IT服务与信息安全管理手册

《IT服务与信息安全管理手册》由会员分享，可在线阅读，更多相关《IT服务与信息安全管理手册（62页珍藏版）》请在装配图网上搜索。

1、山东瀚高科技有限公司 山东瀚高科科技有限限公司管管理体系系管理手册山东瀚高科科技有限限公司管理手册文档发布信信息文档名称：管理手册文档编号：L1-MMM版 本 号号：2.0保密级别： 内部使用级级拟制人：张春志审核人：常瑞东、孟孟祥辉、卢卢健、张张鲁敏、宋宋乐、刘刘学春、母母晓明、韩韩志平发布范围：公司管辖的的所有部部门发布日期：2011.11.28批 准 人人：苗健管理手册修订记录版本号修订日期修订人类别修订说明1.02011.3.11张春志M2.02011.11.28张春志M换版注1：修修订类别别分为：A新建/增加、MM修订、DD删除管理手册目 录颁 布 令令I任 命 书II管理方针和和目

2、标1山东瀚高有有限公司司简介2山东瀚高有有限公司司组织结结构图31目的和范范围31.1目目的31.2范范围32引用标标准43术语和和定义44管理体体系要求求54.1总总要求54.1.11管理架架构84.1.22管理体体系运作作机制84.2管管理体系系文件104.2.11总则104.2.22质量手手册104.2.33文件控控制114.2.44记录和和资料控控制135管理职职责135.1管管理承诺诺135.2以以顾客为为关注的的焦点145.3质质量方针针145.4策策划155.4.11质量方方针155.4.22质量管理理体系策策划155.5职职责、权权限和沟沟通155.5.11职责和和权限155.

3、5.22管理者者代表155.5.33内部沟沟通165.6管管理评审审165.6.11总则165.6.22评审输输入175.6.33评审输输出176资源管管理186.2.11资源的的提供186.2.22人力资资源186.2.33基础设设施196.2.44工作环环境197 产品品实现197.1 产品实实现的策策划197.2 与与顾客有有关的过过程207.2.11 与产产品有关关要求的的确定207.2.22 与产产品有关关的要求求的评审审207.2.33 顾客客沟通217.3 设设计和开开发217.4 采采购217.4.11采购过过程217.4.22 采购购信息217.4.33 采购购产品的的验证2

4、27.4 生生产和服服务提供供227.5.11 生产产和服务务提供的的控制227.5.22 生产产和服务务过程的的确认237.5.33 标识识和可追追溯性237.4.44 顾客客财产247.5.55 产品品防护247.6 监监视和测量装装置控制制258 测量、分分析和改改进258.1 总总则258.2 监监视和测测量268.2.11 客户户满意度度268.2.22 内部部审核278.2.33 过程程的监视视和测量量278.2.44 产品品的监视视和测量量288.3 不不合格品品控制288.4 数数据分析析298.4.11 数据据来源298.4.22 数据据的收集集和分析析298.5持续续改进3

5、08.5.11持续改改进3085.2 纠正措措施308.5.33 预防防措施31附录A 管管理方针针释义32附录B 20111年度度管理目目标32附录C 质量管管理体系系过程职职责分配配表33附录D 管理体体系文件件清单36颁 布 令令为提高山东东瀚高科科技有限限公司IIT服务务管理和和信息安安全管理理水平，规规范化运运行管理理，山东东瀚高科科技有限限公司依依据GGB/TT 1990011-220088 iddt IISO990011:20008 质量管管理体系系 要求、IISO/IECC200000-1:220055 Innforrmattionn teechnnoloogy - Seerv

6、iice mannageemennt - Paart 1:SSpeccifiicattionn、IISO/IECC 2770011:20005 Infformmatiion tecchnoologgy - SSecuuritty ttechhniqquess Infformmatiion seccuriity mannageemennt ssysttemss - reqquirremeentss，结合合公司实实际情况况建立符符合以上上标准规规范要求求的管理理体系。管理手册册阐述了了山东瀚瀚高科技技有限公公司有关关IT服服务管理理、服务务质量管管理、信信息安全全管理的的管理方方针，是是规范山东东

7、瀚高科科技有限限公司服服务管理理与信息息安全管管理的纲纲领性文文件，是是建立、实施、评评测、改改进管理理体系的的指导性性文件。本手册在编编制过程程中坚持持符合性性、适宜宜性和有有效性的的统一，并并广泛征征求意见见修订成成稿，现现予以发发布，自自发布日起正式生效效实施。山东瀚瀚高科技技有限公公司全体体员工应应认真学学习、熟熟知本手手册内容容，并严严格执行行本手册册的各项项规定和和要求。本手册将根根据内、外外部环境境的变化化适时进行行评审、修修改和完完善。此令！ 山山东瀚高高科技有有限公司司总经理理： 苗健 20111年 11月28日任 命 书山东瀚高科科技有限限公司“管理者者代表”任命书书为了贯

8、彻执执行GB/T 1190001-20008 idtt ISSO90001:20008 质质量管理理体系 要求、ISO 9001:2008 Quality management systems - Requirements、ISO/IEC 20000-1:2005 Information technology - Service management - Part 1:Specification、ISO/IEC 27001:2005 Information technology - Security techniques Information security management syst

