质量和信息安全手册.doc

1 质量和信息安全手册质量和信息安全手册 2 XXXXXXXXXXXXXXXXXXXX 公司质量和信息安全手册修改控制页公司质量和信息安全手册修改控制页公司质量和信息安全手册修改控制页公司质量和信息安全手册修改控制页 文件编号文件编号 版本号版本号 编写单位编写单位归档单位归档单位 页数页数保存期限保存期限 发布日期发布日期实施日期实施日期 日期日期 版本版本 号号 修改条款修改条款修改内容修改内容修改者修改者批准者批准者 质质 量量 和和 信信 息息 安安 全全 手手 册册 3 1 1 质量和信息安全管理手册发布令质量和信息安全管理手册发布令.7 2 2 公司简介公司简介.8 3 3 质量和信息安全手册的目的和范围质量和信息安全手册的目的和范围.9 31 质量和信息安全手册目的 .9 32 质量和信息安全管理体系适用范围 .9 4 质量和质量和信息安全管理体系文件及手册的修订信息安全管理体系文件及手册的修订.9 41 质量和信息安全管理体系文件应包括： .9 42 质量和信息安全手册的修订 .10 5 5 引用标准及术语和定义引用标准及术语和定义.10 51 引用标准 .10 52 术语和定义 .10 6 6 质量和信息安全管理体系质量和信息安全管理体系.14 61 质量和信息安全管理体系的方针及总要求 .14 611 质量和信息安全管理体系的方针和目标 .14 612 质量和信息安全管理体系总要求 .14 62 质量和信息安全管理体系应遵循的原则 .15 63 建立和管理质量和信息安全管理体系.16 631 建立质量和信息安全管理体系 .16 632 实施并运作质量和信息安全管理体系 .19 633 监控并评审质量和信息安全管理体系 .19 634 保持并持续改进质量和信息安全管理体系 .20 64 文件要求 .21 641 总则 .21 642 质量和信息安全手册 .21 643 文件和资料管理 .21 644 记录控制 .22 7 管理职责管理职责.22 71 CEO 承诺 22 72 公司的组织机构图 .23 73 职责和权限24 731 质量和信息安全管理体系组织结构 24 732 XXXXX 公司质量和信息安全管理体系组织结构组成人员： 25 733 信息安全管理体系的职责： 26 74 质量和信息安全管理体系职责分配表 .31 8 8 质量和信息安全管理体系内部审核质量和信息安全管理体系内部审核.35 81 目的 .36 82 适用范围 .36 83 程序概要36 831 编制审核计划 36 832 审核前的准备 36 833 审核实施 37 834 审核报告 37 835 审核报告内容 38 836 内审报告需提交管理评审，作为管理评审的依据之一。 .38 质质 量量 和和 信信 息息 安安 全全 手手 册册 4 837 内审记录（内审实施计划、签到表、检查表、审核记录、不合格项统计表、内审报告）由 ISO 工作 组保存。 .38 84 质量和信息安全记录38 9 9 质量和信息安全管理体系管理评审质量和信息安全管理体系管理评审.38 91 目的 .38 92 适用范围 .39 93 职责 .39 94 程序概要 .39 941 总则 39 942 管理评审输入内容 39 943 管理评审输出内容 40 944 管理评审程序 40 945 信息安全记录 41 1010 质量和信息安全管理体系的改进质量和信息安全管理体系的改进.41 101 目的 .41 102 适用范围 .41 103 职责 .42 104 程序 .42 1041 持续改进的技术与机会 .42 105 纠正措施.43 106 预防措施 .43 107 质量和信息安全记录 .44 1111 文件控制程序文件控制程序.44 111 总则44 1111 目的 44 1112 范围 44 112 职责45 113 文件控制程序 .45 1131 文件控制要求 .45 1132 文件的分类、编制、审核、批准的控制： .45 1133 文件管理 .46 1212 记录控制程序记录控制程序.46 121 目的46 122 信息安全记录控制程序46 1313 资源管理资源管理.47 131 资源的提供47 1311 总则 47 1312 适用范围 47 1313 职责 47 1314 要求 48 