ISO-IEC20000-1-2018信息技術(shù)服務(wù)管理第1部分-服務(wù)管理體系新版要求

ISO/IEC20000-1:2018ISO/IEC20000-1:2018ISO/IEC20000-1-2018信息技術(shù)服務(wù)管理第1部分-服務(wù)管理體系新版要求2018-09-15

2018-09-15實施目錄前言 i引言 iii信息術(shù)服管理第部分服管體系要求 11范圍 11.111.212規(guī)性用13術(shù)和1關(guān)理統(tǒng)準(zhǔn)術(shù)語 23.1.1審2能competence 2符（格conformity 2持改continualimprovement 2糾措correctiveaction 2成信documentedinformation 2有性effectiveness 2相方interestedparty 3管體managementsystem 3量measurement 3視monitoring 3符合nonconformity 3標(biāo)objective 3織organization 3包outsource,verb 4效performance 4針policy 4程process 4求requirement 4險risk 4高理者topmanagement 5關(guān)務(wù)理術(shù)語 5資asset 5配項configurationitem 5客customer 5外供商externalsupplier 5事incident 5信安informationsecurity 5信安事informationsecurityincident 6內(nèi)供商internalsupplier 6已錯knownerror 6題problem 62序procedure 6錄record,noun 6布release,noun 6更求requestforchange 6務(wù)service 6務(wù)用性serviceavailability 7務(wù)錄servicecatalogue 7務(wù)件servicecomponent 7務(wù)續(xù)性servicecontinuity 7務(wù)別議servicelevelagreementSLA 7務(wù)別標(biāo)serviceleveltarget 7務(wù)理servicemanagement 7務(wù)理系servicemanagementsystemSMS 7務(wù)供者serviceprovider 7務(wù)求servicerequest 8務(wù)求servicerequirement 8換transition 8戶user 8值value 84組環(huán)境 8解織其8解關(guān)的求期望 8定務(wù)理系8務(wù)理95領(lǐng)導(dǎo) 9導(dǎo)承諾 95.29制服管方針 9溝服管方針 95.3織角，任權(quán)限 96策劃 10對險機的10務(wù)理標(biāo)其現(xiàn)策劃 106.2.1制目標(biāo) 10策實目標(biāo) 10劃務(wù)理117支持 117.1117.2117.3117.4127.5文127.5.1總則 12創(chuàng)和12成信的12服管系成信息 127.6138運行 138.1行劃控制 138.2務(wù)138.2.1服交付 138.2.2策服務(wù) 13控服生周的相方 14服目管理 148.2.5資管理 148.2.6配管理 14系協(xié)議 158.3.1總則 15業(yè)關(guān)管理 15服級管理 15供商16應(yīng)需求 168.4.1服預(yù)與168.4.2需管理 168.4.3能管理 17務(wù)計構(gòu)與178.5.1變管理 17服設(shè)與18發(fā)與署18決完成 198.6.1事管理 19服請管理 198.6.3問管理 198.7務(wù)20服可性20服連性20信安管理 209績評價 219.1視測、析評價 219.2部219.3理229.4務(wù)221022不合糾措施 2210.2持改進(jìn) 234前 言ISO（）IEC（）ISO或IECISO和O和ECI和IECISO/IECJTC1第二段至第六段未翻譯。