您好,欢迎来到南京高诚企业管理有限公司官方网站!
ISO/IEC 20000 IT服务管理体系认证
发布时间:2018-4-18 12:56:51  阅读:2737


  信息技术服务管理

第一部分: 服务管理体系要求




目录

前言..................................................................................................................................................................... 4

引言..................................................................................................................................................................... 6

1 范围...............................................................................................................................................................   8

1.1 总则 ......................................................................................................................................................... 8

1.2 应用 ......................................................................................................................................................... 9

2 规范性引用文件...........................................................................................................................................  10

3 术语和定义...................................................................................................................................................  11

4 服务管理体系总要求...................................................................................................................................  17

4.1 管理职责................................................................................................................................................ 17

4.2 其他方运行过程的治理......................................................................................................................   18

4.3文件管理  ................................................................................................................................................ 18

4.4 资源管理................................................................................................................................................ 19

4.5 建立和改进服务管理体系....................................................................................................................  20

5 设计和转换新服务或变更的服务...............................................................................................................  23

5.1 概述 ....................................................................................................................................................... 23

5.2 策划新服务或变更的服务....................................................................................................................  23

5.3 设计和开发新服务或变更的服务........................................................................................................  24

5.4 转换新服务或变更的服务....................................................................................................................  24

6 服务交付过程...............................................................................................................................................  25

6.1 服务级别管理........................................................................................................................................ 25

6.2 服务报告................................................................................................................................................ 25

6.3 服务连续性和可用性管理....................................................................................................................  26

6.4 服务的预算和核算................................................................................................................................ 27

6.5 能力管理................................................................................................................................................ 27

6.6 信息安全管理........................................................................................................................................ 28

7 关系过程.......................................................................................................................................................  29

7.1 业务关系管理........................................................................................................................................ 29

7.2 供方管理................................................................................................................................................ 29

8 解决过程.......................................................................................................................................................  30




8.1 事件和服务请求管理............................................................................................................................  30

8.2 问题管理................................................................................................................................................ 31

9 控制过程.......................................................................................................................................................  32

9.1 配置管理................................................................................................................................................ 32

9.2 变更管理................................................................................................................................................ 33

9.3 发布和部署管理.................................................................................................................................... 33

3  



前言

国际标准化组织(ISO)和国际电工委员会(IEC)形成全世界标准化的专门体系。

作为ISOIEC成员的国家团体可以通过相应组织为处理特定领域技术活动而建立的技术委员会参

与国际标准制定。

ISOIEC技术委员会在双方感兴趣的领域密切合作。与ISOIEC保持联系的各国际组织(官方的

或非官方的)也可参加有关工作。在信息技术领域,ISO IEC  已经建立了一个联合技术委员会

ISO/IEC JTC 1

国际标准是根据ISOIEC导则第2部分的规则起草。

联合技术委员会的主要任务是制定国际标准。由联合技术委员会通过的国际标准草案提交各国家

团体投票表决。国际标准草案需取得至少75%参加表决国际团体的同意,才能作为国际标准正式

发布。

本文件中的某些内容有可能涉及一些专利权问题,对此应引起注意,ISOIEC不负责识别任何这

样的专利权问题。

ISO/IEC 20000-1ISO/IEC JTC 1/SC 7信息技术联合技术委员会软件和系统工程分会制定。第二

版替代第一版标准(ISO/IEC 20000-1:2005),以及对其进行的技术性修订。主要的不同点如下:

ISO9001更一致

ISO27001更一致

术语的变化,以体现国际通用性;

增加更多定义,更新部分定义和删除两个定义;

引入术语服务管理体系(SMS

合并了ISO/IEC 20000-1:2005的条款3和条款4,将管理体系要求集中于一个条款;

澄清其他方运行过程的治理要求;

澄清服务管理体系(SMS)范围定义的要求;

澄清应用于服务管理体系(SMS),包括服务管理过程及服务的PDCA方法论;

引入对设计和转换新服务或变更的服务的新要求。

在《信息技术-服务管理》总标题下,  ISO/IEC 20000包括如下几个部分:

1部分:服务管理体系要求

2部分:应用服务管理体系指南  1

4




3部分(技术报告):ISO/IEC 20000-1范围定义和适用性指南

4部分(技术报告):过程参考模型

5部分(技术报告):  ISO/IEC 20000-1实施计划样本

服务管理的一个过程评估模型将构成未来第8部分的主题。

————————————————————

1) 将出版(ISO/IEC 20000-2005技术性修订)

5




引言

ISO/IEC 20000本部分要求包括设计、转换、交付和改进服务,以满足服务需求并向顾客和服务提

供方提供价值。ISO/IEC 20000本部分要求服务提供方在计划、建立、实施、运行、监控、回顾、

保持和改进服务管理体系(SMS)时,采用整合的过程方法。

服务管理体系(SMS)的协调整合与实施可提供实时的控制、持续改进的机会、更有效和更高效。

ISO/IEC 20000本部分定义过程的运行要求将人员很好地组织和协调。可以使用适宜的工具使过程

有效及高效。

最有效的服务提供方在服务的生命周期中的所有阶段,从战略到设计、转换和运行,包括持续改

进都要考虑对服务管理体系(SMS)的影响。

ISO/IEC 20000本部分要求在服务管理体系(SMS)的所有部分和服务应用称之为策划-实施-

检查-处置PDCA)方法论。ISO/IEC 20000本部分采用的PDCA方法论可简述如下:

P-策划:建立,形成文件和协商一致的服务管理体系(SMS)。服务管理体系包括满足服务需求的

方针、目标、计划和过程;

D-实施:实施和运行服务管理体系(SMS),以设计、转换、交付和改进服务;

C-检查:根据方针、目标、计划和服务需求,对服务管理体系(SMS)进行监视、测量和回顾,

并报告结果;

A-处置:采取措施,以持续改进服务管理体系(SMS)和服务的绩效。

当应用于服务管理体系(SMS)时,以下内容是整合过程方法和PDCA方法论最重要的方面:

