服务外包能力要求内容

《服务外包能力要求内容》由会员分享，可在线阅读，更多相关《服务外包能力要求内容（17页珍藏版）》请在装配图网上搜索。

1、 效劳外包能力 要求Services Outsourcing Capabilities Requirements2XXX-XX-XX发布 2XXX-XX-XX实施赛西认证XX公司目 录1围42 规性引用文件43 术语和定义43.143.243.343.443.553.653.753.853.954 效劳能力管理总要求54.1 总那么54.2 效劳外包能力模型54.3 过程方法65 效劳保障75.1 资源管理75.2 能力管理76 效劳实现96.1 需求管理96.2 效劳策划106.3 效劳过程管理106.4 效劳交付管理116.5 效劳终止116.6 外部供方管理116.7 变更控制127 效

2、劳平安127.1 平安管理职责127.2 平安管理策略127.3 平安管理措施12附录A 规性附录信息技术外包ITO效劳实现13A.1 需求管理13 需求确定13 效劳过程管理13 效劳交付管理14附录B 规性附录业务流程外包BPO效劳实现15 需求管理15 效劳策划15 效劳提供的控制15附录C 规性附录平安控制项16C.1 平安管理组织16C.2 法律法规符合性16C.3 人力资源16C.4 资产管理16C.5访问控制16C.6 物理和环境平安17C.7通信和操作管理17C.8业务连续性管理17C.9平安事件管理17C.10 供给链平安17效劳外包能力要求1 围本规规定了效劳外包组织在质量

3、管理、平安管理和能力管理方面应具备的条件和能力。本局部适用于：a） 计划提供运行效劳外包的组织建立运行效劳能力管理体系； b） 效劳组织评估自身条件和能力；c） 效劳需方评价和选择效劳组织；d） 第三方评价和认定效劳组织能力。2 规性引用文件以下文件中的条款通过本规的引用而成为本规的条款。但凡注日期的引用文件，其随后所有的修改单或修订版不适用于本规。但凡不注日期的引用文件,其最新版本适用于本规。ISO9000质量管理体系 根底和术语ISO/IEC27000信息技术-平安技术-信息平安管理体系-概述和词汇ISO GUIDE 83 管理体系标准的篇章结构、核心文字以与常用术语和核心定义ISO 90

4、01 质量管理体系 要求ISO/IEC20000-1 信息技术 效劳管理 第1局部:规ISO/IEC27001 信息技术 平安技术 信息平安管理体系 要求GB/T 28827.1-2012 信息技术效劳 运行维护 第1局部：通用要求3 术语和定义3.1效劳外包Service Outsourcing效劳发包方将原本由自身完成的局部业务剥离出来，委托给效劳提供组织完成的经济活动。3.2效劳发包方 Client指效劳的需方，在本局部中，效劳发包方也称为顾客。3.3效劳提供组织 Service Provider指效劳的组织，在本局部中，效劳提供组织也称为组织。3.4分包方 Subcontractor指

5、承接分包效劳的效劳提供组织。3.5信息技术外包Information Technology OutsourcingITO指效劳发包方向外部寻求并获得包括全部或局部信息技术类的效劳。3.6业务流程外包Business Process OutsourcingBPO指效劳外包方将自身基于信息技术的业务流程委托给专业化的效劳提供组织，由其按照效劳协议要求进展管理、运营和维护效劳等。3.7知识流程外包Knowledge Process OutsourcingKPO属于BPO的高端层次，指位于效劳外包方流程价值链高端的高知识含量的外包业务。3.8效劳目录 Service Catalogue效劳提供组织提供

