ITSS服务管理手册范本.docx

1、ITSS服务管理手册范本服务管理制度文件编号：ITSM-*版本号：V1.0变更历史序 号版本更改处更改容更改人/日期审核人/日期批准人/日期01颁布令 402管理者代表授权书 503企业概况 604信息技术服务方针目标 705手册的管理 8IT服务管理手册 91. 信息技术服务管理围及应用 92. 规性引用 93. 术语和定义 94. 服务管理体系的总体要求 134.1 管理责任 134.1.1 管理承诺 134.1.2 服务管理策略 134.1.3 权力，责任和沟通 134.1.4 管理者代表 134.2 治理各利益相关方的操作流程 144.3 文件管理 144.3.1 文件的建立和维护 1

2、44.3.2 文件控制 144.3.3 记录控制 154.4 资源管理 154.4.1 资源供给 154.4.2 人力资源 154.5 建立和改进SMS. 154.5.1 定义围 154.5.2 计划SMS（P） 164.5.3 实施运作SMS（D） 194.5.4 监控审查SMS（C） 194.5.5 持续改进SMS（A） 205. 设计和转化新的或变更的服务 215.1 概述 215.2 新的或变更的服务计划 225.3 设计和开发新的或变更的服务 235.4 新的或变更的服务的转化 236. 服务交付过程 236.1 服务水平管理 236.2 服务报告 246.3 服务连续性和可用性管理

3、 246.3.1 服务连续性和可用性需求 246.3.2服务的连续性和可用性的监控和测试 256.4 服务的预算和核算 266.5 容量管理 266.6 信息安全管理 276.6.1 信息安全策略 276.6.2 信息安全控制措施 276.6.3 信息安全的变更和事件 287. 关系过程 287.1 业务关系管理 287.2 供应商管理 298. 解决过程 308.1 事件和服务请求管理 308.2 问题管理 319. 控制过程 319.1 配置管理 319.2 变更管理 339.3 发布和部署管理 33附录A：IT服务管理职能关系架构图 35附录B：组织架构图 36附录C：ITSM职能分配表

4、 37附录D：IT服务管理程序文件清单 3901 颁布令随着公司* 等全新领域的开拓，为满足顾客有关信息技术服务的相关要求，提高公司信息技 术服务管理水平，防止由于信息技术服务的不及时等导致的公司和客户的损失。公司开展贯彻 ISO/IEC 20000 信息技术服务管理规国际标准工作，建立、实施和持续改进文件化的信息技术服务管 理体系，制定了*公司IT 服务管理手册。IT 服务管理手册是企业的法规性文件，是指导企业建立并实施信息技术服务管理体系的纲领 和行动准则，用于贯彻企业的信息技术服务管理方针、目标，实现信息技术服务管理体系有效运行、 持续改进，体现企业对社会的承诺。IT 服务管理手册符合有

5、关信息安全法律、法规要求及 ISO/IEC 20000 信息技术服务管理 规标准和企业实际情况，现正式批准发布，自 2011 年 12 月 1 日起实施。企业全体员工必须遵照 执行。全体员工必须严格按照IT 服务管理手册的要求，自觉遵循信息技术服管管理方针，贯彻实施 本手册的各项要求，努力实现公司信息技术服务管理方针和目标。*公司总 经 理：*二一一年十二月一日402 管理者代表授权书为贯彻执行信息技术服务管理体系，满足 ISO/IEC 20000 信息技术服务管理规标准的要 求，加强领导，特任命 * 为我公司信息技术服务管理者代表。授权代表有如下职责和权限：1、按照 ISO/IEC 2000

6、0 信息技术服务管理规的要求，组织相关资源，识别、建立、实施 和保持信息技术服务管理体系，不断改进信息技术服务管理体系，确保其有效性、适宜性和符 合性。2、根据服务管理的策略和目标，给与权利和责任，以保证服务管理过程的设计，提升和改进；3、确保服务管理流程与 SMS 的其它组件进行了整合；4、确保资产，包括许可证，根据法律法规要求和合同义务，被用于管理交付服务；5、向公司最高管理者报告信息技术服务管理体系的业绩，如：服务方针和服务目标的业绩、客户 满意度状况、各项服务活动及改进的要求和结果等。6、组织 ISO/IEC 20000 体系的管理评审，主持信息技术服务管理体系部审核，推动部审核活 动

