服務(wù)外包能力要求

服務(wù)外包能力要求ServicesOutsourcingCapabilitiesRequirements2XXX-XX-XX實(shí)施2XXX-XX-XX2XXX-XX-XX實(shí)施北京賽西認(rèn)證有限責(zé)任公司目錄TOC\o"1-5"\h\z\o"CurrentDocument"范圍 4\o"CurrentDocument"規(guī)范性引用文件 4\o"CurrentDocument"術(shù)語和定義 4444455555服務(wù)能力管理（總要求） 5總則 5\o"CurrentDocument"服務(wù)外包能力模型 5過程方法 6服務(wù)保障 7資源管理 7能力管理 7服務(wù)實(shí)現(xiàn) 9\o"CurrentDocument"需求管理 9服務(wù)策劃 10\o"CurrentDocument"服務(wù)過程管理 10服務(wù)交付管理 11服務(wù)終止 11外部供方管理 11變更控制 12服務(wù)安全 12安全管理職責(zé) 12安全管理策略 12安全管理措施 12\o"CurrentDocument"附錄A （規(guī)范性附錄）信息技術(shù)外包（ITO）服務(wù)實(shí)現(xiàn) 13A.1需求管理 13A.1.1需求確定 13A.1.2服務(wù)過程管理 13A.1.3服務(wù)交付管理 14附錄B （規(guī)范性附錄）業(yè)務(wù)流程外包（BPO）服務(wù)實(shí)現(xiàn) 15需求管理 15服務(wù)策劃 15\o"CurrentDocument"服務(wù)提供的控制 15\o"CurrentDocument"附錄C（規(guī)范性附錄）安全控制項(xiàng) 16\o"CurrentDocument"C.1安全管理組織 16\o"CurrentDocument"C.2法律法規(guī)符合性 16\o"CurrentDocument"C.3人力資源 16\o"CurrentDocument"C.4資產(chǎn)管理 16\o"CurrentDocument"C.5訪問控制 16C.6物理和環(huán)境安全 17C.7通信和操作管理 17C.8業(yè)務(wù)連續(xù)性管理 17C.9安全事件管理 17C.10供應(yīng)鏈安全 17服務(wù)外包能力要求范圍本規(guī)范規(guī)定了服務(wù)外包組織在質(zhì)量管理、安全管理和能力管理方面應(yīng)具備的條件和能力。本部分適用于：a）計(jì)劃提供運(yùn)行服務(wù)外包的組織建立運(yùn)行服務(wù)能力管理體系；b）服務(wù)組織評(píng)估自身?xiàng)l件和能力；c）服務(wù)需方評(píng)價(jià)和選擇服務(wù)組織；d）第三方評(píng)價(jià)和認(rèn)定服務(wù)組織能力。規(guī)范性引用文件下列文件中的條款通過本規(guī)范的引用而成為本規(guī)范的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版不適用于本規(guī)范。凡是不注日期的引用文件,其最新版本適用于本規(guī)范。ISO9000質(zhì)量管理體系基礎(chǔ)和術(shù)語ISO/IEC27000信息技術(shù)-安全技術(shù)-信息安全管理體系-概述和詞匯ISOGUIDE83管理體系標(biāo)準(zhǔn)的篇章結(jié)構(gòu)、核心文字以及常用術(shù)語和核心定義ISO9001質(zhì)量管理體系要求ISO/IEC20000-1信息技術(shù)服務(wù)管理第1部分:規(guī)范ISO/IEC27001信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T28827.1-2012信息技術(shù)服務(wù)運(yùn)行維護(hù)第1部分：通用要求術(shù)語和定義服務(wù)外包ServiceOutsourcing服務(wù)發(fā)包方將原本由自身完成的部分業(yè)務(wù)剝離出來，委托給服務(wù)提供組織完成的經(jīng)濟(jì)活動(dòng)。