9、ems - requirements，加强对管理体系运作的领导，确保山东瀚高科技有限公司管理体系的建立、实施、运作、监视、评审、保护和改进，特任命 常瑞东 为山东瀚高科技有限公司管理者代表。管理者代表表的职责责和权限限是：1. 代表总经理理负责按标标准要求求建立、实实施、运运作、监监视、评评审、持持续改山山东瀚高高科技有有限公司司的管理理体系，实实现公司司的服务管管理，质质量管理理与信息息安全管理理方针和和目标；2. 协助总经理理开展管管理评审审，并向向总经理理报告管管理体系系业绩和和改进需需求；3. 负责组织山山东瀚高高科技有有限公司司管理手手册的的编写、修修订和审核核工作；4. 确保在整个

10、个山东瀚瀚高科技技有限公公司内提提高满足足客户要求求的意识识；5. 负责提出资资源配置置以实现现IT服服务的交交付和管管理；6. 负责协调和和管理所所有的IIT服务务管理工作作；7. 负责协调和和管理所所有的质质量管理理工作；8. 提高公司全全体人员员的信息息安全意意识；9. 负责公司管管理体系系有关事事宜的外外部联络络工作。 山东瀚瀚高科技技有限公公司总经经理： 苗健 IV管理方针和和目标l 管理方针顾客至上、安安全第一一、质量量为本、持续改改进l 管理目标安全可靠：保证山东东瀚高科科技有限限公司各各项业务务的安全全运行，达达到行业业领先的的高可用用性，是是压倒一一切的管管理要求求。客户满意

11、：以专业业和完善善的服务务，达到到行业领领先的服服务水平平，实现现客户满满意。效率和效益益：在确保保安全可可靠和客客户满意意的前提提下，以以诚信合合作的精精神和专专业的技技能，达达成高效效率和高高效益。l 管理政策推进“流程程化管理理、标准准化服务务、高素素质团队队、高效效率运作作”的体系系建设；向客户户提供安安全、可可靠和稳稳定的信信息系统统管理服服务，并并持续优优化服务务质量。l 服务理念超越客户的的期望值值。 批准：苗健 20011年年 111月28日关于管理理方针的的释义见见本文件件附录AA部分山东瀚高科科技有限限公司简简介 山东瀚瀚高科技技有限公公司成立立于20005年年，是国国内领

12、先先的基础础软件服服务提供供商。公公司自成成立以来来一直致致力于基基础软件件的研发发、销售售、服务务和培训训业务，瀚高和各大国际知名厂商密切合作，建立了具有国内领先水平的技术工程师团队，开创了基础软件综合服务产品化的先河，研发了具有自主知识产权的服务管理软件，建立并完善了综合服务管理系统。秉承“专注数据服务，共享你我智慧”的理念，以数据为中心开展数据备份、容灾、数据仓库、数据综合利用等各项服务，瀚高将会一如既往的在数据平台服务领域加大投入，通过组织和业务流程的标准化，实现产品和服务的专业化，不断提高自身竞争力，巩固在业界的领先地位，引领数据服务产品化的潮流。n 主要服务：l 数据库l 基础软件

13、l 中间件l BI的实施施与咨询询n 服务资源：l 优秀的管理理和技术术团队l 规范、专业业的ITT服务管管理流程程和信息息安全管管理规范范山东瀚高有有限公司司组织结结构图管理者代表总经理综合管理部销售副总技术副总销售部商务部客户服务部产品部售前支持部系统支持部 1 目的和范围围1.1 目的山东瀚高为为了规范范公司的内内部运作作，安全全、及时时、准确确地为客客户提供供服务，确保服务品质和信息安全，并注重持续改进，以期实现客户满意，而建立的运行管理体系符合以下标准规范的全部要求：l GB/T 190001-20008 idtt ISSO 990011:20008l ISO/IIEC2200000

14、-11:20005l ISO/IIEC 270001:200051.2 范围本手册适用用于：l 山东瀚高下下属的各各部门；l 公司所在驻驻地：济济南市舜舜华路220000号舜泰泰广场88号楼西西19层层（北向向）山东瀚瀚高科技技有限公公司l 根据山东瀚瀚高的业业务特点点，对GGB/TT 1990011-220088 iddt IISO 90001:220088、ISOO/IEEC2000000-1:20005以及及ISOO/IEEC 2270001:220055标准中中不适用用于本公公司的部部分条款款作了删删减。由由于公司司为客户户提供服服务活动动，为常常规业务务，不涉涉及到77.3设设计和开

15、开发，故故对7.3删除除。上述述条款的的删除，不不免除公公司满足足法律法法规和客客户要求求的责任任。ISSO/IIEC2200000-11:20005以以及ISSO/IIEC 270001:20005删减减详见LL1-SSOA-适用性性声明-V1.0。l 山东瀚高管管理体系系适用于于与数据据备份、容容灾、数数据仓库库、数据据综合利利用的服服务相关关的管理理活动。2 引用标准本手册引用用或依据据下列相相关国家家/国际际标准，当当该标准准增补或或修订时时，使用用标准的的最新版版本：1) GB/T 190001:20008质质量管理理体系要要求2) GB/T 190000:20008质质量管理理体系

16、基基础和术术语3) ISO 990011:20008Quaalitty mmanaagemmentt syysteems - RRequuireemennts4) ISO 990000:20008Quaalitty mmanaagemmentt syysteem - Fuundaamenntalls aand voccabuularry5) ISO/IIEC 200000-1:220055 IT服务务管理第第一部分分：服务务管理规规范6) ISO/IIEC 200000-2-220055 IT服务务管理第第二部分分：服务务管理实实践守则则7) ISO/IIEC 270001:20005 信息技

