XXX有限公司ISO20000體系文件IT服務管理手冊文檔信息文檔編號：ITSM-01-QM-01文檔名稱：IT服務管理手冊起草人：審核人：批準人：生效日期：發布范圍：內部使用版本記錄版本號版本日期修改修改章節修改記錄

目錄TOC\o"1-4"\h\z\u目錄 III1 手冊批準頁 1IT服務管理手冊發布書 1IT服務管理者代表任命書 22 編寫目的 33 適用范圍 34 術語定義 35 IT服務管理體系總要求 35.1 認證范圍 35.2 認證標準 45.3 服務方針 45.4 服務目標 45.5 服務管理組織及職責 45.5.1組織架構 45.6 體系說明 45.6.1管理職責 55.6.1.1管理承諾 55.6.1.2IT服務管理政策 55.6.1.3權利、職責和溝通要求 65.6.1.4管理者代表權利與職責 65.6.2治理由其他方運行的流程 65.6.3文件要求 75.6.3.1文件的建立及維護 75.6.3.2文件控制 75.6.3.3記錄管理 85.6.4資源管理 85.6.4.1資源提供 85.6.4.2人力資源 85.7 服務管理體系&PDCA 95.7.1IT服務管理體系的計劃（Plan） 95.7.1.1將要執行的流程 105.7.1.2各流程之間的接口 105.7.2IT服務管理體系的建立(Do) 115.7.3IT服務管理體系的檢查(Check) 125.7.3.1內部審核 125.7.3.2管理評審 135.7.4服務管理體系的改進（Action） 135.7.4.1概述 135.7.4.2改進的管理 146 設計并轉換新的或變更的服務 146.1 總則 146.2 策劃新的或變更的服務 146.3 設計和開發新的或變更的服務 156.4 轉換新的或變更的服務 167 服務交付過程 167.1 服務級別管理 167.2 服務報告管理 177.3 連續性與可用性管理 177.3.1服務的連續性與可用性要求 177.3.2服務的連續性與可用性計劃 187.3.3服務連續性與可用性管理 187.4 IT服務預算與核算管理 197.5 容量管理 197.6 信息安全管理 207.6.1信息安全策略 207.6.2信息安全控制措施 207.6.3信息安全的變更和事件 218 關系過程 218.1 業務關系管理 218.2 供應商管理 229 解決過程 239.1 事件和服務請求管理 239.2 問題和知識管理 2410 控制過程&發布過程 2510.1 配置管理 2510.2 變更管理 2710.3 發布和部署管理 2811 手冊結論 29手冊批準頁IT服務管理手冊發布書本《IT服務管理手冊》是根據GB/T24405.1-2009/ISO/IEC20000：2011和GB/T19011的要求，并結合運維及IT服務部實施IT服務管理。實際制定的IT服務管理手冊為運維及IT服務部的服務活動提供了統一的標準和行為準則,是運維及IT服務部的IT服務管理體系綱領性文件。運維及IT服務部全體工作人員必須嚴格遵照執行,任何部門和人員都不得偏離。

自本手冊自生效之日起。擬制：2016年12月21日審核：2016年12月30日批準：2017年1月2日IT服務管理者代表任命書為加強對IT服務管理體系建立、實施和保持的領導，現任命XXX為運維及IT服務部的管理者代表，并賦予運維及IT服務部《IT服務管理手冊》中規定的管理者代表與IT服務管理體系有關的相應職責和權限。IT服務管理手冊編寫目的IT服務管理手冊的編寫是根據《ISO/IEC20000-1:2011信息技術-服務管理規范》（以下簡稱“ISO20000”）國際標準要求，為保證XXX有限公司運維及IT服務部運維及IT服務部（以下簡稱“運維及IT服務部”）服務管理體系合理、標準、高效而制定的綱領性文件。通過手冊使組織內的所有角色具備規范的作業依據和活動準則，持續有效地貫徹公司業務方針，并實現公司服務目標的總體策略規定。