IT软件企业ISO9001质量管理手册.doc

德信诚培训网IT软件企业ISO9001质量管理手册目录颁布令任命书管理方针和目标公司简介公司组织结构图1目的和范围1.1目的1.2范围2引用标准3术语和定义4管理体系要求4.1总要求4.1.1管理架构4.1.2管理体系运作机制4.2管理体系文件4.2.1总则4.2.2质量手册4.2.3文件控制4.2.4记录和资料控制5管理职责5.1管理承诺5.2以顾客为关注的焦点5.3质量方针5.4策划5.4.1质量方针5.4.2质量管理体系策划5.5职责、权限和沟通5.5.1职责和权限5.5.2管理者代表5.5.3内部沟通5.6管理评审5.6.1总则5.6.2评审输入5.6.3评审输出6资源管理6.2.1资源的提供6.2.2人力资源6.2.3基础设施6.2.4工作环境7产品实现7.1产品实现的策划7.2与顾客有关的过程7.2.1与产品有关要求的确定7.2.2与产品有关的要求的评审7.2.3顾客沟通7.3设计和开发7.4采购7.4.1采购过程7.4.2采购信息7.4.3采购产品的验证7.4生产和服务提供7.5.1生产和服务提供的控制7.5.2生产和服务过程的确认7.5.3标识和可追溯性7.4.4顾客财产7.5.5产品防护7.6监视和测量装置控制8测量、分析和改进8.1总则8.2监视和测量8.2.1客户满意度8.2.2内部审核8.2.3过程的监视和测量8.2.4产品的监视和测量8.3不合格品控制8.4数据分析8.4.1数据来源8.4.2数据的收集和分析8.5持续改进8.5.1持续改进85.2纠正措施8.5.3预防措施附录A年度管理目标附录B质量管理体系过程职责分配表附录C管理体系文件清单颁 布 令为提高IT服务管理和信息安全管理水平，规范化运行管理，依据GB/T 19001-2008 idt ISO9001:2008 质量管理体系 要求、ISO/IEC20000-1:2005 Information technology - Service management - Part 1:Specification、ISO/IEC 27001:2005 Information technology - Security techniques Information security management systems - requirements，结合公司实际情况建立符合以上标准规范要求的管理体系。管理手册阐述了有关IT服务管理、服务质量管理、信息安全管理的管理方针，是规范服务管理与信息安全管理的纲领性文件，是建立、实施、评测、改进管理体系的指导性文件。本手册在编制过程中坚持符合性、适宜性和有效性的统一，并广泛征求意见修订成稿，现予以发布，自发布日起正式生效实施。全体员工应认真学习、熟知本手册内容，并严格执行本手册的各项规定和要求。本手册将根据内、外部环境的变化适时进行评审、修改和完善。此令！ 总经理： 2013年 11月28日任 命 书“管理者代表”任命书为了贯彻执行GB/T 19001-2008 idt ISO9001:2008 质量管理体系 要求、ISO 9001:2008 Quality management systems - Requirements、ISO/IEC 20000-1:2005 Information technology - Service management - Part 1:Specification、ISO/IEC 27001:2005 Information technology - Security techniques Information security management systems - requirements，加强对管理体系运作的领导，确保管理体系的建立、实施、运作、监视、评审、保护和改进，特任命 为管理者代表。管理者代表的职责和权限是：1. 代表总经理负责按标准要求建立、实施、运作、监视、评审、持续改的管理体系，实现公司的服务管理，质量管理与信息安全管理方针和目标；2. 协助总经理开展管理评审，并向总经理报告管理体系业绩和改进需求；3. 负责组织管理手册的编写、修订和审核工作；4. 确保在整个内提高满足客户要求的意识；5. 负责提出资源配置以实现IT服务的交付和管理；6. 负责协调和管理所有的IT服务管理工作；7. 负责协调和管理所有的质量管理工作；8. 提高公司全体人员的信息安全意识；9. 负责公司管理体系有关事宜的外部联络工作。 总经理： 质量方针和目标l 管理方针顾客至上、安全第一、质量为本、持续改进管理方针释义顾客至上、安全第一、质量为本、持续改进以满足顾客的需求，超越客户的期待为出发点，保证科技有限公司各项业务的安全运行，达到行业领先的高可用性。