IT服务与信息安全管理手册

山东瀚高科技有限公司 山东瀚高科技有限公司管理体系山东瀚高科技有限公司管理体系 管理手册管理手册 山东瀚高科技有限公司 管理手册 文档发布信息文档发布信息 文档名称：管理手册 文档编号：L1-MM 版 本 号：2.0 保密级别： 内部使用级 拟制人：张春志 审核人： 常瑞东、孟祥辉、卢健、张鲁敏、宋乐、刘学春、母晓 明、韩志平 发布范围：公司管辖的所有部门 发布日期：2011.11.28 批 准 人：苗健 管理手册 修订记录修订记录 版本号修订日期修订人类别修订说明 1.02011.3.1张春志M 2.02011.11.28张春志M换版 注1：修订类别分为：A新建/增加、M修订、D删除 管理手册 目目 录录 颁颁 布布 令令.I 任任 命命 书书 .II 管理方针和目标管理方针和目标.1 山东瀚高有限公司简介山东瀚高有限公司简介.2 山东瀚高有限公司组织结构图山东瀚高有限公司组织结构图.3 1 目的和范围目的和范围.3 1.1目的.3 1.2范围.3 2引用标准引用标准.4 3术语和定义术语和定义.4 4管理体系要求管理体系要求.5 4.1总要求.5 4.1.1管理架构.8 4.1.2管理体系运作机制.8 4.2管理体系文件.10 4.2.1总则.10 4.2.2质量手册.10 4.2.3文件控制.11 4.2.4记录和资料控制.13 5管理职责管理职责.13 5.1管理承诺.13 5.2以顾客为关注的焦点.14 5.3质量方针.14 5.4策划.15 5.4.1质量方针.15 5.4.2质量管理体系策划.15 5.5职责、权限和沟通.15 5.5.1职责和权限.15 5.5.2管理者代表.15 5.5.3内部沟通.16 5.6管理评审.16 5.6.1总则.16 5.6.2评审输入.17 5.6.3评审输出.17 管理手册 6资源管理.18 6.2.1资源的提供.18 6.2.2人力资源.18 6.2.3基础设施.19 6.2.4工作环境.19 7 产品实现产品实现 .19 7.1 产品实现的策划.19 7.2 与顾客有关的过程.20 7.2.1 与产品有关要求的确定.20 7.2.2 与产品有关的要求的评审.20 7.2.3 顾客沟通.21 7.3 设计和开发.21 7.4 采购.21 7.4.1采购过程.21 7.4.2 采购信息.21 7.4.3 采购产品的验证.22 7.4 生产和服务提供.22 7.5.1 生产和服务提供的控制.22 7.5.2 生产和服务过程的确认.23 7.5.3 标识和可追溯性.23 7.4.4 顾客财产.24 7.5.5 产品防护.24 7.6 监视和测量装置控制.25 8 测量、分析和改进测量、分析和改进 .25 8.1 总则.25 8.2 监视和测量.26 8.2.1 客户满意度.26 8.2.2 内部审核.27 8.2.3 过程的监视和测量.27 8.2.4 产品的监视和测量.28 8.3 不合格品控制.28 8.4 数据分析.29 8.4.1 数据来源.29 8.4.2 数据的收集和分析.29 8.5 持续改进 .30 8.5.1持续改进.30 85.2 纠正措施.30 8.5.3 预防措施.31 附录附录 A 管理方针释义管理方针释义.32 附录附录 B 2011 年度管理目标年度管理目标.32 附录附录 C 质量管理体系过程职责分配表质量管理体系过程职责分配表.33 管理手册 附录附录 D 管理体系文件清单管理体系文件清单.36 管理手册 I 颁颁 布布 令令 为提高山东瀚高科技有限公司 IT 服务管理和信息安全管理水平，规范化运 行管理，山东瀚高科技有限公司依据GB/T 19001-2008 idt ISO9001:2008 质量管理体系 要求 、 ISO/IEC20000-1:2005 Information technology - Service management - Part 1:Specification 、 ISO/IEC 27001:2005 Information technology - Security techniques Information security management systems - requirements ，结合公司实际情况建立符合以上标准 规范要求的管理体系。 