IT服務(wù)與信息安全管理手冊

山東瀚高科技有限公司 山東瀚高科技有限公司管理體系山東瀚高科技有限公司管理體系 管理手冊管理手冊 山東瀚高科技有限公司 管理手冊 文檔發(fā)布信息文檔發(fā)布信息 文檔名稱：管理手冊 文檔編號：L1-MM 版 本 號：2.0 保密級別： 內(nèi)部使用級 擬制人：張春志 審核人： 常瑞東、孟祥輝、盧健、張魯敏、宋樂、劉學(xué)春、母曉 明、韓志平 發(fā)布范圍：公司管轄的所有部門 發(fā)布日期：2011.11.28 批 準(zhǔn) 人：苗健 管理手冊 修訂記錄修訂記錄 版本號修訂日期修訂人類別修訂說明 1.02011.3.1張春志M 2.02011.11.28張春志M換版 注1：修訂類別分為：A新建/增加、M修訂、D刪除 管理手冊 目目 錄錄 頒頒 布布 令令.I 任任 命命 書書 .II 管理方針和目標(biāo)管理方針和目標(biāo).1 山東瀚高有限公司簡介山東瀚高有限公司簡介.2 山東瀚高有限公司組織結(jié)構(gòu)圖山東瀚高有限公司組織結(jié)構(gòu)圖.3 1 目的和范圍目的和范圍.3 1.1目的.3 1.2范圍.3 2引用標(biāo)準(zhǔn)引用標(biāo)準(zhǔn).4 3術(shù)語和定義術(shù)語和定義.4 4管理體系要求管理體系要求.5 4.1總要求.5 4.1.1管理架構(gòu).8 4.1.2管理體系運(yùn)作機(jī)制.8 4.2管理體系文件.10 4.2.1總則.10 4.2.2質(zhì)量手冊.10 4.2.3文件控制.11 4.2.4記錄和資料控制.13 5管理職責(zé)管理職責(zé).13 5.1管理承諾.13 5.2以顧客為關(guān)注的焦點(diǎn).14 5.3質(zhì)量方針.14 5.4策劃.15 5.4.1質(zhì)量方針.15 5.4.2質(zhì)量管理體系策劃.15 5.5職責(zé)、權(quán)限和溝通.15 5.5.1職責(zé)和權(quán)限.15 5.5.2管理者代表.15 5.5.3內(nèi)部溝通.16 5.6管理評審.16 5.6.1總則.16 5.6.2評審輸入.17 5.6.3評審輸出.17 管理手冊 6資源管理.18 6.2.1資源的提供.18 6.2.2人力資源.18 6.2.3基礎(chǔ)設(shè)施.19 6.2.4工作環(huán)境.19 7 產(chǎn)品實(shí)現(xiàn)產(chǎn)品實(shí)現(xiàn) .19 7.1 產(chǎn)品實(shí)現(xiàn)的策劃.19 7.2 與顧客有關(guān)的過程.20 7.2.1 與產(chǎn)品有關(guān)要求的確定.20 7.2.2 與產(chǎn)品有關(guān)的要求的評審.20 7.2.3 顧客溝通.21 7.3 設(shè)計(jì)和開發(fā).21 7.4 采購.21 7.4.1采購過程.21 7.4.2 采購信息.21 7.4.3 采購產(chǎn)品的驗(yàn)證.22 7.4 生產(chǎn)和服務(wù)提供.22 7.5.1 生產(chǎn)和服務(wù)提供的控制.22 7.5.2 生產(chǎn)和服務(wù)過程的確認(rèn).23 7.5.3 標(biāo)識和可追溯性.23 7.4.4 顧客財(cái)產(chǎn).24 7.5.5 產(chǎn)品防護(hù).24 7.6 監(jiān)視和測量裝置控制.25 8 測量、分析和改進(jìn)測量、分析和改進(jìn) .25 8.1 總則.25 8.2 監(jiān)視和測量.26 8.2.1 客戶滿意度.26 8.2.2 內(nèi)部審核.27 8.2.3 過程的監(jiān)視和測量.27 8.2.4 產(chǎn)品的監(jiān)視和測量.28 8.3 不合格品控制.28 8.4 