132 人力资源控制程序48 1321 目的 48 1322 适用范围 48 1323 程序概要 48 1324 质量记录 49 133 质量和信息安全职责50 质质 量量 和和 信信 息息 安安 全全 手手 册册 5 134 质量和信息安全培训、意识和能力 .50 135 设施和设备管理程序 .50 1351 目的 50 1352 适用范围 50 1353 职责 51 1354 程序概要 51 1355 支持性文件 51 1356 质量和信息安全记录 52 136 工作环境 .52 1361 目的 52 1362 适用范围 52 1363 职责 52 1364 环境控制要求 52 1365 支持性文件 53 1414 产品实现产品实现.53 141 产品实现的策划.53 1411 目的 .53 1412 适用范围 .53 1413 职责 .53 1414 程序概要 .53 1415 支持性文件 .54 1416 质量记录 .54 142 与顾客有关的过程控制程序.55 1421 目的 .55 1422 适用范围 .55 1423 职责 .55 1424 程序概要 .55 1425 质量记录 .57 143 设计开发控制程序.57 1431 目的 .57 1432 适用范围 .57 1433 职责 .57 1434 程序设计 .58 1435 质量记录 .59 144 采购控制程序.59 1441 目的 .59 1442 适用范围 .60 1443 职责 .60 1444 程序概要 .60 1445 质量记录 62 145 生产和服务的运作.62 1451 总则 62 1452 适用范围 63 1453 职责 63 1454 程序 63 1515 监视和测量装置的控制程序监视和测量装置的控制程序.65 151 总则.65 152 适用范围.65 质质 量量 和和 信信 息息 安安 全全 手手 册册 6 153 职责.65 154 程序.66 155 质量记录.66 质质 量量 和和 信信 息息 安安 全全 手手 册册 7 1 1 质量和信息安全管理手册发布令质量和信息安全管理手册发布令 质量和信息安全管理手册发布令质量和信息安全管理手册发布令 本质量和信息安全管理手册(以下简称手册)第 A1 版是公司按照 G ISO/IEC 9001:2000 ISO/IEC 27001:2005信息安全管理体系要求 ，并结合我们公司管理工作的实践和公司组织机 构的设置而编写的，体现了公司对质量和信息安全的承诺及持续改进的要求。 本手册贯穿了公司质量和信息安全管理体系各条款的要求，符合我公司的实际运作情况， 可作为向客户及第三方组织提供质量和信息安全保证和进行质量和信息安全管理体系审核的依 据，全体员工必须严格遵照执行。 现予以批准，同意发布实施。 CEO： 批准日期：2008 年 6 月 2 日 质质 量量 和和 信信 息息 安安 全全 手手 册册 8 2 2 公司简介公司简介 XXXXX 公司是一家领先的一体化业务流程外包服务公司，主要服务于银行、保险、电信 和医疗保健行业，解决他们对关键数据和文档处理的迫切需求，并以其对数据安全和准确性的 高度关注享誉业界。XXXXX 公司立足中国、面向全球，充分利用中国丰富的人力资源优势， 高度发达的电信设施以及成熟的技术方案，为日益扩大的全球客户群提供专业的服务。 XXXXX 公司公司前身为珠海银网数据处理有限公司，自 1998 年成立以来，每年都有长足 的进步。自 2003 年起，公司由系统集成商向外包服务商转型，致力于成为中国乃至整个亚太地 区银行和保险行业最大的业务流程外包服务公司。公司运营和市场总部设在北京，其中北京数 据处理中心于 2004 年 9 月投入运作，上海数据处理中心于 2006 年 7 月建成并投入运作。 我们的使命：致力于利用规模效益和和技术解决方案，帮助客户降低运作成本。XXXXX 公司凭借低成本的专业人才、先进的软件技术、现代化的设施以及深厚的行业流程专长，为客 户带来明显可见的成本节省。 我们的核心价值：我们为客户提供更安全，更准确，更快捷，更便宜更安全，更准确，更快捷，更便宜的数据处理解决方案， 帮助他们专注核心业务，降低运营成本。 