IT服务与信息安全管理手册45

1、山东瀚高科技有限公司管理体系管理手册山东瀚高科技有限公司文档发布信息文档名称：管理手册文档编号：L1-MM版本号：2.0保密级别：内部使用级拟制人：张春志审核人：常瑞东、孟祥辉、卢健、张鲁敏、木乐、刘学春、母晓明、 韩志平发布范围：公司管辖的所有部门发布日期：2011.11.28批准人：苗健注1:修订类别分为：A 新建/增加、M 修订、D 删除修订记录版本号修订日期修订人类别修订说明1.02011.3.1张春志M2.02011.11.28张春志M换版目录颁 布 令 . I任 命 书 . II管理方针和目标 . 1山东瀚高有限公司简介 . 2山东瀚高有限公司组织结构图 . 31目的和范围 . 3

2、1.1目的 . 错误！未定义书签。1.2范围 . 32引用标准 . 43术语和定义 . 54管理体系要求 . 54.1总要求 . 54.1.1管理架构 . 84.1.2管理体系运作机制 . 84.2管理体系文件 . 104.2.1总则 . 错误！未定义书签。4.2.2质量手册 . 错误！未定义书签。4.2.3文件控制 . 11124.2.4记录和资料控制 . 135管理职责 . 135.1管理承诺 . 135.2以顾客为关注的焦点 . 135.3质量方针 . 135.4策划 . 135.4.1质量方针 . 155.4.2质量管理体系策划 . 155.5职责、权限和沟通 . 135.5.1职责和

3、权限 . 155.5.2管理者代表 . 155.5.3内部沟通 . 165.6管理评审 . 165.6.1总则 . 165.6.2评审输入 . 175.6.3评审输出 . 177.4.1 采购过程 .错误！未定义书签。7.5.5 产品防护 .24错误！未定义书签7.4.4 顾客财产253233366资源管理 . 1886.2.1资源的提供 . 186.2.2人力资源 . 1986.2.3基础设施 . 196.2.4工作环境 . 197产品实现 . 197.1产品实现的策划 . 197.2与顾客有关的过程 . 207.2.1与产品有关要求的确定 . 207.2.2与产品有关的要求的评审 . 20

4、7.2.3顾客沟通 . 217.3设计和开发 . 217.4采购 . 217.4.2采购信息 . 217.4.3采购产品的验证 . 227.4生产和服务提供7.5.1生产和服务提供的控制 . 227.5.2生产和服务过程的确认 . 237.5.3标识和可追溯性 . 2324 错误！未定义书签。7.6监视和测量装置控制8测量、分析和改进 . 258.1总则 . 258.2监视和测量 . 268.2.1客户满意度 . 268.2.2内部审核 . 278.2.3过程的监视和测量 . 278.2.4产品的监视和测量 . 288.3不合格品控制 . 288.4数据分析 . 298.4.1数据来源 . 2

5、98.4.2数据的收集和分析 . 298.5持续改进 . 308.5.1持续改进 . 3085.2纠正措施 . 308.5.3预防措施 . 31附录 A 管理方针释义 . 32附录 B 2011 年度管理目标 附录 C 质量管理体系过程职责分配表附录 D 管理体系文件清单颁布令为提高山东瀚高科技有限公司IT服务管理和信息安全管理水平，规范化运行管理，山东瀚高科技有限公司依据GB/T 19001-2008 idt 09001:2008 质 量管理体系 要求、IS0/IEC20000-1:2005 In formatio n tech no logy - Service ma nageme nt

6、- Part Specification、ISO/IEC 27001:2005 In formation tech no logy - Security tech niq ues In formatio n security man ageme nt systems -requirements，结合公司实际情况建立符合以上标准规范要求的管理体系。管理手册阐述了山东瀚高科技有限公司有关IT服务管理、服务质量管理、信息安全管理的管理方针，是规范山东瀚高科技有限公司服务管理与信息安 全管理的纲领性文件，是建立、实施、评测、改进管理体系的指导性文件。本手册在编制过程中坚持符合性、 适宜性和有效性的统一

7、，并广泛征求意见 修订成稿，现予以发布，自发布日起正式生效实施。 山东瀚高科技有限公司全体 员工应认真学习、熟知本手册内容，并严格执行本手册的各项规定和要求。本手册将根据内、外部环境的变化适时进行评审、修改和完善。此令!山东瀚高科技有限公司总经理：苗健2011年11月28日山东瀚高科技有限公司“管理者代表”任命书为了贯彻执行GB/T 19001-2008 idt 09001:2008质量管理体系要 求、ISO 9001:2008 Quality management systems - Requirements、 ISO/IEC 20000-1:2005 In formation tech n

8、ology - Service ma nageme nt - Part 1:Specificati on、ISO/IEC 27001:2005 In formation tech no logy - Security techniques Information security management systems - requirements，力卩强对管理体系运作的领导，确保山东瀚高科技有限公司管理体系的建立、实施、 运作、监视、评审、保护和改进，特任命常瑞东 为山东瀚高科技有限公司管理者代表。管理者代表的职责和权限是：1.代表总经理负责按标准要求建立、实施、运作、监视、评审、持续改山 东

