IT服务管理体系管理手册.docx

服务管理体系手册 文件编号： 修订状态：A/0服务管理体系手册 文件版本： A 受控状态：发布实施日期：2015- 09 -28 密级：内部公开XXXX文档修改记录序号版本号修改页码及章节修改日期修改人批准人1A/0新建目录0.概述10.1手册管理10.2发布令20.3公司简介30.4管理者代表任命书40.5引用标准51.目的及适用范围61.1目的61.2IT服务管理方针61.3IT服务管理目标61.4范围61.5IT服务相关职责72.术语和定义113.管理体系要求123.1管理职责123.2其他方运行过程的治理133.3文件管理133.4资源管理134.服务管理的策划与实施154.1服务管理的策划（计划）154.2实施服务管理并提供服务（实施）164.3监视、测量和评审（检查）174.4持续改进（改进）184.4.1策略184.4.2管理改进184.4.3改进活动185.设计和转换新的或变更的服务196.服务交付过程206.1服务等级管理206.2服务报告206.3服务连续性及可用性管理216.4IT服务的预算及核算管理216.5能力管理226.6信息安全管理227.关系过程247.1业务关系管理247.2供应商管理248.解决过程258.1事件和服务请求管理258.2问题管理269.控制过程279.1配置管理279.2变更管理279.3发布和部署管理28附件1：程序文件清单30附件2：职责分配表31310. 概述0.1 手册管理a） 本手册由管理者代表审核、总裁批准发布实施；b） 本手册适用于XXXX所有与IT服务业务有关的部门和员工；c） 本手册分为“受控”和“不受控”两类；d） “受控”版本是现行有效版本，随XX内外环境的变化而修订。e） “不受控”版本是参考版本，一般不作修订，主要用于XX宣传介绍、顾客需要时。f） XX每年通过管理评审评价IT服务管理体系的适宜性、充分性、有效性，以确定本手册是否需要进行修订；g） 本手册每换一版,版本号增加1。每修订一次，修订状态号增加1，当出现大的修订时，调整大版本号标识，由A依次调整为B、C。h） 本手册版本号：VA/0。发布时间：2015年9月20日编 制： 审 核：批 准： 0.2 发布令IT服务管理手册是依据ISO/IEC 20000-1：2011 信息技术服务管理服务管理体系要求国际标准制定的，是XXXXIT服务管理体系的基本纲领性文件。本手册对XX的IT服务管理方针、目标作出了规定，阐述了XXIT服务管理的角色和职责，以及在各类IT服务管理工作中所必须遵守的基本方针和原则。 IT服务管理手册是IT服务管理体系的基本准则，如有与IT服务管理手册冲突的其它文件，以本手册为准。IT服务管理手册同时代表了XX对顾客的承诺。本手册自2015年9月20日起发布实施，公司所有员工必须遵照执行。 批准人： 2015年9月20日0.3 公司简介【简介内容】0.4 管理者代表任命书 兹任命 XX 副总裁为XXXX管理者代表，负责建立、实施和保持本公司的IT服务管理体系，并进行相关的管理工作。保证本公司的IT服务管理体系有效运行，不断地改进提高。 总总裁： 2015年9月20日0.5 引用标准a) ISO/IEC 20000-1：2011信息技术服务管理Part 1: 服务管理体系要求b) ISO/IEC 20000-2：2012信息技术服务管理Part 2: 服务管理体系应用指南1. 目的及适用范围1.1 目的本手册依据ISO/IEC 20000-1：2011信息技术服务管理Part 1: 服务管理体系要求和公司的IT服务业务实际情况相结合编制而成，旨在规定XX的IT服务管理体系的要求。本手册描述了公司IT服务部门为达到高质量IT服务所采用的IT服务管理框架，其直接目的是：a） 公司IT服务部门承诺为客户提供高质量的IT服务；b） 通过体系的建立、实施和持续改进，提高客户的满意度。