17、技术-安安全技术术-信息息安全管管理体系系-要求求8) ISO/IIEC 270002:20007 信息技技术-安安全技术术-信息息安全管管理实施施指南3 术语和定义义本手册采用用GB/T 1990000-220088 iddt IISO 90001:220088、ISOO/IEEC 2200000-11:20005、ISO/IEC 27001:2005的术语和定义。4 管理体系要要求4.1 总要求山东瀚高将将充分遵遵循GBB/1990000 20008、ISOO 90001:20008、ISOO/IEEC2000000-1:20005、IISO/IECC 2770011:20005等等标准的

18、的要求，建立、实实施运行行管理体体系，并并持续改改进，以以保证其其有效性性。公司司应：a) 确定定质量管管理体系系所需的的过程及及其在整整个组织织中的应应用；b) 确定定这些过过程的顺顺序和相相互作用用；c) 确定定为确保保这些过过程的有有效运作作和控制制所需的的准则和和方法；d) 确保保可以获获得必要要的资源源和信息息，以支支持这些些过程的的运作和和监视；e) 监视视、测量量(适用用时)和和分析这这些过程程；f) 实施施必要的的措施，以以实现对对这些过过程所策策划的结结果和对对这些过过程的持持续改进进。公司应按标标准的要要求管理理这些过过程，并并对对公司所选选择的任任何影响响产品符符合要求求

19、的外包包过程，应应确保对对其实施施控制。对对此类外外包过程程控制的的类型和和程度应应在供应应商管理理手册中中加以规规定。管理体系模模式图：资源管理过过程产品实现过过程测量、分析析、改进进过程4.1.1 管理架构山东瀚高根根据GBB/1990000 20008、ISOO 90001:20008、ISOO/IEEC 2200000-11:20005、ISOO/IEEC 2270001:220055的要求求，建立立符合公公司业务务特点的的管理架架构，明确各各部门/岗位职职责、沟沟通方式式和渠道。山东瀚高设设立管理理者代表表，确保管管理体系系的建立、实实施和持持续改进进工作的的落实，管管理者代代表负责

20、责向公司最高高管理者者报告管管理体系系的业绩绩和任何何改进的的需求，确保在在公司内提提高对客客户服务务意识和信信息安全全意识；负责与与管理体体系有关关事宜的的外部联联络工作作。山东瀚高明明确了管管理方针针、目标标以及达达成方针针和目标标的措施施，并明明确了管管理体系系的实施施范围。管理目目标的有有效性每每年至少少评价一一次。山东瀚高开开展管理理评审和和内部审审核工作作，评估估和管理理风险，持续的的评估和和改进管管理体系系。山东瀚高明明确了标标准适用用范围，ISO/IEC20000-1:2005、ISO/IEC 27001:2005记录在适用性声明文件中。4.1.2 管理体系运运作机制制山东瀚高

21、在在管理体体系建立立和维护护过程中中，充分分遵循GGB/TT 1990011-220088 iddt IISO990011:20008、ISOO/IEEC2000000-1:20005、IISO/IECC 2770011:20005等等标准的的要求，采采用PDDCA模模式建立立、实施施和维护护管理体体系，以以保证其其持续有有效性，具具体如下下图所示示。 1. 策划与准备备（Pllan）主要是做好好建设管管理体系系的各种种前期工工作，包包括：l 管理现场调调查，明明确ITT服务管管理、服服务质量量管理和和信息安安全管理理的目标标，明确管管理角色色和管理理框架的的结构，建建立风险险评估方方法，确定

22、管管理审核核和改进进服务质质量的方方法。l 进行管理体体系设计计，根据据公司管理理方针和和业务特特点，对对业务过过程进行行识别，确确定管理理范围，明明确过程程控制的的方法及及过程之之间的相相互关系系和接口口。l 对人员进行行教育培培训。2. 建设与实施施（Doo）根据策划与与准备阶阶段的结结果，建建立并推推广、执执行基于于IT服服务管理理、服务务质量管管理和信信息安全全管理的的管理体体系，规规范运行行管理以以实现预预期的管管理目标标，为实实现风险险控制、评评价和改改进管理理体系、实实现持续续改进提提供不可可或缺的的依据。3. 评估审核（CChecck）通过对管理理体系运运行情况况的监视视、测量

23、量，定期期实施内内部审核核，确保保管理体体系下的的各项管管理制度度得到落落实，及及时发现现管理体体系运行行过程中中存在的的问题，为为管理体体系的持持续改进进提供基基础。4. 持续改进（AAct）建立管理体体系持续续改进测测量，根根据评估估审核的的结果，制制定执行行纠正和和预防措措施，进进一步改改进完善善各项管管理制度度，以保保证管理理体系的的持续有有效性，保保障信息息安全，提提高服务务管理的的有效性性和效率率。4.2 管理体系文文件4.2.1 总则管理体系充充分考虑虑了ISSO/IIEC 200000-1:20005标准准中关于于新服务务或变更更服务的的策划实实施过程程、服务务交付过过程、关关

24、系过程程、解决决过程、控制过过程、发发布过程程，具体内内容已被被融合到到管理体体系的相相关文件件之中。管理体系充充分考虑虑了GBB/ 190000-20008 idtt ISSO 990011:20008标标准中关关于产品品实现测测量分析析改进的的内容，具体内内容已被被融合到到管理体体系的相相关文件件之中。质量管理体体系文件件应包括括： a) 形形成文件件的质量量方针和和质量目目标（在在手册中中描述）； b) 质质量手册册； c）本标标准所要要求的形形成文件件的程序序和记录录； d) 组组织确定定的为确确保其过过程有效效策划、运运作和控控制所需需的文件件，包括括记录。4.2.2 质量手册 公司