9、瀚高科技有限公司的管理体系，实现公司的服务管理，质量管理与信 息安全管理方针和目标；2.协助总经理开展管理评审，并向总经理报告管理体系业绩和改进需求；3.负责组织山东瀚高科技有限公司管理手册的编写、修订和审核工作；4.确保在整个山东瀚高科技有限公司内提高满足客户要求的意识；5.负责提出资源配置以实现IT服务的交付和管理；6.负责协调和管理所有的IT服务管理工作；7.负责协调和管理所有的质量管理工作；8.提高公司全体人员的信息安全意识；9.负责公司管理体系有关事宜的外部联络工作。山东瀚高科技有限公司总经理：苗健管理方针和目标管理方针顾客至上、安全第一、质量为本、持续改进管理目标安全可靠 ：保证山

10、东瀚高科技有限公司各项业务的安全运行，达 到行业领先的高可用性，是压倒一切的管理要求。客户满意 ：以专业和完善的服务，达到行业领先的服务水平，实 现客户满意。效率和效益 ：在确保安全可靠和客户满意的前提下，以诚信合作 的精神和专业的技能，达成高效率和高效益。管理政策推进“流程化管理、标准化服务、高素质团队、高效率运作”的 体系建设；向客户提供安全、可靠和稳定的信息系统管理服务，并持 续优化服务质量。服务理念超越客户的期望值。批准：苗健2011 年 11 月 28 日关于管理方针的释义见本文件附录 A 部分山东瀚高科技有限公司简介山东瀚高科技有限公司成立于 2005年，是国内领先的基础软件服务提

11、供 商。公司自成立以来一直致力于基础软件的研发、销售、服务和培训业务，瀚高 和各大国际知名厂商密切合作，建立了具有国内领先水平的技术工程师团队，开创了基础软件综合服务产品化的先河，研发了具有自主知识产权的服务管理软 件，建立并完善了综合服务管理系统。秉承 专注数据服务，共享你我智慧”的理 念，以数据为中心开展数据备份、容灾、数据仓库、数据综合利用等各项服务， 瀚高将会一如既往的在数据平台服务领域加大投入，通过组织和业务流程的标准 化，实现产品和服务的专业化，不断提高自身竞争力，巩固在业界的领先地位， 引领数据服务产品化的潮流。主要服务：数据库基础软件中间件BI的实施与咨询服务资源：优秀的管理和

12、技术团队 规范、专业的IT服务管理流程和信息安全管理规范山东瀚高有限公司组织结构图1目的和范围1.1目的山东瀚高为了规范公司的内部运作，安全、及时、准确地为客户提供服务，确保服务品质和信息安全，并注重持续改进，以期实现客户满意，而建立的运行管理体系符合以下标准规范的全部要求：GB/T 19001-2008 idt ISO 9001:2008ISO/IEC20000-1:2005ISO/IEC 27001:20051.2范围本手册适用于:山东瀚高下属的各部门;8) ISO/IEC 27002:2007信息技术 -安全技术 -信息安全管理实施指南公司所在驻地：济南市舜华路 2000 号舜泰广场 8

13、 号楼西 19 层(北向) 山东瀚高科技有限公司根据山东瀚高的业务特点，对 GB/T 19001-2008 idt ISO 9001:2008 、 ISO/IEC20000-1:2005 以及 ISO/IEC 27001:2005 标准中不适用于本公司 的部分条款作了删减。由于公司为客户提供服务活动，为常规业务，不 涉及到 7.3 设计和开发，故对 7.3 删除。上述条款的删除，不免除公司 满足法律法规和客户要求的责任。 ISO/IEC20000-1:2005 以及 ISO/IEC 27001:2005删减详见L1-SOA-适用性声明-V1.0。山东瀚高管理体系适用于与数据备份、容灾、数据仓库

14、、数据综合利用 的服务相关的管理活动。2引用标准本手册引用或依据下列相关国家 /国际标准， 当该标准增补或修订时， 使用标 准的最新版本：1)GB/T 19001:2008 质量管理体系要求2)GB/T 19000:2008 质量管理体系基础和术语3)ISO 9001:2008 Quality management systems - Requirements 4)ISO 9000:2008 Quality management system - Fundamentals and vocabulary 5)ISO/IEC 20000-1:2005IT 服务管理第一部分：服务管理规范6)ISO/

15、IEC 20000-2-2005IT 服务管理第二部分：服务管理实践守则7)ISO/IEC 27001:2005信息技术 -安全技术-信息安全管理体系 -要求3术语和定义本手册采用 GB/T 19000-2008 idt ISO 9001:2008 、ISO/IEC 20000-1:2005 、ISO/IEC 27001:2005 的术语和定义。4管理体系要求4.1 总要求山东瀚高将充分遵循 GB/19000 -2008、ISO 9001:2008、ISO/IEC20000-1:2005 、 ISO/IEC 27001:2005 等标准的要求，建立、实施运行管理体系，并持续改进，以保证其有效性

16、。公司应：a)确定质量管理体系所需的过程及其在整个组织中的应用；b)确定这些过程的顺序和相互作用；c)确定为确保这些过程的有效运作和控制所需的准则和方法；d)确保可以获得必要的资源和信息，以支持这些过程的运作和监视；e)监视、测量 (适用时 )和分析这些过程；f)实施必要的措施，以实现对这些过程所策划的结果和对这些过程的持 续改进。公司应按标准的要求管理这些过程，并对对公司所选择的任何影响产品 符合要求的外包过程， 应确保对其实施控制。 对此类外包过程控制的类型和程 度应在供应商管理手册中加以规定。丄作基础 环境丨设施管理体系模式图:资源管理过程=zL保资 障源一-一资源需求资源获取资源提供-

