IT服务与信息安全管理手册

1、山东瀚高科技有限公司PAGE HYPERLINK 山东瀚高高科技有有限公司司管理体体系管理手册册山东瀚高高科技有有限公司司 STYLEREF 标题 * MERGEFORMAT 管理手册册 HYPERLINK 文档发布布信息文档名称称：管理手册册文档编号号：L1-MMM版 本 号：2.0保密级别别： 内部使用用级拟制人：张春志审核人：常瑞东、孟祥辉辉、卢健健、张鲁鲁敏、宋宋乐、刘刘学春、母晓明明、韩志志平发布范围围：公司管辖辖的所有有部门发布日期期：20111.111.28批 准 人：苗健 STYLEREF 标题 * MERGEFORMAT 管理手册册 HYPERLINK 修订记录录版本号修订日

2、期期修订人类别修订说明明1.020111.3.1张春志M2.020111.111.288张春志M换版注1：修修订类别别分为：A新建/增加、M修订、D删除 STYLEREF 标题 * MERGEFORMAT 管理手册册 HYPERLINK 目录TOC o 1-3 u颁布令 PAGEREF _Toc309908023 h II任命书 PAGEREF _Toc309908024 h III管理方针针和目标标 PAGEREF _Toc309908025 h 1山东瀚高高有限公公司简介介2山东瀚高高有限公公司组织织结构图图 PAGEREF _Toc309908026 h 31目的和和范围331.1目目的

3、 PAGEREF _Toc309908028 h 31.2范范围32引用标标准 PAGEREF _Toc309908030 h 43术语和和定义 PAGEREF _Toc309908031 h444管理体体系要求求 PAGEREF _Toc309908032 h 54.1总总要求 PAGEREF _Toc309908033 h 554.1.1管理理架构 PAGEREF _Toc309908034 h 884.1.2管理理体系运运作机制制 PAGEREF _Toc309908035 h 84.2管管理体系系文件 PAGEREF _Toc309908036 h 1004.2.1总则则 PAGERE

4、F _Toc309908037 h104.2.2质量量手册 PAGEREF _Toc309908038 h 1104.2.3文件控控制111 PAGEREF _Toc309908041 h 4.2.4记录和和资料控控制 PAGEREF _Toc309908042 h 1335管理职职责 PAGEREF _Toc309908043 h 1335.1管管理承诺诺 PAGEREF _Toc309908044 h 135.2以以顾客为为关注的的焦点 PAGEREF _Toc309908044 h 1145.3质质量方针针 PAGEREF _Toc309908044 h 145.4策策划 PAGEREF

5、 _Toc309908044 h 155.4.1质量量方针1155.4.2质量量管理体体系策划划155.5职职责、权权限和沟沟通 PAGEREF _Toc309908044 h 155.5.1职责责和权限限155.5.2管理理者代表表155.5.3内部沟沟通1665.6管管理评审审165.6.1总则则165.6.2评审审输入1175.6.3评审输输出1776资源管管理 PAGEREF _Toc309908045 h 186.2.1资源源的提供供186.2.2人力力资源 PAGEREF _Toc309908047 h 1186.2.3基础础设施1196.2.4工作环环境1997产品实实现1997

6、.1 产品品实现的的策划1197.2 与顾客客有关的的过程2207.2.1 与与产品有有关要求求的确定定207.2.2 与与产品有有关的要要求的评评审2007.2.3 顾顾客沟通通217.3 设计和和开发2217.4采采购2117.4.1采购购过程 PAGEREF _Toc309908064 h 2217.4.2 采采购信息息217.4.3 采采购产品品的验证证227.4 生产和和服务提提供 PAGEREF _Toc309908063 h 2227.5.1 生生产和服服务提供供的控制制227.5.2 生生产和服服务过程程的确认认237.5.3 标标识和可可追溯性性237.4.4 顾顾客财产产2

7、4 PAGEREF _Toc309908067 h 7.5.5 产产品防护护247.6监监视和测量装装置控制制258测量、分析和和改进2258.1 总则2558.2 监视和和测量2268.2.1 客客户满意意度 PAGEREF _Toc309908072 h 268.2.2 内内部审核核278.2.3 过过程的监监视和测测量278.2.4 产产品的监监视和测测量288.3 不合格格品控制制288.4 数据分分析298.4.1 数数据来源源298.4.2 数数据的收收集和分分析298.5持持续改进进308.5.1持续续改进33085.22 纠正正措施3308.5.3 预预防措施施31附录A 管理

8、方方针释义义32附录B 20011年年度管理理目标332附录C质质量管理理体系过过程职责责分配表表33附录D管管理体系系文件清清单366 HYPERLINK PAGE III颁 布 令为提高山山东瀚高高科技有有限公司司IT服服务管理理和信息息安全管管理水平平，规范范化运行行管理，山东瀚瀚高科技技有限公公司依据据GBB/T 19000120008 idtt ISSO90001:20008质量量管理体体系要求求、ISOO/IEEC2000000-1:20005 IInfoormaatioon ttechhnollogyy - Serrviccemaanaggemeent - Paart 1:SSp

9、eccifiicattionn、ISO/IECC 2770011:20005IInfoormaatioon ttechhnollogyy- SSecuuritty ttechhniqquessInfformmatiionssecuuritty mmanaagemmentt syysteems-reqquirremeentss，结合合公司实实际情况况建立符符合以上上标准规规范要求求的管理理体系。管理手手册阐述了了山东瀚瀚高科技技有限公公司有关关IT服服务管理理、服务务质量管管理、信信息安全全管理的的管理方方针，是是规范山东东瀚高科科技有限限公司服服务管理理与信息息安全管管理的纲纲领性文文件，是是

