服务与信息安全管理手册

山东瀚高科技有限公司管理体系管理手册山东瀚高科技有限公司文档公布信息文档名称：管理手册文档编号：L1-MM版本号：保密级别：内部使用级拟制人：张春志审核人：常瑞东、孟祥辉、卢健、张鲁敏、宋乐、刘学春、母晓明、韩志平公布范畴：公司管辖的全部部门公布日期：批准人：苗健修订统计版本号修订日期修订人类别修订阐明张春志M张春志M换版 注1：修订类别分为：A—新建/增加、M—修订、D—删除目录TOC\o"1-3"\u颁布令 I任命书 II管理方针和目的 1山东瀚高有限公司介绍 2山东瀚高有限公司组织构造图 31目的和范畴 3 目的 3 范畴 32 引用原则 43 术语和定义 44 管理体系规定 5 总规定 5 管理架构 8 管理体系运作机制 8 管理体系文献 10 总则 10 质量手册 10 文献控制 11统计和资料控制 135 管理职责 13 管理承诺 13 以顾客为关注的焦点 14 质量方针 14 策划 15 质量方针 15 质量管理体系策划 15 职责、权限和沟通 15 职责和权限 15 管理者代表 15 内部沟通 16 管理评审 16 总则 16 评审输入 17 评审输出 176 资源管理 18 资源的提供 18 人力资源 18 基础设施 19 工作环境 197产品实现 19产品实现的策划 19与顾客有关的过程 20与产品有关规定的拟定 20与产品有关的规定的评审 20顾客沟通 21设计和开发 21采购 21采购过程 21采购信息 21采购产品的验证 22生产和服务提供 22生产和服务提供的控制 22生产和服务过程确实认 23标记和可追溯性 23顾客财产 24产品防护 24监视和测量装置控制 258测量、分析和改善 25总则 25监视和测量 26客户满意度 26内部审核 27过程的监视和测量 27产品的监视和测量 28不合格品控制 28数据分析 29数据来源 29数据的收集和分析 29持续改善 30持续改善 30纠正方法 30防止方法 31附录A管理方针释义 32附录B管理目的 32附录C质量管理体系过程职责分派表 33附录D管理体系文献清单 36颁布令为提高山东瀚高科技有限公司IT服务管理和信息安全管理水平，规范化运行管理，山东瀚高科技有限公司根据《GB/TidtISO9001:质量管理体系规定》、《ISO/IEC0-1:Informationtechnology-Servicemanagement-Part1:Specification》、《ISO/IEC27001:Informationtechnology-Securitytechniques–Informationsecuritymanagementsystems-requirements》，结合公司实际状况建立符合以上原则规范规定的管理体系。《管理手册》论述了山东瀚高科技有限公司有关IT服务管理、服务质量管理、信息安全管理的管理方针，是规范山东瀚高科技有限公司服务管理与信息安全管理的大纲性文献，是建立、实施、评测、改善管理体系的指导性文献。本手册在编制过程中坚持符合性、适宜性和有效性的统一，并广泛征求意见修订成稿，现予以公布，自公布日起正式生效实施。山东瀚高科技有限公司全体员工应认真学习、熟知本手册内容，并严格执行本手册的各项规定和规定。本手册将根据内、外部环境的变化适时进行评审、修改和完善。此令！山东瀚高科技有限公司总经理：苗健2011年

任命书山东瀚高科技有限公司“管理者代表”任命书为了贯彻执行《GB/TidtISO9001:质量管理体系规定》、《ISO9001:Qualitymanagementsystems-Requirements》、《ISO/IEC0-1:Informationtechnology-Servicemanagement-Part1:Specification》、《ISO/IEC27001:Informationtechnology-Securitytechniques–Informationsecuritymanagementsystems-requirements》，加强对管理体系运作的领导，确保山东瀚高科技有限公司管理体系的建立、实施、运作、监视、评审、保护和改善，特任命常瑞东为山东瀚高科技有限公司管理者代表。管理者代表的职责和权限是：代表总经理负责按原则规定建立、实施、运作、监视、评审、持续改山东瀚高科技有限公司的管理体系，实现公司的服务管理，质量管理与信息安全管理方针和目的；协助总经理开展管理评审，并向总经理报告管理体系业绩和改善需求；负责组织山东瀚高科技有限公司《管理手册》的编写、修订和审核工作；确保在整个山东瀚高科技有限公司内提高满足客户规定的意识；负责提出资源配备以实现IT服务的交付和管理；负责协调和管理全部的IT服务管理工作；负责协调和管理全部的质量管理工作；提高公司全体人员的信息安全意识；负责公司管理体系有关事宜的外部联系工作。