ISOIEC20000-2018信息技術(shù)服務(wù)管理體系標準及內(nèi)審員培訓(xùn)教材

ISOIEC20000-2018

信息技術(shù)服務(wù)管理

體系標準及內(nèi)審員

培訓(xùn)教材2023/11/1前言ISO/IEC20000是一個針對管理流程系統(tǒng)的標準，ISO/IEC20000的認證適合IT服務(wù)的提供者，可以內(nèi)部的IT部門，也可以是外部的服務(wù)提供商。獲取ISO/IEC20000的認證，意味著提供服務(wù)的IT組織，對ISO/IEC20000中定義的這些管理流程，具有足夠好的管理控制力。這里所謂對流程的管理控制力包括：·對流程輸入的了解和控制·對流程輸出的了解、使用和詮釋·制定和執(zhí)行對流程效能的衡量機制·有客觀的證據(jù)表明，對流程的功能負責(zé)，使之符合ISO20000標準要求·制定流程的改進提高計劃，衡量和回顧改進結(jié)果IT服務(wù)組織要獲得ISO/IEC20000的認證，必須證明它能夠?qū)藴手猩婕暗乃?組13個流程都具有以上的管理控制力。ISO/IEC20000系列對流程的最佳實踐進行了總結(jié)，可適用于不同規(guī)模、類型和結(jié)構(gòu)的組織，服務(wù)管理流程最佳實踐要求并不會因為組織形式不同而被改變。2023/11/1前言企業(yè)建立IT服務(wù)管理體系的目標是為了企業(yè)建立起一套行之有效的以客戶為中心的自我完善的體系。在實施認證ISO20000管理體系后，在各個流程中，各個工作崗位上都建立了一個自我完善的循環(huán)，工作的策劃、執(zhí)行、檢查，以及持續(xù)的發(fā)現(xiàn)問題改善問題的體系建立起來，使每個員工都擁有問題意識，自覺的發(fā)現(xiàn)自己工作當(dāng)中的問題，并通過系統(tǒng)的解決問題的方法，將問題一個一個的解決。IT服務(wù)提供商通過實施IT服務(wù)管理體系，可以獲取如下收益：·保持服務(wù)目標與企業(yè)業(yè)務(wù)目標一致，有效的支持業(yè)務(wù)戰(zhàn)略·建立規(guī)范的服務(wù)流程，提高信息技術(shù)服務(wù)和運營效率·有效及高效地整合和利用信息、基礎(chǔ)架構(gòu)、應(yīng)用及人員等IT資源·建立持續(xù)改進的服務(wù)管理機制，快速應(yīng)對市場需求，提供客戶滿意度·向國際標桿靠齊，增強市場競爭力，提高組織聲譽，提升投資回報·控制IT風(fēng)險及相關(guān)的成本，提高與控制IT服務(wù)質(zhì)量、降低長期的服務(wù)成本·靈活應(yīng)對來自客戶、認證機構(gòu)、內(nèi)部機構(gòu)等不同的審核要求，增加投資者信心2023/11/1前言ISO20000和ITIL的關(guān)系·ISO20000作為IT服務(wù)管理的國際標準，是從IT服務(wù)管理最佳實踐ITIL中發(fā)展而來?！SO20000是13個管理流程，而ITIL是10個管理流程（不含服務(wù)臺）。·ISO20000新增了業(yè)務(wù)關(guān)系管理與供應(yīng)商管理，對應(yīng)于ITIL中的服務(wù)等級管理?！SO20000新增的服務(wù)報告，涵蓋在ITIL的每個管理流程之中?！TIL提供最佳實踐指南·ISO/IEC20000提供基于ITSM的度量2023/11/1ISOIEC20000-2018信息技術(shù)服務(wù)管理體系標準條款1范圍2規(guī)范性引用文件3術(shù)語和定義4組織環(huán)境 5領(lǐng)導(dǎo)作用 6策劃 7支持8運行9績效評價10改進 2023/11/1ISOIEC20000-2018與舊版的主要變化a)使用適用于所有管理系統(tǒng)的標準的高階結(jié)構(gòu)（ISO/IEC導(dǎo)則第一部分ISO補充規(guī)定的附件SL）進行重新編排。也引進了新的通用要求，包括組織環(huán)境，策劃實現(xiàn)目標，應(yīng)對風(fēng)險和機遇的措施。一些通用要求更新了前一版本的要求，如，保留成文信息，資源，能力和意識。b)考慮服務(wù)管理的發(fā)展趨勢，包括服務(wù)商品化、內(nèi)部、外部服務(wù)集成者管理多個供應(yīng)商、確定服務(wù)對客戶價值的需求等主題。c)刪除一些關(guān)于“做什么”條款的細節(jié)，允許組織靈活的決定如何滿足要求。d)包括一些新的特點，如增加的關(guān)于知識和策劃服務(wù)的要求。e)事件管理、服務(wù)請求管理、服務(wù)連續(xù)性管理、服務(wù)可用性管理、服務(wù)級別管理、服務(wù)目錄管理、能力管理、需求管理等，以前組合的條款被拆分。

2023/11/1ISOIEC20000-2018與舊版的主要變化f)“治理其它方運行的過程”更名為“控制服務(wù)生命周期的相關(guān)方”，并更新了關(guān)于服務(wù)、服務(wù)組件和流程的要求。澄清了如果其它方用于提供或運行服務(wù)管理體系范圍內(nèi)的所有服務(wù)、服務(wù)組件或流程。組織不能證明符合本標準要求。g)條款3（術(shù)語與定義）拆分為管理系統(tǒng)術(shù)語和服務(wù)管理術(shù)語子條款。定義有許多變化，關(guān)鍵的變化包括：1)為附件SL，增加一些新術(shù)語。如“目標”，“方針”，增加一些服務(wù)管理的有關(guān)術(shù)語，如“資產(chǎn)”，“用戶”。2)術(shù)語“服務(wù)提供者”已經(jīng)被“組織“取代以符合附件SL通用文本。3)術(shù)語“內(nèi)部組”已經(jīng)被“內(nèi)部供應(yīng)商”取代，和術(shù)語“供應(yīng)商”已經(jīng)被“外部供應(yīng)商”取代。4)“信息安全”的定義已經(jīng)和ISO/IEC27000保持一致，然后，術(shù)語“可用性”已經(jīng)被“服務(wù)可用性”取代，以區(qū)別“信息安全”中使用的術(shù)語“可用性”。