导图社区 信息技术审核员 20000-1:2018第一部分
- 136
- 6
- 1
- 举报
信息技术审核员 20000-1:2018第一部分
信息技术-服务管理-服务管理体系要求 iso/iec 20000-1:2018 是CCAA 审核员考试 ITSMS标准 本导图按照标准进行收集归纳整理而成,希望为备考中的人士提供标准依据。
编辑于2021-08-29 16:37:57- ISO/IEC 20000-1:2018
- 服务管理体系要求
- 信息技术审核员
- ITSMS
- 信息技术服务管理
- 信息技术服务管理体系要求
- iso/iec 20000
- iso/iec 20000-1
- 审核员
- 实习审核员
- 20000标准
- ITSMS标准
- 信息技术审核员 20000-1:2018第一部分
信息技术-服务管理-服务管理体系要求 iso/iec 20000-1:2018 是CCAA 审核员考试 ITSMS标准 本导图按照标准进行收集归纳整理而成,希望为备考中的人士提供标准依据。
- CCAA审核员考试ITSMS 信息技术服务管理体系要求 20000标准2018版知识点梳理
ISO20000-1:2018版。这是信息技术服务管理的第一部分服务管理体系要求的思维导图,有组织环境、领导、规划、支持、运行和绩效评价等内容。
- CCAA体系信息安全审核员27001:2013标准附录A表格汇总
按照CCAA信息安全技术考试大纲要求,依据信息安全技术27001:2013标准附录A表格汇总整理。
信息技术审核员 20000-1:2018第一部分
社区模板帮助中心,点此进入>>
- 信息技术审核员 20000-1:2018第一部分
信息技术-服务管理-服务管理体系要求 iso/iec 20000-1:2018 是CCAA 审核员考试 ITSMS标准 本导图按照标准进行收集归纳整理而成,希望为备考中的人士提供标准依据。
- CCAA审核员考试ITSMS 信息技术服务管理体系要求 20000标准2018版知识点梳理
ISO20000-1:2018版。这是信息技术服务管理的第一部分服务管理体系要求的思维导图,有组织环境、领导、规划、支持、运行和绩效评价等内容。
- CCAA体系信息安全审核员27001:2013标准附录A表格汇总
按照CCAA信息安全技术考试大纲要求,依据信息安全技术27001:2013标准附录A表格汇总整理。
- 相似推荐
- 大纲
20000-1:2018
4.组织环境
4.1 理解组织及其环境
组织应确定与其意图相关的,且影响其实现服务管理体系预期结果能力的外部和内部事项
注:事项 是正面或负面影响的因素,这些因素对于组织交付和客户商定好服务质量的服务能力很重要
4.2 理解相关方的需求和期望
组织应确定
a.服务管理体系的相关方
b.这些相关方与服务管理相关的要求
相关方的要求可包括与服务管理体系和服务相关的服务,绩效,法律、法规要求和合同义务
4.3 确定服务管理体系范围
组织应确定服务管理体系的边界及其适用性,以建立其范围
在考虑范围时,组织应考虑:
a.4.1中提及对的外部和内部事项
b.4.2中提及的要求
c.组织实施的活动之间的及其与其他组织实施的活动之间的接口与依赖关系
SMS范围的定义应包括范围内的服务和组织管理和交付的服务的名称
SMS范围定义描述范围内的服务,可以是组织交付的所有或部分服务
该范围应形成文档化信息并可用
4.4 服务管理体系
组织应按照本标准的要求,建立,实现,维护和持续改进服务管理体系,包括需要的过程及过程之间对的接口
5.领导
5.1 领导和承诺
最高管理者应通过以下活动,证实其对服务管理体系的领导作用和承诺
a.确保建立了服务管理方针和服务管理目标,并与组织战略方向一致
b.确保创建,实施和保持服务管理计划以支持服务管理方针,实现服务管理目标和服务要求
c.确保适当级别的权力得到分配以做出SMS和服务相关的决策
d.确保那些对组织及其客户是有价值的得到确定
e.确保对服务生命周期涉及的其他方得到控制
f.确保将服务管理体系要求整合到组织过程中
g.确保服务管理体系和服务所需资源可用
