ISO20000信息技術服務管理手冊+全套程序文件-OK

文件編號：ITSMS-A-01 受控狀態(tài)：已受控信息服務管理手冊*有限公司2021年1月2日0.0手冊制訂/修訂履歷版本日期制/修訂內(nèi)容簡述制/修訂審核批準A/O2021.1.2首次發(fā)行0.1目錄TOC\o"1-2"\h\z\u1概述1.1《信息服務管理手冊》的管理 51.2發(fā)布令 61.3公司簡介 71.4管理者代表授權書 91.5引用標準 92、目的及方針目標范圍職責 102.1 目的 102.2 信息服務管理方針 102.3 信息服務管理目標: 102.4 范圍 112.5職責 113、術語和定義104、服務管理體系的總要求104.1 管理職責 124.2 其他方運行過程的治理 164.3 文件管理 174.3.1建立和維護文件 錯誤！未定義書簽。4.3.2文件控制 174.3.3記錄控制 174.4資源管理 184.4.1提供資源 184.4.2人力資源 184.5建立和改進服務管理體系 184.5.1 定義范圍 184.5.2 策劃服務管理體系（策劃） 194.5.3 實施和運行服務管理體系(實施) 214.5.4 監(jiān)視和評審服務管理體系（檢查） 224.5.5維護和改進服務管理體系(處置) 235、設計和轉換新的或變更的服務 255.1總要求 255.2策劃新的或變更的服務 255.3設計和開發(fā)新的或變更的服務 265.4轉換新的或變更的服務 276服務交付過程 286.1 服務級別管理 286.2 服務報告 296.3 服務連續(xù)性及可用性管理 296.3.1服務的連續(xù)性和可靠性要求 296.3.2服務的連續(xù)性和可用性計劃 306.3.3服務的連續(xù)性和可用性的監(jiān)視和測量 306.4 服務的預算和核算 306.5能力管理 316.6 信息安全 326.6.1信息安全方針 326.6.2信息安全控制措施 336.6.3信息安全的變更和事件 337 關系過程 347.1 業(yè)務關系管理 347.2 供應商管理 358 解決過程 368.1 事件和服務請求管理 368.2 問題管理 379 控制過程 389.1 配置管理 389.2 變更管理 399.3 發(fā)布和部署管理 40附錄1信息服務管理職能關系架構圖 41附錄2公司信息服務管理體系職能分配表 42附錄3服務管理程序文件清單 43附錄4業(yè)務流程圖44附錄5部門分解目標451.概述1.1《信息服務管理手冊》的管理1、《信息服務管理手冊》的批準管理者代表負責組織編制《信息服務管理手冊》，總經(jīng)理負責批準。2、《信息服務管理手冊》的發(fā)放、更改、作廢與銷毀a）體系中心負責按《文件和記錄控制程序》的要求，對《信息服務管理手冊》進行登記、發(fā)放、回收、更改、歸檔、作廢與銷毀工作；b）各相關部門按照受控文件的管理要求對收到的《信息服務管理手冊》進行使用和保管；c）體系中心按照規(guī)定發(fā)放修改后的《信息服務管理手冊》，并收回失效的文件做出標識統(tǒng)一處理，確保有效文件的唯一性；d）體系中心保留《信息服務管理手冊》修改內(nèi)容的記錄。3、《信息服務管理手冊》的換版當依據(jù)的ISO/IEC20000-1:2011《信息技術服務管理－第1部分：規(guī)范》標準有重大變化、組織的結構、內(nèi)外部環(huán)境、生產(chǎn)技術、信息技術服務風險等發(fā)生重大改變及《信息服務管理手冊》發(fā)生需修改部分超過1/3時，應對《信息服務管理手冊》進行換版。換版應在管理評審時形成決議，重新實施編、審、批工作。4、《信息服務管理手冊》的控制a）本《信息服務管理手冊》標識分受控文件和非受控文件兩種：——受控文件發(fā)放范圍為公司領導、各相關部門的負責人、內(nèi)審員；——非受控文件指印制成單行本，作為投標書的資料或為生產(chǎn)、銷售目的等發(fā)給受控范圍以外的其他相關人員。b）《信息服務管理手冊》有紙質文件和電子文件，電子版本文件的有效格式為PDF文檔。本手冊由體系中心提出、歸口，并負責起草。1.2發(fā)布令為滿足顧客有關信息技術服務的相關要求，提高公司信息技術服務管理水平，防止由于信息技術服務的不及時等導致的公司和客戶的損失。*有限公司開展貫徹ISO/IEC20000-1:2011《信息技術服務管理－第1部分：規(guī)范》國際標準工作，建立、實施和持續(xù)改進文件化的信息技術服務管理體系，制定了《信息服務管理手冊》?！缎畔⒎展芾硎謨浴肥瞧髽I(yè)的法規(guī)性文件，是指導企業(yè)建立并實施信息技術服務管理體系的綱領和行動準則，用于貫徹企業(yè)的信息技術服務管理方針、目標，實現(xiàn)信息技術服務管理體系有效運行、持續(xù)改進，體現(xiàn)企業(yè)對社會的承諾?！缎畔⒎展芾硎謨浴贩嫌嘘P信息技術服務法律、法規(guī)要求及ISO/IEC20000-1:2011《信息技術服務管理－第1部分：規(guī)范》和企業(yè)實際情況，現(xiàn)正式批準發(fā)布，自2021年1月2日起實施。企業(yè)全體員工必須遵照執(zhí)行。全體員工必須嚴格按照《信息服務管理手冊》的要求，自覺遵循信息技術服管理方針，貫徹實施本手冊的各項要求，努力實現(xiàn)公司信息技術服務管理方針和目標。公司總經(jīng)理：日期：2021年1月2日1.3公司簡介*有限公司是一家民營企業(yè)，1996年4月成立并投產(chǎn)；公司專業(yè)于手機等精密塑膠件生產(chǎn)加工。公司是專業(yè)于模具制造、成型、自動涂裝及加工一條龍服務的企業(yè)！擁有大型模具制作車間，90多臺進口精密成型機；擁有4套先進全封閉無塵自動噴涂設備，積累數(shù)年最全面塑膠表面處理經(jīng)驗及工藝，熟練使用各類特種油漆。擁有國內(nèi)領先技術的真空離子濺鍍，環(huán)保低溫產(chǎn)品不變形，鍍膜金屬表面耐磨，耐刮傷。在服務上為客戶組建項目管理機構提供點對點全程跟蹤服務。公司90%主導產(chǎn)品為OEM手機外殼、手機鏡片、手機LCD背光板、塑料模具，同時加工數(shù)碼像機外殼、掌上及筆記本電腦配件。我們承接眾多知名企業(yè)OEM加工：公司的產(chǎn)品質量水平受到國內(nèi)外客戶的信賴。團結、創(chuàng)新、進取是我們的企業(yè)精神，堅持以人為本，以市場為導向，以技術為優(yōu)勢向客戶提供高質量產(chǎn)品和高效服務為的宗旨！并將進一步完善生產(chǎn)設施，強化質量管理，使產(chǎn)品的質量和品種進一步滿足客戶的需要。1.4管理者代表授權書為貫徹執(zhí)行信息技術服務管理體系，滿足ISO/IEC20000-1:2011《信息技術服務管理－第1部分：規(guī)范》的要求，加強領導，特任命*為我公司信息技術服務管理者代表。授權代表有如下職責和權限：1、按照ISO/IEC20000-1:2011《信息技術服務管理－第1部分：規(guī)范》的要求，組織相關資源，識別、建立、實施和保持信息技術服務管理體系，不斷改進信息技術服務管理體系，確保其有效性、適宜性和符合性。2、負責組織擬制、審核公司信息服務管理的策略、計劃和資源需求，促進工作的管理規(guī)范，提高公司的運營效益和客戶滿意度。3、組織擬制和審核公司信息服務管理政策文件，參與擬制和審核公司全部服務目錄、服務級別承諾文件。4、負責組織擬制、審核公司信息服務管理的相關需求計劃，參與評審相關供應商。5、組織制訂并審核完善規(guī)范的客戶服務體系和知識庫。6、向公司最高管理者報告信息服務管理體系的業(yè)績，如：服務方針和服務目標的業(yè)績、客戶滿意度狀況、各項服務活動及改進的要求和結果等。7、組織信息服務管理體系的管理評審，主持信息服務管理體系內(nèi)部審核，推動內(nèi)部審核活動。8、推動公司各部門領導，積極組織全體員工，通過工作實踐、教育培訓、業(yè)務指導等方式不斷提高員工對滿足客戶需求的重要性的認知程度，以及為達到公司服務管理目標所應做出的貢獻。9、負責與信息服務管理體系有關的協(xié)調(diào)和聯(lián)絡工作；本授權書自任命日起生效執(zhí)行。總經(jīng)理：2021年1月2日