2023/11/1ISOIEC20000-2018與舊版的主要變化h)最小化保留成文信息的要求，保留關(guān)鍵的成文信息，如服務(wù)管理計劃。其它成文信息變化包括：1)取消了能力管理計劃文件的要求，用策劃能力要求取代；2)取消了可用性計劃文件的要求，用可用性要求和目標文件取代；3)取消了配置管理數(shù)據(jù)庫要求，用配置信息要求取代；4)取消了發(fā)布策略要求，用定義發(fā)布類型和頻率的要求取代；5)取消了持續(xù)改進方針的要求，用確立改進機會的評估標準取代。i)更新和重新編號圖2與圖3至圖1與圖2。移除圖1和不是附件SL指定使用的PDCA循環(huán)引用，因為管理體系有多個可以使用的改進方法。j)服務(wù)報告條款對對服務(wù)報告的詳細要求移動至服務(wù)報告可能產(chǎn)生的場合。ISO/IEC20000系列標準的全部標準可以訪問ISO的WEB站點。2023/11/1ISOIEC20000-2018標準條款1范圍1.1總則本標準規(guī)定了組織建立、實現(xiàn)、維護和持續(xù)改進服務(wù)管理體系的要求。本標準規(guī)定的要求包括服務(wù)的策劃、設(shè)計、轉(zhuǎn)換、交付和改進，以滿足服務(wù)要求和交付價值。本標準可被應(yīng)用于：a)尋求服務(wù)，并要求保證其服務(wù)要求能得到滿足的客戶；b)要求所有服務(wù)提供者在服務(wù)生命周期中采用一致性方法的客戶，包括供應(yīng)鏈上的服務(wù)提供方；c)用以證實對服務(wù)進行設(shè)計、轉(zhuǎn)換、交付和改進的能力的組織；d)對其服務(wù)管理體系和服務(wù)進行監(jiān)視、測量和評審的組織；e)通過有效的實施和運行服務(wù)管理體系，來改進服務(wù)的設(shè)計、轉(zhuǎn)換和交付的組織；f)將本標準要求作為符合性評估的組織或其它方；g)服務(wù)管理的咨詢和培訓(xùn)服務(wù)提供者。2023/11/1ISOIEC20000-2018標準條款

本標準的術(shù)語“服務(wù)”是服務(wù)管理體系范圍內(nèi)的一個或者多個服務(wù)。本標準的術(shù)語“組織”是服務(wù)管理體系范圍內(nèi)管理和交付服務(wù)給客戶的組織。服務(wù)管理體系范圍內(nèi)的“組織”可能是組織的一部分，例如，一個大型公司的一個部門。管理和交付服務(wù)給客戶的組織或者組織的一部分也可以稱作服務(wù)提供者。術(shù)語“服務(wù)“和”組織“在本標準中有不同的使用意圖的任何地方，會有明確的區(qū)分。2023/11/1ISOIEC20000-2018標準條款1.2應(yīng)用本標準規(guī)定的要求是通用的，適用于各種類型、規(guī)?；蚪桓陡鞣N性質(zhì)服務(wù)的的組織。當(dāng)組織聲稱符合本標準時，不關(guān)組織的性質(zhì)如何，不能排除條款4到條款10中所規(guī)定的任何要求;本標準的要求可以由組織自身提供滿足本標準要求的證明。組織需要自身提供證據(jù)證明符合本標準的條款4和條款5，然而，組織可以由其它方提供支持，例如，其它方代表組織實施內(nèi)部審核或者支持管理體系的準備工作?？蛇x的，當(dāng)其它方涉及到滿足本標準的條款6至條款10（見8.2.3）的要求時，組織可以提滿足供本標準要求的保持責(zé)任的證明。例如，組織證明對提供或運營基礎(chǔ)架構(gòu)服務(wù)組件和運營服務(wù)臺，包括事件管理流程的其它方進行控制的證據(jù)。如果其它方用于提供或者運行服務(wù)管理體系范圍內(nèi)的所有服務(wù)、服務(wù)組件或者流程，組織不能證明符合本標準的要求。本標準范圍不包括對產(chǎn)品或工具的規(guī)范。組織可以使用本標準幫助他們開發(fā)用來來支持服務(wù)管理體系運行的產(chǎn)品或工具。2023/11/1ISOIEC20000-2018標準條款2規(guī)范性引用文件無規(guī)范引用文件2023/11/1ISOIEC20000-2018標準條款3術(shù)語和定義下列的術(shù)語和定義適用于本文件。ISO和IEC在下列地址維護適用的術(shù)語和定義數(shù)據(jù)庫：—IEC電子維護百科：/—ISO在線瀏覽平臺：/obp3.1有關(guān)管理系統(tǒng)標準的術(shù)語3.2有關(guān)服務(wù)管理的術(shù)語2023/11/1ISOIEC20000-2018標準條款4組織環(huán)境4.1理解組織及其環(huán)境組織應(yīng)確定與其宗旨和戰(zhàn)略相關(guān)并且影響其實現(xiàn)服務(wù)管理體系預(yù)期結(jié)果能力的外部和內(nèi)部因素。注釋：這些因素可能是正面或者負面影響的因素，對于組織交付協(xié)定服務(wù)質(zhì)量給用戶，這些是重要的。4.2理解相關(guān)方的需求和期望組織應(yīng)確定：a)服務(wù)管理體系及服務(wù)的相關(guān)方；b)相關(guān)方的要求。注：相關(guān)方的要求可包括與服務(wù)管理體系及服務(wù)有關(guān)的服務(wù)、績效、法律、法規(guī)要求和合同義務(wù)。2023/11/1ISOIEC20000-2018標準條款4.3確定服務(wù)管理體系范圍組織應(yīng)確定服務(wù)管理體系的邊界及其適用性，以建立其范圍。在確定范圍時，組織應(yīng)考慮：a)4.1中提及的外部和內(nèi)部因素；b)4.2中提及的要求；c)組織交付的服務(wù)。服務(wù)管理體系的范圍定義應(yīng)包括范圍內(nèi)的服務(wù)以及管理和交付服務(wù)的組織名稱服務(wù)管理體系的范圍應(yīng)保留成文信息，可獲得并得到保持。注1：ISO/IEC20000-3提供服務(wù)管理體系范圍定義指南。注2：服務(wù)管理體系范圍描述那一個服務(wù)在范圍內(nèi)，可以是組織交付的全部或者部分服務(wù)。