1、ICS 35.080 L77 运昌中华人民圭七./、和国国家标准GB/T 24405.2-201 O/ISO/IEC 20000-2: 2005 信息技术服务管理第2部分:实践规则Information technology-Service management Part 2: Code of practice CISO/IEC 20000-2: 2005 , IDT) 2010-12-01发布2011-04-01实施数码防伪中华人民共和国国家质量监督检验检夜总局中国国家标准化管理委员会发布GB/T 24405.2-201 O/ISO/IEC 20000-2: 2005 目次前言.1 引言.
2、II I 范围-2 术语和定义-3 管理体系4 策划和实施服务管理5 策划和实施新服务或变更的服务-6 服务交付过程7 关系过程8 解决过程9 控制过程.10 发布过程参考文献.GB/T 24405.2-201 O/ISO/IEC 20000-2: 2005 目。昌GB/T 24405在信息技术服务管理总标题下,分为如下几部分:一一第1部分:规范;一一第2部分:实践规则。本部分为GB/T24405的第2部分。本部分等同采用ISO/IEC20000-2 :2005(信息技术服务管理第2部分:实践规则。本部分由国家标准化管理委员会提出。本部分由全国信息技术标准化技术委员会(SAC/TC28)归口。
3、本部分起草单位:中国电子技术标准化研究所、上海宝信软件股份有限公司、山东省标准化研究院、上海三零卫士信息安全技术有限公司、深圳市诚信信息工程研究院、中国生产力促进中心协会、北京三零盛安信息系统有限公司、深圳市爱思拓信息存储技术有限公司、广州新鼎典信息技术有限公司、山东浪潮齐鲁软件产业股份有限公司、深圳市希尔科技有限公司。本部分主要起草人:韩红强、周平、冯惠、陈在根、丛力群、金桥、程玉宝、艾丽君、杨建军、朱瑞虹、王曙光、曲发JII、陈长松、唐尖兵、张建军、曾波、邓超、刘辉、杨晓光、王宝艾、韩硕样、刘洋、王垦人、张帆、申明星、曹晖、王柏华、王双飞、周楚生、刘燕青、张健、于国华、郝伟、程燕、孙海东。
4、I G/T 24405.2-201 O/ISO/IEC 20000号:2005引作为实践规则,GB/T24405的本部分采用指南和建议的形式。本部分不宜作为规范引用,并宜特别关注以确保符合性声明不会引起误解。本部分宜与GB/T24405的第1部分结合起来使用,第1部分是与此实践规则相关的规范。假定将本部分条款的执行委托给有适当资质和有能力的人员。本标准不声称包括一份合同所有必需的条款。本标准的使用者负责正确地应用标准。对于本标准的符合并不意味着可以免除法律义务。本部分描述了在GB/T24405的第1部分中涵盖的服务管理过程的最佳实践。由于顾客需要愈加先进的设施(以最小的成本)以满足业务要求,服
5、务交付变得越来越重要。同样应意识到,服务和服务管理对于帮助组织产生收入和有成本效益是关键的。GB/T 24405的第1部分是服务管理的规范,宜与本部分结合起来阅读。本标准能使服务提供方理解如何提高交付给顾客的服务质量,无论内部或外部的顾客。随着对支持服务依赖性的逐渐增长,以及可用技术的多样化,服务提供方能尽力维持高水平的顾客服务。若被动地进行工作,他们花费很少的时间策划、培训、评审、调查和为顾客工作,结果导致没有履行采用结构化的、主动的工作实践。那些同样的服务提供方被要求提高质量、降低成本、灵活性更高、响应顾客更快。有效的服务管理交付更高水准的顾客服务和顾客满意度。本标准描述了过程的最佳实践之
6、间的区别,这些过程不受组织形式或规模、名称和结构的影响。本标准既可以应用于大规模的、也可以应用于小规模的服务提供方,并且,最佳实践服务管理过程的需求不随组织的形式发生变化,组织的形式提供了管理那些过程的框架。E GB/T 24405.2-201 O/ISO/IEC 20000-2: 2005 信息技术服务管理第2部分:实践规则1 范围GB/T 24405的本部分描述了业界一致认可的信息技术(IT)服务管理过程的质量标准。为满足顾客的业务要求,这些服务管理过程在协商一致的资源水平内交付可能的最佳服务。即,服务是专业的、经济的,具有的风险是可理解的和可管理的。用于同一过程以及过程之间和功能组(和职
