服务与信息安全管理手册

山东瀚高科技有限公司管理体系

管理手册

山东瀚高科技有限公司

文档发布信息

文档名称：管理手册

文档编号：L1-MM

版本号：

保密级别：内部使用级

拟制人：张春志

常瑞东、孟祥辉、卢健、张鲁敏、宋乐、刘学春、母晓明、

审核人：

韩志平

发布范围：公司管辖的所有部门

发布日期：

批准人：苗健

修订记录

版本号修订日期修订人类别修订说明

张春志M

张春志M换版

注1:修订类别分为：A-新建/增加、M—修订、D-删除

目录

颁布令..........................................................错误!未定义书签。

任命书.........................................................错误!未定义书签。

管理方针和目标....................................................错误!未定义书签。

山东瀚高有限公司简介..............................................................2

山东瀚高有限公司组织结构图........................................错误!未定义书签。

1目的和范围.......................................................................3

目的......................................................错误!未定义书签。

范围......................................................................3

2引用标准......................................................错误!未定义书签。

3术语和定义....................................................错误!未定义书签。

4管理体系要求..................................................错误!未定义书签。

总要求....................................................错误!未定义书签。

管理架构..............................................错误!未定义书签。

管理体系运作机制.....................................错误!未定义书签。

管理体系文件..............................................错误!未定义书签。

总则....................................................错误!未定义书签。

质量手册..............................................错误!未定义书签。

文件控制.11错误!未定义书签。

记录和资料控制..错误!未定义书签。

5管理职责......................................................错误!未定义书签。

管理承诺..................................................错误!未定义书签。

以J助客为关注的焦点.......................................借误!未定义书签。

质量方针..................................................错误!未定义书签。

策划......................................................错误!未定义书签。

质量方针............................................................15

质量管理体系策划....................................................15

职责、权限和沟通..........................................错误!未定义书签。

职责和权限..........................................................15

管理者代表...........................................................15

内部沟通............................................................16

管理评审.................................................................16

总则................................................................16

评审输入............................................................17

评审输出............................................................17

6资源管理................................................错误!未定义书签。8

资源的提供..........................................................18

人力资源............................................错误!未定义书签。8

基础设施............................................................19

工作环境............................................................19

7产品实现19

产品实现的策划..........19

与顾客有关的过程....................................................................20

与产品有关要求的确定........................................................20

与产品有关的要求的评审.....................................................20

顾客沟通.....................................................................21

i价+^开发................21

采购.......................21

采购过程......................................................错误!未定义书签。

21

采购产品的验证..............................................................22

切和服务悬共......................................................错误!未定义书签。

生产和服务提供的控制........................................................22

生产和服务过程的确认.......................................................23

标识和可追溯性.............................................................23

顾客财产..................................................24错误!未定义书签。

产品防护....................................................................24

监褥口测量装置控制..................................................................25

8测虽、分O1改进.....................................................................25

总则25

监视和测量26

错误!未定义书签。

内部审核......................27

过程的监视和测量............................................................27

产品的监蜘测量............................................................28