17、二 -1胡.产品实现过程其他人力资源供方厂测量、分析、改进过程热线数据-a数据-容灾-数据服务利用町-仓储管理备份4.1.1 管理架构山东瀚高根据 GB/19000 -2008、ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005 的要求，建立符合公司业务特点的管理架构，明确各部门 / 岗位职责、沟通方式和渠道。山东瀚高设立管理者代表，确保管理体系的建立、实施和持续改进工作的 落实，管理者代表负责向公司最高管理者报告管理体系的业绩和任何改进的需 求，确保在公司内提高对客户服务意识和信息安全意识； 负责与管理体系有关事 宜的外部联络工作。山东

18、瀚高明确了管理方针、目标以及达成方针和目标的措施，并明确了管 理体系的实施范围。管理目标的有效性每年至少评价一次。山东瀚高开展管理评审和内部审核工作，评估和管理风险，持续的评估和改 进管理体系。山东瀚高明确了标准适用范围， ISO/IEC20000-1:2005 、 ISO/IEC27001:2005 记录在适用性声明文件中。4.1.2 管理体系运作机制山东瀚高在管理体系建立和维护过程中，充分遵循 GB/T 19001-2008 idtISO9001:2008 、 ISO/IEC20000-1:2005 、 ISO/IEC 27001:2005 等标准的要求，采用 PDCA 模式建立、实施和维

19、护管理体系，以保证其持续有效性，具体如下 图所示。L3工作指引L4表单记录 .管理体系L1管理手册L2程序文件打红改进ADC|H体系管理1.策划与准备（Plan）主要是做好建设管理体系的各种前期工作，包括：管理现场调查，明确IT服务管理、服务质量管理和信息安全管 理的目标，明确管理角色和管理框架的结构，建立风险评估方法， 确定管理审核和改进服务质量的方法。进行管理体系设计，根据公司管理方针和业务特点，对业务过程 进行识别，确定管理范围，明确过程控制的方法及过程之间的相 互关系和接口。对人员进行教育培训。2.建设与实施（Do）根据策划与准备阶段的结果，建立并推广、执行基于IT服务管理、服务质量管

20、理和信息安全管理的管理体系，规范运行管理以实现预期的 管理目标，为实现风险控制、评价和改进管理体系、实现持续改进提供 不可或缺的依据。3.评估审核（Check）通过对管理体系运行情况的监视、测量，定期实施内部审核，确保 管理体系下的各项管理制度得到落实，及时发现管理体系运行过程中存 在的问题，为管理体系的持续改进提供基础。4.持续改进（ Act ）建立管理体系持续改进测量，根据评估审核的结果，制定执行纠正和预防措施，进一步改进完善各项管理制度，以保证管理体系的持续有 效性，保障信息安全，提高服务管理的有效性和效率。4.2 管理体系文件4.2.1 总则管理体系充分考虑了 ISO/IEC 2000

21、0-1:2005 标准中关于新服务或变更服务 的策划实施过程、服务交付过程、关系过程、解决过程、控制过程、发布过程， 具体内容已被融合到管理体系的相关文件之中。管理体系充分考虑了 GB/ 19000-2008 idt ISO 9001:2008 标准中关于产品实现测量分析改进的内容，具体内容已被融合到管理体系的相关文件之中。质量管理体系文件应包括：a）形成文件的质量方针和质量目标（在手册中描述） ；b）质量手册；c）本标准所要求的形成文件的程序和记录；d）组织确定的为确保其过程有效策划、 运作和控制所需的文件， 包括记录4.2.2 质量手册公司编制和保持质量手册，质量手册包括：a）质量管理体系

22、的范围，包括任何删减的细节与理由（见范围） ；b）为质量管理体系建立的形成文件的程序或对其引用（见附录文件清单）；c）质量管理体系过程之间的相互作用的表述423文件控制山东瀚高依据 GB/ 19000-2008 idt ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005 标准的要求，结合公司的业务特点和实际 情况，建立和执行适宜的文件以保障管理体系的有效、高效运行，并对文件进行持续的修订完善，以保证其有效性。1公司文件体系结构：山东瀚高管理体系相关的文件由上而下分为四个阶层，如下图所示：L1管理手册L2程序文件L3工作指引L4 表单记录L

23、1第一阶层文件（简称一阶文件）：管理手册包含山东瀚高管理方针和策略，是山东瀚高管理体系的纲领性文件。一阶文件包括管理手册、适用性声明、管理体系策划。质量管理 明确了体系的范围，包括任何删减的细节与理由；描述了质量管理体系建立 所形成文件的程序或对其引用；对质量管理体系过程之间的相互作用进行表 述。L2第二阶层文件（简称二阶文件）：程序文件为达到 GB/T 19001-2008 idt ISO9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005标准要求而制定的各项管理制度、规范、流程以及相关支持性文件。L3第三阶层文件（简称三阶文件）_:工作指引用来解

24、释特殊工作和活动细节的作业指导书、实施细则和操作手册等。L4 第四阶层文件（简称四阶文件）：表单记录根据 GB/T 19000-2008 idt ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005标准的要求和体系实际运行需要，通过表单模板，对 管理体系实施的活动过程和结果的记录进行规范，形成记录文件，用于作为 管理评审、内部审核、外部审核、持续改进的客观证据。2文件控制管理体系文档建立、颁布及修订，应采取适当管控措施。管理体系文件的制定应符合公司的服务规模、产品类型、过程复杂程度、员工能力素质等实际情况，以便于理解应用。公司编制文件管理手