7、位)之间的术语的多样性,会使得新的管理者对服务管理这个主题感到困惑。错误地理解术语对建立有效的过程可能是一种障碍。依据本标准理解术语有切实和重要的益处。本部分建议服务提供方宜采取通用术语和更一致的方法进行服务管理。标准为改进服务提供了共同的基础,也为服务管理工具的供方提供了使用框架。作为基于过程的标准,本部分的目的并非用于产品评估。然而,组织在开发服务管理工具、产品和系统时,可以使用GB/T24405的第1部分和本部分,以帮助其开发支持服务管理最佳实践的工具、产品和系统。本部分为审核员提供指南,也为服务提供方策划服务改进或依据GB/T24405. 1进行审核提供帮助。GB/T 24405的第1
8、部分规定了一组相关的服务管理过程,如图1所示。能力管理服务交付过程服务级别管理信息安全管理服务连续性和可用性管理服务报告IT服务的预算和核算发布过程提理理u却管管决啡啤解毒归主理4元管理M刘系管系关方务供主/业发布管理图1服务管理过程2 术语和定义GB/T 24405. 1中的术语和定义适用于本部分。3 管理体系目标z提供一个管理体系,包括方针和框架,以有效管理和实施所有IT服务。3. 1 管理职责确保采用和保持最佳实践过程的管理任务,是任何服务提供方满足GB/T24405. 1要求的基础。1 G/T 24405.2-201 O/ISO/IEC 20000号:2005为确保承诺,宜确定一名高层
9、责任人负责服务管理策划。该高层责任人宜负责服务管理计划的全面交付。高层责任人的职责宜包括为基于服务改进活动的持续工作或项目提供资源。具有足够权限来制定方针并执行其决定的决策层宜支持这一高层责任人。3.2 文件要求高层责任人宜确保证据对于服务管理方针、计划、规程以及与这些相关活动的审核是可用的。服务管理策划和操作的大多数证据宜以文件的形式存在,它们可以是适合于其目的任何类型、格式或媒体的文件。下列文件一般被认为是适合作为服务管理策划的证据zu 方针和计划;b) 服务文件zc) 规程;d) 过程;e) 过程控制记录。宜有建立和管理文件的过程,以帮助确保所描述的特性得以满足。宜保护文件以免遭到损坏,
10、例如由恶劣环境条件和计算机灾难导致的损坏。3.3 能力、意识和培圳3.3. 1 概述从事服务管理工作的人员,在适当的教育、培训、技能和经验的基础上,宜是有能力的。服务提供方宜za) 决定服务管理中每一个角色必需的能力;b) 确保人员知道在广阔的业务环境中所从事活动的相关性和重要性,以及他们如何为达到质量目标做出贡献;c) 保持适当的教育、培训11、技能和经验的记录;d) 提供培训或采取其他措施以满足需求pe) 评价所采取措施的有效性。3.3.2 职业发展服务提供方宜发展和加强其工作人虽的专业能力p在为此而采取的措施中,服务提供方宜专注于以下方面:a) 招聘:目的是对照职位描述或简介、服务管理目
11、标和总体服务质量目标,检查应聘者的详细资料(包括他们的专业资质)有效性并判别应聘者的优缺点及潜能。b) 计划:目的是为新的或扩展服务(也包括缩短服务安排人员、使用新的技术、分配服务管理人员到开发项目组、连续策划以及填补因预期的员工更替引起的空缺。c) 培训和发展:目的是将训练和发展需求作为一个训练和发展计划,并提供及时有效的交付。员工宜在服务管理的相关领域得到培训11(例如,通过培训11、自学、指导或职业培训11),并且他们的团队工作和领导技能都宜得到提高。每位员工都宜保有一份按照时间顺序的培训记录和提供的培训的描述。3.3.3 要考虑采取的方法为了使员工团队的能力达到一个合适的水平,服务提供
12、方宜使短期聘用员工与长期聘用员工适度结合。服务提供方还宜使具有要求技能的新员工与现有再培训员工适度结合。2 注:在支持人员数目和技能的重大变更期间及之后,当服务提供方策划如何提供服务时,短期和固定新员工的适度平衡是尤为重要的。在建立最合适方法的组合时需要考虑的因素:GB/T 24405.2-201 O/ISO/IEC 20000-2: 2005 a) 新的或已改变的能力的短期或长期特性;b) 技能和能力的变化率;c) 基于服务管理和服务改进计划,预期工作量的高峰和低谷以及要求的技能组合Ed) 相称能力职员的可利用性;巳)人员流动率zf) 培训计划。对于全体成员来说,服务提供方宜至少每年评审每个
