ISO0程序文件汇编.docx
- 文档编号:5730020
- 上传时间:2022-12-31
- 格式:DOCX
- 页数:93
- 大小:284.31KB
ISO0程序文件汇编.docx
《ISO0程序文件汇编.docx》由会员分享,可在线阅读,更多相关《ISO0程序文件汇编.docx(93页珍藏版)》请在冰豆网上搜索。
ISO0程序文件汇编
(北京)科技有限公司
信息技术服务程序文件汇编
依据ISO/IEC20000:
2018标准编制
编号:
LS/ITSMS-CX-2020
版本号:
A/0
编制人:
审核人:
批准人:
受控
受控状态:
发布日期:
2020.1.6生效日期:
2020.1.6
文件修订履历表
序号
条款号
修改章节(内容)
修改人
审批
生效日期
符合性控制程序…………………………………………………………………………………………40
信息安全风险评估管理程序……………………………………………………………………………42
信息技术服务事件控制程序……………………………………………………………………………48
服务级别管理程序…………………………………………………………………………………….50.
服务报告管理程序…………………………………………………………………………………….55
持续性管理程序……………………………………………………………………………………….57
可用性管理程序……………………………………………………………………………………….62
服务预算及核算管理程序…………………………………………………………………………….66
顾客满意度测量控制程序……………………………………………………………………………71
能力管理程序………………………………………………………………………………………….74.
业务关系管理程序……………………………………………………………………………………78
问题管理程序………………………………………………………………………………………….80
配置管理程序…………………………………………………………………………………………84
变更管理程序…………………………………………………………………………………………89
发布和部署管理程序…………………………………………………………………………………93
文件控制程序
LS/ITSMS-CX-01
1.目的
对于公司信息技术服务管理体系有关的文件进行控制,确保各相关场所使用文件为有效版本。
2.范围
适用于信息技术服务管理体系有关的文件控制。
3.职责
3.1总经理负责批准发布信息技术服务手册手册。
3.2管理者代表负责审核信息技术服务手册手册。
3.3各部门负责相关文件的编制、使用和保管,负责本部门与信息技术服务管理体系系有关的文件的收集、整理和归档等。
3.4综合部负责公司对现有体系文件进行管理。
4.程序
4.1文件分类及保管
4.1.1信息技术服务手册(包含了所有过程控制的程序文件),由综合部备案保存。
4.1.2公司体系文件分为两类
a.部门管理文件作为各部门运行信息技术服务管理体系的常用实施细则:
包括管理标准(部门管理制度);工作标准(岗位责任制和任职要求等);技术标准(国家标准、行业标准、企业标准及作业指导书、测试标准及规范等);部门记录文件等,由各相关部门自行保存。
b.其他文件:
可以是针对特定软件、项目或合同编制的工作计划、设计输出文件或其他标准、规范等,文件的组成应适合于其特有的活动方式。
由各相应的部门保存、使用。
4.1.3公司级管理性文件,如各种行政管理制度、部分外来的管理性文件,包括与信息技术服务管理体系有关的政策、法规文件等,由研发部负责保存。
4.2文件的编号
4.2.1信息技术服务管理体系文件的编号
a.信息技术服务手册手册