不合格品控制..................................................................28

城分析......................................................................29

数据^^原.....................................................................29

数据的收集和分析............................................................29

中拆蝇.......................................................................30

改进......................................................................30

纠正措施.....................................................................30

预防措施.....................................................................31

附录A管鲂针释义..............................................................32

附录B2011年度管理目标.......................................................32

附录C质量管理体系过程职责分配表...............................................33

附录D管理体系文件清单........................................................36

颁布令

为提高山东瀚高科技有限公司IT服务管理和信息安全管理水平，规范化运

行管理，山东瀚高科技有限公司依据《GB/TidtIS09001:2008质量管理体系

要求》、《ISO/IEC20000-1:2005Informationtechnology-Service

management-Part^Specification》、《ISO/IEC27001:2005Information

technology-Securitytechniques-Informationsecuritymanagement

systems-requirements^,结合公司实际情况建立符合以上标准规范要求的管

理体系。

《管理手册》阐述了山东瀚高科技有限公司有关IT服务管理、服务质量管

理、信息安全管理的管理方针，是规范山东瀚高科技有限公司服务管理与信息安

全管理的纲领性文件，是建立、实施、评测、改进管理体系的指导性文件。

本手册在编制过程中坚持符合性、适宜性和有效性的统一，并广泛征求意见

修订成稿，现予以发布，自发布日起正式生效实施。山东瀚高科技有限公司全体

员工应认真学习、熟知本手册内容，并严格执行本手册的各项规定和要求。

本手册将根据内、外部环境的变化适时进行评审、修改和完善。

此令！

山东瀚高科技有限公司总经理：苗健

2011年11月28日

任命书

山东瀚高科技有限公司〃管理者代表”任命书

为了贯彻执行《GB/TidtIS09001:2008质量管理体系要求》、《ISO

9001:2008Qualitymanagementsystems-Requirementsk(ISO/IEC

20000-1:2005Informationtechnology-Servicemanagement-Part

^Specification》、《ISO/IEC27001:2005Informationtechnology-Security

techniques-Informationsecuritymanagementsystems-

requirements^,加强对管理体系运作的领导，确保山东瀚高科技有限公司管理

体系的建立、实施、运作、监视、评审、保护和改讲，特任命常瑞东为山东

瀚高科技有限公司管理者代表。

管理者代表的职责和权限是：

1.代表总经理负责按标准要求建立、实施、运作、监视、评审、持续改山

东瀚高科技有限公司的管理体系，实现公司的服务管理，质量管理与信

息安全管理方针和目标；

2.协助总经理开展管理评审，并向总经理报告管理体系业绩和改进需求；

3.负责组织山东瀚高科技有限公司《管理手册》的编写、修订和审核工作；

4.确保在整个山东瀚高科技有限公司内提高满足客户要求的意识；

5.负责提出资源配置以实现IT服务的交付和管理；

6.负责协调和管理所有的IT服务管理工作;

7.负责协调和管理所有的质量管理工作；

8.提高公司全体人员的信息安全意识；

9.负责公司管理体系有关事宜的外部联络工作。

山东瀚高科技有限公司总经理：苗健

管理方针和目标

管理方针

顾客至上、安全第一、质量为本、持续改进

管理目标

安全可靠：保证山东瀚高科技有限公司各项业务的安全运行，达

到行业领先的高可用性，是压倒一切的管理要求。

客户满意：以专业和完善的服务，达到行业领先的服务水平，实

现客户满意。

效率和效益：在确保安全可靠和客户满意的前提下,以诚信合作

的精神和专业的技能，达成高效率和高效益，

管理政策

推进“流程化管理、标准化服务、高素质团队、高效率运作”的

体系建设；向客户提供安全、可靠和稳定的信息系统管理服务，并持

续优化服务质量。

服务理念

超越客户的期望值。

批准：苗健

2011年11月28日

十关于管理方针的释义见本文件附录A部分

山东瀚高科技有限公司简介

山东瀚高科技有限公司成立于2005年，是国内领先的基础软件服务提供

商。公司自成立以来一直致力于基础软件的研发、销售、服务和培训业务，瀚高

和各大国际知名厂商密切合作，建立了具有国内领先水平的技术工程师团队，开

创了基础软件综合服务产品化的先河，研发了具有自主知识产权的服务管理软

件，建立并完善了综合服务管理系统。秉承"专注数据服务，共享你我智慧"的

理念，以数据为中心开展备份、容灾、数据仓库、数据综合利用等各项服务,

瀚高将会一如既往的在数据平台服务领域加大投入，通过组织和业务流程的标准

化，实现产品和服务的专业化，不断提高自身竞争力，巩固在业界的领先地位，

引领数据服务产品化的潮流。

主要服务：

数据库

基础软件

中间件

BI的实施与咨询

服务资源：

优秀的管理和技术团队

规范、专业的IT服务管理流程和信息安全管理规范

山东瀚高有限公司组织结构图

综

合

管

理

部

1目的和范围

1.1目的

山东瀚高为了规范公司的内部运作，安全、及时、准确地为客户提供服务，

确保服务品质和信息安全，并注重持续改进，以期实现客户满意，而建立的运行

管理体系符合以下标准规范的全部要求：

GB/TidtISO9001:2008

ISO/IEC20000-1:2005

ISO/IEC27001:2005

1.2范围

本手册适用于：

山东瀚高下属的各部门;

公司所在驻地：济南市舜华路2000号舜泰广场8号楼西19层(北向)

―山东瀚高科技有限公司

根据山东瀚高的业务特点，对GB/TidtISO9001:2008、

TSO/TFC20000-1:2005以及TSO/TFC27001:2005标准中不适用于本公

司的部分条款作了删减。由于公司为客户提供服务活动，为常规业务，

不涉及到设计和开发，故对删除。上述条款的删除，不免除公司满足法

律法规和客户要求的责任。£0/IEC20000-1:2005以及ISO/IEC

27001:2005删减详见《L1-SOA-适用性声明》。

山东瀚高管理体系适用于与数据备份、容灾、数据仓库、数据综合利用

的服务相关的管理活动。

2引用标准

本手册引用或依据下列相关国家/国际标准，当该标准增补或修订时，使用

标准的最新版本：

1)GB/T19001:2008《质量管理体系要求》

2)GB/T19000:2008《质量管理体系基础和术语》

3)ISO9001:2008《Qualitymanagementsystems-Requirements^

4)ISO9000:2008《Qualitymanagementsystem-Fundamentalsand

vocabulary^

5)ISO/IEC20000-1:2005《IT服务管理第一部分：服务管理规范》

6）ISO/IEC20000-2-2005《IT服务管理第二部分：服务管理实践守则》

7）ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系-要求》

8）ISO/IEC27002:2007《信息技术-安全技术-信息安全管理实施指南》

3术语和定义

本手册采用GB/TidtISO9001:2008.ISO/IEC20000-1:2005.ISO/IEC

27001:2005的术语和定义。

4管理体系要求

4.1总要求

山东瀚高将充分遵循GB/19000-2008.ISO9001:2008.

