ISO20000管理目标介绍资料.doc

浙江慧优科技有限公司管理标准浙江慧优科技有限公司管理标准WISU-ITSM-A01-2012ITIT 服务管理手册服务管理手册版本编号：V1.0（本手册与 IDT ISO/IEC2000-1:2011 标准相符）编 制： 翁爱丽 审 核： 马红岩 批 准： 王向阳 持有部门： 2012-08-01 发布 2012-08-15 实施 浙江慧优科技有限公司公司发布浙江慧优科技有限公司IT 服务管理手册服务管理手册版本编号：V1.0 变更履历变更履历序号版本更改处·更改内容更改人/日期审核人/日期批准人/日期浙江慧优科技有限公司IT 服务管理手册服务管理手册版本编号：V1.0 目目 录录章节号题目页码01颁布令02管理者代表授权书03企业概况04信息技术服务方针目标05手册的管理IT 服务管理手册1.信息技术服务管理范围及应用2.规范性引用3.术语和定义4.服务管理体系的总体要求4.1管理责任4.1.1管理承诺4.1.2服务管理策略.4.1.3权力，责任和沟通4.1.4管理者代表4.2治理各利益相关方的操作流程4.3文件管理4.3.1文件的建立和维护4.3.2文件控制4.3.3记录控制4.4资源管理4.4.1资源供给4.4.2人力资源4.5建立和改进 SMS4.5.1定义范围4.5.2计划 SMS（P）4.5.3实施运作 SMS（D）4.5.4监控审查 SMS（C）4.5.5持续改进 SMS（A）5.设计和转化新的或变更的服务5.1概述5.2新的或变更的服务计划5.3设计和开发新的或变更的服务5.4新的或变更的服务的转化6.服务交付过程6.1服务水平管理.6.2服务报告6.3服务连续性和可用性管理6.3.1服务连续性和可用性需求6.3.2服务的连续性和可用性的监控和测试6.4服务的预算和核算6.5容量管理6.6信息安全管理6.6.1信息安全策略6.6.2信息安全控制措施6.6.3信息安全的变更和事件7.关系过程7.1业务关系管理7.2供应商管理8.解决过程8.1事件和服务请求管理8.2问题管理9.控制过程9.1配置管理9.2变更管理9.3发布和部署管理附录 A：IT 服务管理职能关系架构图附录 B：组织架构图附录 C：ITSM 职能分配表附录 D：IT 服务管理程序文件清单浙江慧优科技有限公司IT 服务管理手册服务管理手册版本编号：V1.0 01 颁布令颁布令随着公司全新领域的开拓，为满足顾客有关信息技术服务的相关要求，提高公司信息技术服务管理水平，防止由于信息技术服务的不及时等导致的公司和客户的损失。公司开展贯彻 ISO/IEC 20000 信息技术服务管理规范国际标准工作，建立、实施和持续改进文件化的信息技术服务管理体系，制定了浙江慧优科技有限公司IT 服务管理手册 。IT 服务管理手册是企业的法规性文件，是指导企业建立并实施信息技术服务管理体系的纲领和行动准则，用于贯彻企业的信息技术服务管理方针、目标，实现信息技术服务管理体系有效运行、持续改进，体现企业对社会的承诺。IT 服务管理手册符合有关信息安全法律、法规要求及 ISO/IEC 20000 信息技术服务管理规范标准和企业实际情况，现正式批准发布，自 2012 年 8 月 15 日起实施。企业全体员工必须遵照执行。全体员工必须严格按照IT 服务管理手册的要求，自觉遵循信息技术服管管理方针，贯彻实施本手册的各项要求，努力实现公司信息技术服务管理方针和目标。浙江慧优科技有限公司总经理： 二一二年八月一日浙江慧优科技有限公司IT 服务管理手册服务管理手册版本编号：V1.0 02 管理者代表授权书管理者代表授权书为贯彻执行信息技术服务管理体系，满足 ISO/IEC 20000 信息技术服务管理规范标准的要求，加强领导，特任命 马红岩马红岩 为我公司信息技术服务管理者代表。授权代表有如下职责和权限：1、按照 ISO/IEC 20000 信息技术服务管理规范的要求，组织相关资源，识别、建立、实施和保持信息技术服务管理体系，不断改进信息技术服务管理体系，确保其有效性、适宜性和符合性。2、根据服务管理的策略和目标，给与权利和责任，以保证服务管理过程的设计，提升和改进。3、确保服务管理流程与 SMS 的其它组件进行了整合。4、确保资产，包括许可证，根据法律法规要求和合同义务，被用于管理交付服务。