以专业和完善的服务质量，达到行业领先的水平；采用PDCA的方法，追求服务品质的不断提升。l 管理目标安全可靠：保证各项业务的安全运行，达到行业领先的高可用性，是压倒一切的管理要求。客户满意：以专业和完善的服务，达到行业领先的服务水平，实现客户满意。效率和效益：在确保安全可靠和客户满意的前提下，以诚信合作的精神和专业的技能，达成高效率和高效益。l 管理政策推进“流程化管理、标准化服务、高素质团队、高效率运作”的体系建设；向客户提供安全、可靠和稳定的信息系统管理服务，并持续优化服务质量。l 服务理念超越客户的期望值。 批准： 2013年 11月28日公司组织结构图管理者代表总经理综合管理部销售副总技术副总销售部商务部客户服务部产品部售前支持部系统支持部 ISO9001质量管理手册1 目的和范围1.1 目的为了规范公司的内部运作，安全、及时、准确地为客户提供服务，确保服务品质和信息安全，并注重持续改进，以期实现客户满意，而建立的运行管理体系符合以下标准规范的全部要求：l GB/T 19001-2008 idt ISO 9001:2008l ISO/IEC20000-1:2005l ISO/IEC 27001:20051.2 范围本手册适用于：l 各部门；l 公司所在驻地：l 0根据的业务特点，对GB/T 19001-2008 idt ISO 9001:2008、ISO/IEC20000-1:2005以及ISO/IEC 27001:2005标准中不适用于本公司的部分条款作了删减。由于公司为客户提供服务活动，为常规业务，不涉及到7.3设计和开发，故对7.3删除。上述条款的删除，不免除公司满足法律法规和客户要求的责任。ISO/IEC20000-1:2005以及ISO/IEC 27001:2005删减详见L1-SOA-适用性声明-V1.0。l 管理体系适用于与数据备份、容灾、数据仓库、数据综合利用的服务相关的管理活动。2 引用标准本手册引用或依据下列相关国家/国际标准，当该标准增补或修订时，使用标准的最新版本：1) GB/T 19001:2008质量管理体系要求2) GB/T 19000:2008质量管理体系基础和术语3) ISO 9001:2008Quality management systems - Requirements4) ISO 9000:2008Quality management system - Fundamentals and vocabulary5) ISO/IEC 20000-1:2005 IT服务管理第一部分：服务管理规范6) ISO/IEC 20000-2-2005 IT服务管理第二部分：服务管理实践守则7) ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求8) ISO/IEC 27002:2007 信息技术-安全技术-信息安全管理实施指南3 术语和定义本手册采用GB/T 19000-2008 idt ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005的术语和定义。4 管理体系要求4.1 总要求将充分遵循GB/19000 2008、ISO 9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005等标准的要求，建立、实施运行管理体系，并持续改进，以保证其有效性。公司应：a) 确定质量管理体系所需的过程及其在整个组织中的应用；b) 确定这些过程的顺序和相互作用；c) 确定为确保这些过程的有效运作和控制所需的准则和方法；d) 确保可以获得必要的资源和信息，以支持这些过程的运作和监视；e) 监视、测量(适用时)和分析这些过程；f) 实施必要的措施，以实现对这些过程所策划的结果和对这些过程的持续改进。公司应按标准的要求管理这些过程，并对对公司所选择的任何影响产品符合要求的外包过程，应确保对其实施控制。对此类外包过程控制的类型和程度应在供应商管理手册中加以规定。管理体系模式图：资源管理过程产品实现过程测量、分析、改进过程4.1.1 管理架构根据GB/19000 2008、ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005的要求，建立符合公司业务特点的管理架构，明确各部门/岗位职责、沟通方式和渠道。设立管理者代表，确保管理体系的建立、实施和持续改进工作的落实，管理者代表负责向公司最高管理者报告管理体系的业绩和任何改进的需求，确保在公司内提高对客户服务意识和信息安全意识；负责与管理体系有关事宜的外部联络工作。