设为首页 | 加入收藏
认证中心 当前您的位置:软件信息产品认证>>认证中心
ISO20000信息技术服务手册

 


ISO20000:2011信息技术服务管理体系

IT服务管理手册

  

目 录


发布令 6
管理者代表授权书 7
1.服务管理手册序论 10
1.1编制目的 10
2.总则 11
2.1范围 11
2.2引用标准 11
2.3服务方针 11
2.4服务 11
3.术语和定义 12
3.1本公司 12
3.2可用性 12
3.3配置基线 12
3.4配置项CI 12
3.5配置管理数据库CMDB 12
3.6持续改进 12
3.7纠正措施 12
3.8顾客 12
3.9文件 12
3.10有效性 13
3.11事件 13
3.12信息安全 13
3.13信息安全事件 13
3.14相关方 13
3.15内部团体 13
3.16已知错误 13
3.17不合格 13
3.18组织 13
3.19问题 13
3.20 程序 14
3.21过程 14
3.22 记录 14
3.23发布 14
3.24变更请求 14
3.25风险 14
3.26 服务 14
3.27 服务组件 14
3.28 服务的连续性 14
3.29 服务级别协议 14
3.30 服务管理 15
3.31 服务管理体系(SMS) 15
3.32 服务提供者 15
3.33 服务请求 15
3.34 服务要求 15
3.35 供应商 15
3.36 最高管理者 15
3.37 转换 15
4.管理体系及要求 16
4.1管理责任 16
4.1.1管理承诺 16
4.1.2服务管理策略 16
4.1.3权力、责任和沟通 16
4.1.4管理者代表 17
4.2治理各利益相关方的操作流程 17
4.3文件管理 17
4.3.1文件的建立和维护 17
4.3.2文件控制 18
4.3.3记录控制 18
4.4资源管理 18
4.4.1资源供给 18
4.4.2人力资源 18
4.5建立和改进SMS 19
4.5.1定义范围 19
4.5.2计划SMS(P) 19
4.5.2.1策划服务管理 20
4.5.2.2各过程之间的接口 22
4.5.3实施运作SMS(D) 22
4.5.4监控审查SMS(C) 23
4.5.4.1概述 23
4.5.4.2内部审核 23
4.5.4.3管理评审 24
4.5.5持续改进SMS(A) 24
4.5.5.1概述 24
4.5.5.2管理改进 25
5.设计和转化新服务或变更服务 26
5.1概述 26
5.2新的或变更的服务计划 26
5.3设计和开发新的或变更的服务 27
5.4新的或变更的服务的转化 27
6.服务交付过程 28
6.1服务级别管理 28
6.2服务报告 28
6.3服务持续性及可用性管理 28
6.4 IT服务的预算及核算管理 29
6.5 能力管理 29
6.6信息安全管理 30
7.关系过程 31
7.1业务关系管理 31
7.2供方管理 31
8.解决过程 33
8.1事件和服务请求管理 33
8.2问题管理 33
9.控制过程 34
9.1配置管理 34
9.2变更管理 34
9.3发布管理 35
附件一:程序文件清单 36
附件二:组织结构图及部门职责说明 37
附件三: 服务管理职责分配表 42
附件四: 经营服务流程图                                                                43


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★

发布令
保障IT服务有效运行和促进业务长足发展是公司IT服务团队实现卓越的IT服务管理的基石。为了实现这一,我们不仅需要服务质量的不断改进,更需要服务过程的有效管理和改进,以满足用户对IT服务的期望和业务发展对IT服务的要求。
服务管理手册依据《ISO/IEC 20000-1:2011 信息技术-服务管理规范》国际标准制定,它是服务团队IT服务管理体系的核心文件,也是指导服务团队建立并实施IT服务管理体系的纲领和行动准则,是服务团队对用户的承诺。此文件现予以批准颁布实施。自实施之日起,服务团队全体员工必须遵照执行。

XXXX软件公司
总经办:XXX

管理者代表授权书
为贯彻执行IT服务管理体系,满足《ISO/IEC 20000-1:2011信息技术-服务管理 第1部分:规范》标准的要求,加强领导,特任命  XXX   为我公司IT服务管理体系管理者代表。
授权IT服务管理者代表有如下职责和权限:
1. 确保按照标准的要求,全面建立、实施和保持IT服务管理体系;
2. 负责与IT服务管理体系有关的协调和联络工作;
3. 确保在整个组织内提高IT服务质量;
4. 传达IT运维管理的重要性和持续改善的必要性与重要性;
5. 组织IT服务管理体系内部审核;
6. 提供服务资源以满足服务交付及支持的作业与管理活动;
7. 对服务管理组织和服务的风险进行管理;
8. 服务流程的处理、评审、决策等。
9. 向最高管理者报告IT服务管理体系的业绩和改进要求,包括IT服务管理体系运行情况、内外部审核情况。
本授权书自任命日起生效执行。

                            XXXX软件公司
总经办:XXX
2019年01月05日
 


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★

               
1.服务管理手册序论
确定公司IT服务团队(以下简称“服务团队”)的服务方针、目标、IT服务管理体系组织、职责,以及各流程文件的控制范围和控制。
服务管理手册是服务团队实施IT服务体系的纲领性文件。服务团队制定的其它IT服务体系文件应符合手册的精神,不得与手册的规定及承诺相冲突。
1.1编制目的
服务管理手册的编写是根据《ISO/IEC 20000-1:2011信息技术-服务管理 第1部分:规范》,参照ISO/IEC20000-1:2011标准要求,为保证服务团队的IT服务管理体系合理、标准、高效而制定的纲领性文件。通过手册使组织内的所有角色具备规范的作业依据和活动准则,持续有效的贯彻我们的服务方针,并实现我们的服务。

