《IT服务管理体系管理手册28569.pdf》由会员分享,可在线阅读,更多相关《IT服务管理体系管理手册28569.pdf(42页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、文件编号:修订状态:A/0 服 务 管 理 体 系 手册 文件版本:A 受控状态:发布实施日期:2015-09-28 密级:内部公开 XXXX 文档修改记录 序号 版本号 修改页码与章节 修改日期 修改人 批准人 1 A/0 新建 目录 0.概述.1 0.1 手册管理.1 0.2 发布令.2 0.3 公司简介.2 0.4 管理者代表任命书.2 0.5 引用标准.4 1.目的与适用范围.5 1.1 目的.5 1.2 IT 服务管理方针.5 1.3 IT 服务管理目标.5 1.4 范围.5 1.5 IT 服务相关职责.6 2.术语和定义.12 3.管理体系要求.13 3.1 管理职责.13 3.2
2、 其他方运行过程的治理.14 3.3 文件管理.14 3.4 资源管理.15 4.服务管理的策划与实施.17 4.1 服务管理的策划(计划).17 4.2 实施服务管理并提供服务(实施).18 4.3 监视、测量和评审(检查).19 4.4 持续改进(改进).19 策略.19 管理改进.20 改进活动.21 5.设计和转换新的或变更的服务.21 6.服务交付过程.22 6.1 服务等级管理.22 6.2 服务报告.23 6.3 服务连续性与可用性管理.24 6.4 IT 服务的预算与核算管理.25 6.5 能力管理.25 6.6 信息安全管理.26 7.关系过程.27 7.1 业务关系管理.2
3、7 7.2 供应商管理.28 8.解决过程.29 8.1 事件和服务请求管理.29 8.2 问题管理.29 9.控制过程.31 9.1 配置管理.31 9.2 变更管理.32 9.3 发布和部署管理.33 附件 1:程序文件清单.34 附件 2:职责分配表.360.概述 0.1 手册管理 a)本手册由管理者代表审核、总裁批准发布实施;b)本手册适用于 XXXX 所有与 IT 服务业务有关的部门和员工;c)本手册分为“受控”和“不受控”两类;d)“受控”版本是现行有效版本,随 XX 内外环境的变化而修订。e)“不受控”版本是参考版本,一般不作修订,主要用于 XX 宣传介绍、顾客需要时。f)XX
4、每年通过管理评审评价 IT 服务管理体系的适宜性、充分性、有效性,以确定本手册是否需要进行修订;g)本手册每换一版,版本号增加 1。每修订一次,修订状态号增加 1,当出现大的修订时,调整大版本号标识,由 A 依次调整为 B、C。h)本手册版本号:VA/0。发布时间:2015 年 9 月 20 日 编 制:审 核:批 准:0.2 发布令 IT 服务管理手册是依据ISO/IEC 20000-1:2011 信息技术服务管理服务管理体系要求国际标准制定的,是 XXXXIT 服务管理体系的基本纲领性文件。本手册对 XX 的 IT 服务管理方针、目标作出了规定,阐述了 XXIT 服务管理的角色和职责,以与
5、在各类 IT 服务管理工作中所必须遵守的基本方针和原则。IT 服务管理手册是 IT 服务管理体系的基本准则,如有与IT 服务管理手册冲突的其它文件,以本手册为准。IT 服务管理手册同时代表了 XX对顾客的承诺。本手册自 2015 年 9 月 20 日起发布实施,公司所有员工必须遵照执行。批准人:2015 年 9 月 20 日 0.3 公司简介【简介内容】0.4 管理者代表任命书 兹任命 XX 副总裁为 XXXX 管理者代表,负责建立、实施和保持本公司的 IT 服务管理体系,并进行相关的管理工作。保证本公司的 IT 服务管理体系有效运行,不断地改进提高。总总裁:2015 年 9 月 20 日0.