2023/11/1ISOIEC20000-2018標準條款4.4服務(wù)管理體系組織應(yīng)按照本標準的要求，建立、實現(xiàn)、維護和持續(xù)改進服務(wù)管理體系，包括其所需要過程及其相互作用。2023/11/1ISOIEC20000-2018標準條款5領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾最高管理層應(yīng)通過以下方面，證實其對服務(wù)管理體系的領(lǐng)導(dǎo)作用和承諾：a)確保制定服務(wù)管理體系的服務(wù)方針和服務(wù)目標，與戰(zhàn)略方向一致；b)確保服務(wù)管理計劃的創(chuàng)建、實施和維護，以支持服務(wù)管理方針，實現(xiàn)服務(wù)管理目標和服務(wù)要求；c)確保關(guān)于服務(wù)管理體系和服務(wù)的決策授權(quán)合理分配；d)確保為組織和確定的客戶創(chuàng)造價值；e)確保對服務(wù)生命周期的相關(guān)方進行控制和管理；2023/11/1ISOIEC20000-2018標準條款5領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾最高管理層應(yīng)通過以下方面，證實其對服務(wù)管理體系的領(lǐng)導(dǎo)作用和承諾：f)確保將服務(wù)管理體系要求整合到組織過程中；g)確保服務(wù)管理體系及服務(wù)所需資源可用；h)溝通有效的服務(wù)管理的重要性，實現(xiàn)服務(wù)管理目標，交付價值和符合服務(wù)管理體系要求；i)確保服務(wù)管理體系達到預(yù)期結(jié)果；j)指導(dǎo)并支持相關(guān)人員為服務(wù)管理體系和服務(wù)的有效性做出貢獻；k)促進服務(wù)管理體系和服務(wù)持續(xù)改進；支持其他相關(guān)管理者在其職責(zé)范圍內(nèi)發(fā)揮領(lǐng)導(dǎo)作用，以證實他們在其責(zé)任范圍內(nèi)的領(lǐng)導(dǎo)作用。2023/11/1ISOIEC20000-2018標準條款5.2方針5.1.1制定服務(wù)管理方針最高管理層應(yīng)制定服務(wù)管理方針，該方針應(yīng)：a)適應(yīng)組織的宗旨和環(huán)境并支持其戰(zhàn)略方向；b)為建立服務(wù)管理目標提供框架；c)包括對滿足適用的服務(wù)管理相關(guān)要求的承諾；d)包括對持續(xù)改進服務(wù)管理體系及服務(wù)的承諾。5.1.2溝通服務(wù)管理方針服務(wù)管理方針應(yīng)：e)可獲取并保持成文信息；f)在組織內(nèi)得到溝通；g)適用時，可為相關(guān)方獲取。2023/11/1ISOIEC20000-2018標準條款5.3組織的角色，責(zé)任和權(quán)限最高管理層應(yīng)確保與服務(wù)管理體系及服務(wù)相關(guān)崗位的責(zé)任和權(quán)限得到分配和溝通。最高管理層應(yīng)分配責(zé)任和權(quán)限，以：a)確保服務(wù)管理體系符合本標準的要求；b)向最高管理者報告服務(wù)管理體系和服務(wù)績效。2023/11/1ISOIEC20000-2018標準條款6策劃6.1應(yīng)對風(fēng)險和機遇的措施6.1.1當(dāng)策劃服務(wù)管理體系時，組織應(yīng)考慮到4.1中提及的因素和4.2中提及的要求，并確定需要應(yīng)對的風(fēng)險和機遇，以：a)確保服務(wù)管理體系可達到預(yù)期結(jié)果；b)預(yù)防或減少不利影響；c)實現(xiàn)服務(wù)管理體系和服務(wù)的持續(xù)改進。2023/11/1ISOIEC20000-2018標準條款6.1.2組織應(yīng)確認和成文化：a)有關(guān)的風(fēng)險：1)組織；2)不滿足服務(wù)要求；3)服務(wù)生命周期中的相關(guān)方；b)風(fēng)險對客戶的影響和服務(wù)管理體系及服務(wù)的機遇；c)風(fēng)險接受標準；d)風(fēng)險管理的方法。2023/11/1ISOIEC20000-2018標準條款6.1.3組織應(yīng)策劃：a)應(yīng)對風(fēng)險和機遇的措施及優(yōu)先級b)如何：1)將這些措施整合到服務(wù)管理體系過程中，并予以實現(xiàn)；2)評價這些措施的有效性。注1：應(yīng)對風(fēng)險和機遇的措施包括：避免風(fēng)險，面對或增加風(fēng)險以追求機遇，通過協(xié)定的措施移除風(fēng)險源源，改變風(fēng)險的后果和可能性，降低風(fēng)險，和其它方共擔(dān)風(fēng)險或通過充分的信息決策接受風(fēng)險。注2：ISO/IEC31000提供風(fēng)險管理的原則和通用指南。2023/11/1ISOIEC20000-2018標準條款6.2服務(wù)管理目標及其實現(xiàn)策劃6.2.1制定目標組織應(yīng)在相關(guān)職能和層級上制定服務(wù)管理目標。服務(wù)管理目標應(yīng)：a)與服務(wù)管理方針保持一致；b)可測量；c)考慮適用的要求；d)予以監(jiān)視e)予以溝通；f)適當(dāng)時更新。組織應(yīng)保留有關(guān)服務(wù)管理目標的成文信息。2023/11/1ISOIEC20000-2018標準條款6.2.2策劃實現(xiàn)目標在策劃如實現(xiàn)服務(wù)管理目標時，組織應(yīng)確定：a)要做什么；b)需要什么資源；c)由誰負責(zé)；d)什么時候完成；e)如何評價結(jié)果。2023/11/1ISOIEC20000-2018標準條款6.3策劃服務(wù)管理體系組織應(yīng)制定、實施和維護服務(wù)管理計劃。計劃應(yīng)考慮到服務(wù)管理方針，服務(wù)管理目標，風(fēng)險與機遇，服務(wù)要求和本標準的要求。