ISO/IEC20000-1:2005.ISO/IEC27001:2005等标准的要求，建立、实施运

行管理体系，并持续改进,以保证其有效性。公司应：

a）确定质量管理体系所需的过程及其在整个组织中的应用；

b）确定这些过程的顺序和相互作用；

c）确定为确保这些过程的有效运作和控制所需的准则和方法；

d）确保可以获得必要的资源和信息，以支持这些过程的运作和监视；

e）监视、测量（适用时）和分析这些过程；

f）实施必要的措施，以实现对这些过程所策划的结果和对这些过程的持

续改进。

公司应按标准的要求管理这些过程，并对对公司所选择的任何影响产品

符合要求的外包过程，应确保对其实施控制。对此类外包过程控制的类型和程

度应在供应商管理手册中加以规定。

管理体系模式图：

资源管理过程

产品实现过程

测量、分析、改进过程

4.1.1管理架构

山东瀚高根据GB/19000-2008、1509001:2008.ISO/IEC

20000-1:2005.ISO/IEC27001:2005的要求，建立符合公司业务特点的管理

架构，明确各部门/岗位职责、沟通方式和渠道。

山东瀚高设立管理者代表，确保管理体系的建立、实施和持续改进工作的

落实，管理者代表负责向公司最高管理者报告管理体系的业绩和任何J改进的需

求，确保在公司内提高对客户服务意识和信息安全意识；负责与管理体系有关事

宜的外部联络工作。

山东瀚高明确了管理方针、目标以及达成方针和目标的措施，并明确了管

理体系的实施范围。管理目标的有效性每年至少评价一次。

山东瀚高开展管理评审和内部审核工作，评估和管理风险，持续的评估和改

进管理体系。

山东瀚高明确了标准适用范围，ISO/IEC20000-1:2005.ISO/IEC

27001:2005记录在《适用性声明》文件中。

4.1.2管理体系运作机制

山东瀚高在管理体系建立和维护过程中，充分遵循GB/Tidt

£09001:2008、E0/IEC20000-I:2005、ISO/IEC27001:2005等标准的要求，

采用PDCA模式建立、实施和维护管理体系，以保证其持续有效性，具体如下

图所示。

1.策划与准备（Plan）

主要是做好建设管理体系的各种前期工作，包括：

管理现场调查，明确IT服务管理、服务质量管理和信息安全管

理的目标，明确管理角色和管理框架的结构，建立风险评估方法,

确定管理审核和改进服务质量的方法。

进行管理体系设计，根据公司管理方针和业务特点，对业务过程

进行识别,确定管理范围,明确过程控制的方法及过程之间的相

互关系和接口。

对人员进行教育培训。

2.建设与实施（D。）

根据策划与准备阶段的结果,建立并推广、执行基于II服务管埋、

服务质量管理和信息安全管理的管理体系，规范运行管理以实现预期的

管理目标，为实现风险控制、评价和改进管理体系、实现持续改进提供

不可或缺的依据。

3.评估审核（Check）

通过对管理体系运行情况的监视、测量，定期实施内部审核，确保

管理体系下的各项管理制度得到落实，及时发现管理体系运行过程中存

在的问题,为管理体系的持续改进提供基础。

4.持续改进（Act）

建立管理体系持续改进测量,根据评估审核的结果，制定执行纠正

和预防措施，进一步改进完善各项管理制度，以保证管理体系的持续有

效性，保障信息安全，提高服务管理的有效性和效率。

4.2管理体系文件

4.2.1总则

管理体系充分考虑了ISO/IEC20000-1:2005标准中关于新服务或变更服务

的策划实施过程、服务交付过程、关系过程、解决过程、控制过程、发布过程，

具体内容已被融合到管理体系的相关文件之中。

管理体系充分考虑了GB/idtISO9001:2008标准中关于产品实现测量分

析改进的内容,具体内容已被融合到管理体系的相关文件之中。

质量管理体系文件应包括：

a）形成文件的质量方针和质量目标（在手册中描述）；

b）质量手册;

c）本标准所要求的形成文件的程序和记录；

d）组织确定的为确保其过程有效策划、运作和控制所需的文件，包括记录。

4.2.2质量手册

公司编制和保持质量手册，质量手册包括：

a）质量管理体系的范围，包括任］可删减的细节与理由（见范围）;

