服务与信息安全管理手册

山东瀚高科技有限企业管理体系管理手册山东瀚高科技有限企业文档公布信息文档名称：管理手册文档编号：L1-MM版本号：保密级别：内部使用级拟制人：张春志审核人：常瑞东、孟祥辉、卢健、张鲁敏、宋乐、刘学春、母晓明、韩志平公布范围：企业管辖的所有部门公布日期：批准人：苗健修订记录版本号修订日期修订人类别修订阐明张春志M张春志M换版 注1：修订类别分为：A—新建/增长、M—修订、D—删除目录TOC\o"1-3"\u颁布令 I任命书 II管理方针和目的 1山东瀚高有限企业简介 2山东瀚高有限企业组织构造图 31目的和范围 3 目的 3 范围 32 引用原则 43 术语和定义 44 管理体系规定 5 总规定 5 管理架构 8 管理体系运作机制 8 管理体系文献 10 总则 10 质量手册 10 文献控制 11记录和资料控制 135 管理职责 13 管理承诺 13 以顾客为关注的焦点 14 质量方针 14 筹划 15 质量方针 15 质量管理体系筹划 15 职责、权限和沟通 15 职责和权限 15 管理者代表 15 内部沟通 16 管理评审 16 总则 16 评审输入 17 评审输出 176 资源管理 18 资源的提供 18 人力资源 18 基础设施 19 工作环境 197产品实现 19产品实现的筹划 19与顾客有关的过程 20与产品有关规定确实定 20与产品有关的规定的评审 20顾客沟通 21设计和开发 21采购 21采购过程 21采购信息 21采购产品的验证 22生产和服务提供 22生产和服务提供的控制 22生产和服务过程确实认 23标识和可追溯性 23顾客财产 24产品防护 24监视和测量装置控制 258测量、分析和改善 25总则 25监视和测量 26客户满意度 26内部审核 27过程的监视和测量 27产品的监视和测量 28不合格品控制 28数据分析 29数据来源 29数据的搜集和分析 29持续改善 30持续改善 30纠正措施 30防止措施 31附录A管理方针释义 32附录B管理目的 32附录C质量管理体系过程职责分派表 33附录D管理体系文献清单 36颁布令为提高山东瀚高科技有限企业IT服务管理和信息安全管理水平，规范化运行管理，山东瀚高科技有限企业根据《GB/TidtISO9001:质量管理体系规定》、《ISO/IEC0-1:Informationtechnology-Servicemanagement-Part1:Specification》、《ISO/IEC27001:Informationtechnology-Securitytechniques–Informationsecuritymanagementsystems-requirements》，结合企业实际状况建立符合以上原则规范规定的管理体系。《管理手册》论述了山东瀚高科技有限企业有关IT服务管理、服务质量管理、信息安全管理的管理方针，是规范山东瀚高科技有限企业服务管理与信息安全管理的大纲性文献，是建立、实行、评测、改善管理体系的指导性文献。本手册在编制过程中坚持符合性、合适性和有效性的统一，并广泛征求意见修订成稿，现予以公布，自公布日起正式生效实行。山东瀚高科技有限企业全体员工应认真学习、熟知本手册内容，并严格执行本手册的各项规定和规定。本手册将根据内、外部环境的变化适时进行评审、修改和完善。此令！山东瀚高科技有限企业总经理：苗健11

任命书山东瀚高科技有限企业“管理者代表”任命书为了贯彻执行《GB/TidtISO9001:质量管理体系规定》、《ISO9001:Qualitymanagementsystems-Requirements》、《ISO/IEC0-1:Informationtechnology-Servicemanagement-Part1:Specification》、《ISO/IEC27001:Informationtechnology-Securitytechniques–Informationsecuritymanagementsystems-requirements》，加强对管理体系运作的领导，保证山东瀚高科技有限企业管理体系的建立、实行、运作、监视、评审、保护和改善，特任命常瑞东为山东瀚高科技有限企业管理者代表。管理者代表的职责和权限是：代表总经理负责按原则规定建立、实行、运作、监视、评审、持续改山东瀚高科技有限企业的管理体系，实现企业的服务管理，质量管理与信息安全管理方针和目的；协助总经理开展管理评审，并向总经理汇报管理体系业绩和改善需求；负责组织山东瀚高科技有限企业《管理手册》的编写、修订和审核工作；保证在整个山东瀚高科技有限企业内提高满足客户规定的意识；负责提出资源配置以实现IT服务的交付和管理；负责协调和管理所有的IT服务管理工作；负责协调和管理所有的质量管理工作；提高企业全体人员的信息安全意识；负责企业管理体系有关事宜的外部联络工作。