明确了管理方针、目标以及达成方针和目标的措施，并明确了管理体系的实施范围。管理目标的有效性每年至少评价一次。开展管理评审和内部审核工作，评估和管理风险，持续的评估和改进管理体系。明确了标准适用范围，ISO/IEC20000-1:2005、ISO/IEC 27001:2005记录在适用性声明文件中。4.1.2 管理体系运作机制在管理体系建立和维护过程中，充分遵循GB/T 19001-2008 idt ISO9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005等标准的要求，采用PDCA模式建立、实施和维护管理体系，以保证其持续有效性，具体如下图所示。 1. 策划与准备（Plan）主要是做好建设管理体系的各种前期工作，包括：l 管理现场调查，明确IT服务管理、服务质量管理和信息安全管理的目标，明确管理角色和管理框架的结构，建立风险评估方法，确定管理审核和改进服务质量的方法。l 进行管理体系设计，根据公司管理方针和业务特点，对业务过程进行识别，确定管理范围，明确过程控制的方法及过程之间的相互关系和接口。l 对人员进行教育培训。2. 建设与实施（Do）根据策划与准备阶段的结果，建立并推广、执行基于IT服务管理、服务质量管理和信息安全管理的管理体系，规范运行管理以实现预期的管理目标，为实现风险控制、评价和改进管理体系、实现持续改进提供不可或缺的依据。3. 评估审核（Check）通过对管理体系运行情况的监视、测量，定期实施内部审核，确保管理体系下的各项管理制度得到落实，及时发现管理体系运行过程中存在的问题，为管理体系的持续改进提供基础。4. 持续改进（Act）建立管理体系持续改进测量，根据评估审核的结果，制定执行纠正和预防措施，进一步改进完善各项管理制度，以保证管理体系的持续有效性，保障信息安全，提高服务管理的有效性和效率。4.2 管理体系文件4.2.1 总则管理体系充分考虑了ISO/IEC 20000-1:2005标准中关于新服务或变更服务的策划实施过程、服务交付过程、关系过程、解决过程、控制过程、发布过程，具体内容已被融合到管理体系的相关文件之中。管理体系充分考虑了GB/ 19000-2008 idt ISO 9001:2008标准中关于产品实现测量分析改进的内容，具体内容已被融合到管理体系的相关文件之中。质量管理体系文件应包括： a) 形成文件的质量方针和质量目标（在手册中描述）； b) 质量手册； c）本标准所要求的形成文件的程序和记录； d) 组织确定的为确保其过程有效策划、运作和控制所需的文件，包括记录。4.2.2 质量手册 公司编制和保持质量手册，质量手册包括： a) 质量管理体系的范围，包括任何删减的细节与理由（见范围）； b) 为质量管理体系建立的形成文件的程序或对其引用（见附录文件清单）； c) 质量管理体系过程之间的相互作用的表述。4.2.3 文件控制依据GB/ 19000-2008 idt ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005标准的要求，结合公司的业务特点和实际情况，建立和执行适宜的文件以保障管理体系的有效、高效运行，并对文件进行持续的修订完善，以保证其有效性。1公司文件体系结构：管理体系相关的文件由上而下分为四个阶层，如下图所示：L1 第一阶层文件（简称一阶文件）：管理手册包含管理方针和策略，是管理体系的纲领性文件。一阶文件包括管理手册、适用性声明、管理体系策划。质量管理明确了体系的范围，包括任何删减的细节与理由；描述了质量管理体系建立所形成文件的程序或对其引用；对质量管理体系过程之间的相互作用进行表述。L2 第二阶层文件（简称二阶文件）：程序文件为达到GB/T 19001-2008 idt ISO9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005标准要求而制定的各项管理制度、规范、流程以及相关支持性文件。L3 第三阶层文件（简称三阶文件）：工作指引用来解释特殊工作和活动细节的作业指导书、实施细则和操作手册等。L4 第四阶层文件（简称四阶文件）：表单记录根据GB/T 19000-2008 idt ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005标准的要求和体系实际运行需要，通过表单模板，对管理体系实施的活动过程和结果的记录进行规范，形成记录文件，用于作为管理评审、内部审核、外部审核、持续改进的客观证据。2文件控制管理体系文档建立、颁布及修订，应采取适当管控措施。