5、向公司最高管理者报告信息技术服务管理体系的业绩，如：服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。6、组织 ISO/IEC 20000 体系的管理评审，主持信息技术服务管理体系内部审核，推动内部审核活动。7、推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度，以及为达到公司服务管理目标所应做出的贡献。 8、负责与信息技术服务管理体系有关的协调和联络工作。本授权书自任命日起生效执行。浙江慧优科技有限公司总经理： 二一二年八月一日浙江慧优科技有限公司IT 服务管理手册服务管理手册版本编号：V1.0 03 企业概况企业概况浙江慧优科技有限公司（简称“慧优科技” ）成立于 2009 年，注册资金：500 万人民币，公司位于杭州天堂软件园内。慧优科技成立将专注于计算机软件的设计开发、计算机信息系统集成、信息系统咨询规划、信息技术咨询、基础设施运行维护、硬件运行维护、软件运行维护等工作。依靠领先的技术、丰富的产品线、强大的咨询实施队伍和优秀的本地化服务。浙江慧优科技有限公司是一家专业从事信息平台集成总包与咨询服务的公司，业务主要包括 IT 规划咨询、智能基础设施、高端系统集成、ICT 融合、流程外包、应用开发、维保服务等多类信息平台整合业务，面向中国市场，为行业客户、企业级客户提供全生命周期的IT 服务。作为一家科技为核心的公司，通过开放式创新、卓越运营管理、人力资源发展等战略的实施，并具有技术、合作伙伴、行业经验等多方面的优势，全面构造公司的核心竞争力，创造客户和社会的价值，从而实现并提升技术和信息的价值。慧优致力于成为受社会、客户、员工尊敬的公司，并通过组织与过程的持续改进，领导力与员工竞争力的发展，联盟与开放式创新，使公司成为国内一流的智慧信息总包商。技术服务体系由资深工程师、完善的技术保障系统及服务资源组成。工程师队伍包括多名 Oracle 、IBM、Cisco、Symantec 等国际著名厂家认证工程师组成，并已通过了 UNIX、数据库、安全、统一通信、无线、存储、备份、容灾、管理优化、视音频、机房、建筑智能化、应用软件开发、咨询顾问等多项专业化认证，他们从事多年信息系统集成和服务的技术支持，具有丰富的系统支持与服务经验。慧优公司目前为客户提供三类专业水准的 IT 服务，并将其确立为自有服务品牌，包含主流系统软硬件的咨询、实施、支持、迁移、维保等服务内容，将最大化实现客户 IT 资源的价值。地址：杭州市西湖区西斗门路 3 号天堂软件园 A 幢 6 楼 F 室 电话：0571- 28995905/09 传真：0571- 28995911 邮编：310012http:/www.wisu.com.cn浙江慧优科技有限公司IT 服务管理手册服务管理手册版本编号：V1.0 04 信息技术服务方针目标信息技术服务方针目标为防止由于信息技术服务的不及时所导致的企业和客户的损失，本公司建立了信息技术服务管理体系，制订了信息技术服务方针，确定了信息技术服务目标。本公司信息技术服务管理方针包括内容如下：服务方针：服务方针：以顾客为关注焦点，热情、专业、高效信息安全方针信息安全方针: : 信息安全，让顾客满意信息技术服务目标：信息技术服务目标：客户单位满意率85% 浙江慧优科技有限公司IT 服务管理手册服务管理手册版本编号：V1.0 05 手册的管理手册的管理1 1 ITIT 服务管理手册的批准服务管理手册的批准管理者代表负责组织编制IT 服务管理手册 ，总经理负责批准。2 2 ITIT 服务管理手册的发放、更改、作废与销毁服务管理手册的发放、更改、作废与销毁a）管理中心负责按文件控制程序的要求，进行IT 服务管理手册的登记、发放、回收、更改、归档、作废与销毁工作；b）各相关部门按照受控文件的管理要求对收到的IT 服务管理手册进行使用和保管；c）管理中心按照规定发放修改后的IT 服务管理手册 ，并收回失效的文件作出标识统一处理，确保有效文件的唯一性；d）管理中心保留IT 服务管理手册修改内容的记录。3 3 ITIT 服务管理手册的换版服务管理手册的换版当依据的 ISO/IEC20000 标准有重大变化、组织的结构、内外部环境、生产技术、信息技术服务风险等发生重大改变及IT 服务管理手册发生需修改部分超过 1/3 时，应对IT 服务管理手册进行换版。