1.5引用標準ISO/IEC20000-1：2011《信息技術--服務管理--第1部分：服務管理系統(tǒng)要求》ISO/IEC20000-2：2011《信息技術--服務管理--第2部分：服務管理系統(tǒng)的應用指南》2.目的及方針目標范圍職責2.1目的本手冊依據(jù)ISO/IEC20000-1：2011《信息技術--服務管理--第1部分：服務管理系統(tǒng)要求》和公司的信息服務業(yè)務的實際情況相結合編制而成，旨在規(guī)定公司的信息服務管理體系的要求。本手冊描述了公司為達到高質量信息服務所采用的ITSMS框架，其直接的目的是：公司承諾為客戶提供高質量的信息服務；通過體系的建立、實施和持續(xù)改進，提高客戶的滿意度。2.2.信息服務管理方針信息服務管理方針是由總經(jīng)理發(fā)布的信息服務管理宗旨和方向，面向公司全體員工發(fā)布。本公司的信息服務管理方針是：服務至微，全員參與，精益求精。通過該體系規(guī)范信息服務流程、降低維護成本、提高工作效率、提高客戶滿意度、提高企業(yè)競爭力，以客戶為中心，高度關注客戶的需求，把滿足客戶的需求作為服務的最高目的。2.3.IT服務管理目標:根據(jù)服務方針，制定服務目標。服務目標：服務滿意率達≥90%重大服務投訴事件0起。2.4范圍總則為了建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息技術服務管理體系（簡稱ITSMS），確定信息技術服務方針和目標，對信息技術服務及信息安全進行有效管理，確保全體員工理解并遵照執(zhí)行信息技術服務管理體系文件、持續(xù)改進信息技術服務管理體系的有效性，特制定本手冊。應用1.2.1覆蓋范圍本信息服務管理手冊規(guī)定了*有限公司信息服務管理體系要求、管理職責、內(nèi)部審核、管理評審和信息技術服務管理體系改進等方面內(nèi)容。適用于本公司信息部向本公司提供計算機軟、硬件設備的運維服務。1.2.2刪減說明本信息服務管理手冊采用了ISO/IEC20000-1:2011標準正文的全部內(nèi)容，無刪減。2.5規(guī)范性引用文件下列文件中的條款通過本《信息服務管理手冊》的引用而成為本《信息服務管理手冊》條款。凡注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標準，然而，管理者代表應研究是否可使用這些文件的最新版本。凡不注日期的引用文件、其最新版本適用于本信息服務管理手冊。ISO/IEC20000-1:2011《信息技術-服務管理體系-要求》ISO/IEC20000-2:2011《信息技術-服務管理實施指南》3、術語和定義本手冊采用《ISO/IEC20000-1:2011信息技術-服務管理第1部分：要求》《ISO/IEC20000-2:2011信息技術-服務管理第2部分：應用服務管理體系指南》的術語和定義。4、服務管理體系的總體要求4.1管理責任高層管理人員應提供證據(jù)證明其承諾的規(guī)劃、建立、實施、運行、監(jiān)控、審查、維護、改善ITSMS和服務：a)確定建立和交流的服務管理的范圍、策略和目標；b)確保該服務管理計劃已建立、實施和維護，以符合策略的要求，實現(xiàn)服務管理的目標和履行服務的要求；c)對履行服務要求的重要性進行溝通交流；d)對履行法律法規(guī)要求和合同義務的重要性進行溝通；e)提供策劃、實施、監(jiān)控、評審和改進信息服務所需要的資源,如：指定信息服務管理人員、分配資金與預算。f)按照計劃的時間間隔進行管理評審；g)管理和控制信息服務提供過程的風險。h)按計劃組織信息服務管理體系的審核，以確保體系的適宜性、充分性和有效性。4.1.2服務管理方針高層管理人員應確保該服務管理方針：a)適合服務提供者的目的；b)包括履行服務要求的承諾；c)包括持續(xù)改進ITSMS成效的承諾和持續(xù)改進方針的服務承諾；d)提供一個建立和評審服務管理目標的框架；e)可被服務提供者每個人員獲得并交流和理解。f)定期評價其持續(xù)適宜性。4.1.3職責、權限和溝通總經(jīng)理a)負責服務管理體系的策劃；貫徹國家有關服務管理的法律法規(guī)、方針政策；負責確定服務管理方針、服務目標和對服務管理的承諾，以作為公司經(jīng)營活動的服務管理宗旨、全員的行為準則和努力方向；負責定期召開管理評審會議及主持管理評審活動；b)負責公司組織結構圖及部門職責的確定，負責管理者代表的任命；c)負責特殊合同的批準或簽訂，負責信息服務管理手冊、程序文件、服務管理計劃的批準；d)負責批準組織年度內(nèi)審計劃和審核實施計劃，批準內(nèi)部服務管理體系審核報告。信息管理部負責信息服務合同的上門維護服務，接受客服人員的調(diào)度或任務指派，實施服務工作任務，解決客戶問題申告，達成工作目標。涉及技術更改維護時，組織擬定技術巡檢方案、計劃、實施，變更管理。組織擬定信息服務知識庫、巡檢系統(tǒng)的配置管理、修訂工作。c)負責落實信息服務專項技術巡檢和技術支持工作。d)負責擬制上門服務工作報告，并定期將服務總結反饋給業(yè)務部。e)對所有事件進行管理；f)識別、最小化或避免事件和問題的影響；g)進行服務過程中的配置管理；h)進行服務過程中的變更的管理；i)建立并與協(xié)定發(fā)布策略，描述發(fā)布的頻率和類型；總經(jīng)辦（體系中心）a)信息服務管理體系所要求的文件應予以控制，管理性文件和外來文件由體系中心負責，各部門配合實施。b)應建立現(xiàn)行受控文件目錄，定期檢查各類現(xiàn)行文件的適宜性和有效性，確保文件保持清晰，易于識別和檢索。文件使用部門應妥善保管有效版本文件。c)負責成公司信息服務管理體系的建立和運行，實施糾正預防措施，對服務管理體系進行持續(xù)改進；進行內(nèi)審實施對服務管理體系符合性、有效性的監(jiān)督和考核；d)組織貫徹落實總公司的服務管理方針、目標和各項服務管理工作，組織起草公司年度服務管理工作計劃；負責組織編制公司相關的服務管理規(guī)范標準等文件；人力資源部a)負責組織起草、匯編各種綜合性的行政報告、規(guī)劃、總結、請示和通知等，負責審查待發(fā)的文稿；B)負責公司管理文件的歸檔、收發(fā)、打字、復印和印章的管理，負責監(jiān)督、考核行政管理文件的實施；g)負責編制公司的內(nèi)部組織機構設計，負責部門、崗位的職責的制定、修改及考核；h)負責確定公司各崗位人員的任職要求，負責培訓計劃的審批；i)建立信息安全方針；實施和運行物理的、管理的和技術的信息安全控制措施；變更請求應被評估以確定；j)根據(jù)公司的發(fā)展規(guī)劃，負責組織相關部門討論、確定采購需求規(guī)劃，擬定供應商發(fā)展、采購計劃和預算評估報告。擬制并審核公司采購管理制度。k)負責公司信息服務項目的財務預算、核算。m)負責組織和管理公司供應商的開發(fā)工作，跟蹤新技術、新產(chǎn)品和新方案，比較現(xiàn)有合格供應商、采購和運營的狀況，根據(jù)公司相關部門的需求尋找新的供應商，持續(xù)對系統(tǒng)建設和運維工作更高的性能價格比提出改進目標。n)負責組織和管理對公司現(xiàn)有供應商的評審和監(jiān)督管理，擬制公司合格供應商名單，負責監(jiān)督、評審、記錄供應商對服務水平承諾的落實情況。4.1.4管理者代表公司任命了管理者代表，并授予了相應的權利和責任，詳見管代任命書；4.2治理其他方運行的操作流程公司識別了設計轉化新的或變更的服務流程、服務交付流程、信息安全流程、關系流程、解決流程、控制流程、發(fā)布流程等第5至9章的流程，并應識別由其他方來運作的所有流程，或部分流程。