管理手册阐述了山东瀚高科技有限公司有关 IT 服务管理、服务质量管 理、信息安全管理的管理方针，是规范山东瀚高科技有限公司服务管理与信息 安全管理的纲领性文件，是建立、实施、评测、改进管理体系的指导性文件。 本手册在编制过程中坚持符合性、适宜性和有效性的统一，并广泛征求意 见修订成稿，现予以发布，自发布日起正式生效实施。山东瀚高科技有限公司 全体员工应认真学习、熟知本手册内容，并严格执行本手册的各项规定和要求。 本手册将根据内、外部环境的变化适时进行评审、修改和完善。 此令！ 山东瀚高科技有限公司总经理： 苗健 2011 年 11 月 28 日 管理手册 II 任任 命命 书书 山东瀚高科技有限公司山东瀚高科技有限公司“管理者代表管理者代表”任命书任命书 为了贯彻执行GB/T 19001-2008 idt ISO9001:2008 质量管理体系 要求 、 ISO 9001:2008 Quality management systems - Requirements 、 ISO/IEC 20000-1:2005 Information technology - Service management - Part 1:Specification 、 ISO/IEC 27001:2005 Information technology - Security techniques Information security management systems - requirements ，加 强对管理体系运作的领导，确保山东瀚高科技有限公司管理体系的建立、实施、 运作、监视、评审、保护和改进，特任命 常瑞东 为山东瀚高科技有限公司管 理者代表。 管理者代表的职责和权限是： 1.代表总经理负责按标准要求建立、实施、运作、监视、评审、持续改 山东瀚高科技有限公司的管理体系，实现公司的服务管理，质量管理 与信息安全管理方针和目标； 2.协助总经理开展管理评审，并向总经理报告管理体系业绩和改进需求； 3.负责组织山东瀚高科技有限公司管理手册的编写、修订和审核工 作； 4.确保在整个山东瀚高科技有限公司内提高满足客户要求的意识； 5.负责提出资源配置以实现 IT 服务的交付和管理； 6.负责协调和管理所有的 IT 服务管理工作； 7.负责协调和管理所有的质量管理工作； 8.提高公司全体人员的信息安全意识； 9.负责公司管理体系有关事宜的外部联络工作。 管理手册 III 山东瀚高科技有限公司总经理： 苗健 管理手册 1 管理方针和目标管理方针和目标 管理方针管理方针 顾客至上、安全第一、质量为本、持续改进 管理目标管理目标 安全可靠安全可靠：保证山东瀚高科技有限公司各项业务的安全运行，达 到行业领先的高可用性，是压倒一切的管理要求。 客户满意客户满意：以专业和完善的服务，达到行业领先的服务水平，实 现客户满意。 效率和效益效率和效益：在确保安全可靠和客户满意的前提下，以诚信合作 的精神和专业的技能，达成高效率和高效益。 管理政策管理政策 推进“流程化管理、标准化服务、高素质团队、高效率运作”的 体系建设；向客户提供安全、可靠和稳定的信息系统管理服务，并 持续优化服务质量。 服务理念服务理念 超越客户的期望值。 批准：苗健 2011 年 11 月 28 日 关于管理方针的释义见本文件附录关于管理方针的释义见本文件附录A部分部分 管理手册 2 山东瀚高科技有限公司简介山东瀚高科技有限公司简介 山东瀚高科技有限公司成立于 2005 年，是国内领先的基础软件服务提供 商。公司自成立以来一直致力于基础软件的研发、销售、服务和培训业务，瀚 高和各大国际知名厂商密切合作，建立了具有国内领先水平的技术工程师团队， 开创了基础软件综合服务产品化的先河，研发了具有自主知识产权的服务管理 软件，建立并完善了综合服务管理系统。秉承“专注数据服务，共享你我智慧” 的理念，以数据为中心开展数据备份、容灾、数据仓库、数据综合利用等各项 服务，瀚高将会一如既往的在数据平台服务领域加大投入，通过组织和业务流 程的标准化，实现产品和服务的专业化，不断提高自身竞争力，巩固在业界的 领先地位，引领数据服务产品化的潮流。 