h.沟通有效的服务管理的重要性,实现服务管理目标,交付价值并符合SMS要求
i.确保服务管理体系达到预期结果
j.指导并支持相关人员为服务管理体系的有效性做出贡献
k.促进服务管理体系和服务持续改进
l.支持其他相关管理者,以证实他们承担了其在权利范围内应负的领导责任
注:本文档中的业务,可以广泛解释为那些与组织生存相关的核心活动
5.2 方针
本标准中的方针有三个 : 服务管理方针 变更管理方针 信息安全方针
5.2.1建立服务管理方针
最高管理层建立服务管理方针,该方针应:
a.与组织意图相适应
b.为设定服务管理目标提供框架
c.包括对满足使用要求的承诺
d.包括对持续改进服务管理体系及服务的承诺
5.2.2 沟通服务管理方针
服务管理方针应:
e.形成文档化信息并可用
f.在组织能得到沟通
g.适用时,对相关方可用
5.3 组织的角色,责任和权限
最高管理层应确保与服务管理体系及服务相关岗位的责任和权利在组织能得到分配和沟通
最高管理层应分配责任和权限,以:
确保服务管理体系符合本标准的要求
向最高管理者报告服务管理体系绩效
6.规划
6.1 应对风险和机遇的措施
6.1.1 应对风险和机遇的措施
当规划服务管理体系时,组织应考虑到4.1中提及的事项和4.2中提到的要求,并确定需要应对的风险和机遇以:
a.确保服务管理体系可达到预期结果
b.预防或减少不良影响
c.实现服务管理体系的持续改进
6.1.2 组织应确认和文件化:
a.有关的风险
1)组织
2)不满足的服务要求
3)服务生命周期中相关方的参与
b.服务管理体系服务的风险和机遇遇对客户的影响
c.风险可接受的标准
d.风险管理使用的方法
6.1.3 组织应规划:
a.应对这些风险和机遇的措施,并确定其优先级
b.如何:
1)将这些措施整合到服务管理体系过程中,并予以实现
2)评价这些措施对的有效性
注1:应对风险和机遇的选项包括:规避风险,接受或提升风险以追求机遇,消除风险源,改变风险的可能性或后果,通过约定的措施减缓风险,与其他方分担风险或通过正式的决定接受风险
注2:ISO/IEC 31000 提供了风险管理的原则和通用指南
6.2 服务管理目标及其实现规划
6.2.1 建立目标
组织应在相关职能和层级上建立服务管理目标
组织管理目标应:
a.与服务管理方针保持一致
b.可测量
c.考虑适用的要求
d.得到监视
e.得到沟通
f.适当时更新
组织应保留有关服务管理目标的文档化信息
6.2.2 规划以实现目标
在规划如何达到服务管理目标是,组织应确定:
a.要做什么
b.需要什么资源
c.由谁负责
d.什么时候完成
e.如何评价结果
6.3 规划服务管理体系
组织应创建,实施和保持一个服务管理计划。计划时应考虑服务管理方针,服务管理目标,风险与机遇,服务要求和本标准的要求
服务管理计划应包括以下内容或包含一个相关索引:
a.服务列表
b.影响服务管理体系的已知限制
c.例如相关策略,标准,法律法规和合同要求的义务以及这些义务如何在SMS和服务中得到履行
d.服务管理体系和服务的权力和责任
e.运行服务管理体系和服务所需的人员,技术,信息和资金资源
f.在服务生命周期中,与涉及的其他方合作的方法
g.用以支持SMS的技术
h.如何进行SMS和服务有效性的测量,审核,报告和改进
其他规划活动英语服务管理计划保持一致
7.支持
7.1 资源
组织应确定并提供建立,实现,维护和持续改进服务管理体系和运行服务以满足服务要求和实现服务管理目标所需对的人员,技术,信息和资金资源
7.2 能力
组织应:
a.确定在组织控制下工作人员的必要能力,这些能力会影响组织SMS和服务的绩效和有效性
b.确保上述人员在适当的教育,培训或经验的基础上能够胜任其工作
c.适当时,采取措施以获得必要对的能力,并评价所采取措施的有效性
d.保留适当的文档化信息作为能力的证据
注:适当的措施可包括,例如针对现有雇员提供培训,指导或分配,雇佣或签约有能的人员
7.3 意识
在组织控制下工作的人员应理解:
a.服务管理方针
b.服务管理目标
c.与他们工作有关的服务
d.其对服务管理体系有效性得到贡献,包括改进绩效带来的益处