其他方可以是一個客戶端或供應商的內(nèi)部小組。公司應當通過以下方式證實對其他方的管理過程：a)表明問責的流程和權力要求遵守的流程；b)控制過程的定義和與其它流程的接口；c)確定流程的表現(xiàn)和與流程要求的合規(guī)性；d)控制過程改進的計劃和優(yōu)先次序。當一個供應商操作部分流程時，服務提供者應當通過供應商管理程序對供應商進行管理。當一個內(nèi)部小組或客戶操作部分流程時，服務提供者應當通過服務水平管理流程對內(nèi)部小組或客戶進行管理。注：ISO/IECTR20000-3提供本部分ISO/IEC20000的范圍定義和應用指南。包括對治理各利益相關方的操作流程的進一步解釋。4.3文件管理4.3.1文件的建立和維護公司在開發(fā)、經(jīng)營、服務和日常管理活動中，按ISO/IEC20000-1:2011標準要求，建立、實施、運行、監(jiān)視和評審、保持和改進文件化的信息技術服務管理體系。信息服務管理體系文件分以下幾個層次：a)一級文件：服務管理方針和目標、范圍表述以及過程之間關系描述的文件；（如：信息服務管理手冊包括方針、目標）；b)二級文件：文檔化的服務管理流程或程序；（如：信息服務管理體系的程序文件）；c)三級文件：為本部分ISO/IEC20000-1要求的特殊流程所創(chuàng)建的文檔化的策略和規(guī)劃、文檔化的服務目錄、文檔化的SLA、服務管理計劃的文檔，包括：管理規(guī)范、操作手冊及作業(yè)指導書以及為確保有效操作ITSMS和交付服務所需的并由服務提供者決定補充的外來文件。d)四級文件：信息服務管理體系的產(chǎn)出物的文件模版（表單、報告模版等）；4.3.2文件控制本公司編制了《文件和記錄控制程序》具體按文件控制程序要求進行控制。一個文檔化的流程，包括授權和責任，控制的定義需要被建立，需要有：a)在發(fā)行前建立和批準文件；b)與各利益相關方就新文件及改動過的文件進行討論；c)必要時對文件進行檢查和保持；d)確保文件的改動和現(xiàn)行修訂狀態(tài)是經(jīng)認可的；e)確保適用文件的有關版本在使用時可獲得；f)確保文件易于識別且清晰；g)確保外來文件得以識別且其發(fā)行量受到控制；h)若保留作廢文件，需防止作廢文件被隨意使用并對上述文件做好適當?shù)臉俗R。4.3.3記錄控制本公司編制了《文件和記錄控制程序》具體按記錄控制程序要求進行控制。記錄應保存，并用來證實ITSMS符合要求和有效運作。一個文件的流程需要建立對控制的定義，包括標識、貯存、保護、檢索、保存和記錄的處置的方式。記錄應清晰，易于識別和檢索。4.4資源管理4.4.1資源提供公司最高管理者應確定并提供人力資源，技術資源，信息資源和財務資源，并：a)設立，實施和維護ITSMS和服務，不斷提高其效力；b)通過提供滿足服務要求的服務，來提升客戶滿意度。4.4.2人力資源本公司信息服務管理層須對所有參與信息服務管理的崗位及其責任明確定義。以確保服務工作人員的工作應符合服務要求，這些人員應在接受相應的教育和培訓后，具備相應的技能和經(jīng)驗等基本能力。服務人員應當：a)選擇有資質的人員；b)適當通過提供培訓或采取其它措施以獲得必要的能力資格；c)對采取措施的有效性進行評價；d)確保其工作人員都知道如何盡力達成服務管理目標并滿足服務要求；e)保持對教育、培訓、技能和經(jīng)驗做適當?shù)挠涗洝Ｐ畔⒎展芾韺油瑫r須通過培訓或其他的宣講等方式來確保員工理解他們的業(yè)務活動的重要性以及相關性，并知曉如何達成信息服務管理的目標。執(zhí)行《人力資源控制程序》。4.5建立和改進ITSMS4.5.1定義范圍本管理手冊明確了整個體系覆蓋的范圍，詳見第一章范圍及定義描述。范圍確定應包括為達到信息服務管理目標所需的資源（人員、設備和資金等）和所提供的信息服務。a)人員：包括人員的招聘、培訓、資質認證、團隊建設等；b)設備：包括與信息服務管理相關的軟、硬件等。c)資金：包括信息服務管理過程中相關信息服務預算與核算活動等。d)信息服務：包括信息服務目標的設定、信息服務計劃的編制、信息服務的新增和改進等。同時本公司的服務提供也應考慮影響服務交付的其它因素，其中包括：a)本公司提供服務的地理位置；b)客戶及其位置；c)用于提供服務的技術。4.5.2策劃ITSMS（P）本公司信息服務管理團隊須遵循Plan-Do-Check-Act模式策劃，實施、檢查和改進信息服務管理體系，詳見圖1所示的PDCA模型。圖1信息技術服務管理體系模型同時應當建立、實施和維護服務管理計劃。計劃應考慮到服務管理方針，服務需求和在ISO/IEC20000-1中本部分的要求。服務管理計劃應包含或引用至少以下內(nèi)容：a)由本公司來實現(xiàn)的服務管理目標；b)服務要求；c)影響ITSMS的已知限制；d)方針，標準和法律法規(guī)要求和合同義務；e)權力架構，職責和過程角色；f)權力和責任的計劃，服務管理流程和服務；g)人力資源、技術資源、信息資源和財務資源來實現(xiàn)服務管理目標；h)在與其它各方合作時采取的方法，包括設計和轉化新的或變更的服務流程；i)對服務管理流程和ITSMS的其它組成部分進行整合的過程和接口要求。j)風險管理和接受風險的準則的步驟；k)用于支持ITSMS的技術；l)ITSMS和服務的成效需要被度量、報告和改進。服務管理人員應根據(jù)策劃結果形成服務管理計劃，該計劃應在本手冊和方針的框架下制定，計劃內(nèi)容須包括：信息服務的范圍與目的，信息管理服務人員、設施、預算等資源需求，信息服務管理組織和信息服務的風險管控、信息服務的質量管理等內(nèi)容；特定流程的計劃應與服務管理計劃相一致。該服務管理計劃和特定流程的計劃，應按照計劃的時間間隔進行評審，必要時進行更新。本公司信息服務管理體系定義和實施的過程包括：1）服務交付過程：a)服務級別管理；b)服務報告。c)服務的連續(xù)性和可用性管理；d)服務的預算和核算；e)能力管理；f)信息安全管理；2）控制過程：A）配置管理；B）變更管理；C)發(fā)布和部署管理3）解決過程：A）事件和服務請求管理；B）問題管理。4）關系過程A）業(yè)務關系管理；B）供應商管理。在每個過程的流程描述文檔中，將對過程的范圍、目標、角色職責、活動交互、績效指標及評價方法進詳細的定義。各過程之間的接口過程之間的接口定義和通過接口的信息傳遞將在過程定義文檔中進行詳細的描述，在此對信息服務管理各過程之間的接口簡要描述詳見（各過程程序）。本公司信息服務管理體系以信息服務級別管理過程為目標，以變更管理為核心，以配置管理為基礎，將信息服務管理體系中的各過程串聯(lián)起來。信息服務級別管理過程為多個過程提供輸入，各過程也將服務級別協(xié)議（SLA）要求的執(zhí)行情況估為輸出返回到信息服務級別管理過程。信息配置管理過程為信息服務支持過程及部分信息服務交付過程提供所有需要的配置項及其屬性信息，并接受來自信息服務變更發(fā)布管理對配置信息的修改，所有流程的更新均需服從變更流程的管理。4.5.3實施運作ITSMS（D）本公司將根據(jù)服務管理計劃，通過設計、轉化、交付和提高來實施和運行ITSMS，包括但不限于以下行為：a)信息服務的首先須建立起專業(yè)的信息服務管理團隊，將服務角色和職責進行合理分配，通過內(nèi)部任命或招聘的方式確保人員到位；b)為服務實施準備資金并做好預算分配，須有效管理預算的執(zhí)行，以確保服務體系能夠按步驟的、持續(xù)的完成實施；c)按照各個過程策劃的方針、計劃、程序和定義實施服務管理和提供服務管理體系；d)對信息服務管理團隊進行有效管理，設定相關KPI指標確保過程運行質量，識別并控制信息服務風險；e)根據(jù)信息服務報告管理過程要求，定期出具信息服務管理體系運行相關報告以對服務管理行為的表現(xiàn)進行監(jiān)控和匯報。4.5.4監(jiān)控審查ITSMS（C）4.5.4.1概述本公司建立了內(nèi)部審核及管理評審控制程序等以及ITSMS的有效性和服務效果進行監(jiān)督和度量。