服務(wù)管理計劃應(yīng)包含或引用以下內(nèi)容：a)服務(wù)清單b)影響服務(wù)管理體系和服務(wù)的已知限制；c)有關(guān)的方針，標準和法律法規(guī)要求、合同的義務(wù)；d)服務(wù)管理體系和服務(wù)的權(quán)限、職責(zé)；e)運行服務(wù)管理體系和服務(wù)所需要的人員、技術(shù)、信息和財務(wù)資源；f)服務(wù)生命周期中和相關(guān)方采取的工作方法；g)支持服務(wù)管理體系的技術(shù)h)如何測量、審核、報告和改進服務(wù)管理體系和服務(wù)的有效性。其它的計劃應(yīng)與服務(wù)管理計劃相一致。2023/11/1ISOIEC20000-2018標準條款7支持7.1資源組織應(yīng)確定并提供建立、實現(xiàn)、維護和持續(xù)改進服務(wù)管理體系和運行服務(wù)所需的人員、技術(shù)、信息和財務(wù)資源，以滿足服務(wù)要求和實現(xiàn)服務(wù)管理目標。2023/11/1ISOIEC20000-2018標準條款7.2能力組織應(yīng)：a)確定在組織控制下工作人員所需要的能力，這些人員從事的工作會影響績效和服務(wù)管理體系及服務(wù)的有效性；b)基于適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗，確保這些人員是勝任的；c)適用時，采取措施以獲得所需的能力，并評價措施的有效性；d)保留適當(dāng)?shù)某晌男畔?，作為人員能力的證據(jù)。注：適用的措施可包括，例如針對在職人員提供培訓(xùn)、輔導(dǎo)或重新分配；或者聘任、外包勝任的人員。2023/11/1ISOIEC20000-2018標準條款7.3意識組織應(yīng)確保在其控制下的工作人員知曉：a)服務(wù)管理方針；b)服務(wù)管理目標；c)與工作有關(guān)的服務(wù)；d)其對服務(wù)管理體系有效性的貢獻，包括改進績效帶來的益處；e)不符合服務(wù)管理體系要求帶來的后果。2023/11/1ISOIEC20000-2018標準條款7.4溝通組織應(yīng)確定與服務(wù)管理體系和其范圍內(nèi)的服務(wù)相關(guān)的內(nèi)部和外部的溝通，包括：a)溝通什么；b)何時溝通；c)與誰溝通；d)如何溝通；e)誰負責(zé)溝通。2023/11/1ISOIEC20000-2018標準條款7.5成文信息7.5.1總則組織的服務(wù)管理體系應(yīng)包括：a)本標準所要求的成文信息；b)組織所確定的、為確保服務(wù)管理體系的有效性必要的成文信息。注：不同組織有關(guān)服務(wù)管理體系成文信息的詳略程度可以是不同的，這是由于：1)組織的規(guī)模及其活動、過程、產(chǎn)品和服務(wù)的類型；2)過程及其相互作用的復(fù)雜性；3)人員的能力。2023/11/1ISOIEC20000-2018標準條款7.5.2創(chuàng)建和更新創(chuàng)建和更新成文信息時，組織應(yīng)確保適當(dāng)?shù)模篴)標識和描述（例如標題、日期、作者或索引編號）；b)格式（例如語言、軟件版本、圖表）和介質(zhì)（例如紙質(zhì)的、電子的）；c)評審和批準，以保持適宜性和充分性。2023/11/1ISOIEC20000-2018標準條款7.5.3成文信息的控制服務(wù)管理體系及本標準所要求的成文信息應(yīng)得到控制，以確保：a)在需要的場合和時機，均可獲得并適用；予以妥善保護（如防止泄密、不當(dāng)使用、或者缺失等）。2023/11/1ISOIEC20000-2018標準條款為控制成文信息，適用時，組織應(yīng)進行下列活動：a)分發(fā)，訪問，檢索和使用；b)存儲和保護，包括保持可讀性；c)變更控制（例如版本控制）；d)保留和處置。對于組織確定的策劃和運行服務(wù)管理體系所必需的來自外部的成文信息，應(yīng)得到適當(dāng)?shù)淖R別，并予以控制。注：對成文信息的“訪問”可能意味著僅允許查閱，或者意味著允許查閱并授權(quán)修改。2023/11/1ISOIEC20000-2018標準條款7.5.4服務(wù)管理系統(tǒng)成文信息服務(wù)管理體系的成文信息應(yīng)包括：a)服務(wù)管理體系范圍；b)服務(wù)管理的方針和目標；c)服務(wù)管理計劃；d)變更管理方針、信息安全方針和服務(wù)連續(xù)性計劃（一個或多個）；e)服務(wù)管理體系的過程；f)服務(wù)要求；g)服務(wù)目錄；h)服務(wù)級別協(xié)議（SLA）；2023/11/1ISOIEC20000-2018標準條款7.5.4服務(wù)管理系統(tǒng)成文信息服務(wù)管理體系的成文信息應(yīng)包括：i)與外部供應(yīng)商的合同；j)與內(nèi)部供應(yīng)商和充當(dāng)供應(yīng)商的客戶的協(xié)議；k)本標準要求的程序；l)證明符合本標準和服務(wù)管理體系要求的記錄。注：條款7.5.4提供了服務(wù)管理體系的重要成文信息列表。對于成文信息和記錄還有其它的要求，ISO/IEC20000-2提供了額外的指南。2023/11/1ISOIEC20000-2018標準條款7.6 知識組織應(yīng)確定和保持必要的知識，以運行服務(wù)管體系和服務(wù)。這些知識對適用的人員應(yīng)是相關(guān)的、可用的、有用的。注：知識是與服務(wù)管理體系、服務(wù)和相關(guān)方有關(guān)的，使用和共享知識以實現(xiàn)預(yù)期結(jié)果和運行服務(wù)管理體系及服務(wù)。2023/11/1ISOIEC20000-2018標準條款8運行8.1運行策劃和控制組織應(yīng)策劃、實現(xiàn)和控制滿足要求所需要的過程，通過下列內(nèi)容以及實現(xiàn)條款6中確定的措施：a)基于要求，建立過程的準則；b)按照準則實施過程控制；c)組織應(yīng)保持成文信息達到必要的程度，以確信這些過程按計劃得到執(zhí)行。