山东瀚高科技有限公司总经理：苗健管理方针和目的管理方针顾客至上、安全第一、质量为本、持续改善管理目的安全可靠：确保山东瀚高科技有限公司各项业务的安全运行，达成行业领先的高可用性，是压倒一切的管理规定。客户满意：以专业和完善的服务，达成行业领先的服务水平，实现客户满意。效率和效益：在确保安全可靠和客户满意的前提下，以诚信合作的精神和专业的技能，达成高效率和高效益。管理政策推动“流程化管理、原则化服务、高素质团体、高效率运作”的体系建设；向客户提供安全、可靠和稳定的信息系统管理服务，并持续优化服务质量。服务理念超越客户的盼望值。同意：苗健 2011年★有关管理方针的释义见本文献附录A部分山东瀚高科技有限公司介绍山东瀚高科技有限公司成立于，是国内领先的基础软件服务提供商。公司自成立以来始终致力于基础软件的研发、销售、服务和培训业务，瀚高和各大国际出名厂商亲密合作，建立了含有国内领先水平的技术工程师团体，开创了基础软件综合服务产品化的先河，研发了含有自主知识产权的服务管理软件，建立并完善了综合服务管理系统。秉承“专注数据服务，共享你我智慧”的理念，以数据为中心开展数据备份、容灾、数据仓库、数据综合运用等各项服务，瀚高将会一如既往的在数据平台服务领域加大投入，通过组织和业务流程的原则化，实现产品和服务的专业化，不停提高本身竞争力，巩固在业界的领先地位，引领数据服务产品化的潮流。重要服务：数据库基础软件中间件BI的实施与咨询服务资源：优秀的管理和技术团体规范、专业的IT服务管理流程和信息安全管理规范山东瀚高有限公司组织构造图 管理者代表 总经理综合管理部管理者代表总经理综合管理部销售副总技术副总销售部商务部客户服务部产品部售前支持部系统支持部目的和范畴目的山东瀚高为了规范公司的内部运作，安全、及时、精确地为客户提供服务，确保服务品质和信息安全，并重视持续改善，以期实现客户满意，而建立的运行管理体系符合下列原则规范的全部规定：GB/TidtISO9001:ISO/IEC0-1:ISO/IEC27001:范畴本手册合用于：山东瀚高低属的各部门；公司所在驻地：济南市舜华路号舜泰广场8号楼西19层（北向）——山东瀚高科技有限公司根据山东瀚高的业务特点，对GB/TidtISO9001:、ISO/IEC0-1:以及ISO/IEC27001:原则中不合用于我司的部分条款作了删减。由于公司为客户提供服务活动，为常规业务，不涉及到设计和开发，故对删除。上述条款的删除，不免去公司满足法律法规和客户规定的责任。ISO/IEC0-1:以及ISO/IEC27001:删减详见《L1-SOA-合用性声明》。山东瀚高管理体系合用于与数据备份、容灾、数据仓库、数据综合运用的服务有关的管理活动。引用原则本手册引用或根据下列有关国家/国际原则，当该原则增补或修订时，使用原则的最新版本：GB/T19001:《质量管理体系规定》GB/T19000:《质量管理体系基础和术语》ISO9001:《Qualitymanagementsystems-Requirements》ISO9000:《Qualitymanagementsystem-Fundamentalsandvocabulary》ISO/IEC0-1:《IT服务管理第一部分：服务管理规范》ISO/IEC0-2-《IT服务管理第二部分：服务管理实践守则》ISO/IEC27001:《信息技术-安全技术-信息安全管理体系-规定》ISO/IEC27002:《信息技术-安全技术-信息安全管理实施指南》术语和定义本手册采用GB/TidtISO9001:、ISO/IEC0-1:、ISO/IEC27001:的术语和定义。管理体系规定总规定山东瀚高将充足遵照GB/19000–、ISO9001:、ISO/IEC0-1:、ISO/IEC27001:等原则的规定，建立、实施运行管理体系，并持续改善，以确保其有效性。公司应：a)拟定质量管理体系所需的过程及其在整个组织中的应用；b)拟定这些过程的次序和互相作用；c)拟定为确保这些过程的有效运作和控制所需的准则和办法；d)确保能够获得必要的资源和信息，以支持这些过程的运作和监视；e)监视、测量(合用时)和分析这些过程；f)实施必要的方法，以实现对这些过程所策划的成果和对这些过程的持续改善。公司应按原则的规定管理这些过程，并对对公司所选择的任何影响产品符合规定的外包过程，应确保对其实施控制。对这类外包过程控制的类型和程度应在供应商管理手册中加以规定。