主要服务：主要服务： 数据库 基础软件 中间件 BI 的实施与咨询 服务资源：服务资源： 优秀的管理和技术团队 规范、专业的 IT 服务管理流程和信息安全管理规范 管理手册 3 山东瀚高有限公司组织结构图山东瀚高有限公司组织结构图 总经理 综合管理部 销售副总技术副总 销售部 商务部 客户服务部 产品部 售前支持部 系统支持部 1 目的和范围目的和范围 1.1 目的目的 山东瀚高为了规范公司的内部运作，安全、及时、准确地为客户提供服务， 确保服务品质和信息安全，并注重持续改进，以期实现客户满意，而建立的运 行管理体系符合以下标准规范的全部要求： GB/T 19001-2008 idt ISO 9001:2008 ISO/IEC20000-1:2005 ISO/IEC 27001:2005 1.2 范围范围 本手册适用于： 山东瀚高下属的各部门； 管理者代表 管理手册 4 公司所在驻地：济南市舜华路 2000 号舜泰广场 8 号楼西 19 层（北向） 山东瀚高科技有限公司 根据山东瀚高的业务特点，对 GB/T 19001-2008 idt ISO 9001:2008、ISO/IEC20000-1:2005 以及 ISO/IEC 27001:2005 标准中不 适用于本公司的部分条款作了删减。由于公司为客户提供服务活动，为 常规业务，不涉及到 7.3 设计和开发，故对 7.3 删除。上述条款的删除， 不免除公司满足法律法规和客户要求的责任。ISO/IEC20000-1:2005 以 及 ISO/IEC 27001:2005 删减详见L1-SOA-适用性声明-V1.0 。 山东瀚高管理体系适用于与数据备份、容灾、数据仓库、数据综合利用 的服务相关的管理活动。 2 引用标准引用标准 本手册引用或依据下列相关国家/国际标准，当该标准增补或修订时，使用 标准的最新版本： 1)GB/T 19001:2008质量管理体系要求 2)GB/T 19000:2008质量管理体系基础和术语 3)ISO 9001:2008Quality management systems - Requirements 4)ISO 9000:2008Quality management system - Fundamentals and vocabulary 5)ISO/IEC 20000-1:2005 IT 服务管理第一部分：服务管理规范 6)ISO/IEC 20000-2-2005 IT 服务管理第二部分：服务管理实践守则 7)ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求 8)ISO/IEC 27002:2007 信息技术-安全技术-信息安全管理实施指南 管理手册 5 3 术语和定义术语和定义 本手册采用 GB/T 19000-2008 idt ISO 9001:2008、ISO/IEC 20000- 1:2005、ISO/IEC 27001:2005 的术语和定义。 4 管理体系要求管理体系要求 4.1 总要求总要求 山东瀚高将充分遵循 GB/19000 2008、ISO 9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005 等标准的要求， 建立、实施运行管理体系，并持续改进，以保证其有效性。公司应： a) 确定质量管理体系所需的过程及其在整个组织中的应用； b) 确定这些过程的顺序和相互作用； c) 确定为确保这些过程的有效运作和控制所需的准则和方法； d) 确保可以获得必要的资源和信息，以支持这些过程的运作和监视； e) 监视、测量(适用时)和分析这些过程； f) 实施必要的措施，以实现对这些过程所策划的结果和对这些过程的持 续改进。 公司应按标准的要求管理这些过程，并对对公司所选择的任何影响产品 符合要求的外包过程，应确保对其实施控制。对此类外包过程控制的类型和 程度应在供应商管理手册中加以规定。 管理手册 6 管理体系模式图： 资源管理过程 产品实现过程 管理手册 7 客户要求识 别 合同评审服务策划 服务提供 采购控制 服务质量监 控 客户满意 数据 备份 容灾 管理 数据 仓储 数据 利用 热线 服务 输入 测量、分析、改进过程 管理手册 8 4.1.1 管理架构管理架构 山东瀚高根据 GB/19000 2008、ISO 9001:2008、ISO/IEC 20000- 1:2005、ISO/IEC 27001:2005 的要求，建立符合公司业务特点的管理架构，明 确各部门/岗位职责、沟通方式和渠道。 山东瀚高设立管理者代表，确保管理体系的建立、实施和持续改进工作的 落实，管理者代表负责向公司最高管理者报告管理体系的业绩和任何改进的需 求，确保在公司内提高对客户服务意识和信息安全意识；负责与管理体系有关 事宜的外部联络工作。 