IT服務(wù)與信息安全管理手冊45

1、山東瀚高科技有限公司管理體系管理手冊山東瀚高科技有限公司文檔發(fā)布信息文檔名稱：管理手冊文檔編號：L1-MM版本號：2.0保密級別：內(nèi)部使用級擬制人：張春志審核人：常瑞東、孟祥輝、盧健、張魯敏、木樂、劉學(xué)春、母曉明、 韓志平發(fā)布范圍：公司管轄的所有部門發(fā)布日期：2011.11.28批準人：苗健注1:修訂類別分為：A 新建/增加、M 修訂、D 刪除修訂記錄版本號修訂日期修訂人類別修訂說明1.02011.3.1張春志M2.02011.11.28張春志M換版目錄頒 布 令 . I任 命 書 . II管理方針和目標 . 1山東瀚高有限公司簡介 . 2山東瀚高有限公司組織結(jié)構(gòu)圖 . 31目的和范圍 . 3

2、1.1目的 . 錯誤！未定義書簽。1.2范圍 . 32引用標準 . 43術(shù)語和定義 . 54管理體系要求 . 54.1總要求 . 54.1.1管理架構(gòu) . 84.1.2管理體系運作機制 . 84.2管理體系文件 . 104.2.1總則 . 錯誤！未定義書簽。4.2.2質(zhì)量手冊 . 錯誤！未定義書簽。4.2.3文件控制 . 11124.2.4記錄和資料控制 . 135管理職責(zé) . 135.1管理承諾 . 135.2以顧客為關(guān)注的焦點 . 135.3質(zhì)量方針 . 135.4策劃 . 135.4.1質(zhì)量方針 . 155.4.2質(zhì)量管理體系策劃 . 155.5職責(zé)、權(quán)限和溝通 . 135.5.1職責(zé)和

3、權(quán)限 . 155.5.2管理者代表 . 155.5.3內(nèi)部溝通 . 165.6管理評審 . 165.6.1總則 . 165.6.2評審輸入 . 175.6.3評審輸出 . 177.4.1 采購過程 .錯誤！未定義書簽。7.5.5 產(chǎn)品防護 .24錯誤！未定義書簽7.4.4 顧客財產(chǎn)253233366資源管理 . 1886.2.1資源的提供 . 186.2.2人力資源 . 1986.2.3基礎(chǔ)設(shè)施 . 196.2.4工作環(huán)境 . 197產(chǎn)品實現(xiàn) . 197.1產(chǎn)品實現(xiàn)的策劃 . 197.2與顧客有關(guān)的過程 . 207.2.1與產(chǎn)品有關(guān)要求的確定 . 207.2.2與產(chǎn)品有關(guān)的要求的評審 . 20

4、7.2.3顧客溝通 . 217.3設(shè)計和開發(fā) . 217.4采購 . 217.4.2采購信息 . 217.4.3采購產(chǎn)品的驗證 . 227.4生產(chǎn)和服務(wù)提供7.5.1生產(chǎn)和服務(wù)提供的控制 . 227.5.2生產(chǎn)和服務(wù)過程的確認 . 237.5.3標識和可追溯性 . 2324 錯誤！未定義書簽。7.6監(jiān)視和測量裝置控制8測量、分析和改進 . 258.1總則 . 258.2監(jiān)視和測量 . 268.2.1客戶滿意度 . 268.2.2內(nèi)部審核 . 278.2.3過程的監(jiān)視和測量 . 278.2.4產(chǎn)品的監(jiān)視和測量 . 288.3不合格品控制 . 288.4數(shù)據(jù)分析 . 298.4.1數(shù)據(jù)來源 . 2

5、98.4.2數(shù)據(jù)的收集和分析 . 298.5持續(xù)改進 . 308.5.1持續(xù)改進 . 3085.2糾正措施 . 308.5.3預(yù)防措施 . 31附錄 A 管理方針釋義 . 32附錄 B 2011 年度管理目標 附錄 C 質(zhì)量管理體系過程職責(zé)分配表附錄 D 管理體系文件清單頒布令為提高山東瀚高科技有限公司IT服務(wù)管理和信息安全管理水平，規(guī)范化運行管理，山東瀚高科技有限公司依據(jù)GB/T 19001-2008 idt 09001:2008 質(zhì) 量管理體系 要求、IS0/IEC20000-1:2005 In formatio n tech no logy - Service ma nageme nt

6、- Part Specification、ISO/IEC 27001:2005 In formation tech no logy - Security tech niq ues In formatio n security man ageme nt systems -requirements，結(jié)合公司實際情況建立符合以上標準規(guī)范要求的管理體系。管理手冊闡述了山東瀚高科技有限公司有關(guān)IT服務(wù)管理、服務(wù)質(zhì)量管理、信息安全管理的管理方針，是規(guī)范山東瀚高科技有限公司服務(wù)管理與信息安 全管理的綱領(lǐng)性文件，是建立、實施、評測、改進管理體系的指導(dǎo)性文件。本手冊在編制過程中堅持符合性、 適宜性和有效性的統(tǒng)一

7、，并廣泛征求意見 修訂成稿，現(xiàn)予以發(fā)布，自發(fā)布日起正式生效實施。 山東瀚高科技有限公司全體 員工應(yīng)認真學(xué)習(xí)、熟知本手冊內(nèi)容，并嚴格執(zhí)行本手冊的各項規(guī)定和要求。本手冊將根據(jù)內(nèi)、外部環(huán)境的變化適時進行評審、修改和完善。此令!山東瀚高科技有限公司總經(jīng)理：苗健2011年11月28日山東瀚高科技有限公司“管理者代表”任命書為了貫徹執(zhí)行GB/T 19001-2008 idt 09001:2008質(zhì)量管理體系要 求、ISO 9001:2008 Quality management systems - Requirements、 ISO/IEC 20000-1:2005 In formation tech n

8、ology - Service ma nageme nt - Part 1:Specificati on、ISO/IEC 27001:2005 In formation tech no logy - Security techniques Information security management systems - requirements，力卩強對管理體系運作的領(lǐng)導(dǎo)，確保山東瀚高科技有限公司管理體系的建立、實施、 運作、監(jiān)視、評審、保護和改進，特任命常瑞東 為山東瀚高科技有限公司管理者代表。管理者代表的職責(zé)和權(quán)限是：1.代表總經(jīng)理負責(zé)按標準要求建立、實施、運作、監(jiān)視、評審、持續(xù)改山 東

9、瀚高科技有限公司的管理體系，實現(xiàn)公司的服務(wù)管理，質(zhì)量管理與信 息安全管理方針和目標；2.協(xié)助總經(jīng)理開展管理評審，并向總經(jīng)理報告管理體系業(yè)績和改進需求；3.負責(zé)組織山東瀚高科技有限公司管理手冊的編寫、修訂和審核工作；4.確保在整個山東瀚高科技有限公司內(nèi)提高滿足客戶要求的意識；5.負責(zé)提出資源配置以實現(xiàn)IT服務(wù)的交付和管理；6.負責(zé)協(xié)調(diào)和管理所有的IT服務(wù)管理工作；7.負責(zé)協(xié)調(diào)和管理所有的質(zhì)量管理工作；8.提高公司全體人員的信息安全意識；9.負責(zé)公司管理體系有關(guān)事宜的外部聯(lián)絡(luò)工作。山東瀚高科技有限公司總經(jīng)理：苗健管理方針和目標管理方針顧客至上、安全第一、質(zhì)量為本、持續(xù)改進管理目標安全可靠 ：保證山