管理体系模式图：资源管理过程产品实现过程测量、分析、改善过程管理架构山东瀚高根据GB/19000–、ISO9001:、ISO/IEC0-1:、ISO/IEC27001:的规定，建立符合公司业务特点的管理架构，明确各部门/岗位职责、沟通方式和渠道。山东瀚高设立管理者代表，确保管理体系的建立、实施和持续改善工作的贯彻，管理者代表负责向公司最高管理者报告管理体系的业绩和任何改善的需求，确保在公司内提高对客户服务意识和信息安全意识；负责与管理体系有关事宜的外部联系工作。山东瀚高明确了管理方针、目的以及达成方针和目的的方法，并明确了管理体系的实施范畴。管理目的的有效性每年最少评价一次。山东瀚高开展管理评审和内部审核工作，评定和管理风险，持续的评定和改善管理体系。山东瀚高明确了原则合用范畴，ISO/IEC0-1:、ISO/IEC27001:统计在《合用性声明》文献中。管理体系运作机制山东瀚高在管理体系建立和维护过程中，充足遵照GB/TidtISO9001:、ISO/IEC0-1:、ISO/IEC27001:等原则的规定，采用PDCA模式建立、实施和维护管理体系，以确保其持续有效性，具体以下图所示。策划与准备（Plan）重要是做好建设管理体系的多种前期工作，涉及：管理现场调查，明确IT服务管理、服务质量管理和信息安全管理的目的，明确管理角色和管理框架的构造，建立风险评定办法，拟定管理审核和改善服务质量的办法。进行管理体系设计，根据公司管理方针和业务特点，对业务过程进行识别，拟定管理范畴，明确过程控制的办法及过程之间的互有关系和接口。对人员进行教育培训。建设与实施（Do）根据策划与准备阶段的成果，建立并推广、执行基于IT服务管理、服务质量管理和信息安全管理的管理体系，规范运行管理以实现预期的管理目的，为实现风险控制、评价和改善管理体系、实现持续改善提供不可或缺的根据。评定审核（Check）通过对管理体系运行状况的监视、测量，定时实施内部审核，确保管理体系下的各项管理制度得到贯彻，及时发现管理体系运行过程中存在的问题，为管理体系的持续改善提供基础。持续改善（Act）建立管理体系持续改善测量，根据评定审核的成果，制订执行纠正和防止方法，进一步改善完善各项管理制度，以确保管理体系的持续有效性，保障信息安全，提高服务管理的有效性和效率。管理体系文献总则管理体系充足考虑了ISO/IEC0-1:原则中有关新服务或变更服务的策划实施过程、服务交付过程、关系过程、解决过程、控制过程、公布过程，具体内容已被融合到管理体系的有关文献之中。管理体系充足考虑了GB/idtISO9001:原则中有关产品实现测量分析改善的内容，具体内容已被融合到管理体系的有关文献之中。质量管理体系文献应涉及：a)形成文献的质量方针和质量目的（在手册中描述）；b)质量手册；c）本原则所规定的形成文献的程序和统计；d)组织拟定的为确保其过程有效策划、运作和控制所需的文献，涉及统计。质量手册公司编制和保持质量手册，质量手册涉及：a)质量管理体系的范畴，涉及任何删减的细节与理由（见范畴）；b)为质量管理体系建立的形成文献的程序或对其引用（见附录文献清单）；c)质量管理体系过程之间的互相作用的表述。文献控制山东瀚高根据GB/idtISO9001:、ISO/IEC0-1:、ISO/IEC27001:原则的规定，结合公司的业务特点和实际状况，建立和执行适宜的文献以保障管理体系的有效、高效运行，并对文献进行持续的修订完善，以确保其有效性。1公司文献体系构造：山东瀚高管理体系有关的文献由上而下分为四个阶层，以下图所示：第一阶层文献（简称一阶文献）：管理手册包含山东瀚高管理方针和方略，是山东瀚高管理体系的大纲性文献。一阶文献涉及《管理手册》、《合用性声明》、《管理体系策划》。质量管理明确了体系的范畴，涉及任何删减的细节与理由；描述了质量管理体系建立所形成文献的程序或对其引用；对质量管理体系过程之间的互相作用进行表述。第二阶层文献（简称二阶文献）：程序文献为达成GB/TidtISO9001:、ISO/IEC0-1:、ISO/IEC27001:原则规定而制订的各项管理制度、规范、流程以及有关支持性文献。第三阶层文献（简称三阶文献）：工作指导用来解释特殊工作和活动细节的作业指导书、实施细则和操作手册等。第四阶层文献（简称四阶文献）：表单统计根据GB/TidtISO9001:、ISO/IEC0-1:、ISO/IEC27001:原则的规定和体系实际运行需要，通过表单模板，对管理体系实施的活动过程和成果的统计进行规范，形成统计文献，用于作为管理评审、内部审核、外部审核、持续改善的客观证据。2文献控制管理体系文档建立、颁布及修订，应采用合适管控方法。管理体系文献的制订应符合公司的服务规模、产品类型、过程复杂程度、员工能力素质等实际状况，方便于理解应用。公司编制《文献管理手册》，规定下列方面所需的控制规定：a.