25、册，规定以下方面所需的控制要求：a.文件发布前得到批准，以确保文件是充分与适宜的；为文件的充分性与 适宜性，在文件发布前进行批准。b.管理体系文件应定期进行评审、修订完善，并再次批准以保持文件要求 与实际运作的一致性，充分保障文件的有效性、充分性和适宜性。c.确保文件的更改和现行修订状态得到识别；d.确保在使用处可获得有关版本的适用文件；e.确保文件保持清晰、易于识别；f.确保组织所确定的策划和运行质量管理体系所需的外来文件得到识别，并控制其分发；g.防止作废文件的非预期使用，若因任何原因而保留作废文件时，对这些文件进行适当的标识。文件可以以任何媒体形式呈现，如纸张、磁盘、光盘、照片、样片等。

26、文件的审核、发布、变更、修订、废止等，应依照文件管理手册进行管控4.2.4 记录和资料控制公司应建立及维持管理体系所要求的“记录” ，以提供为符合要求和质量 管理体系有效运行提供证据，记录应维持受控，记录应保持清晰,并易于阅读、辨识及检索查阅。记录应妥善保管，其鉴别、储存、取用、保护、保存期限、处置等事项， 应依照记录和外来文件管理手册进行管控。管理体系文档及记录， 可以以任何形式进行存放 （包括：纸本及电子文档）5管理职责5.1 管理职责公司管理层应在管理体系建立、实施、运行、监视、评审和持续改进中提供 承诺和支持，并通过各种活动完成以下工作，以确保相关各项工作的顺利开展， 并提供承诺和支持

27、的证据。1.建立符合相关标准的管理组织，包括决策层、管理层和执行层。2.制订 IT 服务管理、信息安全管理、服务质量管理的管理方针和目标。3.提供足够的资源，以保证管理体系策划、实施、运行、监视、评审、持续改进等工作的顺利开展，以建立符合 GB/19000 -2008、ISO9001:2008 、 ISO/IEC20000-1:2005 、 ISO/IEC 27001:2005 标准要求， 以及山东瀚高实际需要的管理体系。4.确立山东瀚高管理体系持续改进计划和适当的沟通计划，确保管理体系 的持续有效性，满足公司的实际运行管理需要。5.以各种方式，持续向公司全体员工传达传达符合管理目标、管理方针

28、、 满足顾客和法律法规要求以及持续改进的必要性、重要性，传达满足其 他相关方要求的重要性。6.以增进顾客满意为目的，确保顾客的各种要求得到确定并予以满足7.分配管理体系相关的角色和职责，包括指定管理者代表负责所有服务的 协调和管理。8.对山东瀚高信息资产实行有效管理，确保信息资产的机密性（C）、完整性（I）、可用性（A）。9.组织开展风险管理工作，核定风险可接受标准，对公司不能接受的风险 进行处置。10.组织建立瀚高业务连续性管理体系，以保证公司主要业务的连续，不受 重大故障和灾难的影响。11.组织对山东瀚高全体员工进行信息安全、 IT 服务管理的教育培训，提高 信息安全意识和服务意识。12.

29、组织山东瀚高管理体系的推广工作，确保所有员工理解并严格遵守各项 管理制度、 规范和程序。 确保管理体系管理评审、 内部审核工作的进行。5.2 以顾客为关注焦点总经理应以增强顾客满意为目的，确保顾客的要求得到确定并予以满足。5.3 质量方针总经理确保其制定的质量方针：a.与公司的宗旨相适应；b.包括对满足要求和持续改进质量管理体系有效性的承诺；c.提供制定和评审质量目标的框架；d.在组织内得到沟通和理解；e.最高管理者通过管理评审，对质量方针的持续适宜性进行评审。5.4.策划5.4.1 质量目标最高管理者确保：a.管理者代表根据质量方针提供的框架，组织在公司和公司内部相关的职 能、层次和岗位上建

30、立可测量的质量目标。 形成公司目标体系。 公司质量目标包 括满足产品要求所需的内容。b.质量目标由最高管理者批准， 由管理者代表组织跟踪、 监督和考核， 质量 目标通过管理评审进行评审和修订，以保证其持续适宜性。目标以及各部门分解见附录 B。5.4.2 质量管理体系策划最高管理者确保：a.为达到已确定的质量目标，由管理者代表主持对质量管理体系进行持续、全面策划和修订、变更，以满足 4.1 质量管理体系总要求的各个方面，形成并持 续改进完整的文件体系和完善的组织体系。b.在对质量管理体系的变更进行策划和实施时，保持质量体系的完整性。5.5.职责、权限和沟通5.5.1 职责和权限最高管理者应确保组

31、织内的职责、权限得到规定和沟通。具体参见组织架 构与部门职责。5.5.2 管理者代表最高管理者任命一名管理者作为管理者代表， 对质量管理体系进行管理、 监 督、评价和协调。管理者代表的职责和权限包括但不限于：a.确保质量管理体系所需的过程得到建立、实施和保持；b.向最高管理者报告质量管理体系的业绩和任何改进的需求；c.确保在整个组织内提高满足顾客要求的意识；d.本手册规定的其他职责和权限。5.5.3 内部沟通最高管理者应确保在组织内建立适当的沟通过程， 并确保对质量管理体系的 有效性进行沟通。公司的沟通方式包括：会议、看板、电话、网络邮件、记录传 递、培训等方式。5.6 管理评审5.6.1 总