2.总则
2.1范围
1) 公司IT服务管理涉及范围为:向外部客户提供计算机软件开发及运维、管线综合布线,视频监控系统安装及运维相关的服务管理体系。
2) 本手册的规定适用于公司所有和IT服务业务有关的部门和人员,具体涉及部门及角色见IT服务管理组织结构图;
3) 涉及的场地范围为:重庆市XX区XXX路
4) 本手册规定了公司IT服务管理体系的要求,确定了IT服务管理方针、IT服务管理和流程文件,是公司IT服务管理体系运行相关的部门和人员必须共同遵守的基本法规。
2.2引用标准
服务团队的IT服务管理体系建立,完全依循下述国际标准:
1)  GB/T24405.1--2009/ISO/IEC20000-1:2011 Information technology--Service management--Part 1:Specification(信息技术 服务管理 第1部分:规范)
2)  ISO/IEC20000-1:2011  (信息技术 服务管理 第1部分:要求)
3) ISO/IEC20000-2:2011  Information technology--Service management--Part 2:Code of prXXXtice(信息技术 服务管理 第2部分:实施指南)
2.3服务方针
规范细致的服务,超越用户的期望
2.4服务目标
1) 客户满意度达95分以上---公司目标
2) 问题故障及时解决率100%---公司目标
3) 培训计划达成率98%---综合管理中心
4) 设备及时检查率100%---工程技术中心
5) 问题故障及时解决率100%---工程技术中心

3.术语和定义
ISO/IEC 20000-1:2011《信息技术-服务管理体系-要求》、ISO/IEC 20000-2:2011《信息技术-服务管理实施指南》规定的术语和定义适用于本《IT服务管理手册》。
3.1本公司
指XXXX软件公司,包括XXXX软件公司所属各部门。
3.2可用性
在协定的中断或规定时间段内,服务组件或服务执行要求功能的能力。
3.3配置基线
在服务或服务组件生命周期过程中特定时间段、正式指定的配置信息。
3.4配置项CI
为交付单个或多个服务需要控制的所有元素
3.5配置管理数据库CMDB
存储用来记录每个配置项的特性和配置项之间关系的数据。
3.6持续改进
增强满足服务要求的能力的循环活动 。
3.7纠正措施
为避免或消除不合格的起因,或减少不合格或其他不希望情况复发的可能性所采取的措施。
3.8顾客
接受单个或多个服务的组织或组织的一部分。
3.9文件
信息及其承载媒介。
3.10有效性
完成策划的活动并得到策划结果的程度。
3.11事件
非计划的服务中断、服务质量的降低或尚未对客户服务造成影响的事情。
3.12信息安全
保护信息的保密性、完整性、可用性
3.13信息安全事件
单一或一系列不需要的或非预期的、有明显的可能危害业务运行或威胁信息安全的事情。
3.14相关方
与服务提供方行为或行动的业绩或成就有利益关系的个人或团体。、
3.15内部团体
服务提供者组织内部的一部分,与服务提供者有文件化的协定,协助单个服务或多个服务的设计、转换、交付、改进。
3.16已知错误
寻找到根本原因或找到减少或降低对服务冲击的规避方法的问题
3.17不合格
未满足要求。
3.18组织
一组职责、权限和相互关系得到安排的人员和措施。
3.19问题
造成一个或多个事件的根本原因。
3.20 程序
为进行某项活动或过程所规定的途径。
3.21过程
将输入转化为输出的相互关联或相互作用的一组活动。
3.22 记录
阐明所取得的结果或提供所完成活动的证据的文件。
3.23发布
作为一个或多个的结果而同事引入现实环境的一个或多个新配置项或变更的配置项的集合 
3.24变更请求
提出的针对服务、服务组件或服务管理体系的变更建议。
3.25风险
对不确定性的影响。
3.26 服务
交付价值达到客户期望达到结果的服务。
3.27 服务组件
服务的一个单元,可以与其他单元组合形成完整的服务。
3.28 服务的连续性
管理一系列影响单个或多个服务的风险和事件,持续提供协定级别服务的能力。
3.29 服务级别协议
服务提供者与顾客之间签署的,明确了服务和服务的文件化协议。
3.30 服务管理
一组能力和过程,指导和控制服务提供者的活动和资源,设计、转换、交付、和改进服务以满足服务要求。
3.31 服务管理体系(SMS)
管理体系,用来指导和控制服务提供者的服务管理活动。
3.32 服务提供者
为客户提供单个或多个服务的组织或组织的一部分。
3.33 服务请求
请求提供信息、建议、访问某个服务或预先核准的变更。
3.34 服务要求
客户和用户对服务的要求,包括服务级别的要求,以及对服务提供者的需要。
3.35 供应商
服务提供者组织之外的组织或服务提供者组织的一部分,与服务提供者签订合同,协助单个服务或多个服务或过程的设计、转换、交付和改进。
3.36 最高管理者
在最高层指挥和控制服务提供者的一个人或一组人。
3.37 转换
将新的或变更的服务纳入现实环境或从现实环境移出的一组活动。