山东瀚高科技有限企业总经理：苗健管理方针和目的管理方针顾客至上、安全第一、质量为本、持续改善管理目的安全可靠：保证山东瀚高科技有限企业各项业务的安全运行，到达行业领先的高可用性，是压倒一切的管理规定。客户满意：以专业和完善的服务，到达行业领先的服务水平，实现客户满意。效率和效益：在保证安全可靠和客户满意的前提下，以诚信合作的精神和专业的技能，到达高效率和高效益。管理政策推进“流程化管理、原则化服务、高素质团体、高效率运作”的体系建设；向客户提供安全、可靠和稳定的信息系统管理服务，并持续优化服务质量。服务理念超越客户的期望值。同意：苗健 11★有关管理方针的释义见本文献附录A部分山东瀚高科技有限企业简介山东瀚高科技有限企业成立于，是国内领先的基础软件服务提供商。企业自成立以来一直致力于基础软件的研发、销售、服务和培训业务，瀚高和各大国际著名厂商亲密合作，建立了具有国内领先水平的技术工程师团体，开创了基础软件综合服务产品化的先河，研发了具有自主知识产权的服务管理软件，建立并完善了综合服务管理系统。秉承“专注数据服务，共享你我智慧”的理念，以数据为中心开展数据备份、容灾、数据仓库、数据综合运用等各项服务，瀚高将会一如既往的在数据平台服务领域加大投入，通过组织和业务流程的原则化，实现产品和服务的专业化，不停提高自身竞争力，巩固在业界的领先地位，引领数据服务产品化的时尚。重要服务：数据库基础软件中间件BI的实行与征询服务资源：优秀的管理和技术团体规范、专业的IT服务管理流程和信息安全管理规范山东瀚高有限企业组织构造图 管理者代表 总经理综合管理部管理者代表总经理综合管理部销售副总技术副总销售部商务部客户服务部产品部售前支持部系统支持部目的和范围目的山东瀚高为了规范企业的内部运作，安全、及时、精确地为客户提供服务，保证服务品质和信息安全，并重视持续改善，以期实现客户满意，而建立的运行管理体系符合如下原则规范的所有规定：GB/TidtISO9001:ISO/IEC0-1:ISO/IEC27001:范围本手册合用于：山东瀚高下属的各部门；企业所在驻地：济南市舜华路号舜泰广场8号楼西19层（北向）——山东瀚高科技有限企业根据山东瀚高的业务特点，对GB/TidtISO9001:、ISO/IEC0-1:以及ISO/IEC27001:原则中不合用于我司的部分条款作了删减。由于企业为客户提供服务活动，为常规业务，不波及到设计和开发，故对删除。上述条款的删除，不免除企业满足法律法规和客户规定的责任。ISO/IEC0-1:以及ISO/IEC27001:删减详见《L1-SOA-合用性申明》。山东瀚高管理体系合用于与数据备份、容灾、数据仓库、数据综合运用的服务有关的管理活动。引用原则本手册引用或根据下列有关国家/国际原则，当该原则增补或修订时，使用原则的最新版本：GB/T19001:《质量管理体系规定》GB/T19000:《质量管理体系基础和术语》ISO9001:《Qualitymanagementsystems-Requirements》ISO9000:《Qualitymanagementsystem-Fundamentalsandvocabulary》ISO/IEC0-1:《IT服务管理第一部分：服务管理规范》ISO/IEC0-2-《IT服务管理第二部分：服务管理实践守则》ISO/IEC27001:《信息技术-安全技术-信息安全管理体系-规定》ISO/IEC27002:《信息技术-安全技术-信息安全管理实行指南》术语和定义本手册采用GB/TidtISO9001:、ISO/IEC0-1:、ISO/IEC27001:的术语和定义。管理体系规定总规定山东瀚高将充足遵照GB/19000–、ISO9001:、ISO/IEC0-1:、ISO/IEC27001:等原则的规定，建立、实行运行管理体系，并持续改善，以保证其有效性。企业应：a)确定质量管理体系所需的过程及其在整个组织中的应用；b)确定这些过程的次序和互相作用；c)确定为保证这些过程的有效运作和控制所需的准则和措施；d)保证可以获得必要的资源和信息，以支持这些过程的运作和监视；e)监视、测量(合用时)和分析这些过程；f)实行必要的措施，以实现对这些过程所筹划的成果和对这些过程的持续改善。企业应按原则的规定管理这些过程，并对对企业所选择的任何影响产品符合规定的外包过程，应保证对其实行控制。对此类外包过程控制的类型和程度应在供应商管理手册中加以规定。