IT服务与信息安全管理手册.doc

资源描述

1、山东瀚高科技有限公司山东瀚高科技有限公司管理体系管理手册山东瀚高科技有限公司管理手册文档发布信息文档名称：管理手册文档编号：L1-MM版本号：2.0保密级别：内部使用级拟制人：张春志审核人：常瑞东、孟祥辉、卢健、张鲁敏、宋乐、刘学春、母晓明、韩志平发布范围：公司管辖的所有部门发布日期：2011.11.28批准人：苗健管理手册修订记录版本号修订日期修订人类别修订说明1.02011.3.1张春志M2.02011.11.28张春志M换版注1：修订类别分为：A新建/增加、M修订、D删除管理手册目录颁布令I任命书II管理方针和目标1山东瀚高有限公司简介2山东瀚高有限公司组织结构图3

2、1目的和范围31.1目的31.2范围32引用标准43术语和定义44管理体系要求54.1总要求54.1.1管理架构84.1.2管理体系运作机制84.2管理体系文件104.2.1总则104.2.2质量手册104.2.3文件控制114.2.4记录和资料控制135管理职责135.1管理承诺135.2以顾客为关注的焦点145.3质量方针145.4策划155.4.1质量方针155.4.2质量管理体系策划155.5职责、权限和沟通155.5.1职责和权限155.5.2管理者代表155.5.3内部沟通165.6管理评审165.6.1总则165.6.2评审输入175.6.3评审输出176资源管理186.2.1资

3、源的提供186.2.2人力资源186.2.3基础设施196.2.4工作环境197 产品实现197.1 产品实现的策划197.2 与顾客有关的过程207.2.1 与产品有关要求的确定207.2.2 与产品有关的要求的评审207.2.3 顾客沟通217.3 设计和开发217.4 采购217.4.1采购过程217.4.2 采购信息217.4.3 采购产品的验证227.4 生产和服务提供227.5.1 生产和服务提供的控制227.5.2 生产和服务过程的确认237.5.3 标识和可追溯性237.4.4 顾客财产247.5.5 产品防护247.6 监视和测量装置控制258 测量、分析和改进258.1 总

4、则258.2 监视和测量268.2.1 客户满意度268.2.2 内部审核278.2.3 过程的监视和测量278.2.4 产品的监视和测量288.3 不合格品控制288.4 数据分析298.4.1 数据来源298.4.2 数据的收集和分析298.5持续改进308.5.1持续改进3085.2 纠正措施308.5.3 预防措施31附录A 管理方针释义32附录B 2011年度管理目标32附录C 质量管理体系过程职责分配表33附录D 管理体系文件清单36颁布令为提高山东瀚高科技有限公司IT服务管理和信息安全管理水平，规范化运行管理，山东瀚高科技有限公司依据GB/T 19001-2008 idt I

5、SO9001:2008 质量管理体系要求、ISO/IEC20000-1:2005 Information technology - Service management - Part 1:Specification、ISO/IEC 27001:2005 Information technology - Security techniques Information security management systems - requirements，结合公司实际情况建立符合以上标准规范要求的管理体系。管理手册阐述了山东瀚高科技有限公司有关IT服务管理、服务质量管理、信息安全管理的管理方针，是

6、规范山东瀚高科技有限公司服务管理与信息安全管理的纲领性文件，是建立、实施、评测、改进管理体系的指导性文件。本手册在编制过程中坚持符合性、适宜性和有效性的统一，并广泛征求意见修订成稿，现予以发布，自发布日起正式生效实施。山东瀚高科技有限公司全体员工应认真学习、熟知本手册内容，并严格执行本手册的各项规定和要求。本手册将根据内、外部环境的变化适时进行评审、修改和完善。此令！山东瀚高科技有限公司总经理：苗健 2011年 11月28日任命书山东瀚高科技有限公司“管理者代表”任命书为了贯彻执行GB/T 19001-2008 idt ISO9001:2008 质量管理体系要求、ISO 9001:2