b）为质量管理体系建立的形成文件的程序或对其引用（见附录文件清

单）；

c）质量管理体系过程之间的相互作用的表述。

4.2.3文件控制

山东瀚高依据GB/idtISO9001:2008.ISO/IEC20000-1:2005.ISO/IEC

27001:2005标准的要求，结合公司的业务特点和实际情况，建立和执行适宜的

文件以保障管理体系的有效、高效运行，并对文件进行持续的修订完善，以保证

其有效性。

1公司文件体系结构：

山东瀚高管理体系相关的文件由上而下分为四个阶层，如下图所示：

L1第一阶层文件（简称一阶文件）：管理手册

包含山东瀚高管理方针和策略，是山东瀚高管理体系的纲领性文件。

一阶文件包括《管理手册》、《适用性声明》、《管理体系策划》。质量管理

明确了体系的范围，包括任何删减的细节与理由；描述了质量管理体系建立

所形成文件的程序或对其引用；对质量管理体系过程之间的相互作用进行表

述。

L2第二阶层文件（简称二阶文件）：程序文件

为达到

GB/TidtIS09001:2008XISO/IEC20000-1:2005.ISO/IEC

27001:2005标准要求而制定的各项管理制度、规范、流程以及相关支持性

文件。

L3第三阶层文件（简称三阶文件）：工作指引

用来解释特殊工作和活动细节的作业指导书、实施细则和操作手册等。

L4第四阶层文件（简称四阶文件）:表单记录

根据GB/TidtISO9001:2008.ISO/IEC20000-1:2005.ISO/IEC

27001:2005标准的要求和体系实际运行需要，通过表单模板，对管理体系

实施的活动过程和结果的记录进行规范，形成记录文件，用于作为管理评审、

内部审核、外部审核、持续改进的客观证据。

2文件控制

管理体系文档建立、颁布及修订，应采取适当管控措施。

管理体系文件的制定应符合公司的服务规模、产品类型、过程复杂程度、

员工能力素质等实际情况，以便于理解应用。公司编制《文件管理手册》，规

定以下方面所需的控制要求：

a.文件发布前得到批准，以确保文件是充分与适宜的；为文件的充分性与

适宜性，在文件发布前进行批准。

b.管理体系文件应定期进行评审、修订完善，并再次批准以保持文件要求

与实际运作的一致性，充分保障文件的有效性、充分性和适宜性。

c.确保文件的更改和现行修订状态得到识别；

d.确保在使用处可获得有关版本的适用文件；

e.确保文件保持清晰、易于识别；

f.确保组织所确定的策划和运行质量管理体系所需的外来文件得到识别，

并控制其分发；

g.防止作废文件的非预期使用，若因任何原因而保留作废文件时,对这些

文件进行适当的标识。

文件可以以任何媒体形式呈现，如纸张、磁盘、光盘、照片、样片等。

文件的审核、发布、变更、修订、废止等，应依照《文件管理手册》进行

管控。

4.2.4记录和姿料控制

公司应建立及维持管理体系所要求的"记录"，以提供为符合要求和质量

管理体系有效运行提供证据，记录应维持受控，记录应保持清晰,并易于阅读、

辨识及检索查阅。

记录应妥善保管，其鉴别、储存、取用、保护、保存期限、处置等事项，

应依照《记录和外来文件管理手册》进行管控。

管理体系文档及记录，可以以可形式进行存放（包括：纸本及电子文档X

5管理职责

5.1管理职责

公司管理层应在管理体系建立、实施、运行、监视、评审和持续改进中提供

承诺和支持，并通过各种活动完成以下工作，以确保相关各项工作的顺利开展，

并提供承诺和支持的证据。

1.建立符合相关标准的管理组织，包括决策层、管理层和执行层。

2.制订IT服务管理、信息安全管理、服务质量管理的管理方针和目标。

3.提供足够的资源，以保证管理体系策划、实施、运行、监视、评审、持

续改进等工作的顺利开展，以建立符合GB/19000-2008.ISO

9001:2008、ISO/IEC20000-1:2005、ISO/IEC27001:2005标准要求，

以及山东瀚高实际需要的管理体系。

4.确立山东瀚高管理体系持续改进计划和适当的沟通计划，确保管理体系

的持续有效性,满足公司的实际运行管理需要。

5.以各种方式，持续向公司全体员工传达传达符合管理目标、管理方针、

满足顾客和法律法规要求以及持续改进的必要性、重要性，传达满足其

他相关方要求的重要性。

6.以增进顾客满意为目的，确保顾客的各种要求得到确定并予以满足。

7.分配管理体系相关的角色和职责，包括指定管理者代表负责所有服务的

