IT服務與信息安全管理手冊_第1頁
IT服務與信息安全管理手冊_第2頁
IT服務與信息安全管理手冊_第3頁
IT服務與信息安全管理手冊_第4頁
IT服務與信息安全管理手冊_第5頁
已閱讀5頁,還剩40頁未讀 繼續免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、山東瀚高科技有限公司PAGE HYPERLINK 山東瀚高高科技有有限公司司管理體體系管理手冊冊山東瀚高高科技有有限公司司 STYLEREF 標題 * MERGEFORMAT 管理手冊冊 HYPERLINK 文檔發布布信息文檔名稱稱:管理手冊冊文檔編號號:L1-MMM版 本 號:2.0保密級別別: 內部使用用級擬制人:張春志審核人:常瑞東、孟祥輝輝、盧健健、張魯魯敏、宋宋樂、劉劉學春、母曉明明、韓志志平發布范圍圍:公司管轄轄的所有有部門發布日期期:20111.111.28批 準 人:苗健 STYLEREF 標題 * MERGEFORMAT 管理手冊冊 HYPERLINK 修訂記錄錄版本號修訂日

2、期期修訂人類別修訂說明明1.020111.3.1張春志M2.020111.111.288張春志M換版注1:修修訂類別別分為:A新建/增加、M修訂、D刪除 STYLEREF 標題 * MERGEFORMAT 管理手冊冊 HYPERLINK 目錄TOC o 1-3 u頒布令 PAGEREF _Toc309908023 h II任命書 PAGEREF _Toc309908024 h III管理方針針和目標標 PAGEREF _Toc309908025 h 1山東瀚高高有限公公司簡介介2山東瀚高高有限公公司組織織結構圖圖 PAGEREF _Toc309908026 h 31目的和和范圍331.1目目的

3、 PAGEREF _Toc309908028 h 31.2范范圍32引用標標準 PAGEREF _Toc309908030 h 43術語和和定義 PAGEREF _Toc309908031 h444管理體體系要求求 PAGEREF _Toc309908032 h 54.1總總要求 PAGEREF _Toc309908033 h 554.1.1管理理架構 PAGEREF _Toc309908034 h 884.1.2管理理體系運運作機制制 PAGEREF _Toc309908035 h 84.2管管理體系系文件 PAGEREF _Toc309908036 h 1004.2.1總則則 PAGERE

4、F _Toc309908037 h104.2.2質量量手冊 PAGEREF _Toc309908038 h 1104.2.3文件控控制111 PAGEREF _Toc309908041 h 4.2.4記錄和和資料控控制 PAGEREF _Toc309908042 h 1335管理職職責 PAGEREF _Toc309908043 h 1335.1管管理承諾諾 PAGEREF _Toc309908044 h 135.2以以顧客為為關注的的焦點 PAGEREF _Toc309908044 h 1145.3質質量方針針 PAGEREF _Toc309908044 h 145.4策策劃 PAGEREF

5、 _Toc309908044 h 155.4.1質量量方針1155.4.2質量量管理體體系策劃劃155.5職職責、權權限和溝溝通 PAGEREF _Toc309908044 h 155.5.1職責責和權限限155.5.2管理理者代表表155.5.3內部溝溝通1665.6管管理評審審165.6.1總則則165.6.2評審審輸入1175.6.3評審輸輸出1776資源管管理 PAGEREF _Toc309908045 h 186.2.1資源源的提供供186.2.2人力力資源 PAGEREF _Toc309908047 h 1186.2.3基礎礎設施1196.2.4工作環環境1997產品實實現1997

6、.1 產品品實現的的策劃1197.2 與顧客客有關的的過程2207.2.1 與與產品有有關要求求的確定定207.2.2 與與產品有有關的要要求的評評審2007.2.3 顧顧客溝通通217.3 設計和和開發2217.4采采購2117.4.1采購購過程 PAGEREF _Toc309908064 h 2217.4.2 采采購信息息217.4.3 采采購產品品的驗證證227.4 生產和和服務提提供 PAGEREF _Toc309908063 h 2227.5.1 生生產和服服務提供供的控制制227.5.2 生生產和服服務過程程的確認認237.5.3 標標識和可可追溯性性237.4.4 顧顧客財產產2

7、4 PAGEREF _Toc309908067 h 7.5.5 產產品防護護247.6監監視和測量裝裝置控制制258測量、分析和和改進2258.1 總則2558.2 監視和和測量2268.2.1 客客戶滿意意度 PAGEREF _Toc309908072 h 268.2.2 內內部審核核278.2.3 過過程的監監視和測測量278.2.4 產產品的監監視和測測量288.3 不合格格品控制制288.4 數據分分析298.4.1 數數據來源源298.4.2 數數據的收收集和分分析298.5持持續改進進308.5.1持續續改進33085.22 糾正正措施3308.5.3 預預防措施施31附錄A 管理

8、方方針釋義義32附錄B 20011年年度管理理目標332附錄C質質量管理理體系過過程職責責分配表表33附錄D管管理體系系文件清清單366 HYPERLINK PAGE III頒 布 令為提高山山東瀚高高科技有有限公司司IT服服務管理理和信息息安全管管理水平平,規范范化運行行管理,山東瀚瀚高科技技有限公公司依據據GBB/T 19000120008 idtt ISSO90001:20008質量量管理體體系要求求、ISOO/IEEC2000000-1:20005 IInfoormaatioon ttechhnollogyy - Serrviccemaanaggemeent - Paart 1:SSp

