IT服务与信息安全管理手册.pdf

《IT服务与信息安全管理手册.pdf》由会员分享，可在线阅读，更多相关《IT服务与信息安全管理手册.pdf（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标山东瀚高科技有限公司管理体系山东瀚高科技有限公司管理体系管理手册管理手册山东瀚高科技有限公司1 1K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标文档发布信息文档发布信息文档名称：文档编号：版 本 号：管理手册L1-MM2.0保密级别：内部使用级拟制人：审核人：发布范围：发布日期：批 准 人：张春志常瑞东、孟祥辉、卢健、张鲁敏、宋乐、刘学春、母晓明、韩志平公司管

2、辖的所有部门2011.11.28苗健1 1K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标修订记录修订记录版本号1.02.0修订日期2011.3.1修订人类别张春志MM换版修订说明2011.11.28张春志注1：修订类别分为：A新建/增加、M修订、D删除1 1K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标目录目录颁布令颁布令 I I任命书任命书 I I管理方针和目标管理方针和目标 1 1山东瀚高有限公司简介

3、山东瀚高有限公司简介 2 2山东瀚高有限公司组织结构图山东瀚高有限公司组织结构图 3 31 1 目的和范围目的和范围 3 31.1 目的错误错误!未定义书签。未定义书签。1.2 范围 32引用标准引用标准 4 43 3 术语和定义术语和定义 5 54 4 管理体系要求管理体系要求 5 54.1 总要求 54.1.1管理架构64.1.2管理体系运作机制64.2 管理体系文件 84.2.1总则错误错误!未定义书签。未定义书签。4.2.2质量手册 错误错误!未定义书签。未定义书签。4.2.3文件控制1194.2.4记录和资料控制105 5 管理职责管理职责 11115.1 管理承诺 115.2以顾客

4、为关注的焦点115.3 质量方针 115.4 策划 115.4.1质量方针155.4.2质量管理体系策划155.5 职责、权限和沟通 115.5.1职责和权限155.5.2管理者代表155.5.3内部沟通165.6 管理评审 165.6.1总则165.6.2评审输入175.6.3评审输出171 1K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标6 资源管理 1686.2.1资源的提供186.2.2人力资源1686.2.3基础设施196.2.4工作环境197 7 产品实现产品实现 19197.1产品实现

5、的策划 197.2 与顾客有关的过程 207.2.1与产品有关要求的确定207.2.2与产品有关的要求的评审207.2.3顾客沟通217.3 设计和开发 217.4 采购 217.4.1采购过程错误错误!未定义书签。未定义书签。7.4.2采购信息217.4.3采购产品的验证227.4 生产和服务提供错误错误!未定义书签。未定义书签。7.5.1生产和服务提供的控制227.5.2生产和服务过程的确认237.5.3标识和可追溯性237.4.4顾客财产24错误错误!未定义书签。未定义书签。7.5.5产品防护247.6 监视和测量装置控制 258 8 测量、分析和改进测量、分析和改进 25258.1 总

6、则 258.2 监视和测量 268.2.1客户满意度248.2.2内部审核278.2.3过程的监视和测量278.2.4产品的监视和测量288.3 不合格品控制 288.4 数据分析 298.4.1数据来源298.4.2数据的收集和分析298.5 持续改进 308.5.1持续改进3085.2纠正措施308.5.3预防措施31附录附录 A A 管理方针释义管理方针释义 3232附录附录 B B20112011年度管理目标年度管理目标 3232附录附录 C C 质量管理体系过程职责分配表质量管理体系过程职责分配表 33332 2K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环

7、境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标附录附录 D D 管理体系文件清单管理体系文件清单 36363 3K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标颁颁 布布 令令为提高山东瀚高科技有限公司 IT 服务管理和信息安全管理水平，规范化运行管理，山东瀚高科技有限公司依据GB/T 19001-2008 idt ISO9001:2008 质量 管 理 体 系 要 求、ISO/IEC20000-1:2005Informationtechnology-Servicemanage