7、008 Quality management systems - Requirements、ISO/IEC 20000-1:2005 Information technology - Service management - Part 1:Specification、ISO/IEC 27001:2005 Information technology - Security techniques Information security management systems - requirements，加强对管理体系运作的领导，确保山东瀚高科技有限公司管理体系的建立、实施、运作、监视、评审、保护

8、和改进，特任命常瑞东为山东瀚高科技有限公司管理者代表。管理者代表的职责和权限是：1. 代表总经理负责按标准要求建立、实施、运作、监视、评审、持续改山东瀚高科技有限公司的管理体系，实现公司的服务管理，质量管理与信息安全管理方针和目标；2. 协助总经理开展管理评审，并向总经理报告管理体系业绩和改进需求；3. 负责组织山东瀚高科技有限公司管理手册的编写、修订和审核工作；4. 确保在整个山东瀚高科技有限公司内提高满足客户要求的意识；5. 负责提出资源配置以实现IT服务的交付和管理；6. 负责协调和管理所有的IT服务管理工作；7. 负责协调和管理所有的质量管理工作；8. 提高公司全体人员的信息安全意

9、识；9. 负责公司管理体系有关事宜的外部联络工作。山东瀚高科技有限公司总经理：苗健 II管理方针和目标l 管理方针顾客至上、安全第一、质量为本、持续改进l 管理目标安全可靠：保证山东瀚高科技有限公司各项业务的安全运行，达到行业领先的高可用性，是压倒一切的管理要求。客户满意：以专业和完善的服务，达到行业领先的服务水平，实现客户满意。效率和效益：在确保安全可靠和客户满意的前提下，以诚信合作的精神和专业的技能，达成高效率和高效益。l 管理政策推进“流程化管理、标准化服务、高素质团队、高效率运作”的体系建设；向客户提供安全、可靠和稳定的信息系统管理服务，并持续优化服务质量。l 服务理念超越客户的期

10、望值。批准：苗健 2011年 11月28日关于管理方针的释义见本文件附录A部分山东瀚高科技有限公司简介山东瀚高科技有限公司成立于2005年，是国内领先的基础软件服务提供商。公司自成立以来一直致力于基础软件的研发、销售、服务和培训业务，瀚高和各大国际知名厂商密切合作，建立了具有国内领先水平的技术工程师团队，开创了基础软件综合服务产品化的先河，研发了具有自主知识产权的服务管理软件，建立并完善了综合服务管理系统。秉承“专注数据服务，共享你我智慧”的理念，以数据为中心开展数据备份、容灾、数据仓库、数据综合利用等各项服务，瀚高将会一如既往的在数据平台服务领域加大投入，通过组织和业务流程的标准化，实现

11、产品和服务的专业化，不断提高自身竞争力，巩固在业界的领先地位，引领数据服务产品化的潮流。n 主要服务：l 数据库l 基础软件l 中间件l BI的实施与咨询n 服务资源：l 优秀的管理和技术团队l 规范、专业的IT服务管理流程和信息安全管理规范山东瀚高有限公司组织结构图管理者代表总经理综合管理部销售副总技术副总销售部商务部客户服务部产品部售前支持部系统支持部 1 目的和范围1.1 目的山东瀚高为了规范公司的内部运作，安全、及时、准确地为客户提供服务，确保服务品质和信息安全，并注重持续改进，以期实现客户满意，而建立的运行管理体系符合以下标准规范的全部要求：l GB/T 19001-2008 idt

12、 ISO 9001:2008l ISO/IEC20000-1:2005l ISO/IEC 27001:20051.2 范围本手册适用于：l 山东瀚高下属的各部门；l 公司所在驻地：济南市舜华路2000号舜泰广场8号楼西19层（北向）山东瀚高科技有限公司l 根据山东瀚高的业务特点，对GB/T 19001-2008 idt ISO 9001:2008、ISO/IEC20000-1:2005以及ISO/IEC 27001:2005标准中不适用于本公司的部分条款作了删减。由于公司为客户提供服务活动，为常规业务，不涉及到7.3设计和开发，故对7.3删除。上述条款的删除，不免除公司满足法律法规和客户要求的