山东瀚高明确了管理方针、目标以及达成方针和目标的措施，并明确了管 理体系的实施范围。管理目标的有效性每年至少评价一次。 山东瀚高开展管理评审和内部审核工作，评估和管理风险，持续的评估和 改进管理体系。 山东瀚高明确了标准适用范围，ISO/IEC20000-1:2005、ISO/IEC 27001:2005 记录在适用性声明文件中。 4.1.2 管理体系运作机制管理体系运作机制 山东瀚高在管理体系建立和维护过程中，充分遵循 GB/T 19001-2008 idt ISO9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005 等标准的要求， 采用 PDCA 模式建立、实施和维护管理体系，以保证其持续有效性，具体如下 图所示。 管理手册 9 L1 管理手册 L2 程序文件 L3 工作指引 L4 表单记录 管理体系 P D C A 体系管理 持续改进 1.策划与准备（Plan） 主要是做好建设管理体系的各种前期工作，包括： 管理现场调查，明确 IT 服务管理、服务质量管理和信息安全管 理的目标，明确管理角色和管理框架的结构，建立风险评估方 法，确定管理审核和改进服务质量的方法。 进行管理体系设计，根据公司管理方针和业务特点，对业务过 程进行识别，确定管理范围，明确过程控制的方法及过程之间 的相互关系和接口。 对人员进行教育培训。 2.建设与实施（Do） 根据策划与准备阶段的结果，建立并推广、执行基于 IT 服务管理、 服务质量管理和信息安全管理的管理体系，规范运行管理以实现预期的 管理目标，为实现风险控制、评价和改进管理体系、实现持续改进提供 不可或缺的依据。 3.评估审核（Check） 通过对管理体系运行情况的监视、测量，定期实施内部审核，确保 管理体系下的各项管理制度得到落实，及时发现管理体系运行过程中存 在的问题，为管理体系的持续改进提供基础。 管理手册 10 4.持续改进（Act） 建立管理体系持续改进测量，根据评估审核的结果，制定执行纠正 和预防措施，进一步改进完善各项管理制度，以保证管理体系的持续有 效性，保障信息安全，提高服务管理的有效性和效率。 4.2 管理体系管理体系文件文件 4.2.1 总则总则 管理体系充分考虑了 ISO/IEC 20000-1:2005 标准中关于新服务或变更服务 的策划实施过程、服务交付过程、关系过程、解决过程、控制过程、发布过程， 具体内容已被融合到管理体系的相关文件之中。 管理体系充分考虑了 GB/ 19000-2008 idt ISO 9001:2008 标准中关于产品 实现测量分析改进的内容，具体内容已被融合到管理体系的相关文件之中。 质量管理体系文件应包括： a) 形成文件的质量方针和质量目标（在手册中描述） ； b) 质量手册； c）本标准所要求的形成文件的程序和记录； d) 组织确定的为确保其过程有效策划、运作和控制所需的文件，包括记 录。 4.2.2 质量手册质量手册 公司编制和保持质量手册，质量手册包括： a) 质量管理体系的范围，包括任何删减的细节与理由（见范围） ； b) 为质量管理体系建立的形成文件的程序或对其引用（见附录文件清 单） ； 管理手册 11 c) 质量管理体系过程之间的相互作用的表述。 4.2.3 文件文件控制控制 山东瀚高依据 GB/ 19000-2008 idt ISO 9001:2008、ISO/IEC 20000- 1:2005、ISO/IEC 27001:2005 标准的要求，结合公司的业务特点和实际情况， 建立和执行适宜的文件以保障管理体系的有效、高效运行，并对文件进行持续 的修订完善，以保证其有效性。 1 公司文件体系结构： 山东瀚高管理体系相关的文件由上而下分为四个阶层，如下图所示： L1 管理手册 L2 程序文件 L3 工作指引 L4 表单记录 L1 第一阶层文件（简称一阶文件）：管理手册第一阶层文件（简称一阶文件）：管理手册 包含山东瀚高管理方针和策略，是山东瀚高管理体系的纲领性文件。 一阶文件包括管理手册 、 适用性声明 、 管理体系策划 。质量管 理明确了体系的范围，包括任何删减的细节与理由；描述了质量管理体系 建立所形成文件的程序或对其引用；对质量管理体系过程之间的相互作用 进行表述。 