ISO管理体系手册V20.docx
《ISO管理体系手册V20.docx》由会员分享,可在线阅读,更多相关《ISO管理体系手册V20.docx(23页珍藏版)》请在冰豆网上搜索。
ISO管理体系手册V20
城云科技(杭州)有限公司
管理手册
文档编号
0.1
受控状态
受控
版本号
V2.0
作者
鄂鹏羽
审核人
李振华
批准人
夏敏
发布日期
2014/12/1
批准日期
2014/12/1
修改记录
修改日期
版本号
修改内容
修改人
2014/12/1
V2.0
生成
鄂鹏羽
管理体系颁布令
为加强公司质量和信息安全方面的管理水平,确保稳定地提供满足顾客要求和适用法律、法规要求的产品,提高产品质量,降低信息安全风险,特别是对信息安全重大风险进行有效控制,持续改进管理水平,公司依据GB/T19001-2008《质量管理体系要求》、ISO/IEC27001:
2013《信息技术安全技术信息安全管理体系要求》和国家相关法律法规及公司相关规定,建立“二合一”管理体系,编制了管理体系手册集,本管理体系手册集由《管理体系手册》、《管理体系手册-质量管理分册》、《管理体系手册-信息安全管理分册》和《管理体系职能分配表》组成。
《管理体系手册》:
是“二合一”管理体系的共用部分,规定了质量管理体系和信息安全管理体系的覆盖范围,规定了文件化的程序及对其的引用,规定了体系所含的过程及其过程相互作用的表述,明确了公司“二合一”管理体系的管理方针和目标。
《管理体系手册-质量管理分册》:
明确了产品实现过程的控制要求。
《管理体系手册-信息安全管理分册》:
明确了信息安全风险评估和控制措施选择的有关控制要求。
《管理体系职能分配表》:
明确了各部门有关质量管理和信息安全管理的职责。
本管理体系手册集是公司质量管理和信息安全管理的纲领性文件,是“二合一”管理体系的基本准则,全体员工必须认真贯彻执行,确保“二合一”管理体系持续有效运行。
本管理手册自2014年12月1日起正式实施。
总裁:
夏敏
批准日期:
2014年12月1日
目录
1手册说明5
1.1编写目的5
1.2适用范围5
1.3结构说明5
1.4编写依据6
1.5术语定义6
2组织背景7
2.1公司现状及背景7
2.1.1公司简介7
2.1.2管理体系组织结构7
2.2理解相关方的需求和期望8
2.3确定管理体系范围8
2.4管理体系9
3管理职责9
3.1管理承诺9
3.2角色、责任和承诺9
3.2.1总裁10
3.2.2云工程体系10
3.2.3云业务体系10
3.2.4云运营体系13
3.2.5研发体系14
3.2.6智慧城市办公室15
3.2.7咨询规划研究院16
3.2.8财务体系16
3.2.9管理体系16
3.2.10战略体系17
4计划17
4.1处理风险和机遇的行动17
4.2可实现的方针、目标和计划18
4.2.1方针18
4.2.2可实现的目标19
5资源管理19
5.1资源提供19
5.2能力保证20
5.2.1人力资源及安全保证20
5.2.2基础设施和设备安全20
5.2.3工作环境和安全区域20
5.3意识教育21
5.4沟通管理21
5.5文件管理21
5.5.1总则21
5.5.2创建和更新21
5.5.3文件控制22
5.5.4记录的控制22
6运行22
6.1运行计划及控制22
6.2风险评估23
6.3风险处置23
7绩效评价24
7.1监视、测量、分析和评价24
7.1.1策划24
7.1.2监视、测量、分析和评价24
7.2内部审核25
7.3管理评审26
7.3.1管理评审的输入26
7.3.2管理评审的输出26
8.持续改进27
8.1不符合及纠正措施27