6、5 引用标准 a)ISO/IEC 20000-1:2011信息技术服务管理Part 1:服务管理体系要求 b)ISO/IEC 20000-2:2012信息技术服务管理Part 2:服务管理体系应用指南1.目的与适用范围 1.1 目的 本手册依据 ISO/IEC 20000-1:2011信息技术服务管理Part 1:服务管理体系要求和公司的 IT 服务业务实际情况相结合编制而成,旨在规定 XX 的 IT 服务管理体系的要求。本手册描述了公司 IT 服务部门为达到高质量 IT 服务所采用的 IT 服务管理框架,其直接目的是:a)公司 IT 服务部门承诺为客户提供高质量的 IT 服务;b)通过体系的
7、建立、实施和持续改进,提高客户的满意度。1.2 IT 服务管理方针 IT 服务管理方针是由总裁发布的公司总的 IT 服务管理宗旨和方向,面向公司全体员工发布。XX 的 IT 服务管理方针是:1.3 IT 服务管理目标 见公司服务管理目标管理计划 1.4 范围 a)本手册之规定适用于公司所有和 IT 服务业务有关的部门和人员;具体涉与部门与角色见 IT 服务管理组织结构图;b)涉与的场地范围为:XX;c)涉与的业务范围为:IT 信息系统的运维服务。d)本手册规定了公司 IT 服务管理体系的要求,确定了 IT 服务管理方针、IT服务管理目标和流程,是公司与 IT 服务管理体系运行相关的部门和人员必
8、须共同遵守的基本法规。e)公司 IT 服务管理体系包括 ISO/IEC 20000-1:2011 标准要求的全部内容,不做删减。公司 IT 服务管理管理体系组织结构【组织结构图】1.5 IT 服务相关职责 总裁 对建立、实施工作体系并持续改进其有效性的管理承诺提供证据;向公司传达满足客户和法律法规要求的重要性;制定公司战略规划、服务管理方针与服务管理目标;组织每年进行管理评审;确保为服务管理体系的有效运行配备必要的资源;确保客户需求得到满足;通过确定公司组织架构,确保组织内的职责、权限得到规定和沟通。管理者代表 负责建立、实施和保持公司的 IT 服务管理体系,并进行相关的管理工作;分配权限和职
9、责,确保依据服务管理的方针和目标设计、实施和提高服务管理过程;制定必要的服务改进计划和程序,采取纠正和预防措施以满足 IT 服务管理体系的持续改;定期进行服务改进评审并适时召开特别会议;保证公司的 IT 服务管理体系有效运行,不断地改进提高;向组织传达满足服务管理目标和持续改进的重要性;指导公司 IT 服务管理流程的运行,并评审流程的适宜性;向总裁报告目标和方针的建立和实现情况。XX 部 参与公司运维业务的市场需求分析、业务拓展计划拟订和市场推广工作;负责拟制IT 服务管理相关服务计划并执行;负责组织制定公司服务手册、服务目录;负责运维业务相关解决方案的策划、制订和售前支持工作;协助推动运维业
10、务相关商务合作关系的建立;负责组织进行考试平台的应用开发,拟订项目计划,进行设计开发,跟踪项目进度,控制项目成本与质量等;运维服务:负责各业务系统的日常运维工作,主要职责如下:1)按照与客户签订的技术协议开展日常一、二、三线运维工作;2)收到客户投诉,第一时间告知运维管理专员,并积极配合运维管理专员减少突发事件对业务的影响;提高事件响应速度,缩短事件解决时间;3)收集整理用户问题、需求解决方案,记录各系统运维常态问题,建立运维知识库。4)运维项目经理按期编制工作汇报发送至客户与公司运维管理专员,对当期整体运维工作情况做汇报(问题数、与时率、完成率、遗留率)。人力资源部 负责制定并完善公司人力资
11、源管理体系,编制所需人力资源管理程序文件与工作标准,组织推动和督导实施。参与公司组织结构设计,组织开展职位分析与评价,定编定员管理;负责组织公司核心能力识别与任职资格评价管理等。负责招聘渠道开发与维护,招聘过程组织与管理,选拔与测评工具开发,人员配置等。负责公司员工培训计划的制定与管理,培训课程设计与开发,培训组织与激励,培训效果评估等。负责组织公司员工绩效管理系统的实施,汇总分析绩效结果并应用。负责员工薪酬与激励管理体系设计,组织开展薪酬调研与分析,组织开展定薪与调整管理,负责员工薪酬拟定与核算,负责人工成本分析与管理,负责福利方案制定与实施。负责公司员工福利计划的制定并组织实施。负责员工劳