25、编制制和保持持质量手手册，质质量手册册包括： aa) 质质量管理理体系的的范围，包包括任何何删减的的细节与与理由（见见范围）； bb) 为为质量管管理体系系建立的的形成文文件的程程序或对对其引用用（见附附录文件件清单）； cc) 质质量管理理体系过过程之间间的相互互作用的的表述。4.2.3 文件控制山东瀚高依依据GBB/ 190000-20008 idtt ISSO 990011:20008、ISOO/IEEC 2200000-11:20005、ISO/IEC 27001:2005标准的要求，结合公司的业务特点和实际情况，建立和执行适宜的文件以保障管理体系的有效、高效运行，并对文件进行持续的修

26、订完善，以保证其有效性。1公司文件件体系结结构：山东瀚高管管理体系系相关的的文件由由上而下下分为四四个阶层层，如下下图所示：L1 第一阶层文文件（简简称一阶阶文件）：管理手册包含山东瀚瀚高管理理方针和和策略，是是山东瀚瀚高管理理体系的的纲领性性文件。一阶文件包包括管管理手册册、适适用性声声明、管管理体系系策划。质量管理明确了体系的范围，包括任何删减的细节与理由；描述了质量管理体系建立所形成文件的程序或对其引用；对质量管理体系过程之间的相互作用进行表述。L2 第二阶层文文件（简简称二阶阶文件）：程序文件为达到GBB/T 190001-20008 idtt ISSO90001:20008、IISO

27、/IECC200000-1:220055、ISSO/IIEC 270001:20005标准准要求而而制定的的各项管管理制度度、规范范、流程程以及相相关支持持性文件。L3 第三阶层文文件（简简称三阶阶文件）：工作指引用来解释特特殊工作作和活动动细节的的作业指指导书、实实施细则则和操作作手册等等。L4 第四阶层文文件（简简称四阶阶文件）：表单记录根据GB/T 1190000-20008 iidt ISOO 90001:20008、IISO/IECC 200000-1:220055、ISSO/IIEC 270001:20005标准准的要求和体系实际际运行需需要，通通过表单单模板，对对管理体体系实施施

28、的活动动过程和和结果的的记录进进行规范范，形成成记录文文件，用用于作为为管理评评审、内内部审核核、外部部审核、持持续改进进的客观观证据。2文件控制制管理体系文文档建立立、颁布布及修订订，应采采取适当当管控措措施。管理体系文文件的制制定应符符合公司司的服务规规模、产产品类型型、过程程复杂程程度、员员工能力力素质等等实际情情况，以以便于理理解应用用。公司司编制文文件管理理手册，规定以下方面所需的控制要求：a.文件发发布前得得到批准准，以确确保文件件是充分分与适宜宜的；为为文件的的充分性性与适宜宜性，在在文件发发布前进进行批准准。b.管理体体系文件件应定期进行行评审、修修订完善善，并再再次批准准以保

29、持持文件要要求与实实际运作作的一致性，充分保保障文件件的有效效性、充充分性和和适宜性性。c.确保文文件的更更改和现现行修订订状态得得到识别别；d.确保在在使用处处可获得得有关版版本的适适用文件件；e.确保文文件保持持清晰、易易于识别别；f.确保组组织所确确定的策策划和运运行质量量管理体体系所需需的外来来文件得得到识别别，并控控制其分分发；g.防止作作废文件件的非预预期使用用，若因因任何原原因而保保留作废废文件时时，对这这些文件件进行适适当的标标识。文件可以以以任何媒媒体形式式呈现，如纸张、磁盘、光盘、照片、样片等。文件的审核核、发布布、变更更、修订订、废止止等，应应依照文文件管理理手册进行管控

30、。4.2.4 记录和资料料控制公司应建立立及维持持管理体体系所要要求的“记录”，以提提供为符符合要求求和质量量管理体体系有效效运行提提供证据据，记录应应维持受受控，记记录应保保持清晰晰,并易于于阅读、辨识及检索查阅。记录应妥善善保管，其其鉴别、储储存、取取用、保保护、保保存期限限、处置置等事项项，应依依照记录和和外来文文件管理理手册进行管管控。管理体系文文档及记记录，可可以以任任何形式式进行存存放（包包括：纸纸本及电电子文档档）。5 管理职责5.1 管理职责公司管理层层应在管管理体系系建立、实实施、运运行、监监视、评评审和持持续改进进中提供供承诺和和支持，并通过过各种活活动完成成以下工工作，以

31、以确保相相关各项项工作的的顺利开开展，并并提供承承诺和支支持的证证据。1. 建立符合相相关标准准的管理理组织，包包括决策策层、管管理层和和执行层层。2. 制订IT服服务管理理、信息息安全管理理、服务务质量管管理的管管理方针针和目标标。3. 提供足够的的资源，以以保证管管理体系系策划、实实施、运运行、监监视、评评审、持持续改进进等工作作的顺利利开展，以以建立符符合GBB/1990000 20008、ISOO 90001:20008、ISOO/IEEC2000000-1:20005、IISO/IECC 2770011:20005标标准要求求，以及及山东瀚瀚高实际际需要的的管理体体系。4. 确立山东