7、。7、推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提 高员工对满足客户需求的重要性的认知程度，以及为达到公司服务管理目标所应做出的贡献。8、负责与信息技术服务管理体系有关的协调和联络工作；本授权书自任命日起生效执行。*公司 总 经 理： 二一一年十二月一日03 企业概况*公司04 信息技术服务方针目标为防止由于信息技术服务的不及时所导致的企业和客户的损失，本公司建立了信息技术服务管理 体系，制订了信息技术服务方针，确定了信息技术服务目标。本公司信息技术服务管理方针包括容如下： 服务方针： 以顾客为关注焦点、热情、专业、高效 信息安全方针:信息安全 让顾客满意

8、公司 信息技术服务目标：客户单位满意率85%05 手册的管理1 I T 服务管理手册的批准管理者代表负责组织编制IT 服务管理手册，总经理负责批准。2 I T 服务管理手册的发放、更改、作废与销毁a）管理中心负责按文件控制程序的要求，进行IT 服务管理手册的登记、发放、回收、 更改、归档、作废与销毁工作；b）各相关部门按照受控文件的管理要求对收到的IT 服务管理手册进行使用和保管；c）管理中心按照规定发放修改后的IT 服务管理手册，并收回失效的文件作出标识统一处理，确保有效文件的唯一性；d）管理中心保留IT 服务管理手册修改容的记录。3 I T 服务管理手册的换版当依据的 ISO/IEC200

9、00 标准有重大变化、组织的结构、外部环境、生产技术、信息技术服务风 险等发生重大改变及IT 服务管理手册发生需修改部分超过 1/3 时，应对IT 服务管理手册进行 换版。换版应在管理评审时形成决议，重新实施编、审、批工作。4 I T 服务管理手册的控制a）本IT 服务管理手册标识分受控文件和非受控文件两种：受控文件发放围为公司领导、各相关部门的负责人、审员；非受控文件指印制成单行本，作为投标书的资料或为生产、销售目的等发给受控围以外的其他相关人员。b）IT 服务管理手册有纸质文件和电子文件，电子版本文件的有效格式为 PDF 文档。本手册由管理中心提出、归口，并负责起草。 本手册主要起草人：*

10、本手册审核人：* 本手册批准人：*IT 服务管理手册1 围1.1 总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息技术服务管理体系（简称 ITSMS）， 确定信息技术服务方针和目标，对信息技术服务及信息安全进行有效管理，确保全体员工理解并遵照 执行信息技术服务管理体系文件、持续改进信息技术服务管理体系的有效性，特制定本手册。1.2 应用1.2.1 覆盖围本 IT 服务管理手册规定了*公司信息技术服务管理体系要求、管理职责、部审核、管理评审 和信息技术服务管理体系改进等方面容。适应于等实施。以及适用于*公司的*事业部、* 部等。1.2.2 删减说明本 IT 服务管理手册采用了 ISO

11、/IEC20000:2011 标准正文的全部容，无删减。2 规性引用文件下列文件中的条款通过本IT 服务管理手册的引用而成为本IT 服务管理手册条款。凡注日 期的引用文件，其随后所有的修改单或修订版均不适用于本标准，然而，管理者代表应研究是否可使 用这些文件的最新版本。凡不注日期的引用文件、其最新版本适用于本 IT 服务管理手册。ISO/IEC 20000-1:2011信息技术-服务管理体系-要求 ISO/IEC 20000-2:2005信息技术-服务管理实施指南ISO/IEC 20000-3:2009信息技术-服务管理围定义和适用性指南 ISO/IEC 20000-5:2011信息技术-服务

12、管理实施策划示例3 术语和定义ISO/IEC 20000-1:2011信息技术-服务管理体系-要求、ISO/IEC 20000-2:2005信息技术- 服务管理实施指南、ISO/IEC 20000-3:2009信息技术-服务管理围定义和适用性指南规定的术 语和定义适用于本IT 服务管理手册。3.1 本公司指*公司，包括*公司所属各部门。BPO 事业部的二级部门服务部简称服务部。3.2 可用性一个服务或服务组件能够在瞬间或在约定时间、约定期限执行其规定的功能。 注：可用性通常表示为一个时间的比例或百分比，它是客户实际使用服务及服务组件的时间，在这个 时间段服务必须可用。3.3 配置基线服务及服务