8.1.1总则27
8.1.2不合格品的评审和处置27
8.1.3纠正措施27
8.1.5预防措施28
8.2持续改进28
1手册说明
1.1编写目的
编写本手册的目的:
1)为了在产品和服务提供过程中预防发生不合格,达到顾客满意;能够持续提供满足顾客要求的产品,也是作为向顾客证明具有质量保证能力之用,城云(杭州)有限公司依据质量管理国际标准GB/T19001-2008,建立遵照国际标准、适应客户需求和管理要求、持续优化的质量管理体系;
2)为提升信息安全管理的科学化、规范化和专业化,城云(杭州)有限公司依据信息安全管理国际标准ISO/IEC27001:
2013,建立符合国际标准、适应业务安全需求和管理要求的信息安全管理体系(以下简称“ISMS“),以保障公司范围内所属信息资产的保密性、完整性及可用性,并符合相关法律法规的要求。
1.2适用范围
本文适用于城云(杭州)有限公司在应用软件开发、系统集成、IT技术服务和IT相关的信息安全管理活动时使用。
1.3结构说明
本手册由以下几个章节组成:
第1章,“手册说明”,描述了本文的编写目的、适用范围、编写依据、术语定义;
第2章,“组织背景”,描述了公司现状及背景、组织架构,明确了相关方的需求和期望,确定了管理体系的范围及管理体系;
第3章,“管理职责”,主要内容有管理承诺、方针以及角色、责任和承诺;
第4章,“体系策划”,描述了风险管理,并制定了可实现的质量和信息安全二体系的目标和计划;
第5章,“资源管理”,描述了资源提供、能力保证、意识教育、沟通管理以及文件管理等内容;
第6章,“体系运行”,描述了体系运行计划的制定及控制措施以及风险评估和风险处置的内容;
第7章,“绩效评价”,描述了体系运行中的监督、测量、分析和评价,以及自我完善机制;
第8章,“持续改进”,描述了不符合及纠正措施以及持续改进的相关内容。
1.4编写依据
ØGB/T19001-2008idtISO9001:
2008
ØISO/IEC27001:
2013信息安全管理体系要求
Ø《GB/T19000-2008idtISO9000:
2005质量管理体系基础和术语》
Ø《GB/T19004-2000idtISO9004:
2000质量管理体系业绩改进指南》
Ø《GB/T19023-2003idtISO/TR10013:
2001质量手册编制指南》
1.5术语定义
ØGB/T19000-2008/ISO9000:
2005的术语和定义适用于本文档;
ØISO/IEC27001:
2013《信息安全管理体系要求》及ISO/IEC27002:
2013《信息安全管理实用规则》中的术语和定义适用于本文档;
2组织背景
2.1公司现状及背景
3)
4)
4.1
2.1.1公司简介
城云科技(杭州)有限公司是一家专业从事智能互联城市业务的外商独资企业,总部设在杭州,员工人数为300人左右。
厚积薄发、凌云之志。
城云科技通过引进全球500强企业的先进技术、管理理念和运营经验,发挥国内知名IT企业的本土化经验优势和渠道优势,加强与一流大学在产学研一体化、人才储备等方面的战略合作,立足自主创新,打造拥有自主知识产权的智能互联城市公共服务云平台,并提供基于平台之上的各类云服务,以创新的服务理念、运营能力及商业模式服务中国智慧城市的快速发展。
在市场策略上,城云科技将立足杭州、服务浙江、辐射全国,把杭州市打造成智能互联城市公共服务云平台的标杆和样板,同时通过开放式创新和合作,打造智慧城市产业链,促进杭州市产业升级,提高城市竞争力。
城云科技愿景:
打造国内一流,世界领先的产品和品牌,成为国内最大的智能互联城市云服务公司,为客户、员工创造最大价值!
