深圳市XXXX有限公司
信息服务管理手册
c) 现有的和预计的人员、技术、信息和财务资源的水平。 d) 当前和预计的人员和技术能力。 e) 风险。
f) 审计的结果和后续行动。
g) 前期管理复核中得出的结果和后续行动。 h) 预防和纠正措施的状况。
i) 可能影响SMS 和各项服务的变化。 j) 改进机会。
管理评审的记录应予以保留。管理评审的记录应至少包括决策和对有关资源的行动,提高SMS 的效益和改善服务。 4.5.5 持续改进SMS(A) 4.5.5.1 概述
本公司将形成一个对SMS 和各项服务持续改进的策略。该策略应包括改善机会的评价标准。同时本公司已建立《纠正和预防措施控制程序》包括对改进的鉴定、记录、评估、审批、优先级管理、测量和报告的权力和责任。改善机会包括纠正和预防措施,应记录在案。应对已确定的不符合的原因予以纠正。应采取纠正措施以查明并消除不符合的原因,以防止再次发生。应当采取预防措施,以消除潜在不合格的原因,以防止发生。
a)日常检查:在例行的本公司IT内审和IT管理评审之外,本公司IT服务管理团队还须按需开展日常检查来确保IT服务管理体系的持续改进。
b)相关(事件、问题、变更、信息安全、业务关系、连续性、可用性和能力管理)过程需定期(每月/季一次)对本过程运行效果进行总结研讨,针对发现的问题,须提出改进措施并执行。
c)各过程负责人需须定期(每年一次)对本过程执行效果进行总结研讨,必要时对过程文件进行修订、评审和发布。 4.5.5.2 管理改进
改进的机会应被优先考虑。本公司在对持续改进策略的改进机会做决定时,应使用评价标准。对批准的改进内容加以规划。同时应当管理改进的活动,包括但不限于:
a)设置改进目标,包括质量、价值、能力、成本、生产力、资源利用率、风险降低等方面。
b)确保对批准的改进得以实施。
c)在需要时修改服务管理策略、计划、过程和流程。
d)对照设定的目标检查改进完成的情况,对没有实现的目标,采取必要的行动。 e)对改进实施情况予以报告。
f) 本公司IT服务管理团队根据IT服务管理体系检查阶段的结果,采取改进措施不断改善IT服务管理和服务交付,逐步提高IT服务管理和服务交付的效果和效率,内容包括:
1) 根据IT 内审不合格项进行根源分析并加以改进,并根据IT 内审结果决定是否需要对部分服务进行调整。
2) 基于IT 管理评审报告,从满足业务和客户需求出发,进行IT 服务管理调整、改进或升级。
3) 根据体系检查结果进行IT 服务管理过程的优化和改进,包括过程策略的变更、过程接口的变更和角色职责的变更等,如修订IT 服务管理策略、过程、程序和计划等;
4) 通过IT 服务管理委员会会议、定期用户满意度调查和定期客户回访等取得服务相关信息,并对于未能满足服务要求的服务进行改善,并记入《服务改善计划》中。 5设计和转化新的或变更的服务 5.1 概述
14 / 335 版本编号:V1.0
深圳市XXXX有限公司
信息服务管理手册
5.1.1 本公司形成的相应程序将应用于所有新的有可能变更的服务,这对服务和客户将产生重大影响。变更由变更管理策略控制,对于新的或变更的服务的评估、审批、调度和审查范围的变更应当由变更管理流程控制。新的或变更的服务范围的配置项影响应由配置管理流程控制。
5.1.2 公司IT 服务管理委员会应当审查新的或变更合同约定的服务要求以及新的或变更的服务计划,设计和开发新的或变更的服务过程中有关规定给予的规划和设计活动的输出。在此基础上,应当接受或拒绝输出。同时应当采取必要行动,以确保发展和新的或变更的服务可以进行有效的转化,采用公认的输出。注:一个新的服务需求或向服务转变可以来自客户,服务提供者,一个内部组或一个内部供应商,以满足业务需要或改善服务的成效。