數(shù)據(jù)分析.29 8.4.1 數(shù)據(jù)來源.29 8.4.2 數(shù)據(jù)的收集和分析.29 8.5 持續(xù)改進(jìn) .30 8.5.1持續(xù)改進(jìn).30 85.2 糾正措施.30 8.5.3 預(yù)防措施.31 附錄附錄 A 管理方針釋義管理方針釋義.32 附錄附錄 B 2011 年度管理目標(biāo)年度管理目標(biāo).32 附錄附錄 C 質(zhì)量管理體系過程職責(zé)分配表質(zhì)量管理體系過程職責(zé)分配表.33 管理手冊 附錄附錄 D 管理體系文件清單管理體系文件清單.36 管理手冊 I 頒頒 布布 令令 為提高山東瀚高科技有限公司 IT 服務(wù)管理和信息安全管理水平，規(guī)范化運(yùn) 行管理，山東瀚高科技有限公司依據(jù)GB/T 19001-2008 idt ISO9001:2008 質(zhì)量管理體系 要求 、 ISO/IEC20000-1:2005 Information technology - Service management - Part 1:Specification 、 ISO/IEC 27001:2005 Information technology - Security techniques Information security management systems - requirements ，結(jié)合公司實(shí)際情況建立符合以上標(biāo)準(zhǔn) 規(guī)范要求的管理體系。 管理手冊闡述了山東瀚高科技有限公司有關(guān) IT 服務(wù)管理、服務(wù)質(zhì)量管 理、信息安全管理的管理方針，是規(guī)范山東瀚高科技有限公司服務(wù)管理與信息 安全管理的綱領(lǐng)性文件，是建立、實(shí)施、評測、改進(jìn)管理體系的指導(dǎo)性文件。 本手冊在編制過程中堅(jiān)持符合性、適宜性和有效性的統(tǒng)一，并廣泛征求意 見修訂成稿，現(xiàn)予以發(fā)布，自發(fā)布日起正式生效實(shí)施。山東瀚高科技有限公司 全體員工應(yīng)認(rèn)真學(xué)習(xí)、熟知本手冊內(nèi)容，并嚴(yán)格執(zhí)行本手冊的各項(xiàng)規(guī)定和要求。 本手冊將根據(jù)內(nèi)、外部環(huán)境的變化適時(shí)進(jìn)行評審、修改和完善。 此令！ 山東瀚高科技有限公司總經(jīng)理： 苗健 2011 年 11 月 28 日 管理手冊 II 任任 命命 書書 山東瀚高科技有限公司山東瀚高科技有限公司“管理者代表管理者代表”任命書任命書 為了貫徹執(zhí)行GB/T 19001-2008 idt ISO9001:2008 質(zhì)量管理體系 要求 、 ISO 9001:2008 Quality management systems - Requirements 、 ISO/IEC 20000-1:2005 Information technology - Service management - Part 1:Specification 、 ISO/IEC 27001:2005 Information technology - Security techniques Information security management systems - requirements ，加 強(qiáng)對管理體系運(yùn)作的領(lǐng)導(dǎo)，確保山東瀚高科技有限公司管理體系的建立、實(shí)施、 運(yùn)作、監(jiān)視、評審、保護(hù)和改進(jìn)，特任命 常瑞東 為山東瀚高科技有限公司管 理者代表。 管理者代表的職責(zé)和權(quán)限是： 1.