12、动关系的建立和维护,人事关系转移、档案维护,劳动争议的处理与风险控制,离职管理等。负责员工考勤管理,负责员工信息管理、维护与分析。XX 部 负责公司服务管理体系文件的总归口管理;负责 ISO20000 服务管理体系的运行;软硬件产品开发过程监控与测试;开发技术考核;产品生产过程监控与测试;售后服务、项目实施等项工作的质量监督;负责配合相关部门做好产品服务或技术支持;负责依据管理评审报告,对本公司管理体系的整体结构和有关的管理体系文件提出改进设想,经管理者代表审核,总裁批准后与时更改;负责所有受控文件(包括管理体系文件和技术文件)和资料的管理和控制;负责将本公司所有与管理体系运行有关的记录进行收
13、集汇总,形成记录的原始样本,并编制记录总清单,负责保存与内审有关的记录;相关制度的制定。XX 部 计算机设备、网络设备、耗材等物品的采购与销售;固定资产采购与维护;负责编制采购计划,并负责原材料、辅助材料的采购;负责采购物资不合格品的处置;供方的管理:拓展采购渠道,供方的选择,按计划进行供方入围招标工作,供方的业绩评定等工作;负责公司文件、行政规章制度和管理规范的起草、制定,与文件的归档和管理;负责公司会议的组织与落实;负责公司安全管理(包括水、电等),监督检查安全防范工作的落实情况,与时发现和消除各种安全隐患,并予以处置或上报;负责组织办公设施(主要为电话机、传真机、复印机、办公家具、厂房与
14、宿舍等)的维修;相关制度的制定。财务部 负责年度财务预算目标的编制与平衡;根据公司年度的经营目标编制财务预算报告;按业务分解落实收入、成本、利润、回款指标,保证预算目标的完成。编制部门成本、项目成本费用预算,进行控制、监督。负责税务管理;负责财务分析、财务报告的编制。市场部 负责公司市场分析、市场推广、市场宣传工作和大客户关系维护与全过程跟踪工作;负责收集和分析客户项目信息,拟定分析评估报告;负责公司营销区域布点和各营销区域的协调管理工作;负责与项目部门的衔接和协同工作。负责公司相关行业政策法规、产业信息、集中招标等信息的收集整理和反馈;负责进行客户关系维护、项目/问题反馈处理、服务质量监督,
15、协助项目部门进行项目跟踪与合同洽谈,工作职责如下:1)客户关系维护 负责与关键用户直接对口沟通,了解客户整体运维投入、年度运维计划与项目概况帮助项目部门开展市场工作,进行客户中、高层关系维护,并配合项目部门做基层关系维护,协助用户开展运维服务满意度调查。2)运维业务考评 与项目部门直接对口沟通,对运维工作情况实时跟踪。协助项目部门提升运维指标,客观、全面、公正的评价运维人员的工作。3)投诉处理 当产生对运维工作不满的投诉时,组织相关人员进行处理。2.术语和定义 本手册采用 ISO/IEC 20000-1:2011信息技术服务管理Part 1:服务管理体系要求中的术语和定义。3.管理体系要求 3
16、.1 管理职责 3.1.1 管理承诺 最高管理者应通过领导并采取措施,对其策划、建设、实施、运行、监控、评审、维护和改进 IT 服务管理体系和服务并满足顾客要求的承诺提供证据。管理者应:a)建立和沟通服务管理的范围、方针、目标;b)确保服务管理计划的创建、实施和维护,以坚持服务方针、实现服务目标和满足服务需求;c)规定服务管理的职责、权限,并沟通;d)向组织传达满足服务需求和持续改进的重要性;e)向组织传达法律法规要求和合同义务的重要性;f)确保客户要求的确定与满足,旨在增强顾客满意;g)确保提供充足的资源;h)制定并评审服务管理方针;IT 服务管理方针见 1.2;i)授权多个管理者负责所有服
17、务管理流程的协调与执行;j)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如调配合适的人员,管理人员的更新;k)管理 IT 服务管理体系组织和服务的风险;l)按计划的时间间隔进行 IT 服务管理评审,以确保其持续的适宜性、充分性和有效性。IT 服务管理评审过程参见流程文件管理评审程序。3.1.2 权限、职责和沟通 最高管理者应:确保依规定服务管理的职责、权限,并沟通;建立并实施书面的沟通程序。参见流程文件人力资源管理程序和信息沟通管理程序。3.1.3 管理者代表 管理者代表由总裁制定,负责代替总裁理行使日常 IT 服务管理职责,具体资助描述参见 1.5 3.2 其他方运行过程