10、建立、实施、评评测、改改进管理理体系的的指导性性文件。本手册在在编制过过程中坚坚持符合合性、适适宜性和和有效性性的统一一，并广广泛征求求意见修修订成稿稿，现予予以发布布，自发布布日起正式生效效实施。山东瀚瀚高科技技有限公公司全体体员工应应认真学学习、熟熟知本手手册内容容，并严严格执行行本手册册的各项项规定和和要求。本手册将将根据内内、外部部环境的的变化适适时进行行评审、修改和和完善。此令！ 山山东瀚高高科技有有限公司司总经理理：苗健 20111年11月28日任 命命 书书山东瀚高高科技有有限公司司“管理者者代表”任命书书为了贯彻彻执行GB/T 119000120008iddt IISO9900

11、11:20008 质量管管理体系系 要求求、ISOO 90001:20008 Quualiity mannageemennt ssysttemss - Reqquirremeentss、ISSO/IIEC2200000-11:20005 Infformmatiion tecchnoologgy - Seerviice mannageemennt - Paart 1:SSpeccifiicattionn、ISOO/IEEC 2270001:220055 Innforrmattionn teechnnoloogy - SSecuuritty ttechhniqquess Innforrmattio

12、nn seecurrityy maanaggemeent sysstemms - reequiiremmentts，加强对对管理体体系运作作的领导导，确保保山东瀚瀚高科技技有限公公司管理理体系的的建立、实施、运作、监视、评审、保护和和改进，特任命命常瑞东东为山东瀚瀚高科技技有限公公司管理理者代表表。管理者代代表的职职责和权权限是：代表总经经理负责责按标准准要求建建立、实实施、运运作、监监视、评评审、持持续改山山东瀚高高科技有有限公司司的管理理体系，实现公公司的服务管管理，质质量管理理与信息息安全管理理方针和和目标；协助总经经理开展展管理评评审，并并向总经经理报告告管理体体系业绩绩和改进进需求；

13、负责组织织山东瀚瀚高科技技有限公公司管理手手册的的编写、修订和审核核工作；确保在整整个山东东瀚高科科技有限限公司内内提高满满足客户户要求的的意识；负责提出出资源配配置以实实现ITT服务的的交付和和管理；负责协调调和管理理所有的的IT服服务管理理工作；负责协调调和管理理所有的的质量管管理工作作；提高公司司全体人人员的信信息安全全意识；负责公司司管理体体系有关关事宜的的外部联联络工作作。山东瀚高高科技有有限公司司总经理理：苗健PAGE 36 HYPERLINK 管理方针针和目标标管理方针针顾客至上上、安全全第一、质量为为本、持续改改进管理目标标安全可靠靠：保证山东东瀚高科科技有限限公司各各项业务务

14、的安全全运行，达到行行业领先先的高可可用性，是压倒倒一切的的管理要要求。客户满意意：以专业业和完善善的服务务，达到到行业领领先的服服务水平平，实现现客户满满意。效率和效效益：在确保保安全可可靠和客客户满意意的前提提下，以以诚信合合作的精精神和专专业的技技能，达达成高效效率和高高效益。管理政策策推进“流流程化管管理、标标准化服服务、高高素质团团队、高高效率运运作”的体系系建设；向客户户提供安安全、可可靠和稳稳定的信信息系统统管理服服务，并并持续优优化服务务质量。服务理念念超越客户户的期望望值。 批准准：苗健健20111年 111月28日关于管管理方针针的释义义见本文文件附录录A部分分山东瀚高高科

15、技有限限公司简简介 山东东瀚高科科技有限限公司成成立于220055年，是是国内领领先的基基础软件件服务提提供商。公司自自成立以以来一直直致力于于基础软软件的研研发、销销售、服服务和培培训业务务，瀚高高和各大大国际知知名厂商商密切合合作，建建立了具具有国内内领先水水平的技技术工程程师团队队，开创创了基础础软件综综合服务务产品化化的先河河，研发发了具有有自主知知识产权权的服务务管理软软件，建建立并完完善了综综合服务务管理系系统。秉秉承“专专注数据据服务，共享你你我智慧慧”的理理念，以以数据为为中心开开展数据据备份、容灾、数据仓仓库、数数据综合合利用等等各项服服务，瀚瀚高将会会一如既既往的在在数据平

16、平台服务务领域加加大投入入，通过过组织和和业务流流程的标标准化，实现产产品和服服务的专专业化，不断提提高自身身竞争力力，巩固固在业界界的领先先地位，引领数数据服务务产品化化的潮流流。主要服务务：数据库基础软件件中间件BI的实实施与咨咨询服务资源源：优秀的管管理和技技术团队队规范、专专业的IIT服务务管理流流程和信信息安全全管理规规范山东瀚高高有限公公司组织织结构图图管理者代表总经理综合管理部销售副总技术副总销售部商务部客户服务部产品部售前支持部系统支持部目的和范范围目的山东瀚高高为了规规范公司司的内部部运作，安全、及时、准确地地为客户户提供服服务，确确保服务务品质和和信息安安全，并并注重持持续

