深圳市XXXX有限公司
信息服务管理手册
4 服务管理体系的总体要求 4.1 管理责任 4.1.1 管理承诺
高层管理人员应提供证据证明其承诺的规划、建立、实施、运行、监控、审查、维护、改善SMS 和服务:
a)确定建立和交流的服务管理的范围、策略和目标。
b)确保该服务管理计划已建立、实施和维护,以符合策略的要求,实现服务管理的目标和履行服务的要求。
c)对履行服务要求的重要性进行沟通交流。
d)对履行法律法规要求和合同义务的重要性进行沟通。
e)提供策划、实施、监控、评审和改进IT服务所需要的资源,如:指定IT服务管理人员、分配资金与预算。
f)按照计划的时间间隔进行管理评审。 g)管理和控制IT 服务提供过程的风险。
h)按计划组织IT 服务管理体系的审核,以确保体系的适宜性、充分性和有效性。 4.1.2 服务管理策略
高层管理人员应确保该服务管理策略: a) 适合服务提供者的目的。
b) 包括一个承诺来履行服务的要求。
c) 包括持续改进SMS 成效的承诺和包括通过在第4.5.5.1 节中介绍的持续改善策略的服务承诺。
d) 提供一个建立和检查服务管理目标的框架。 e) 可被服务提供者人员交流和理解。 f) 能够经的起反复的推敲。 4.1.3 权力,责任和沟通
高层管理人员应确保:
a) 服务管理的权力和职责可以得到定义和维护。 b) 文档化的沟通程序已被建立和实施。 4.1.4 管理者代表
公司任命了管理者代表,并授与了相应的权利和责任,详见管代任命书。 4.2 治理各利益相关方的操作流程
公司识别了设计和转化新的或变更的服务流程、服务交付流程、信息安全流程、关系流程、解决流程、控制流程等第5至9章的流程,服务提供者应识别由各利益相关方来运作的所有流程,或部分流程。各利益相关方可以是一个客户或供应商的内部小组。服务提供者应当由其它各方通过以下方式展示管理过程:
a) 表明问责的流程和权力要求遵守的流程。 b) 控制过程的定义和与其它流程的接口。 c) 确定流程的表现和与流程要求的合规性。 d) 控制过程改进的计划和优先次序。
当一个供应商操作部分流程时,服务提供者应当通过供应商管理程序对供应商进行管理。当一个内部小组或客户操作部分流程时,服务提供者应当通过服务水平管理流程对内部小组或客户进行管理。注:ISO/IEC TR 20000-3 提供本部分ISO / IEC 20000 的范围定义和应用指南。包括对治理各利益相关方的操作流程的进一步解释。 4.3 文件管理
9 / 335 版本编号:V1.0
深圳市XXXX有限公司
信息服务管理手册
4.3.1 文件的建立和维护
公司在开发、经营、服务和日常管理活动中,按ISO/IEC20000-1:2011 标准要求,建立、实施、运行、监视和评审、保持和改进文件化的信息技术服务管理体系。IT服务管理体系文件分以下几个层次:
a) 一级文件:服务管理策略和目标的文件;(如: IT服务管理手册包括方针、目标)。 b) 二级文件:文档化的服务管理流程或程序;(如:IT服务管理体系的程序文件)。 c) 三级文件:为本部分ISO / IEC 20000 要求的特殊流程所创建的文档化的策略和规划、文档化的服务目录、文档化的SLA、服务管理计划的文档,包括:管理规范、操作手册及作业指导书以及为确保有效操作SMS 和交付服务所需的并由服务提供者决定补充的外来文件。
d) 四级文件:IT服务管理体系的产出物文件模版(表单、报告模版等)。 4.3.2 文件控制
本公司编制了《文件控制程序》具体按文件控制程序要求进行控制。一个文档化的流程,包括授权和责任,控制的定义需要被建立,需要有:
a) 在发行前建立和批准文件。
b) 与各利益相关方就新文件及改动过的文件进行讨论。 c) 必要时对文件进行检查和保持。
d) 确保文件的改动和现行修订状态是经认可的。 e) 确保适用文件的有关版本在使用时可获得。 f) 确保文件易于识别且清晰。
g) 确保外来文件得以识别且其发行量受到控制。
h) 若保留作废文件,需防止作废文件被随意使用并对上述文件做好适当的标识。 4.3.3 记录控制
本公司编制了《记录控制程序》具体按记录控制程序要求进行控制。记录应保存,并用来证实SMS 符合要求和有效运作。一个文件的流程需要建立对控制的定义,包括标识、贮存、保护、检索、保存和记录的处置的方式。记录应清晰,易于识别和检索。 4.4 资源管理 4.4.1 资源供给
公司最高管理者应确定并提供人力资源,技术资源,信息资源和财务资源,并: a) 设立,实施和维护SMS和服务,不断提高其效力。 b) 通过提供满足服务要求的服务,来提升客户满意度。 4.4.2 人力资源