13、员工的业绩并采取相应的措施。4 策划和实施服务管理4. 1 策划服务管理(策划)目标:策划服务管理的实施和交付。4. 1. 1 服务管理的范围服务管理的范围宜定义为服务管理计划的一部分。例如,它可定义为:a) 组织;b) 位置;c) 服务。管理宜将范围定义为管理职责的一部分(并且作为服务管理计划的一部分)。宜依据GB/T 24405. 1检查范围的适宜性。注:操作变更的策划在9.2中描述。4. 1. 2 策划方法多重的服务管理计划可以代替一个大的计划或方案。这种情况下,基本的服务管理过程宜相互保持一致。也宜能证实,如何将每个策划要求与相应的角色、职责和规程联系起来进行管理。服务管理策划宜成为过
14、程的一部分,用于将顾客要求和高层管理者的意图转化为服务,并为指导服务的进展提供一份路线图。服务管理计划宜包括:a) 服务管理(或一部分服务管理)的实施;b) 服务管理过程的交付;c) 服务管理过程的变更;d) 服务管理过程的改进ze) 新服务(相对于在协商一致的服务管理范围内影响过程的程度而言)。4. 1. 3 要考虑的事项服务管理计划宜顾及服务管理过程和由下列事件引起的服务变更:a) 服务改进;b) 服务变更;c) 基础设施标准化;d) 法律的变更;e) 法规的变更,例如地方税率变更;f) 部门规章的发布或废止;g) 合并和采购。4. 1. 4 计划的范围和内容服务管理计划宜定义:a) 服务
15、提供方的服务管理范围;3 GB/T 24405.2-201 O/ISO/IEC 20000-2: 2005 b) 服务管理要实现的目标和要求;c) 为实现定义的目标必需的资源、设施和预算;d) 管理角色和职责的框架,包括高层责任人、过程责任人和供方的管理;e) 各个服务管理过程之间的接口以及协调各活动和(或)过程的方式;f) 识别、评估和管理与实现定义目标相关的事项和风险所采取的方法;g) 按照日期排定的资源时间表,表中宜列出所可用的资金、技术和资源;h) 变更计划和计划中定义的服务的方法;i) 服务提供方将如何证实持续质量控制(例如中期审核); j) 将执行的过程;k) 支持过程的适当工具。
16、4.2 实施服务管理和提供服务(实施)目标:实施服务管理目标和计划。如果最初的服务不满足GB;T24405. 1所列出的实施要求,就不能实现能够满足本标准要求的服务管理过程的最佳实践。一经实施,服务和服务管理过程宜予以保持。评审宜按照4.3进行。注:适合于策划和最初实施的员工可能并不适合于后续的运行。4.3 监视、测量和评审检查)目标:监视、测量和评审正在实现的服务管理目标和计划。服务提供方宜策划和实施对服务、服务管理过程以及相关体系的监视、测量、分析和评审。宜监视、测量和评审的事项包括:a) 已定义服务目标的实现情况;b) 顾客满意度1c) 资源利用率;d) 趋势;e) 严重不符合项。分析结
17、果宜为服务改进计划提供输入。除了有关测量和分析的服务管理活动,高层管理者还可能需要利用内部审核和其他检查。在决定内部审核和检查的频率时,过程的风险级、运行频率及其以往的历史问题都是宜考虑的因素。内部审核和检查宜经过策划并执行和记录。4.4 持续改进(处置)目标:改进服务交付和管理的有效性和效率。4.4.1 方针服务提供方宜认识到总是有潜力使得服务交付更有效和高效。宜发布关于服务质量和改进的方针。所有与服务管理和服务改进活动有关的人员宜理解服务质量方针以及各自对于实现方针框架下的目标的贡献。特别是,所有与服务管理有关的服务提供方的员工宜详细理解服务质量方针在服务管理过程中的含义。对于影响服务质量
18、和顾客要求的事务,宜在服务提供方自己的管理结构中、顾客和服务提供方的供方之间建立有效的联系。4.4.2 服务改进的策划服务提供方宜从自身和顾客的观点,采用系统和协调的方法进行服务改进,以满足方针的要求。4 GB/T 24405.2-201 O/ISO/IEC 20000-2: 2005 在实施改进服务计划之前,宜记录服务的质量和级别作为实际改进可与之比较的基线。实际改进宜与预期的改进进行比较,以评估变更的有效性。注1:服务改进要求可以来自于所有过程。服务提供方宜鼓励员工和顾客为改进服务提出建议。注2:这可以通过建议方案、质量环、用户组和联络会议来实现。服务改进目标宜是可测量的、与业务目标相关联
