服務(wù)外包能力要求

1、文檔收集于互聯(lián)網(wǎng)，已重新整理排版.word版本可編輯，有幫助歡迎下載支持.服務(wù)外包能力要求Services Outsourcing Capabilities - Requirements2XXX-XX-XX 實施2XXX-XX-XX 發(fā)布北京賽西認(rèn)證有限責(zé)任公司I文檔來源為:從網(wǎng)絡(luò)收集整理.word版本可編輯.目錄1范圍42規(guī)范性引用文件43術(shù)語和定義41.1 1 41.2 41.3 41.4 41.5 51.6 51.7 51.8 51.9 54 祕能力管理（總要求） 54. 1總則55. 2服務(wù)外包能力模型56. 3過程方法65服務(wù)保障77. 1資源管理78. 2能力管理76服務(wù)實現(xiàn)99.

2、 1需求管理910. 2服務(wù)策劃1011. 服務(wù)過程管理1012. 服務(wù)交付管理1113. 服務(wù)終止1114. 6外部供方管理116 . 7變更控制127服務(wù)安全127 . 1安全管理職責(zé)128 .2安全管理策略129 .3安全管理措施12附錄A （規(guī)范性附錄）信息技術(shù)外包（IT0）服務(wù)實現(xiàn)13A. 1需求管理13A. 1.1需求確定13A.1.2服務(wù)過程管理13A. 1.3服務(wù)交付管理14附錄B （規(guī)范性附錄）業(yè)務(wù)流程外包（BPO）服務(wù)實現(xiàn)15B. L 1需求管理15C. 1.2服務(wù)策劃15B. 1. 3服務(wù)提供的控制15附 錄C （規(guī)范性附錄）安全控制項 161文檔來源為:從網(wǎng)絡(luò)收集整理.

3、word版本可編輯.文檔收集于互聯(lián)網(wǎng)，已重新整理排版.word版本可編輯，有幫助歡迎下載支持.C. 1安全管理組織16C. 2法律法規(guī)符合性16C.3人力資源16C. 4資產(chǎn)管理16C. 5訪問控制16C 6物理和環(huán)境安全17C. 7通信和操作管理17C.8業(yè)務(wù)連續(xù)性管理17C.9安全事件管理17D. 10供應(yīng)鏈安全17服務(wù)外包能力要求1范圍本規(guī)范規(guī)定了服務(wù)外包組織在質(zhì)量管理、安全管理和能力管理方面應(yīng)具備的條件和能力, 本部分適用于：a) b) c) d)計劃提供運行服務(wù)外包的組織建立運行服務(wù)能力管理體系: 服務(wù)組織評估自身條件和能力；服務(wù)需方評價和選擇服務(wù)組織；第三方評價和認(rèn)定服務(wù)組織能力。

4、2規(guī)范性引用文件下列文件中的條款通過本規(guī)范的引用而成為本規(guī)范的條款。凡是注日期的引用文件，其隨后所有的 修改單或修訂版不適用于本規(guī)范。凡是不注日期的引用文件,其最新版本適用于本規(guī)范。ISO 9000質(zhì)量管理體系基礎(chǔ)和術(shù)語ISO/IEC27000信息技術(shù)-安全技術(shù)-信息安全管理體系-概述和詞匯ISO GUIDE 83管理體系標(biāo)準(zhǔn)的篇章結(jié)構(gòu)、核心文字以及常用術(shù)語和核心定義ISO 9001質(zhì)量管理體系要求ISO/IEC20000-1信息技術(shù)服務(wù)管理第1部分:規(guī)范ISO/IEC27001信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T 28827.1-2012信息技術(shù)服務(wù)運行維護(hù) 第1部分：通用要求 3術(shù)

