最新原创ISO20000-2018信息服务管理体系手册程序文件作业规范 下载本文

深圳市XXXX有限公司

信息服务管理手册

f) 确保对审核结果进行评审,以确定改进的机会。 6.6.2 信息安全控制措施

6.6.2.1 根据公司业务及SLA 要求,服务部组织制订信息安全管理策略、目标,并负责识别、分类信息安全资产,并对信息安全资产实施和操作物理的、管理的和技术的信息安全控制措施进行以便:

a) 保证信息资产的保密性,完整性和可用性。 b) 满足信息安全策略的要求。 c) 实现信息安全管理目标。 d) 管理信息安全的相关风险。

6.6.2.2 对这些信息安全控制应作记录,并说明与控制相关的操作和维护的风险。包括:

a) 提供服务所需要的信息安全资产目录。

b) 根据信息安全资产对服务的重要性以及所要求的保护级别对信息安全资产进行分类,并指派相应的安全负责人。

c) 对信息安全资产实施安全风险评估,并应考虑以下因素。 d) 特性(例如软件漏洞、运行错误、通信失败)。 e) 发生的可能性。 f) 潜在的业务影响。

g) 信息安全政策目标,满足客户特定安全需要以及所采用的法规条例。 h) 历史经验。

6.6.2.3 服务部应当复审信息安全控制的有效性,采取必要的行动并对所采取的行动进行报告。

6.6.2.4 服务部应当具有识别那些需要访问,使用或管理信息和服务的外部组织,并对这些外部组织进行归档,协商并实施信息安全控制。 6.6.3 信息安全的变更和事件

6.6.3.1 在服务变更实施之前,服务部应组织相关部门按照《变更管理程序》的要求评估对信息安全影响,同时每季度对信息进行汇总、分析,评审并识改进机会,拟制《信息安全评估报告》。

6.6.3.2 主要包含:

a) 信息安全策略的有效性。 b) 信息安全事件的趋势。 c) 改进服务的计划。

d) 信息、资产和系统的访问控制。 6.6.3.3 以确定:

a) 新的或变更的信息安全风险。

b) 对现有的信息安全策略和控制的潜在影响。

6.6.3.4 信息安全事件应使用事件管理流程管理,其优先级信息安全风险相适应。 7 关系过程

7.1 业务关系管理

7.1.1 营销部应当建立目录包括所有客户、用户和各利益相关方,并对于每一个客户应当指定专人负责管理客户关系管理和客户满意度。

7.1.2 营销部按照《业务关系管理程序》要求,牵头并定期组织销售部门,开展服务管理评价活动,讨论、汇报服务范围、SLA、合同或业务需求的变化,及性能、成绩、结果和措施计划,形成会议纪要。 7.1.3 当服务目标、服务需求、支持合同、业务等发生新增、变更或撤销时,研发部应按《新的或变更的服务设计管理程序》的要求,提出并评估服务范围和SLA 的改进方案,由服务部

19 / 335 版本编号:V1.0

深圳市XXXX有限公司

信息服务管理手册

组织实施。

7.1.4 营销部与客户建立有效的互动、沟通关系,以便及时了解客户的需求或重大变更,并依据需求进行响应。根据《业务关系管理程序》,定义、收集、分析客户满意度数据和信息,监控客户满意度的趋势。

7.1.5 营销部根据《业务关系管理程序》中的客户投诉管理过程,负责收集、统计、分析客户投诉的记录,识别投诉的发展趋势和存在问题,确保服务的连续性目标的实现。同时联络客户在计划的时间间隔复审服务的表现。 7.2 供应商管理