)理解和满足服务需求以达到客满意;

)建立服务管理的方针和目标;

c)基于为顾客增加价值的服务管理体系(SMS)设计和提供服务;

d)监视、测量和回顾服务管理体系(SMS)和服务的绩效;

e)基于目标测量,持续改进服务管理体系(SMS)和服务。

1说明如何在服务管理体系(SMS),包括条款5-9指定的服务管理过程和服务中应用PDCA方法

论。PDCA方法论的每一元素都是成功实施服务管理体系的关键部分。ISO/IEC 20000本部分使用

的改进过程的基础是PDCA方法论。

6




 1

                                                                                 PDCA方法论在服务管理的应用

ISO/IEC 20000本部分使服务提供方能够在组织中将服务管理体系(SMS)和其他管理体系一体

化。采用整合的过程方法和PDCA方法论使服务提供方能够将多个管理体系标准结合或完全一体化。

例如,服务管理体系可以与基于ISO 9001的质量管理体系和基于ISO/IEC 27001的信息安全管理

体系整合。

ISO/IEC 20000的目的是独立的特定指南。服务提供方可以结合使用普遍接受的指南和自身的经验。

国际标准的使用者对标准的正确应用负责。国际标准无意包括所有必须的法律法规要求和服务提

供方的合同责任。符合本部分并不能免除法律法规责任。

为了研究服务管理标准,我们鼓励使用者分享对ISO/IEC 20000-1的观点以及对ISO/IEC 20000

准族其他标准修改的优先次序。请点击以下链接参加在线调查:

ISO/IEC 20000-1在线调查

7

  



信息技术服务管理

第一部分:服务管理体系要求

1范围

1.1 总则

ISO/IEC 20000-1是服务管理体系(SMS)标准。它为服务提供方明确了策划、建立、实施、运行、

监视、回顾、保持和改进服务管理体系的要求。该要求包括服务的设计、转换、交付和改进,以

满足服务需求。

ISO/IEC 20000本部分可用于:

)从服务提供方寻求服务并要保证其服务需求被满足的组织;

)要求对所有服务供方,包括供应链上的供方,采用一致性方法的组织;

)目的在于证明其可满足服务需求的服务的设计、转换、交付和改进的能力的服务提供方;

)监视、测量和评审其服务管理过程和服务的服务提供方;

e)通过有效的实施和运行服务管理体系(SMS)改进服务的设计、转换和交付的服务提供方;

f)作为对服务提供者的服务管理体系(SMS)满足ISO/IEC 20000本部分要求符合性评估的准则

的评估师或审核员。

2说明了包括服务管理过程的服务管理体系(SMS)。不同的服务提供方可采用不同的方式实施

服务管理过程及过程之间的关系。服务提供方和顾客之间关系的性质将影响服务管理过程如何实

施。

8




 2服务管理体系

1.2 应用

ISO/IEC 20000本部分的所有要求是通用的,旨在适用于各种类型、不同规模和提供不同服务性质

的服务提供方。无论服务提供方组织有任何特性,服务提供方不能删减条款4-9的任何要求,方可

声称符合ISO/IEC 20000-1

只有服务提供方展示满足条款4所有要求的证据,才能证明条款4的符合性。服务提供方不能依赖

对他方运行条款4要求的过程治理的证据。

服务提供方可以展示满足所有要求的证据,以证明符合条款5-9条款的要求。另外,服务提供方也

可以展示满足大多数要求的自身证据和不直接操作的、对其他方运行全部或部分过程治理的证据。

ISO/IEC 20000本部分的范围不包括产品或工具的规范。然而,组织可以使用ISO/IEC 20000-1

帮助他们开发支持服务管理体系(SMS)运行的产品和工具。

注:ISO/IEC 20000-3提供ISO/IEC 20000-1范围定义和适用性的指南。这包括更明确的关于其他

方运行过程治理的解释。

9




2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有

的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的

各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

没有引用规范性引用文件。包含本条款是为了确保条款的顺序与ISO/IEC 20000-2:信息技术-

息管理-2部分:应用服务管理体系指南保持一致。2

————————————————————

2) 即将发布

10




3术语和定义

下列术语和定义适用于ISO/IEC 20000-1:2011

3.1

可用性  Availability

在约定时刻或约定时间段内,服务部件或服务执行要求功能的能力。

注:可用性通常用顾客使用的实际可用服务或服务部件的时间与约定服务时间的比率或百分比来

表示。

3.2

配置基线  configuration baseline

在服务或服务部件生命周期中特定时间点,被正式指定的配置信息。

1:配置基线加上对这些基线批准的变更,构成当前配置信息。

2:改编自ISO/IEC/IEEE 24765:2010

3.3

配置项  configuration itemCI

为交付一项或多项服务而需要被控制的要素。

3.4

配置管理数据库  configuration management databaseCMDB

用于在整个生命周期保存配置项属性记录和配置项之间关系的数据库。

3.5

持续改进  continual improvement

增强满足服务需求的能力的循环活动。

注:改编自ISO 9000:2005

3.6

纠正措施  corrective action

为消除已发现的不合格或其他不期望情况的原因或降低发现的不合格重复发生的可能性所采取的

措施

注:改编自ISO 9000:2005

3.7

顾客

11




接受一项服务或多项服务的组织或组织的一部分

注:顾客可以是服务提供方的内部或外部组织

2:改编自ISO 9000:2005

3.8

文件

信息及其承载介质

[ISO 9000:2005]

示例:方针、计划、过程描述、程序文件、服务级别协议、合同或记录。

1:文件可以存储在任何形式或类型的媒介。

2:在ISO/IEC 20000中,除了记录,文件陈述的意图都要得以实现。

3.9

有效性  effectiveness

完成策划的活动并得到策划结果的程度。

[ISO 9000:2005]

