1、文件編號：修訂狀態：A0服務管理體系手冊文件版本： A受控狀態：發布實施日期：2015- 09 -28密級：內部公開文檔修改記錄序號版本號修改頁碼及早節修改日期修改人批準人1A/0新建目錄0.概述10.1手冊管理10.2發布令20.3公司簡介20.4管理者代表任命書 30.5引用標準41.目的及適用范圍 51.1 目的51.2 IT服務管理方針51.3 IT服務管理目標51.4 范圍51.5 IT服務相關職責62 . 術語和定義103. 管理體系要求113.1 管理職責113.2 其他方運行過程的治理 123.3 文件管理123.4 資源管理124. 服務管理的策劃與實施 144.1 服務管理

2、的策劃（計劃） 144.2 實施服務管理并提供服務（實施） 154.3 監視、測量和評審（檢查） 164.4 持續改進（改進） 174.4.1 策略174.4.2 管理改進174.4.3 改進活動175. 設計和轉換新的或變更的服務 186. 服務交付過程196.1 服務等級管理 196.2 服務報告196.3 服務連續性及可用性管理 206.4 IT服務的預算及核算管理 206.5 能力管理216.6 信息安全管理217. 關系過程237.1 業務關系管理237.2 供應商管理238. 解決過程248.1 事件和服務請求管理 248.2 問題管理259. 控制過程269.1 配置管理269.

3、2 變更管理269.3 發布和部署管理 27附件1 :程序文件清單 29附件2 :職責分配表 300.概述0.1 手冊管理a) 本手冊由管理者代表審核、總裁批準發布實施；b) 本手冊適用于XXXX所有與IT服務業務有關的部門和員工；c) 本手冊分為“受控”和“不受控”兩類；d) “受控”版本是現行有效版本，隨 XX內外環境的變化而修訂。e) “不受控”版本是參考版本，一般不作修訂，主要用于XX宣傳介紹、顧客f) XX每年通過管理評審評價IT服務管理體系的適宜性、充分性、有效性， 以確定本手冊是否需要進行修訂；g) 本手冊每換一版，版本號增加1。每修訂一次，修訂狀態號增加1，當出現 大的修訂時，

4、調整大版本號標識，由 A依次調整為B、C。h) 本手冊版本號：VA/O。發布時間：2015年9月20日編制：審核：批準：0.2 發布令IT服務管理手冊是依據ISO/IEC 20000-1 : 2011信息技術一服務管理一服 務管理體系要求國際標準制定的，是XXXXIT服務管理體系的基本綱領性文件。本手冊對XX的IT服務管理方針、目標作出了規定，闡述了 XXIT服務管理的角色和職 責，以及在各類IT服務管理工作中所必須遵守的基本方針和原則。IT服務管理手冊是IT服務管理體系的基本準則，如有與IT服務管理手冊 沖突的其它文件，以本手冊為準。IT服務管理手冊同時代表了 XX對顧客的承諾。 本手冊自2

5、015年9月20日起發布實施，公司所有員工必須遵照執行。批準人：2015年 9 月 20 日0.3 公司簡介【簡介內容】0.4管理者代表任命書茲任命XX副總裁為XXXX管理者代表，負責建立、實施和保持本公司的IT服務管理體系，并進行相關的管理工作。保證本公司的IT服務管理體系有效運行，不斷地改進提高。總總裁:2015年 9 月 20 日0.5引用標準a) ISO/IEC 20000-1: 2011信息技術一服務管理一Part 1:服務管理體系要求b) ISO/IEC 20000-2: 2012信息技術一服務管理一Part 2:服務管理體系應用指南1.目的及適用范圍1.1 目的本手冊依據ISO/