第三版取消和替代了第二版(ISO/IEC20000-1:2011)，已進(jìn)行了技術(shù)性修訂。和前一個版本比較，主要變化如下：（ISO/IEC導(dǎo)則第一部分ISO條款3（SLISO/IEC27000i2至圖12和不是附件SL指定使用的PDCA循ISO/IEC20000ISO的\h：/members.htmlii引 言ISO/IEC20000-2提供本標(biāo)準(zhǔn)的應(yīng)用指南，包括如何滿足本標(biāo)準(zhǔn)的要求。ISO/IEC20000-10提供ISO/IEC20000系列標(biāo)準(zhǔn)的有關(guān)信息，收益，誤解和其它相關(guān)的標(biāo)準(zhǔn)。ISO/IEC20000-10定義了本標(biāo)準(zhǔn)使用的術(shù)語和定義，除此之外，還包括ISO/IEC20000系列標(biāo)準(zhǔn)中其它標(biāo)準(zhǔn)使用的術(shù)語和定義。3.1ISO/IECISOSLISO9001ISO/IEC27001如圖iiiivISO/IEC20000-1:2018ISO/IEC20000-1:2018信息技術(shù)服務(wù)管理第一部分服務(wù)管理體系要求范圍10;本標(biāo)準(zhǔn)的要求可以由組織自身提供滿足本標(biāo)準(zhǔn)要求的證明。45無規(guī)范引用文件1下列的術(shù)語和定義適用于本文件。ISO和IEC在下列地址維護(hù)適用的術(shù)語和定義數(shù)據(jù)庫：—IEC電子維護(hù)百科：\h/—ISO在線瀏覽平臺：\h/obp審計 審核注注2：內(nèi)部審核，有時稱為第一方審核，由組織自己或以組織的名義進(jìn)行。注3：“審核證據(jù)“和”審核準(zhǔn)則“的定義參考ISO19011。能力 competence應(yīng)用知識和技能實現(xiàn)預(yù)期結(jié)果的本領(lǐng)符合合） conformity滿足要求持續(xù)進(jìn) continualimprovement提高績效的循環(huán)活動糾正施 correctiveaction為消除不合格的原因并防止再發(fā)生所采取的措施注1：這是ISO/IEC導(dǎo)則，第1部分的ISO補充規(guī)定的附件SL中給出的ISO管理體系標(biāo)準(zhǔn)中的通用術(shù)語及核心定義之一，最初的定義已經(jīng)通過增加“消除不合格的原因并防止再發(fā)生“而修訂。成文息 documentedinformation組織需要控制并保持的信息及其載體例如 方，劃過描述程，務(wù)別議或合注1注2————為組織運行而創(chuàng)建的信息(一組文件)；——實現(xiàn)結(jié)果的證據(jù)。注3：ISO/IEC1部分的ISOSLISO有效性 effectiveness實現(xiàn)策劃的活動并取得策劃的結(jié)果的程度2相關(guān)方 interestedparty注1注2：相關(guān)方可以包括組織服務(wù)管理體系范圍外的一部分，客戶，用戶，社區(qū)，外部供應(yīng)商，監(jiān)管機構(gòu)，公共機構(gòu)，非政府機構(gòu)，投資者或員工。注3：需要確定相關(guān)方的要求條款，相關(guān)方因組織環(huán)境不同而不同。注ISO/IEC1部分的ISOSLISO1，2，3管理系 managementsystem注1注2注的部門，或者組織中一個或多個跨團(tuán)隊的職能。注ISO/IEC部分的ISOSLISO2測量 measurement確定數(shù)值的過程監(jiān)視 monitoring確定體系、過程或活動的狀態(tài)注1：為確定狀態(tài)，需要檢查、監(jiān)控或者關(guān)鍵的觀察。不符合 nonconformity未滿足要求注1：未滿足的要求和服務(wù)管理體系要求有關(guān)。