服務(wù)發(fā)包方Client指服務(wù)的需方，在本部分中，服務(wù)發(fā)包方也稱為顧客。服務(wù)提供組織ServiceProvider指服務(wù)的組織，在本部分中，服務(wù)提供組織也稱為組織。分包方Subcontractor指承接分包服務(wù)的服務(wù)提供組織。3.5信息技術(shù)外包InformationTechnologyOutsourcing（ITO）指服務(wù)發(fā)包方向外部尋求并獲得包括全部或部分信息技術(shù)類的服務(wù)。業(yè)務(wù)流程外包BusinessProcessOutsourcing（BPO）指服務(wù)外包方將自身基于信息技術(shù)的業(yè)務(wù)流程委托給專業(yè)化的服務(wù)提供組織，由其按照服務(wù)協(xié)議要求進(jìn)行管理、運(yùn)營和維護(hù)服務(wù)等。知識(shí)流程外包KnowledgeProcessOutsourcing（KPO）屬于BPO的高端層次，指位于服務(wù)外包方流程價(jià)值鏈高端的高知識(shí)含量的外包業(yè)務(wù)。服務(wù)目錄ServiceCatalogue服務(wù)提供組織提供的標(biāo)準(zhǔn)服務(wù)的列表。服務(wù)級(jí)別協(xié)議ServiceLevelAgreement服務(wù)提供組織與服務(wù)發(fā)包方之間簽署的描述服務(wù)和約定服務(wù)級(jí)別的協(xié)議。服務(wù)能力管理（總要求）總則組織在提供服務(wù)過程中，應(yīng)通過策劃、實(shí)施、檢查和改進(jìn)實(shí)現(xiàn)服務(wù)能力的持續(xù)提升。服務(wù)外包能力模型服務(wù)外包能力模型描述了組織為滿足服務(wù)的總要求所必需的過程及過程管理，包括服務(wù)實(shí)現(xiàn)、服務(wù)安全、服務(wù)保障，每個(gè)過程遵循PDCA過程方法。策^^^^^^^ 策劃改進(jìn)服務(wù)實(shí)現(xiàn)服務(wù)策劃服務(wù)開發(fā)服務(wù)交付不合格服務(wù)服務(wù)安全安全管理職責(zé)安全管理策略安全管理措施ij實(shí)施J服務(wù)保障資源管理人員管理知識(shí)管理基礎(chǔ)設(shè)施合約管理技術(shù)能力檢查圖1服務(wù)外包能力模型過程方法4.3.1策劃組織應(yīng)對(duì)服務(wù)外包能力進(jìn)行策劃，至少應(yīng)：根據(jù)自身業(yè)務(wù)定位和能力，策劃服務(wù)外包對(duì)象的服務(wù)內(nèi)容與要求，明確能力管理范圍、方針(考慮質(zhì)量、安全方面的內(nèi)容)、目標(biāo)，并形成服務(wù)目錄；依據(jù)組織的業(yè)務(wù)發(fā)展需要來建立組織結(jié)構(gòu)，從服務(wù)實(shí)現(xiàn)、服務(wù)安全、服務(wù)保障等方面實(shí)施規(guī)劃，建立相適應(yīng)的服務(wù)管理過程，支持服務(wù)目錄的實(shí)現(xiàn)；針對(duì)服務(wù)能力的監(jiān)視、測(cè)量及改進(jìn)進(jìn)行策劃，建立自我完善機(jī)制。