適用范圍適用于XXX有限公司技術中心運維及IT服務部（以下簡稱“運維及IT服務部”）IT服務管理體系的整體管理規定，運維及IT服務和運營管理過程的參與方，包括研發部門、IT服務管理體系組織架構中的各流程經理、流程角色等。術語定義本文檔采用《ITSM標準術語表》中的定義。IT服務管理體系總要求認證范圍位于XXX技術中心運維及IT服務部范圍內向內部客戶提供基礎設施運行維護服務、硬件運行維護服務、軟件運行維護服務相關的信息技術服務管理活動。認證地點：XXX認證范圍：業務管理信息系統運行維護服務認證標準運維及IT服務部的IT服務管理體系建立，完全依循下述國際標準：《ISO/IEC20000-1:2011信息技術-服務管理規范》服務方針運維及IT服務部的服務方針定義為：從業務需求出發，以研發部門為導向，通過完善的服務設計和嚴謹的服務導入，在長期的技術服務運營中持續的交付價值，構筑透明的、可信賴的業務關系，并通過不斷的服務改進，提高研發部門滿意度。服務目標運維及IT服務部服務年度目標定義如下：各應用系統服務水平目標達成率超過95%，年度用戶滿意度80分以上（或等同良好標準）。服務管理組織及職責組織架構運維及IT服務部服務管理組織以及職責具體請參見各相關策略文檔中管理角色表。體系說明運維及IT服務部依據《ISO/IEC20000-1:2011信息技術-服務管理規范》國際標準的要求，建立IT服務管理體系，并予以文檔化。運維及IT服務部服務管理體系的文件體系由以下部分組成：一級文件：IT服務管理體系的綱領性文件和指南（本《IT服務管理手冊》）；二級文件：IT服務管理體系的管理性文件和流程文件；三級文件：IT服務管理體系的實施服務和交付運營的作業指導性文件（操作制度、工作計劃及作業指導書等）；四級文件：IT服務管理體系服務交付過程中的記錄和報告模板。詳細的IT服務管理體系的文件清單，請參見《ISO20000體系文件清單》。管理職責管理承諾運維及IT服務部的管理層將通過以下活動，對其承諾的規劃、建立、實施、運行、監控、評審、維護、改善服務管理體系和服務提供證據：建立和溝通服務管理的范圍、策略和目標；確保該服務管理計劃已建立、實施和維護，以符合服務方針的要求，實現服務管理的目標和履行服務的需求；對履行服務需求的重要性進行溝通交流；對履行法律法規要求和合同義務的重要性進行溝通；確保資源的供應；按照計劃的時間間隔實施管理評審；確保服務的風險已經被評估和管理。IT服務管理政策運維及IT服務部確保該服務管理政策：適合運維及IT服務部的業務；包括對滿足服務需求的承諾；包括通過持續改進方針對持續改進服務管理體系和服務有效性的承諾；提供建立和評審服務管理目標的框架；傳達到運維及IT服務部的每個人，并得到理解；在持續適宜性方面得到評審。權利、職責和溝通要求運維及IT服務部確保：IT服務管理的職責、權限得到定義和維護；文檔化的溝通程序被建立和實施。管理者代表權利與職責最高管理者指定運維及IT服務部管理層的一個成員為管理者代表，管理者代表具有以下方面的職責和權限，包括：確保執行識別、文件化和滿足服務需求的活動；分配權限和職責，確保根據服務管理的方針和目標設計、實施和提高服務管理的過程；確保服務管理流程與服務管理體系的其它組件進行了整合；確保用于提供服務的資產，包括許可證，其管理符合法律法規要求和合同義務；向最高管理者報告服務管理體系的績效和改進服務管理體系和服務的機會。治理由其他方運行的流程運維及IT服務部負責識別全部或部分被其他方運行的流程。其他方可以是內部團體，也可以是研發部門方，或供應商如設備維保廠商。運維及IT服務部對上述各方運行流程的治理包括：對由各方運行流程的執行委任職責和權限，并要求遵從服務提供方的統一要求；定義統一的流程以及流程接口；對流程執行績效進行書面要求，并要求其他方遵從該要求；控制對其他方過程的改進及其優先次序。