9、eccifiicattionn、ISO/IECC 2770011:20005IInfoormaatioon ttechhnollogyy- SSecuuritty ttechhniqquessInfformmatiionssecuuritty mmanaagemmentt syysteems-reqquirremeentss,結合合公司實實際情況況建立符符合以上上標準規規范要求求的管理理體系。管理手手冊闡述了了山東瀚瀚高科技技有限公公司有關關IT服服務管理理、服務務質量管管理、信信息安全全管理的的管理方方針,是是規范山東東瀚高科科技有限限公司服服務管理理與信息息安全管管理的綱綱領性文文件,是是

10、建立、實施、評評測、改改進管理理體系的的指導性性文件。本手冊在在編制過過程中堅堅持符合合性、適適宜性和和有效性性的統一一,并廣廣泛征求求意見修修訂成稿稿,現予予以發布布,自發布布日起正式生效效實施。山東瀚瀚高科技技有限公公司全體體員工應應認真學學習、熟熟知本手手冊內容容,并嚴嚴格執行行本手冊冊的各項項規定和和要求。本手冊將將根據內內、外部部環境的的變化適適時進行行評審、修改和和完善。此令! 山山東瀚高高科技有有限公司司總經理理:苗健 20111年11月28日任 命命 書書山東瀚高高科技有有限公司司“管理者者代表”任命書書為了貫徹徹執行GB/T 119000120008iddt IISO9900

11、11:20008 質量管管理體系系 要求求、ISOO 90001:20008 Quualiity mannageemennt ssysttemss - Reqquirremeentss、ISSO/IIEC2200000-11:20005 Infformmatiion tecchnoologgy - Seerviice mannageemennt - Paart 1:SSpeccifiicattionn、ISOO/IEEC 2270001:220055 Innforrmattionn teechnnoloogy - SSecuuritty ttechhniqquess Innforrmattio

12、nn seecurrityy maanaggemeent sysstemms - reequiiremmentts,加強對對管理體體系運作作的領導導,確保保山東瀚瀚高科技技有限公公司管理理體系的的建立、實施、運作、監視、評審、保護和和改進,特任命命常瑞東東為山東瀚瀚高科技技有限公公司管理理者代表表。管理者代代表的職職責和權權限是:代表總經經理負責責按標準準要求建建立、實實施、運運作、監監視、評評審、持持續改山山東瀚高高科技有有限公司司的管理理體系,實現公公司的服務管管理,質質量管理理與信息息安全管理理方針和和目標;協助總經經理開展展管理評評審,并并向總經經理報告告管理體體系業績績和改進進需求;

13、負責組織織山東瀚瀚高科技技有限公公司管理手手冊的的編寫、修訂和審核核工作;確保在整整個山東東瀚高科科技有限限公司內內提高滿滿足客戶戶要求的的意識;負責提出出資源配配置以實實現ITT服務的的交付和和管理;負責協調調和管理理所有的的IT服服務管理理工作;負責協調調和管理理所有的的質量管管理工作作;提高公司司全體人人員的信信息安全全意識;負責公司司管理體體系有關關事宜的的外部聯聯絡工作作。山東瀚高高科技有有限公司司總經理理:苗健PAGE 36 HYPERLINK 管理方針針和目標標管理方針針顧客至上上、安全全第一、質量為為本、持續改改進管理目標標安全可靠靠:保證山東東瀚高科科技有限限公司各各項業務務

14、的安全全運行,達到行行業領先先的高可可用性,是壓倒倒一切的的管理要要求。客戶滿意意:以專業業和完善善的服務務,達到到行業領領先的服服務水平平,實現現客戶滿滿意。效率和效效益:在確保保安全可可靠和客客戶滿意意的前提提下,以以誠信合合作的精精神和專專業的技技能,達達成高效效率和高高效益。管理政策策推進“流流程化管管理、標標準化服服務、高高素質團團隊、高高效率運運作”的體系系建設;向客戶戶提供安安全、可可靠和穩穩定的信信息系統統管理服服務,并并持續優優化服務務質量。服務理念念超越客戶戶的期望望值。 批準準:苗健健20111年 111月28日關于管管理方針針的釋義義見本文文件附錄錄A部分分山東瀚高高科

15、技有限限公司簡簡介 山東東瀚高科科技有限限公司成成立于220055年,是是國內領領先的基基礎軟件件服務提提供商。公司自自成立以以來一直直致力于于基礎軟軟件的研研發、銷銷售、服服務和培培訓業務務,瀚高高和各大大國際知知名廠商商密切合合作,建建立了具具有國內內領先水水平的技技術工程程師團隊隊,開創創了基礎礎軟件綜綜合服務務產品化化的先河河,研發發了具有有自主知知識產權權的服務務管理軟軟件,建建立并完完善了綜綜合服務務管理系系統。秉秉承“專專注數據據服務,共享你你我智慧慧”的理理念,以以數據為為中心開開展數據據備份、容災、數據倉倉庫、數數據綜合合利用等等各項服服務,瀚瀚高將會會一如既既往的在在數據平

16、平臺服務務領域加加大投入入,通過過組織和和業務流流程的標標準化,實現產產品和服服務的專專業化,不斷提提高自身身競爭力力,鞏固固在業界界的領先先地位,引領數數據服務務產品化化的潮流流。主要服務務:數據庫基礎軟件件中間件BI的實實施與咨咨詢服務資源源:優秀的管管理和技技術團隊隊規范、專專業的IIT服務務管理流流程和信信息安全全管理規規范山東瀚高高有限公公司組織織結構圖圖管理者代表總經理綜合管理部銷售副總技術副總銷售部商務部客戶服務部產品部售前支持部系統支持部目的和范范圍目的山東瀚高高為了規規范公司司的內部部運作,安全、及時、準確地地為客戶戶提供服服務,確確保服務務品質和和信息安安全,并并注重持持續