以證實ITSMS和各項服務的能力可以實現(xiàn)服務管理目標并達到服務的要求。同時已識別不符合本部分的ISO/IEC20000-1的要求，包括服務提供者或服務要求確定ITSMS的要求。同時應對內(nèi)部審核和管理評審的結果予以記錄，其中包括不符合項，關注以及確定的行動。應將結果和行動通知各利益相關方。4.5.4.2內(nèi)部審核本公司編制有《內(nèi)部審核程序》明確了審核計劃、實施審核，報告結果和保存審計檔案的權力和責任，同時公司在計劃的時間間隔內(nèi)進行內(nèi)部審計，以確保ITSMS和服務是否：a)履行本ISO/IEC20000-1的規(guī)定；b)符合服務要求和服務提供者確定的ITSMS要求；c)得到有效地實施和維護。在編制審核方案時應考慮過程和被審核區(qū)域的地位和重要性，以及以往審核的結果。應對審核準則，范圍，頻率和方法進行記錄。審計師的選擇和審核的實施應確保其客觀性和公正性。審核人員不應審核自己的工作。應對不符合項進行通報，并進行排序和責任分配并采取行動。被審計的該部分負責人須確保任何糾正和糾正措施，不得無故遲延，及時消除不合格項及其成因。后續(xù)活動應包括對所采取措施的行為驗證和結果報告。本公司信息服務管理團隊須采取方法對信息服務管理體系的過程加以監(jiān)控及測量，包括例行檢查（管理評審：偏重于查變化外部變化：法律法規(guī)/客戶，內(nèi)部變化：人員變化/組織機構變化（對公司的沖擊）、內(nèi)部審核偏重于查風險）和日常檢查（偏重于查符合/不符合，即合策劃檢查定期回顧，關注績效、成果、問題和糾正計劃），以確保體系的運行與設計相符，并根據(jù)檢查結果采取糾正與預防4.5.4.3管理評審本公司編制有《管理評審程序》對評審策劃及實施作了描述。最高管理者每年至少一次對ITSMS和各項服務進行評審，以確保其持續(xù)的適宜性和有效性。評審需要包括對ITSMS開展的必要更改的重要性進行評估，包括服務管理的策略和目標。對管理評審的輸入應包括但不限于以下信息：a)顧客的反饋；b)服務和過程的性能和一致性；c)現(xiàn)有的和預計的人員、技術、信息和財務資源的水平；d)當前和預計的人員和技術能力；e)風險；f)審核的結果和后續(xù)行動；g)前期管理復核中得出的結果和后續(xù)行動；h)預防和糾正措施的狀況；i)可能影響ITSMS和各項服務的變化；j)改進機會。管理評審的記錄應予以保留。管理評審的記錄應至少包括對有關資源的決策和行動，和提高ITSMS的效益和改善服務。4.5.5持續(xù)改進ITSMS（A）4.5.5.1概述本公司將形成一個對ITSMS和各項服務持續(xù)改進的策略。該策略應包括改善機會的評價標準。同時本公司已建立《糾正和預防措施控制程序》包括對改進的鑒定、記錄、評估、審批、優(yōu)先級管理、測量和報告的權力和責任。改善機會包括糾正和預防措施，應記錄在案。應對已確定的不符合的原因予以糾正。應采取糾正措施以查明并消除不符合的原因，以防止再次發(fā)生。應當采取預防措施，以消除潛在不合格的原因，以防止發(fā)生。a)日常檢查：在例行的本公司信息服務的內(nèi)審和信息服務的管理評審之外，本公司信息服務管理團隊還須按需開展日常檢查來確保信息服務管理體系的持續(xù)改進。b)相關（事件、問題、變更、信息安全、業(yè)務關系、連續(xù)性、可用性和能力管理）過程需定期（每月/季一次）對本過程運行效果進行總結研討，針對發(fā)現(xiàn)的問題，須提出改進措施并執(zhí)行。c)各過程負責人需須定期（至少每年一次）對本過程執(zhí)行效果進行總結研討，必要時對過程文件進行修訂、評審和發(fā)布。4.5.5.2管理改進改進的機會應被優(yōu)先考慮。本公司在對持續(xù)改進策略的改進機會做決定時，應使用評價標準。對批準的改進內(nèi)容加以規(guī)劃。同時應當管理改進的活動，包括但不限于：a)設置改進目標，包括質量、價值、能力、成本、生產(chǎn)力、資源利用率、風險降低等方面；b)確保對批準的改進得以實施；c)在需要時修改服務管理策略、計劃、過程和流程；d)對照設定的目標檢查改進完成的情況，對沒有實現(xiàn)的目標，采取必要的行動；e)對改進實施情況予以報告。f)本公司信息服務管理團隊根據(jù)信息服務管理體系檢查階段的結果，采取改進措施不斷改善信息服務管理和服務交付，逐步提高信息服務管理和服務交付的效果和效率，內(nèi)容包括：1)根據(jù)信息服務的內(nèi)審不合格項進行根源分析并加以改進，并根據(jù)信息服務的內(nèi)審結果決定是否需要對部分服務進行調(diào)整；2)基于信息服務管理評審報告，從滿足業(yè)務和客戶需求出發(fā)，進行信息服務管理調(diào)整、改進或升級;3)根據(jù)體系檢查結果進行信息服務管理過程的優(yōu)化和改進，包括過程策略的變更、過程接口的變更和角色職責的變更等，如修訂信息服務管理策略、過程、程序和計劃等；4)通過信息服務管理會議、定期用戶滿意度調(diào)查和定期客戶回訪等取得服務相關信息，并對于未能滿足服務要求的服務進行改善，并記入《服務改進計劃》中。5新服務或變更服務的策劃與實施5.1概述5.1.1本公司形成的相應程序將應用于所有新的有可能變更的服務，這對服務和客戶將產(chǎn)生重大影響。變更由變更管理策略控制，對于新的或變更的服務的評估、審批、調(diào)度和審查范圍的變更應當由變更管理流程控制。新的或變更的服務范圍的配置項影響應由配置管理流程控制。5.1.2公司信息服務管理者代表應當審查新的或變更合同約定的服務要求以及新的或變更的服務計劃，設計和開發(fā)新的或變更的服務過程中有關規(guī)定給予的規(guī)劃和設計活動的輸出。在此基礎上，應當接受或拒絕輸出。同時應當采取必要行動，以確保發(fā)展和新的或變更的服務可以進行有效的轉化，采用公認的輸出。注：一個新的服務需求或向服務轉變可以來自客戶，服務提供者，一個內(nèi)部組或一個內(nèi)部供應商，以滿足業(yè)務需要或改善服務的成效。5.1.3信息管理部收集客戶對現(xiàn)有SLA的滿意度水平。分析、整理客戶新的或變更服務的要求，及時反饋客戶的改進需求。5.1.4當出現(xiàn)新服務或變更服務時，信息管理部根據(jù)《新的或變更的服務設計管理程序》的要求，組織實施服務管理和提供服務策劃和實施工作。5.1.5信息管理部組織對新服務或變更服務策劃結果的驗證、確認，驗證通過后按《新的或變更的服務設計管理程序》實施。5.1.6信息管理部應報告新服務或變更服務按計劃實施所達到的結果，并按《發(fā)布和部署管理程序》，執(zhí)行實施發(fā)布評審，比較實際結果與期望結果的一致性。5.2制訂新服務或變更服務計劃5.2.1公司信息管理部應確定新的或變更的服務的要求。新的或變更的服務應當被規(guī)劃以符合服務要求。新的或變更的服務的規(guī)劃應由客戶和利益相關方認可。5.2.2作為計劃的輸入，信息管理部應當考慮到提供新的或變更的服務潛在的財務、組織和技術上的影響。信息管理部也應考慮到新的或變更的服務對ITSMS的潛在影響。5.2.3新的或變更的服務的計劃應包含或引用包括但不限于以下內(nèi)容：a)設計、開發(fā)和轉化活動的權力和責任；b)活動應當由以下各方履行：服務提供者和包括與服務接口的其它各方；c)與各利益相關方溝通；d)人員、技術、信息和財務資源；e)計劃活動的時間表；f)對風險的確定，評估和管理；g)依賴的其它服務；h)新的或變更的服務的測試要求；i)服務驗收標準；j)用可衡量的術語表示提供新的或變更的服務的預期輸出。5.2.4對于要被刪除的服務，信息管理部應做出服務刪除計劃。計劃應包括刪除、歸檔、處理數(shù)據(jù)，文件和服務組件的轉移的日期。服務組件可以包括基礎設施和與應用程序相關的許可證。5.2.5信息管理部應當對那些致力于新的或變更的服務組件條款的各方加以識別鑒定。