10、東瀚高科技有限公司各項業(yè)務(wù)的安全運行，達 到行業(yè)領(lǐng)先的高可用性，是壓倒一切的管理要求?？蛻魸M意 ：以專業(yè)和完善的服務(wù)，達到行業(yè)領(lǐng)先的服務(wù)水平，實 現(xiàn)客戶滿意。效率和效益 ：在確保安全可靠和客戶滿意的前提下，以誠信合作 的精神和專業(yè)的技能，達成高效率和高效益。管理政策推進“流程化管理、標準化服務(wù)、高素質(zhì)團隊、高效率運作”的 體系建設(shè)；向客戶提供安全、可靠和穩(wěn)定的信息系統(tǒng)管理服務(wù)，并持 續(xù)優(yōu)化服務(wù)質(zhì)量。服務(wù)理念超越客戶的期望值。批準：苗健2011 年 11 月 28 日關(guān)于管理方針的釋義見本文件附錄 A 部分山東瀚高科技有限公司簡介山東瀚高科技有限公司成立于 2005年，是國內(nèi)領(lǐng)先的基礎(chǔ)軟件服務(wù)提

11、供 商。公司自成立以來一直致力于基礎(chǔ)軟件的研發(fā)、銷售、服務(wù)和培訓(xùn)業(yè)務(wù)，瀚高 和各大國際知名廠商密切合作，建立了具有國內(nèi)領(lǐng)先水平的技術(shù)工程師團隊，開創(chuàng)了基礎(chǔ)軟件綜合服務(wù)產(chǎn)品化的先河，研發(fā)了具有自主知識產(chǎn)權(quán)的服務(wù)管理軟 件，建立并完善了綜合服務(wù)管理系統(tǒng)。秉承 專注數(shù)據(jù)服務(wù)，共享你我智慧”的理 念，以數(shù)據(jù)為中心開展數(shù)據(jù)備份、容災(zāi)、數(shù)據(jù)倉庫、數(shù)據(jù)綜合利用等各項服務(wù)， 瀚高將會一如既往的在數(shù)據(jù)平臺服務(wù)領(lǐng)域加大投入，通過組織和業(yè)務(wù)流程的標準 化，實現(xiàn)產(chǎn)品和服務(wù)的專業(yè)化，不斷提高自身競爭力，鞏固在業(yè)界的領(lǐng)先地位， 引領(lǐng)數(shù)據(jù)服務(wù)產(chǎn)品化的潮流。主要服務(wù)：數(shù)據(jù)庫基礎(chǔ)軟件中間件BI的實施與咨詢服務(wù)資源：優(yōu)秀的管理和

12、技術(shù)團隊 規(guī)范、專業(yè)的IT服務(wù)管理流程和信息安全管理規(guī)范山東瀚高有限公司組織結(jié)構(gòu)圖1目的和范圍1.1目的山東瀚高為了規(guī)范公司的內(nèi)部運作，安全、及時、準確地為客戶提供服務(wù)，確保服務(wù)品質(zhì)和信息安全，并注重持續(xù)改進，以期實現(xiàn)客戶滿意，而建立的運行管理體系符合以下標準規(guī)范的全部要求：GB/T 19001-2008 idt ISO 9001:2008ISO/IEC20000-1:2005ISO/IEC 27001:20051.2范圍本手冊適用于:山東瀚高下屬的各部門;8) ISO/IEC 27002:2007信息技術(shù) -安全技術(shù) -信息安全管理實施指南公司所在駐地：濟南市舜華路 2000 號舜泰廣場 8

13、 號樓西 19 層(北向) 山東瀚高科技有限公司根據(jù)山東瀚高的業(yè)務(wù)特點，對 GB/T 19001-2008 idt ISO 9001:2008 、 ISO/IEC20000-1:2005 以及 ISO/IEC 27001:2005 標準中不適用于本公司 的部分條款作了刪減。由于公司為客戶提供服務(wù)活動，為常規(guī)業(yè)務(wù)，不 涉及到 7.3 設(shè)計和開發(fā)，故對 7.3 刪除。上述條款的刪除，不免除公司 滿足法律法規(guī)和客戶要求的責(zé)任。 ISO/IEC20000-1:2005 以及 ISO/IEC 27001:2005刪減詳見L1-SOA-適用性聲明-V1.0。山東瀚高管理體系適用于與數(shù)據(jù)備份、容災(zāi)、數(shù)據(jù)倉庫

14、、數(shù)據(jù)綜合利用 的服務(wù)相關(guān)的管理活動。2引用標準本手冊引用或依據(jù)下列相關(guān)國家 /國際標準， 當該標準增補或修訂時， 使用標 準的最新版本：1)GB/T 19001:2008 質(zhì)量管理體系要求2)GB/T 19000:2008 質(zhì)量管理體系基礎(chǔ)和術(shù)語3)ISO 9001:2008 Quality management systems - Requirements 4)ISO 9000:2008 Quality management system - Fundamentals and vocabulary 5)ISO/IEC 20000-1:2005IT 服務(wù)管理第一部分：服務(wù)管理規(guī)范6)ISO/

15、IEC 20000-2-2005IT 服務(wù)管理第二部分：服務(wù)管理實踐守則7)ISO/IEC 27001:2005信息技術(shù) -安全技術(shù)-信息安全管理體系 -要求3術(shù)語和定義本手冊采用 GB/T 19000-2008 idt ISO 9001:2008 、ISO/IEC 20000-1:2005 、ISO/IEC 27001:2005 的術(shù)語和定義。4管理體系要求4.1 總要求山東瀚高將充分遵循 GB/19000 -2008、ISO 9001:2008、ISO/IEC20000-1:2005 、 ISO/IEC 27001:2005 等標準的要求，建立、實施運行管理體系，并持續(xù)改進，以保證其有效性

16、。公司應(yīng)：a)確定質(zhì)量管理體系所需的過程及其在整個組織中的應(yīng)用；b)確定這些過程的順序和相互作用；c)確定為確保這些過程的有效運作和控制所需的準則和方法；d)確?？梢垣@得必要的資源和信息，以支持這些過程的運作和監(jiān)視；e)監(jiān)視、測量 (適用時 )和分析這些過程；f)實施必要的措施，以實現(xiàn)對這些過程所策劃的結(jié)果和對這些過程的持 續(xù)改進。公司應(yīng)按標準的要求管理這些過程，并對對公司所選擇的任何影響產(chǎn)品 符合要求的外包過程， 應(yīng)確保對其實施控制。 對此類外包過程控制的類型和程 度應(yīng)在供應(yīng)商管理手冊中加以規(guī)定。丄作基礎(chǔ) 環(huán)境丨設(shè)施管理體系模式圖:資源管理過程=zL保資 障源一-一資源需求資源獲取資源提供-

17、二 -1胡.產(chǎn)品實現(xiàn)過程其他人力資源供方廠測量、分析、改進過程熱線數(shù)據(jù)-a數(shù)據(jù)-容災(zāi)-數(shù)據(jù)服務(wù)利用町-倉儲管理備份4.1.1 管理架構(gòu)山東瀚高根據(jù) GB/19000 -2008、ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005 的要求，建立符合公司業(yè)務(wù)特點的管理架構(gòu)，明確各部門 / 崗位職責(zé)、溝通方式和渠道。山東瀚高設(shè)立管理者代表，確保管理體系的建立、實施和持續(xù)改進工作的 落實，管理者代表負責(zé)向公司最高管理者報告管理體系的業(yè)績和任何改進的需 求，確保在公司內(nèi)提高對客戶服務(wù)意識和信息安全意識； 負責(zé)與管理體系有關(guān)事 宜的外部聯(lián)絡(luò)工作。山東