對于上述由其他方運行的過程，當部分流程由供應商運行時，運維及IT服務部通過《供應商管理流程手冊》對其進行管理；當研發部門運行部分流程時，通過《服務級別管理流程手冊》及《業務關系管理流程手冊》對其進行管理。文件要求文件的建立及維護IT服務管理體系文件遵照ISO/IEC20000標準要求，從組織的實際IT服務管理工作出發，確保對服務管理體系進行有效策劃、運行和控制。文件內容和范圍涉及：形成IT服務管理方針和目標的文件；形成IT服務管理計劃的文件；形成IT服務管理體系文件、記錄管理的過程方針和計劃的文件；形成服務目錄的文件；形成服務級別協議的文件；形成服務管理流程的文件；形成IT服務管理體系文件、記錄管理的程序和記錄的文件，包括文件管理控制程序、記錄管理控制程序；其他對運維及IT服務部的IT服務管理體系和服務交付有指導、借鑒作用的必要文件，包括來源于外部的文件。文件控制IT服務管理體系文檔的建立、頒布及修訂，需要建立明確的管理措施。對于記錄的鑒別、儲存、取用、變更、修訂、保護、保存期限、處置等事項，并依照《體系文件及記錄管理規范》進行管理。文件命名規則、分級等對文件的控制包括如下內容：在發布前創建和批準文件，并統一管理；將新的或變更的文件通知相關方；確保文件的變更和現行修訂狀態得到識別；對文件版本進行控制，確保文件由各部門使用時可獲得適用版本的文件；確保文件清晰、易于識別；確保外來文件得到識別并控制其分發；對廢止文件進行標識并單獨管理，以避免對廢止文件的非故意使用。記錄管理建立及維護IT服務管理體系所要求的記錄，以提供現有體系是符合要求及有效運作的證據。記錄應確保易讀、容易辨識及調閱。IT服務管理體系的文檔及記錄，可以是任何格式或形式的介質（包括：紙質、電子文檔及IT服務管理平臺中的記錄信息）。文檔及記錄有專人負責維護，存放在固定位置。資源管理資源提供運維及IT服務部確定并提供人力資源，技術資源，信息資源和財務資源，以：設立，實施和維護服務管理體系和服務，不斷改進其有效性；確保研發部門需求已得到確定和滿足，目的是為了改進研發部門滿意度。人力資源運維及IT服務部針對IT服務管理體系相關人員的能力、意識安排有培訓、職業發展計劃，以確保員工從事IT服務相關工作時，符合能力、技能、經驗等要求。所做工作如下：確定人員所需的能力。對于從事IT服務管理的各類人員，鑒別技術能力需求，以此明確人員要求；提供培訓或采取其他措施以獲得所需的能力；對提升人員能力的效果進行評價，考量所采取措施的有效性并改進；確保人員認識到他們如何為實現服務管理目標和滿足服務要求做出貢獻；安排適宜課程。為人員建立培訓檔案，保持教育、培訓、技能和經驗的適當記錄。滿足員工的職業發展。服務管理體系&PDCA運維及IT服務部建立了遵循Plan（策劃）-Do（實施）-Check（檢查）-Act（改進）模式的IT服務管理體系維護機制，并按照該機制實現體系和過程的持續改進。戴明環質量管理方法可以確保IT服務管理體系能夠根據實際業務環境的變化實現不斷的優化和調整。IT服務管理體系的計劃（Plan）運維及IT服務部需要計劃自己的服務管理體系（制定計劃），制定服務管理計劃是可以考慮包含以下的內容：服務管理目標；服務需求；影響服務管理體系的已知限制；方針，標準和法律法規要求和合同義務；權限、職責和流程角色框架；針對計劃、服務管理流程和服務的權限和職責；完成服務管理目標所需要的人力、技術、信息和財務資源；在與其它各方合作時采取的步驟，包括設計和轉換新的或變更的服務流程；對服務管理流程和服務管理體系的其它組成部分進行整合時接口的步驟。風險管理和接受風險的準則的步驟；用于支持服務管理體系的技術；服務管理體系和服務的成效需要被測量、報告和改進。對于組織中任何針對特定過程生成的計劃都應與該服務管理計劃保持一致。對服務管理計劃和為過程制定的計劃按照年度為周期進行評估，適當時進行更新。