换版应在管理评审时形成决议，重新实施编、审、批工作。4 4 ITIT 服务管理手册的控制服务管理手册的控制a）本IT 服务管理手册标识分受控文件和非受控文件两种：受控文件发放范围为公司领导、各相关部门的负责人、内审员；非受控文件指印制成单行本，作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。b） IT 服务管理手册有纸质文件和电子文件，电子版本文件的有效格式为 PDF 文档。本手册由管理中心提出、归口，并负责起草。本手册主要起草人：翁爱丽本手册审核人：马红岩本手册批准人：王向阳浙江慧优科技有限公司IT 服务管理手册服务管理手册版本编号：V1.0 IT 服务管理手册服务管理手册1 1 范围范围 1.11.1 总则总则 为了建立、实施、运行、监视、评审、保持和改进文件化的信息技术服务管理体系（简 称 ITSMS） ，确定信息技术服务方针和目标，对信息技术服务及信息安全进行有效管理，确 保全体员工理解并遵照执行信息技术服务管理体系文件、持续改进信息技术服务管理体系的 有效性，特制定本手册。 1.21.2 应用应用 1.2.11.2.1 覆盖范围覆盖范围 本 IT 服务管理手册规定了浙江慧优科技有限公司信息技术服务管理体系要求、管理职 责、内部审核、管理评审和信息技术服务管理体系改进等方面内容。适应于等实施。以 及适用于浙江慧优科技有限公司的* 事业部、* 部等。 1.2.21.2.2 删减说明删减说明 本 IT 服务管理手册采用了 ISO/IEC20000:2011 标准正文的全部内容，无删减。 2 2 规范性引用文件规范性引用文件 下列文件中的条款通过本IT 服务管理手册的引用而成为本IT 服务管理手册条 款。凡注日期的引用文件，其随后所有的修改单或修订版均不适用于本标准，然而，管理者 代表应研究是否可使用这些文件的最新版本。凡不注日期的引用文件、其最新版本适用于本 IT 服务管理手册。 ISO/IEC 20000-1:2011 信息技术-服务管理体系-要求 ISO/IEC 20000-2:2005 信息技术-服务管理实施指南 ISO/IEC 20000-3:2009 信息技术-服务管理范围定义和适用性指南 ISO/IEC 20000-5:2011 信息技术-服务管理实施策划示例 3 3 术语和定义术语和定义 ISO/IEC 20000-1:2011 信息技术-服务管理体系-要求 、ISO/IEC 20000-2:2005 信息技术-服务管理实施指南 、ISO/IEC20000-3:2009 信息技术-服务管理范围定义和 适用性指南规定的术语和定义适用于本IT 服务管理手册 。 3.13.1 本公司本公司 指浙江慧优科技有限公司，包括浙江慧优科技有限公司所属各部门。BPO 事业部的二级 部门服务部简称服务部。 3.23.2 可用性可用性 一个服务或服务组件能够在瞬间或在约定时间、约定期限内执行其规定的功能。注：可 用性通常表示为一个时间的比例或百分比，它是客户实际使用服务及服务组件的时间，在这 个时间段内服务必须可用。 3.33.3 配置基线配置基线 服务及服务组件生命周期在特定的时间内被指定的配置信息。注 1：配置基线和这些予以变 更的基线，构成了当前的配置信息。注 2：改编自 ISO / IEC /IEEE 24765：2010 。 3.43.4 配置项配置项 CI 元素，需要加以控制，以提供一种服务或多种服务。 3.53.5 配置管理数据库配置管理数据库 CMDBCMDB 用于在整个生命周期中记录配置项属性和配置项之间关系的数据存储。 3.63.6 成效成效 实现计划活动的程度和计划取得的成果。ISO 9000：2005 3.73.7 事故事故 计划外的中断服务、服务质量下降或没有对客户服务造成影响的事件。 3.83.8 信息安全信息安全 保持信息的保密性、完整性和可获得性注。 1：此外，如真实性，负责性，不可抵赖性和可靠性等性能也可包括其中。 注 2：术语“可用性”并没有被用在这个定义中，因为它在本部分的 ISO / IEC 20000 中是 个界定范围的术语，不适用于本定义。 注 3：改编自 ISO / IEC 27000：2009 。 3.93.9 信息安全事故信息安全事故 单个或一系列意外或突发的信息安全事件，可能对业务运营产生重大影响并威胁到信息安全。 