质量和信息安全手册.doc

质量和信息安全手册XXXXX公司质量和信息安全手册修改控制页文件编号版本号编写单位归档单位页数保存期限发布日期实施日期日期版本号修改条款修改内容修改者批准者1 质量和信息安全管理手册发布令 72 公司简介 83 质量和信息安全手册的目的和范围 93．1 质量和信息安全手册目的 93．2 质量和信息安全管理体系适用范围 94 质量和信息安全管理体系文件及手册的修订 94．1 质量和信息安全管理体系文件应包括： 94．2 质量和信息安全手册的修订 105 引用标准及术语和定义 105．1 引用标准 105．2 术语和定义 106 质量和信息安全管理体系 146．1 质量和信息安全管理体系的方针及总要求 146．1．1 质量和信息安全管理体系的方针和目标 146．1．2 质量和信息安全管理体系总要求 146．2 质量和信息安全管理体系应遵循的原则 156．3 建立和管理质量和信息安全管理体系 166．3．1 建立质量和信息安全管理体系 166．3．2 实施并运作质量和信息安全管理体系 196．3．3 监控并评审质量和信息安全管理体系 196．3．4 保持并持续改进质量和信息安全管理体系 206．4 文件要求 216．4．1 总则 216．4．2 质量和信息安全手册 216．4．3 文件和资料管理 216．4．4 记录控制 227 管理职责 227．1 CEO承诺 227．2 公司的组织机构图 237．3职责和权限 247．3．1 质量和信息安全管理体系组织结构 247．3．2 XXXXX公司质量和信息安全管理体系组织结构组成人员： 257．3．3 信息安全管理体系的职责： 267．4 质量和信息安全管理体系职责分配表 318 质量和信息安全管理体系内部审核 358．1 目的 368．2 适用范围 368．3 程序概要 368．3．1 编制审核计划 368．3．2 审核前的准备 368．3．3 审核实施 378．3．4 审核报告 378．3．5 审核报告内容 388．3．6 《内审报告》需提交管理评审，作为管理评审的依据之一。

388．3．7 内审记录（内审实施计划、签到表、检查表、审核记录、不合格项统计表、内审报告）由ISO工作组保存 388．4 质量和信息安全记录 389 质量和信息安全管理体系管理评审 389．1 目的 389．2 适用范围 399．3 职责 399．4 程序概要 399．4．1 总则 399．4．2 管理评审输入内容 399．4．3 管理评审输出内容 409．4．4 管理评审程序 409．4．5 信息安全记录 4110 质量和信息安全管理体系的改进 4110．1 目的 4110．2 适用范围 4110．3 职责 4210．4 程序 4210．4．1 持续改进的技术与机会 4210．5 纠正措施 4310．6 预防措施 4310．7 质量和信息安全记录 4411 文件控制程序 4411．1 总则 4411．1．1 目的 4411．1．2 范围 4411．2 职责 4511．3 文件控制程序 4511．3．1 文件控制要求 4511．3．2 文件的分类、编制、审核、批准的控制： 4511．3．3 文件管理 4612 记录控制程序 4612．1 目的 4612．2 信息安全记录控制程序 4613 资源管理 4713．1 资源的提供 4713．1．1总则 4713．1．2 适用范围 4713．1．3 职责 4713．1．4 要求 4813．2 人力资源控制程序 4813．2．1 目的 4813．2．2 适用范围 4813．2．3 程序概要 4813．2．4 质量记录 4913．3 质量和信息安全职责 5013．4 质量和信息安全培训、意识和能力 5013．5 设施和设备管理程序 5013．5．1 目的 5013．5．2 适用范围 5013．5．3 职责 5113．5．4 程序概要 5113．5．5 支持性文件 5113．5．6 质量和信息安全记录 5213．6 工作环境 5213．6．1 目的 5213．6．2 适用范围 5213．6．3 职责 5213．6．4 环境控制要求 5213．6．5 支持性文件 5314 产品实现 5314．1 产品实现的策划 5314．1．1 目的 5314．1．2 适用范围 5314．1．3 职责 5314．1．4 程序概要 5314．1．5 支持性文件 5414．1．6 质量记录 5414．2 与顾客有关的过程控制程序 5514．2．1 目的 5514．2．2 适用范围 5514．2．3 职责 5514．2．4 程序概要 5514．2．5 质量记录 5714．3 设计开发控制程序 5714．3．1 目的 5714．3．2 适用范围 5714．3．3 职责 5714．3．4 程序设计 5814．3．5 质量记录 5914． 4采购控制程序 5914．4．1 目的 5914．4．2 适用范围 6014．4．3 职责 6014．4．4 程序概要 6014．4．5 质量记录 6214． 5生产和服务的运作 6214．5．1 总则 6214．5．2 适用范围 6314．5．3 职责 6314．5．4 程序 6315 监视和测量装置的控制程序 6515．1 总则 6515．2 适用范围 6515．3 职责 6515．4 程序 6615．5 质量记录 66 1 质量和信息安全管理手册发布令质量和信息安全管理手册发布令本《质量和信息安全管理手册》(以下简称手册)第A1版是公司按照G ISO/IEC 9001:2000 ISO/IEC 27001:2005《信息安全管理体系要求》，并结合我们公司管理工作的实践和公司组织机构的设置而编写的，体现了公司对质量和信息安全的承诺及持续改进的要求。