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★

4.管理体系及要求
4.1管理责任
4.1.1管理承诺
高层管理人员应提供证据证明其承诺的规划、建立、实施、运行、监控、审查、维护、改善SMS和服务:
a) 确定建立和交流的服务管理的范围、策略和目标;
b) 确保该服务管理计划已建立、实施和维护,以符合策略的要求,实现服务管理的目标和履行服务的要求;
c) 对履行服务要求的重要性进行沟通交流;
d) 对履行法律法规要求和合同义务的重要性进行沟通;
e) 提供策划、实施、监控、评审和改进IT服务所需要的资源,如:指定IT服务管理人员、分配资金与预算。
f) 按照计划的时间间隔进行管理评审;
g) 管理和控制IT服务提供过程的风险。
h) 按计划组织IT服务管理体系的审核,以确保体系的适宜性、充分性和有效性。
4.1.2服务管理策略
高层管理人员应确保该服务管理策略:
a) 适合本公司的目标;
b) 包括一个承诺来履行服务的要求;
c) 包括持续改进SMS成效的承诺和包括通过在第4.5.5.1节中介绍的持续改善策略的服务承诺;
d) 提供一个建立和检查服务管理目标的框架;
e) 可被服务提供者人员交流和理解。
f) 能够经的起反复的推敲。
4.1.3权力、责任和沟通
高层管理人员应确保:
a)服务管理的权力和职责可以得到定义和维护;
b)文档化的沟通程序已被建立和实施。
4.1.4管理者代表
公司任命管理者代表,并授与相应的权利和责任,详见管理者代表任命书;
4.2治理各利益相关方的操作流程
公司识别了设计和转化新的或变更的服务流程、服务交付流程、信息安全流程、关系流程、解决流程、控制流程等第5至9章的流程,服务提供者应识别由各利益相关方来运作的所有流程,或部分流程。各利益相关方可以是一个客户或供应商的内部小组。
服务提供者应当由其它各方通过以下方式展示管理过程:
a) 表明问责的流程和权力要求遵守的流程;
b) 控制过程的定义和与其它流程的接口;
c) 确定流程的表现和与流程要求的合规性;
d) 控制过程改进的计划和优先次序。
当一个供应商操作部分流程时,服务提供者应当通过供应商管理程序对供应商进行管理。当一个内部小组或客户操作部分流程时,服务提供者应当通过服务水平管理流程对内部小组或客户进行管理。
经识别在本公司的信息技术服务管理体系范围内无其他服务提供方,若以后有此类服务商则按XXX/ITSMSP014供应商管理程序进行管理。
4.3文件管理
4.3.1文件的建立和维护
公司在开发、经营、服务和日常管理活动中,按ISO/IEC 20000-1:2011标准要求,建立、实施、运行、监视和评审、保持和改进文件化的信息技术服务管理体系。IT服务管理体系文件分以下几个层次:
a) 一级文件:服务管理策略和的文件;(如: IT服务管理手册包括方针、目标);
b) 二级文件:文档化的服务管理流程或程序;(如:IT服务管理体系的程序文件);
c) 三级文件:为本部分ISO / IEC 20000要求的特殊流程所创建的文档化的策略和规划、文档化的服务目录、文档化的SLA、服务管理计划的文档,包括:管理规范、操作手册及作业指导书以及为确保有效操作SMS和交付服务所需的并由服务提供者决定补充的外来文件。
d) 四级文件:IT服务管理体系的产出物文件模版(表单、报告模版等);
4.3.2文件控制
本公司编制了《文件和资料控制程序》具体按文件控制程序要求进行控制。记录是一种特殊类型的文件,并且需要按照4.3.3节的要求被控制。
一个文档化的流程,包括授权和责任,控制的定义需要被建立,需要有:
a) 在发行前建立和批准文件;
b) 与各利益相关方就新文件及改动过的文件进行讨论;
c) 必要时对文件进行检查和保持;
d) 确保文件的改动和现行修订状态是经认可的;
e) 确保适用文件的有关版本在使用时可获得;
f) 确保文件易于识别且清晰;
g) 确保外来文件得以识别且其发行量受到控制;
h) 若保留作废文件,需防止作废文件被随意使用并对上述文件做好适当的标识。
4.3.3记录控制
本公司编制了《记录管理程序》具体按记录控制程序要求进行控制。
记录应保存,并用来证实SMS符合要求和有效运作。
一个文件的流程需要建立对控制的定义,包括标识、贮存、保护、检索、保存和记录的处置的方式。记录应清晰,易于识别和检索。


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★

 

4.4资源管理
4.4.1资源供给
公司最高管理者应确定并提供人力资源,技术资源,信息资源和财务资源,并:
a) 设立,实施和维护SMS和服务,不断提高其效力;
b) 通过提供满足服务要求的服务,来提升客户满意度。
4.4.2人力资源
本公司IT服务管理委员会须对所有参与IT服务管理的岗位和岗位责任做明确定义。
以确保服务工作人员的工作应符合服务要求,这些人员应在接受相应的教育和培训后,具备相应的技能和经验等基本能力。服务人员应当:
a) 选择有资质的人员;
b) 适当通过提供培训或采取其它措施以获得必要的能力资格;
c) 对采取措施的有效性进行评价;
d) 确保其工作人员都知道如何尽力达成服务管理并满足服务要求;
e) 坚持对教育、培训、技能和经验做适当的记录。
IT服务管理委员会同时须通过培训或其他的宣讲等方式来确保员工理解他们的业务活动的重要性以及相关性,并知晓如何达成IT服务管理的。具体按《培训控制程序》和《能力管理程序》实施。
4.5建立和改进SMS
4.5.1定义范围
本管理手册明确了整个体系覆盖的范围,详见第一章范围及定义描述。
范围包括为达到IT服务管理所需的资源(人员、设备和资金等)和所提供的IT服务。
a) 人员:包括人员的招聘、培训、资质认证、团队建设等;
b) 设备:包括与IT服务管理相关的软、硬件等。
c) 资金:包括IT服务管理过程中相关IT服务预算与核算活动等。
d) IT服务:包括IT服务的设定、IT服务计划的编制、IT服务的新增和改进等。

同时本公司的服务提供也应考虑影响服务交付的其它因素,其中包括:
a) 本公司提供服务的地理位置;
b) 客户及其位置;
c) 用于提供服务的技术。
4.5.2计划SMS(P)
本公司IT服务管理团队须遵循Plan-Do-Check-XXXt模式策划,实施、检查和改进IT服务管理体系,详见图1所示的PDCA模型。
 