5、語和定義服務(wù)外包Service Outsourcing服務(wù)發(fā)包方將原本由自身完成的部分業(yè)務(wù)剝離出來，委托給服務(wù)提供組織完成的經(jīng)濟(jì)活動。服務(wù)發(fā)包方Client指服務(wù)的需方，在本部分中，服務(wù)發(fā)包方也稱為顧客。服務(wù)提供組織Service Provider指服務(wù)的組織，在本部分中，服務(wù)提供組織也稱為組織。分包方 Subcontractor指承接分包服務(wù)的服務(wù)提供組織。信息技術(shù)外包Informat ion Technology Outsourcing ( ITO)指服務(wù)發(fā)包方向外部尋求并獲得包括全部或部分信息技術(shù)類的服務(wù)。業(yè)務(wù)流程外包Business Process Outsourcing (BPO)指

6、服務(wù)外包方將自身基于信息技術(shù)的業(yè)務(wù)流程委托給專業(yè)化的服務(wù)提供組織，由其按照服務(wù)協(xié)議要 求進(jìn)行管理、運營和維護(hù)服務(wù)等。知識流程外包 Know ledge Process Outsourcing (KPO)屬于BPO的高端層次，指位于服務(wù)外包方流程價值鏈高端的高知識含量的外包業(yè)務(wù)。文檔收集于互聯(lián)網(wǎng)，已重新整理排版.word版本可編輯，有幫助歡迎下載支持.服務(wù)目錄 Service Catalogue服務(wù)提供組織提供的標(biāo)準(zhǔn)服務(wù)的列表。服務(wù)級別協(xié)議Serv i ce Leve I Agreement服務(wù)提供組織與服務(wù)發(fā)包方之間簽署的描述服務(wù)和約定服務(wù)級別的協(xié)議。4服務(wù)能力管理（總要求） 4.1總則組織在

7、提供服務(wù)過程中，應(yīng)通過策劃、實施、檢查和改進(jìn)實現(xiàn)服務(wù)能力的持續(xù)提升。4.2服務(wù)外包能力模型服務(wù)外包能力模型描述了組織為滿足服務(wù)的總要求所必需的過程及過程管理，包括服務(wù)實現(xiàn)、服務(wù) 安全、服務(wù)保障，每個過程遵循PDCA過程方法。策劃服務(wù)實現(xiàn)服務(wù)安全服務(wù)策劃安全管理職責(zé)服務(wù)開發(fā)安全管理策略服務(wù)交付安全管理措施不合格服務(wù)服務(wù)保障資源管理人員管理知識管理基礎(chǔ)設(shè)施合約管理技術(shù)能力實施檢查改進(jìn)圖1服務(wù)外包能力模型4. 3過程方法 4.3.1策劃組織應(yīng)對服務(wù)外包能力進(jìn)行策劃，至少應(yīng)：a）根據(jù)自身業(yè)務(wù)定位和能力，策劃服務(wù)外包對象的服務(wù)內(nèi)容與要求，明確能力管理范用、方針（考 慮質(zhì)量、安全方面的內(nèi)容）、目標(biāo)，并形成

8、服務(wù)目錄：b）依據(jù)組織的業(yè)務(wù)發(fā)展需要來建立組織結(jié)構(gòu)，從服務(wù)實現(xiàn)、服務(wù)安全、服務(wù)保障等方面實施規(guī)劃, 建立相適應(yīng)的服務(wù)管理過程，支持服務(wù)目錄的實現(xiàn)；C）針對服務(wù)能力的監(jiān)視、測量及改進(jìn)進(jìn)行策劃，建立自我完善機(jī)制C4. 3. 2 實施組織在實施外包服務(wù)能力管理過程中，至少應(yīng)：a）制定滿足整體策劃的實施計劃，并按計劃實施：b）建立與相關(guān)方的溝通協(xié)調(diào)機(jī)制；c）按照服務(wù)能力要求實施管理活動并記錄，確保服務(wù)能力管理和服務(wù)過程實施可追溯，服務(wù)結(jié)果 可計量或可評估；d）提交滿足要求的服務(wù)。5. 3. 3 檢查組織應(yīng)對外包服務(wù)能力管理過程和實施結(jié)果進(jìn)行監(jiān)視、測量、分析和評審。至少應(yīng):a）定期評審服務(wù)過程，以確保服