18、瀚高明確了管理方針、目標以及達成方針和目標的措施，并明確了管 理體系的實施范圍。管理目標的有效性每年至少評價一次。山東瀚高開展管理評審和內(nèi)部審核工作，評估和管理風(fēng)險，持續(xù)的評估和改 進管理體系。山東瀚高明確了標準適用范圍， ISO/IEC20000-1:2005 、 ISO/IEC27001:2005 記錄在適用性聲明文件中。4.1.2 管理體系運作機制山東瀚高在管理體系建立和維護過程中，充分遵循 GB/T 19001-2008 idtISO9001:2008 、 ISO/IEC20000-1:2005 、 ISO/IEC 27001:2005 等標準的要求，采用 PDCA 模式建立、實施和維

19、護管理體系，以保證其持續(xù)有效性，具體如下 圖所示。L3工作指引L4表單記錄 .管理體系L1管理手冊L2程序文件打紅改進ADC|H體系管理1.策劃與準備（Plan）主要是做好建設(shè)管理體系的各種前期工作，包括：管理現(xiàn)場調(diào)查，明確IT服務(wù)管理、服務(wù)質(zhì)量管理和信息安全管 理的目標，明確管理角色和管理框架的結(jié)構(gòu)，建立風(fēng)險評估方法， 確定管理審核和改進服務(wù)質(zhì)量的方法。進行管理體系設(shè)計，根據(jù)公司管理方針和業(yè)務(wù)特點，對業(yè)務(wù)過程 進行識別，確定管理范圍，明確過程控制的方法及過程之間的相 互關(guān)系和接口。對人員進行教育培訓(xùn)。2.建設(shè)與實施（Do）根據(jù)策劃與準備階段的結(jié)果，建立并推廣、執(zhí)行基于IT服務(wù)管理、服務(wù)質(zhì)量管

20、理和信息安全管理的管理體系，規(guī)范運行管理以實現(xiàn)預(yù)期的 管理目標，為實現(xiàn)風(fēng)險控制、評價和改進管理體系、實現(xiàn)持續(xù)改進提供 不可或缺的依據(jù)。3.評估審核（Check）通過對管理體系運行情況的監(jiān)視、測量，定期實施內(nèi)部審核，確保 管理體系下的各項管理制度得到落實，及時發(fā)現(xiàn)管理體系運行過程中存 在的問題，為管理體系的持續(xù)改進提供基礎(chǔ)。4.持續(xù)改進（ Act ）建立管理體系持續(xù)改進測量，根據(jù)評估審核的結(jié)果，制定執(zhí)行糾正和預(yù)防措施，進一步改進完善各項管理制度，以保證管理體系的持續(xù)有 效性，保障信息安全，提高服務(wù)管理的有效性和效率。4.2 管理體系文件4.2.1 總則管理體系充分考慮了 ISO/IEC 2000

21、0-1:2005 標準中關(guān)于新服務(wù)或變更服務(wù) 的策劃實施過程、服務(wù)交付過程、關(guān)系過程、解決過程、控制過程、發(fā)布過程， 具體內(nèi)容已被融合到管理體系的相關(guān)文件之中。管理體系充分考慮了 GB/ 19000-2008 idt ISO 9001:2008 標準中關(guān)于產(chǎn)品實現(xiàn)測量分析改進的內(nèi)容，具體內(nèi)容已被融合到管理體系的相關(guān)文件之中。質(zhì)量管理體系文件應(yīng)包括：a）形成文件的質(zhì)量方針和質(zhì)量目標（在手冊中描述） ；b）質(zhì)量手冊；c）本標準所要求的形成文件的程序和記錄；d）組織確定的為確保其過程有效策劃、 運作和控制所需的文件， 包括記錄4.2.2 質(zhì)量手冊公司編制和保持質(zhì)量手冊，質(zhì)量手冊包括：a）質(zhì)量管理體系

22、的范圍，包括任何刪減的細節(jié)與理由（見范圍） ；b）為質(zhì)量管理體系建立的形成文件的程序或?qū)ζ湟茫ㄒ姼戒浳募鍐危籧）質(zhì)量管理體系過程之間的相互作用的表述423文件控制山東瀚高依據(jù) GB/ 19000-2008 idt ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005 標準的要求，結(jié)合公司的業(yè)務(wù)特點和實際 情況，建立和執(zhí)行適宜的文件以保障管理體系的有效、高效運行，并對文件進行持續(xù)的修訂完善，以保證其有效性。1公司文件體系結(jié)構(gòu)：山東瀚高管理體系相關(guān)的文件由上而下分為四個階層，如下圖所示：L1管理手冊L2程序文件L3工作指引L4 表單記錄L

23、1第一階層文件（簡稱一階文件）：管理手冊包含山東瀚高管理方針和策略，是山東瀚高管理體系的綱領(lǐng)性文件。一階文件包括管理手冊、適用性聲明、管理體系策劃。質(zhì)量管理 明確了體系的范圍，包括任何刪減的細節(jié)與理由；描述了質(zhì)量管理體系建立 所形成文件的程序或?qū)ζ湟茫粚|(zhì)量管理體系過程之間的相互作用進行表 述。L2第二階層文件（簡稱二階文件）：程序文件為達到 GB/T 19001-2008 idt ISO9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005標準要求而制定的各項管理制度、規(guī)范、流程以及相關(guān)支持性文件。L3第三階層文件（簡稱三階文件）_:工作指引用來解

24、釋特殊工作和活動細節(jié)的作業(yè)指導(dǎo)書、實施細則和操作手冊等。L4 第四階層文件（簡稱四階文件）：表單記錄根據(jù) GB/T 19000-2008 idt ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005標準的要求和體系實際運行需要，通過表單模板，對 管理體系實施的活動過程和結(jié)果的記錄進行規(guī)范，形成記錄文件，用于作為 管理評審、內(nèi)部審核、外部審核、持續(xù)改進的客觀證據(jù)。2文件控制管理體系文檔建立、頒布及修訂，應(yīng)采取適當管控措施。管理體系文件的制定應(yīng)符合公司的服務(wù)規(guī)模、產(chǎn)品類型、過程復(fù)雜程度、員工能力素質(zhì)等實際情況，以便于理解應(yīng)用。公司編制文件管理手

25、冊，規(guī)定以下方面所需的控制要求：a.文件發(fā)布前得到批準，以確保文件是充分與適宜的；為文件的充分性與 適宜性，在文件發(fā)布前進行批準。b.管理體系文件應(yīng)定期進行評審、修訂完善，并再次批準以保持文件要求 與實際運作的一致性，充分保障文件的有效性、充分性和適宜性。c.確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d.確保在使用處可獲得有關(guān)版本的適用文件；e.確保文件保持清晰、易于識別；f.確保組織所確定的策劃和運行質(zhì)量管理體系所需的外來文件得到識別，并控制其分發(fā)；g.防止作廢文件的非預(yù)期使用，若因任何原因而保留作廢文件時，對這些文件進行適當?shù)臉俗R。文件可以以任何媒體形式呈現(xiàn)，如紙張、磁盤、光盤、照片、樣片等。