2.1.2管理体系组织结构
管理体系组织范围详细内容见2.3-确定管理体系范围的组织单元。
2.2理解相关方的需求和期望
为理解和满足顾客和相关方的需求和期望,公司应做到下列要求:
A.识别顾客的需求和期望,努力将其转化为产品的要求;
B.在组织内沟通顾客的要求和期望;
C.注重过程改进,确保实现顾客的要求和期望。
D.首席执行官通过内部管理,加大宣传力度,使员工的各项工作以提高顾客满意为目的,在公司产品实现的设计开发、采购、系统集成、测量监视等与顾客有关的各个过程中,确保为客户提供高质量的产品、高水平的技术和高效率的服务,并通过合同评审和顾客满意度调查,达到以顾客为关注焦点的质量目标。
E.“挖掘顾客需求,增进顾客满意”。
坚持将客户需求放在首要地位。
因为只有满足客户需求及客户的潜在需求,才能更好的服务客户,增加客户满意。
F.满足已识别的信息安全需求,包括但不限于:
✧法律、法规和合同要求;
✧公司风险评估的结果。
2.3确定管理体系范围
应确定管理体系的边界和适用性,以确定其范围:
Ø质量管理体系的范围:
物理位置:
杭州市滨江区长河街道江南大道588号恒鑫大厦17-18层。
组织单元:
云工程体系、研发体系、管理体系。
业务范围:
应用软件开发、系统集成和IT技术服务
Ø信息安全管理体系的范围:
物理位置:
杭州市滨江区长河街道江南大道588号恒鑫大厦17-18层。
组织单元:
云工程体系、云运营体系、研发体系、财务体系、管理体系。
业务范围:
云服务、计算机信息系统集成和应用软件开发。
2.4管理体系
依据GB/T19001-2008和ISO/IEC27001:
2013标准的要求建立、实施、保持和持续改进管理体系。
本组织目前不涉及产品实现过程的外包和其他方运行的服务过程。
3管理职责
3
3.1管理承诺
公司CEO通过以下活动对公司建立和实施的管理体系及不断改进其有效性的承诺提供证据:
1)通过文件、例会、内部网络等形式向全体员工传达加强质量和信息安全管理,提高产品和服务质量,满足顾客要求和法规要求是公司生存的基础和前提;
2)制定公司的管理方针和管理目标并颁布实施;
3)主持和实施管理评审;
4)确保公司管理体系运行和产品实现所需的资源,并责成主管部门优化配备和有效使用方针。
5)建立运行维护和改进管理体系的组织并明确职责;
6)通过适当的沟通方式,向全体员工传达满足管理目标、符合管理方针以及法律法规要求和持续改进的重要性;
7)对不可接受风险的级别进行决策。
3.2角色、责任和承诺
为了保证管理体系的有效运行和持续改进,公司特别成立了领导小组和工作小组,领导小组包括总裁和副总裁,工作小组包括各部门负责人。
各部门均应按照管理体系各项要求严格执行。
为确保管理体系的有效实施,各项职责明确、清晰地落实到责任部门,本公司制定了《管理体系职能分配表》。
公司全体人员要严格遵守各岗位职责和权限。
3.2.1总裁
1)确定和颁布公司的质量方针,采取有效方式保证公司各级人员都能正确理解质量方针并贯彻执行;
2)确定机构设置,任命管理者代表及各部门负责人;
3)定期进行管理评审,保持质量管理体系持续有效运行;
4)批准颁布质量手册;
5)为各项质量活动提供必要的资源;
6)确保顾客要求得到识别和顾客满意;
7)负责质量管理体系的持续改进。
3.2.2云工程体系
1)负责云工程的设计实施;
2)负责云工程的售后服务。
3.2.3云业务体系
●城市云事业部
根据公司整体战略安排打造城市云事业部,通过核心产品积极拓展云运营、云服务业务,完成各项业务销售、毛利和利润要求。
主要职责:
1)根据年度工作目标,合理编制预算,规划部门组织架构,制定年度管理及考核办法;