3.10

事件  incident

计划外的服务中断、服务质量的降低或还未影响对客户的服务的事态。

3.11

信息安全  information security

保持信息的保密性、完整性和可访问性。

1:此外,还可包括其他属性,如真实性,可核查性,不可否认性和可靠性

2:在本定义中未使用术语可用性,因为在ISO/IEC 20000-1 可用性是个已被定义的

术语,不适合本定义。

3:改编自ISO27000:2009

3.12

信息安全事件  information security incident

一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和

威胁信息安全的极大的可能性

[ISO/IEC 27000:2009]

12




3.13

相关方  interested party

与服务提供方活动的业绩或成就有利益关系的个人或团体。

示例:顾客、所有者、管理层、服务提供方组织内的人员、供方、银行、工会或合作伙伴。

1:一个团体可由一个组织或其一部分或多个组织构成。

2:改编自ISO 9000:2005

3.14

内部团体  internal group

服务提供方组织的一部分,与服务提供方有形成文件的协议,帮助一项服务或多项服务的设计、

转换、交付和改进。

注:内部团体在服务提供方服务管理体系(SMS)的范围之外。

3.15

已知错误  known error

已经识别了根本原因或找到降低或消除对服务影响的规避措施的问题。

3.16

不合格  nonconformity

未满足要求。

[ISO 9000:2005]

3.17

组织  organization

职责、权限和相互关系得到安排的一组人员及设施。

示例:公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团或上述组织的部分

或组合。

1:安排通常是有序的。

2:组织可以是公有的或私有的。

[ISO 9000:2005]

3.18

预防措施

为避免或消除潜在不合格或其他潜在不期望情况的原因,或降低潜在不合格发生的可能性所采取

的措施。

13




注:改编自ISO 9000:2005

3.19

问题  problem

一个或多个事件的根本原因。

注:问题的根本原因在问题创建时通常是未知的,问题管理过程负责进一步调查。

3.20

程序

为进行某项活动或过程所规定的途径。

[ISO 9000:2005]

注:程序可以形成文件,也可以不形成文件

3.21

过程

将输入转化为输出的相互关联或相互作用的一组活动。

[ISO 9000:2005]

3.22

记录

阐明所取得的结果或提供所完成活动的证据的文件。

[ISO 9000:2005]

示例:审核报告,事件报告,培训记录或会议纪要

3.23

发布

作为一个或多个变更的结果,被部署到实际运行环境的一个或多个新配置项或变更的配置项的集

合。

3.24

变更请求

对一项服务、服务部件或服务管理体系(SMS)的变更提议。

注:对一项服务的变更包括提供一项新服务或移除不再需要的一项服务。

3.25

风险

对目标不确定性的影响。

14




1:影响是对期望的偏离-正面和(或)负面的。

2:目标可以有不同的方面(例如财务、健康、安全和环境目标)和适用不同的层级(如战略级、

组织范围级、项目级、产品级和过程级)。

3:风险的特点往往参照潜在事态和后果,或者它们的组合;

4:风险通常表述为一个事态的后果(包括环境的变更)和对应的发生可能性的组合。

[ISO 31000:2009]

3.26

服务

通过引导顾客期望达成的结果从而实现传递价值的一种方法

1:服务通常是无形的。

2:服务也可以由供方、内部团体或作为供方的客户交付给服务提供方。

3.27

服务部件

与其他单元结合时将交付一套完整的服务的单一服务单元。

示例:硬件,软件,工具,应用,文件,信息,过程或支持服务。

注:一个服务组件可以包含一个或多个配置项。

3.28

服务的连续性

管理可能严重影响一项或多项服务的风险和事态,以持续提供约定级别服务的能力。

3.29

服务级别协议(SLA

服务提供方与顾客之间明确服务和服务目标形成文件的协议。

1:服务级别协议也可在服务提供方和供方、内部团体或作为供方的客户之间建立。

2:服务级别协议可以包含在合同或其他任何类型的形成文件的协议中。

3.30

服务管理

一组指导和控制服务提供方设计、转换、交付和改进服务的活动和资源,以满足服务需求的能力

和过程。

3.31

服务管理体系SMS

15




指挥和控制服务提供方的服务管理活动的管理体系。

1:管理体系相互关联或相互作用的一组元素,以建立方针和目标并实现这些目标。

2:服务管理体系(SMS)包括服务的设计、转换、交付和改进及满足ISO/IEC 20000-1要求所

需要的所有服务管理方针、目标、计划、过程、文件和资源.

3:改编自ISO 90002005“质量管理体系的定义。

3.32

服务提供方

为顾客管理和交付一项或多项服务的组织或组织的一部分。

注:顾客可以是服务提供方的内部或外部组织。

3.33

服务请求

对信息、建议、访问服务或预授权变更的请求。

3.34

服务需求

包括服务级别需求在内的顾客和服务用户的需求,以及服务提供方的需求。

3.35

供方

与服务提供方签订合同,有助于一项或多项服务或过程的设计、转换、交付和改进的服务提供方

的外部组织或外部组织的一部分。

注:供方包括指定的主供方,但不包括他们的分包商。

3.36

最高管理者

在最高层指挥和控制服务提供方的一个人或一组人。

注:改编自ISO 9000:2005

3.37

转换

将一项新服务或变更的服务移入或移出实际运行环境的活动。

16




4服务管理体系总要求

4.1 管理职责

4.1.1 管理承诺

最高管理者应通过以下活动,对其策划、建设、实施、运行、监控、评审、保持和改进服务管理

体系(SMS)和服务的承诺提供证据:

a) 建立和通报服务管理的范围、方针和目标

b) 确保服务管理计划的创建、实施和保持,以遵守服务方针、实现服务目标和满足服务需求   ;

c) 通报满足服务需求的重要性

d) 通报满足法律法规要求和协议责任的重要性

e) 确保资源提供

f) 根据计划的时间间隔进行管理评审

g) 确保服务风险被评估和管理

4.1.2服务管理方针

最高管理者应确保服务方针:

a) 与服务提供方的宗旨相适应;

b) 包括对满足服务需求的承诺;

c) 包括通过条款4.5.5.1的持续改进方针对持续改进服务管理体系(SMS)和服务有效性的承诺;

d) 提供制定和评审服务管理目标的框架;

e) 被通报并被服务提供方的员工理解

f) 在持续适宜性方面得到评审。

4.1.3 权限、职责和沟通

最高管理者应确保:

a)

b)

