服务外包能力要求CNCA/CTSXXXX-XXXXX CESIXXX-XXXX服务外包能力要求Services Outsourcing Capabilities – Requirements 2XXX-XX-XX发布 2XXX-XX-XX实施北京赛西认证有限责任公司目录1 范围 (6)2 规范性引用文件 (6)3 术语和定义 (7)3.1 (7)3.2 (7)3.3 (7)3.4 (8)3.5 (8)3.6 (8)3.7 (8)3.8 (9)3.9 (9)4 服务能力管理（总要求） (9)4.1 总则 (9)4.2 服务外包能力模型 (9)4.3 过程方法 (10)5 服务保障 (12)5.1 资源管理 (12)5.2 能力管理 (13)6 服务实现 (16)6.1 需求管理 (16)6.2 服务策划 (18)6.3 服务过程管理 (19)6.4 服务交付管理 (21)6.5 服务终止 (22)6.6 外部供方管理 (22)6.7 变更控制 (23)7 服务安全 (24)7.1 安全管理职责 (24)7.2 安全管理策略 (24)7.3 安全管理措施 (25)附录 A （规范性附录）信息技术外包（ITO）服务实现 (26)A.1 需求管理 (26)A.1.1 需求确定 (26)A.1.2 服务过程管理 (26)A.1.3 服务交付管理 (27)附录 B （规范性附录）业务流程外包（BPO）服务实现 (29)B.1.1 需求管理 (29)B.1.2 服务策划 (30)B.1.3 服务提供的控制 (30)附录 C （规范性附录）安全控制项 (31)C.1 安全管理组织 (31)C.2 法律法规符合性 (31)C.3 人力资源 (32)C.4 资产管理 (32)C.5 访问控制 (32)C.6 物理和环境安全 (33)C.7 通信和操作管理 (33)C.8 业务连续性管理 (34)C.9 安全事件管理 (35)C.10 供应链安全 (35)服务外包能力要求1 范围本规范规定了服务外包组织在质量管理、安全管理和能力管理方面应具备的条件和能力。

本部分适用于：a）计划提供运行服务外包的组织建立运行服务能力管理体系；b）服务组织评估自身条件和能力；c）服务需方评价和选择服务组织；d）第三方评价和认定服务组织能力。

2 规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。

凡是注日期的引用文件，其随后所有的修改单或修订版不适用于本规范。

凡是不注日期的引用文件,其最新版本适用于本规范。

ISO 9000 质量管理体系基础和术语ISO/IEC27000 信息技术-安全技术-信息安全管理体系-概述和词汇ISO GUIDE 83 管理体系标准的篇章结构、核心文字以及常用术语和核心定义ISO 9001 质量管理体系要求ISO/IEC20000-1 信息技术服务管理第1部分:规范ISO/IEC27001 信息技术安全技术信息安全管理体系要求GB/T 28827.1-2012 信息技术服务运行维护第1部分：通用要求3 术语和定义3.1服务外包Service Outsourcing服务发包方将原本由自身完成的部分业务剥离出来，委托给服务提供组织完成的经济活动。

3.2服务发包方 Client指服务的需方，在本部分中，服务发包方也称为顾客。

3.3服务提供组织 Service Provider指服务的组织，在本部分中，服务提供组织也称为组织。

3.4分包方 Subcontractor指承接分包服务的服务提供组织。

3.5信息技术外包Information Technology Outsourcing（ITO）指服务发包方向外部寻求并获得包括全部或部分信息技术类的服务。

3.6业务流程外包Business Process Outsourcing （BPO）指服务外包方将自身基于信息技术的业务流程委托给专业化的服务提供组织，由其按照服务协议要求进行管理、运营和维护服务等。

3.7知识流程外包Knowledge Process Outsourcing （KPO）属于BPO的高端层次，指位于服务外包方流程价值链高端的高知识含量的外包业务。

3.8服务目录 Service Catalogue服务提供组织提供的标准服务的列表。

3.9服务级别协议Service Level Agreement服务提供组织与服务发包方之间签署的描述服务和约定服务级别的协议。

4 服务能力管理（总要求）4.1 总则组织在提供服务过程中，应通过策划、实施、检查和改进实现服务能力的持续提升。

4.2 服务外包能力模型服务外包能力模型描述了组织为满足服务的总要求所必需的过程及过程管理，包括服务实现、服务安全、服务保障，每个过程遵循PDCA过程方法。

图1 服务外包能力模型4.3 过程方法4.3.1 策划组织应对服务外包能力进行策划，至少应：a)根据自身业务定位和能力，策划服务外包对象的服务内容与要求，明确能力管理范围、方针（考虑质量、安全方面的内容）、目标，并形成服务目录；b)依据组织的业务发展需要来建立组织结构，从服务实现、服务安全、服务保障等方面实施规划，建立相适应的服务管理过程，支持服务目录的实现；c)针对服务能力的监视、测量及改进进行策划，建立自我完善机制。

4.3.2 实施组织在实施外包服务能力管理过程中，至少应：a)制定满足整体策划的实施计划，并按计划实施；b)建立与相关方的沟通协调机制；c)按照服务能力要求实施管理活动并记录，确保服务能力管理和服务过程实施可追溯，服务结果可计量或可评估；d)提交满足要求的服务。

4.3.3 检查组织应对外包服务能力管理过程和实施结果进行监视、测量、分析和评审。

至少应：a)定期评审服务过程，以确保服务能力的适宜性和有效性；b)调查发包方的满意度；c)评估服务能力管理过程满足发包方要求的程度；d)将服务能力管理水平与行业标杆进行比较，识别差距。

