




下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、文檔收集于互聯(lián)網(wǎng),已重新整理排版.word版本可編輯,有幫助歡迎下載支持.服務(wù)外包能力要求Services Outsourcing Capabilities - Requirements2XXX-XX-XX 實(shí)施2XXX-XX-XX 發(fā)布北京賽西認(rèn)證有限責(zé)任公司I文檔來源為:從網(wǎng)絡(luò)收集整理.word版本可編輯.目錄1范圍42規(guī)范性引用文件43術(shù)語和定義41.1 1 41.2 41.3 41.4 41.5 51.6 51.7 51.8 51.9 54 祕(mì)能力管理(總要求) 54. 1總則55. 2服務(wù)外包能力模型56. 3過程方法65服務(wù)保障77. 1資源管理78. 2能力管理76服務(wù)實(shí)現(xiàn)99.
2、 1需求管理910. 2服務(wù)策劃1011. 服務(wù)過程管理1012. 服務(wù)交付管理1113. 服務(wù)終止1114. 6外部供方管理116 . 7變更控制127服務(wù)安全127 . 1安全管理職責(zé)128 .2安全管理策略129 .3安全管理措施12附錄A (規(guī)范性附錄)信息技術(shù)外包(IT0)服務(wù)實(shí)現(xiàn)13A. 1需求管理13A. 1.1需求確定13A.1.2服務(wù)過程管理13A. 1.3服務(wù)交付管理14附錄B (規(guī)范性附錄)業(yè)務(wù)流程外包(BPO)服務(wù)實(shí)現(xiàn)15B. L 1需求管理15C. 1.2服務(wù)策劃15B. 1. 3服務(wù)提供的控制15附 錄C (規(guī)范性附錄)安全控制項(xiàng) 161文檔來源為:從網(wǎng)絡(luò)收集整理.
3、word版本可編輯.文檔收集于互聯(lián)網(wǎng),已重新整理排版.word版本可編輯,有幫助歡迎下載支持.C. 1安全管理組織16C. 2法律法規(guī)符合性16C.3人力資源16C. 4資產(chǎn)管理16C. 5訪問控制16C 6物理和環(huán)境安全17C. 7通信和操作管理17C.8業(yè)務(wù)連續(xù)性管理17C.9安全事件管理17D. 10供應(yīng)鏈安全17服務(wù)外包能力要求1范圍本規(guī)范規(guī)定了服務(wù)外包組織在質(zhì)量管理、安全管理和能力管理方面應(yīng)具備的條件和能力, 本部分適用于:a) b) c) d)計(jì)劃提供運(yùn)行服務(wù)外包的組織建立運(yùn)行服務(wù)能力管理體系: 服務(wù)組織評(píng)估自身?xiàng)l件和能力;服務(wù)需方評(píng)價(jià)和選擇服務(wù)組織;第三方評(píng)價(jià)和認(rèn)定服務(wù)組織能力。
4、2規(guī)范性引用文件下列文件中的條款通過本規(guī)范的引用而成為本規(guī)范的條款。凡是注日期的引用文件,其隨后所有的 修改單或修訂版不適用于本規(guī)范。凡是不注日期的引用文件,其最新版本適用于本規(guī)范。ISO 9000質(zhì)量管理體系基礎(chǔ)和術(shù)語ISO/IEC27000信息技術(shù)-安全技術(shù)-信息安全管理體系-概述和詞匯ISO GUIDE 83管理體系標(biāo)準(zhǔn)的篇章結(jié)構(gòu)、核心文字以及常用術(shù)語和核心定義ISO 9001質(zhì)量管理體系要求ISO/IEC20000-1信息技術(shù)服務(wù)管理第1部分:規(guī)范ISO/IEC27001信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T 28827.1-2012信息技術(shù)服務(wù)運(yùn)行維護(hù) 第1部分:通用要求 3術(shù)