服务管理权限和职责被定义和保持;

建立和实施文件化的沟通程序

4.1.4 管理者代表

最高管理者应指定一名服务提供方的管理者,无论该成员在其他方面的职责如何,应具有以下方

面的职责和权限:

a) 确保执行识别、记录和满足服务需求的活动;

b) 分配权限和职责,确保根据服务管理的方针和目标设计、实施和改进服务管理过程;

17




c) 确保服务管理过程与其他服务管理体系(SMS)部件整合;

d) 确保用于交付服务的资产(包括许可证),对其管理遵循法律法规要求和协议责任;

e) 向最高管理者报告服务管理体系(SMS)和服务的业绩和改进的机会。

4.2 其他方运行过程的治理

对于条款5-9中的过程,服务提供方应识别其他方运行的所有过程或其他方运行的部分过程。其

他方可以是内部团体、顾客或供方。服务提供方应通过以下活动证明对其他方运行过程的治理:

a) 展示对过程结果负责并有权要求其他方遵守过程

b) 控制过程的定义和与其他过程的接口

c)

确定过程绩效和对过程要求的符合

d) 控制过程改进的计划和优先级

当供方运行部分过程时,服务提供方应通过供方管理过程对其进行管理。当内部团体或顾客运行

部分过程时,服务提供方应通过服务级别管理过程对内部团体或顾客进行管理。

注:ISO/IEC TR 20000-3提供了ISO/IEC 20000-1范围定义和适用性的指导。包括对其他方运行过

程治理的进一步解释。

4.3文件管理

4.3.1建立和保持文件

服务提供方应建立和保持包括记录在内的文件,以确保有效的计划、运行和控制服务管理体系

SMS)。这些文件应包括:

a) 形成文件的服务管理方针和服务管理目标;

b) 形成文件的服务管理计划

c) 形成文件的本部分要求的特定过程创建的方针和目标

d) 形成文件的服务目录

e) 形成文件的服务级别协议(SLAs)

f) 形成文件的服务管理过程

g) 形成文件的本部分要求的程序和记录

h) 服务提供方确定的为确保服务管理体系(SMS)有效运行和服务有效交付所需的其他文件,

包括外来文件。

18




4.3.2 文件控制

服务管理体系(SMS)所要求的文件应予以控制。记录是一种特殊类型的文件,应依据条款4.3.3

的要求进行控制。

应编制形成文件的包括权利和职责的程序,以规定以下方面所需的控制:

a) 文件发布前得到创建和批准;

b) 通告相关方新的或变更的文件;

c) 必要时对文件进行评审保持

d) 确保文件的更改和现行修订状态得到识别

e) 确保在使用处可获得有关版本的适用文件;

f) 确保文件保持清晰、易于识别

g) 确保外来文件得到识别并控制其分发;

h) 防止作废文件的非预期使用,若因任何原因而保留作废文件时,对这些文件进行适当的标识。

4.3.3 记录的控制

为证实符合要求和服务管理体系(SMS)有效运行的记录应予以保留。

应编制形成文件的程序,以规定记录的标识、贮存、保护、检索、保存和处置所需的控制。

记录应保持清晰、易于识别和检索。

4.4 资源管理

4.4.1 资源提供

服务提供方应确定和提供以下活动所需要的人员、技术、信息和财务资源:

a) 建立、实施和保持服务管理体系(SMS)和服务,并持续改进它们的有效性;

b) 通过交付满足服务需求的服务,增强客户满意。

4.4.2 人力资源

基于适当的教育、培训、技能和经验,从事影响服务需求符合性工作的服务提供方人员应是能够

胜任的。服务提供方应:

a) 确定人员必须的能力;

b) 适用时,提供培训或采取其他措施以使人员获得所需的能力;

c) 评价所采取措施的有效性;

d) 确保人员认识到他们如何为实现服务管理目标和满足服务需求做出贡献;

e) 保持教育、培训、技能和经验的适当记录

19




4.5 建立和改进服务管理体系

4.5.1 定义范围

服务提供方应在服务管理策划中定义和包含服务管理体系(SMS)的范围。根据提供服务的组织

单元名称和所交付的服务来定义范围。

服务提供方应考虑其他影响服务交付的因素,包括:

a) 服务提供方交付服务的地理位置;

b) 顾客和他们的位置

c) 用于提供服务的技术。

注:ISO/IEC TR 20000-3 提供了   ISO/IEC 20000 -1的范围定义和适用性的指南。

4.5.2 策划服务管理体系(策划)

服务提供方应创建、实施和保持服务管理计划。计划应考虑服务管理方针、服务需求和ISO/IEC

20000-1的要求。服务管理计划至少应包含或包括对以下方面的引用:

a) 服务提供方要达成的服务管理目标

b) 服务需求;

c) 影响服务管理体系(SMS)的已知限制

d) 方针、标准、法律法规要求和协议责任

e) 权限、职责和过程角色框架

f) 策划、服务管理过程和服务的权限和职责

g) 完成服务管理目标所需的人员、技术、信息和财务资源

h) 涉及设计和转换新服务或变更的服务过程时,与其他方协同工作所采取的方法

i) 服务管理过程和服务管理体系(SMS)其他部件整合的接口,要采取的方法

j) 管理风险和风险接受准则所采取的方法;

k) 用于支持服务管理体系(SMS)的技术

l) 如何测量、审核、报告和改进服务管理体系(SMS)和服务的有效性。

任何针对特定过程创建的计划都应与服务管理计划保持一致。应根据计划的时间间隔评审服务管

理计划和为特定过程生成的计划,适用时,对其更新。

4.5.3 实施和运行服务管理体系(实施)

服务提供方应根据服务管理计划实施和运行服务管理体系(SMS),以设计、转换、交付和改进服

务,至少包括以下活动:

20




a) 资金和预算的分配和管理

b) 权限、职责和过程角色的分配

c) 人员、技术和信息资源的管理

d) 服务风险的识别、评估和管理;

e) 服务管理过程的管理;

f) 服务管理活动绩效的监视和报告;

4.5.4 监视和评审服务管理体系(检查)

4.5.4.1 概述

服务提供方应采用适宜的方法来监视、测量服务管理体系(SMS)和服务。这些方法应包括内部

审核和管理评审。

内部审核和管理评审的目标应形成文件。内部审核和管理评审应证实服务管理体系(SMS)和服

务具有达到服务管理目标和满足服务需求的能力。违反ISO/IEC 20000-1的要求、服务提供方识别

的服务管理体系要求或服务需求的不合格应予以识别。

应记录内部审核和管理评审的结果,包括不合格、相关事宜和识别的措施。结果和措施应通报给

相关方。

4.5.4.2 内部审核

服务提供方应根据计划的时间间隔进行内部审核,以确定服务管理体系和服务是否:

a) 满足ISO/IEC 20000-1的要求;

b) 满足服务需求和服务提供方确定的服务管理体系(SMS)的要求;

c) 得到有效实施和保持。

应编制形成文件的程序,以规定审核的策划、实施以及报告结果和保持记录的职责和权限。

应对审核方案进行策划。应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果。审核

的准则、范围、频次和方法应形成文件。

审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应该审核自己的工作。

不合格应通报、排定优先顺序并分配措施职责。负责受审区域的管理者应确保及时采取必要的纠

正和纠正措施,以消除所发现的不合格及其原因。跟踪活动应包括对采取措施的验证和验证结果

的报告。

注:作为管理体系审核的指南,参见ISO 19011

4.5.4.3 管理评审

最高管理者应根据计划的时间间隔评审服务管理体系(SMS)和服务,以确保其持续适宜性和有

21




效性。评审应包括评价服务管理体系改进的机会和变更的需要,包括服务管理方针和服务管理目

标。

管理评审的输入应包括至少以下信息:

a) 顾客反馈;

b) 服务和过程的绩效和符合性;

c) 现在和预计的人员、技术、信息和财务资源级别;

d) 当前和预计的人员和技术能力

e) 风险

f) 审核结果和跟踪措施

g) 以往管理评审的结果和跟踪措施;

h) 预防和纠正措施的状况

i) 可能影响服务管理体系(SMS)的变更;

j) 改进机会

应保持管理评审的记录。

管理评审的记录应至少包括资源相关的决策和措施,服务管理体系(SMS)有效性的改进和服务

的改进。

4.5.5 保持和改进服务管理体系(处置)

4.5.5.1 概述

应有服务管理体系(SMS)和服务持续改进的方针。方针应包括改进机会的评价准则。应制定形

成文件的程序,包括识别、记录、评价、批准、排定优先顺序、管理、测量和报告改进的权限和

职责。改进的机会包括纠正和预防措施,应形成文件。

应纠正已识别不合格的原因。应采取纠正措施,以消除已确定不合格的原因,防止不合格再发生。

应采取预防措施,以消除潜在不合格的原因,防止不合格的发生。

注:更多纠正和预防措施的信息,参照ISO 9001:2008的条款8.5

4.5.5.2 改进的管理

改进机会应排定优先顺序。决策改进机会时,服务提供方应采用持续改进方针中的评价准则。批

准的改进应被策划。

服务提供方应管理改进活动,至少包括:

a)设定改进目标, 包括质量、价值、能力、成本、生产率、资源利用率和风险降低中一个或多个;

22




)确保批准的改进被实施;

)必要时,修订服务管理方针、计划、过程和程序;

)根据设定的目标测量实施的改进,当目标不能实现时,采取必要的措施;

)报告实施的改进。

5设计和转换新服务或变更的服务

5.1 概述

所有对现有服务或顾客有潜在重大影响的新服务或对服务的变更,服务提供方应采用本过程。条

5范围内的变更应由作为变更管理过程一部分, 约定的变更管理方针确定。

评估、批准、进度安排和评审条款5范围内的新服务或变更的服务应由变更管理过程控制。条款5

范围内的新服务或变更的服务影响的配置项(CIs)应由配置管理过程控制。

依据协商一致的服务需求和条款5.25.3的相关要求,服务提供方应评审新服务或变更的服务的策

划和设计活动的输出。基于评审,服务提供方应接受或拒绝输出。服务提供方应采取必要的措施,

以确保使用接受的输出,新服务或变更的服务的开发和转换能够被有效执行。

注:新服务或服务的变更的需求可源于顾客,服务提供方、内部团体或供应商,以便满足业务需

求或改进服务的有效性。

5.2 策划新服务或变更的服务

服务提供方应识别新服务或变更的服务的需求。应策划新服务或变更的服务以满足服务需求。新

服务或变更的服务策划应与顾客和相关方协商一致。

作为策划的输入,服务提供方应考虑交付新服务或变更的服务对财务、组织和技术的潜在影响。

服务提供方还应考虑新服务或变更的服务对服务管理体系(SMS)的潜在影响。

新服务或变更的服务的策划应至少包含或包括引用以下内容:

)设计、开发和转换活动的权限和职责;

)由服务提供方和其他方执行的活动,包括从服务提供方到其他方接口的活动;

)通报给相关方;

)人员、技术、信息和财务资源;

)策划活动的时间进度表;

)风险的识别、评估和管理;

23




)与其他服务的依赖关系;

)新服务或变更的服务要求的测试;

)服务验收准则;

