ISO0IT服务管理手册质量手册.docx

1、ISO0IT服务管理手册质量手册*信息技术有限公司信息技术-服务管理体系手册文件版本V1.0文件编号ISMS-01-01发布日期2016-01-01编辑审核批准 内部资料 注意保密版本历史Revision History2018-01-01V1.0首次发布IT服务管理手册1范围1.1总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息技术服务管理体系（简称ITSMS），确定信息技术服务方针和目标，对信息技术服务及信息安全进行有效管理，确保全体员工理解并遵照执行信息技术服务管理体系文件、持续改进信息技术服务管理体系的有效性，特制定本手册。1.2应用1.2.1覆盖范围本IT服务管理手册规定

2、了*信息技术有限公司信息技术服务管理体系要求、管理职责、内部审核、管理评审和信息技术服务管理体系改进等方面内容。适用于公司向外部客户提供软硬件运维服务的IT服务管理体系实施，以及适用于位于山东省济南市高新区经十路8000号龙奥金座3号楼5A层的*信息技术有限公司的所有服务部门IT服务支撑的管理。1.2.2公司介绍*信息技术有限公司（以下简称为惠天普财）成立于2001年3月，注册于国务院批准的首批国家级高新技术开发区-济南市高新区，是一家以信息产业为主导，专业致力于系统集成、软件开发及销售、网络安全级信息支持与服务、自动化控制工程以及金融业的现金电子化处理业务和外包服务等业务的高新技术企业。惠天

3、普财自成立以来凭借雄厚的资金和技术优势以及良好的企业文化，为政府、医疗、财政、金融、证券、邮政、电力、教育、设备制造企业、跨国企业等企事业单位提供专业的信息化基础平台技术服务，以及综合解决方案和系统集成服务。公司拥有国家六项计算机软件著作权、七个软件产品和三项专利，在网络系统集成、智能化建筑集成、信息化方案咨询、应用软件开发工业控制系统及现金处理外包服务等领域积累了丰富的经验。公司取得高新技术企业的认定，拥有计算机信息系统集成叁级资质、山东省安全技术防范工程设计贰级资质，获得省级重合同守信用企业，山东省消费者满意单位等殊荣。惠天普财贯彻“把先进的信息产品和优质的服务带给客户，改进客户的生产和生

4、活方式；尊重人才，员工成功；准则、流程、规范、责任感”的企业精神，奉行“与员工共同成长”的经营理念，肩负“为客户创造价值、为同仁搭建平台、为股东带来收益、为社会做出贡献”的企业使命，坚持“创业创新、成就客户、员工满意、共同发展”的核心价值观。1.2.3删减说明本IT服务管理手册采用了ISO/IEC2000：2011标准正文的全部内容，无删减。2规范性引用文件下列文件中的条款通过本IT服务管理手册的引用而成为本IT服务管理手册条款。凡注日期的引用文件，其随后所有的修改单或修订版均不适用于本标准，然而，管理者代表应研究是否可使用这些文件的最新版本。凡不注日期的引用文件、其最新版本适用于本IT服务管

5、理手册。ISO/IEC20000-1：2011信息技术-服务管理体系-要求ISO/IEC20000-2：2005信息技术-服务管理实施指南ISO/IEC20000-3：2009信息技术-服务管理范围定义和适用性指南ISO/IEC20000-1：2011信息技术-服务管理实施策划示例3术语和定义ISO/IEC20000-1：2011信息技术-服务管理体系-要求、ISO/IEC20000-2：2005信息技术-服务管理实施指南、ISO/IEC20000-3：2009信息技术-服务管理范围定义和适用性指南规定的术语和定义适用于本IT服务管理手册。3.1可用性availability在协定的中断或规定

6、时间段内，服务组件或服务执行要求功能的能力。注：可用性通常用客户使用的实际可用服务或服务组件的时间雨约定服务时间的比率或百分比表示。3.2配置基线configuration baseline在服务货服务组件生命周期过程中特定时间段正式指定的配置信息。注1：配置基线，附加这些基线批准的变更单，构成现行的配置信息。注2：采纳自ISO/IEC/IEEE24765：2010。3.3配置项 configuration item（CI）为交付单个或多个服务需求控制的所有要素。3.4配置管理数据库 configuration management database（CMDB）存储用来记录每个配置项的特性和配