5.1.3 营销部门负责与客户沟通,服务部配合,收集客户对现有SLA 的满意度水平。分析、整理客户新的或变更服务的要求,及时反馈客户的改进需求。 5.1.4 当出现新服务或变更服务时,研发部根据《新的或变更的服务设计管理程序》的要求,组织实施服务管理和提供服务策划和实施工作。
5.1.5 研发部组织对新服务或变更服务策划结果的验证、确认,验证通过后按《新的或变更的服务设计管理程序》实施。
5.1.6 研发部应报告新服务或变更服务按计划实施所达到的结果,研发部按《发布和部署管理程序》,执行实施发布评审,比较实际结果与期望结果的一致性。 5.2 新的或变更的服务计划
5.2.1 公司研发部应确定新的或变更的服务的要求。新的或变更的服务应当被规划以符合服务要求。新的或变更的服务的规划应由客户和利益相关方认可。
5.2.2 作为计划的输入,研发部应当考虑到提供新的或变更的服务潜在的财务、组织和技术上的影响。研发部也应考虑到新的或变更的服务对SMS 的潜在影响。 5.2.3 新的或变更的服务的计划应包含或引用包括但不限于以下内容:
a) 设计、开发和转化活动的权力和责任。
b) 活动应当由以下各方履行:服务提供者和包括与服务接口的其它各方。 c) 与各利益相关方沟通。
d) 人员、技术、信息和财务资源。 e) 计划活动的时间表。
f) 对风险的确定,评估和管理。 g) 依赖的其它服务。
h) 新的或变更的服务的测试要求。 i) 服务验收标准。
j) 用可衡量的术语表示提供新的或变更的服务的预期输出。
5.2.4 对于要被删除的服务,研发部应做出服务删除计划。计划应包括删除、归档、处理数据,文件和服务组件的转移的日期。服务组件可以包括基础设施和与应用程序相关的许可证。 5.2.5 研发部应当对那些致力于新的或变更的服务组件条款的各方加以识别鉴定。应当评估其能力以满足服务需求。评价的结果应当予以记录并采取必要的行动。 5.3 设计和开发新的或变更的服务
5.3.1 研发部负责对新的或变更的服务进行设计和文档化时应至少包含以下内容:
a) 交付新的或变更的服务时的权力和责任。
b) 提供新的或变更的服务时服务提供者、客户和其他各方需执行的活动。
c) 新的或变更的人力资源需求,包括对适当的教育、培训、技能和经验的要求。 d) 交付新的或变更的服务时的财政资源需求。
e) 新的或变更的技术来支持提供新的或变更的服务。
f) 新的或改变的计划和策略,要求符合本部分的ISO / IEC 20000。
15 / 335 版本编号:V1.0
深圳市XXXX有限公司
信息服务管理手册
g) 新的或变更合同和其它文件的变化协议,以配合服务变更要求。 h) 对SMS 的变更。
i) 新的或变更的服务水平协议。 j) 对服务目录进行更新。
k) 在交付新的或变更的服务过程中使用的程序、措施和信息。 5.3.2 研发部应当确保设计使新的或变更的服务满足服务要求。 5.3.3 新的或更改服务,应当按照文件化的设计制定。 5.4 新的或变更的服务的转化
5.4.1 研发部应当组织对新的或变更的服务进行测试,以验证它们是否符合服务要求和设计文件。新的或更改的服务应由营销部和有关方面事先约定验收标准。如果服务不符合验收标准,研发部和有关各方应当做出必要的决定和部署的行动。
5.4.2 发布和部署管理过程应用于部署已批准的新的或变更的服务到真实环境。 5.4.3 随着转化活动的完成,服务提供者应当及时向有关方面报告关于对预期成果取得的成效。
6 服务交付过程 6.1 服务水平管理
6.1.1 服务部负责与相关部门沟通,制订公司的《服务目录》。服务目录应定义所有服务,并包含服务名称、服务目标或标准、联系接口、服务提供时间和例外、安全方面的考虑和安排。
6.1.2 《服务目录》是公司所提供的服务内容的汇总,公司与客户签署SLA 时应参考《服务目录》。
