ISO20000信息技术服务手册2018

**********科技股份有限公司信息技术服务手册ISMS-A编制：审核：批准：日期：2019年5月5日**********科技股份有限公司信息技术服务手册WY/ISMS-01PAGE目录01、颁布令602、管理者代表603、企业概况704、信息技术服务方针905、手册的管理10适用范围102、规范性引用113、术语和定义114、组织背景134.1、组织现状及背景134.2、理解相关方的需求和期望144.3、确定服务管理体系的范围154.4、服务管理体系165、领导力205.1、领导力和承诺205.2、方针215.3、角色、责任和承诺216、计划216.1、应对风险和机遇的措施226.2、服务管理实现的目标和计246.3、策划服务管理体系337、支持357.1、资源357.2、能力357.3、意识367.4、沟通367.5、文件化信息377.5.1、总则377.5.2、创建和更新387.5.3、文件化信息的控制397.5.4、服务管理体系文档信息397.6、知识398、运行408.1、运行策划及控制408.2、服务组合408.3、关系与协议438.4、供给与需求468.5、服务设计、开发和转换488.6、解决与实现528.7、服务保证539、绩效评价559.1、监控、度量、分析和评价559.2、内部审核569.3、管理评审569.4、服务报告5710、改进5710.1、不符合及纠正措施5710.2、持续改进58附录：1、组织结构图592、职能分配表60手册修订记录版本修改原因及内容修订人/修订日期审核人/审核日期批准人/批准日期A/0新制定**********

0.1、颁布令为提高我公司的管理水平和服务水平，适应客户对公司运行服务高标准的需要和信息服务管理的需要，确保公司在稳定提供满足客户要求的服务及实现公司经济效益的最大化的同时满足适用法律法规要求，保障公司生产经营活动的正常进行，防止由于信息安全事件导致公司客户和业主及相关方的损失，我公司导入贯彻ISO/IEC20000-1:2018《服务管理体系要求》标准工作，建立、实施和持续改进文件化的信息服务管理体系，编制**********科技股份有限公司的《信息技术服务手册》。本《信息技术服务手册》是**********科技股份有限公司信息服务管理体系的法规性文件，是指导公司建立并实施信息服务管理体系的纲领和行动准则，用于理解、贯彻企业的信息服务管理方针、目标，实现信息服务管理体系有效运行、持续改进，体现企业对社会的承诺。《信息技术服务手册》符合有关法律，ISO/IEC20000-1:2018《服务管理体系要求》标准和企业的实际情况，现正式批准发布。自2019年5月5日起实施。公司全体员工必须遵照执行。全体员工必须严格按照《信息技术服务手册》的要求，自觉遵循管理方针，贯彻本手册的各项要求，努力实现公司的管理方针和目标。**********科技股份有限公司总裁；**********2019-5-5

0.2、管理者代表授权书为贯彻执行信息服务管理体系，满足ISO/IEC20000-1:2018《服务管理体系要求》标准要求，加强领导，特任命***********为我公司信息服务管理者代表。授权信息服务管理管理者代表具有如下职责和权限：0.2.1、确保按照标准的要求，进行信息服务管理体系的运行和控制、资产识别和风险评估，全面建立、实施和保持信息服务管理体系；负责与信息服务管理体系有关的协调和联络工作；确保整个组织内提高信息安全风险的意识；审核风险评估报告、风险处理计划；0.2.5、批准发布《程序文件》；0.2.6、主持信息服务管理体系内部审核，任命审核组长，批准内审工作报告；0.2.7、向最高管理者报告信息服务管理体系的业绩和改进要求，包括信息服务管理体系运行情况，内外部审核情况。本授权书自任命之日起生效。**********科技股份有限公司总裁；**********2019-5-5

0.3、企业概况**********科技股份有限公司创建于2006年4月，是一家由海外归国人员创办的国内独资高科技企业。座落于风景秀丽的中国，该开发区为高科技产品的生产基地。自从成立以来，**********科技股份有限公司一直致力于为客户提供优质优价﹑高性能的产品。此外，**********特别注重为客户提供良好的售前和售后服务。**********科技股份有限公司是一家专门从事数字电视配套产品的设计、开发、生产和销售的专业厂商。

0.4、信息技术服务管理方针、目标为防止由于服务的不及时所导致的企业和客户的损失，本公司建立信息服务管理体系，制定信息服务方针，确定了信息服务管理目标。0.4.1、信息服务方针：强化意识规范行为、服务保障顾客满意。本公司信息服务方针所包含的内容：0.4.1.1、信息服务管理机制公司采用系统的方法，按照ISO/IEC20000-1:2018《服务管理体系要求》标准建立信息服务管理体系，全面提高信息技术服务。按服务管理体系要求标准，建立覆盖公司经营、管理和服务活动的、适用的服务管理体系，进行全面服务质量管控，提升服务交付服务质量保障水平。确定技术实现手段和控制措施，在公司日常开发、服务和管理中，不断提升服务水平，实现客户服务级别协议的要求。0.4.1.2、信息服务管理组织a)总裁对信息服务工作全面负责，负责批准信息服务方针，确定信息服务要求，提供信息服务资源；b)总裁任命管理者代表，负责建立、实施、检查、改进信息服务管理体系，保证信息服务管理体系的持续适宜性和有效性；c)与上级部门、地方政府、相关专业部门建立经常性联系，了解信息技术服务要求和发展动态，获得对信息技术服务管理的支持。

0.5、手册的管理0.5.1、信息服务信息技术服务手册：由管理者代表组织编制，总裁批准《信息技术服务手册》。0.5.2、信息服务信息技术服务手册的发放、更改、作废和销毁a)人力资源部负责按照《文件和资料管理程序》的要求，进行《信息技术服务手册》的登记、发放、回收、更改、归档、作废与销毁工作；按照规定发放修改后的《管理手册》，并收回失效的文件做出标识，统一处理。确保有效文件的唯一性；并保留《信息技术服务手册》修改内容的记录。b)各部门、生产管理部按照受控文件的管理要求对收到的《信息技术服务手册》进行使用和保管。0.5.3、《信息技术服务手册》的换版依据ISO/IEC20000-1:2018《服务管理体系要求》标准有重大变化时、组织的结构、内外部环境、开发技术、信息服务管理体系等发生重大改变时，《信息技术服务手册》进行换版。换版应在管理评审时形成决议，重新实施编制和审批工作。0.5.4、《信息技术服务手册》的控制本《信息技术服务手册》的标识分受控文件和非受控文件两种。a)受控文件发放范围为公司领导、各部门及生产管理部负责人、内审员。b)非受控文件指印制成单行本，作为投标书资料或系统集成服务运行等，发放给受控范围以外的其他人员。c)《信息技术服务手册》有书面的纸质文件和电子文件。