4.3.4 改进组织应不断总结经验，提升服务外包能力的管理。

至少应：a)建立服务能力管理改进机制，根据监视和评估的结果识别改进需求；b)根据识别的改进需求，制定改进方案；c)跟踪方案的实施情况，对改进的效果进行评价。

5 服务保障5.1 资源管理5.1.1 总则组织应确定并提供为策划、实施、检查和改进服务能力所需的资源，适用时，可分包的服务。

5.1.2 基础设施组织应确定、提供并维护为达到符合服务要求所需的基础设施。

适用时，基础设施包括：e)建筑物、工作场所和相关的设施；f)过程设备（包括硬件和软件）；g)支持性服务（如运输、通讯或信息系统）。

5.1.3 过程环境组织应确定和管理为达到符合服务要求所需的过程环境。

注：过程环境可包括物理的、社会的、心理的和环境的因素（例如：温度、大气成分）。

5.1.4 监视和测量工具、方法组织应确定和管理为达到符合服务要求所需的监视和测量工具、方法，并确保监视和测量工具、方法满足使用要求。

组织应保持适当的文件信息，以提供监视和测量设备、方法满足使用要求的证据。

注1：监视和测量设备可包括测量工具和评价方法（例如：调查问卷）。

注2：对照能溯源到国际或国家标准的测量标准，按照规定的时间间隔或在使用前对监视和测量工具进行校准和（或）检定。

5.2 能力管理5.2.1 人员能力组织应明确服务人员的能力，至少包含：a)培训：1)建立对外包业务的培训机制；2)明确培训考核的方式、方法；3)制定培训计划，并保留相应的培训记录。

b)知识与技能；4)明确从事服务的人员所需具备的相关知识、技能和适当的经验；5)适用时，明确从事特殊业务的人员的资格。

5.2.2 知识管理组织应收集、共享、更新、使用所积累的知识和信息，提升人员能力，提高服务效率和质量。

组织应：a)确定知识管理的角色和职责；b)选择合适的知识管理策略；c)对知识资产进行适当分类，针对常见问题的描述、分析和解决方法建立知识库；d)确保知识库具备知识的添加、更新和查询功能；e)确保整个组织内对知识的有效使用和共享。

5.2.3 合约管理与法律风险规避5.2.3.1 合约管理组织应实施合约管理过程，应包括：h)确定合约制定和合约变更的程序；i)识别相关方的需求；j)考虑风险并实施合约评审；k)合约签订应得到批准；l)合约变更应通知相关方；m)具备处理合约违约及纠纷的能力。

5.2.3.2 法律风险规避能力组织应具备法律风险意识，建立识别、评审并处置法律风险的过程。

5.2.4 技术能力组织应：n)建立保持、提升技术能力的机制并确定职责；o)关注国内外服务相关的技术动向；p)跟进服务外包业务相关的最新技术和标准；q)具备必要的最新技术和标准应用的研究能力；r)具有对影响服务质量的事件进行分析和解决的技术能力。

5.2.5 关系管理组织应建立并保持与顾客及相关方之间的良好关系，识别并记录服务的顾客及相关方。

应确保信息及时、准确、适当地传递给相关方和顾客，持续改善组织的沟通能力。

组织应：s)基于服务外包业务需求确定与顾客、相关方的沟通需求；t)确定与顾客、相关方进行沟通的人员的角色和职责；u)相关信息及时、准确、适当地传递给相关方；v)组织应管理与顾客、相关方的沟通内容和沟通质量，建立投诉处理机制，并实施持续改进。

针对顾客，组织应指定人员负责管理顾客满意事宜，并定期测量顾客满意度情况并据此信息采取相应措施。

5.2.6 组织声誉维护能力组织应具备主动维护其声誉的意识，并采取适宜措施来建立、宣传、扩大及维护组织声誉。

6 服务实现6.1 需求管理6.1.1 需求确定组织应确定：a)明确顾客所需服务的业务类型（见附录A和附录B）b)顾客规定的要求，包括对交付及交付后活动的要求；c)顾客虽然没有明示，但规定的用途或已知的预期用途所必需的要求；d)适用于服务的法律法规要求；e)服务安全要求（例如，顾客对于服务场地的安全要求）；f)必要时明确所需的服务级别要求；g)任何可能的附加要求。

注：附加要求可包含由有关的相关方提出的要求。

6.1.2 需求评审组织应评审与服务有关的要求。

评审应在组织向顾客提供服务的承诺（例如，提交标书、接受合同或订单及接受合同或订单的更改）之前进行，并应确保：a)服务要求已得到规定并达成一致；b)与以前表述不一致的合同或订单的要求已予解决；c)组织有能力满足规定的要求。

评审结果的信息应形成文件。

若顾客没有提供形成文件的要求，组织在接受顾客要求前应对顾客要求进行确认。

注：在某些情况下，对每一个订单进行正式的评审可能是不实际的，作为替代方法，可对提供给顾客的有关的服务信息进行评审。

6.1.3 需求变更组织应根据实际情况对需求变更进行控制，至少包括以下内容：a)需求变更文档化；b)识别变更控制的边界；c)定义需求变更的范围；d)维护需求变更的历史信息，包括变更的依据；e)评价需求变更的影响；f)评审并批准变更；g)与顾客及组织内部的沟通；h)需求变更的响应速度（见附录B）。