服务外包能力要求

服务外包能力 要求Services Outsourcing Capabilities Requirements2XXX-XX-XX发布 2XXX-XX-XX实施北京赛西认证有限责任公司 目 录1 范围42 规范性引用文件43 术语和定义43.143.243.343.443.553.653.753.853.954 服务能力管理（总要求）54.1 总则54.2 服务外包能力模型54.3 过程方法65 服务保障75.1 资源管理75.2 能力管理76 服务实现96.1 需求管理96.2 服务策划106.3 服务过程管理106.4 服务交付管理116.5 服务终止116.6 外部供方管理116.7 变更控制127 服务安全127.1 安全管理职责127.2 安全管理策略127.3 安全管理措施12附录A （规范性附录） 信息技术外包（ITO）服务实现13A.1 需求管理13 需求确定13 服务过程管理13 服务交付管理14附录B （规范性附录） 业务流程外包（BPO）服务实现15 需求管理15 服务策划15 服务提供的控制15附录C （规范性附录） 安全控制项16C.1 安全管理组织16C.2 法律法规符合性16C.3 人力资源16C.4 资产管理16C.5 访问控制16C.6 物理和环境安全17C.7 通信和操作管理17C.8 业务连续性管理17C.9 安全事件管理17C.10 供应链安全17服务外包能力要求1 范围本规范规定了服务外包组织在质量管理、安全管理和能力管理方面应具备的条件和能力。本部分适用于：a） 计划提供运行服务外包的组织建立运行服务能力管理体系； b） 服务组织评估自身条件和能力；c） 服务需方评价和选择服务组织；d） 第三方评价和认定服务组织能力。2 规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单或修订版不适用于本规范。凡是不注日期的引用文件,其最新版本适用于本规范。ISO 9000 质量管理体系 基础和术语ISO/IEC27000 信息技术-安全技术-信息安全管理体系-概述和词汇ISO GUIDE 83 管理体系标准的篇章结构、核心文字以及常用术语和核心定义ISO 9001 质量管理体系 要求ISO/IEC20000-1 信息技术 服务管理 第1部分:规范ISO/IEC27001 信息技术 安全技术 信息安全管理体系 要求GB/T 28827.1-2012 信息技术服务 运行维护 第1部分：通用要求3 术语和定义3.1服务外包Service Outsourcing服务发包方将原本由自身完成的部分业务剥离出来，委托给服务提供组织完成的经济活动。3.2服务发包方 Client指服务的需方，在本部分中，服务发包方也称为顾客。3.3服务提供组织 Service Provider指服务的组织，在本部分中，服务提供组织也称为组织。3.4分包方 Subcontractor指承接分包服务的服务提供组织。3.5信息技术外包Information Technology Outsourcing（ITO）指服务发包方向外部寻求并获得包括全部或部分信息技术类的服务。3.6业务流程外包Business Process Outsourcing（BPO）指服务外包方将自身基于信息技术的业务流程委托给专业化的服务提供组织，由其按照服务协议要求进行管理、运营和维护服务等。3.7知识流程外包Knowledge Process Outsourcing（KPO）属于BPO的高端层次，指位于服务外包方流程价值链高端的高知识含量的外包业务。3.8 服务目录 Service Catalogue服务提供组织提供的标准服务的列表。3.9服务级别协议Service Level Agreement服务提供组织与服务发包方之间签署的描述服务和约定服务级别的协议。4 服务能力管理（总要求）4.1 总则组织在提供服务过程中，应通过策划、实施、检查和改进实现服务能力的持续提升。4.2 服务外包能力模型服务外包能力模型描述了组织为满足服务的总要求所必需的过程及过程管理，包括服务实现、服务安全、服务保障，每个过程遵循PDCA过程方法。