7、置项之间关系的数据。3.5持续改进 configuration improvement增强满足服务需求的能力的循环活动。注：改编自ISO 9000:2005。3.6纠正措施 corrective action为消除已发现的不合格或其他不期望情况的原因所采取的措施。注：改编自ISO 9000:20053.7客户 customer接受单个或多个服务的组织或组织的一部分。注1：客户可以使组织内部的或外部的。注2：改编自ISO 9000：2005。3.8文件 document信息及其承载媒介。【ISO9000：2005】例如：方针、计划、过程描述、程序、服务级别协议、合同文本。注1：“document

8、ation”可以使任何类型的媒介。注2：在ISO/IEC20000中的文件，除了记录，其陈述的意图都要得以实现。3.9有效性 effectiveness完成计划的活动并得到计划结果的程度。【ISO 9000：2005】3.10事件 incident非计划的服务中断、服务质量的降低或尚未对客户服务造成影响的事情。3.11信息安全 information security保护信息的机密性、完整性和可访问性。注1：另外，也可以涉及其他一些特性，如真实性、可追责性、不可抵赖性和可靠性。注2：在本定义中未使用的术语“可用性”，因为在ISO/IEC20000的本部分定义该术语是不合适的。注3：改编自ISO

9、27000：2009。3.12信息安全事件 information security incident单个或一系列不需要的或非预期的、有明显的可能性危害业务运行和威胁信息安全的事情。【ISO/IE*信息技术有限公司】3.13相关方 interested party与服务提供方行为或行动业绩或成就有利益关系的个人或团体。示例：客户、所有者、员工、管理方、服务提供方组织内的人员、供应商银行、工会或合作伙伴。注1：一个团体可由一个组织或其一部分组织或多个组织构成。注2：改编自ISO9000:20053.14内部团体 internal group服务提供方组织内部的一部分，与服务提供方有书面的协定，协

10、助单个服务或多个服务的设计、转换、交付和改进。注：内部团体在服务提供方服务管理体系（SMS）的范围之外。3.15已知错误 known error寻找到根本原因或找到减少或降低对服务冲击的规定方法的问题。3.16不合格 nonconformity未满足的要求ISO 9000:20053.17组织 organization一组职责、权限和相互关系得到安排的人员和设施、示例：公司、集团、商业、企事业单位、研究机构、慈善机构、代理商、社团或上述组织的部分或组合。注1：安排通常是有序的。注2：组织可以使共有的或私有的。ISO 9000:20053.18纠正措施 corrective action为避免或

11、消除不合格的起因，或减少不合格或其他不期望情况复发的可能性所采取的措施。注：改编自ISO9000：2005.3.19问题 problem造成一个或多个时间的根本原因。注：问题的根本原因在问题创建通常是位置的，问题管理过程就是负责探寻这些未知。3.20程序 procedure未进行某项活动或过程所规定的途径。ISO 9000:2005注：程序可以使书面的也可以是口头的。3.21过程 process将输入转化为输出的相关关联或相互作用的一组活动。ISO 9000:20053.22记录 record阐明所取得的结果或提供所完成活动的证据文件。ISO 9000:2005示例：审核报告、事件报告，培训记

12、录或会议纪要。3.23发布 release作为一个或多个变更的结果而同时引入现实环境的一个或多个新配置项或变更的配置项的集合。3.24变更请求 request for change提出的针对服务、服务组件或服务管理体系（SMS）的变更建议。注;对服务的变更包括准备新的服务或移除不再需要的服务。3.25风险 risk对目标不确定性的影响。注1：影响是对期望的偏离-正面和（或）负面的。注2：目标可以有不同的方向（例如财务、健康、安全和环境目标）和不同的层级（如战略级、组织范围级、项目级、产品级和过程级）。注3:风险的特点往往参照潜在事件和后果，或者它们的组合；注4：风险在术语中通常表述为一个事件的

13、后果（包括环境的变更）和相关后果发生可能性的组合。【ISO 31000：2009】3.26服务 service意味着提供价值达到客户期望结果的服务。注1：服务通常是无形的。注2：服务提供方，内部团体或客户本身可以作为提供者交付的服务。3.27服务组件 service component单一的服务单元与其他单元结合时将交付一套完整的服务。示例：软件、硬件、工具、应用、文件、信息和过程或支持服务。注：一个服务组件可以有一个或多个配置项构成。3.28服务的连续性 service continuity管理一系列影响单个或多个服务的风险和事件，持续提供协定级别服务的能力。3.29服务级别协议（SLA）