26、文件的審核、發(fā)布、變更、修訂、廢止等，應(yīng)依照文件管理手冊進行管控4.2.4 記錄和資料控制公司應(yīng)建立及維持管理體系所要求的“記錄” ，以提供為符合要求和質(zhì)量 管理體系有效運行提供證據(jù)，記錄應(yīng)維持受控，記錄應(yīng)保持清晰,并易于閱讀、辨識及檢索查閱。記錄應(yīng)妥善保管，其鑒別、儲存、取用、保護、保存期限、處置等事項， 應(yīng)依照記錄和外來文件管理手冊進行管控。管理體系文檔及記錄， 可以以任何形式進行存放 （包括：紙本及電子文檔）5管理職責(zé)5.1 管理職責(zé)公司管理層應(yīng)在管理體系建立、實施、運行、監(jiān)視、評審和持續(xù)改進中提供 承諾和支持，并通過各種活動完成以下工作，以確保相關(guān)各項工作的順利開展， 并提供承諾和支持

27、的證據(jù)。1.建立符合相關(guān)標準的管理組織，包括決策層、管理層和執(zhí)行層。2.制訂 IT 服務(wù)管理、信息安全管理、服務(wù)質(zhì)量管理的管理方針和目標。3.提供足夠的資源，以保證管理體系策劃、實施、運行、監(jiān)視、評審、持續(xù)改進等工作的順利開展，以建立符合 GB/19000 -2008、ISO9001:2008 、 ISO/IEC20000-1:2005 、 ISO/IEC 27001:2005 標準要求， 以及山東瀚高實際需要的管理體系。4.確立山東瀚高管理體系持續(xù)改進計劃和適當?shù)臏贤ㄓ媱?，確保管理體系 的持續(xù)有效性，滿足公司的實際運行管理需要。5.以各種方式，持續(xù)向公司全體員工傳達傳達符合管理目標、管理方針

28、、 滿足顧客和法律法規(guī)要求以及持續(xù)改進的必要性、重要性，傳達滿足其 他相關(guān)方要求的重要性。6.以增進顧客滿意為目的，確保顧客的各種要求得到確定并予以滿足7.分配管理體系相關(guān)的角色和職責(zé)，包括指定管理者代表負責(zé)所有服務(wù)的 協(xié)調(diào)和管理。8.對山東瀚高信息資產(chǎn)實行有效管理，確保信息資產(chǎn)的機密性（C）、完整性（I）、可用性（A）。9.組織開展風(fēng)險管理工作，核定風(fēng)險可接受標準，對公司不能接受的風(fēng)險 進行處置。10.組織建立瀚高業(yè)務(wù)連續(xù)性管理體系，以保證公司主要業(yè)務(wù)的連續(xù)，不受 重大故障和災(zāi)難的影響。11.組織對山東瀚高全體員工進行信息安全、 IT 服務(wù)管理的教育培訓(xùn)，提高 信息安全意識和服務(wù)意識。12.

29、組織山東瀚高管理體系的推廣工作，確保所有員工理解并嚴格遵守各項 管理制度、 規(guī)范和程序。 確保管理體系管理評審、 內(nèi)部審核工作的進行。5.2 以顧客為關(guān)注焦點總經(jīng)理應(yīng)以增強顧客滿意為目的，確保顧客的要求得到確定并予以滿足。5.3 質(zhì)量方針總經(jīng)理確保其制定的質(zhì)量方針：a.與公司的宗旨相適應(yīng)；b.包括對滿足要求和持續(xù)改進質(zhì)量管理體系有效性的承諾；c.提供制定和評審質(zhì)量目標的框架；d.在組織內(nèi)得到溝通和理解；e.最高管理者通過管理評審，對質(zhì)量方針的持續(xù)適宜性進行評審。5.4.策劃5.4.1 質(zhì)量目標最高管理者確保：a.管理者代表根據(jù)質(zhì)量方針提供的框架，組織在公司和公司內(nèi)部相關(guān)的職 能、層次和崗位上建

30、立可測量的質(zhì)量目標。 形成公司目標體系。 公司質(zhì)量目標包 括滿足產(chǎn)品要求所需的內(nèi)容。b.質(zhì)量目標由最高管理者批準， 由管理者代表組織跟蹤、 監(jiān)督和考核， 質(zhì)量 目標通過管理評審進行評審和修訂，以保證其持續(xù)適宜性。目標以及各部門分解見附錄 B。5.4.2 質(zhì)量管理體系策劃最高管理者確保：a.為達到已確定的質(zhì)量目標，由管理者代表主持對質(zhì)量管理體系進行持續(xù)、全面策劃和修訂、變更，以滿足 4.1 質(zhì)量管理體系總要求的各個方面，形成并持 續(xù)改進完整的文件體系和完善的組織體系。b.在對質(zhì)量管理體系的變更進行策劃和實施時，保持質(zhì)量體系的完整性。5.5.職責(zé)、權(quán)限和溝通5.5.1 職責(zé)和權(quán)限最高管理者應(yīng)確保組

31、織內(nèi)的職責(zé)、權(quán)限得到規(guī)定和溝通。具體參見組織架 構(gòu)與部門職責(zé)。5.5.2 管理者代表最高管理者任命一名管理者作為管理者代表， 對質(zhì)量管理體系進行管理、 監(jiān) 督、評價和協(xié)調(diào)。管理者代表的職責(zé)和權(quán)限包括但不限于：a.確保質(zhì)量管理體系所需的過程得到建立、實施和保持；b.向最高管理者報告質(zhì)量管理體系的業(yè)績和任何改進的需求；c.確保在整個組織內(nèi)提高滿足顧客要求的意識；d.本手冊規(guī)定的其他職責(zé)和權(quán)限。5.5.3 內(nèi)部溝通最高管理者應(yīng)確保在組織內(nèi)建立適當?shù)臏贤ㄟ^程， 并確保對質(zhì)量管理體系的 有效性進行溝通。公司的溝通方式包括：會議、看板、電話、網(wǎng)絡(luò)郵件、記錄傳 遞、培訓(xùn)等方式。5.6 管理評審5.6.1 總

32、則為確保管理體系，包括服務(wù)管理與安全方針和目標持續(xù)的適宜性、充分性和 有效性：1.由山東瀚高建立并保持 管理評審控制程序 ，指導(dǎo)管理評審工作的執(zhí)行。2.公司每年至少開展一次管理評審，兩次間隔不得超過十二個月。一般情 況下， 采取會議的形式， 安排在內(nèi)部審核之后。 當出現(xiàn)下列情況之一時， 應(yīng)及時進行管理評審：公司管理體系發(fā)生重大變化。 國家法律、法規(guī)、相關(guān)標準發(fā)生重大變化。 外審之前。其它認為需要評審時。3.管理評審由總經(jīng)理主持，各部門負責(zé)人參加，需要時，由總經(jīng)理決定具 體的參加人員。4.管理審查會議的決議事項以會議紀要形式體現(xiàn)，由各相關(guān)部門負責(zé)配合 執(zhí)行，并對執(zhí)行狀況予以追蹤評估。5.6.2評

33、審輸入綜合管理部組織有關(guān)部門按計劃的要求收集整理有關(guān)文件和數(shù)據(jù)資料提交 管理評審，包括：1)內(nèi)部和外部審核的結(jié)果；2)相關(guān)方(客戶、政府部門、供應(yīng)商、內(nèi)部員工等)的反饋；3)管理目標有效性測量結(jié)果；4)客戶滿意度調(diào)查信息反饋及客戶投訴；5)山東瀚高用于改進管理體系執(zhí)行績效和有效性的技術(shù)、產(chǎn)品或程序的發(fā)展及變化；6)全年的管理體系運作狀況；7)對過程和服務(wù)測量和監(jiān)視的結(jié)果；8)糾正和預(yù)防措施的實施情況；9)以往風(fēng)險評估未充分指出的脆弱性或威脅；10)以往管理評審所采取措施的跟蹤驗證；11)經(jīng)策劃的可能影響管理體系的變更；12)管理體系文件的適用性，包括修改要求等；13)改進的建議。5.6.3評審