13、责任。ISO/IEC20000-1:2005以及ISO/IEC 27001:2005删减详见L1-SOA-适用性声明-V1.0。l 山东瀚高管理体系适用于与数据备份、容灾、数据仓库、数据综合利用的服务相关的管理活动。2 引用标准本手册引用或依据下列相关国家/国际标准，当该标准增补或修订时，使用标准的最新版本：1) GB/T 19001:2008质量管理体系要求2) GB/T 19000:2008质量管理体系基础和术语3) ISO 9001:2008Quality management systems - Requirements4) ISO 9000:2008Quality managemen

14、t system - Fundamentals and vocabulary5) ISO/IEC 20000-1:2005 IT服务管理第一部分：服务管理规范6) ISO/IEC 20000-2-2005 IT服务管理第二部分：服务管理实践守则7) ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求8) ISO/IEC 27002:2007 信息技术-安全技术-信息安全管理实施指南3 术语和定义本手册采用GB/T 19000-2008 idt ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005的术语和定义。4

15、管理体系要求4.1 总要求山东瀚高将充分遵循GB/19000 2008、ISO 9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005等标准的要求，建立、实施运行管理体系，并持续改进，以保证其有效性。公司应：a) 确定质量管理体系所需的过程及其在整个组织中的应用；b) 确定这些过程的顺序和相互作用；c) 确定为确保这些过程的有效运作和控制所需的准则和方法；d) 确保可以获得必要的资源和信息，以支持这些过程的运作和监视；e) 监视、测量(适用时)和分析这些过程；f) 实施必要的措施，以实现对这些过程所策划的结果和对这些过程的持续改进。公司应按标准的要求

16、管理这些过程，并对对公司所选择的任何影响产品符合要求的外包过程，应确保对其实施控制。对此类外包过程控制的类型和程度应在供应商管理手册中加以规定。管理体系模式图：资源管理过程产品实现过程测量、分析、改进过程4.1.1 管理架构山东瀚高根据GB/19000 2008、ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005的要求，建立符合公司业务特点的管理架构，明确各部门/岗位职责、沟通方式和渠道。山东瀚高设立管理者代表，确保管理体系的建立、实施和持续改进工作的落实，管理者代表负责向公司最高管理者报告管理体系的业绩和任何改进的需求，确保在公司内提高

17、对客户服务意识和信息安全意识；负责与管理体系有关事宜的外部联络工作。山东瀚高明确了管理方针、目标以及达成方针和目标的措施，并明确了管理体系的实施范围。管理目标的有效性每年至少评价一次。山东瀚高开展管理评审和内部审核工作，评估和管理风险，持续的评估和改进管理体系。山东瀚高明确了标准适用范围，ISO/IEC20000-1:2005、ISO/IEC 27001:2005记录在适用性声明文件中。4.1.2 管理体系运作机制山东瀚高在管理体系建立和维护过程中，充分遵循GB/T 19001-2008 idt ISO9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:20

18、05等标准的要求，采用PDCA模式建立、实施和维护管理体系，以保证其持续有效性，具体如下图所示。 1. 策划与准备（Plan）主要是做好建设管理体系的各种前期工作，包括：l 管理现场调查，明确IT服务管理、服务质量管理和信息安全管理的目标，明确管理角色和管理框架的结构，建立风险评估方法，确定管理审核和改进服务质量的方法。l 进行管理体系设计，根据公司管理方针和业务特点，对业务过程进行识别，确定管理范围，明确过程控制的方法及过程之间的相互关系和接口。l 对人员进行教育培训。2. 建设与实施（Do）根据策划与准备阶段的结果，建立并推广、执行基于IT服务管理、服务质量管理和信息安全管理的管理体系，规

