XX股份有限公司
信息技术服务管理体系
程序文件汇编
文件编号:XXXX-ITSMS- MP-2019
版本号: V 1.0
编制:
审核:
批准:
受控状态:受控
发布日期:2019年4月16日实施日期:2019年4月16日
目录
修改页
文件控制程序
1目的
为了对管理体系文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程的实施有效控制,特制定本程序。
2范围
本程序适用于文件管理。
3职责
3.1总裁负责批准管理文件的制订、修订计划,负责批准体系管理手册(含方针、目标)和程序文件等并颁布。
3.2体系负责人负责审定管理体系管理文件,负责批准运维管理文件以及作业文件等并颁布。
3.3流程和持续改进部负责各管理体系管理文件的归口管理;负责组织管理体系管理文件的制订、修订和评审等管理工作;
3.4流程和持续改进部负责各管理体系管理文件的标识、发放、作废、回收等日常工作。
4相关文件
4.1《ITSMS管理体系手册》
5程序
5.1管理内容与要求
5.1.1 文件分类
5.1.1.1 各管理体系管理文件:
a)《ITSMS管理体系手册》(含管理方针、目标);
b) 信息技术服务管理体系管理手册程序文件;
c) 各体系作业文件和运维管理文件;
d)管理记录表格。
5.1.1.2 其他文件
a) 体系相关法律法规及其他文件;
b) 形成文件的方针和管理目标;
c) 策划的管理方案;
d) 开发、测试、服务、检查与考核记录;
e) 公务往来的其他管理文件;
f) 公务往来的其他技术文件。
5.2文件编制和修订
5.2.1管理文件编制和修订前,编制人员充分了解相关方的要求和信息,广泛收集有关的文件和资料。作为文件编写的依据,应重点考虑以下几个方面:
a) 相关的法律法规要求,国家标准、行业标准、地方标准的要求,尤其是强制性标准的要求,上级主管部门颁发的标准、规章、规定等。
b) 对客户和其他相关方的合同和承诺,客户与其他相关方的需求和期望方面的信息。
c) 国内外同行先进水平和发展方向的信息。
d) 公司现有的有关文件,领导的意图和要求。
e) 内容应与公司的实际情况相适应,并保证文件在现有的资源条件下,能得到有效实施。
5.2.2 文件编制部门:
a) 各管理体系管理文件由流程和持续改进部组织,各部门参与进行编制。
b) 技术标准由产品中心和营销中心、计划经营部组织,各部门参与进行编制。
c) 策划的管理方案和平台开发、信息化、服务、管理活动的检查考核记录及其他管理、技术文件由相关职能部门编制。
5.3文件审批
5.3.1 管理体系管理文件发布前须经审批,审批人员需签字。
5.3.2管理文件的审批权限如下:
a)管理手册(含方针、目标)、程序文件由总裁批准发布。
b) 运维管理文件、作业文件由职能部门组织审核,体系负责人批准发布。
c) 策划的管理方案由职能部门组织审核,体系负责人批准发布。
d) 其他管理、技术作业和相关支持性文件由归口管理部门负责审核,体系负责人审核批准。
5.4文件标识
5.4.1 为确保在使用处获得适用文件的有效版本,文件均要有明确的标识,包括文件编号、版本号、发布和实施日期等;
5.4.1.1体系手册编号规则:本公司代号文件类别号-文件顺序号-年代号。
本公司代号:用XXXX表示。
体系代号:IT—信息技术服务管理体系
文件类别号:SC—手册、MP—程序文件、WJ—三级文件(管理制度、作业规范、服务规范、策略等)、R—记录表单。
文件顺序号: 01、02、03、04---------------
年代号:用四位阿拉伯数字表示公历年。
如:XXXX-ITSMS-SC-2019表示本公司2019年发布的信息技术服务管理手册
文件的版本用V(版本)“1.0、2.0、3.0……”表示;若文件只作小部分修改时,可填写《修订记录》作划线式修改或者换页修改如果划线式修改(超过三分之一需要换版发布),发行时为0次(即:V1.0版),第一次修改为1次(即:V1.1版),依此类推,当修改超过8次时,无论修改多少,均要换版发布。