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★


图1 信息技术服务管理体系模型
同时应当建立、实施和维护服务管理计划。计划应考虑到服务管理策略,服务需求和在ISO / IEC 20000中本部分的要求。服务管理计划应包含或引用至少以下内容:
a) 由本公司来实现的服务管理;
b) 服务要求;
c) 影响SMS的已知限制;
d) 策略,标准和法律法规要求和合同义务;
e) 权力架构,职责和过程角色;
f) 权力和责任的计划,服务管理流程和服务;
g) 人力资源、技术资源、信息资源和财务资源来实现服务管理;
h) 在与其它各方合作时采取的步骤,包括设计和转化新的或变更的服务流程;
i) 对服务管理流程和SMS的其它组成部分进行整合时接口的步骤。
j) 风险管理和接受风险的准则的步骤;
k) 用于支持SMS的技术;
l) SMS和服务的成效需要被度量、报告和改进。
4.5.2.1策划服务管理
a) IT服务管理:
1) 建立符合ISO20000国际标准的IT服务管理体系,有效整合和利用人员、设备和资金等IT资源;
2) 建立符合ISO20000国际标准的服务质量管控(QA)体系,提升IT服务品质,提升对IT用户的支技能力;
3) 建立起“计划-实施-检测—改进”的循环,以IT服务管理团队为驱动力使之正常运转并辅以质量检查,持续改进IT服务和IT服务管理水平;
b) IT服务管理的范围:
IT服务管理的范围包括为达到IT服务管理所需的资源(人员、设备和资金等)和所提供的IT服务。
1) 人员:包括人员的招聘、培训、资质认证、团队建设等;
2) 设备:包括与IT服务管理相关的软、硬件等。
3) 资金:包括IT服务管理过程中相关IT服务预算与核算活动等。
4) IT服务:包括IT服务的设定、IT服务计划的编制、IT服务的新增和改进等。
c) IT服务年度计划:
1) 每年年初,体系负责人召集IT服务管理团队所有成员共同编制《服务计划书》;
2) 《服务计划书》的制定须参考本公司战略策划、年度计划以及上年度IT服务改进计划等信息。
《服务计划书》须汇总的运维服务年度服务计划信息,计划内容须包括:IT服务的范围与目的,IT服务人员、设施、预算等资源需求,IT服务管理组织和IT服务的风险管控、IT服务的质量管理等内容;
特定流程的计划应与服务管理计划相一致。该服务管理计划和特定流程的计划,按照12个月时间间隔进行审核,如果适用,进行更新。
d) IT服务管理组织及其职责
本公司IT服务管理团队由体系负责人、IT服务管理委员会、内审组以及各过程与人员组成。具体角色职责及定义参见附件C:《服务管理职责分配表》
本公司IT服务管理体系定义和实施的过程包括:
1)服务提供过程:
a) IT服务级别管理;
b) IT连续性和可用性管理;
c) IT容量管理;
d) IT安全管理;
e) IT预算和核算管理。
2)控制、发布过程:
a)IT配置管理;
b)IT变更与发布管理。
3)解决过程:
a)IT事件管理;
b)IT问题管理。
4)关系过程
a)IT业务关系管理;
b)IT供应商管理。
在每个过程的过程描述文档中,将对过程的范围、角色职责、活动交互、绩效指标及评价方法进详细的定义。
4.5.2.2各过程之间的接口
过程之间的接口定义和通过接口的信息传递将在过程定义文档中进行详细的描述,在此对IT服务管理各过程之间的接口简要描述如下:
软件设计流程:

公司软硬件运维流程为:合同要求---编制维护计划----执行计划(巡检,维修,故障排除等)----运行测试---顾客申告受理---申告处置---故障处置(测试)---故障修复确认(顾客,组织)
本公司IT服务管理体系以IT服务级别管理过程为核心,以IT配置管理为基础,将IT服务管理体系中的各过程串联起来。
IT服务级别管理过程为多个过程提供输入,各过程也将服务级别协议(SLA)要求的执行情况估为输出返回到IT服务级别管理过程。
IT配置管理过程为IT服务支持过程及部分IT服务交付过程提供所有需要的配置项及其属性信息,并接受来自IT变更发布管理对配置信息的修改。
4.5.3实施运作SMS(D)
本公司将根据服务管理计划,通过设计、转化、交付和提高来实施和运行SMS,包括但不限于以下行为:
a) IT服务的首先须建立起专业的IT服务管理团队,将服务角色和职责进行合理分配,通过内部任命或招聘的方式确保人员到位;
b) 为服务实施准备资金并做好预算分配,须有效管理预算的执行,以确保服务体系能够按步骤的、持续的完成实施;
c) 按照各个过程策划的方针、计划、程序和定义实施服务管理和提供服务管理体系;
d) 对IT服务管理团队进行有效管理,设定相关KPI指标确保过程运行质量,识别并控制IT服务风险;
e) 根据IT服务报告管理过程要求,定期出具IT服务管理体系运行相关报告以对服务管理行为的表现进行监控和汇报。
4.5.4监控审查SMS(C)
4.5.4.1概述
本公司建立了内部审核及管理评审管理程序等以及SMS的有效性和服务效果进行监督和度量。以证实SMS和各项服务的能力可以实现服务管理并达到服务的要求。同时已识别不符合本部分的ISO / IEC 20000的要求,包括服务提供者或服务要求确定SMS的要求。
同时应对内部审核和管理评审的结果予以记录,其中包括不符合项,关注以及确定的行动。应将结果和行动通知各利益相关方。
4.5.4.2内部审核
本公司编制有《内部审核管理程序》明确了审核计划、实施审核,报告结果和保存审计档案的权力和责任,同时公司在计划的时间间隔内进行内部审计,以确保SMS和服务是否:
a) 履行本ISO / IEC 20000的规定;
b) 符合服务要求和服务提供者确定的SMS要求;
c) 得到有效地实施和维护。
在编制审计方案时应考虑过程和被审计领域的地位和重要性,以及以往审核的结果。应对审计准则,范围,频率和方法进行记录。
审计师的选择和审核的实施应确保其客观性和公正性。审核人员不应审核自己的工作。
应对不符合项进行通报,并进行排序和责任分配并采取行动。被审计的该部分负责人须确保任何纠正和纠正措施,不得无故迟延,及时消除不合格项及其成因。后续活动应包括对所采取措施的行为验证和结果报告。
本公司IT服务管理团队须采取方法对IT服务管理体系的过程加以监控及测量,包括例行检查(管理评审:偏重于查变化---外部变化:法律法规/客户,内部变化:人员变化/组织机构变化(对公司的冲击)、内部审核---偏重于查风险)和日常检查(偏重于查符合/不符合,即合策划检查定期回顾,关注绩效、成果、问题和纠正计划),以确保体系的运行与设计相符,并根据检查结果采取纠正与预防措施,确保各过程的达成。
4.5.4.3管理评审
本公司编制有《管理评审管理程序》对评审策划及实施作了描述。最高管理者应在计划的时间间隔内对SMS和各项服务进复核,以确保其持续的适宜性和有效性。复核需要包括对SMS开展的必要更改的重要性进行评估,包括服务管理的策略和。
对管理评审的输入应包括但不限于以下信息:
a) 顾客的反馈;
b) 服务和过程的性能和一致性;
c) 现有的和预计的人员、技术、信息和财务资源的水平;
d) 当前和预计的人员和技术能力;
e) 风险;
f) 审计的结果和后续行动;
g) 前期管理复核中得出的结果和后续行动;
h) 预防和纠正措施的状况;
i) 可能影响SMS和各项服务的变化;
j) 改进机会。
管理评审的记录应予以保留。
管理评审的记录应至少包括决策和对有关资源的行动,提高SMS的效益和改善服务。