1、适用范围1.1、总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息服务管理体系，本公司信息技术服务手册适用于：a)有能力稳定地满足公司对信息技术服务和数据安全的管理和适用的法律法规要求的产品软件开发、系统集成服务；b)本手册适用于本公司软件开发服务活动和系统集成服务过程中的信息服务管理和相关方及社会对项目管理服务的信息服务管理要求。1.2、本公司提供的是^^产品1.3、本手册描述了依据ISO/IEC20000-1:2018《服务管理体系要求》标准所建立的信息服务管理体系的各个核心要素及其相互作用。1.4、本手册所引用的管理体系标准为ISO/IEC20000-1:2018《服务管理体系要求》中所采用术语和定义。本手册所涉及的信息服务管理体系活动和控制，见附件。1.5、本公司通过信息服务管理体系的有效应用，包括管理体系持续改进的过程，以及保证符合本公司信息计划服务法律、法规要求的相关咨询和管理服务，达到在经营活动中信息、数据的安全，持续提供、改进务管理体系的有效性。2、规范性引用本手册规范性引用以下标准：2.1、ISO/IEC20000-1:2018《服务管理体系要求》2.2、《中华人民共和国合同法》。2.3、《中华人民共和国招标投标法》；3、术语和定义3.1、本公司：信息技术服务管理体系所覆盖**********科技股份有限公司的实体。3.2、相关方：与本公司有往来的政府部门、协会、来访者、业主、外单位在公司工作或实习人员；与本公司有业务往来的单位和人员；3.3、可用性：根据授权实体的要求可访问和利用的特性。3.4、保密性：信息不能被未授权的个人、实体或者过程利用或知悉的特性。3.5、识别法律法规、合同中的安全及时识别业主、合作方、相关方、法律法规对信息安全的要求，采取措施，保证满足安全要求。3.6、服务为达到客户期望的结果而向客户交付价值的方式。3.7、服务可用性服务或服务组件在规定的时间或规定的时间段内提供所需要求的功能的能力。3.8、服务连续性不间断或以约定的连续可用性交付服务的能力。3.9、服务级别协议组织和客户之间签署的成文协议，定义服务和服务指标的形成文件的协议。3.10、服务请求用户对获取信息、咨询、访问服务或预授权变更的请求。4、信息安全、服务管理体系4.1、组织现状及背景4.1.1本公司按照ISO/IEC20000-1:2018《服务管理体系要求》建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。4.1.2、我公司以信息服务管理为基础，系统集成服务。公司实行总裁负责制，设置人力资源部、财务部、业务中心、研发中心、总务部、工程部、质量部、供应链部、生产部、PMC和一支高素质技术和管理人员构成的专业技术服务队伍。4.1.3、本公司以等多项活动为主营业务。4.2、理解相关方的需求和期望4.2.1、信息服务管理体系的相关方4.2.1.1、本公司信息服务管理体系内部相关方：包括总公司各部门、分公司和所有生产管理部及所属员工。4.2.1.2、本公司信息服务管理体系外部相关方：a)政府部门和监管部门及法律咨询机构；b)信息服务的相关部门4.2.2、理解相关方的需求和期望4.2.2.1、在信息服务管理体系运行过程中，本公司充分理解相关方的需求，本公司各部门、研发中心要将相关方的需求和期望转化为明确的服务要求，通过信息服务体系的有效运行，包括持续改进和预防措施，以确定相关方的需求得到满足，增强相关方的满意度。4.2.2.2、本公司总裁应以实现相关方的需求和期望作为可持续发展的目标，运用管理手段，确保相关方的需求和期望转化为具体要求并使其满足。总裁应理解相关方的需求和期望，责成各相关部门与相关方进行沟通，确定相关方的需求和期望，转化为具体的管理要求（包括对产品软件开发、信息安全管理、系统集成服务、过程、管理体系等方面的要求）并在本公司内部各个层次进行沟通，调配本公司的整体资源予以满足。4.2.2.3、通过副总裁及各部门负责人职责，将相关方的需求和期望转化为具体要求，确定信息服务目标/指标，保证服务过程按程序规定的要求有效运行，达到相关方的要求。4.2.2.4、通过管理者代表的职责，来全面系统地考核本公司信息安全、服务管理体系，保证持续有效改进和提高本公司服务能力，满足相关方的需求。4.2.2.5、公司管理层以理解相关方的需求和期望，并将其转化为具体的管理要求，在法律和法规允许的条件下予以满足。4.2.2.6、应确保理解相关方的需求和期望或相关方虽然没有明示，但规定的产品软件开发、系统集成服务已知预期所必需的要求，本公司承担与软件开发有关的责任或义务及满足法律、法规方面的要求，确保相关方的这些需求得到确定，并予以满足。4.3、确定信息服务管理体系的范围：4.3.1、本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围；4.3.2、本公司信息技术服务管理体系的范围包括：a)业务范围：b)信息系统范围：本公司产品软件开发、系统集成服务的活动，信息系统及支持性系统包含的全部信息资产及内部、外部的相关方的需求和期望；4.3.3、确定公司内部各部门、生产管理部之间的活动及接口及对相关方之间的相互依赖和配合活动的范围，与所述业务有关的部门和所有员工；4.3.4、体系认证范围：ISO/IEC20000-1:2018:与设备相关的信息安全管理活动。4.3.5、注册地址：*************************************4.3.6、认证地址：***********************************4.3.7、信息信息技术服务管理的服务可成为文档化信息。4.4、服务管理体系4.4.1、本公司按照ISO/IEC20000-1:2018《服务管理体系要求》建立信息服务管理体系。建立了指导和控制全体员工活动的信息服务管理体系，并编制和颁布了《信息技术服务手册》、《程序文件》、《制度和办法》等，形成了信息服务管理文件化体系。4.4.2、本公司通过编制信息服务管理体系文件，以确定服务过程的准则和服务方法，通过内部审核、管理评审、法律法规的识别、对服务过程中的风险及机遇进行识别管理，绩效测量与监测、应急措施、数据分析、改进纠正和预防等一系列过程，不断完善信息服务管理体系。4.4.3、管理体系的执行、维护和提高a)各部门依据信息服务管理体系文件的规定，从事各项信息服务管理活动，并通过内部审核、管理评审、纠正和预防措施，确保信息服务管理体系的有效性及保证符合相关方与法律法规的要求。通过运行的记录和过程分析，为信息服务管理体系的持续改进提供依据。b)通过对产品开发、系统集成服务的活动服务过程的运作、测量、监视、管理以及获得必要的资源和信息，确保服务过程的有效运行，使本公司信息服务管理活动实现标准化、规范化和程序化，提高产品服务运作的能力、强化持续改进，实现本公司制定的信息服务方针、目标和指标。5、领导力5.1、领导力和承诺5.1.1、本公司总裁承诺，建立、实施和改进信息服务管理体系，确定信息服务目标，与公司的整体战略方向相一致，并通过履行职责及相关活动的开展而采取措施为其承诺提供证据。5.1.2、确保信息服务管理体系的要求转化为公司的要求，不断加强自身信息服务管理意识，向本公司全体员工传达并强调满足相关方要求和法律、法规要求的重要性，通过培训、适当的会议、学习文件，并利用宣传资料、公司《**********人》刊物、网络、内部沟通等方式教育全体员工树立信息服务意识及遵守法律法规的意识5.1.3、在职权范围内，确保提供必要的资源，包括检查设施、人力资源和工作环境等，来满足公司产品开发、系统集成服务的要求，为服务的实现及信息技术服务管理体系的有效运行提供保证。5.1.4、制定本公司的信息服务方针和目标，并在各管理层次进行宣讲，达到沟通和理解，确保全体员工贯彻执行公司的方针和目标，将信息服务目标和指标逐层分解，落实到相关部门、岗位和员工，并转化为各自的工作任务。5.1.5、依据ISO/IEC20000-1:2018《服务管理体系要求》标准，本公司致力于营建一个有强烈信息服务意识的氛围，满足相关方的需求和期望，建立并保持有效的信息服务管理体系。达到预期的效果。5.1.6、制定适用于本公司的信息服务管理方针，并以此为框架，建立信息服务管理目标，组织全体员工学习并理解公司方针，将公司的目标分解到各部门、生产管理部和各岗位，确保信息技术服务目标的实现。要求员工将个人目标、部门目标与本公司的目标相结合，为实现公司的方针、目标而共同努力，支持员工为信息服务管理体系做出有效贡献。5.1.7、通过PDCA循环的来不断促进、完善和改进信息技术服务管理体系。5.1.8、总裁支持副总裁、各部门负责人来完善信息服务管理体系，并通过内审、管理评审等方法来检查公司方针、目标的执行情况，寻找其改进机会和变更需求。5.2、方针5.2.1、为满足适用法律法规及相关方的需求和期望，维护公司经营和管理的正常进行，实现业务可持续发展，制定公司信息服务管理方针。