7.2.1 服务部按《供应商管理程序》的要求,指定专人管理与供应商的关系、合同和绩效。并对供应商提供的IT 服务的过程进行管理,完善供应商管理制度和采购规范,建立和维护公司《合格IT 供应商名单》,并确保:

a) 供应商了解其对本公司承担的责任。

b) 服务要求满足协议约定的服务级别和范围。 c) 管理变更。

d) 记录与相关各相关方的业务交流。

e) 了解所有供应商的业绩并采取相应改进措施。

7.2.2 服务部负责组织相关部门对供应商提供服务的所满足的需求、范围、服务级别、接口和沟通过程等进行评审并达成一致,按公司正式授权,组织签署与供应商之间的支持合同或供货协议。主要包含以下内容:

a) 供应商提供的服务范围。

b) 服务、流程和各方之间的依赖关系。 c) 供应商必须满足的要求。 d) 服务目标。

e) 供应商在与其它各方在服务管理过程中的接口。 f) 在SMS 中供应商的所有行为。 g) 工作量特点。

h) 合同的例外情况,以及将如何处理这些情况。 i) 服务提供者和供应商的权力和责任。 j) 由供应商提供的报告和信息。 k) 收费的依据。

l) 预计终止或提前终止合同,及将服务转让给第三方时的行为和责任。 7.2.3 服务部负责拟制公司《合格IT 供应商名单》,并负责《合格IT 供应商名单》的维护和管理。

7.2.4 当公司与供应商的支持合同或供货协议需要修订或变更时,服务部应重新组织相关部门进行合同评审,在评审中应讨论和明确对本公司SLA 影响和变更,并按照《变更管理程序》的要求实施。

7.2.5 服务部按《供应商管理程序》的要求,对公司合格供应商进行年度评审,监督、记录供应商对本公司SLA的落实情况,将评定的结果及时反馈给相关供应商,并组织进行相关调整和改进。

7.2.6 服务部应组织管理与供应商之间的合同冲突,并在支持合同或供货协议中明确。如果争议无法通过正常途径解决时,应交由更高级别的解决途径。

7.2.7 服务部应确保所有合同冲突被记录、调查、解决并正式关闭。 8 解决过程

8.1 事件和服务请求管理

8.1.1 服务部服务台按照事件定义文件及《事件管理程序》的要求,根据事件的影响和紧急

20 / 335 版本编号:V1.0

深圳市XXXX有限公司

信息服务管理手册

程度确定事件处理优先级别,并基于优先级别确定解决事件的目标。其中应包括:

a) 接收请求、记录、优先级分配、分类。 b) 一线事件解决或转移。 c) 考虑安全事件。

d) 事件跟踪和生命周期管理。 e) 一线客户联系。 f) 事件升级。

g) 事件解决、验证和关闭。

8.1.2 事件报告方式包括电话、拜访、传真或者电子邮件,所有事件应在服务台正式记录,并可检索和分析。

8.1.3 服务部对升级的事件提供解决方案,协助服务台关闭事件。

8.1.4 服务部负责对升级的技术问题提供处理事件的技术支持,协助服务台解决未知错误。 8.1.5 服务部组织建立事件知识库,以确保服务台人员可访问经常更新的知识库。知识库中包括技术专家、以前事件、相关问题、已知错误、配置管理数据库(CMDB)、检查清单等有助于恢复服务的各种信息。

8.1.6 对重大事件的处理,服务部按相关要求执行。

8.1.7 服务部应在证实事件已经解决并且服务已经恢复的时候,事件才能最终关闭。 8.2 问题管理

8.2.1 服务部根据《问题管理程序》对问题原因的预先识别、分析、管理直至关闭,以减少对业务的影响。对问题过程应确定以下方面内容:

a) 确定问题。 b) 记录问题。 c) 优先顺序分配。 d) 分类。 e) 更新记录。 f) 升级。 g) 解决。 h) 关闭。

8.2.2 服务部根据日常检查、测试、事故数量和类型的趋势分析等纠正措施,识别潜在问题、确定其根本原因和其潜在的预防措施。所有被识别的问题都应该得到记录。

8.2.3 在问题得到解决后,服务部将相关信息应加入问题知识库,服务部同时应升级所有相关文件,如用户指南和系统文件。应对该问题解决的有效性进行监测,复审和报告。

8.2.4 记录对服务或问题管理过程的改进,并作为服务改进计划的输入,同时最新的已知的错误和问题解决方案应提供给事件管理和服务请求管理流程。 9 控制过程 9.1 配置管理