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★

 

 

4.5.5持续改进SMS(A)
4.5.5.1
1概述
本公司将形成一个对SMS和各项服务持续改进的策略。该策略应包括改善机会的评价标准。同时本公司已建立《服务改进管理程序》包括对改进的鉴定、记录、评估、审批、优先级管理、测量和报告的权力和责任。改善机会包括纠正和预防措施,应记录在案。
应对已确定的不符合的原因予以纠正。应采取纠正措施以查明并消除不符合的原因,以防止再次发生。应当采取预防措施,以消除潜在不合格的原因,以防止发生。
a) 日常检查:在例行的本公司IT内审和IT管理评审之外,本公司IT服务管理团队还须按需开展日常检查来确保IT服务管理体系的持续改进。
b) 相关(事件、问题、变更、信息安全、业务关系、连续性、可用性和能力管理)过程需定期(每月一次)对本过程运行效果进行总结研讨,针对发现的问题,须提出改进措施并执行。
c) 各过程负责人需须定期(每年一次)对本过程执行效果进行总结研讨,必要时对过程文件进行修订、评审和发布。
4.5.5.2管理改进
改进的机会应被优先考虑。本公司在对持续改进策略的改进机会做决定时,应使用评价标准。对批准的改进内容加以规划。同时应当管理改进的活动,包括但不限于:
a) 设置改进,包括质量、价值、能力、成本、生产力、资源利用率、风险降低等方面;
b) 确保对批准的改进得以实施;
c) 在需要时修改服务管理策略、计划、过程和流程;
d) 对照设定的检查改进完成的情况,对没有实现的,采取必要的行动;
e) 对改进实施情况予以报告。
f) 本公司IT服务管理团队根据IT服务管理体系检查阶段的结果,采取改进措施不断改善IT服务管理和服务交付,逐步提高IT服务管理和服务交付的效果和效率,内容包括:
1) 根据IT内审不合格项进行根源分析并加以改进,并根据IT内审结果决定是否需要对部分服务进行调整;
2) 基于IT管理评审报告,从满足业务和客户需求出发,进行IT服务管理调整、改进或升级;
3) 根据体系检查结果进行IT服务管理过程的优化和改进,包括过程策略的变更、过程接口的变更和角色职责的变更等,如修订IT服务管理策略、过程、程序和计划等;
4) 通过IT服务管理委员会会议、定期用户满意度调查和定期客户回访等取得服务相关信息,并对于未能满足服务要求的服务进行改善,并记入《服务改进计划》中。


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★

 

 

