SA-02001 ISO20000标准符合性声明-V1.0

文件密级：内部使用常州大江网络工程有限公司信息技术服务管理体系ISO20000标准符合性声明文件编号：SA-02001[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属本公司所有，受到有关产权及版权法保护。任何个人、机构未经本公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。]大江网络信息技术服务管理体系文件ISO20000标准适用性说明（SOA）1.分发控制读者文档权限说明公司内部员工只读2.文件版本信息版本号修订变更描述日期审核批准V1.0编写组全文20100726刘文中陈明楷3.文件版本信息说明文件版本信息，记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0时，表示该版本文件为草案，仅可作为参照资料之目的。大江网络信息技术服务管理体系文件ISO20000标准符合性声明文件密级：内部使用第1页共10页体系标准编号体系标准目录体系标准款项相关文件3管理体系要求:提供管理体系，包括有效管理和实施所有IT服务所需的方针和框架。3.1管理职责通过引导并采取措施，最高管理者或执行管理者应提供在组织业务与顾客需求环境中，所承诺开发、实施和改进其服务管理能力的证据。管理者应：a)确定服务管理的方针、目标和计划；b)通报满足服务管理目标和持续改进要求的重要性；c)确保顾客需求已得到确定，并满足改进顾客满意度的目标；d)指定一位负责协作和管理所有服务的管理成员；e)确定并提供资源，以便策划、实施、监视、评审和改进服务的交付与管理，例如，补充适当人员、对人员流动进行管理；f)对服务管理组织和服务的风险进行管理；g)根据计划的时间间隔进行服务管理评审，以确保连续的适宜性、充分性和有效性。《信息技术服务管理手册》3.2文件要求服务提供商应提供文件和记录，以确保有效的策划、运行和控制服务管理。《信息技术服务管理手册》；《文件控制管理规定》；《记录控制管理规定》；a)形成文件的服务管理方针和计划；b)形成文件的服务级别协议；c)形成文件的本部分要求的过程和程序；d)本部分要求的记录。应确立创建、评审、批准、维护和控制不同类型文件和记录的程序和职责。3.3能力、意识和培训应在定义并保持所有服务管理角色和职责的同时，定义并保持有效执行它们所要求的能力。《教育培训管理办法》；要对人员能力和培训进行评审和管理，以使人员有效地执行他们的角色。高级管理人员应确保其雇员知道他们的活动的相关性和重要性、如何致力于完成服务管理目标。4服务管理的策划与实施(PDCA):策划：根据顾客的要求和组织的方针，为提供结果建立必要的目标和过程；实施：实施过程；检查：根据方针、目标和产品要求，对过程和产品进行监视和测量，并报告结果；处置：采取措施，以持续改进过程业绩。4.1服务管理的策划策划服务管理的实施和交付。大江网络信息技术服务管理体系文件ISO20000标准符合性声明文件密级：内部使用第2页共10页体系标准编号体系标准目录体系标准款项相关文件应对服务管理进行策划，这些计划应定义：a)服务提供商的服务管理范围；b)服务管理要完成的目标和要求；c)要执行的过程；如何管理、审核并改进服务质量；d)管理目标和职责的框架，包括高层责任人、过程责任人和供方的管理；e)服务管理过程与协调活动的方式之间的接口；f)识别、评估并管理在完成规定目标过程中的问题和风险所采取的方法；g)连接创建或修改服务的项目的方法；h)完成规定目标所必要的资源、设施和预算；支持过程的适当工具；《信息技术服务管理手册》；《信息技术服务管理组织建设管理规定》；《内部审核管理规定》；《管理评审规定》；为评审、授权、通报、实施并维护这些计划，应具备条理清晰的管理导向和形成文件的职责。任何针对特定过程生成的计划都应与服务管理计划保持一致。4.2实施服务管理和提供服务实施服务管理目标和计划。