代表總經(jīng)理負(fù)責(zé)按標(biāo)準(zhǔn)要求建立、實(shí)施、運(yùn)作、監(jiān)視、評審、持續(xù)改 山東瀚高科技有限公司的管理體系，實(shí)現(xiàn)公司的服務(wù)管理，質(zhì)量管理 與信息安全管理方針和目標(biāo)； 2.協(xié)助總經(jīng)理開展管理評審，并向總經(jīng)理報(bào)告管理體系業(yè)績和改進(jìn)需求； 3.負(fù)責(zé)組織山東瀚高科技有限公司管理手冊的編寫、修訂和審核工 作； 4.確保在整個(gè)山東瀚高科技有限公司內(nèi)提高滿足客戶要求的意識； 5.負(fù)責(zé)提出資源配置以實(shí)現(xiàn) IT 服務(wù)的交付和管理； 6.負(fù)責(zé)協(xié)調(diào)和管理所有的 IT 服務(wù)管理工作； 7.負(fù)責(zé)協(xié)調(diào)和管理所有的質(zhì)量管理工作； 8.提高公司全體人員的信息安全意識； 9.負(fù)責(zé)公司管理體系有關(guān)事宜的外部聯(lián)絡(luò)工作。 管理手冊 III 山東瀚高科技有限公司總經(jīng)理： 苗健 管理手冊 1 管理方針和目標(biāo)管理方針和目標(biāo) 管理方針管理方針 顧客至上、安全第一、質(zhì)量為本、持續(xù)改進(jìn) 管理目標(biāo)管理目標(biāo) 安全可靠安全可靠：保證山東瀚高科技有限公司各項(xiàng)業(yè)務(wù)的安全運(yùn)行，達(dá) 到行業(yè)領(lǐng)先的高可用性，是壓倒一切的管理要求。 客戶滿意客戶滿意：以專業(yè)和完善的服務(wù)，達(dá)到行業(yè)領(lǐng)先的服務(wù)水平，實(shí) 現(xiàn)客戶滿意。 效率和效益效率和效益：在確保安全可靠和客戶滿意的前提下，以誠信合作 的精神和專業(yè)的技能，達(dá)成高效率和高效益。 管理政策管理政策 推進(jìn)“流程化管理、標(biāo)準(zhǔn)化服務(wù)、高素質(zhì)團(tuán)隊(duì)、高效率運(yùn)作”的 體系建設(shè)；向客戶提供安全、可靠和穩(wěn)定的信息系統(tǒng)管理服務(wù)，并 持續(xù)優(yōu)化服務(wù)質(zhì)量。 服務(wù)理念服務(wù)理念 超越客戶的期望值。 批準(zhǔn)：苗健 2011 年 11 月 28 日 關(guān)于管理方針的釋義見本文件附錄關(guān)于管理方針的釋義見本文件附錄A部分部分 管理手冊 2 山東瀚高科技有限公司簡介山東瀚高科技有限公司簡介 山東瀚高科技有限公司成立于 2005 年，是國內(nèi)領(lǐng)先的基礎(chǔ)軟件服務(wù)提供 商。公司自成立以來一直致力于基礎(chǔ)軟件的研發(fā)、銷售、服務(wù)和培訓(xùn)業(yè)務(wù)，瀚 高和各大國際知名廠商密切合作，建立了具有國內(nèi)領(lǐng)先水平的技術(shù)工程師團(tuán)隊(duì)， 開創(chuàng)了基礎(chǔ)軟件綜合服務(wù)產(chǎn)品化的先河，研發(fā)了具有自主知識產(chǎn)權(quán)的服務(wù)管理 軟件，建立并完善了綜合服務(wù)管理系統(tǒng)。秉承“專注數(shù)據(jù)服務(wù)，共享你我智慧” 的理念，以數(shù)據(jù)為中心開展數(shù)據(jù)備份、容災(zāi)、數(shù)據(jù)倉庫、數(shù)據(jù)綜合利用等各項(xiàng) 服務(wù)，瀚高將會一如既往的在數(shù)據(jù)平臺服務(wù)領(lǐng)域加大投入，通過組織和業(yè)務(wù)流 程的標(biāo)準(zhǔn)化，實(shí)現(xiàn)產(chǎn)品和服務(wù)的專業(yè)化，不斷提高自身競爭力，鞏固在業(yè)界的 領(lǐng)先地位，引領(lǐng)數(shù)據(jù)服務(wù)產(chǎn)品化的潮流。 