6、IEC 20000-1: 2011信息技術一服務管理一Part 1:服務管理體 系要求和公司的IT服務業務實際情況相結合編制而成，旨在規定 XX的IT服務管 理體系的要求。本手冊描述了公司IT服務部門為達到高質量IT服務所采用的IT服 務管理框架，其直接目的是：a）公司IT服務部門承諾為客戶提供高質量的IT服務；b）通過體系的建立、實施和持續改進，提高客戶的滿意度。1.2 IT服務管理方針IT服務管理方針是由總裁發布的公司總的IT服務管理宗旨和方向，面向公司全 體員工發布。XX的IT服務管理方針是：1.3 IT服務管理目標見公司服務管理目標管理計劃1.4 范圍a）本手冊之規定適用于公司所有和I

7、T服務業務有關的部門和人員；具體涉及部門 及角色見IT服務管理組織結構圖；b）涉及的場地范圍為：XX ；c）涉及的業務范圍為：IT信息系統的運維服務。d） 本手冊規定了公司IT服務管理體系的要求，確定了 IT服務管理方針、IT服務 管理目標和流程，是公司與IT服務管理體系運行相關的部門和人員必須共同遵守的基本法規。e) 公司IT服務管理體系包括ISO/IEC 20000-1: 2011標準要求的全部內容，不做 刪減。公司IT服務管理管理體系組織結構【組織結構圖】1.5 IT服務相關職責總裁? 對建立、實施工作體系并持續改進其有效性的管理承諾提供證據；? 向公司傳達滿足客戶和法律法規要求的重要性

8、；? 制定公司戰略規劃、服務管理方針及服務管理目標；? 組織每年進行管理評審；? 確保為服務管理體系的有效運行配備必要的資源；? 確保客戶需求得到滿足；? 通過確定公司組織架構，確保組織內的職責、權限得到規定和溝通。管理者代表? 負責建立、實施和保持公司的IT服務管理體系，并進行相關的管理工作；? 分配權限和職責，確保依據服務管理的方針和目標設計、實施和提高服務管理過程；? 制定必要的服務改進計劃和程序，采取糾正和預防措施以滿足IT服務管理體系的持續改；? 定期進行服務改進評審并適時召開特別會議；? 保證公司的IT服務管理體系有效運行，不斷地改進提高；? 向組織傳達滿足服務管理目標和持續改進的

9、重要性；? 指導公司IT服務管理流程的運行，并評審流程的適宜性；? 向總裁報告目標和方針的建立和實現情況。XX部?參與公司運維業務的市場需求分析、業務拓展計劃擬訂和市場推廣工作；?負責擬制IT服務管理相關服務計劃并執行；?負責組織制定公司服務手冊、服務目錄；?負責運維業務相關解決方案的策劃、制訂和售前支持工作；? 協助推動運維業務相關商務合作關系的建立；?負責組織進行考試平臺的應用開發，擬訂項目計劃，進行設計開發，跟蹤項 目進度，控制項目成本及質量等；? 運維服務：負責各業務系統的日常運維工作，主要職責如下：1）按照與客戶簽訂的技術協議開展日常一、二 、三線運維工作；2）收到客戶投訴，第一時間

10、告知運維管理專員，并積極配合運維管理專員 減少突發事件對業務的影響；提高事件響應速度，縮短事件解決時間；3）收集整理用戶問題、需求解決方案，記錄各系統運維常態問題，建立運 維知識庫。4）運維項目經理按期編制工作匯報發送至客戶及公司運維管理專員，對當期整體運維工作情況做匯報（問題數、及時率、完成率、遺留率）。人力資源部?負責制定并完善公司人力資源管理體系，編制所需人力資源管理程序文件及 工作標準，組織推動和督導實施。? 參與公司組織結構設計，組織開展職位分析及評價，定編定員管理；?負責組織公司核心能力識別及任職資格評價管理等。?負責招聘渠道開發及維護，招聘過程組織及管理，選拔及測評工具開發，人

11、員配置等。?負責公司員工培訓計劃的制定及管理，培訓課程設計及開發，培訓組織及激 勵，培訓效果評估等。?負責組織公司員工績效管理系統的實施，匯總分析績效結果并應用。?負責員工薪酬及激勵管理體系設計，組織開展薪酬調研及分析，組織開展定 薪及調整管理，負責員工薪酬擬定及核算，負責人工成本分析及管理，負責 福利方案制定及實施。負責公司員工福利計劃的制定并組織實施。?負責員工勞動關系的建立和維護，人事關系轉移、檔案維護，勞動爭議的處 理及風險控制，離職管理等。負責員工考勤管理，負責員工信息管理、維護 及分析。XX部? 負責公司服務管理體系文件的總歸口管理； 負責IS020000月艮務管理體系的運 行；?