應當評估其能力以滿足服務需求。評價的結果應當予以記錄并采取必要的行動。5.3設計和開發(fā)新服務或變更服務5.3.1信息管理部負責對新的或變更的服務進行設計和文檔化時應至少包含以下內(nèi)容：a)交付新的或變更的服務時的權力和責任；b)提供新的或變更的服務時服務提供者、客戶和其他各方需執(zhí)行的活動；c)新的或變更的人力資源需求，包括對適當?shù)慕逃?、培訓、技能和?jīng)驗的要求；d)交付新的或變更的服務時的財政資源需求；e)新的或變更的技術來支持提供新的或變更的服務；f)新的或改變的計劃和策略，要求符合本部分的ISO/IEC20000；g)新的或變更合同和其它文件的變化協(xié)議，以配合服務變更要求；h)對ITSMS的變更；i)新的或變更的服務水平協(xié)議；j)對服務目錄進行更新；k)在交付新的或變更的服務過程中使用的程序、措施和信息。5.3.2信息管理部應當確保設計使新的或變更的服務滿足服務要求。5.3.3新的或更改服務，應當按照文件化的設計制定。5.4新服務或變更服務的轉化5.4.1信息管理部應當組織對新的或變更的服務進行測試，以驗證它們是否符合服務要求和設計文件。新的或更改的服務應由信息管理部和有關方面事先約定驗收標準。如果服務不符合驗收標準，信息管理部和有關各方應當做出必要的決定和部署的行動。5.4.2發(fā)布和部署管理過程應用于部署已批準的新的或變更的服務到真實環(huán)境。5.4.3隨著轉化活動的完成，服務提供者應當及時向有關方面報告關于對預期成果取得的成效。執(zhí)行《新的或變更的服務設計管理程序》。6服務交付過程6.1服務級別管理6.1.1信息管理部負責與相關部門溝通，制訂公司的《服務目錄》。服務目錄應定義所有服務，并包含服務名稱、服務目標或標準、聯(lián)系接口、服務提供時間和例外、安全方面的考慮和安排。6.1.2《服務目錄》是公司所提供的服務內(nèi)容的匯總，公司與客戶簽署SLA時應參考《服務目錄》。6.1.3公司應該根據(jù)當前的服務能力對《服務目錄》進行更新與維護。6.1.4根據(jù)公司的戰(zhàn)略策劃、資源要求及客戶需求，業(yè)務部在與銷售部和其他相關部門溝通、確定SLA時，應考慮：可接受持續(xù)損失服務的最大周期、可接受降級服務的最大周期，服務恢復時，可接受降級服務級別。6.1.5業(yè)務部與客戶簽訂《服務級別協(xié)議》應明確：服務要求和期望服務工作量特征的協(xié)議、服務目標協(xié)議、服務級別實現(xiàn)、工作量的測量和報告，以及服務目標不能完成的分析與說明。6.1.6業(yè)務部應依據(jù)與客戶簽訂的SLA以及《供方管理程序》的要求，組織簽署與供應商之間的支持合同（或協(xié)議），并應由相關方定期評審。6.1.7當出現(xiàn)重要業(yè)務變更時，業(yè)務部應及時與信息管理部溝通，按原過程重新組織相關部門，調(diào)整、修訂《服務級別協(xié)議》，并作為服務改進計劃的輸入。執(zhí)行《服務級別管理程序》6.2服務報告6.2.1信息管理部應就向客戶提交的服務報告的內(nèi)容、報告周期與客戶協(xié)商并達成一致。6.2.2信息管理部擬制內(nèi)部服務報告，對計劃間隔內(nèi)的客戶服務狀況、問題趨勢、服務數(shù)據(jù)、SLA目標實現(xiàn)等進行匯總、統(tǒng)計和分析，組織召開月度服務質量分析會議，形成會議紀要后發(fā)放。6.2.2.1服務報告主要包括的內(nèi)容：執(zhí)行服務級別目標的績效，違反SLA、安全管理要求等的不符合項和結論、工作量特征，如能力、資源利用、報告主要事件、變更、定期趨勢信息、客戶滿意度分析。6.2.2.2服務報告應及時、清晰、可靠和簡明，便于分析、決策和有效溝通。6.2.3當出現(xiàn)有關信息服務系統(tǒng)配置項的變更時，業(yè)務部應按《變更管理程序》的要求執(zhí)行。執(zhí)行《服務報告管理程序》。6.3服務連續(xù)性和可用性管理6.3.1服務連續(xù)性和可用性需求6.3.1.1信息管理部應當評估和記錄服務的連續(xù)性和服務可用性的風險。并確定并與客戶和有關各方就服務的連續(xù)性和可用性要求達成一致。同時應對業(yè)務計劃的適用性、服務要求、和風險予以考慮。與SLA客戶確定的服務連續(xù)性和可用性要求至少包括：a)獲得服務的權利；b)服務響應時間；c)點對點服務的可用性。6.3.1.2信息管理部應按照《可用性與信息服務持續(xù)性管理程序》的要求，擬制服務《連續(xù)性和可用性計劃》，根據(jù)客戶業(yè)務優(yōu)先級、服務級別協(xié)議和評估的風險，按設計的工作量計劃維護有效的服務能力，并與《服務級別協(xié)議》的目標保持一致。應考慮：a)信息服務的連續(xù)性和可用性計劃考慮可用性的要求和目標以及對服務和系統(tǒng)組成的關系。b)應清晰的分配調(diào)用信息服務連續(xù)性和可用性計劃的責任，并清晰的計劃對每個目標采取措施的責任。c)備份服務恢復所需的數(shù)據(jù)、文件、軟件、任何設備和必要員工，在重大服務失敗或災難時，保持快速有效。d)在遠程的安全地點，所有信息服務的連續(xù)性和可用性文件應存儲和維護至少一份，與其他必要的設備保存在一起。e)當不能正常進入服務位置時，可獲得服務的連續(xù)性計劃，聯(lián)系人名單CMDB。f)針對服務的連續(xù)性計劃和可行性計劃的變化需求，信息管理部部應組織相關部門評估其影響。6.3.2服務的連續(xù)性和可用性的監(jiān)控和測試6.3.2.1定期開展信息服務的連續(xù)性計劃的測試。使員工理解調(diào)用、執(zhí)行計劃的角色與職責，并能訪問信息服務的連續(xù)性文件。6.3.2.2信息管理部每年末組織對服務《連續(xù)性和可用性計劃》進行評審，并根據(jù)業(yè)務需求的變化及時調(diào)整計劃的內(nèi)容和目標，確保從普通到重大服務失效的任何環(huán)境下都能滿足與客戶協(xié)商的要求。6.3.2.3當業(yè)務環(huán)境發(fā)生重大變化時，信息管理部應重新組織評審、修訂服務《連續(xù)性和可用性計劃》。并通過能力管理和配置管理活動，評價所有服務組成的有效性，預知可能的、潛在的問題，并采取預防措施。6.3.2.4對服務《連續(xù)性和可用性計劃》中內(nèi)容和目標的變更，信息管理部應及時組織相關部門按《變更管理程序》的要求進行評估、驗證和確認，確保變更的效果及滿足SLA的要求。6.3.2.5信息管理部應定期對可用性信息進行測量和記錄，應對計劃之外的不可用性進行被調(diào)查、評估，并采取適當?shù)募m正或預防措施?？捎眯曰顒影ǎ篴)監(jiān)控和記錄服務的可用性、服務準確的歷史數(shù)據(jù)。b)與SLA中定義需求相比較，以識別不符合SLA有效目標的事項。c)記錄不符合項，并組織評審。d)考慮、評估供應商的影響。e)預計未來的可用性。執(zhí)行《可用性與信息服務持續(xù)性管理程序》6.4服務的預算和核算6.4.1服務的預算和核算過程與其它財務管理流程之間應有的接口。6.4.2應當有以下內(nèi)容的策略和書面流程：a)應對支出進行預算，以便開展有效的財務控制和為決策制定提供服務。b)服務提供者應當監(jiān)測和報告預算的支出，審查財務預算，從而管理成本。注：許多服務提供者對服務費進行記賬。對預算編制和核算范圍的服務過程中不包括賒賬。6.4.3體系中心應根據(jù)國家的有關法律法規(guī)和財務政策，以及公司的業(yè)務策略（包括產(chǎn)品策略、銷售策略、服務策略等），組織擬制公司的總體性和階段性的信息服務費用預算及成本標準。6.4.3.1服務組件的預算和核算應至少包括；a)資產(chǎn)-包括用于提供服務的許可證，b)共享資源，c)管理費用，d)資本和運營開支，e)外部提供的服務，f)人員、設施；g)將間接成本和直接成本分配給各項服務，為每個服務提供一個整體成本；h)有效的財務控制和審批。