文献公布前得到同意，以确保文献是充足与适宜的；为文献的充足性与适宜性，在文献公布迈进行同意。b.管理体系文献应定时进行评审、修订完善，并再次同意以保持文献规定与实际运作的一致性，充足保障文献的有效性、充足性和适宜性。c.确保文献的更改和现行修订状态得到识别；d.确保在使用处可获得有关版本的合用文献；e.确保文献保持清晰、易于识别；f.确保组织所拟定的策划和运行质量管理体系所需的外来文献得到识别，并控制其分发；g.避免作废文献的非预期使用，若因任何因素而保存作废文献时，对这些文献进行合适的标记。文献能够以任何媒体形式呈现，如纸张、磁盘、光盘、照片、样片等。文献的审核、公布、变更、修订、废止等，应根据《文献管理手册》进行管控。统计和资料控制公司应建立及维持管理体系所规定的“统计”，以提供为符合规定和质量管理体系有效运行提供证据，统计应维持受控，统计应保持清晰,并易于阅读、辨识及检索查阅。统计应妥善保管，其鉴别、储存、取用、保护、保存期限、处置等事项，应根据《统计和外来文献管理手册》进行管控。管理体系文档及统计，能够以任何形式进行寄存（涉及：纸本及电子文档）。管理职责管理职责公司管理层应在管理体系建立、实施、运行、监视、评审和持续改善中提供承诺和支持，并通过多种活动完毕下列工作，以确保有关各项工作的顺利开展，并提供承诺和支持的证据。建立符合有关原则的管理组织，涉及决策层、管理层和执行层。制订IT服务管理、信息安全管理、服务质量管理的管理方针和目的。提供足够的资源，以确保管理体系策划、实施、运行、监视、评审、持续改善等工作的顺利开展，以建立符合GB/19000–、ISO9001:、ISO/IEC0-1:、ISO/IEC27001:原则规定，以及山东瀚高实际需要的管理体系。确立山东瀚高管理体系持续改善计划和合适的沟通计划，确保管理体系的持续有效性，满足公司的实际运行管理需要。以多种方式，持续向公司全体员工传达传达符合管理目的、管理方针、满足顾客和法律法规规定以及持续改善的必要性、重要性，传达满足其它有关方规定的重要性。以增进顾客满意为目的，确保顾客的多种规定得到拟定并予以满足。分派管理体系有关的角色和职责，涉及指定管理者代表负责全部服务的协调和管理。对山东瀚高信息资产实施有效管理，确保信息资产的机密性（C）、完整性（I）、可用性（A）。组织开展风险管理工作，核定风险可接受原则，对公司不能接受的风险进行处置。组织建立瀚高业务持续性管理体系，以确保公司重要业务的持续，不受重大故障和灾难的影响。组织对山东瀚高全体员工进行信息安全、IT服务管理的教育培训，提高信息安全意识和服务意识。组织山东瀚高管理体系的推广工作，确保全部员工理解并严格恪守各项管理制度、规范和程序。确保管理体系管理评审、内部审核工作的进行。以顾客为关注焦点总经理应以增强顾客满意为目的，确保顾客的规定得到拟定并予以满足。质量方针总经理确保其制订的质量方针：a.与公司的宗旨相适应；b.涉及对满足规定和持续改善质量管理体系有效性的承诺；c.提供制订和评审质量目的的框架；d.在组织内得到沟通和理解；e.最高管理者通过管理评审，对质量方针的持续适宜性进行评审。.策划5.4.1质量目的最高管理者确保：a.管理者代表根据质量方针提供的框架，组织在公司和公司内部有关的职能、层次和岗位上建立可测量的质量目的。形成公司目的体系。公司质量目的涉及满足产品规定所需的内容。b.质量目的由最高管理者同意，由管理者代表组织跟踪、监督和考核，质量目的通过管理评审进行评审和修订，以确保其持续适宜性。目的以及各部门分解见附录B。5.4.2最高管理者确保：a.为达成已拟定的质量目的，由管理者代表主持对质量管理体系进行持续、全方面策划和修订、变更，以满足质量管理体系总规定的各个方面，形成并持续改善完整的文献体系和完善的组织体系。b.在对质量管理体系的变更进行策划和实施时，保持质量体系的完整性。.职责、权限和沟通5.5.1职责和权限最高管理者应确保组织内的职责、权限得到规定和沟通。具体参见《组织架构与部门职责》。5.5.2管理者代表最高管理者任命一名管理者作为管理者代表，对质量管理体系进行管理、监督、评价和协调。管理者代表的职责和权限涉及但不限于：a.确保质量管理体系所需的过程得到建立、实施和保持；b.向最高管理者报告质量管理体系的业绩和任何改善的需求；c.确保在整个组织内提高满足顾客规定的意识；d.本手册规定的其它职责和权限。5.5.3内部沟通最高管理者应确保在组织内建立合适的沟通过程，并确保对质量管理体系的有效性进行沟通。公司的沟通方式涉及：会议、看板、电话、网络邮件、统计传递、培训等方式。管理评审5.6.1总则为确保管理体系，涉及服务管理与安全方针和目的持续的适宜性、充足性和有效性：由山东瀚高建立并保持《管理评审控制程序》，指导管理评审工作的执行。