17、改进进，以期期实现客客户满意意，而建立立的运行行管理体体系符合合以下标标准规范范的全部部要求：GB/TT 1990011-220088 iddt IISO 90001:220088ISO/IECC200000-1:220055ISO/IECC 2770011:20005范围本手册适适用于：山东瀚高高下属的各各部门；公司所在在驻地：济南市市舜华路路20000号舜舜泰广场场8号楼楼西199层（北北向）山东东瀚高科科技有限限公司根据山东东瀚高的的业务特特点，对对GB/T 119000120008 iidt ISOO 90001:20008、ISOO/IEEC2000000-1:20005以及及ISO

18、O/IEEC 2270001:220055标准中中不适用用于本公公司的部部分条款款作了删删减。由由于公司司为客户户提供服服务活动动，为常常规业务务，不涉涉及到77.3设设计和开开发，故故对7.3删除除。上述述条款的的删除，不免除除公司满满足法律律法规和和客户要要求的责责任。IISO/IECC200000-1:220055以及IISO/IECC 2770011:20005删删减详见见L11-SOOA-适适用性声声明-VV1.00。山东瀚高高管理体体系适用用于与数数据备份份、容灾灾、数据据仓库、数据综综合利用用的服务务相关的的管理活活动。引用标准准本手册引引用或依依据下列列相关国国家/国国际标准准

19、，当该该标准增增补或修修订时，使用标标准的最最新版本本：GB/TT190001:20008质质量管理理体系要要求GB/TT190000:20008质质量管理理体系基基础和术术语ISO 90001:220088Quaalitty mmanaagemmentt syysteems - RRequuireemenntsISO 90000:220088Quaalitty mmanaagemmentt syysteem - Fuundaamenntalls aand voccabuularryISO/IECC200000-1:220055 IT服务务管理第第一部分分：服务务管理规规范ISO/IECC20

20、0000-2-220055IT服务务管理第第二部分分：服务务管理实实践守则则ISO/IECC 2770011:20005 信息技技术-安安全技术术-信息息安全管管理体系系-要求求ISO/IECC 2770022:20007信息技技术-安安全技术术-信息息安全管管理实施施指南术语和定定义本手册采采用GBB/T 19000020008 idtt ISSO90001:20008、ISOO/IEEC 2200000-11:20005、ISOO/IEEC 2270001:220055的术语语和定义义。管理体系系要求总要求山东瀚高高将充分遵遵循GBB/199000020008、ISOO 90001:200

21、08、ISOO/IEEC2000000-1:20005、IISO/IECC 2770011:20005等等标准的的要求，建立、实施运运行管理理体系，并持续改改进，以以保证其其有效性性。公司司应：a) 确确定质量量管理体体系所需需的过程程及其在在整个组组织中的的应用；b) 确确定这些些过程的的顺序和和相互作作用；c) 确确定为确确保这些些过程的的有效运运作和控控制所需需的准则则和方法法；d) 确确保可以以获得必必要的资资源和信信息，以以支持这这些过程程的运作作和监视视；e) 监监视、测测量(适适用时)和分析析这些过过程；f) 实实施必要要的措施施，以实实现对这这些过程程所策划划的结果果和对这这些

22、过程程的持续续改进。公司应按按标准的的要求管管理这些些过程，并对对对公司所选选择的任任何影响响产品符符合要求求的外包包过程，应确保保对其实实施控制制。对此此类外包包过程控控制的类类型和程程度应在在供应商商管理手手册中加加以规定定。管理体系系模式图图：资源管理理过程产品实现现过程测量、分分析、改改进过程程管理架构构山东瀚高高根据GBB/199000020008、ISOO 90001:20008、ISOO/IEEC 2200000-11:20005、ISOO/IEEC 2270001:220055的要求求，建立立符合公公司业务务特点的的管理架架构，明确各各部门/岗位职职责、沟沟通方式式和渠道。山东

23、瀚高高设立管管理者代代表，确保管管理体系系的建立、实施和和持续改改进工作作的落实实，管理理者代表表负责向向公司最高高管理者者报告管管理体系系的业绩绩和任何何改进的的需求，确保在在公司内提提高对客客户服务务意识和信信息安全全意识；负责与与管理体体系有关关事宜的的外部联联络工作作。山东瀚高高明确了了管理方方针、目目标以及及达成方方针和目目标的措措施，并并明确了了管理体体系的实实施范围围。管理目目标的有有效性每每年至少少评价一一次。山东瀚高高开展管管理评审审和内部部审核工工作，评评估和管管理风险险，持续的的评估和和改进管管理体系系。山东瀚高高明确了了标准适适用范围围，ISSO/IIEC2200000

24、-11:20005、ISOO/IEEC 2270001:220055记录在适用用性声明文件件中。管理体系系运作机机制山东瀚高高在管理理体系建建立和维维护过程程中，充充分遵循循GB/T 119000120008 iidt ISOO90001:220088、ISOO/IEEC2000000-1:20005、IISO/IECC 2770011:20005等等标准的的要求，采用PPDCAA模式建建立、实实施和维维护管理理体系，以保证证其持续续有效性性，具体体如下图图所示。策划与准准备（PPlann）主要是做做好建设设管理体体系的各各种前期期工作，包括：管理现场场调查，明确IIT服务务管理、服务质质量管