將要執行的流程運維及IT服務部IT服務管理體系定義和實施的流程包括：服務交付過程：服務級別管理，服務報告，連續性與可用性管理，容量管理，信息安全管理，IT服務預算和核算管理。控制過程：配置管理，變更，發布和部署管理。解決過程：事件和服務請求管理，問題管理。關系過程：業務關系管理，供應商管理。IT服務管理體系通過1,2級文檔確定整個流程的主要框架、活動、基本要素等，對所有項目的流程活動進行指導，通過3,4級文檔對各流程分別進行策略、代碼等的定制。在每個流程的流程描述文檔中，將對流程的范圍、目標、角色職責、活動交互、績效指標及評價方法進行詳細的定義。各流程之間的接口流程之間的接口定義和通過接口的信息傳遞將在流程定義文檔中進行詳細的描述，在此對IT服務管理各流程之間的接口簡要描述如下：IT服務管理體系以服務級別管理流程為核心，以配置管理為基礎，將IT服務管理體系中的各個流程串聯起來。服務級別管理流程為多個流程提供輸入，各流程也將服務級別協議（SLA）要求的執行情況作為輸出返回到IT服務級別管理流程。配置管理流程為IT服務支持流程及部分IT服務交付流程提供所有需要的配置項及其屬性信息，并接受來自IT變更發布管理對配置信息的修改。IT服務管理體系的建立(Do)運維及IT服務部根據服務管理體系的計劃進行體系的構建和運行工作，以達到服務交付的目的，內容包括：資金和預算的管理和分配；權限，職責和過程的角色分配；人員，技術和信息資源的管理；識別、評估并管理服務的風險；服務管理流程的管理；對服務管理行為的績效進行監控和報告。服務內容詳見《服務目錄》，具體實施過程參見體系各流程的管理手冊。IT服務管理體系的檢查(Check)運維及IT服務部通過內部審核和管理評審對服務管理體系的流程加以監控及測量，以確保體系的運行情況符合服務計劃和預期，當發現不符合時，應采取糾正與預防措施，以確保各流程能達到預計的結果。所有內部審核和管理評審的目標應被文檔化。內部審核和管理評審應證實服務管理體系和服務用以實現服務管理目標和滿足服務需求的能力。不滿足IT服務管理體系的不符合項應被識別。內部審核運維及IT服務部定期進行內部審核，以確保IT服務管理體系是否：符合ISO/IEC20000的要求；滿足服務需求和運維及IT服務部確定的IT服務管理體系要求；得到有效地實施和維護。需要建立一個文件化的流程，包括計劃、實施審核，報告結果和維護審核記錄的權限和職責。內部審核規范詳見《內部審核管理規范》。審核方案應加以規劃。這應考慮過程和擬審核領域的狀態和重要性，以及以往審核的結果。審計準則，范圍，頻率和方法應文件化。內部審核的計劃方案詳見《ISO20000內部審核計劃》。審核員的選擇和審核的實施應確保其客觀性和公正性。審核人員不應審核自己的工作。不符合項應被溝通，進行優先級排序，改進活動應分配到責任人。負責該審核領域的管理者確保任何改進行為和改進活動無延誤地被執行以消除不符合項和其原因。后續活動包括對所采取行為的驗證和其結果的報告。管理評審管理者代表在計劃的時間間隔內對IT服務管理體系進行評審，以確保其持續的適用性和有效性。評審應包括評價服務體系改進的機會和變更的需要，包括服務管理的方針和目標。對管理評審的輸入包括但不限于以下信息：研發部門的反饋；服務和過程的執行情況和有效性；當前的和未來的人員、技術、信息和財務資源的水平；當前和未來的人員和技術能力；風險；審核的結果和后續行動；前期管理評審中得出的結果和后續行動；預防和糾正措施的進展情況；可能影響SMS和各項服務的變更；改進的機會。管理評審的記錄應予以維護。管理評審的記錄至少包括相關資源、服務管理體系有效性的改進和服務改進的決策和行動。管理評審規范詳見《管理評審手冊》。服務管理體系的改進（Action）概述運維及IT服務部已建立對服務管理體系和各項服務持續改進的策略。該策略包括改善機會的評價標準。