9、務(wù)能力的適宜性和有效性：b）調(diào)查發(fā)包方的滿意度：c）評估服務(wù)能力管理過程滿足發(fā)包方要求的程度：d）將服務(wù)能力管理水平與行業(yè)標(biāo)桿進(jìn)行比較，識別差距。4. 3.4改進(jìn)組織應(yīng)不斷總結(jié)經(jīng)驗，提升服務(wù)外包能力的管理。至少應(yīng)：a）建立服務(wù)能力管理改進(jìn)機(jī)制，根據(jù)監(jiān)視和評估的結(jié)果識別改進(jìn)需求：b）根據(jù)識別的改進(jìn)需求，制定改進(jìn)方案：c）跟蹤方案的實施情況，對改進(jìn)的效果進(jìn)行評價。5服務(wù)保障4.1 資源管理5. 1. 1總則組織應(yīng)確定并提供為策劃、實施、檢查和改進(jìn)服務(wù)能力所需的資源，適用時，可分包的服務(wù)。6. 1.2基礎(chǔ)設(shè)施組織應(yīng)確定、提供并維護(hù)為達(dá)到符合服務(wù)要求所需的基礎(chǔ)設(shè)施.適用時，基礎(chǔ)設(shè)施包括：e）建筑物、工

10、作場所和相關(guān)的設(shè)施；f）過程設(shè)備（包括硬件和軟件）；g）支持性服務(wù)（如運輸、通訊或信息系統(tǒng)）。7. 1.3過程環(huán)境組織應(yīng)確定和管理為達(dá)到符合服務(wù)要求所需的過程環(huán)境。注：過程環(huán)境可包括物理的、社會的、心理的和環(huán)境的因素（例如：溫度、大氣成分）。8. 1.4監(jiān)視和測量工具、方法組織應(yīng)確定和管理為達(dá)到符合服務(wù)要求所需的監(jiān)視和測量工具、方法，并確保監(jiān)視和測量工具、方 法滿足使用要求。組織應(yīng)保持適當(dāng)?shù)奈募畔?，以提供監(jiān)視和測量設(shè)備、方法滿足使用要求的證據(jù)。文檔收集于互聯(lián)網(wǎng)，已重新整理排版.word版本可編輯，有幫助歡迎下載支持.注1：監(jiān)視和測量設(shè)備可包括測量工具和評價方法（例如：調(diào)查問卷）。注2：對照能

11、溯源到國際或國家標(biāo)準(zhǔn)的測量標(biāo)準(zhǔn)，按照規(guī)定的時間間隔或在使用前對監(jiān)視和測量工具進(jìn)行校準(zhǔn)和 （或）檢定。5.2能力管理5. 2. 1人員能力組織應(yīng)明確服務(wù)人員的能力，至少包含：a）培訓(xùn)：1）建立對外包業(yè)務(wù)的培訓(xùn)機(jī)制：2）明確培訓(xùn)考核的方式、方法：3）制定培訓(xùn)計劃，并保留相應(yīng)的培訓(xùn)記錄。b）知識與技能；4）明確從事服務(wù)的人員所需具備的相關(guān)知識、技能和適當(dāng)?shù)慕?jīng)驗：5）適用時，明確從事特殊業(yè)務(wù)的人員的資格。5. 2.2知識管理組織應(yīng)收集、共享、更新、使用所積累的知識和信息，提升人員能力，提高服務(wù)效率和質(zhì)量。組織 應(yīng)：a）確定知識管理的角色和職責(zé)：b）選擇合適的知識管理策略：c）對知識資產(chǎn)進(jìn)行適當(dāng)分類，針