25、理理和信息息安全管管理的目目标，明确管管理角色色和管理理框架的的结构，建立风风险评估估方法，确定管管理审核核和改进进服务质质量的方方法。进行管理理体系设设计，根根据公司司管理方方针和业业务特点点，对业业务过程程进行识识别，确确定管理理范围，明确过过程控制制的方法法及过程程之间的的相互关关系和接接口。对人员进进行教育育培训。建设与实实施（DDo）根据策划划与准备备阶段的的结果，建立并并推广、执行基基于ITT服务管管理、服服务质量量管理和和信息安安全管理理的管理理体系，规范运运行管理理以实现现预期的的管理目目标，为为实现风风险控制制、评价价和改进进管理体体系、实实现持续续改进提提供不可可或缺的的依

26、据。评估审核核（Chheckk）通过对管管理体系系运行情情况的监监视、测测量，定定期实施施内部审审核，确确保管理理体系下下的各项项管理制制度得到到落实，及时发发现管理理体系运运行过程程中存在在的问题题，为管管理体系系的持续续改进提提供基础础。持续改进进（Acct）建立管理理体系持持续改进进测量，根据评评估审核核的结果果，制定定执行纠纠正和预预防措施施，进一一步改进进完善各各项管理理制度，以保证证管理体体系的持持续有效效性，保保障信息息安全，提高服服务管理理的有效效性和效效率。管理体系系文件 总则管理体系系充分考考虑了IISO/IECC 2000000-1:20005标准准中关于于新服务务或变更

27、更服务的的策划实实施过程程、服务务交付过过程、关关系过程程、解决决过程、控制过过程、发发布过程程，具体内内容已被被融合到到管理体体系的相相关文件件之中。管理体系系充分考虑虑了GBB/1990000-220088 iddt IISO 90001:220088标准中关关于产品品实现测测量分析析改进的的内容，具体内内容已被被融合到到管理体体系的相相关文件件之中。质量管理理体系文文件应包包括： a) 形成文文件的质质量方针针和质量量目标（在手册册中描述述）； b) 质量手手册； c）本本标准所所要求的的形成文文件的程程序和记记录； d) 组织确确定的为为确保其其过程有有效策划划、运作作和控制制所需的的

28、文件，包括记记录。质量手册册公司编制制和保持持质量手手册，质质量手册册包括： a) 质量管管理体系系的范围围，包括括任何删删减的细细节与理理由（见见范围）； b) 为质量量管理体体系建立立的形成成文件的的程序或或对其引引用（见见附录文文件清单单）； c) 质量管管理体系系过程之之间的相相互作用用的表述述。文件控制制山东瀚高高依据GBB/1990000-220088 iddt IISO 90001:220088、ISOO/IEEC 2200000-11:20005、ISOO/IEEC 2270001:220055标准的的要求，结合公公司的业业务特点点和实际际情况，建立和和执行适适宜的文文件以保保

29、障管理理体系的的有效、高高效运行行，并对文件件进行持持续的修修订完善善，以保保证其有有效性。1公司文文件体系系结构：山东瀚高高管理体体系相关关的文件件由上而而下分为为四个阶阶层，如如下图所示：第一阶层层文件（简称一一阶文件件）：管管理手册册包含山东东瀚高管管理方针针和策略略，是山山东瀚高高管理体体系的纲纲领性文文件。一阶文件件包括管理手手册、适用用性声明明、管理体体系策划划。质量管管理明确确了体系系的范围围，包括括任何删删减的细细节与理理由；描描述了质质量管理理体系建建立所形成文文件的程程序或对对其引用用；对质量管管理体系系过程之之间的相相互作用用进行表述述。第二阶层层文件（简称二二阶文件件）

30、：程程序文件件为达到GGB/TT 1990011-220088 iddt IISO990011:20008、ISOO/IEEC2000000-1:20005、IISO/IECC 2770011:20005标标准要求求而制定定的各项项管理制制度、规规范、流流程以及及相关支支持性文件。第三阶层层文件（简称三三阶文件件）：工工作指引引用来解释释特殊工工作和活活动细节节的作业业指导书书、实施施细则和和操作手手册等。第四阶层层文件（简称四四阶文件件）：表表单记录录根据GBB/T 19000020008 idtt ISSO 990011:20008、ISOO/IEEC2000000-1:20005、IIS

31、O/IECC 2770011:20005标标准的要求和体系实际际运行需需要，通通过表单单模板，对管理理体系实实施的活活动过程程和结果果的记录录进行规规范，形形成记录录文件，用于作作为管理理评审、内部审审核、外外部审核核、持续续改进的的客观证证据。2文件控控制管理体系系文档建建立、颁颁布及修修订，应应采取适适当管控控措施。管理体系系文件的的制定应应符合公司司的服务规规模、产产品类型型、过程程复杂程程度、员员工能力力素质等等实际情情况，以以便于理理解应用用。公司司编制文件管管理手册册，规规定以下下方面所所需的控控制要求求：a.文件件发布前前得到批批准，以以确保文文件是充充分与适适宜的；为文件件的充

32、分分性与适适宜性，在文件件发布前前进行批批准。b.管理理体系文文件应定期进行行评审、修修订完善善，并再再次批准准以保持持文件要要求与实实际运作作的一致性，充分保保障文件件的有效效性、充充分性和和适宜性性。c.确保保文件的的更改和和现行修修订状态态得到识识别；d.确保保在使用用处可获获得有关关版本的的适用文文件；e.确保保文件保保持清晰晰、易于于识别；f.确保保组织所所确定的的策划和和运行质质量管理理体系所所需的外外来文件件得到识识别，并并控制其其分发；g.防止止作废文文件的非非预期使使用，若若因任何何原因而而保留作作废文件件时，对对这些文文件进行行适当的的标识。文件可以以以任何何媒体形形式呈现