2)负责建设和完善本部门的销售、咨询、产品、交付和研发各项能力体系的打造,并制定相关考核与激励办法;
3)负责建立以市场为中心的销售体系和产品咨询服务体系,大力拓展省内外客户;
4)负责营销管理和商机管理,制定并落实商机管理办法;
5)负责制定并落实面向本部门的项目实施管理办法和服务规范;
6)提出新产品或者增值业务开发需求
7)完成公司管理层交办的其它工作
●企业云事业部
是公司云业务体系下的战略创新业务单元,根据公司整体战略及创新工作安排制定企业云事业部的工作目标、方针、政策及业务规划,积极开展业务工作,完成各项业务指标。
主要职责:
1)面向大型企事业单位实现自有IAAS和PAAS产品的商业化销售和交付;基于企业级云解决方案为政府、事业单位、企业提供高效便捷快速简单部署、高可用性和可靠性、弹性伸缩的IT计算架构;基于智慧企业服务解决方案,为用户打造互联、协同、融合、移动的创新应用体验;发展和实践创新的企业SaaS运营;
2)根据年度预算,负责市场营销、产品管理、咨询及销售、工程交付及客户服务,完成公司下达给企业云事业部的经营预算目标
3)负责开展目标领域的市场调查、分析,积极开展市场宣传和客户联系,积极推动业务发展
4)负责自有IaaS、PaaS云平台的产品规划、设计,并协同研发体系实现全面的产品管理和持续改进,完善相应的产品资料;负责创新和发展以大数据、物联网为核心技术应用的智慧企业服务解决方案,不断提高产品核心竞争力;
5)建立以客户为中心的工程交付规范和流程服务体系,建立云平台产品咨询及工程交付能力,打造以大客户为中心的智慧企业咨询、产品服务设计及客户服务能力,承担企业云产品和服务工程交付;
6)负责本部门团队管理,参与制定销售队伍激励体系,负责销售工具开发和培训;
7)基于城云的IAAS,PAAS运营服务,提供SAAS形态的企业级创新应用。
提出新产品或者增值业务开发需求
●中小企业云事业部
负责中小企业云平台的技术研发、市场、销售和运营工作,具体职责:
1)根据年度预算,负责营销管理和项目机会管理,完成公司下达给协作云事业部的经营预算目标
2)在研发方面负责平台后台交易系统的研发、负责平台前端APP和网站的研发、负责微站等企业SAAS服务的研发、负责TPAASAPI接口的嵌入、负责设计中小企业云的产品
3)在销售管理方面负责按照行业和品类招入平台核心服务提供商,负责通过外包的电话销售团队,销售平台会员服务和SAAS服务,负责招募和管理、激励核心代理商;按照区域进行配置
4)在运营方面负责平台日常的维护和管理、负责平台网站品类的编辑和运营、负责APP的编辑和运营
5)在市场方面负责平台推广的总体市场策划和执行、负责线上活动的策划和执行、负责线下活动的策划和执行。
●协作云事业部
负责在公司总体市场策略的指导下,组织开展协作云的营销工作,是公司的利润中心。
主要职责:
1)根据年度预算,负责营销管理和项目机会管理,完成公司下达给协作云事业部的经营预算目标
2)负责渠道策略、规划,制定渠道利益体系和渠道合作伙伴管理;
3)负责本部门团队管理,参与制定销售队伍激励体系,负责销售工具开发和培训;
4)提出新产品或者增值业务开发需求
5)负责制定面向本事业部的客户项目实施管理办法和服务规范
6)负责协作云产品的售前支撑和解决方案的管理
7)参与制定协作云通讯产品的资费政策
8)完成公司管理层交办的其它工作
3.2.4云运营体系
●云平台运营部
建立一套高效、便捷、快速的扁平化运营体系;以市场和客户为中心,提供“一站式”支撑保障机制;全方位建设以服务提供、支撑保障、成本控制、跨技术协同为核心的能力优势,探索全新的云服务商业运营模式。
负责客户交付工作,包括客户响应、云平台运维、建设等工作;负责云平台的投资需求管理。