8、ment-Part 1:Specification、ISO/IEC 27001:2005Informationtechnology-SecuritytechniquesInformationsecuritymanagementsystems-requirements，结合公司实际情况建立符合以上标准规范要求的管理体系。管理手册阐述了山东瀚高科技有限公司有关 IT 服务管理、服务质量管理、信息安全管理的管理方针，是规范山东瀚高科技有限公司服务管理与信息安全管理的纲领性文件，是建立、实施、评测、改进管理体系的指导性文件。本手册在编制过程中坚持符合性、适宜性和有效性的统一，并广泛征求意见修订成稿，现

9、予以发布，自发布日起正式生效实施。山东瀚高科技有限公司全体员工应认真学习、熟知本手册内容，并严格执行本手册的各项规定和要求。本手册将根据内、外部环境的变化适时进行评审、修改和完善。此令！山东瀚高科技有限公司总经理：苗健2011年 11月 28 日任任命命书书山东瀚高科技有限公司“管理者代表”任命书山东瀚高科技有限公司“管理者代表”任命书为了贯彻执行 GB/T 19001-2008idt ISO9001:2008 质量管理体系 要求、ISO9001:2008Qualitymanagementsystems-Requirements、I IK2MG-EHSWI+04-001K2MG-EHSWI+0

10、4-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标ISO/IEC20000-1:2005 Information technology-Service management-Part1:Specification、ISO/IEC 27001:2005 Information technology-Securitytechniques Information security management systems-requirements，加强对管理体系运作的领导，确保山东瀚高科技有限公司管理体系的建立、实施、运作、监视、评审、保护和改进，特任命常瑞东为山东瀚高

11、科技有限公司管理者代表。管理者代表的职责和权限是：1.代表总经理负责按标准要求建立、实施、运作、监视、评审、持续改山东瀚高科技有限公司的管理体系，实现公司的服务管理，质量管理与信息安全管理方针和目标；2.协助总经理开展管理评审，并向总经理报告管理体系业绩和改进需求；3.负责组织山东瀚高科技有限公司 管理手册的编写、修订和审核工作；4.确保在整个山东瀚高科技有限公司内提高满足客户要求的意识；5.负责提出资源配置以实现 IT 服务的交付和管理；6.负责协调和管理所有的 IT 服务管理工作；7.负责协调和管理所有的质量管理工作；8.提高公司全体人员的信息安全意识；9.负责公司管理体系有关事宜的外部联

12、络工作。山东瀚高科技有限公司总经理：苗健IIIIK2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标管理方针和目标管理方针和目标管理方针管理方针顾客至上、安全第一、质量为本、持续改进管理目标管理目标安全可靠安全可靠：保证山东瀚高科技有限公司各项业务的安全运行，达到行业领先的高可用性，是压倒一切的管理要求。客户满意客户满意：以专业和完善的服务，达到行业领先的服务水平，实现客户满意。效率和效益效率和效益：在确保安全可靠和客户满意的前提下，以诚信合作的精神和专业的技能，达成高效率和高效益。管理政策管理政策推进“

13、流程化管理、标准化服务、高素质团队、高效率运作”的体系建设；向客户提供安全、可靠和稳定的信息系统管理服务，并持续优化服务质量。服务理念服务理念超越客户的期望值。批准：苗健2011年 11月 28 日关于管理方针的释义见本文件附录关于管理方针的释义见本文件附录A A部分部分1 1K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标山东瀚高科技有限公司简介山东瀚高科技有限公司简介山东瀚高科技有限公司成立于 2005 年，是国内领先的基础软件服务提供商。公司自成立以来一直致力于基础软件的研发、销售、服务和培训业