14、service level agreement服务提供方与客户之间签署的，明确了服务和服务目标的书面协议。注1：服务级别协议可在服务提供方和供应者、内部团体或作为供应商的客户之间建立。注2：服务级别协议可以包含在合同或其他任何类型的书面的协定中。3.30服务管理 service management一组能力和过程，指导和控制服务提供方的活动和资源，设计、转换、交付和改进服务，以满足服务需求。3.31服务管理体系（SMS） service management system管理体系，用来指导和控制服务提供方的服务管理活动。注1：管理体系是一组相关或交互的元素，建立方针和目标并实现这些目标。注2：

15、服务管理体系（SMS）包括所有服务管理的方针、目标、过程、文件和资源，只要他们满足ISO/IEC20000本部分要求，以及用于服务的设计、转换、交付和改进的相关要求。注3：改编自ISO 9000：2005中“质量管理体系”的定义。3.32服务提供方 service provider为客户提供单个或多个服务的组织或组织的一部分。注：对于服务提供方的组织来说，客户可以使内部的或外部的。3.33服务请求 service request请求提供信息、建议、访问某个服务或预先核准的变更。3.34服务需求 service requirement客户和用户对服务的需求，包括服务级别的要求，以及对服务提供方的

16、要求。3.35供应商 supplier服务提供方组织之外的组织或服务提供方组织的一部分，与服务提供方签订合同，协助单个服务或多个服务或过程的设计、转换、交付和改进。注：供应商包括指定的主供应商，*信息技术有限公司3.36最高管理者 top management在最高层指挥和控制服务提供方的一个人或一组人。注：改编自ISO 9000：20053.37转换 transition将新的或变更的服务纳入现实环境或从现实环境移出的一组活动。4服务管理体系的总体要求4.1管理职责4.1.1管理承诺本公司最高管理者通过以下活动，对其策划、建设、实施、运行、监控、评审、维护和改进服务管理体系（SMS）和服务提

17、供证据： a） 建立和沟通服务管理的范围、方针和目标； b） 确保服务管理计划的创建、实施和维护，以坚持服务方针、实现服务目标和满足服务需求； c） 传达满足服务需求的重要性； d） 传达满足法律法规要求和合同义务的重要性； e） 确保提供资源； f） 按照计划的时间间隔实施管理评审；g） 确保已经评估和管理服务风险。h）按计划组织IT服务管理体系的审核，以确保体系的适宜性、充分性和有效性。相关附件见服务管理方针、服务目标及二级程序文件。4.1.2服务管理方针高层管理人员应确保服务方针：a) 与服务提供方的宗旨相适应；b) 包括对满足服务需求的承诺；c) 包括通过条款4.5.5.1的持续改进方

18、针对持续改进服务管理体系（SMS）和服务有效性的承诺；d) 提供指定和评审服务管理目标的框架；e) 传达至服务提供方的每个人，并统一认识；f) 在持续适宜性得到评审。相关附件见服务管理方针4.1.3职责、权限和沟通高层管理人员应：a) 已规定确保服务管理的职责、权限，并沟通；b) 已经建立并实施书面的沟通程序。相关附件见管理体系职能分配表4.1.4管理者代表公司任命了管理者代表，并授予了相应的权利和责任。相关附件见管理者代表任命书4.2其他方运行过程的治理公司识别了设计和转化新的活变更的服务流程、服务交付流程、信息安全流程、关系流程、解决流程、控制流程等第5至9章的流程，服务提供方应识别所有被

19、其他方全部或部分运行的过程。其他方包括了内部团体、客户或供应商。服务提供方通过以下活动说明对其他方运行过程的治理：a) 说明问责的过程和遵守过程要求的证明；b) 控制过程的定义和与其他过程的接口；c) 确定过程的性能和对过程需求的遵守；d) 控制过程改进的计划和优先级。当供应商运行过程的一部分时，服务提供方通过供方管理过程对其进行管理。当内部团体或客户运行部分过程时，服务提供方通过服务级别管理对内部团体或客户进行管理。注：ISO/IEC TR20000-3提供了ISO/IEC 20000本部分范围定义和实用性的指导。包括未来对其他方运行过程的解释详细内容见服务级别管理程序供应商管理程序4.3文