总裁根据组织的业务特征、组织结构、地理位置、资产和技术制定了信息服务管理方针，与公司经营宗旨“达成业主目标，安全优质管理”相适应。5.2.2、制定了本公司的信息服务管理目标；信息技术服务目标：①客户单位满意率≥85%/年②服务响应及时率≥98%/月③服务年度投诉次数不超过2次/月④提供信息系统监理服务全年正常运行率≥99.90%各部门信息技术服务安全目标/指标分解及统计见具体的分解表及统计记录。5.2.3、经最高管理者批准。为实现信息服务管理体系方针和目标，本公司承诺：a)在各层次建立完整的信息服务管理组织机构，确定信息服务目标和控制措施；明确信息服务的管理职责，详见附表《管理职能分配表》；b)识别并满足适用法律、法规和相关方信息服务要求；c)定期进行信息技术服务风险评估及评审，采取纠正预防措施，保证体系的持续有效性；d）采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；e)对全体员工进行持续的信息服务教育和培训，不断增强员工的信息技术服务意识和能力；f)制定并保持完善的业务连续性计划，实现可持续发展。5.2.4、信息技术服务方针可成为公司文档化信息；a)在产品开发、系统集成的活动服务中进行系统、科学，有效地控制管理，确保每项服务的合格，并努力提升服务。b)在产品开发、系统集成服务过程中，严格按业主（相关方）要求、合同要求、行业标准和法律法规的要求进行运作，主动寻找机会，完善各项服务的管理，确保管理体系持续有效地运行，使本公司信息服务管理体系运行符合ISO/IEC20000-1:2018《服务管理体系要求》信息服务标准规范的要求。c)通过对产品开发、系统集成服务及其他服务方式建立可靠实效的保障体系，不断持续改进，达到相关方的要求，以实现本公司的承诺。5.2.5、信息服务方针的宣贯和培训a)管理者代表指导管理体系方针和目标的培训、宣贯，行政人事部组织实施，向管理层人员宣讲信息服务方针和目标的内涵及贯彻方针和目标的要求。b)各部门负责人对本部门的人员进行方针和目标的培训、宣贯。在办公场所、监理现场等区域通过张贴宣传画、标语和口号及公司网站、OA等适宜方式宣传公司的信息服务方针和目标。c)通过大力宣传、进行培训信息技术服务方针、目标的工作，使本公司员工及为本公司工作的相关人员都能理解信息服务方针和目标，并贯彻执行。5.2.6、根据生产经营的状况和相关方的要求，适时提供给相关方，达成共识，作为企业沟通和合作的基础。5.3、角色、责任和承诺5.3.1、角色和责任本公司在信息服务管理过程中，对各部门、生产管理部在信息服务管理体系中担任不同的角色，对其职责和权限予以规定，明确各部门与信息服务管理体系过程的界面与接口，以促进有效信息服务管理体系的建立和有效实施。为实现对方针的承诺，规定各部门及各岗位的信息服务职责，并让各级人员明确自己承担的责任和义务。各部门主要职责权限如下：5.3.1.1、总裁a)全面负责领导本公司的信息技术服务工作，向员工传达满足相关方要求和法律、法规要求和重要性，确定方向，策划未来，激励员工，营造信息技术服务管理环境；b)建立并保持一个有序和高效的信息服务管理体系，制订管理体系的方针和目标/指标，承担管理体系建立、完善、实施的决策责任；c)主持召开管理评审会议，对管理体系规定目标的适宜性、充分性、有效性进行系统评价，以促进持续改进；d)确保管理体系运行所必需的资源，创造宽松和谐的工作环境，建立一支高素质的职工队伍；e)负责主管市场、经营工作，分管市场部的日常管理工作。贯彻执行各项相关的规章制度，负责市场拓展的前期开发洽谈，负责进行业主满意度调查的监督和业主投诉的回访。并负责落实完成。f)组织市场负责人员之间的互检，开展经验交流活动。推广先进的市场操作方法。g)负责公司业务市场的拓展和分管部门的工作指导和监督。任命管理者代表、各部门负责人，批准颁布《信息技术服务手册》，在内部与员工沟通；h)制定企业战略发展计划。组织制定公司整体发展战略和工作目标，评审、批准公司年度预算费用计划。i)对生产监理管理、经营管理的指导。协调各部门、生产管理部之间的工作，确保软件开发服务活动的有效开展。重大决策的制定。对于影响企业的重大事项，如实施重大决议，签署重要合同，审批财务预决算等，做出最终决策。j)根据企业发展战略与计划目标，将公司各项重要关键指标分解到各部门，并监督各部门主要负责人的实施。K）对关键岗位人员的考核与任免。负责对关键岗位人员的业绩考核、奖惩、任用、升迁，并培养优秀后备人才。5.3.1.2、财务部a)严格执行国家财经制度、财经纪律以及财务会计制度，加强财务管理，遵守国家政策、法令，保证公司利益不受侵犯；b)根据国家发布的相关企业会计准则、会计制度及公司颁布的会计制度，负责制定公司会计管理办法及核算方法；c)根据公司年度生产经营预算，编制公司财务预算，并加强管理，促进各项经济指标的实现；d)负责公司资金调配、成本核算和财务管理；严格费用开支，加强成本管理，对各类收支进行核算和监督；e)负责对公司经济业务进行核算和分析工作，准确反映公司经营业绩；f)负责公司资金管理，监督其增减变动；协同做好固定资产管理，建立固定资产台帐，定期组织资产清查；g)负责资产盘盈、盘亏、报废清理、账款结算、催收和处理等工作。做到情况清楚，手续完备，数据准确，处理及时；h)负责应收账款、应付账款等债权债务清理工作；负责财务历史资料、文件、凭证、报表的整理、收集和立卷归档工作，并按规定手续报请销毁；i)负责及时编制、报送会计报表，及时编制报送上级部门、各相关部门（单位）要求报送的各类会计信息；j)负责对公司重要经济合同的审查会签，并监督经济合同的执行，确保公司利益不受损害。5.3.1.3、人力资源部a).贯彻执行国家及省公司人力资源方面的法规政策，对本公司人力资源进行预测、规划，制定公司人力资源管理制度；b)根据公司发展战略，负责编制公司人力资源年度计划、定员定编方案及人工成本预算，提出机构调整和岗位增减配置的提案；c)负责公司员工招聘与配置工作；负责公司劳动关系管理工作；退休、员工管理；负责校企联合办学的管理；d)资源管理：负责人力资源管理。按需求进行员工的招聘；猎头招聘及招聘管理；应届生、网络招聘；招聘考试题库；招聘流程设置。e)培训管理：培训组织和制度建设；组织编制和完善《各岗位培训图》；培训计划管理；培训组织和实施；合作办学管理；培训讲师的管理。f)薪酬管理：薪酬体系、薪酬编制及发放、员工调岗调资、离职人员结算管理。g)人事管理：员工入职离职、员工档案、在职人员受控清单、在职人员职称评定、社保及住房公积金管理。h)负责公司电子刊物《**********人》的文稿收集、审核、编辑、出版工作，负责对员工的投诉与处理；i)负责公司网站、服务器的维护管理工作；负责公司软件系统的日常管理工作，包括系统授权、邮箱管理等；k)负责公司印鉴保管及使用工作；负责行政事务性合同的审批和日常管理。5.3.1.4、总务部a)贯彻执行国家、行业的有关法律、法规、规章制度，负责审核公司相关的规定及管理办法；根据公司领导的指示编制管理性文件，负责发放、传阅管理；对公司领导安排的事项和函件进行催办落实管理；b)负责公司高层各类会议的纪要、督办和检查工作，及时向总裁反馈信息。c)负责公司律师咨询的接口工作，审核传递的文件和信息。负责对公司管理文件进行审核归档管理。d)负责企业外事联系、内外来访的接待等工作；负责公司车辆管理等工作；e)负责公司资信证书的管理，电话管理、工牌、名片的管理；负责公司固定资产的维护管理、办公设备的维护管理，消防器材的管理与检查、对办公区域内的危险固化物的收集与处置。f)负责公司部分物资的采购、后勤保障工作；对办公环境、绿化、消防安全设备进行维护和保养；负责公司会议室的使用安排和管理，组织会务工作，负责录音（像）和会议材料的准备。g)负责组织、安排、落实各项文体和公司的活动。定期组织对职工体检工作，防治职业病发生。