32、瀚瀚高管理理体系持持续改进进计划和和适当的的沟通计计划，确确保管理理体系的的持续有有效性，满满足公司司的实际际运行管管理需要要。5. 以各种方式式，持续续向公司司全体员员工传达达传达符合合管理目目标、管理方方针、满满足顾客客和法律律法规要要求以及及持续改改进的必必要性、重要性性，传达达满足其其他相关关方要求求的重要要性。6. 以增进顾客客满意为为目的，确确保顾客客的各种种要求得得到确定定并予以以满足。7. 分配管理体体系相关关的角色色和职责责，包括括指定管管理者代代表负责责所有服服务的协协调和管管理。8. 对山东瀚高高信息资资产实行行有效管管理，确确保信息息资产的的机密性性（C）、完完整性（I

33、I）、可可用性（AA）。9. 组织开展风风险管理理工作，核核定风险险可接受受标准，对对公司不能能接受的的风险进进行处置置。10. 组织建立瀚瀚高业务务连续性性管理体体系，以保证证公司主主要业务务的连续续，不受受重大故故障和灾灾难的影影响。11. 组织对山东东瀚高全全体员工工进行信信息安全全、ITT服务管管理的教教育培训训，提高高信息安安全意识识和服务务意识。12. 组织山东瀚瀚高管理理体系的的推广工工作，确确保所有有员工理理解并严严格遵守守各项管管理制度度、规范范和程序序。确保保管理体体系管理理评审、内内部审核核工作的的进行。5.2以顾顾客为关关注焦点点总经理应以以增强顾顾客满意意为目的的，确

34、保保顾客的的要求得得到确定定并予以以满足。5.3 质质量方针针总经理确保保其制定定的质量量方针：a. 与公公司的宗宗旨相适适应；b. 包括括对满足足要求和和持续改改进质量量管理体体系有效效性的承承诺；c. 提供供制定和和评审质质量目标标的框架架；d. 在组组织内得得到沟通通和理解解；e. 最高高管理者者通过管管理评审审，对质质量方针针的持续续适宜性性进行评评审。5.4. 策划划 5.4.11 质量目目标最高管理者者确保：a. 管理理者代表表根据质质量方针针提供的的框架，组组织在公公司和公公司内部部相关的的职能、层层次和岗岗位上建建立可测测量的质质量目标标。形成成公司目目标体系系。公司司质量目目

35、标包括括满足产产品要求求所需的的内容。b. 质量量目标由由最高管管理者批批准，由由管理者者代表组组织跟踪踪、监督督和考核核，质量量目标通通过管理理评审进进行评审审和修订订，以保保证其持持续适宜宜性。 目标以及各各部门分分解见附录BB。5.4.22 质量管管理体系系策划最高管理者者确保：a.为达到到已确定定的质量量目标，由由管理者者代表主主持对质质量管理理体系进进行持续续、全面面策划和和修订、变变更，以以满足44.1质质量管理理体系总总要求的的各个方方面，形形成并持持续改进进完整的的文件体体系和完完善的组组织体系系。b. 在对对质量管管理体系系的变更更进行策策划和实实施时，保保持质量量体系的的完

36、整性性。5.5. 职责责、权限限和沟通通5.5.11职责和和权限最高管理者者应确保保组织内内的职责责、权限限得到规规定和沟沟通。具具体参见见组织织架构与与部门职职责。5.5.22管理者者代表最高管理者者任命一一名管理理者作为为管理者者代表，对对质量管管理体系系进行管管理、监监督、评评价和协协调。管管理者代代表的职职责和权权限包括括但不限限于：a. 确保保质量管管理体系系所需的的过程得得到建立立、实施施和保持持；b. 向最最高管理理者报告告质量管管理体系系的业绩绩和任何何改进的的需求；c. 确保保在整个个组织内内提高满满足顾客客要求的的意识；d. 本手手册规定定的其他他职责和和权限。5.5.33

37、内部沟沟通最高管理者者应确保保在组织织内建立立适当的的沟通过过程，并并确保对对质量管管理体系系的有效效性进行行沟通。公司的沟通方式包括：会议、看板、电话、网络邮件、记录传递、培训等方式。5.6管理理评审5.6.11总则为确保管理理体系，包包括服务务管理与与安全方方针和目标持持续的适适宜性、充充分性和和有效性性：1. 由山东瀚高高建立并并保持管理评审控制程序，指导管理评审工作的执行。2. 公司每年至至少开展展一次管管理评审审，两次次间隔不不得超过过十二个个月。一一般情况况下，采采取会议议的形式式，安排排在内部部审核之之后。当当出现下下列情况况之一时，应应及时进进行管理理评审：l 公司管理体体系发

38、生生重大变变化。l 国家法律、法法规、相相关标准准发生重重大变化化。l 外审之前。l 其它认为需需要评审审时。3. 管理评审由由总经理理主持，各各部门负负责人参参加，需需要时，由由总经理理决定具具体的参参加人员员。4. 管理审查会会议的决决议事项项以会议议纪要形形式体现现，由各各相关部部门负责责配合执执行，并并对执行行状况予予以追踪踪评估。5.6.22评审输输入综合管理部部组织有有关部门门按计划划的要求求收集整整理有关关文件和和数据资资料提交交管理评评审，包包括：1) 内部和外部部审核的的结果； 2) 相关方（客客户、政政府部门门、供应应商、内内部员工工等）的的反馈；3) 管理目标有有效性测测