5、語和定義服務(wù)外包Service Outsourcing服務(wù)發(fā)包方將原本由自身完成的部分業(yè)務(wù)剝離出來,委托給服務(wù)提供組織完成的經(jīng)濟(jì)活動(dòng)。服務(wù)發(fā)包方Client指服務(wù)的需方,在本部分中,服務(wù)發(fā)包方也稱為顧客。服務(wù)提供組織Service Provider指服務(wù)的組織,在本部分中,服務(wù)提供組織也稱為組織。分包方 Subcontractor指承接分包服務(wù)的服務(wù)提供組織。信息技術(shù)外包Informat ion Technology Outsourcing ( ITO)指服務(wù)發(fā)包方向外部尋求并獲得包括全部或部分信息技術(shù)類的服務(wù)。業(yè)務(wù)流程外包Business Process Outsourcing (BPO)指
6、服務(wù)外包方將自身基于信息技術(shù)的業(yè)務(wù)流程委托給專業(yè)化的服務(wù)提供組織,由其按照服務(wù)協(xié)議要 求進(jìn)行管理、運(yùn)營和維護(hù)服務(wù)等。知識(shí)流程外包 Know ledge Process Outsourcing (KPO)屬于BPO的高端層次,指位于服務(wù)外包方流程價(jià)值鏈高端的高知識(shí)含量的外包業(yè)務(wù)。文檔收集于互聯(lián)網(wǎng),已重新整理排版.word版本可編輯,有幫助歡迎下載支持.服務(wù)目錄 Service Catalogue服務(wù)提供組織提供的標(biāo)準(zhǔn)服務(wù)的列表。服務(wù)級(jí)別協(xié)議Serv i ce Leve I Agreement服務(wù)提供組織與服務(wù)發(fā)包方之間簽署的描述服務(wù)和約定服務(wù)級(jí)別的協(xié)議。4服務(wù)能力管理(總要求) 4.1總則組織在
7、提供服務(wù)過程中,應(yīng)通過策劃、實(shí)施、檢查和改進(jìn)實(shí)現(xiàn)服務(wù)能力的持續(xù)提升。4.2服務(wù)外包能力模型服務(wù)外包能力模型描述了組織為滿足服務(wù)的總要求所必需的過程及過程管理,包括服務(wù)實(shí)現(xiàn)、服務(wù) 安全、服務(wù)保障,每個(gè)過程遵循PDCA過程方法。策劃服務(wù)實(shí)現(xiàn)服務(wù)安全服務(wù)策劃安全管理職責(zé)服務(wù)開發(fā)安全管理策略服務(wù)交付安全管理措施不合格服務(wù)服務(wù)保障資源管理人員管理知識(shí)管理基礎(chǔ)設(shè)施合約管理技術(shù)能力實(shí)施檢查改進(jìn)圖1服務(wù)外包能力模型4. 3過程方法 4.3.1策劃組織應(yīng)對(duì)服務(wù)外包能力進(jìn)行策劃,至少應(yīng):a)根據(jù)自身業(yè)務(wù)定位和能力,策劃服務(wù)外包對(duì)象的服務(wù)內(nèi)容與要求,明確能力管理范用、方針(考 慮質(zhì)量、安全方面的內(nèi)容)、目標(biāo),并形成
8、服務(wù)目錄:b)依據(jù)組織的業(yè)務(wù)發(fā)展需要來建立組織結(jié)構(gòu),從服務(wù)實(shí)現(xiàn)、服務(wù)安全、服務(wù)保障等方面實(shí)施規(guī)劃, 建立相適應(yīng)的服務(wù)管理過程,支持服務(wù)目錄的實(shí)現(xiàn);C)針對(duì)服務(wù)能力的監(jiān)視、測量及改進(jìn)進(jìn)行策劃,建立自我完善機(jī)制C4. 3. 2 實(shí)施組織在實(shí)施外包服務(wù)能力管理過程中,至少應(yīng):a)制定滿足整體策劃的實(shí)施計(jì)劃,并按計(jì)劃實(shí)施:b)建立與相關(guān)方的溝通協(xié)調(diào)機(jī)制;c)按照服務(wù)能力要求實(shí)施管理活動(dòng)并記錄,確保服務(wù)能力管理和服務(wù)過程實(shí)施可追溯,服務(wù)結(jié)果 可計(jì)量或可評(píng)估;d)提交滿足要求的服務(wù)。5. 3. 3 檢查組織應(yīng)對(duì)外包服務(wù)能力管理過程和實(shí)施結(jié)果進(jìn)行監(jiān)視、測量、分析和評(píng)審。至少應(yīng):a)定期評(píng)審服務(wù)過程,以確保服