服务保障资源管理人员管理知识管理基础设施合约管理技术能力服务实现服务策划服务开发服务交付不合格服务服务安全安全管理职责安全管理策略安全管理措施策划实施改进检查图1 服务外包能力模型4.3 过程方法4.3.1 策划组织应对服务外包能力进行策划，至少应：a) 根据自身业务定位和能力，策划服务外包对象的服务内容与要求，明确能力管理范围、方针（考虑质量、安全方面的内容）、目标，并形成服务目录；b) 依据组织的业务发展需要来建立组织结构，从服务实现、服务安全、服务保障等方面实施规划，建立相适应的服务管理过程，支持服务目录的实现；c) 针对服务能力的监视、测量及改进进行策划，建立自我完善机制。4.3.2 实施组织在实施外包服务能力管理过程中，至少应：a) 制定满足整体策划的实施计划，并按计划实施；b) 建立与相关方的沟通协调机制；c) 按照服务能力要求实施管理活动并记录，确保服务能力管理和服务过程实施可追溯，服务结果可计量或可评估；d) 提交满足要求的服务。4.3.3 检查组织应对外包服务能力管理过程和实施结果进行监视、测量、分析和评审。至少应：a) 定期评审服务过程，以确保服务能力的适宜性和有效性；b) 调查发包方的满意度；c) 评估服务能力管理过程满足发包方要求的程度；d) 将服务能力管理水平与行业标杆进行比较，识别差距。4.3.4 改进组织应不断总结经验，提升服务外包能力的管理。至少应：a) 建立服务能力管理改进机制，根据监视和评估的结果识别改进需求；b) 根据识别的改进需求，制定改进方案；c) 跟踪方案的实施情况，对改进的效果进行评价。5 服务保障5.1 资源管理5.1.1 总则组织应确定并提供为策划、实施、检查和改进服务能力所需的资源，适用时，可分包的服务。5.1.2 基础设施组织应确定、提供并维护为达到符合服务要求所需的基础设施。适用时，基础设施包括：e) 建筑物、工作场所和相关的设施；f) 过程设备（包括硬件和软件）；g) 支持性服务（如运输、通讯或信息系统）。5.1.3 过程环境组织应确定和管理为达到符合服务要求所需的过程环境。注： 过程环境可包括物理的、社会的、心理的和环境的因素（例如：温度、大气成分）。5.1.4 监视和测量工具、方法组织应确定和管理为达到符合服务要求所需的监视和测量工具、方法，并确保监视和测量工具、方法满足使用要求。组织应保持适当的文件信息，以提供监视和测量设备、方法满足使用要求的证据。注1： 监视和测量设备可包括测量工具和评价方法（例如：调查问卷）。注2： 对照能溯源到国际或国家标准的测量标准，按照规定的时间间隔或在使用前对监视和测量工具进行校准和（或）检定。5.2 能力管理5.2.1 人员能力组织应明确服务人员的能力，至少包含：a) 培训：1) 建立对外包业务的培训机制；2) 明确培训考核的方式、方法；3) 制定培训计划，并保留相应的培训记录。b) 知识与技能；4) 明确从事服务的人员所需具备的相关知识、技能和适当的经验；5) 适用时，明确从事特殊业务的人员的资格。5.2.2 知识管理组织应收集、共享、更新、使用所积累的知识和信息，提升人员能力，提高服务效率和质量。组织应：a) 确定知识管理的角色和职责；b) 选择合适的知识管理策略；c) 对知识资产进行适当分类，针对常见问题的描述、分析和解决方法建立知识库；d) 确保知识库具备知识的添加、更新和查询功能；e) 确保整个组织内对知识的有效使用和共享。5.2.3 合约管理与法律风险规避5.2.3.1 合约管理组织应实施合约管理过程，应包括：h) 确定合约制定和合约变更的程序；i) 识别相关方的需求；j) 考虑风险并实施合约评审；k) 合约签订应得到批准；l) 合约变更应通知相关方； m) 具备处理合约违约及纠纷的能力。5.2.3.2 法律风险规避能力组织应具备法律风险意识，建立识别、评审并处置法律风险的过程。5.2.4 技术能力组织应： n) 建立保持、提升技术能力的机制并确定职责；o) 关注国内外服务相关的技术动向；p) 跟进服务外包业务相关的最新技术和标准；q) 具备必要的最新技术和标准应用的研究能力；r) 具有对影响服务质量的事件进行分析和解决的技术能力。5.2.5 关系管理组织应建立并保持与顾客及相关方之间的良好关系，识别并记录服务的顾客及相关方。应确保信息及时、准确、适当地传递给相关方和顾客，持续改善组织的沟通能力。组织应：s) 基于服务外包业务需求确定与顾客、相关方的沟通需求；t) 确定与顾客、相关方进行沟通的人员的角色和职责；u) 相关信息及时、准确、适当地传递给相关方；v) 组织应管理与顾客、相关方的沟通内容和沟通质量，建立投诉处理机制，并实施持续改进。