5.设计和转化新服务或变更服务
5.1概述
5.1.1本公司形成的相应程序将应用于所有新的有可能变更服务,这对服务和客户将产生重大影响。变更由变更管理策略控制,对于新的或变更的服务的评估、审批、调度和审查范围的变更应当由变更管理流程控制。新的或变更的服务范围的配置项影响应由配置管理流程控制。
5.1.2公司IT服务管理委员会应当审查新的或变更合同约定的服务要求以及新的或变更的服务计划,设计和开发新的或变更的服务过程中有关规定给予的规划和设计活动的输出。在此基础上,应当接受或拒绝输出。同时应当采取必要行动,以确保发展和新的或变更的服务可以进行有效的转化,采用公认的输出。
注:一个新的服务需求或向服务转变可以来自客户,服务提供者,一个内部组或一个内部供应商,以满足业务需要或改善服务的成效。
5.1.3市场中心负责与客户沟通,软件产品中心配合,收集客户对现有SLA的满意度水平。分析、整理客户新的或变更服务的要求,及时反馈客户的改进需求。
5.1.4当出现新服务或变更服务时,软件产品中心根据《设计和转化新服务或变更服务管理程序》的要求,组织实施服务管理和提供服务策划和实施工作。
5.1.5软件产品中心组织对新服务或变更服务策划结果的验证、确认,验证通过后按《设计和转化新服务或变更服务管理程序》实施。
5.1.6软件产品中心应报告新服务或变更服务按计划实施所达到的结果,软件产品中心按《发布和部署管理程序》,执行实施发布评审,比较实际结果与期望结果的一致性。
5.2新的或变更的服务计划
5.2.1公司软件产品中心应确定新的或变更的服务的要求。新的或变更的服务应当被规划以符合服务要求。新的或变更的服务的规划应由客户和利益相关方认可。
5.2.2作为计划的输入,软件产品中心应当考虑到提供新的或变更的服务潜在的财务、组织和技术上的影响。软件产品中心也应考虑到新的或变更的服务对SMS的潜在影响。
5.2.3新的或变更的服务的计划应包含或引用包括但不限于以下内容:
a) 设计、开发和转化活动的权力和责任;
b) 活动应当由以下各方履行:服务提供者和包括与服务接口的其它各方;
c) 与各利益相关方沟通;
d) 人员、技术、信息和财务资源;
e) 计划活动的时间表;
f) 对风险的确定,评估和管理;
g) 依赖的其它服务;
h) 新的或变更的服务的测试要求;
i) 服务验收标准;
j) 用可衡量的术语表示提供新的或变更的服务的预期输出。
5.2.4对于要被删除的服务,软件产品中心应做出服务删除计划。计划应包括删除、归档、处理数据,文件和服务组件的转移的日期。服务组件可以包括基础设施和与应用程序相关的许可证。
5.2.5软件产品中心应当对那些致力于新的或变更的服务组件条款的各方加以识别鉴定。应当评估其能力以满足服务需求。评价的结果应当予以记录并采取必要的行动。
5.3设计和开发新的或变更的服务
5.3.1软件产品中心负责对新的或变更的服务进行设计和文档化时,应至少包含以下内容:
a) 交付新的或变更的服务时的权力和责任;
b) 提供新的或变更的服务时服务提供者、客户和其他各方需执行的活动;
c) 新的或变更的人力资源需求,包括对适当的教育、培训、技能和经验的要求;
d) 交付新的或变更的服务时的财政资源需求;
e) 新的或变更的技术来支持提供新的或变更的服务;
f) 新的或改变的计划和策略,要求符合本部分的ISO / IEC 20000;
g) 新的或变更合同和其它文件的变化协议,以配合服务变更要求;
h) 对SMS的变更;
i) 新的或变更的服务水平协议;
j) 对服务目录进行更新;
k) 在交付新的或变更的服务过程中使用的程序、措施和信息。
5.3.2软件产品中心应当确保设计使新的或变更的服务满足服务要求。
5.3.3新的或更改服务,应当按照文件化的设计制定。
5.4新的或变更的服务的转化
5.4.1软件产品中心应当组织对新的或变更的服务进行测试,以验证它们是否符合服务要求和设计文件。新的或更改的服务应由市场中心和有关方面事先约定验收标准。如果服务不符合验收标准,软件产品中心和有关各方应当做出必要的决定和部署的行动。
5.4.2发布和部署管理过程应用于部署已批准的新的或变更的服务到真实环境。
5.4.3随着转化活动的完成,服务提供者应当及时向有关方面报告关于对预期成果取得的成效。


 


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★

 

 

6.服务交付过程
6.1服务级别管理:
定义、协商、记录并能管理服务级别。
所有方面需协商并记录:所提供的服务、相应的服务级别以及工作量特性。
在一个或多个服务级别协议(SLA)中书面规定所约定的服务。
所有相关方协商并记录服务级别协议(SLA)、支持性服务约定、供方合同和相应的流程。
服务级别协议(SLA)处于变更管理过程的控制之下。
通过所有相关方定期评审的方式来保持服务级别协议(SLA),以确保服务级别协议的更新和持续有效。
根据来监视并通报服务级别,报告中应展示当前的信息以及发展趋势,报告并评审不符合的原因,记录这一过程中所确定的改进措施,并作为服务改进计划的输入。
详细过程参见《服务级别管理程序》。
6.2服务报告
目的:为有效沟通和制定决策而及时编制的可靠的、准确的并达成一致的报告。
每一服务报告需清晰阐明其标识、目的、读者以及数据来源。
编制服务报告以满足确定的需求和用户要求。服务报告包括:
a) 与服务水平相比较的业绩;
b) 不符合及问题,即违反服务级别协议及安全违规;
c) 工作量特征,即容量和资源使用率;
d) 重大事故的报告,即重大事件或变更;
e) 趋势信息;
f) 满意度分析。
考虑服务报告的发现并据此确定管理决策和纠正措施,并与相关方沟通。
服务报告每季度编制一次,详细过程参见《服务报告管理程序》。
6.3服务持续性及可用性管理
目的:确保在所有情况下都可以实现向用户承诺的服务持续性和可用性。
基于业务计划、服务级别协议和风险评估来确定可用性及服务持续性要求。要求包括访问权限、响应时间以及系统组件端对端的可用性。
开发可用性及服务连续性计划,并每年至少评审一次,以确保从正常情况到主要服务失效的所有情况下都可以满足要求。保持这些计划以确保他们反映约定的、业务所需的变更。
当业务环境发生重大变更时,需重新测试可用性及服务持续性计划。
变更管理过程评估变更对可用性及服务连续性计划的影响。
测量并记录可用性,调查计划之外的不可用并采取适当的措施。
注:可行时,需预测潜在的问题并采取预防措施。
当正常的办公访问被阻止时,确保服务持续性计划、合同列表和配置管理数据库的可用性。服务持续性计划包括返回正常工作状态的内容。
依据业务需求对服务持续性计划进行测试。
记录所有的持续性测试,在改进措施计划中简述测试失效的情况。
详细过程参见《可用性管理程序》和《持续性管理程序》。
6.4 IT服务的预算及核算管理
目的:制定预算并解释服务提供成本。
为下列活动建立清晰的策略和流程:
a) 为所有的组件(包括IT资产、共享资源、企业的一般管理费用、外部提供的服务、人员、保险和许可)制定预算并进行财务管理;
b) 分配服务的间接费用和直接成本;
c) 有效的财务控制和授权。
制定详细的成本预算,以确保有效的财务控制和决策制定。
组织应依据预算来监视并报告成本情况,评审财务预算并相应地进行成本管理。
计算服务变更的成本,并经过变更管理过程的批准。
详细过程参见《IT服务预算与核算管理程序》。
6.5 容量管理
目的:确保组织在任何时候都有足够的容量以满足与用户约定的、用户当前和未来的业务需求。
实施能力管理,应编制并保持容量计划。
实施容量管理阐述业务需求并包括下列内容:
a) 当前和预测的容量和绩效要求;
b) 识别服务升级的时间表、限度和成本;
c) 评价预期的服务升级、变更请求、关于容量的新技术和方法的影响;
d) 预测外部变更的影响,如立法机构;
e) 预测分析所需的数据和过程。
确定监视服务容量、协调服务业绩和提供充足容量所需的方法、流程和技术。
详细过程参见《容量管理程序》。
6.6信息安全管理
目的:在所有服务活动中有效管理信息安全。
注:ISO/IEC17799《信息技术-安全技术-信息安全管理指南》提供了关于信息安全管理的指南。
IT服务管理小组组长批准信息安全策略,并传达给所有相关人员,适用时与用户沟通。
实施适当的安全控制以:
a) 实施信息安全策略的要求;
b) 管理与服务或系统访问有关的风险。
控制措施应形成文件,阐述相关的风险以及控制措施的运营和保持方式。
在实施变更前,评估控制措施变更的影响。
有些组织可以访问信息系统和服务。有关这些组织的安排应基于正式的协议,协议中应规定全部所需的安全要求。
按照事故管理流程的规定记录安全事故,并尽快报告。应实施流程,以确保可以调查所有的安全事故并采取管理措施。
采取机制,以量化并监视安全事故和失效的类型、程度和影响。记录过程所确定的改进措施,并作为服务改进计划的输入。
详细过程参见《信息安全管理程序》。