)以可测量术语表示的交付新服务或变更的服务而产生的预期成果。

对于将要删除的服务,服务提供方应做出服务的删除计划。计划应包括数据、文件和服务部件的

删除、归档、销毁或转换。服务部件可包括基础架构和有授权的应用。

服务提供方应识别有助于提供新服务或变更的服务的服务部件的其他方。服务提供方应评价他们

满足服务需求的能力。应记录评价结果并采用必要的措施。

5.3 设计和开发新服务或变更的服务

应设计新服务或变更的服务,并形成文件,至少包括:

a) 交付新服务或变更的服务的权限和职责;

b) 服务提供方、顾客和其他方为交付新服务或变更的服务所执行的活动;

c) 新的或变更的人力资源需求,包括适当的教育、培训、技巧和经验要求;

d) 交付新服务或变更的服务的财务资源需求;

e) 支持交付新服务或变更的服务的新技术或变更的技术

f) ISO/IEC 20000-1要求的新的或变更的计划和方针

g) 新的或变更的合同和其他形成文件的协议,以与服务需求的变更保持一致;

h) 服务管理体系(SMS)的变更;

i) 新的或变更的SLAs

j) 服务目录的更新

k) 用于交付新服务或变更的服务的程序、测量和信息

服务提供方应当确保设计能够使新服务或变更的服务满足服务需求;

应根据形成文件的设计开发新服务或变更的服务。

注:关于设计的更多信息,参见ISO 9001:2008的条款7.3设计和开发过程或ISO/IEC 15288:2008

的条款6.4.3结构化设计过程。

5.4 转换新服务或变更的服务

应测试新服务或变更的服务,以验证服务需求和形成文件的设计得到满足。应根据由服务提供方

和相关方事先协商一致的服务接受准则对新服务和变更的服务进行验证。如果未满足服务验收准

24




则,服务提供方和相关方应决定必要的措施和部署。

应采用发布和部署管理过程将已批准的新服务或变更的服务部署到实际运行环境中。

转换活动完成之后,针对期望成果,服务提供方应向相关方报告实际成果。

6服务交付过程

6.1 服务级别管理

服务提供方应与顾客协商交付的服务。

服务提供方应与顾客协商服务目录。服务目录应包括服务和服务部件之间的依赖关系。

对于交付的每个服务,应与顾客协商一个或多个服务级别协议(SLAs)。当创建服务级别协议时,

服务提供方应考虑服务需求。SLAs应包括协商一致的服务目标、工作量特性和例外。

服务提供方应与顾客根据计划的时间间隔评审服务和SLAs。形成文件的服务需求、服务目录、SLAs

和其他形成文件的协议的变更应处于变更管理过程的控制之下。服务目录应在服务和SLAs变更之

后进行保持,以确保它们一致。

服务提供方应根据计划的时间间隔,依服务目标监视趋势和绩效。应记录和评审结果,以识别不

合格的原因和改进的机会。

针对由内部团体或顾客提供的服务组件,服务提者应开发、协商、评审和维护形成文件的协议,

以定义双方的活动和接口。依据协商一致的服务目标和其他协商一致的承诺,服务提供方应根据

计划的时间间隔监视内部团体或客户的绩效。应记录和评审结果,以识别不合格的原因和改进的

机会。

6.2 服务报告

服务提供方与相关方应协商并记录的每个服务报告的描述,包含标识、目的、读者、频率和数据

源的详情。

应采用来自服务交付和包括服务管理过程的服务管理体系(SMS)活动的信息,生成服务报告。服

务报告至少包括:

a) 与服务级别目标相对应的绩效;

b) 相关重大事件信息,至少包括重大事件、新服务或变更的服务的部署和被触发的服务连续性计

划;

c) 工作量特征,包括工作量和周期性变化;

d) 依据ISO/ IEC 20000本部分要求、服务管理体系(SMS)要求或服务需求检查出的不合格以及识

25




别的原因;

e) 趋势信息;

f) 客户满意度测量、服务投诉以及满意度测量和投诉的分析。

服务提供方应基于服务报告的发现做出决策并采取措施。协商一致的措施应通报相关方。

6.3 服务连续性和可用性管理

6.3.1 服务连续性和可用性需求

服务提供方应评估并记录服务连续性和可用性的风险。服务提供方应与顾客和相关方识别和协商

服务连续性和可用性需求。协商一致的需求应考虑适用的业务计划、服务需求、SLAs和风险。

协商一致的服务连续性和可用性需求至少应包括:

a) 服务访问权限:

b) 服务响应时间;

c) 端到端的服务可用性。

6.3.2 服务连续性和可用性计划

服务提供方应创建、实施和保持服务连续计划和可用性计划。这些计划的变更应受变更管理过程

控制。

服务连续性计划至少应包括:

a) 服务重大损失情况下要执行的程序,或用的程序;

b) 计划触发时的可用性目标;

c) 恢复需求;

d) 返回正常工作状态的方法;

当正常服务地点的访问被阻止时,应可以访问服务连续性计划、联系清单和配置管理数据库。

服务可用性计划应至少包含可用性需求和目标。

服务提供方应评估变更请求对服务连续性计划和服务可用性计划的影响。

注:服务连续性计划和可用性计划可合并为一个文件。

6.3.3 服务连续性和可用性的监视和测试

应监视服务可用性,记录结果并与协商一致的目标进行比较。应对计划之外的不可用性进行调查

并采取必要的措施。

应依据服务连续性需求来测试服务连续性计划。应依据服务可用性需求来测试可用性计划。服务

26




提供方运行的服务环境发生重大变更时,应重新测试服务连续性和可用性计划。

应记录测试结果。每次测试和服务连续性计划触发后,应实施评审。当发现不足时,服务提供方

应采取必要的措施并报告采取的措施。

6.4 服务的预算和核算

服务的预算和核算过程与其他财务管理过程之间应有明确的接口。

应有方针和形成文件的程序:

a) 服务组件的预算和核算至少包括

1) 用于提供服务的资产(包括许可证),

2) 共享资源,

3) 日常开支,

4) 资金和运营费用,

5) 外部供应服务,

6) 人员,

7) 设施;

b) 与服务相关的间接成本和直接成本的分摊,并提供每个服务的总成本;

c) 有效的财务控制和审批。

应对支出进行预算,以达到对交付服务有效的财务控制和业务决策。

服务提供方应监视并报告预算的支出,评审财务预报,从而管理支出。

应向变更管理过程提供信息,以支持对变更请求的支出控制。

注:许多服务提供方对他们的服务计费。服务的预算和核算过程范围不包括计费。

6.5 能力管理

服务提供方应与顾客和相关方识别和协商能力和性能要求。

服务提供方应创建、实施和保持一个考虑人员、技术、信息和财务资源的能力计划。能力计划的

变更应受变更管理过程的控制。

能力计划至少应包含:

a) 当前和预计的服务需求;

b) 对可用性、服务连续性和服务级别的协商一致要求的预期影响;