k)负责公司资质业绩收集；人员资质管理和证件的保管；资质政策的收集和执行；资质申报和维护；各协会联系与沟通。5.3.1.4、业务中心a)负责确定公司的年度或阶段市场经营目标和市场策略，负责对生产管理部三大经营指标（产值、收款、合同）核定、考核，评价；为公司领导提供准确的经营信息，并组织生产管理部的落实；b)负责公司业务市场的拓展、业主维护及业务管理；负责业主关系管理，进行业主档案的建立与维护；负责对业主信息的收集工作，并对业主投诉进行处置和后评估结果的收集、分析、改进，提高业主满意度；c)负责招标信息的收集、前期沟通、投标任务的接收、经济标评审，参加开标会；d)负责进行业主回访与沟通，收集、跟踪和反馈来自业主的意见与建议；负责与业主做好各类指标的确认和核对工作；e)负责组织业务谈判、合同评审、签订及归口管理；负责对公司经营合同的评审、签订，对合同及资料的管理；f)负责指导生产部门完成工作；负责业务报表的填报，业务档案的管理；g)负责公司月、季、年度经营分析工作；配合财务部做好应收账款，进行清理及催收的工作。h)负责组织公司的市场经营分析；负责各市场区域的备案管理，新市场的开拓及业主投诉的处理；负责建立公司投标管理数据库的建设，维护和更新；i)参与监理合同的谈判与评审，配合专业技术标书的编写；j)负责系统集成项目的实施和管理。5.3.1.5、研发中心a)负责公司产品软件、项目管理系统的开发管理、维护工作；b)负责公司软件开发的需求管理（调研、收集整理、评审、形成需求报告）；负责公司软件系统的日常管理工作，包括系统授权等；c)负责与软件开发单位沟通，解决软件系统问题；d)负责国家和行业标准的收集、更新及宣贯；以及公司产品开发标准细则、制度的编制和优化。e)负责软件合同谈判、签订等息。5.3.1.5、其他部门a)负责根据管理体系要求和监理实施细则，对本部门管理区域进行管理；b)对资源使用有效性进行监督、审计及指导；对部门管理部组织架构的有效性和团队建设进行检查、指导；c)负责对部门固定资产及办公用品、固定资产采购、办公用品采购、固定资产使用管理。d)负责公司仪器仪表的管理；负责生产管理部房屋、汽车的租赁管理；f)完成公司下达的各项考核指标和工作任务；h)做好内部员工的培训工作，制定并执行内部员工人才培养计划。i)贯彻执行公司制定的各项规章制度；5.3.2、承诺5.3.2.1、确保信息技术服务管理体系符合ISO/IEC20000-1:2018《服务管理体系要求》标准a)按照标准要求和公司现状，制定符合本公司的信息技术服务方针和目标。b）按照ISO/IEC20000-1:2018《服务管理体系要求》标准建立信息服务管理体系，编制公司《信息技术服务手册》、《程序文件》和《作业文件》，文件覆盖公司软件开发的全过程、所有区域和所有岗位，形成信息服务管理文件化的管理形态；c)在公司内部对信息服务管理体系方针和目标进行宣贯，组织培训，使本公司员工及与本公司的相关人员都能理解信息服务方针和目标，并贯彻执行。d)通过对应急广播设备、广播电视前端设备和商用数字前端设备产品及其软件开发及其系统集成和售后服务及其他服务方式建立可靠实效的保障体系，不断持续改进，达到相关方的要求，以实现本公司的承诺5.3.2.2、将信息服务管理的绩效向总裁报告。6、计划6.1、处理风险和机遇的行动6.1.1、总则本公司是以从事应急广播设备、广播电视前端设备和商用数字前端设备产品及其软件开发及其系统集成和售后服务的专业公司。建立和规划公司的信息服务管理体系时，充分考虑了本公司信息服务管理体系外部和内部相关方：包括政府监管部门、客户、供应商、服务实施相关方及所属员工，来确定需要解决的风险和机遇。6.1.1.1、确保信息服务管理体系可实现预期的结果a)将信息服务体系的目标层层分解，并转化为各部门的服务目标，落实到每个岗位。b)通过信息服务管理体系的内部审核、管理评审来评价和监测体系的运行绩效，通过对应急广播设备、广播电视前端设备和商用数字前端设备产品及其软件开发及其系统集成和售后服务过程中的重要信息安全因素和信息安全的危险的识别，采用绩效测量与监测、应急措施、数据分析、改进纠正和预防等一系列过程，不断完善信息服务管理体系，确保信息服务管理体系可实现预期的结果。6.1.1.2、防止或减少不良影响a)本公司通过对公司内部、外部相关方的需求和期望的理解，将公司信息服务管理体系的方针和目标传达给公司所属部门和岗位员工，同时使必要的相关方获取。b)通过信息服务体系的建立、维护、监测、评审、改进等一系列方法，以防止和减少因信息服务风险而形成的不良影响。6.1.1.3、实现持续改进通过PDCA循环活动，对管理体系进行持续不断地改进，是标准的精髓所在，本公司通过对管理体系的内部审核、第三方认证审核、本公司的管理评审，以及对信息服务活动的监视测量等数据进行分析，制定纠正和预防措施，从而达到持续改进管理体系有效性的目的。6.1.1.4、解决信息服务风险和机遇的措施a)按照信息服务管理体系要求和公司的现状，根据不同的信息服务风险采取相应的风险评估控制措施，将公司内部审核、管理评审和外部的第三方审核进行整合，并作为解决信息服务风险的机遇和契机，制定相应的预防和纠正措施，来实现对信息服务风险的管控。b)公司应用信息服务管理体系的内部审核、管理评审、绩效监测及第三方认证审核的各项措施来评价信息服务管理体系的有效性。6.1.2、风险评估公司制定了《风险评估控制程序》，建立识别适用于信息服务管理体系和已经识别的业务信息服务、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。6.1.2.1、建立和维护信息服务风险标准和接受风险的准则公司根据ISO/IEC20000-1:2018《服务管理体系要求》标准建立和维护信息服务管理体系。a)公司信息服务风险的标准，按ISO/IEC20000-1:2018《服务管理体系要求》公司应急广播设备、广播电视前端设备和商用数字前端设备产品及其软件开发及其系统集成和售后服务范围和经营管理模式以及相关方的要求，来识别信息服务管理过程的风险，对识别后的信息服务风险采取相应的措施，从而制定公司信息服务管理风险标准。b)按照公司信息服务管理方针、目标和识别后的信息服务风险，来规定接受信息服务风险的准则。6.1.2.2、决定执行的信息服务风险评估标准本公司按照信息服务风险标准和接受风险的准则，通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查等控制措施，并报告结果以实现：a)及时发现处理结果中的错误、信息服务体系的事故和隐患；b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；c)使管理者确认人工或自动执行的安全活动达到预期的结果；d)使管理者掌握信息活动和解决安全破坏所采取的措施是否有效；e)积累信息服务方面的经验;6.1.2.3、公司确保重复使用信息服务风险评估过程产生一致性的、有效的和可比的结果a)公司通过风险评估过程，识别体系范围内的信息保密性，完整性和可用性的损失风险；b)在识别信息服务风险过程中，要确认和识别这些风险的所有者；6.1.2.4、分析风险a)评估在处理风险和机遇的行动及整合和实施这些措施，在纳入信息服务管理体系的过程，评价实现后的潜在后果；b)评估在处理风险和机遇的行动及这些措施的有效性，在实现过程中的可能性；c)根据风险信息服务风险的分析和实现控制的实现后的潜在后果和可能性，来确定信息服务风险的等级；6.1.2.5、评估信息安全风险a)按照建立和维护信息服务风险的标准和信息安全风险的接收准则，来建立的风险标准的风险比较分析结果，并以此建立优先级；b)按照建立的信息服务风险建立的风险优先级来采取相应的措施，对其实现后的安全风险控制予以评估；6.1.2.6、生产管理部和行政人事部应保留信息服务风险评估过程的记录，并纳入文档化的管理。