組織應(yīng)控制策劃的變更并評審非預(yù)期變更的后果，必要時，采取措施減輕不利影響（見8.5.1）。組織應(yīng)確保外包過程受控(見8.2.3)。2023/11/1ISOIEC20000-2018標準條款8.2服務(wù)組合8.2.1服務(wù)交付組織應(yīng)運行服務(wù)管理體系，確保協(xié)作活動和資源。組織應(yīng)執(zhí)行交付服務(wù)所需要的活動。注：服務(wù)組合通常管理服務(wù)生命周期中的所有服務(wù)，包括提議的、開發(fā)中的、服務(wù)目錄中的在線服務(wù)和即將停止的服務(wù)。服務(wù)組合管理確保服務(wù)提供者有正確的服務(wù)構(gòu)成。服務(wù)組合管理活動包括服務(wù)策劃、控制服務(wù)生命周期的相關(guān)方、服務(wù)目錄管理、資產(chǎn)管理和配置管理。2023/11/1ISOIEC20000-2018標準條款8.2.2策劃服務(wù)已存在服務(wù)、新服務(wù)、服務(wù)變更的要求應(yīng)確認和保留成文信息。組織應(yīng)基于組織、客戶、用戶和相關(guān)方的需求確認服務(wù)的關(guān)鍵性。組織應(yīng)確認和管理服務(wù)間的依賴關(guān)系和復(fù)制關(guān)系?？紤]已知限制和風(fēng)險，組織應(yīng)提議服務(wù)變更，以便服務(wù)與服務(wù)管理方針、服務(wù)管理目標和服務(wù)要求保持一致。考慮可用資源，組織應(yīng)對服務(wù)變更進行優(yōu)先排序和提議新服務(wù)、服務(wù)變更，以便服務(wù)管理目標和業(yè)務(wù)目標保持一致。2023/11/1ISOIEC20000-2018標準條款8.2.3控制服務(wù)生命周期的相關(guān)方無論任何相關(guān)方涉及到在支持服務(wù)生命周期中執(zhí)行活動，組織應(yīng)對本標準的要求和交付的服務(wù)負責(zé)。組織應(yīng)確認和應(yīng)用本標準評估和選擇服務(wù)生命周期中的其它相關(guān)方。其它相關(guān)方可以是外部供應(yīng)商、內(nèi)部供應(yīng)商和客戶充當(dāng)?shù)墓?yīng)商。其它相關(guān)方不應(yīng)提供和運行服務(wù)管理體系范圍內(nèi)所有的服務(wù)、服務(wù)組件或流程。組織應(yīng)確認和成文化下列內(nèi)容：a)其它相關(guān)方提供和運行的服務(wù)；b)其它相關(guān)方提供和運行的服務(wù)組件；c)其它相關(guān)方運行的服務(wù)管理體系范圍內(nèi)的流程或部分流程。組織應(yīng)集成組織自身或其它相關(guān)方提供和運行的服務(wù)管理體系范圍內(nèi)的服務(wù)、服務(wù)組件和流程。以滿足服務(wù)要求。組織應(yīng)進行協(xié)調(diào)包括服務(wù)生命周期中，策劃、設(shè)計、轉(zhuǎn)換、交付和改進活動的其它相關(guān)方。2023/11/1ISOIEC20000-2018標準條款組織應(yīng)對其它相關(guān)方定義和應(yīng)用下列控制措施：a)測量和評估過程績效；b)測量和評估服務(wù)、服務(wù)組件滿足服務(wù)要求的有效性。注：ISO/IEC20000-3提供了服務(wù)生命周期中控制其它相關(guān)方的指南。2023/11/1ISOIEC20000-2018標準條款8.2.4服務(wù)目錄管理組織應(yīng)創(chuàng)建和維護一個或多個服務(wù)目錄。服務(wù)目錄應(yīng)包括描述服務(wù)的組織、客戶、用戶和其它相關(guān)方的信息、它們預(yù)期的結(jié)果和服務(wù)間依賴關(guān)系。組織應(yīng)對客戶、用戶和其它相關(guān)方提供合適的訪問（部分）服務(wù)目錄的渠道。2023/11/1ISOIEC20000-2018標準條款8.2.5資產(chǎn)管理組織應(yīng)確保管理用于交付服務(wù)的資產(chǎn)以滿足服務(wù)要求和條款6.3c）規(guī)定的義務(wù)。注：ISO55001和ISO/IEC19770-1確定了支持實施、運營資產(chǎn)和IT資產(chǎn)管理的要求。注：另外，資產(chǎn)作為配置項時，參考配置管理。2023/11/1ISOIEC20000-2018標準條款8.2.6配置管理配置項的類型應(yīng)定義。服務(wù)應(yīng)分類為配置項。配置信息應(yīng)記錄到適合服務(wù)關(guān)鍵性和類型的詳細程度。訪問配置信息應(yīng)受控。每個配置項的配置信息應(yīng)包括：a)唯一性標識；b)配置項類型；c)配置項描述；d)與其它配置項的關(guān)系；e)狀態(tài)。配置項應(yīng)受控。配置項的變更應(yīng)可追溯和可審計，以維護配置信息的完整性。配置項的變更發(fā)布后，配置項應(yīng)更新。適用時，配置信息應(yīng)對其它服務(wù)管理活動可用。2023/11/1ISOIEC20000-2018標準條款8.3關(guān)系與協(xié)議8.3.1總則組織使用供應(yīng)商以：a)提供和運行服務(wù)；b)提供和運行服務(wù)組件；c)運行服務(wù)管理體系范圍內(nèi)的流程或部分流程。圖-2表示了用途、協(xié)議和業(yè)務(wù)關(guān)系管理、服務(wù)級別管理、供應(yīng)商管理的關(guān)系。2023/11/1ISOIEC20000-2018標準條款8.3關(guān)系與協(xié)議注：ISO/IEC20000-3包括潛在場景和范圍的供應(yīng)鏈關(guān)系的示例。注：本標準的供應(yīng)商管理不包括供應(yīng)商的采購過程。