27




c) 服务能力升级的时间进度表、阀值和成本;

d) 法律、法规、合同或组织变更的潜在影响;

e) 新技术和和新技能的潜在影响;

f) 能够进行预计分析的程序,或参考它们;

服务提供方应监视能力使用,分析能力数据并调整性能。服务提供方应提供足够的能力以满足协

商一致的能力和性能需求。

6.6 信息安全管理

6.6.1 信息安全方针

考虑服务需求、法律法规要求和协议责任,具有适当授权的管理者应批准信息安全方针。管理者应:

a) 向服务提供方、客户和供应商的适当人员通报信息安全方针以及遵守该方针的重要性;

b) 确保建立信息安全管理目标;

c) 定义管理信息安全风险管理所采取的方法和接受风险的准则;

d) 确保根据计划的时间间隔实施信息安全风险评估;

e) 确保实施信息安全内部审核;

f) 确保审核结果被评审以识别改进的机会。

6.6.2 信息安全控制措施

服务提供方应实施和执行物理的、行政的和技术的信息安全控制措施以便于:

a) 保护信息资产的机密性、完整性和可访问性;

b) 满足信息安全方针的要求;

c) 达成信息安全管理目标;

d) 管理信息安全相关的风险。

信息安全控制措施应形成文件,应描述控制措施相关的风险,控制措施的运行和保持。

服务提供方应评估信息安全控制措施的有效性。服务提供方应采取必要的措施并通报采取的措施。

服务提供方应识别需要访问、使用或管理服务提供方的信息或服务的外部组织。服务提供方应与

这些外部组织协商和实施信息安全控制措施并形成文件。

28




6.6.3 信息安全变更和事件

变更请求应被评估以识别:

a) 新的或变更的信息安全风险;

b) 对已有信息安全方针和控制措施的潜在影响。

信息安全事件应通过事件管理过程管理,其优先级别与信息安全风险相适应。服务提供方应分析

信息安全事件的类型、数量和影响。应通报和评审信息安全事件以识别改进的机会.

注:ISO/IEC 27000标准族提出了明确要求,并为支持实施和运行信息安全管理体系提供指导。

7关系过程

7.1 业务关系管理

服务提供方应识别并记录服务的顾客、用户和相关方。

服务提供方应为每个顾客指定专职个人负责管理顾客关系和顾客满意度。

服务提供方应建立与顾客的沟通机制。沟通机制应有助于了解服务运行的业务环境和对新服务或

变更的服务的要求。该信息应使服务提供方响应这些要求。

服务提供方应和顾客根据计划的时间间隔评审服务的绩效。

形成文件的服务需求的变更应处于变更管理过程的控制之下。SLAs的变更应与服务级别管理过程

协调。

服务投诉的定义应与顾客协商一致。应有形成文件的程序管理来自顾客的投诉。服务提供方应记

录、调查、采取措施、报告和关闭服务投诉。当服务投诉不能通过常规渠道解决时,投诉应能升

级。

基于对服务的顾客和用户进行代表性的抽样调查,服务提供方应根据计划的时间间隔测量顾客满

意度。该结果应用于分析和评审以识别改进的机会。

7.2 供方管理

服务提供方可使用供方实施和运行部分服务管理过程。图 3说明了一个供应链关系的示例。

供方  1

供方  2

服务提供方

顾客

分包方 3a

主供方  3

29



服务提供方应为每个供方指定专职个人负责管理与供应商的关系、合同和绩效。

服务提供方和供方应有协商一致形成文件的合同。合同应包含或包括以下引用:

a) 供方交付的服务的范围

b) 服务、过程和相关方的依赖关系

c) 供方须满足的要求

d) 服务目标

e) 供方和其他方运行的服务管理过程的接口;

f) 在服务管理体系(SMS)中供应商活动的整合

g) 工作量特性

h) 合同例外以及如何处理例外;

i) 服务提供方和供方的权限和职责

j) 供方提供的报告和通告

k) 收费依据

l) 合同预期的或提前结束和向不同方的服务转交的活动和职责

服务提供方应与供方就服务级别协商一致,以支持并密切结合服务提供方与顾客订立的SLAs

服务提供方应确保主供方与分包方之间的角色和关系都被清楚记录。服务提供方应验证主供方管

理分包方履行协议责任。

服务提供方应根据计划的时间间隔监视供方绩效。应测量对服务目标和其他协议责任的履行。应

对结果进行记录和评审,以识别不合格的原因和改进的机会。评审应确保合同反映现实的要求。

合同的变更应处于变更管理过程的控制之下。

应具备解决服务提供方和供方合同纠纷的形成文件的程序。

1:供方管理过程的范围不包括供方的选择和服务的采购。

2:供应链关系的进一步示例见 ISO/IEC TR 20000-3

8解决过程

8.1 事件和服务请求管理

应有形成文件的程序对所有事件进行定义:

a)记录;