19、范运行管理以实现预期的管理目标，为实现风险控制、评价和改进管理体系、实现持续改进提供不可或缺的依据。3. 评估审核（Check）通过对管理体系运行情况的监视、测量，定期实施内部审核，确保管理体系下的各项管理制度得到落实，及时发现管理体系运行过程中存在的问题，为管理体系的持续改进提供基础。4. 持续改进（Act）建立管理体系持续改进测量，根据评估审核的结果，制定执行纠正和预防措施，进一步改进完善各项管理制度，以保证管理体系的持续有效性，保障信息安全，提高服务管理的有效性和效率。4.2 管理体系文件4.2.1 总则管理体系充分考虑了ISO/IEC 20000-1:2005标准中关于新服务或变更服务

20、的策划实施过程、服务交付过程、关系过程、解决过程、控制过程、发布过程，具体内容已被融合到管理体系的相关文件之中。管理体系充分考虑了GB/ 19000-2008 idt ISO 9001:2008标准中关于产品实现测量分析改进的内容，具体内容已被融合到管理体系的相关文件之中。质量管理体系文件应包括： a) 形成文件的质量方针和质量目标（在手册中描述）； b) 质量手册； c）本标准所要求的形成文件的程序和记录； d) 组织确定的为确保其过程有效策划、运作和控制所需的文件，包括记录。4.2.2 质量手册公司编制和保持质量手册，质量手册包括： a) 质量管理体系的范围，包括任何删减的细节与理由（见

21、范围）； b) 为质量管理体系建立的形成文件的程序或对其引用（见附录文件清单）； c) 质量管理体系过程之间的相互作用的表述。4.2.3 文件控制山东瀚高依据GB/ 19000-2008 idt ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005标准的要求，结合公司的业务特点和实际情况，建立和执行适宜的文件以保障管理体系的有效、高效运行，并对文件进行持续的修订完善，以保证其有效性。1公司文件体系结构：山东瀚高管理体系相关的文件由上而下分为四个阶层，如下图所示：L1 第一阶层文件（简称一阶文件）：管理手册包含山东瀚高管理方针和策略，是山东瀚

22、高管理体系的纲领性文件。一阶文件包括管理手册、适用性声明、管理体系策划。质量管理明确了体系的范围，包括任何删减的细节与理由；描述了质量管理体系建立所形成文件的程序或对其引用；对质量管理体系过程之间的相互作用进行表述。L2 第二阶层文件（简称二阶文件）：程序文件为达到GB/T 19001-2008 idt ISO9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005标准要求而制定的各项管理制度、规范、流程以及相关支持性文件。L3 第三阶层文件（简称三阶文件）：工作指引用来解释特殊工作和活动细节的作业指导书、实施细则和操作手册等。L4 第四阶层文件（简称四

23、阶文件）：表单记录根据GB/T 19000-2008 idt ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005标准的要求和体系实际运行需要，通过表单模板，对管理体系实施的活动过程和结果的记录进行规范，形成记录文件，用于作为管理评审、内部审核、外部审核、持续改进的客观证据。2文件控制管理体系文档建立、颁布及修订，应采取适当管控措施。管理体系文件的制定应符合公司的服务规模、产品类型、过程复杂程度、员工能力素质等实际情况，以便于理解应用。公司编制文件管理手册，规定以下方面所需的控制要求：a.文件发布前得到批准，以确保文件是充分与适宜的；为文件

24、的充分性与适宜性，在文件发布前进行批准。b.管理体系文件应定期进行评审、修订完善，并再次批准以保持文件要求与实际运作的一致性，充分保障文件的有效性、充分性和适宜性。c.确保文件的更改和现行修订状态得到识别；d.确保在使用处可获得有关版本的适用文件；e.确保文件保持清晰、易于识别；f.确保组织所确定的策划和运行质量管理体系所需的外来文件得到识别，并控制其分发；g.防止作废文件的非预期使用，若因任何原因而保留作废文件时，对这些文件进行适当的标识。文件可以以任何媒体形式呈现，如纸张、磁盘、光盘、照片、样片等。文件的审核、发布、变更、修订、废止等，应依照文件管理手册进行管控。4.2.4 记录和资料控制