主要服務(wù)：主要服務(wù)： 數(shù)據(jù)庫 基礎(chǔ)軟件 中間件 BI 的實(shí)施與咨詢 服務(wù)資源：服務(wù)資源： 優(yōu)秀的管理和技術(shù)團(tuán)隊(duì) 規(guī)范、專業(yè)的 IT 服務(wù)管理流程和信息安全管理規(guī)范 管理手冊 3 山東瀚高有限公司組織結(jié)構(gòu)圖山東瀚高有限公司組織結(jié)構(gòu)圖 總經(jīng)理 綜合管理部 銷售副總技術(shù)副總 銷售部 商務(wù)部 客戶服務(wù)部 產(chǎn)品部 售前支持部 系統(tǒng)支持部 1 目的和范圍目的和范圍 1.1 目的目的 山東瀚高為了規(guī)范公司的內(nèi)部運(yùn)作，安全、及時(shí)、準(zhǔn)確地為客戶提供服務(wù)， 確保服務(wù)品質(zhì)和信息安全，并注重持續(xù)改進(jìn)，以期實(shí)現(xiàn)客戶滿意，而建立的運(yùn) 行管理體系符合以下標(biāo)準(zhǔn)規(guī)范的全部要求： GB/T 19001-2008 idt ISO 9001:2008 ISO/IEC20000-1:2005 ISO/IEC 27001:2005 1.2 范圍范圍 本手冊適用于： 山東瀚高下屬的各部門； 管理者代表 管理手冊 4 公司所在駐地：濟(jì)南市舜華路 2000 號舜泰廣場 8 號樓西 19 層（北向） 山東瀚高科技有限公司 根據(jù)山東瀚高的業(yè)務(wù)特點(diǎn)，對 GB/T 19001-2008 idt ISO 9001:2008、ISO/IEC20000-1:2005 以及 ISO/IEC 27001:2005 標(biāo)準(zhǔn)中不 適用于本公司的部分條款作了刪減。由于公司為客戶提供服務(wù)活動(dòng)，為 常規(guī)業(yè)務(wù)，不涉及到 7.3 設(shè)計(jì)和開發(fā)，故對 7.3 刪除。上述條款的刪除， 不免除公司滿足法律法規(guī)和客戶要求的責(zé)任。ISO/IEC20000-1:2005 以 及 ISO/IEC 27001:2005 刪減詳見L1-SOA-適用性聲明-V1.0 。 山東瀚高管理體系適用于與數(shù)據(jù)備份、容災(zāi)、數(shù)據(jù)倉庫、數(shù)據(jù)綜合利用 的服務(wù)相關(guān)的管理活動(dòng)。 2 引用標(biāo)準(zhǔn)引用標(biāo)準(zhǔn) 本手冊引用或依據(jù)下列相關(guān)國家/國際標(biāo)準(zhǔn)，當(dāng)該標(biāo)準(zhǔn)增補(bǔ)或修訂時(shí)，使用 標(biāo)準(zhǔn)的最新版本： 1)GB/T 19001:2008質(zhì)量管理體系要求 2)GB/T 19000:2008質(zhì)量管理體系基礎(chǔ)和術(shù)語 3)ISO 9001:2008Quality management systems - Requirements 4)ISO 9000:2008Quality management system - Fundamentals and vocabulary 5)ISO/IEC 20000-1:2005 IT 服務(wù)管理第一部分：服務(wù)管理規(guī)范 6)ISO/IEC 20000-2-2005 IT 服務(wù)管理第二部分：服務(wù)管理實(shí)踐守則 7)ISO/IEC 27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系-要求 8)ISO/IEC 27002:2007 信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施指南 管理手冊 5 3 術(shù)語和定義術(shù)語和定義 本手冊采用 GB/T 19000-2008 idt ISO 9001:2008、ISO/IEC 20000- 1:2005、ISO/IEC 27001:2005 的術(shù)語和定義。 