實(shí)施組織在實(shí)施外包服務(wù)能力管理過程中，至少應(yīng)：制定滿足整體策劃的實(shí)施計(jì)劃，并按計(jì)劃實(shí)施；建立與相關(guān)方的溝通協(xié)調(diào)機(jī)制；按照服務(wù)能力要求實(shí)施管理活動(dòng)并記錄，確保服務(wù)能力管理和服務(wù)過程實(shí)施可追溯，服務(wù)結(jié)果可計(jì)量或可評(píng)估；提交滿足要求的服務(wù)。檢查組織應(yīng)對(duì)外包服務(wù)能力管理過程和實(shí)施結(jié)果進(jìn)行監(jiān)視、測(cè)量、分析和評(píng)審。至少應(yīng)：定期評(píng)審服務(wù)過程，以確保服務(wù)能力的適宜性和有效性；調(diào)查發(fā)包方的滿意度；評(píng)估服務(wù)能力管理過程滿足發(fā)包方要求的程度；將服務(wù)能力管理水平與行業(yè)標(biāo)桿進(jìn)行比較，識(shí)別差距。改進(jìn)組織應(yīng)不斷總結(jié)經(jīng)驗(yàn)，提升服務(wù)外包能力的管理。至少應(yīng)：建立服務(wù)能力管理改進(jìn)機(jī)制，根據(jù)監(jiān)視和評(píng)估的結(jié)果識(shí)別改進(jìn)需求；根據(jù)識(shí)別的改進(jìn)需求，制定改進(jìn)方案；跟蹤方案的實(shí)施情況，對(duì)改進(jìn)的效果進(jìn)行評(píng)價(jià)。5服務(wù)保障資源管理總則組織應(yīng)確定并提供為策劃、實(shí)施、檢查和改進(jìn)服務(wù)能力所需的資源，適用時(shí)，可分包的服務(wù)?；A(chǔ)設(shè)施組織應(yīng)確定、提供并維護(hù)為達(dá)到符合服務(wù)要求所需的基礎(chǔ)設(shè)施。適用時(shí)，基礎(chǔ)設(shè)施包括：建筑物、工作場(chǎng)所和相關(guān)的設(shè)施；過程設(shè)備(包括硬件和軟件)；支持性服務(wù)(如運(yùn)輸、通訊或信息系統(tǒng))。過程環(huán)境組織應(yīng)確定和管理為達(dá)到符合服務(wù)要求所需的過程環(huán)境。注：過程環(huán)境可包括物理的、社會(huì)的、心理的和環(huán)境的因素(例如：溫度、大氣成分)。監(jiān)視和測(cè)量工具、方法組織應(yīng)確定和管理為達(dá)到符合服務(wù)要求所需的監(jiān)視和測(cè)量工具、方法，并確保監(jiān)視和測(cè)量工具、方法滿足使用要求。組織應(yīng)保持適當(dāng)?shù)奈募畔?，以提供監(jiān)視和測(cè)量設(shè)備、方法滿足使用要求的證據(jù)。注1：監(jiān)視和測(cè)量設(shè)備可包括測(cè)量工具和評(píng)價(jià)方法(例如：調(diào)查問卷)。注2：對(duì)照能溯源到國際或國家標(biāo)準(zhǔn)的測(cè)量標(biāo)準(zhǔn)，按照規(guī)定的時(shí)間間隔或在使用前對(duì)監(jiān)視和測(cè)量工具進(jìn)行校準(zhǔn)和(或)檢定。能力管理人員能力組織應(yīng)明確服務(wù)人員的能力，至少包含：培訓(xùn)：建立對(duì)外包業(yè)務(wù)的培訓(xùn)機(jī)制；明確培訓(xùn)考核的方式、方法；制定培訓(xùn)計(jì)劃，并保留相應(yīng)的培訓(xùn)記錄。知識(shí)與技能；明確從事服務(wù)的人員所需具備的相關(guān)知識(shí)、技能和適當(dāng)?shù)慕?jīng)驗(yàn)；適用時(shí)，明確從事特殊業(yè)務(wù)的人員的資格。知識(shí)管理組織應(yīng)收集、共享、更新、使用所積累的知識(shí)和信息，提升人員能力，提高服務(wù)效率和質(zhì)量。