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★

 

 

 

7.关系过程
7.1业务关系管理
目的:基于对用户及其业务驱动的了解,形成并保持与用户之间的良好关系。
市场中心需识别并记录服务的利益相关方和用户。
市场中心和用户每年至少进行一次服务评审,来讨论服务范围、服务级别协议、合同或业务需求的任何变更,并按约定时间召开中间会议来讨论进展、成绩、问题和改进计划。这些会议形成书面的会议记录。
也可邀请其他的服务利益相关方出席会议。
如果出现合同变更,那么适当时在这些会议上应讨论服务级别协议变更的问题。这些变更应遵循变更管理过程。
市场中心应了解业务需求及重大变更,从而为响应这些需求做好准备。
市场中心应与用户协商确定正式的服务投诉的定义,记录、调查、响应、报告并正式关闭所有的服务投诉。当不能通过正常渠道反馈投诉时,用户应获得其他的升级渠道。
市场中心负责管理用户满意度及整个业务关系过程,建立了通过定期的用户满意度调查获取反馈并做出响应的过程,记录在这一过程中识别出的改进措施,并作为服务改进计划的输入。
详细过程参见《业务关系管理程序》和《顾客满意度测量管理程序》。
7.2供方管理
目的:确保组织提供优质的连续的服务。
工程技术中心应记录供方管理过程,并为每一供方指定合同管理者。
就供方所提供服务的要求、范围和等级以及沟通过程与所有方面达成一致,并在相关文件中书面记载。
协商并书面规定所有方面使用的过程接口。
清楚规定关键供方与分包方之间的角色及关系,关键供方能够展示确保分包方能够满足合同要求的过程。
对采购合同在签订前按照《合同评审管理制度》进行评审,并且每年进行一次供应商评审,以确保选定合格供应商,并仍能继续满足业务需求和合同要求。
采购合同在相关要求或在评审之后需要变更的情况下,遵从《变更管理流程》。
建立解决合同争议的正式过程。
建立过程以管理服务的预期或提前终结或将服务转嫁给他方。
根据服务级别来监视和评审业绩,记录在这一过程中确定出的改进措施并作为服务改进计划的输入。
公司目前没有服务提供商,如有按照《供应商管理程序》执行。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★

 

8.解决过程
8.1事件和服务请求管理
目的:尽快恢复约定的业务,或响应服务要求。
记录所有的事件。
建立流程来管理事件的影响。
流程规定了所有事故的记录、优先排序、业务影响、分类、更新、调整、解决和正式关闭。
通知用户,使其了解其报告的事件的进展情况,当不能达到约定的服务级别或无法完成约定的措施时应提前通知用户。
所有涉及事件管理的人员都应有权使用诸如已知错误、问题解决和配置管理数据库(CMDB)等相关信息。
对重大事件进行分类并根据流程进行管理。
详细过程参见《事件和服务请求管理程序》。
8.2问题管理
目的:通过事件原因的预先识别、分析、管理直至关闭,来最小化对业务的影响。
记录识别的所有问题及已知的错误。
建立流程以识别、最小化或避免事件或问题的影响。流程应规定所有问题的记录、区分类、更新、调整、解决和关闭。
采取预防措施,以减少潜在的问题,如事件数量和类型的趋势分析之后的后续活动。
纠正问题的根本原因所需的变更应提交变更管理过程。
监视、评审问题的解决并报告其有效性。
问题管理者有责任确保事件管理者可获得关于已知错误和已纠正问题的最新信息。
记录在这一过程中确定的改进措施,并作为服务改进计划的输入。
详细过程参见《问题管理程序》。