12、對常見問題的描述、分析和解決方法建立知識庫；d）確保知識庫具備知識的添加、更新和查詢功能：e）確保整個組織內(nèi)對知識的有效使用和共享。5. 2.3合約管理與法律風(fēng)險規(guī)避合約管理組織應(yīng)實施合約管理過程，應(yīng)包括：h）確定合約制定和合約變更的程序；i）識別相關(guān)方的需求：J）考慮風(fēng)險并實施合約評審：k）合約簽訂應(yīng)得到批準(zhǔn)；1）合約變更應(yīng)通知相關(guān)方；m）具備處理合約違約及糾紛的能力。法律風(fēng)險規(guī)避能力組織應(yīng)具備法律風(fēng)險意識，建立識別、評審并處置法律風(fēng)險的過程。5. 2.4技術(shù)能力組織應(yīng)：n）建立保持、提升技術(shù)能力的機(jī)制并確定職責(zé)：o）關(guān)注國內(nèi)外服務(wù)相關(guān)的技術(shù)動向；P）跟進(jìn)服務(wù)外包業(yè)務(wù)相關(guān)的最新技術(shù)和標(biāo)準(zhǔn)：Q

13、）具備必要的最新技術(shù)和標(biāo)準(zhǔn)應(yīng)用的研究能力：1文檔來源為:從網(wǎng)絡(luò)收集整理.word版本可編輯.文檔收集于互聯(lián)網(wǎng)，已重新整理排版.word版本可編輯，有幫助歡迎下載支持. r）具有對影響服務(wù)質(zhì)量的事件進(jìn)行分析和解決的技術(shù)能力。5. 2.5關(guān)系管理組織應(yīng)建立并保持與顧客及相關(guān)方之間的良好關(guān)系，識別并記錄服務(wù)的顧客及相關(guān)方。應(yīng)確保信息 及時、準(zhǔn)確、適當(dāng)?shù)貍鬟f給相關(guān)方和顧客，持續(xù)改善組織的溝通能力。組織應(yīng)：s）基于服務(wù)外包業(yè)務(wù)需求確定與顧客、相關(guān)方的溝通需求：t）確定與顧客、相關(guān)方進(jìn)行溝通的人員的角色和職責(zé)；u）相關(guān)信息及時、準(zhǔn)確、適當(dāng)?shù)貍鬟f給相關(guān)方：v）組織應(yīng)管理與顧客、相關(guān)方的溝通內(nèi)容和溝通質(zhì)量，建

14、立投訴處理機(jī)制，并實施持續(xù)改進(jìn)。針對顧客，組織應(yīng)指定人員負(fù)責(zé)管理顧客滿意事宜，并定期測量顧客滿意度情況并據(jù)此信息采取相 應(yīng)措施。6. 2.6組織聲譽維護(hù)能力組織應(yīng)具備主動維護(hù)其聲譽的意識，并采取適宜措施來建立、宣傳、擴(kuò)大及維護(hù)組織聲譽。6服務(wù)實現(xiàn)6.1 需求管理6.1.1 需求確定組織應(yīng)確定：a）明確顧客所需服務(wù)的業(yè)務(wù)類型（見附錄A和附錄B）b）顧客規(guī)定的要求，包括對交付及交付后活動的要求；c）顧客雖然沒有明示，但規(guī)定的用途或已知的預(yù)期用途所必需的要求；d）適用于服務(wù)的法律法規(guī)要求：e）服務(wù)安全要求（例如，顧客對于服務(wù)場地的安全要求）：f）必要時明確所需的服務(wù)級別要求：g）任何可能的附加要求。

15、注：附加要求可包含由有關(guān)的相關(guān)方提出的要求。6.1.2 需求評審組織應(yīng)評審與服務(wù)有關(guān)的要求。評審應(yīng)在組織向顧客提供服務(wù)的承諾（例如，提交標(biāo)書、接受合同 或訂單及接受合同或訂單的更改）之前進(jìn)行，并應(yīng)確保：a）服務(wù)要求已得到規(guī)定并達(dá)成一致；b）與以前表述不一致的合同或訂單的要求已予解決；c）組織有能力滿足規(guī)定的要求。評審結(jié)果的信息應(yīng)形成文件。若顧客沒有提供形成文件的要求，組織在接受顧客要求前應(yīng)對顧客要求進(jìn)行確認(rèn)。注：在某些情況下，對每一個訂單進(jìn)行正式的評審可能是不實際的，作為替代方法，可對提供給顧客的有關(guān)的服務(wù) 信息進(jìn)行評審。6.1.3 1.3需求變更組織應(yīng)根據(jù)實際情況對需求變更進(jìn)行控制，至少包括