13、组件生命周期在特定的时间被指定的配置信息。 注1：配置基线和这些予以变更的基线，构成了当前的配置信息。 注2：改编自ISO / IEC /IEEE 24765：2010。3.4 配置项CI 元素，需要加以控制，以提供一种服务或多种服务 。3.5 配置管理数据库 CMDB 用于在整个生命周期中记录配置项属性和配置项之间关系的数据存储。 3.6 成效实现计划活动的程度和计划取得的成果 。ISO 9000：20053.7 事故 计划外的中断服务、服务质量下降或没有对客户服务造成影响的事件。 3.8 信息安全保持信息的性、完整性和可获得性 注1：此外，如真实性，负责性，不可抵赖性和可靠性等性能也可包括

14、其中。 注2：术语“可用性”并没有被用在这个定义中，因为它在本部分的ISO / IEC 20000中是个界定围的术 语，不适用于本定义。注3：改编自ISO / IEC 27000：2009。3.9 信息安全事故 单个或一系列意外或突发的信息安全事件，可能对业务运营产生重大影响并威胁到信息安全。 ISO / IEC 12207：19953.10 利益相关方在服务提供者履行或完成活动时会产生具体利益的个人或团体。 例如：客户、业主、管理者、服务提供者组织中的人员、供应商、银行、团队或合伙人。 注1：一个团体可以由一个组织，部分组织或一个以上的组织组成。注2：改编自ISO 9000：2005。3.1

15、1 部组 服务提供者组织的一部分，与服务提供者达成协议，参与一个服务或多个服务的设计、转化、交付和 改进。注：部组处于服务提供者的服务管理体系的围之外。3.12 已知错误已找到根本原因的问题，或围绕该问题减少或消除对服务影响的方法3.13 问题一个或多个事件的根本原因注：根本原因通常不是在记录问题时就知晓的，问题管理流程为进一步调查工作负责。3.14 发布 将一个或多个新的或变更的配置项的集合部署到真实环境中，作为一个或多个变化的结果。 3.15 变更请求建议将服务，服务组件或服务管理体系进行改变。注：一个服务的更改，包括提供一项新服务或去除一项不再需要的服务。3.16 风险对目标的不确定性影

16、响注1：影响是与预期的偏差，预期包括积极和/或消极两个方面。 注2：对象可能是不同方面的（如财务、健康和安全、环保目标），并可以应用在不同层面（如战略、 组织围、项目、产品和工艺）。 注3：风险经常通过参考潜在事件和后果或者它们的组合而被识别。 注4：风险往往表现在一个特殊事件（包括环境变化）和发生相关条款的可能性相结合的后果。 ISO 31000：20093.17 服务通过帮助客户达成预期的成果来为其创造价值的方法。注1：服务一般是无形的。 注2：服务也可以由供应商传递给服务提供者，由一个部小组或客户扮演供应商的角色。3.18 服务组件一组服务与其它组服务合并时将提供一套完整的服务 。如：硬

17、件、软件、工具、应用程序、文件、信 息、流程或支持服务。注：服务组件可以包含由一个或多个配置项。3.19 服务连续性 在为达到商定的水平而不断提供服务的过程中，管理风险和事件的能力，这些风险和事件可能对一种 或多种服务造成严重影响。3.20 SLA 服务水平协议服务提供者和客户之间定义服务和服务目标的文件协议 注1：服务水平协议，也可在服务提供者和供应商之间建立，一个部小组或客户扮演供应商的角色。 注2：服务水平协议可以包含在合同或其它类型的书面协议中。3.21 服务管理一套功能和流程，用以指导和控制服务提供者的活动和设计、转化、提供和其对服务资源的改善，以满足服务要求。3.22 SMS 服务

18、管理体系指导和控制服务提供者的服务管理活动的管理体系 注1：管理体系是一个相互关联或相互作用的要素，这些要素为建立方针和目标，以及实现这些目标 而设立。 注2：包括所有的对SMS服务管理策略、目标、计划、过程、文件和资源的设计、转化、提供和改善 服务，以及满足本部分ISO / IEC 20000的规定要求。注3：改编自ISO 9000：2005中对于“质量管理体系”的定义。 3.23 服务提供者 组织或部分组织成员，为顾客管理和提供一项服务或多项服务。注：顾客可以是来自服务提供者的部或外部。 3.24 服务请求 请求信息、建议、服务接入或预先核准的变更 3.25 服务要求客户和服务使用者的需求