6、的标准效劳的列表。3.9效劳级别协议Service Level Agreement效劳提供组织与效劳发包方之间签署的描述效劳和约定效劳级别的协议。4 效劳能力管理总要求4.1 总那么组织在提供效劳过程中，应通过策划、实施、检查和改良实现效劳能力的持续提升。4.2 效劳外包能力模型效劳外包能力模型描述了组织为满足效劳的总要求所必需的过程与过程管理，包括效劳实现、效劳平安、效劳保障，每个过程遵循PDCA过程方法。效劳保障资源管理人员管理知识管理根底设施合约管理技术能力效劳实现效劳策划效劳开发效劳交付不合格效劳效劳平安平安管理职责平安管理策略平安管理措施策划实施改良检查图1 效劳外包能力模型4.3

7、过程方法4.3.1 策划组织应对效劳外包能力进展策划，至少应：a) 根据自身业务定位和能力，策划效劳外包对象的效劳容与要求，明确能力管理围、方针考虑质量、平安方面的容、目标，并形成效劳目录；b) 依据组织的业务开展需要来建立组织结构，从效劳实现、效劳平安、效劳保障等方面实施规划，建立相适应的效劳管理过程，支持效劳目录的实现；c) 针对效劳能力的监视、测量与改良进展策划，建立自我完善机制。4.3.2 实施组织在实施外包效劳能力管理过程中，至少应：a) 制定满足整体策划的实施计划，并按计划实施；b) 建立与相关方的沟通协调机制；c) 按照效劳能力要施管理活动并记录，确保效劳能力管理和效劳过程实施可

8、追溯，效劳结果可计量或可评估；d) 提交满足要求的效劳。4.3.3 检查组织应对外包效劳能力管理过程和实施结果进展监视、测量、分析和评审。至少应：a) 定期评审效劳过程，以确保效劳能力的适宜性和有效性；b) 调查发包方的满意度；c) 评估效劳能力管理过程满足发包方要求的程度；d) 将效劳能力管理水平与行业标杆进展比拟，识别差距。4.3.4 改良组织应不断总结经历，提升效劳外包能力的管理。至少应：a) 建立效劳能力管理改良机制，根据监视和评估的结果识别改良需求；b) 根据识别的改良需求，制定改良方案；c) 跟踪方案的实施情况，对改良的效果进展评价。5 效劳保障5.1 资源管理5.1.1 总那么组

9、织应确定并提供为策划、实施、检查和改良效劳能力所需的资源，适用时，可分包的效劳。5.1.2 根底设施组织应确定、提供并维护为到达符合效劳要求所需的根底设施。适用时，根底设施包括：e) 建筑物、工作场所和相关的设施；f) 过程设备包括硬件和软件；g) 支持性效劳如运输、通讯或信息系统。5.1.3 过程环境组织应确定和管理为到达符合效劳要求所需的过程环境。注： 过程环境可包括物理的、社会的、心理的和环境的因素例如：温度、大气成分。5.1.4 监视和测量工具、方法组织应确定和管理为到达符合效劳要求所需的监视和测量工具、方法，并确保监视和测量工具、方法满足使用要求。组织应保持适当的文件信息，以提供监视

10、和测量设备、方法满足使用要求的证据。注1： 监视和测量设备可包括测量工具和评价方法例如：调查问卷。注2： 对照能溯源到国际或国家标准的测量标准，按照规定的时间间隔或在使用前对监视和测量工具进展校准和或检定。5.2 能力管理5.2.1 人员能力组织应明确效劳人员的能力，至少包含：a) 培训：1) 建立对外包业务的培训机制；2) 明确培训考核的方式、方法；3) 制定培训计划，并保存相应的培训记录。b) 知识与技能；4) 明确从事效劳的人员所需具备的相关知识、技能和适当的经历；5) 适用时，明确从事特殊业务的人员的资格。5.2.2 知识管理组织应收集、共享、更新、使用所积累的知识和信息，提升人员能力