公司每年最少开展一次管理评审，两次间隔不得超出十二个月。普通状况下，采用会议的形式，安排在内部审核之后。当出现下列状况之一时，应及时进行管理评审：公司管理体系发生重大变化。国家法律、法规、有关原则发生重大变化。外审之前。其它认为需要评审时。管理评审由总经理主持，各部门负责人参加，需要时，由总经理决定具体的参加人员。管理审查会议的决策事项以会议纪要形式体现，由各有关部门负责配合执行，并对执行状况予以追踪评定。5.6.2评审输入综合管理部组织有关部门按计划的规定收集整顿有关文献和数据资料提交管理评审，涉及：内部和外部审核的成果；有关方（客户、政府部门、供应商、内部员工等）的反馈；管理目的有效性测量成果；客户满意度调查信息反馈及客户投诉；山东瀚高用于改善管理体系执行绩效和有效性的技术、产品或程序的发展及变化；全年的管理体系运作状况；对过程和服务测量和监视的成果；纠正和防止方法的实施状况；以往风险评定未充足指出的脆弱性或威胁；以往管理评审所采用方法的跟踪验证；经策划的可能影响管理体系的变更；管理体系文献的合用性，涉及修改规定等；改善的建议。5.6.3评审输出按照服务管理与安全方针和目的对上述信息进行全方面的讨论、评价、分析，决定所要采用的改善方法，涉及：管理体系有效性的改善，应考虑业务需求、安全需求、影响已有业务需求的业务过程、法律法规环境、合同责任、风险和/或风险接受等级等；方针和目的的修订；与客户规定有关的改善；更新风险评定和风险处置计划；资源需求；改善测量控制方法有效性的方式；对现有管理体系（涉及方针和目的）的评价结论及对现有服务与否符合规定的评价。6资源管理资源的提供公司应拟定并提供必要的足够资源以策划、建立、实施、运作、监视、评审、保持和改善管理体系，通过满足客规定，增强顾客满意。涉及人力资源、基础设施、工作环境。人力资源基于合适的教育、培训、技能和经验，从事影响产品与规定的符合性工作的人员应是能够胜任的。岗位职责以及对应的能力需求应有清晰明确的定义。应合理为每个员工分派工作岗位，并为其所知晓。应使全体员工认识到其所从事工作的关联性和重要性，以及如何为实现管理目的作出奉献。应根据员工岗位职责规定，提供合适的教育培训或采用其它方法，以满足工作岗位能力需求。应建立员工教育培训管理制度，并评定教育培训的成效或所采用方法的有效性。应维持有关人员教育、培训、技能及经验的合适统计。聘任人员前应对其背景进行调查验证，并订立有关信息安全职责的文献。具体执行人力资源实施细则。基础设施拟定、提供和维护满足有关法律、法规、原则、合约规定的所必需的基础设施，如办公场合、办公设备、网络设备（涉及硬件和软件）、支持性服务（如通讯或信息系统）等，并按既定的方略、管理方法进行使用。工作环境提供满足有关法律、法规、原则、合约规定的所必需的工作环境，并按既定的方略、管理方法进行使用。7产品实现产品实现的策划根据公司业务特点，为确保产品代理分销、软件产品、服务和系统集成项目达成客户满意，公司有关业务部门对实现上述产品和服务的全过程进行了策划并制订了对应的文献；产品实现的策划应与质量管理体系其它过程的规定相一致。在对产品实现进行策划时，应拟定下列方面的合适内容：a.产品的质量目的和规定，见《服务级别管理手册》；b.针对产品拟定过程、文献和资源的需求；c.产品所规定的验证、确认、监视、测量、检查和实验活动，以及产品接受准则；d.为实现过程及其产品满足规定提供证据所需的统计。对应用于特定产品、项目或合同的质量管理体系、IT服务管理体系和信息安全管理体系的过程（涉及产品实现过程）和资源，通过制订计划的办法进行规定。在公司IT服务业务中，服务产品实现的策划，首先通过《新服务和服务变更管理手册》对现有服务产品进行变更或研发新的服务产品；另首先，通过《服务级别管理手册》及《事件管理手册》，对服务产品的执行过程进行策划。与顾客有关的过程7.2.1与产品有关规定的公司应拟定产品的规定，规定由下列方面构成：1)客户规定的规定，涉及对交付和交付后活动的规定，交付后的活动涉及诸如担保条件下的方法、合同规定的维护服务、附加服务（回收或最后处置）等；2)客户虽未明确提出，但规定的或预期的用途所必需的规定；3)与产品有关的国家法令法规、行业规定的规定；4)公司认为必要的附加规定（注：此规定不得与前3项规定的任何一项有抵触）。7.2.2与产品有关的规定与客户进行有效的沟通，充足且对的的理解客户的规定和盼望，确保公司有能力实现客户的规定，以达成顾客满意。公司应评审与产品有关的规定。评审应在组织向顾客作出提供产品的承诺之迈进行（如：提交标书、接受合同或订单及接受合同或订单的更改），并应确保：a.产品规定得到规定；b.