目標(biāo) objective要實現(xiàn)的結(jié)果注1：目標(biāo)可能是戰(zhàn)略性的、戰(zhàn)術(shù)性的或運行層面的。注（注注(3.5.4)(3.2.1(3.5.9)注ISO/IEC部分的ISOSLISO2組織 organization3為實現(xiàn)其目標(biāo)，通過職責(zé)、權(quán)限和相互關(guān)系而擁有其自身職能的一個人或一組人注1：組織的概念包括但不限于代理商、公司、集團(tuán)、商行、企事業(yè)單位、政府機構(gòu)、合營公司、社團(tuán)、慈善機構(gòu)或研究機構(gòu)，或上述組織的部分或組合，無論是否具有法人資格、公有的或私有的。注注注4：原有的ISO補充規(guī)定的附件SL中給出定義通過增加注釋2和注釋3修改。外包 outsource,verb安排外部組織執(zhí)行組織的部分職能或過程注1：盡管外包的職能或過程在管理體系范圍之內(nèi)，但是外部組織不在管理體系覆蓋范圍內(nèi)?？冃?performance可測量的結(jié)果注1：績效可能與定量的或定性的結(jié)果有關(guān)。注2：績效可能與活動、過程、產(chǎn)品、服務(wù)、體系或組織的管理有關(guān)。注ISO/IEC部分的ISOSLISO2方針 policy由最高管理者正式發(fā)布的組織的宗旨和方向過程 process利用輸入產(chǎn)生預(yù)期結(jié)果的相互關(guān)聯(lián)或相互作用的一組活動注1：過程的“預(yù)期結(jié)果”稱為輸出，還是稱為產(chǎn)品或服務(wù)，需隨相關(guān)語境而定。注2：一個過程的輸入通常是其他過程的輸出，而一個過程的輸出又通常是其他過程的輸入。注3：兩個或兩個以上相互關(guān)聯(lián)和相互作用的連續(xù)過程也可作為一個過程。注4：組織為了增值通常對過程進(jìn)行策劃并使其在受控條件下運行。注ISO/IEC部分的ISOSLISO至注要求 requirement明示的、通常隱含的或必須履行的需求或期望注1：“通常隱含”是指組織和相關(guān)方的慣例或一般做法，所考慮的需求或期望是不言而喻的。注2：規(guī)定要求是經(jīng)明示的要求，如：在形成文件的信息中闡明。注注4：原來的高階附件的定義已通過增加注釋3修訂。風(fēng)險 risk4不確定性的影響注1：影響是指偏離預(yù)期，可以是正面的或負(fù)面的。注2：不確定性是指對事件及其后果或可能性的信息缺失或了解片面的的狀態(tài)。注3：通常用潛在事件和后果，或者兩者的組合來表現(xiàn)風(fēng)險的特性。注4：通常用事件后果（包括情形的變化）和相應(yīng)事件發(fā)生可能性的組合來表示風(fēng)險。最高理者 topmanagement在最高層指揮和控制組織的一個人或一組人注1：最高管理者有權(quán)在組織內(nèi)部授權(quán)并提供資源。注資產(chǎn) asset對組織有潛在或?qū)嶋H價值的物品、事物或?qū)嶓w注注注3：一組資產(chǎn)被稱作資產(chǎn)系統(tǒng)，亦可以稱作一項資產(chǎn)。注4：資產(chǎn)可以是配置項，一些配置項不是資產(chǎn)。[來源：ISO/IEC19770-5:2015,3.2,修訂—注釋4包括了新內(nèi)容。]配置項 configurationitem為交付一項或多項服務(wù)需要控制的元素客戶 customer注1：對于服務(wù)提供方組織來說，客戶可以是內(nèi)部的或外部的。注2：客戶可以是用戶，客戶可以擔(dān)任供應(yīng)商。externalsupplier注1:外部供應(yīng)商包括指定的主供應(yīng)商，但不包括分包商。注2：如果服務(wù)管理體系范圍的組織是大型組織的一部分，其它方指大型組織外的有關(guān)方。事件 incident計劃外的服務(wù)中斷、服務(wù)質(zhì)量下降或尚未對客戶服務(wù)造成影響的事態(tài)。信息全 informationsecurity5保護(hù)信息的機密性，完整性和可用性注釋1：其它屬性，例如可認(rèn)證，可審計，不可否認(rèn)性和可靠性也會被涉及。