服务提供商应实施服务管理计划，以管理并交付服务，包括：a)资金和预算的分配；b)角色和职责的分配；c)编制并维护每个过程或过程集合的策略、计划、程序和定义；d)服务风险的识别和管理；e)团队的管理，例如，补充并培养适当的人员，对人员的连续性进行管理；f)设施和预算的管理；g)包括服务台和服务运行组在内的团队的管理；h)按照计划报告进度；i)各服务管理过程的协作。《业务关系流程管理办法》；《服务级别流程管理办法》；《信息技术服务管理手册》；4.3监视、测量和评审监视、测量和评审正在实现的服务管理目标和计划。服务提供商应采用适宜的方法来监视并适当的测量服务管理过程。这些方法应证实过程具有达到计划结果的能力。《信息技术服务管理手册》；大江网络信息技术服务管理体系文件ISO20000标准符合性声明文件密级：内部使用第3页共10页体系标准编号体系标准目录体系标准款项相关文件管理层应根据计划的时间间隔进行评审，以确定服务管理需求是否：a)符合服务管理计划、本标准的要求；b)得到有效地实施和保持。《内部审核管理规定》；《管理评审规定》；考虑拟审核的过程和区域的状况和重要性以及以往审核的结果，应对审核方案进行策划。应规定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。服务管理的评审、评估与审核的目标，应与诸如审核及评审的结果和已识别的补救措施等一并记录在案。任何重大的不符合及相关事宜都应通报给相关方。4.4持续改进改进服务交付和管理的有效性和效率。4.4.1策略应发布有关服务改进的策略。任何与标准或服务管理计划的不符合都应进行补救。应清楚定义服务改进活动的角色和职责。《信息技术服务管理手册》；4.4.2改进的管理应评估、记录、排定优先顺序并授权所有建议的服务改进,应使用服务改进计划来控制活动。《纠正预防管理规定》；服务提供商应具有一个适当的过程，来识别、测量、报告并管理处于进行中的改进活动。它应包括：a)单个过程的改进，可由过程责任人和相关人员来实施，例如，执行单个纠正和预防措施；b)整个组织的改进或多个过程的改进。4.4.3活动服务提供商应执行活动以：a)收集并分析数据，为服务提供商的能力建立基线和标杆，以管理和交付服务与服务管理过程；b)识别、策划并实施改进；c)与所有相关方进行商议；d)设定改进质量、成本和资源利用的目标；e)考虑来自所有的服务管理过程改进的有关输入；f)测量、报告并通报服务改进；g)修订服务管理方针、过程、程序和计划中必须修订的内容；h)确保所有批准的措施都已交付执行，并达到了预期目标。《信息技术服务管理手册》；《各个流程管理办法》；5策划和实施新服务或变更的服务:确保新服务和服务的变更，按各方协商一致的成本和服务质量交付和管理。大江网络信息技术服务管理体系文件ISO20000标准符合性声明文件密级：内部使用第4页共10页体系标准编号体系标准目录体系标准款项相关文件5策划和实施新服务或变更的服务对新服务或变更的服务的提议，应考虑由服务交付和管理所产生的成本以及组织上、技术上和商业上的影响。《信息技术服务管理手册》；《新服务及变更服务管理办法》；包括服务的终止在内，新服务或变更服务的实施，应通过正式变更管理来策划和批准。策划和实施应包括足够的资金和资源，以进行服务交付和管理所需的变更。该计划应包括：a)实施、运行和维护新服务或变更的服务的角色和职责，包括顾客和供方要执行的活动；b)现存服务管理框架和服务的变更；c)通报给相关方；d)新的或变更的合同和协议，以与业务需求的变更保持一致；e)人力和招聘的需求；f)技能和培训需求，例如，终端用户、技术支持；g)与新服务或变更的服务有关的将要使用的过程、测量、方法和工具，例如，容量管理、财务管理；h)预算和时间进度表；i)服务验收准则；j)以可测量术语表示的运行新服务而产生的预期成果。在进入实际运行环境之前，新服务或变更的服务应由服务提供商进行验收。服务提供商应在实施之后，针对策划的内容，报告新服务或已变更服务取得的成果。