16、以下內(nèi)容：a）需求變更文檔化：文檔收集于互聯(lián)網(wǎng)，已重新整理排版.word版本可編輯，有幫助歡迎下載支持.b）識別變更控制的邊界：c）定義需求變更的范圍：d）維護(hù)需求變更的歷史信息，包括變更的依據(jù)：e）評價需求變更的影響：f）評審并批準(zhǔn)變更；g）與顧客及組織內(nèi)部的溝通：h）需求變更的響應(yīng)速度（見附錄B）。6.2 服務(wù)策劃組織應(yīng)對服務(wù)的實施進(jìn)行策劃，包括：a）服務(wù)的要求，并考慮相關(guān)的目標(biāo)；b）確定資源的需求：c）識別服務(wù)實施過程中的風(fēng)險，制訂相應(yīng)的措施：d）制定適宜的交付策略和服務(wù)退出策略：e）確定監(jiān)視、測量的方法：f）適用時，考慮分包活動的管理。策劃的輸出形式應(yīng)便于組織的運作。6.3 服務(wù)過程管

17、理7. 3.1服務(wù)提供的控制組織應(yīng)在受控的條件下提供服務(wù)，受控條件包括：a）獲得服務(wù)特性的文件信息：b）必要時，應(yīng)獲得服務(wù)過程及結(jié)果的文件信息：c）必要時，應(yīng)獲得顧客業(yè)務(wù)流程所必須的用戶信息；d）確保所獲得用戶信息的安全；e）獲得、實施和使用必要的監(jiān)測和測量設(shè)備：f）人員的資格和能力：g）識別影響服務(wù)連續(xù)性的因素，制定服務(wù)連續(xù)性計劃，確保服務(wù)實施過程連續(xù)；h）確保發(fā)生變更時的一致性，明確可能造成的風(fēng)險影響：i）實施必要的配置管理：j）定義服務(wù)響應(yīng)支持的職能、角色和流程：k）當(dāng)過程的輸出不能由后續(xù)的監(jiān)測和測量加以驗證時，對任何這樣的服務(wù)提供過程進(jìn)行確認(rèn)、 批準(zhǔn)和再次確認(rèn)；1）服務(wù)的放行、交付和交

18、付后活動的實施；m）人為錯誤（如失誤、違章）導(dǎo)致的不符合的預(yù)防。8. 3.2標(biāo)識和可追溯性適當(dāng)時.組織應(yīng)使用適宜的方法對服務(wù)實現(xiàn)過程中所產(chǎn)生的任何輸入或輸出進(jìn)行標(biāo)識以確?？勺匪?性，應(yīng)關(guān)注：a）標(biāo)識的唯一性：b）確保標(biāo)識清晰可追溯性；c）必要時保持形成文件的信息。9. 3.3顧客或外部供方的財產(chǎn)1文檔來源為:從網(wǎng)絡(luò)收集整理.word版本可編輯.文檔收集于互聯(lián)網(wǎng)，已重新整理排版.word版本可編輯，有幫助歡迎下載支持.組織應(yīng)愛護(hù)在組織控制下或組織使用的顧客、外部供方財產(chǎn)。組織應(yīng)識別、驗證、保護(hù)和維護(hù)供其 使用的顧客、外部供方財產(chǎn)。如果顧客、外部供方財產(chǎn)發(fā)生丟失、損壞或發(fā)現(xiàn)不適用的情況，組織應(yīng)向顧

19、客、外部供方報告，并 保持相關(guān)記錄。注：顧客、外部供方財產(chǎn)可包括知識產(chǎn)權(quán)、秘密的或私人的信息。6. 3. 4不合格服務(wù)組織應(yīng)確保對不符合要求的服務(wù)得到識別和控制，以防止其非預(yù)期使用或交付造成對顧客產(chǎn)生不良 的影響。當(dāng)不合格服務(wù)已交付給顧客時，組織應(yīng)采取適當(dāng)?shù)募m正措施以確保實現(xiàn)顧客滿意，適當(dāng)?shù)拇胧┛砂?括：a）停止提供服務(wù)：d）適當(dāng)時，通知顧客：e）經(jīng)授權(quán)延長服務(wù)時間或重新提供服務(wù)、讓步接收。在不合格服務(wù)得到糾正之后應(yīng)對其再次進(jìn)行驗證，以證實符合要求。不合格服務(wù)的性質(zhì)以及隨后所采取的任何措施的信息應(yīng)形成文件，包括所批準(zhǔn)的讓步。6.4 服務(wù)交付管理組織在交付管理過程中應(yīng)確定：a）制定適宜的交付策略