[來源：ISO/IEC27000:2018,3.28]信息全件 informationsecurityincident單個或一系列意外或突發(fā)的、具有損害業(yè)務(wù)運營和威脅信息安全的極大可能性的事態(tài)。[來源：ISO/IEC27000:2018,3.28]內(nèi)部應(yīng)商 internalsupplier例如采購，基礎(chǔ)設(shè)施，財務(wù)，人員，設(shè)備。注1：內(nèi)部供應(yīng)商和服務(wù)管理體系范圍內(nèi)的組織，是更大組織的組成部分。已知誤 knownerror已識別根本原因或已有方法可降低或消除其對服務(wù)的影響的問題問題 problem造成一個或多個事件的根本原因程序 procedure為進(jìn)行某項活動或過程所規(guī)定的途徑注1：程序可以成文或者不成文。記錄 record,noun闡明所取得的結(jié)果或提供所完成活動的證據(jù)的文件例如審計報告，事件詳情，培訓(xùn)委托表、會議紀(jì)要。注1注2[來源：ISO9000:2015,3.8.10，修訂——增加示例]發(fā)布 release,noun作為一項或多項變更的結(jié)果，將一組一個或多個新的或變更的配置項部署到實際運行環(huán)境變更求 requestforchange對服務(wù)，服務(wù)組件或服務(wù)管理體系進(jìn)行變更的提議注釋1：服務(wù)變更包括提供一項新服務(wù)、轉(zhuǎn)移服務(wù)或刪除一項不再需要的服務(wù)。服務(wù) service通過幫助客戶達(dá)成其期望的結(jié)果而向客戶交付價值的手段。注釋1：服務(wù)一般是無形的。6注釋服務(wù)用性 serviceavailability一項服務(wù)或服務(wù)組件在指定的時間或時間段完成要求的功能的能力。注釋服務(wù)錄 servicecatalogue組織提供給客戶服務(wù)的成文信息服務(wù)件 servicecomponent注釋1服務(wù)續(xù)性 servicecontinuity按照商定的服務(wù)可用性或連續(xù)無中斷交付服務(wù)的能力注釋1：服務(wù)連續(xù)性管理是業(yè)務(wù)連續(xù)性管理的一個子過程，ISO22301是業(yè)務(wù)連續(xù)性管理體系的標(biāo)準(zhǔn)。服務(wù)別議 servicelevelagreementSLA服務(wù)提供方和客戶之間定義服務(wù)和服務(wù)指標(biāo)的形成文件的協(xié)議。注釋注釋2：服務(wù)級別協(xié)議可以包含在合同或其它類型的書面協(xié)議中。服務(wù)別標(biāo) serviceleveltarget確定組織提供服務(wù)的可測量的特性服務(wù)理 servicemanagement注釋服務(wù)理系 servicemanagementsystemSMS指揮和控制服務(wù)提供方的服務(wù)管理活動的管理體系注釋服務(wù)供者 serviceprovider為客戶提供一項服務(wù)或多項服務(wù)的組織。7服務(wù)求 servicerequest請求提供信息、建議、服務(wù)訪問或預(yù)先批準(zhǔn)的變更服務(wù)求 servicerequirement注釋轉(zhuǎn)換 transition將一項新的或變更的服務(wù)移入或移出實際運行環(huán)境所涉及的活動用戶 user通過和一項或多項服務(wù)交互或受益的個人或組注釋1：用戶包括個人用戶，社區(qū)用戶，充當(dāng)用戶的客戶。價值 value重要性，收益或有用性例如財務(wù)價值，取得服務(wù)結(jié)果，取得服務(wù)管理目標(biāo)，客戶保留，移除約束。注釋組織應(yīng)確定與其宗旨和戰(zhàn)略相關(guān)并且影響其實現(xiàn)服務(wù)管理體系預(yù)期結(jié)果能力的外部和內(nèi)部因素。注釋：這些因素可能是正面或者負(fù)面影響的因素，對于組織交付協(xié)定服務(wù)質(zhì)量給用戶，這些是重要的。