18、的治理 公司识别所运行的全部过程,针对内部团体,公司通过确定 IT 服务管理角色,明确各岗位职责与资格;对公司的客户,公司建立日常维护流程业务关系管理程序和顾客满意度测量控制程序以确保服务需求被满足;对于公司由外部人员运行的服务,公司通过建立供应商管理程序对其进行控制和监督。3.3 文件管理 文件控制 公司应提供文件和记录,以确保 IT 服务管理的有效策划、运行和控制。文件应包括:a)文件化的服务管理方针、目标和计划;b)服务目录文件;c)文件化的服务等级协议;d)ISO/IEC20000 所要求的形成文件的过程和流程;e)附加的文件,保证 IT 服务管理体系运行有效和服务交付必要的文件,包括
19、外部来源文件;f)ISO/IEC20000 所要求的记录。应建立不同类型文件和记录的编制、评审、批准、保持、销毁和控制的程序和职责。具体文件管理参见流程文件文件和资料控制程序 3.3.2 记录控制 为符合要求和确保服务管理体系有效运行,公司建立记录控制程序,对公司体系运行记录进行控制。3.4 资源管理 资源提供:应确定和提供以下活动所需的人员、技术、信息和财务资源:a)建立、实施和维护服务管理体系和服务,并持续改进它们的有效性;b)通过提供满足服务需求的服务增强客户的满意度。人力资源:应定义并保持所有服务管理者的角色和职责以与有效履行这些角色和职责所需的能力。应评审并管理人员的能力和培训需求,
20、以确保他们能够有效履行他们的角色。最高管理者应确保其员工与基层单位信息岗位人员认识到所从事活动的相关性和重要性,以与如何为实现服务管理目标做出贡献。人力资源部每年根据体系要求,评价IT 服务管理人员的能力,任命相关岗位,并通过定期培训,不断提高IT 服务管理人员的能力和意识,确保 IT 服务管理体系的正常运作和持续改进。本章节参见流程文件人力资源管理程序、岗位说明书、培训管控制程序。4.服务管理的策划与实施 本体系的建立采用 PDCA 方法。PDCA 描述如下:a)计划:建立符合客户要求和组织策略的交付结果所需的目标和过程;b)实施:实施这些过程;c)检查:根据策略、目标和要求监视并测量这些过
21、程,并报告结果;d)改进:采取措施持续改进过程绩效。PDCA 方法在服务管理过程中的应用 4.1 服务管理的策划(计划)总裁应指定软件产品研发部人员具体策划服务管理的实施与交付。策划的内容至少应包括以下方面的内容:a)服务提供商的服务管理的范围;b)服务管理所要实现的目标和满足的要求;c)影响服务管理体系的已知限制;d)方针、标准、法律法规需求和合同义务;e)将要执行的过程;f)管理角色和职责的框架,包括高层负责者、过程所有者与供方管理;业务要求 顾客要求 新/变更服务请求 其他过程,服务台 其他团队:如安全、IT 运作 管理职责 策划 策划服务管理 实施 改进 持续改进 检查 监视、测量和评
22、审 服务管理 业务结果 顾客满意 新/变更服务请求 其他过程,如:业务、供方和顾客要团队和人员安全 g)服务管理过程和活动协调方式之间的接口;h)在实现既定目标的过程中拟采用的识别、评估和管理问题和风险接受准则所采取的方法;i)创建或修改服务的项目接口方法;j)实现既定目标所需的资源、设施和预算;k)适用的支持过程、技术和工具;l)管理、审核和改进服务质量的方法。应建立清晰的评审、授权、传达、实施和保持计划的管理指导,并规定文件化的职责。过程负责人负责必要时对各自的过程进行策划,所以计划应与 IT 服务管理计划相一致。4.2 实施服务管理并提供服务(实施)IT 服务管理涉与的公司各部门根据 I