12、軟硬件產品開發過程監控與測試；?開發技術考核；產品生產過程監控與測試；?售后服務、項目實施等項工作的質量監督；?負責配合相關部門做好產品服務或技術支持；? 負責依據管理評審報告，對本公司管理體系的整體結構和有關的管理體系 文件提出改進設想，經管理者代表審核，總裁批準后及時更改；?負責所有受控文件（包括管理體系文件和技術文件）和資料的管理和控制；?負責將本公司所有與管理體系運行有關的記錄進行收集匯總，形成記錄的原 始樣本，并編制記錄總清單，負責保存與內審有關的記錄；?相關制度的制定。XX部?計算機設備、網絡設備、耗材等物品的采購與銷售；?固定資產采購與維護；?負責編制采購計劃，并負責原材料、輔助

13、材料的采購；?負責采購物資不合格品的處置；?供方的管理：拓展采購渠道，供方的選擇,按計劃進行供方入圍招標工作，供方 的業績評定等工作；?負責公司文件、行政規章制度和管理規范的起草、制定，及文件的歸檔和管理；?負責公司會議的組織與落實；?負責公司安全管理（包括水、電等），監督檢查安全防范工作的落實情況，及 時發現和消除各種安全隱患，并予以處置或上報；? 負責組織辦公設施（主要為電話機、傳真機、復印機、辦公家具、廠房及宿 舍等）的維修；?相關制度的制定。財務部?負責年度財務預算目標的編制及平衡；根據公司年度的經營目標編制財務預算報告；按業務分解落實收入、成本、利潤、回款指標，保證預算目標的完成。編

14、制部門成本、項目成本費用預算，進行控制、監督。?負責稅務管理；?負責財務分析、財務報告的編制。市場部?負責公司市場分析、市場推廣、市場宣傳工作和大客戶關系維護及全過程跟蹤工作；負責收集和分析客戶項目信息，擬定分析評估報告；?負責公司營銷區域布點和各營銷區域的協調管理工作；負責與項目部門的銜 接和協同工作。?負責公司相關行業政策法規、產業信息、集中招標等信息的收集整理和反饋；?負責進行客戶關系維護、項目/問題反饋處理、服務質量監督，協助項目部門 進行項目跟蹤及合同洽談，工作職責如下：1）客戶關系維護負責與關鍵用戶直接對口溝通，了解客戶整體運維投入、年度運維計劃 及項目概況幫助項目部門開展市場工作

15、，進行客戶中、高層關系維護，并 配合項目部門做基層關系維護，協助用戶開展運維服務滿意度調查。2）運維業務考評與項目部門直接對口溝通，對運維工作情況實時跟蹤。協助項目部門提 升運維指標，客觀、全面、公正的評價運維人員的工作。3）投訴處理當產生對運維工作不滿的投訴時，組織相關人員進行處理。2.術語和定義本手冊采用ISO/IEC 20000-1: 2011信息技術一服務管理一Part 1:服務管理體系要求中的術語和定義。3. 管理體系要求3.1 管理職責管理承諾最高管理者應通過領導并采取措施，對其策劃、建設、實施、運行、監控、評審、 維護和改進IT服務管理體系和服務并滿足顧客要求的承諾提供證據。管理