6.4.4各部門根據(jù)公司業(yè)務發(fā)展戰(zhàn)略、公司現(xiàn)有的SLA要求，及本部門業(yè)務的特點，按部門工作計劃的內(nèi)容，協(xié)助財務人員組織擬制本部門階段性的費用預算計劃，經(jīng)體系中心匯總、報批后實施。6.4.5在預算期間出現(xiàn)的服務變更引起的預算變化，相關部門應按變更管理流程的要求執(zhí)行預算變更申請。6.4.6在對《服務級別協(xié)議》進行評審時，體系中心應根據(jù)公司策略，評估實現(xiàn)服務目標和需求的成本，并根據(jù)確定的服務級別協(xié)議跟蹤成本的變化。6.4.7體系中心應根據(jù)預算跟蹤財務變化，并對超出預算要求的變化，提前向相關部門提出預警信號。6.5能力管理6.5.1業(yè)務部與信息管理部負責現(xiàn)有信息服務系統(tǒng)能力水平的策劃，根據(jù)《能力管理程序》的要求，制訂《能力計劃》，應在計劃中描述業(yè)務需求，應包括：a)現(xiàn)行的和預計的服務需求；b)協(xié)議要求對可用性，服務的連續(xù)性和服務級別的預期影響；c)升級服務能力的時間范圍、閥值和成本；d)法律、法規(guī)、合同或組織變更的潛在影響；e)新技術，新工藝的潛在影響；f)能夠進行預測分析的程序，或它們的引用。g)人員能力、技術可行性、信息和為達到SLA所要求的服務級別目標和業(yè)務需求所應具備的條件。6.5.2信息管理部應當與客戶和有關方面確定并認同能力和性能要求,當出現(xiàn)臨時的新增或變更服務引起能力計劃需要進行變更時應通過變更管理過程來控制。6.5.3信息管理部應當監(jiān)測能力的使用，分析能力數(shù)據(jù)并優(yōu)化性能。該服務提供者應提供足夠的能力以完成協(xié)議能力和性能要求。6.6信息安全管理6.6.1信息安全方針6.6.1.1本公司制定有《信息安全管理程序》，描述相關風險的控制，及運行和維護控制的方式。6.6.1.2考慮到服務的要求和法律法規(guī)要求和合同義務，指派有相應的安全負責人以管理審批信息安全策略。安全負責人應具備以下方面的職責：a)與服務提供者、客戶和供應商相關人員溝通信息安全策略，以及遵守該策略的重要性；b)確保信息安全管理目標的完成；c)明確管理信息安全風險所采取的方法和接受風險的準則；d)確保信息安全風險評估是在計劃的時間間隔進行的；e)確保信息安全內(nèi)審的進行；f)確保對審核結果進行評審，以確定改進的機會。6.6.2信息安全控制措施6.6.2.1根據(jù)公司業(yè)務及SLA要求，體系中心組織制訂信息安全管理策略、目標，并負責識別、分類信息安全資產(chǎn)，并對信息安全資產(chǎn)實施和操作物理的、管理的和技術的信息安全控制措施進行以便：a)保證信息資產(chǎn)的保密性，完整性和可用性；b)滿足信息安全策略的要求；c)實現(xiàn)信息安全管理目標；d)管理信息安全的相關風險。6.6.2.2對這些信息安全控制應作記錄，并說明與控制相關的操作和維護的風險。包括:a)提供服務所需要的信息安全資產(chǎn)目錄。b)根據(jù)信息安全資產(chǎn)對服務的重要性以及所要求的保護級別對信息安全資產(chǎn)進行分類，并指派相應的安全負責人。c)對信息安全資產(chǎn)實施安全風險評估，并應考慮以下因素：d)特性（例如軟件漏洞、運行錯誤、通信失?。)發(fā)生的可能性。f)潛在的業(yè)務影響。g)信息安全政策目標，滿足客戶特定安全需要以及所采用的法規(guī)條例。h)歷史經(jīng)驗。6.6.2.3體系中心應當評審信息安全控制的有效性,采取必要的行動并對所采取的行動進行報告。6.6.2.4體系中心應當具有識別那些需要訪問，使用或管理信息和服務的外部組織,并對這些外部組織進行歸檔，協(xié)商并實施信息安全控制。6.6.3信息安全的變更和事件6.6.3.1在服務變更實施之前，體系中心應組織相關部門按照《變更管理程序》的要求評估對信息安全影響,同時每年至少一次對信息進行匯總、分析，評審并識改進機會，擬制《信息安全評估報告》。6.6.3.2主要包含：a)信息安全策略的有效性。b)信息安全事件的趨勢。c)改進服務的計劃。d)信息、資產(chǎn)和系統(tǒng)的訪問控制。6.6.3.3以確定：a)新的或變更的信息安全風險；b)對現(xiàn)有的信息安全策略和控制的潛在影響。6.6.3.4信息安全事件應使用事件管理流程管理，其優(yōu)先級信息安全風險相適應。7關系過程7.1關系管理7.1.1業(yè)務部、銷售部應當建立目錄包括所有客戶、用戶和各利益相關方，并對于每一個客戶應當指定專人負責管理客戶關系管理和客戶滿意度。7.1.2業(yè)務部、銷售部按照《業(yè)務關系管理程序》要求，牽頭并定期組織業(yè)務部門，開展服務管理評價活動，討論、匯報服務范圍、SLA、合同或業(yè)務需求的變化，及性能、成績、結果和措施計劃，形成會議紀要。7.1.3當服務目標、服務需求、支持合同、業(yè)務等發(fā)生新增、變更或撤銷時，業(yè)務部應按《新的或變更的服務設計管理程序》的要求，提出并評估服務范圍和SLA的改進方案，并組織實施。7.1.4業(yè)務部、銷售部與客戶建立有效的互動、溝通關系，以便及時了解客戶的需求或重大變更，并依據(jù)需求進行響應。根據(jù)《業(yè)務關系管理程序》，定義、收集、分析客戶滿意度數(shù)據(jù)和信息，監(jiān)控客戶滿意度的趨勢。7.1.5業(yè)務部根據(jù)《業(yè)務關系管理程序》中的客戶投訴管理過程，負責收集、統(tǒng)計、分析客戶投訴的記錄，識別投訴的發(fā)展趨勢和存在問題，確保服務的連續(xù)性目標的實現(xiàn)。同時聯(lián)絡客戶在計劃的時間間隔復審服務的表現(xiàn)。7.2供應商管理7.2.1體系中心按《供方管理程序》的要求，指定專人管理與供應商的關系、合同和績效。并對供應商提供的信息服務的過程進行管理，完善供應商管理制度和采購規(guī)范，建立和維護公司《合格信息供應商名單》,并確保：a)供應商了解其對本公司承擔的責任。b)服務要求滿足協(xié)議約定的服務級別和范圍。c)管理變更。d)記錄與相關各相關方的業(yè)務交流。e)了解所有供應商的業(yè)績并采取相應改進措施。7.2.2體系中心負責組織相關部門對供應商提供服務的所滿足的需求、范圍、服務級別、接口和溝通過程等進行評審并達成一致，按公司正式授權，組織簽署與供應商之間的支持合同或供貨協(xié)議。主要包含以下內(nèi)容：a)供應商提供的服務范圍；b)服務、流程和各方之間的依賴關系；c)供應商必須滿足的要求；d)服務目標；e)供應商在與其它各方在服務管理過程中的接口；f)在ITSMS中供應商的所有行為；g)工作量特點；h)合同的例外情況，以及將如何處理這些情況；i)服務提供者和供應商的權力和責任；j)由供應商提供的報告和信息；k)收費的依據(jù)；l)預計終止或提前終止合同，及將服務轉讓給第三方時的行為和責任。7.2.3體系中心負責擬制公司《合格供應商名單》，并負責《合格供應商名單》的維護和管理。7.2.4當公司與供應商的支持合同或供貨協(xié)議需要修訂或變更時，財務處應重新組織相關部門進行合同評審，在評審中應討論和明確對本公司SLA影響和變更，并按照《變更管理程序》的要求實施。7.2.5體系中心按《供方管理程序》的要求，對公司合格供應商進行年度評審，監(jiān)督、記錄供應商對本公司SLA的落實情況，將評定的結果及時反饋給相關供應商，并組織進行相關調(diào)整和改進。7.2.6體系中心應組織管理與供應商之間的合同沖突，并在支持合同或供貨協(xié)議中明確。如果爭議無法通過正常途徑解決時，應交由更高級別的解決途徑。7.2.7體系中心應確保所有合同沖突被記錄、調(diào)查、解決并正式關閉。