20、，包括交付方式和交付成果；b）適用時，交付的成果已經(jīng)得到檢驗或測試；c）不合格的服務(wù)在交付前應(yīng)得到授權(quán)人的批準(zhǔn)和顧客的同意；d）交付不成功時應(yīng)采取補(bǔ)救措施，適用時，進(jìn)行再評審或再驗證。6.5 服務(wù)終止合約到期或其他原因引起結(jié)束或退出服務(wù)時，組織應(yīng)：a）按照確定的服務(wù)退出策略（見6. 2）要求執(zhí)行：b）監(jiān)視退出執(zhí)行的過程，結(jié)果通報相關(guān)方：c）適用時，對關(guān)鍵、敏感信息、文檔進(jìn)行處置，保留相關(guān)記錄；d）分析退出原因，評估退出造成的影響，制訂預(yù)防措施。6.6 外部供方管理6. 6. 1總則組織應(yīng)確保外部供方提供的產(chǎn)品和服務(wù)滿足規(guī)定的要求。應(yīng)制訂采購策略，適用時得到顧客的確認(rèn)。6. 6. 2外部供方的控

21、制類型和程度對外部供方及其提供的產(chǎn)品和服務(wù)的控制類型和程度取決于：a）識別的風(fēng)險及其潛在影響：b）外部供方的分擔(dān)程度；c）潛在的控制能力。6. 6.3提供給外部供方的文件信息適用時，提供給外部供方的文件信息應(yīng)包括：文檔收集于互聯(lián)網(wǎng)，已重新整理排版.word版本可編輯，有幫助歡迎下載支持.a）供應(yīng)的產(chǎn)品和服務(wù)，以及實施的過程：b）服務(wù)、程序、過程的放行或批準(zhǔn)要求：c）人員能力的要求，包含必要的資格要求：d）外部供方資質(zhì)的要求：e）組織對外部供方業(yè)績的控制和監(jiān)視；f）必要時應(yīng)在供方現(xiàn)場實施的驗證活動。在與供方溝通前，組織應(yīng)確保所規(guī)定的要求是充分與適宜的。組織應(yīng)對外部供方提供的產(chǎn)品和服務(wù)進(jìn)行監(jiān)視和評

22、價，并保留相關(guān)記錄。6.7變更控制組織應(yīng)對顧客業(yè)務(wù)流程實現(xiàn)過程可能發(fā)生的變更進(jìn)行管理，變更控制應(yīng)至少包含以下內(nèi)容：a）組織應(yīng)建立變更控制策略；b）確保受到變更影響的配置項受控；c）確保變更是在批準(zhǔn)狀態(tài)下實施的；d）在實施變更后進(jìn)行必要的驗證及評審：e）保留相應(yīng)的記錄；f）程序記錄、分類、評估和批準(zhǔn)變更請求應(yīng)文件化。7服務(wù)安全7.1 安全管理職責(zé)管理者應(yīng)：a）批準(zhǔn)建立服務(wù)安全團(tuán)隊，定義其職責(zé)和角色;b）向組織傳達(dá)服務(wù)安全的重要性：c）確保組織內(nèi)風(fēng)險因素得到識別和處置：d）為服務(wù)安全提供所需的資源：e）確保執(zhí)行安全內(nèi)部審計：f）定期進(jìn)行服務(wù)安全評估，以識別改進(jìn)的機(jī)會;g）確保組織內(nèi)的安全措施的實施