19、并在计划中形成文件。宜对服务改进进行积极地管理,宜按正式协商一致的目标监视服务改进的进展。5 策划和实施新服务或变更的服务目标:确保新服务和对服务的变更,按各方协商一致的成本和服务质量交付和管理。5. 1 需考虑的主题策划新的或变更的服务宜评审如下方面:a) 预算;b) 员工资源;c) 现有的服务级别;d) 服务级别协议(SLAs)和其他目标或服务承诺;的现有的服务管理过程、规程和文件;f) 服务管理范围,包括以前的范围之外的服务管理过程的实施。5.2 变更记录所有服务变更宜反映在变更管理记录中。这包括如下计划za) 员工招聘或再培训; b) 位置变更;c) 用户培训11; d) 变更的交流;
20、e) 支撑技术特性的变更;f) 服务的正式关闭。6 服务交付过程6. 1 服务级别管理目标:定义、协商、记录并管理服务级别。6. 1. 1 服务目录服务目录宜定义所有的服务。服务目录可以从SLA中得到引用,并且,宜用来支持对于SLA自身来说易变的要素。宜维护服务目录并保持更新。注:服务目录可以包括一般信息,例如:a) 服务名称;b) 目标,例如,打印机响应或安装的时间,经过重大失效后重新安装一个服务的时间;c) 联系点;d) 服务时间和例外情况;e) 安全约定。服务目录是确定顾客期望的关键文件,宜易于被顾客和支持人员得到和广泛应用。6. 1. 2 服务级别协议(SLAs)宜在服务级别协议。LA
21、)中正式地记录服务。SLA宜被顾客方高层代表和服务提供方代表正式G/T 24405.2-201 O/ISO/IEC 20000-2: 2005 批准。与其描述的服务一样,服务级别协议也遵从变更管理。顾客的业务需求和预算宜作为SLA内容、结构和目标定义的决定因素。目标宜依据交付服务进行测量,并从顾客的视角进行定义。SLA应仅包括目标的适当子集,以集中关注服务最重要的方面。注1:目标太多会引起混淆,导致过多的管理费用。至少在SLA中或可以从SLA直接引出的内容宜包括:a) 简短的服务描述;b) 有效期和(或)SLA变更控制机制;c) 授权细节;d) 交流(包括报告)的简短描述;e) 得到授权处理紧
22、急事件、参与事件和问题纠正、恢复或临时措施的人员的详细联系信息;f) 服务时间,例如9:0017:00,例外时间(例如,周末、公共节假日),关键业务时期和上班时间之外的时间;g) 计划的和协商一致的中断,包括给出的通知,每一阶段的次数;h) 顾客职责,例如,安全保密;i) 服务提供方的责任和义务,例如安全保密;j) 影响和优先级指南;k) 服务升级和通知过程;1) 投诉规程;rn)服务目标:n) 工作量极限(最高和最低),例如,支持协商一致的用户数目或工作量、系统吞吐量的服务的能力;0) 高级别财务管理详细信息,例如计费规则;p) 在服务中断事件中所采取的行动;q) 常规事务规程;r) 术语表
23、;s) 支持及相关的服务;t) SLA给定条款中的任何例外。注2:易变的信息或对于许多SLA来说通用的信息(例如联系细节)可以从SLA引用得到,而不影响服务级别管理SLM的过程,只要引用的文件也在变更管理过程的控制之下。注3:核算与预算的连续性计划和细节通常可以从SLA引用得到。注4:术语表通常保留在一个地方,对于所有的文件都是通用的,包括服务目录。6. 1.3 服务级别管理(SLM)过程重大的业务变更,例如,业务增长、业务重组和合并以及变更顾客需求,可以要求调整、重新定义、甚至是临时中断服务级别。SLM过程宜灵活适应这些变更。SLM过程宜确保服务提供方在整个服务交付的策划、实施和进行管理的过
24、程中,始终保持对顾客的关注。6 服务提供方宜得到足够的信息来使他们理解顾客的业务驱动和需求。SLM过程宜管理和协调服务级别的贡献者,包括:a) 服务需求协议和期望的服务工作量特性;b) 服务目标协议;c) 所达到的服务级别和工作量的测量和报告,以及对未满足协商一致的目标的解释(参见6.2); d) 启动纠正措施;e) 改进服务的计划的输入。G/T 24405.2-201 O/ISO/IEC 20000-2: 2005 该过程宜鼓励服务提供方和顾客采取主动的态度,确保他们对于服务有共同的职责。顾客满意度是服务级别管理中一个重要的部分,但是对其进行的测量宜看作一种主观测量,然而对SLA中的服务目标
25、的测量宜是客观测量。SLM过程宜与业务关系和供方管理过程紧密协同工作。6. 1. 4 支持服务的协议已交付的服务所依靠的支持服务宜形成文件,并征得每一个供方同意,这包括提供部分服务提供方服务的内部组。6.2 服务报告目标:为依据可靠信息做出决策和有效沟通,编制协商一致的、及时的、可靠的、准确的报告。注:所有服务管理过程的成功都依赖于使用服务报告中所提供的信息。6.2. 1 策略服务报告的需求宜由顾客和内部管理层协商一致并记录。服务监视和报告包括服务的所有可测量方面,提供目前的和历史的分析。如果有多个供方、主供方和分包方,报告宜反映各供方之间的关系。例如,主供方宜报告他们提供的所有服务,包括作为