与以前表述不一致的合同或订单的规定已予解决；c.组织有能力满足规定的规定。评审成果及评审所引发的方法的统计应予保持。若顾客提供的规定没有形成文献，公司应在接受顾客规定前应对顾客规定进行确认。若产品规定发生变更（涉及合同以及技术规定等），公司应确保有关文献得到修改，并确保有关人员懂得已变更的规定。公司通过有关的产品信息，如产品目录、产品广告内容进行销售时，应在公布信息前对有关内容进行评审。具体遵照《供应商管理手册》中《合同评审管理流程》。7.2.3为增进与客户的沟通，公司应对下列有关方面进行拟定并实施与顾客沟通：a.为客户提供产品信息；b.接受客户的询问、合同或者订单的解决，涉及，对其的修改；C.及时获取客户的反馈，涉及意见和投诉。公司通过设立投诉电话等手段，建立有效的沟通办法。全部客户信息的统计，都应保存并做分析解决，定时向管理层报告。全部与质量有关的客户需求、投诉统计、满意度调查的成果和反馈都会通过业务管理过程进行解决和分析。具体参见《服务报告管理手册》、《新服务与服务变更管理手册》、《事件管理手册》、《业务关系管理手册》。设计和开发根据公司的认证范畴，本条款已进行删减，列出的目的便于与原则对应。采购7.4.1采购过程商务部应确保采购的产品符合规定的采购规定。对供方及采购的产品控制的类型和程度应取决于采购的产品对随即的产品实现或最后产品的影响。商务部应根据供方按组织的规定提供产品的能力评价和选择供方。应制订选择、评价和重新评价的准则。评价成果及评价所引发的任何必要方法的统计应予保持。7.4.2采购信息采购信息应表述拟采购的产品，合适时涉及：a)产品、程序、过程和设备的同意规定：b)人员资格的规定；c)质量管理体系的规定。在与供方沟通前，组织应确保规定的采购规定是充足与适宜的。7.4.3采购产品的验证各使用部门应拟定并实施检查或其它必要的活动，以确保商务部采购的产品满足规定的采购规定。采购完毕后，供应商的服务进行监督和评审，定时回忆评审供应商与否达成商定的服务级别目的，并对其成果进行分析解决。当公司或其顾客拟在供方的现场实施验证时，组织应在采购信息中对拟验证的安排和产品放行的办法作出规定。我司与产品和服务有关的采购由商务部对采购过程进行控制，具体参见《供应商管理手册》。生产和服务提供7.为了对生产和服务的运作进行有效的控制，我司应策划并在受控条件下进行提供，合用时，受控条件应涉及：1)根据项目和顾客规定，由各项目承当部门负责公司获得规定产品特性的信息，涉及隐含的规定及法律法规规定；2)需要时，由项目承当部门制订作业指导书，涉及计划编制规范和实施规范等。3)由项目承当部门负责获得、使用和维护生产与服务运作用的设备及软件版本管理，执行有关配备规范等；4)获得和使用监视和测量设备；5)由项目承当部门负责按有关控制文献的规定实施监控活动；6)实施放行、交付和合用的交付后活动。我司在为客户提供生产和服务过程具体参见《服务级别管理手册》、《能力和可用性管理手册》、《设备管理手册》、《业务持续性管理手册》、《事件管理手册》、《问题管理手册》、《网络安全管理手册》以及备份等信息安全管理文献。7.5.2当生产和服务提供的过程输出不能由后续的监视或测量加以验证，致使问题在产品投入使用后或服务已交付后才显现时，组织应对任何这样的过程实施确认。公司提供的服务过程，均需要确认，证明这些过程实现所策划成果的能力。合用时涉及：a.为过程的评审和同意所规定的准则；b.设备的承认和人员资格的鉴定；c.使用特定的办法和程序；d.统计的规定；e.再确认。公司通过目的指标监控、人员资格能力、设备能力和可用行、设备符合性监督方式确认过程能力，并制订对应的作业文献，进行过程确认，并统计。当公司出现下列问题时，需要再次确认：a.信息事件出现严重以上等级；ｂ．客户持续出现３次以上投诉。过程确认遵照《能力和可用性管理手册》、《人力资源管理实施细则》和《符合性管理手册》等文献。７.5.3为了有效识别开发策划、需求分析、设计实现、安装调试、验收交付及维护服务过程中的各项产品，避免混用，确保我司提供的软、硬件产品的可追溯性和唯一标记，实现产品质量确保的明拟定位，公司对采购产品的标记进行以下规定：1)入库的采购产品和产品状态采用标签和区域进行标记；2)安装现场的采购产品可用包装上的原标记或铭牌进行标记，产品状态可用标签和对应验证统计进行标记。3)软件产品通过版本和版本阐明进行标记。4)人员通过姓名或者员工卡号标记。５)设备通过批示等告警等不同颜色进行标记。６）项目计划通过审批状态进行标记。在有可追溯性规定时，由项目组控制和统计产品的唯一性标记。７.有关部门和人员应爱惜在公司控制下和使用的顾客财产（涉及知识产权和公司以及个人信息），为此，公司针对顾客实物财产会在合同中具体规定了顾客财产的识别、验证、保护和维护规定，同时规定当顾客财产发生丢失、损坏或发现不合用的状况时，应报告顾客，并保持统计。