23、是相互協(xié)調(diào)的。7.2 安全管理策略為確保服務(wù)安全，組織應(yīng)確定服務(wù)安全策略，至少應(yīng)包括:a）符合法律法規(guī)和合同要求：b）安全教育、培訓(xùn)和意識要求：c）違反服務(wù)安全的后果；d）業(yè)務(wù)連續(xù)性管理。7.3 安全管理措施組織為滿足安全管理策略應(yīng)采取必要的控制措施，這些措施必須符合法律法規(guī)和合同的要求。附錄 C給出的安全措施并不是所有的安全措施措施，組織也可能需要選擇另外的控制措施。文檔收集于互聯(lián)網(wǎng)，已重新整理排版.word版本可編輯，有幫助歡迎下載支持. 附錄A（規(guī)范性附錄）信息技術(shù)外包（IT0）服務(wù)實現(xiàn)A. 1需求管理A. 1.1需求確定識別信息技術(shù)外包的業(yè)務(wù)類型，包括：a）軟件研發(fā)及外包（注1）b）信

24、息技術(shù)研發(fā)服務(wù)外包（注2）c）信息系統(tǒng)運行維護(hù)外包（注3）注1：軟件研發(fā)及外包，指軟件研發(fā)及開發(fā)服務(wù)，如，用于金融、政府、教育、制造業(yè)、零售、服務(wù)、能源、物流 和交通、媒體、電信、公共事業(yè)和醫(yī)療衛(wèi)生等行業(yè)，為用戶的運營/生產(chǎn)/供應(yīng)鏈/-客戶關(guān)系/人力資源和財務(wù) 管理、計算機(jī)輔助設(shè)沖/工程等業(yè)務(wù)進(jìn)行軟件開發(fā)，定制軟件開發(fā)，嵌入式軟件，套裝軟件開發(fā)，系統(tǒng)軟件開 發(fā)，軟件測試等：以及軟件技術(shù)服務(wù)，如，軟件咨詢、維護(hù)、培訓(xùn)、測試等技術(shù)性服務(wù)：注2：信息技術(shù)研發(fā)服務(wù)外包，指集成電路設(shè)計，如，集成電路產(chǎn)品設(shè)計以及相關(guān)技術(shù)支持服務(wù)等：以及提供電子 商務(wù)平臺，如，為電子貿(mào)易服務(wù)提供信息平臺；以及測試平臺，如，

25、為軟件和集成電路的開發(fā)運用提供測試 平臺。注3：信息系統(tǒng)運行維護(hù)外包，指信息系統(tǒng)運行和維護(hù)服務(wù)，如，顧客內(nèi)部信息系統(tǒng)集成、網(wǎng)絡(luò)管理、桌面管理與 維護(hù)服務(wù)：信息1：程、地理信息系統(tǒng)遠(yuǎn)程維護(hù)等信息系統(tǒng)應(yīng)用服務(wù)：以及基礎(chǔ)信息技術(shù)服務(wù)，如，基礎(chǔ)信息 技術(shù)管理平分整合等基礎(chǔ)信息技術(shù)服務(wù)（IT基礎(chǔ)設(shè)施管理、數(shù)據(jù)中心、托管中心、安全服務(wù)、通訊服務(wù)等）A.1.2服務(wù)過程管理在服務(wù)實現(xiàn)過程中應(yīng)關(guān)注以下內(nèi)容：a）顧客可能參與的管理活動：b）文件化必要的過程文件。軟件研發(fā)服務(wù)和信息技術(shù)研發(fā)服務(wù)相關(guān)的業(yè)務(wù)流程應(yīng)包括如下活動：a）需求分析：b）概要設(shè)計；c）詳細(xì)設(shè)計；d）制造開發(fā)；e）單元測試；f）集成測試；g）系統(tǒng)測