16、者應：a) 建立和溝通服務管理的范圍、方針、目標；b) 確保服務管理計劃的創建、實施和維護，以堅持服務方針、實現服務目標和 滿足服務需求；c) 規定服務管理的職責、權限，并溝通；d) 向組織傳達滿足服務需求和持續改進的重要性；e) 向組織傳達法律法規要求和合同義務的重要性；f) 確保客戶要求的確定與滿足，旨在增強顧客滿意；g) 確保提供充足的資源；h) 制定并評審服務管理方針；IT服務管理方針見1.2；i) 授權多個管理者負責所有服務管理流程的協調與執行；j) 確定并提供策劃、實施、監視、評審和改進服務交付和管理所需的資源，如 調配合適的人員，管理人員的更新；k) 管理IT服務管理體系組織和服

17、務的風險；l) 按計劃的時間間隔進行IT服務管理評審，以確保其持續的適宜性、充分性和 有效性。IT服務管理評審過程參見流程文件管理評審程序。權限、職責和溝通最高管理者應：確保依規定服務管理的職責、權限，并溝通；建立并實施書面的溝通程序。參見流程文件人力資源管理程序和信息溝通管理程序。管理者代表管理者代表由總裁制定，負責代替總裁理行使日常IT服務管理職責，具體資助描述參見1.53.2 其他方運行過程的治理公司識別所運行的全部過程，針對內部團體，公司通過確定IT服務管理角色，明確各崗位職責及資格；對公司的客戶，公司建立日常維護流程業務關系管理程序和顧 客滿意度測量控制程序 以確保服務需求被滿足；對

18、于公司由外部人員運行的服務，公 司通過建立供應商管理程序對其進行控制和監督。3.3 文件管理文件控制公司應提供文件和記錄，以確保IT服務管理的有效策劃、運行和控制。文件應包括：a) 文件化的服務管理方針、目標和計劃；b) 服務目錄文件；c) 文件化的服務等級協議；d) ISO/IEC20000所要求的形成文件的過程和流程；e) 附加的文件，保證IT服務管理體系運行有效和服務交付必要的文件，包括外 部來源文件；f) ISO/IEC20000所要求的記錄。應建立不同類型文件和記錄的編制、評審、批準、保持、銷毀和控制的程序和職責。具體文件管理參見流程文件文件和資料控制程序記錄控制為符合要求和確保服務

19、管理體系有效運行，公司建立記錄控制程序，對公司體系運行記錄進行控制。3.4 資源管理資源提供：應確定和提供以下活動所需的人員、技術、信息和財務資源：a) 建立、實施和維護服務管理體系和服務，并持續改進它們的有效性；b）通過提供滿足服務需求的服務增強客戶的滿意度。342人力資源：應定義并保持所有服務管理者的角色和職責以及有效履行這些角色和職責所需的能 力。應評審并管理人員的能力和培訓需求，以確保他們能夠有效履行他們的角色。最高管理者應確保其員工及基層單位信息崗位人員認識到所從事活動的相關性和重 要性，以及如何為實現服務管理目標做出貢獻。人力資源部每年根據體系要求，評價IT服務管理人員的能力，任命

20、相關崗位，并通過定期培訓，不斷提高IT服務管理人員的能力和意識，確保IT服務管理體系的正常運作和持續改進。本章節參見流程文件人力資源管理程序、崗位說明書、培訓管控制程序。4. 服務管理的策劃與實施本體系的建立采用PDCA方法。PDCA描述如下：a）計劃：建立符合客戶要求和組織策略的交付結果所需的目標和過程;b）實施：實施這些過程；c）檢查：根據策略、目標和要求監視并測量這些過程，并報告結果；d）改進：采取措施持續改進過程績效。PDCA方法在服務管理過程中的應用4.1服務管理的策劃（計劃）總裁應指定軟件產品研發部人員具體策劃服務管理的實施與交付。策劃的內容至少 應包括以下方面的內容：a）服務提供