1.2 IT服务管理方针IT服务管理方针是由总裁发布的公司总的IT服务管理宗旨和方向，面向公司全体员工发布。XX的IT服务管理方针是：1.3 IT服务管理目标见公司服务管理目标管理计划1.4 范围a） 本手册之规定适用于公司所有和IT服务业务有关的部门和人员；具体涉及部门及角色见IT服务管理组织结构图；b） 涉及的场地范围为：XX；c） 涉及的业务范围为：IT信息系统的运维服务。d） 本手册规定了公司IT服务管理体系的要求，确定了IT服务管理方针、IT服务管理目标和流程，是公司与IT服务管理体系运行相关的部门和人员必须共同遵守的基本法规。e） 公司IT服务管理体系包括ISO/IEC 20000-1：2011标准要求的全部内容，不做删减。公司IT服务管理管理体系组织结构【组织结构图】1.5 IT服务相关职责l 总裁Ø 对建立、实施工作体系并持续改进其有效性的管理承诺提供证据；Ø 向公司传达满足客户和法律法规要求的重要性；Ø 制定公司战略规划、服务管理方针及服务管理目标；Ø 组织每年进行管理评审；Ø 确保为服务管理体系的有效运行配备必要的资源；Ø 确保客户需求得到满足；Ø 通过确定公司组织架构，确保组织内的职责、权限得到规定和沟通。l 管理者代表Ø 负责建立、实施和保持公司的IT服务管理体系，并进行相关的管理工作；Ø 分配权限和职责，确保依据服务管理的方针和目标设计、实施和提高服务管理过程；Ø 制定必要的服务改进计划和程序，采取纠正和预防措施以满足IT服务管理体系的持续改；Ø 定期进行服务改进评审并适时召开特别会议；Ø 保证公司的IT服务管理体系有效运行，不断地改进提高；Ø 向组织传达满足服务管理目标和持续改进的重要性；Ø 指导公司IT服务管理流程的运行，并评审流程的适宜性；Ø 向总裁报告目标和方针的建立和实现情况。l XX部Ø 参与公司运维业务的市场需求分析、业务拓展计划拟订和市场推广工作；Ø 负责拟制IT服务管理相关服务计划并执行；Ø 负责组织制定公司服务手册、服务目录；Ø 负责运维业务相关解决方案的策划、制订和售前支持工作；Ø 协助推动运维业务相关商务合作关系的建立；Ø 负责组织进行考试平台的应用开发，拟订项目计划，进行设计开发，跟踪项目进度，控制项目成本及质量等；Ø 运维服务：负责各业务系统的日常运维工作，主要职责如下：1） 按照与客户签订的技术协议开展日常一、二、三线运维工作;2） 收到客户投诉，第一时间告知运维管理专员，并积极配合运维管理专员减少突发事件对业务的影响；提高事件响应速度，缩短事件解决时间；3） 收集整理用户问题、需求解决方案，记录各系统运维常态问题，建立运维知识库。4） 运维项目经理按期编制工作汇报发送至客户及公司运维管理专员，对当期整体运维工作情况做汇报（问题数、及时率、完成率、遗留率）。l 人力资源部Ø 负责制定并完善公司人力资源管理体系，编制所需人力资源管理程序文件及工作标准，组织推动和督导实施。Ø 参与公司组织结构设计，组织开展职位分析及评价，定编定员管理；Ø 负责组织公司核心能力识别及任职资格评价管理等。Ø 负责招聘渠道开发及维护，招聘过程组织及管理，选拔及测评工具开发，人员配置等。Ø 负责公司员工培训计划的制定及管理，培训课程设计及开发，培训组织及激励，培训效果评估等。Ø 负责组织公司员工绩效管理系统的实施，汇总分析绩效结果并应用。Ø 负责员工薪酬及激励管理体系设计，组织开展薪酬调研及分析，组织开展定薪及调整管理，负责员工薪酬拟定及核算，负责人工成本分析及管理，负责福利方案制定及实施。负责公司员工福利计划的制定并组织实施。 Ø 负责员工劳动关系的建立和维护，人事关系转移、档案维护，劳动争议的处理及风险控制，离职管理等。负责员工考勤管理，负责员工信息管理、维护及分析。