33、现，如纸纸张、磁磁盘、光光盘、照片、样片等等。文件的审审核、发发布、变变更、修修订、废废止等，应依照照文件件管理手手册进进行管控控。记录和资资料控制制公司应建建立及维维持管理理体系所所要求的的“记录”，以提提供为符符合要求求和质量量管理体体系有效效运行提提供证据据，记录应应维持受受控，记记录应保保持清晰晰,并易于于阅读、辨识及及检索查阅阅。记录应妥妥善保管管，其鉴鉴别、储储存、取取用、保保护、保保存期限限、处置置等事项项，应依依照记录和和外来文文件管理理手册进行管管控。管理体系系文档及及记录，可以以以任何形形式进行行存放（包括：纸本及及电子文文档）。管理职责责管理职责责公司管理理层应在在管理体

34、体系建立立、实施施、运行行、监视视、评审审和持续续改进中中提供承承诺和支支持，并通过过各种活活动完成成以下工工作，以以确保相相关各项项工作的的顺利开开展，并并提供承承诺和支支持的证证据。建立符合合相关标标准的管管理组织织，包括括决策层层、管理理层和执执行层。制订ITT服务管管理、信信息安全全管理、服务质质量管理理的管理理方针和和目标。提供足够够的资源源，以保保证管理理体系策策划、实实施、运运行、监监视、评评审、持持续改进进等工作作的顺利利开展，以建立立符合GGB/1190000 20008、ISOO 90001:20008、ISOO/IEEC2000000-1:20005、IISO/IECC

35、2770011:20005标标准要求求，以及及山东瀚瀚高实际际需要的的管理体体系。确立山东东瀚高管管理体系系持续改改进计划划和适当当的沟通通计划，确保管管理体系系的持续续有效性性，满足足公司的实实际运行行管理需需要。以各种方方式，持持续向公公司全体体员工传传达传达达符合管管理目标标、管理方方针、满满足顾客客和法律律法规要要求以及及持续改改进的必必要性、重要性性，传达达满足其其他相关关方要求求的重要要性。以增进顾顾客满意意为目的的，确保保顾客的的各种要要求得到到确定并并予以满满足。分配管理理体系相相关的角角色和职职责，包包括指定定管理者者代表负负责所有有服务的的协调和和管理。对山东瀚瀚高信息息资

36、产实实行有效效管理，确保信信息资产产的机密密性（CC）、完完整性（I）、可用性性（A）。组织开展展风险管管理工作作，核定定风险可可接受标标准，对对公司不能能接受的的风险进进行处置置。组织建立立瀚高业务务连续性性管理体体系，以保证证公司主主要业务务的连续续，不受受重大故故障和灾灾难的影影响。组织对山山东瀚高高全体员员工进行行信息安安全、IIT服务务管理的的教育培培训，提提高信息息安全意意识和服服务意识识。组织山东东瀚高管管理体系系的推广广工作，确保所所有员工工理解并并严格遵遵守各项项管理制制度、规规范和程程序。确确保管理理体系管管理评审审、内部部审核工工作的进进行。5.2以以顾客为为关注焦焦点总

37、经理应应以增强强顾客满满意为目目的，确确保顾客客的要求求得到确确定并予予以满足足。5.3 质量方方针总经理确确保其制制定的质质量方针针：a. 与与公司的的宗旨相相适应；b. 包包括对满满足要求求和持续续改进质质量管理理体系有有效性的的承诺；c. 提提供制定定和评审审质量目目标的框框架；d. 在在组织内内得到沟沟通和理理解；e. 最最高管理理者通过过管理评评审，对对质量方方针的持持续适宜宜性进行行评审。5.4. 策策划 5.4.1质量量目标最高管理理者确保保：a. 管管理者代代表根据据质量方方针提供供的框架架，组织织在公司司和公司司内部相相关的职职能、层层次和岗岗位上建建立可测测量的质质量目标标

38、。形成成公司目目标体系系。公司司质量目目标包括括满足产产品要求求所需的的内容。b. 质质量目标标由最高高管理者者批准，由管理理者代表表组织跟跟踪、监监督和考考核，质质量目标标通过管管理评审审进行评评审和修修订，以以保证其其持续适适宜性。目标以及及各部门门分解见附录BB。5.4.2质量管管理体系系策划最高管理理者确保保：a.为达达到已确确定的质质量目标标，由管管理者代代表主持持对质量量管理体体系进行行持续、全面策策划和修修订、变变更，以以满足44.1质质量管理理体系总总要求的的各个方方面，形形成并持持续改进进完整的的文件体体系和完完善的组组织体系系。b. 在在对质量量管理体体系的变变更进行行策划

39、和和实施时时，保持持质量体体系的完完整性。5.5. 职职责、权权限和沟沟通5.5.1职责责和权限限最高管理理者应确确保组织织内的职职责、权权限得到到规定和和沟通。具体参参见组组织架构构与部门门职责。5.5.2管理理者代表表最高管理理者任命命一名管管理者作作为管理理者代表表，对质质量管理理体系进进行管理理、监督督、评价价和协调调。管理理者代表表的职责责和权限限包括但但不限于于：a. 确确保质量量管理体体系所需需的过程程得到建建立、实实施和保保持；b. 向向最高管管理者报报告质量量管理体体系的业业绩和任任何改进进的需求求；c. 确确保在整整个组织织内提高高满足顾顾客要求求的意识识；d. 本本手册规