14、务，瀚高和各大国际知名厂商密切合作，建立了具有国内领先水平的技术工程师团队，开创了基础软件综合服务产品化的先河，研发了具有自主知识产权的服务管理软件，建立并完善了综合服务管理系统。秉承“专注数据服务，共享你我智慧”的理念，以数据为中心开展数据备份、容灾、数据仓库、数据综合利用等各项服务，瀚高将会一如既往的在数据平台服务领域加大投入，通过组织和业务流程的标准化，实现产品和服务的专业化，不断提高自身竞争力，巩固在业界的领先地位，引领数据服务产品化的潮流。主要服务：主要服务：数据库基础软件中间件BI 的实施与咨询 服务资源：服务资源：优秀的管理和技术团队规范、专业的 IT 服务管理流程和信息安全管理

15、规范2 2K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标山东瀚高有限公司组织结构图山东瀚高有限公司组织结构图总经理销售副总技术副总管理者代表1 1 目的和范围目的和范围1.11.1 目的目的山东瀚高为了规范公司的内部运作，安全、及时、准确地为客户提供服务，确保服务品质和信息安全，并注重持续改进，以期实现客户满意，而建立的运行管理体系符合以下标准规范的全部要求：GB/T 19001-2008 idt ISO 9001:2008ISO/IEC20000-1:2005ISO/IEC 27001:20051

16、.21.2 范围范围本手册适用于：山东瀚高下属的各部门；综合管理部销售部商务部客户服务部产品部售前支持部系统支持部3 3K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标公司所在驻地：济南市舜华路 2000 号舜泰广场 8 号楼西 19 层（北向）山东瀚高科技有限公司根据山东瀚高的业务特点，对 GB/T 19001-2008 idt ISO 9001:2008、ISO/IEC20000-1:2005 以及 ISO/IEC 27001:2005 标准中不适用于本公司的部分条款作了删减。由于公司为客户提供服

17、务活动，为常规业务，不涉及到 7.3 设计和开发，故对 7.3 删除。上述条款的删除，不免除公司满足法律法规和客户要求的责任。ISO/IEC20000-1:2005 以及 ISO/IEC27001:2005 删减详见L1-SOA-适用性声明-V1.0。山东瀚高管理体系适用于与数据备份、容灾、数据仓库、数据综合利用的服务相关的管理活动。2 2 引用标准引用标准本手册引用或依据下列相关国家/国际标准，当该标准增补或修订时，使用标准的最新版本：1)GB/T19001:2008质量管理体系要求2)GB/T19000:2008质量管理体系基础和术语3)ISO 9001:2008Quality manag

18、ement systems-Requirements4)ISO 9000:2008Quality management system-Fundamentals andvocabulary5)ISO/IEC20000-1:2005 IT 服务管理第一部分：服务管理规范6)ISO/IEC20000-2-2005 IT 服务管理第二部分：服务管理实践守则7)ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求8)ISO/IEC 27002:2007信息技术-安全技术-信息安全管理实施指南4 4K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康

19、安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标3 3 术语和定义术语和定义本手册采用 GB/T 19000-2008 idt ISO9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005 的术语和定义。4 4 管理体系要求管理体系要求4.14.1 总要求总要求山东瀚高将充分遵循 GB/19000 2008、ISO 9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005 等标准的要求，建立、实施运行管理体系，并持续改进，以保证其有效性。公司应：a)确定质量管理体系所需的过程及其在整个组织中的应用

20、；b)确定这些过程的顺序和相互作用；c)确定为确保这些过程的有效运作和控制所需的准则和方法；d)确保可以获得必要的资源和信息，以支持这些过程的运作和监视；e)监视、测量(适用时)和分析这些过程；f)实施必要的措施，以实现对这些过程所策划的结果和对这些过程的持续改进。公司应按标准的要求管理这些过程，并对对公司所选择的任何影响产品符合要求的外包过程，应确保对其实施控制。对此类外包过程控制的类型和程度应在供应商管理手册中加以规定。管理体系模式图：资源管理过程产品实现过程5 5K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业

21、社会责任目标指标测量、分析、改进过程4.1.14.1.1 管理架构管理架构山东瀚高根据 GB/19000 2008、ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005 的要求，建立符合公司业务特点的管理架构，明确各部门/岗位职责、沟通方式和渠道。山东瀚高设立管理者代表，确保管理体系的建立、实施和持续改进工作的落实，管理者代表负责向公司最高管理者报告管理体系的业绩和任何改进的需求，确保在公司内提高对客户服务意识和信息安全意识；负责与管理体系有关事宜的外部联络工作。山东瀚高明确了管理方针、目标以及达成方针和目标的措施，并明确了管理体系的实施范