26、顾客服务的一部分来管理的分包方提供的任何服务。6.2.2 服务报告的目的和质量检查服务报告宜及时、清晰、可靠且简明。服务报告宜造合于接受报告者的要求,具有足够的准确性,可以用于做决定的支持工具。表现形式宜有助于理解报告,例如使用图表,以使报告易于领会。宜产生如下几种类型的报告:a) 显示发生了什么事情的响应式报告;b) 主动式报告,可以为重大事件提出警告,因此能够预先采取预防措施(例如,即将发生的违反SLA的报告); c) 显示己计划活动的预定报告。6.2.3 服务报告服务提供方宜为顾客和管理者做报告,报告宜包括以下内容:a) 服务级别目标的绩效,例如损耗报告、业绩;b) 不符合标准的项;c)
27、 工作量特性和容量信息,例如事件、问题、变更和任务、分类、位置、顾客、季节趋势、优先级的混合、请求帮助的数量;d) 重大事件之后的执行报告,例如变更和发布;e) 每阶段(例如,天、周、月、周期)的趋势信息;f) 包括来自每一过程的信息的报告,例如,事件的数量和最频繁被提问的问题,基础设施的不可靠部件,密集的任务的资源或成本Pg) 未来工作重点和计划的工作量的报告。6.3 服务连续性和可用性管理目标:确保向顾客承诺的协商一致的服务连续性和可用性在任何情况下都能得到满足。注:发生重大的服务失效或灾难的可能原因包括:拒绝服务、攻击、重大病毒的爆发、未经允许的访问或自然灾难。6.3.1 概述宜在顾客业
28、务优先级、服务级别协议和风险评估的基础上确定服务连续性和可用性需求。服务提供方宜维持足够的服务能力与可行计划,这些计划是为确保在从正常运行到重大的服务失误的所有情况下,协商一致的需求都得到满足。服务提供方宜策划已知的数据或顾客数量的增加或减少、预期的工作量的高峰值和低谷值,以及任何其他已知的将来变更。需求宜包括访问权限和响应次数以及系统组成的端对端的可用性。7 GB/T 24405.2-201 O/ISO/IEC 20000-2: 2005 服务可用性和服务连续性管理宜以确保保持协商一致的服务级别为目的。这些需求将对行动、效果和分配用来实现需求的服务可用性的资源产生重大影响。确保需要的可用性得
29、到保持的过程宜包括那些在顾客或其他服务提供方控制之下的服务交付的元素。6.3.2 可用性监视和活动可用性管理宜:a) 监视和记录服务的可用性;b) 维护准确的历史数据;c) 与SLAs中定义的需求比较,以识别对于协商一致的可用性目标的不符合项;d) 记录和评审不符合项;e) 预期将来的可用性;f) 宜尽可能预测潜在的问题,并采取预防措施。宜确保服务所有部件的可用性,记录纠正措施并采取行动。6.3.3 服务连续性策略服务提供方宜开发和保持策略,该策略定义了满足服务连续性职责的通用方法。策略宜包括风险评估,并考虑一致认同的服务时间和关键的业务期间。服务提供方宜同意每一个顾客群体和服务:a) 可接受
30、的最长丧失服务持续时间;b) 可接受的服务降级最长时间;c) 在服务恢复期内可以接受的降级服务的级别。宜在一致认同的时间间隔内评审连续性策略,至少每年一次。策略的任何变更宜得到正式的一致认同。6.3.4 服务连续性策划与测试服务提供方宜确保:a) 连续性计划考虑服务和系统部件的依赖关系;b) 记录和保持服务连续性计划和其他支持服务连续性所需的文件;c) 清晰分配调用连续性计划的职责,计划清晰分配针对每一个目标采取行动的职责;d) 数据、文档和软件的备份,以及服务恢复所必需的任何设备和员工在重大服务失效和灾难后迅速可以使用pd 在一个安全的远程地点,存储并保持至少一份所有服务连续性文档的备份,连
31、同任何能使其可用的必要设备;f) 员工理解他们在调用和(或)执行计划时的角色;并能访问服务连续性文档。服务连续性计划及相关文件(例如合同)宜与变更管理过程和合同管理过程相关联。宜在系统和服务的变更被批准前以及重要的新的和修改的顾客需求得到同意前,评估对服务连续性计划和相关的文件(例如合同)的可能的影响。宜进行足够次数的测试,以确保连续性计划在面对系统、过程、人员和业务需要的变更时是有效的和可以保持的。测试宜基于一组协定一致的目标,由顾客和服务提供方共同参与。宜记录和评审测试的失效,并输入服务改进计划。6.4 IT服务的预算与核算目标:服务供应成本的预算和核算。6.4.1 概述本条包括IT服务的