9、務(wù)能力的適宜性和有效性:b)調(diào)查發(fā)包方的滿意度:c)評(píng)估服務(wù)能力管理過程滿足發(fā)包方要求的程度:d)將服務(wù)能力管理水平與行業(yè)標(biāo)桿進(jìn)行比較,識(shí)別差距。4. 3.4改進(jìn)組織應(yīng)不斷總結(jié)經(jīng)驗(yàn),提升服務(wù)外包能力的管理。至少應(yīng):a)建立服務(wù)能力管理改進(jìn)機(jī)制,根據(jù)監(jiān)視和評(píng)估的結(jié)果識(shí)別改進(jìn)需求:b)根據(jù)識(shí)別的改進(jìn)需求,制定改進(jìn)方案:c)跟蹤方案的實(shí)施情況,對(duì)改進(jìn)的效果進(jìn)行評(píng)價(jià)。5服務(wù)保障4.1 資源管理5. 1. 1總則組織應(yīng)確定并提供為策劃、實(shí)施、檢查和改進(jìn)服務(wù)能力所需的資源,適用時(shí),可分包的服務(wù)。6. 1.2基礎(chǔ)設(shè)施組織應(yīng)確定、提供并維護(hù)為達(dá)到符合服務(wù)要求所需的基礎(chǔ)設(shè)施.適用時(shí),基礎(chǔ)設(shè)施包括:e)建筑物、工
10、作場所和相關(guān)的設(shè)施;f)過程設(shè)備(包括硬件和軟件);g)支持性服務(wù)(如運(yùn)輸、通訊或信息系統(tǒng))。7. 1.3過程環(huán)境組織應(yīng)確定和管理為達(dá)到符合服務(wù)要求所需的過程環(huán)境。注:過程環(huán)境可包括物理的、社會(huì)的、心理的和環(huán)境的因素(例如:溫度、大氣成分)。8. 1.4監(jiān)視和測量工具、方法組織應(yīng)確定和管理為達(dá)到符合服務(wù)要求所需的監(jiān)視和測量工具、方法,并確保監(jiān)視和測量工具、方 法滿足使用要求。組織應(yīng)保持適當(dāng)?shù)奈募畔?,以提供監(jiān)視和測量設(shè)備、方法滿足使用要求的證據(jù)。文檔收集于互聯(lián)網(wǎng),已重新整理排版.word版本可編輯,有幫助歡迎下載支持.注1:監(jiān)視和測量設(shè)備可包括測量工具和評(píng)價(jià)方法(例如:調(diào)查問卷)。注2:對(duì)照能
11、溯源到國際或國家標(biāo)準(zhǔn)的測量標(biāo)準(zhǔn),按照規(guī)定的時(shí)間間隔或在使用前對(duì)監(jiān)視和測量工具進(jìn)行校準(zhǔn)和 (或)檢定。5.2能力管理5. 2. 1人員能力組織應(yīng)明確服務(wù)人員的能力,至少包含:a)培訓(xùn):1)建立對(duì)外包業(yè)務(wù)的培訓(xùn)機(jī)制:2)明確培訓(xùn)考核的方式、方法:3)制定培訓(xùn)計(jì)劃,并保留相應(yīng)的培訓(xùn)記錄。b)知識(shí)與技能;4)明確從事服務(wù)的人員所需具備的相關(guān)知識(shí)、技能和適當(dāng)?shù)慕?jīng)驗(yàn):5)適用時(shí),明確從事特殊業(yè)務(wù)的人員的資格。5. 2.2知識(shí)管理組織應(yīng)收集、共享、更新、使用所積累的知識(shí)和信息,提升人員能力,提高服務(wù)效率和質(zhì)量。組織 應(yīng):a)確定知識(shí)管理的角色和職責(zé):b)選擇合適的知識(shí)管理策略:c)對(duì)知識(shí)資產(chǎn)進(jìn)行適當(dāng)分類,針
12、對(duì)常見問題的描述、分析和解決方法建立知識(shí)庫;d)確保知識(shí)庫具備知識(shí)的添加、更新和查詢功能:e)確保整個(gè)組織內(nèi)對(duì)知識(shí)的有效使用和共享。5. 2.3合約管理與法律風(fēng)險(xiǎn)規(guī)避合約管理組織應(yīng)實(shí)施合約管理過程,應(yīng)包括:h)確定合約制定和合約變更的程序;i)識(shí)別相關(guān)方的需求:J)考慮風(fēng)險(xiǎn)并實(shí)施合約評(píng)審:k)合約簽訂應(yīng)得到批準(zhǔn);1)合約變更應(yīng)通知相關(guān)方;m)具備處理合約違約及糾紛的能力。法律風(fēng)險(xiǎn)規(guī)避能力組織應(yīng)具備法律風(fēng)險(xiǎn)意識(shí),建立識(shí)別、評(píng)審并處置法律風(fēng)險(xiǎn)的過程。5. 2.4技術(shù)能力組織應(yīng):n)建立保持、提升技術(shù)能力的機(jī)制并確定職責(zé):o)關(guān)注國內(nèi)外服務(wù)相關(guān)的技術(shù)動(dòng)向;P)跟進(jìn)服務(wù)外包業(yè)務(wù)相關(guān)的最新技術(shù)和標(biāo)準(zhǔn):Q