23、T 服务管理目标和 IT 服务管理计划,实施 IT 服务管理并交付服务,内容包括:a)资金与预算分配;b)职责、权限和过程角色的分配;c)记录并保持每一过程或系列过程的方针、计划、程序和定义;d)识别并管理服务风险;e)管理团队,即招聘、开发合适的人员以与管理人员的连续性;f)设施和预算管理;g)管理团队,包括服务台和运营;h)监视和报告服务管理活动的绩效;软件产品研发部负责各服务管理过程的总体协调。IT 服务管理过程包括如下图各服务过程,具体要求请见第 6 到 9 章。IT 服务管理过程 4.3 监视、测量和评审(检查)IT 服务部门采用适宜的方法来监视服务管理过程,并在适当时进行测量。这些
24、方法应证实过程实现所策划的结果的能力。公司每年至少进行一次内部审核和管理评审,以确定服务管理要求是否:a)符合服务管理计划与本标准的要求;b)得到有效实施与保持。应策划审核方案,策划时应考虑拟审核的过程和区域的状况和重要性以与以往审核的结果。应在程序中规定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。应记录服务管理评审、评估和审核的目标与发现,以与识别的任何整改措施。与相关方沟通不符合或关注的重要区域。内部审核具体过程参见程序内部审核控制程序。服务管理评审过程参见程序文件管理评审控制程序。4.4 持续改进(改进)4.4.1 策略
25、 应具备公开发布的服务改进的方针,应补就任何与标准或服务管理计划的不符合/不合格。应制定书面的流程,包括识别、记录、评估、批评、排定优先级顺序、管理、测量和报告改进的权限和职责。应规定清晰的服务改进活动的角色和职责。在 IT 服务管理改进过程中各角色与其职责如下:IT 服务管理者代表:制定必要的服务改进计划和程序,采取纠正和预防措施以满足 IT 服务管理的持续改进;定期进行服务改进评审并适时召开特别会议;服务管理负责人应确保足够的响应所有评审和审核的改进计划,且计划的改进措施配备了足够的资源;负责授权改进计划。软件产品研发部:讨论与改进措施相关的问题。应帮助策划和监控改进。各流程管理负责人:负
26、责改进各服务过程的质量;定期评审各过程的不符合和缺失,提出改进建议并根据计划实施改进活动;向管理者代表报告服务改进的相关活动和进展情况。内审员:参与实施内部或外部审核。负责识别 ITSMS 实施和运行中的不符合。4.4.2 管理改进 应评估、记录、排定优先顺序并授权所有建议的服务改进。应使用服务改进计划来控制服务改进活动。各服务提供人员应实施过程以识别、测量、报告并管理持续的改进活动。应包括:a)流程管理经理可使用日常的人力资源来实施单个过程的改进,即实施单个的纠正和预防措施;b)整个组织或涉与多个过程的改进。4.4.3 改进活动 IT 服务管理涉与部门应采取下列活动:a)收集并分析基线数据,
27、调整组织的管理和交付服务管理能力;b)识别、策划并实施改进;c)咨询所涉与的所有相关方;d)设定质量、成本和资源使用方面的改进目标;e)从服务管理过程的所有方面考虑改进的相关输入;f)评价、报告并传达服务改进情况;g)需要时,更新服务管理策略、计划和程序;h)确保所有的改进措施都被执行,并实现其预期目的。持续改进过程见纠正措施和预防措施控制程序 5.设计和转换新的或变更的服务 公司内部发起的或由客户提出的新服务或变更服务在实施前均应进行重新策划。IT 服务管理涉与新的或变更服务的方案应考虑由服务交付和管理所导致的成本、组织的、技术的和商业上的影响。新的或变更的服务的实施(包括服务终止),应进行
28、策划并经过正式变更管理批准。策划和实施应包括服务交付和管理所需的资金和资源。计划应包括:a)设计、开发和转换活动的权限和职责;包括顾客和供方将实施的活动;b)现有服务管理框架和服务的变更;c)与相关方沟通;d)新的或变更的合同和协议以与业务需求的变更保持一致;e)人力资源与招聘和技术、信息、财务的要求;f)技能和培训的要求,如用户和技术支持人员;g)将使用的与新的或变更的服务有关的过程、测量、方法和工具,如容量管理和财务管理;h)预算和时间表;i)识别、评估和管理风险;j)新的或变更的服务的测试要求;k)服务接收准则;l)以可测量的术语表示的提供新的或变更的服务而产生的语气结果。在进入现实环境