本公司IT服务管理委员会须对所有参与IT服务管理的岗位和岗位责任做明确定义。以确保服务工作人员的工作应符合服务要求,这些人员应在接受相应的教育和培训后,具备相应的技能和经验等基本能力。服务人员应当:
a) 选择有资质的人员。
b) 适当通过提供培训或采取其它措施以获得必要的能力资格。 c) 对采取措施的有效性进行评价。
d) 确保其工作人员都知道如何尽力达成服务管理目标并满足服务要求。 e) 坚持对教育、培训、技能和经验做适当的记录。
IT服务管理委员会同时须通过培训或其他的宣讲等方式来确保员工理解他们的业务活动的重要性以及相关性,并知晓如何达成IT服务管理的目标。 4.5 建立和改进SMS 4.5.1 定义范围
本管理手册明确了整个体系覆盖的范围,详见第一章范围及定义描述。范围包括为达到
10 / 335 版本编号:V1.0
深圳市XXXX有限公司
信息服务管理手册
IT服务管理目标所需的资源(人员、设备和资金等)和所提供的IT服务。
a) 人员:包括人员的招聘、培训、资质认证、团队建设等。 b) 设备:包括与IT服务管理相关的软、硬件等。
c) 资金:包括IT服务管理过程中相关IT服务预算与核算活动等。
d) IT 服务:包括IT服务目标的设定、IT服务计划的编制、IT服务的新增和改进等。 同时本公司的服务提供也应考虑影响服务交付的其它因素,其中包括。 a) 本公司提供服务的地理位置。 b) 客户及其位置。
c) 用于提供服务的技术。 4.5.2 计划SMS(P)
本公司IT 服务管理团队须遵循Plan-Do-Check-Act 模式策划,实施、检查和改进IT 服务管理体系,详见图1 所示的PDCA 模型。
图1 信息技术服务管理体系模型
同时应当建立、实施和维护服务管理计划。计划应考虑到服务管理策略,服务需求和在ISO / IEC 20000中本部分的要求。服务管理计划应包含或引用至少以下内容:
a) 由本公司来实现的服务管理目标。 b) 服务要求。
c) 影响SMS 的已知限制。
d) 策略,标准和法律法规要求和合同义务。 e) 权力架构,职责和过程角色。
f) 权力和责任的计划,服务管理流程和服务。
g) 人力资源、技术资源、信息资源和财务资源来实现服务管理目标。
h) 在与其它各方合作时采取的步骤,包括设计和转化新的或变更的服务流程。 i) 对服务管理流程和SMS 的其它组成部分进行整合时接口的步骤。 j) 风险管理和接受风险的准则的步骤。 k) 用于支持SMS 的技术。
l) SMS 和服务的成效需要被度量、报告和改进。 4.5.2.1 策划服务管理
a) IT 服务管理目标:
1) 建立符合ISO20000 国际标准的IT 服务管理体系,有效整合和利用人员、设备和资
11 / 335 版本编号:V1.0
深圳市XXXX有限公司
信息服务管理手册
金等IT 资源。
2) 建立符合ISO20000 国际标准的服务质量管控(QA)体系,提升IT服务品质,提升对IT 用户的支技能力。
3) 建立起“计划-实施-检测—改进”的循环,以IT服务管理团队为驱动力使之正常运转并辅以质量检查,持续改进IT服务和IT 服务管理水平。
b) IT 服务管理的范围:
IT 服务管理的范围包括为达到IT 服务管理目标所需的资源(人员、设备和资金等)和所提供的IT 服务。
1) 人员:包括人员的招聘、培训、资质认证、团队建设等。 2) 设备:包括与IT 服务管理相关的软、硬件等。
3) 资金:包括IT 服务管理过程中相关IT 服务预算与核算活动等。 4) IT 服务:包括IT 服务目标的设定、IT 服务计划的编制、IT 服务的新增和改进等。 c) IT 服务年度计划及服务管理计划:
1)每年年初,体系负责人召集IT 服务管理团队所有成员共同编制公司《年度IT 服务计划》。
2)《年度IT 服务计划》的制定须参考本公司战略策划、年度计划以及上年度IT 服务改进计划等信息。
3)为实现公司年度IT 服务计划,根据服务目录,制定《服务管理计划》须汇总金融服务外包(BPO)、柜员循环存取款系统(TCR)等服务年度服务计划信息,计划内容须包括:IT服务的范围与目的,IT 服务人员、设施、预算等资源需求,IT 服务管理组织和IT 服务的风险管控、IT 服务的质量管理等内容;特定流程的计划应与服务管理计划相一致。该服务管理计划和特定流程的计划,应按照计划的时间间隔进行审核,如果适用,进行更新。
d) IT服务管理组织及其职责。