21、商的服務管理的范圍；b）服務管理所要實現的目標和滿足的要求；c）影響服務管理體系的已知限制；d）方針、標準、法律法規需求和合同義務；e）將要執行的過程；f）管理角色和職責的框架，包括高層負責者、過程所有者及供方管理；g）服務管理過程和活動協調方式之間的接口；h）在實現既定目標的過程中擬采用的識別、評估和管理問題和風險接受準則所采取的方法；i）創建或修改服務的項目接口方法；j）實現既定目標所需的資源、設施和預算；k）適用的支持過程、技術和工具；l）管理、審核和改進服務質量的方法。應建立清晰的評審、授權、傳達、實施和保持計劃的管理指導，并規定文件化的職 責。過程負責人負責必要時對各自的過程進行策劃

22、，所以計劃應與IT服務管理計劃相一致。4.2實施服務管理并提供服務（實施）IT服務管理涉及的公司各部門根據IT服務管理目標和IT服務管理計劃，實施IT服 務管理并交付服務，內容包括：a）資金及預算分配；b）職責、權限和過程角色的分配；c）記錄并保持每一過程或系列過程的方針、計劃、程序和定義；d）識別并管理服務風險；e）管理團隊，即招聘、開發合適的人員以及管理人員的連續性；f）設施和預算管理；g）管理團隊，包括服務臺和運營；h）監視和報告服務管理活動的績效；軟件產品研發部負責各服務管理過程的總體協調。IT服務管理過程包括如下圖各服務 過程，具體要求請見第6到9章。4.3 監視、測量和評審（檢查）

23、IT服務部門采用適宜的方法來監視服務管理過程，并在適當時進行測量。這些方法 應證實過程實現所策劃的結果的能力。公司每年至少進行一次內部審核和管理評審，以確定服務管理要求是否：a）符合服務管理計劃及本標準的要求；b）得到有效實施與保持。應策劃審核方案，策劃時應考慮擬審核的過程和區域的狀況和重要性以及以往審核 的結果。應在程序中規定審核的準則、范圍、頻次和方法。審核員的選擇和審核的實施 應確保審核過程的客觀性和公正性。審核員不應審核自己的工作。應記錄服務管理評審、評估和審核的目標及發現，以及識別的任何整改措施。與相 關方溝通不符合或關注的重要區域。內部審核具體過程參見程序內部審核控制程序。服務管理

24、評審過程參見程序文件管理評審控制程序。4.4 持續改進（改進）441 策略應具備公開發布的服務改進的方針，應補就任何與標準或服務管理計劃的不符合/不合格。應制定書面的流程，包括識別、記錄、評估、批評、排定優先級順序、管理、測 量和報告改進的權限和職責。應規定清晰的服務改進活動的角色和職責。在IT服務管理改進過程中各角色及其職責如下：IT服務管理者代表：制定必要的服務改進計劃和程序，采取糾正和預防措施以滿 足IT服務管理的持續改進；定期進行服務改進評審并適時召開特別會議；服務管 理負責人應確保足夠的響應所有評審和審核的改進計劃，且計劃的改進措施配備 了足夠的資源；負責授權改進計劃。軟件產品研發部

25、：討論與改進措施相關的問題。應幫助策劃和監控改進。各流程管理負責人：負責改進各服務過程的質量；定期評審各過程的不符合和缺 失，提出改進建議并根據計劃實施改進活動；向管理者代表報告服務改進的相關 活動和進展情況。內審員：參與實施內部或外部審核。負責識別ITSMS實施和運行中的不符合。管理改進應評估、記錄、排定優先順序并授權所有建議的服務改進。應使用服務改進計劃來 控制服務改進活動。各服務提供人員應實施過程以識別、測量、報告并管理持續的改進活動。應包括：a）流程管理經理可使用日常的人力資源來實施單個過程的改進，即實施單個的糾正和預防措施；b）整個組織或涉及多個過程的改進。改進活動IT服務管理涉及部