13、)具備必要的最新技術(shù)和標(biāo)準(zhǔn)應(yīng)用的研究能力:1文檔來源為:從網(wǎng)絡(luò)收集整理.word版本可編輯.文檔收集于互聯(lián)網(wǎng),已重新整理排版.word版本可編輯,有幫助歡迎下載支持. r)具有對(duì)影響服務(wù)質(zhì)量的事件進(jìn)行分析和解決的技術(shù)能力。5. 2.5關(guān)系管理組織應(yīng)建立并保持與顧客及相關(guān)方之間的良好關(guān)系,識(shí)別并記錄服務(wù)的顧客及相關(guān)方。應(yīng)確保信息 及時(shí)、準(zhǔn)確、適當(dāng)?shù)貍鬟f給相關(guān)方和顧客,持續(xù)改善組織的溝通能力。組織應(yīng):s)基于服務(wù)外包業(yè)務(wù)需求確定與顧客、相關(guān)方的溝通需求:t)確定與顧客、相關(guān)方進(jìn)行溝通的人員的角色和職責(zé);u)相關(guān)信息及時(shí)、準(zhǔn)確、適當(dāng)?shù)貍鬟f給相關(guān)方:v)組織應(yīng)管理與顧客、相關(guān)方的溝通內(nèi)容和溝通質(zhì)量,建
14、立投訴處理機(jī)制,并實(shí)施持續(xù)改進(jìn)。針對(duì)顧客,組織應(yīng)指定人員負(fù)責(zé)管理顧客滿意事宜,并定期測量顧客滿意度情況并據(jù)此信息采取相 應(yīng)措施。6. 2.6組織聲譽(yù)維護(hù)能力組織應(yīng)具備主動(dòng)維護(hù)其聲譽(yù)的意識(shí),并采取適宜措施來建立、宣傳、擴(kuò)大及維護(hù)組織聲譽(yù)。6服務(wù)實(shí)現(xiàn)6.1 需求管理6.1.1 需求確定組織應(yīng)確定:a)明確顧客所需服務(wù)的業(yè)務(wù)類型(見附錄A和附錄B)b)顧客規(guī)定的要求,包括對(duì)交付及交付后活動(dòng)的要求;c)顧客雖然沒有明示,但規(guī)定的用途或已知的預(yù)期用途所必需的要求;d)適用于服務(wù)的法律法規(guī)要求:e)服務(wù)安全要求(例如,顧客對(duì)于服務(wù)場地的安全要求):f)必要時(shí)明確所需的服務(wù)級(jí)別要求:g)任何可能的附加要求。
15、注:附加要求可包含由有關(guān)的相關(guān)方提出的要求。6.1.2 需求評(píng)審組織應(yīng)評(píng)審與服務(wù)有關(guān)的要求。評(píng)審應(yīng)在組織向顧客提供服務(wù)的承諾(例如,提交標(biāo)書、接受合同 或訂單及接受合同或訂單的更改)之前進(jìn)行,并應(yīng)確保:a)服務(wù)要求已得到規(guī)定并達(dá)成一致;b)與以前表述不一致的合同或訂單的要求已予解決;c)組織有能力滿足規(guī)定的要求。評(píng)審結(jié)果的信息應(yīng)形成文件。若顧客沒有提供形成文件的要求,組織在接受顧客要求前應(yīng)對(duì)顧客要求進(jìn)行確認(rèn)。注:在某些情況下,對(duì)每一個(gè)訂單進(jìn)行正式的評(píng)審可能是不實(shí)際的,作為替代方法,可對(duì)提供給顧客的有關(guān)的服務(wù) 信息進(jìn)行評(píng)審。6.1.3 1.3需求變更組織應(yīng)根據(jù)實(shí)際情況對(duì)需求變更進(jìn)行控制,至少包括