5.4.1.2程序文件编号规则:文件类别号-文件顺序号-年代号。
XXXX-ITSMS-MP-01表示本公司第一个程序文件《文件控制程序》。
5.4.1.3作业文件、策略文件编号规则:文件类别号-文件顺序号-年代号。
WJ-01表示本公司第三层次文件的第一个文件如:《各级人员职责及任职要求》。
5.4.1.4记录文件编号规则:本公司代号文件类别号-程序文件序号-文件顺序号。
ITSMSR-01-004表示本公司第一个程序文件的第四个记录表单模板《文件收发记录》。
5.5文件发放/回收
5.5.1 纸质文档发放/回收
5.5.1.1 文件审批后,流程和持续改进部登记并制定《受控文件清单》和《文件收发记录》,按《文件收发记录》规定的范围进行发放。
5.5.1.2 文件发放时流程和持续改进部应在文件封面加盖“受控文件”章编号发放,各部门人员领取文件时应在《文件收发记录》上签收。流程和持续改进部回收文件时应填写回收日期并由回收人
员签字。
5.5.1.3 所发放使用的管理体系文件均为受控文件,各文件使用部门严格保管,不得外借和复制,并保持文件清晰、易于识别。
5.5.1.4 文件回收时,由发放部门统一回收并填写《文件收发记录》。
5.5.2 电子文档发放/回收
5.5.2.1 电子文档存在指定的服务器中,由系统管理员为相应的人员开通权限,以邮件或电话等传输形式通知各相关人员查阅,各相关人员以邮件或电话等传输形式进行回执。
5.5.2.2 电子文档失效时,由各相关部门的主管统一处理,例:电子文档存储位置以时间进行标识区别新旧版本等方式。
5.6文件的借阅/归还
5.6.1各部门对纸质文档的借阅,填写《文件借用、复制记录》。
5.7文件的更改
5.7.1 各部门提出更改文件时,由文件更改提出部门和人员说明原因,填写《文件更改申请单》,经原审批部门/职能批准后,由文件归口管理部门进行修改。
5.7.2 文件按发放的范围修改,可采取换页、发放更改通知单或直接划改的形式,确保文件更改到位。
对存档的文件不但将原作废页次换回,在该页上加盖“作废”章,并按上述规定夹入更改页。
5.8文件的评审
当出现以下情况,流程和持续改进部应组织对文件进行评审、必要时予以更新并再次批准:
a) 管理体系结构发生重大变化时;
b) 管理体系标准发生重大变化时;
c) 公司组织结构发生重大变化时;
d) 管理活动、流程发生重大变化时;
e) 管理评审时。
5.9外来文件的控制
5.9.1 公司的外来文件包括与电子商务服务有关的国家、地方、行业的法律、法规、部门规章、标准,体现顾客有关要求的文件等。
5.9.2 公司的外来文件由流程和持续改进部负责登记在《受控文件清单》上,《受控文件清单》应注明分布部门,以供使用者查阅。
5.9.3 对外来法律法规文件,按《文件控制程序》管理。
5.9.4 《受控文件清单》每年检索一次有效性,外来文件发放时加盖“受控文件”章,并填写《文件收发记录》。
5.10文件的销毁
5.10.1 超过保管期限的文件,应填写《文件销毁记录》,经体系负责人批准后,由保管部门作为秘密文件处理废弃。
5.10.2 文件的废弃应采用安全可靠的处置方法(如书面记录采用粉碎方法、电子媒体采用格式化方法等),处置记录应予以保存。但若保管部门认为必要时,仍可继续保管超出保管期限的记录。
6 记录
《受控文件清单》
《文件收发记录》
《文件更改记录》《文件销毁记录》《文件借复印阅记录》
记录控制程序
1.目的
为了对公司工作过程中产生的记录进行控制,保证体系的有效运行,为采取纠正、预防和改进措施提供依据,特制定本程序。
2.范围
本程序适用于公司信息技术服务管理体系运行规定的所有记录。
3.职责
3.1流程和持续改进部
(1)负责制定各类记录的编码规定;
(2)负责搜集整理并及时更新各部门的记录样本;
(3)负责保存各种记录样本;
(4)负责监督检查各部门记录的规范操作情况。
3.2各部门
(1)负责本部门产生的记录的填写、收集、标识与保管;