公司名称代号(LS)-信息技术(IT)-手册(SC)—生效年,手册中各章以章节号区分。
例如:
LS/ITSMS-SC-2020,表示本公司信息技术服务手册2020年生效。
b.程序文件
公司名称代号(LS)-信息技术(ITSMS)—程序文件代号(CX)-版次序号。
例如:
LS/ITSMS-CX-01,表示本公司信息技术服务管理体系程序文件为01序号。
c.三层文件、规范
公司名称代号(LS)-信息技术(ITSMS)—三级文件代号(SJ)-序号。
例如:
LS/ITSMS-SJ-03,表示本公司三级文件为03序号。
d.体系运行记录
记录代号:
文件编号—序号。
例如:
LS/ITSMS-CX-01-01,表示本公司记录文件附录LS/ITSMS-CX-01第一个记录。
e.外来文件
公司名称代号(LS)-信息技术服务(ITSMS)—外来文件代号(WL)-版次。
例如:
LS/ISMS-WL-2020,表示本公司外来文件为2020年版。
4.3文件的编写、审核、批准、发放。
文件发布前应得到批准,以确保文件是适宜的。
4.3.1信息技术服务手册手册由编写小组负责组织编写,由管理者代表审核,上报总经理批准发布,由综合部负责登记、发放。
4.3.2各部门管理文件由各部门经理组织编写、汇总,报总经理审批,综合部负责登记、发放。
4.3.3应确保文件使用的各场所都应得到相关文件的适用版本。
文件的发放、回收要得到有效控制,电子版文件的发放要确保文件版本的有效性。
4.4文件的受控状况
文件分为“受控”和“非受控”两大类,凡与信息技术服务(ITSMS)体系运行紧密相关的文件应为受控,由各主管部门按规定执行。
所有受控文件必须在该文件封面右上角加盖表明其受控状态的印章。
4.5文件的更改
4.5.1信息技术服务手册手册由综合部组织更改,填写《文件更改申请单》,经管理者代表审核,上报总经理批准后更改,由综合部发放。
综合部应保留文件更改内容的记录。
4.5.2其他文件的更改由相应主管部门填写《文件更改申请单》,经原审批部门审批,再由各相应部门指定人员进行更改、发放、处理。
如果指定其他部门审批时,该部门应获得审批所需依据的有关背景资料。
4.5.3所有被更改的原文件必须由相应主管部门收回或删除,以确保有效文件的唯一性。
4.6文件的领用
4.6.1文件使用者应执行综合部的文件管理流程,登记领用。
4.6.2因破损而重新领用的新文件,分发号不变,并收回相应旧文件;因丢失而补发的文件,应给予新的分发号,并注明已丢失的文件的分发号失效;发放部门作好相应发放签收记录。
4.7文件的保存、作废与销毁
4.7.1文件的保存
a.与信息技术服务管理体系相关的文件都必须分类存放在干燥通风、安全的地方。
b.各部门文件由本部门保管,综合部不定期对各部门文件保管情况进行检查。
c.对受控文件,各部门应及时整理本部门使用文件的部门受控文件,并将清单报综合部备案,汇总成《受控文件清单》。
d.任何人不得在受控文件上乱涂画改,不准私自外借,确保文件的清晰、易于识别和检索。
4.7.2文件的作废与销毁
a.所有失效或作废文件由相关部门及时从所有发放或使用场所收回,加盖“作废”印章,确保防止作废文件的非预期使用。
b.为某种原因需保留的任何已作废的文件,应进行适当的标识。
c.对要销毁的作废文件,由研发部负责统一销毁并填写《文件销毁记录》。
4.7.3文件的借阅、复制
借阅、复制与信息技术服务管理体系有关的文件,应填写《文件借阅、复制记录》,由管理者代表批准后向综合部借阅。
复制的受控文件必须登记编号。
4.7.4重要文档(资料)存档管理执行《存档管理制度》。
4.8外来文件的控制
4.8.1对收到的与信息技术服务(ITSMS)体系有关的外来文件,交综合部识别适用性,并控制分发以确保其有效。