11、，提高效劳效率和质量。组织应：a) 确定知识管理的角色和职责；b) 选择适宜的知识管理策略；c) 对知识资产进展适当分类，针对常见问题的描述、分析和解决方法建立知识库；d) 确保知识库具备知识的添加、更新和查询功能；e) 确保整个组织对知识的有效使用和共享。5.2.3 合约管理与法律风险躲避组织应实施合约管理过程，应包括：h) 确定合约制定和合约变更的程序；i) 识别相关方的需求；j) 考虑风险并实施合约评审；k) 合约签订应得到批准；l) 合约变更应通知相关方；m) 具备处理合约违约与纠纷的能力。组织应具备法律风险意识，建立识别、评审并处置法律风险的过程。5.2.4 技术能力组织应：n) 建

12、立保持、提升技术能力的机制并确定职责；o) 关注国外效劳相关的技术动向；p) 跟进效劳外包业务相关的最新技术和标准；q) 具备必要的最新技术和标准应用的研究能力；r) 具有对影响效劳质量的事件进展分析和解决的技术能力。5.2.5 关系管理组织应建立并保持与顾客与相关方之间的良好关系，识别并记录效劳的顾客与相关方。应确保信息与时、准确、适当地传递给相关方和顾客，持续改善组织的沟通能力。组织应：s) 基于效劳外包业务需求确定与顾客、相关方的沟通需求；t) 确定与顾客、相关方进展沟通的人员的角色和职责；u) 相关信息与时、准确、适当地传递给相关方；v) 组织应管理与顾客、相关方的沟通容和沟通质量，建

13、立投诉处理机制，并实施持续改良。针对顾客，组织应指定人员负责管理顾客满意事宜，并定期测量顾客满意度情况并据此信息采取相应措施。5.2.6 组织声誉维护能力组织应具备主动维护其声誉的意识，并采取适宜措施来建立、宣传、扩大与维护组织声誉。6 效劳实现6.1 需求管理6.1.1 需求确定组织应确定：a) 明确顾客所需效劳的业务类型见附录A和附录Bb) 顾客规定的要求，包括对交付与交付后活动的要求；c) 顾客虽然没有明示，但规定的用途或的预期用途所必需的要求；d) 适用于效劳的法律法规要求；e) 效劳平安要求例如，顾客对于效劳场地的平安要求；f) 必要时明确所需的效劳级别要求；g) 任何可能的附加要求

14、。注： 附加要求可包含由有关的相关方提出的要求。6.1.2 需求评审组织应评审与效劳有关的要求。评审应在组织向顾客提供效劳的承诺例如，提交标书、承受合同或订单与承受合同或订单的更改之前进展，并应确保：a) 效劳要求已得到规定并达成一致；b) 与以前表述不一致的合同或订单的要求已予解决；c) 组织有能力满足规定的要求。评审结果的信息应形成文件。假设顾客没有提供形成文件的要求，组织在承受顾客要求前应对顾客要求进展确认。注： 在某些情况下，对每一个订单进展正式的评审可能是不实际的，作为替代方法，可对提供给顾客的有关的效劳信息进展评审。6.1.3 需求变更组织应根据实际情况对需求变更进展控制，至少包括

15、以下容：a) 需求变更文档化；b) 识别变更控制的边界；c) 定义需求变更的围；d) 维护需求变更的历史信息，包括变更的依据；e) 评价需求变更的影响；f) 评审并批准变更；g) 与顾客与组织部的沟通；h) 需求变更的响应速度见附录B。6.2 效劳策划组织应对效劳的实施进展策划，包括：a) 效劳的要求，并考虑相关的目标；b) 确定资源的需求；c) 识别效劳实施过程中的风险，制订相应的措施；d) 制定适宜的交付策略和效劳退出策略；e) 确定监视、测量的方法；f) 适用时，考虑分包活动的管理。策划的输出形式应便于组织的运作。6.3 效劳过程管理6.3.1 效劳提供的控制组织应在受控的条件下提供效劳