26、門應采取下列活動：a）收集并分析基線數據，調整組織的管理和交付服務管理能力;b）識別、策劃并實施改進；c）咨詢所涉及的所有相關方；d）設定質量、成本和資源使用方面的改進目標；e）從服務管理過程的所有方面考慮改進的相關輸入；f）評價、報告并傳達服務改進情況；g）需要時，更新服務管理策略、計劃和程序；h）確保所有的改進措施都被執行，并實現其預期目的 持續改進過程見糾正措施和預防措施控制程序5. 設計和轉換新的或變更的服務IT公司內部發起的或由客戶提出的新服務或變更服務在實施前均應進行重新策劃。 服務管理涉及新的或變更服務的方案應考慮由服務交付和管理所導致的成本、組織的、 技術的和商業上的影響。新的

27、或變更的服務的實施（包括服務終止），應進行策劃并經過正式變更管理批準 策劃和實施應包括服務交付和管理所需的資金和資源。計劃應包括：a）設計、開發和轉換活動的權限和職責；包括顧客和供方將實施的活動；b）現有服務管理框架和服務的變更；c）與相關方溝通；d）新的或變更的合同和協議以與業務需求的變更保持一致；e）人力資源及招聘和技術、信息、財務的要求；f）技能和培訓的要求，如用戶和技術支持人員；g）將使用的與新的或變更的服務有關的過程、測量、方法和工具，如容量管理和財務管理；h）預算和時間表；i）識別、評估和管理風險；j）新的或變更的服務的測試要求；k）服務接收準則；l）以可測量的術語表示的提供新的或

28、變更的服務而產生的語氣結果。在進入現實環境實施之前，新服務或已變更服務應由公司指定的人員進行驗收。項 目負責人應在實施之后針對策劃的內容報告新服務或已變更服務達成的結果。新服務或 已變更服務實施后，應通過變更管理過程進行評審，以對實際成果與策劃內容進行比較 本章節參見程序文件 新服務或變更服務控制程序。6. 服務交付過程6.1服務等級管理目標：定義、協商、記錄并能管理服務等級。所有方面應協商并記錄：所提供的服務、相應的服務等級目標以及工作量特性。應在一個或多個服務等級協議（SLAs）中書面規定所約定的服務。所有相關方應協商并記錄服務等級協議 （SLAs）、支持性服務約定、供方合同和相應 的流程

29、。服務等級協議（SLAs）應處于變更管理過程的控制之下。應通過所有相關方定期評審的方式來保持服務等級協議（SLAs），以確保服務等級協議的更新和持續有效。應根據目標來監視并通報服務等級，報告中應展示當前的信息以及發展趨勢。應報 告并評審不符合的原因。應記錄這一過程中所確定的改進措施，并作為服務改進計劃的 輸入。詳細過程參加服務級別管理程序。6.2 服務報告目的：為有效溝通和制定決策而及時編制的可靠的、準確的并達成一致的報告 每一服務報告應清晰闡明其標識、目的、目標讀者以及數據來源。應編制服務報告以滿足確定的需求和客戶要求。服務報告應包括：a）與服務水平目標相比較的業績；b）不符合及問題，即違反

30、服務等級協議及安全違規；c）工作量特征，包括工作量和周期性變化；d）重大事故的報告，即重大事件或變更；e）趨勢信息；f）客戶滿意度分析。應考慮服務報告的發現并據此確定管理決策和糾正措施，并與相關方溝通。詳細過程見服務報告控制程序6.3 服務連續性及可用性管理目的：確保在所有情況下都可以實現向顧客承諾的服務連續性和可用性。應基于業務計劃、服務等級協議和風險評估來確定可用性及服務連續性要求。要求 應包括訪問權限、響應時間以及系統組件端對端的可用性。應開發可用性及服務連續性計劃，并每年至少評審一次，以確保從正常情況到主要 服務失效的所有情況下都可以滿足要求。應保持這些計劃以確保他們反映約定的、業務