6.1.3 公司应该根据当前的服务能力对《服务目录》进行更新与维护。
6.1.4 根据公司的战略策划、资源要求及客户需求,服务部在与营销中心和其他相关部门沟通、确定SLA 时,应考虑:可接受持续损失服务的最大周期、可接受降级服务的最大周期,服务恢复时,可接受降级服务级别。
6.1.5 营销部代表客户,与服务部签订《服务级别协议》应明确:服务要求和期望服务工作量特征的协议、服务目标协议、服务级别实现、工作量的测量和报告,以及服务目标不能完成的分析与说明。
6.1.6 服务部应依据与客户签订的SLA 以及《供应商管理程序》的要求,组织签署与供应商之间的支持合同(或协议),并应由相关方定期评审。 6.1.7 当出现重要业务变更时,营销部应及时与研发部部沟通,按原过程重新组织相关部门,调整、修订《服务级别协议》,并作为服务改进计划的输入。 6.2 服务报告
6.2.1 服务部应就向客户提交的服务报告的内容、报告周期与客户协商并达成一致。
6.2.2 服务部拟制内部服务报告,对计划间隔内的客户服务状况、问题趋势、服务数据、SLA 目标实现等进行汇总、统计和分析,组织召开月度服务质量分析会议,形成会议纪要后发放。 6.2.2.1 服务报告主要包括的内容:执行服务级别目标的绩效,违反SLA、安全管理要求等的不符合项和结论、工作量特征,如能力、资源利用、报告主要事件、变更、定期趋势信息、客户满意度分析。
6.2.2.2 服务报告应及时、清晰、可靠和简明,便于分析、决策和有效沟通。
6.2.3 当出现有关IT 服务系统配置项的变更时,服务部应按《变更管理程序》的要求执行。 6.3 服务连续性和可用性管理 6.3.1 服务连续性和可用性需求
6.3.1.1 服务部应当评估和记录服务的连续性和服务可用性的风险。并确定并与客户和有关各方就服务的连续性和可用性要求达成一致。同时应对业务计划的适用性、服务要求、SLA 和
16 / 335 版本编号:V1.0
深圳市XXXX有限公司
信息服务管理手册
风险予以考虑。与客户纸定的服务连续性和可用性要求致少包括:
a) 获得服务的权利。 b) 服务响应时间。
c) 点对点服务的可用性。
6.3.1.2 服务部应按照《服务连续性和可用性管理程序》的要求,拟制服务《连续性和可用性计划》,根据客户业务优先级、服务级别协议和评估的风险,按设计的工作量计划维护有效的服务能力,并与《服务级别协议》的目标保持一致。应考虑:
a) IT 服务连续性和可用性计划考虑可用性的要求和目标以及对服务和系统组成的关系。
b) 应清晰的分配调用IT服务连续性和可用性计划的责任,并清晰的计划对每个目标采取措施的责任。
c)备份服务恢复所需的数据、文件、软件、任何设备和必要员工,在重大服务失败或灾难时,保持快速有效。
d)在远程的安全地点,所有IT 服务连续性和可用性文件应存储和维护至少一份,与其他必要的设备保存在一起。
e)当不能正常进入服务位置时,可获得服务的连续性计划,联系人名单和CMDB; f)针对服务的连续性计划和可行性计划的变化需求,服务部应组织相关部门评估其影响。
6.3.2 服务的连续性和可用性的监控和测试
6.3.2.1 定期开展IT 服务连续性计划的测试。使员工理解调用、执行计划的角色与职责,并能访问IT 服务连续性文件。
6.3.2.2 服务部每年末组织对服务《连续性和可用性计划》进行评审,并根据业务需求的变化及时调整计划的内容和目标,确保从普通到重大服务失效的任何环境下都能满足与客户协商的要求。
6.3.2.3 当业务环境发生重大变化时,服务部应重新组织评审、修订服务《连续性和可用性计划》。并通过能力管理和配置管理活动,评价所有服务组成的有效性,预知可能的、潜在的问题,并采取预防措施。