4.8.2综合部负责收集相关国家、行业、国际标准的最新版本,分发到相关部门使用,并把旧标准收回。
4.8.3各部门要把上述标准及其他与信息技术服务管理体系有关的外来文件报综合部备案,由综合部填入《受控文件清单》中。
4.9每年由综合部组织对现有信息技术服务管理体系文件进行定期评审,各部门结合平时使用情况进行适时评审,必要时予以修改,执行4.5条款规定。
4.4对承载媒体不是纸张的文件的控制,也应参照上述规定执行。
4.11作为记录的文件应执行《记录控制程序》。
5.相关文件
5.1《记录控制程序》
6.记录
6.1《受控文件清单》
6.2《文件销毁记录》
6.3《文件更改申请单》
6.4《文件借阅、复制记录》
6.5《文件收发记录》
记录控制程序
LS/ITSMS-CX-02
1.目的
对信息技术服务管理体系所要求的记录予以控制。
2.范围
适用于为证明产品符合要求和信息技术服务管理体系有效运行的记录。
3.职责
3.1综合部负责设计记录格式,监督其使用。
3.2各部门负责收集、整理、保管本部门的记录,负责人负责批准本部门编制的记录格式。
4.程序
4.1各部门负责收集、整理、保存本部门的记录。
4.2记录的标识、编号
记录的标识、编号按《文件控制程序》执行。
4.3记录填写
4.3.1记录填写要及时、真实、内容完整、字迹清晰,不得随意涂改;如因某种原因不能填写的项目,应能说明理由,并将该项目用单杠划去;各相关栏目负责人签名不允许空白。
4.3.2如因笔误或计算错误要修改原数据,应采用单杠划去原数据,在其上方写上更改后的数据,加盖或签上更改人的印章或姓名及日期。
4.4记录的保存、保护
4.4.1各部门必须把所有记录分类,依日期顺序整理好,存放于通风、干燥的地方,所有的记录保持清洁,字迹清晰。
各部门按规定的期限保存记录,对于保存一年以上的记录交研发部保存。
4.4.2综合部编制《信息技术服务记录清单》,将公司所有与信息技术服务管理体系运行有关的记录汇总,包括名称、编号(版本)、保存期、使用部门等内容,并汇集备案记录的原始样本。
各部门应将本部门使用的记录清单作为部门管理文件的附录,并汇总本部门的记录原始样本。
4.4.3综合部不定期要检查一次各部门记录的使用、管理情况。
4.5记录发放、借阅和复制
4.5.1各部门填写《文件收发记录》,向综合部领用所需记录空白表。
4.5.2各部门保管的记录应便于检索,需借阅或复制者要经相应部门负责人批准并填写《文件借阅、复制记录》,由记录管理人登记备案。
4.6记录的销毁处理
记录如超过保存期或其他特殊情况需要销毁时,综合部负责统一销毁并填写《文件销毁记录》。
4.7记录格式
4.7.1各部门的记录格式由综合部统一编制,编写小组审批,交综合部备案。
4.7.2各相关部门可根据工作需要提出记录格式设计更改,执行《文件控制程序》有文件更改的规定。
5.相关文件
5.1《文件控制程序》
6.记录
6.1《信息技术服务记录清单》
人力资源控制程序
LS/ITSMS-CX-03
1目的
为规范针对公司员工在任用前、任用中、任用后的相关安全职责以及行为的管理,特制定本文件。
2适用范围
本文件适用于本公司员工,包括正式员工与实习人员及学员。
3岗位职责
综合部负责人员信息技术服务、质量职责制订、任用前的人员资料核实和背景调查、任用中的信息技术服务、质量培训组织和纪律处理、任用变更或终止时的资产归还和访问权限撤销的流程提起。
4管理规定
4.1任用前
综合部需确保人员在任用前,在适当的岗位描述、任用条款和条件中明确说明其应履行的信息技术服务、质量职责,确保人员理解其信息技术服务、质量职责,确保人员承担的角色符合公司的信息技术服务、质量要求,以降低设施被盗窃、滥用和误用的风险。
要对任用的员工、承包方和第三方的候选人员进行充分的审查,特别是对于关键岗位、关键职务人员,以及其他会大量接触敏感信息的人员。