6.1.3、信息服务风险的处置6.1.3.1、识别信息服务管理的风险在已确定的信息技术服务管理体系范围内，本公司按《风险评估控制程序》，对所有的风险进行处置及管理6.2、可实现的信息服务目标和计划6.2.1、建立实施及运作信息服务管理体系6.2.1.1、为确保信息服务管理体系有效实施，对已识别的信息服务风险进行有效处理，本公司开展以下活动：a)形成风险处理计划，以确定适当的管理措施、职责及信息服务控制措施的优先级；c)实施所选择的控制措施，以实现控制目标的要求；d)确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果；e)进行信息服务的培训，提高全员意识和能力；f)对信息服务体系的运作进行管理；g)对信息服务所需资源进行管理；h)实施控制程序，对信息服务事故（或征兆）进行迅速反应。6.2.1.2、公司信息服务目标信息技术服务目标：①客户单位满意率≥85%/半年②服务响应及时率≥98%/月③服务年度投诉次数不超过2次/季度④提供信息系统监理服务全年正常运行率≥99.90%6.2.1.3、公司建立的信息服务管理目标，与公司信息服务方针是一致的；是可测量的，并充分考虑到适用的信息服务管理要求，以及对信息服务风险的评估和处置结果；6.2.2、当计划实现信息服务目标时，公司应确定:a)确保安全活动的执行符合信息服务方针；b)确定如何处理不符合；c)批准信息服务的方法和过程，如风险评估、信息分类；d)评估信息服务控制措施实施的充分性和协调性；e)有效的推动组织内信息、服务教育、培训和意识；f)评价根据信息服务事件监控和评审得出的信息，并根据识别的信息服务事件推荐适当的措施。6.3策划服务管理体系本公司服务管理团队须遵循Plan-Do-Check-Act模式策划，实施、检查和改进管理体系，详见下图所示的PDCA模型。同时应当建立、实施和维护服务管理计划。计划应考虑到服务管理策略，服务需求和在ISO/IEC20000中本部分的要求。服务管理计划应包含或引用至少以下内容：a)由本公司来实现的服务管理目标。b)服务要求。c)影响公司产品软件开发、系统集成服务的已知限制。d)策略，标准和法律法规要求和合同义务。e)权力架构，职责和过程角色。f)权力和责任的计划，服务管理流程和服务。g)人力资源、技术资源、信息资源和财务资源来实现服务管理目标。h)在与其它各方合作时采取的步骤，包括设计和转化新的或变更的服务流程。i)对服务管理流程和其它组成部分进行整合时接口的步骤。j)风险管理和接受风险的准则的步骤。k)用于支持公司产品及服务的技术。l)产品和服务的成效需要被度量、报告和改进。6.3.1策划服务管理a)服务管理目标:1)建立符合ISO20000国际标准的服务管理体系,有效整合和利用人员、设备和资金等资源。2)建立符合ISO20000国际标准的服务质量管控（QA）体系，提升服务品质，提升对用户的支技能力。3)建立起“计划-实施-检测—改进”的循环，以服务管理团队为驱动力使之正常运转并辅以质量检查，持续改进服务和服务管理水平。b)服务管理的范围：服务管理的范围包括为达到服务管理目标所需的资源（人员、设备和资金等）和所提供的服务。1)人员：包括人员的招聘、培训、资质认证、团队建设等。2)设备：包括与服务管理相关的软、硬件等。3)资金：包括服务管理过程中相关服务预算与核算活动等。4)服务：包括服务目标的设定、服务计划的编制、服务的新增和改进等。c)管理计划：d)服务管理组织及其职责。本公司服务管理团队由管理者代表、内审组以及各过程与人员组成。具体角色职责及定义参见《服务管理角色与职责说明》。本公司服务管理体系定义和实施的过程包括：1）服务组合2）关系与协议3）供给与需求4）服务设计、开发和转换5)解决与实现6）服务保证在每个过程的过程描述文档中，将对过程的范围、目标、角色职责、活动交互、绩效指标及评价方法进详细的定义。各过程之间的接口。过程之间的接口定义和通过接口的信息传递将在过程定义文档中进行详细的描述，在此对服务管理各过程之间的接口简要描述详见（各过程描述图）。本公司服务管理体系以服务级别管理过程为核心，以配置管理为基础，将服务管理体系中的各过程串联起来。服务级别管理过程为多个过程提供输入，各过程也将服务级别协议要求的执行情况估为输出返回到服务级别管理过程。7、支持7.1、资源本公司确定并提供实施、保持信息服务管理体系所需资源；采取适当措施，使影响信息服务管理体系的有效运行：7.2、能力a)建立、实施、运作、监视、评审、保持和改进信息服务管理体系；使影响信息服务管理体系工作的员工在产品信息服务管理体系的管理控制下，具备必备的能力是胜任的，以保证公司信息服务管理体系的绩效：b)确保员工在适当的教育、培训或取得经验后是能够胜任的；c)在适当的情况下，采取培训和指导，按照员工的能力来重新分配职能以及对各部门、生产管理部主管人员的任用和聘用。以获得他们必要的能力，并评估所采取行动的有效性；d)保留文档化的信息作为追溯的证据。7.3、意识公司制定并实施《人力资源安全管理程序》文件，确保被分配信息服务管理体系规定职责的所有人员，都必须具备信息服务管理意识，并有能力执行所要求的任务。a)确定信息服务管理方针在各工作岗位的员工的理解；b)使员工按照信息服务管理体系的要求，在应急广播设备、广播电视前端设备和商用数字前端设备产品及其软件开发及其系统集成和售后服务活动中做出有效贡献；c)对不符合信息服务管理体系要求所带来的影响，要评价所采取措施的有效性；d)保留教育、培训、技能、经验和资历的记录。7.4、沟通公司在信息服务管理体系的控制中，要识别、评价、确定公司内部和外部相关方的沟通需求，确认：7.4.1、沟通内容a)内部沟通：公司在应急广播设备、广播电视前端设备和商用数字前端设备产品研发生产及其软件开发及其系统集成和售后服务活动中，员工的策划、能力、范围和措施，能否达到信息、服务管理的要求，从管理层到基层达到纵向沟通，各部门、生产管理部之间达到横向的沟通。b)外部沟通：公司在生产经营过程中，接触到的政府部门、监管部门、协会、客户、供应商及其他的相关方，就合同、合作、监管和需沟通的事宜进行沟通；7.4.2、何时沟通对周期性的事宜，如第三方审核，采用定期的方式进行沟通，对政府部门、监管部门、客户、供应商采取定期或不定期以及随机的形式进行沟通。7.4.3、沟通对象在沟通过程中，无论是内部或外部沟通，沟通对象要确定到单位、部门和人。内部沟通以《工作联系单》的形式进行，外部沟通要建立台账，设定专人或兼职人员进行管理控制。7.4.4、谁应该沟通沟通中公司或部门要确立沟通的责任人和联络人，要设置专人接口。责任到人，归口到岗。可采用书面文件、电话、电子邮件、QQ等形式予以沟通。通过适当的手段保持在内部对信息服务措施的执行情况与结果进行有效的沟通。7.4.5、沟通的有效性在沟通中要对沟通的事宜进行优化，采用书面形式的要保持沟通记录，采用其他沟通方式的要有共同轨迹。对沟通的事项的结果，要继续必要的验证，保持验证结果，以证实沟通是有效的。对信息技术服务目标及分解进行适当的管理，确保改进达到预期的效果。7.5、文件化信息7.5.1、总则本公司信息服务管理体系文件包括：a)文件化的信息服务方针、控制目标；b)信息服务管理体系手册（本手册，包括信息服务适用范围及引用的标准）；c)本手册要求的《风险评估控制程序》、《业务持续性管理程序》、《纠正与预防控制程序》、《管理评审控制程序》等支持性程序；d)质量管理体系的支持性程序。如：《文件控制程序》、《内部审核控制程序》等；e)为确保有效策划、运作和控制信息服务过程所制定的文件化操作程序；f)《风险评估报告》、《风险处理计划》以及相关的记录类；g)相关的法律、法规和信息服务安全标准；h)适应性声明。7.5.2、创新和更新7.5.2.1、公司制定并实施《文件控制程序》，对信息服务管理体系所要求的文件进行管理。