协调和管理。

8.对山东瀚高信息资产实行有效管理，确保信息资产的机密性（CI完整

性（n可用性（A\

9.组织开展风险管理工作，核定风险可接受标准，对公司不能接受的风险

进行处置。

10.组织建立瀚高业务连续性管理体系，以保证公司主要业务的连续，不受

重大故障和灾难的影响。

11.组织对山东瀚高全体员工进行信息安全、IT服务管理的教育培训，提高

信息安全意识和服务意识。

12.组织山东瀚高管理体系的推广工作，确保所有员工理解并严格遵守各项

管理制度、规范和程序。确保管理体系管理评审、内部审核工作的进行。

以顾客为关注焦点

总经理应以增强顾客满意为目的，确保顾客的要求得到确定并予以满足。

质量方针

总经理确保其制定的质量方针：

a.与公司的宗旨相适应；

b.包括对满足要求和持续改进质量管理体系有效性的承诺；

c.提供制定和评审质量目标的框架；

d.在组织内得到沟通和理解；

e.最高管理者通过管理评审,对质量方针的持续适宜性进行评审。

.策划

5.4.1质量目标

最高管理者确保：

a.管理者代表根据质量方针提供的框架，组织在公司和公司内部相关的职

能、层次和岗位上建立可测量的质量目标。形成公司目标体系。公司质量目标包

括满足产品要求所需的内容。

b.质量目标由最高管理者批准，由管理者代表组织跟踪、监督和考核，质量

目标通过管理评审进行评审和修订，以保证其持续适宜性。

目标以及各部门分解见附录B。

5.4.2质量管理体系策划

最高管理者确保：

a.为达到已确定的质量目标，由管理者代表主持对质量管理体系进行持续、

全面策划和修订、变更，以满足质量管理体系总要求的各个方面，形成并持续改

进完整的文件体系和完善的组织体系。

b.在对质量管理体系的变更进行策划和实施时，保持质量体系的完整性。

・职责.权限和沟通

5.5.1职责和权限

最高管理者应确保组织内的职责、权限得到规定和沟通。具体参见《组织架

构与部门职责》。

5.5.2管理者代表

最高管理者任命一名管理者作为管理者代表，对质量管理体系进行管理、监

督、评价和协调。管理者代表的职责和权限包括但不限于：

a.确保质量管理体系所需的过程得到建立、实施和保持；

b.向最高管理者报告质量管理体系的业绩和任何改进的需求；

c.确保在整个组织内提高满足顾客要求的意识；

d.本手册规定的其他职责和权限。

5.5.3内部沟通

最高管理者应确保在组织内建立适当的沟通过程，并确保对质量管理体系的

有效性进行沟通。公司的沟通方式包括：会议、看板、电话、网络邮件、记录传

递、培训等方式。

管理评审

5.6.1总则

为确保管理体系，包括服务管理与安全方铜口目标持续的适宜性、充分性和

有效性：

1.由山东瀚高建立并保持《管理评审控制程序》指导管理评审工作的执行。

2.公司每年至少开展一次管理评审，两次间隔不得超过十二个月。一般情

况下，采取会议的形式，安排在内部审核之后。当出现下列情况之一时，

应及时进行管理评审：

公司管理体系发生重大变化。

国家法律、法规、相关标准发生重大变化。

外审之前。

其它认为需要评审时。

3.管理评审由总经理主持，各部门负责人参加，需要时，由总经理决定具

体的参加人员。

4.管理审查会议的决议事项以会议纪要形式体现，由各相关部门负责配合

执行，并对执行状况予以追踪评估。

5.6.2评审输入

综合管理部组织有关部门按计划的要求收集整理有关文件和数据资料提交

管理评审，包括：

1）内部和外部审核的结果；

2）相关方（客户、政府部门、供应商、内部员工等）的反馈；

3）管理目标有效性测量结果；

4）客户满意度调查信息反馈及客户投诉；

5）山东瀚高用于改进管理体系执行绩效和有效性的技术、产品或程序的发

展及变化；

6）全年的管理体系运作状况；

7）对过程和服务测量和监视的结果；

8）纠正和预防措施的实施情况；

9）以往风险评估未充分指出的脆弱性或威胁；

10）以往管理评审所采取措施的跟踪验证；

11）经策划的可能影响管理体系的变更；

12）管理体系文件的适用性，包括修改要求等；

13）改进的建议。

5.6.3评审输出

按照服务管理与安全方针和目标对上述信息进行全面的讨论、评价、分析,

决定所要采取的改进措施，包括：

1）管理体系有效性的改进，应考虑业务需求、安全需求、影响已有业务需

求的业务过程、法律法规环境、合同责任、风险和/或风险接受等级等;