XXXXX 公司采用创新的商业模式，革命性地把传统上离散的、小规模和作坊式数据处理业 务转化为大规模的工业化生产，并利用现代通讯技术环境和成熟的数据录入系统，使得数据录 入可以把成百上千的数据录入人员集中在一个大规模的作业中心，在统一的数据录入系统上同 时作业，真正为客户提供更安全，更准确，更快捷，更便宜的服务。 通讯地址： 北京市 XXX 邮政编码：101300 电话： 010-XXX 传真： 010- 网址： www.XXXXX 公司.com 质质 量量 和和 信信 息息 安安 全全 手手 册册 9 3 3 质量和信息安全手册的目的和范围质量和信息安全手册的目的和范围 31 质量和信息安全手册目的质量和信息安全手册目的 本手册是依据 ISO/IEC 9001:2000 和 ISO/IEC 27001:2005质量和信息安全管理体系要求 和 XXXXX 公司的实际情况相结合编制而成，用于建立、健全本公司质量和信息安全管理体系， 确定质量和信息安全方针，对质量和信息安全风险进行有效管理，确保全体员工理解并遵照执 行质量和信息安全管理体系文件、持续改进质量和信息安全管理体系的有效性，保证公司的质 量和信息安全，证实公司有能力稳定地提供满足客户的符合法律、法规的安全要求，并通过体 系的有效应用，包括持续改进和预防不安全的过程而达到公司管理层和客户满意，在合同条件 下向客户和第三方证明我公司的信息安全管理体系能满足规定的安全标准。 32 质量和信息安全管理体系适用范围质量和信息安全管理体系适用范围 XXXXX 公司质量和信息安全管理系统涵盖的范围包括业务流程外包服务（包括数据捕 捉，图像处理，图像及数据的储存、提取、电话查询和电话销售等），业务流程外包软件 的开发和维护，及与以上业务有关联的工具和设施。此范围定义符合最新版本的应用声明。 4 质量和质量和信息安全管理体系文件及手册的修订信息安全管理体系文件及手册的修订 41 质量和信息安全管理体系文件应包括：质量和信息安全管理体系文件应包括： 质量和信息安全手册 信息安全策略文件； 本标准所要求编制的程序文件； 为确保质量和信息安全管理体系的有效运行，规定编制相关文件； 公司要求建立的质量和信息安全记录。 质质 量量 和和 信信 息息 安安 全全 手手 册册 10 42 质量和信息安全手册的修订质量和信息安全手册的修订 公司 ISO 工作组负责组织质量和信息安全手册的修订，手册的修订根据 XXXXX 公司的实 际情况，可对整章或个别条款进行修订。如遇下列情况可考虑换版： XXXXX 公司质量和信息安全管理体系的组织机构有较大变化时； 手册的依据标准、法规有较大修改时； 公司所处的环境业务范围发生重大变化时； 公司的质量和信息安全方针和目标有所变更时； 某个章节修改次数在九次以上时。 5 5 引用标准引用标准及术语和定义及术语和定义 51 引用标准引用标准 ISO/IEC 9001:2000质量管理体系要求 GB/T19000-2000 质量管理体系要求 ISO/IEC 17799：2005信息技术安全技术-信息安全管理实施细则 ISO/IEC 27001:2005信息安全管理体系要求 52 术语和定义术语和定义 本手册采用 ISO/IEC 9001:2000、ISO/IEC 27001:2005、GB/T19000-2000质量管理体系基本原 理和术语的术语和定义中的术语和定义。 要求 明示的、通常隐含的或必须履行的需求或期望。 顾客满意 顾客对其要求已被满足的程度的感受。 质量和信息安全管理体系 在质量和信息安全方面指挥和控制组织的管理体系。 质质 量量 和和 信信 息息 安安 全全 手手 册册 11 方针 由组织的最高管理者正式发布的该组织总的质量和安全宗旨和方向。 目标 在质量和信息安全管理方面,所追求的目的。 持续改进 增强满足要求的能力的循环活动。 顾客 接受产品的组织或个人。 供方 提供产品的组织或个人。 组织 职责、权限和相互关系得到安排的一组人员及设施。 相关方 与组织的业绩或成就有利益关系的个人或团体。 过程 一组将输入转化为输出的相互关联或相互作用的活动。 产品 过程的结果。 可追溯性 追溯所考虑对象的历史、应用情况或所处场所的能力。 预防措施 为消除潜在不合格或其他潜在不期望情况的原因所采取的措施。 纠正措施 为消除已发现的不合格或其他不期望情况的原因所采取的措施。 手册 规定组织的质量和安全管理体系的文件。 