管理体系模式图：资源管理过程产品实现过程测量、分析、改善过程管理架构山东瀚高根据GB/19000–、ISO9001:、ISO/IEC0-1:、ISO/IEC27001:的规定，建立符合企业业务特点的管理架构，明确各部门/岗位职责、沟通方式和渠道。山东瀚高设置管理者代表，保证管理体系的建立、实行和持续改善工作的贯彻，管理者代表负责向企业最高管理者汇报管理体系的业绩和任何改善的需求，保证在企业内提高对客户服务意识和信息安全意识；负责与管理体系有关事宜的外部联络工作。山东瀚高明确了管理方针、目的以及到达方针和目的的措施，并明确了管理体系的实行范围。管理目的的有效性每年至少评价一次。山东瀚高开展管理评审和内部审核工作，评估和管理风险，持续的评估和改善管理体系。山东瀚高明确了原则合用范围，ISO/IEC0-1:、ISO/IEC27001:记录在《合用性申明》文献中。管理体系运作机制山东瀚高在管理体系建立和维护过程中，充足遵照GB/TidtISO9001:、ISO/IEC0-1:、ISO/IEC27001:等原则的规定，采用PDCA模式建立、实行和维护管理体系，以保证其持续有效性，详细如下图所示。筹划与准备（Plan）重要是做好建设管理体系的多种前期工作，包括：管理现场调查，明确IT服务管理、服务质量管理和信息安全管理的目的，明确管理角色和管理框架的构造，建立风险评估措施，确定管理审核和改善服务质量的措施。进行管理体系设计，根据企业管理方针和业务特点，对业务过程进行识别，确定管理范围，明确过程控制的措施及过程之间的互相关系和接口。对人员进行教育培训。建设与实行（Do）根据筹划与准备阶段的成果，建立并推广、执行基于IT服务管理、服务质量管理和信息安全管理的管理体系，规范运行管理以实现预期的管理目的，为实现风险控制、评价和改善管理体系、实现持续改善提供不可或缺的根据。评估审核（Check）通过对管理体系运行状况的监视、测量，定期实行内部审核，保证管理体系下的各项管理制度得到贯彻，及时发现管理体系运行过程中存在的问题，为管理体系的持续改善提供基础。持续改善（Act）建立管理体系持续改善测量，根据评估审核的成果，制定执行纠正和防止措施，深入改善完善各项管理制度，以保证管理体系的持续有效性，保障信息安全，提高服务管理的有效性和效率。管理体系文献总则管理体系充足考虑了ISO/IEC0-1:原则中有关新服务或变更服务的筹划实行过程、服务交付过程、关系过程、处理过程、控制过程、公布过程，详细内容已被融合到管理体系的有关文献之中。管理体系充足考虑了GB/idtISO9001:原则中有关产品实现测量分析改善的内容，详细内容已被融合到管理体系的有关文献之中。质量管理体系文献应包括：a)形成文献的质量方针和质量目的（在手册中描述）；b)质量手册；c）本原则所规定的形成文献的程序和记录；d)组织确定的为保证其过程有效筹划、运作和控制所需的文献，包括记录。质量手册企业编制和保持质量手册，质量手册包括：a)质量管理体系的范围，包括任何删减的细节与理由（见范围）；b)为质量管理体系建立的形成文献的程序或对其引用（见附录文献清单）；c)质量管理体系过程之间的互相作用的表述。文献控制山东瀚高根据GB/idtISO9001:、ISO/IEC0-1:、ISO/IEC27001:原则的规定，结合企业的业务特点和实际状况，建立和执行合适的文献以保障管理体系的有效、高效运行，并对文献进行持续的修订完善，以保证其有效性。1企业文献体系构造：山东瀚高管理体系有关的文献由上而下分为四个阶层，如下图所示：第一阶层文献（简称一阶文献）：管理手册包括山东瀚高管理方针和方略，是山东瀚高管理体系的大纲性文献。一阶文献包括《管理手册》、《合用性申明》、《管理体系筹划》。质量管理明确了体系的范围，包括任何删减的细节与理由；描述了质量管理体系建立所形成文献的程序或对其引用；对质量管理体系过程之间的互相作用进行表述。第二阶层文献（简称二阶文献）：程序文献为到达GB/TidtISO9001:、ISO/IEC0-1:、ISO/IEC27001:原则规定而制定的各项管理制度、规范、流程以及有关支持性文献。第三阶层文献（简称三阶文献）：工作指导用来解释特殊工作和活动细节的作业指导书、实行细则和操作手册等。第四阶层文献（简称四阶文献）：表单记录根据GB/TidtISO9001:、ISO/IEC0-1:、ISO/IEC27001:原则的规定和体系实际运行需要，通过表单模板，对管理体系实行的活动过程和成果的记录进行规范，形成记录文献，用于作为管理评审、内部审核、外部审核、持续改善的客观证据。2文献控制管理体系文档建立、颁布及修订，应采用合适管控措施。管理体系文献的制定应符合企业的服务规模、产品类型、过程复杂程度、员工能力素质等实际状况，以便于理解应用。企业编制《文献管理手册》，规定如下方面所需的控制规定：a.