17、改進進,以期期實現客客戶滿意意,而建立立的運行行管理體體系符合合以下標標準規范范的全部部要求:GB/TT 1990011-220088 iddt IISO 90001:220088ISO/IECC200000-1:220055ISO/IECC 2770011:20005范圍本手冊適適用于:山東瀚高高下屬的各各部門;公司所在在駐地:濟南市市舜華路路20000號舜舜泰廣場場8號樓樓西199層(北北向)山東東瀚高科科技有限限公司根據山東東瀚高的的業務特特點,對對GB/T 119000120008 iidt ISOO 90001:20008、ISOO/IEEC2000000-1:20005以及及ISO

18、O/IEEC 2270001:220055標準中中不適用用于本公公司的部部分條款款作了刪刪減。由由于公司司為客戶戶提供服服務活動動,為常常規業務務,不涉涉及到77.3設設計和開開發,故故對7.3刪除除。上述述條款的的刪除,不免除除公司滿滿足法律律法規和和客戶要要求的責責任。IISO/IECC200000-1:220055以及IISO/IECC 2770011:20005刪刪減詳見見L11-SOOA-適適用性聲聲明-VV1.00。山東瀚高高管理體體系適用用于與數數據備份份、容災災、數據據倉庫、數據綜綜合利用用的服務務相關的的管理活活動。引用標準準本手冊引引用或依依據下列列相關國國家/國國際標準準

19、,當該該標準增增補或修修訂時,使用標標準的最最新版本本:GB/TT190001:20008質質量管理理體系要要求GB/TT190000:20008質質量管理理體系基基礎和術術語ISO 90001:220088Quaalitty mmanaagemmentt syysteems - RRequuireemenntsISO 90000:220088Quaalitty mmanaagemmentt syysteem - Fuundaamenntalls aand voccabuularryISO/IECC200000-1:220055 IT服務務管理第第一部分分:服務務管理規規范ISO/IECC20

20、0000-2-220055IT服務務管理第第二部分分:服務務管理實實踐守則則ISO/IECC 2770011:20005 信息技技術-安安全技術術-信息息安全管管理體系系-要求求ISO/IECC 2770022:20007信息技技術-安安全技術術-信息息安全管管理實施施指南術語和定定義本手冊采采用GBB/T 19000020008 idtt ISSO90001:20008、ISOO/IEEC 2200000-11:20005、ISOO/IEEC 2270001:220055的術語語和定義義。管理體系系要求總要求山東瀚高高將充分遵遵循GBB/199000020008、ISOO 90001:200

21、08、ISOO/IEEC2000000-1:20005、IISO/IECC 2770011:20005等等標準的的要求,建立、實施運運行管理理體系,并持續改改進,以以保證其其有效性性。公司司應:a) 確確定質量量管理體體系所需需的過程程及其在在整個組組織中的的應用;b) 確確定這些些過程的的順序和和相互作作用;c) 確確定為確確保這些些過程的的有效運運作和控控制所需需的準則則和方法法;d) 確確保可以以獲得必必要的資資源和信信息,以以支持這這些過程程的運作作和監視視;e) 監監視、測測量(適適用時)和分析析這些過過程;f) 實實施必要要的措施施,以實實現對這這些過程程所策劃劃的結果果和對這這些

22、過程程的持續續改進。公司應按按標準的的要求管管理這些些過程,并對對對公司所選選擇的任任何影響響產品符符合要求求的外包包過程,應確保保對其實實施控制制。對此此類外包包過程控控制的類類型和程程度應在在供應商商管理手手冊中加加以規定定。管理體系系模式圖圖:資源管理理過程產品實現現過程測量、分分析、改改進過程程管理架構構山東瀚高高根據GBB/199000020008、ISOO 90001:20008、ISOO/IEEC 2200000-11:20005、ISOO/IEEC 2270001:220055的要求求,建立立符合公公司業務務特點的的管理架架構,明確各各部門/崗位職職責、溝溝通方式式和渠道。山東

23、瀚高高設立管管理者代代表,確保管管理體系系的建立、實施和和持續改改進工作作的落實實,管理理者代表表負責向向公司最高高管理者者報告管管理體系系的業績績和任何何改進的的需求,確保在在公司內提提高對客客戶服務務意識和信信息安全全意識;負責與與管理體體系有關關事宜的的外部聯聯絡工作作。山東瀚高高明確了了管理方方針、目目標以及及達成方方針和目目標的措措施,并并明確了了管理體體系的實實施范圍圍。管理目目標的有有效性每每年至少少評價一一次。山東瀚高高開展管管理評審審和內部部審核工工作,評評估和管管理風險險,持續的的評估和和改進管管理體系系。山東瀚高高明確了了標準適適用范圍圍,ISSO/IIEC2200000

24、-11:20005、ISOO/IEEC 2270001:220055記錄在適用用性聲明文件件中。管理體系系運作機機制山東瀚高高在管理理體系建建立和維維護過程程中,充充分遵循循GB/T 119000120008 iidt ISOO90001:220088、ISOO/IEEC2000000-1:20005、IISO/IECC 2770011:20005等等標準的的要求,采用PPDCAA模式建建立、實實施和維維護管理理體系,以保證證其持續續有效性性,具體體如下圖圖所示。策劃與準準備(PPlann)主要是做做好建設設管理體體系的各各種前期期工作,包括:管理現場場調查,明確IIT服務務管理、服務質質量管