有一個文件化的程序，包括對改進的識別、記錄、評估、審批、優先級管理、測量和報告的權限和職責。糾正和預防措施已被文件化。應對已確定的不符合的原因予以糾正。應采取糾正措施以查明并消除不符合的原因，以防止再次發生。應當采取預防措施，以消除潛在不合格的原因，以防止發生。改進的管理改進機會需要劃分優先級。當決策改進機會時，需要對批準的改進內容加以規劃。運維及IT服務部需要建立管理改進的活動，至少應該包括：設定改進目標，包括質量、價值、能力、成本、生產力、資源利用率、風險降低等方面；確保對批準的改進得以實施；在需要時修改服務管理策略、計劃、流程和程序；基于設定的目標，測量已實施的改進活動，若未達到目標，采取必要的行動；報告被實施的改進活動。設計并轉換新的或變更的服務總則運維及IT服務部通過《設計并轉換新的或變更的服務管理過程》對可能對服務或研發部門產生重大影響的全部新服務和變更的服務進行管理。策劃新的或變更的服務運維及IT服務部會定期識別新的或變更的服務的服務要求，策劃新的或變更的服務以滿足這些服務要求。在服務策劃中保持同研發部門、相關方的溝通并形成約定。在策劃時，充分考慮新的或變更的服務對財務、組織和技術方面，以及管理體系的潛在影響。策劃新的或變更的服務考慮的方面包括：設計、開發和轉換活動的權限和職責；相關方要執行的活動，包括連接各方接口的活動；同相關方的溝通；人員、技術、信息和財務資源；策劃活動的時間跨度；識別、評估和管理風險；依賴的其他服務；新的或變更的服務所需的測試；服務驗收準則；以可測量術語表示的交付新的或變更的服務所產生的預期結果。對服務的移除也需進行策劃和記錄，并反映在服務目錄中。策劃內容包括：移除日期，數據的歸檔、銷毀或轉移，文件和服務組件。在策劃活動中運維及IT服務部還需識別那些有助于為新的或變更的服務提供服務組件的其他方，比如供方廠商、開發部門等。評價他們滿足服務要求的能力并采用必要的措施。設計和開發新的或變更的服務運維及IT服務部對于設計出的新的或變更的服務形成文件，確保設計能夠使新的或變更的服務滿足服務要求。新的或變更的服務按照設計文件進行開發。內容包括：為交付新的或變更的服務所需的權限和職責；為交付新的或變更的服務，由運維及IT服務部、研發部門和其他方執行的活動；新的或變更的人力資源要求，包括適當的教育、培訓、技巧和經驗要求；為交付新的或變更的服務的財務資源要求；支持服務管理體系的新的或變更的技術；新的或變更的服務管理計劃和方針；同服務要求變更相一致的新的或變更的合同以及其他形成文件的協議；對服務管理體系的變更；新的或變更的服務級別協議；對服務目錄的更新；用于運行新的或變更的服務的程序、測量指標和信息。轉換新的或變更的服務在服務轉換過程中，應對新的或變更的服務進行測試以驗證他們滿足服務要求和設計文件。新的或變更的服務根據服務驗收準則進行驗證，該準則事先由運維及IT服務部和相關方約定。通過《變更發布管理流程手冊》將已批準的新的或變更的服務部署到生產環境中。轉換活動完成后，發布執行人員將發布結果對比預期結果后，向管理者代表報告最終結果。服務交付過程服務級別管理在運維及IT服務部實施服務級別管理，需要：定義運維及IT服務部的服務目錄，并進行維護，保持更新；就服務的范圍、服務級別目標及工作量等與相關方達成協議，并予以記錄；對每個研發部門所提供的服務，需定義、協商和記錄成一個或多個服務級別協議（SLAs）；服務水平目標（SLO）、供應商合同（UC）、運營支持協議（OLA）及相關程序等都必須與內外部服務提供商達成一致；SLO需要定期應進行評審和更新，確保有效運行；基于SLO，監控與報告服務級別狀況，顯示當前與未來的發展趨勢信息；報告和評審不合格項的原因、改進措施，予以記錄，并輸入服務改進計劃。SLO的改變可通過變更管理進行控制，詳細的服務級別管理請參照《服務級別管理流程手冊》。