16、以下內(nèi)容:a)需求變更文檔化:文檔收集于互聯(lián)網(wǎng),已重新整理排版.word版本可編輯,有幫助歡迎下載支持.b)識(shí)別變更控制的邊界:c)定義需求變更的范圍:d)維護(hù)需求變更的歷史信息,包括變更的依據(jù):e)評(píng)價(jià)需求變更的影響:f)評(píng)審并批準(zhǔn)變更;g)與顧客及組織內(nèi)部的溝通:h)需求變更的響應(yīng)速度(見附錄B)。6.2 服務(wù)策劃組織應(yīng)對(duì)服務(wù)的實(shí)施進(jìn)行策劃,包括:a)服務(wù)的要求,并考慮相關(guān)的目標(biāo);b)確定資源的需求:c)識(shí)別服務(wù)實(shí)施過程中的風(fēng)險(xiǎn),制訂相應(yīng)的措施:d)制定適宜的交付策略和服務(wù)退出策略:e)確定監(jiān)視、測量的方法:f)適用時(shí),考慮分包活動(dòng)的管理。策劃的輸出形式應(yīng)便于組織的運(yùn)作。6.3 服務(wù)過程管
17、理7. 3.1服務(wù)提供的控制組織應(yīng)在受控的條件下提供服務(wù),受控條件包括:a)獲得服務(wù)特性的文件信息:b)必要時(shí),應(yīng)獲得服務(wù)過程及結(jié)果的文件信息:c)必要時(shí),應(yīng)獲得顧客業(yè)務(wù)流程所必須的用戶信息;d)確保所獲得用戶信息的安全;e)獲得、實(shí)施和使用必要的監(jiān)測和測量設(shè)備:f)人員的資格和能力:g)識(shí)別影響服務(wù)連續(xù)性的因素,制定服務(wù)連續(xù)性計(jì)劃,確保服務(wù)實(shí)施過程連續(xù);h)確保發(fā)生變更時(shí)的一致性,明確可能造成的風(fēng)險(xiǎn)影響:i)實(shí)施必要的配置管理:j)定義服務(wù)響應(yīng)支持的職能、角色和流程:k)當(dāng)過程的輸出不能由后續(xù)的監(jiān)測和測量加以驗(yàn)證時(shí),對(duì)任何這樣的服務(wù)提供過程進(jìn)行確認(rèn)、 批準(zhǔn)和再次確認(rèn);1)服務(wù)的放行、交付和交
18、付后活動(dòng)的實(shí)施;m)人為錯(cuò)誤(如失誤、違章)導(dǎo)致的不符合的預(yù)防。8. 3.2標(biāo)識(shí)和可追溯性適當(dāng)時(shí).組織應(yīng)使用適宜的方法對(duì)服務(wù)實(shí)現(xiàn)過程中所產(chǎn)生的任何輸入或輸出進(jìn)行標(biāo)識(shí)以確保可追溯 性,應(yīng)關(guān)注:a)標(biāo)識(shí)的唯一性:b)確保標(biāo)識(shí)清晰可追溯性;c)必要時(shí)保持形成文件的信息。9. 3.3顧客或外部供方的財(cái)產(chǎn)1文檔來源為:從網(wǎng)絡(luò)收集整理.word版本可編輯.文檔收集于互聯(lián)網(wǎng),已重新整理排版.word版本可編輯,有幫助歡迎下載支持.組織應(yīng)愛護(hù)在組織控制下或組織使用的顧客、外部供方財(cái)產(chǎn)。組織應(yīng)識(shí)別、驗(yàn)證、保護(hù)和維護(hù)供其 使用的顧客、外部供方財(cái)產(chǎn)。如果顧客、外部供方財(cái)產(chǎn)發(fā)生丟失、損壞或發(fā)現(xiàn)不適用的情況,組織應(yīng)向顧
19、客、外部供方報(bào)告,并 保持相關(guān)記錄。注:顧客、外部供方財(cái)產(chǎn)可包括知識(shí)產(chǎn)權(quán)、秘密的或私人的信息。6. 3. 4不合格服務(wù)組織應(yīng)確保對(duì)不符合要求的服務(wù)得到識(shí)別和控制,以防止其非預(yù)期使用或交付造成對(duì)顧客產(chǎn)生不良 的影響。當(dāng)不合格服務(wù)已交付給顧客時(shí),組織應(yīng)采取適當(dāng)?shù)募m正措施以確保實(shí)現(xiàn)顧客滿意,適當(dāng)?shù)拇胧┛砂?括:a)停止提供服務(wù):d)適當(dāng)時(shí),通知顧客:e)經(jīng)授權(quán)延長服務(wù)時(shí)間或重新提供服務(wù)、讓步接收。在不合格服務(wù)得到糾正之后應(yīng)對(duì)其再次進(jìn)行驗(yàn)證,以證實(shí)符合要求。不合格服務(wù)的性質(zhì)以及隨后所采取的任何措施的信息應(yīng)形成文件,包括所批準(zhǔn)的讓步。6.4 服務(wù)交付管理組織在交付管理過程中應(yīng)確定:a)制定適宜的交付策略