22、围。管理目标的有效性每年至少评价一次。山东瀚高开展管理评审和内部审核工作，评估和管理风险，持续的评估和改进管理体系。山东瀚高明确了标准适用范围，ISO/IEC20000-1:2005、ISO/IEC27001:2005 记录在适用性声明文件中。4.1.24.1.2 管理体系运作机制管理体系运作机制山东瀚高在管理体系建立和维护过程中，充分遵循 GB/T 19001-2008 idtISO9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005 等标准的要求，采用 PDCA 模式建立、实施和维护管理体系，以保证其持续有效性，具体如下图所示。6 6K2MG-E

23、HSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标1.策划与准备（Plan）主要是做好建设管理体系的各种前期工作，包括：管理现场调查，明确 IT 服务管理、服务质量管理和信息安全管理的目标，明确管理角色和管理框架的结构，建立风险评估方法，确定管理审核和改进服务质量的方法。进行管理体系设计，根据公司管理方针和业务特点，对业务过程进行识别，确定管理范围，明确过程控制的方法及过程之间的相互关系和接口。对人员进行教育培训。2.建设与实施（Do）根据策划与准备阶段的结果，建立并推广、执行基于 IT 服务管理、服务质量管理和信

24、息安全管理的管理体系，规范运行管理以实现预期的管理目标，为实现风险控制、评价和改进管理体系、实现持续改进提供不可或缺的依据。3.评估审核（Check）通过对管理体系运行情况的监视、测量，定期实施内部审核，确保管理体系下的各项管理制度得到落实，及时发现管理体系运行过程中存在的问题，为管理体系的持续改进提供基础。4.持续改进（Act）建立管理体系持续改进测量，根据评估审核的结果，制定执行纠正和预防措施，进一步改进完善各项管理制度，以保证管理体系的持续有效性，保障信息安全，提高服务管理的有效性和效率。7 7K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会

25、责任目标指标环境、健康安全、企业社会责任目标指标4.24.2 管理体系文件管理体系文件4.2.14.2.1总则总则管理体系充分考虑了 ISO/IEC 20000-1:2005 标准中关于新服务或变更服务的策划实施过程、服务交付过程、关系过程、解决过程、控制过程、发布过程，具体内容已被融合到管理体系的相关文件之中。管理体系充分考虑了 GB/19000-2008 idt ISO 9001:2008 标准中关于产品实现测量分析改进的内容，具体内容已被融合到管理体系的相关文件之中。质量管理体系文件应包括：a)形成文件的质量方针和质量目标（在手册中描述）；b)质量手册；c）本标准所要求的形成文件的程序和

26、记录；d)组织确定的为确保其过程有效策划、运作和控制所需的文件，包括记录。4.2.24.2.2 质量手册质量手册公司编制和保持质量手册，质量手册包括：a)质量管理体系的范围，包括任何删减的细节与理由（见范围）；b)为质量管理体系建立的形成文件的程序或对其引用（见附录文件清单）；c)质量管理体系过程之间的相互作用的表述。4.2.34.2.3 文件控制文件控制山东瀚高依据GB/19000-2008 idt ISO 9001:2008、ISO/IEC 20000-1:2005、ISO/IEC 27001:2005 标准的要求，结合公司的业务特点和实际情况，建立和执行适宜的文件以保障管理体系的有效、高

27、效运行，并对文件进行持续的修订完善，8 8K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标以保证其有效性。1 公司文件体系结构：山东瀚高管理体系相关的文件由上而下分为四个阶层，如下图所示：L1L1 第一阶层文件（简称一阶文件）第一阶层文件（简称一阶文件）：管理手册：管理手册包含山东瀚高管理方针和策略，是山东瀚高管理体系的纲领性文件。一阶文件包括管理手册、适用性声明、管理体系策划。质量管理明确了体系的范围，包括任何删减的细节与理由；描述了质量管理体系建立所形成文件的程序或对其引用；对质量管理体系过程之间