e.不符合服务管理体系要求带来的影响
7.4 沟通
组织应确定与服务管理体系和服务相关的内部和外部的沟通需求,包括:
a.沟通什么
b.何时沟通
c.与谁沟通
d.如何沟通
e.谁负责沟通
7.5 文档化信息
7.5.1 总则
组织的服务管理体系应包括:
a.本标准所要求的文档化信息
b.为服务管理体系的的有效性,组织所确定的必要的文档化信息
c.不同组织相关服务管理体系文档化信息的详略程度可以是不同的,这是由于:
1)组织的规模及其活动,过程,产品和服务的类型
2)过程,服务及其相互作用的复杂性
3)人员的能力
7.5.2 创建和更新
创建和更新文档化信息时,组织应确保适当的:
a.标识和描述(例如标题,日期,坐着或者引用编号)
b.格式(例如语言,软件版本,图标)和介质(例如纸质,电子)
c.对适宜性和充分性的评审和批准
7.5.3 文档化信息的控制
7.5.3.1 服务管理体系及本标准所要求的文档化信息应得到控制,以确保:
a.在需要的地点和时间,是可用的和适宜使用的
b.得到充分的保护(如避免保密性损失,不恰当使用,完整性损失等)
7.5.3.2 为控制文档化信息,适用时,组织应处理以下活动:
a.分发,访问,检索和使用
b.存储和保护,包括保持可读性
c.变更控制(例如版本控制)
d.保留和处理
组织确定的规划和运行服务管理体系所必需的外来的文档化信息,应得到适当的识别,并予以控制
注:访问隐含着仅允许浏览文档化信息,或允许和授权浏览及更新文档化信息等决定
7.5.4 服务管理体系文档化信息
服务管理体系的文档化信息应包括:
a.服务管理体系范围
b.服务管理体系方针和目标
c.服务管理计划
d.变更管理方针,信息安全方针和服务连续性计划(一个或多个)
e.组织的服务管理体系过程
f.服务要求
g.服务目录
h.服务水平协议(SLA)
i.外部供应商合同
j.与内部供应商或作为供应商的客户签订的协议
k.本标准要求的程序
l.展示符合本标准和组织服务管理体系的相关证据需要的记录
注:条款7.5.4 提供了服务管理体系的关键文档化信息清单,本标准中还有其他信息文档化的具体要求,对这些信息要进行文档化或进行记录。ISO20000-2提供了指南
7.6 知识
组织应确定并保持用以支持SMS和服务运行的必要知识
知识应是相关的,并对适当的人员可用并可获取
注:知识是针对组织及其SMS,服务和相关方的,对知识进行使用和共享以支持实现预期的结果和SMS很服务的运行
8.运行
8.1 运行策划和控制
组织应规划,实施和控制必要的过程以满足要求,并依据如下要求,实施第6章中确定的措施:
a.依据要求建立的过程绩效指标
b.实施过程控制以与建立的绩效指标保持一致
c.保持必要程度的文档化信息以确保过程按照规划进行
组织应控制SMS的规划变更并评审非预期的变更结果,必要时,采取措施减缓任何负面影响,见8.5.1。组织应确保外包过程得到控制
8.2 服务组合
8.2.1 服务交付
组织应运行服务管理体系,确保活动和资源的协调。组织应实施要求的活动以交付服务
注:服务组合用于管理所有服务的整个生命周期,这些服务包括提出的服务,正在开发的服务,服务目录中所定义的正式提供的服务和计划下线的服务。服务组合的管理确保服务提供者有正确的服务组合,本标准中的服务组合包括服务规划,服务生命周期涉及的各方的控制,服务目录管理,资产管理和配置管理
8.2.2 服务规划
应确定并文档化已经存在的服务,新服务,变更服务的服务要求
组织应基于组织,客户,用户和相关方的需要确定服务的关键程度。组织应确定并管理服务之间的相关性和可复用性
组织应根据需要在考虑已知限制和风险下提出变更,以使服务与服务管理方针,服务管理目标和服务要求保持一致
组织应在考虑可用资源的情况下,优先考虑变更请求和新变更服务的提议,以与业务需要和服务管理目标保持一致
8.2.3 服务生命周期涉及的各方的控制
8.2.3.1 无论生命周期中哪一方实施的活动,组织都要承担满足本标准要求和交付服务的责任
组织应确定并应用指标以评价和选择服务生命周期涉及的其他方。其他方可以是外部供应商,内部供应商或承担供应商角色的客户