組織應(yīng)：確定知識(shí)管理的角色和職責(zé)；選擇合適的知識(shí)管理策略；對(duì)知識(shí)資產(chǎn)進(jìn)行適當(dāng)分類，針對(duì)常見問題的描述、分析和解決方法建立知識(shí)庫；確保知識(shí)庫具備知識(shí)的添加、更新和查詢功能；確保整個(gè)組織內(nèi)對(duì)知識(shí)的有效使用和共享。合約管理與法律風(fēng)險(xiǎn)規(guī)避合約管理組織應(yīng)實(shí)施合約管理過程，應(yīng)包括：確定合約制定和合約變更的程序；識(shí)別相關(guān)方的需求；考慮風(fēng)險(xiǎn)并實(shí)施合約評(píng)審；合約簽訂應(yīng)得到批準(zhǔn)；合約變更應(yīng)通知相關(guān)方；具備處理合約違約及糾紛的能力。法律風(fēng)險(xiǎn)規(guī)避能力組織應(yīng)具備法律風(fēng)險(xiǎn)意識(shí)，建立識(shí)別、評(píng)審并處置法律風(fēng)險(xiǎn)的過程。技術(shù)能力組織應(yīng)：n)建立保持、提升技術(shù)能力的機(jī)制并確定職責(zé)；關(guān)注國內(nèi)外服務(wù)相關(guān)的技術(shù)動(dòng)向；跟進(jìn)服務(wù)外包業(yè)務(wù)相關(guān)的最新技術(shù)和標(biāo)準(zhǔn)；具備必要的最新技術(shù)和標(biāo)準(zhǔn)應(yīng)用的研究能力；具有對(duì)影響服務(wù)質(zhì)量的事件進(jìn)行分析和解決的技術(shù)能力。5.2.5關(guān)系管理組織應(yīng)建立并保持與顧客及相關(guān)方之間的良好關(guān)系，識(shí)別并記錄服務(wù)的顧客及相關(guān)方。應(yīng)確保信息及時(shí)、準(zhǔn)確、適當(dāng)?shù)貍鬟f給相關(guān)方和顧客，持續(xù)改善組織的溝通能力。組織應(yīng)：基于服務(wù)外包業(yè)務(wù)需求確定與顧客、相關(guān)方的溝通需求；確定與顧客、相關(guān)方進(jìn)行溝通的人員的角色和職責(zé)；相關(guān)信息及時(shí)、準(zhǔn)確、適當(dāng)?shù)貍鬟f給相關(guān)方；組織應(yīng)管理與顧客、相關(guān)方的溝通內(nèi)容和溝通質(zhì)量，建立投訴處理機(jī)制，并實(shí)施持續(xù)改進(jìn)。針對(duì)顧客，組織應(yīng)指定人員負(fù)責(zé)管理顧客滿意事宜，并定期測(cè)量顧客滿意度情況并據(jù)此信息采取相應(yīng)措施。5.2.6組織聲譽(yù)維護(hù)能力組織應(yīng)具備主動(dòng)維護(hù)其聲譽(yù)的意識(shí)，并采取適宜措施來建立、宣傳、擴(kuò)大及維護(hù)組織聲譽(yù)。6服務(wù)實(shí)現(xiàn)需求管理需求確定組織應(yīng)確定：a)明確顧客所需服務(wù)的業(yè)務(wù)類型(見附錄A和附錄B)顧客規(guī)定的要求，包括對(duì)交付及交付后活動(dòng)的要求；顧客雖然沒有明示，但規(guī)定的用途或已知的預(yù)期用途所必需的要求；適用于服務(wù)的法律法規(guī)要求；服務(wù)安全要求(例如，顧客對(duì)于服務(wù)場(chǎng)地的安全要求)；必要時(shí)明確所需的服務(wù)級(jí)別要求；任何可能的附加要求。注：附加要求可包含由有關(guān)的相關(guān)方提出的要求。需求評(píng)審組織應(yīng)評(píng)審與服務(wù)有關(guān)的要求。評(píng)審應(yīng)在組織向顧客提供服務(wù)的承諾(例如，提交標(biāo)書、接受合同或訂單及接受合同或訂單的更改)之前進(jìn)行，并應(yīng)確保：服務(wù)要求已得到規(guī)定并達(dá)成一致；與以前表述不一致的合同或訂單的要求已予解決；組織有能力滿足規(guī)定的要求。