ISO / IEC 12207：1995 3.103.10 利益相关方利益相关方 在服务提供者履行或完成活动时会产生具体利益的个人或团体。例如：客户、业主、管理者、 服务提供者组织中的人员、供应商、银行、团队或合伙人。 注 1：一个团体可以由一个组织，部分组织或一个以上的组织组成。 注 2：改编自 ISO 9000：2005 。 3.113.11 内部组内部组 服务提供者组织的一部分，与服务提供者达成协议，参与一个服务或多个服务的设计、转化、 交付和改进。 注：内部组处于服务提供者的服务管理体系的范围之外。 3.123.12 已知错误已知错误 已找到根本原因的问题，或围绕该问题减少或消除对服务影响的方法 3.133.13 问题问题 一个或多个事件的根本原因注：根本原因通常不是在记录问题时就知晓的，问题管理流程为 进一步调查工作负责。 3.143.14 发布发布 将一个或多个新的或变更的配置项的集合部署到真实环境中，作为一个或多个变化的结果。 3.153.15 变更请求变更请求 建议将服务，服务组件或服务管理体系进行改变。 注：一个服务的更改，包括提供一项新服务或去除一项不再需要的服务。 3.163.16 风险风险 对目标的不确定性影响。 注 1：影响是与预期的偏差，预期包括积极和/或消极两个方面。 注 2：对象可能是不同方面的（如财务、健康和安全、环保目标） ，并可以应用在不同层面 （如战略、组织范围内、项目、产品和工艺） 。 注 3：风险经常通过参考潜在事件和后果或者它们的组合而被识别。注 4：风险往往表现在 一个特殊事件（包括环境变化）和发生相关条款的可能性相结合的后果。 ISO 31000：2009 3.173.17 服务服务 通过帮助客户达成预期的成果来为其创造价值的方法。注 1：服务一般是无形的。注 2：服 务也可以由供应商传递给服务提供者，由一个内部小组或客户扮演供应商的角色。 3.183.18 服务组件服务组件 一组服务与其它组服务合并时将提供一套完整的服务。如：硬件、软件、工具、应用程序、 文件、信息、流程或支持服务。 3.193.19 服务连续性服务连续性 在为达到商定的水平而不断提供服务的过程中，管理风险和事件的能力，这些风险和事件可 能对一种或多种服务造成严重影响。 3.203.20 SLASLA 服务水平协议服务水平协议 服务提供者和客户之间定义服务和服务目标的文件协议注。 1：服务水平协议，也可在服务提供者和供应商之间建立，一个内部小组或客户扮演供应商 的角色。 注 2：服务水平协议可以包含在合同或其它类型的书面协议中。 3.213.21 服务管理服务管理 一套功能和流程，用以指导和控制服务提供者的活动和设计、转化、提供和其对服务资源的 改善，以满足服务要求。 3.223.22 SMSSMS 服务管理体系服务管理体系 指导和控制服务提供者的服务管理活动的管理体系注。 1：管理体系是一个相互关联或相互作用的要素，这些要素为建立方针和目标，以及实现这 些目标而设立。 注 2：包括所有的对 SMS 服务管理策略、目标、计划、过程、文件和资源的设计、转化、提 供和改善服务，以及满足本部分 ISO / IEC 20000 的规定要求。 注 3：改编自 ISO 9000：2005 中对于“质量管理体系”的定义。 3.233.23 服务提供者服务提供者 组织或部分组织成员，为顾客管理和提供一项服务或多项服务。注：顾客可以是来自服务提 供者的内部或外部。 3.243.24 服务请求服务请求 请求信息、建议、服务接入或预先核准的变更。 3.253.25 服务要求服务要求 客户和服务使用者的需求，包括服务水平要求和服务提供者的需求。 3.263.26 供应商供应商 一个组织或一个组织的一部分，不是服务提供者的内部组织，在外部与服务提供者签订合同， 参与设计，转换，传输和服务或改善服务或进程的一部分。其他术语详见术语表。4 4 服务管理体系的总体要求服务管理体系的总体要求 4.14.1 管理责任管理责任 4.1.14.1.1 管理承诺管理承诺 高层管理人员应提供证据证明其承诺的规划、建立、实施、运行、监控、审查、维护、 改善 SMS 和服务： a)确定建立和交流的服务管理的范围、策略和目标。 b)确保该服务管理计划已建立、实施和维护，以符合策略的要求，实现服务管理的目标 和履行服务的要求。 