20、,包括交付方式和交付成果;b)適用時(shí),交付的成果已經(jīng)得到檢驗(yàn)或測試;c)不合格的服務(wù)在交付前應(yīng)得到授權(quán)人的批準(zhǔn)和顧客的同意;d)交付不成功時(shí)應(yīng)采取補(bǔ)救措施,適用時(shí),進(jìn)行再評(píng)審或再驗(yàn)證。6.5 服務(wù)終止合約到期或其他原因引起結(jié)束或退出服務(wù)時(shí),組織應(yīng):a)按照確定的服務(wù)退出策略(見6. 2)要求執(zhí)行:b)監(jiān)視退出執(zhí)行的過程,結(jié)果通報(bào)相關(guān)方:c)適用時(shí),對(duì)關(guān)鍵、敏感信息、文檔進(jìn)行處置,保留相關(guān)記錄;d)分析退出原因,評(píng)估退出造成的影響,制訂預(yù)防措施。6.6 外部供方管理6. 6. 1總則組織應(yīng)確保外部供方提供的產(chǎn)品和服務(wù)滿足規(guī)定的要求。應(yīng)制訂采購策略,適用時(shí)得到顧客的確認(rèn)。6. 6. 2外部供方的控
21、制類型和程度對(duì)外部供方及其提供的產(chǎn)品和服務(wù)的控制類型和程度取決于:a)識(shí)別的風(fēng)險(xiǎn)及其潛在影響:b)外部供方的分擔(dān)程度;c)潛在的控制能力。6. 6.3提供給外部供方的文件信息適用時(shí),提供給外部供方的文件信息應(yīng)包括:文檔收集于互聯(lián)網(wǎng),已重新整理排版.word版本可編輯,有幫助歡迎下載支持.a)供應(yīng)的產(chǎn)品和服務(wù),以及實(shí)施的過程:b)服務(wù)、程序、過程的放行或批準(zhǔn)要求:c)人員能力的要求,包含必要的資格要求:d)外部供方資質(zhì)的要求:e)組織對(duì)外部供方業(yè)績的控制和監(jiān)視;f)必要時(shí)應(yīng)在供方現(xiàn)場實(shí)施的驗(yàn)證活動(dòng)。在與供方溝通前,組織應(yīng)確保所規(guī)定的要求是充分與適宜的。組織應(yīng)對(duì)外部供方提供的產(chǎn)品和服務(wù)進(jìn)行監(jiān)視和評(píng)
22、價(jià),并保留相關(guān)記錄。6.7變更控制組織應(yīng)對(duì)顧客業(yè)務(wù)流程實(shí)現(xiàn)過程可能發(fā)生的變更進(jìn)行管理,變更控制應(yīng)至少包含以下內(nèi)容:a)組織應(yīng)建立變更控制策略;b)確保受到變更影響的配置項(xiàng)受控;c)確保變更是在批準(zhǔn)狀態(tài)下實(shí)施的;d)在實(shí)施變更后進(jìn)行必要的驗(yàn)證及評(píng)審:e)保留相應(yīng)的記錄;f)程序記錄、分類、評(píng)估和批準(zhǔn)變更請(qǐng)求應(yīng)文件化。7服務(wù)安全7.1 安全管理職責(zé)管理者應(yīng):a)批準(zhǔn)建立服務(wù)安全團(tuán)隊(duì),定義其職責(zé)和角色;b)向組織傳達(dá)服務(wù)安全的重要性:c)確保組織內(nèi)風(fēng)險(xiǎn)因素得到識(shí)別和處置:d)為服務(wù)安全提供所需的資源:e)確保執(zhí)行安全內(nèi)部審計(jì):f)定期進(jìn)行服務(wù)安全評(píng)估,以識(shí)別改進(jìn)的機(jī)會(huì);g)確保組織內(nèi)的安全措施的實(shí)施
23、是相互協(xié)調(diào)的。7.2 安全管理策略為確保服務(wù)安全,組織應(yīng)確定服務(wù)安全策略,至少應(yīng)包括:a)符合法律法規(guī)和合同要求:b)安全教育、培訓(xùn)和意識(shí)要求:c)違反服務(wù)安全的后果;d)業(yè)務(wù)連續(xù)性管理。7.3 安全管理措施組織為滿足安全管理策略應(yīng)采取必要的控制措施,這些措施必須符合法律法規(guī)和合同的要求。附錄 C給出的安全措施并不是所有的安全措施措施,組織也可能需要選擇另外的控制措施。文檔收集于互聯(lián)網(wǎng),已重新整理排版.word版本可編輯,有幫助歡迎下載支持. 附錄A(規(guī)范性附錄)信息技術(shù)外包(IT0)服務(wù)實(shí)現(xiàn)A. 1需求管理A. 1.1需求確定識(shí)別信息技術(shù)外包的業(yè)務(wù)類型,包括:a)軟件研發(fā)及外包(注1)b)信