39、量结果果；4) 客户满意度度调查信信息反馈馈及客户户投诉； 5) 山东瀚高用用于改进进管理体体系执行行绩效和和有效性性的技术术、产品品或程序序的发展展及变化化；6) 全年的管理理体系运运作状况况；7) 对过程和服服务测量量和监视视的结果果；8) 纠正和预防防措施的的实施情情况；9) 以往风险评评估未充充分指出出的脆弱弱性或威威胁；10) 以往管理评评审所采采取措施施的跟踪踪验证；11) 经策划的可可能影响响管理体体系的变变更；12) 管理体系文文件的适适用性，包括修修改要求求等；13) 改进的建议议。5.6.33评审输输出按照服务管管理与安安全方针针和目标对对上述信信息进行行全面的的讨论、评评

40、价、分分析，决决定所要要采取的的改进措措施，包包括：1) 管理体系有有效性的的改进，应应考虑业业务需求求、安全需需求、影响已已有业务务需求的的业务过过程、法律法法规环境境、合同责责任、风险和和/或风风险接受受等级等等；2) 方针和目标标的修订订；3) 与客户要求求有关的的改进；4) 更新风险评评估和风风险处置置计划；5) 资源需求；6) 改进测量控控制措施施有效性性的方式式；7) 对现有管理理体系（包包括方针针和目标）的的评价结结论及对对现有服服务是否否符合要要求的评评价。6 资源源管理6.1资源源的提供供公司应确定定并提供供必要的的足够资资源以策策划、建立、实实施、运运作、监监视、评评审、保

41、保持和改改进管理理体系，通过满足客要求，增强顾客满意。包括人力资源、基础设施、工作环境。6.2人力力资源1. 基于适当的的教育、培培训、技技能和经经验，从从事影响响产品与与要求的的符合性性工作的的人员应应是能够够胜任的的。岗位位职责以以及相应应的能力力需求应应有清晰晰明确的的定义。2. 应合理为每每个员工工分配工工作岗位位，并为为其所知知晓。3. 应使全体员员工认识识到其所从事事工作的的关联性性和重要要性，以以及如何何为实现现管理目目标作出出贡献。4. 应根据员工工岗位职职责要求求，提供供适当的的教育培训训或采取取其它措措施，以满足足工作岗岗位能力力需求。5. 应建立员工工教育培培训管理理制度

42、，并并评估教育育培训的成效或或所采取取措施的的有效性性。6. 应维持相关关人员教教育、培培训、技技能及经经验的适适当记录录。7. 聘用人员前前应对其其背景进进行调查查验证，并签署署相关信信息安全全职责的的文件。具体执行人人力资源源实施细细则。6.3基础础设施确定、提供供和维护护满足相相关法律律、法规规、标准准、合约约要求的的所必需需的基础础设施，如如办公场场所、办办公设备备、网络络设备（包括硬件和软件）、支持性服务（如通讯或信息系统）等，并按既定的策略、管理措施进行使用。6.4工作作环境提供满足相相关法律律、法规规、标准准、合约约要求的的所必需需的工作作环境，并并按既定定的策略略、管理理措施进

43、进行使用用。7产品实现现7.1 产品实实现的策策划根据公司业业务特点点，为确确保产品品代理分分销、软软件产品品、服务务和系统统集成项项目达到到客户满满意，公公司相关关业务部部门对实实现上述述产品和和服务的的全过程程进行了了策划并并制定了了相应的的文件；产品实实现的策策划应与与质量管管理体系系其他过过程的要要求相一一致。在对产产品实现现进行策策划时，应应确定以以下方面面的适当当内容：a. 产品品的质量量目标和和要求，见见服务务级别管管理手册册；b. 针对对产品确确定过程程、文件件和资源源的需求求； c. 产品品所要求求的验证证、确认认、监视视、测量量、检验验和试验验活动，以以及产品品接收准准则；

44、d. 为实实现过程程及其产产品满足足要求提提供证据据所需的的记录。对应用于特特定产品品、项目目或合同同的质量量管理体体系、IIT服务务管理体体系和信信息安全全管理体体系的过过程（包包括产品品实现过过程）和和资源，通通过制定定计划的的方法进进行规定定。在公司ITT服务业业务中，服服务产品品实现的的策划，一一方面通通过新新服务和和服务变变更管理理手册对对现有服服务产品品进行变变更或研研发新的的服务产产品；另另一方面面，通过过服务务级别管管理手册册及事件管管理手册册，对对服务产产品的执执行过程程进行策策划。7.2 与与顾客有有关的过过程7.2.11 与产产品有关关要求的的确定公司应确定定产品的的要求

45、，要要求由以以下方面面构成：1) 客户户规定的的要求，包包括对交交付和交交付后活活动的要要求，交交付后的的活动包包括诸如如担保条条件下的的措施、合合同规定定的维护护服务、附附加服务务（回收收或最终终处置）等等；2) 客户户虽未明明确提出出，但规规定的或或预期的的用途所所必需的的要求；3) 与产产品有关关的国家家法令法法规、行行业规定定的要求求；4) 公司司认为必必要的附附加要求求（注：此要求求不得与与前3项项要求的的任何一一项有抵抵触）。7.2.22 与产产品有关关的要求求的评审审与客户进行行有效的的沟通，充充分且正正确的了了解客户户的要求求和期望望，确保保公司有有能力实实现客户户的要求求，以

46、达达到用户户满意。公司应评审审与产品品有关的的要求。评评审应在在组织向向顾客作作出提供供产品的的承诺之之前进行行（如：提交标标书、接接受合同同或订单单及接受受合同或或订单的的更改），并并应确保保：a. 产品品要求得得到规定定；b. 与以以前表述述不一致致的合同同或订单单的要求求已予解解决；c. 组织织有能力力满足规规定的要要求。评审结果及及评审所所引起的的措施的的记录应应予保持持。若顾客提供供的要求求没有形形成文件件，公司司应在接接收顾客客要求前前应对顾顾客要求求进行确确认。若产品要求求发生变变更（包包括合同同以及技技术要求求等），公司应确确保相关关文件得得到修改改，并确确保相关关人员知知道已