4.1.1员工筛选
综合部负责组织对公司各个职位的应聘人员进行筛选、对应聘人员进行面试、资料核实和背景调查。
背景调查时应考虑个人简历、职业推荐信、原单位离职证明、身份证明、学历和职业资格证件等。
对员工的背景调查应在申请职位时进行。
调查包括以下内容:
1)是否有适当的推荐人,申请人的工作能力和个人职业道德情况;
2)检查申请人的简历是否完整及准确;
3)确认其声明的学历和职业资格是否真实;
4)身份证明(包括身份证、护照或其它文件)检查;
5)监管部门要求;
6)其它需要调查的内容。
各部门负责人可根据本部门对上岗员工的特殊要求,提出必要的附加调查内容,并反馈给职能部人事,以便选出合适的人员。
对于承包方人员和第三方人员也要执行人员背景调查过程。
与承包方的合同中要清晰地规定承包方负有对其为本公司提供服务的人员进行人员背景调查的职责,并对背景调查的结果负责。
同样,与第三方的协议或约定中应清晰的界定背景调查的职责归属问题。
出于背景调查目的收集、处理被调查人员信息时,应在不违反相关的法律法规的前提下进行。
4.1.2安全职责
对于员工,必须通过书面的岗位职责对其安全角色和职责进行描述和说明。
对于承包方和第三方的安全角色和职责,应按照组织的信息技术服务、质量制度进行定义,清晰地传达给相关人员,并要求其签署保密协议和信息技术服务承诺书。
安全职责应包括但不限于以下要求:
1)遵守公司信息技术服务、质量方面的各项规章制度;
2)按照公司的要求实施各项安全措施控制;
3)按照要求组织、参与或配合公司的各项信息技术服务、质量检查活动;
4)保护公司的信息资产免受非授权访问、泄露、修改和破坏;
5)积极参加各项信息技术服务、质量培训;
6)报告安全事件、潜在安全事件、以及其他可能引发安全风险的事件。
4.1.3任用条款和条件
1)综合部每年都需要组织员工签署保密协议,所有员工都需要签署。
2)公司应与承包方在公司层面签订保密协议(或合同中包含保密条款)。
3)综合部负责组织承包方人员签订《保密协议》,并以此作为其获准为本公司提供服务、接触本公司敏感信息的前提条件;对口部门负责组织与第三方人员签订保密协议,保密协议由公司综合部统一保存。
4)保密条款或保密协议具有法律效力,保密协议或包含保密条款的合同在签订前,要经过公司相关部门的合规性审查,以避免法律法规风险。
4.2任用中
员工、承包方和第三方如需申请使用公司网络访问权限或应用系统访问权限,必须通过综合部审批通过后,才能授予工作所需的最小权限。
员工、承包方和第三方的工作岗位发生变化时,必须通过公司相关部门审批,对其访问权限进行相应的调整。
4.2.1管理职责
综合部应采取必要措施,保证员工、承包方和第三方严格遵守公司已建立的各项息技术服务、质量制度。
管理职责应包括但不限于以下内容:
a.确保员工、承包方和第三方在被授权访问敏感信息或敏感信息系统前,了解其信息技术服务、质量的角色和职责;
b.建立恰当的信息技术服务、质量奖惩机制;
c.监督员工、承包方和第三方遵守任用条款和条件,以及相关的信息技术服务、质量制度;
d.制定并颁布各项信息技术服务、质量制度、操作指引、实施指南等;
e.综合部负责组织公司员工(适当时也可以包括承包方人员和第三方人员)进行与其工作职能相关的信息技术服务、质量意识培训和教育。
4.2.2信息技术服务、质量培训
信息技术服务知识/质量知识培训纳入公司统一的培训体系内,由综合部负责组织、实施及考核。
信息技术服务、质量知识培训作为公司每年度全员培训计划的必设内容。
从事信息技术服务、质量管理工作的人员和各部门信息技术服务员,每年必须参加专门的信息技术服务、质量技术与标准培训。