組織應(yīng)確定：注：相關(guān)方的要求可包括與服務(wù)管理體系及服務(wù)有關(guān)的服務(wù)、績效、法律、法規(guī)要求和合同義務(wù)。組織應(yīng)確定服務(wù)管理體系的邊界及其適用性，以建立其范圍。在確定范圍時，組織應(yīng)考慮：4.14.2服務(wù)管理體系的范圍定義應(yīng)包括范圍內(nèi)的服務(wù)以及管理和交付服務(wù)的組織名稱8服務(wù)管理體系的范圍應(yīng)保留成文信息，可獲得并得到保持。注1：ISO/IEC20000-3提供服務(wù)管理體系范圍定義指南。注2：服務(wù)管理體系范圍描述那一個服務(wù)在范圍內(nèi)，可以是組織交付的全部或者部分服務(wù)。領(lǐng)導(dǎo)最高管理層應(yīng)通過以下方面，證實其對服務(wù)管理體系的領(lǐng)導(dǎo)作用和承諾：最高管理層應(yīng)制定服務(wù)管理方針，該方針應(yīng)：服務(wù)管理方針應(yīng)：最高管理層應(yīng)確保與服務(wù)管理體系及服務(wù)相關(guān)崗位的責(zé)任和權(quán)限得到分配和溝通。最高管理層應(yīng)分配責(zé)任和權(quán)限，以：9策劃4.14.2：源源，改變風(fēng)險的后果和可能性，降低風(fēng)險，和其它方共擔(dān)風(fēng)險或通過充分的信息決策接受風(fēng)險。2：ISO/IEC31000組織應(yīng)在相關(guān)職能和層級上制定服務(wù)管理目標(biāo)。服務(wù)管理目標(biāo)應(yīng)：組織應(yīng)保留有關(guān)服務(wù)管理目標(biāo)的成文信息。10在策劃如實現(xiàn)服務(wù)管理目標(biāo)時，組織應(yīng)確定：服務(wù)管理計劃應(yīng)包含或引用以下內(nèi)容：支持資源能力組織應(yīng)：注：適用的措施可包括，例如針對在職人員提供培訓(xùn)、輔導(dǎo)或重新分配；或者聘任、外包勝任的人員。意識組織應(yīng)確保在其控制下的工作人員知曉：11溝通組織應(yīng)確定與服務(wù)管理體系和其范圍內(nèi)的服務(wù)相關(guān)的內(nèi)部和外部的溝通，包括：總則組織的服務(wù)管理體系應(yīng)包括：注：不同組織有關(guān)服務(wù)管理體系成文信息的詳略程度可以是不同的，這是由于：組織的規(guī)模及其活動、過程、產(chǎn)品和服務(wù)的類型；過程及其相互作用的復(fù)雜性；人員的能力。創(chuàng)建和更新成文信息時，組織應(yīng)確保適當(dāng)?shù)模海ǎ?；格式）；））；注：對成文信息的“訪問”可能意味著僅允許查閱，或者意味著允許查閱并授權(quán)修改。服務(wù)管理體系的成文信息應(yīng)包括：12）；（SLA）；注：條款7.5.4提供了服務(wù)管理體系的重要成文信息列表。對于成文信息和記錄還有其它的要求，ISO/IEC20000-2提供了額外的指南。7.6 知識組織應(yīng)確定和保持必要的知識，以運行服務(wù)管體系和服務(wù)。這些知識對適用的人員應(yīng)是相關(guān)的、可用的、有用的。注：知識是與服務(wù)管理體系、服務(wù)和相關(guān)方有關(guān)的，使用和共享知識以實現(xiàn)預(yù)期結(jié)果和運行服務(wù)管理體系及服務(wù)。運行組織應(yīng)策劃、實現(xiàn)和控制滿足要求所需要的過程，通過下列內(nèi)容以及實現(xiàn)條款6中確定的措施：見8.51。8.2.3)。組織應(yīng)運行服務(wù)管理體系，確保協(xié)作活動和資源。組織應(yīng)執(zhí)行交付服務(wù)所需要的活動。注：的相關(guān)方、服務(wù)目錄管理、資產(chǎn)管理和配置管理。已存在服務(wù)、新服務(wù)、服務(wù)變更的要求應(yīng)確認(rèn)和保留成文信息。13負(fù)責(zé)。注：ISO/IEC20000-3提供了服務(wù)生命周期中控制其它相關(guān)方的指南。組織應(yīng)對客戶、用戶和其它相關(guān)方提供合適的訪問（部分）服務(wù)目錄的渠道。