对信息服务信息技术服务手册、程序文件、管理规定、作业指导书和为保证信息服务管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作做出规定，以确保在使用场所能够及时获得适用文件的有效版本。7.5.2.2、文件控制应保证：a)文件发布前得到批准，以确保文件是充分的；b)必要时对文件进行评审、更新并再次批准；c)确保文件的更改和现行修订状态得到识别；d)确保在使用时，可获得相关文件的最新版本；e)确保文件保持清晰、易于识别；f)确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的销毁；g)确保外来文件得到识别；h)确保文件的分发得到控制；i)防止作废文件的非预期使用；j)若因任何目的需保留作废文件时，应对其进行适当的标识。7.5.3、文档化信息的控制7.5.3.1、信息服务管理体系所要求的文档信息是体系符合标准要求和有效运行的证据。公司管理层制定人员负责制定并维持易读、易识别、可方便检索又考虑法律、法规要求的《文件控制程序》，规定文档信息的标识、储存、保护、检索、保管、废弃等事项。7.5.3.2、信息服务体系的文档信息，包括所有过程的结果及与产品相关的服务事故文档信息。各部门应根据《文件控制程序》的要求采取适当的方式妥善保管文档信息的安全，确保文档化信息不失密，且使用得当。7.5.3.3、对文档化信息的控制，公司采取如下活动予以控制：a)由人力资源部IT工程师，对计算机系统的分配、访问权限、检索的使用进行控制。b)运用服务器对信息进行存储和保存，为确保存储信息数据的安全，公司设置远程服务器予以备份，确保信息的安全。c）当公司业务的发展，服务器和软件版本不能满足公司的存储量和需要时，需进行变更管理，加大服务器的并发数，并协同软件开发单位共同完成变更控制。d)对公司文档化信息的控制中，要求各部门要保留文档化信息管理和处置的记录。7.5.3.4、公司在信息服务体系的规划和运作管理中，对外来文档化信息，由研发中心予以识别和管理，对外来的电子文档，研发中心予以规定阅读权限和更改文档化信息的授权。7.5.4服务管理体系文档信息服务管理体系的文档包括：a)服务管理体系范围。b)服务管理方针和目标。c)服务管理计划。d)变更管理方针和服务连续性计划。e)组织服务管理体系的过程。f)服务要求。g)服务目录。h)服务级别协议。i)与外部供应商签订的合同。j)与内部供应商或作为供应商的客户签订的协议。k)本标准要求的程序。7.6知识公司应确定运行服务管理体系过程所需的知识，以获得在应急广播设备、广播电视前端设备和商用数字前端设备产品研发生产及其软件开发及其系统集成和售后服务服务。这些知识应予以保持，并在需要范围内可得到。为应对不断变化的需求和发展趋势，公司制定岗位职责与任职要求，以确定如何获取更多必要的知识，并进行更新。

组织知识是从其经验中获得的特定知识，是实现组织目标所使用的共享信息。组织知识可以基于：a)内部资源（如：知识产权、从经验获得的知识、从失败和成功项目中获得的教训、获取和分享未形成文件的知识和经验、过程、在应急广播设备、广播电视前端设备和商用数字前端设备产品研发生产及其软件开发及其系统集成和售后服务的改进结果）；b)外部资源（如：标准、学术交流、专业会议以及从业主和外部供方收集的知识）。8、运行8.1、运行计划及控制公司在应急广播设备、广播电视前端设备和商用数字前端设备产品研发生产及其软件开发及其系统集成和售后服务的策划、实施、运行控制过程中，要依据ISO/IEC20000-1:2018《服务管理体系要求》标准，满足信息服务的要求，并实施信息服务风险的处理和采取机遇的行动措施。8.1.1、公司在进行信息服务管理的过程中，实施文档化信息服务管理，从而保证实施过程是按照信息服务管理计划来实施的。8.1.2、当实施过程与计划出现不吻合的情况时，应及时对信息服务管理计划进行评审，予以变更，同时评审未变更的计划内容，采取适当的措施，以减轻对信息服务管理的不良影响。8.1.3、按照国家和行业的要求，公司在应急广播设备、广播电视前端设备和商用数字前端设备产品研发其软件开发是不能进行外包和分包的，目前，公司未出现外包项目。8.2服务组合8.2.1服务交付公司应运行服务管理体系，确保活动和资源的协调。公司应执行交付服务所需的活动。8.2.2服务策划公司应确定和记录现有服务、新服务和服务变更的要求。公司应根据公司、客户、用户和其他相关方的需求确定服务的紧急程度，公司应确定和管理服务之间的依赖性和重复性。公司应根据需要提出变更，以便服务与方针、服务管理目标和服务要求保持一致，同时考虑已知的限制和风险。公司应优先考虑服务变更请求或变更服务的提议，以在考虑可用资源的情况下与业务需求和服务管理目标保持一致。8.2.3服务生命周期内各参与方的控制8.2.3.1公司识别了设计和转化新的或变更的服务流程、服务交付流程、信息安全流程、关系流程、解决流程、控制流程等的流程，服务提供者应识别由各利益相关方来运作的所有流程，或部分流程。各利益相关方可以是一个客户或供应商的内部小组，其他方不得提供或运行服务管理体系范围内的全部服务、服务组件或过程。公司应评价和选择服务生命周期内其他参与方的准则，并实施评价和选择。公司应确定以下内容并形成文件：a)其他方提供或运行的服务。b)其他方提供或运行的服务组件。c)其他方运行的公司管理体系范围内的过程或部分过程。公司应集成公司自身或其他方提供和运行服务管理体系范围内的服务、服务组件和过程，以满足服务要求，公司应协调与服务生命周期内的其他参与方的活动，包括服务策划，设计，转换，交付和改进服务。8.2.3.2公司应对其他各方定义和应用下列相关的控制措施：a)过程绩效测量和评价。b)服务和服务组件在满足服务要求方面的有效性测量和评价。8.2.4服务目录管理公司应创建并维护一个或多个服务目录，服务目录应包括组织、客户、用户和其他相关方的信息，以描述服务、服务的预期结果和服务之间的依从关系。公司应允许客户、用户和其他相关方访问服务目录的有关部分。8.2.5资产管理公司应确保对交付服务的资产得到管理，以满足服务要求和服务管理体系策划所规定的义务。8.2.6配置管理8.2.6.1研发中心应根据《配置流程管理程序》的要求，评估所有与服务相关的重要资产和配置项，识别、定义、维护服务和基础设施的组件，明确配置项之间的关系、属性和作用，定义命名规范、版本号，以确保有效管理资产和配置。8.2.6.2每个配置项均有唯一标识，并记录,同时每个配置项记录的信息记录应包括:a)配置项的说明。b)配置项和其它配置项之间的关系。c)配置项和服务组件之间的关系。d)状态。e)版本。f)位置。g)有关更改请求。h)相关的问题和已知错误。8.2.6.3研发中心根据配置项之间的关系、属性、状态类别、重要程度和优先级，确定配置管理数据库的范围、分解的层数、详细的程度，完成配置管理数据库的构建。8.2.6.4研发中心记录配置信息，并每年末进行更新。主要包括：配置管理的范围、目标、策略、标准角色和责任、配置管理过程定义服务和基础设施中配置项，配置控制变更，记录和报告配置项情况，证实配置项的完整性和正确性责任、可检索、可审计的要求，如出于安全、法律、规章或业务目的、配置控制（访问、保护、版本、开发、发布控制）、交互控制过程，及信息接口和发布、资源管理策划和建立，以便使资产和配置受控，并维持配置管理系统，如培训活动、与配置相关的供应商管理要求和活动。8.2.6.5研发中心在配置管理过程中应监控配置项的整个生命周期，确保只有被授权且可识别的配置项才被接受，并记录从接受到销毁的全过程；没有被认可的变更请求，不能添加、修改、替换或删除配置项。8.2.6.6生产管理部应保存有效的配置记录，以反映配置项状态、位置和版本的变化，并通过各种状态监控配置项的变更，例如订购、接收、测试、使用、变更、拆卸、取消。配置项的更新信息应作为配置管理计划和变更管理的输入。8.2.6.7为保护系统、服务和基础设施的完整性和安全性，配置项信息应被保存在一个安全环境。