本公司IT 服务管理团队由体系负责人、IT 服务管理委员会、内审组以及各过程与人员组成。具体角色职责及定义参见《IT 服务管理角色与职责说明》。
本公司IT 服务管理体系定义和实施的过程包括: 1)服务提供过程: a) IT 服务级别管理。
b) IT 连续性和可用性管理。 c) IT 容量管理。 d) IT 安全管理。
e) IT 预算和核算管理。 2)控制、发布过程:
a)IT 配置管理;b)IT 变更与发布管理。 3)解决过程: a)IT 事件管理;。 b)IT 问题管理。 4)关系过程:
a)IT 业务关系管理。
b)IT 供应商管理。在每个过程的过程描述文档中,将对过程的范围、目标、角色职责、活动交互、绩效指标及评价方法进详细的定义。
各过程之间的接口。
过程之间的接口定义和通过接口的信息传递将在过程定义文档中进行详细的描述,在此对IT 服务管理各过程之间的接口简要描述详见(各过程描述图)。本公司IT 服务管理体系以IT 服务级别管理过程为核心,以IT 配置管理为基础,将IT 服务管理体系中的各过程串
12 / 335 版本编号:V1.0
深圳市XXXX有限公司
信息服务管理手册
联起来。IT 服务级别管理过程为多个过程提供输入,各过程也将服务级别协议(SLA )要求的执行情况估为输出返回到IT 服务级别管理过程。
IT 配置管理过程为IT 服务支持过程及部分IT 服务交付过程提供所有需要的配置项及其属性信息,并接受来自IT 变更发布管理对配置信息的修改。 4.5.3 实施运作SMS(D)
本公司将根据服务管理计划,通过设计、转化、交付和提高来实施和运行SMS,包括但不限于以下行为:
a) IT服务的首先须建立起专业的IT服务管理团队,将服务角色和职责进行合理分配,通过内部任命或招聘的方式确保人员到位。
b) 为服务实施准备资金并做好预算分配,须有效管理预算的执行,以确保服务体系能够按步骤的、持续的完成实施。
c) 按照各个过程策划的方针、计划、程序和定义实施服务管理和提供服务管理体系; d) 对IT服务管理团队进行有效管理,设定相关KPI 指标确保过程运行质量,识别并控制IT服务风险。
e) 根据IT服务报告管理过程要求,定期出具IT服务管理体系运行相关报告以对服务管理行为的表现进行监控和汇报。 4.5.4 监控审查SMS(C) 4.5.4.1 概述
本公司建立了内部审核及管理评审控制程序等以及SMS 的有效性和服务效果进行监督和度量。以证实SMS 和各项服务的能力可以实现服务管理目标并达到服务的要求。同时已识别不符合本部分的ISO / IEC 20000 的要求,包括服务提供者或服务要求确定SMS 的要求。 同时应对内部审核和管理评审的结果予以记录,其中包括不符合项,关注以及确定的行动。应将结果和行动通知各利益相关方。 4.5.4.2 内部审计
本公司编制有《内部审核控制程序》明确了审核计划、实施审核,报告结果和保存审计档案的权力和责任,同时公司在计划的时间间隔内进行内部审计,以确保SMS 和服务是否:
a) 履行本ISO / IEC 20000 的规定。
b) 符合服务要求和服务提供者确定的SMS 要求。
c) 得到有效地实施和维护。在编制审计方案时应考虑过程和被审计领域的地位和重要性,以及以往审核的结果。应对审计准则,范围,频率和方法进行记录。审计师的选择和审核的实施应确保其客观性和公正性。审核人员不应审核自己的工作。应对不符合项进行通报,并进行排序和责任分配并采取行动。被审计的该部分负责人须确保任何纠正和纠正措施,不得无故迟延,及时消除不合格项及其成因。后续活动应包括对所采取措施的行为验证和结果报告。本公司IT 服务管理团队须采取方法对IT 服务管理体系的过程加以监控及测量,包括例行检查(管理评审:偏重于查变化---外部变化:法律法规/客户,内部变化:人员变化/组织机构变化(对公司的冲击)、内部审核---偏重于查风险)和日常检查(偏重于查符合/不符合,即合策划检查定期回顾,关注绩效、成果、问题和纠正计划),以确保体系的运行与设计相符,并根据检查结果采取纠正与预防措施,确保各过程目标的达成。 4.5.4.3 管理评审
本公司编制有《管理评审控制程序》对评审策划及实施作了描述。最高管理者应在计划的时间间隔内对SMS和各项服务进复核,以确保其持续的适宜性和有效性。复核需要包括对SMS 开展的必要更改的重要性进行评估,包括服务管理的策略和目标。对管理评审的输入应包括但不限于以下信息:
a) 顾客的反馈。
b) 服务和过程的性能和一致性。
13 / 335 版本编号:V1.0