c)对履行服务要求的重要性进行沟通交流。 d)对履行法律法规要求和合同义务的重要性进行沟通。 e)提供策划、实施、监控、评审和改进 IT 服务所需要的资源,如：指定 IT 服务管理人 员、分配资金与预算。 f)按照计划的时间间隔进行管理评审。 g)管理和控制 IT 服务提供过程的风险。 h)按计划组织 IT 服务管理体系的审核，以确保体系的适宜性、充分性和有效性。 4.1.24.1.2 服务管理策略服务管理策略 高层管理人员应确保该服务管理策略： a) 适合服务提供者的目的。 b) 包括一个承诺来履行服务的要求。 c) 包括持续改进 SMS 成效的承诺和包括通过在第 4.5.5.1 节中介绍的持续改善策略的 服务承诺。 d) 提供一个建立和检查服务管理目标的框架。 e) 可被服务提供者人员交流和理解。 f) 能够经的起反复的推敲。 4.1.34.1.3 权力，责任和沟通权力，责任和沟通 高层管理人员应确保： a) 服务管理的权力和职责可以得到定义和维护。 b) 文档化的沟通程序已被建立和实施。 4.1.44.1.4 管理者代表管理者代表 公司任命了管理者代表，并授与了相应的权利和责任，详见管代任命书。 4.24.2 治理各利益相关方的操作流程治理各利益相关方的操作流程 公司识别了设计和转化新的或变更的服务流程、服务交付流程、信息安全流程、关系流 程、解决流程、控制流程等第 5 至 9 章的流程，服务提供者应识别由各利益相关方来运作的 所有流程，或部分流程。各利益相关方可以是一个客户或供应商的内部小组。服务提供者应 当由其它各方通过以下方式展示管理过程： a) 表明问责的流程和权力要求遵守的流程。 b) 控制过程的定义和与其它流程的接口。 c) 确定流程的表现和与流程要求的合规性。 d) 控制过程改进的计划和优先次序。 当一个供应商操作部分流程时，服务提供者应当通过供应商管理程序对供应商进行管理。 当一个内部小组或客户操作部分流程时，服务提供者应当通过服务水平管理流程对内部小组 或客户进行管理。注：ISO/IEC TR 20000-3 提供本部分 ISO / IEC 20000 的范围定义和应 用指南。包括对治理各利益相关方的操作流程的进一步解释。 4.34.3 文件管理文件管理 4.3.14.3.1 文件的建立和维护文件的建立和维护 公司在开发、经营、服务和日常管理活动中，按 ISO/IEC20000-1:2011 标准要求，建 立、实施、运行、监视和评审、保持和改进文件化的信息技术服务管理体系。IT 服务管理 体系文件分以下几个层次： a) 一级文件：服务管理策略和目标的文件；（如： IT 服务管理手册包括方针、目标） 。b) 二级文件：文档化的服务管理流程或程序；（如：IT 服务管理体系的程序文件） 。 c) 三级文件：为本部分 ISO / IEC 20000 要求的特殊流程所创建的文档化的策略和规 划、文档化的服务目录、文档化的 SLA、服务管理计划的文档，包括：管理规范、操作手册 及作业指导书以及为确保有效操作 SMS 和交付服务所需的并由服务提供者决定补充的外来 文件。 d) 四级文件：IT 服务管理体系的产出物文件模版（表单、报告模版等） 。 4.3.24.3.2 文件控制文件控制 本公司编制了文件控制程序具体按文件控制程序要求进行控制。一个文档化的流程， 包括授权和责任，控制的定义需要被建立，需要有： a) 在发行前建立和批准文件。 b) 与各利益相关方就新文件及改动过的文件进行讨论。 c) 必要时对文件进行检查和保持。 d) 确保文件的改动和现行修订状态是经认可的。 e) 确保适用文件的有关版本在使用时可获得。 f) 确保文件易于识别且清晰。 g) 确保外来文件得以识别且其发行量受到控制。 h) 若保留作废文件，需防止作废文件被随意使用并对上述文件做好适当的标识。 4.3.34.3.3 记录控制记录控制 本公司编制了记录控制程序具体按记录控制程序要求进行控制。记录应保存，并用 来证实 SMS 符合要求和有效运作。一个文件的流程需要建立对控制的定义，包括标识、贮 存、保护、检索、保存和记录的处置的方式。记录应清晰，易于识别和检索。 4.44.4 资源管理资源管理 4.4.14.4.1 资源供给资源供给 公司最高管理者应确定并提供人力资源，技术资源，信息资源和财务资源，并： a) 设立，实施和维护 SMS 和服务，不断提高其效力。 