32、预算和核算。实际上,许多服务提供方会参与这些服务的计费。然而,既然计费是可选活动,本标准并不包括它。建议服务提供方在使用计费的地方,对所做的机制进行全面定义,并让所有相关方理解。GB/T 24405.2-201 O/ISO/IEC 20000号:2005财务决策的许多职责将在服务管理范围之外,要提供什么财务信息、以什么形式、采取什么频度等要求都可以从外部规定。本条的规定聚焦于为满足标准要求而宜遵循的实践。然而,当要求对于一些方针和规程会产生影响时,宜考虑更广泛的要求。所有使用的核算实践都宜与服务提供方组织整体的会计工作实践协调一致。6.4.2 策略宜有关于服务的财务管理策略。策略宜定义预算和核
33、算实现的目标。策略也宜定义执行预算和核算的细节,考虑如下:a) 拟核算的成本类型;b) 日常管理成本的分配,例如统一费用、固定的佣金或基于可变成分的规模;c) 顾客业务的粒度,例如,以业务单位作为一个单位、细分到部门或按照位置区分;d) 管理处置预算变更的准则,例如,将要升级到高级管理的变更的规模;e) 与服务级别管理的联系。预算和核算过程中的投资级别,宜基于顾客、服务提供方和供方对于策略中定义的财务细节的需要。注:在商务环境中操作的服务提供方对于其财务管理有可能需要投入相当多的时间和工作量。相反地,对于那些简单判定成本就足够的服务提供方来说,其财务管理就可以简单的多。所有的服务提供方都宜执行
34、预算和核算,无论他们财务管理的其他策略如何。6.4.3 预算预算宜考虑在预算期间已策划的服务变更,以及当预算需求超过可利用的资金时,资金短缺管理的计划。预算可以考虑诸如季节的变化、针对服务成本和费用的短期策划的变更等因素。针对预算的成本追踪宜尽早提供偏离预算的警告。宜建立管理偏离预算所涉及事务的过程。预算和成本追踪宜支持策划服务操作和变更,以便服务级别在全年内可以维持。6.4.4 核算核算过程宜用于在协商一致的时间以协商一致的详细程度追踪成本。服务提供的决策宜基于成本的有效性比较。戚本模型宜可证明提供服务的成本。核算宜证实支出过高、过低或保持平衡;宜使读者能理解低服务级别和服务丧失的成本。6.
35、5 能力管理目标z确保服务提供方在所有时间内具有足够能力来满足当前及将来商定的顾客的业务要求。宜根据业务需要什么从而能够交付给顾客,来理解目前和预期的对于服务的业务需求。业务预测和工作量估计宜转化为特别的需求,并形成文件。工作量或环境的变化结果宜可以预测;在一个适当的级别上,宜获取并分析当前和以前的部件与资源利用率的数据,以支持过程。能力管理宜聚焦于所有的绩效和能力问题。过程宜通过规定服务的规模和形式,为开发新的或变更的服务提供直接支持。宜在考虑服务变更率、服务量、变更管理报告中的信息和顾客业务的基础上,以适当的频率制定记录了基础设施实际性能和预期需求的能力计划。宜至少每年制定一次能力计划。宜
36、记录为满足业务需求所做的戚本选择,以及为确保达到SLA中定义的协商一致的服务级别目标所推荐的解决方案。宜很好地理解技术基础设施及其目前的和己规划的能力。6.6 信息安全管理目标:在所有服务活动中有效地管理信息安全。9 GjT 24405.2-201 OjISOjIEC 20000-2: 2005 6.6. 1 概述信息安全是设计用以识别、控制和保护信息,以及用于与信息的储存、传输和处理有关的设备的体系方针和规程的结果。担任专业信息安全专家角色的服务提供方的人员宜熟悉GBjT22081-2008(信息技术安全技术信息安全管理实用规则。6.6.2 信息资产的标识和分类服务提供方宜:a) 保持服务交
37、付所必要的信息资产的详细目录(例如,计算机、通信设施、环境设备、文档和其他信息); b) 依据资产对于服务的关键程度及其所需的保护级别对资产进行分类,并任命一位责任人负责提供资产的保护;c)资产的保护职责宜由资产责任人负责,尽管他们可以委派日常的安全管理职责。6.6.3 安全凤险评估实践安全风险评估宜za) 以协商一致的时间间隔执行;b) 进行记录;c) 在变更(业务需求、过程和配置的变更)期间维持;d) 帮助理解什么能影响受管理的服务;e) 通知关于操作控制类型的决定。6.6.4 信息资产风险信息资产风险的评估宜参考:a) 风险类型(例如软件故障,操作错误,通信失效hb) 可能性;c) 潜在