(2)及时更新记录的格式;
(3)向流程和持续改进部提供更新过的最新的记录样本;
(4)负责保管本部门的所有记录。
4 相关文件
无
5.流程
5.1记录的定义
记录:阐明所取得的结果或提供所完成活动的证据的文件。记录是一种特殊的文件,一般不允许更改,通常不需要采用控制版本的活动。当表格中填写了内容,表格即成了记录。
5.2记录的标识
标识一般包含如下要素:编码、编号、记录名称、记录日期、分类代码、部门代码、页码编号(第几页、共几页)等。
各部门根据工作的需要设计各种记录的样式,根据《文件控制程序》中有关文件编码的规定对记录进行唯一性编码,对本部门的所有记录进行登记,注明记录名称、记录编码及编号、记录归档后的保存地点、记录保存期限等信息。
5.3记录的管理
流程和持续改进部应对公司体系涉及到的所有表格进行统一管理,填写《信息安全记录清单》作为各程序文件的附录。记录使用部门应随时检查本部门使用记录的适用性,如需要对记录表格进行修改、借阅、销毁以及换发和补发,请参见《文件控制程序》。
记录使用部门应确保随时将最新的记录表格的电子版给流程和持续改进部备案。
5.4记录的填写
记录的填写必须及时、真实、准确、清晰、完整,易于识别和检索。
对信息技术服务管理造成严重影响的服务记录,必须有相关责任人签名。记录的签名必须签全名,不可简化或者缩写。
如因某种原因不能填写的项目,应说明理由,并将该项用单杠划去,各相关栏目负责人签名不允许空白。
纸版记录不允许用铅笔填写。
5.5记录的更改
记录一旦形成,不能随意更改。若发现数据填写错误确需更改时,应采用单杠划去原数据,在其上方写上更改后的数据,并由更改人在更改处签全名和更改日期。
5.6记录的整理与归档
各部门按照本部门产生记录文档的数量,、每年整理一次记录,编制目录索引,按照时间先后顺序排列,装订成册;项目相关记录应随时进行整理,并在项目结项后统一编制目录索引,按照项目各阶段先后顺序排列,装订成册。
装订好的记录封皮应该标注记录名称、记录起止时间、记录保存期限、记录产生部门等便于检索的信息。
各部门根据工作需要,可以将装订好的记录作为档案交给流程和持续改进部同意进行管理,也可以方便起见保存在本部门。
5.7记录的保管
各部门应指定专人对本部门产生的各种记录进行保管。
记录的保管环境需符合文件管理的要求,应干燥通风,防止变质、损坏或丢失。贮存环境湿度太大,容易引起记录纸张的霉变;日照强烈,容易使纸张变脆;接近强电磁场,容易干扰电子媒体的信息;以光盘形式保存的记录应避免碰伤、划伤信息页面的塑料基体。
以电子媒体保管的重要记录应有备份。
记录的保管期限可根据其内容及重要程度而定。一般地,产品和服务的记录保管时间不少于两年,信息技术服务管理体系运行记录的保管时间不少于三年。
5.8记录的销毁
记录的销毁由记录的产生部门提出,经本部门经理批准,若为受控文件,需经体系负责人批准,并由记录产生部门负责销毁。
6.相关记录
《记录清单》
纠正措施控制程序
1 目的
为对在信息技术服务管理体系实施运行过程中产生的不符合项和由此产生的不利的影响,采取纠正措施,防止其再度发生并减小不利影响,特制定本程序。
2 适用范围
本程序适用于本公司信息技术服务管理体系中的不符合项的纠正。
3 职责
3.1 各部门的内部审核员负责提出不符合项,编写不符合报告并督促和验证
其纠正措施的实施。
3.2 各部门负责人负责组织本部门工作人员分析不符合项产生原因,并制订
和实施纠正措施。
3.3 流程和持续改进部负责组织本公司相关部门对外部审核提出的不符合
项的产生原因进行分析,制定和实施纠正措施。
4 程序
4.1 不符合项定义及来源
4.1.1 不符合项是指在体系运行过程中,产生的与信息技术服务管理体系标准要求,体系文件和法律、法规要求不一致的现象。
4.1.2 不符合项来源主要是:
1) 日常监督检查。
2) 体系的内部审核。
3) 外部审核和管理评审。
4.2 日常监督检查发现的不符合项的纠正和预防