20、件管理4.3.1文件的建立和维护公司在开发、经营、服务和日常管理活动中，按ISO/IEC20000-1:2011标准要求，建立实施、运行、监视和评审、保持和改进文件化的信息技术服务管理体系。IT服务管理体系文件分以下几个层次：a) 一级文件：服务管理方针和目标的文件；如：IT服务管理手册包括方针、目标b) 二级文件：文档化的服务管理流程或程序；如IT服务管理体系的程序文件c) 三级文件：包括管理规范、操作手册及作业指导书以及确保有效操作ITSMS和交付服务所需的并由服务提供者决定补充的外来文件。如服务目录，服务级别协议d) 四级文件：IT服务管理体系的产出物文件模板；如：表单、报告模板等详细内

21、容见文件管理程序4.3.2文件控制本公司编制了文件管理程序具体按文件管理程序要求进行控制。文件管理程序是一个文档化的程序，包括权限和职责，以规定一下方面所需的控制：a) 文件发布前得到批准；b) 通知相关方新的或变更的文件；c) 必要时对文件进行评审与维护；d) 确保文件的更改和现行修订状态得到识别；e) 确保在使用处可获得有关版本的使用文件；f) 确保文件清晰、易于识别；g) 确保外来文件得到识别并控制其分发；h) 防止作废文件的非预期使用，若因任何原因而保留作废文件时，对这些文件进行适当的标识。详细内容见文件管理程序4.3.3记录控制本公司编制了记录管理程序，具体按记录管理程序要求进行控制

22、。记录管理程序规定记录的标识、储存、保护、检索、保存和处置所需的控制记录应保持清晰、易于识别和检索。详细内容见记录管理程序4.4资源管理本公司需确定和提供以下活动所需要的人员、技术、信息和财务资源：a)建立、实施和维护服务管理体系（SMS）和服务，并持续改进他们的有效性；b)通过提供满足服务需求的服务增强客户的满意度。详细内容见人力资源管理程序、能力管理程序、服务预算及核算管理程序、供应商管理程序。4.4.2人力资源本公司需对所有参与IT服务管理的岗位和岗位责任做明确定义。以确保服务工作人员的工作应符合服务要求，这些人员应在接受相应的教育和培训后，具备相应的技能和经验等基本能力。服务人员应当：

23、a)选择有资质的人员；b）适当通过提供培训或采取其它措施以获得必要的能力资格。C）对采取措施的有效性进行评价d）确保人员认识到他们如何为实现服务管理目标和满足服务需求做出贡献。e)坚持对教育、培训、技能和经验做适当的记录。本公司同事须通过培训或其他的宣讲等方式来确保员工理解他们的业务活动的重要性以及相关性，并知晓如何达到IT服务管理的目标。详细内容见人力资源管理程序4.5建立和改进SMS4.5.1定义范围本管理手册明确了整个体系覆盖的范围，详见第一张范围及定义描述。范围包括为达到IT服务管理目标所需的资源（人员、设备和资金等）和所提供的IT服务。a) 人员：包括人员的招聘、培训、资质认证、团队

24、建设等。b) 设备：包括与IT服务管理相关的软、硬件等c）资金：包括IT服务管理过程中相关IT服务预算与核算活动等。d）IT服务：包括IT服务服务目标的设定、IT服务计划的编制、IT服务的新增和改进等。同时本公司的服务提供也应考虑影响服务交付的其他因素，其中包括：a) 本公司提供服务的地理位置；b) 客户及其位置；c）用于提供服务的技术4.5.2策划服务管理体系（策划）本公司IT服务管理团队须遵循Plan-Do-Check-Act模式策划，实施，检查和改进IT服务管理体系，详见图1所示的PDCA模型。同时应创建、实施和维护服务管理策划。策划应考虑服务管理方针、服务需求和ISO/IEC20000

25、的要求。服务管理策划应包含或包括至少引用以下方面：a)服务提供方要达到的服务管理目标；b)服务需求；c)冲击服务管理体系（SMS）的已知限制；d)方针、标准、法律法规需求和合同义务；e)权限、职责和过程角色框架；f）针对策划、服务管理过程和服务的权限和职责；g）完成服务管理目标所需的人员、技术、信息和财务资源；h）涉及设计和转化新的或变更的服务过程时，与其他方共同工作所采取的方法；i）服务管理过程之间的接口和与服务管理体系（SMS）其他组件整合，要执行的过程；j）管理风险和风险接受准则所采取的方法；k)用于支持服务管理体系（SMS）的技术；l）如何测量、审核、汇报和改进服务管理体系（SMS）和