25、公司应建立及维持管理体系所要求的“记录”，以提供为符合要求和质量管理体系有效运行提供证据，记录应维持受控，记录应保持清晰,并易于阅读、辨识及检索查阅。记录应妥善保管，其鉴别、储存、取用、保护、保存期限、处置等事项，应依照记录和外来文件管理手册进行管控。管理体系文档及记录，可以以任何形式进行存放（包括：纸本及电子文档）。5 管理职责5.1 管理职责公司管理层应在管理体系建立、实施、运行、监视、评审和持续改进中提供承诺和支持，并通过各种活动完成以下工作，以确保相关各项工作的顺利开展，并提供承诺和支持的证据。1. 建立符合相关标准的管理组织，包括决策层、管理层和执行层。2. 制订IT服务管理、信息安

26、全管理、服务质量管理的管理方针和目标。3. 提供足够的资源，以保证管理体系策划、实施、运行、监视、评审、持续改进等工作的顺利开展，以建立符合GB/19000 2008、ISO 9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005标准要求，以及山东瀚高实际需要的管理体系。4. 确立山东瀚高管理体系持续改进计划和适当的沟通计划，确保管理体系的持续有效性，满足公司的实际运行管理需要。5. 以各种方式，持续向公司全体员工传达传达符合管理目标、管理方针、满足顾客和法律法规要求以及持续改进的必要性、重要性，传达满足其他相关方要求的重要性。6. 以增进顾客满意为目

27、的，确保顾客的各种要求得到确定并予以满足。7. 分配管理体系相关的角色和职责，包括指定管理者代表负责所有服务的协调和管理。8. 对山东瀚高信息资产实行有效管理，确保信息资产的机密性（C）、完整性（I）、可用性（A）。9. 组织开展风险管理工作，核定风险可接受标准，对公司不能接受的风险进行处置。10. 组织建立瀚高业务连续性管理体系，以保证公司主要业务的连续，不受重大故障和灾难的影响。11. 组织对山东瀚高全体员工进行信息安全、IT服务管理的教育培训，提高信息安全意识和服务意识。12. 组织山东瀚高管理体系的推广工作，确保所有员工理解并严格遵守各项管理制度、规范和程序。确保管理体系管理评审、内部

28、审核工作的进行。5.2以顾客为关注焦点总经理应以增强顾客满意为目的，确保顾客的要求得到确定并予以满足。5.3 质量方针总经理确保其制定的质量方针：a. 与公司的宗旨相适应；b. 包括对满足要求和持续改进质量管理体系有效性的承诺；c. 提供制定和评审质量目标的框架；d. 在组织内得到沟通和理解；e. 最高管理者通过管理评审，对质量方针的持续适宜性进行评审。5.4. 策划 5.4.1 质量目标最高管理者确保：a. 管理者代表根据质量方针提供的框架，组织在公司和公司内部相关的职能、层次和岗位上建立可测量的质量目标。形成公司目标体系。公司质量目标包括满足产品要求所需的内容。b. 质量目标由最高管理者批

29、准，由管理者代表组织跟踪、监督和考核，质量目标通过管理评审进行评审和修订，以保证其持续适宜性。目标以及各部门分解见附录B。5.4.2 质量管理体系策划最高管理者确保：a.为达到已确定的质量目标，由管理者代表主持对质量管理体系进行持续、全面策划和修订、变更，以满足4.1质量管理体系总要求的各个方面，形成并持续改进完整的文件体系和完善的组织体系。b. 在对质量管理体系的变更进行策划和实施时，保持质量体系的完整性。5.5. 职责、权限和沟通5.5.1职责和权限最高管理者应确保组织内的职责、权限得到规定和沟通。具体参见组织架构与部门职责。5.5.2管理者代表最高管理者任命一名管理者作为管理者代表，对