4.2.1 各部门的内部审核员在体系运行控制目标和措施的检查中发现不符合项,应及时下达不符合报告责令相应的责任部门查找原因,制定纠正措施并实施,由内部审核员对实施情况进行验证。
4.2.2 在公司职能部门日常检查中或各部门自行检查中发现的不符合项,如属较轻微能立即纠正的,由检查人员用口头或书面材料的形式要求责任部门相关的责任人在短期内纠正。
4.2.3 发生不符合的部门在制定纠正措施同时,应根据不符合项产生的原因,制定预防措施,以免再次产生此类不符合项。
4.3 体系内部审核中发现的不符合项的纠正
4.3.1 内审中发现不符合项,应由发现不符合项的内审员编写不符合报告,经审核组长同意和被审核部门负责人确认后,下发至相应不符合项产生的部门。
4.3.2 各不符合项产生的部门在不符合报告要求时间内进行原因分析,并制定相应的纠正措施,整改完毕后由内审员进行验证。
4.4 体系外部审核中发现的不符合项纠正措施
体系外部审核中发现的不符合项的纠正,流程和持续改进部应在不符合报告规定的时间内组织不符合项产生的部门进行原因分析,制定相应的纠正
措施,经流程和持续改进部经理或管理者代表批准后由流程和持续改进部负责将整改的书面材料寄送审核机构验证。
4.5 管理评审中提出的不符合项的纠正措施
4.5.1 针对管理评审的结论,管理者代表责成流程和持续改进部对体系进行必要的调整,由各部门根据评审具体实施整改,流程和持续改进部做好跟踪工作。
4.5.2 如果不符合项的发生是由于体系文件制订得不合理,文件需调整时,应对文件进行评审,按《文件控制程序》更改文件。
4.5.3 对引起文件修改的纠正措施,在文件修改后相关部门应组织对相关人员进行培训,按《人力资源控制程序》执行。
4.5.4 流程和持续改进部应做好纠正措施相关记录的保存。在下次管理评审前,将各部门所采取的预防措施的有关情况汇总,报管理者代表,作为管理评审的输入。
5 相关/支持性文件
5.1 《文件控制程序》
5.2 《人力资源控制程序》
5.3 《管理评审控制程序》
5.4 《内部审核控制程序》
6 记录
6.1 《纠正、预防措施记录》
预防措施控制程序
1 目的
为对潜在的不符合进行分析、采取措施,并予以消除,以逐步改进和完善信息技术服务管理体系,特制定本程序。
2 范围
本程序适用于对为消除潜在不符合原因所采取的预防措施的控制。
3 职责
3.1 流程和持续改进部为公司预防措施的归口管理部门。通过组织内部审核等方式对有关部门采取预防措施的过程和有效性进行监督;负责信息技术服务目标方面信息的收集与分析,评价预防措施的需求及组织有关部门采取预防措施并跟踪验证。
3.2 各部门负责识别潜在不符合,并确定其原因,提出、实施预防措施。
4 程序
4.1 预防措施信息来源有:
1) 安全事件记录、事故报告;
2) 日常管理检查及技术检查中提出的不符合;
3) 安全审核日志、监视记录;
4) 以往的内部审核报告及管理评审报告中的不符合项;
5) 相关方的建议或抱怨;
6) 其他有价值的信息等。
4.2 识别潜在的不符合项
公司有关部门应按照本程序第3条款的责任分工利用4.1条款所规定的信息来源,确定潜在不符合及其原因,评价防止不符合发生的措施的需求。采取预防措施应与潜在问题的影响程度相适应,对于以下情况的潜在不符合应采取预防措施:
1) 可能造成信息安全事故;
2) 可能影响顾客满意程度、造成顾客抱怨与投诉;
3) 可能影响本公司的企业形象与经济利益;
4) 可能造成设备与人身安全事故;
5) 可能造成生产经营业务中断;
6) 持续或经常发生的不合格。
4.3 制定预防措施
4.3.1 需制定预防措施时,流程和持续改进部应将有关潜在的不符合信息填入《纠正/预防措施记录》,组织内部审核员对其产生的原因进行调查分析,确定责任部门,管理者代表审定后以《纠正/预防措施记录》形式通知责任部门;
4.3.2 由相关部门对潜在的不符合信息进行调查和原因分析,制定预防措施,报管理者代表批准后予以实施。
4.3.3 预防措施在实施过程中由流程和持续改进部监督实施。涉及流程和持续改进部制订措施并实施时,管理者代表对其负责实施过程实施监督。