应：保护其不受未授权访问、变更或破坏、提供灾害后恢复方法、对受控软件、测试产品和支持文档等备份的恢复进行限制。8.2.6.8配置评审程序应包含缺陷记录、执行纠正措施和报告结果。8.2.6.9生产部应定期组织相关部门实施配置认可和审核活动，并检查是否有充分的资源以支持：保护物理配置和公司的知识资本、确保公司控制其配置、原件和许可证、确保配置信息是准确、可控、可见。8.2.6.10生产部应确保变更、发布、系统或环境符合其合同约定或事先约定的要求且配置记录是准确的。8.3.6.11在审核中出现的缺陷或不符合项应被记录、评估和改进。8.3关系与协议8.3.1总则公司可以使用供应商完成以下工作：a)提供或运行服务；b)提供或运行服务组件；c)运行公司服务管理体系范围内的过程或部分过程。8.3.2业务关系管理8.3.2.1业务中心应当建立目录包括所有客户、用户和各利益相关方，并对于每一个客户应当指定专人负责管理客户关系管理和客户满意度。8.3.2.2业务中心按照《业务关系流程管理程序》要求，牵头并定期组织市场部门，开展服务管理评价活动，讨论、汇报服务范围、SLA、合同或业务需求的变化，及性能、成绩、结果和措施计划，形成会议纪要。8.3.2.3当服务目标、服务需求、支持合同、业务等发生新增、变更或撤销时，研发中心应按《新的或变更的服务设计管理程序》的要求，提出并评估服务范围和SLA的改进方案，由相关部门组织实施。8.3.2.4业务中心与客户建立有效的互动、沟通关系，以便及时了解客户的需求或重大变更，并依据需求进行响应。根据《业务关系流程管理程序》，定义、收集、分析客户满意度数据和信息，监控客户满意度的趋势。8.3.2.5业务中心根据《业务关系流程管理程序》中的客户投诉管理过程，负责收集、统计、分析客户投诉的记录，识别投诉的发展趋势和存在问题，确保服务的连续性目标的实现。同时联络客户在计划的时间间隔复审服务的表现。8.3.2.6调查客户满意度类型周期发起部门负责人调查目的调查对象备注定期每年业务中心负责人全面了解所有用户对服务的满意度及当前需求所有客户单位覆盖全部客户不定期新服务/产品上线运行后一段时间负责人了解用户对新服务/产品的使用情况及改进建议有针对性的选择调查对象，通常是新服务/产品的主要用户可选项8.3.2.7周期负责人沟通方式目的联系对象备注日常管理业务中心/研发中心用户提交需求和建议。及时掌握用户所需，了解不足，采取纠正改进措施。每位有需求或建议的外部用户和内部用户。每年业务中心定期对部分用户部门进行反馈调查了解用户对服务的需求、建议和满意程度按客户满意度调查计划安排的用户部门或用户群每年完成一次全面调查每季度业务中心抽取一些当前已关闭的投诉，回访用户确保投诉都得到及时响应，处理结果也被用户认可进行投诉的用户可选项8.3.3服务级别管理8.3.3.1根据公司的战略策划、资源要求及客户需求，业务中心与其他相关部门沟通、确定服务级别协议SLA，应考虑：可接受持续损失服务的最大周期、可接受降级服务的最大周期，服务恢复时，可接受降级服务级别。8.3.3.2《服务级别协议》应明确：服务要求和期望服务工作量特征的协议、服务目标协议、服务级别实现、工作量的测量，期望，以及服务目标不能完成的分析与说明。8.3.3.3业务中心应依据与客户签订的SLA以及《供应商流程管理程序》的要求，组织签署与施工方之间的支持合同（或协议），并应由相关方定期评审。8.3.3.4定期对《服务级别协议》进行监视、评审、报告。当出现重要业务变更时，业务中心应及时沟通，按原过程重新组织相关部门，调整、修订《服务级别协议》，并作为服务改进计划的输入。8.3.4供应商管理8.3.4.1业务中心按《供应商流程管理程序》的要求，指定专人管理与供应商的关系、合同和绩效。并对供应商提供的服务的过程进行管理，完善供应商管理制度和采购规范，并确保：a)供应商了解其对本公司承担的责任。b)服务要求满足协议约定的服务级别和范围。c)管理变更。d)记录与相关各相关方的业务交流。e)了解所有供应商的业绩并采取相应改进措施。8.3.4.2供应链负责组织相关部门对供应商提供服务的所满足的需求、范围、服务级别、接口和沟通过程等进行评审并达成一致，按公司正式授权，组织签署与供应商之间的服务合同。主要包含以下内容：a)供应商提供的服务范围。b)服务、流程和各方之间的依赖关系。c)供应商必须满足的要求。d)服务目标。e)供应商在与其它各方在服务管理过程中的接口。f)在系统集成服务中供应商的所有行为。g)工作量特点。h)合同的例外情况，以及将如何处理这些情况。i)服务提供者和供应商的权力和责任。j)由供应商提供的报告和信息。k)收费的依据。l)预计终止或提前终止合同，及将服务转让给第三方时的行为和责任。8.3.4.3当公司与供应商的支持合同或供货协议需要修订或变更时，市场部应重新组织相关部门进行合同评审，在评审中应讨论和明确对本公司SLA影响和变更，并按照《变更管理程序》的要求实施。8.3.4.4业务中心按《供应商流程管理程序》的要求，对公司系统集成供应商进行年度评审，监督、记录供应商对本公司SLA的落实情况，将评定的结果及时反馈给相关供应商，并组织进行相关调整和改进。8.5.4.5业务中心应组织管理与供应商之间的合同冲突，并在支持合同或供货协议中明确。如果争议无法通过正常途径解决时，应交由更高级别的解决途径。8.3.4.6业务中心应确保所有合同冲突被记录、调查、解决并正式关闭。8.4供给和需求8.4.1服务的预算和核算8.4.1.1服务的预算和核算过程与其它财务管理流程之间应有的接口。8.4.1.2应当有以下内容的策略和书面流程：a)应对支出进行预算，以便开展有效的财务控制和为决策制定提供服务。b)服务提供者应当监测和报告预算的支出，审查财务预算，从而管理成本。注：许多服务提供者对服务费进行记账。对预算编制和核算范围的服务过程中不包括赊账。8.4.1.3生产管理部应根据国家的有关法律法规和财务政策，以及公司的业务策略（包括产品策略、销售策略、服务策略等），组织拟制、审核本部门的总体性和阶段性的服务费用预算及成本标准。服务组件的预算和核算应至少包括；a)资产-包括用于提供服务的许可证。b)共享资源。c)管理费用。d)资本和运营开支。e)外部提供的服务；f)人员，设施。g)将间接成本和直接成本分配给各项服务，为每个服务提供一个整体成本。h)有效的财务控制和审批。8.4.1.4生产管理部根据公司业务发展战略、公司现有的SLA要求，及本部门业务的特点，按部门工作计划的内容，组织拟制本部门阶段性的费用预算计划，经财务部汇总、报批后实施。8.4.1.5在预算期间出现的服务变更引起的预算变化，相关部门应按变更管理流程的要求执行预算变更申请。8.4.1.6在对《服务级别协议》进行评审时，生产管理部应根据公司策略，评估实现服务目标和需求的成本，并根据确定的服务级别协议跟踪成本的变化。8.4.1.7生产管理部应根据预算跟踪财务变化，并对超出预算要求的变化，提前向相关部门提出预警信号。8.4.2需求管理公司应按计划的时间间隔：a)确定目前和未来的服务需求；b)监视并报告服务的需求和使用量。8.4.3能力管理8.4.3.1研发中心负责现有服务系统能力水平的策划，根据《能力管理程序》的要求，制订《能力计划》，应在计划中描述业务需求，应包括：a)现行的和预计的服务需求。b)人员能力、技术可行性、信息和为达到SLA所要求的服务级别目标和业务需求所应具备的条件c)升级服务能力的时间范围、阀值和成本。d)约定的服务级别目标、服务可用性和服务连续性要求对能力的影响。e)根据服务需求得出的当前和未来的能力。f)能够进行预测分析的程序，或它们的引用。8.4.3.2生产管理部应当与客户和有关方面确定并认同能力和性能要求,当出现临时的新增或变更服务引起能力计划需要进行变更时应通过变更管理过程来控制。8.4.3.3生产管理部应当监测能力使用情况，分析能力数据并优化性能。该服务提供者应提供足够的能力以完成协议能力和性能要求。