6.3c）注：ISO55001ISO/IEC19770-1確定了支持實施、運營資產(chǎn)和IT資產(chǎn)管理的要求。注：另外，資產(chǎn)作為配置項時，參考配置管理。配置項的類型應(yīng)定義。服務(wù)應(yīng)分類為配置項。14適用時，配置信息應(yīng)對其它服務(wù)管理活動可用?？倓t組織使用供應(yīng)商以：圖-2表示了用途、協(xié)議和業(yè)務(wù)關(guān)系管理、服務(wù)級別管理、供應(yīng)商管理的關(guān)系。注：ISO/IEC20000-3包括潛在場景和范圍的供應(yīng)鏈關(guān)系的示例。注：本標(biāo)準(zhǔn)的供應(yīng)商管理不包括供應(yīng)商的采購過程。服務(wù)的客戶，用戶和相關(guān)方應(yīng)予以識別，并保留成文信息。組織應(yīng)指定一個或多個專人負(fù)責(zé)管理客戶關(guān)系和維護(hù)客戶滿意度。組織應(yīng)與客戶按策劃的時間間隔評審審服務(wù)績效趨勢和結(jié)果。服務(wù)投訴應(yīng)予以記錄、管理直至關(guān)閉和報告。當(dāng)服務(wù)投訴通過正常渠道得不到解決，應(yīng)升級處理。15組織應(yīng)與客戶約定交付的服務(wù)。對于所交付的每項服務(wù)，組織應(yīng)基于服務(wù)要求與客戶協(xié)商確定一個或多個服務(wù)級別協(xié)議（SLAs）。服務(wù)級別協(xié)議應(yīng)包括服務(wù)級別目標(biāo)，工作量和例外情況。組織應(yīng)按照策劃的時間間隔監(jiān)控、評審和匯報：注：組織和客戶交付服務(wù)的協(xié)議可以以多種形式存在，如成文的協(xié)議，會議中的口頭協(xié)定，email形式的協(xié)議或同意服務(wù)許可協(xié)議的形式。組織應(yīng)按照策劃的時間間隔監(jiān)視外部供應(yīng)商的績效。服務(wù)等級目標(biāo)和其他合同義務(wù)未滿足的場合，組織應(yīng)確保識別改進(jìn)機會。組織和外部供應(yīng)商的爭議應(yīng)予以記錄、管理直至關(guān)閉。按照策劃的時間間隔，組織應(yīng)依據(jù)預(yù)算來監(jiān)視和報告實際成本，審核財務(wù)預(yù)測并管理成本。注：許多，但不是所有組織會對服務(wù)進(jìn)行計費。服務(wù)的預(yù)算和核算過程不包括計費，以確保適用于所有組織。按照策劃的時間間隔，組織應(yīng)：16注：需求管理負(fù)責(zé)理解客戶當(dāng)前和未來的需求。能力管理與需求管理配合，策劃和提供充足的能力以滿足需求。變更管理方針應(yīng)予以制定和保留成文信息，以定義：變更請求，包括增加、移除或轉(zhuǎn)移服務(wù)，應(yīng)予以記錄和分類。組織應(yīng)在下列情況使用8.5.2條款的服務(wù)設(shè)計和轉(zhuǎn)換流程：.1.3不在條款8.5.2范圍內(nèi)的變更請求應(yīng)通過條款的“變更管理活動”進(jìn)行管理。17組織應(yīng)評審變更的有效性，與相關(guān)方采取約定的措施。策劃應(yīng)使用條款8.2.2確定的新的或者變更的服務(wù)的要求，應(yīng)包括或引用下列內(nèi)容：受新的或變更的服務(wù)影響的配置項應(yīng)通過配置管理控制。設(shè)計新的或者變更的服務(wù)應(yīng)予以設(shè)計和保留成文信息以滿足條款8.2.2確定的服務(wù)要求。設(shè)計應(yīng)包括下列內(nèi)容：）8.5.3 組織應(yīng)定義發(fā)布類型，包括緊急發(fā)布，發(fā)布頻率和如何管理。18發(fā)布部署到實際運行環(huán)境前，應(yīng)建立受影響的配置項的基線。發(fā)布應(yīng)部署到實際運行環(huán)境中，以使服務(wù)和服務(wù)組件的完整性得到保持。適用時，發(fā)布成功或者失敗、未來發(fā)布日期的信息應(yīng)對其它服務(wù)管理活動可用。