l XX部Ø 负责公司服务管理体系文件的总归口管理；负责ISO20000服务管理体系的运行；Ø 软硬件产品开发过程监控与测试；Ø 开发技术考核；产品生产过程监控与测试；Ø 售后服务、项目实施等项工作的质量监督；Ø 负责配合相关部门做好产品服务或技术支持；Ø 负责依据管理评审报告，对本公司管理体系的整体结构和有关的管理体系文件提出改进设想，经管理者代表审核，总裁批准后及时更改；Ø 负责所有受控文件（包括管理体系文件和技术文件）和资料的管理和控制；Ø 负责将本公司所有与管理体系运行有关的记录进行收集汇总，形成记录的原始样本，并编制记录总清单，负责保存与内审有关的记录；Ø 相关制度的制定。l XX部Ø 计算机设备、网络设备、耗材等物品的采购与销售；Ø 固定资产采购与维护；Ø 负责编制采购计划，并负责原材料、辅助材料的采购；Ø 负责采购物资不合格品的处置；Ø 供方的管理:拓展采购渠道,供方的选择,按计划进行供方入围招标工作，供方的业绩评定等工作；Ø 负责公司文件、行政规章制度和管理规范的起草、制定，及文件的归档和管理；Ø 负责公司会议的组织与落实；Ø 负责公司安全管理（包括水、电等），监督检查安全防范工作的落实情况，及时发现和消除各种安全隐患，并予以处置或上报； Ø 负责组织办公设施（主要为电话机、传真机、复印机、办公家具、厂房及宿舍等）的维修；Ø 相关制度的制定。l 财务部Ø 负责年度财务预算目标的编制及平衡；根据公司年度的经营目标编制财务预算报告；按业务分解落实收入、成本、利润、回款指标，保证预算目标的完成。编制部门成本、项目成本费用预算，进行控制、监督。Ø 负责税务管理；Ø 负责财务分析、财务报告的编制。l 市场部Ø 负责公司市场分析、市场推广、市场宣传工作和大客户关系维护及全过程跟踪工作；负责收集和分析客户项目信息，拟定分析评估报告；Ø 负责公司营销区域布点和各营销区域的协调管理工作；负责与项目部门的衔接和协同工作。Ø 负责公司相关行业政策法规、产业信息、集中招标等信息的收集整理和反馈；Ø 负责进行客户关系维护、项目/问题反馈处理、服务质量监督，协助项目部门进行项目跟踪及合同洽谈，工作职责如下：1） 客户关系维护负责与关键用户直接对口沟通, 了解客户整体运维投入、年度运维计划及项目概况帮助项目部门开展市场工作,进行客户中、高层关系维护，并配合项目部门做基层关系维护，协助用户开展运维服务满意度调查。2） 运维业务考评与项目部门直接对口沟通，对运维工作情况实时跟踪。协助项目部门提升运维指标，客观、全面、公正的评价运维人员的工作。3） 投诉处理当产生对运维工作不满的投诉时，组织相关人员进行处理。2. 术语和定义本手册采用ISO/IEC 20000-1：2011信息技术服务管理Part 1: 服务管理体系要求中的术语和定义。3. 管理体系要求3.1 管理职责3.1.1管理承诺最高管理者应通过领导并采取措施，对其策划、建设、实施、运行、监控、评审、维护和改进IT服务管理体系和服务并满足顾客要求的承诺提供证据。管理者应：a） 建立和沟通服务管理的范围、方针、目标；b） 确保服务管理计划的创建、实施和维护，以坚持服务方针、实现服务目标和满足服务需求；c） 规定服务管理的职责、权限，并沟通；d） 向组织传达满足服务需求和持续改进的重要性；e） 向组织传达法律法规要求和合同义务的重要性；f） 确保客户要求的确定与满足，旨在增强顾客满意；g） 确保提供充足的资源；h） 制定并评审服务管理方针；IT服务管理方针见1.2；i） 授权多个管理者负责所有服务管理流程的协调与执行；j） 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如调配合适的人员，管理人员的更新；k） 管理IT服务管理体系组织和服务的风险；l） 按计划的时间间隔进行IT服务管理评审，以确保其持续的适宜性、充分性和有效性。IT服务管理评审过程参见流程文件管理评审程序。3.1.2权限、职责和沟通最高管理者应：确保依规定服务管理的职责、权限，并沟通；建立并实施书面的沟通程序。参见流程文件人力资源管理程序和信息沟通管理程序。