評(píng)審結(jié)果的信息應(yīng)形成文件。若顧客沒有提供形成文件的要求，組織在接受顧客要求前應(yīng)對(duì)顧客要求進(jìn)行確認(rèn)。注：在某些情況下，對(duì)每一個(gè)訂單進(jìn)行正式的評(píng)審可能是不實(shí)際的，作為替代方法，可對(duì)提供給顧客的有關(guān)的服務(wù)信息進(jìn)行評(píng)審。需求變更組織應(yīng)根據(jù)實(shí)際情況對(duì)需求變更進(jìn)行控制，至少包括以下內(nèi)容：需求變更文檔化；識(shí)別變更控制的邊界；定義需求變更的范圍；維護(hù)需求變更的歷史信息，包括變更的依據(jù)；評(píng)價(jià)需求變更的影響；評(píng)審并批準(zhǔn)變更；與顧客及組織內(nèi)部的溝通；h)需求變更的響應(yīng)速度(見附錄B)。服務(wù)策劃組織應(yīng)對(duì)服務(wù)的實(shí)施進(jìn)行策劃，包括：服務(wù)的要求，并考慮相關(guān)的目標(biāo)；確定資源的需求；識(shí)別服務(wù)實(shí)施過程中的風(fēng)險(xiǎn)，制訂相應(yīng)的措施；制定適宜的交付策略和服務(wù)退出策略；確定監(jiān)視、測(cè)量的方法；適用時(shí)，考慮分包活動(dòng)的管理。策劃的輸出形式應(yīng)便于組織的運(yùn)作。服務(wù)過程管理服務(wù)提供的控制組織應(yīng)在受控的條件下提供服務(wù)，受控條件包括：獲得服務(wù)特性的文件信息；必要時(shí)，應(yīng)獲得服務(wù)過程及結(jié)果的文件信息；必要時(shí)，應(yīng)獲得顧客業(yè)務(wù)流程所必須的用戶信息；確保所獲得用戶信息的安全；獲得、實(shí)施和使用必要的監(jiān)測(cè)和測(cè)量設(shè)備；人員的資格和能力；識(shí)別影響服務(wù)連續(xù)性的因素，制定服務(wù)連續(xù)性計(jì)劃，確保服務(wù)實(shí)施過程連續(xù)；確保發(fā)生變更時(shí)的一致性，明確可能造成的風(fēng)險(xiǎn)影響；實(shí)施必要的配置管理；定義服務(wù)響應(yīng)支持的職能、角色和流程；當(dāng)過程的輸出不能由后續(xù)的監(jiān)測(cè)和測(cè)量加以驗(yàn)證時(shí)，對(duì)任何這樣的服務(wù)提供過程進(jìn)行確認(rèn)、批準(zhǔn)和再次確認(rèn)；服務(wù)的放行、交付和交付后活動(dòng)的實(shí)施；人為錯(cuò)誤(如失誤、違章)導(dǎo)致的不符合的預(yù)防。標(biāo)識(shí)和可追溯性適當(dāng)時(shí)，組織應(yīng)使用適宜的方法對(duì)服務(wù)實(shí)現(xiàn)過程中所產(chǎn)生的任何輸入或輸出進(jìn)行標(biāo)識(shí)以確保可追溯性，應(yīng)關(guān)注：標(biāo)識(shí)的唯一性；確保標(biāo)識(shí)清晰可追溯性；必要時(shí)保持形成文件的信息。顧客或外部供方的財(cái)產(chǎn)組織應(yīng)愛護(hù)在組織控制下或組織使用的顧客、外部供方財(cái)產(chǎn)。組織應(yīng)識(shí)別、驗(yàn)證、保護(hù)和維護(hù)供其使用的顧客、外部供方財(cái)產(chǎn)。如果顧客、外部供方財(cái)產(chǎn)發(fā)生丟失、損壞或發(fā)現(xiàn)不適用的情況，組織應(yīng)向顧客、外部供方報(bào)告，并保持相關(guān)記錄。