管理体系文件的制定应符合公司的服务规模、产品类型、过程复杂程度、员工能力素质等实际情况，以便于理解应用。公司编制文件管理手册，规定以下方面所需的控制要求：a.文件发布前得到批准，以确保文件是充分与适宜的；为文件的充分性与适宜性，在文件发布前进行批准。b.管理体系文件应定期进行评审、修订完善，并再次批准以保持文件要求与实际运作的一致性，充分保障文件的有效性、充分性和适宜性。c.确保文件的更改和现行修订状态得到识别；d.确保在使用处可获得有关版本的适用文件；e.确保文件保持清晰、易于识别；f.确保组织所确定的策划和运行质量管理体系所需的外来文件得到识别，并控制其分发；g.防止作废文件的非预期使用，若因任何原因而保留作废文件时，对这些文件进行适当的标识。文件可以以任何媒体形式呈现，如纸张、磁盘、光盘、照片、样片等。文件的审核、发布、变更、修订、废止等，应依照文件管理手册进行管控。4.2.4 记录和资料控制公司应建立及维持管理体系所要求的“记录”，以提供为符合要求和质量管理体系有效运行提供证据，记录应维持受控，记录应保持清晰,并易于阅读、辨识及检索查阅。记录应妥善保管，其鉴别、储存、取用、保护、保存期限、处置等事项，应依照记录和外来文件管理手册进行管控。管理体系文档及记录，可以以任何形式进行存放（包括：纸本及电子文档）。5 管理职责5.1 管理职责公司管理层应在管理体系建立、实施、运行、监视、评审和持续改进中提供承诺和支持，并通过各种活动完成以下工作，以确保相关各项工作的顺利开展，并提供承诺和支持的证据。1. 建立符合相关标准的管理组织，包括决策层、管理层和执行层。2. 制订IT服务管理、信息安全管理、服务质量管理的管理方针和目标。3. 提供足够的资源，以保证管理体系策划、实施、运行、监视、评审、持续改进等工作的顺利开展，以建立符合GB/19000 2008、ISO 9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005标准要求，以及实际需要的管理体系。4. 确立管理体系持续改进计划和适当的沟通计划，确保管理体系的持续有效性，满足公司的实际运行管理需要。5. 以各种方式，持续向公司全体员工传达传达符合管理目标、管理方针、满足顾客和法律法规要求以及持续改进的必要性、重要性，传达满足其他相关方要求的重要性。6. 以增进顾客满意为目的，确保顾客的各种要求得到确定并予以满足。7. 分配管理体系相关的角色和职责，包括指定管理者代表负责所有服务的协调和管理。8. 对信息资产实行有效管理，确保信息资产的机密性（C）、完整性（I）、可用性（A）。9. 组织开展风险管理工作，核定风险可接受标准，对公司不能接受的风险进行处置。10. 组织建立瀚高业务连续性管理体系，以保证公司主要业务的连续，不受重大故障和灾难的影响。11. 组织对全体员工进行信息安全、IT服务管理的教育培训，提高信息安全意识和服务意识。12. 组织管理体系的推广工作，确保所有员工理解并严格遵守各项管理制度、规范和程序。确保管理体系管理评审、内部审核工作的进行。5.2以顾客为关注焦点总经理应以增强顾客满意为目的，确保顾客的要求得到确定并予以满足。5.3 质量方针总经理确保其制定的质量方针：a. 与公司的宗旨相适应；b. 包括对满足要求和持续改进质量管理体系有效性的承诺；c. 提供制定和评审质量目标的框架；d. 在组织内得到沟通和理解；e. 最高管理者通过管理评审，对质量方针的持续适宜性进行评审。5.4. 策划 5.4.1 质量目标最高管理者确保：a. 管理者代表根据质量方针提供的框架，组织在公司和公司内部相关的职能、层次和岗位上建立可测量的质量目标。形成公司目标体系。公司质量目标包括满足产品要求所需的内容。b. 质量目标由最高管理者批准，由管理者代表组织跟踪、监督和考核，质量目标通过管理评审进行评审和修订，以保证其持续适宜性。 目标以及各部门分解见附录B。5.4.2 质量管理体系策划最高管理者确保：a.为达到已确定的质量目标，由管理者代表主持对质量管理体系进行持续、全面策划和修订、变更，以满足4.1质量管理体系总要求的各个方面，形成并持续改进完整的文件体系和完善的组织体系。b. 在对质量管理体系的变更进行策划和实施时，保持质量体系的完整性。5.5. 职责、权限和沟通5.5.1职责和权限最高管理者应确保组织内的职责、权限得到规定和沟通。具体参见组织架构与部门职责。5.5.2管理者代表最高管理者任命一名管理者作为管理者代表，对质量管理体系进行管理、监督、评价和协调。管理者代表的职责和权限包括但不限于：a. 确保质量管理体系所需的过程得到建立、实施和保持；b. 