4.3.4预防措施实施后的效果验证,由流程和持续改进部组织进行,并将验证结果填入《纠正/预防措施记录》验证栏中,验证不合格的重新按4.3.1款要求进行。
验证内容包括:
1) 预防措施是否按预防措施计划的要求实施;
2) 潜在不符合是否完全消除或减至可行性最低程度;
3) 是否消除了潜在不符合的原因。
4.3.5 预防措施应与潜在问题的影响程度相适应。
4.3.6 当问题原因不确定或责任重大时,由采取预防措施的部门呈报公司主管领导,必要时,应提交公司总裁会进行专题研究,商讨对策。
4.3.7 预防措施需要涉及文件更改的,应对文件进行评审,按《文件控制程序》更改文件。
4.3.8 流程和持续改进部应做好预防措施相关记录的保存。管理评审前,将各部门所采取的预防措施的有关情况汇总,报管理者代表,作为管理评审的输入。
5 相关文件
5.1 《管理手册》
5.2 《文件控制程序》
5.3 《管理评审控制程序》
5.4 《内部审核控制程序》
1.目的
验证信息技术服务管理体系是否符合法律法规要求,是否符合标准和管理体系文件的要求,确保管理体系得到有效地保持和改进。
2.适用范围
适用于公司管理体系所覆盖的所有区域和所有要求的内部审核。
3.职责
3.1体系负责人:全面负责内审工作,确定审核组长及审核员,批准年度内审计划和内部审核报告。
3.2流程和持续改进部:编写年度内审计划,负责组织实施内审工作,并负责内部审核资料的存档。
3.3内审组长:编制、实施内部审核计划,编写内部审核报告,以及监督纠正措施的跟踪验证。
3.4内审员:负责完成指定的审核工作及对纠正措施的跟踪验证,编写不符合项报告。
3.5各相关部门负责配合和接受内部审核,对内审不合格项进行整改。
4.相关文件
《纠正措施控制程序》
5.程序
5.1年度内审计划
5.1.1根据拟审核的活动、区域的状况、重要程度及以往审核的结果,由流程和持续改进部负责策划各部门全年审核方案,编制《年度内审计划》,确定审核的范围、频次和方法,经体系负责人批准后予以实施。每年至少一次全面覆盖公司体系范围内所有要求的内审活动,在出现以下情况时由体系负责人及时组织进行内部审核:
a)组织机构、管理体系发生重大变化;
b)出现重大信息安全事故,或用户对某一环节连续投诉;
c)法律法规及其它外部要求的变更;
d)在接受第二、第三方审核之前;
e)在认证证书到期换证前。
5.1.2根据需要,可审核管理体系覆盖的全部要求和部门,也可以专门针对某几项要求或部门进行重点审核;但全年的内审必须覆盖管理体系全部要求。
5.2审核前的准备
5.2.1体系负责人任命内审组长和内审员,内审员应由与受审部门无直接关系的内审员负责。
5.2.2内审组长根据拟审核的过程、区域的状况和重要性,以及以往审核的结果,策划审核方案,并编制本次《审核实施计划》,交体系负责人审核,总裁批准。计划的编制要具有严肃性和灵活性,其内容主要包括:
a)审核目的、范围、准则、方法;
b)内部审核的工作安排;
c)审核组成员;
d)审核时间、地点;
e)受审部门及审核要点;
f)主要审核活动的预定时间和起止日期;
g)首末次会议召开时间;
h)审核报告分发范围、日期。
5.2.3在了解受审部门的具体情况后,内审组长组织编写《内审检查表》,详细列出审核项目、依据、方法,确保要求无遗漏、审核能顺利进行。
5.2.4内审组长于内审前一周将内审时间通知受审部门,受审部门对内审时间如有异议,应在内审前三天通知内审组长。
5.2.5内部管理体系审核员应经管理体系认证咨询机构培训、考核合格后方能担任。
5.3内审的实施
5.3.1首次会议
a)参加会议人员:公司领导、内审组成员及各部门负责人,与会者在《会议签到表》上签到,并由流程和持续改进部保留会议记录,审核组长主持会议;
b)会议内容:由组长介绍内审目的、范围、准则、方式、组员和内审日程安排及其它有关事项。
5.3.2审核的主要内容
a)公司的方针、目标和指标是否被正确传达和理解;