服務報告管理服務報告管理需要遵循如下總體策略：服務報告需包括提供給研發部門和內部管理層的不同報告；運維及IT服務部需要與研發部門和管理層協商，就報告的種類、數量、信息內容、頻度達成一致，每一份服務報告應清楚定義報告的目的、讀者、來源；服務報告的內容需要與研發部門和內部管理層協商確定，能夠提供趨勢分析，并在條件成熟時提供績效考核數據。服務報告至少應包括：針對服務級別目標的績效；出現的不符合項和問題，例如違反服務級別協議、以及安全違規事項；工作量特征，例如容量和資源使用情況；重大事件發生后的相關報告，例如重大事件或變更報告；趨勢信息；滿意度分析。運維及IT服務部需要對服務體系中的所有報告進行管理，以保證信息的及時、可靠、準確，從而有效支持決策。連續性與可用性管理服務的連續性與可用性要求運維及IT服務部定期組織評估服務連續性與可用性狀況并形成文件，同研發部門和相關方識別和約定服務連續性與可用性要求。在其中需考慮適用的業務計劃、服務要求、服務級別協議和風險。約定的服務連續性與可用性要求包括：服務訪問權限；服務響應時間；服務的端到端的可用性。服務的連續性與可用性計劃運維及IT服務部結合業務需求組織創建、實施和保持服務連續性計劃和可用性計劃。服務連續性計劃包括：服務重大損失情況下要執行的程序；計劃啟動時的可用性目標；恢復要求；返回正常工作狀態的方法；可用性要求和目標。運維及IT服務部建立了服務連續性的保障措施，確保當正常服務的訪問被阻止時，服務連續性計劃、聯系人清單和配置管理數據庫可以正常訪問，以快速恢復服務和業務。在變更管理流程中進行變更審批時，應充分考慮變更請求對于服務連續性計劃和服務可用性計劃產生的影響。服務連續性與可用性管理維護部負責監視服務的可用性，對監控結果進行記錄并與約定的目標比較，對計劃之外的不可用進行調查并采取必要的措施。服務連續性計劃定期被測試。同時，需要結合可用性要求測試可用性計劃。當服務運行環境發生重大變更時，以及自然災害等外部環境變化較大時，運維及IT服務部也組織測試服務連續性與可用性計劃。運維及IT服務部對每次服務連續性計劃的測試或啟動后都對其結果實施評審。對其中發現的不足采取必要的措施并報告。詳細的可用性與連續性管理規定請參閱《服務連續性與可用性管理流程手冊》。IT服務預算與核算管理服務的預算和核算管理流程與運維及IT服務部財務管理流程之間應有明確的接口。服務的預算與核算管理流程包括以下內容：a)服務組件的預算和核算應至少包括；1)資產-包括用于提供服務的許可證；2)共享資源；3)管理費用；4)資本和運營開支；5)外部提供的服務；6)人員；7)設施；b)為服務分攤間接成本和分配直接成本，為每一項服務計算總成本；c)有效的財務控制和審批。預算與核算管理流程對支出進行預算，使提供的服務能有效地進行財務控制和業務決策。運維及IT服務部依據預算來監控和報告成本，審核財務預測并管理成本支出。預算與核算管理流程向變更管理流程提供信息，以支持對變更請求的成本管控。預算與核算細則的進一步說明，參見《預算與核算管理流程手冊》。容量管理容量管理的目標是確保運維及IT服務部一直保持有效的能力去滿足當前和未來的研發部門業務需求。運維及IT服務部與研發部門和相關方識別和協商確定容量和性能需求。運維及IT服務部已創建、實施和維護一個容量計劃，該計劃考慮人員、技術、信息和財務等資源。容量計劃的變更應由變更管理流程進行控制。容量計劃考慮的內容包括：當前及預測的服務需求；協商確定的容量和性能需求對可用性、服務連續性和服務級別的預期影響；服務容量升級的時間跨度、閥值和成本；法律、法規、合同或組織變化的潛在影響；新技術和新工藝的潛在影響；使其能夠進行預測性分析的方式方法，或者其引用。運維及IT服務部對容量使用情況進行監控、分析容量數據并調整性能。運維及IT服務部提供了充足的容量以滿足協商確定的容量和性能需求。關于容量管理的詳細程序參見《容量管理流程手冊》。