审核 为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独 质质 量量 和和 信信 息息 安安 全全 手手 册册 12 立的并形成文件的过程。 评审 为确定主题事项达到规定目标的适宜性、充分性和有效性所进行的活动。 记录 阐明所取得的结果或提供所完成活动的证据的文件。 规范 阐明要求的文件。 资产 对组织有价值的任何事物。 ISO/IEC 13335-1:2004 可用性 已授权实体一旦需要就可访问和使用的特性。 ISO/IEC 13335-1:2004 保密性 使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。 ISO/IEC 13335-1:2004 信息安全 保持信息的保密性、完整性和可用性；另外，还可能包括真实性、可核查性、抗抵赖和 可靠性。 ISO/IEC 17799：2005 质量和信息安全事情 系统、服务或网络状态已经确认发生显示可能违背质量和信息安全方针或安全故障，或 可能与质量或安全相关的以前未知的情况 质量和信息安全事件 单一或一系列不必要的或不期望的有危及业务运作和威胁信息安全的重大可能的质量和 信息安全事件 质量和信息安全管理体系(XXX) 组织整个管理体系的一部分，以业务风险方法为基础，建立、实施、运作、监视、评审、 保持并持续改进质量和信息安全。 注：管理体系包括：组织结构、方针、计划活动、职责、规范、程序、过程和资源。 完整性 质质 量量 和和 信信 息息 安安 全全 手手 册册 13 保护资产准确性和完备性的特性。 ISO/IEC 13335-1:2004 剩余风险 经过风险处理后残留的风险。 ISO/IEC 73 指南:2002 风险接受 接受某一风险的决定。ISO/IEC 73 指南:2002 风险分析 系统的使用信息，以识别来源并估计风险。ISO/IEC 73 指南:2002 风险评估 整个风险分析和风险评价过程。ISO/IEC 73 指南:2002 风险评价 依据给定的风险准则比较已估计的风险，以确定风险严重程度的过程。ISO/IEC 73 指 南:2002 风险管理 指导并控制组织有关风险的协调的活动。ISO/IEC 73 指南:2002 风险处理 选择并实施措施以降低风险的过程。ISO/IEC 73 指南:2002 适用性声明 描述关于并适用于组织的 XXX 的控制目标和控制措施的文件。 注：控制目标和控制措施是建立在风险评估和处理过程的结果和结论、法律法规要求、 合同义务和组织的质量和信息安全业务要求的基础上。 有关缩写的术语 ISO-国际标准化组织 IEC-国际电工委员会 GB-国家标准 XXX-质量和信息安全管理体系 XXX-XXXXXXXX 质质 量量 和和 信信 息息 安安 全全 手手 册册 14 6 6 质量和信息安全管理体系质量和信息安全管理体系 61 质量和信息安全管理体系的方针、质量目标及总要求质量和信息安全管理体系的方针、质量目标及总要求 6 61 11 1 质量和信息安全管理体系的方针质量和信息安全管理体系的方针和质量目标和质量目标 满足对客户的质量和安全承诺要求，为客户提供更安全，更准确，更快捷，更便宜的数据满足对客户的质量和安全承诺要求，为客户提供更安全，更准确，更快捷，更便宜的数据 处理服务，保护客户数据和公司秘密，保持业务持续性及实施风险管理，确保信息安全，实现处理服务，保护客户数据和公司秘密，保持业务持续性及实施风险管理，确保信息安全，实现 质量和信息安全管理体系的持续改进。质量和信息安全管理体系的持续改进。 为评估质量方针的落实程度，本公司将之转化为下述可衡量的指标为评估质量方针的落实程度，本公司将之转化为下述可衡量的指标- - 物理件差错率物理件差错率1000PPM1000PPM 录入差错率录入差错率100PPM100PPM 6 61 12 2 质量和信息安全管理体系总要求质量和信息安全管理体系总要求 公司依据 ISO/IEC 9001:2000 和 ISO/IEC 27001:2005 标准的要求，建立、实施、运行、监 视、评审、保持和改进质量和信息安全管理体系;公司全体员工将有效地贯彻执行并持续改进有 效性，对过程的应用和管理详见质量和信息安全管理体系过程模式图 （图 1） 。 