A项目：徐州康馨护理院海医云SaaS诊疗系统

8.5.1 生产和服务提供的控制
公司制定了《项目发布管理规范》《部署实施细则》等成文信息，明确规定了软件编译、打包、测试验证、环境部署及发布放行的全流程标准，包含各环节操作步骤、责任人及质量控制点。
现场查验A项目相关记录：
1. 编译阶段：开发团队基于最终确认的源代码，通过Jenkins自动化工具完成代码编译与目标程序打包，生成的版本包带有唯一构建编号，编译过程日志完整留存，可追溯编译环境配置、依赖组件版本等关键信息；
2. 部署准备：运维人员提前完成生产环境服务器配置校验（含操作系统版本、数据库参数、网络权限等），制定《部署方案》及应急回滚预案，并组织内部评审确认；
3. 部署实施：按方案完成版本包部署、数据库脚本执行、系统服务启动等操作，过程中通过监控工具实时监视系统运行状态（包括服务启停、接口响应速度等），未出现部署故障，经项目负责人审批后正式交付使用。

8.5.2 标识和可追溯性
软件开发文件均按照《文件命名与版本管理规范》进行唯一编号，实现文件标识的唯一性。源代码托管于Git版本库，代码提交遵循统一命名规范，访问权限严格受控；源代码、测试文档、部署脚本均存储于公司云服务器和Git仓库中，每次提交自动记录时间、操作者及变更摘要，可完整追溯至具体责任人及变更内容。
公司对关键版本进行月度增量备份，备份记录完整，确保软件版本变更轨迹、相关文档及开发记录的可追溯性，同时具备防篡改基础条件。现场抽查3条代码提交记录，均能追溯至对应开发人员、关联需求及测试用例，追溯机制有效。

8.5.3 顾客或外部供方的财产：
本次项目涉及的顾客财产主要为客户提供的数据信息及测试账号。公司已与客户签署《信息安全及保密协议》，明确双方权责及财产保护要求；客户提供的数据由人事行政部统一加密存储，访问权限实行分级控制（区分开发、测试、管理等不同权限等级）。
现场抽查系统服务器日志（2025.11），未发现越权访问、违规操作客户财产的记录；同步核实客户提供的测试账号，均按协议约定范围使用，无转借、滥用情况。顾客财产管控流程清晰，防护措施有效落实。

8.5.4 防护
所有开发与测试设备均安装正版防病毒软件及数据加密工具，定期进行病毒库更新及系统漏洞扫描，从设备层面保障开发环境安全。源代码、设计文档、测试报告等核心成果均保存在安全服务器上，服务器设置防火墙及访问权限校验，非授权人员无法访问或下载。

8.5.5 交付后活动
公司在《服务交付及售后管理程序》中明确规定了交付后的培训、维护、升级等活动要求，与客户签订的合同中约定质保期1年，期间提供免费升级与远程技术支持，保修期外按合同约定计费，同时配套有《客户服务承诺书》《售后服务响应流程》等支撑文件，交付后活动规范清晰。
查阅《客户服务记录表》《系统升级说明》显示
2025年下半年共受理客户服务工单9项（含培训2项、含故障修复6项，版本升级1项），所有工单均在规定响应时限（普通问题24小时、紧急问题4小时）内处理完毕并关闭，客户反馈满意度良好；版本升级过程有完整的方案评审、测试验证及上线回滚预案记录，未出现升级导致的用户业务中断问题。

8.5.6更改控制
公司建立《设计更改及服务变更控制程序》，明确变更申请、评审、验证、批准和记录要求。若客户提出需求变更，由项目经理填写《设计更改申请单》，报副总经理批准后执行。变更前需评审影响范围，包括功能、交付周期、客户接口等，变更后由开发、测试、客户共同验证后放行。经查体系运行以来未发生重大设计或服务变更，但相关机制已建立。