29、实施之前,新服务或已变更服务应由公司指定的人员进行验收。项目负责人应在实施之后针对策划的内容报告新服务或已变更服务达成的结果。新服务或已变更服务实施后,应通过变更管理过程进行评审,以对实际成果与策划内容进行比较。本章节参见程序文件新服务或变更服务控制程序。6.服务交付过程 6.1 服务等级管理 目标:定义、协商、记录并能管理服务等级。所有方面应协商并记录:所提供的服务、相应的服务等级目标以与工作量特性。应在一个或多个服务等级协议(SLAs)中书面规定所约定的服务。所有相关方应协商并记录服务等级协议(SLAs)、支持性服务约定、供方合同和相应的流程。服务等级协议(SLAs)应处于变更管理过程的控
30、制之下。应通过所有相关方定期评审的方式来保持服务等级协议(SLAs),以确保服务等级协议的更新和持续有效。应根据目标来监视并通报服务等级,报告中应展示当前的信息以与发展趋势。应报告并评审不符合的原因。应记录这一过程中所确定的改进措施,并作为服务改进计划的输入。详细过程参加服务级别管理程序。6.2 服务报告 目的:为有效沟通和制定决策而与时编制的可靠的、准确的并达成一致的报告。每一服务报告应清晰阐明其标识、目的、目标读者以与数据来源。应编制服务报告以满足确定的需求和客户要求。服务报告应包括:a)与服务水平目标相比较的业绩;b)不符合与问题,即违反服务等级协议与安全违规;c)工作量特征,包括工作量
31、和周期性变化;d)重大事故的报告,即重大事件或变更;e)趋势信息;f)客户满意度分析。应考虑服务报告的发现并据此确定管理决策和纠正措施,并与相关方沟通。详细过程见服务报告控制程序 6.3 服务连续性与可用性管理 目的:确保在所有情况下都可以实现向顾客承诺的服务连续性和可用性。应基于业务计划、服务等级协议和风险评估来确定可用性与服务连续性要求。要求应包括访问权限、响应时间以与系统组件端对端的可用性。应开发可用性与服务连续性计划,并每年至少评审一次,以确保从正常情况到主要服务失效的所有情况下都可以满足要求。应保持这些计划以确保他们反映约定的、业务所需的变更。当业务环境发生重大变更时,应重新测试可用
32、性与服务连续性计划。变更管理过程应评估变更对可用性与服务连续性计划的影响。应测量并记录可用性。应调查计划之外的不可用并采取适当的措施。注:可行时,应预测潜在的问题并采取预防措施。当正常的办公访问被阻止时,应确保服务连续性计划、合同列表和配置管理数据库的可用性。服务连续性计划应包括返回正常工作状态的内容。应依据业务需求对服务连续性计划进行测试。应记录所有的连续性测试,应在改进措施计划中简述测试失效的情况。详细过程参加可用性管理程序和持续性管理程序。6.4 IT 服务的预算与核算管理 目的:制定预算并解释服务提供成本。应为下列活动建立清晰的策略和流程:a)应为所有的组件(包括 IT 资产、共享资源
33、、企业的一般管理费用、外部提供的服务、人员、保险和许可)制定预算并进行财务管理;b)分配服务的间接费用和直接成本;c)有效的财务控制和授权。应制定详细的成本预算,以确保有效的财务控制和决策制定。公司应依据预算来监视并报告成本情况,评审财务预算并相应地进行成本管理;计算服务变更的成本,并经过变更管理过程的批准。详细过程参加IT 服务的预算与核算管理程序。6.5 能力管理 目的:确保公司在任何时候都有足够的能力以满足与顾客约定的、顾客当前和未来的业务需求。实施能力管理,应编制并保持容量计划。实施容量管理阐述业务需求并包括下列内容:a)当前和预测的能力和绩效要求;b)识别服务升级的时间表、限度和成本
34、;c)评价预期的服务升级、变更请求、关于能力的新技术和方法的影响;d)预测外部变更的影响,如立法机构;e)预测分析所需的数据和过程。应确定监视服务能力、协调服务业绩和提供充足能力所需的方法、程序和技术。详细过程参加能力管理程序。6.6 信息安全管理 目的:在所有服务活动中有效管理信息安全。经过适当授权的管理者应批准信息安全策略,并传达给所有相关人员,适用时与顾客沟通。公司发布的信息安全策略见 ISO27001 信息安全管理体系策略文件。为确保公司内部信息安全,应实施适当的安全控制以:a)实施信息安全策略的要求;b)管理与服务或系统访问有关的风险。控制措施应形成文件,阐述相关的风险以与控制措施的