38、的业务影响;d) 过去的经验。6.6.5 信息的安全和可用性评估风险时,宜关心ta) 敏感信息对于未授权方的泄漏;b) 不准确、不完整和元效的(例如,欺诈性的)信息;c) 信息不能被使用例如,因为电力故障hd) 提供服务所必要设施的物理损害和破坏。宜考虑信息安全方针目标、满足顾客特别安全需求(例如可用性级别的需要以及适用的法律法规需求。6.6.6 控制措施除了其他正当的控制措施和包含在本部分中的建议(例如服务连续性),服务提供方宜操作下列控制措施,作为好的信息安全管理实践=10 a) 高层管理者宜定义信息安全方针,就此与员工和顾客沟通,并执行以确保其有效实施5b) 信息安全管理角色和职责宜予以
39、定义并分配岗位;c) 管理代表组(角色可由高层责任人承担)宜监视和保持信息安全方针的有效性;d) 负有重要的安全角色的员工宜接受信息安全培训1;巳)所有的员工宜了解信息安全方针;f) 宜有可用的专家帮助风险评估和控制措施的实施;g) 变更宜不影响控制措施的有效操作;GB/T 24405.2-201 O/ISO/IEC 20000-2: 2005 , h) 宜按照事件管理规程报告信息安全事件,并进行初始响应。6.6.7 文件和记录宜定期分析记录,提供以下管理信息:a) 信息安全方针的有效性;b) 信息安全事件显现趋势;c) 服务改进计划的输入;d) 用于信息、资产和系统访问的控制措施。信息安全管
40、理系统宜可靠地记入文件。7 关系过程7. 1 概述关系过程描述供方管理和业务关系管理的两个相关方面。本标准描述了服务提供方的角色,它在逻辑上承担了介于向服务提供方交付货物或服务的供方和接受服务的顾客之间的角色。供方和顾客可能是服务提供方组织内部或外部的。外部的关系可以通过合同确立。内部关系可以通过服务或内部非强制的用于操作级的协议而建立。图2显示了这些关系的简化表示。供方管理业务关系管理/-、/ , /飞/-、 / , /飞飞1 1 I I 1 I 1 1 供方, , / / 、服务提供方, , / J 、顾客图2关系过程如图2所示,服务提供方填补了供应链中的一个角色,服务提供方接收来自供方的
41、服务或货物并向顾客交付增值的服务,供应链中的每一步均宜增加价值。为便于理解,本章中术语服务提供方总是用于描述本标准中提到的参与被描述过程的组织,而不考虑组织在供应链中的角色或方向。实际上,关系并非如此简单,而是包含多个角色。同一个角色既可是供方,也可是顾客。这些角色之间具有直接的业务联系,就像通过服务提供方一样。关系过程宜确保所有相关方2a) 理解和满足业务要求;b) 理解能力和约束;c) 理解职责和义务。关系过程还宜确保顾客满意度级别是适当的,并且,将来的业务要求得到沟通和理解。宜定义业务关系和供方关系的范围、角色和职责,并协商一致。这包括对利益相关方、联系、以及沟通渠道和频度的识别。7.2
42、 业务关系管理目标:基于对顾客及其业务驱动的理解,建立并保持服务提供方与顾客之间的良好关系。11 GB/T 24405.2-201 O/ISO/IEC 20000-2: 2005 7.2.1 服务评审在重大的变更之前或之后,服务提供方和顾客宜每年至少进行一次服务评审。评审宜考虑过去的执行情况,讨论目前和计划的业务要求,并建议服务范围和SLAs的任何变更。可以邀请其他利益相关方,例如分包商、顾客、用户组和其他代表团体参加评审会议。服务提供方和顾客也宜对临时的评审规程达成一致意见,以讨论进展、业绩和问题。这些会议宜预定日期并通知相关的利益相关方。服务提供方宜策划和记录所有的正式会议,问题记录以及后
43、续的协商一致的措施。服务提供方宜与其顾客建立联系,以便他们了解业务要求和重大变更,并且能够准备响应这个要求。7.2.2 服务投诉服务提供方和顾客宜针对正式的投诉规程达成一致意见,以便于明确技诉的组成以及如何处理投诉。服务提供方宜针对处理的问题,执行采取合适措施的过程。过程宜对正式的投诉确定服务提供方的联系信息。服务提供方宜记录、调查、处置、报告和正式关闭所有的服务投诉。对未解决的投诉宜定期进行评审,如果在与顾客约定的最后期限内没有解决,宜升级到更高一级管理层。服务提供方宜定期分析投诉记录以识别趋势,并将分析向顾客报告。分析的结果宜适当地用于向服务改进计划提供信息。7.2.3 顾客满意度测量宜测