3.1.3管理者代表管理者代表由总裁制定，负责代替总裁理行使日常IT服务管理职责，具体资助描述参见1.53.2 其他方运行过程的治理公司识别所运行的全部过程，针对内部团体，公司通过确定IT服务管理角色，明确各岗位职责及资格；对公司的客户，公司建立日常维护流程业务关系管理程序和顾客满意度测量控制程序以确保服务需求被满足；对于公司由外部人员运行的服务，公司通过建立供应商管理程序对其进行控制和监督。3.3 文件管理3.3.1文件控制公司应提供文件和记录，以确保IT服务管理的有效策划、运行和控制。文件应包括：a） 文件化的服务管理方针、目标和计划；b） 服务目录文件；c） 文件化的服务等级协议；d） ISO/IEC20000所要求的形成文件的过程和流程；e） 附加的文件，保证IT服务管理体系运行有效和服务交付必要的文件，包括外部来源文件；f） ISO/IEC20000所要求的记录。应建立不同类型文件和记录的编制、评审、批准、保持、销毁和控制的程序和职责。具体文件管理参见流程文件文件和资料控制程序3.3.2记录控制为符合要求和确保服务管理体系有效运行，公司建立记录控制程序，对公司体系运行记录进行控制。3.4 资源管理3.4.1资源提供：应确定和提供以下活动所需的人员、技术、信息和财务资源：a) 建立、实施和维护服务管理体系和服务，并持续改进它们的有效性；b) 通过提供满足服务需求的服务增强客户的满意度。3.4.2人力资源：应定义并保持所有服务管理者的角色和职责以及有效履行这些角色和职责所需的能力。应评审并管理人员的能力和培训需求，以确保他们能够有效履行他们的角色。最高管理者应确保其员工及基层单位信息岗位人员认识到所从事活动的相关性和重要性，以及如何为实现服务管理目标做出贡献。人力资源部每年根据体系要求，评价IT服务管理人员的能力，任命相关岗位，并通过定期培训，不断提高IT服务管理人员的能力和意识，确保IT服务管理体系的正常运作和持续改进。本章节参见流程文件人力资源管理程序、岗位说明书、培训管控制程序。4. 服务管理的策划与实施本体系的建立采用PDCA方法。PDCA描述如下：a) 计划：建立符合客户要求和组织策略的交付结果所需的目标和过程；b) 实施：实施这些过程；c) 检查：根据策略、目标和要求监视并测量这些过程，并报告结果；服务台服务管理管理职责顾客要求实施实施服务管理其他过程，如：业务、供方和顾客d) 改进：采取措施持续改进过程绩效。业务要求业务结果顾客满意策划策划服务管理新/变更服务请求新/变更服务请求改进持续改进其他过程，如：业务、供方和顾客要求团队和人员安全检查监视、测量和评审其他团队：如安全、IT运作PDCA方法在服务管理过程中的应用4.1 服务管理的策划（计划）总裁应指定软件产品研发部人员具体策划服务管理的实施与交付。策划的内容至少应包括以下方面的内容：a) 服务提供商的服务管理的范围；b) 服务管理所要实现的目标和满足的要求；c) 影响服务管理体系的已知限制；d) 方针、标准、法律法规需求和合同义务；e) 将要执行的过程；f) 管理角色和职责的框架，包括高层负责者、过程所有者及供方管理；g) 服务管理过程和活动协调方式之间的接口；h) 在实现既定目标的过程中拟采用的识别、评估和管理问题和风险接受准则所采取的方法；i) 创建或修改服务的项目接口方法；j) 实现既定目标所需的资源、设施和预算；k) 适用的支持过程、技术和工具；l) 管理、审核和改进服务质量的方法。应建立清晰的评审、授权、传达、实施和保持计划的管理指导，并规定文件化的职责。过程负责人负责必要时对各自的过程进行策划，所以计划应与IT服务管理计划相一致。4.2 实施服务管理并提供服务（实施）IT服务管理涉及的公司各部门根据IT服务管理目标和IT服务管理计划，实施IT服务管理并交付服务，内容包括：a) 资金及预算分配；b) 职责、权限和过程角色的分配；c) 记录并保持每一过程或系列过程的方针、计划、程序和定义；d) 识别并管理服务风险；e) 管理团队，即招聘、开发合适的人员以及管理人员的连续性；f) 设施和预算管理；g) 管理团队，包括服务台和运营；h) 监视和报告服务管理活动的绩效；软件产品研发部负责各服务管理过程的总体协调。