信息安全管理信息安全策略考慮服務的需求和法律法規要求和合同義務，運維及IT服務部需依照XX集團信息安全策略。有關信息安全的保障工作包括：運維及IT服務部與研發部門和供應商相關人員溝通信息安全策略，以及遵守該策略的重要性；確保建立信息安全管理目標；明確管理信息安全風險所采取的方法和接受風險的準則；確保定期執行信息安全風險評估；確保執行信息安全內部審計；確保對審核結果進行評審以識別改進的機會。信息安全控制措施運維及IT服務部需實施和運行物理的、管理的和技術的信息安全控制措施進行以便：保證信息資產的保密性，完整性和可訪問性；滿足信息安全策略的要求；實現信息安全管理目標；管理信息安全的相關風險。信息安全控制措施需文件化，同時需描述控制措施相關的風險，以及控制措施的運行和維護。運維及IT服務部需對信息安全控制的有效性進行評估。同時，采取必要的改進措施，并報告所采取的措施。運維及IT服務部需識別具有訪問、使用或管理運維及IT服務部信息或服務需要的外部組織。運維及IT服務部需記錄、協商和實施對外部組織的信息安全控制。信息安全的變更和事件需對變更請求進行評估，以確定：新的或變更的服務的信息安全風險；對現有的信息安全策略和控制的潛在影響。信息安全事件通過事件管理程序進行管理，并對信息安全風險進行適當的優先級排序。運維及IT服務部需分析安全事件的類型、數量和影響。同時，信息安全事件需被報告和檢查，以識別改進的機會。有關信息安全管理的詳細規定請參見《信息安全管理流程手冊》。關系過程關系過程包括兩個方面：業務關系管理和供應商管理。業務關系管理在理解研發部門及其業務的基礎上，與研發部門之間建立和維護良好的關系。實施業務關系管理。業務關系管理的內容包括：確定和記錄服務的研發部門，用戶和各利益相關方。對于每一個研發部門，指定專人負責管理研發部門關系管理和研發部門滿意度。運維及IT服務部需與研發部門建立溝通機制。溝通的機制需事先了解業務環境對服務運行和新的或變更的服務需求。這種信息能夠使運維及IT服務部應對這些需求。運維及IT服務部與研發部門在計劃的時間間隔評審服務的績效。文件化的服務需求的變更通過變更管理流程來加以控制。對SLO的變更與服務級別管理流程相協調。與研發部門商定投訴的定義。用書面的程序來管理研發部門服務的投訴。運維及IT服務部需對投訴進行記錄、調查、并采取行動、報告和關閉服務投訴。一旦服務投訴無法通過正常渠道解決，需向研發部門提供升級渠道。按照計劃的時間間隔，基于對服務的研發部門和用戶進行有代表性的抽樣，調查研發部門滿意度。對結果進行分析和評審以識別改進機會。業務關系管理細則請參見《業務關系管理流程手冊》。供應商管理供應商管理的目的是為了管理運維及IT服務部與供應商之間的關系，并確保供應商在服務提供過程中能夠達到其與運維及IT服務部約定的服務質量。運維及IT服務部的供應商管理需：對于每個供應商，運維及IT服務部，應當有一個指定的專人負責管理與供應商的關系、合同和績效。運維及IT服務部和供應商應達成書面合同。合同中應包含或包括以下內容：供應商提供的服務范圍；服務、流程和各方之間的依賴關系；供應商必須滿足的要求；服務目標；供應商在與其它各方在服務管理過程中的接口；在IT服務管理體系中供應商的所有行為；工作量特征；合同的例外情況，以及將如何處理這些情況；運維及IT服務部和供應商的權利和職責；由供應商提供的報告和信息；收費的依據；預計終止或提前終止合同，及將服務轉讓給第三方時的行為和責任。運維及IT服務部需與供應商就服務級別達成一致，以支持和保證運維及IT服務部和研發部門之間的服務級別協議。運維及IT服務部需保證總包供應商和分包供應商的職責明確，關系清晰，并形成書面文件。運維及IT服務部需核實主供應商為滿足合同義務而對其分包商進行管理。運維及IT服務部需按照計劃的時間間隔監控供應商的績效。績效需依據服務目標和其他合同義務進行測量。結果需被記錄和評審以識別不符合的原因和改進機會。