4 管理體系要求管理體系要求 4.1 總要求總要求 山東瀚高將充分遵循 GB/19000 2008、ISO 9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005 等標(biāo)準(zhǔn)的要求， 建立、實(shí)施運(yùn)行管理體系，并持續(xù)改進(jìn)，以保證其有效性。公司應(yīng)： a) 確定質(zhì)量管理體系所需的過程及其在整個(gè)組織中的應(yīng)用； b) 確定這些過程的順序和相互作用； c) 確定為確保這些過程的有效運(yùn)作和控制所需的準(zhǔn)則和方法； d) 確?？梢垣@得必要的資源和信息，以支持這些過程的運(yùn)作和監(jiān)視； e) 監(jiān)視、測量(適用時(shí))和分析這些過程； f) 實(shí)施必要的措施，以實(shí)現(xiàn)對這些過程所策劃的結(jié)果和對這些過程的持 續(xù)改進(jìn)。 公司應(yīng)按標(biāo)準(zhǔn)的要求管理這些過程，并對對公司所選擇的任何影響產(chǎn)品 符合要求的外包過程，應(yīng)確保對其實(shí)施控制。對此類外包過程控制的類型和 程度應(yīng)在供應(yīng)商管理手冊中加以規(guī)定。 管理手冊 6 管理體系模式圖： 資源管理過程 產(chǎn)品實(shí)現(xiàn)過程 管理手冊 7 客戶要求識 別 合同評審服務(wù)策劃 服務(wù)提供 采購控制 服務(wù)質(zhì)量監(jiān) 控 客戶滿意 數(shù)據(jù) 備份 容災(zāi) 管理 數(shù)據(jù) 倉儲 數(shù)據(jù) 利用 熱線 服務(wù) 輸入 測量、分析、改進(jìn)過程 管理手冊 8 4.1.1 管理架構(gòu)管理架構(gòu) 山東瀚高根據(jù) GB/19000 2008、ISO 9001:2008、ISO/IEC 20000- 1:2005、ISO/IEC 27001:2005 的要求，建立符合公司業(yè)務(wù)特點(diǎn)的管理架構(gòu)，明 確各部門/崗位職責(zé)、溝通方式和渠道。 山東瀚高設(shè)立管理者代表，確保管理體系的建立、實(shí)施和持續(xù)改進(jìn)工作的 落實(shí)，管理者代表負(fù)責(zé)向公司最高管理者報(bào)告管理體系的業(yè)績和任何改進(jìn)的需 求，確保在公司內(nèi)提高對客戶服務(wù)意識和信息安全意識；負(fù)責(zé)與管理體系有關(guān) 事宜的外部聯(lián)絡(luò)工作。 山東瀚高明確了管理方針、目標(biāo)以及達(dá)成方針和目標(biāo)的措施，并明確了管 理體系的實(shí)施范圍。管理目標(biāo)的有效性每年至少評價(jià)一次。 山東瀚高開展管理評審和內(nèi)部審核工作，評估和管理風(fēng)險(xiǎn)，持續(xù)的評估和 改進(jìn)管理體系。 山東瀚高明確了標(biāo)準(zhǔn)適用范圍，ISO/IEC20000-1:2005、ISO/IEC 27001:2005 記錄在適用性聲明文件中。 4.1.2 管理體系運(yùn)作機(jī)制管理體系運(yùn)作機(jī)制 山東瀚高在管理體系建立和維護(hù)過程中，充分遵循 GB/T 19001-2008 idt ISO9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005 等標(biāo)準(zhǔn)的要求， 采用 PDCA 模式建立、實(shí)施和維護(hù)管理體系，以保證其持續(xù)有效性，具體如下 圖所示。 