在IT服务项目中，对客户信息资产的管理，涉及识别、风险评定和解决，将遵照《配备管理手册》以及《信息安全风险管理手册》的有关规定执行。7.为避免产品在内部解决和交付到预定地点期间的损坏和质量减少，公司应对产品和产品的构成部分提供防护。产品防护涉及标记、搬运、包装、贮存和保护。具体控制以下：1)产品的标记执行7.2)产品搬运过程中应做到轻拿轻放，防摔、防碰、防水，避免野蛮装卸。对于大型设备应选择合适的搬运工具，并由专业搬运人员操作。3)产品的包装普通使用原包装，必要时应内填足够的填充物或增加外包装，注明产品规格型号、数量等有关内容，并写上“轻拿轻放”等字样及“↑”标志。包装应确保避免任何物理或功效性的损伤。4)库房储存环境规定防火、防盗、防水、防潮、防磁、防鼠、防蛀。入库产品要做到先入先出并及时填写有关统计。5)网络及集成系统交付前，严禁无关人员随意开机、调试、插拔接头等。６）对网络内的信息按照信息安全管理手册中的规定执行。7.6监视和测量设备的控制公司应拟定需实施的监视和测量以及所需的监视和测量设备，为产品符合拟定的规定提供证据。公司应建立《监视和测量设备控制程序》，以确保监视和测量活动可行并以与监视和测量的规定相一致的方式实施。当有必要确保成果有效的场合时，测量设备应做到：对照能溯源到国际或国标的测量原则，按照规定的时间间隔或在使用迈进行校准和（或）验证。当不存在上述原则时，应统计校准或检定的根据；必要时进行调节或再调节；能够识别，以拟定其校准状态；避免可能使测量成果失效的调节；在搬运、维护和贮存期间避免损坏或失效；另外，当发现设备不符合规定时，应对以往测量成果的有效性进行评价和统计，应对该设备和任何受影响的产品采用合适的方法。校准和验证成果的统计应予保持。当计算机软件用于规定规定的监视和测量时，应确认其满足预期用途的能力。确认应在初次使用迈进行，并在必要时予以重新确认。确认计算机软件满足预期用途能力的典型办法涉及验证和保持其合用性的配备管理（技术状态管理）。8测量、分析和改善８.1总则公司策划并实施顾客满意测量、内部审核、产品监视和测量、过程监视和测量、不合格品控制、数据分析、持续改善等过程，方便：应策划并实施下列方面所需的监视、测量、分析和改善过程：ａ．证明与产品规定的符合性；ｂ．确保质量管理体系的符合性；C．持续改善质量管理体系的有效性。这应涉及对统计技术在内的合用办法及其应用程度的拟定。８.2监视和测量８.2.1顾客满意公司通过测量、分析客户对公司产品和服务的满意度，不停提高产品和服务质量。客户服务部负责牵头并组织有关部门进行客户满意度的调查与评价，根据对客户规定、意见和投诉的调查，进行统计分析，形成统计分析报告，报告有关部门及管理层。针对客户不满意或潜在不满意状况，责任部门应采用对应的纠正和防止方法，不停提高客户满意度。具体执行《业务关系管理手册》中满意度调查流程。８.2.2内部审核1）公司制订了《内部审核控制程序》，策划的时间间隔通过审核管理体系涉及到的各部门所开展的活动和有关成果与否符合策划的安排、原则的规定以及组织所拟定的质量管理体系的规定，确保管理体系持续有效地运行，并为管理体系改善提供根据。2）按照《内部审核控制程序》，定时对各体系实施内部审核。公司每年最少进行1次内审活动。内审计划报管理者代表审批。在每次内审前，管理者代表任命审核组长，由审核组长组织内部审核。审核组应编制审核工作有关文献，提前告知各有关部门和人员。审核结束后，由审核组长组织编写审核报告，报送管理者代表审批，分发到各有关部门和人员。对审核中发现的不合格项，责任部门应及时采用纠正方法，内审员应对纠正方法的完毕状况进行跟踪检查，并验证其有效性。3）实施内部审核时，需要考虑到被审核流程和区域的状况及重要性，也应考虑到之前审核的成果。在审核之前，必须拟定审核原则、范畴和办法，选择审核员，确保审核过程的客观性和中立性。4）内部审核的成果是实施管理评审的重要的信息输入，会成为实施纠正方法以改善管理体系的重要根据。8.2.3过程的监视和测量公司对各个管理体系的产品实现、管理职责、资源管理、测量分析等过程进行监视和测量。采用以下的手段和办法进行测量，对未能达成策划成果的过程，应采用合适的纠正和纠正方法，以确保过程和成果的符合性。1)通过内部审核对各过程进行监测。2)通过目的绩效对各个过程进行监测。3)顾客满意度的测量对生产和服务提供全过程进行监控。4)各部门经理负责监督检查部门和员工的工作，对有关过程进行监测。具体执行《日常检查制度》。8.2.4产品的监视和测量根据公司业务特点，公司通过对服务产品的测试、验收和对开发过程的控制，确保产品能满足规定的质量规定，避免不合格产品被交付。