2023/11/1ISOIEC20000-2018標準條款8.3.2業(yè)務(wù)關(guān)系管理服務(wù)的客戶，用戶和相關(guān)方應(yīng)予以識別，并保留成文信息。組織應(yīng)指定一個或多個專人負責(zé)管理客戶關(guān)系和維護客戶滿意度。組織應(yīng)與確定客戶和相關(guān)方溝通的安排。溝通應(yīng)促進對不斷進化的服務(wù)運行的業(yè)務(wù)環(huán)境的理解，應(yīng)使組織能夠響應(yīng)新的或變更的服務(wù)的要求。組織應(yīng)與客戶按策劃的時間間隔評審審服務(wù)績效趨勢和結(jié)果。組織應(yīng)按照策劃的時間間隔，基于對服務(wù)的客戶進行抽樣，調(diào)查客戶滿意度。應(yīng)對結(jié)果進行分析和評審以識別改進機會。服務(wù)投訴應(yīng)予以記錄、管理直至關(guān)閉和報告。當(dāng)服務(wù)投訴通過正常渠道得不到解決，應(yīng)升級處理。2023/11/1ISOIEC20000-2018標準條款8.3.3服務(wù)級別管理組織應(yīng)與客戶約定交付的服務(wù)。對于所交付的每項服務(wù)，組織應(yīng)基于服務(wù)要求與客戶協(xié)商確定一個或多個服務(wù)級別協(xié)議（SLAs）。服務(wù)級別協(xié)議應(yīng)包括服務(wù)級別目標，工作量和例外情況。組織應(yīng)按照策劃的時間間隔監(jiān)控、評審和匯報：a)服務(wù)級別目標的績效；b)與服務(wù)級別目標的工作量比較，實際和周期性的工作量的變更。服務(wù)級別目標未滿足時，組織應(yīng)識別改進機會。注：組織和客戶交付服務(wù)的協(xié)議可以以多種形式存在，如成文的協(xié)議，會議中的口頭協(xié)定，email形式的協(xié)議或同意服務(wù)許可協(xié)議的形式。2023/11/1ISOIEC20000-2018標準條款8.3.4供應(yīng)商管理管理外部供應(yīng)商組織應(yīng)指定一個或多個專人負責(zé)管理與外部供應(yīng)商的關(guān)系、合同和績效。組織和外部供應(yīng)商應(yīng)協(xié)商形成成文的合同。合同中應(yīng)包含或引用以下內(nèi)容：a)外部供應(yīng)商提供或者運行的服務(wù)范圍、服務(wù)組件、流程或部分流程；b)外部供應(yīng)商需要滿足的要求；c)服務(wù)等級目標或其它合同義務(wù)；d)組織與外部供應(yīng)商的職責(zé)與權(quán)限。2023/11/1ISOIEC20000-2018標準條款8.3.4供應(yīng)商管理組織應(yīng)評估外部供應(yīng)商的服務(wù)等級目標或者其它合同義務(wù)與客戶的服務(wù)等級目標保持一致，和管理已識別的風(fēng)險。組織應(yīng)按照策劃的時間間隔監(jiān)視外部供應(yīng)商的績效。服務(wù)等級目標和其他合同義務(wù)未滿足的場合，組織應(yīng)確保識別改進機會。組織應(yīng)按照策劃的時間間隔依據(jù)當(dāng)前的服務(wù)要求評審合同。變更授權(quán)前，合同的變更對服務(wù)管理體系和服務(wù)的影響應(yīng)予以評估。組織和外部供應(yīng)商的爭議應(yīng)予以記錄、管理直至關(guān)閉。2023/11/1ISOIEC20000-2018標準條款管理內(nèi)部供應(yīng)商和充當(dāng)供應(yīng)商的客戶對于每一個內(nèi)部供應(yīng)商和充當(dāng)供應(yīng)商的客戶，組織應(yīng)開發(fā)、協(xié)商和維護成文的協(xié)議，以定義服務(wù)等級目標，其它承諾，活動和相互間的接口。組織應(yīng)按照策劃的時間間隔監(jiān)視內(nèi)部供應(yīng)商和充當(dāng)供應(yīng)商的客戶的績效。服務(wù)等級目標和其它約定的承諾未滿足的場合，組織應(yīng)確保識別改進機會。2023/11/1ISOIEC20000-2018標準條款8.4供應(yīng)與需求8.4.1服務(wù)預(yù)算與核算組織應(yīng)在保持與財務(wù)管理方針和流程一致的情況下進行服務(wù)或一組服務(wù)的預(yù)算和核算。應(yīng)對服務(wù)成本進行預(yù)算，使提供的服務(wù)能有效地進行財務(wù)控制和決策。按照策劃的時間間隔，組織應(yīng)依據(jù)預(yù)算來監(jiān)視和報告實際成本，審核財務(wù)預(yù)測并管理成本。注：許多，但不是所有組織會對服務(wù)進行計費。服務(wù)的預(yù)算和核算過程不包括計費，以確保適用于所有組織。2023/11/1ISOIEC20000-2018標準條款8.4.2需求管理按照策劃的時間間隔，組織應(yīng)：a)確定服務(wù)當(dāng)前需求和預(yù)測未來需求；b)監(jiān)視和評審需求與服務(wù)使用情況。注：需求管理負責(zé)理解客戶當(dāng)前和未來的需求。能力管理與需求管理配合，策劃和提供充足的能力以滿足需求。2023/11/1ISOIEC20000-2018標準條款8.4.3能力管理考慮服務(wù)和性能要求，人員、技術(shù)、信息和財務(wù)資源的能力要求應(yīng)予以確定、保留成文信息和維護。組織應(yīng)對能力進行策劃，包括：a)基于服務(wù)需求，當(dāng)前和預(yù)測的能力；b)對約定的服務(wù)等級目標、服務(wù)可用性、服務(wù)連續(xù)性要求的預(yù)期影響；c)能力變更的時間跨度和閥值。組織應(yīng)提供充分的容量滿足商定的容量和性能要求。組織應(yīng)監(jiān)視能力的使用、分析能力和性能數(shù)據(jù)和識別改進機會。2023/11/1ISOIEC20000-2018標準條款8.5服務(wù)設(shè)計、構(gòu)建與轉(zhuǎn)換8.5.1變更管理變更管理方針變更管理方針應(yīng)予以制定和保留成文信息，以定義：a)在變更管理控制下的服務(wù)組件和其它事項；b)變更類別，包括緊急變更，以及如何進行管理；對客戶或服務(wù)有潛在重大影響變更的確定標準。