40、规定的其其他职责责和权限限。5.5.3内部部沟通最高管理理者应确确保在组组织内建建立适当当的沟通通过程，并确保保对质量量管理体体系的有有效性进进行沟通通。公司司的沟通通方式包包括：会会议、看看板、电电话、网网络邮件件、记录录传递、培训等等方式。5.6管管理评审审5.6.1总则则为确保管管理体系系，包括括服务管管理与安安全方针针和目标持持续的适适宜性、充分性性和有效效性：由山东瀚瀚高建立立并保持持管理理评审控控制程序序，指导导管理评评审工作作的执行行。公司每年年至少开开展一次次管理评评审，两两次间隔隔不得超超过十二二个月。一般情情况下，采取会会议的形形式，安安排在内内部审核核之后。当出现现下列情

41、情况之一一时，应应及时进进行管理理评审：公司管理理体系发发生重大大变化。国家法律律、法规规、相关关标准发发生重大大变化。外审之前前。其它认为为需要评评审时。管理评审审由总经经理主持持，各部部门负责责人参加加，需要要时，由由总经理理决定具具体的参参加人员员。管理审查查会议的决决议事项项以会议议纪要形形式体现现，由各各相关部部门负责责配合执执行，并并对执行行状况予予以追踪踪评估。5.6.2评审审输入综合管理理部组织织有关部部门按计计划的要要求收集集整理有有关文件件和数据据资料提提交管理理评审，包括：内部和外外部审核核的结果果；相关方（客户、政府部部门、供供应商、内部员员工等）的反馈馈；管理目标标有

42、效性性测量结结果；客户满意意度调查查信息反反馈及客客户投诉诉；山东瀚高高用于改改进管理理体系执执行绩效效和有效效性的技技术、产产品或程程序的发发展及变变化；全年的管管理体系系运作状状况；对过程和和服务测测量和监监视的结结果；纠正和预预防措施施的实施施情况；以往风险险评估未未充分指指出的脆脆弱性或或威胁；以往管理理评审所所采取措措施的跟跟踪验证证；经策划的的可能影影响管理理体系的的变更；管理体系系文件的的适用性性，包括修修改要求求等；改进的建建议。5.6.3评审审输出按照服务务管理与与安全方方针和目标对对上述信信息进行行全面的的讨论、评价、分析，决定所所要采取取的改进进措施，包括：管理体系系有效

43、性性的改进进，应考考虑业务务需求、安全需需求、影响已已有业务务需求的的业务过过程、法律法法规环境境、合同责责任、风险和和/或风风险接受受等级等等；方针和目目标的修修订；与客户要要求有关关的改进进；更新风险险评估和和风险处处置计划划；资源需求求；改进测量量控制措措施有效效性的方方式；对现有管管理体系系（包括括方针和和目标）的评价价结论及及对现有有服务是是否符合合要求的的评价。6 资资源管理理6.1资资源的提提供公司应确确定并提提供必要要的足够够资源以以策划、建立、实施、运作、监视、评审、保持和和改进管管理体系系，通过过满足客客要求，增强顾顾客满意意。包括括人力资资源、基基础设施施、工作作环境。6

44、.2人人力资源源基于适当当的教育育、培训训、技能能和经验验，从事事影响产产品与要要求的符符合性工工作的人人员应是是能够胜胜任的。岗位职职责以及及相应的的能力需需求应有有清晰明明确的定定义。应合理为为每个员员工分配配工作岗岗位，并并为其所所知晓。应使全体体员工认认识到其其所从事事工作的的关联性性和重要要性，以以及如何何为实现现管理目目标作出出贡献。应根据员员工岗位位职责要要求，提提供适当当的教育育培训或或采取其其它措施施，以满足足工作岗岗位能力力需求。应建立员员工教育育培训管管理制度度，并评评估教育育培训的成效或或所采取取措施的的有效性性。应维持相相关人员员教育、培训、技能及及经验的的适当记记录

45、。聘用人员员前应对对其背景景进行调调查验证证，并签署署相关信信息安全全职责的的文件。具体执行行人力资资源实施施细则。6.3基基础设施施确定、提提供和维维护满足足相关法法律、法法规、标标准、合合约要求求的所必必需的基基础设施施，如办办公场所所、办公公设备、网络设设备（包包括硬件件和软件件）、支持性性服务（如通讯讯或信息息系统）等，并按按既定的的策略、管理措措施进行行使用。6.4工工作环境境提供满足足相关法法律、法法规、标标准、合合约要求求的所必必需的工工作环境境，并按按既定的的策略、管理措措施进行行使用。7产品实实现7.1 产品品实现的的策划根据公司司业务特特点，为为确保产产品代理理分销、软件产

46、产品、服服务和系系统集成成项目达达到客户户满意，公司相相关业务务部门对对实现上上述产品品和服务务的全过过程进行行了策划划并制定定了相应应的文件件；产品品实现的的策划应应与质量量管理体体系其他他过程的的要求相相一致。在对产产品实现现进行策策划时，应确定定以下方方面的适适当内容容：a. 产产品的质质量目标标和要求求，见服服务级别别管理手手册；b. 针针对产品品确定过过程、文文件和资资源的需需求； c. 产产品所要要求的验验证、确确认、监监视、测测量、检检验和试试验活动动，以及及产品接接收准则则；d. 为为实现过过程及其其产品满满足要求求提供证证据所需需的记录录。对应用于于特定产产品、项项目或合合同