文献公布前得到同意，以保证文献是充足与合适的；为文献的充足性与合适性，在文献公布前进行同意。b.管理体系文献应定期进行评审、修订完善，并再次同意以保持文献规定与实际运作的一致性，充足保障文献的有效性、充足性和合适性。c.保证文献的更改和现行修订状态得到识别；d.保证在使用处可获得有关版本的合用文献；e.保证文献保持清晰、易于识别；f.保证组织所确定的筹划和运行质量管理体系所需的外来文献得到识别，并控制其分发；g.防止作废文献的非预期使用，若因任何原因而保留作废文献时，对这些文献进行合适的标识。文献可以以任何媒体形式展现，如纸张、磁盘、光盘、照片、样片等。文献的审核、公布、变更、修订、废止等，应根据《文献管理手册》进行管控。记录和资料控制企业应建立及维持管理体系所规定的“记录”，以提供为符合规定和质量管理体系有效运行提供证据，记录应维持受控，记录应保持清晰,并易于阅读、辨识及检索查阅。记录应妥善保管，其鉴别、储存、取用、保护、保留期限、处置等事项，应根据《记录和外来文献管理手册》进行管控。管理体系文档及记录，可以以任何形式进行寄存（包括：纸本及电子文档）。管理职责管理职责企业管理层应在管理体系建立、实行、运行、监视、评审和持续改善中提供承诺和支持，并通过多种活动完毕如下工作，以保证有关各项工作的顺利开展，并提供承诺和支持的证据。建立符合有关原则的管理组织，包括决策层、管理层和执行层。制定IT服务管理、信息安全管理、服务质量管理的管理方针和目的。提供足够的资源，以保证管理体系筹划、实行、运行、监视、评审、持续改善等工作的顺利开展，以建立符合GB/19000–、ISO9001:、ISO/IEC0-1:、ISO/IEC27001:原则规定，以及山东瀚高实际需要的管理体系。确立山东瀚高管理体系持续改善计划和合适的沟通计划，保证管理体系的持续有效性，满足企业的实际运行管理需要。以多种方式，持续向企业全体员工传达传达符合管理目的、管理方针、满足顾客和法律法规规定以及持续改善的必要性、重要性，传达满足其他有关方规定的重要性。以增进顾客满意为目的，保证顾客的多种规定得到确定并予以满足。分派管理体系有关的角色和职责，包括指定管理者代表负责所有服务的协调和管理。对山东瀚高信息资产实行有效管理，保证信息资产的机密性（C）、完整性（I）、可用性（A）。组织开展风险管理工作，核定风险可接受原则，对企业不能接受的风险进行处置。组织建立瀚高业务持续性管理体系，以保证企业重要业务的持续，不受重大故障和劫难的影响。组织对山东瀚高全体员工进行信息安全、IT服务管理的教育培训，提高信息安全意识和服务意识。组织山东瀚高管理体系的推广工作，保证所有员工理解并严格遵守各项管理制度、规范和程序。保证管理体系管理评审、内部审核工作的进行。以顾客为关注焦点总经理应以增强顾客满意为目的，保证顾客的规定得到确定并予以满足。质量方针总经理保证其制定的质量方针：a.与企业的宗旨相适应；b.包括对满足规定和持续改善质量管理体系有效性的承诺；c.提供制定和评审质量目的的框架；d.在组织内得到沟通和理解；e.最高管理者通过管理评审，对质量方针的持续合适性进行评审。.筹划5.4.1质量目的最高管理者保证：a.管理者代表根据质量方针提供的框架，组织在企业和企业内部有关的职能、层次和岗位上建立可测量的质量目的。形成企业目的体系。企业质量目的包括满足产品规定所需的内容。b.质量目的由最高管理者同意，由管理者代表组织跟踪、监督和考核，质量目的通过管理评审进行评审和修订，以保证其持续合适性。目的以及各部门分解见附录B。5.4.2最高管理者保证：a.为到达已确定的质量目的，由管理者代表主持对质量管理体系进行持续、全面筹划和修订、变更，以满足质量管理体系总规定的各个方面，形成并持续改善完整的文献体系和完善的组织体系。b.在对质量管理体系的变更进行筹划和实行时，保持质量体系的完整性。.职责、权限和沟通5.5.1职责和权限最高管理者应保证组织内的职责、权限得到规定和沟通。详细参见《组织架构与部门职责》。5.5.2管理者代表最高管理者任命一名管理者作为管理者代表，对质量管理体系进行管理、监督、评价和协调。管理者代表的职责和权限包括但不限于：a.保证质量管理体系所需的过程得到建立、实行和保持；b.向最高管理者汇报质量管理体系的业绩和任何改善的需求；c.保证在整个组织内提高满足顾客规定的意识；d.本手册规定的其他职责和权限。5.5.3内部沟通最高管理者应保证在组织内建立合适的沟通过程，并保证对质量管理体系的有效性进行沟通。企业的沟通方式包括：会议、看板、电话、网络邮件、记录传递、培训等方式。管理评审5.6.1总则为保证管理体系，包括服务管理与安全方针和目的持续的合适性、充足性和有效性：由山东瀚高建立并保持《管理评审控制程序》，指导管理评审工作的执行。