IT服务管理过程包括如下图各服务过程，具体要求请见第6到9章。IT服务管理过程4.3 监视、测量和评审（检查）IT服务部门采用适宜的方法来监视服务管理过程，并在适当时进行测量。这些方法应证实过程实现所策划的结果的能力。公司每年至少进行一次内部审核和管理评审，以确定服务管理要求是否：a) 符合服务管理计划及本标准的要求；b) 得到有效实施与保持。应策划审核方案，策划时应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果。应在程序中规定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。应记录服务管理评审、评估和审核的目标及发现，以及识别的任何整改措施。与相关方沟通不符合或关注的重要区域。内部审核具体过程参见程序内部审核控制程序。服务管理评审过程参见程序文件管理评审控制程序。4.4 持续改进（改进）4.4.1 策略应具备公开发布的服务改进的方针，应补就任何与标准或服务管理计划的不符合/不合格。应制定书面的流程，包括识别、记录、评估、批评、排定优先级顺序、管理、测量和报告改进的权限和职责。应规定清晰的服务改进活动的角色和职责。 在IT服务管理改进过程中各角色及其职责如下：l IT服务管理者代表：制定必要的服务改进计划和程序，采取纠正和预防措施以满足IT服务管理的持续改进；定期进行服务改进评审并适时召开特别会议；服务管理负责人应确保足够的响应所有评审和审核的改进计划，且计划的改进措施配备了足够的资源；负责授权改进计划。l 软件产品研发部：讨论与改进措施相关的问题。应帮助策划和监控改进。l 各流程管理负责人：负责改进各服务过程的质量；定期评审各过程的不符合和缺失，提出改进建议并根据计划实施改进活动；向管理者代表报告服务改进的相关活动和进展情况。l 内审员：参与实施内部或外部审核。负责识别ITSMS实施和运行中的不符合。4.4.2 管理改进应评估、记录、排定优先顺序并授权所有建议的服务改进。应使用服务改进计划来控制服务改进活动。各服务提供人员应实施过程以识别、测量、报告并管理持续的改进活动。应包括：a) 流程管理经理可使用日常的人力资源来实施单个过程的改进，即实施单个的纠正和预防措施；b) 整个组织或涉及多个过程的改进。4.4.3 改进活动IT服务管理涉及部门应采取下列活动：a) 收集并分析基线数据，调整组织的管理和交付服务管理能力；b) 识别、策划并实施改进；c) 咨询所涉及的所有相关方；d) 设定质量、成本和资源使用方面的改进目标；e) 从服务管理过程的所有方面考虑改进的相关输入；f) 评价、报告并传达服务改进情况；g) 需要时，更新服务管理策略、计划和程序；h) 确保所有的改进措施都被执行，并实现其预期目的。持续改进过程见纠正措施和预防措施控制程序5. 设计和转换新的或变更的服务公司内部发起的或由客户提出的新服务或变更服务在实施前均应进行重新策划。IT服务管理涉及新的或变更服务的方案应考虑由服务交付和管理所导致的成本、组织的、技术的和商业上的影响。新的或变更的服务的实施（包括服务终止），应进行策划并经过正式变更管理批准。策划和实施应包括服务交付和管理所需的资金和资源。计划应包括：a) 设计、开发和转换活动的权限和职责；包括顾客和供方将实施的活动；b) 现有服务管理框架和服务的变更；c) 与相关方沟通；d) 新的或变更的合同和协议以与业务需求的变更保持一致；e) 人力资源及招聘和技术、信息、财务的要求；f) 技能和培训的要求，如用户和技术支持人员；g) 将使用的与新的或变更的服务有关的过程、测量、方法和工具，如容量管理和财务管理；h) 预算和时间表；i) 识别、评估和管理风险；j) 新的或变更的服务的测试要求；k) 服务接收准则；l) 以可测量的术语表示的提供新的或变更的服务而产生的语气结果。