向最高管理者报告质量管理体系的业绩和任何改进的需求；c. 确保在整个组织内提高满足顾客要求的意识；d. 本手册规定的其他职责和权限。5.5.3内部沟通最高管理者应确保在组织内建立适当的沟通过程，并确保对质量管理体系的有效性进行沟通。公司的沟通方式包括：会议、看板、电话、网络邮件、记录传递、培训等方式。5.6管理评审5.6.1总则为确保管理体系，包括服务管理与安全方针和目标持续的适宜性、充分性和有效性：1. 由建立并保持管理评审控制程序，指导管理评审工作的执行。2. 公司每年至少开展一次管理评审，两次间隔不得超过十二个月。一般情况下，采取会议的形式，安排在内部审核之后。当出现下列情况之一时，应及时进行管理评审：l 公司管理体系发生重大变化。l 国家法律、法规、相关标准发生重大变化。l 外审之前。l 其它认为需要评审时。3. 管理评审由总经理主持，各部门负责人参加，需要时，由总经理决定具体的参加人员。4. 管理审查会议的决议事项以会议纪要形式体现，由各相关部门负责配合执行，并对执行状况予以追踪评估。5.6.2评审输入综合管理部组织有关部门按计划的要求收集整理有关文件和数据资料提交管理评审，包括：1) 内部和外部审核的结果； 2) 相关方（客户、政府部门、供应商、内部员工等）的反馈；3) 管理目标有效性测量结果；4) 客户满意度调查信息反馈及客户投诉； 5) 用于改进管理体系执行绩效和有效性的技术、产品或程序的发展及变化；6) 全年的管理体系运作状况；7) 对过程和服务测量和监视的结果；8) 纠正和预防措施的实施情况；9) 以往风险评估未充分指出的脆弱性或威胁；10) 以往管理评审所采取措施的跟踪验证；11) 经策划的可能影响管理体系的变更；12) 管理体系文件的适用性，包括修改要求等；13) 改进的建议。5.6.3评审输出按照服务管理与安全方针和目标对上述信息进行全面的讨论、评价、分析，决定所要采取的改进措施，包括：1) 管理体系有效性的改进，应考虑业务需求、安全需求、影响已有业务需求的业务过程、法律法规环境、合同责任、风险和/或风险接受等级等；2) 方针和目标的修订；3) 与客户要求有关的改进；4) 更新风险评估和风险处置计划；5) 资源需求；6) 改进测量控制措施有效性的方式；7) 对现有管理体系（包括方针和目标）的评价结论及对现有服务是否符合要求的评价。6 资源管理6.1资源的提供公司应确定并提供必要的足够资源以策划、建立、实施、运作、监视、评审、保持和改进管理体系，通过满足客要求，增强顾客满意。包括人力资源、基础设施、工作环境。6.2人力资源1. 基于适当的教育、培训、技能和经验，从事影响产品与要求的符合性工作的人员应是能够胜任的。岗位职责以及相应的能力需求应有清晰明确的定义。2. 应合理为每个员工分配工作岗位，并为其所知晓。3. 应使全体员工认识到其所从事工作的关联性和重要性，以及如何为实现管理目标作出贡献。4. 应根据员工岗位职责要求，提供适当的教育培训或采取其它措施，以满足工作岗位能力需求。5. 应建立员工教育培训管理制度，并评估教育培训的成效或所采取措施的有效性。6. 应维持相关人员教育、培训、技能及经验的适当记录。7. 聘用人员前应对其背景进行调查验证，并签署相关信息安全职责的文件。具体执行人力资源实施细则。6.3基础设施确定、提供和维护满足相关法律、法规、标准、合约要求的所必需的基础设施，如办公场所、办公设备、网络设备（包括硬件和软件）、支持性服务（如通讯或信息系统）等，并按既定的策略、管理措施进行使用。6.4工作环境提供满足相关法律、法规、标准、合约要求的所必需的工作环境，并按既定的策略、管理措施进行使用。7产品实现7.1 产品实现的策划根据公司业务特点，为确保产品代理分销、软件产品、服务和系统集成项目达到客户满意，公司相关业务部门对实现上述产品和服务的全过程进行了策划并制定了相应的文件；产品实现的策划应与质量管理体系其他过程的要求相一致。在对产品实现进行策划时，应确定以下方面的适当内容：a. 产品的质量目标和要求，见服务级别管理手册；b. 针对产品确定过程、文件和资源的需求； c. 产品所要求的验证、确认、监视、测量、检验和试验活动，以及产品接收准则；d. 为实现过程及其产品满足要求提供证据所需的记录。对应用于特定产品、项目或合同的质量管理体系、IT服务管理体系和信息安全管理体系的过程（包括产品实现过程）和资源，通过制定计划的方法进行规定。在公司IT服务业务中，服务产品实现的策划，一方面通过新服务和服务变更管理手册对现有服务产品进行变更或研发新的服务产品；另一方面，通过服务级别管理手册及事件管理手册，对服务产品的执行过程进行策划。