针对顾客，组织应指定人员负责管理顾客满意事宜，并定期测量顾客满意度情况并据此信息采取相应措施。5.2.6 组织声誉维护能力组织应具备主动维护其声誉的意识，并采取适宜措施来建立、宣传、扩大及维护组织声誉。6 服务实现6.1 需求管理6.1.1 需求确定组织应确定：a) 明确顾客所需服务的业务类型（见附录A和附录B）b) 顾客规定的要求，包括对交付及交付后活动的要求；c) 顾客虽然没有明示，但规定的用途或已知的预期用途所必需的要求；d) 适用于服务的法律法规要求；e) 服务安全要求（例如，顾客对于服务场地的安全要求）；f) 必要时明确所需的服务级别要求；g) 任何可能的附加要求。注： 附加要求可包含由有关的相关方提出的要求。6.1.2 需求评审组织应评审与服务有关的要求。评审应在组织向顾客提供服务的承诺（例如，提交标书、接受合同或订单及接受合同或订单的更改）之前进行，并应确保：a) 服务要求已得到规定并达成一致；b) 与以前表述不一致的合同或订单的要求已予解决；c) 组织有能力满足规定的要求。评审结果的信息应形成文件。若顾客没有提供形成文件的要求，组织在接受顾客要求前应对顾客要求进行确认。注： 在某些情况下，对每一个订单进行正式的评审可能是不实际的，作为替代方法，可对提供给顾客的有关的服务信息进行评审。6.1.3 需求变更组织应根据实际情况对需求变更进行控制，至少包括以下内容：a) 需求变更文档化；b) 识别变更控制的边界；c) 定义需求变更的范围；d) 维护需求变更的历史信息，包括变更的依据；e) 评价需求变更的影响；f) 评审并批准变更；g) 与顾客及组织内部的沟通；h) 需求变更的响应速度（见附录B）。6.2 服务策划组织应对服务的实施进行策划，包括：a) 服务的要求，并考虑相关的目标；b) 确定资源的需求；c) 识别服务实施过程中的风险，制订相应的措施；d) 制定适宜的交付策略和服务退出策略；e) 确定监视、测量的方法；f) 适用时，考虑分包活动的管理。策划的输出形式应便于组织的运作。6.3 服务过程管理6.3.1 服务提供的控制组织应在受控的条件下提供服务，受控条件包括：a) 获得服务特性的文件信息；b) 必要时，应获得服务过程及结果的文件信息；c) 必要时，应获得顾客业务流程所必须的用户信息；d) 确保所获得用户信息的安全；e) 获得、实施和使用必要的监测和测量设备；f) 人员的资格和能力；g) 识别影响服务连续性的因素，制定服务连续性计划，确保服务实施过程连续；h) 确保发生变更时的一致性，明确可能造成的风险影响；i) 实施必要的配置管理；j) 定义服务响应支持的职能、角色和流程；k) 当过程的输出不能由后续的监测和测量加以验证时，对任何这样的服务提供过程进行确认、批准和再次确认；l) 服务的放行、交付和交付后活动的实施；m) 人为错误（如失误、违章）导致的不符合的预防。6.3.2 标识和可追溯性适当时，组织应使用适宜的方法对服务实现过程中所产生的任何输入或输出进行标识以确保可追溯性，应关注：a) 标识的唯一性；b) 确保标识清晰可追溯性；c) 必要时保持形成文件的信息。6.3.3 顾客或外部供方的财产组织应爱护在组织控制下或组织使用的顾客、外部供方财产。组织应识别、验证、保护和维护供其使用的顾客、外部供方财产。如果顾客、外部供方财产发生丢失、损坏或发现不适用的情况，组织应向顾客、外部供方报告，并保持相关记录。注： 顾客、外部供方财产可包括知识产权、秘密的或私人的信息。6.3.4 不合格服务组织应确保对不符合要求的服务得到识别和控制，以防止其非预期使用或交付造成对顾客产生不良的影响。当不合格服务已交付给顾客时，组织应采取适当的纠正措施以确保实现顾客满意，适当的措施可包括：a) 停止提供服务；d) 适当时，通知顾客；e) 经授权延长服务时间或重新提供服务、让步接收。在不合格服务得到纠正之后应对其再次进行验证，以证实符合要求。不合格服务的性质以及随后所采取的任何措施的信息应形成文件，包括所批准的让步。6.4 服务交付管理组织在交付管理过程中应确定：a) 制定适宜的交付策略，包括交付方式和交付成果；b) 适用时，交付的成果已经得到检验或测试；c) 不合格的服务在交付前应得到授权人的批准和顾客的同意；d) 交付不成功时应采取补救措施，适用时，进行再评审或再验证。