L2 第二阶层文件（简称二阶文件）：程序文件第二阶层文件（简称二阶文件）：程序文件 为达到 GB/T 19001-2008 idt ISO9001:2008、ISO/IEC20000- 1:2005、ISO/IEC 27001:2005 标准要求而制定的各项管理制度、规范、流 程以及相关支持性文件。 管理手册 12 L3 第三阶层文件（简称三阶文件）：工作指引第三阶层文件（简称三阶文件）：工作指引 用来解释特殊工作和活动细节的作业指导书、实施细则和操作手册等。 L4 第四阶层文件（简称四阶文件）：表单记录第四阶层文件（简称四阶文件）：表单记录 根据 GB/T 19000-2008 idt ISO 9001:2008、ISO/IEC 20000- 1:2005、ISO/IEC 27001:2005 标准的要求和体系实际运行需要，通过表单 模板，对管理体系实施的活动过程和结果的记录进行规范，形成记录文件， 用于作为管理评审、内部审核、外部审核、持续改进的客观证据。 2 文件控制 管理体系文档建立、颁布及修订，应采取适当管控措施。 管理体系文件的制定应符合公司的服务规模、产品类型、过程复杂程度、 员工能力素质等实际情况，以便于理解应用。公司编制文件管理手册 ，规 定以下方面所需的控制要求： a.文件发布前得到批准，以确保文件是充分与适宜的；为文件的充分性与 适宜性，在文件发布前进行批准。 b.管理体系文件应定期进行评审、修订完善，并再次批准以保持文件要求 与实际运作的一致性，充分保障文件的有效性、充分性和适宜性。 c.确保文件的更改和现行修订状态得到识别； d.确保在使用处可获得有关版本的适用文件； e.确保文件保持清晰、易于识别； f.确保组织所确定的策划和运行质量管理体系所需的外来文件得到识别， 并控制其分发； g.防止作废文件的非预期使用，若因任何原因而保留作废文件时，对这些 文件进行适当的标识。 文件可以以任何媒体形式呈现，如纸张、磁盘、光盘、照片、样片等。 管理手册 13 文件的审核、发布、变更、修订、废止等，应依照文件管理手册进行 管控。 4.2.4 记录和资料控制记录和资料控制 公司应建立及维持管理体系所要求的“记录” ，以提供为符合要求和质量 管理体系有效运行提供证据，记录应维持受控，记录应保持清晰,并易于阅读、 辨识及检索查阅。 记录应妥善保管，其鉴别、储存、取用、保护、保存期限、处置等事项， 应依照记录和外来文件管理手册进行管控。 管理体系文档及记录，可以以任何形式进行存放（包括：纸本及电子文档） 。 5 管理职责管理职责 5.1 管理职责管理职责 公司管理层应在管理体系建立、实施、运行、监视、评审和持续改进中提 供承诺和支持，并通过各种活动完成以下工作，以确保相关各项工作的顺利开 展，并提供承诺和支持的证据。 1.建立符合相关标准的管理组织，包括决策层、管理层和执行层。 2.制订 IT 服务管理、信息安全管理、服务质量管理的管理方针和目标。 3.提供足够的资源，以保证管理体系策划、实施、运行、监视、评审、持 续改进等工作的顺利开展，以建立符合 GB/19000 2008、ISO 9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005 标准要求， 以及山东瀚高实际需要的管理体系。 4.确立山东瀚高管理体系持续改进计划和适当的沟通计划，确保管理体系 的持续有效性，满足公司的实际运行管理需要。 管理手册 14 5.以各种方式，持续向公司全体员工传达传达符合管理目标、管理方针、 满足顾客和法律法规要求以及持续改进的必要性、重要性，传达满足其 他相关方要求的重要性。 6.以增进顾客满意为目的，确保顾客的各种要求得到确定并予以满足。 7.分配管理体系相关的角色和职责，包括指定管理者代表负责所有服务的 协调和管理。 8.对山东瀚高信息资产实行有效管理，确保信息资产的机密性（C） 、完 整性（I） 、可用性（A） 。 9.组织开展风险管理工作，核定风险可接受标准，对公司不能接受的风险 进行处置。 10. 组织建立瀚高业务连续性管理体系，以保证公司主要业务的连续，不受 重大故障和灾难的影响。 11. 组织对山东瀚高全体员工进行信息安全、IT 服务管理的教育培训，提 高信息安全意识和服务意识。 12. 组织山东瀚高管理体系的推广工作，确保所有员工理解并严格遵守各项 管理制度、规范和程序。确保管理体系管理评审、内部审核工作的进行。 5.2 以顾客为关注焦点以顾客为关