输入输出 相关方 质量和信 息安全的 要求和期 望 相关方 质量和 信息安 全的管 理 建立 ISMS 实施和 运行 ISMS 保持和 改进 ISMS 监视和评 审 ISMS PlanPlan DoDo CheckCheck ActionAction 图 1 质量和信息安全管理体系过程模式图 质质 量量 和和 信信 息息 安安 全全 手手 册册 15 质量和信息安全管理体系是在公司整体经营活动和经营风险架构下，针对质量和信息安全风险 的管理体系； 62 质量和信息安全管理体系应遵循的原则质量和信息安全管理体系应遵循的原则 本公司的质量和信息安全管理体系文件采用系统方式进行管理，建立以顾客和客户数据保 护、BPO 业务持续性和公司秘密的保护为关注焦点，实施、保持并持续改进的质量和信息安全 管理体系，为促进质量和信息安全目标的实现，各项质量和信息安全工作均须遵循以下质量和 信息安全管理原则。 以顾客为关注焦点和满足对客户的安全承诺要求 领导作用 全员参与 过程方法 管理的系统方法 持续改进 基于事实的决策方法 与供方互利关系 满足对客户的安全承诺要求 保证业务的持续性 保证客户数据不被泄露 保证公司秘密不被泄露 PDCA 方法 风险评估的方法 质质 量量 和和 信信 息息 安安 全全 手手 册册 16 63 建立和管理建立和管理质量和信息安全管理体系质量和信息安全管理体系 6 63 31 1 建立建立质量和信息安全管理体系质量和信息安全管理体系 我们通过计算机硬件及软件及网络设备为金融客户提供业务服务，因此，质量和信 息安全保证对客户的承诺是最重要的事情。为了保证给客户提供高质量和更加安心的服务，公 司依据 ISO/IEC9001:2000 和 ISO/IEC27001:2005 标准，建立质量和信息安全管理体系： 1) 在公司内各层次建立完整的质量和信息安全管理组织机构，确定质量和信息安全方针、 目标和控制措施，明确质量和信息安全的管理职责； 2)识别并满足适用法律、法规和客户等相关方的质量和信息安全要求； 3)定期进行质量和信息安全的风险评估，管理评审，采取纠正预防措施，保证体系的持续 有效性； 4)采用先进有效的设施和技术，处理、传递、储存和保护客户及各类保密信息； 5)对全体员工进行持续的质量和信息安全教育和培训，不断增强员工的质量和信息安全意 识和能力； 6)制定并保持完善的业务连续性计划，实现可持续发展。 7)对于质量和信息安全基本方针的适用性、充分性，结合实际状况定期评审，必要时予以 修订。 公司根据质量和信息安全管理体系方针制定各种策略。 上述方针由公司质量和信息安全最高责任者 CEO 批准发布，并定期评审其适用性、充分性， 必要时予以修订。 定义公司质量和信息安全风险评估方法。 公司 ISO 工作组负责建立质量和信息安全风险评估管理程序并组织实施。 质量和信息安全风险评估管理程序包括可接受风险准则和可接受水平。 1) 识别适用于 XXX 和已经识别的质量和信息安全、法律和法规要求的风险评估方 法。 2) 建立接受风险的准则并识别风险的可接受等级 。 选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。 质质 量量 和和 信信 息息 安安 全全 手手 册册 17 3) 公司的质量和信息安全风险评估的流程 资产识别-重要资产（通过资产评估标准）-资产的风险评价（威胁识别和评 价）-薄弱点识别和评价（对应威胁）-确认已经采取的控制措施确定风险等级 （风险等级评价原则） 识别风险： 1) 识别 XXX 控制范围内的资产以及这些资产的所有者；在已确定的 XXX 范围内，对 所有的资产进行列表识别。资产包括文档/数据、软件/系统、硬件/设施及人力资源。 对每一项资产，根据重要资产判断依据确定是否为重要资产，形成资产识别表 。 2) 识别对这些资产的风险，一项资产可能面对若干个风险； 3) 识别资产的脆弱性，一项脆弱性也可能面对若干个风险； 4) 识别保密性、完整性和可用性损失可能对资产造成的影响。 解释： “所有者”代表已被授权的个人或实体，对资产的生产、开发、维护、使用、 安全负有管理责任。 “所有者”不代表个人对资产具有真正的财产权。 