6.5 服务终止合约到期或其他原因引起结束或退出服务时，组织应：a) 按照确定的服务退出策略（见6.2）要求执行；b) 监视退出执行的过程，结果通报相关方；c) 适用时，对关键、敏感信息、文档进行处置，保留相关记录；d) 分析退出原因，评估退出造成的影响，制订预防措施。6.6 外部供方管理6.6.1 总则组织应确保外部供方提供的产品和服务满足规定的要求。应制订采购策略，适用时得到顾客的确认。6.6.2 外部供方的控制类型和程度对外部供方及其提供的产品和服务的控制类型和程度取决于：a) 识别的风险及其潜在影响；b) 外部供方的分担程度；c) 潜在的控制能力。6.6.3 提供给外部供方的文件信息适用时，提供给外部供方的文件信息应包括：a) 供应的产品和服务，以及实施的过程；b) 服务、程序、过程的放行或批准要求：c) 人员能力的要求，包含必要的资格要求；d) 外部供方资质的要求；e) 组织对外部供方业绩的控制和监视；f) 必要时应在供方现场实施的验证活动。在与供方沟通前，组织应确保所规定的要求是充分与适宜的。组织应对外部供方提供的产品和服务进行监视和评价，并保留相关记录。6.7 变更控制组织应对顾客业务流程实现过程可能发生的变更进行管理，变更控制应至少包含以下内容：a) 组织应建立变更控制策略；b) 确保受到变更影响的配置项受控；c) 确保变更是在批准状态下实施的；d) 在实施变更后进行必要的验证及评审；e) 保留相应的记录；f) 程序记录、分类、评估和批准变更请求应文件化。7 服务安全7.1 安全管理职责管理者应：a) 批准建立服务安全团队，定义其职责和角色；b) 向组织传达服务安全的重要性；c) 确保组织内风险因素得到识别和处置；d) 为服务安全提供所需的资源；e) 确保执行安全内部审计；f) 定期进行服务安全评估，以识别改进的机会；g) 确保组织内的安全措施的实施是相互协调的。7.2 安全管理策略为确保服务安全，组织应确定服务安全策略，至少应包括：a) 符合法律法规和合同要求；b) 安全教育、培训和意识要求；c) 违反服务安全的后果；d) 业务连续性管理。7.3 安全管理措施组织为满足安全管理策略应采取必要的控制措施，这些措施必须符合法律法规和合同的要求。附录C给出的安全措施并不是所有的安全措施措施，组织也可能需要选择另外的控制措施。 AA附录A （规范性附录）信息技术外包（ITO）服务实现A.1 需求管理A.1.1 需求确定识别信息技术外包的业务类型，包括：a) 软件研发及外包（注1）b) 信息技术研发服务外包（注2）c) 信息系统运行维护外包（注3）注1： 软件研发及外包，指软件研发及开发服务，如，用于金融、政府、教育、制造业、零售、服务、能源、物流和交通、媒体、电信、公共事业和医疗卫生等行业，为用户的运营/生产/供应链/客户关系/人力资源和财务管理、计算机辅助设计/工程等业务进行软件开发，定制软件开发，嵌入式软件，套装软件开发，系统软件开发，软件测试等；以及软件技术服务，如，软件咨询、维护、培训、测试等技术性服务；注2： 信息技术研发服务外包，指集成电路设计，如，集成电路产品设计以及相关技术支持服务等；以及提供电子商务平台，如，为电子贸易服务提供信息平台；以及测试平台，如，为软件和集成电路的开发运用提供测试平台。注3： 信息系统运行维护外包，指信息系统运行和维护服务，如，顾客内部信息系统集成、网络管理、桌面管理与维护服务；信息工程、地理信息系统远程维护等信息系统应用服务；以及基础信息技术服务，如，基础信息技术管理平台整合等基础信息技术服务（IT基础设施管理、数据中心、托管中心、安全服务、通讯服务等）A.1.2 服务过程管理在服务实现过程中应关注以下内容：a） 顾客可能参与的管理活动；b） 文件化必要的过程文件。软件研发服务和信息技术研发服务相关的业务流程应包括如下活动：a) 需求分析；b) 概要设计；c) 详细设计；d) 制造开发；e) 单元测试；f) 集成测试；g) 系统测试；h) 验收测试。信息技术运行维护相关的业务流程应包括如下活动：a) 服务战略；b) 服务设计；c) 服务转换；d) 服务运维；e) 持续服务改进。