32、则为确保管理体系，包括服务管理与安全方针和目标持续的适宜性、充分性和 有效性：1.由山东瀚高建立并保持 管理评审控制程序 ，指导管理评审工作的执行。2.公司每年至少开展一次管理评审，两次间隔不得超过十二个月。一般情 况下， 采取会议的形式， 安排在内部审核之后。 当出现下列情况之一时， 应及时进行管理评审：公司管理体系发生重大变化。 国家法律、法规、相关标准发生重大变化。 外审之前。其它认为需要评审时。3.管理评审由总经理主持，各部门负责人参加，需要时，由总经理决定具 体的参加人员。4.管理审查会议的决议事项以会议纪要形式体现，由各相关部门负责配合 执行，并对执行状况予以追踪评估。5.6.2评

33、审输入综合管理部组织有关部门按计划的要求收集整理有关文件和数据资料提交 管理评审，包括：1)内部和外部审核的结果；2)相关方(客户、政府部门、供应商、内部员工等)的反馈；3)管理目标有效性测量结果；4)客户满意度调查信息反馈及客户投诉；5)山东瀚高用于改进管理体系执行绩效和有效性的技术、产品或程序的发展及变化；6)全年的管理体系运作状况；7)对过程和服务测量和监视的结果；8)纠正和预防措施的实施情况；9)以往风险评估未充分指出的脆弱性或威胁；10)以往管理评审所采取措施的跟踪验证；11)经策划的可能影响管理体系的变更；12)管理体系文件的适用性，包括修改要求等；13)改进的建议。5.6.3评审

34、输出按照服务管理与安全方针和目标对上述信息进行全面的讨论、评价、分析， 决定所要采取的改进措施，包括：1)管理体系有效性的改进，应考虑业务需求、安全需求、影响已有业务需 求的业务过程、法律法规环境、合同责任、风险和 / 或风险接受等级等；2)方针和目标的修订；3)与客户要求有关的改进；4)更新风险评估和风险处置计划；5)资源需求；6)改进测量控制措施有效性的方式；7)对现有管理体系(包括方针和目标)的评价结论及对现有服务是否符合 要求的评价。6资源管理6.1 资源的提供公司应确定并提供必要的足够资源以策划、建立、实施、 运作、监视、 评审、 保持和改进管理体系，通过满足客要求，增强顾客满意。包

35、括人力资源、基础设 施、工作环境。6.2 人力资源1.基于适当的教育、培训、技能和经验，从事影响产品与要求的符合性工 作的人员应是能够胜任的。岗位职责以及相应的能力需求应有清晰明确 的定义。2.应合理为每个员工分配工作岗位，并为其所知晓。3.应使全体员工认识到其所从事工作的关联性和重要性，以及如何为实现 管理目标作出贡献。4.应根据员工岗位职责要求，提供适当的教育培训或采取其它措施，以满 足工作岗位能力需求。5.应建立员工教育培训管理制度，并评估教育培训的成效或所采取措施的 有效性。6.应维持相关人员教育、培训、技能及经验的适当记录。7.聘用人员前应对其背景进行调查验证， 并签署相关信息安全职

36、责的文件具体执行人力资源实施细则。6.3 基础设施确定、提供和维护满足相关法律、法规、标准、合约要求的所必需的基础设 施，如办公场所、办公设备、网络设备（包括硬件和软件） 、支持性服务（如通讯 或信息系统） 等，并按既定的策略、管理措施进行使用。6.4 工作环境提供满足相关法律、法规、标准、合约要求的所必需的工作环境，并按既定 的策略、管理措施进行使用。7产品实现7.1产品实现的策划根据公司业务特点，为确保产品代理分销、软件产品、服务和系统集成项目 达到客户满意，公司相关业务部门对实现上述产品和服务的全过程进行了策划并 制定了相应的文件；产品实现的策划应与质量管理体系其他过程的要求相一致。 在

37、对产品实现进行策划时，应确定以下方面的适当内容：a.产品的质量目标和要求，见服务级别管理手册 ；b.针对产品确定过程、文件和资源的需求；c.产品所要求的验证、确认、监视、测量、检验和试验活动，以及产品接收 准则；d.为实现过程及其产品满足要求提供证据所需的记录。对应用于特定产品、项目或合同的质量管理体系、 IT 服务管理体系和信息 安全管理体系的过程 （包括产品实现过程）和资源，通过制定计划的方法进行规 定。在公司 IT 服务业务中，服务产品实现的策划，一方面通过新服务和服务 变更管理手册 对现有服务产品进行变更或研发新的服务产品；另一方面，通过 服务级别管理手册及事件管理手册 ，对服务产品的

38、执行过程进行策划。7.2 与顾客有关的过程7.2.1与产品有关要求的确定公司应确定产品的要求，要求由以下方面构成：1）客户规定的要求，包括对交付和交付后活动的要求，交付后的活动包括诸如担保条件下的措施、 合同规定的维护服务、 附加服务（回收或最终处置） 等；2）客户虽未明确提出，但规定的或预期的用途所必需的要求；3）与产品有关的国家法令法规、行业规定的要求；4）公司认为必要的附加要求（注：此要求不得与前 3 项要求的任何一项有 抵触）。7.2.2与产品有关的要求的评审与客户进行有效的沟通， 充分且正确的了解客户的要求和期望， 确保公司有 能力实现客户的要求，以达到用户满意。公司应评审与产品有关

39、的要求。 评审应在组织向顾客作出提供产品的承诺之前进行（如：提交标书、接受合同或订单及接受合同或订单的更改） ，并应确保：a. 产品要求得到规定；b. 与以前表述不一致的合同或订单的要求已予解决；c.组织有能力满足规定的要求。 评审结果及评审所引起的措施的记录应予保持。 若顾客提供的要求没有形成文件， 公司应在接收顾客要求前应对顾客要求进行确认。若产品要求发生变更（包括合同以及技术要求等） ，公司应确保相关文件得 到修改，并确保相关人员知道已变更的要求。公司通过有关的产品信息， 如产品目录、产品广告内容进行销售时，应在发布信息前对相关内容进行评审具体遵照供应商管理手册中合同评审管理流程7.2.