企业每年至少开展一次管理评审，两次间隔不得超过十二个月。一般状况下，采用会议的形式，安排在内部审核之后。当出现下列状况之一时，应及时进行管理评审：企业管理体系发生重大变化。国家法律、法规、有关原则发生重大变化。外审之前。其他认为需要评审时。管理评审由总经理主持，各部门负责人参与，需要时，由总经理决定详细的参与人员。管理审查会议的决策事项以会议纪要形式体现，由各有关部门负责配合执行，并对执行状况予以追踪评估。5.6.2评审输入综合管理部组织有关部门按计划的规定搜集整顿有关文献和数据资料提交管理评审，包括：内部和外部审核的成果；有关方（客户、政府部门、供应商、内部员工等）的反馈；管理目的有效性测量成果；客户满意度调查信息反馈及客户投诉；山东瀚高用于改善管理体系执行绩效和有效性的技术、产品或程序的发展及变化；整年的管理体系运作状况；对过程和服务测量和监视的成果；纠正和防止措施的实行状况；以往风险评估未充足指出的脆弱性或威胁；以往管理评审所采用措施的跟踪验证；经筹划的也许影响管理体系的变更；管理体系文献的合用性，包括修改规定等；改善的提议。5.6.3评审输出按照服务管理与安全方针和目的对上述信息进行全面的讨论、评价、分析，决定所要采用的改善措施，包括：管理体系有效性的改善，应考虑业务需求、安全需求、影响已经有业务需求的业务过程、法律法规环境、协议责任、风险和/或风险接受等级等；方针和目的的修订；与客户规定有关的改善；更新风险评估和风险处置计划；资源需求；改善测量控制措施有效性的方式；对既有管理体系（包括方针和目的）的评价结论及对既有服务与否符合规定的评价。6资源管理资源的提供企业应确定并提供必要的足够资源以筹划、建立、实行、运作、监视、评审、保持和改善管理体系，通过满足客规定，增强顾客满意。包括人力资源、基础设施、工作环境。人力资源基于合适的教育、培训、技能和经验，从事影响产品与规定的符合性工作的人员应是可以胜任的。岗位职责以及对应的能力需求应有清晰明确的定义。应合理为每个员工分派工作岗位，并为其所知晓。应使全体员工认识到其所从事工作的关联性和重要性，以及怎样为实现管理目的作出奉献。应根据员工岗位职责规定，提供合适的教育培训或采用其他措施，以满足工作岗位能力需求。应建立员工教育培训管理制度，并评估教育培训的成效或所采用措施的有效性。应维持有关人员教育、培训、技能及经验的合适记录。聘任人员前应对其背景进行调查验证，并签订有关信息安全职责的文献。详细执行人力资源实行细则。基础设施确定、提供和维护满足有关法律、法规、原则、合约规定的所必需的基础设施，如办公场所、办公设备、网络设备（包括硬件和软件）、支持性服务（如通讯或信息系统）等，并按既定的方略、管理措施进行使用。工作环境提供满足有关法律、法规、原则、合约规定的所必需的工作环境，并按既定的方略、管理措施进行使用。7产品实现产品实现的筹划根据企业业务特点，为保证产品代理分销、软件产品、服务和系统集成项目到达客户满意，企业有关业务部门对实现上述产品和服务的全过程进行了筹划并制定了对应的文献；产品实现的筹划应与质量管理体系其他过程的规定相一致。在对产品实现进行筹划时，应确定如下方面的合适内容：a.产品的质量目的和规定，见《服务级别管理手册》；b.针对产品确定过程、文献和资源的需求；c.产品所规定的验证、确认、监视、测量、检查和试验活动，以及产品接受准则；d.为实现过程及其产品满足规定提供证据所需的记录。对应用于特定产品、项目或协议的质量管理体系、IT服务管理体系和信息安全管理体系的过程（包括产品实现过程）和资源，通过制定计划的措施进行规定。在企业IT服务业务中，服务产品实现的筹划，首先通过《新服务和服务变更管理手册》对既有服务产品进行变更或研发新的服务产品；另首先，通过《服务级别管理手册》及《事件管理手册》，对服务产品的执行过程进行筹划。与顾客有关的过程7.2.1企业应确定产品的规定，规定由如下方面构成：1)客户规定的规定，包括对交付和交付后活动的规定，交付后的活动包括诸如担保条件下的措施、协议规定的维护服务、附加服务（回收或最终处置）等；2)客户虽未明确提出，但规定的或预期的用途所必需的规定；3)与产品有关的国家法令法规、行业规定的规定；4)企业认为必要的附加规定（注：此规定不得与前3项规定的任何一项有抵触）。7.2.2与客户进行有效的沟通，充足且对的的理解客户的规定和期望，保证企业有能力实现客户的规定，以到达顾客满意。企业应评审与产品有关的规定。评审应在组织向顾客作出提供产品的承诺之前进行（如：提交标书、接受协议或订单及接受协议或订单的更改），并应保证：a.产品规定得到规定；b.