主要职责:
1)负责平台的总体规划和投资规划、实施平台建设管理,负责云平台的投资需求管理,负责建设项目的可行性研究、工程设计、项目实施,负责项目初验、终验;
2)制定云平台运行维护规程、管理制度、生产流程,组织实施运行维护的管理和生产作业;
3)负责协作云产品规划、需求制定、研发、项目交付、客户重保工作,完善客户响应及技术服务支撑体系;
4)负责制定属地维护规范,并负责代维单位的管理;
5)负责平台等生产类固定资产管理;
6)根据公司客户服务标准、流程和管理规范,负责接受客户咨询和为客户办理各种业务,集中受理与处理客户投诉和申诉,负责障碍申告的受理,负责服务质量的管控;负责客户的维系和网厅等新型渠道的管理;
7)负责并实施业务支撑系统的规划、设计、建设、维护工作;负责完成业务的统一出账、出帐核查、数据分析、成产品和活动配置、佣金结算等工作;
8)负责公司IT需求、网络环境、演示环境的规划、实施和整合利用;负责公司云平台维护及规划。
9)完成公司管理层交办的其它工作
●经营管理部
在公司整体战略指导下,研究制定市场营销策略,负责经营预算、业务计划和业务管理,负责各事业部BU的协调发展
具体职责:
1)制定云运营和云服务业务的发展规划和市场策略,负责经营计划及预算的编制、分解、下达、监督和考核;
2)负责制定总体定价政策,负责管理产品目录和合同管理
3)负责云数据的业务管理,组织制定业务管理规范、业务流程,负责制定收入归集规范并监督执行,负责客户资料管理、欠费管理、业务稽核、调账管理;
4)负责公司整体的渠道冲突协调;并建立项目报备机制
5)负责提供绩效考核相关的业务数据
6)完成公司管理层交办的其它工作
3.2.5研发体系
●研发部
负责软件研发的归口管理并组织实施,对平台建设提供支持。
具体职责:
1)负责公司研发项目的管理,负责项目跟踪质控体系的建设,负责审核软件外包业务,负责与外部企业和高校的技术合作,
2)负责IaaS/PaaS/大数据等核心云平台产品的研发、测试并交付
3)负责协作云平台WiFi云平台软件的研发、测试并交付
4)负责版权和专利申请,形成公司的无形资产积累,形成公司的核心竞争力
5)根据销售部门、客户管理部门等部门提出的新产品和增值业务开发需求,组织研发并予以交付
6)负责技术战略,落实技术储备,形成公司的技术竞争力;负责研发体系和能力建设
7)负责客户技术需求趋势的把握和研究,为业务体系提供咨询服务
8)形成创新研发激励机制
9)完成公司管理层交办的其它工作
●联合研究院
主要负责针对城云核心云产品研发体系提供技术支撑,联合城云一同申报项目。
形成产学研一体化布局。
负责大型软件系统的研发,PaaS产品关键技术的研发和论证;基础架构的研发和论证,大数据平台的研发和论证;物联网关键技术的研发和论证。
通过联合研究院申请国家、省、市项目。
3.2.6智慧城市办公室
杭州分公司前身,创新业务战略型业务的拓展,战略客户关系的拓展和维护,为创新业务的开展提供支撑。
从顶层设计入手,战略上占据制高点;以思科总部落户为契机,打造智慧上城城市云,创新政府采购云服务的商业模式;运营公共信息服务平台,占据杭州数据开发高地
3.2.7咨询规划研究院
整合外部政产学专家资源,整理发布相关论文,为企业赢得项目和资源机会,面向城市、政府和大企业客户,开展智慧城市顶层设计和私有云建设等咨询规划;形成咨询团队,引导并总结客户思维,推荐城云服务,引领后台能力准备,开展监理工作
3.2.8财务体系
●财务部
负责财务系统、预算系统的制度建设、财务系统的实务运营与监督管理,保证资金的正常运营以及各区域的财务管理,负责运营信息数据统计与分析及项目核算管理、费用核算管理以及数据管理等工作。