40、3顾客沟通 为增进与客户的沟通，公司应对以下有关方面进行确定并实施与顾客沟通 ： a. 为客户提供产品信息；b. 接收客户的问询、合同或者订单的处理，包括，对其的修改；C. 及时获取客户的反馈， 包括意见和投诉。 公司通过设立投诉电话等手段， 建立有效的沟通方法。所有客户信息的记录， 都应保存并做分析处理，定期向管理层报告。所有与 质量相关的客户需求、 投诉记录、 满意度调查的结果和反馈都会通过业务管理过 程进行处理和分析。具体参见 服务报告管理手册 、新服务与服务变更管理手册 、事件管理 手册、业务关系管理手册 。7.3 设计和开发根据公司的认证范围，本条款已进行删减，列出的目的便于与标准对

41、应。7.4 采购7.4.1 采购过程商务部应确保采购的产品符合规定的采购要求。对供方及采购的产品控制的 类型和程度应取决于采购的产品对随后的产品实现或最终产品的影响。商务部应根据供方按组织的要求提供产品的能力评价和选择供方。应制定选 择、评价和重新评价的准则。 评价结果及评价所引起的任何必要措施的记录应予 保持。7.4.2 采购信息采购信息应表述拟采购的产品，适当时包括：a)产品、程序、过程和设备的批准要求：b)人员资格的要求；c)质量管理体系的要求。在与供方沟通前，组织应确保规定的采购要求是充分与适宜的7.4.3采购产品的验证各使用部门应确定并实施检验或其他必要的活动， 以确保商务部采购的产

42、品 满足规定的采购要求。采购完成后，供应商的服务进行监督和评审， 定期回顾评 审供应商是否达到约定的服务级别目标，并对其结果进行分析处理。当公司或其顾客拟在供方的现场实施验证时， 组织应在采购信息中对拟验证 的安排和产品放行的方法作出规定。本公司与产品和服务有关的采购由商务部对采购过程进行控制，具体参见 供应商管理手册。7.5 生产和服务提供7.5.1 生产和服务提供的控制为了对生产和服务的运作进行有效的控制， 本公司应策划并在受控条件下进 行提供，适用时，受控条件应包括：1)根据项目和顾客要求，由各项目承担部门负责公司获得规定产品特性的 信息，包括隐含的要求及法律法规要求；2)需要时，由项目

43、承担部门制定作业指导书，包括计划编制规范和实施规 范等。3)由项目承担部门负责获得、使用和维护生产与服务运作用的设备及软件 版本管理，执行相关配置规范等；4)获得和使用监视和测量设备；5)由项目承担部门负责按相关控制文件的要求实施监控活动；6)实施放行、交付和适用的交付后活动。本公司在为客户提供生产和服务过程具体参见 服务级别管理手册 、能力 和可用性管理手册、设备管理手册、业务持续性管理手册、事件管理手册、 问题管理手册、网络安全管理手册以及备份等信息安全管理文件。7.5.2 生产和服务过程的确认当生产和服务提供的过程输出不能由后续的监视或测量加以验证， 致使问题 在产品投入使用后或服务已交

44、付后才显现时，组织应对任何这样的过程实施确 认。公司提供的服务过程，均需要确认，证实这些过程实现所策划结果的能力。 适用时包括：a. 为过程的评审和批准所规定的准则；b.设备的认可和人员资格的鉴定；c.使用特定的方法和程序；d.记录的要求；e.再确认。公司通过目标指标监控、人员资格能力、设备能力和可用行、 设备符合性监 督方式确认过程能力，并制定相应的作业文件，进行过程确认，并记录。当公司 出现下列问题时，需要再次确认：a. 信息事件出现严重以上等级；b.客户连续出现3次以上投诉。过程确认遵循能力和可用性管理手册 、人力资源管理实施细则和符 合性管理手册等文件。7 .5.3标识和可追溯性为了有

45、效识别开发策划、需求分析、设计实现、安装调试、验收交付及维护 服务过程中的各项产品，防止混用， 确保本公司提供的软、 硬件产品的可追溯性 和唯一标识， 实现产品质量保证的明确定位， 公司对采购产品的标识进行如下要 求：1)入库的采购产品和产品状态采用标签和区域进行标识；2)安装现场的采购产品可用包装上的原标识或铭牌进行标识，产品状态可 用标签和相应验证记录进行标识。3)软件产品通过版本和版本说明进行标识。4)人员通过姓名或者员工卡号标识。5 )设备通过指示等告警等不同颜色进行标识。6)项目计划通过审批状态进行标识。在有可追溯性要求时，由项目组控制和记录产品的唯一性标识。7 .5.4顾客财产有关

46、部门和人员应爱护在公司控制下和使用的顾客财产 (包括知识产权和企 业以及个人信息)，为此，公司针对顾客实物财产会在合同中具体规定了顾客财 产的识别、验证、保护和维护要求，同时规定当顾客财产发生丢失、损坏或发现 不适用的情况时，应报告顾客，并保持记录。在 IT 服务项目中，对客户信息资产的管理，包括识别、风险评估和处理， 将遵循配置管理手册以及信息安全风险管理手册的相关规定执行。7.5.5 产品防护为防止产品在内部处理和交付到预定地点期间的损坏和质量降低， 公司应对 产品和产品的组成部分提供防护。 产品防护包括标识、 搬运、包装、贮存和保护。 具体控制如下：1)产品的标识执行 7.4.3 。2)