25、理理和信息息安全管管理的目目標,明確管管理角色色和管理理框架的的結構,建立風風險評估估方法,確定管管理審核核和改進進服務質質量的方方法。進行管理理體系設設計,根根據公司司管理方方針和業業務特點點,對業業務過程程進行識識別,確確定管理理范圍,明確過過程控制制的方法法及過程程之間的的相互關關系和接接口。對人員進進行教育育培訓。建設與實實施(DDo)根據策劃劃與準備備階段的的結果,建立并并推廣、執行基基于ITT服務管管理、服服務質量量管理和和信息安安全管理理的管理理體系,規范運運行管理理以實現現預期的的管理目目標,為為實現風風險控制制、評價價和改進進管理體體系、實實現持續續改進提提供不可可或缺的的依

26、據。評估審核核(Chheckk)通過對管管理體系系運行情情況的監監視、測測量,定定期實施施內部審審核,確確保管理理體系下下的各項項管理制制度得到到落實,及時發發現管理理體系運運行過程程中存在在的問題題,為管管理體系系的持續續改進提提供基礎礎。持續改進進(Acct)建立管理理體系持持續改進進測量,根據評評估審核核的結果果,制定定執行糾糾正和預預防措施施,進一一步改進進完善各各項管理理制度,以保證證管理體體系的持持續有效效性,保保障信息息安全,提高服服務管理理的有效效性和效效率。管理體系系文件 總則管理體系系充分考考慮了IISO/IECC 2000000-1:20005標準準中關于于新服務務或變更

27、更服務的的策劃實實施過程程、服務務交付過過程、關關系過程程、解決決過程、控制過過程、發發布過程程,具體內內容已被被融合到到管理體體系的相相關文件件之中。管理體系系充分考慮慮了GBB/1990000-220088 iddt IISO 90001:220088標準中關關于產品品實現測測量分析析改進的的內容,具體內內容已被被融合到到管理體體系的相相關文件件之中。質量管理理體系文文件應包包括: a) 形成文文件的質質量方針針和質量量目標(在手冊冊中描述述); b) 質量手手冊; c)本本標準所所要求的的形成文文件的程程序和記記錄; d) 組織確確定的為為確保其其過程有有效策劃劃、運作作和控制制所需的的

28、文件,包括記記錄。質量手冊冊公司編制制和保持持質量手手冊,質質量手冊冊包括: a) 質量管管理體系系的范圍圍,包括括任何刪刪減的細細節與理理由(見見范圍); b) 為質量量管理體體系建立立的形成成文件的的程序或或對其引引用(見見附錄文文件清單單); c) 質量管管理體系系過程之之間的相相互作用用的表述述。文件控制制山東瀚高高依據GBB/1990000-220088 iddt IISO 90001:220088、ISOO/IEEC 2200000-11:20005、ISOO/IEEC 2270001:220055標準的的要求,結合公公司的業業務特點點和實際際情況,建立和和執行適適宜的文文件以保保

29、障管理理體系的的有效、高高效運行行,并對文件件進行持持續的修修訂完善善,以保保證其有有效性。1公司文文件體系系結構:山東瀚高高管理體體系相關關的文件件由上而而下分為為四個階階層,如如下圖所示:第一階層層文件(簡稱一一階文件件):管管理手冊冊包含山東東瀚高管管理方針針和策略略,是山山東瀚高高管理體體系的綱綱領性文文件。一階文件件包括管理手手冊、適用用性聲明明、管理體體系策劃劃。質量管管理明確確了體系系的范圍圍,包括括任何刪刪減的細細節與理理由;描描述了質質量管理理體系建建立所形成文文件的程程序或對對其引用用;對質量管管理體系系過程之之間的相相互作用用進行表述述。第二階層層文件(簡稱二二階文件件)

30、:程程序文件件為達到GGB/TT 1990011-220088 iddt IISO990011:20008、ISOO/IEEC2000000-1:20005、IISO/IECC 2770011:20005標標準要求求而制定定的各項項管理制制度、規規范、流流程以及及相關支支持性文件。第三階層層文件(簡稱三三階文件件):工工作指引引用來解釋釋特殊工工作和活活動細節節的作業業指導書書、實施施細則和和操作手手冊等。第四階層層文件(簡稱四四階文件件):表表單記錄錄根據GBB/T 19000020008 idtt ISSO 990011:20008、ISOO/IEEC2000000-1:20005、IIS

31、O/IECC 2770011:20005標標準的要求和體系實際際運行需需要,通通過表單單模板,對管理理體系實實施的活活動過程程和結果果的記錄錄進行規規范,形形成記錄錄文件,用于作作為管理理評審、內部審審核、外外部審核核、持續續改進的的客觀證證據。2文件控控制管理體系系文檔建建立、頒頒布及修修訂,應應采取適適當管控控措施。管理體系系文件的的制定應應符合公司司的服務規規模、產產品類型型、過程程復雜程程度、員員工能力力素質等等實際情情況,以以便于理理解應用用。公司司編制文件管管理手冊冊,規規定以下下方面所所需的控控制要求求:a.文件件發布前前得到批批準,以以確保文文件是充充分與適適宜的;為文件件的充

32、分分性與適適宜性,在文件件發布前前進行批批準。b.管理理體系文文件應定期進行行評審、修修訂完善善,并再再次批準準以保持持文件要要求與實實際運作作的一致性,充分保保障文件件的有效效性、充充分性和和適宜性性。c.確保保文件的的更改和和現行修修訂狀態態得到識識別;d.確保保在使用用處可獲獲得有關關版本的的適用文文件;e.確保保文件保保持清晰晰、易于于識別;f.確保保組織所所確定的的策劃和和運行質質量管理理體系所所需的外外來文件件得到識識別,并并控制其其分發;g.防止止作廢文文件的非非預期使使用,若若因任何何原因而而保留作作廢文件件時,對對這些文文件進行行適當的的標識。文件可以以以任何何媒體形形式呈現