8解決過程8.1事件和服務請求管理8.1.1運維部客服人員按照事件定義文件及《事件管理程序》的要求，根據(jù)事件的影響和緊急程度確定事件處理優(yōu)先級別，并基于優(yōu)先級別確定解決事件的目標。其中應包括：a)接收請求、記錄、優(yōu)先級分配、分類。b)一線事件解決或轉移。c)考慮安全事件。d)事件跟蹤和生命周期管理。e)一線客戶聯(lián)系。f)事件升級。g)事件解決、驗證和關閉。8.1.2事件報告方式包括電話、拜訪、傳真或者電子郵件，所有事件應在服務平臺正式記錄，并可檢索和分析。8.1.3工程部對升級的事件提供解決方案，協(xié)助服務臺關閉事件。8.1.4運維部負責對升級的技術問題提供處理事件的技術支持，協(xié)助服務臺解決未知錯誤。8.1.5運維部組織建立事件知識庫，以確保服務臺人員可訪問經(jīng)常更新的知識庫。知識庫中包括技術專家、以前事件、相關問題、已知錯誤、配置管理數(shù)據(jù)庫（CMDB）、檢查清單等有助于恢復服務的各種信息。8.1.6對重大事件的處理，工程部按相關要求執(zhí)行。8.1.7運維部應在證實事件已經(jīng)解決并且服務已經(jīng)恢復的時候，事件才能最終關閉。8.2問題管理8.2.1運維部根據(jù)《問題管理程序》對問題原因的預先識別、分析、管理直至關閉，以減少對業(yè)務的影響。對問題過程應確定以下方面內(nèi)容:a)確定問題；b)記錄問題；c)優(yōu)先順序分配；d)分類；e)更新記錄；f)升級；g)解決；h)關閉。8.2.2運維部根據(jù)日常檢查、測試、事故數(shù)量和類型的趨勢分析等糾正措施，識別潛在問題、確定其根本原因和其潛在的預防措施。所有被識別的問題都應該得到記錄。8.2.3在問題得到解決后，運維部將相關信息應加入問題知識庫，同時升級所有相關文件，如用戶指南和系統(tǒng)文件。應對該問題解決的有效性進行監(jiān)測，復審和報告。8.2.4記錄對服務或問題管理過程的改進，并作為服務改進計劃的輸入,同時最新的已知的錯誤和問題解決方案應提供給事件管理和服務請求管理流程。9控制過程9.1配置管理9.1.1信息管理部應根據(jù)《配置管理程序》的要求，評估所有與IT服務相關的重要資產(chǎn)和配置項，識別、定義、維護IT服務和基礎設施的組件，明確配置項之間的關系、屬性和作用，定義命名規(guī)范、版本號，制訂和實施《配置項分類定義表》，以確保有效管理IT資產(chǎn)和配置。9.1.2每個配置項均有唯一標識，并記錄在CMDB中,同時每個配置項記錄的信息記錄應包括:a)配置項的說明；b)配置項和其它配置項之間的關系；c)配置項和服務組件之間的關系；d)狀態(tài)；e)版本；f)位置；g)有關更改請求；h)相關的問題和已知錯誤。9.1.3被管理的配置項主要包括：信息系統(tǒng)、相關文檔、例如要求規(guī)范、發(fā)布文檔、備份和電子資料庫、服務相關文檔、例如服務級別協(xié)議、活動程序、服務支持設施。9.1.4信息管理部根據(jù)配置項之間的關系、屬性、狀態(tài)類別、重要程度和優(yōu)先級，確定配置管理數(shù)據(jù)庫的范圍、分解的層數(shù)、詳細的程度，完成配置管理數(shù)據(jù)庫的構建。9.1.5信息管理部制訂《配置管理計劃》，并每年末進行更新。主要包括：配置管理的范圍、目標、策略、標準角色和責任、配置管理過程定義服務和基礎設施中配置項，配置控制變更，記錄和報告配置項情況，證實配置項的完整性和正確性責任、可檢索、可審計的要求，如出于安全、法律、規(guī)章或業(yè)務目的、配置控制、資源管理策劃和建立，以便使資產(chǎn)和配置受控，并維持配置管理系統(tǒng)，如培訓活動、與配置相關的供應商管理要求和活動。9.1.6信息管理部在配置管理過程中應監(jiān)控配置項的整個生命周期，確保只有被授權且可識別的配置項才被接受，并記錄從接受到銷毀的全過程；沒有被認可的變更請求，不能添加、修改、替換或刪除配置項。9.1.7信息管理部應保存有效的配置記錄，以反映配置項狀態(tài)、位置和版本的變化，并通過各種狀態(tài)監(jiān)控配置項的變更，例如訂購、接收、使用、變更。配置項的更新信息應作為配置管理計劃和變更管理的輸入。9.1.8為保護系統(tǒng)、服務和基礎設施的完整性和安全性，配置項信息應被保存在一個安全環(huán)境。應：保護其不受未授權訪問、變更或破壞、提供災害后恢復方法、對受控軟件、測試產(chǎn)品和支持文檔等備份的恢復進行限制。9.1.9配置評審程序應包含缺陷記錄、執(zhí)行糾正措施和報告結果。9.1.10信息管理部應定期填寫《配置項管理記錄》，包括：配置項最新版本、配置項的位置和軟件主要版本的位置、相互依賴關系、版本歷史。在任何時候都可核對配置項以下內(nèi)容：服務配置項或系統(tǒng)、變更、基準線、開發(fā)或發(fā)布、版本或變量。9.1.11信息管理部應定期組織相關部門實施配置認可和審核活動，并檢查是否有充分的資源以支持：保護物理配置和公司的知識資本、確保公司控制其配置、原件和許可證、確保配置信息是準確、可控、可見。9.1.12信息管理部應確保變更、發(fā)布、系統(tǒng)或環(huán)境符合其合同約定或事先約定的要求且配置記錄是準確的。9.1.13在審核中出現(xiàn)的缺陷或不符合項應被記錄、評估和改進。9.2變更管理9.2.1信息管理部根據(jù)公司業(yè)務需要或客戶需求，按照《變更管理程序》制訂《變更計劃》。應考慮：清晰定義變更的范圍、在變更管理控制下的配置項、使業(yè)務增值的變更才能被認可，例如商業(yè)的、法律的、規(guī)章的、法令的、根據(jù)優(yōu)先級和風險為變更安排時間、在變更實施中驗證配置項變更、需要時監(jiān)控并改進變更實施時間。9.2.2信息管理部在組織開展變更時，還應在變更計劃中對具體實施進行說明：發(fā)起、記錄和分類、評估變更對服務、客戶和發(fā)布計劃的影響、緊急程度、成本、收益和風險、如果沒有成功時可以恢復或修訂、備案，如變更請求與受影響的配置項、更新后的實施和發(fā)布計劃版本、根據(jù)變更的類型、大小和風險，得到變更負責方的認可或拒絕、由負責變更組件的團隊負責人進行實施、測試、驗證、取消、結束和評審、時間安排、監(jiān)控和報告、與事件、問題、其它變更和配置項記錄聯(lián)系。9.2.3信息管理部應將變更計劃安排的時間信息及時提供給與變更有關的人員，變更狀態(tài)和安排的實施時間應作為變更和發(fā)布時間安排的依據(jù)。9.2.4信息管理部應在變更實施后組織對其效果和改進記錄進行評審，評審結果應妥善保管并作為服務改進計劃的輸入。實施后評審應檢查：變更是否滿足目標、客戶對結果是否滿意、沒有預期之外的負面影響。9.2.5信息管理部應在《變更計劃》中考慮緊急變更的要求，識別緊急變更的需求、風險和必要性，定義緊急變更的內(nèi)容、范圍、級別、權限、接口、活動等，并在變更后評審。9.2.6信息管理部應對變更分析結果和結論采取相應的糾正、預防措施，并保存相關的記錄。9.3發(fā)布和部署管理9.3.1信息管理部根據(jù)《發(fā)布和部署管理程序》的要求，結合業(yè)務對信息系統(tǒng)、基礎設施、服務和文檔等進行策劃，識別發(fā)布的內(nèi)容、種類、層次、影響等，制訂發(fā)布策略來配置發(fā)布活動，包括：發(fā)布頻度和類型、發(fā)布管理的角色和責任、發(fā)布測試和實施的授權、所有發(fā)布的唯一標識和描述、分組變更以進行版本發(fā)布、為提高效率和可重復性，建立、安裝、發(fā)布分發(fā)過程自動化方法、發(fā)布的驗證和接受。9.3.2信息管理部根據(jù)需要負責制訂《發(fā)布計劃》，確保相關的信息系統(tǒng)、基礎設施、服務和文檔得到認可、授權、預定、協(xié)調(diào)和跟蹤。