24、息技術(shù)研發(fā)服務(wù)外包(注2)c)信息系統(tǒng)運(yùn)行維護(hù)外包(注3)注1:軟件研發(fā)及外包,指軟件研發(fā)及開發(fā)服務(wù),如,用于金融、政府、教育、制造業(yè)、零售、服務(wù)、能源、物流 和交通、媒體、電信、公共事業(yè)和醫(yī)療衛(wèi)生等行業(yè),為用戶的運(yùn)營/生產(chǎn)/供應(yīng)鏈/-客戶關(guān)系/人力資源和財(cái)務(wù) 管理、計(jì)算機(jī)輔助設(shè)沖/工程等業(yè)務(wù)進(jìn)行軟件開發(fā),定制軟件開發(fā),嵌入式軟件,套裝軟件開發(fā),系統(tǒng)軟件開 發(fā),軟件測試等:以及軟件技術(shù)服務(wù),如,軟件咨詢、維護(hù)、培訓(xùn)、測試等技術(shù)性服務(wù):注2:信息技術(shù)研發(fā)服務(wù)外包,指集成電路設(shè)計(jì),如,集成電路產(chǎn)品設(shè)計(jì)以及相關(guān)技術(shù)支持服務(wù)等:以及提供電子 商務(wù)平臺(tái),如,為電子貿(mào)易服務(wù)提供信息平臺(tái);以及測試平臺(tái),如,
25、為軟件和集成電路的開發(fā)運(yùn)用提供測試 平臺(tái)。注3:信息系統(tǒng)運(yùn)行維護(hù)外包,指信息系統(tǒng)運(yùn)行和維護(hù)服務(wù),如,顧客內(nèi)部信息系統(tǒng)集成、網(wǎng)絡(luò)管理、桌面管理與 維護(hù)服務(wù):信息1:程、地理信息系統(tǒng)遠(yuǎn)程維護(hù)等信息系統(tǒng)應(yīng)用服務(wù):以及基礎(chǔ)信息技術(shù)服務(wù),如,基礎(chǔ)信息 技術(shù)管理平分整合等基礎(chǔ)信息技術(shù)服務(wù)(IT基礎(chǔ)設(shè)施管理、數(shù)據(jù)中心、托管中心、安全服務(wù)、通訊服務(wù)等)A.1.2服務(wù)過程管理在服務(wù)實(shí)現(xiàn)過程中應(yīng)關(guān)注以下內(nèi)容:a)顧客可能參與的管理活動(dòng):b)文件化必要的過程文件。軟件研發(fā)服務(wù)和信息技術(shù)研發(fā)服務(wù)相關(guān)的業(yè)務(wù)流程應(yīng)包括如下活動(dòng):a)需求分析:b)概要設(shè)計(jì);c)詳細(xì)設(shè)計(jì);d)制造開發(fā);e)單元測試;f)集成測試;g)系統(tǒng)測
26、試;h)驗(yàn)收測試。信息技術(shù)運(yùn)行維護(hù)相關(guān)的業(yè)務(wù)流程應(yīng)包括如下活動(dòng):a)服務(wù)戰(zhàn)略:b)服務(wù)設(shè)計(jì);c)服務(wù)轉(zhuǎn)換;d)服務(wù)運(yùn)維;e)持續(xù)服務(wù)改進(jìn)。A.1.3服務(wù)交付管理1文檔來源為:從網(wǎng)絡(luò)收集整理.word版本可編輯.文檔收集于互聯(lián)網(wǎng),已重新整理排版.word版本可編輯,有幫助歡迎下載支持.A. 1.3.1交付前針對(duì)軟件開發(fā)和信息技術(shù)研發(fā)的服務(wù),組織應(yīng)在交付前實(shí)施以下活動(dòng),包含:明確產(chǎn)品或服務(wù)的要求已經(jīng)滿足需求:a)與需求或設(shè)計(jì)不一致的表述已得到完善或更改:b)必要的測試已經(jīng)實(shí)施;A. 1.3.2交付后針對(duì)軟件開發(fā)服務(wù),適宜時(shí),組織應(yīng)進(jìn)行軟件補(bǔ)丁的發(fā)布。附錄B(規(guī)范性附錄)業(yè)務(wù)流程外包(BPO)服務(wù)實(shí)