全员信息技术服务、质量培训每年度不少于一次,培训可采用多种方式,培训内容包括岗位安全职责、信息技术服务管理体系文件、信息技术服务、质量知识和技术等。
新员工必须参加信息技术服务/质量培训,培训内容包括工作人员信息技术服务守则、基本的信息技术服务意识、信息技术服务及质量知识和技术等。
各部门可根据工作需要,在部门内组织信息技术服务、质量培训,信息技术服务、质量管理工作小组可提供协助,培训内容可以包括岗位信息技术服务知识培训、专项信息技术服务知识培训等。
综合部按照年度信息技术服务、质量培训计划,组织相关人员进行培训,为加强培训效果,可以有针对性的安排考核和计分。
考核内容可以包括理论考核、实际操作技能考核等;考核形式可以包括问答、问卷、试验等;培训讲师负责登记考核和计分结果。
参与培训的人员通过调查问卷等方式,对讲师的授课技巧、培训的组织、培训效果等情况进行评估,培训课程评价结果由职能部人事分析汇总。
4.2.3纪律处理过程
对于信息技术服务违规的人员,在正式纪律处理之前应有一个信息技术服务违规的确认过程,对于承包方和第三方人员的纪律处理需要承包方和第三方代表的参与;正式的纪律处理过程应确保正确、公平、公正地对待被怀疑信息技术服务违规的人员;
对内部员工的具体纪律处理按公司相关管理规定执行;对承包方和第三方的纪律处理依照相关法律法规、合同处理,如法规或合同中均无规定,可双方协商处理。
4.3任用变更或终止
4.3.1任用变更与终止职责
应清晰地定义和分配员工、承包方和第三方的任用变更或任用终止的信息技术服务职责。
变更或终止的传达应包括信息技术服务要求和法律职责,必要时,在与员工、承包方人员或第三方人员的雇佣合同、保密协议、信息技术服务责任书或信息技术服务承诺书中应包含在任用终止后仍然有效的信息技术服务职责和义务内容。
内部员工的任用变更或终止由所在部门、综合部等负责处理,承包方、第三方的任用变更或终止由对口部门、综合部等负责处理。
5.相关文件
5.1《文件控制程序》
6.记录
6.1《保密协议》
6.2《培训计划》
6.3《培训记录》
6.4《离职审批单》
内部审核管理程序
LS/ITSMS-CX-04
1目的
为明确信息技术服务管理体系内审的实施方法,保证内审定期有效地实施,为管理评审和持续改进提供依据,确保信息技术服务管理体系的有效运行,特制定本程序。
2范围
本程序适用于本公司信息技术服务管理体系内部审核(简称:
内审)工作的实施和管理。
3职责
3.1综合部
负责制定年度审核计划与每次的审核计划,制定内审检查表以供各部门检查各项活动是否在信息技术服务保障内;
任命内部审核小组可以进行内审;
负责管理和监督内审的进行与内审结果的确认。
3.2其他各部门
配合内部审核小组进行内审,对内审中发现的问题进行整改。
4程序
4.1年度内审计划
4.1.1计划制定
内部审核小组组长制定年度审核计划,确认当年年度的审核的目的范围,受审部门及受审的时间安排。
交由总经理审批。
4.2内审
4.2.1内审时机
内部审核原则上每年进行两次,由内部审核小组组长制定《内部审核计划》,经总经理批准后实施;若在非内审期内发现特殊情况,如有重要信息技术服务事件发生,或公司重要业务发生变化,可由内部审核小组组长申请增加内审的次数,由总经理决定是否进行内审。
4.2.2任命
每次审核前,由内部审核小组发出任命通知,对参加信息技术服务审核的人员及部门进行任命。
内部审核小组应制定《内部审核计划》,经总经理批准,并由综合部通知被审核部门,被审核部门到时应选派有关人员配合审核。
4.2.3内审员
4.2.3.1资格要求
内审员必须是熟悉本组织业务和信息系统情况,参加信息技术服务管理体系内审员培训并考核合格的本组织人员。
4.2.3.2独立性要求
内审员应来自于不同的职能部门,审核人员应与被审活动无直接责任,以保持工作的独立性。
4.2.4资格评定