26、服务的有效性。任何针对特定过程生成的策划都应与服务管理策划保持一致。服务管理策划和为特定过程生成的策划应按照计划的时间间隔评估，如果适用的话，要进行更新。4.5.2.1策划服务管理a)IT服务管理目标：1）建立符合ISO20000国际标准的IT服务管理体系，有效整合和利用人员、设备和资金等IT资源。2）建立符合ISO20000国际标准的服务质量管控（QA）体系，提升IT服务品质，提升对IT用户的支技English。3）建立起“计划-实施-检测-改进”的循环，以IT服务管理团队为驱动力使之正常运转并辅以质量检查，持续改进IT服务和IT服务管理水平。b)IT服务管理范围：IT服务管理的范围包括为达

27、到IT服务管理目标所需的资源（人员、设备和资金等）和所提供的IT服务。1）人员：包括人员的招聘、培训、资质认证、团队建设等2）设备：包括与IT服务管理相关的软、硬件等3）资金：包括IT服务管理过程相关IT服务预算与核算活动等。4）IT服务：包括IT服务目标的设定、IT服务计划的编制、IT服务的新增和改进等。c) IT服务管理组织及其职责本公司IT服务管理团队由高层管理人员、管理者代表、IT服务管理体系实施小组、内审组以及各过程参与人员组成。本公司IT服务管理体系定义和实施的过程包括：1）服务提供过程：a)IT服务级别管理；b)IT连续性和可用性管理；c)IT容量管理；d)IT安全管理；e）IT

28、预算和核算管理2）控制、发布过程；a)IT配置管理；b）IT变更与发布管理3）解决过程a)IT事件管理；b）IT问题管理；4）关系过程a)IT业务管理管理b）IT供应商管理本公司IT服务管理体系以IT服务级别管理过程为核心，以IT配置管理为基础，将IT服务管理体系中的各过程串联起来。IT服务级别管理过程为多个过程提供输入，各过程也将服务级别协议（SLA）要求的执行情况估为输出返回到IT服务级别管理过程。IT噢诶之管理过程为IT服务支持过程及部分IT服务交付过程提供所有需要的配置项及其属性信息，并接受来自IT变更发布管理对配置信息的修改。4.5.3 实施和运行服务管理体系（实施）本公司将根据服务

29、管理设计、转换、交付和改进服务，活动至少包括以下：a） 资金和开支的分配； b） 权限、职责和过程角色的分配； c） 管理人员、技术和信息资源； d） 识别、评估并管理服务的风险； e） 服务管理过程的管理； f） 监视和报告服务管理活动的绩效。4.5.4监视和评审服务管理体系（检查）4.5.4.1概述本公司建立了内部审核及管理评审管理程序等程序对ITSMS的有效性和服务效果进行监督和度量。以证实ITSMS和各项服务的能力可以实现服务管理目标并达到服务的要求。同时已识别不符合本部分的ISO/IEC20000的要求，包括服务提供者或服务要求确定ITSMS的要求。同时应对内部审核和管理评审的结果予

30、以记录，其中包括不符合项，关注以及确定的行动。应将结果和行动通知各利益相关方。4.5.4.2内部审计本公司编制有内部审核管理程序明确了审核计划、实施审核，报告结果和保存审计档案的权利和责任，同时公司在计划的时间间隔内进行内部审计，以确保ITSMS和服务是否：a） 符合ISO/IEC 20000的规定； b） 符合服务要求和服务提供者确定的ITSMS的要求； c） 得到有效实施和维护。 在编制审计方案时应考虑过程和被审计领域的地位和重要性，以及以往审核的结果。应对审计准则、范围、频率和方法进行记录。审核人员的选择和审核的实施应确保其客观性和公正性、审核人员不应审核自己的工作。应对不符合项进行通报，并进行排序和责任分配并采取行动。被审计的该部分责任人须确保任何纠正和纠正措施，不得无故迟延，及时消除不合格项及其成因。后续活动应包括对所采取措施的行为验证和结果报告。本公司IT服务管理团队须采取方法对IT服务管理体系的过程加以监控及测量，包括例行检查（管理评审：偏重于查变化-外部变化：法律法规/客户，内部变化：人员变化/组织机构变化（对公司的冲击）、内部审核-偏重于查风险）和日常检查（偏重于查符合/不符合，即合策划检查定期回顾，关注绩效、成果、问题和纠正计划），以确保体系的运行与设计相符，并根据检查结果采取纠正与预防措施，确