19、，包括服务水平要求和服务提供者的需求。3.26 供应商一个组织或一个组织的一部分，不是服务提供者的部组织，在外部与服务提供者签订合同，参与设 计，转换，传输和服务或改善服务或进程的一部分 。其他术语详见术语表4 服务管理体系的总体要求124.1 管理责任4.1.1 管理承诺高层管理人员应提供证据证明其承诺的规划、建立、实施、运行、监控、审查、维护、改善SMS和服 务：a) 确定建立和交流的服务管理的围、策略和目标；b) 确保该服务管理计划已建立、实施和维护，以符合策略的要求，实现服务管理的目标和履行服务 的要求；c) 对履行服务要求的重要性进行沟通交流；d) 对履行法律法规要求和合同义务的重要

20、性进行沟通；e) 提供策划、实施、监控、评审和改进IT服务所需要的资源,如：指定IT服务管理人员、分配资金与 预算。f) 按照计划的时间间隔进行管理评审；g) 管理和控制 IT 服务提供过程的风险。h) 按计划组织 IT 服务管理体系的审核，以确保体系的适宜性、充分性和有效性。4.1.2 服务管理策略 高层管理人员应确保该服务管理策略： a) 适合服务提供者的目的；b) 包括一个承诺来履行服务的要求；c) 包括持续改进SMS成效的承诺和包括通过在第4.5.5.1节中介绍的持续改善策略的服务承诺；d) 提供一个建立和检查服务管理目标的框架；e) 可被服务提供者人员交流和理解。f) 能够经的起反复

21、的推敲。 4.1.3 权力，责任和沟通 高层管理人员应确保：a) 服务管理的权力和职责可以得到定义和维护；b) 文档化的沟通程序已被建立和实施。4.1.4 管理者代表公司任命了管理者代表，并授与了相应的权利和责任，详见管代任命书；4.2 治理各利益相关方的操作流程公司识别了设计和转化新的或变更的服务流程、服务交付流程、信息安全流程、关系流程、解决流程、13控制流程等第5至9章的流程，服务提供者应识别由各利益相关方来运作的所有流程，或部分流程。各 利益相关方可以是一个客户或供应商的部小组。 服务提供者应当由其它各方通过以下方式展示管理过程：a) 表明问责的流程和权力要求遵守的流程； b) 控制过

22、程的定义和与其它流程的接口； c) 确定流程的表现和与流程要求的合规性； d) 控制过程改进的计划和优先次序。当一个供应商操作部分流程时，服务提供者应当通过供应商管理程序对供应商进行管理。当一个部 小组或客户操作部分流程时，服务提供者应当通过服务水平管理流程对部小组或客户进行管理。 注：ISO/IEC TR 20000-3提供本部分ISO / IEC 20000的围定义和应用指南。包括对治理各利益相关 方的操作流程的进一步解释。4.3 文件管理4.3.1 文件的建立和维护公司在开发、经营、服务和日常管理活动中，按ISO/IEC 20000-1:2011标准要求，建立、实施、运行、 监视和评审、

23、保持和改进文件化的信息技术服务管理体系。IT服务管理体系文件分以下几个层次： a) 一级文件：服务管理策略和目标的文件；（如： IT服务管理手册包括方针、目标）；b) 二级文件：文档化的服务管理流程或程序；（如：IT服务管理体系的程序文件）；c) 三级文件：为本部分ISO / IEC 20000要求的特殊流程所创建的文档化的策略和规划、文档化的服 务目录、文档化的SLA、服务管理计划的文档，包括：管理规、操作手册及作业指导书以及为确 保有效操作SMS和交付服务所需的并由服务提供者决定补充的外来文件。d) 四级文件：IT服务管理体系的产出物文件模版（表单、报告模版等）；4.3.2 文件控制 本公

24、司编制了文件控制程序具体按文件控制程序要求进行控制。一个文档化的流程，包括授权和 责任，控制的定义需要被建立，需要有：a) 在发行前建立和批准文件；b) 与各利益相关方就新文件及改动过的文件进行讨论；c) 必要时对文件进行检查和保持；d) 确保文件的改动和现行修订状态是经认可的； e) 确保适用文件的有关版本在使用时可获得； f) 确保文件易于识别且清晰；g) 确保外来文件得以识别且其发行量受到控制；h) 若保留作废文件，需防止作废文件被随意使用并对上述文件做好适当的标识。4.3.3 记录控制本公司编制了记录控制程序具体按记录控制程序要求进行控制。 记录应保存，并用来证实SMS符合要求和有效运