28、的相互作用进行表述。L2L2 第二阶层文件（简称二阶文件）第二阶层文件（简称二阶文件）：程序文件：程序文件为达到 GB/T 19001-2008 idt ISO9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005 标准要求而制定的各项管理制度、规范、流程以及相关支持性文件。L3L3 第三阶层文件（简称三阶文件）第三阶层文件（简称三阶文件）：工作指引：工作指引用来解释特殊工作和活动细节的作业指导书、实施细则和操作手册等。L4L4 第四阶层文件（简称四阶文件）第四阶层文件（简称四阶文件）：表单记录：表单记录根据 GB/T 19000-2008 idt I

29、SO 9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005 标准的要求和体系实际运行需要，通过表单模板，对管理体系实施的活动过程和结果的记录进行规范，形成记录文件，用于作为管理评审、内部审核、外部审核、持续改进的客观证据。2 文件控制管理体系文档建立、颁布及修订，应采取适当管控措施。管理体系文件的制定应符合公司的服务规模、产品类型、过程复杂程度、员工能力素质等实际情况，以便于理解应用。公司编制文件管理手册，规定以下方面所需的控制要求：9 9K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、

30、健康安全、企业社会责任目标指标a.文件发布前得到批准，以确保文件是充分与适宜的；为文件的充分性与适宜性，在文件发布前进行批准。b.管理体系文件应定期进行评审、修订完善，并再次批准以保持文件要求与实际运作的一致性，充分保障文件的有效性、充分性和适宜性。c.确保文件的更改和现行修订状态得到识别；d.确保在使用处可获得有关版本的适用文件；e.确保文件保持清晰、易于识别；f.确保组织所确定的策划和运行质量管理体系所需的外来文件得到识别，并控制其分发；g.防止作废文件的非预期使用，若因任何原因而保留作废文件时，对这些文件进行适当的标识。文件可以以任何媒体形式呈现，如纸张、磁盘、光盘、照片、样片等。文件的

31、审核、发布、变更、修订、废止等，应依照文件管理手册进行管控。4.2.44.2.4 记录和资料控制记录和资料控制公司应建立及维持管理体系所要求的“记录”，以提供为符合要求和质量管理体系有效运行提供证据，记录应维持受控，记录应保持清晰,并易于阅读、辨识及检索查阅。记录应妥善保管，其鉴别、储存、取用、保护、保存期限、处置等事项，应依照记录和外来文件管理手册进行管控。管理体系文档及记录，可以以任何形式进行存放（包括：纸本及电子文档）。1010K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标5 5 管理职责管理

32、职责5.15.1 管理职责管理职责公司管理层应在管理体系建立、实施、运行、监视、评审和持续改进中提供承诺和支持，并通过各种活动完成以下工作，以确保相关各项工作的顺利开展，并提供承诺和支持的证据。1.建立符合相关标准的管理组织，包括决策层、管理层和执行层。2.制订 IT 服务管理、信息安全管理、服务质量管理的管理方针和目标。3.提供足够的资源，以保证管理体系策划、实施、运行、监视、评审、持续改进等工作的顺利开展，以建立符合 GB/19000 2008、ISO9001:2008、ISO/IEC20000-1:2005、ISO/IEC 27001:2005 标准要求，以及山东瀚高实际需要的管理体系。

33、4.确立山东瀚高管理体系持续改进计划和适当的沟通计划，确保管理体系的持续有效性，满足公司的实际运行管理需要。5.以各种方式，持续向公司全体员工传达传达符合管理目标、管理方针、满足顾客和法律法规要求以及持续改进的必要性、重要性，传达满足其他相关方要求的重要性。6.以增进顾客满意为目的，确保顾客的各种要求得到确定并予以满足。7.分配管理体系相关的角色和职责，包括指定管理者代表负责所有服务的协调和管理。8.对山东瀚高信息资产实行有效管理，确保信息资产的机密性（C）、完整性（I）、可用性（A）。9.组织开展风险管理工作，核定风险可接受标准，对公司不能接受的风险进行处置。10.组织建立瀚高业务连续性管理