2）方针和目标的修订；

3）与客户要求有关的改进；

4）更新风险两古和风险处置计划；

5）资源需求；

6）改进测量控制措施有效性的方式；

7）对现有管理体系（包括方针和目标）的评价结论及对现有服务是否符合

要求的评价。

6资源管理

资源的提供

公司应确定并提供必要的足够资源以策划、建立、实施、运作、监视、评审、

保持和改进管理体系，通过满足客要求，增强顾客满意。包括人力资源、基础设

施、工作环境。

人力资源

1.基于适当的教育、培训、技能和经验，从事影响产品与要求的符合性工

作的人员应是能够胜任的。岗位职责以及相应的能力需求应有清晰明确

的定义。

2.应合理为每个员工分配工作岗位，并为其所知晓。

3.应使全体员工认识到其所从事工作的关联性和重要性，以及如何为实现

管理目标作出贡氤。

4.应根据员工岗位职责要求，提供适当的教育培训或采取其它措施，以满

足工作岗位能力需求。

5,应建立员工教育培训管理制度，并评估教育培训的成效或所采取措施的

有效性。

6.应维持相关人员教育、培训、技能及经验的适当记录。

7.聘用人员前应对其背景进行调查验证,并签署相关信息安全职责的文件。

具体执行人力资源实施细则。

基础设施

确定、提供和维护满足相关法律、法规、标准、合约要求的所必需的基础设

施，如办公场所、办公设备、网络设备（包括硬件和软件\支持性服务（如通讯

或信息系统）等，并按既定的策略、管理措施讲行使用C

工作环境

提供满足相关法律、法规、标准、合约要求的所必需的工作环境，并按既定

的策略、管理措施进行使用。

7产品实现

产品实现的策划

根据公司业务特点，为确保产品代理分销、软件产品、服务和系统集成项目

达到客户满意，公司相关业务部门对实现上述产品和服务的全过程进行了策划并

制定了相应的文件；产品实现的策划应与质量管理体系其他过程的要求相一致。

在对产品实现进行策划时，应确定以下方面的适当内容：

a.产品的质量目标和要求，见《服务级别管理手册》；

b.针对产品确定过程、文件和资源的需求；

c.产品所要求的验证、确认、监视、测量、检验O式验活动，以及产品接收

港则;

d.为实现过程及其产品满足要求提供证据所需的记录。

对应用于特定产品、项目或合同的质量管理体系、IT服务管理体系和信息安

全管理体系的过程（包括产品实现过程）和资源，通过制定计划的方法进行规定。

在公司IT服务业务中，服务产品实现的策划，一方面通过《新服务和服务

变审管理手册》对现有服务产品讲行变审或研发新的服务产品；另一方面，通过

《服务级别管理手册》及《事件管理手册》，对服务产品的执行过程进行策划。

与顾客有关的过程

7.2.1与产品有关要求的确定

公司应确定产品的要求，要求由以卜方面构成：

1）客户规定的要求，包括对交付和交付后活动的要求，交付后的活动包括

诸如担保条件下的措施、合同规定的维护服务、附加服务（回收或最终处置）等;