16、，受控条件包括：a) 获得效劳特性的文件信息；b) 必要时，应获得效劳过程与结果的文件信息；c) 必要时，应获得顾客业务流程所必须的用户信息；d) 确保所获得用户信息的平安；e) 获得、实施和使用必要的监测和测量设备；f) 人员的资格和能力；g) 识别影响效劳连续性的因素，制定效劳连续性计划，确保效劳实施过程连续；h) 确保发生变更时的一致性，明确可能造成的风险影响；i) 实施必要的配置管理；j) 定义效劳响应支持的职能、角色和流程；k) 当过程的输出不能由后续的监测和测量加以验证时，对任何这样的效劳提供过程进展确认、批准和再次确认；l) 效劳的放行、交付和交付后活动的实施；m) 人为错误如失

17、误、违章导致的不符合的预防。6.3.2 标识和可追溯性适当时，组织应使用适宜的方法对效劳实现过程中所产生的任何输入或输出进展标识以确保可追溯性，应关注：a) 标识的唯一性；b) 确保标识清晰可追溯性；c) 必要时保持形成文件的信息。6.3.3 顾客或外部供方的财产组织应保护在组织控制下或组织使用的顾客、外部供方财产。组织应识别、验证、保护和维护供其使用的顾客、外部供方财产。如果顾客、外部供方财产发生丧失、损坏或发现不适用的情况，组织应向顾客、外部供方报告，并保持相关记录。注： 顾客、外部供方财产可包括知识产权、秘密的或私人的信息。6.3.4 不合格效劳组织应确保对不符合要求的效劳得到识别和控制

18、，以防止其非预期使用或交付造成对顾客产生不良的影响。当不合格效劳已交付给顾客时，组织应采取适当的纠正措施以确保实现顾客满意，适当的措施可包括：a) 停止提供效劳；d) 适当时，通知顾客；e) 经授权延长效劳时间或重新提供效劳、让步接收。在不合格效劳得到纠正之后应对其再次进展验证，以证实符合要求。不合格效劳的性质以与随后所采取的任何措施的信息应形成文件，包括所批准的让步。6.4 效劳交付管理组织在交付管理过程中应确定：a) 制定适宜的交付策略，包括交付方式和交付成果；b) 适用时，交付的成果已经得到检验或测试；c) 不合格的效劳在交付前应得到授权人的批准和顾客的同意；d) 交付不成功时应采取补救

19、措施，适用时，进展再评审或再验证。6.5 效劳终止合约到期或其他原因引起完毕或退出效劳时，组织应：a) 按照确定的效劳退出策略见6.2要求执行；b) 监视退出执行的过程，结果通报相关方；c) 适用时，对关键、敏感信息、文档进展处置，保存相关记录；d) 分析退出原因，评估退出造成的影响，制订预防措施。6.6 外部供方管理6.6.1 总那么组织应确保外部供方提供的产品和效劳满足规定的要求。应制订采购策略，适用时得到顾客确实认。6.6.2 外部供方的控制类型和程度对外部供方与其提供的产品和效劳的控制类型和程度取决于：a) 识别的风险与其潜在影响；b) 外部供方的分担程度；c) 潜在的控制能力。6.6

20、.3 提供给外部供方的文件信息适用时，提供给外部供方的文件信息应包括：a) 供给的产品和效劳，以与实施的过程；b) 效劳、程序、过程的放行或批准要求：c) 人员能力的要求，包含必要的资格要求；d) 外部供方资质的要求；e) 组织对外部供方业绩的控制和监视；f) 必要时应在供方现场实施的验证活动。在与供方沟通前，组织应确保所规定的要充分与适宜的。组织应对外部供方提供的产品和效劳进展监视和评价，并保存相关记录。6.7 变更控制组织应对顾客业务流程实现过程可能发生的变更进展管理，变更控制应至少包含以下容：a) 组织应建立变更控制策略；b) 确保受到变更影响的配置项受控；c) 确保变更是在批准状态下实