34、体系，以保证公司主要业务的连续，不受重大故障和灾难的影响。1111K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标11.组织对山东瀚高全体员工进行信息安全、IT 服务管理的教育培训，提高信息安全意识和服务意识。12.组织山东瀚高管理体系的推广工作，确保所有员工理解并严格遵守各项管理制度、规范和程序。确保管理体系管理评审、内部审核工作的进行。5.25.2 以顾客为关注焦点以顾客为关注焦点总经理应以增强顾客满意为目的，确保顾客的要求得到确定并予以满足。5.35.3 质量方针质量方针总经理确保其制定的质量方

35、针：a.与公司的宗旨相适应；b.包括对满足要求和持续改进质量管理体系有效性的承诺；c.提供制定和评审质量目标的框架；d.在组织内得到沟通和理解；e.最高管理者通过管理评审，对质量方针的持续适宜性进行评审。5.4.5.4.策划策划5.4.15.4.1 质量目标质量目标最高管理者确保：a.管理者代表根据质量方针提供的框架，组织在公司和公司内部相关的职能、层次和岗位上建立可测量的质量目标。形成公司目标体系。公司质量目标包括满足产品要求所需的内容。b.质量目标由最高管理者批准，由管理者代表组织跟踪、监督和考核，质量目标通过管理评审进行评审和修订，以保证其持续适宜性。目标以及各部门分解见附录 B。121

36、2K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标5.4.25.4.2 质量管理体系策划质量管理体系策划最高管理者确保：a.为达到已确定的质量目标，由管理者代表主持对质量管理体系进行持续、全面策划和修订、变更，以满足4.1 质量管理体系总要求的各个方面，形成并持续改进完整的文件体系和完善的组织体系。b.在对质量管理体系的变更进行策划和实施时，保持质量体系的完整性。5.5.5.5.职责、权限和沟通职责、权限和沟通5.5.15.5.1 职责和权限职责和权限最高管理者应确保组织内的职责、权限得到规定和沟通。

37、具体参见组织架构与部门职责。5.5.25.5.2 管理者代表管理者代表最高管理者任命一名管理者作为管理者代表，对质量管理体系进行管理、监督、评价和协调。管理者代表的职责和权限包括但不限于：a.确保质量管理体系所需的过程得到建立、实施和保持；b.向最高管理者报告质量管理体系的业绩和任何改进的需求；c.确保在整个组织内提高满足顾客要求的意识；d.本手册规定的其他职责和权限。5.5.35.5.3 内部沟通内部沟通最高管理者应确保在组织内建立适当的沟通过程，并确保对质量管理体系的有效性进行沟通。公司的沟通方式包括：会议、看板、电话、网络邮件、记录传递、培训等方式。1313K2MG-EHSWI+04-0

38、01K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标5.65.6 管理评审管理评审5.6.15.6.1 总则总则为确保管理体系，包括服务管理与安全方针和目标持续的适宜性、充分性和有效性：1.由山东瀚高建立并保持 管理评审控制程序，指导管理评审工作的执行。2.公司每年至少开展一次管理评审，两次间隔不得超过十二个月。一般情况下，采取会议的形式，安排在内部审核之后。当出现下列情况之一时，应及时进行管理评审：公司管理体系发生重大变化。国家法律、法规、相关标准发生重大变化。外审之前。其它认为需要评审时。3.管理评审由总经理主持，各部门负责人参加

39、，需要时，由总经理决定具体的参加人员。4.管理审查会议的决议事项以会议纪要形式体现，由各相关部门负责配合执行，并对执行状况予以追踪评估。5.6.25.6.2 评审输入评审输入综合管理部组织有关部门按计划的要求收集整理有关文件和数据资料提交管理评审，包括：1)内部和外部审核的结果；2)相关方（客户、政府部门、供应商、内部员工等）的反馈；3)管理目标有效性测量结果；4)客户满意度调查信息反馈及客户投诉；5)山东瀚高用于改进管理体系执行绩效和有效性的技术、产品或程序的发展及变化；1414K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健