34、輸出按照服務(wù)管理與安全方針和目標對上述信息進行全面的討論、評價、分析， 決定所要采取的改進措施，包括：1)管理體系有效性的改進，應(yīng)考慮業(yè)務(wù)需求、安全需求、影響已有業(yè)務(wù)需 求的業(yè)務(wù)過程、法律法規(guī)環(huán)境、合同責(zé)任、風(fēng)險和 / 或風(fēng)險接受等級等；2)方針和目標的修訂；3)與客戶要求有關(guān)的改進；4)更新風(fēng)險評估和風(fēng)險處置計劃；5)資源需求；6)改進測量控制措施有效性的方式；7)對現(xiàn)有管理體系(包括方針和目標)的評價結(jié)論及對現(xiàn)有服務(wù)是否符合 要求的評價。6資源管理6.1 資源的提供公司應(yīng)確定并提供必要的足夠資源以策劃、建立、實施、 運作、監(jiān)視、 評審、 保持和改進管理體系，通過滿足客要求，增強顧客滿意。包

35、括人力資源、基礎(chǔ)設(shè) 施、工作環(huán)境。6.2 人力資源1.基于適當?shù)慕逃?、培?xùn)、技能和經(jīng)驗，從事影響產(chǎn)品與要求的符合性工 作的人員應(yīng)是能夠勝任的。崗位職責(zé)以及相應(yīng)的能力需求應(yīng)有清晰明確 的定義。2.應(yīng)合理為每個員工分配工作崗位，并為其所知曉。3.應(yīng)使全體員工認識到其所從事工作的關(guān)聯(lián)性和重要性，以及如何為實現(xiàn) 管理目標作出貢獻。4.應(yīng)根據(jù)員工崗位職責(zé)要求，提供適當?shù)慕逃嘤?xùn)或采取其它措施，以滿 足工作崗位能力需求。5.應(yīng)建立員工教育培訓(xùn)管理制度，并評估教育培訓(xùn)的成效或所采取措施的 有效性。6.應(yīng)維持相關(guān)人員教育、培訓(xùn)、技能及經(jīng)驗的適當記錄。7.聘用人員前應(yīng)對其背景進行調(diào)查驗證， 并簽署相關(guān)信息安全職

36、責(zé)的文件具體執(zhí)行人力資源實施細則。6.3 基礎(chǔ)設(shè)施確定、提供和維護滿足相關(guān)法律、法規(guī)、標準、合約要求的所必需的基礎(chǔ)設(shè) 施，如辦公場所、辦公設(shè)備、網(wǎng)絡(luò)設(shè)備（包括硬件和軟件） 、支持性服務(wù)（如通訊 或信息系統(tǒng)） 等，并按既定的策略、管理措施進行使用。6.4 工作環(huán)境提供滿足相關(guān)法律、法規(guī)、標準、合約要求的所必需的工作環(huán)境，并按既定 的策略、管理措施進行使用。7產(chǎn)品實現(xiàn)7.1產(chǎn)品實現(xiàn)的策劃根據(jù)公司業(yè)務(wù)特點，為確保產(chǎn)品代理分銷、軟件產(chǎn)品、服務(wù)和系統(tǒng)集成項目 達到客戶滿意，公司相關(guān)業(yè)務(wù)部門對實現(xiàn)上述產(chǎn)品和服務(wù)的全過程進行了策劃并 制定了相應(yīng)的文件；產(chǎn)品實現(xiàn)的策劃應(yīng)與質(zhì)量管理體系其他過程的要求相一致。 在

37、對產(chǎn)品實現(xiàn)進行策劃時，應(yīng)確定以下方面的適當內(nèi)容：a.產(chǎn)品的質(zhì)量目標和要求，見服務(wù)級別管理手冊 ；b.針對產(chǎn)品確定過程、文件和資源的需求；c.產(chǎn)品所要求的驗證、確認、監(jiān)視、測量、檢驗和試驗活動，以及產(chǎn)品接收 準則；d.為實現(xiàn)過程及其產(chǎn)品滿足要求提供證據(jù)所需的記錄。對應(yīng)用于特定產(chǎn)品、項目或合同的質(zhì)量管理體系、 IT 服務(wù)管理體系和信息 安全管理體系的過程 （包括產(chǎn)品實現(xiàn)過程）和資源，通過制定計劃的方法進行規(guī) 定。在公司 IT 服務(wù)業(yè)務(wù)中，服務(wù)產(chǎn)品實現(xiàn)的策劃，一方面通過新服務(wù)和服務(wù) 變更管理手冊 對現(xiàn)有服務(wù)產(chǎn)品進行變更或研發(fā)新的服務(wù)產(chǎn)品；另一方面，通過 服務(wù)級別管理手冊及事件管理手冊 ，對服務(wù)產(chǎn)品的

38、執(zhí)行過程進行策劃。7.2 與顧客有關(guān)的過程7.2.1與產(chǎn)品有關(guān)要求的確定公司應(yīng)確定產(chǎn)品的要求，要求由以下方面構(gòu)成：1）客戶規(guī)定的要求，包括對交付和交付后活動的要求，交付后的活動包括諸如擔(dān)保條件下的措施、 合同規(guī)定的維護服務(wù)、 附加服務(wù)（回收或最終處置） 等；2）客戶雖未明確提出，但規(guī)定的或預(yù)期的用途所必需的要求；3）與產(chǎn)品有關(guān)的國家法令法規(guī)、行業(yè)規(guī)定的要求；4）公司認為必要的附加要求（注：此要求不得與前 3 項要求的任何一項有 抵觸）。7.2.2與產(chǎn)品有關(guān)的要求的評審與客戶進行有效的溝通， 充分且正確的了解客戶的要求和期望， 確保公司有 能力實現(xiàn)客戶的要求，以達到用戶滿意。公司應(yīng)評審與產(chǎn)品有關(guān)

39、的要求。 評審應(yīng)在組織向顧客作出提供產(chǎn)品的承諾之前進行（如：提交標書、接受合同或訂單及接受合同或訂單的更改） ，并應(yīng)確保：a. 產(chǎn)品要求得到規(guī)定；b. 與以前表述不一致的合同或訂單的要求已予解決；c.組織有能力滿足規(guī)定的要求。 評審結(jié)果及評審所引起的措施的記錄應(yīng)予保持。 若顧客提供的要求沒有形成文件， 公司應(yīng)在接收顧客要求前應(yīng)對顧客要求進行確認。若產(chǎn)品要求發(fā)生變更（包括合同以及技術(shù)要求等） ，公司應(yīng)確保相關(guān)文件得 到修改，并確保相關(guān)人員知道已變更的要求。公司通過有關(guān)的產(chǎn)品信息， 如產(chǎn)品目錄、產(chǎn)品廣告內(nèi)容進行銷售時，應(yīng)在發(fā)布信息前對相關(guān)內(nèi)容進行評審具體遵照供應(yīng)商管理手冊中合同評審管理流程7.2.