評審確保該合同反映了當前的要求。合同變更由變更管理流程來控制。用一個書面的程序來管理運維及IT服務部和供應商之間的合同糾紛。供應商管理細則請參見《供應商管理流程手冊》。解決過程運維及IT服務部定義的解決過程分為事件和服務請求管理和問題管理兩個流程。事件和服務請求管理事件和服務請求管理的目標是盡快恢復承諾的服務或響應研發部門的服務請求。運維及IT服務部事件和服務請求管理流程包括如下定義：a)記錄；b)分配優先級；c)分類；d)記錄更新；e)升級；f)解決；g)關閉。事件和服務請求管理流程負責管理從記錄到完成的事件和服務請求，事件和服務請求應按照程序管理。通過緊急度與影響度判定事件的優先級。運維及IT服務部確保事件和服務請求管理流程相關的人員能夠訪問和使用相關信息。相關信息應包括服務請求管理流程、已知錯誤（KnownError）、問題解決方案和配置管理數據庫（配置管理維護表(CMDB)）。來自變更發布管理流程的有關發布是否成功以及計劃的發布日期等信息需用于事件和服務請求管理流程。運維及IT服務部需保持通知研發部門他們所報告的事件或服務請求的處理進展情況。如果服務的目標未達成，運維及IT服務部需通知研發部門和利益相關方，并按程序升級。運維及IT服務部需記錄與研發部門就重大事故的定義達成一致。重大事故需按照書面程序予以分類和管理。重大事故向高層管理人員匯報。高層管理人員確保有指定的專人對重大事故進行管理。當約定的服務已經恢復，應對重大事件進行評審以識別改進的機會。事件管理的細則請參照《事件和服務請求管理流程手冊》。問題和知識管理問題和知識管理的目的是主動的識別和分析事件的原因，并采取預防措施，減少事件重發、頻發的數量，以降低事件和問題對業務的影響，同時規范公司針對IT運維服務過程中產生的任何知識進行管理的流程，運維及IT服務部問題管理流程包括：一個文件化的流程，以識別問題，盡量減少或避免事件和問題的影響，對于問題管理流程定義了以下內容：a)識別問題；b)記錄問題；c)優先級分配；d)分類；e)更新記錄；f)升級；g)解決；h)關閉。事件和問題的數據和趨勢應被分析，以識別根本原因（rootcauses）和潛在的預防措施。需要對某一CI進行變更的問題應提交變更請求予以解決。當已識別問題的根本原因，但還未被永久解決時，運維及IT服務部需識別降低或消除問題對服務影響的行動。已知錯誤應被記錄。需對該問題解決的有效性進行監測，評審和報告。已知錯誤和問題解決方案的最新更新信息需提供給事件和服務請求管理流程。一個文件化的流程，以識別知識，規范管理IT運維中產生的知識，對于知識題管理流程定義了以下內容：a)識別知識；b)記錄知識；c)知識評審；d)更新知識庫；e)關閉。詳細的問題和知識管理程序請參見《問題和知識管理流程手冊》。控制過程&發布過程運維及IT服務部定義的控制過程&發布過程包括：配置管理、變更發布管理（涵蓋了變更管理、發布和部署管理）。配置管理配置管理的目的是定義并控制服務和基礎設施組件，確保正確的配置信息，從而為服務管理活動提供有效支持。運維及IT服務部配置管理必須遵循下列策略：需要對每個類型的配置項進行文檔化的定義。每個配置項記錄的信息確保得到有效控制的，內容至少包括：a)配置項的描述；b)配置項和其它配置項之間的關系；c)配置項和服務組件之間的關系；d)狀態；e)版本；f)位置；g)相關的變更請求；h)相關的問題和已知錯誤。CI需被唯一識別并記錄到配置管理維護表(CMDB)中，并管理配置管理維護表(CMDB)，包括對數據更新的訪問控制，以確保其可靠性和準確性。需建立文件化的程序來記錄、控制和跟蹤CI的版本。基于服務需求和CI相關的風險的考慮，控制的程度應能維護服務和服務組件的完整性。運維及IT服務部需按照計劃的時間間隔審核存儲在配置管理維護表(CMDB)中的記錄。當發現缺陷時，必須采取必要的行動并報告所采取的行動。