33、現,如紙紙張、磁磁盤、光光盤、照片、樣片等等。文件的審審核、發發布、變變更、修修訂、廢廢止等,應依照照文件件管理手手冊進進行管控控。記錄和資資料控制制公司應建建立及維維持管理理體系所所要求的的“記錄”,以提提供為符符合要求求和質量量管理體體系有效效運行提提供證據據,記錄應應維持受受控,記記錄應保保持清晰晰,并易于于閱讀、辨識及及檢索查閱閱。記錄應妥妥善保管管,其鑒鑒別、儲儲存、取取用、保保護、保保存期限限、處置置等事項項,應依依照記錄和和外來文文件管理理手冊進行管管控。管理體系系文檔及及記錄,可以以以任何形形式進行行存放(包括:紙本及及電子文文檔)。管理職責責管理職責責公司管理理層應在在管理體

34、體系建立立、實施施、運行行、監視視、評審審和持續續改進中中提供承承諾和支支持,并通過過各種活活動完成成以下工工作,以以確保相相關各項項工作的的順利開開展,并并提供承承諾和支支持的證證據。建立符合合相關標標準的管管理組織織,包括括決策層層、管理理層和執執行層。制訂ITT服務管管理、信信息安全全管理、服務質質量管理理的管理理方針和和目標。提供足夠夠的資源源,以保保證管理理體系策策劃、實實施、運運行、監監視、評評審、持持續改進進等工作作的順利利開展,以建立立符合GGB/1190000 20008、ISOO 90001:20008、ISOO/IEEC2000000-1:20005、IISO/IECC

35、2770011:20005標標準要求求,以及及山東瀚瀚高實際際需要的的管理體體系。確立山東東瀚高管管理體系系持續改改進計劃劃和適當當的溝通通計劃,確保管管理體系系的持續續有效性性,滿足足公司的實實際運行行管理需需要。以各種方方式,持持續向公公司全體體員工傳傳達傳達達符合管管理目標標、管理方方針、滿滿足顧客客和法律律法規要要求以及及持續改改進的必必要性、重要性性,傳達達滿足其其他相關關方要求求的重要要性。以增進顧顧客滿意意為目的的,確保保顧客的的各種要要求得到到確定并并予以滿滿足。分配管理理體系相相關的角角色和職職責,包包括指定定管理者者代表負負責所有有服務的的協調和和管理。對山東瀚瀚高信息息資

36、產實實行有效效管理,確保信信息資產產的機密密性(CC)、完完整性(I)、可用性性(A)。組織開展展風險管管理工作作,核定定風險可可接受標標準,對對公司不能能接受的的風險進進行處置置。組織建立立瀚高業務務連續性性管理體體系,以保證證公司主主要業務務的連續續,不受受重大故故障和災災難的影影響。組織對山山東瀚高高全體員員工進行行信息安安全、IIT服務務管理的的教育培培訓,提提高信息息安全意意識和服服務意識識。組織山東東瀚高管管理體系系的推廣廣工作,確保所所有員工工理解并并嚴格遵遵守各項項管理制制度、規規范和程程序。確確保管理理體系管管理評審審、內部部審核工工作的進進行。5.2以以顧客為為關注焦焦點總

37、經理應應以增強強顧客滿滿意為目目的,確確保顧客客的要求求得到確確定并予予以滿足足。5.3 質量方方針總經理確確保其制制定的質質量方針針:a. 與與公司的的宗旨相相適應;b. 包包括對滿滿足要求求和持續續改進質質量管理理體系有有效性的的承諾;c. 提提供制定定和評審審質量目目標的框框架;d. 在在組織內內得到溝溝通和理理解;e. 最最高管理理者通過過管理評評審,對對質量方方針的持持續適宜宜性進行行評審。5.4. 策策劃 5.4.1質量量目標最高管理理者確保保:a. 管管理者代代表根據據質量方方針提供供的框架架,組織織在公司司和公司司內部相相關的職職能、層層次和崗崗位上建建立可測測量的質質量目標標

38、。形成成公司目目標體系系。公司司質量目目標包括括滿足產產品要求求所需的的內容。b. 質質量目標標由最高高管理者者批準,由管理理者代表表組織跟跟蹤、監監督和考考核,質質量目標標通過管管理評審審進行評評審和修修訂,以以保證其其持續適適宜性。目標以及及各部門門分解見附錄BB。5.4.2質量管管理體系系策劃最高管理理者確保保:a.為達達到已確確定的質質量目標標,由管管理者代代表主持持對質量量管理體體系進行行持續、全面策策劃和修修訂、變變更,以以滿足44.1質質量管理理體系總總要求的的各個方方面,形形成并持持續改進進完整的的文件體體系和完完善的組組織體系系。b. 在在對質量量管理體體系的變變更進行行策劃

39、和和實施時時,保持持質量體體系的完完整性。5.5. 職職責、權權限和溝溝通5.5.1職責責和權限限最高管理理者應確確保組織織內的職職責、權權限得到到規定和和溝通。具體參參見組組織架構構與部門門職責。5.5.2管理理者代表表最高管理理者任命命一名管管理者作作為管理理者代表表,對質質量管理理體系進進行管理理、監督督、評價價和協調調。管理理者代表表的職責責和權限限包括但但不限于于:a. 確確保質量量管理體體系所需需的過程程得到建建立、實實施和保保持;b. 向向最高管管理者報報告質量量管理體體系的業業績和任任何改進進的需求求;c. 確確保在整整個組織織內提高高滿足顧顧客要求求的意識識;d. 本本手冊規