47、的质质量管理理体系、IT服服务管理理体系和和信息安安全管理理体系的的过程（包括产产品实现现过程）和资源源，通过过制定计计划的方方法进行行规定。在公司IIT服务务业务中中，服务务产品实实现的策策划，一一方面通通过新新服务和和服务变变更管理理手册对现有有服务产产品进行行变更或或研发新新的服务务产品；另一方方面，通通过服服务级别别管理手手册及事件管管理手册册，对对服务产产品的执执行过程程进行策策划。7.2 与顾客客有关的的过程7.2.1 与与产品有有关要求求的确定定公司应确确定产品品的要求求，要求求由以下下方面构构成：1) 客客户规定定的要求求，包括括对交付付和交付付后活动动的要求求，交付付后的活活

48、动包括括诸如担担保条件件下的措措施、合合同规定定的维护护服务、附加服服务（回回收或最最终处置置）等；2) 客客户虽未未明确提提出，但但规定的的或预期期的用途途所必需需的要求求；3) 与与产品有有关的国国家法令令法规、行业规规定的要要求；4) 公公司认为为必要的的附加要要求（注注：此要要求不得得与前33项要求求的任何何一项有有抵触）。7.2.2 与与产品有有关的要要求的评评审与客户进进行有效效的沟通通，充分分且正确确的了解解客户的的要求和和期望，确保公公司有能能力实现现客户的的要求，以达到到用户满满意。公司应评评审与产产品有关关的要求求。评审审应在组组织向顾顾客作出出提供产产品的承承诺之前前进行

49、（如：提提交标书书、接受受合同或或订单及及接受合合同或订订单的更更改），并应确确保：a. 产产品要求求得到规规定；b. 与与以前表表述不一一致的合合同或订订单的要要求已予予解决；c. 组组织有能能力满足足规定的的要求。评审结果果及评审审所引起起的措施施的记录录应予保保持。若顾客提提供的要要求没有有形成文文件，公公司应在在接收顾顾客要求求前应对对顾客要要求进行行确认。若产品要要求发生生变更（包括合合同以及及技术要要求等），公司应确确保相关关文件得得到修改改，并确确保相关关人员知知道已变变更的要要求。 公司司通过有有关的产产品信息息，如产产品目录录、产品品广告内内容进行行销售时时，应在在发布信信息

50、前对对相关内内容进行行评审。具体遵照照供应应商管理理手册中合合同评审审管理流流程。7.2.3 顾顾客沟通通为增进与与客户的的沟通，公司应对对以下有有关方面面进行确确定并实实施与顾顾客沟通通：a. 为为客户提提供产品品信息；b. 接接收客户户的问询询、合同同或者订订单的处处理，包包括，对对其的修修改；C. 及及时获取取客户的的反馈，包括意意见和投投诉。公公司通过过设立投投诉电话话等手段段，建立立有效的的沟通方方法。所有客户户信息的的记录，都应保保存并做做分析处处理，定定期向管管理层报报告。所所有与质质量相关关的客户户需求、投诉记记录、满满意度调调查的结结果和反反馈都会会通过业业务管理理过程进进行

51、处理理和分析析。具体参见见服务务报告管管理手册册、新服务务与服务务变更管管理手册册、事件管管理手册册、业务关关系管理理手册。7.3设设计和开发根据公司司的认证证范围，本条款款已进行行删减，列出的的目的便便于与标标准对应应。7.4 采购7.4.1采购购过程商务部应应确保采采购的产产品符合合规定的的采购要要求。对对供方及及采购的的产品控控制的类类型和程程度应取取决于采采购的产产品对随随后的产产品实现现或最终终产品的的影响。商务部应应根据供供方按组组织的要要求提供供产品的的能力评评价和选选择供方方。应制制定选择择、评价价和重新新评价的的准则。评价结结果及评评价所引引起的任任何必要要措施的的记录应应予

52、保持持。7.4.2采购购信息采购信息息应表述述拟采购购的产品品，适当当时包括括：a) 产产品、程程序、过过程和设设备的批批准要求求：b) 人人员资格格的要求求；c) 质质量管理理体系的的要求。在与供方方沟通前前，组织织应确保保规定的的采购要要求是充充分与适适宜的。7.4.3采购购产品的的验证各使用部部门应确确定并实实施检验验或其他他必要的的活动，以确保保商务部部采购的的产品满满足规定定的采购购要求。采购完完成后，供应商商的服务务进行监监督和评评审，定定期回顾顾评审供供应商是是否达到到约定的的服务级级别目标标，并对对其结果果进行分分析处理理。当公司或或其顾客客拟在供供方的现现场实施施验证时时，组

53、织织应在采采购信息息中对拟拟验证的的安排和和产品放放行的方方法作出出规定。本公司与与产品和和服务有有关的采采购由商商务部对对采购过过程进行行控制，具体参见见供应应商管理理手册。7.5 生产和和服务提提供7.5.1 生生产和服服务提供供的控制制为了对生生产和服服务的运运作进行行有效的的控制，本公司司应策划划并在受受控条件件下进行行提供，适用时时，受控控条件应应包括：1) 根根据项目目和顾客客要求，由各项项目承担担部门负负责公司司获得规规定产品品特性的的信息，包括隐隐含的要要求及法法律法规规要求；2) 需需要时，由项目目承担部部门制定定作业指指导书，包括计计划编制制规范和和实施规规范等。3) 由由