35、运营和保持方式。在实施变更前,应评估控制措施变更的影响。有些组织可以访问信息系统和服务。有关这些组织的安排应基于正式的协议,协议中应规定全部所需的安全要求。运维服务过程中的风险评估、风险处置与信息安全事件处置详细过程参见ISO27001 文件风险评估控制程序、信息安全事件管理程序。经评估出的风险控制措施应在制定服务计划时予以考虑,以确保运维服务过程的信息安全。7.关系过程 7.1 业务关系管理 目的:基于对客户与其业务驱动的了解,形成并保持公司与客户之间的良好关系。公司应识别并记录服务的利益相关方和顾客。公司和顾客应每年至少进行一次服务评审,来讨论服务范围、服务级别协议、合同或业务需求的任何变
36、更,并按约定的时间间隔召开中间会议来讨论进展、成绩、问题和改进计划。这些会议应形成书面的会议记录。也可邀请其他的服务利益相关方出席会议。如果出现合同变更,则适当时在这些会议上应讨论服务级别协议变更的问题。这些变更应遵循变更管理过程。市场营销部人员应了解业务需求与重大变更,从而为响应这些需求做好准备。公司应建立投诉处理流程,与顾客协商确定正式的服务投诉的定义。记录、调查、响应、报告并正式关闭所有的服务投诉。当不能通过正常渠道反馈投诉时,客户应获得其他的升级渠道。市场营销负责管理顾客满意和整个业务关系过程,通过定期的顾客满意度调查获取反馈并做出响应的过程。应记录在这一过程中识别出的改进措施,并作为
37、服务改进计划的输入。详细过程参见业务关系管理程序。7.2 供应商管理 目的:确保所有供应商提供高质量的连续的服务。分包方客户主供方3供应商2供应商1服务提供商服务提供商与供方的关系 公司应记录供方管理过程,并为每一供方指定合同管理者。应就供方所提供服务的要求、范围和等级以与沟通过程与所有方面达成一致,并在相关协议或其他文件中书面记载。与供方签订的支持协议应与业务的服务等级协议保持一致。应协商并书面规定所有方面使用的过程接口。应清楚规定关键供方与分包方之间的角色与关系。关键供方应能够展示确保分包方能够满足合同要求的过程。应建立合同或正式协议的评审过程,以确保仍能继续满足业务需求和合同要求。适当时
38、,合同或服务等级协议的变更应紧随评审之后或在其他要求的时间。任何变化应遵从变更管理过程。应建立解决合同争议的正式过程。应建立过程以管理服务的预期或提前终结或将服务转嫁给他方。应根据服务级别目标来监视和评审业绩。应记录在这一过程中确定出的改进措施并作为服务改进计划的输入。详细过程参见供应商管理程序。8.解决过程 8.1 事件和服务请求管理 目的:尽快恢复约定的业务,或响应服务要求。应记录所有的事件。应建立流程来管理事件与服务请求的影响。流程应规定所有事件与服务请求的记录、优先排序、业务影响、分类、更新、调整、解决和正式关闭。应通知客户,使其了解其报告的事故或服务请求的进展情况,当不能达到约定的服
39、务等级或无法完成约定的措施时应提前警告客户。事故管理所涉与的所有人员应都应有权访问相关的信息,如已知错误、问题解决方案和配置管理数据库等。应对重大事故进行分类并根据流程进行管理。详细过程参见事件和服务请求管理程序。8.2 问题管理 目的:通过事故原因的预先识别、分析、管理直至关闭,来最小化对业务的影响。应记录识别的所有问题。应建立程序以识别、最小化或避免事件或问题的影响。程序应规定所有问题的记录、区分类、更新、调整、解决和关闭。应采取预防措施,以减少潜在的问题,如事件数量和类型的趋势分析之后的后续活动。纠正问题的根本原因所需的变更应提交变更管理过程。应监视、评审问题的解决并报告其有效性。问题管
40、理者有责任确保事故管理者可获得关于已知错误和已纠正问题的最新信息。应记录在这一过程中确定的改进措施,并作为服务改进计划的输入。详细过程参见问题管理程序、事件和服务请求管理程序。9.控制过程 9.1 配置管理 目的:规定并控制服务和基础设施组件,并保持正确的配置信息。在进行配置管理的变更和策划时应采用综合方法。公司应规定与错误资产会计过程的接口。注:财务资产会计不属于本章范围。应制定关于配置项与组件定义的策略。应规定每一项目应记录的信息,包括有效的服务管理所需的关系与文档。配置管理应提供可识别的服务和基础设施组件的识别、控制和追溯版本的机制。控制的程度应充分满足业务需求、失效的风险和服务的重要性