在进入现实环境实施之前，新服务或已变更服务应由公司指定的人员进行验收。项目负责人应在实施之后针对策划的内容报告新服务或已变更服务达成的结果。新服务或已变更服务实施后，应通过变更管理过程进行评审，以对实际成果与策划内容进行比较。本章节参见程序文件新服务或变更服务控制程序。6. 服务交付过程6.1 服务等级管理目标：定义、协商、记录并能管理服务等级。所有方面应协商并记录：所提供的服务、相应的服务等级目标以及工作量特性。应在一个或多个服务等级协议（SLAs）中书面规定所约定的服务。所有相关方应协商并记录服务等级协议（SLAs）、支持性服务约定、供方合同和相应的流程。服务等级协议（SLAs）应处于变更管理过程的控制之下。应通过所有相关方定期评审的方式来保持服务等级协议（SLAs），以确保服务等级协议的更新和持续有效。应根据目标来监视并通报服务等级，报告中应展示当前的信息以及发展趋势。应报告并评审不符合的原因。应记录这一过程中所确定的改进措施，并作为服务改进计划的输入。详细过程参加服务级别管理程序。6.2 服务报告目的：为有效沟通和制定决策而及时编制的可靠的、准确的并达成一致的报告。每一服务报告应清晰阐明其标识、目的、目标读者以及数据来源。应编制服务报告以满足确定的需求和客户要求。服务报告应包括：a) 与服务水平目标相比较的业绩；b) 不符合及问题，即违反服务等级协议及安全违规；c) 工作量特征，包括工作量和周期性变化；d) 重大事故的报告，即重大事件或变更；e) 趋势信息；f) 客户满意度分析。应考虑服务报告的发现并据此确定管理决策和纠正措施，并与相关方沟通。详细过程见服务报告控制程序6.3 服务连续性及可用性管理目的：确保在所有情况下都可以实现向顾客承诺的服务连续性和可用性。应基于业务计划、服务等级协议和风险评估来确定可用性及服务连续性要求。要求应包括访问权限、响应时间以及系统组件端对端的可用性。应开发可用性及服务连续性计划，并每年至少评审一次，以确保从正常情况到主要服务失效的所有情况下都可以满足要求。应保持这些计划以确保他们反映约定的、业务所需的变更。当业务环境发生重大变更时，应重新测试可用性及服务连续性计划。变更管理过程应评估变更对可用性及服务连续性计划的影响。应测量并记录可用性。应调查计划之外的不可用并采取适当的措施。注：可行时，应预测潜在的问题并采取预防措施。当正常的办公访问被阻止时，应确保服务连续性计划、合同列表和配置管理数据库的可用性。服务连续性计划应包括返回正常工作状态的内容。应依据业务需求对服务连续性计划进行测试。应记录所有的连续性测试，应在改进措施计划中简述测试失效的情况。详细过程参加可用性管理程序和持续性管理程序。6.4 IT服务的预算及核算管理目的：制定预算并解释服务提供成本。应为下列活动建立清晰的策略和流程：a) 应为所有的组件（包括IT资产、共享资源、企业的一般管理费用、外部提供的服务、人员、保险和许可）制定预算并进行财务管理；b) 分配服务的间接费用和直接成本；c) 有效的财务控制和授权。应制定详细的成本预算，以确保有效的财务控制和决策制定。公司应依据预算来监视并报告成本情况，评审财务预算并相应地进行成本管理；计算服务变更的成本，并经过变更管理过程的批准。详细过程参加IT服务的预算及核算管理程序。6.5 能力管理目的：确保公司在任何时候都有足够的能力以满足与顾客约定的、顾客当前和未来的业务需求。实施能力管理，应编制并保持容量计划。实施容量管理阐述业务需求并包括下列内容：a) 当前和预测的能力和绩效要求；b) 识别服务升级的时间表、限度和成本；c) 评价预期的服务升级、变更请求、关于能力的新技术和方法的影响；d) 预测外部变更的影响，如立法机构；e) 预测分析所需的数据和过程。应确定监视服务能力、协调服务业绩和提供充足能力所需的方法、程序和技术。