30




b)分配优先次序;

c)分类

d)记录更新

e)升级

f) 解决

g)关闭

应有形成文件的程序管理服务请求从记录到关闭的全过程。应依据该过程管理事件和服务请求。

当分配事件和服务请求的优先次序时,服务提供方应考虑事件和服务请求的影响和紧急程度。

服务提供方应确保涉及事件和服务请求管理流程的人员能访问和使用相关信息。相关信息应包括

服务请求管理流程、已知错误、问题解决方案和配置管理数据库。事件和服务请求管理过程应使

用来自发布部署管理过程的发布成功或失败的信息、未来的发布日期。

服务提供方应及时通知顾客有关他们报告的事件或服务请求的进展情况。如果不能满足服务目标,

服务提供方应通知顾客和相关方,并依据程序进行升级。

重大事件的定义应由服务提供方与顾客协商一致并记录。重大事件应依据形成文件的程序分类和

管理。重大事件应通知最高管理者。最高管理者应确保有指定的专职个人负责管理重大事件。当

协商一致的服务恢复后,应评审重大事件以识别改进的机会。

8.2 问题管理

应有形成文件的程序来识别、最小化或避免事件和问题的影响。该程序应定义:

a)识别

b)记录

c) 分配优先次序;

d)分类

e)记录更新

f) 升级

g)解决

h) 关闭

应依据该程序管理问题

服务提供方应分析事件和问题的数据和趋势,以识别根本原因及其潜在预防措施。

31




问题所需的配置项(CI)变更应通过提交变更请求解决。

当识别根本原因,但问题没有永久解决时,服务提供方应确定措施以减轻或消除问题对服务的影

响。应记录已知错误。

应对问题解决的有效性进行监视、评审和报告。

已知错误和问题解决方案的更新信息应提供给事件和服务请求管理过程。

9控制过程

9.1 配置管理

每种类型的配置项应有文件化的定义。每个配置项记录的信息应确保有效控制,并至少包含:

a) 配置项的描述;

b) 配置项和其他配置项之间的关系;

c) 配置项和服务部件之间的关系;

d) 状态;

e) 版本;

f) 位置;

g) 相关的变更请求;

h) 相关的问题和已知错误;

配置项应是唯一可识别的,并记录在CMDB中。应管理CMDB以确保其可靠性和准确性,包括更新

访问控制。

应有形成文件的程序记录、控制和追踪配置项的版本。考虑到服务需求和配置项的相关风险,控

制程度应保证服务和服务部件的完整性。

服务提供方应根据计划的时间间隔审核储存在配置管理数据库中的记录。当发现缺失时,服务提

供方应采取必要的措施并报告采取的措施。

配置管理数据库中的信息应提供给变更管理过程,以支持对变更请求的评估。

对配置项的变更应是可追踪的和可审核的,以保证配置管理数据库中的配置项和数据的完整性。

部署一个发布到实际运行环境前,应确定受影响配置项的配置基线。

记录在配置管理数据库中配置项的原始拷贝应存储在由配置记录引用的安全的物理库或电子库中。

这些配置项至少包括文档、许可证信息、软件,如果可能, 和硬件配置图。

32




应定义配置管理过程和财务资产管理过程的接口。

注:配置管理过程的范围不包含财务资产管理。

9.2 变更管理

应建立变更管理方针来定义:

a) 变更管理控制下的配置项;

b) 判定对服务或顾客有潜在重大影响的变更的准则。

删除服务应被分类为对服务有潜在重大影响的变更。服务从服务提供方转换到顾客或不同方应被

分类为有潜在重大影响的变更。

变更请求的记录、分类、评估和批准应有形成文件的程序。

服务提供方应与顾客协商一致紧急变更的定义并形成文件。管理紧急变更应有形成文件的程序。

所有对服务或服务部件的变更应提出变更请求。变更请求应有明确的范围。

应对所有变更请求进行记录和分类。分类为对服务或顾客有潜在重大影响的变更请求,应采用设

计和转换新的或变更的服务过程管理。所有定义在变更管理方针中的其他配置项的变更请求应由

变更管理过程管理。

应利用来自变更管理过程和其他过程的信息对变更请求进行评估。

接受变更请求的决定应由服务提供方和相关方做出。做决定时应考虑风险、对服务和顾客的潜在

影响、服务需求、业务利益、技术可行性和财务影响。

批准的变更应被开发和测试。

变更的日程安排,包含被批准变更的详情及其建议的部署日期,应予以建立并通报给相关方。应

把变更日程安排作为计划发布部署的基础。

应策划,如果可能,进行测试,对不成功变更进行回退变更或补救的活动。若不成功,应对变更

进行回退变更或补救。应对不成功变更调查并采取协商一致的措施。

成功部署变更后,应更新配置管理数据库中的记录。

服务提供方应评审变更的有效性并采取与相关方协商一致的措施。

应根据计划的时间间隔分析变更请求以识别趋势。由分析得出的结果和结论应予以记录和评审以

识别改进的机会。

9.3 发布和部署管理

服务提供方应建立发布策略描述发布频率和类型并与顾客协商一致。

服务提供方应与顾客及相关方对部署新的服务或变更的服务和服务部件到实际运行环境中进行策

33




划。策划应与变更管理过程协调并包含涉及的相关变更请求、已知错误和通过该发布要关闭的问

题。策划应包括每个发布项的部署日期、交付物和部署的方法。

服务提供方应与顾客协商一致紧急发布的定义并形成文件。应依据与紧急变更程序接口的文件化

程序管理紧急发布。

应在部署前建立和测试发布项。应在受控的验收测试环境建立和测试发布项。

发布的验收准则应与顾客和相关方协商一致。应依据协商一致的验收准则对发布进行验证并在部

署前被批准。如果无法满足验收准则,服务提供方应与相关方决定采取必要措施并部署。

应部署发布项到实际运行环境中,以使硬件、软件和其他服务部件的完整性在发布部署中得到保

持。

应策划,如果可能,进行测试,对不成功发布项的部署进行回退部署或补救的活动。若不成功,

应对发布项的部署进行回退部署或补救。应对不成功发布调查并采取协商一致的措施。

应对发布的成功或失败进行测量和分析。测量内容应包括发布项部署之后某段时间内与发布有关

的事件。分析应包括发布对顾客影响的评估。应记录并评审分析的结果和结论以识别改进的机会。

应提供有关发布成功或失败和未来发布日期的信息给变更管理过程、事件和服务请求管理过程。

应提供信息给变更管理过程,以支持关于发布和部署策划变更请求的影响评估。


联系人:   陈军华 13814135518   18014716677  地址:南京市溧水区珍珠南路99号广成2幢112室
版权所有:南京高诚企业管理咨询有限公司 备案号:苏ICP备18017693号-1