27、現(xiàn)基于流程管理的不同特性,BPO可分為如下類別:a)與供應(yīng)鏈相關(guān)的流程管理:如:物流、倉儲(chǔ):b)與組織顧客相關(guān)的流程管理:如:呼叫中心、大堂服務(wù):c)生產(chǎn)流程的管理:如:業(yè)務(wù)流程研發(fā)、數(shù)據(jù)處理:d)支持性流程管理;如:財(cái)務(wù)、人力資源B. 1.1需求管理B. 1.1.1在需求確定階段,組織應(yīng):a)定義服務(wù)的類別:b)定義服務(wù)的特性。如:業(yè)務(wù)復(fù)雜性、獨(dú)立性、關(guān)犍性。B.1.1.2需求評(píng)審階段,組織應(yīng):a)評(píng)審準(zhǔn)則應(yīng)考慮服務(wù)過程中的責(zé)任、義務(wù)、風(fēng)險(xiǎn);b)確保服務(wù)過程涉及的相關(guān)方參與評(píng)審。B. 1.1.3需求變更控制階段,組織應(yīng)根據(jù)變更的特點(diǎn),制定響應(yīng)方案,包括考慮響應(yīng)速度。B.1.2服務(wù)策劃根據(jù)服務(wù)
28、特性,組織應(yīng):a)為每一類服務(wù)設(shè)計(jì)服務(wù)交付策略,確保服務(wù)要求得到滿足:b)考慮特定的安全要求。B. 1.3服務(wù)提供的控制組織應(yīng)基于顧客相關(guān)的業(yè)務(wù)流程,制定顧客業(yè)務(wù)流程相關(guān)的作業(yè)指導(dǎo)文件,必要時(shí)得到顧客的確認(rèn)。1文檔來源為:從網(wǎng)絡(luò)收集整理.word版本可編輯.文檔收集于互聯(lián)網(wǎng),已重新整理排版.word版本可編輯,有幫助歡迎下載支持.附錄C(規(guī)范性附錄)安全控制項(xiàng)本附錄所列的控制措施是外包服務(wù)過程中必須考慮的基本控制,組織還應(yīng)結(jié)合自己外包服務(wù)的具體 要求,制定并實(shí)施額外的安全控制措施。C. 1安全管理組織a)建立服務(wù)安全組織,支持對(duì)外包服務(wù)潛在的安全脆弱性的識(shí)別;b)確保外包服務(wù)人員能夠充分的理解并有效地執(zhí)行;C)實(shí)施有效的安全審計(jì);d)評(píng)估安全控制措施的有效性。C.2法律法規(guī)符合性a)制定相應(yīng)規(guī)程,識(shí)別適用于組織的法律法規(guī)和合同義務(wù):b)依照相關(guān)的法律、法規(guī)和合同要求,保護(hù)個(gè)人信息和隱私;C)確保在使用具有知識(shí)產(chǎn)權(quán)的資產(chǎn)時(shí),符合法律、法規(guī)和合同要求。C. 3人力資源a)結(jié)合業(yè)務(wù)特點(diǎn)確定相應(yīng)的崗位和任用條件,識(shí)別人員的技能和經(jīng)驗(yàn):b)向外包服務(wù)人員進(jìn)行安全保密教育,包括安全管理策略、管理制度等;C)識(shí)別外包服務(wù)人員未授權(quán)操作、突發(fā)人事變更或惡意操作等可能威脅安全的活動(dòng)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 紡織品工藝的家居裝飾應(yīng)用考核試卷
- 貨運(yùn)樞紐站物流供應(yīng)鏈協(xié)同優(yōu)化考核試卷
- 羽絨制品加工工藝技術(shù)創(chuàng)新考核試卷
- 木工三維建模與仿真考核試卷
- 纖維素纖維在建筑節(jié)能材料的運(yùn)用考核試卷
- 煤焦油輕質(zhì)化加工考核試卷
- 腈綸纖維的導(dǎo)電纖維應(yīng)用研究考核試卷
- 婚前個(gè)人首飾財(cái)產(chǎn)權(quán)分配與分割協(xié)議
- 金融資產(chǎn)管理公司股權(quán)托管與監(jiān)管合作框架協(xié)議
- 跨境電商股權(quán)收益權(quán)質(zhì)押貸款合同
- 體育管理學(xué)完整版
- 手語操比賽方案
- SMT爐后檢查作業(yè)指導(dǎo)書V1.0
- 中級(jí)育嬰師課件嬰兒生長發(fā)育
- GB/T 14408-2014一般工程與結(jié)構(gòu)用低合金鋼鑄件
- “兩區(qū)三廠”專項(xiàng)施工方案
- 長慶油田各個(gè)采油采氣廠延長油田采油廠簡介
- 2024年教師選調(diào)進(jìn)城考試試題(小學(xué)語文)含答案
- (通用版)漢字聽寫大會(huì)競賽題庫及答案
- IE產(chǎn)能設(shè)備資源計(jì)劃表
- 4M1E基礎(chǔ)知識(shí)培訓(xùn).課件
評(píng)論
0/150
提交評(píng)論