9.1.1 服务部应根据《配置管理程序》的要求,评估所有与IT 服务相关的重要资产和配置项,识别、定义、维护IT 服务和基础设施的组件,明确配置项之间的关系、属性和作用,定义命名规范、版本号,制订和实施《配置项分类定义表》,以确保有效管理IT 资产和配置。 9.1.2 每个配置项均有唯一标识,并记录在CMDB 中,同时每个配置项记录的信息记录应包括:

a) 配置项的说明。

b) 配置项和其它配置项之间的关系。 c) 配置项和服务组件之间的关系。 d) 状态。

21 / 335 版本编号:V1.0

深圳市XXXX有限公司

信息服务管理手册

e) 版本。 f) 位置。

g) 有关更改请求。

h) 相关的问题和已知错误。

9.1.3 被管理的配置项主要包括:信息系统和软件(包括第三方软件)的发布、相关系统文档、例如要求规范、设计、测试报告、发布文档、每个应用环境配置基线、或描述应用环境、标准硬件组成和发布、备份和电子资料库、如最终软件库(DSL)、配置管理包或工具、许可证、安全组件、如防火墙、服务相关文档、例如服务级别协议、活动程序、务支持设施、例如机房电源。

9.1.4 综合管理部根据配置项之间的关系、属性、状态类别、重要程度和优先级,确定配置管理数据库的范围、分解的层数、详细的程度,完成配置管理数据库的构建。 9.1.5 综合管理部制订《配置管理计划》,并每年末进行更新。主要包括:配置管理的范围、目标、策略、标准角色和责任、配置管理过程定义服务和基础设施中配置项,配置控制变更,记录和报告配置项情况,证实配置项的完整性和正确性责任、可检索、可审计的要求,如出于安全、法律、规章或业务目的、配置控制(访问、保护、版本、开发、发布控制)、交互控制过程,及信息接口和发布、资源管理策划和建立,以便使资产和配置受控,并维持配置管理系统,如培训活动、与配置相关的供应商管理要求和活动。

9.1.6 综合管理部在配置管理过程中应监控配置项的整个生命周期,确保只有被授权且可识别的配置项才被接受,并记录从接受到销毁的全过程;没有被认可的变更请求,不能添加、修改、替换或删除配置项。

9.1.7 综合管理部应保存有效的配置记录,以反映配置项状态、位置和版本的变化,并通过各种状态监控配置项的变更,例如订购、接收、测试、使用、变更、拆卸、取消。配置项的更新信息应作为配置管理计划和变更管理的输入。

9.1.8 为保护系统、服务和基础设施的完整性和安全性,配置项信息应被保存在一个安全环境。应:保护其不受未授权访问、变更或破坏、提供灾害后恢复方法、对受控软件、测试产品和支持文档等备份的恢复进行限制。

9.1.9 配置评审程序应包含缺陷记录、执行纠正措施和报告结果。 9.1.10 综合管理部应定期填写《配置项管理记录》,包括:配置项最新版本、配置项的位置和软件主要版本的位置、相互依赖关系、版本历史。在任何时候都可核对配置项以下内容:服务配置项或系统、变更、基准线、开发或发布、版本或变量。

9.1.11 综合管理部应定期组织相关部门实施配置认可和审核活动,并检查是否有充分的资源以支持:保护物理配置和公司的知识资本、确保公司控制其配置、原件和许可证、确保配置信息是准确、可控、可见。

9.1.12 综合管理部应确保变更、发布、系统或环境符合其合同约定或事先约定的要求且配置记录是准确的。

9.1.13 在审核中出现的缺陷或不符合项应被记录、评估和改进。 9.2 变更管理

9.2.1 综合管理部根据公司业务需要或客户需求,制订《变更计划》。应考虑:清晰定义变更的范围、在变更管理控制下的配置项、使业务增值的变更才能被认可,例如商业的、法律的、规章的、法令的、根据优先级和风险为变更安排时间、在变更实施中验证配置项变更、需要时监控并改进变更实施时间。