40、康安全、企业社会责任目标指标6)全年的管理体系运作状况；7)对过程和服务测量和监视的结果；8)纠正和预防措施的实施情况；9)以往风险评估未充分指出的脆弱性或威胁；10)以往管理评审所采取措施的跟踪验证；11)经策划的可能影响管理体系的变更；12)管理体系文件的适用性，包括修改要求等；13)改进的建议。5.6.35.6.3 评审输出评审输出按照服务管理与安全方针和目标对上述信息进行全面的讨论、评价、分析，决定所要采取的改进措施，包括：1)管理体系有效性的改进，应考虑业务需求、安全需求、影响已有业务需求的业务过程、法律法规环境、合同责任、风险和/或风险接受等级等；2)方针和目标的修订；3)与客户要

41、求有关的改进；4)更新风险评估和风险处置计划；5)资源需求；6)改进测量控制措施有效性的方式；7)对现有管理体系（包括方针和目标）的评价结论及对现有服务是否符合要求的评价。1515K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标6 6资源管理资源管理6.16.1 资源的提供资源的提供公司应确定并提供必要的足够资源以策划、建立、实施、运作、监视、评审、保持和改进管理体系，通过满足客要求，增强顾客满意。包括人力资源、基础设施、工作环境。6.26.2 人力资源人力资源1.基于适当的教育、培训、技能和经验，从

42、事影响产品与要求的符合性工作的人员应是能够胜任的。岗位职责以及相应的能力需求应有清晰明确的定义。2.应合理为每个员工分配工作岗位，并为其所知晓。3.应使全体员工认识到其所从事工作的关联性和重要性，以及如何为实现管理目标作出贡献。4.应根据员工岗位职责要求，提供适当的教育培训或采取其它措施，以满足工作岗位能力需求。5.应建立员工教育培训管理制度，并评估教育培训的成效或所采取措施的有效性。6.应维持相关人员教育、培训、技能及经验的适当记录。7.聘用人员前应对其背景进行调查验证，并签署相关信息安全职责的文件。具体执行人力资源实施细则。6.36.3 基础设施基础设施确定、提供和维护满足相关法律、法规、

43、标准、合约要求的所必需的基础设施，如办公场所、办公设备、网络设备（包括硬件和软件）、支持性服务（如通讯或信息系统）等，并按既定的策略、管理措施进行使用。1616K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标6.46.4 工作环境工作环境提供满足相关法律、法规、标准、合约要求的所必需的工作环境，并按既定的策略、管理措施进行使用。7 7 产品实现产品实现7.17.1产品实现的策划产品实现的策划根据公司业务特点，为确保产品代理分销、软件产品、服务和系统集成项目达到客户满意，公司相关业务部门对实现上述产品和

44、服务的全过程进行了策划并制定了相应的文件；产品实现的策划应与质量管理体系其他过程的要求相一致。在对产品实现进行策划时，应确定以下方面的适当内容：a.产品的质量目标和要求，见服务级别管理手册；b.针对产品确定过程、文件和资源的需求；c.产品所要求的验证、确认、监视、测量、检验和试验活动，以及产品接收准则；d.为实现过程及其产品满足要求提供证据所需的记录。对应用于特定产品、项目或合同的质量管理体系、IT 服务管理体系和信息安全管理体系的过程（包括产品实现过程）和资源，通过制定计划的方法进行规定。在公司 IT 服务业务中，服务产品实现的策划，一方面通过新服务和服务变更管理手册对现有服务产品进行变更或