详细过程参加能力管理程序。6.6 信息安全管理目的：在所有服务活动中有效管理信息安全。经过适当授权的管理者应批准信息安全策略，并传达给所有相关人员，适用时与顾客沟通。公司发布的信息安全策略见ISO27001信息安全管理体系策略文件。为确保公司内部信息安全，应实施适当的安全控制以：a) 实施信息安全策略的要求；b) 管理与服务或系统访问有关的风险。控制措施应形成文件，阐述相关的风险以及控制措施的运营和保持方式。在实施变更前，应评估控制措施变更的影响。有些组织可以访问信息系统和服务。有关这些组织的安排应基于正式的协议，协议中应规定全部所需的安全要求。运维服务过程中的风险评估、风险处置及信息安全事件处置详细过程参见ISO27001文件风险评估控制程序、信息安全事件管理程序。经评估出的风险控制措施应在制定服务计划时予以考虑，以确保运维服务过程的信息安全。7. 关系过程7.1 业务关系管理目的：基于对客户及其业务驱动的了解，形成并保持公司与客户之间的良好关系。公司应识别并记录服务的利益相关方和顾客。公司和顾客应每年至少进行一次服务评审，来讨论服务范围、服务级别协议、合同或业务需求的任何变更，并按约定的时间间隔召开中间会议来讨论进展、成绩、问题和改进计划。这些会议应形成书面的会议记录。也可邀请其他的服务利益相关方出席会议。如果出现合同变更，那么适当时在这些会议上应讨论服务级别协议变更的问题。这些变更应遵循变更管理过程。市场营销部人员应了解业务需求及重大变更，从而为响应这些需求做好准备。公司应建立投诉处理流程，与顾客协商确定正式的服务投诉的定义。记录、调查、响应、报告并正式关闭所有的服务投诉。当不能通过正常渠道反馈投诉时，客户应获得其他的升级渠道。市场营销负责管理顾客满意和整个业务关系过程，通过定期的顾客满意度调查获取反馈并做出响应的过程。应记录在这一过程中识别出的改进措施，并作为服务改进计划的输入。详细过程参见业务关系管理程序。7.2 供应商管理目的：确保所有供应商提供高质量的连续的服务。服务提供商与供方的关系公司应记录供方管理过程，并为每一供方指定合同管理者。应就供方所提供服务的要求、范围和等级以及沟通过程与所有方面达成一致，并在相关协议或其他文件中书面记载。与供方签订的支持协议应与业务的服务等级协议保持一致。应协商并书面规定所有方面使用的过程接口。应清楚规定关键供方与分包方之间的角色及关系。关键供方应能够展示确保分包方能够满足合同要求的过程。应建立合同或正式协议的评审过程，以确保仍能继续满足业务需求和合同要求。适当时，合同或服务等级协议的变更应紧随评审之后或在其他要求的时间。任何变化应遵从变更管理过程。应建立解决合同争议的正式过程。应建立过程以管理服务的预期或提前终结或将服务转嫁给他方。应根据服务级别目标来监视和评审业绩。应记录在这一过程中确定出的改进措施并作为服务改进计划的输入。详细过程参见供应商管理程序。8. 解决过程8.1 事件和服务请求管理目的：尽快恢复约定的业务，或响应服务要求。应记录所有的事件。应建立流程来管理事件及服务请求的影响。流程应规定所有事件及服务请求的记录、优先排序、业务影响、分类、更新、调整、解决和正式关闭。应通知客户，使其了解其报告的事故或服务请求的进展情况，当不能达到约定的服务等级或无法完成约定的措施时应提前警告客户。事故管理所涉及的所有人员应都应有权访问相关的信息，如已知错误、问题解决方案和配置管理数据库等。应对重大事故进行分类并根据流程进行管理。详细过程参见事件和服务请求管理程序。8.2 问题管理目的：通过事故原因的预先识别、分析、管理直至关闭，来最小化对业务的影响。应记录识别的所有问题。应建立程序以识别、最小化或避免事件或问题的影响。程序应规定所有问题的记录、区分类、更新、调整、解决和关闭。应采取预防措施，以减少潜在的问题，如事件数量和类型的趋势分析之后的后续活动。纠正问题的根本原因所需的变更应提交变更管理过程。