注：顧客、外部供方財(cái)產(chǎn)可包括知識(shí)產(chǎn)權(quán)、秘密的或私人的信息。不合格服務(wù)組織應(yīng)確保對(duì)不符合要求的服務(wù)得到識(shí)別和控制，以防止其非預(yù)期使用或交付造成對(duì)顧客產(chǎn)生不良的影響。當(dāng)不合格服務(wù)已交付給顧客時(shí)，組織應(yīng)采取適當(dāng)?shù)募m正措施以確保實(shí)現(xiàn)顧客滿意，適當(dāng)?shù)拇胧┛砂ǎ和Ｖ固峁┓?wù)；適當(dāng)時(shí)，通知顧客；經(jīng)授權(quán)延長服務(wù)時(shí)間或重新提供服務(wù)、讓步接收。在不合格服務(wù)得到糾正之后應(yīng)對(duì)其再次進(jìn)行驗(yàn)證，以證實(shí)符合要求。不合格服務(wù)的性質(zhì)以及隨后所采取的任何措施的信息應(yīng)形成文件，包括所批準(zhǔn)的讓步。服務(wù)交付管理組織在交付管理過程中應(yīng)確定：制定適宜的交付策略，包括交付方式和交付成果；適用時(shí)，交付的成果已經(jīng)得到檢驗(yàn)或測(cè)試；不合格的服務(wù)在交付前應(yīng)得到授權(quán)人的批準(zhǔn)和顧客的同意；交付不成功時(shí)應(yīng)采取補(bǔ)救措施，適用時(shí)，進(jìn)行再評(píng)審或再驗(yàn)證。服務(wù)終止合約到期或其他原因引起結(jié)束或退出服務(wù)時(shí)，組織應(yīng)：按照確定的服務(wù)退出策略(見6.2)要求執(zhí)行；監(jiān)視退出執(zhí)行的過程，結(jié)果通報(bào)相關(guān)方；適用時(shí)，對(duì)關(guān)鍵、敏感信息、文檔進(jìn)行處置，保留相關(guān)記錄；分析退出原因，評(píng)估退出造成的影響，制訂預(yù)防措施。外部供方管理總則組織應(yīng)確保外部供方提供的產(chǎn)品和服務(wù)滿足規(guī)定的要求。應(yīng)制訂采購策略，適用時(shí)得到顧客的確認(rèn)。外部供方的控制類型和程度對(duì)外部供方及其提供的產(chǎn)品和服務(wù)的控制類型和程度取決于：識(shí)別的風(fēng)險(xiǎn)及其潛在影響；外部供方的分擔(dān)程度；潛在的控制能力。提供給外部供方的文件信息適用時(shí)，提供給外部供方的文件信息應(yīng)包括：供應(yīng)的產(chǎn)品和服務(wù)，以及實(shí)施的過程；服務(wù)、程序、過程的放行或批準(zhǔn)要求：人員能力的要求，包含必要的資格要求；外部供方資質(zhì)的要求；組織對(duì)外部供方業(yè)績(jī)的控制和監(jiān)視；必要時(shí)應(yīng)在供方現(xiàn)場(chǎng)實(shí)施的驗(yàn)證活動(dòng)。在與供方溝通前，組織應(yīng)確保所規(guī)定的要求是充分與適宜的。組織應(yīng)對(duì)外部供方提供的產(chǎn)品和服務(wù)進(jìn)行監(jiān)視和評(píng)價(jià)，并保留相關(guān)記錄。變更控制組織應(yīng)對(duì)顧客業(yè)務(wù)流程實(shí)現(xiàn)過程可能發(fā)生的變更進(jìn)行管理，變更控制應(yīng)至少包含以下內(nèi)容：組織應(yīng)建立變更控制策略；確保受到變更影響的配置項(xiàng)受控；確保變更是在批準(zhǔn)狀態(tài)下實(shí)施的；在實(shí)施變更后進(jìn)行必要的驗(yàn)證及評(píng)審；保留相應(yīng)的記錄；程序記錄、分類、評(píng)估和批準(zhǔn)變更請(qǐng)求應(yīng)文件化。