31、所需的變更。當業務環境發生重大變更時，應重新測試可用性及服務連續性計劃。變更管理過程應評估變更對可用性及服務連續性計劃的影響。應測量并記錄可用性。應調查計劃之外的不可用并采取適當的措施。注：可行時，應預測潛在的問題并采取預防措施。當正常的辦公訪問被阻止時，應確保服務連續性計劃、合同列表和配置管理數據庫 的可用性。服務連續性計劃應包括返回正常工作狀態的內容。應依據業務需求對服務連續性計劃進行測試。應記錄所有的連續性測試，應在改進措施計劃中簡述測試失效的情況。詳細過程參加可用性管理程序和持續性管理程序。6.4 IT服務的預算及核算管理目的：制定預算并解釋服務提供成本。應為下列活動建立清晰的策略和流

32、程：a）應為所有的組件（包括IT資產、共享資源、企業的一般管理費用、外部提供的服 務、人員、保險和許可）制定預算并進行財務管理；b）分配服務的間接費用和直接成本;C）有效的財務控制和授權。應制定詳細的成本預算，以確保有效的財務控制和決策制定。公司應依據預算來監視并報告成本情況，評審財務預算并相應地進行成本管理；計 算服務變更的成本，并經過變更管理過程的批準。詳細過程參加IT服務的預算及核算管理程序。6.5 能力管理目的：確保公司在任何時候都有足夠的能力以滿足與顧客約定的、顧客當前和未來 的業務需求。實施能力管理，應編制并保持容量計劃。實施容量管理闡述業務需求并包括下列內容：a）當前和預測的能力

33、和績效要求；b）識別服務升級的時間表、限度和成本；c）評價預期的服務升級、變更請求、關于能力的新技術和方法的影響；d）預測外部變更的影響，如立法機構；e）預測分析所需的數據和過程。應確定監視服務能力、協調服務業績和提供充足能力所需的方法、程序和技術。 詳細過程參加能力管理程序。6.6 信息安全管理目的：在所有服務活動中有效管理信息安全。經過適當授權的管理者應批準信息安全策略，并傳達給所有相關人員，適用時與顧 客溝通。公司發布的信息安全策略見IS027001信息安全管理體系策略文件。為確保公司內部信息安全，應實施適當的安全控制以：a）實施信息安全策略的要求；b）管理與服務或系統訪問有關的風險。控

34、制措施應形成文件，闡述相關的風險以及控制措施的運營和保持方式。在實施變更前，應評估控制措施變更的影響。有些組織可以訪問信息系統和服務。有關這些組織的安排應基于正式的協議，協議 中應規定全部所需的安全要求。運維服務過程中的風險評估、風險處置及信息安全事件處置詳細過程參見IS027001文件風險評估控制程序、信息安全事件管理程序。經評估出的風險控制措施應在制 定服務計劃時予以考慮，以確保運維服務過程的信息安全。7. 關系過程7.1 業務關系管理目的：基于對客戶及其業務驅動的了解，形成并保持公司與客戶之間的良好關系。 公司應識別并記錄服務的利益相關方和顧客。公司和顧客應每年至少進行一次服務評審，來討

35、論服務范圍、服務級別協議、合同 或業務需求的任何變更，并按約定的時間間隔召開中間會議來討論進展、成績、問題和 改進計劃。這些會議應形成書面的會議記錄。也可邀請其他的服務利益相關方出席會議。如果出現合同變更，那么適當時在這些會議上應討論服務級別協議變更的問題。這 些變更應遵循變更管理過程。市場營銷部人員應了解業務需求及重大變更，從而為響應這些需求做好準備。公司應建立投訴處理流程，與顧客協商確定正式的服務投訴的定義。記錄、調查、 響應、報告并正式關閉所有的服務投訴。當不能通過正常渠道反饋投訴時，客戶應獲得 其他的升級渠道。市場營銷負責管理顧客滿意和整個業務關系過程，通過定期的顧客滿意度調查獲取反饋