40、規定的其其他職責責和權限限。5.5.3內部部溝通最高管理理者應確確保在組組織內建建立適當當的溝通通過程,并確保保對質量量管理體體系的有有效性進進行溝通通。公司司的溝通通方式包包括:會會議、看看板、電電話、網網絡郵件件、記錄錄傳遞、培訓等等方式。5.6管管理評審審5.6.1總則則為確保管管理體系系,包括括服務管管理與安安全方針針和目標持持續的適適宜性、充分性性和有效效性:由山東瀚瀚高建立立并保持持管理理評審控控制程序序,指導導管理評評審工作作的執行行。公司每年年至少開開展一次次管理評評審,兩兩次間隔隔不得超超過十二二個月。一般情情況下,采取會會議的形形式,安安排在內內部審核核之后。當出現現下列情

41、情況之一一時,應應及時進進行管理理評審:公司管理理體系發發生重大大變化。國家法律律、法規規、相關關標準發發生重大大變化。外審之前前。其它認為為需要評評審時。管理評審審由總經經理主持持,各部部門負責責人參加加,需要要時,由由總經理理決定具具體的參參加人員員。管理審查查會議的決決議事項項以會議議紀要形形式體現現,由各各相關部部門負責責配合執執行,并并對執行行狀況予予以追蹤蹤評估。5.6.2評審審輸入綜合管理理部組織織有關部部門按計計劃的要要求收集集整理有有關文件件和數據據資料提提交管理理評審,包括:內部和外外部審核核的結果果;相關方(客戶、政府部部門、供供應商、內部員員工等)的反饋饋;管理目標標有

42、效性性測量結結果;客戶滿意意度調查查信息反反饋及客客戶投訴訴;山東瀚高高用于改改進管理理體系執執行績效效和有效效性的技技術、產產品或程程序的發發展及變變化;全年的管管理體系系運作狀狀況;對過程和和服務測測量和監監視的結結果;糾正和預預防措施施的實施施情況;以往風險險評估未未充分指指出的脆脆弱性或或威脅;以往管理理評審所所采取措措施的跟跟蹤驗證證;經策劃的的可能影影響管理理體系的的變更;管理體系系文件的的適用性性,包括修修改要求求等;改進的建建議。5.6.3評審審輸出按照服務務管理與與安全方方針和目標對對上述信信息進行行全面的的討論、評價、分析,決定所所要采取取的改進進措施,包括:管理體系系有效

43、性性的改進進,應考考慮業務務需求、安全需需求、影響已已有業務務需求的的業務過過程、法律法法規環境境、合同責責任、風險和和/或風風險接受受等級等等;方針和目目標的修修訂;與客戶要要求有關關的改進進;更新風險險評估和和風險處處置計劃劃;資源需求求;改進測量量控制措措施有效效性的方方式;對現有管管理體系系(包括括方針和和目標)的評價價結論及及對現有有服務是是否符合合要求的的評價。6 資資源管理理6.1資資源的提提供公司應確確定并提提供必要要的足夠夠資源以以策劃、建立、實施、運作、監視、評審、保持和和改進管管理體系系,通過過滿足客客要求,增強顧顧客滿意意。包括括人力資資源、基基礎設施施、工作作環境。6

44、.2人人力資源源基于適當當的教育育、培訓訓、技能能和經驗驗,從事事影響產產品與要要求的符符合性工工作的人人員應是是能夠勝勝任的。崗位職職責以及及相應的的能力需需求應有有清晰明明確的定定義。應合理為為每個員員工分配配工作崗崗位,并并為其所所知曉。應使全體體員工認認識到其其所從事事工作的的關聯性性和重要要性,以以及如何何為實現現管理目目標作出出貢獻。應根據員員工崗位位職責要要求,提提供適當當的教育育培訓或或采取其其它措施施,以滿足足工作崗崗位能力力需求。應建立員員工教育育培訓管管理制度度,并評評估教育育培訓的成效或或所采取取措施的的有效性性。應維持相相關人員員教育、培訓、技能及及經驗的的適當記記錄

45、。聘用人員員前應對對其背景景進行調調查驗證證,并簽署署相關信信息安全全職責的的文件。具體執行行人力資資源實施施細則。6.3基基礎設施施確定、提提供和維維護滿足足相關法法律、法法規、標標準、合合約要求求的所必必需的基基礎設施施,如辦辦公場所所、辦公公設備、網絡設設備(包包括硬件件和軟件件)、支持性性服務(如通訊訊或信息息系統)等,并按按既定的的策略、管理措措施進行行使用。6.4工工作環境境提供滿足足相關法法律、法法規、標標準、合合約要求求的所必必需的工工作環境境,并按按既定的的策略、管理措措施進行行使用。7產品實實現7.1 產品品實現的的策劃根據公司司業務特特點,為為確保產產品代理理分銷、軟件產

46、產品、服服務和系系統集成成項目達達到客戶戶滿意,公司相相關業務務部門對對實現上上述產品品和服務務的全過過程進行行了策劃劃并制定定了相應應的文件件;產品品實現的的策劃應應與質量量管理體體系其他他過程的的要求相相一致。在對產產品實現現進行策策劃時,應確定定以下方方面的適適當內容容:a. 產產品的質質量目標標和要求求,見服服務級別別管理手手冊;b. 針針對產品品確定過過程、文文件和資資源的需需求; c. 產產品所要要求的驗驗證、確確認、監監視、測測量、檢檢驗和試試驗活動動,以及及產品接接收準則則;d. 為為實現過過程及其其產品滿滿足要求求提供證證據所需需的記錄錄。對應用于于特定產產品、項項目或合合同