41、。配置管理应为变更管理过程提供与变更请求对于服务和基础设施配置影响有关的信息。适当时,配置项的变更应是可追溯的和可审计的,如软件和硬件的变更和活动。配置控制流程应确保系统、服务和服务组件的完整性得到保持。应在发布到实际运行环境之前建立配置项的基线。数据配置项的主拷贝应控制在安全的物理或电子数据库中,并参见配置记录,如软件、测试产品和支持文件。所有的配置项应能被唯一的识别,并记录在配置管理数据库中。应严格控制对配置管理数据库的升级访问。应主动管理并验证配置管理数据库,以确保配置管理数据库的可靠性和准确性。需要的人员应可获得配置项的状态和版本、位置、相关的变更和问题以与相关的文档。配置审计程序应包
42、括记录偏差、发起纠正措施和结果报告的内容。详细过程参加配置管理控制程序。9.2 变更管理 目的:确保以一种受控的方式对变更进行评估、批准、实施和评审。应清楚规定服务和基础设施变更的范围,并形成文件。应记录并分类所有要求的变更,如紧迫、紧急、重大和轻微等。应评估变更请求的风险、影响和业务收益。变更管理过程应包括恢复和补救失败变更的方法。应批准并检查更新,并以受控的方式实施。应评审所有变更以确保成功以与实施后所采取的措施。应建立策略和流程,以控制紧急变更的授权和实施。计划的变更日期应作为制定变更和发布时间表的基础。时间表应包括批准实施的所有变更以与建议实施日期的详细信息。应保持时间表并与相关方沟通
43、。应定期分析变更记录,以检测日益增多的变更等级、频繁发生的类型、出现的趋势以与其他相关信息。应记录变更分析所得出的结果和结论。应记录有变更管理所确定的改进措施,并作为服务改进计划的输入。详细过程参加变更管理程序。9.3 发布和部署管理 目的:交付、分发并追溯在发布到实际运行环境中的一个或多个变更。注:发布管理过程应与配置管理和变更管理过程综合管理。应与相关方协商发布策略并形成文件。发布策略应包括发布类型和频次。公司应根据业务要求对服务、系统、软件和硬件的发布进行策划。应在所有相关方之间就如何启动发布计划达成一致,并经过他们的授权,如顾客、用户、操作人员和支持人员。过程应包括一旦发布失败,返回或
44、补救的方式。计划应记录发布的日期与可交付成果,并参见相关的变更请求、已知的错误和问题。应就这些情况与事件管理过程进行沟通。应评估变更要求对发布计划的影响。发布管理流程应包括配置信息和变更记录的升级和变化。应根据既定的过程来管理紧急发布。紧急发布过程应与紧急变更管理过程有接口。应建立受控的接收测试环境,以在分发之前建立并测试所有的计划发布。应设计并实施发布和分发,以确保在安装、处置、包装和交付的过程中保持硬件和软件的完整性。应测量成功或失败的发布。测量应包括发布之后于发布有关的事件。分析应包括对业务、IT 运行和支持性人力资源影响的评估,并作为服务改进计划的输入。详细过程参加发布和部署管理程序。
45、附件 1:程序文件清单 文件和资料控制程序 记录控制程序 内部审核控制程序 管理评审控制程序 纠正措施与预防措施控制程序 人力资源管理程序 新服务或变更服务管理程序 服务级别管理程序 服务报告管理程序 持续性管理程序 可用性管理程序 服务预算与核算管理程序 能力管理程序 风险评估控制程序 信息安全事件管理程序 业务关系管理程序 供应商管理程序 事件和服务请求管理程序 问题管理程序 配置管理控制程序 变更管理程序 发布和部署管理程序 信息沟通管理程序附件 2:职责分配表 部 门 体系要求 4 服务管理体系总要求 4.1 管理职责 4.2 其他方运行过程的治理 4.3 文件管理 4.4 资源管理 4.5.1 定义范围 4.5.2 策划服务管理体系 4.5.3 实施和运行服务管理体系 4.5.4 监视和评审服务管理体系 4.5.5 维护和改进服务管理体系 5 设计和转换新的或变更的服务 6.1 服务级别管理 6.2 服务报告 6.3 服务的连续性和可用性管理 6.4 服务的预算和核算 6.5 能力管理 6.6 信息安全 7.1 业务关系管理 7.2 供应商管理 8.1 事件和服务请求管理 8.2 问题管理 9.1 配置管理 9.2 变更管理 9.3 发布和部署管理 注:“”为负主要责任的部门;“”为相关的责任部门。