36、并做出響應的過程。應記錄在這一過程中識別出的改進措施，并作為服務改進計劃 的輸入。詳細過程參見業務關系管理程序。7.2 供應商管理目的：確保所有供應商提供高質量的連續的服務服務提供商與供方的關系公司應記錄供方管理過程，并為每一供方指定合同管理者應就供方所提供服務的要求、范圍和等級以及溝通過程與所有方面達成一致，并在 相關協議或其他文件中書面記載。與供方簽訂的支持協議應與業務的服務等級協議保持一致。應協商并書面規定所有方面使用的過程接口。應清楚規定關鍵供方與分包方之間的角色及關系。關鍵供方應能夠展示確保分包方 能夠滿足合同要求的過程。應建立合同或正式協議的評審過程，以確保仍能繼續滿足業務需求和合

37、同要求。適當時，合同或服務等級協議的變更應緊隨評審之后或在其他要求的時間。任何變 化應遵從變更管理過程。應建立解決合同爭議的正式過程。應建立過程以管理服務的預期或提前終結或將服務轉嫁給他方。應根據服務級別目標來監視和評審業績。 應記錄在這一過程中確定出的改進措施并 作為服務改進計劃的輸入。詳細過程參見供應商管理程序。8. 解決過程8.1事件和服務請求管理目的：盡快恢復約定的業務，或響應服務要求。應記錄所有的事件。應建立流程來管理事件及服務請求的影響。流程應規定所有事件及服務請求的記錄、 優先排序、業務影響、分類、更新、調整、 解決和正式關閉。應通知客戶，使其了解其報告的事故或服務請求的進展情況

38、，當不能達到約定的服 務等級或無法完成約定的措施時應提前警告客戶。事故管理所涉及的所有人員應都應有權訪問相關的信息，如已知錯誤、問題解決方 案和配置管理數據庫等。應對重大事故進行分類并根據流程進行管理。詳細過程參見事件和服務請求管理程序。8.2 問題管理目的：通過事故原因的預先識別、分析、管理直至關閉，來最小化對業務的影響。 應記錄識別的所有問題。應建立程序以識別、最小化或避免事件或問題的影響。程序應規定所有問題的記錄、 區分類、更新、調整、解決和關閉。應采取預防措施，以減少潛在的問題，如事件數量和類型的趨勢分析之后的后續活 動。糾正問題的根本原因所需的變更應提交變更管理過程。應監視、評審問題

39、的解決并報告其有效性。問題管理者有責任確保事故管理者可獲得關于已知錯誤和已糾正問題的最新信息。 應記錄在這一過程中確定的改進措施，并作為服務改進計劃的輸入。詳細過程參見問題管理程序、事件和服務請求管理程序。9. 控制過程9.1 配置管理目的：規定并控制服務和基礎設施組件，并保持正確的配置信息。在進行配置管理的變更和策劃時應采用綜合方法。公司應規定與錯誤資產會計過程的接口。注：財務資產會計不屬于本章范圍。應制定關于配置項及組件定義的策略。應規定每一項目應記錄的信息，包括有效的服務管理所需的關系及文檔。配置管理應提供可識別的服務和基礎設施組件的識別、控制和追溯版本的機制。 控制的程度應充分滿足業務

40、需求、失效的風險和服務的重要性。配置管理應為變更管理過程提供與變更請求對于服務和基礎設施配置影響有關 的信息。適當時，配置項的變更應是可追溯的和可審計的， 如軟件和硬件的變更和活 動。配置控制流程應確保系統、服務和服務組件的完整性得到保持。應在發布到實際運行環境之前建立配置項的基線。數據配置項的主拷貝應控制在安全的物理或電子數據庫中，并參見配置記錄，如軟件、測試產品和支持文件。所有的配置項應能被唯一的識別， 并記錄在配置管理數據庫中。應嚴格控制對配 置管理數據庫的升級訪問。應主動管理并驗證配置管理數據庫， 以確保配置管理數據 庫的可靠性和準確性。需要的人員應可獲得配置項的狀態和版本、 位置、相關的變更 和問題以及相關的文檔。配置審計程序應包括記錄偏差、發起糾正措施和結果報告的內容。詳細過程參加配置管理控制程序。9.2 變