30、质量管理体系进行管理、监督、评价和协调。管理者代表的职责和权限包括但不限于：a. 确保质量管理体系所需的过程得到建立、实施和保持；b. 向最高管理者报告质量管理体系的业绩和任何改进的需求；c. 确保在整个组织内提高满足顾客要求的意识；d. 本手册规定的其他职责和权限。5.5.3内部沟通最高管理者应确保在组织内建立适当的沟通过程，并确保对质量管理体系的有效性进行沟通。公司的沟通方式包括：会议、看板、电话、网络邮件、记录传递、培训等方式。5.6管理评审5.6.1总则为确保管理体系，包括服务管理与安全方针和目标持续的适宜性、充分性和有效性：1. 由山东瀚高建立并保持管理评审控制程序，指导管理评审工作

31、的执行。2. 公司每年至少开展一次管理评审，两次间隔不得超过十二个月。一般情况下，采取会议的形式，安排在内部审核之后。当出现下列情况之一时，应及时进行管理评审：l 公司管理体系发生重大变化。l 国家法律、法规、相关标准发生重大变化。l 外审之前。l 其它认为需要评审时。3. 管理评审由总经理主持，各部门负责人参加，需要时，由总经理决定具体的参加人员。4. 管理审查会议的决议事项以会议纪要形式体现，由各相关部门负责配合执行，并对执行状况予以追踪评估。5.6.2评审输入综合管理部组织有关部门按计划的要求收集整理有关文件和数据资料提交管理评审，包括：1) 内部和外部审核的结果； 2) 相关方（客户、

32、政府部门、供应商、内部员工等）的反馈；3) 管理目标有效性测量结果；4) 客户满意度调查信息反馈及客户投诉； 5) 山东瀚高用于改进管理体系执行绩效和有效性的技术、产品或程序的发展及变化；6) 全年的管理体系运作状况；7) 对过程和服务测量和监视的结果；8) 纠正和预防措施的实施情况；9) 以往风险评估未充分指出的脆弱性或威胁；10) 以往管理评审所采取措施的跟踪验证；11) 经策划的可能影响管理体系的变更；12) 管理体系文件的适用性，包括修改要求等；13) 改进的建议。5.6.3评审输出按照服务管理与安全方针和目标对上述信息进行全面的讨论、评价、分析，决定所要采取的改进措施，包括：1) 管

33、理体系有效性的改进，应考虑业务需求、安全需求、影响已有业务需求的业务过程、法律法规环境、合同责任、风险和/或风险接受等级等；2) 方针和目标的修订；3) 与客户要求有关的改进；4) 更新风险评估和风险处置计划；5) 资源需求；6) 改进测量控制措施有效性的方式；7) 对现有管理体系（包括方针和目标）的评价结论及对现有服务是否符合要求的评价。6 资源管理6.1资源的提供公司应确定并提供必要的足够资源以策划、建立、实施、运作、监视、评审、保持和改进管理体系，通过满足客要求，增强顾客满意。包括人力资源、基础设施、工作环境。6.2人力资源1. 基于适当的教育、培训、技能和经验，从事影响产品与要求的符合

34、性工作的人员应是能够胜任的。岗位职责以及相应的能力需求应有清晰明确的定义。2. 应合理为每个员工分配工作岗位，并为其所知晓。3. 应使全体员工认识到其所从事工作的关联性和重要性，以及如何为实现管理目标作出贡献。4. 应根据员工岗位职责要求，提供适当的教育培训或采取其它措施，以满足工作岗位能力需求。5. 应建立员工教育培训管理制度，并评估教育培训的成效或所采取措施的有效性。6. 应维持相关人员教育、培训、技能及经验的适当记录。7. 聘用人员前应对其背景进行调查验证，并签署相关信息安全职责的文件。具体执行人力资源实施细则。6.3基础设施确定、提供和维护满足相关法律、法规、标准、合约要求的所必需的基