分析并评价风险： 1) 针对每一项重要资产，参考质量和安全威胁性参考表及以往的质量和安全事 故（事件）记录、资产所处的环境等因素，识别出所有重要资产所面临的风险； 2) 针对每一项风险，考虑现有的控制措施，参考质量和信息安全脆弱性参考表 识别出被该威胁可能利用的风险点； 3) 综合考虑以上 2 点，按照事件发生可能性等级対照表中的处理准则对每一个 威胁发生的可能性进行赋值；按照后果等级对照表对威胁发生的后果进行赋值； 4).根据事件可能影响程度等級対照表 ，判断一个威胁发生后可能对资产在保密性 (C)、完整性(I)和可用性(A)方面的损害，进而对公司业务造成的影响，来给威胁影 响赋值,取 C、I、A 的最大值为威胁影响程度的赋值。 5).风险大小计算考虑威胁产生质量和安全故障的可能性及其所造成影响程度两者的 结合，根据质量和信息安全风险矩阵计算表来得到风险等级； 6).对于质量和信息安全风险，在考虑控制措施与费用平衡的原则下制定质量和信 息安全风险接受准则 ，按照该准则确定何种等级的风险为不可接受风险。 识别并评价风险处理的选择： 质质 量量 和和 信信 息息 安安 全全 手手 册册 18 对于质量和信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施： 1) 应用适当的控制以降低风险：这可能是降低事件发生的可能性，也可能是降低安 全失败(保密性、完整性或可用性丢失)的业务损害。 2) 如果能证明风险满足公司的方针和风险接受准则，有意的、客观的接受风险；一 般针对那些不可避免的风险，而且技术上、资源上不可能采取对策来降低，或者降低 对公司来说不经济。 “接受风险”是针对判断为不可接受的风险所采取的处理方法， 而不是针对那些低于风险接受水平的本来就可接受的风险。 3) 避免风险；对于不是公司的核心工作内容的活动，公司可以采取避免某项活动或 者避免采用某项不成熟的产品技术等来回避可能产生的风险。 4) 将有关的业务风险转移到其他方，例如保险公司、供方。 各部门应组织有关部门根据风险评估的结果，形成风险处置计划 ，该计划应明确 风险处理责任部门、方法及时间。 为风险的处理选择控制目标与控制措施。 应选择并实施控制目标和控制措施，以满足风险评估和风险处理过程所识别的 要求。选择时，应考虑接受风险的准则以及法律法规和合同要求。公司 ISO 工作组 根据质量和信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定质 量和信息安全目标，并将目标分解到有关部门。质量和信息安全目标应获得信息安 全最高责任者的批准。 从附录 A 中选择的控制目标和控制措施应作为这一过程的一部分，并满足上述 要求。公司也可根据需要选择另外的控制目标和控制措施。 注：附录 A 包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准 用户可将附录 A 作为选择控制措施的出发点，以确保不会遗漏重要的控制可选措施。 获得最高管理者对建议的剩余风险的批准，剩余风险接受批准应该在重要资产评 估表上留下记录。 获得管理者对实施和运行 XXX 的授权。XXX 管理者代表的任命和授权、XXX 文档的签 署可以作为实施和运作 XXX 的授权证据。 质质 量量 和和 信信 息息 安安 全全 手手 册册 19 准备适用性声明，内容应包括： 1)所选择的控制目标和控制措施，以及选择的原因； 2)当前实施的控制目标和控制措施； 3)附录 A 中控制目标和控制措施的删减，以及删减的理由。 注：适用性声明提供了一个风险处理决策的总结。通过判断删减的理由，再次确认控 制目标没有被无意识的遗漏。 632 实施并运作实施并运作质量和信息安全管理体系质量和信息安全管理体系 为确保质量和信息安全管理体系的有效实施，对已识别的风险进行有效处理，公司开 展以下活动： 制定风险处理计划阐明为控制质量和信息安全风险确定的适当的管理活动、职责以 及优先权。 为了达到所确定的控制目标，实施风险处理计划，包括考虑资金以及角色和职责的 分配，明确各岗位的质量和信息安全职责； 实施所选的控制措施，以满足控制目标。 确定如何测量所选择的一个（组）控制措施的有效性，并规定这些测量措施如何用 于评估控制的有效性以得出可比较的、可重复的结果。 注：测量控制措施的有效性允许管理者和相关人员来确定这些控制措施实现策划的控 制目标的程度。 实施培训和意识计划。 