47、变变更的要要求。 公司通通过有关关的产品品信息，如如产品目目录、产产品广告告内容进进行销售售时，应应在发布布信息前前对相关关内容进进行评审审。具体遵照供供应商管管理手册册中合合同评审审管理流流程。7.2.33 顾客客沟通为增进与客客户的沟沟通，公公司应对对以下有有关方面面进行确确定并实实施与顾顾客沟通通：a. 为客客户提供供产品信信息；b. 接收收客户的的问询、合合同或者者订单的的处理，包包括，对对其的修修改；C. 及时时获取客客户的反反馈，包包括意见见和投诉诉。公司司通过设设立投诉诉电话等等手段，建建立有效效的沟通通方法。所有客户信信息的记记录，都都应保存存并做分分析处理理，定期期向管理理层

48、报告告。所有有与质量量相关的的客户需需求、投投诉记录录、满意意度调查查的结果果和反馈馈都会通通过业务务管理过过程进行行处理和和分析。具体参见服服务报告告管理手手册、新新服务与与服务变变更管理理手册、事事件管理理手册、业业务关系系管理手手册。7.3设计计和开发根据公司的的认证范范围，本本条款已已进行删删减，列列出的目目的便于于与标准准对应。7.4 采采购7.4.11 采购过过程商务部应确确保采购购的产品品符合规规定的采采购要求求。对供供方及采采购的产产品控制制的类型型和程度度应取决决于采购购的产品品对随后后的产品品实现或或最终产产品的影影响。商务部应根根据供方方按组织织的要求求提供产产品的能能力

49、评价价和选择择供方。应应制定选选择、评评价和重重新评价价的准则则。评价价结果及及评价所所引起的的任何必必要措施施的记录录应予保保持。7.4.22 采购信信息采购信息应应表述拟拟采购的的产品，适适当时包包括：a) 产品品、程序序、过程程和设备备的批准准要求：b) 人员员资格的的要求；c) 质量量管理体体系的要要求。在与供方沟沟通前，组组织应确确保规定定的采购购要求是是充分与与适宜的的。7.4.33 采购产产品的验验证各使用部门门应确定定并实施施检验或或其他必必要的活活动，以以确保商商务部采采购的产产品满足足规定的的采购要要求。采采购完成成后，供供应商的的服务进进行监督督和评审审，定期期回顾评评审

50、供应应商是否否达到约约定的服服务级别别目标，并并对其结结果进行行分析处处理。当公司或其其顾客拟拟在供方方的现场场实施验验证时，组组织应在在采购信信息中对对拟验证证的安排排和产品品放行的的方法作作出规定定。 本公公司与产产品和服服务有关关的采购购由商务务部对采采购过程程进行控控制，具具体参见见供应应商管理理手册。7.5 生生产和服服务提供供7.5.11 生产产和服务务提供的的控制为了对生产产和服务务的运作作进行有有效的控控制，本本公司应应策划并并在受控控条件下下进行提提供，适适用时，受受控条件件应包括括：1) 根据据项目和和顾客要要求，由由各项目目承担部部门负责责公司获获得规定定产品特特性的信信

51、息，包包括隐含含的要求求及法律律法规要要求；2) 需要要时，由由项目承承担部门门制定作作业指导导书，包包括计划划编制规规范和实实施规范范等。3) 由项项目承担担部门负负责获得得、使用用和维护护生产与与服务运运作用的的设备及及软件版版本管理理，执行行相关配配置规范范等；4) 获得得和使用用监视和和测量设设备；5) 由项项目承担担部门负负责按相相关控制制文件的的要求实实施监控控活动；6) 实施施放行、交交付和适适用的交交付后活活动。本公司在为为客户提提供生产产和服务务过程具具体参见见服务务级别管管理手册册、能力力和可用用性管理理手册、设备管理手册、业务持续性管理手册、事件管理手册、问题管理手册、网

52、络安全管理手册以及备份等信息安全管理文件。7.5.22 生产产和服务务过程的的确认当生产和服服务提供供的过程程输出不不能由后后续的监监视或测测量加以以验证，致致使问题题在产品品投入使使用后或或服务已已交付后后才显现现时，组组织应对对任何这这样的过过程实施施确认。公司提供的服务过程，均需要确认，证实这些过程实现所策划结果的能力。适用时包括：a. 为过过程的评评审和批批准所规规定的准准则；b.设备的的认可和和人员资资格的鉴鉴定；c.使用特特定的方方法和程程序；d.记录的的要求；e. 再确确认。公司通过目目标指标标监控、人员资格能力、设备能力和可用行、设备符合性监督方式确认过程能力，并制定相应的作业

53、文件，进行过程确认，并记录。当公司出现下列问题时，需要再次确认：a. 信息息事件出出现严重重以上等等级；客户连连续出现现次以以上投诉诉。过程确认遵遵循能能力和可可用性管管理手册册、人人力资源源管理实实施细则则和符符合性管管理手册册等文文件。.5.33 标识识和可追追溯性为了有效识识别开发发策划、需需求分析析、设计计实现、安安装调试试、验收收交付及及维护服服务过程程中的各各项产品品，防止止混用，确确保本公公司提供供的软、硬硬件产品品的可追追溯性和和唯一标标识，实实现产品品质量保保证的明明确定位位，公司司对采购购产品的的标识进进行如下下要求：1) 入库库的采购购产品和和产品状状态采用用标签和和区域