40、3顧客溝通 為增進與客戶的溝通，公司應(yīng)對以下有關(guān)方面進行確定并實施與顧客溝通 ： a. 為客戶提供產(chǎn)品信息；b. 接收客戶的問詢、合同或者訂單的處理，包括，對其的修改；C. 及時獲取客戶的反饋， 包括意見和投訴。 公司通過設(shè)立投訴電話等手段， 建立有效的溝通方法。所有客戶信息的記錄， 都應(yīng)保存并做分析處理，定期向管理層報告。所有與 質(zhì)量相關(guān)的客戶需求、 投訴記錄、 滿意度調(diào)查的結(jié)果和反饋都會通過業(yè)務(wù)管理過 程進行處理和分析。具體參見 服務(wù)報告管理手冊 、新服務(wù)與服務(wù)變更管理手冊 、事件管理 手冊、業(yè)務(wù)關(guān)系管理手冊 。7.3 設(shè)計和開發(fā)根據(jù)公司的認證范圍，本條款已進行刪減，列出的目的便于與標準對

41、應(yīng)。7.4 采購7.4.1 采購過程商務(wù)部應(yīng)確保采購的產(chǎn)品符合規(guī)定的采購要求。對供方及采購的產(chǎn)品控制的 類型和程度應(yīng)取決于采購的產(chǎn)品對隨后的產(chǎn)品實現(xiàn)或最終產(chǎn)品的影響。商務(wù)部應(yīng)根據(jù)供方按組織的要求提供產(chǎn)品的能力評價和選擇供方。應(yīng)制定選 擇、評價和重新評價的準則。 評價結(jié)果及評價所引起的任何必要措施的記錄應(yīng)予 保持。7.4.2 采購信息采購信息應(yīng)表述擬采購的產(chǎn)品，適當時包括：a)產(chǎn)品、程序、過程和設(shè)備的批準要求：b)人員資格的要求；c)質(zhì)量管理體系的要求。在與供方溝通前，組織應(yīng)確保規(guī)定的采購要求是充分與適宜的7.4.3采購產(chǎn)品的驗證各使用部門應(yīng)確定并實施檢驗或其他必要的活動， 以確保商務(wù)部采購的產(chǎn)

42、品 滿足規(guī)定的采購要求。采購?fù)瓿珊螅?yīng)商的服務(wù)進行監(jiān)督和評審， 定期回顧評 審供應(yīng)商是否達到約定的服務(wù)級別目標，并對其結(jié)果進行分析處理。當公司或其顧客擬在供方的現(xiàn)場實施驗證時， 組織應(yīng)在采購信息中對擬驗證 的安排和產(chǎn)品放行的方法作出規(guī)定。本公司與產(chǎn)品和服務(wù)有關(guān)的采購由商務(wù)部對采購過程進行控制，具體參見 供應(yīng)商管理手冊。7.5 生產(chǎn)和服務(wù)提供7.5.1 生產(chǎn)和服務(wù)提供的控制為了對生產(chǎn)和服務(wù)的運作進行有效的控制， 本公司應(yīng)策劃并在受控條件下進 行提供，適用時，受控條件應(yīng)包括：1)根據(jù)項目和顧客要求，由各項目承擔(dān)部門負責(zé)公司獲得規(guī)定產(chǎn)品特性的 信息，包括隱含的要求及法律法規(guī)要求；2)需要時，由項目

43、承擔(dān)部門制定作業(yè)指導(dǎo)書，包括計劃編制規(guī)范和實施規(guī) 范等。3)由項目承擔(dān)部門負責(zé)獲得、使用和維護生產(chǎn)與服務(wù)運作用的設(shè)備及軟件 版本管理，執(zhí)行相關(guān)配置規(guī)范等；4)獲得和使用監(jiān)視和測量設(shè)備；5)由項目承擔(dān)部門負責(zé)按相關(guān)控制文件的要求實施監(jiān)控活動；6)實施放行、交付和適用的交付后活動。本公司在為客戶提供生產(chǎn)和服務(wù)過程具體參見 服務(wù)級別管理手冊 、能力 和可用性管理手冊、設(shè)備管理手冊、業(yè)務(wù)持續(xù)性管理手冊、事件管理手冊、 問題管理手冊、網(wǎng)絡(luò)安全管理手冊以及備份等信息安全管理文件。7.5.2 生產(chǎn)和服務(wù)過程的確認當生產(chǎn)和服務(wù)提供的過程輸出不能由后續(xù)的監(jiān)視或測量加以驗證， 致使問題 在產(chǎn)品投入使用后或服務(wù)已交

44、付后才顯現(xiàn)時，組織應(yīng)對任何這樣的過程實施確 認。公司提供的服務(wù)過程，均需要確認，證實這些過程實現(xiàn)所策劃結(jié)果的能力。 適用時包括：a. 為過程的評審和批準所規(guī)定的準則；b.設(shè)備的認可和人員資格的鑒定；c.使用特定的方法和程序；d.記錄的要求；e.再確認。公司通過目標指標監(jiān)控、人員資格能力、設(shè)備能力和可用行、 設(shè)備符合性監(jiān) 督方式確認過程能力，并制定相應(yīng)的作業(yè)文件，進行過程確認，并記錄。當公司 出現(xiàn)下列問題時，需要再次確認：a. 信息事件出現(xiàn)嚴重以上等級；b.客戶連續(xù)出現(xiàn)3次以上投訴。過程確認遵循能力和可用性管理手冊 、人力資源管理實施細則和符 合性管理手冊等文件。7 .5.3標識和可追溯性為了有

45、效識別開發(fā)策劃、需求分析、設(shè)計實現(xiàn)、安裝調(diào)試、驗收交付及維護 服務(wù)過程中的各項產(chǎn)品，防止混用， 確保本公司提供的軟、 硬件產(chǎn)品的可追溯性 和唯一標識， 實現(xiàn)產(chǎn)品質(zhì)量保證的明確定位， 公司對采購產(chǎn)品的標識進行如下要 求：1)入庫的采購產(chǎn)品和產(chǎn)品狀態(tài)采用標簽和區(qū)域進行標識；2)安裝現(xiàn)場的采購產(chǎn)品可用包裝上的原標識或銘牌進行標識，產(chǎn)品狀態(tài)可 用標簽和相應(yīng)驗證記錄進行標識。3)軟件產(chǎn)品通過版本和版本說明進行標識。4)人員通過姓名或者員工卡號標識。5 )設(shè)備通過指示等告警等不同顏色進行標識。6)項目計劃通過審批狀態(tài)進行標識。在有可追溯性要求時，由項目組控制和記錄產(chǎn)品的唯一性標識。7 .5.4顧客財產(chǎn)有關(guān)

46、部門和人員應(yīng)愛護在公司控制下和使用的顧客財產(chǎn) (包括知識產(chǎn)權(quán)和企 業(yè)以及個人信息)，為此，公司針對顧客實物財產(chǎn)會在合同中具體規(guī)定了顧客財 產(chǎn)的識別、驗證、保護和維護要求，同時規(guī)定當顧客財產(chǎn)發(fā)生丟失、損壞或發(fā)現(xiàn) 不適用的情況時，應(yīng)報告顧客，并保持記錄。在 IT 服務(wù)項目中，對客戶信息資產(chǎn)的管理，包括識別、風(fēng)險評估和處理， 將遵循配置管理手冊以及信息安全風(fēng)險管理手冊的相關(guān)規(guī)定執(zhí)行。7.5.5 產(chǎn)品防護為防止產(chǎn)品在內(nèi)部處理和交付到預(yù)定地點期間的損壞和質(zhì)量降低， 公司應(yīng)對 產(chǎn)品和產(chǎn)品的組成部分提供防護。 產(chǎn)品防護包括標識、 搬運、包裝、貯存和保護。 具體控制如下：1)產(chǎn)品的標識執(zhí)行 7.4.3 。2)

