司通过测量、分析客户对公司产品和服务的满意度，不断提高产品和服 务质量。 客户服务部负责牵头并组织相关部门进行客户满意度的调查与评价，根据 管理手册 27 对客户要求、意见和投诉的调查，进行统计分析，形成统计分析报告，报告相 关部门及管理层。针对客户不满意或潜在不满意情况，责任部门应采取相应的 纠正和预防措施，不断提高客户满意度。具体执行业务关系管理手册中满 意度调查流程。 .2.2 内部审核内部审核 1）公司制定了内部审核控制程序 ，策划的时间间隔通过审核管理体系 涉及到的各部门所开展的活动和有关结果是否符合策划的安排、标准的要求以 及组织所确定的质量管理体系的要求，确保管理体系持续有效地运行，并为管 理体系改进提供依据。 2）按照内部审核控制程序 ，定期对各体系实施内部审核。公司每年至 少进行 1 次内审活动。内审计划报管理者代表审批。在每次内审前，管理者代 表任命审核组长，由审核组长组织内部审核。审核组应编制审核工作相关文件， 提前通知各有关部门和人员。审核结束后，由审核组长组织编写审核报告，报 送管理者代表审批，分发到各有关部门和人员。对审核中发现的不合格项，责 任部门应及时采取纠正措施，内审员应对纠正措施的完成情况进行跟踪检查， 并验证其有效性。 3）实施内部审核时，需要考虑到被审核流程和区域的状况及重要性，也应 考虑到之前审核的结果。在审核之前，必须确定审核标准、范围和方法，选择 审核员，确保审核过程的客观性和中立性。 4）内部审核的结果是实施管理评审的重要的信息输入，会成为实施纠正措 施以改进管理体系的重要依据。 8.2.3 过程的监视和测量过程的监视和测量 公司对各个管理体系的产品实现、管理职责、资源管理、测量分析等过程 进行监视和测量。采用如下的手段和方法进行测量，对未能达到策划结果的过 程，应采取适当的纠正和纠正措施，以确保过程和结果的符合性。 1) 通过内部审核对各过程进行监测。 2) 通过目标绩效对各个过程进行监测。 管理手册 28 3) 顾客满意度的测量对生产和服务提供全过程进行监控。 4) 各部门经理负责监督检查部门和员工的工作，对相关过程进行监测。 具体执行日常检查制度 。 8.2.4 产品的监视和测量产品的监视和测量 根据公司业务特点，公司通过对服务产品的测试、验收和对开发过程的控 制，确保产品能满足规定的质量要求，防止不合格产品被交付。 监视和测量应依据所策划的安排在产品实现过程的适当阶段进行，应保持 符合接收准则的证据。 记录应指明有权放行产品以交付给顾客的人员。 除非得到有关授权人员的批准，适用时得到顾客的批准，否则在策划的安 排已圆满完成之前，不应向顾客放行产品和交付服务。 公司服务质量由客户确认，具体执行事件管理手册和日常检查制度 8.3 不合格品控制不合格品控制 公司为确保不合格品得到识别与控制，确定不合格品控制过程活动及其要 求，以防止其非预期的使用和交付，在不合格品控制程序中对不合格品控 制以及不合格品处置的有关职责和权限做出规定，控制活动包括对不合格品的 标识、隔离、评审、处置和记录、以及不合格品纠正后的验证。对下列方面作 了明确的规定： 1) 在产品实现或其他过程活动中的不合格品由相关责任人负责识别； 2) 对不合格品进行评审，确认不合格事实、范围、程度和影响，决定适宜 的处置措施； 3) 对已发现的不合格品采取拒收、索赔、返修、让步接受等措施予以处置 （让步接受须经部门以上负责人批准，必要时经顾客批准） ； 4) 当在交付或开始使用后发现不合格时，根据不合格影响的程度采取现场 维修、召回维修、退货退款或与顾客协商等措施； 5) 不合格品得到纠正之后应对其进行再次验证（包括回归测试） ，以证实 管理手册 29 符合要求； 6) 不合格的原始记录和采取的所有后续措施包括让步放行的记录应予以保 持。 8.4 数据分析数据分析 为证实管理体系的适宜性和有效性，并评价在何处可以持续改进管理体系 有效性，公司应确定、收集和分析适当的数据。数据分析包括： 1) 顾客对公司提供的产品和服务的满意程度； 2) 公司生产和服务提供产品与顾客要求的符合性； 3) 过程和产品的特性及发展趋势，发现在何处须采取预防措施的机会