9.2.2 综合管理部在组织开展变更时,还应在变更计划中对具体实施进行说明:发起、记录和分类、评估变更对服务、客户和发布计划的影响、紧急程度、成本、收益和风险、如果没有成功时可以恢复或修订、备案,如变更请求与受影响的配置项、更新后的实施和发布计划版本、根据变更的类型、大小和风险,得到变更负责方的认可或拒绝、由负责变更组件的团

22 / 335 版本编号:V1.0

深圳市XXXX有限公司

信息服务管理手册

队负责人进行实施、测试、验证、取消、结束和评审、时间安排、监控和报告、与事件、问题、其它变更和配置项记录联系。

9.2.3 综合管理部应将变更计划安排的时间信息及时提供给与变更有关的人员,变更状态和安排的实施时间应作为变更和发布时间安排的依据。

9.2.4 综合管理部应在变更实施后组织对其效果和改进记录进行评审,评审结果应妥善保管并作为服务改进计划的输入。实施后评审应检查:变更是否满足目标、客户对结果是否满意、没有预期之外的负面影响。

9.2.5 综合管理部应在《变更计划》中考虑紧急变更的要求,识别紧急变更的需求、风险和必要性,定义紧急变更的内容、范围、级别、权限、接口、活动等,并在变更后评审。 9.2.6 综合管理部应对变更分析结果和结论采取相应的纠正、预防措施,并保存相关的记录。 9.3 发布和部署管理

9.3.1 综合管理部根据《变更管理程序》的要求,结合业务对信息系统、基础设施、服务和文档等进行策划,识别发布的内容、种类、层次、影响等,制订发布策略来配置发布活动,包括:发布频度和类型、发布管理的角色和责任、发布测试和实施的授权、所有发布的唯一标识和描述、分组变更以进行版本发布、为提高效率和可重复性,建立、安装、发布分发过程自动化方法、发布的验证和接受。

9.3.2 综合管理部根据需要负责制订《发布计划》,确保相关的信息系统、基础设施、服务和文档得到认可、授权、预定、协调和跟踪。一般包括:发布日期和交付描述、本次发布关闭或解决的相关变更、问题和已知错误,以及在发布测试期间被识别的已知错误、在可行的情况下,为每个实施地点制订一份活动计划、如发布失败,可以被撤销或修复的方式、验证和验收过程、对客户和服务支持人员的交流、准备、备案和培训、采购、存储、分发、联系、接受和销毁商品的后勤工作和过程、确保服务级别所需的支持资源、可能对发布测试和实施造成影响的相关变更和风险的标识、与相关人员、客户代表安排的更新、评审会议。

9.3.3 当进行重大升级时,服务部组织安排仿真环境的验证和评审,确保发布进入生产时与预期状态一致。发布的结果包括发布通告、安装指南、基于相关配置基准线的已安装软硬件等。

9.3.4 综合管理部按《发布计划》的安排,组织上线实施工作。并及时向服务部反馈上线成功的验证信息。如果发布未成功,则应按《发布计划》中制订的撤销计划的内容,实施回退操作,并将发布情况及时报告服务部。

9.3.5 综合管理部对发布未成功的原因进行确认,如需重新实施变更,则按《变更管理程序》的要求执行。如属潜在问题引起的发布未成功,则应按《问题管理程序》的要求执行。 9.3.6 发布成功后,综合管理部应及时将发布信息对配置管理数据库进行更新,并对事件、问题知识库进行更新。

9.3.7 综合管理部负责发布文档的保存。并负责上线文档的保存。

9.3.8 综合管理组织对IT 服务系统的运行监控,收集系统运行信息,完成《月度服务质量分析报告》。

23 / 335 版本编号:V1.0