21、施的；d) 在实施变更后进展必要的验证与评审；e) 保存相应的记录；f) 程序记录、分类、评估和批准变更请求应文件化。7 效劳平安7.1 平安管理职责管理者应：a) 批准建立效劳平安团队，定义其职责和角色；b) 向组织传达效劳平安的重要性；c) 确保组织风险因素得到识别和处置；d) 为效劳平安提供所需的资源；e) 确保执行平安部审计；f) 定期进展效劳平安评估，以识别改良的时机；g) 确保组织的平安措施的实施是相互协调的。7.2 平安管理策略为确保效劳平安，组织应确定效劳平安策略，至少应包括：a) 符合法律法规和合同要求；b) 平安教育、培训和意识要求；c) 违反效劳平安的后果；d) 业务连续

22、性管理。7.3 平安管理措施组织为满足平安管理策略应采取必要的控制措施，这些措施必须符合法律法规和合同的要求。附录C给出的平安措施并不是所有的平安措施措施，组织也可能需要选择另外的控制措施。AA附录A 规性附录信息技术外包ITO效劳实现A.1 需求管理A.1.1 需求确定识别信息技术外包的业务类型，包括：a) 软件研发与外包注1b) 信息技术研发效劳外包注2c) 信息系统运行维护外包注3注1： 软件研发与外包，指软件研发与开发效劳，如，用于金融、政府、教育、制造业、零售、效劳、能源、物流和交通、媒体、电信、公共事业和医疗卫生等行业，为用户的运营/生产/供给链/客户关系/人力资源和财务管理、计算

23、机辅助设计/工程等业务进展软件开发，定制软件开发，嵌入式软件，套装软件开发，系统软件开发，软件测试等；以与软件技术效劳，如，软件咨询、维护、培训、测试等技术性效劳；注2： 信息技术研发效劳外包，指集成电路设计，如，集成电路产品设计以与相关技术支持效劳等；以与提供电子商务平台，如，为电子贸易效劳提供信息平台；以与测试平台，如，为软件和集成电路的开发运用提供测试平台。注3： 信息系统运行维护外包，指信息系统运行和维护效劳，如，顾客部信息系统集成、网络管理、桌面管理与维护效劳；信息工程、地理信息系统远程维护等信息系统应用效劳；以与根底信息技术效劳，如，根底信息技术管理平台整合等根底信息技术效劳IT根

24、底设施管理、数据中心、托管中心、平安效劳、通讯效劳等A.1.2 效劳过程管理在效劳实现过程中应关注以下容：a） 顾客可能参与的管理活动；b） 文件化必要的过程文件。软件研发效劳和信息技术研发效劳相关的业务流程应包括如下活动：a) 需求分析；b) 概要设计；c) 详细设计；d) 制造开发；e) 单元测试；f) 集成测试；g) 系统测试；h) 验收测试。信息技术运行维护相关的业务流程应包括如下活动：a) 效劳战略；b) 效劳设计；c) 效劳转换；d) 效劳运维；e) 持续效劳改良。A.1.3 效劳交付管理A.1.3.1 交付前针对软件开发和信息技术研发的效劳，组织应在交付前实施以下活动，包含：明确

25、产品或效劳的要求已经满足需求；a) 与需求或设计不一致的表述已得到完善或更改；b) 必要的测试已经实施；A.1.3.2 交付后针对软件开发效劳，适宜时，组织应进展软件补丁的发布。BB附录B 规性附录业务流程外包BPO效劳实现基于流程管理的不同特性，BPO可分为如下类别：a) 与供给链相关的流程管理；如：物流、仓储；b) 与组织顾客相关的流程管理；如：呼叫中心、大堂效劳；c) 生产流程的管理；如：业务流程研发、数据处理；d) 支持性流程管理；如：财务、人力资源B.1.1 需求管理B.1.1.1 在需求确定阶段，组织应：a) 定义效劳的类别；b) 定义效劳的特性。如：业务复杂性、独立性、关键性。B