4.3内部审核的实施
4.3.1审核实施
内审员应按《内部审核计划》规定实施审核,各有关部门应积极配合。
4.3.2不符合项开具
对审核中发现的不符合项,由内审员开出《不符合项报告》。
4.4纠正措施与跟踪审核
4.4.1纠正
所有不符合项应由不符合项的责任部门负责按以下要求制定纠正措施并认真实施:
a)检查本部门其他方面和其他各部门是否存在类似情况;
b)对所有存在的不符合的问题按有关规定改正过来;
c)调查产生该不符合项的原因,填入《不符合项报告》的"产生不符合项的原因"栏内,调查人要签字,并写明日期;
d)列明消除不符合项产生原因的措施计划,并说明具体步骤及完成日期,填入《不符合项报告》的“纠正措施”栏内,经部门领导批准,并写明日期;
e)按制定的纠正措施认真实施,并将实施结果记入《不符合项报告》的“实施结果”栏内,记录人要签字,并写明日期。
4.4.2跟踪
内审员在规定期限进行跟踪审核,对纠正措施的实施及有效性进行验证,并将验证结果记入《不符合项报告》。
4.5审核报告
4.5.1审核报告
内部审核结束后,审核组长应起草《内部审核报告》,编制《内部审核报告》,报总经理审阅,总经理签署意见后发至各部门。
4.5.2管理评审输入
内部审核的结果应作为管理评审输入的一部分。
4.5.3记录保管
综合部应妥善保存评审记录。
5相关文件
《信息技术服务管理手册》
6相关记录
《内部审核计划》
《不符合项报告》
《内部审核报告》
管理评审管理程序
LS/ITSMS-CX-05
1目的
为确保组织信息技术服务管理体系持续的适宜性、充分性和有效性,评估组织信息技术服务管理体系改进和变更的需要,特制定本程序。
2范围
本程序适用于对信息技术服务管理体系中要求进行的管理评审的实施程序的管理。
3职责
3.1总经理
主持信息技术服务管理体系管理评审。
3.2综合部
负责信息技术服务管理体系管理评审的组织管理。
4程序
4.1管理评审策划
4.1.1管理评审的频次
4.1.1.1定期
管理评审由总经理主持,通常每年进行一次,一般在内部审核后一至两个月内进行。
4.1.1.2非定期
当遇到下列情况时,可不受4.1.1.1的限制,由综合部制定计划,报总经理批准后实施:
a)当出现重大信息技术服务事件时;
b)当信息技术服务管理体系发生较大变化时;
c)当客户要求或外部环境条件发生重大变化时;
d)内部审核、客户审核或ISO/IEC20000外部审核时,发现了对全组织有影响,属信息技术服务管理体系上的重大不符合事项时。
4.1.2管理评审的方式
管理评审以专题会议的方式进行,由总经理主持管理评审,评审会议由总经理、信息技术服务小组、内审员、相关部门负责人参加,必要时可吸收对应专业管理人员参加。
4.1.3管理评审的准备
4.1.3.1计划编制
综合部根据公司管理层的要求组织编制《管理评审计划》,报管理者代表审核,总经理批准后,提前一周下发至各相关部门。
4.1.3.2相关准备
相关部门按《管理评审计划》要求,对照信息技术服务管理体系运行情况进行自评,按各自职责做好相关信息、资料的准备工作,并将有关信息、资料于管理评审会议召开前3天提供给综合部。
4.1.3.3资料汇总
4.1.3.4议程
管理评审会议召开前1天,综合部应安排好会议的议程。
4.2管理评审输入
4.2.1资料
各相关部门接到《管理评审计划》后应向综合部提供如下材料和信息:
1)信息技术服务管理体系运行的改进建议
2)本部门相关的外部反馈意见;
3)本部门改进信息技术服务管理体系绩效的技术、产
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO0 程序 文件 汇编
![提示](https://static.bdocx.com/images/bang_tan.gif)