7.2 与顾客有关的过程7.2.1 与产品有关要求的确定公司应确定产品的要求，要求由以下方面构成：1) 客户规定的要求，包括对交付和交付后活动的要求，交付后的活动包括诸如担保条件下的措施、合同规定的维护服务、附加服务（回收或最终处置）等；2) 客户虽未明确提出，但规定的或预期的用途所必需的要求；3) 与产品有关的国家法令法规、行业规定的要求；4) 公司认为必要的附加要求（注：此要求不得与前3项要求的任何一项有抵触）。7.2.2 与产品有关的要求的评审与客户进行有效的沟通，充分且正确的了解客户的要求和期望，确保公司有能力实现客户的要求，以达到用户满意。公司应评审与产品有关的要求。评审应在组织向顾客作出提供产品的承诺之前进行（如：提交标书、接受合同或订单及接受合同或订单的更改），并应确保：a. 产品要求得到规定；b. 与以前表述不一致的合同或订单的要求已予解决；c. 组织有能力满足规定的要求。评审结果及评审所引起的措施的记录应予保持。若顾客提供的要求没有形成文件，公司应在接收顾客要求前应对顾客要求进行确认。若产品要求发生变更（包括合同以及技术要求等），公司应确保相关文件得到修改，并确保相关人员知道已变更的要求。 公司通过有关的产品信息，如产品目录、产品广告内容进行销售时，应在发布信息前对相关内容进行评审。具体遵照供应商管理手册中合同评审管理流程。7.2.3 顾客沟通为增进与客户的沟通，公司应对以下有关方面进行确定并实施与顾客沟通：a. 为客户提供产品信息；b. 接收客户的问询、合同或者订单的处理，包括，对其的修改；C. 及时获取客户的反馈，包括意见和投诉。公司通过设立投诉电话等手段，建立有效的沟通方法。所有客户信息的记录，都应保存并做分析处理，定期向管理层报告。所有与质量相关的客户需求、投诉记录、满意度调查的结果和反馈都会通过业务管理过程进行处理和分析。具体参见服务报告管理手册、新服务与服务变更管理手册、事件管理手册、业务关系管理手册。7.3设计和开发根据公司的认证范围，本条款已进行删减，列出的目的便于与标准对应。7.4 采购7.4.1 采购过程商务部应确保采购的产品符合规定的采购要求。对供方及采购的产品控制的类型和程度应取决于采购的产品对随后的产品实现或最终产品的影响。商务部应根据供方按组织的要求提供产品的能力评价和选择供方。应制定选择、评价和重新评价的准则。评价结果及评价所引起的任何必要措施的记录应予保持。7.4.2 采购信息采购信息应表述拟采购的产品，适当时包括：a) 产品、程序、过程和设备的批准要求：b) 人员资格的要求；c) 质量管理体系的要求。在与供方沟通前，组织应确保规定的采购要求是充分与适宜的。7.4.3 采购产品的验证各使用部门应确定并实施检验或其他必要的活动，以确保商务部采购的产品满足规定的采购要求。采购完成后，供应商的服务进行监督和评审，定期回顾评审供应商是否达到约定的服务级别目标，并对其结果进行分析处理。当公司或其顾客拟在供方的现场实施验证时，组织应在采购信息中对拟验证的安排和产品放行的方法作出规定。 本公司与产品和服务有关的采购由商务部对采购过程进行控制，具体参见供应商管理手册。7.5 生产和服务提供7.5.1 生产和服务提供的控制为了对生产和服务的运作进行有效的控制，本公司应策划并在受控条件下进行提供，适用时，受控条件应包括：1) 根据项目和顾客要求，由各项目承担部门负责公司获得规定产品特性的信息，包括隐含的要求及法律法规要求；2) 需要时，由项目承担部门制定作业指导书，包括计划编制规范和实施规范等。3) 由项目承担部门负责获得、使用和维护生产与服务运作用的设备及软件版本管理，执行相关配置规范等；4) 获得和使用监视和测量设备；5) 由项目承担部门负责按相关控制文件的要求实施监控活动；6) 实施放行、交付和适用的交付后活动。本公司在为客户提供生产和服务过程具体参见服务级别管理手册、能力和可用性管理手册、设备管理手册、业务持续性管理手册、事件管理手册、问题管理手册、网络安全管理手册以及备份等信息安全管理文件。7.5.2 生产和服务过程的确认当生产和服务提供的过程输出不能由后续的监视或测量加以验证，致使问题在产品投入使用后或服务已交付后才显现时，组织应对任何这样的过程实施确认。公司提供的服务过程，均需要确认，证实这些过程实现所策划结果的能力。适用时包括：a. 为过程的评审和批准所规定的准则；b.设备的认可和人员资格的鉴定；c.使用特定的方法和程序；d.记录的要求；e. 再确认。公司通过目标指标监控、人员资格能力、设备能力和可用行、设备符合性监督方式确认过程能力，并制定相应的作业文件，进行过程确认，并记录。当公司出现下列问题时，需要再次确认：a. 信息事件出现严重以上等级；客户连续出现次以上投诉。