3.2.9管理体系
●知识资源部
负责知识产权和信息安全管理,负责政府类、企业类大客户知识产权的管理,负责企业无形资产的管理;企业规章制度的报备管理。
●人力资源部
负责人力资源规划,建立和运行人力资源管理体系,全面控制人力成本,为实现公司经营发展战略目标提供人力保障。
●综合管理部
负责行政办公、用章管理、后勤保障等工作,为公司发展提供行政服务支持保障。
3.2.10战略体系
●战略规划部
负责基于董事会的要求,不断推进完善公司战略和商业模式的研究及梳理,形成以公司创新业务商业计划为核心的公司战略。
●企业发展部
负责公司品牌全案的建设,提高品牌知名度,形成品牌美誉度与忠诚度,为实现营销目标提供品牌支持。
结合公司的经营战略和营销目标,为营销战略、战术的制定提供支持,制定和执行公司相关的市场活动工作。
●渠道管理部
主要负责思科合作伙伴战略关系、渠道落实、资质、资源申请;Intercloud中国节点相关工作。
4计划
4.1处理风险和机遇的行动
在规划管理体系时,管理层要考虑公司现状及背景和相关方的需求和期望,确定需要解决的管理风险和机遇:
1)确保管理系统能够实现预期的结果;
2)防止或减少不良反应;
3)实现持续改进。
组织应根据识别环境风险和机遇的结果制定处置计划:
4)解决风险和发现机遇的行动;
5)如何来做;
6)集成和实施行动并纳入其管理体系的全过程;
7)对这些行动的有效性进行评估。
公司每年定期结合管理评审更新识别内外部环境风险和机遇,突发性重大事件事故也会激发更新识别的临时机会。
4.2可实现的方针、目标和计划
管理层应确保在公司各职能层次上建立可实现的管理体系方针、目标,并对整体目标的实现负责。
管理目标与方针应保持一致性,且可操作、可测量、有效,以便评价和考核。
公司应对年度管理目标进行评审,并依据评审结果进行修订。
公司为确保目标的实现,在各个职能层次分解了相应的目标;当各层次目标无法通过日常运行控制方式来保障实现时,应该编制实现该目标的实施计划。
4.2.1方针
Ø质量方针
公司的质量方针:
“自主创新,持续改进,顾客满意”。
。
具体解释为:
以"自主创新"作为公司的经营理念和技术策略,通过开放式创新和自主研发,开发技术领先的产品,并把产品质量放在首要位置;持续改进管理体系,提高产品与服务质量,追求达到顾客满意。
质量方针是我公司对满足客户要求和持续改进质量管理体系的承诺,是公司全体员工的工作准则。
为保证质量方针的贯彻执行,公司采取以下措施:
1)确保制定的质量方针与组织的宗旨相适应;
2)质量方针包括对符合要求和持续改进质量管理体系有效性的承诺;
3)以质量方针为框架,制定和评审质量目标;
4)对全体员工进行培训,确保全体员工都理解公司的质量方针,并在各自的岗位上自觉执行。
5)加强对员工的培训,提高其质量意识和技术水平,为质量方针的实施提供保证。
6)确保质量管理体系运行所需的各种资源。
7)每年进行一次内部质量管理体系审核,每年进行一次管理评审,对质量方针、质量目标进行评审,不断改进质量管理体系,保持持续的适宜性。
Ø信息安全方针
公司的信息安全方针是:
“专业,安全,高效”。
●专业:
客户服务、方案、管理、流程和人员的专业性;
●安全:
确保客户和服务的信息安全,让客户放心的将服务交给城云科技;
●高效:
提升服务团队的运作效率、规范性和专业性。
4.2.2可实现的目标
Ø质量目标:
1、本公司对质量目标实行管理的具体要求规定为:
●顾客满意度85分或满意级以上。
●按期交付验收合格率90%以上。
2、对公司质量目标进行分解,制定部门级的质量目标,并纳入部门年度工作计划中。
每年初由公司文件进行发
升级会员 