54、项目承承担部门门负责获获得、使使用和维维护生产产与服务务运作用用的设备备及软件件版本管管理，执执行相关关配置规规范等；4) 获获得和使使用监视视和测量量设备；5) 由由项目承承担部门门负责按按相关控控制文件件的要求求实施监监控活动动；6) 实实施放行行、交付付和适用用的交付付后活动动。本公司在在为客户户提供生生产和服服务过程程具体参参见服服务级别别管理手手册、能力力和可用用性管理理手册、设设备管理理手册、业务务持续性性管理手手册、事件件管理手手册、问题题管理手手册、网络络安全管管理手册册以及及备份等等信息安安全管理理文件。7.5.2 生生产和服服务过程程的确认认当生产和和服务提提供的过过程输出

55、出不能由由后续的的监视或或测量加加以验证证，致使使问题在在产品投投入使用用后或服服务已交交付后才才显现时时，组织织应对任任何这样样的过程程实施确确认。公公司提供供的服务务过程，均需要要确认，证实这些些过程实实现所策策划结果果的能力力。适用时时包括：a. 为为过程的的评审和和批准所所规定的的准则；b.设备备的认可可和人员员资格的的鉴定；c.使用用特定的的方法和和程序；d.记录录的要求求；e. 再再确认。公司通过过目标指指标监控控、人员员资格能能力、设设备能力力和可用用行、设设备符合合性监督督方式确确认过程程能力，并制定定相应的的作业文文件，进进行过程程确认，并记录录。当公公司出现现下列问问题时，

56、需要再再次确认认：a. 信信息事件件出现严严重以上上等级；客户户连续出出现次次以上投投诉。过程确认认遵循能力和和可用性性管理手手册、人力力资源管管理实施施细则和符符合性管管理手册册等文文件。.5.3 标标识和可可追溯性性为了有效效识别开开发策划划、需求求分析、设计实实现、安安装调试试、验收收交付及及维护服服务过程程中的各各项产品品，防止止混用，确保本本公司提提供的软软、硬件件产品的的可追溯溯性和唯唯一标识识，实现现产品质质量保证证的明确确定位，公司对对采购产产品的标标识进行行如下要要求：1) 入入库的采采购产品品和产品品状态采采用标签签和区域域进行标标识；2) 安安装现场场的采购购产品可可用包

57、装装上的原原标识或或铭牌进进行标识识，产品品状态可可用标签签和相应应验证记记录进行行标识。3) 软软件产品品通过版版本和版版本说明明进行标标识。4) 人人员通过过姓名或或者员工工卡号标标识。)设设备通过过指示等等告警等等不同颜颜色进行行标识。）项目目计划通通过审批批状态进进行标识识。在有可追追溯性要要求时，由项目目组控制制和记录录产品的的唯一性性标识。.5.4 顾顾客财产产有关部门门和人员员应爱护护在公司司控制下下和使用用的顾客客财产（包括知知识产权权和企业业以及个个人信息息），为为此，公公司针对对顾客实实物财产产会在合合同中具具体规定定了顾客客财产的的识别、验证、保护和和维护要要求，同同时规

58、定定当顾客客财产发发生丢失失、损坏坏或发现现不适用用的情况况时，应应报告顾顾客，并并保持记记录。在IT服服务项目目中，对对客户信信息资产产的管理理，包括括识别、风险评评估和处处理，将将遵循配置管管理手册册以及及信息息安全风风险管理理手册的相关关规定执执行。7.5.5 产产品防护护为防止产产品在内内部处理理和交付付到预定定地点期期间的损损坏和质质量降低低，公司司应对产产品和产产品的组组成部分分提供防防护。产产品防护护包括标标识、搬搬运、包包装、贮贮存和保保护。具具体控制制如下：1) 产产品的标标识执行行7.4.3。2) 产产品搬运运过程中中应做到到轻拿轻轻放，防防摔、防防碰、防防水，防防止野蛮蛮

59、装卸。对于大大型设备备应选择择适当的的搬运工工具，并并由专业业搬运人人员操作作。3) 产产品的包包装一般般使用原原包装，必要时时应内填填足够的的填充物物或增加加外包装装，注明明产品规规格型号号、数量量等有关关内容，并写上上“轻拿轻轻放”等字样样及“”标志志。包装装应确保保防止任任何物理理或功能能性的损损伤。4) 库库房储存存环境要要求防火火、防盗盗、防水水、防潮潮、防磁磁、防鼠鼠、防蛀蛀。入库库产品要要做到先先入先出出并及时时填写相相关记录录。5) 网网络及集集成系统统交付前前，严禁禁无关人人员随意意开机、调试、插拔接接头等。）对网网络内的的信息按按照信息息安全管管理手册册中的规规定执行行。7

60、. 66 监监视和测测量设备备的控制制公司应确确定需实实施的监监视和测测量以及及所需的的监视和和测量设设备，为为产品符符合确定定的要求求提供证证据。公司应建建立监监视和测测量设备备控制程程序，以确保保监视和和测量活活动可行行并以与与监视和和测量的的要求相相一致的的方式实实施。当有必要要确保结结果有效效的场合合时，测测量设备备应做到到：对照能溯溯源到国国际或国国家标准准的测量量标准，按照规规定的时时间间隔隔或在使使用前进进行校准准和（或或）验证证。当不不存在上上述标准准时，应应记录校校准或检检定的依依据；必要时进进行调整整或再调调整；能够识别别，以确确定其校校准状态态；防止可能能使测量量结果失失