47、的質質量管理理體系、IT服服務管理理體系和和信息安安全管理理體系的的過程(包括產產品實現現過程)和資源源,通過過制定計計劃的方方法進行行規定。在公司IIT服務務業務中中,服務務產品實實現的策策劃,一一方面通通過新新服務和和服務變變更管理理手冊對現有有服務產產品進行行變更或或研發新新的服務務產品;另一方方面,通通過服服務級別別管理手手冊及事件管管理手冊冊,對對服務產產品的執執行過程程進行策策劃。7.2 與顧客客有關的的過程7.2.1 與與產品有有關要求求的確定定公司應確確定產品品的要求求,要求求由以下下方面構構成:1) 客客戶規定定的要求求,包括括對交付付和交付付后活動動的要求求,交付付后的活活

48、動包括括諸如擔擔保條件件下的措措施、合合同規定定的維護護服務、附加服服務(回回收或最最終處置置)等;2) 客客戶雖未未明確提提出,但但規定的的或預期期的用途途所必需需的要求求;3) 與與產品有有關的國國家法令令法規、行業規規定的要要求;4) 公公司認為為必要的的附加要要求(注注:此要要求不得得與前33項要求求的任何何一項有有抵觸)。7.2.2 與與產品有有關的要要求的評評審與客戶進進行有效效的溝通通,充分分且正確確的了解解客戶的的要求和和期望,確保公公司有能能力實現現客戶的的要求,以達到到用戶滿滿意。公司應評評審與產產品有關關的要求求。評審審應在組組織向顧顧客作出出提供產產品的承承諾之前前進行

49、(如:提提交標書書、接受受合同或或訂單及及接受合合同或訂訂單的更更改),并應確確保:a. 產產品要求求得到規規定;b. 與與以前表表述不一一致的合合同或訂訂單的要要求已予予解決;c. 組組織有能能力滿足足規定的的要求。評審結果果及評審審所引起起的措施施的記錄錄應予保保持。若顧客提提供的要要求沒有有形成文文件,公公司應在在接收顧顧客要求求前應對對顧客要要求進行行確認。若產品要要求發生生變更(包括合合同以及及技術要要求等),公司應確確保相關關文件得得到修改改,并確確保相關關人員知知道已變變更的要要求。 公司司通過有有關的產產品信息息,如產產品目錄錄、產品品廣告內內容進行行銷售時時,應在在發布信信息

50、前對對相關內內容進行行評審。具體遵照照供應應商管理理手冊中合合同評審審管理流流程。7.2.3 顧顧客溝通通為增進與與客戶的的溝通,公司應對對以下有有關方面面進行確確定并實實施與顧顧客溝通通:a. 為為客戶提提供產品品信息;b. 接接收客戶戶的問詢詢、合同同或者訂訂單的處處理,包包括,對對其的修修改;C. 及及時獲取取客戶的的反饋,包括意意見和投投訴。公公司通過過設立投投訴電話話等手段段,建立立有效的的溝通方方法。所有客戶戶信息的的記錄,都應保保存并做做分析處處理,定定期向管管理層報報告。所所有與質質量相關關的客戶戶需求、投訴記記錄、滿滿意度調調查的結結果和反反饋都會會通過業業務管理理過程進進行

51、處理理和分析析。具體參見見服務務報告管管理手冊冊、新服務務與服務務變更管管理手冊冊、事件管管理手冊冊、業務關關系管理理手冊。7.3設設計和開發根據公司司的認證證范圍,本條款款已進行行刪減,列出的的目的便便于與標標準對應應。7.4 采購7.4.1采購購過程商務部應應確保采采購的產產品符合合規定的的采購要要求。對對供方及及采購的的產品控控制的類類型和程程度應取取決于采采購的產產品對隨隨后的產產品實現現或最終終產品的的影響。商務部應應根據供供方按組組織的要要求提供供產品的的能力評評價和選選擇供方方。應制制定選擇擇、評價價和重新新評價的的準則。評價結結果及評評價所引引起的任任何必要要措施的的記錄應應予

52、保持持。7.4.2采購購信息采購信息息應表述述擬采購購的產品品,適當當時包括括:a) 產產品、程程序、過過程和設設備的批批準要求求:b) 人人員資格格的要求求;c) 質質量管理理體系的的要求。在與供方方溝通前前,組織織應確保保規定的的采購要要求是充充分與適適宜的。7.4.3采購購產品的的驗證各使用部部門應確確定并實實施檢驗驗或其他他必要的的活動,以確保保商務部部采購的的產品滿滿足規定定的采購購要求。采購完完成后,供應商商的服務務進行監監督和評評審,定定期回顧顧評審供供應商是是否達到到約定的的服務級級別目標標,并對對其結果果進行分分析處理理。當公司或或其顧客客擬在供供方的現現場實施施驗證時時,組

53、織織應在采采購信息息中對擬擬驗證的的安排和和產品放放行的方方法作出出規定。本公司與與產品和和服務有有關的采采購由商商務部對對采購過過程進行行控制,具體參見見供應應商管理理手冊。7.5 生產和和服務提提供7.5.1 生生產和服服務提供供的控制制為了對生生產和服服務的運運作進行行有效的的控制,本公司司應策劃劃并在受受控條件件下進行行提供,適用時時,受控控條件應應包括:1) 根根據項目目和顧客客要求,由各項項目承擔擔部門負負責公司司獲得規規定產品品特性的的信息,包括隱隱含的要要求及法法律法規規要求;2) 需需要時,由項目目承擔部部門制定定作業指指導書,包括計計劃編制制規范和和實施規規范等。3) 由由