25、作。 一个文件的流程需要建立对控制的定义，包括标识、贮存、保护、检索、保存和记录的处置的方式。 记录应清晰，易于识别和检索。4.4 资源管理4.4.1 资源供给 公司最高管理者应确定并提供人力资源，技术资源，信息资源和财务资源，并： a) 设立，实施和维护SMS和服务，不断提高其效力；b) 通过提供满足服务要求的服务，来提升客户满意度。4.4.2 人力资源本公司IT服务管理委员会须对所有参与IT服务管理的岗位和岗位责任做明确定义。 以确保服务工作人员的工作应符合服务要求，这些人员应在接受相应的教育和培训后，具备相应的技 能和经验等基本能力。服务人员应当：a) 选择有资质的人员；b) 适当通过提

26、供培训或采取其它措施以获得必要的能力资格；c) 对采取措施的有效性进行评价；d) 确保其工作人员都知道如何尽力达成服务管理目标并满足服务要求；e) 坚持对教育、培训、技能和经验做适当的记录。 IT服务管理委员会同时须通过培训或其他的宣讲等方式来确保员工理解他们的业务活动的重要性以及 相关性，并知晓如何达成IT服务管理的目标。4.5 建立和改进 SMS4.5.1 定义围本管理手册明确了整个体系覆盖的围，详见第一章围及定义描述。 围包括为达到IT服务管理目标所需的资源（人员、设备和资金等）和所提供的IT服务。 a) 人员：包括人员的招聘、培训、资质认证、团队建设等；b) 设备：包括与IT服务管理相

27、关的软、硬件等。c) 资金：包括IT服务管理过程中相关IT服务预算与核算活动等。d) IT服务：包括IT服务目标的设定、IT服务计划的编制、IT服务的新增和改进等。同时本公司的服务提供也应考虑影响服务交付的其它因素，其中包括：a) 本公司提供服务的地理位置；b) 客户及其位置；c) 用于提供服务的技术。4.5.2 计划 SMS（P）本公司 IT 服务管理团队须遵循 Plan-Do-Check-Act 模式策划，实施、检查和改进 IT 服务管理体系，详见图 1 所示的 PDCA 模型。图1 信息技术服务管理体系模型同时应当建立、实施和维护服务管理计划。计划应考虑到服务管理策略，服务需求和在ISO

28、 / IEC 20000中本部分的要求。服务管理计划应包含或引用至少以下容：a) 由本公司来实现的服务管理目标；b) 服务要求；c) 影响SMS的已知限制；d) 策略，标准和法律法规要求和合同义务；e) 权力架构，职责和过程角色；f) 权力和责任的计划，服务管理流程和服务；g) 人力资源、技术资源、信息资源和财务资源来实现服务管理目标；h) 在与其它各方合作时采取的步骤，包括设计和转化新的或变更的服务流程；i) 对服务管理流程和SMS的其它组成部分进行整合时接口的步骤。j) 风险管理和接受风险的准则的步骤；k) 用于支持SMS的技术；l) SMS和服务的成效需要被度量、报告和改进。4.5.2.

29、1 策划服务管理a) I T服务管理目标:1) 建立符合 ISO20000 国际标准的 IT 服务管理体系,有效整合和利用人员、设备和资金等 IT 资源；2) 建立符合 ISO20000 国际标准的服务质量管控（QA）体系，提升 IT 服务品质，提升对 IT 用户的支技能力；3) 建立起“计划-实施-检测改进”的循环，以 IT 服务管理团队为驱动力使之正常运转并辅以质量检查，持续改进 IT 服务和 IT 服务管理水平；b) I T服务管理的围：IT 服务管理的围包括为达到 IT 服务管理目标所需的资源（人员、设备和资金等）和所提供的 IT服务。1) 人员：包括人员的招聘、培训、资质认证、团队建

30、设等；2) 设备：包括与 IT 服务管理相关的软、硬件等。3) 资金：包括 IT 服务管理过程中相关 IT 服务预算与核算活动等。4) IT 服务：包括 IT 服务目标的设定、IT 服务计划的编制、IT 服务的新增和改进等。c) I T服务年度计划及服务管理计划：1） 每年年初，体系负责人召集 IT 服务管理团队所有成员共同编制公司年度 IT 服务计划；2） 年度 IT 服务计划的制定须参考本公司战略策划、年度计划以及上年度 IT 服务改进计划等 信息。3） 为实现公司年度 IT 服务计划，根据服务目录，制定服务管理计划须汇总金融服务外包（BPO）、 柜员循环存取款系统（TCR）等服务年度服务计划信息，计划容须包括：IT 服务的围与目的， IT 服务人员、设施、预算等资源需求，IT 服务管理组织和 IT 服务的风险管控、IT 服务的质量 管理等容；特定流程的计划应与服务管理计划相一致。该