与此前表述不一致的协议或订单的规定已予处理；c.组织有能力满足规定的规定。评审成果及评审所引起的措施的记录应予保持。若顾客提供的规定没有形成文献，企业应在接受顾客规定前应对顾客规定进行确认。若产品规定发生变更（包括协议以及技术规定等），企业应保证有关文献得到修改，并保证有关人员懂得已变更的规定。企业通过有关的产品信息，如产品目录、产品广告内容进行销售时，应在公布信息前对有关内容进行评审。详细遵照《供应商管理手册》中《协议评审管理流程》。7.2.3为增进与客户的沟通，企业应对如下有关方面进行确定并实行与顾客沟通：a.为客户提供产品信息；b.接受客户的问询、协议或者订单的处理，包括，对其的修改；C.及时获取客户的反馈，包括意见和投诉。企业通过设置投诉电话等手段，建立有效的沟通措施。所有客户信息的记录，都应保留并做分析处理，定期向管理层汇报。所有与质量有关的客户需求、投诉记录、满意度调查的成果和反馈都会通过业务管理过程进行处理和分析。详细参见《服务汇报管理手册》、《新服务与服务变更管理手册》、《事件管理手册》、《业务关系管理手册》。设计和开发根据企业的认证范围，本条款已进行删减，列出的目的便于与原则对应。采购7.4.1采购过程商务部应保证采购的产品符合规定的采购规定。对供方及采购的产品控制的类型和程度应取决于采购的产品对随即的产品实现或最终产品的影响。商务部应根据供方按组织的规定提供产品的能力评价和选择供方。应制定选择、评价和重新评价的准则。评价成果及评价所引起的任何须要措施的记录应予保持。7.4.2采购信息采购信息应表述拟采购的产品，合适时包括：a)产品、程序、过程和设备的同意规定：b)人员资格的规定；c)质量管理体系的规定。在与供方沟通前，组织应保证规定的采购规定是充足与合适的。7.4.3采购产品的验证各使用部门应确定并实行检查或其他必要的活动，以保证商务部采购的产品满足规定的采购规定。采购完毕后，供应商的服务进行监督和评审，定期回忆评审供应商与否到达约定的服务级别目的，并对其成果进行分析处理。当企业或其顾客拟在供方的现场实行验证时，组织应在采购信息中对拟验证的安排和产品放行的措施作出规定。我司与产品和服务有关的采购由商务部对采购过程进行控制，详细参见《供应商管理手册》。生产和服务提供7.为了对生产和服务的运作进行有效的控制，我司应筹划并在受控条件下进行提供，合用时，受控条件应包括：1)根据项目和顾客规定，由各项目承担部门负责企业获得规定产品特性的信息，包括隐含的规定及法律法规规定；2)需要时，由项目承担部门制定作业指导书，包括计划编制规范和实行规范等。3)由项目承担部门负责获得、使用和维护生产与服务运作用的设备及软件版本管理，执行有关配置规范等；4)获得和使用监视和测量设备；5)由项目承担部门负责按有关控制文献的规定实行监控活动；6)实行放行、交付和合用的交付后活动。我司在为客户提供生产和服务过程详细参见《服务级别管理手册》、《能力和可用性管理手册》、《设备管理手册》、《业务持续性管理手册》、《事件管理手册》、《问题管理手册》、《网络安全管理手册》以及备份等信息安全管理文献。7.当生产和服务提供的过程输出不能由后续的监视或测量加以验证，致使问题在产品投入使用后或服务已交付后才显现时，组织应对任何这样的过程实行确认。企业提供的服务过程，均需要确认，证明这些过程实现所筹划成果的能力。合用时包括：a.为过程的评审和同意所规定的准则；b.设备的承认和人员资格的鉴定；c.使用特定的措施和程序；d.记录的规定；e.再确认。企业通过目的指标监控、人员资格能力、设备能力和可用行、设备符合性监督方式确认过程能力，并制定对应的作业文献，进行过程确认，并记录。当企业出现下列问题时，需要再次确认：a.信息事件出现严重以上等级；ｂ．客户持续出现３次以上投诉。过程确认遵照《能力和可用性管理手册》、《人力资源管理实行细则》和《符合性管理手册》等文献。７.为了有效识别开发筹划、需求分析、设计实现、安装调试、验收交付及维护服务过程中的各项产品，防止混用，保证我司提供的软、硬件产品的可追溯性和唯一标识，实现产品质量保证的明确定位，企业对采购产品的标识进行如下规定：1)入库的采购产品和产品状态采用标签和区域进行标识；2)安装现场的采购产品可用包装上的原标识或铭牌进行标识，产品状态可用标签和对应验证记录进行标识。3)软件产品通过版本和版本阐明进行标识。4)人员通过姓名或者员工卡号标识。５)设备通过指示等告警等不一样颜色进行标识。６）项目计划通过审批状态进行标识。在有可追溯性规定期，由项目组控制和记录产品的唯一性标识。７.有关部门和人员应爱惜在企业控制下和使用的顾客财产（包括知识产权和企业以及个人信息），为此，企业针对顾客实物财产会在协议中详细规定了顾客财产的识别、验证、保护和维护规定，同步规定当顾客财产发生丢失、损坏或发现不合用的状况时，应汇报顾客，并保持记录。