54、进进行标识识；2) 安装装现场的的采购产产品可用用包装上上的原标标识或铭铭牌进行行标识，产产品状态态可用标标签和相相应验证证记录进进行标识识。3) 软件件产品通通过版本本和版本本说明进进行标识识。4) 人员员通过姓姓名或者者员工卡卡号标识识。)设备备通过指指示等告告警等不不同颜色色进行标标识。）项目计计划通过过审批状状态进行行标识。在有可追溯溯性要求求时，由由项目组组控制和和记录产产品的唯唯一性标标识。.5.44 顾客客财产有关部门和和人员应应爱护在在公司控控制下和和使用的的顾客财财产（包包括知识识产权和和企业以以及个人人信息），为为此，公公司针对对顾客实实物财产产会在合合同中具具体规定定了顾

55、客客财产的的识别、验验证、保保护和维维护要求求，同时时规定当当顾客财财产发生生丢失、损损坏或发发现不适适用的情情况时，应应报告顾顾客，并并保持记记录。在IT服务务项目中中，对客客户信息息资产的的管理，包包括识别别、风险险评估和和处理，将将遵循配配置管理理手册以以及信信息安全全风险管管理手册册的相相关规定定执行。7.5.55 产品品防护为防止产品品在内部部处理和和交付到到预定地地点期间间的损坏坏和质量量降低，公公司应对对产品和和产品的的组成部部分提供供防护。产产品防护护包括标标识、搬搬运、包包装、贮贮存和保保护。具具体控制制如下：1) 产品品的标识识执行77.4.3。2) 产品品搬运过过程中应应

56、做到轻轻拿轻放放，防摔摔、防碰碰、防水水，防止止野蛮装装卸。对对于大型型设备应应选择适适当的搬搬运工具具，并由由专业搬搬运人员员操作。3) 产品品的包装装一般使使用原包包装，必必要时应应内填足足够的填填充物或或增加外外包装，注注明产品品规格型型号、数数量等有有关内容容，并写写上“轻拿轻轻放”等字样样及“”标志志。包装装应确保保防止任任何物理理或功能能性的损损伤。4) 库房房储存环环境要求求防火、防防盗、防防水、防防潮、防防磁、防防鼠、防防蛀。入入库产品品要做到到先入先先出并及及时填写写相关记记录。5) 网络络及集成成系统交交付前，严严禁无关关人员随随意开机机、调试试、插拔拔接头等等。）对网络络

57、内的信信息按照照信息安安全管理理手册中中的规定定执行。7. 6 监视视和测量量设备的的控制公司应确定定需实施施的监视视和测量量以及所所需的监监视和测测量设备备，为产产品符合合确定的的要求提提供证据据。公司应建立立监视视和测量量设备控控制程序序，以以确保监监视和测测量活动动可行并并以与监监视和测测量的要要求相一一致的方方式实施施。当有必要确确保结果果有效的的场合时时，测量量设备应应做到：对照能溯源源到国际际或国家家标准的的测量标标准，按按照规定定的时间间间隔或或在使用用前进行行校准和和（或）验验证。当当不存在在上述标标准时，应应记录校校准或检检定的依依据；必要时进行行调整或或再调整整；能够识别，

58、以以确定其其校准状状态；防止可能使使测量结结果失效效的调整整；在搬运、维维护和贮贮存期间间防止损损坏或失失效；此外，当发发现设备备不符合合要求时时，应对对以往测测量结果果的有效效性进行行评价和和记录，应应对该设设备和任任何受影影响的产产品采取取适当的的措施。校准和验证证结果的的记录应应予保持持。 当计算机机软件用用于规定定要求的的监视和和测量时时，应确确认其满满足预期期用途的的能力。确确认应在在初次使使用前进进行，并并在必要要时予以以重新确确认。确确认计算算机软件件满足预预期用途途能力的的典型方方法包括括验证和和保持其其适用性性的配置置管理（技技术状态态管理）。8测量、分分析和改改进.1 总总

59、则公司策划并并实施顾顾客满意意测量、内内部审核核、产品品监视和和测量、过过程监视视和测量量、不合合格品控控制、数数据分析析、持续续改进等等过程，以以便：应策划并实实施以下下方面所所需的监监视、测测量、分分析和改改进过程程：证实与与产品要要求的符符合性；确保质质量管理理体系的的符合性性；C持续改改进质量量管理体体系的有有效性。 这应应包括对对统计技技术在内内的适用用方法及及其应用用程度的的确定。.2 监监视和测测量.2.11顾客满满意公司通过测测量、分分析客户户对公司司产品和和服务的的满意度度，不断断提高产产品和服服务质量量。客户服务部部负责牵牵头并组组织相关关部门进进行客户户满意度度的调查查与评价价，根据据对客户户要求、意意见和投投诉的调调查，进进行统计计分析，形形成统计计分析报报告，报报告相关关部门及及管理层层。针对对客户不不满意或或潜在不不满意情情况，责责任部门门应采取取相应的的纠正和和预防措措施，不不断提高高客户满满意度。具体执行业务关系管理手册中满意度调查流程。.2.22 内部部审核1）公司制制定了内内部审核核控制程程序，策划的时间间隔通过审核管理体系涉及到的各部门所开展的活动和有关结果是否符合策划的安排、标准的要求以及组织所确定的质量管理体系的要求，确保管理体系持续有效地运行，并为管理体系改进提供依据。2）按照内内部审核核控制