7服務(wù)安全安全管理職責(zé)管理者應(yīng)：批準(zhǔn)建立服務(wù)安全團(tuán)隊(duì)，定義其職責(zé)和角色；向組織傳達(dá)服務(wù)安全的重要性；確保組織內(nèi)風(fēng)險(xiǎn)因素得到識(shí)別和處置；為服務(wù)安全提供所需的資源；確保執(zhí)行安全內(nèi)部審計(jì)；定期進(jìn)行服務(wù)安全評(píng)估，以識(shí)別改進(jìn)的機(jī)會(huì)；確保組織內(nèi)的安全措施的實(shí)施是相互協(xié)調(diào)的。安全管理策略為確保服務(wù)安全，組織應(yīng)確定服務(wù)安全策略，至少應(yīng)包括：符合法律法規(guī)和合同要求；安全教育、培訓(xùn)和意識(shí)要求；違反服務(wù)安全的后果；業(yè)務(wù)連續(xù)性管理。安全管理措施組織為滿足安全管理策略應(yīng)采取必要的控制措施，這些措施必須符合法律法規(guī)和合同的要求。附錄C給出的安全措施并不是所有的安全措施措施，組織也可能需要選擇另外的控制措施。附錄A

(規(guī)范性附錄)

信息技術(shù)外包(ITO)服務(wù)實(shí)現(xiàn)A.1需求管理A.1.1需求確定識(shí)別信息技術(shù)外包的業(yè)務(wù)類型，包括：軟件研發(fā)及外包(注1)信息技術(shù)研發(fā)服務(wù)外包(注2)信息系統(tǒng)運(yùn)行維護(hù)外包(注3)注1：軟件研發(fā)及外包，指軟件研發(fā)及開發(fā)服務(wù)，如，用于金融、政府、教育、制造業(yè)、零售、服務(wù)、能源、物流和交通、媒體、電信、公共事業(yè)和醫(yī)療衛(wèi)生等行業(yè)，為用戶的運(yùn)營/生產(chǎn)/供應(yīng)鏈/客戶關(guān)系/人力資源和財(cái)務(wù)管理、計(jì)算機(jī)輔助設(shè)計(jì)/工程等業(yè)務(wù)進(jìn)行軟件開發(fā)，定制軟件開發(fā)，嵌入式軟件，套裝軟件開發(fā)，系統(tǒng)軟件開發(fā)，軟件測(cè)試等；以及軟件技術(shù)服務(wù)，如，軟件咨詢、維護(hù)、培訓(xùn)、測(cè)試等技術(shù)性服務(wù)；注2：信息技術(shù)研發(fā)服務(wù)外包，指集成電路設(shè)計(jì)，如，集成電路產(chǎn)品設(shè)計(jì)以及相關(guān)技術(shù)支持服務(wù)等；以及提供電子商務(wù)平臺(tái)，如，為電子貿(mào)易服務(wù)提供信息平臺(tái)；以及測(cè)試平臺(tái)，如，為軟件和集成電路的開發(fā)運(yùn)用提供測(cè)試平臺(tái)。注3：信息系統(tǒng)運(yùn)行維護(hù)外包，指信息系統(tǒng)運(yùn)行和維護(hù)服務(wù)，如，顧客內(nèi)部信息系統(tǒng)集成、網(wǎng)絡(luò)管理、桌面管理與維護(hù)服務(wù)；信息工程、地理信息系統(tǒng)遠(yuǎn)程維護(hù)等信息系統(tǒng)應(yīng)用服務(wù)；以及基礎(chǔ)信息技術(shù)服務(wù)，如，基礎(chǔ)信息技術(shù)管理平臺(tái)整合等基礎(chǔ)信息技術(shù)服務(wù)(IT基礎(chǔ)設(shè)施管理、數(shù)據(jù)中心、托管中心、安全服務(wù)、通訊服務(wù)等)A.1.2服務(wù)過程管理在服務(wù)實(shí)現(xiàn)過程中應(yīng)關(guān)注以下內(nèi)容：a)顧客可能參與的管理活動(dòng)；b)文件化必要的過程文件。軟件研發(fā)服務(wù)和信息技術(shù)研發(fā)服務(wù)相關(guān)的業(yè)務(wù)流程應(yīng)包括如下活動(dòng)：需求分析；概要設(shè)計(jì)；詳細(xì)設(shè)計(jì)；制造開發(fā)；單元測(cè)試；集成測(cè)試；系統(tǒng)測(cè)試；驗(yàn)收測(cè)試。