在IT服务项目中，对客户信息资产的管理，包括识别、风险评估和处理，将遵照《配置管理手册》以及《信息安全风险管理手册》的有关规定执行。7.为防止产品在内部处理和交付到预定地点期间的损坏和质量减少，企业应对产品和产品的构成部分提供防护。产品防护包括标识、搬运、包装、贮存和保护。详细控制如下：1)产品的标识执行7.2)产品搬运过程中应做到轻拿轻放，防摔、防碰、防水，防止野蛮装卸。对于大型设备应选择合适的搬运工具，并由专业搬运人员操作。3)产品的包装一般使用原包装，必要时应内填足够的填充物或增长外包装，注明产品规格型号、数量等有关内容，并写上“轻拿轻放”等字样及“↑”标志。包装应保证防止任何物理或功能性的损伤。4)库房储存环境规定防火、防盗、防水、防潮、防磁、防鼠、防蛀。入库产品要做到先入先出并及时填写有关记录。5)网络及集成系统交付前，严禁无关人员随意开机、调试、插拔接头等。６）对网络内的信息按照信息安全管理手册中的规定执行。7.6监视和测量设备的控制企业应确定需实行的监视和测量以及所需的监视和测量设备，为产品符合确定的规定提供证据。企业应建立《监视和测量设备控制程序》，以保证监视和测量活动可行并以与监视和测量的规定相一致的方式实行。当有必要保证成果有效的场所时，测量设备应做到：对照能溯源到国际或国标的测量原则，按照规定的时间间隔或在使用前进行校准和（或）验证。当不存在上述原则时，应记录校准或检定的根据；必要时进行调整或再调整；可以识别，以确定其校准状态；防止也许使测量成果失效的调整；在搬运、维护和贮存期间防止损坏或失效；此外，当发现设备不符合规定期，应对以往测量成果的有效性进行评价和记录，应对该设备和任何受影响的产品采用合适的措施。校准和验证成果的记录应予保持。当计算机软件用于规定规定的监视和测量时，应确认其满足预期用途的能力。确认应在初次使用前进行，并在必要时予以重新确认。确认计算机软件满足预期用途能力的经典措施包括验证和保持其合用性的配置管理（技术状态管理）。8测量、分析和改善８.1总则企业筹划并实行顾客满意测量、内部审核、产品监视和测量、过程监视和测量、不合格品控制、数据分析、持续改善等过程，以便：应筹划并实行如下方面所需的监视、测量、分析和改善过程：ａ．证明与产品规定的符合性；ｂ．保证质量管理体系的符合性；C．持续改善质量管理体系的有效性。这应包括对记录技术在内的合用措施及其应用程度确实定。８.2监视和测量８.2.1顾客满意企业通过测量、分析客户对企业产品和服务的满意度，不停提高产品和服务质量。客户服务部负责牵头并组织有关部门进行客户满意度的调查与评价，根据对客户规定、意见和投诉的调查，进行记录分析，形成记录分析汇报，汇报有关部门及管理层。针对客户不满意或潜在不满意状况，责任部门应采用对应的纠正和防止措施，不停提高客户满意度。详细执行《业务关系管理手册》中满意度调查流程。８.2.2内部审核1）企业制定了《内部审核控制程序》，筹划的时间间隔通过审核管理体系波及到的各部门所开展的活动和有关成果与否符合筹划的安排、原则的规定以及组织所确定的质量管理体系的规定，保证管理体系持续有效地运行，并为管理体系改善提供根据。2）按照《内部审核控制程序》，定期对各体系实行内部审核。企业每年至少进行1次内审活动。内审计划报管理者代表审批。在每次内审前，管理者代表任命审核组长，由审核组长组织内部审核。审核组应编制审核工作有关文献，提前告知各有关部门和人员。审核结束后，由审核组长组织编写审核汇报，报送管理者代表审批，分发到各有关部门和人员。对审核中发现的不合格项，责任部门应及时采用纠正措施，内审员应对纠正措施的完毕状况进行跟踪检查，并验证其有效性。3）实行内部审核时，需要考虑到被审核流程和区域的状况及重要性，也应考虑到之前审核的成果。在审核之前，必须确定审核原则、范围和措施，选择审核员，保证审核过程的客观性和中立性。4）内部审核的成果是实行管理评审的重要的信息输入，会成为实行纠正措施以改善管理体系的重要根据。8.2.3过程的监视和测量企业对各个管理体系的产品实现、管理职责、资源管理、测量分析等过程进行监视和测量。采用如下的手段和措施进行测量，对未能到达筹划成果的过程，应采用合适的纠正和纠正措施，以保证过程和成果的符合性。1)通过内部审查对各过程进行监测。2)通过目的绩效对各个过程进行监测。3)顾客满意度的测量对生产和服务提供全过程进行监控。4)各部门经理负责监督检查部门和员工的工作，对有关过程进行监测。详细执行《平常检查制度》。8.2.4产品的监视和测量根据企业业务特点，企业通过对服务产品的测试、验收和对开发过程的控制，保证产品能满足规定的质量规定，防止不合格产品被交付。