35、础设施，如办公场所、办公设备、网络设备（包括硬件和软件）、支持性服务（如通讯或信息系统）等，并按既定的策略、管理措施进行使用。6.4工作环境提供满足相关法律、法规、标准、合约要求的所必需的工作环境，并按既定的策略、管理措施进行使用。7产品实现7.1 产品实现的策划根据公司业务特点，为确保产品代理分销、软件产品、服务和系统集成项目达到客户满意，公司相关业务部门对实现上述产品和服务的全过程进行了策划并制定了相应的文件；产品实现的策划应与质量管理体系其他过程的要求相一致。在对产品实现进行策划时，应确定以下方面的适当内容：a. 产品的质量目标和要求，见服务级别管理手册；b. 针对产品确定过程、文件和资

36、源的需求； c. 产品所要求的验证、确认、监视、测量、检验和试验活动，以及产品接收准则；d. 为实现过程及其产品满足要求提供证据所需的记录。对应用于特定产品、项目或合同的质量管理体系、IT服务管理体系和信息安全管理体系的过程（包括产品实现过程）和资源，通过制定计划的方法进行规定。在公司IT服务业务中，服务产品实现的策划，一方面通过新服务和服务变更管理手册对现有服务产品进行变更或研发新的服务产品；另一方面，通过服务级别管理手册及事件管理手册，对服务产品的执行过程进行策划。7.2 与顾客有关的过程7.2.1 与产品有关要求的确定公司应确定产品的要求，要求由以下方面构成：1) 客户规定的要求，包括对

37、交付和交付后活动的要求，交付后的活动包括诸如担保条件下的措施、合同规定的维护服务、附加服务（回收或最终处置）等；2) 客户虽未明确提出，但规定的或预期的用途所必需的要求；3) 与产品有关的国家法令法规、行业规定的要求；4) 公司认为必要的附加要求（注：此要求不得与前3项要求的任何一项有抵触）。7.2.2 与产品有关的要求的评审与客户进行有效的沟通，充分且正确的了解客户的要求和期望，确保公司有能力实现客户的要求，以达到用户满意。公司应评审与产品有关的要求。评审应在组织向顾客作出提供产品的承诺之前进行（如：提交标书、接受合同或订单及接受合同或订单的更改），并应确保：a. 产品要求得到规定；b. 与

38、以前表述不一致的合同或订单的要求已予解决；c. 组织有能力满足规定的要求。评审结果及评审所引起的措施的记录应予保持。若顾客提供的要求没有形成文件，公司应在接收顾客要求前应对顾客要求进行确认。若产品要求发生变更（包括合同以及技术要求等），公司应确保相关文件得到修改，并确保相关人员知道已变更的要求。公司通过有关的产品信息，如产品目录、产品广告内容进行销售时，应在发布信息前对相关内容进行评审。具体遵照供应商管理手册中合同评审管理流程。7.2.3 顾客沟通为增进与客户的沟通，公司应对以下有关方面进行确定并实施与顾客沟通：a. 为客户提供产品信息；b. 接收客户的问询、合同或者订单的处理，包括，对其的

39、修改；C. 及时获取客户的反馈，包括意见和投诉。公司通过设立投诉电话等手段，建立有效的沟通方法。所有客户信息的记录，都应保存并做分析处理，定期向管理层报告。所有与质量相关的客户需求、投诉记录、满意度调查的结果和反馈都会通过业务管理过程进行处理和分析。具体参见服务报告管理手册、新服务与服务变更管理手册、事件管理手册、业务关系管理手册。7.3设计和开发根据公司的认证范围，本条款已进行删减，列出的目的便于与标准对应。7.4 采购7.4.1 采购过程商务部应确保采购的产品符合规定的采购要求。对供方及采购的产品控制的类型和程度应取决于采购的产品对随后的产品实现或最终产品的影响。商务部应根据供方按组织的要