对质量和信息安全管理体系的运作进行管理。 对质量和信息安全管理体系的资源进行管理。 实施能够快速检测质量和安全事情、响应质量和安全事件的程序和其它控制。 6 63 33 3 监控并评审监控并评审质量和信息安全管理体系质量和信息安全管理体系 本公司通过实施不定期质量和安全检查、内部审核、事故报告调查处理、电子监控、定 期技术检查等控制措施并报告结果以实现： 质质 量量 和和 信信 息息 安安 全全 手手 册册 20 1）快速检测处理结果中的错误； 2）快速识别失败的和成功的质量和安全破坏和事件； 3）能使管理者确认人工或自动执行的质量和安全活动达到预期的结果； 4) 帮助检测质量和安全事情，并利用指标预防质量和安全事件； 5）确定解决质量和安全破坏所采取的措施是否有效。 定期评审质量和信息安全管理体现的有效性（包括质量和安全方针的符合性，对质量和 安全控制措施的评审） ，考虑质量和安全审核、事件、有效性测量的结果，以及所有相关 方的建议和反馈。 测量控制措施的有效性，以证实质量和安全要求已得到满足。 按照计划的时间间隔，评审风险评估，评审剩余风险以及可接受风险的等级，考虑到下 列变化： 1) 组织机构和职责； 2) 技术； 3) 业务目标和过程； 4) 已识别的风险； 5) 实施控制的有效性； 6) 外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。 按照计划的时间间隔（不超过一年）进行 Q 5)采购合同要明确质量（保证）要求，技术标准、验收条件、违约责任等相关内容 6)采购合同需经公司 COO 批准 7)具体的采购由人力资源/行政部门依据采购计划执行， 采购计划要包括采购 产品的名称、型号（或规格等级） 、数量、交货期、单价、质量标准等事项 14444 采购信息 1.参照当前市场实际货比三家。 2.实地考察供方，注意供货能力、产品质量、价格、交货时间，以及供方物流能力(包括 厂地资源)，对法律法规的遵守情况，财务状况等。 质质 量量 和和 信信 息息 安安 全全 手手 册册 56 14445 采购物资设备的验证 1.采购物资设备的验证按合同规定进行，需要在供方处对采购物资进行验证时，应在采 购合同中说明验证的具体事项，以及产品放行的方式。 2.采购物资到货后，由人力资源/行政部门和需求部门指定的专职检验员进行检验或验证， 填写相应的检验记录表。 3.检验方式根据外购物资的种类分别采用下列方式之一。 1)重要物资进行百分之百检验； 2)一般物资和辅助物资外观验证的方法进行检验，必要时进行抽样检验。 4.全数检验时，必须全部合格。抽样检验时，不合格数比例不超过抽样母体总数的 1%， 则视为检验合格。不合格数比例超过抽样母体总数的 1%，则应加倍抽样检验，若此时 不合格比例不超过 1%，则视为抽样检验合格，若不合格比例仍超过 1%，则视为抽样 检验不合格。 14446 供方质量的监控 1.包括供方质量体系及评价资料、检验数据、产品合格证、质量证明书等分类存档，妥 善保管。 2.同一供应商，同一产品，连续两批不合格，人力资源/行政部部向其发出整改通知，要 求其分析原因，采取措施改善质量。无明显改善的取消其合格供方资格。 3.人力资源/行政部部门要考察供方规模实力、机器设备、生产能力、技术能力、检验仪 器、原材料品质、体系认证、经营业绩。 1445 质量记录质量记录 1.供方质量保证能力调查表 2.合格供方名录 3.供方评价表 4.采购计划 5.项目采购单 6.供方业绩评定表 7.物资送检、检验记录单 质质 量量 和和 信信 息息 安安 全全 手手 册册 57 1414 5 5 生产和服务的运作生产和服务的运作 1451 总则总则 对过程中影响产品（服务）质量的各个因素进行控制，确保产品（服务）质量满足顾客和 法规的要求。 1452 适用范围适用范围 适用于本公司产品（服务）形成全过程的控制。 1453 职责职责 1.运营服务部及各运营中心： 1)负责组织进行生产（服务）和过程控制、编制生产计划； 2)负责产品（服务）实现的具体实施。负责录入数据的防护和管理； 3)负责对实现产品（服务）符合性所需的设施、工作环境进行控制。 2.IT 部： 1)负责保障满足产品（服务）实现的数据综合处理系统以及其它相关 IT 系统的正常 运行； 2)负责保障满足产品（服务）