2023/11/1ISOIEC20000-2018標準條款變更管理啟動變更請求，包括增加、移除或轉(zhuǎn)移服務(wù)，應(yīng)予以記錄和分類。組織應(yīng)在下列情況使用8.5.2條款的服務(wù)設(shè)計和轉(zhuǎn)換流程：a)由變更管理方針確定的，對客戶或其它服務(wù)有潛在重大影響的新服務(wù)；b)由變更管理方針確定的，對客戶或其它服務(wù)有潛在重大影響的服務(wù)變更；c)依據(jù)變更管理方針，通過服務(wù)設(shè)計和轉(zhuǎn)換管理的變更類別；d)移除服務(wù)；e)轉(zhuǎn)移已存在的服務(wù)至客戶或其它方；f)從客戶或其它方轉(zhuǎn)移已存在的服務(wù)至組織；評估、授權(quán)、調(diào)度和評審條款8.5.2范圍內(nèi)的新服務(wù)或變更的服務(wù)應(yīng)通過條款的“變更管理活動”進行管理。不在條款8.5.2范圍內(nèi)的變更請求應(yīng)通過條款的“變更管理活動”進行管理。2023/11/1ISOIEC20000-2018標準條款變更管理活動組織和相關(guān)方應(yīng)就變更請求的授權(quán)和優(yōu)先級做出決策。決策應(yīng)考慮風(fēng)險、業(yè)務(wù)收益、可行性和財務(wù)影響。決策也應(yīng)考慮變更的潛在影響：a)已存在服務(wù)；b)客戶、用戶和其它相關(guān)方；c)本標準要求的方針和計劃；d)能力、服務(wù)可用性、服務(wù)連續(xù)性和信息安全；e)其它變更請求、發(fā)布和部署計劃。2023/11/1ISOIEC20000-2018標準條款變更管理活動授權(quán)的變更應(yīng)予以準備、確認，可行的情況下，進行測試。授權(quán)變更的建議發(fā)布日期和其它細節(jié)應(yīng)和相關(guān)方溝通?；赝嘶蜓a救不成功變更的活動應(yīng)予以策劃，可行的情況下，進行測試。不成功的變更應(yīng)予以調(diào)查和采取約定的措施。組織應(yīng)評審變更的有效性，與相關(guān)方采取約定的措施。應(yīng)按照策劃的時間間隔分析變更請求記錄以識別趨勢。分析所得的結(jié)果和結(jié)論應(yīng)予以記錄和評審以識別改進機會。2023/11/1ISOIEC20000-2018標準條款8.5.2服務(wù)設(shè)計與轉(zhuǎn)換策劃新的或變更的服務(wù)策劃應(yīng)使用條款8.2.2確定的新的或者變更的服務(wù)的要求，應(yīng)包括或引用下列內(nèi)容：a)設(shè)計、構(gòu)建和轉(zhuǎn)換活動的權(quán)限和職責(zé)；b)組織以及其他相關(guān)方擬執(zhí)行的活動，包括時間跨度；c)人員、技術(shù)、信息和財務(wù)資源；d)與其它服務(wù)的依賴關(guān)系；e)新的服務(wù)或變更的服務(wù)需要的測試；f)服務(wù)驗收標準；g)以可測量的術(shù)語表述的交付新的或變更的服務(wù)的預(yù)期結(jié)果。h)對服務(wù)管理體系、其它服務(wù)、計劃的變更、客戶、用戶和其它相關(guān)方的影響。針對將要被移除的服務(wù)，組織應(yīng)進行服務(wù)移除的策劃。策劃額外應(yīng)包括移除歸檔、數(shù)據(jù)的廢棄與轉(zhuǎn)移、文檔信息以及服務(wù)組件。受新的或變更的服務(wù)影響的配置項應(yīng)通過配置管理控制。

2023/11/1ISOIEC20000-2018標準條款設(shè)計新的或者變更的服務(wù)應(yīng)予以設(shè)計和保留成文信息以滿足條款8.2.2確定的服務(wù)要求。設(shè)計應(yīng)包括下列內(nèi)容：a)交付新的或變更的服務(wù)時的各方權(quán)限和職責(zé)；b)對人員、技術(shù)、信息和財務(wù)資源變更的要求；c)對適當(dāng)?shù)慕逃?、培?xùn)和經(jīng)驗的要求；d)支持服務(wù)的新的或變更的服務(wù)等級協(xié)議、合同和其他形成文件的協(xié)議；e)變更對服務(wù)管理體系的影響，包括新的或變更的方針、計劃、過程、程序、測量或知識；f)對其它服務(wù)的影響；g)更新服務(wù)目錄（一個或多個）。2023/11/1ISOIEC20000-2018標準條款構(gòu)建與轉(zhuǎn)換新的或變更的服務(wù)應(yīng)被構(gòu)建和測試，以驗證其能否滿足服務(wù)要求，設(shè)計文件的要求，以及約定的驗收標準。如果不符合服務(wù)驗收標準，組織和相關(guān)方應(yīng)就必要的措施和部署進行決策。發(fā)布和部署管理應(yīng)被用于部署已批準的新的或變更的服務(wù)到實際運行環(huán)境中。轉(zhuǎn)換活動完成后，組織應(yīng)向相關(guān)方報告所實現(xiàn)的結(jié)果，并與預(yù)期結(jié)果進行對比。2023/11/1ISOIEC20000-2018標準條款8.5.3 發(fā)布與部署管理組織應(yīng)定義發(fā)布類型，包括緊急發(fā)布，發(fā)布頻率和如何管理。組織應(yīng)與對新的或變更的服務(wù)和服務(wù)組件部署到實際運行環(huán)境進行策劃。策劃應(yīng)與變更管理過程協(xié)調(diào)一致，并包含對相關(guān)的變更請求、已知錯誤和通過該發(fā)布所關(guān)閉問題的引用。策劃應(yīng)包括每個發(fā)布的部署日期、交付物和部署方法。組織應(yīng)應(yīng)依據(jù)成文的驗收準則對發(fā)布進行驗證，并在部署前被授權(quán)。如果未能滿足驗收準則，組織和相關(guān)方應(yīng)就采取必要的措施和部署進行決策。