b) 通过提供满足服务要求的服务，来提升客户满意度。 4.4.24.4.2 人力资源人力资源 本公司 IT 服务管理委员会须对所有参与 IT 服务管理的岗位和岗位责任做明确定义。以 确保服务工作人员的工作应符合服务要求，这些人员应在接受相应的教育和培训后，具备相 应的技能和经验等基本能力。服务人员应当： a) 选择有资质的人员。 b) 适当通过提供培训或采取其它措施以获得必要的能力资格。 c) 对采取措施的有效性进行评价。 d) 确保其工作人员都知道如何尽力达成服务管理目标并满足服务要求。 e) 坚持对教育、培训、技能和经验做适当的记录。 IT 服务管理委员会同时须通过培训或其他的宣讲等方式来确保员工理解他们的业务活 动的重要性以及相关性，并知晓如何达成 IT 服务管理的目标。 4.54.5 建立和改进建立和改进 SMSSMS 4.5.14.5.1 定义范围定义范围 本管理手册明确了整个体系覆盖的范围，详见第一章范围及定义描述。范围包括为达到 IT 服务管理目标所需的资源（人员、设备和资金等）和所提供的 IT 服务。 a) 人员：包括人员的招聘、培训、资质认证、团队建设等。 b) 设备：包括与 IT 服务管理相关的软、硬件等。 c) 资金：包括 IT 服务管理过程中相关 IT 服务预算与核算活动等。 d) IT 服务：包括 IT 服务目标的设定、IT 服务计划的编制、IT 服务的新增和改进等。 同时本公司的服务提供也应考虑影响服务交付的其它因素，其中包括。 a) 本公司提供服务的地理位置。 b) 客户及其位置。 c) 用于提供服务的技术。 4.5.24.5.2 计划计划 SMSSMS（P P） 本公司 IT 服务管理团队须遵循 Plan-Do-Check-Act 模式策划，实施、检查和改进 IT 服务管理体系，详见图 1 所示的 PDCA 模型。图 1 信息技术服务管理体系模型同时应当建立、实施和维护服务管理计划。计划应考虑到服务管理策略，服务需求和在 ISO / IEC 20000 中本部分的要求。服务管理计划应包含或引用至少以下内容： a) 由本公司来实现的服务管理目标。 b) 服务要求。 c) 影响 SMS 的已知限制。 d) 策略，标准和法律法规要求和合同义务。 e) 权力架构，职责和过程角色。 f) 权力和责任的计划，服务管理流程和服务。 g) 人力资源、技术资源、信息资源和财务资源来实现服务管理目标。 h) 在与其它各方合作时采取的步骤，包括设计和转化新的或变更的服务流程。 i) 对服务管理流程和 SMS 的其它组成部分进行整合时接口的步骤。 j) 风险管理和接受风险的准则的步骤。 k) 用于支持 SMS 的技术。 l) SMS 和服务的成效需要被度量、报告和改进。 4.5.2.14.5.2.1 策划服务管理策划服务管理 a) IT 服务管理目标: 1) 建立符合 ISO20000 国际标准的 IT 服务管理体系,有效整合和利用人员、设备和资 金等 IT 资源。 2) 建立符合 ISO20000 国际标准的服务质量管控（QA）体系，提升 IT 服务品质，提升 对 IT 用户的支技能力。 3) 建立起“计划-实施-检测改进”的循环，以 IT 服务管理团队为驱动力使之正常运 转并辅以质量检查，持续改进 IT 服务和 IT 服务管理水平。 b) IT 服务管理的范围： IT 服务管理的范围包括为达到 IT 服务管理目标所需的资源（人员、设备和资金等） 和所提供的 IT 服务。 1) 人员：包括人员的招聘、培训、资质认证、团队建设等。 2) 设备：包括与 IT 服务管理相关的软、硬件等。 3) 资金：包括 IT 服务管理过程中相关 IT 服务预算与核算活动等。 4) IT 服务：包括 IT 服务目标的设定、IT 服务计划的编制、IT 服务的新增和改进等。c) IT 服务年度计划及服务管理计划： 1）每年年初，体系负责人召集 IT 服务管理团队所有成员共同编制公司年度 IT 服务 计划 。 2） 年度 IT 服务计划的制定须参考本公司战略策划、年度计划以及上年度 IT 服务 改进计划等信息。 3）为实现公司年度 IT 服务计划，根据服务目录，制定服务管理计划须汇总金融 服务外包（BPO） 、柜员循环存取款系统（TCR）等服务年度服务计划信息，计划内容须包括： IT 服务的范围与目的，IT 服务人员、设施、预算等资源需求，IT 服务管理组织和 IT 服务 的风险管控、IT 服务的质量管理等内容；特定流程的计划应与服务管理计划相一致。