过程确认遵循能力和可用性管理手册、人力资源管理实施细则和符合性管理手册等文件。.5.3 标识和可追溯性为了有效识别开发策划、需求分析、设计实现、安装调试、验收交付及维护服务过程中的各项产品，防止混用，确保本公司提供的软、硬件产品的可追溯性和唯一标识，实现产品质量保证的明确定位，公司对采购产品的标识进行如下要求：1) 入库的采购产品和产品状态采用标签和区域进行标识；2) 安装现场的采购产品可用包装上的原标识或铭牌进行标识，产品状态可用标签和相应验证记录进行标识。3) 软件产品通过版本和版本说明进行标识。4) 人员通过姓名或者员工卡号标识。)设备通过指示等告警等不同颜色进行标识。）项目计划通过审批状态进行标识。在有可追溯性要求时，由项目组控制和记录产品的唯一性标识。.5.4 顾客财产有关部门和人员应爱护在公司控制下和使用的顾客财产（包括知识产权和企业以及个人信息），为此，公司针对顾客实物财产会在合同中具体规定了顾客财产的识别、验证、保护和维护要求，同时规定当顾客财产发生丢失、损坏或发现不适用的情况时，应报告顾客，并保持记录。在IT服务项目中，对客户信息资产的管理，包括识别、风险评估和处理，将遵循配置管理手册以及信息安全风险管理手册的相关规定执行。7.5.5 产品防护为防止产品在内部处理和交付到预定地点期间的损坏和质量降低，公司应对产品和产品的组成部分提供防护。产品防护包括标识、搬运、包装、贮存和保护。具体控制如下：1) 产品的标识执行7.4.3。2) 产品搬运过程中应做到轻拿轻放，防摔、防碰、防水，防止野蛮装卸。对于大型设备应选择适当的搬运工具，并由专业搬运人员操作。3) 产品的包装一般使用原包装，必要时应内填足够的填充物或增加外包装，注明产品规格型号、数量等有关内容，并写上“轻拿轻放”等字样及“”标志。包装应确保防止任何物理或功能性的损伤。4) 库房储存环境要求防火、防盗、防水、防潮、防磁、防鼠、防蛀。入库产品要做到先入先出并及时填写相关记录。5) 网络及集成系统交付前，严禁无关人员随意开机、调试、插拔接头等。）对网络内的信息按照信息安全管理手册中的规定执行。7. 6 监视和测量设备的控制公司应确定需实施的监视和测量以及所需的监视和测量设备，为产品符合确定的要求提供证据。公司应建立监视和测量设备控制程序，以确保监视和测量活动可行并以与监视和测量的要求相一致的方式实施。当有必要确保结果有效的场合时，测量设备应做到：对照能溯源到国际或国家标准的测量标准，按照规定的时间间隔或在使用前进行校准和（或）验证。当不存在上述标准时，应记录校准或检定的依据；必要时进行调整或再调整；能够识别，以确定其校准状态；防止可能使测量结果失效的调整；在搬运、维护和贮存期间防止损坏或失效；此外，当发现设备不符合要求时，应对以往测量结果的有效性进行评价和记录，应对该设备和任何受影响的产品采取适当的措施。校准和验证结果的记录应予保持。 当计算机软件用于规定要求的监视和测量时，应确认其满足预期用途的能力。确认应在初次使用前进行，并在必要时予以重新确认。确认计算机软件满足预期用途能力的典型方法包括验证和保持其适用性的配置管理（技术状态管理）。8测量、分析和改进.1 总则公司策划并实施顾客满意测量、内部审核、产品监视和测量、过程监视和测量、不合格品控制、数据分析、持续改进等过程，以便：应策划并实施以下方面所需的监视、测量、分析和改进过程：证实与产品要求的符合性；确保质量管理体系的符合性；C持续改进质量管理体系的有效性。 这应包括对统计技术在内的适用方法及其应用程度的确定。.2 监视和测量.2.1顾客满意公司通过测量、分析客户对公司产品和服务的满意度，不断提高产品和服务质量。客户服务部负责牵头并组织相关部门进行客户满意度的调查与评价，根据对客户要求、意见和投诉的调查，进行统计分析，形成统计分析报告，报告相关部门及管理层。针对客户不满意或潜在不满意情况，责任部门应采取相应的纠正和预防措施，不断提高客户满意度。具体执行业务关系管理手册中满意度调查流程。.2.2 内部审核1）公司制定了内部审核控制程序，策划的时间间隔通过审核管理体系涉及到的各部门所开展的活动和有关结果是否符合策划的安排、标准的要求以及组织所确定的质量管理体系的要求，确保管理体系持续有效地运行，并为管理体系改进提供依据。2）按照内部审核控制程序，定期对各体系实施内部审核。公司每年至少进行1次内审活动。内审计划报管理者代表审批。在每次内审前，管理者代表任命审核组长，由审核组长组织内部审核。审核组应编制审核工作相关文件，提前通知各有关部门和人员。审核结束后，由审核组长组织编写审核报告，报送管理者代表审批，分发到各有关部门和人员。