A.1.3 服务交付管理A.1.3.1 交付前针对软件开发和信息技术研发的服务，组织应在交付前实施以下活动，包含：明确产品或服务的要求已经满足需求；a) 与需求或设计不一致的表述已得到完善或更改；b) 必要的测试已经实施；A.1.3.2 交付后针对软件开发服务，适宜时，组织应进行软件补丁的发布。BB附录B （规范性附录）业务流程外包（BPO）服务实现基于流程管理的不同特性，BPO可分为如下类别：a) 与供应链相关的流程管理；如：物流、仓储；b) 与组织顾客相关的流程管理；如：呼叫中心、大堂服务；c) 生产流程的管理；如：业务流程研发、数据处理；d) 支持性流程管理；如：财务、人力资源B.1.1 需求管理B.1.1.1 在需求确定阶段，组织应：a) 定义服务的类别；b) 定义服务的特性。如：业务复杂性、独立性、关键性。B.1.1.2 需求评审阶段，组织应：a) 评审准则应考虑服务过程中的责任、义务、风险；b) 确保服务过程涉及的相关方参与评审。B.1.1.3 需求变更控制阶段，组织应根据变更的特点，制定响应方案，包括考虑响应速度。B.1.2 服务策划根据服务特性，组织应：a) 为每一类服务设计服务交付策略，确保服务要求得到满足；b) 考虑特定的安全要求。B.1.3 服务提供的控制组织应基于顾客相关的业务流程，制定顾客业务流程相关的作业指导文件，必要时得到顾客的确认。CC附录C （规范性附录）安全控制项本附录所列的控制措施是外包服务过程中必须考虑的基本控制，组织还应结合自己外包服务的具体要求，制定并实施额外的安全控制措施。C.1 安全管理组织a) 建立服务安全组织，支持对外包服务潜在的安全脆弱性的识别；b) 确保外包服务人员能够充分的理解并有效地执行；c) 实施有效的安全审计；d) 评估安全控制措施的有效性。C.2 法律法规符合性a) 制定相应规程，识别适用于组织的法律法规和合同义务；b) 依照相关的法律、法规和合同要求，保护个人信息和隐私；c) 确保在使用具有知识产权的资产时，符合法律、法规和合同要求。C.3 人力资源a) 结合业务特点确定相应的岗位和任用条件，识别人员的技能和经验；b) 向外包服务人员进行安全保密教育，包括安全管理策略、管理制度等；c) 识别外包服务人员未授权操作、突发人事变更或恶意操作等可能威胁安全的活动；d) 与相应人员签订保密协议；C.4 资产管理a) 编制并维护资产清单，如必要，须对相关方资产进行管理；b) 明确资产的责任人；c) 资产的使用、处理和归还进行授权和管理，并形成文件和记录。C.5 访问控制a) 通过有效的信息系统授权和服务访问机制，防止未授权的人员接入信息系统；b) 按照最小化原则，正式授权服务人员访问信息系统中的资源，当不再使用时立即注销；c) 监控访问过程并定期审查访问日志；d) 除非授权的外部访问行为之外，不允许私自远程接入信息系统；e) 监控人员的未经授权的访问、数据修改行为。C.6 物理和环境安全a) 建立物理安全策略和流程；b) 设置清晰安全边界保护关键和敏感信息及处理设施；c) 安全区域应由适合的入口控制措施，以确保只有授权人员才允许访问；d) 应为组织办公场所和提供外包服务场所和设施涉及并采取物理安全措施，以防备恶意攻击、事故和自然灾害。C.7 通信和操作管理a) 文件化的操作规范；b) 建立操作过程的备份机制，并定期进行数据恢复测试，以确保备份恢复的有效性和完整性；c) 定期检查网络配置；d) 若需要接入外部网络时，应评估外部拉入的网络安全措施有效性；e) 评估是否需要增加额外的控制措施，以确保内部的网络不被攻击；f) 严格限制未授权的网络接入；g) 建立适当的操作规程，防止对数据、文档、电子介质等的未授权的复制、使用、移动和破坏；h) 监控介质操作过程；i) 确保审计记录包含以下参数：如事件发生的日期和时间、事件的类型、活动的用户账户、事件的成功和失败等；j) 定期复查审计记录，以判断未授权的访问和网络连接尝试。C.8 业务连续性管理a) 调查并确定信息技术服务冗余的级别，保证业务的持续性能力；b) 确保服务外包的业务连续性计划得以恰当的测试和验证。C.9 安全事件管理a) 应建立正式的安全事件管理流程；b) 及时采取方式弥补安全事件和脆弱性；c) 应用防护措施转移识别的安全事件。C.10 供应链安全a) 制定供应关系安全策略；b) 应定期对供应商的服务提供能力和产品质量监测和评审；c) 应对供应商提供服务的变更进行管理以控制潜在的风险。