44、量顾客满意度,使得服务提供方能够将服务绩效与顾客满意度目标以及以前的调查相比较。宜设计调查的范围和复杂度,使得顾客易于响应,且不需要花费额外的时间就可以准确地完成调查。宜调查满意度水平的重大变化,并且了解原因。仅宜依据可比较的满意度问答并通过可比较的采样方法来制定变化趋势并进行比较。顾客满意度调查的结果和结论宜与顾客进行讨论。宜对行动计划取得一致意见,并输入到服务改进和进展计划,并且报告给顾客。关于对服务的赞扬宜形成文件,并报告给服务交付团队。7.3 供方管理目标:管理供方,确保提供元缝的和高质量的服务。7.3.1 引言供方管理规程宜确保:a) 供方理解他们对服务提供方的义务;b) 在协商一致
45、的服务级别和范围内,满足合理和协商一致的需求;c) 管理变更;d) 记录所有相关方之间的业务事务;e) 能观察所有供方绩效信息并遵照行事。7.3.2 合同管理服务提供方宜任命一名管理者负责与供方的合同和协议。当有若干员工参加到此项任务中,宜有一个通用的过程,以确保对供方执行情况的信息进行观测和采取行动。在负责与每一供方的关系的服务提供方中,宜有定义好的联系。所有供方合同宜包含评审时间表,以评估获取服务的业务目标是否保持正确。宜有清晰定义的过程用于管理每一份合同。合同的修改过程也宜清晰定义。对此规程的任何变更宜正式地通知所有受到影响的供方。宜在各自组织中(供方和服务提供方)保存联络点的清单。如果
46、合同包括罚款和奖金,宜清晰陈述12 r GB/T 24405.2-201 O/ISO/IEC 20000-2: 2005 依据并符合报告的要求。7.3.3 服务定义每一个服务和供方,服务提供方宜保持:a) 服务、角色和职责的定义;b) 服务范围;c) 合同管理过程,授权级别和合同退出计划zd) 相关的支付条款;e) 协商一致的达到绩效的报告参数和记录。7.3.4 管理多个供方宜调查清楚,是服务提供方与所有供方直接交易,还是一个主供方负责管理各个分包方。主供方宜记录所有分包方的姓名、职责及所有分包方之间的关系,如果需要,这可以被服务提供方使用。服务提供方宜获取证据,证明主供方在适当时按照GB/T
47、24405. 1的要求指导,正式地管理各个分包方。7.3.5 合同争议管理服务提供方和供方都宜建立管理争议的过程,宜定义此过程或在合同中描述。如果争议不能通过正常的途径解决,宜有升级处理的途径可用。过程宜确保争议得到记录、调查、解决和正式处理完毕。7.3.6 合同终止合同管理过程宜包括合同终止的规定一元论是按期终止还是提前终止。它还宜规定服务向其他组织的转移。8 解决过程8.1 背景尽管事件管理和问题管理密切相关,但它们分别是2个单独的过程。事件处理用户服务的恢复,而问题关心事件起因的识别和消除。8. l. 1 设置优先权解决的目标宜基于优先级。优先级宜基于影响和紧急程度。影响宜基于对于顾客业
48、务实际或潜在破坏的规模。紧急程度宜基于检测出问题或事件的时间和影响顾客业务的时间。事件或问题解决的进度安排宜至少考虑下列因素:a) 优先级;b) 可利用的技能;c) 资源的竞争需求;d) 提供解决方法的工作量或戚本;e) 通过解决方法花费的时间。注:优先级的使用贯穿整个服务管理,但主要用于事件和问题管理。8. 1.2 临时措施适当时,问题管理宜开发和维护临时措施以便事件管理能够帮助工作人员的用户恢复服务。只有在成功地采取纠正变更,或错误不再适用时,例如服务不再使用时,已知的错误才可以关闭。问题管理有权使用受问题影响的业务区域的信息。临时措施的信息存贮在知识库,其适用范围和有效性宜予以存储和保持
49、。8.2 事件管理目标:尽快恢复协商一致的服务或响应服务请求。13 G/T 24405.2-201 O/ISO/IEC 20000-2: 2005 8.2. 1 概述注1:事件的管理过程可以通过服务台交付,服务台担任与用户的日常联系。注2:事件管理宜:a) 是主动式过程或响应式过程,对能影响或潜在影响服务的事件进行响应;b) 关注顾客服务的恢复,而不是确定发生事件的原因。事件管理过程宜包括:1) 电话接昕、录音、优先级分配、分类;2) 一线解决方案或推荐方案;3) 安全问题的考虑;4) 事件追踪和生存周期管理;5) 事件验证和关闭;的一线人员与顾客联络;7) 升级。事件报告可以通过电话、语音邮件、访问、信件、传真或电子邮件,用户也可以通过访问事件记录系统或自动监视软件直接记录。所有事件宜以一种使相关的信息可被检