b)各层管理者、重点岗位是否明确自己在管理方面的职责和权限;
c)管理体系在实际工作中是否正确实施;
d)公司目标、分解目标、指标等是否按计划实施或完成,实现目标的过程控制是否有效;
e)重点岗位员工是否经过必要的培训,并具备必要的技能和意识;
f)有关岗位是否具有适宜的文件;
g)运行过程中发现的不合格品和不符合项是否及时纠正,并采取预防措施防止不合格再次发生;
h)所有记录是否完整、有效和符合要求。
5.3.3现场审核
a)内审组根据内审检查表对受审部门的程序和文件执行情况进行现场审核,将体系运行效果及不符合项详细记录在检查表中;
b)内审组长组织审核组会议,对采取的纠正措施进行确认;
c)现场审核过程中,审核组长召开审核组会议,综合分析检查结果,依据标准、体系文件及有关法律法规要求,必要时还要依据与顾客签订的合同要求,确认不符合项,采取纠正措施,经相关部门负责人确认后,由相关部门分析原因,制定纠正措施,经审核员确认后实施,审核员负责对实施结果跟踪验证,并报告验证结果。
5.3.4末次会议
a)参加人员:领导层、内审组成员及各部门负责人,与会者在《会议签到表》签到,并由流程和持续改进部保留会议记录。审核组长主持会议;
b)会议内容:内审组长重申审核目的,宣读不符合项报告;宣读审核结论;提出完成纠正措施的要求及日期;由公司领导讲话;
c)由流程和持续改进部负责发放《内部审核报告》到各相关部门,并跟踪实施。
5.3.5审核报告
现场审核后一周内,审核组长完成《内部审核报告》,交体系负责人审核,总裁批准。
审核报告内容:
a)审核目的、范围、方法和依据;
b)审核组成员、受审核方代表名单;
c)审核计划实施情况总结;
d)不合格项分布情况分析、不合格数量及严重程度;
e)存在的主要问题分析;
f)管理体系有效性、符合性结论及今后应改进的地方。
5.3.6《内部审核报告》最终经总裁批准,用于进行管理评审的输入之一。
6.记录
《年度内审计划》
《审核实施计划》
《内审检查表》
《不符合项报告》
《内部审核报告》
《会议签到表》
管理评审控制程序
1.目的
按计划的时间间隔评审公司的信息技术服务管理体系,以确保其持续的适宜性、充分性和有效性。
2.范围
本程序适用于公司信息技术服务管理体系的评审。
3.职责
3.1总裁主持管理评审活动,批准《管理评审报告》。
3.2体系负责人负责向总裁报告信息技术服务管理体系运行情况,提出改进建议;审核《管理评审计划》,编写《管理评审报告》;负责对评审后的纠正、预防措施进行跟踪和验证。
3.3流程和持续改进部负责《管理评审计划》的拟定;收集、提供和保管管理评审所需资料。
3.4各部门负责提供与本部门有关的评审所需资料;负责实施管理评审中提出的相关纠正、预防措施。
4.相关文件
《管理手册》
《纠正措施控制程序》
5.程序
5.1管理评审策划
5.1.1体系负责人负责管理评审策划:本公司每年至少进行一次管理评审,原则上定于每年一季度后20天内,主要采用管理评审会议形式,实际公司在体系运行3个月后安排一次管理评审,可结合内审结果进行,也可根据需要安排。
5.1.2当出现下列情况之一时可增加管理评审频次:
(1)公司组织机构、服务内容、资源配置发生重大变化;
(2)发生重大重大信息安全事件、用户有严重投诉或投诉连续发生时;
(3)国家法律法规及其它要求有变化时;
(4)体系审核中发现严重不合格时;
(5)即将进行第二、三方审核。
5.2编制管理评审计划流程和持续改进部于每次管理评审前30天编制《管理评审计划》,报总裁批准。计划主要内容包括:
5.2.1评审时间、地点、主持人。
5.2.2评审目的。
5.2.3参加评审部门(人员)。
5.2.4评审内容。
5.2.5各部门准备工作要求。
5.2.6流程和持续改进部在管理评审会议召开前10日以上,将《管理评审计划》分发到各部门。
5.4管理评审输入
5.4.1各部门在接到《管理评审计划》后,收集和准备管理评审输入的资料,管理评审输入应包括与以下方面有关的当前的业绩和改进的机会:
(1)体系方针、目标及指标的达成情况及适宜性、有效性。
(2)公司体系内部审核、外部审核的结果;
(3)相关方的反馈,包括内部部门和其他第三方。;
(4)公司用于改进管理体系的执行情况和有效性的技术、软件或规程;
(5)纠正和预防措施的状况;
(6)以往风险评估没有充分强调的脆弱点或威胁;
(7)有效性测量的结果;
(8)客户满意度调查分析报告和客户投诉及处理结果;
(9)重大质量安全事故的发生、处理,以及改进的建议;
(10)人力资源的需求:考评结果、改进需求、人员调整;
(11)以往管理评审的跟踪措施;
(12)可能影响信息安全管理体系的任何变更;
(13)改进的建议。
5.4.2流程和持续改进部收集管理评审输入资料。
5.4.3流程和持续改进部在管理评审会议前将收集的资料发放到各部门,各部门针对上述资料做好会议准备。
5.5管理评审实施
5.5.1总裁、体系负责人和各部门负责人参加管理评审会议流程和持续改进部负责会议的组织工作,填写《会议签到表》。
5.5.2总裁主持管理评审会议,参会人员对评审输入做出评价,对于存在或潜在的不合格项提出纠正和预防措施,确定责任人和整改时间流程和持续改进部做好《管理评审记录》。
5.5.3总裁对所涉及的评审内容做出结论。
5.6管理评审输出
5.6.1管理评审会议应形成管理评审输出,编制《管理评审报告》,内容包括:
(1)信息技术服务管理体系有效性的改进;
(2)风险评估和风险处置计划的更新;
(3)必要时修改影响信息技术服务的规程和控制措施,以影响内部或外部可能影响信息技术服务管理体系的事态,包括以下变更
——业务要求;
——安全要求;
——服务的变更;
——影响现有业务要求的业务过程;
——法律法规要求;
——合同义务;
——风险级别和/或接受风险的准则;
(4)资源需求;
(5)控制措施有效性测量方法的改进。
5.6.2流程和持续改进部编制《管理评审报告》,经体系负责人批准,发放至各部门。各部门按照《纠正措施控制程序》进行整改关闭,监督实施情况。
5.7流程和持续改进部按照《记录控制程序》保存管理评审资料。
6.记录
《管理评审计划》《管理评审报告》《会议签到表》
人力资源控制程序
1.目的
为了确保满足公司体系运行所需的人才,并且保证在体系运行中承担规定职责的所有人员能够具备相应的能力,同时提高公司全体员工的素质和信息安全意识,掌握与本岗位有关的知识与技能,满足管理体系的有效运行的需要。
为了规范公司人力资源日常管理的需要。
2范围
本程序适用于对公司范围内的人力资源的安排、培训、考察、任用、辞退的控制。
3职责
3.1 行政人事部
行政人事部为公司人力资源归口管理部门,主要负责吸引、录用、保持、发展、评价及调整公司所需人力资源。
a)确定各部门的职责范围,对各岗位职责和任职要求做出规定。
b)负责对人力资源现状做出评估,制订培训/招聘/内部岗位调整等措施以满足需求。
c)负责有效的配置各类人员,包括招聘、评价、鉴别公司所需的各个层次的人才,如任用、安置、调配、考核、评价、辞退、储备等。
d)负责公司人力资源的培训与开发工作,特别是根据公司发展需要和个人发展的要求,而对员工开展的提高性培训与教育。
e)负责人力资源档案,以及有关员工个人工作表现、评价记录、工资福利、岗位变动、奖惩、培训和工作业绩考核等材料的日常管理工作。
3.2各部门
a)部门经理负责提出本部门人员需求、参加招聘、日常考核并决定该部门员工劳动合同是否续签或终止。
b)根据公司《年度人力资源需求计划》及本部门的工作设计和岗位需求,合理安排/调整各岗位人员的配置。
c)负责提交本部门年度培训计划规划及具体需求。
d)负责本部门员工培训的实施和考核,并配合其它部门的培训和考核。
e)负责本部门员工的绩效考核和日常管理。
4.相关文件
4.1《文件控制程序》
4.2《记录控制程序》
4,3《各级人员职责及任职要求》
4.4《员工招聘管理策略》
4.5《员工培训管理策略》
4.6《员工离职管理策略》
5程序
5.1员工招聘和录用