2）客户虽未明确提出，但规定的或预期的用途所必需的要求；

3）与产品有关的国家法令法规、行业规定的耍求；

4）公司认为必要的附加要求（注：此要求不得与前3项要求的任何一项有

抵触工

7.2.2与产品有关的要求的评审

与客户进行有效的沟通，充分且正确的了解客户的要求和期望，确保公司有

能力实现客户的要求，以达到用户满意。

公司应评审与产品有关的要求。评审应在组织向顾客作出提供产品的承诺之

前进行（如：提交标书、接受合同或订单及接受合同或订单的更改），并应确保：

a.产品要求得到规定；

b.与以前表述不一致的合同或订单的要求已予解决；

c.组织有能力满足规定的要求。

评审结果及评审所引起的措施的记录应予保持。

若顾客提供的要求没有形成文件,公司应在接收顾客要求前应对顾客要求进

行确认。

若产品要求发生变更（包括合同以及技术要求等），公司应确保相关文件得

到修改，并确保相关人员知道已变更的要求。

公司通过有关的产品信息，如产品目录、产品广告内容进行销售时，应在

发布信息前对相关内容进行评审。

具体遵照《供应商管理手册》中《合同评审管理流程》。

7.2.3顾客沟通

为增进与客户的沟通，公司应对以下有关方面进行确定并实施与顾客沟通：

a.为客户提供产品信息；

b.接收客户的问询、合同或者订单的处理，包括，对其的修改；

C.及时获取客户的反馈，包括意见和投诉。公司通过设立投诉电话等手段,

建立有效的沟通方法。

所有客户信息的记录,都应保存并做分析处理，定期向管理层报告。所有与

质量相关的客户需求、投诉记录、满意度调查的结果和反馈都会通过业务管理过

程进行处理和分析。

具体参见《服务报告管理手册》、《新服务与服务变更管理手册》、《事件管理

手册》、《业务关系管理手册》。

设计和开发

根据公司的认证范围，本条款已进行删减，列出的目的便于与标准对应。

采购

7.4.1采购过程

商务部应确保采购的产品符合规定的采购要求。对供方及采购的产品控制的

类型和程度应取决于采购的产品对随后的产品实现或最终产品的影响。

商务部应根据供方按组织的要求提供产品的能力评价和选择供方。应制定选

择、评价和重新评价的准则。评价结果及评价所引起的任何必要措施的记录应予

保持。

7.4.2采购信息

采购信息应表述拟采购的产品，适当时包括：

a）产品、程序、过程和设备的批准要求：

b）人员资格的要求；

c）质量管理体系的要求。

在与供方沟通前，组织应确保规定的采购要求是充分与适宜的。

7.4.3采购产品的验证

各使用部门应确定并实施检验或其他必要的活动，以确保商务部采购的产品

满足规定的采购要求。采购完成后，供应商的服务进行监督和评审，定期回顾评

审供应商是否达到约定的服务级别目标，并对其结果进行分析处理。

当公司或具顾客拟在供方的现场实施验证时，组织应在采购信息中对拟验证

的安排和产品放行的方法作出规定。

本公司与产品和服务有关的采购由商务部对采购过程进行控制，具体参见

《供应商管理手册》。

生产和服务提供

7.5.1生产和服务提供的控制

为了对生产和服务的运作进行有效的控制，本公司应策划并在受控条件下进

行提供，适用时，受控条件应包括：

1）根据项目和顾客要求，由各项目承担部门负责公司获得规定产品特性的

信息，包括隐含的要求及法律法规要求；

2）需要时，由项目承担部门制定作业指导书，包括计划编制规范和实施规

范等。

3）由项目承担部门负责获得、使用和维护生产与服务运作用的设备及软件

版本管理，执行相关配置规范等；

4）获得和使用监视和测量设备；

5）由项目承担部门负责按相关控制文件的要求实施监控活动；

6）实施放行、交付和适用的交付后活动。

本公司在为客户提供生产和服务过程具体参见《服务级别管理手册》、《能力

和可用性管理手册》、《设备管理手册》、《业务持续性管理手册》、《事件管理手册》、

《问题管理手册》、《网络安全管理手册》以及备份等信息安全管理文件。

7.5.2生产和服务过程的确认

当生产和服务提供的过程输出不能由后续的监视或测量加以验证，致使问题

在产品投入使用后或服务已交付后才显现时，组织应对任何这样的过程实施确

认。公司提供的服务过程，均需要确认，证实这些过程实现所策划结果的能力。

适用时包括：

a.为过程的评审和批准所规定的准则；

b.设备的认可和人员资格的鉴定；

c.使用特定的方法和程序；

d.记录的要求；

e.再确认。

公司通过目标指标监控、人员资格能力、设备能力和可用行、设备符合性监

督方式确认过程能力，并制定相应的作业文件，进行过程确认，并记录。当公司

出现下列问题时，需要再次确认：

a.信息事件出现严重以上等级;

b.客户连续出现3次以上投诉。

过程确认遵循《能力和可用性管理手册》、《人力资源管理实施细则》和《符

合性管理手册》等文件。

7.5.3标识和可追溯性

为了有效识别开发策划、需求分析、设计实现、安装调试、验收交付及维护

服务过程中的各项产品，防止混用，确保本公司提供的软、硬件产品的可追溯性

和唯一标识，实现产品质量保证的明确定位，公司对采购产品的标识进行如下要

求：

1）入库的采购产品和产品状态采用标签和区域进行标识;