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★

 

 

9.控制过程
9.1配置管理
目的:规定并控制服务和基础设施组件,并保持正确的配置信息。
在进行配置管理的变更和策划时应采用综合方法。
财务投资中心规定与财务资产核算过程的接口。
注:财务资产会计不属于本章范围。
制定关于配置项及组件定义的策略。
规定每一项目记录的信息,包括有效的服务管理所需的关系及文档。
配置管理提供了可识别的服务和基础设施组件的识别、控制和追溯版本的机制。控制的程度充分满足业务需求、失效的风险和服务的重要性。
配置管理为变更管理过程提供与变更请求对于服务和基础设施配置影响有关的信息。适当时,配置项的变更是可追溯的和可审计的,如软件和硬件的变更和活动。
配置控制流程确保保持系统、服务和服务组件的完整性。
在发布到实际运行环境之前建立配置项的基线。
数据配置项的主拷贝控制在安全的物理或电子数据库中,并参见配置记录,如软件、测试产品和支持文件。
所有的配置项能被唯一的识别,并记录在CMDB(配置管理数据库)中。严格控制对CMDB的升级访问。主动管理并验证CMDB,以确保CMDB的可靠性和准确性。需要的人员可获得配置项的状态和版本、位置、相关的变更和问题以及相关的文档。
配置审计流程包括记录偏差、发起纠正措施和结果报告的内容。
详细过程参见《配置管理程序》。
9.2变更管理
目的:确保以一种受控的方式对变更进行评估、批准、实施和评审。
清楚规定服务和基础设施变更的范围,并形成文件。
记录并分类所有要求的变更,如紧迫、紧急、重大和轻微等。评估变更请求的风险、影响和业务收益。
变更管理过程应包括恢复和补救失败变更的方法。
批准并检查更新,并以受控的方式实施。
评审所有变更以确保成功以及实施后所采取的措施。
建立策略和流程,以控制紧急变更的授权和实施。
计划的变更日期作为制定变更和发布时间表的基础。时间表包括批准实施的所有变更以及建议实施日期的详细信息。保持时间表并与相关方沟通。
定期分析变更记录,以检测日益增多的变更等级、频繁发生的类型、出现的趋势以及其他相关信息。记录变更分析所得出的结果和结论。计划的变更日期应作为制定变更和发布时间表的基础。时间表应包括批准实施的所有变更以及建议实施日期的详细信息。应保持时间表并与相关方沟通。
变更成功部署后,应随之更新CMDB记录。
记录有变更管理所确定的改进措施,并作为服务改进计划的输入。
详细过程参见《变更管理程序》。
9.3发布管理
目的:交付、分发并追溯在发布到实际运行环境中的一个或多个变更。
注:发布管理过程应与配置管理和变更管理过程综合管理。
与相关方协商发布策略并形成文件。发布策略包括发布类型和频次。
组织应根据业务要求对服务、系统、软件和硬件的发布进行策划。在所有相关方之间就如何启动发布计划达成一致,并经过他们的授权,如用户、操作人员和支持人员。
过程包括一旦发布失败,返回或补救的方式。
计划应记录发布的日期及可交付成果,并参见相关的变更请求、已知的错误和问题。就这些情况与事故管理过程进行沟通。
评估变更要求对发布计划的影响。发布管理流程包括配置信息和变更记录的升级和变化。根据既定的过程来管理紧急发布。紧急发布过程与紧急变更管理过程有接口。
建立受控的接收测试环境,以便在分发之前建立并测试所有的计划发布。
设计并实施发布和分发,以确保在安装、处置、包装和交付的过程中保持硬件和软件的完整性。
测量成功或失败的发布。测量应包括发布之后与发布有关的事故。分析应包括对业务、IT运行和支持性人力资源影响的评估,并作为服务改进计划的输入。
详细过程参见《发布和部署管理程序》。


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★

 

 

附件一:程序文件清单
序号 文件编 号 文件名称 版本/修订状态
1 XXX/ITSMSP01 文件和资料控制程序 V1.0
2 XXX/ITSMSP02 记录控制程序 V1.0
3 XXX/ITSMSP03 培训控制程序 V1.0
4 XXX/ITSMSP04 内部审核管理程序 V1.0
5 XXX/ITSMSP05 管理评审管理程序 V1.0
6 XXX/ITSMSP06 设计和转化新服务或变更服务管理程序 V1.0
7 XXX/ITSMSP07 服务级别管理程序 V1.0
8 XXX/ITSMSP08 服务报告管理程序 V1.0
9 XXX/ITSMSP09 持续性管理程序 V1.0
10 XXX/ITSMSP10 可用性管理程序 V1.0
11 XXX/ITSMSP11 IT服务预算与核算管理程序 V1.0
12 XXX/ITSMSP12 顾客满意度测量管理程序 V1.0
13 XXX/ITSMSP13 能力管理程序 V1.0
14 XXX/ITSMSP14 信息安全管理程序 V1.0
15 XXX/ITSMSP15 供应商管理程序 V1.0
16 XXX/ITSMSP16 业务关系管理程序 V1.0
17 XXX/ITSMSP17 事件和服务请求管理程序 V1.0
18 XXX/ITSMSP18 问题管理程序 V1.0
19 XXX/ITSMSP19 纠正措施和预防措施控制程序 V1.0
20 XXX/ITSMSP20 配置管理程序 V1.0
21 XXX/ITSMSP21 变更管理程序 V1.0
22 XXX/ITSMSP22 发布和部署管理程序 V1.0

重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4    成都公司地址:成都市高新区天府三街峰汇中心1-10-8