监视和测量应根据所筹划的安排在产品实现过程的合适阶段进行，应保持符合接受准则的证据。记录应指明有权放行产品以交付给顾客的人员。除非得到有关授权人员的同意，合用时得到顾客的同意，否则在筹划的安排已圆满完毕之前，不应向顾客放行产品和交付服务。企业服务质量由客户确认，详细执行《事件管理手册》和《平常检查制度》不合格品控制企业为保证不合格品得到识别与控制，确定不合格品控制过程活动及其规定，以防止其非预期的使用和交付，在《不合格品控制程序》中对不合格品控制以及不合格品处置的有关职责和权限做出规定，控制活动包括对不合格品的标识、隔离、评审、处置和记录、以及不合格品纠正后的验证。对下列方面作了明确的规定：1)在产品实现或其他过程活动中的不合格品由有关负责人负责识别；2)对不合格品进行评审，确认不合格事实、范围、程度和影响，决定合适的处置措施；3)对已发现的不合格品采用拒收、索赔、返修、让步接受等措施予以处置（让步接受须经部门以上负责人同意，必要时经顾客同意）；4)当在交付或开始使用后发现不合格时，根据不合格影响的程度采用现场维修、召回维修、退货退款或与顾客协商等措施；5)不合格品得到纠正之后应对其进行再次验证（包括回归测试），以证明符合规定；6)不合格的原始记录和采用的所有后续措施包括让步放行的记录应予以保持。数据分析为证明管理体系的合适性和有效性，并评价在何处可以持续改善管理体系有效性，企业应确定、搜集和分析合适的数据。数据分析包括：1)顾客对企业提供的产品和服务的满意程度；2)企业生产和服务提供产品与顾客规定的符合性；3)过程和产品的特性及发展趋势，发目前何处须采用防止措施的机会；4)供方供货业绩，包括供方提供产品的符合性和及时性等。8.4.1数据来源1)客户满意度调查；2)客户反馈；3)采购产品验证成果；4)生产和服务提供产品的测量成果；5)客户信息安全需求；6)服务级别到达状况；7)体系运行的其他数据。8.4.2数据的搜集和分析1)顾客满意度调查，商务部按照《业务关系管理手册》中的有关规定执行。2)任何渠道收到的顾客反馈，接受部门或人员应及时进行内部沟通，保证将获得的信息告知到有关部门，由责任部门进行分析；3)商务部负责组织对采购产品进行验证，搜集和分析验证成果；4)系统集成业务部门、软件研发业务部门负责各自职权范围内的调试及测试成果的搜集和分析；5)体系运行的其他数据，各有关部门自行搜集和分析。数据分析可采用合适的记录技术。如整顿数据时可采用饼分图、排列图等，以找出微弱环节；而运用因果图可找出不合格或潜在不合格的原因。数据分析的成果应能提供如下信息，并将其作为改善的根据，以采用对应的纠正防止措施加以改善。持续改善8.5.1持续改善山东瀚高通过服务管理与安全方针和目的的建立与实行，营造一种鼓励改善的气氛，明确改善方向。企业应补救管理体系中任何不符合的部分，通过制定和改善管理方针和管理目的、进行管理评审、进行内部/外部审核、贯彻纠正与防止措施工作、对信息安全事件和服务异常事件的监控分析等方式开展管理体系改善工作，必要时征求所有有关方对管理体系的意见，从而保证管理体系的持续有效性和运行效率。企业应关注客户的投诉、埋怨，记录、评估服务改善提议，制定服务改善计划，评估服务改善状况，保证各项服务改善措施均已贯彻执行，并实现了预期的目的，从而改善完善服务过程，提高服务质量，提高客户满意度。企业应规定各部门在持续改善工作中的角色和职责，并从服务过程的所有方面考虑服务改善规定。8.5.2纠正措施企业应采用措施，以消除不合格的原因，防止不合格的再发生。纠正措施应与所碰到不合格的影响程度相适应。编制《纠正和防止措施控制程序》，规定如下方面的规定：1）评审不合格（包括顾客埋怨）；2）确定不合格的原因；3）评价保证不合格不再发生的措施的需求；4）确定和实行所需的措施；5）记录所采用措施的成果；6）评审所采用的纠正措施的有效性。8.5.3防止措施企业应确定措施，以消除潜在不合格的原因，防止不合格的发生。防止措施应与潜在问题的影响程度相适应。编制《纠正和防止措施控制程序》，规定如下方面的规定：1）确定潜在不合格及其原因；2）评价防止不合格发生的措施的需求；3）确定并实行所需的措施；4）记录所采用措施的成果；5）评审所采用的防止措施的有效性。附录A管理方针释义顾客至上、安全第一、质量为本、持续改善以满足顾客的需求，超越客户的期待为出发点，保证山东瀚高科技有限企业各项业务的安全运行，到达行业领先的高可用性。以专业和完善的服务质量，到达行业领先的水平；采用PDCA的措施，追求服务品质的不停提高。附录B管理目的在管理年度内要到达的管理目的如下：顾客服务满意率不低于95%重大质量事故为零成本偏差率＜±