40、求提供产品的能力评价和选择供方。应制定选择、评价和重新评价的准则。评价结果及评价所引起的任何必要措施的记录应予保持。7.4.2 采购信息采购信息应表述拟采购的产品，适当时包括：a) 产品、程序、过程和设备的批准要求：b) 人员资格的要求；c) 质量管理体系的要求。在与供方沟通前，组织应确保规定的采购要求是充分与适宜的。7.4.3 采购产品的验证各使用部门应确定并实施检验或其他必要的活动，以确保商务部采购的产品满足规定的采购要求。采购完成后，供应商的服务进行监督和评审，定期回顾评审供应商是否达到约定的服务级别目标，并对其结果进行分析处理。当公司或其顾客拟在供方的现场实施验证时，组织应在采购信息中

41、对拟验证的安排和产品放行的方法作出规定。本公司与产品和服务有关的采购由商务部对采购过程进行控制，具体参见供应商管理手册。7.5 生产和服务提供7.5.1 生产和服务提供的控制为了对生产和服务的运作进行有效的控制，本公司应策划并在受控条件下进行提供，适用时，受控条件应包括：1) 根据项目和顾客要求，由各项目承担部门负责公司获得规定产品特性的信息，包括隐含的要求及法律法规要求；2) 需要时，由项目承担部门制定作业指导书，包括计划编制规范和实施规范等。3) 由项目承担部门负责获得、使用和维护生产与服务运作用的设备及软件版本管理，执行相关配置规范等；4) 获得和使用监视和测量设备；5) 由项目承担部

42、门负责按相关控制文件的要求实施监控活动；6) 实施放行、交付和适用的交付后活动。本公司在为客户提供生产和服务过程具体参见服务级别管理手册、能力和可用性管理手册、设备管理手册、业务持续性管理手册、事件管理手册、问题管理手册、网络安全管理手册以及备份等信息安全管理文件。7.5.2 生产和服务过程的确认当生产和服务提供的过程输出不能由后续的监视或测量加以验证，致使问题在产品投入使用后或服务已交付后才显现时，组织应对任何这样的过程实施确认。公司提供的服务过程，均需要确认，证实这些过程实现所策划结果的能力。适用时包括：a. 为过程的评审和批准所规定的准则；b.设备的认可和人员资格的鉴定；c.使用特定的方

43、法和程序；d.记录的要求；e. 再确认。公司通过目标指标监控、人员资格能力、设备能力和可用行、设备符合性监督方式确认过程能力，并制定相应的作业文件，进行过程确认，并记录。当公司出现下列问题时，需要再次确认：a. 信息事件出现严重以上等级；客户连续出现次以上投诉。过程确认遵循能力和可用性管理手册、人力资源管理实施细则和符合性管理手册等文件。.5.3 标识和可追溯性为了有效识别开发策划、需求分析、设计实现、安装调试、验收交付及维护服务过程中的各项产品，防止混用，确保本公司提供的软、硬件产品的可追溯性和唯一标识，实现产品质量保证的明确定位，公司对采购产品的标识进行如下要求：1) 入库的采购产品和产品

44、状态采用标签和区域进行标识；2) 安装现场的采购产品可用包装上的原标识或铭牌进行标识，产品状态可用标签和相应验证记录进行标识。3) 软件产品通过版本和版本说明进行标识。4) 人员通过姓名或者员工卡号标识。)设备通过指示等告警等不同颜色进行标识。）项目计划通过审批状态进行标识。在有可追溯性要求时，由项目组控制和记录产品的唯一性标识。.5.4 顾客财产有关部门和人员应爱护在公司控制下和使用的顾客财产（包括知识产权和企业以及个人信息），为此，公司针对顾客实物财产会在合同中具体规定了顾客财产的识别、验证、保护和维护要求，同时规定当顾客财产发生丢失、损坏或发现不适用的情况时，应报告顾客，并保持记录。在IT服务项目中，对客户信息资产的管理，包括识别、风险评估和处理，将遵循配置管理手册以及信息安全风险管理手册的相关规定执行。7.5.5 产品防护为防止产品在

展开阅读全文