26、試；h）驗收測試。信息技術(shù)運行維護(hù)相關(guān)的業(yè)務(wù)流程應(yīng)包括如下活動：a）服務(wù)戰(zhàn)略：b）服務(wù)設(shè)計；c）服務(wù)轉(zhuǎn)換；d）服務(wù)運維；e）持續(xù)服務(wù)改進(jìn)。A.1.3服務(wù)交付管理1文檔來源為:從網(wǎng)絡(luò)收集整理.word版本可編輯.文檔收集于互聯(lián)網(wǎng)，已重新整理排版.word版本可編輯，有幫助歡迎下載支持.A. 1.3.1交付前針對軟件開發(fā)和信息技術(shù)研發(fā)的服務(wù)，組織應(yīng)在交付前實施以下活動，包含:明確產(chǎn)品或服務(wù)的要求已經(jīng)滿足需求：a）與需求或設(shè)計不一致的表述已得到完善或更改：b）必要的測試已經(jīng)實施；A. 1.3.2交付后針對軟件開發(fā)服務(wù)，適宜時，組織應(yīng)進(jìn)行軟件補(bǔ)丁的發(fā)布。附錄B（規(guī)范性附錄）業(yè)務(wù)流程外包（BPO）服務(wù)實

27、現(xiàn)基于流程管理的不同特性，BPO可分為如下類別：a）與供應(yīng)鏈相關(guān)的流程管理：如：物流、倉儲：b）與組織顧客相關(guān)的流程管理：如：呼叫中心、大堂服務(wù)：c）生產(chǎn)流程的管理：如：業(yè)務(wù)流程研發(fā)、數(shù)據(jù)處理：d）支持性流程管理；如：財務(wù)、人力資源B. 1.1需求管理B. 1.1.1在需求確定階段，組織應(yīng)：a）定義服務(wù)的類別：b）定義服務(wù)的特性。如：業(yè)務(wù)復(fù)雜性、獨立性、關(guān)犍性。B.1.1.2需求評審階段，組織應(yīng)：a）評審準(zhǔn)則應(yīng)考慮服務(wù)過程中的責(zé)任、義務(wù)、風(fēng)險；b）確保服務(wù)過程涉及的相關(guān)方參與評審。B. 1.1.3需求變更控制階段，組織應(yīng)根據(jù)變更的特點，制定響應(yīng)方案，包括考慮響應(yīng)速度。B.1.2服務(wù)策劃根據(jù)服務(wù)

28、特性，組織應(yīng)：a）為每一類服務(wù)設(shè)計服務(wù)交付策略，確保服務(wù)要求得到滿足：b）考慮特定的安全要求。B. 1.3服務(wù)提供的控制組織應(yīng)基于顧客相關(guān)的業(yè)務(wù)流程，制定顧客業(yè)務(wù)流程相關(guān)的作業(yè)指導(dǎo)文件，必要時得到顧客的確認(rèn)。1文檔來源為:從網(wǎng)絡(luò)收集整理.word版本可編輯.文檔收集于互聯(lián)網(wǎng)，已重新整理排版.word版本可編輯，有幫助歡迎下載支持.附錄C（規(guī)范性附錄）安全控制項本附錄所列的控制措施是外包服務(wù)過程中必須考慮的基本控制，組織還應(yīng)結(jié)合自己外包服務(wù)的具體 要求，制定并實施額外的安全控制措施。C. 1安全管理組織a）建立服務(wù)安全組織，支持對外包服務(wù)潛在的安全脆弱性的識別;b）確保外包服務(wù)人員能夠充分的理解并有效地執(zhí)行；C）實施有效的安全審計；d）評估安全控制措施的有效性。C.2法律法規(guī)符合性a）制定相應(yīng)規(guī)程，識別適用于組織的法律法規(guī)和合同義務(wù)：b）依照相關(guān)的法律、法規(guī)和合同要求，保護(hù)個人信息和隱私；C）確保在使用具有知識產(chǎn)權(quán)的資產(chǎn)時，符合法律、法規(guī)和合同要求。C. 3人力資源a）結(jié)合業(yè)務(wù)特點確定相應(yīng)的崗位和任用條件，識別人員的技能和經(jīng)驗：b）向外包服務(wù)人員進(jìn)行安全保密教育，包括安全管理策略、管理制度等；C）識別外包服務(wù)人員未授權(quán)操作、突發(fā)人事變更或惡意操作等可能威脅安全的活動