管理手冊 9 L1 管理手冊 L2 程序文件 L3 工作指引 L4 表單記錄 管理體系 P D C A 體系管理 持續(xù)改進(jìn) 1.策劃與準(zhǔn)備（Plan） 主要是做好建設(shè)管理體系的各種前期工作，包括： 管理現(xiàn)場調(diào)查，明確 IT 服務(wù)管理、服務(wù)質(zhì)量管理和信息安全管 理的目標(biāo)，明確管理角色和管理框架的結(jié)構(gòu)，建立風(fēng)險(xiǎn)評估方 法，確定管理審核和改進(jìn)服務(wù)質(zhì)量的方法。 進(jìn)行管理體系設(shè)計(jì)，根據(jù)公司管理方針和業(yè)務(wù)特點(diǎn)，對業(yè)務(wù)過 程進(jìn)行識別，確定管理范圍，明確過程控制的方法及過程之間 的相互關(guān)系和接口。 對人員進(jìn)行教育培訓(xùn)。 2.建設(shè)與實(shí)施（Do） 根據(jù)策劃與準(zhǔn)備階段的結(jié)果，建立并推廣、執(zhí)行基于 IT 服務(wù)管理、 服務(wù)質(zhì)量管理和信息安全管理的管理體系，規(guī)范運(yùn)行管理以實(shí)現(xiàn)預(yù)期的 管理目標(biāo)，為實(shí)現(xiàn)風(fēng)險(xiǎn)控制、評價(jià)和改進(jìn)管理體系、實(shí)現(xiàn)持續(xù)改進(jìn)提供 不可或缺的依據(jù)。 3.評估審核（Check） 通過對管理體系運(yùn)行情況的監(jiān)視、測量，定期實(shí)施內(nèi)部審核，確保 管理體系下的各項(xiàng)管理制度得到落實(shí)，及時(shí)發(fā)現(xiàn)管理體系運(yùn)行過程中存 在的問題，為管理體系的持續(xù)改進(jìn)提供基礎(chǔ)。 管理手冊 10 4.持續(xù)改進(jìn)（Act） 建立管理體系持續(xù)改進(jìn)測量，根據(jù)評估審核的結(jié)果，制定執(zhí)行糾正 和預(yù)防措施，進(jìn)一步改進(jìn)完善各項(xiàng)管理制度，以保證管理體系的持續(xù)有 效性，保障信息安全，提高服務(wù)管理的有效性和效率。 4.2 管理體系管理體系文件文件 4.2.1 總則總則 管理體系充分考慮了 ISO/IEC 20000-1:2005 標(biāo)準(zhǔn)中關(guān)于新服務(wù)或變更服務(wù) 的策劃實(shí)施過程、服務(wù)交付過程、關(guān)系過程、解決過程、控制過程、發(fā)布過程， 具體內(nèi)容已被融合到管理體系的相關(guān)文件之中。 管理體系充分考慮了 GB/ 19000-2008 idt ISO 9001:2008 標(biāo)準(zhǔn)中關(guān)于產(chǎn)品 實(shí)現(xiàn)測量分析改進(jìn)的內(nèi)容，具體內(nèi)容已被融合到管理體系的相關(guān)文件之中。 質(zhì)量管理體系文件應(yīng)包括： a) 形成文件的質(zhì)量方針和質(zhì)量目標(biāo)（在手冊中描述） ； b) 質(zhì)量手冊； c）本標(biāo)準(zhǔn)所要求的形成文件的程序和記錄； d) 組織確定的為確保其過程有效策劃、運(yùn)作和控制所需的文件，包括記 錄。 4.2.2 質(zhì)量手冊質(zhì)量手冊 公司編制和保持質(zhì)量手冊，質(zhì)量手冊包括： a) 質(zhì)量管理體系的范圍，包括任何刪減的細(xì)節(jié)與理由（見范圍） ； b) 為質(zhì)量管理體系建立的形成文件的程序或?qū)ζ湟茫ㄒ姼戒浳募?