發(fā)布部署到實際運行環(huán)境前，應(yīng)建立受影響的配置項的基線。發(fā)布應(yīng)部署到實際運行環(huán)境中，以使服務(wù)和服務(wù)組件的完整性得到保持。應(yīng)監(jiān)視和分析發(fā)布的成功或失敗。測量內(nèi)容應(yīng)包括發(fā)布在部署之后至隨后的發(fā)布間的的事件。分析的結(jié)果和結(jié)論應(yīng)予以記錄和評審以識別改進機會。適用時，發(fā)布成功或者失敗、未來發(fā)布日期的信息應(yīng)對其它服務(wù)管理活動可用。2023/11/1ISOIEC20000-2018標準條款8.6解決與完成8.6.1事件管理事件應(yīng)：a)記錄和分類；b)考慮影響和緊急性，進行優(yōu)先排序；c)需要時升級；d)解決；e)關(guān)閉。事件記錄應(yīng)根據(jù)采取的措施進行更新。組織應(yīng)確定識別重大事件的標準。重大事件依據(jù)成文的程序進行分類和管理。重大事件的信息應(yīng)通知最高管理者。組織應(yīng)分配管理重大事件的責(zé)任人。事件解決后，重大事件應(yīng)予以匯報和評審，以識別改進機會。2023/11/1ISOIEC20000-2018標準條款8.6.2服務(wù)請求管理服務(wù)請求應(yīng)：a)記錄和分類；b)優(yōu)先排序；c)完成；d)關(guān)閉。服務(wù)請求應(yīng)根據(jù)采取的措施進行更新。服務(wù)請求完成的指南應(yīng)對服務(wù)請求完成的有關(guān)人員可用。2023/11/1ISOIEC20000-2018標準條款8.7服務(wù)保障8.7.1服務(wù)可用性管理按策劃的時間間隔，與服務(wù)可用性有關(guān)的風(fēng)險應(yīng)予以評估和保留成文信息。組織應(yīng)確定服務(wù)可用性要求和目標。協(xié)定的要求應(yīng)考慮相關(guān)的業(yè)務(wù)要求、服務(wù)要求、SLA和風(fēng)險。服務(wù)可用性的要求和目標應(yīng)保留成文信息并維護。服務(wù)可用性應(yīng)予以監(jiān)控、記錄結(jié)果和與目標作比較。非計劃的不可用應(yīng)予以調(diào)查和采取必要的措施。注：條款6.1識別的風(fēng)險為服務(wù)可用性、連續(xù)性和信息安全提供輸入。2023/11/1ISOIEC20000-2018標準條款8.7.2服務(wù)連續(xù)性管理按策劃的時間間隔，與服務(wù)連續(xù)性有關(guān)的風(fēng)險應(yīng)予以評估和保留成文信息。組織應(yīng)確定服務(wù)連續(xù)性要求。協(xié)定的要求應(yīng)考慮相關(guān)的業(yè)務(wù)要求、服務(wù)要求、SLA和風(fēng)險。組織應(yīng)建立、實施和維護一個或者多個業(yè)務(wù)連續(xù)性計劃。業(yè)務(wù)連續(xù)性計劃應(yīng)包括或引用下列內(nèi)容：a)激活服務(wù)連續(xù)性計劃的標準和職責(zé)；b)在重大服務(wù)中斷時實施的程序；c)激活服務(wù)連續(xù)性計劃時的可用性目標；d)服務(wù)恢復(fù)要求；e)返回正常工作條件的程序；正常服務(wù)位置訪問被阻止時，服務(wù)連續(xù)性計劃和聯(lián)系人清單應(yīng)有可訪問的渠道。按策劃的時間間隔，服務(wù)連續(xù)性計劃應(yīng)按照服務(wù)要求進行測試。服務(wù)環(huán)境有重大變更后，服務(wù)連續(xù)性計劃應(yīng)重新測試。測試的結(jié)果應(yīng)予以記錄。每次測試后和服務(wù)連續(xù)計劃激活后，發(fā)現(xiàn)有缺陷或不足時，組織應(yīng)采取必要的措施。服務(wù)連續(xù)性計劃已經(jīng)激活時，組織應(yīng)報告原因，影響和恢復(fù)活動。2023/11/1ISOIEC20000-2018標準條款8.7.3信息安全管理 信息安全策略合適授權(quán)的管理者應(yīng)同意組織的信息安全策略。信息安全策略應(yīng)保留成文信息和考慮服務(wù)要求及6.3c）要求的義務(wù)。適用時，信息安全策略應(yīng)可用和可獲取，組織應(yīng)溝通符合信息安全策略的重要性和應(yīng)用策略于服務(wù)管理體系和服務(wù)的下列人員：a)組織；b)客戶和用戶；c)外部供應(yīng)商、內(nèi)部供應(yīng)商和其它相關(guān)方。2023/11/1ISOIEC20000-2018標準條款信息安全控制措施按策劃的時間間隔，與服務(wù)管理體系和服務(wù)有關(guān)的信息安全風(fēng)險應(yīng)予以評估和保留成文信息。信息安全控制措施應(yīng)確認、實施和運行，以支持信息安全策略和應(yīng)對識別的信息安全風(fēng)險。信息安全控制措施的決策應(yīng)保留成文信息。組織應(yīng)同意和實施信息安全控制措施以應(yīng)對與外部組織有關(guān)的信息安全風(fēng)險。組織應(yīng)監(jiān)控和評審信息安全控制措施的有效性，必要時，采取措施。2023/11/1ISOIEC20000-2018標準條款信息安全事件信息安全事件應(yīng)：a)記錄和分類；b)考慮信息安全風(fēng)險，進行優(yōu)先排序；c)需要時，升級；d)解決；e)關(guān)閉。組織應(yīng)基于類型、數(shù)量、對服務(wù)管理體系和相關(guān)方的影響分析信息安全事件。信息安全事件應(yīng)報告和評審，以發(fā)現(xiàn)改進機會。注：ISO/IEC27001系列標準提供了支持實施和運行信息安全管理體系的要求與指南。ISO/IEC27013提供了集成實施ISO/IEC27001和ISO/IEC20000-1（本標準）的指南。2023/11/1ISOIEC20000-2018標準條款9績效評價9.1監(jiān)視、測量、分析和評價組織應(yīng)確定：a)服