2）安装现场的采购产品可用包装上的原标识或铭牌进行标识,产品状态可

用标签和相应验证记录进行标识。

3）软件产品通过版本和版本说明进行标识。

4）人员通过姓名或者员工卡号标识。

5）设备通过指示等告警等不同颜色进行标识。

6）项目计划通过审批状态进行标识。

在有可追溯性要求时，由项目组控制和记录产品的唯一性标识。

7.5.4顾客财产

有关部门和人员应爱护在公司控制下和使用的顾客财产（包括知识产权和企

业以及个人信息），为此，公司针对顾客实物财产会在合同中具体规定了顾客财

产的识别、验证、保护和维护要求，同时规定当顾客财产发生丢失、损坏或发现

不适用的情况时,应报告顾客，并保持记录。

在IT服务项目中，对客户信息资产的管理，包括识别、风险评估和处理，

将遵循《配置管理手册》以及《信息安全风险管理手麻》的相关规定执行。

7.5.5产品防护

为防止产品在内部处理和交付到预定地点期间的损坏和质量降低，公司应对

产品和产品的组成部分提供防护。产品防护包括标识、搬运、包装、贮存和保护。

具体控制如下：

1）产品的标识执行7.4.3。

2）产品搬运过程中应做到轻拿轻放，防摔、防碰、防水，防止野蛮装卸。

对于大型设备应选择适当的搬运工具，并由专业搬运人员操作。

3）产品的包装一般使用原包装，必要时应内填足够的填充物或增加外包装,

注明产品规格型号、数量等有关内容，并写上“轻拿轻放"等字样及"V标志。

包装应确保防止任何物理或功能性的损伤。

4）库房储存环境要求防火、防盗、防水、防潮、防磁、防鼠、防蛀。入库

产品要做到先入先出并及时填写相关记录。

5）网络及集成系统交付前，严禁无关人员随意开机、调试、插拔接头等。

6）对网络内的信息按照信息安全管理手册中的规定执行。

7.6监视和测量设备的控制

公司应确定需实施的监褥口测量以及所需的监视和测量设备，为产品符合确

定的要求提供证据。

公司应建立《监视?口测量设备控制程序》，以确保监视和测量活动可行并以

与监视和测量的要求相一致的方式实施。

当有必要确保结果有效的场合时，测量设备应做到：

对照能溯源到国际或国家标准的测量标准，按照规定的时间间隔或在使用前

进行校准和（或）验证。当不存在上述标准时，应记录校准或检定的依据；

必要时进行调整或再调整；

能够识别，以确定其校准状态；

防止可能使测量结果失效的调整；

在搬运、维护和贮存期间防止损坏或失效；

此外，当发现设备不符合要求时，应对以往测量结果的有效性进行评价和记

录，应对该设备和任］可受影响的产品采取适当的措施。

校准和验证结果的记录应予保持。

当计算机软件用于规定要求的监视和测量时，应确认其满足预期用途的能

力。确认应在初次使用前进行,并在必要时予以重新确认。确认计算机软件满足

预期用途能力的典型方法包括验证和保持其适用性的配置管理（技术状态管理\

8测量.分析和改进

8.1总则

公司策划并实施顾客满意测量、内部审核、产品监邮口测量、过程监视和测

量、不合格品控制、数据分析、持续改进等过程，以便：

应策划并实施以下方面所需的监视、测量、分析和改进过程：

a.证实与产品要求的符合性；

b.确保质量管理体系的符合性；

C.持续改进质量管理体系的有效性。

这应包括对统计技术在内的适用方法及其应用程度的确定。

8.2监视和测量

821顾客满意

公司通过测量、分析客户对公司产品和服务的满意度，不断提高产品和服务

质量。

客户服务部负责牵头并组织相关部门进行客户满意度的调查与评价，根据对

客户要求、意见和投诉的调查，进行统计分析，形成统计分析报告，报告相关部

门及管理层。针对客户不满意或潜在不满意情况,责任部门应采取相应的纠正和

预防措施，不断提高客户满意度。具体执行《业务关系管理手册》中满意度调查

流程。

8.2.2内部审核

1）公司制定了《内部审核控制程序》，策划的时间间隔通过审核管理体系涉

及到的各部门所开展的活动和有关结果是否符合策划的安排、标准的要求以及组

织所确定的质量管理体系的要求，确保管理体系持续有效地运行，并为管理体系

改进提供依据。

2）按照《内部审核控制程序》，定期对各体系实施内部审核。公司每年至少

进行1次内审活动。内审计划报管理者代表审批。在每次内审前，管理者代表任

命审核组长，由审核组长组织内部审核。审核组应编制审核工作相关文件，提前

通知各有关部门和人员。审核结束后，由审核组长组织编写审核报告，报送管理

者代表审批，分发到各有关部门和人员。对审核中发现的不合格项，责任部门应

及时采取纠正措施，内审员应对纠正措施的完成情况进行跟踪检查，并验证其有

效性。

3）实施内部审核时，需要考虑到被审核流程和区域的状况及重要性，也应

考虑到之前审核的结果。在审核之前,必须确定审核标准、范围和方法，选择审

核员，确保审核过程的客观性和中立性。

4）内部审核的结果是实施管理评审的重要的信息输入，会成为实施纠正措

施以改进管理体系的重要依据。

8.2.3过程的监视和测量

公司对各个管理体系的产品实现、管理职责、资源管理、测量分析等过程进

行监视和测量。采用如下的手段和方法进行测量，对未能达到策划结果的过程，

应采取适当的纠正和纠正措施，以确保过程和结果的符合性。

1）通过内部审核对各过程进行监测。

2）通过目标绩效对各个过程进行监测。

3）顾客满意度的测量对生产和服务提供全过程进行监控。

4）各部门经理负责监督检查部门和员