一般包括：發(fā)布日期和交付描述、本次發(fā)布關閉或解決的相關變更、問題和已知錯誤，以及在發(fā)布測試期間被識別的已知錯誤、在可行的情況下，為每個實施地點制訂一份活動計劃、如發(fā)布失敗，可以被撤銷或修復的方式、驗證和驗收過程、對客戶和服務支持人員的交流、準備、備案和培訓、采購、存儲、分發(fā)、聯(lián)系、接受和銷毀商品的后勤工作和過程、確保服務級別所需的支持資源、可能對發(fā)布測試和實施造成影響的相關變更和風險的標識、與相關人員、客戶代表安排的更新、評審會議。9.3.3當進行重大升級時，信息管理部組織安排仿真環(huán)境的驗證和評審，確保發(fā)布進入生產(chǎn)時與預期狀態(tài)一致。發(fā)布的結果包括發(fā)布通告、安裝指南、基于相關配置基準線的已安裝軟硬件等。9.3.4信息管理部按《發(fā)布計劃》的安排，組織上線實施工作。并及時向業(yè)務部反饋上線成功的驗證信息。如果發(fā)布未成功，則應按《發(fā)布計劃》中制訂的回退計劃的內(nèi)容，實施回退操作，并將發(fā)布情況及時報告業(yè)務部。9.3.5信息管理部對發(fā)布未成功的原因進行確認，如需重新實施變更，則按《變更管理程序》的要求執(zhí)行。如屬潛在問題引起的發(fā)布未成功，則應按《問題管理程序》的要求執(zhí)行。9.3.6發(fā)布成功后，信息管理部應及時將發(fā)布信息對配置管理數(shù)據(jù)庫進行更新,并對事件、問題知識庫進行更新。9.3.7體系中心負責發(fā)布文檔的保存。并負責上線文檔的保存。9.3.8體系中心組織對信息服務系統(tǒng)的運行監(jiān)控，收集系統(tǒng)運行信息，并做分析和報告結果。附錄1信息服務管理職能關系架構圖附錄2公司信息服務管理體系職能分配表服務管理體系過程管理層體系中心人力資源部信息管理部4.1管理職責★ΔΔΔ4.1.1管理承諾★ΔΔΔ4.1.2服務管理方針★ΔΔΔ4.1.3權限、職責和溝通★ΔΔΔ4.1.4管理者代表★ΔΔΔ4.2其他方運行過程的治理★ΔΔΔ4.3文件管理Δ★ΔΔ4.4資源管理Δ★ΔΔ4.5建立和改進服務管理體系4.5.1定義范圍★ΔΔΔ4.5.2策劃服務管理體系（策劃）★ΔΔΔ4.5.3實施和運行服務管理體系（實施）★ΔΔΔ4.5.4監(jiān)視和評審服務管理體系（檢查）★★ΔΔ4.5.5維護和改進服務管理體系★★ΔΔ5策劃和實施新服務或變更的服務ΔΔΔ★6.1服務級別管理ΔΔ★6.2服務報告ΔΔΔ★6.3服務連續(xù)性和可用性管理ΔΔΔ★6.4服務的預算和核算ΔΔ★★6.5能力管理ΔΔΔ★6.6信息安全管理Δ★Δ★7.關系過程7.1業(yè)務關系管理ΔΔΔ★7.2供應商管理ΔΔΔ★8.解決過程8.1事件和服務請求管理ΔΔΔ★8.2ΔΔΔ★9.1配置管理ΔΔΔ★9.2變更管理ΔΔΔ★9.3發(fā)布和部署管理ΔΔΔ★注：“★”為主要職能，“☆”為配合職能附錄3信息服務管理程序文件清單序號文件編號文件名稱版次編制部門保存部門保存期限2ITSMS-B-01文件和記錄控制程序A0體系中心體系中心長期3ITSMS-B-02管理評審程序A0體系中心體系中心長期4ITSMS-B-03內(nèi)部審核程序A0體系中心體系中心長期5ITSMS-B-04人力資源控制程序A0體系中心體系中心長期6ITSMS-B-05新的或變更的服務設計管理程序A0體系中心體系中心長期7ITSMS-B-06服務級別管理程序A0體系中心體系中心長期8ITSMS-B-07可用性與信息服務持續(xù)性管理程序A0體系中心體系中心長期9ITSMS-B-08信息服務的預算和核算管理程序A0體系中心體系中心長期10ITSMS-B-09能力管理程序A0體系中心體系中心長期11ITSMS-B-10信息安全管理程序A0體系中心體系中心長期12ITSMS-B-11業(yè)務關系管理程序A0體系中心體系中心長期13ITSMS-B-12供方管理程序A0體系中心體系中心長期14ITSMS-B-13事件管理程序A0體系中心體系中心長期15ITSMS-B-14問題管理程序A0體系中心體系中心長期16ITSMS-B-15配置管理程序A0體系中心體系中心長期17ITSMS-B-16變更管理程序A0體系中心體系中心長期18ITSMS-B-17發(fā)布和部署管理程序A0體系中心體系中心長期19ITSMS-B-18糾正和預防措施控制程序A0體系中心體系中心長期20ITSMS-B-19服務報告管理程序A0體系中心體系中心長期21ITSMS-B-20服務改進控制程序A0體系中心體系中心長期22ITSMS-B-21容量流程管理程序A0體系中心體系中心長期附錄4：業(yè)務流程圖合同、訂單的接收成本核算報價重新報價合同訂單簽訂和實施可行性和風險分析及評估合同、訂單的接收成本核算報價重新報價合同訂單簽訂和實施可行性和風險分析及評估與產(chǎn)品有關的要求的評審與產(chǎn)品有關的要求的確定確確定要求的確定附錄5部門分解目標分解部門分解項目目標值體系中心體系文件受控率100％人力資源部員工信息安全崗前培訓率100％信息管理部數(shù)據(jù)錯誤率＜0.2%數(shù)據(jù)外泄事件0回復及時性（溝通、投訴）＜24小時服務滿意率≥90%信息外泄事件＜0文件和記錄控制程序文件編號：ITSMS-B-01版本：A/0頁碼：第3頁共4頁版本更改履歷制訂/修訂審批生效日期A/0新版***編制*審核*批準*日期2021-01-02日期2021-01-02日期2021-01-02分發(fā)欄：⑴市場中心⑵項目中心⑶模具中心⑷采購部⑸品質中心⑹貨倉課⑺財務部⑻總經(jīng)辦⑼人力資源中心⑽設備課⑾計劃部⑾生產(chǎn)中心1.目的對管理體系文件和記錄進行控制，確保各部門、場所可及時得到并使用有效的版本。2.范圍適用于公司對IT服務質量管理體系文件的控制。3.職責3.1總經(jīng)理負責IT服務質量管理體系手冊的批準；3.2管理者代表負責IT服務質量管理體系手冊的審核以及程序文件和工作文件的批準；3.3各部門負責程序文件和工作文件等的制定和維護，部門經(jīng)理負責審核；3.4各部門負責收集與本部門有關的外來文件，體系中心對外來文件進行管理；3.5體系中心負責文件控制的歸口管理，各部門負責文件控制的實施管理；各部門文件管理員負責本部門的文件及記錄的管理；3.6各部門針對實際情況，規(guī)定與本部門有關的記錄(包括公司內(nèi)部記錄和外來記錄)的分類、標識、檢索、保存期限、處置方式。應明確記錄的使用范圍，記錄需要交付的人員、方式、時間要求、查閱和借閱辦法等，記錄實施、配合管理部門與歸口管理部門的記錄遞交方式等。4.工作流程4.1文件的分類、編號和標識文件分為手冊、程序文件、作業(yè)指導書、記錄、外來文件。管理手冊編號：ITSMS-01-XX程序文件編號：ITSMS-02-XX作業(yè)指導書編號：ITSMS-03-XX記錄編號：ITSMS-04-XXX外來文件保留原有版本的編號。文件和資料分為受控文件和非受控文件。凡是影響到公司服務質量的文件均為受控文件，受控文件一律加蓋“受控”章標識。4.2文件更改和換版的標識、方式：版次：A、B、C、D·····Z修訂次數(shù)：0、1、2、3、……9，4.3修改流程文件修改需要編寫修訂說明，文件的修改方式分為如下幾類：小范圍修改只改變修訂次數(shù)。大修用改版方式，改版號依次為：A、B、C、D·····Z。4.4文件的編寫/更改、審核與批準各部門負責人組織編寫相關的工作文件及相關表格。IT服務管理手冊和程序文件由體系中心編寫/更改，管理者代表審核，總經(jīng)理批準。部門工作文件（含記錄）由各部門編寫/更改，部門經(jīng)理審核及批準。4.5文件的發(fā)放、回收、借閱與保護受控文件的發(fā)放由資料管理員按發(fā)放范圍通過郵件發(fā)放文件。文件如破損、丟失時，領用人發(fā)送向資料管理員申請補發(fā)，通過郵件發(fā)放文件。提供給顧客的文件，資料管理員在通過郵件發(fā)放，發(fā)放為PDF格式并打上公司的底紋水印和進行可編輯的加密，備注