应通过变更管理过程进行实施后的评审，对实际成果与策划内容进行比较。6服务交付过程6.1服务级别管理定义、协商、记录并管理服务级别。与相应服务级别目标和工作量特性一起提供的整体服务范围，应由相关方进行协商并记录。《服务级别流程管理办法》；所提供的每个服务都应定义、协商并记录在一个或多个服务级别协议（SLAs）中。SLAs连同支持服务协议、供方合同及相关程序，都应由所有相关方签署并记录。SLAs应处于变更管理过程的控制之下。大江网络信息技术服务管理体系文件ISO20000标准符合性声明文件密级：内部使用第5页共10页体系标准编号体系标准目录体系标准款项相关文件SLAs应由相关方定期评审，而得以保持，从而确保它们得到及时更新，并随时保持有效。应依目标对服务级别进行监视和报告，显示有关当前和今后趋势的信息。应报告并评审不符合的原因。应记录在这个过程中已识别的改进措施，并为服务改进计划提供输入。6.2服务报告为依据可靠信息做出决策和有效沟通，编制协商一致的、及时的、可靠的、准确的报告。应清晰地描述每一份服务报告，包括它的标识、目的、读者和数据源的详情。《服务报告流程管理办法》应生成服务报告以满足已识别要求和顾客需求。服务报告应包括：a)与服务级别目标相对应的绩效；b)不符合项和问题，比如违背SLA、安全漏洞；c)工作量特征，比如容量、资源利用率；d)主要事态之后的绩效报告，例如重大事件和变更；e)趋势信息；f)满意度分析。管理决策和纠正措施应充分考虑服务报告中的发现，并应通报给相关方。6.3服务连续性和可用性管理确保向顾客承诺的协商一致的服务连续性和可用性在任何情况下都能得到满足。可用性和服务连续性的需求应基于业务计划、SLAs和风险评估来确定。需求应包括访问权和响应次数，以及系统部件的端对端可用性。《可用性流程管理办法》;《IT服务连续性流程管理办法》应制定可用性和服务连续性计划，并至少每年对其进行一次评审，以确保所有情况下（从正常情况到服务重要损失情况）各方同意的要求得到满足。应对这些计划进行维护，以确保它们反映了企业所要求的协商一致的变更。当业务环境发生重大变更时，应重新测试可用性及服务连续性计划。变更管理过程应评估任一变更对于可用性和服务连续性计划的影响。应对可用性进行测量和记录。应对计划之外的不可用性进行调查并采取适当措施。当正常的工作访问被阻止时，应具有可用的服务连续性计划、联系人清单和配置管理数据库。大江网络信息技术服务管理体系文件ISO20000标准符合性声明文件密级：内部使用第6页共10页体系标准编号体系标准目录体系标准款项相关文件服务连续性计划应包括返回正常工作状态。应依据机构的要求来测试服务连续性计划。应记录所有的连续性测试，测试失效之处应在行动计划中明确描述。6.4IT服务的预算与结算服务供应成本的预算和结算。应具备清楚的策略和过程进行：a）包括IT资产、共享资源、日常开支、外部供应服务、人员、保险和许可证等所有部件的预算和结算；b）与服务相关的间接成本和直接成本的分摊；c）有效的财务控制和授权。《IT服务预算及财务管理办法》应对支出进行足够详细的预算，以达到有效的财务控制和业务决策。服务提供商应监视并报告预算的支出，评审财务预报，从而管理支出。应通过变更管理过程来对服务变更进行估价和批准。6.5容量管理确保服务提供商在所有时间内具有足够容量来满足当前及将来商定的顾客的业务要求。容量管理应生成并维护一个容量计划。《容量流程管理办法》；容量管理应涉及业务要求并包括：a）当前和预计的容量与性能需求；b）已识别的服务升级的时间进度表、阈值和成本；c）预期的服务升级、变更请求、新技术和技能对容量的影响评价；d）预计的外部变更影响，例如，政策法规；e）能够进行预期分析的数据和过程；应识别方法、程序和技巧，以监视服务容量、调整服务绩效并提供足够容量。6.6信息安全管理在所有服务活动中有效地管理信息安全。具有适当授权的管理者应批准信息安全方针，并通报给所有适当的相关人员和顾客。信息安