应监视、评审问题的解决并报告其有效性。问题管理者有责任确保事故管理者可获得关于已知错误和已纠正问题的最新信息。应记录在这一过程中确定的改进措施，并作为服务改进计划的输入。详细过程参见问题管理程序、事件和服务请求管理程序。9. 控制过程9.1 配置管理目的：规定并控制服务和基础设施组件，并保持正确的配置信息。在进行配置管理的变更和策划时应采用综合方法。公司应规定与错误资产会计过程的接口。注：财务资产会计不属于本章范围。应制定关于配置项及组件定义的策略。应规定每一项目应记录的信息，包括有效的服务管理所需的关系及文档。配置管理应提供可识别的服务和基础设施组件的识别、控制和追溯版本的机制。控制的程度应充分满足业务需求、失效的风险和服务的重要性。配置管理应为变更管理过程提供与变更请求对于服务和基础设施配置影响有关的信息。适当时，配置项的变更应是可追溯的和可审计的，如软件和硬件的变更和活动。配置控制流程应确保系统、服务和服务组件的完整性得到保持。应在发布到实际运行环境之前建立配置项的基线。数据配置项的主拷贝应控制在安全的物理或电子数据库中，并参见配置记录，如软件、测试产品和支持文件。所有的配置项应能被唯一的识别，并记录在配置管理数据库中。应严格控制对配置管理数据库的升级访问。应主动管理并验证配置管理数据库，以确保配置管理数据库的可靠性和准确性。需要的人员应可获得配置项的状态和版本、位置、相关的变更和问题以及相关的文档。配置审计程序应包括记录偏差、发起纠正措施和结果报告的内容。详细过程参加配置管理控制程序。9.2 变更管理目的：确保以一种受控的方式对变更进行评估、批准、实施和评审。应清楚规定服务和基础设施变更的范围，并形成文件。应记录并分类所有要求的变更，如紧迫、紧急、重大和轻微等。应评估变更请求的风险、影响和业务收益。变更管理过程应包括恢复和补救失败变更的方法。应批准并检查更新，并以受控的方式实施。应评审所有变更以确保成功以及实施后所采取的措施。应建立策略和流程，以控制紧急变更的授权和实施。计划的变更日期应作为制定变更和发布时间表的基础。时间表应包括批准实施的所有变更以及建议实施日期的详细信息。应保持时间表并与相关方沟通。应定期分析变更记录，以检测日益增多的变更等级、频繁发生的类型、出现的趋势以及其他相关信息。应记录变更分析所得出的结果和结论。应记录有变更管理所确定的改进措施，并作为服务改进计划的输入。详细过程参加变更管理程序。9.3 发布和部署管理目的：交付、分发并追溯在发布到实际运行环境中的一个或多个变更。注：发布管理过程应与配置管理和变更管理过程综合管理。应与相关方协商发布策略并形成文件。发布策略应包括发布类型和频次。公司应根据业务要求对服务、系统、软件和硬件的发布进行策划。应在所有相关方之间就如何启动发布计划达成一致，并经过他们的授权，如顾客、用户、操作人员和支持人员。过程应包括一旦发布失败，返回或补救的方式。计划应记录发布的日期及可交付成果，并参见相关的变更请求、已知的错误和问题。应就这些情况与事件管理过程进行沟通。应评估变更要求对发布计划的影响。发布管理流程应包括配置信息和变更记录的升级和变化。应根据既定的过程来管理紧急发布。紧急发布过程应与紧急变更管理过程有接口。应建立受控的接收测试环境，以在分发之前建立并测试所有的计划发布。应设计并实施发布和分发，以确保在安装、处置、包装和交付的过程中保持硬件和软件的完整性。应测量成功或失败的发布。测量应包括发布之后于发布有关的事件。分析应包括对业务、IT运行和支持性人力资源影响的评估，并作为服务改进计划的输入。详细过程参加发布和部署管理程序。附件1：程序文件清单文件和资料控制程序记录控制程序内部审核控制程序管理评审控制程序纠正措施及预防措施控制程序人力资源管理程序新服务或变更服务管理程序服务级别管理程序服务报告管理程序持续性管理程序可用性管理程序服务预算及核算管理程序能力管理程序风险评估控制程序信息安全事件管理程序业务关系管理程序供应商