單） ； 管理手冊 11 c) 質(zhì)量管理體系過程之間的相互作用的表述。 4.2.3 文件文件控制控制 山東瀚高依據(jù) GB/ 19000-2008 idt ISO 9001:2008、ISO/IEC 20000- 1:2005、ISO/IEC 27001:2005 標(biāo)準(zhǔn)的要求，結(jié)合公司的業(yè)務(wù)特點(diǎn)和實(shí)際情況， 建立和執(zhí)行適宜的文件以保障管理體系的有效、高效運(yùn)行，并對文件進(jìn)行持續(xù) 的修訂完善，以保證其有效性。 1 公司文件體系結(jié)構(gòu)： 山東瀚高管理體系相關(guān)的文件由上而下分為四個(gè)階層，如下圖所示： L1 管理手冊 L2 程序文件 L3 工作指引 L4 表單記錄 L1 第一階層文件（簡稱一階文件）：管理手冊第一階層文件（簡稱一階文件）：管理手冊 包含山東瀚高管理方針和策略，是山東瀚高管理體系的綱領(lǐng)性文件。 一階文件包括管理手冊 、 適用性聲明 、 管理體系策劃 。質(zhì)量管 理明確了體系的范圍，包括任何刪減的細(xì)節(jié)與理由；描述了質(zhì)量管理體系 建立所形成文件的程序或?qū)ζ湟茫粚|(zhì)量管理體系過程之間的相互作用 進(jìn)行表述。 L2 第二階層文件（簡稱二階文件）：程序文件第二階層文件（簡稱二階文件）：程序文件 為達(dá)到 GB/T 19001-2008 idt ISO9001:2008、ISO/IEC20000- 1:2005、ISO/IEC 27001:2005 標(biāo)準(zhǔn)要求而制定的各項(xiàng)管理制度、規(guī)范、流 程以及相關(guān)支持性文件。 管理手冊 12 L3 第三階層文件（簡稱三階文件）：工作指引第三階層文件（簡稱三階文件）：工作指引 用來解釋特殊工作和活動(dòng)細(xì)節(jié)的作業(yè)指導(dǎo)書、實(shí)施細(xì)則和操作手冊等。 L4 第四階層文件（簡稱四階文件）：表單記錄第四階層文件（簡稱四階文件）：表單記錄 根據(jù) GB/T 19000-2008 idt ISO 9001:2008、ISO/IEC 20000- 1:2005、ISO/IEC 27001:2005 標(biāo)準(zhǔn)的要求和體系實(shí)際運(yùn)行需要，通過表單 模板，對管理體系實(shí)施的活動(dòng)過程和結(jié)果的記錄進(jìn)行規(guī)范，形成記錄文件， 用于作為管理評審、內(nèi)部審核、外部審核、持續(xù)改進(jìn)的客觀證據(jù)。 2 文件控制 管理體系文檔建立、頒布及修訂，應(yīng)采取適當(dāng)管控措施。 管理體系文件的制定應(yīng)符合公司的服務(wù)規(guī)模、產(chǎn)品類型、過程復(fù)雜程度、 員工能力素質(zhì)等實(shí)際情況，以便于理解應(yīng)用。公司編制文件管理手冊 ，規(guī) 定以下方面所需的控制要求： a.文件發(fā)布前得到批準(zhǔn)，以確保文件是充分與適宜的；為文件的充分性與 適宜性，在文件發(fā)布前進(jìn)行批準(zhǔn)。 b.管理體系文件應(yīng)定期進(jìn)行評審、修訂完善，并再次批準(zhǔn)以保持文件要求 與實(shí)際運(yùn)作的一致性，充分保障文件的有效性、充分性和適宜性。 c.確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別； d.確保在使用處可獲得有關(guān)版本的適用文件； e.確保文件保持清晰、易于識別； f.確保組織所確定的策劃和運(yùn)行質(zhì)量管理體系所需的外來文件得到識別， 并控制其分發(fā)； g.