6.3.2.4 对服务《连续性和可用性计划》中内容和目标的变更,服务部应及时组织相关部门按《变更管理程序》的要求进行评估、验证和确认,确保变更的效果及满足SLA 的要求。 6.3.2.5 服务部应定期对可用性信息进行测量和记录,应对计划之外的不可用性进行被调查、评估,并采取适当的纠正或预防措施。可用性活动包括:
a) 监控和记录服务的可用性、服务准确的历史数据。
b) 与SLA 中定义需求相比较,以识别不符合SLA 有效目标的事项。 c) 记录不符合项,并组织评审。 d) 考虑、评估供应商的影响。 e) 预计未来的可用性。 6.4 服务的预算和核算
6.4.1 服务的预算和核算过程与其它财务管理流程之间应有的接口。 6.4.2 应当有以下内容的策略和书面流程:
a) 应对支出进行预算,以便开展有效的财务控制和为决策制定提供服务。 b) 服务提供者应当监测和报告预算的支出,审查财务预算,从而管理成本。
注:许多服务提供者对服务费进行记账。对预算编制和核算范围的服务过程中不包括赊账。
6.4.3 服务部应根据国家的有关法律法规和财务政策,以及公司的业务策略(包括产品策略、销售策略、服务策略等),组织拟制、审核本部门的总体性和阶段性的IT 服务费用预算及成
17 / 335 版本编号:V1.0
深圳市XXXX有限公司
信息服务管理手册
本标准。
6.4.3.1 服务组件的预算和核算应至少包括;
a) 资产-包括用于提供服务的许可证。 b) 共享资源。 c) 管理费用。
d) 资本和运营开支。 e) 外部提供的服务; f) 人员,设施。
g) 将间接成本和直接成本分配给各项服务,为每个服务提供一个整体成本。 h) 有效的财务控制和审批。
6.4.4 服务部根据公司业务发展战略、公司现有的SLA 要求,及本部门业务的特点,按部门工作计划的内容,组织拟制本部门阶段性的费用预算计划,经财务部汇总、报批后实施。 6.4.5 在预算期间出现的服务变更引起的预算变化,相关部门应按变更管理流程的要求执行预算变更申请。
6.4.6 在对《服务级别协议》进行评审时,服务部应根据公司策略,评估实现服务目标和需求的成本,并根据确定的服务级别协议跟踪成本的变化。
6.4.7 服务部应根据预算跟踪财务变化,并对超出预算要求的变化,提前向相关部门提出预警信号。
6.5 容量管理
6.5.1 服务部负责现有IT 服务系统能力水平的策划,根据《容量管理程序》的要求,制订《容量计划》,应在计划中描述业务需求,应包括:
a) 现行的和预计的服务需求。
b) 协议要求对可用性,服务的连续性和服务级别的预期影响。 c) 升级服务容量的时间范围、阀值和成本。 d) 法律、法规、合同或组织变更的潜在影响。 e) 新技术,新工艺的潜在影响。
f) 能够进行预测分析的程序,或它们的引用。
g) 人员能力、技术可行性、信息和为达到SLA 所要求的服务级别目标和业务需求所应具备的条件。
6.5.2 服务部应当与客户和有关方面确定并认同容量和性能要求, 当出现临时的新增或变更服务引起容量计划需要进行变更时应通过变更管理过程来控制。
6.5.3 服务部应当监测容量的使用,分析容量数据并优化性能。该服务提供者应提供足够的能力以完成协议容量和性能要求。 6.6 信息安全管理 6.6.1 信息安全策略
6.6.1.1 本公司制定有《信息安全管理程序》,描述相关风险的控制,及运行和维护控制的方式。
6.6.1.2 考虑到服务的要求和法律法规要求和合同义务,指派有相应的安全负责人以管理审批信息安全策略。安全负责人应具备以下方面的职责:
a) 与服务提供者、客户和供应商相关人员沟通信息安全策略,以及遵守该策略的重要性。
b) 确保信息安全管理目标的完成。
c) 明确管理信息安全风险所采取的方法和接受风险的准则。 d) 确保信息安全风险评估是在计划的时间间隔进行的。 e) 确保信息安全内审的进行。
18 / 335 版本编号:V1.0