信息技術(shù)運(yùn)行維護(hù)相關(guān)的業(yè)務(wù)流程應(yīng)包括如下活動(dòng)：服務(wù)戰(zhàn)略；服務(wù)設(shè)計(jì)；服務(wù)轉(zhuǎn)換；服務(wù)運(yùn)維；持續(xù)服務(wù)改進(jìn)。A.1.3服務(wù)交付管理A.1.3.1交付前針對(duì)軟件開發(fā)和信息技術(shù)研發(fā)的服務(wù)，組織應(yīng)在交付前實(shí)施以下活動(dòng)，包含：明確產(chǎn)品或服務(wù)的要求已經(jīng)滿足需求；與需求或設(shè)計(jì)不一致的表述已得到完善或更改；必要的測(cè)試已經(jīng)實(shí)施；A.1.3.2交付后針對(duì)軟件開發(fā)服務(wù)，適宜時(shí)，組織應(yīng)進(jìn)行軟件補(bǔ)丁的發(fā)布。附錄B(規(guī)范性附錄)業(yè)務(wù)流程外包(BPO)服務(wù)實(shí)現(xiàn)基于流程管理的不同特性，BPO可分為如下類別:與供應(yīng)鏈相關(guān)的流程管理；如：物流、倉儲(chǔ)；與組織顧客相關(guān)的流程管理；如：呼叫中心、大堂服務(wù)；生產(chǎn)流程的管理；如：業(yè)務(wù)流程研發(fā)、數(shù)據(jù)處理；支持性流程管理；如：財(cái)務(wù)、人力資源B.1.1需求管理在需求確定階段，組織應(yīng)：定義服務(wù)的類別；定義服務(wù)的特性。如：業(yè)務(wù)復(fù)雜性、獨(dú)立性、關(guān)鍵性。需求評(píng)審階段，組織應(yīng)：評(píng)審準(zhǔn)則應(yīng)考慮服務(wù)過程中的責(zé)任、義務(wù)、風(fēng)險(xiǎn)；確保服務(wù)過程涉及的相關(guān)方參與評(píng)審。需求變更控制階段，組織應(yīng)根據(jù)變更的特點(diǎn)，制定響應(yīng)方案，包括考慮響應(yīng)速度。服務(wù)策劃根據(jù)服務(wù)特性，組織應(yīng)：為每一類服務(wù)設(shè)計(jì)服務(wù)交付策略，確保服務(wù)要求得到滿足；考慮特定的安全要求。服務(wù)提供的控制組織應(yīng)基于顧客相關(guān)的業(yè)務(wù)流程，制定顧客業(yè)務(wù)流程相關(guān)的作業(yè)指導(dǎo)文件，必要時(shí)得到顧客的確認(rèn)。附錄C

(規(guī)范性附錄)

安全控制項(xiàng)本附錄所列的控制措施是外包服務(wù)過程中必須考慮的基本控制，組織還應(yīng)結(jié)合自己外包服務(wù)的具體要求，制定并實(shí)施額外的安全控制措施。C.1安全管理組織建立服務(wù)安全組織，支持對(duì)外包服務(wù)潛在的安全脆弱性的識(shí)別；確保外包服務(wù)人員能夠充分的理解并有效地執(zhí)行；實(shí)施有效的安全審計(jì)；評(píng)估安全控制措施的有效性。C.2法律法規(guī)符合性制定相應(yīng)規(guī)程，識(shí)別適用于組織的法律法規(guī)和合同義務(wù)；依照相關(guān)的法律、法規(guī)和合同要求，保護(hù)個(gè)人信息和隱私；c)確保在使用具有知識(shí)產(chǎn)權(quán)的資產(chǎn)時(shí)，符合法律、法規(guī)和合同要求。C.3人力資源結(jié)合業(yè)務(wù)特點(diǎn)確定相應(yīng)的崗位和任用條件，識(shí)別人員的技能和經(jīng)驗(yàn)；向外包服務(wù)人員進(jìn)行安全保密