该服 务管理计划和特定流程的计划，应按照计划的时间间隔进行审核，如果适用，进行更新。 d) IT 服务管理组织及其职责。 本公司 IT 服务管理团队由体系负责人、IT 服务管理委员会、内审组以及各过程与人 员组成。具体角色职责及定义参见IT 服务管理角色与职责说明 。 本公司 IT 服务管理体系定义和实施的过程包括： 1）服务提供过程： a) IT 服务级别管理。 b) IT 连续性和可用性管理。 c) IT 容量管理。 d) IT 安全管理。 e) IT 预算和核算管理。 2）控制、发布过程： a）IT 配置管理；b）IT 变更与发布管理。 3）解决过程： a）IT 事件管理；。 b）IT 问题管理。 4）关系过程： a）IT 业务关系管理。 b）IT 供应商管理。在每个过程的过程描述文档中，将对过程的范围、目标、角色职责、 活动交互、绩效指标及评价方法进详细的定义。 各过程之间的接口。 过程之间的接口定义和通过接口的信息传递将在过程定义文档中进行详细的描述，在此 对 IT 服务管理各过程之间的接口简要描述详见（各过程描述图） 。本公司 IT 服务管理体系 以 IT 服务级别管理过程为核心，以 IT 配置管理为基础，将 IT 服务管理体系中的各过程 串联起来。IT 服务级别管理过程为多个过程提供输入，各过程也将服务级别协议（SLA ） 要求的执行情况估为输出返回到 IT 服务级别管理过程。 IT 配置管理过程为 IT 服务支持过程及部分 IT 服务交付过程提供所有需要的配置项及 其属性信息，并接受来自 IT 变更发布管理对配置信息的修改。 4.5.34.5.3 实施运作实施运作 SMSSMS（D D） 本公司将根据服务管理计划，通过设计、转化、交付和提高来实施和运行 SMS，包括但 不限于以下行为： a) IT 服务的首先须建立起专业的 IT 服务管理团队，将服务角色和职责进行合理分配， 通过内部任命或招聘的方式确保人员到位。 b) 为服务实施准备资金并做好预算分配，须有效管理预算的执行，以确保服务体系能 够按步骤的、持续的完成实施。 c) 按照各个过程策划的方针、计划、程序和定义实施服务管理和提供服务管理体系； d) 对 IT 服务管理团队进行有效管理，设定相关 KPI 指标确保过程运行质量，识别并 控制 IT 服务风险。 e) 根据 IT 服务报告管理过程要求，定期出具 IT 服务管理体系运行相关报告以对服务 管理行为的表现进行监控和汇报。 4.5.44.5.4 监控审查监控审查 SMSSMS（C C） 4.5.4.14.5.4.1 概述概述 本公司建立了内部审核及管理评审控制程序等以及 SMS 的有效性和服务效果进行监督 和度量。以证实 SMS 和各项服务的能力可以实现服务管理目标并达到服务的要求。同时已 识别不符合本部分的 ISO / IEC 20000 的要求，包括服务提供者或服务要求确定 SMS 的要 求。 同时应对内部审核和管理评审的结果予以记录，其中包括不符合项，关注以及确定的行动。 应将结果和行动通知各利益相关方。 4.5.4.24.5.4.2 内部审计内部审计 本公司编制有内部审核控制程序明确了审核计划、实施审核，报告结果和保存审计 档案的权力和责任，同时公司在计划的时间间隔内进行内部审计，以确保 SMS 和服务是否：a) 履行本 ISO / IEC 20000 的规定。 b) 符合服务要求和服务提供者确定的 SMS 要求。 c) 得到有效地实施和维护。在编制审计方案时应考虑过程和被审计领域的地位和重要 性，以及以往审核的结果。应对审计准则，范围，频率和方法进行记录。审计师的选择和审 核的实施应确保其客观性和公正性。审核人员不应审核自己的工作。应对不符合项进行通报， 并进行排序和责任分配并采取行动。被审计的该部分负责人须确保任何纠正和纠正措施，不 得无故迟延，及时消除不合格项及其成因。后续活动应包括对所采取措施的行为验证和结果 报告。本公司 IT 服务管理团队须采取方法对 IT 服务管理体系的过程加以监控及测量，包 括例行检查（管理评审：偏重于查变化-外部变化：法律法规/客户，内部变化：人员变化 /组织机构变化（对公司的冲击） 、内部审核-偏重于查风险）和日常检查（偏重于查符合/ 不符合，即合策划检查定期回顾，关注绩效、成果、问题和纠正计划） ，以确保体系的运行 与设计相符，并根据检查结果采取纠正与预防措施，确保各过程目标的达成。 