47、產(chǎn)品搬運過程中應(yīng)做到輕拿輕放，防摔、防碰、防水，防止野蠻裝卸。 對于大型設(shè)備應(yīng)選擇適當?shù)陌徇\工具，并由專業(yè)搬運人員操作。3)產(chǎn)品的包裝一般使用原包裝， 必要時應(yīng)內(nèi)填足夠的填充物或增加外包裝， 注明產(chǎn)品規(guī)格型號、數(shù)量等有關(guān)內(nèi)容，并寫上“輕拿輕放”等字樣及“T”標志。 包裝應(yīng)確保防止任何物理或功能性的損傷。4）庫房儲存環(huán)境要求防火、防盜、防水、防潮、防磁、防鼠、防蛀。入庫 產(chǎn)品要做到先入先出并及時填寫相關(guān)記錄。5）網(wǎng)絡(luò)及集成系統(tǒng)交付前，嚴禁無關(guān)人員隨意開機、調(diào)試、插拔接頭等。6）對網(wǎng)絡(luò)內(nèi)的信息按照信息安全管理手冊中的規(guī)定執(zhí)行。7. 6 監(jiān)視和測量設(shè)備的控制公司應(yīng)確定需實施的監(jiān)視和測量以及所需的監(jiān)視

48、和測量設(shè)備， 為產(chǎn)品符合確定的要求提供證據(jù)。公司應(yīng)建立監(jiān)視和測量設(shè)備控制程序 ，以確保監(jiān)視和測量活動可行并以與監(jiān)視和測量的要求相一致的方式實施。當有必要確保結(jié)果有效的場合時，測量設(shè)備應(yīng)做到： 對照能溯源到國際或國家標準的測量標準， 按照規(guī)定的時間間隔或在使用前進行校準和（或）驗證。當不存在上述標準時，應(yīng)記錄校準或檢定的依據(jù)； 必要時進行調(diào)整或再調(diào)整；能夠識別，以確定其校準狀態(tài)；防止可能使測量結(jié)果失效的調(diào)整； 在搬運、維護和貯存期間防止損壞或失效； 此外，當發(fā)現(xiàn)設(shè)備不符合要求時， 應(yīng)對以往測量結(jié)果的有效性進行評價和記錄，應(yīng)對該設(shè)備和任何受影響的產(chǎn)品采取適當?shù)拇胧Ｐ屎万炞C結(jié)果的記錄應(yīng)予保持。當

49、計算機軟件用于規(guī)定要求的監(jiān)視和測量時，應(yīng)確認其滿足預(yù)期用途的能力。確認應(yīng)在初次使用前進行， 并在必要時予以重新確認。 確認計算機軟件滿足預(yù)期用途能力的典型方法包括驗證和保持其適用性的配置管理 （技術(shù)狀態(tài)管理）8測量、分析和改進8 .1總則公司策劃并實施顧客滿意測量、 內(nèi)部審核、產(chǎn)品監(jiān)視和測量、過程監(jiān)視和測 量、不合格品控制、數(shù)據(jù)分析、持續(xù)改進等過程，以便：應(yīng)策劃并實施以下方面所需的監(jiān)視、測量、分析和改進過程：a.證實與產(chǎn)品要求的符合性；b 確保質(zhì)量管理體系的符合性；C 持續(xù)改進質(zhì)量管理體系的有效性。這應(yīng)包括對統(tǒng)計技術(shù)在內(nèi)的適用方法及其應(yīng)用程度的確定。8 .2監(jiān)視和測量821顧客滿意公司通過測量

50、、 分析客戶對公司產(chǎn)品和服務(wù)的滿意度， 不斷提高產(chǎn)品和服務(wù) 質(zhì)量?？蛻舴?wù)部負責(zé)牽頭并組織相關(guān)部門進行客戶滿意度的調(diào)查與評價， 根據(jù)對 客戶要求、意見和投訴的調(diào)查，進行統(tǒng)計分析，形成統(tǒng)計分析報告，報告相關(guān)部 門及管理層。 針對客戶不滿意或潛在不滿意情況， 責(zé)任部門應(yīng)采取相應(yīng)的糾正和 預(yù)防措施，不斷提高客戶滿意度。具體執(zhí)行業(yè)務(wù)關(guān)系管理手冊中滿意度調(diào)查 流程。8 .2.2 內(nèi)部審核1） 公司制定了內(nèi)部審核控制程序 ，策劃的時間間隔通過審核管理體系涉 及到的各部門所開展的活動和有關(guān)結(jié)果是否符合策劃的安排、 標準的要求以及組 織所確定的質(zhì)量管理體系的要求， 確保管理體系持續(xù)有效地運行， 并為管理體系

51、改進提供依據(jù)。2） 按照內(nèi)部審核控制程序 ，定期對各體系實施內(nèi)部審核。公司每年至少 進行 1 次內(nèi)審活動。 內(nèi)審計劃報管理者代表審批。 在每次內(nèi)審前， 管理者代表任 命審核組長，由審核組長組織內(nèi)部審核。 審核組應(yīng)編制審核工作相關(guān)文件， 提前 通知各有關(guān)部門和人員。審核結(jié)束后， 由審核組長組織編寫審核報告， 報送管理 者代表審批，分發(fā)到各有關(guān)部門和人員。 對審核中發(fā)現(xiàn)的不合格項， 責(zé)任部門應(yīng) 及時采取糾正措施， 內(nèi)審員應(yīng)對糾正措施的完成情況進行跟蹤檢查， 并驗證其有 效性。3)實施內(nèi)部審核時，需要考慮到被審核流程和區(qū)域的狀況及重要性，也應(yīng) 考慮到之前審核的結(jié)果。在審核之前，必須確定審核標準、范圍

52、和方法，選擇審 核員，確保審核過程的客觀性和中立性。4)內(nèi)部審核的結(jié)果是實施管理評審的重要的信息輸入，會成為實施糾正措 施以改進管理體系的重要依據(jù)。8.2.3 過程的監(jiān)視和測量公司對各個管理體系的產(chǎn)品實現(xiàn)、 管理職責(zé)、資源管理、測量分析等過程進 行監(jiān)視和測量。采用如下的手段和方法進行測量，對未能達到策劃結(jié)果的過程， 應(yīng)采取適當?shù)募m正和糾正措施，以確保過程和結(jié)果的符合性。1)通過內(nèi)部審核對各過程進行監(jiān)測。2)通過目標績效對各個過程進行監(jiān)測。3)顧客滿意度的測量對生產(chǎn)和服務(wù)提供全過程進行監(jiān)控。4)各部門經(jīng)理負責(zé)監(jiān)督檢查部門和員工的工作，對相關(guān)過程進行監(jiān)測。具體執(zhí)行日常檢查制度 。8.2.4 產(chǎn)品的

53、監(jiān)視和測量根據(jù)公司業(yè)務(wù)特點， 公司通過對服務(wù)產(chǎn)品的測試、 驗收和對開發(fā)過程的控制， 確保產(chǎn)品能滿足規(guī)定的質(zhì)量要求，防止不合格產(chǎn)品被交付。監(jiān)視和測量應(yīng)依據(jù)所策劃的安排在產(chǎn)品實現(xiàn)過程的適當階段進行， 應(yīng)保持符 合接收準則的證據(jù)。記錄應(yīng)指明有權(quán)放行產(chǎn)品以交付給顧客的人員。 除非得到有關(guān)授權(quán)人員的批準， 適用時得到顧客的批準， 否則在策劃的安排 已圓滿完成之前，不應(yīng)向顧客放行產(chǎn)品和交付服務(wù)。公司服務(wù)質(zhì)量由客戶確認，具體執(zhí)行事件管理手冊和日常檢查制度8.3 不合格品控制 公司為確保不合格品得到識別與控制，確定不合格品控制過程活動及其要 求，以防止其非預(yù)期的使用和交付，在不合格品控制程序中對不合格品控制