45、研发新的服务产品；另一方面，通过服务级别管理手册及事件管理手册，对服务产品的执行过程进行策划。7.27.2 与顾客有关的过程与顾客有关的过程7.2.17.2.1 与产品有关要求的确定与产品有关要求的确定公司应确定产品的要求，要求由以下方面构成：1)客户规定的要求，包括对交付和交付后活动的要求，交付后的活动包括诸如担保条件下的措施、合同规定的维护服务、附加服务（回收或最终处置）等；2)客户虽未明确提出，但规定的或预期的用途所必需的要求；1717K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标3)与产品有

46、关的国家法令法规、行业规定的要求；4)公司认为必要的附加要求（注：此要求不得与前 3 项要求的任何一项有抵触）。7.2.27.2.2 与产品有关的要求的评审与产品有关的要求的评审与客户进行有效的沟通，充分且正确的了解客户的要求和期望，确保公司有能力实现客户的要求，以达到用户满意。公司应评审与产品有关的要求。评审应在组织向顾客作出提供产品的承诺之前进行（如：提交标书、接受合同或订单及接受合同或订单的更改），并应确保：a.产品要求得到规定；b.与以前表述不一致的合同或订单的要求已予解决；c.组织有能力满足规定的要求。评审结果及评审所引起的措施的记录应予保持。若顾客提供的要求没有形成文件，公司应在接

47、收顾客要求前应对顾客要求进行确认。若产品要求发生变更（包括合同以及技术要求等），公司应确保相关文件得到修改，并确保相关人员知道已变更的要求。公司通过有关的产品信息，如产品目录、产品广告内容进行销售时，应在发布信息前对相关内容进行评审。具体遵照供应商管理手册中合同评审管理流程。7.2.37.2.3 顾客沟通顾客沟通为增进与客户的沟通，公司应对以下有关方面进行确定并实施与顾客沟通：a.为客户提供产品信息；b.接收客户的问询、合同或者订单的处理，包括，对其的修改；1818K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会

48、责任目标指标C.及时获取客户的反馈，包括意见和投诉。公司通过设立投诉电话等手段，建立有效的沟通方法。所有客户信息的记录，都应保存并做分析处理，定期向管理层报告。所有与质量相关的客户需求、投诉记录、满意度调查的结果和反馈都会通过业务管理过程进行处理和分析。具体参见服务报告管理手册、新服务与服务变更管理手册、事件管理手册、业务关系管理手册。7.37.3 设计和开发设计和开发根据公司的认证范围，本条款已进行删减，列出的目的便于与标准对应。7.47.4 采购采购7.4.17.4.1 采购过程采购过程商务部应确保采购的产品符合规定的采购要求。对供方及采购的产品控制的类型和程度应取决于采购的产品对随后的产

49、品实现或最终产品的影响。商务部应根据供方按组织的要求提供产品的能力评价和选择供方。应制定选择、评价和重新评价的准则。评价结果及评价所引起的任何必要措施的记录应予保持。7.4.27.4.2 采购信息采购信息采购信息应表述拟采购的产品，适当时包括：a)产品、程序、过程和设备的批准要求：b)人员资格的要求；c)质量管理体系的要求。在与供方沟通前，组织应确保规定的采购要求是充分与适宜的。7.4.37.4.3 采购产品的验证采购产品的验证各使用部门应确定并实施检验或其他必要的活动，以确保商务部采购的产品满足规定的采购要求。采购完成后，供应商的服务进行监督和评审，定期回顾评审供应商是否达到约定的服务级别目

50、标，并对其结果进行分析处理。1919K2MG-EHSWI+04-001K2MG-EHSWI+04-001 环境、健康安全、企业社会责任目标指标环境、健康安全、企业社会责任目标指标当公司或其顾客拟在供方的现场实施验证时，组织应在采购信息中对拟验证的安排和产品放行的方法作出规定。本公司与产品和服务有关的采购由商务部对采购过程进行控制，具体参见供应商管理手册。7.57.5 生产和服务提供生产和服务提供7.5.17.5.1 生产和服务提供的控制生产和服务提供的控制为了对生产和服务的运作进行有效的控制，本公司应策划并在受控条件下进行提供，适用时，受控条件应包括：1)根据项目和顾客要求，由各项目承担部门负