47、产品搬运过程中应做到轻拿轻放，防摔、防碰、防水，防止野蛮装卸。 对于大型设备应选择适当的搬运工具，并由专业搬运人员操作。3)产品的包装一般使用原包装， 必要时应内填足够的填充物或增加外包装， 注明产品规格型号、数量等有关内容，并写上“轻拿轻放”等字样及“T”标志。 包装应确保防止任何物理或功能性的损伤。4）库房储存环境要求防火、防盗、防水、防潮、防磁、防鼠、防蛀。入库 产品要做到先入先出并及时填写相关记录。5）网络及集成系统交付前，严禁无关人员随意开机、调试、插拔接头等。6）对网络内的信息按照信息安全管理手册中的规定执行。7. 6 监视和测量设备的控制公司应确定需实施的监视和测量以及所需的监视

48、和测量设备， 为产品符合确定的要求提供证据。公司应建立监视和测量设备控制程序 ，以确保监视和测量活动可行并以与监视和测量的要求相一致的方式实施。当有必要确保结果有效的场合时，测量设备应做到： 对照能溯源到国际或国家标准的测量标准， 按照规定的时间间隔或在使用前进行校准和（或）验证。当不存在上述标准时，应记录校准或检定的依据； 必要时进行调整或再调整；能够识别，以确定其校准状态；防止可能使测量结果失效的调整； 在搬运、维护和贮存期间防止损坏或失效； 此外，当发现设备不符合要求时， 应对以往测量结果的有效性进行评价和记录，应对该设备和任何受影响的产品采取适当的措施。校准和验证结果的记录应予保持。当

49、计算机软件用于规定要求的监视和测量时，应确认其满足预期用途的能力。确认应在初次使用前进行， 并在必要时予以重新确认。 确认计算机软件满足预期用途能力的典型方法包括验证和保持其适用性的配置管理 （技术状态管理）8测量、分析和改进8 .1总则公司策划并实施顾客满意测量、 内部审核、产品监视和测量、过程监视和测 量、不合格品控制、数据分析、持续改进等过程，以便：应策划并实施以下方面所需的监视、测量、分析和改进过程：a.证实与产品要求的符合性；b 确保质量管理体系的符合性；C 持续改进质量管理体系的有效性。这应包括对统计技术在内的适用方法及其应用程度的确定。8 .2监视和测量821顾客满意公司通过测量

50、、 分析客户对公司产品和服务的满意度， 不断提高产品和服务 质量。客户服务部负责牵头并组织相关部门进行客户满意度的调查与评价， 根据对 客户要求、意见和投诉的调查，进行统计分析，形成统计分析报告，报告相关部 门及管理层。 针对客户不满意或潜在不满意情况， 责任部门应采取相应的纠正和 预防措施，不断提高客户满意度。具体执行业务关系管理手册中满意度调查 流程。8 .2.2 内部审核1） 公司制定了内部审核控制程序 ，策划的时间间隔通过审核管理体系涉 及到的各部门所开展的活动和有关结果是否符合策划的安排、 标准的要求以及组 织所确定的质量管理体系的要求， 确保管理体系持续有效地运行， 并为管理体系

51、改进提供依据。2） 按照内部审核控制程序 ，定期对各体系实施内部审核。公司每年至少 进行 1 次内审活动。 内审计划报管理者代表审批。 在每次内审前， 管理者代表任 命审核组长，由审核组长组织内部审核。 审核组应编制审核工作相关文件， 提前 通知各有关部门和人员。审核结束后， 由审核组长组织编写审核报告， 报送管理 者代表审批，分发到各有关部门和人员。 对审核中发现的不合格项， 责任部门应 及时采取纠正措施， 内审员应对纠正措施的完成情况进行跟踪检查， 并验证其有 效性。3)实施内部审核时，需要考虑到被审核流程和区域的状况及重要性，也应 考虑到之前审核的结果。在审核之前，必须确定审核标准、范围

52、和方法，选择审 核员，确保审核过程的客观性和中立性。4)内部审核的结果是实施管理评审的重要的信息输入，会成为实施纠正措 施以改进管理体系的重要依据。8.2.3 过程的监视和测量公司对各个管理体系的产品实现、 管理职责、资源管理、测量分析等过程进 行监视和测量。采用如下的手段和方法进行测量，对未能达到策划结果的过程， 应采取适当的纠正和纠正措施，以确保过程和结果的符合性。1)通过内部审核对各过程进行监测。2)通过目标绩效对各个过程进行监测。3)顾客满意度的测量对生产和服务提供全过程进行监控。4)各部门经理负责监督检查部门和员工的工作，对相关过程进行监测。具体执行日常检查制度 。8.2.4 产品的

53、监视和测量根据公司业务特点， 公司通过对服务产品的测试、 验收和对开发过程的控制， 确保产品能满足规定的质量要求，防止不合格产品被交付。监视和测量应依据所策划的安排在产品实现过程的适当阶段进行， 应保持符 合接收准则的证据。记录应指明有权放行产品以交付给顾客的人员。 除非得到有关授权人员的批准， 适用时得到顾客的批准， 否则在策划的安排 已圆满完成之前，不应向顾客放行产品和交付服务。公司服务质量由客户确认，具体执行事件管理手册和日常检查制度8.3 不合格品控制 公司为确保不合格品得到识别与控制，确定不合格品控制过程活动及其要 求，以防止其非预期的使用和交付，在不合格品控制程序中对不合格品控制