54、以及不合格品處置的有關(guān)職責(zé)和權(quán)限做出規(guī)定，控制活動包括對不合格品的標 識、隔離、評審、處置和記錄、以及不合格品糾正后的驗證。對下列方面作了明 確的規(guī)定：1)在產(chǎn)品實現(xiàn)或其他過程活動中的不合格品由相關(guān)責(zé)任人負責(zé)識別；2)對不合格品進行評審，確認不合格事實、范圍、程度和影響，決定適宜 的處置措施；3)對已發(fā)現(xiàn)的不合格品采取拒收、索賠、返修、讓步接受等措施予以處置 (讓步接受須經(jīng)部門以上負責(zé)人批準，必要時經(jīng)顧客批準) ；4)當在交付或開始使用后發(fā)現(xiàn)不合格時，根據(jù)不合格影響的程度采取現(xiàn)場 維修、召回維修、退貨退款或與顧客協(xié)商等措施；5)不合格品得到糾正之后應(yīng)對其進行再次驗證(包括回歸測試) ，以證實符

55、 合要求；6)不合格的原始記錄和采取的所有后續(xù)措施包括讓步放行的記錄應(yīng)予以保 持。8.4 數(shù)據(jù)分析 為證實管理體系的適宜性和有效性， 并評價在何處可以持續(xù)改進管理體系有 效性，公司應(yīng)確定、收集和分析適當?shù)臄?shù)據(jù)。數(shù)據(jù)分析包括：1)顧客對公司提供的產(chǎn)品和服務(wù)的滿意程度；2)公司生產(chǎn)和服務(wù)提供產(chǎn)品與顧客要求的符合性；3)過程和產(chǎn)品的特性及發(fā)展趨勢，發(fā)現(xiàn)在何處須采取預(yù)防措施的機會；4)供方供貨業(yè)績，包括供方提供產(chǎn)品的符合性和及時性等。8.4.1 數(shù)據(jù)來源1)客戶滿意度調(diào)查；2)客戶反饋；3)采購產(chǎn)品驗證結(jié)果；4)生產(chǎn)和服務(wù)提供產(chǎn)品的測量結(jié)果；5)客戶信息安全需求；6)服務(wù)級別達成狀況；7)體系運行的其

56、它數(shù)據(jù)。8.4.2 數(shù)據(jù)的收集和分析1)顧客滿意度調(diào)查，商務(wù)部按照業(yè)務(wù)關(guān)系管理手冊中的相關(guān)規(guī)定執(zhí)行。2)任何渠道收到的顧客反饋，接受部門或人員應(yīng)及時進行內(nèi)部溝通，確保 將獲得的信息通知到相關(guān)部門，由責(zé)任部門進行分析；3)商務(wù)部負責(zé)組織對采購產(chǎn)品進行驗證，收集和分析驗證結(jié)果；4)系統(tǒng)集成業(yè)務(wù)部門、軟件研發(fā)業(yè)務(wù)部門負責(zé)各自職權(quán)范圍內(nèi)的調(diào)試及測 試結(jié)果的收集和分析；5)體系運行的其它數(shù)據(jù)，各相關(guān)部門自行收集和分析。 數(shù)據(jù)分析可采用適當?shù)慕y(tǒng)計技術(shù)。如整理數(shù)據(jù)時可采用餅分圖、排列圖等， 以找出薄弱環(huán)節(jié)；而利用因果圖可找出不合格或潛在不合格的原因。數(shù)據(jù)分析的結(jié)果應(yīng)能提供以下信息， 并將其作為改進的依據(jù)，

57、以采取相應(yīng)的 糾正預(yù)防措施加以改進。8.5 持續(xù)改進8.5.1 持續(xù)改進山東瀚高通過服務(wù)管理與安全方針和目標的建立與實施，營造一個激勵改進 的氛圍，明確改進方向。公司應(yīng)補救管理體系中任何不符合的部分， 通過制定和改進管理方針和管理 目標、進行管理評審、進行內(nèi)部 /外部審核、落實糾正與預(yù)防措施工作、對信息 安全事件和服務(wù)異常事件的監(jiān)控分析等方式開展管理體系改進工作， 必要時征求 所有相關(guān)方對管理體系的意見，從而保證管理體系的持續(xù)有效性和運行效率。公司應(yīng)關(guān)注客戶的投訴、抱怨，記錄、評估服務(wù)改進建議，制定服務(wù)改進計 劃，評估服務(wù)改進情況， 確保各項服務(wù)改進措施均已落實執(zhí)行， 并實現(xiàn)了預(yù)期的 目標，從

58、而改進完善服務(wù)過程，提升服務(wù)質(zhì)量，提高客戶滿意度。公司應(yīng)規(guī)定各部門在持續(xù)改進工作中的角色和職責(zé)，并從服務(wù)過程的所有方 面考慮服務(wù)改進要求。8.5.2 糾正措施公司應(yīng)采取措施，以消除不合格的原因，防止不合格的再發(fā)生。糾正措施應(yīng) 與所遇到不合格的影響程度相適應(yīng)。編制糾正和預(yù)防措施控制程序 ，規(guī)定以下方面的要求：1）評審不合格（包括顧客抱怨） ；2）確定不合格的原因；3）評價確保不合格不再發(fā)生的措施的需求；4）確定和實施所需的措施；5）記錄所采取措施的結(jié)果；6）評審所采取的糾正措施的有效性。8.5.3 預(yù)防措施公司應(yīng)確定措施，以消除潛在不合格的原因，防止不合格的發(fā)生。預(yù)防措施 應(yīng)與潛在問題的影響程度

59、相適應(yīng)。編制糾正和預(yù)防措施控制程序 ，規(guī)定以下方面的要求：1）確定潛在不合格及其原因；2）評價防止不合格發(fā)生的措施的需求；3）確定并實施所需的措施；4）記錄所采取措施的結(jié)果；5）評審所采取的預(yù)防措施的有效性。附錄 A 管理方針釋義顧客至上、安全第一、質(zhì)量為本、持續(xù)改進 以滿足顧客的需求，超越客戶的期待為出發(fā)點，保證山東瀚高科技有限公 司各項業(yè)務(wù)的安全運行， 達到行業(yè)領(lǐng)先的高可用性。 以專業(yè)和完善的服務(wù)質(zhì)量， 達到行業(yè)領(lǐng)先的水平；采用 PDCA 的方法，追求服務(wù)品質(zhì)的不斷提升。附錄 B 2011 年度管理目標在 2011 管理年度內(nèi)要達到的管理目標如下：1、顧客服務(wù)滿意率不低于 95%2、重大質(zhì)

60、量事故為零3、成本偏差率v 5%4、重大信息安全事故為零注：重大質(zhì)量事故是指由于公司方面原因?qū)蛻魧嵤┓?wù)造成客戶系統(tǒng)癱瘓 等重大問題，一旦產(chǎn)生會給客戶和公司造成嚴重甚至無法估量的損失。重大信息安全事故是指由于公司方面原因造成的嚴重的信息泄露、 破壞和篡 改等重大問題，一旦發(fā)生會對公司及其業(yè)務(wù)造成嚴重甚至無法估量的損失。 質(zhì)量目標的分解：一、銷售部目標：1開拓市場，挖掘客戶，介紹產(chǎn)品。2.不向顧客進行任何沒有根據(jù)的承諾，顧客合理要求滿足率 100% 。、商務(wù)部目標：1.及時掌握國際存儲領(lǐng)域的供方的最新產(chǎn)品和渠道，成為國際主要供方的 合作伙伴。2. 100% 采購貨物經(jīng)過進貨檢驗或驗證，不合格品