8.5服务设计、开发和转换8.5.1变更管理8.5.1.1变更管理方针公司应制定变更管理方针并形成文件。定义以下内容：a)纳入变更管理控制的服务组件和其他项目；b)变更类型（包括紧急变更）以及管理变更的办法；c)对客户或服务有潜在重大影响的变更的判定准则。8.5.1.2变更管理启动8.5.1.2.1本公司形成的相应程序将应用于所有新的有可能变更的服务，这对服务和客户将产生重大影响。变更由变更管理策略控制，对于新的或变更的服务的评估、审批、调度和审查范围的变更应当由变更管理流程控制。新的或变更的服务范围的配置项影响应由配置管理流程控制。8.5.1.2.2公司管理层会应当审查新的或变更合同约定的服务要求以及新的或变更的服务计划，设计和开发新的或变更的服务过程中有关规定给予的规划和设计活动的输出。在此基础上，应当接受或拒绝输出。同时应当采取必要行动，以确保发展和新的或变更的服务可以进行有效的转化，采用公认的输出。注：一个新的服务需求或向服务转变可以来自客户，服务提供者，一个内部组或一个内部供应商，以满足业务需要或改善服务的成效。8.5.1.2.3业务部门负责与客户沟通，生产管理部配合，收集客户对现有SLA的满意度水平。分析、整理客户新的或变更服务的要求，及时反馈客户的改进需求。8.5.1.2.4当出现新服务或变更服务时，研发中心根据《新服务及变更服务管理程序》的要求，组织实施服务管理和提供服务策划和实施工作。8.5.1.2.5研发中心组织对新服务或变更服务策划结果的验证、确认，验证通过后按《新服务及变更服务管理程序》实施。8.5.1.2.6研发中心应报告新服务或变更服务按计划实施所达到的结果，研发中心按《发布流程管理程序》，执行实施发布评审，比较实际结果与期望结果的一致性。8.5.1.3变更管理活动8.5.1.3.1研发中心根据公司业务需要或客户需求，制订变更计划。应考虑：清晰定义变更的范围、在变更管理控制下的配置项、使业务增值的变更才能被认可，例如商业的、法律的、规章的、法令的、根据优先级和风险为变更安排时间、在变更实施中验证配置项变更、需要时监控并改进变更实施时间。8.5.1.3.2研发中心在组织开展变更时，还应在变更计划中对具体实施进行说明：发起、记录和分类、评估变更对服务、客户和发布计划的影响、紧急程度、成本、收益和风险、如果没有成功时可以恢复或修订、备案，如变更请求与受影响的配置项、更新后的实施和发布计划版本、根据变更的类型、大小和风险，得到变更负责方的认可或拒绝、由负责变更组件的团队负责人进行实施、测试、验证、取消、结束和评审、时间安排、监控和报告、与事件、问题、其它变更和配置项记录联系。8.5.1.3.3研发中心应将变更计划安排的时间信息及时提供给与变更有关的人员，变更状态和安排的实施时间应作为变更和发布时间安排的依据。8.5.1.3.4研发中心应在变更实施后组织对其效果和改进记录进行评审，评审结果应妥善保管并作为服务改进计划的输入。实施后评审应检查：变更是否满足目标、客户对结果是否满意、没有预期之外的负面影响。8.5.1.3.5研发中心应在变更计划中考虑紧急变更的要求，识别紧急变更的需求、风险和必要性，定义紧急变更的内容、范围、级别、权限、接口、活动等，并在变更后评审。8.5.1.3.6研发中心应对变更分析结果和结论采取相应的纠正、预防措施，并保存相关的记录。8.5.2服务设计和转换8.5.2.1策划新的或变更的服务8.5.2.1.1公司研发中心应确定新的或变更的服务的要求。新的或变更的服务应当被规划以符合服务要求。新的或变更的服务的规划应由客户和利益相关方认可。8.5.2.1.2作为计划的输入，研发中心应当考虑到提供新的或变更的服务潜在的财务、组织和技术上的影响。生产管理部也应考虑到新的或变更的服务对SMS的潜在影响。8.5.2.1.3新的或变更的服务的计划应包含或引用包括但不限于以下内容：a)设计、开发和转化活动的权力和责任。b)活动应当由以下各方履行：服务提供者和包括与服务接口的其它各方。c)与各利益相关方沟通。d)人员、技术、信息和财务资源。e)依赖的其它服务。f)新的或变更的服务的测试要求。g)服务验收标准。h)用可衡量的术语表示提供新的或变更的服务的预期输出。8.5.2.1.4对于要被删除的服务，技术生产管理部应做出服务删除计划。计划应包括删除、归档、处理数据，文件和服务组件的转移的日期。服务组件可以包括基础设施和与应用程序相关的许可证。8.5.2.1.5研发中心应当对那些致力于新的或变更的服务组件条款的各方加以识别鉴定。应当评估其能力以满足服务需求。评价的结果应当予以记录并采取必要的行动。8.5.2.2设计/8.5.2.3开发和转换8.5.2.2.1研发中心负责对新的或变更的服务进行设计和文档化时应至少包含以下内容：a)交付新的或变更的服务时的权力和责任。b)提供新的或变更的服务时服务提供者、客户和其他各方需执行的活动。c)新的或变更的人力资源需求，包括对适当的教育、培训、技能和经验的要求。d)交付新的或变更的服务时的财政资源需求。e)新的或变更的技术来支持提供新的或变更的服务。f)新的或改变的计划和策略，要求符合本部分的ISO/IEC20000。g)新的或变更合同和其它文件的变化协议，以配合服务变更要求。h)对研发和服务的变更。i)新的或变更的服务水平协议。j)对服务目录进行更新。k)在交付新的或变更的服务过程中使用的程序、措施和信息。8.5.2.2.2研发中心应当确保设计使新的或变更的服务满足服务要求。8.5.2.2.3新的或更改服务，应当按照文件化的设计制定。8.5.2.2.4研发中心应当组织对新的或变更的服务进行测试，以验证它们是否符合服务要求和设计文件。新的或更改的服务应由销售管理部和有关方面事先约定验收标准。如果服务不符合验收标准，生产管理部和有关各方应当做出必要的决定和部署的行动。8.5.2.2.5发布和部署管理过程应用于部署已批准的新的或变更的服务到真实环境。8.5.2.2.6随着转化活动的完成，服务提供者应当及时向有关方面报告关于对预期成果取得的成效。8.5.3发布和部署管理8.5.3.1研发中心根据《变更管理程序》的要求，结合业务对信息系统、基础设施、服务和文档等进行策划，识别发布的内容、种类、层次、影响等，制订发布策略来配置发布活动，包括：发布频度和类型、发布管理的角色和责任、发布测试和实施的授权、所有发布的唯一标识和描述、分组变更以进行版本发布、为提高效率和可重复性，建立、安装、发布分发过程自动化方法、发布的验证和接受。8.5.3.2研发中心根据需要负责制订发布计划，确保相关的信息系统、基础设施、服务和文档得到认可、授权、预定、协调和跟踪。一般包括：发布日期和交付描述、本次发布关闭或解决的相关变更、问题和已知错误，以及在发布测试期间被识别的已知错误、在可行的情况下，为每个实施地点制订一份活动计划、如发布失败，可以被撤销或修复的方式、验证和验收过程、对客户和服务支持人员的交流、准备、备案和培训、采购、存储、分发、联系、接受和销毁商品的后勤工作和过程、确保服务级别所需的支持资源、可能对发布测试和实施造成影响的相关变更和风险的标识、与相关人员、客户代表安排的更新、评审会议。8.5.3.3当进行重大升级时，研发中心组织安排仿真环境的验证和评审，确保发布进入生产时与预期状态一致。发布的结果包括发布通告、安装指南、基于相关配置基准线的已安装软硬件等。8.5.3.4生产管理部按发布计划的安排，组织上线实施工作。并及时向研发中心反馈上线成功的验证信息。如果发布未成功，则应按发布计划中制订的撤销计划的内容，实施回退操作，并将发布情况及时报告研发中心。8.5.3.5研发中心对发布未成功的原因进行确认，如需重新实施变更，则按《变更流程管理程序》的要求执行。如属潜在问题引起的发布未成功，则应按《问题流程管理程序》的要求执行。8.5.3.6发布成功后，研发中心应及时将发布信息对配置管理数据库进行更新,并对事件、问题知识库进行更新。8.5.3.7