监视和测量应根据所策划的安排在产品实现过程的合适阶段进行，应保持符合接受准则的证据。统计应指明有权放行产品以交付给顾客的人员。除非得到有关授权人员的同意，合用时得到顾客的同意，否则在策划的安排已圆满完毕之前，不应向顾客放行产品和交付服务。公司服务质量由客户确认，具体执行《事件管理手册》和《日常检查制度》不合格品控制公司为确保不合格品得到识别与控制，拟定不合格品控制过程活动及其规定，以避免其非预期的使用和交付，在《不合格品控制程序》中对不合格品控制以及不合格品处置的有关职责和权限做出规定，控制活动涉及对不合格品的标记、隔离、评审、处置和统计、以及不合格品纠正后的验证。对下列方面作了明确的规定：1)在产品实现或其它过程活动中的不合格品由有关负责人负责识别；2)对不合格品进行评审，确认不合格事实、范畴、程度和影响，决定适宜的处置方法；3)对已发现的不合格品采用拒收、索赔、返修、让步接受等方法予以处置（让步接受须经部门以上负责人同意，必要时经顾客同意）；4)当在交付或开始使用后发现不合格时，根据不合格影响的程度采用现场维修、召回维修、退货退款或与顾客协商等方法；5)不合格品得到纠正之后应对其进行再次验证（涉及回归测试），以证明符合规定；6)不合格的原始统计和采用的全部后续方法涉及让步放行的统计应予以保持。数据分析为证明管理体系的适宜性和有效性，并评价在何处能够持续改善管理体系有效性，公司应拟定、收集和分析合适的数据。数据分析涉及：1)顾客对公司提供的产品和服务的满意程度；2)公司生产和服务提供产品与顾客规定的符合性；3)过程和产品的特性及发展趋势，发现在何处须采用防止方法的机会；4)供方供货业绩，涉及供方提供产品的符合性和及时性等。8.4.1数据来源1)客户满意度调查；2)客户反馈；3)采购产品验证成果；4)生产和服务提供产品的测量成果；5)客户信息安全需求；6)服务级别达成状况；7)体系运行的其它数据。8.4.2数据的收集和分析1)顾客满意度调查，商务部按照《业务关系管理手册》中的有关规定执行。2)任何渠道收到的顾客反馈，接受部门或人员应及时进行内部沟通，确保将获得的信息告知到有关部门，由责任部门进行分析；3)商务部负责组织对采购产品进行验证，收集和分析验证成果；4)系统集成业务部门、软件研发业务部门负责各自职权范畴内的调试及测试成果的收集和分析；5)体系运行的其它数据，各有关部门自行收集和分析。数据分析可采用合适的统计技术。如整顿数据时可采用饼分图、排列图等，以找出单薄环节；而运用因果图可找出不合格或潜在不合格的因素。数据分析的成果应能提供下列信息，并将其作为改善的根据，以采用对应的纠正防止方法加以改善。持续改善8.5.1持续改善山东瀚高通过服务管理与安全方针和目的的建立与实施，营造一种激励改善的氛围，明确改善方向。公司应补救管理体系中任何不符合的部分，通过制订和改善管理方针和管理目的、进行管理评审、进行内部/外部审核、贯彻纠正与防止方法工作、对信息安全事件和服务异常事件的监控分析等方式开展管理体系改善工作，必要时征求全部有关方对管理体系的意见，从而确保管理体系的持续有效性和运行效率。公司应关注客户的投诉、埋怨，统计、评定服务改善建议，制订服务改善计划，评定服务改善状况，确保各项服务改善方法均已贯彻执行，并实现了预期的目的，从而改善完善服务过程，提高服务质量，提高客户满意度。公司应规定各部门在持续改善工作中的角色和职责，并从服务过程的全部方面考虑服务改善规定。8.5.2纠正方法公司应采用方法，以消除不合格的因素，避免不合格的再发生。纠正方法应与所碰到不合格的影响程度相适应。编制《纠正和防止方法控制程序》，规定下列方面的规定：1）评审不合格（涉及顾客埋怨）；2）拟定不合格的因素；3）评价确保不合格不再发生的方法的需求；4）拟定和实施所需的方法；5）统计所采用方法的成果；6）评审所采用的纠正方法的有效性。8.5.3防止方法公司应拟定方法，以消除潜在不合格的因素，避免不合格的发生。防止方法应与潜在问题的影响程度相适应。编制《纠正和防止方法控制程序》，规定下列方面的规定：1）拟定潜在不合格及其因素；2）评价避免不合格发生的方法的需求；3）拟定并实施所需的方法；4）统计所采用方法的成果；5）评审所采用的防止方法的有效性。附录A管理方针释义顾客至上、安全第一、质量为本、持续改善以满足顾客的需求，超越客户的期待为出发点，确保山东瀚高科技有限公司各项业务的安全运行，达成行业领先的高可用性。以专业和完善的服务质量，达成行业领先的水平；采用PDCA的办法，追求服务品质的不停提高。附录B管理目的在管理年度内要达成的管理目的以下：顾客服务满意率不低于95%重大质量事故为零成本偏差率＜