54、以及不合格品处置的有关职责和权限做出规定，控制活动包括对不合格品的标 识、隔离、评审、处置和记录、以及不合格品纠正后的验证。对下列方面作了明 确的规定：1)在产品实现或其他过程活动中的不合格品由相关责任人负责识别；2)对不合格品进行评审，确认不合格事实、范围、程度和影响，决定适宜 的处置措施；3)对已发现的不合格品采取拒收、索赔、返修、让步接受等措施予以处置 (让步接受须经部门以上负责人批准，必要时经顾客批准) ；4)当在交付或开始使用后发现不合格时，根据不合格影响的程度采取现场 维修、召回维修、退货退款或与顾客协商等措施；5)不合格品得到纠正之后应对其进行再次验证(包括回归测试) ，以证实符

55、 合要求；6)不合格的原始记录和采取的所有后续措施包括让步放行的记录应予以保 持。8.4 数据分析 为证实管理体系的适宜性和有效性， 并评价在何处可以持续改进管理体系有 效性，公司应确定、收集和分析适当的数据。数据分析包括：1)顾客对公司提供的产品和服务的满意程度；2)公司生产和服务提供产品与顾客要求的符合性；3)过程和产品的特性及发展趋势，发现在何处须采取预防措施的机会；4)供方供货业绩，包括供方提供产品的符合性和及时性等。8.4.1 数据来源1)客户满意度调查；2)客户反馈；3)采购产品验证结果；4)生产和服务提供产品的测量结果；5)客户信息安全需求；6)服务级别达成状况；7)体系运行的其

56、它数据。8.4.2 数据的收集和分析1)顾客满意度调查，商务部按照业务关系管理手册中的相关规定执行。2)任何渠道收到的顾客反馈，接受部门或人员应及时进行内部沟通，确保 将获得的信息通知到相关部门，由责任部门进行分析；3)商务部负责组织对采购产品进行验证，收集和分析验证结果；4)系统集成业务部门、软件研发业务部门负责各自职权范围内的调试及测 试结果的收集和分析；5)体系运行的其它数据，各相关部门自行收集和分析。 数据分析可采用适当的统计技术。如整理数据时可采用饼分图、排列图等， 以找出薄弱环节；而利用因果图可找出不合格或潜在不合格的原因。数据分析的结果应能提供以下信息， 并将其作为改进的依据，

57、以采取相应的 纠正预防措施加以改进。8.5 持续改进8.5.1 持续改进山东瀚高通过服务管理与安全方针和目标的建立与实施，营造一个激励改进 的氛围，明确改进方向。公司应补救管理体系中任何不符合的部分， 通过制定和改进管理方针和管理 目标、进行管理评审、进行内部 /外部审核、落实纠正与预防措施工作、对信息 安全事件和服务异常事件的监控分析等方式开展管理体系改进工作， 必要时征求 所有相关方对管理体系的意见，从而保证管理体系的持续有效性和运行效率。公司应关注客户的投诉、抱怨，记录、评估服务改进建议，制定服务改进计 划，评估服务改进情况， 确保各项服务改进措施均已落实执行， 并实现了预期的 目标，从

58、而改进完善服务过程，提升服务质量，提高客户满意度。公司应规定各部门在持续改进工作中的角色和职责，并从服务过程的所有方 面考虑服务改进要求。8.5.2 纠正措施公司应采取措施，以消除不合格的原因，防止不合格的再发生。纠正措施应 与所遇到不合格的影响程度相适应。编制纠正和预防措施控制程序 ，规定以下方面的要求：1）评审不合格（包括顾客抱怨） ；2）确定不合格的原因；3）评价确保不合格不再发生的措施的需求；4）确定和实施所需的措施；5）记录所采取措施的结果；6）评审所采取的纠正措施的有效性。8.5.3 预防措施公司应确定措施，以消除潜在不合格的原因，防止不合格的发生。预防措施 应与潜在问题的影响程度

59、相适应。编制纠正和预防措施控制程序 ，规定以下方面的要求：1）确定潜在不合格及其原因；2）评价防止不合格发生的措施的需求；3）确定并实施所需的措施；4）记录所采取措施的结果；5）评审所采取的预防措施的有效性。附录 A 管理方针释义顾客至上、安全第一、质量为本、持续改进 以满足顾客的需求，超越客户的期待为出发点，保证山东瀚高科技有限公 司各项业务的安全运行， 达到行业领先的高可用性。 以专业和完善的服务质量， 达到行业领先的水平；采用 PDCA 的方法，追求服务品质的不断提升。附录 B 2011 年度管理目标在 2011 管理年度内要达到的管理目标如下：1、顾客服务满意率不低于 95%2、重大质

60、量事故为零3、成本偏差率v 5%4、重大信息安全事故为零注：重大质量事故是指由于公司方面原因对客户实施服务造成客户系统瘫痪 等重大问题，一旦产生会给客户和公司造成严重甚至无法估量的损失。重大信息安全事故是指由于公司方面原因造成的严重的信息泄露、 破坏和篡 改等重大问题，一旦发生会对公司及其业务造成严重甚至无法估量的损失。 质量目标的分解：一、销售部目标：1开拓市场，挖掘客户，介绍产品。2.不向顾客进行任何没有根据的承诺，顾客合理要求满足率 100% 。、商务部目标：1.及时掌握国际存储领域的供方的最新产品和渠道，成为国际主要供方的 合作伙伴。2. 100% 采购货物经过进货检验或验证，不合格品