54、項目承承擔部門門負責獲獲得、使使用和維維護生產產與服務務運作用用的設備備及軟件件版本管管理,執執行相關關配置規規范等;4) 獲獲得和使使用監視視和測量量設備;5) 由由項目承承擔部門門負責按按相關控控制文件件的要求求實施監監控活動動;6) 實實施放行行、交付付和適用用的交付付后活動動。本公司在在為客戶戶提供生生產和服服務過程程具體參參見服服務級別別管理手手冊、能力力和可用用性管理理手冊、設設備管理理手冊、業務務持續性性管理手手冊、事件件管理手手冊、問題題管理手手冊、網絡絡安全管管理手冊冊以及及備份等等信息安安全管理理文件。7.5.2 生生產和服服務過程程的確認認當生產和和服務提提供的過過程輸出

55、出不能由由后續的的監視或或測量加加以驗證證,致使使問題在在產品投投入使用用后或服服務已交交付后才才顯現時時,組織織應對任任何這樣樣的過程程實施確確認。公公司提供供的服務務過程,均需要要確認,證實這些些過程實實現所策策劃結果果的能力力。適用時時包括:a. 為為過程的的評審和和批準所所規定的的準則;b.設備備的認可可和人員員資格的的鑒定;c.使用用特定的的方法和和程序;d.記錄錄的要求求;e. 再再確認。公司通過過目標指指標監控控、人員員資格能能力、設設備能力力和可用用行、設設備符合合性監督督方式確確認過程程能力,并制定定相應的的作業文文件,進進行過程程確認,并記錄錄。當公公司出現現下列問問題時,

56、需要再再次確認認:a. 信信息事件件出現嚴嚴重以上上等級;客戶戶連續出出現次次以上投投訴。過程確認認遵循能力和和可用性性管理手手冊、人力力資源管管理實施施細則和符符合性管管理手冊冊等文文件。.5.3 標標識和可可追溯性性為了有效效識別開開發策劃劃、需求求分析、設計實實現、安安裝調試試、驗收收交付及及維護服服務過程程中的各各項產品品,防止止混用,確保本本公司提提供的軟軟、硬件件產品的的可追溯溯性和唯唯一標識識,實現現產品質質量保證證的明確確定位,公司對對采購產產品的標標識進行行如下要要求:1) 入入庫的采采購產品品和產品品狀態采采用標簽簽和區域域進行標標識;2) 安安裝現場場的采購購產品可可用包

57、裝裝上的原原標識或或銘牌進進行標識識,產品品狀態可可用標簽簽和相應應驗證記記錄進行行標識。3) 軟軟件產品品通過版版本和版版本說明明進行標標識。4) 人人員通過過姓名或或者員工工卡號標標識。)設設備通過過指示等等告警等等不同顏顏色進行行標識。)項目目計劃通通過審批批狀態進進行標識識。在有可追追溯性要要求時,由項目目組控制制和記錄錄產品的的唯一性性標識。.5.4 顧顧客財產產有關部門門和人員員應愛護護在公司司控制下下和使用用的顧客客財產(包括知知識產權權和企業業以及個個人信息息),為為此,公公司針對對顧客實實物財產產會在合合同中具具體規定定了顧客客財產的的識別、驗證、保護和和維護要要求,同同時規

58、定定當顧客客財產發發生丟失失、損壞壞或發現現不適用用的情況況時,應應報告顧顧客,并并保持記記錄。在IT服服務項目目中,對對客戶信信息資產產的管理理,包括括識別、風險評評估和處處理,將將遵循配置管管理手冊冊以及及信息息安全風風險管理理手冊的相關關規定執執行。7.5.5 產產品防護護為防止產產品在內內部處理理和交付付到預定定地點期期間的損損壞和質質量降低低,公司司應對產產品和產產品的組組成部分分提供防防護。產產品防護護包括標標識、搬搬運、包包裝、貯貯存和保保護。具具體控制制如下:1) 產產品的標標識執行行7.4.3。2) 產產品搬運運過程中中應做到到輕拿輕輕放,防防摔、防防碰、防防水,防防止野蠻蠻

59、裝卸。對于大大型設備備應選擇擇適當的的搬運工工具,并并由專業業搬運人人員操作作。3) 產產品的包包裝一般般使用原原包裝,必要時時應內填填足夠的的填充物物或增加加外包裝裝,注明明產品規規格型號號、數量量等有關關內容,并寫上上“輕拿輕輕放”等字樣樣及“”標志志。包裝裝應確保保防止任任何物理理或功能能性的損損傷。4) 庫庫房儲存存環境要要求防火火、防盜盜、防水水、防潮潮、防磁磁、防鼠鼠、防蛀蛀。入庫庫產品要要做到先先入先出出并及時時填寫相相關記錄錄。5) 網網絡及集集成系統統交付前前,嚴禁禁無關人人員隨意意開機、調試、插拔接接頭等。)對網網絡內的的信息按按照信息息安全管管理手冊冊中的規規定執行行。7

60、. 66 監監視和測測量設備備的控制制公司應確確定需實實施的監監視和測測量以及及所需的的監視和和測量設設備,為為產品符符合確定定的要求求提供證證據。公司應建建立監監視和測測量設備備控制程程序,以確保保監視和和測量活活動可行行并以與與監視和和測量的的要求相相一致的的方式實實施。當有必要要確保結結果有效效的場合合時,測測量設備備應做到到:對照能溯溯源到國國際或國國家標準準的測量量標準,按照規規定的時時間間隔隔或在使使用前進進行校準準和(或或)驗證證。當不不存在上上述標準準時,應應記錄校校準或檢檢定的依依據;必要時進進行調整整或再調調整;能夠識別別,以確確定其校校準狀態態;防止可能能使測量量結果失失

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論