本手册贯穿了公司质量和信息安全管理体系各条款的要求，符合我公司的实际运作情况，可作为向客户及第三方组织提供质量和信息安全保证和进行质量和信息安全管理体系审核的依据，全体员工必须严格遵照执行现予以批准，同意发布实施CEO：批准日期：2008年 6月2日2 公司简介XXXXX公司是一家领先的一体化业务流程外包服务公司，主要服务于银行、保险、电信和医疗保健行业，解决他们对关键数据和文档处理的迫切需求，并以其对数据安全和准确性的高度关注享誉业界XXXXX公司立足中国、面向全球，充分利用中国丰富的人力资源优势，高度发达的电信设施以及成熟的技术方案，为日益扩大的全球客户群提供专业的服务XXXXX公司公司前身为珠海银网数据处理有限公司，自1998年成立以来，每年都有长足的进步自2003年起，公司由系统集成商向外包服务商转型，致力于成为中国乃至整个亚太地区银行和保险行业最大的业务流程外包服务公司公司运营和市场总部设在北京，其中北京数据处理中心于2004年9月投入运作，上海数据处理中心于2006年7月建成并投入运作我们的使命：致力于利用规模效益和和技术解决方案，帮助客户降低运作成本XXXXX公司凭借低成本的专业人才、先进的软件技术、现代化的设施以及深厚的行业流程专长，为客户带来明显可见的成本节省。

我们的核心价值：我们为客户提供更安全，更准确，更快捷，更便宜的数据处理解决方案，帮助他们专注核心业务，降低运营成本XXXXX公司采用创新的商业模式，革命性地把传统上离散的、小规模和作坊式数据处理业务转化为大规模的工业化生产，并利用现代通讯技术环境和成熟的数据录入系统，使得数据录入可以把成百上千的数据录入人员集中在一个大规模的作业中心，在统一的数据录入系统上同时作业，真正为客户提供更安全，更准确，更快捷，更便宜的服务通讯地址： 北京市XXX 邮政编码：101300： 010-XXX： 010-网址： www.XXXXX公司.com3 质量和信息安全手册的目的和范围3．1 质量和信息安全手册目的本手册是依据ISO/IEC 9001:2000和ISO/IEC 27001:2005《质量和信息安全管理体系要求》和XXXXX公司的实际情况相结合编制而成，用于建立、健全本公司质量和信息安全管理体系，确定质量和信息安全方针，对质量和信息安全风险进行有效管理，确保全体员工理解并遵照执行质量和信息安全管理体系文件、持续改进质量和信息安全管理体系的有效性，保证公司的质量和信息安全，证实公司有能力稳定地提供满足客户的符合法律、法规的安全要求，并通过体系的有效应用，包括持续改进和预防不安全的过程而达到公司管理层和客户满意，在合同条件下向客户和第三方证明我公司的信息安全管理体系能满足规定的安全标准。

3．2 质量和信息安全管理体系适用范围XXXXX公司质量和信息安全管理系统涵盖的范围包括业务流程外包服务（包括数据捕捉，图像处理，图像及数据的储存、提取、查询和销售等），业务流程外包软件的开发和维护，及与以上业务有关联的工具和设施此范围定义符合最新版本的应用声明4 质量和信息安全管理体系文件及手册的修订4．1 质量和信息安全管理体系文件应包括：l 质量和信息安全手册l 信息安全策略文件；l 本标准所要求编制的程序文件；l 为确保质量和信息安全管理体系的有效运行，规定编制相关文件；l 公司要求建立的质量和信息安全记录4．2 质量和信息安全手册的修订公司ISO工作组负责组织质量和信息安全手册的修订，手册的修订根据XXXXX公司的实际情况，可对整章或个别条款进行修订如遇下列情况可考虑换版：l XXXXX公司质量和信息安全管理体系的组织机构有较大变化时；l 手册的依据标准、法规有较大修改时；l 公司所处的环境业务范围发生重大变化时；l 公司的质量和信息安全方针和目标有所变更时；l 某个章节修改次数在九次以上时5 引用标准及术语和定义5．1 引用标准l ISO/IEC 9001:2000《质量管理体系要求》l GB/T19000-2000 《质量管理体系要求》l ISO/IEC 17799：2005《信息技术—安全技术-信息安全管。