防止作廢文件的非預(yù)期使用，若因任何原因而保留作廢文件時(shí)，對這些 文件進(jìn)行適當(dāng)?shù)臉?biāo)識。 文件可以以任何媒體形式呈現(xiàn)，如紙張、磁盤、光盤、照片、樣片等。 管理手冊 13 文件的審核、發(fā)布、變更、修訂、廢止等，應(yīng)依照文件管理手冊進(jìn)行 管控。 4.2.4 記錄和資料控制記錄和資料控制 公司應(yīng)建立及維持管理體系所要求的“記錄” ，以提供為符合要求和質(zhì)量 管理體系有效運(yùn)行提供證據(jù)，記錄應(yīng)維持受控，記錄應(yīng)保持清晰,并易于閱讀、 辨識及檢索查閱。 記錄應(yīng)妥善保管，其鑒別、儲存、取用、保護(hù)、保存期限、處置等事項(xiàng)， 應(yīng)依照記錄和外來文件管理手冊進(jìn)行管控。 管理體系文檔及記錄，可以以任何形式進(jìn)行存放（包括：紙本及電子文檔） 。 5 管理職責(zé)管理職責(zé) 5.1 管理職責(zé)管理職責(zé) 公司管理層應(yīng)在管理體系建立、實(shí)施、運(yùn)行、監(jiān)視、評審和持續(xù)改進(jìn)中提 供承諾和支持，并通過各種活動(dòng)完成以下工作，以確保相關(guān)各項(xiàng)工作的順利開 展，并提供承諾和支持的證據(jù)。 1.建立符合相關(guān)標(biāo)準(zhǔn)的管理組織，包括決策層、管理層和執(zhí)行層。 2.制訂 IT 服務(wù)管理、信息安全管理、服務(wù)質(zhì)量管理的管理方針和目標(biāo)。 3.提供足夠的資源，以保證管理體系策劃、實(shí)施、運(yùn)行、監(jiān)視、評審、持 續(xù)改進(jìn)等工作的順利開展，以建立符合 GB/19000 2008、ISO 9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005 標(biāo)準(zhǔn)要求， 以及山東瀚高實(shí)際需要的管理體系。 4.確立山東瀚高管理體系持續(xù)改進(jìn)計(jì)劃和適當(dāng)?shù)臏贤ㄓ?jì)劃，確保管理體系 的持續(xù)有效性，滿足公司的實(shí)際運(yùn)行管理需要。 管理手冊 14 5.以各種方式，持續(xù)向公司全體員工傳達(dá)傳達(dá)符合管理目標(biāo)、管理方針、 滿足顧客和法律法規(guī)要求以及持續(xù)改進(jìn)的必要性、重要性，傳達(dá)滿足其 他相關(guān)方要求的重要性。 6.以增進(jìn)顧客滿意為目的，確保顧客的各種要求得到確定并予以滿足。 7.分配管理體系相關(guān)的角色和職責(zé)，包括指定管理者代表負(fù)責(zé)所有服務(wù)的 協(xié)調(diào)和管理。 8.對山東瀚高信息資產(chǎn)實(shí)行有效管理，確保信息資產(chǎn)的機(jī)密性（C） 、完 整性（I） 、可用性（A） 。 9.組織開展風(fēng)險(xiǎn)管理工作，核定風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)，對公司不能接受的風(fēng)險(xiǎn) 進(jìn)行處置。 10. 組織建立瀚高業(yè)務(wù)連續(xù)性管理體系，以保證公司主要業(yè)務(wù)的連續(xù)，不受 重大故障和災(zāi)難的影響。 11. 組織對山東瀚高全體員工進(jìn)行信息安全、IT 服務(wù)管理的教育培訓(xùn)，提 高信息安全意識和服務(wù)意識。 12. 組織山東瀚高管理體系的推廣工作，確保所有員工理解并嚴(yán)格遵守各項(xiàng) 管理制度、規(guī)范和程序。確保管理體系管理評審、內(nèi)部審核工作的進(jìn)行。 5.2 以顧客為關(guān)注焦點(diǎn)以顧客為關(guān)