对审核中发现的不合格项，责任部门应及时采取纠正措施，内审员应对纠正措施的完成情况进行跟踪检查，并验证其有效性。3）实施内部审核时，需要考虑到被审核流程和区域的状况及重要性，也应考虑到之前审核的结果。在审核之前，必须确定审核标准、范围和方法，选择审核员，确保审核过程的客观性和中立性。4）内部审核的结果是实施管理评审的重要的信息输入，会成为实施纠正措施以改进管理体系的重要依据。8.2.3 过程的监视和测量公司对各个管理体系的产品实现、管理职责、资源管理、测量分析等过程进行监视和测量。采用如下的手段和方法进行测量，对未能达到策划结果的过程，应采取适当的纠正和纠正措施，以确保过程和结果的符合性。1) 通过内部审核对各过程进行监测。2) 通过目标绩效对各个过程进行监测。3) 顾客满意度的测量对生产和服务提供全过程进行监控。4) 各部门经理负责监督检查部门和员工的工作，对相关过程进行监测。具体执行日常检查制度。8.2.4 产品的监视和测量根据公司业务特点，公司通过对服务产品的测试、验收和对开发过程的控制，确保产品能满足规定的质量要求，防止不合格产品被交付。监视和测量应依据所策划的安排在产品实现过程的适当阶段进行，应保持符合接收准则的证据。记录应指明有权放行产品以交付给顾客的人员。除非得到有关授权人员的批准，适用时得到顾客的批准，否则在策划的安排已圆满完成之前，不应向顾客放行产品和交付服务。公司服务质量由客户确认，具体执行事件管理手册和日常检查制度8.3 不合格品控制公司为确保不合格品得到识别与控制，确定不合格品控制过程活动及其要求，以防止其非预期的使用和交付，在不合格品控制程序中对不合格品控制以及不合格品处置的有关职责和权限做出规定，控制活动包括对不合格品的标识、隔离、评审、处置和记录、以及不合格品纠正后的验证。对下列方面作了明确的规定：1) 在产品实现或其他过程活动中的不合格品由相关责任人负责识别；2) 对不合格品进行评审，确认不合格事实、范围、程度和影响，决定适宜的处置措施；3) 对已发现的不合格品采取拒收、索赔、返修、让步接受等措施予以处置（让步接受须经部门以上负责人批准，必要时经顾客批准）；4) 当在交付或开始使用后发现不合格时，根据不合格影响的程度采取现场维修、召回维修、退货退款或与顾客协商等措施；5) 不合格品得到纠正之后应对其进行再次验证（包括回归测试），以证实符合要求；6) 不合格的原始记录和采取的所有后续措施包括让步放行的记录应予以保持。8.4 数据分析为证实管理体系的适宜性和有效性，并评价在何处可以持续改进管理体系有效性，公司应确定、收集和分析适当的数据。数据分析包括：1) 顾客对公司提供的产品和服务的满意程度；2) 公司生产和服务提供产品与顾客要求的符合性；3) 过程和产品的特性及发展趋势，发现在何处须采取预防措施的机会；4) 供方供货业绩，包括供方提供产品的符合性和及时性等。8.4.1 数据来源1) 客户满意度调查；2) 客户反馈；3) 采购产品验证结果；4) 生产和服务提供产品的测量结果；5) 客户信息安全需求；6) 服务级别达成状况；7) 体系运行的其它数据。8.4.2 数据的收集和分析1) 顾客满意度调查，商务部按照业务关系管理手册中的相关规定执行。2) 任何渠道收到的顾客反馈，接受部门或人员应及时进行内部沟通，确保将获得的信息通知到相关部门，由责任部门进行分析；3) 商务部负责组织对采购产品进行验证，收集和分析验证结果；4) 系统集成业务部门、软件研发业务部门负责各自职权范围内的调试及测试结果的收集和分析；5) 体系运行的其它数据，各相关部门自行收集和分析。数据分析可采用适当的统计技术。如整理数据时可采用饼分图、排列图等，以找出薄弱环节；而利用因果图可找出不合格或潜在不合格的原因。数据分析的结果应能提供以下信息，并将其作为改进的依据，以采取相应的纠正预防措施加以改进。8.5持续改进8.5.1 持续改进通过服务管理与安全方针和目标的建立与实施，营造一个激励改进的氛围，明确改进方向。公司应补救管理体系中任何不符合的部分，通过制定和改进管理方针和管理目标、进行管理评审、进行内部/外部审核、落实纠正与预防措施工作、对信息安全事件和服务异常事件的监控分析等方式开展管理体系改进工作，必要时征求所有相关方对管理体系的意见，从而保证管理体系的持续有效性和运行效率。公司应关注客户的投诉、抱怨，记录、评估服务改进建议，制定服务改进计划，评估服务改进情况，确保各项服务改进措施均已落实执行，并实现了预期的目标，从而改进完善服务过程，提升服务质量，提高客户满意度。公司应规定各部门在持续改进工作中的角色和职责，并从服务过程的所有方面考虑服务改进要求。8.5.2 纠正措施公司应采取措施，以消除不合格的原因，防止不合