26、.1.1.2 需求评审阶段，组织应：a) 评审准那么应考虑效劳过程中的责任、义务、风险；b) 确保效劳过程涉与的相关方参与评审。B.1.1.3 需求变更控制阶段，组织应根据变更的特点，制定响应方案，包括考虑响应速度。B.1.2 效劳策划根据效劳特性，组织应：a) 为每一类效劳设计效劳交付策略，确保效劳要求得到满足；b) 考虑特定的平安要求。B.1.3 效劳提供的控制组织应基于顾客相关的业务流程，制定顾客业务流程相关的作业指导文件，必要时得到顾客确实认。CC附录C 规性附录平安控制项本附录所列的控制措施是外包效劳过程中必须考虑的根本控制，组织还应结合自己外包效劳的具体要求，制定并实施额外的平安控

27、制措施。C.1 平安管理组织a) 建立效劳平安组织，支持对外包效劳潜在的平安脆弱性的识别；b) 确保外包效劳人员能够充分的理解并有效地执行；c) 实施有效的平安审计；d) 评估平安控制措施的有效性。C.2 法律法规符合性a) 制定相应规程，识别适用于组织的法律法规和合同义务；b) 依照相关的法律、法规和合同要求，保护个人信息和隐私；c) 确保在使用具有知识产权的资产时，符合法律、法规和合同要求。C.3 人力资源a) 结合业务特点确定相应的岗位和任用条件，识别人员的技能和经历；b) 向外包效劳人员进展平安教育，包括平安管理策略、管理制度等；c) 识别外包效劳人员未授权操作、突发人事变更或恶意操作

28、等可能威胁平安的活动；d) 与相应人员签订协议；C.4 资产管理a) 编制并维护资产清单，如必要，须对相关方资产进展管理；b) 明确资产的责任人；c) 资产的使用、处理和归还进展授权和管理，并形成文件和记录。C.5 访问控制a) 通过有效的信息系统授权和效劳访问机制，防止未授权的人员接入信息系统；b) 按照最小化原那么，正式授权效劳人员访问信息系统中的资源，当不再使用时立即注销；c) 监控访问过程并定期审查访问日志；d) 除非授权的外部访问行为之外，不允许私自远程接入信息系统；e) 监控人员的未经授权的访问、数据修改行为。C.6 物理和环境平安a) 建立物理平安策略和流程；b) 设置清晰平安边

29、界保护关键和敏感信息与处理设施；c) 平安区域应由适合的入口控制措施，以确保只有授权人员才允许访问；d) 应为组织办公场所和提供外包效劳场所和设施涉与并采取物理平安措施，以防范恶意攻击、事故和自然灾害。C.7 通信和操作管理a) 文件化的操作规；b) 建立操作过程的备份机制，并定期进展数据恢复测试，以确保备份恢复的有效性和完整性；c) 定期检查网络配置；d) 假设需要接入外部网络时，应评估外部拉入的网络平安措施有效性；e) 评估是否需要增加额外的控制措施，以确保部的网络不被攻击；f) 严格限制未授权的网络接入；g) 建立适当的操作规程，防止对数据、文档、电子介质等的未授权的复制、使用、移动和破

30、坏；h) 监控介质操作过程；i) 确保审计记录包含以下参数：如事件发生的日期和时间、事件的类型、活动的用户账户、事件的成功和失败等；j) 定期复查审计记录，以判断未授权的访问和网络连接尝试。C.8 业务连续性管理a) 调查并确定信息技术效劳冗余的级别，保证业务的持续性能力；b) 确保效劳外包的业务连续性计划得以恰当的测试和验证。C.9 平安事件管理a) 应建立正式的平安事件管理流程；b) 与时采取方式弥补平安事件和脆弱性；c) 应用防护措施转移识别的平安事件。C.10 供给链平安a) 制定供给关系平安策略；b) 应定期对供给商的效劳提供能力和产品质量监测和评审；c) 应对供给商提供效劳的变更进展管理以控制潜在的风险。17 / 17