4.5.4.34.5.4.3 管理评审管理评审 本公司编制有管理评审控制程序对评审策划及实施作了描述。最高管理者应在计划 的时间间隔内对 SMS 和各项服务进复核，以确保其持续的适宜性和有效性。复核需要包括对 SMS 开展的必要更改的重要性进行评估，包括服务管理的策略和目标。对管理评审的输入应 包括但不限于以下信息： a) 顾客的反馈。 b) 服务和过程的性能和一致性。 c) 现有的和预计的人员、技术、信息和财务资源的水平。 d) 当前和预计的人员和技术能力。 e) 风险。 f) 审计的结果和后续行动。 g) 前期管理复核中得出的结果和后续行动。 h) 预防和纠正措施的状况。 i) 可能影响 SMS 和各项服务的变化。 j) 改进机会。 管理评审的记录应予以保留。管理评审的记录应至少包括决策和对有关资源的行动，提 高 SMS 的效益和改善服务。 4.5.54.5.5 持续改进持续改进 SMSSMS（A A） 4.5.5.14.5.5.1 概述概述 本公司将形成一个对 SMS 和各项服务持续改进的策略。该策略应包括改善机会的评价 标准。同时本公司已建立纠正和预防措施控制程序包括对改进的鉴定、记录、评估、审 批、优先级管理、测量和报告的权力和责任。改善机会包括纠正和预防措施，应记录在案。 应对已确定的不符合的原因予以纠正。应采取纠正措施以查明并消除不符合的原因，以防止 再次发生。应当采取预防措施，以消除潜在不合格的原因，以防止发生。 a)日常检查：在例行的本公司 IT 内审和 IT 管理评审之外，本公司 IT 服务管理团队还 须按需开展日常检查来确保 IT 服务管理体系的持续改进。 b)相关（事件、问题、变更、信息安全、业务关系、连续性、可用性和能力管理）过程 需定期（每月/季一次）对本过程运行效果进行总结研讨，针对发现的问题，须提出改进措 施并执行。 c)各过程负责人需须定期（每年一次）对本过程执行效果进行总结研讨，必要时对过程 文件进行修订、评审和发布。 4.5.5.24.5.5.2 管理改进管理改进 改进的机会应被优先考虑。本公司在对持续改进策略的改进机会做决定时，应使用评价 标准。对批准的改进内容加以规划。同时应当管理改进的活动，包括但不限于： a)设置改进目标，包括质量、价值、能力、成本、生产力、资源利用率、风险降低等方 面。 b)确保对批准的改进得以实施。 c)在需要时修改服务管理策略、计划、过程和流程。 d)对照设定的目标检查改进完成的情况，对没有实现的目标，采取必要的行动。 e)对改进实施情况予以报告。 f) 本公司 IT 服务管理团队根据 IT 服务管理体系检查阶段的结果，采取改进措施不断 改善 IT 服务管理和服务交付，逐步提高 IT 服务管理和服务交付的效果和效率，内容包括： 1) 根据 IT 内审不合格项进行根源分析并加以改进，并根据 IT 内审结果决定是否需要 对部分服务进行调整。 2) 基于 IT 管理评审报告，从满足业务和客户需求出发，进行 IT 服务管理调整、改进 或升级。 3) 根据体系检查结果进行 IT 服务管理过程的优化和改进，包括过程策略的变更、过 程接口的变更和角色职责的变更等，如修订 IT 服务管理策略、过程、程序和计划等； 4) 通过 IT 服务管理委员会会议、定期用户满意度调查和定期客户回访等取得服务相 关信息，并对于未能满足服务要求的服务进行改善，并记入服务改善计划中。 5 5 设计和转化新的或变更的服务设计和转化新的或变更的服务 5.15.1 概述概述 5.1.1 本公司形成的相应程序将应用于所有新的有可能变更的服务，这对服务和客户将产生 重大影响。变更由变更管理策略控制，对于新的或变更的服务的评估、审批、调度和审查范 围的变更应当由变更管理流程控制。新的或变更的服务范围的配置项影响应由配置管理流程 控制。 5.1.2 公司 IT 服务管理委员会应当审查新的或变更合同约定的服务要求以及新的或变更的 服务计划，设计和开发新的或变更的服务过程中有关规定给予的规划和设计活动的输出。在 此基础上，应当接受或拒绝输出。同时应当采取必要行动，以确保发展和新的或变更的服务 可以进行