其它相关方不应提供和运行所有的服务,服务组件或SMS范围内的所有过程
组织应确认并记录:
a.其它方提供或运行的服务
b.其它方提供或运行的服务组件
c.组织SMS内其它方运行过程或过程的一部分
组织应整合SMS内由组织或其它方提供或运行的服务,服务组件和过程以满足服务要求,组织应与服务生命周期中涉及的其他方协调活动,包括服务的规划,涉及,转换,交付和改进
8.2.3.2 组织应在以下方面对其他方定义和应用相关控制
a,过程绩效的测量和评价
b,服务和服务组件在满足服务要求方面的有效性的测量和评价
注:ISO/IEC20000-3提供了服务生命周期涉及的其他方的控制指南
8.2.4 服务目录管理
组织应创建和维护一个或多个服务目录,服务目录应包含 组织,客户,用户和其他相关方的信息以描述服务及其结果,以及服务之间的依赖关系
组织应向其客户,用户和其他相关方提供对服务目录的适当部分的访问
8.2.5 资产管理
组织应确保对用于交付服务的资产进行管理以满足服务要求和6.3c中描述的义务
注1,ISO55001和ISO/IEC19770-1中关于资产和IT资产管理的实施和运行的具体要求
注2,如果资产同时也是配置项要看配置管理
8.2.6 配置管理
应定义配置项的类型,服务应作为配置项进行分类
配置信息应根据服务的重要性和类型确定记录信息的详细程度。配置信息的访问应受到控制,配置信息应为每个配置项记录如下信息:
a,唯一可识别
b,配置项类型
c,配置项描述
d.与其他配置项的关系
e.状态
配置项应得到控制,对配置项的变更应可追溯和可审核的,以保持配置信息的完整性
在计划的时间间隔,组织应核实配置信息的准确性,发现错误,组织应采取必要的措施
配置信息应对其他服务管理活动适当可用
8.3 关系和协议
8.3.1 总则
组织可以使用供应商:
a,提供和运行服务
b.提供和运行服务组件
c.运行组织服务管理体系的过程或过程的部分
注1,20000-3包括供应链关系的示例及其潜在适用性和范围
注2,本标准中的供应商管理不包括供应商的采购过程
8.3.2 业务关系管理
应识别和文档化服务的客户,用户和其他相关方。组织应由一个或多个指定的人员管理客户关系和保持客户满意度
组织应与其客户和其他相关方的沟通建立安排。沟通应促进对服务运行涉及的业务环节进行理解,并应能够确保组织可以响应新的或变更的服务请求
根据计划的时间间隔,组织应评审服务的绩效趋势和输出
根据计划的时间间隔,组织应基于具有代表性的客户进行服务满意度的测量,应对结果进行分析,评审以识别改进的机会并对其进行报告
应对服务投诉进行记录,管理以关闭并报告,如果服务通过正常的渠道无法得到解决,应提供升级的方法
8.3.3 服务水平管理
组织和客户应为交付的服务达成协议
对于每一个服务交付,组织应基于文档化的服务要求建立一个或多个SLAs,SLAs应包括服务水平目标,工作量限制和例外
根据计划的时间间隔,组织应监视,评审和报告
a,针对服务水平目标的绩效
b,与SLAs中的工作限制相比较在工作量上的实际的周期的改变
如果服务水平目标没有实现,组织应识别改进机会
注,组织和客户之间的服务协议可以有很多形式,例如文档化的协议,会议上的口头协议,电子邮件中写明的协议或同意的服务条款
8.3.4 供应商管理
8.3.4.1 外部供应商
组织应有一个或多个制定的人员管理外部供应商的关系,合同和绩效
组织和外部供应商应签署正式的合同,合同应包含如下内容或包括相关引用:
a.服务的范围,服务组件,由外部供应商提供或运行的过程或过程的部分
b,外部供应商要满足的要求
c.服务水平目标或其他的合同义务
d.组织和外部供应商的权力和责任
组织应评估外部供应商的服务水平目标或其它合同义务与客户SLA一致性,并管理已识别的风险
组织应定义和管理外部供应商的接口
根据计划的时间间隔,组织应监视外部供应商的绩效,如果服务水平目标或其他合同义务没有达到,组织应确保识别改进的机会
根据计划的时间间隔,组织应评审合同与当前服务要求的一致性,对于识别出的合同变更需求,在变更实施之前应评估变更对服务管理体系服务产生的影响
组织和外部供应商之间的争议应进行记录和管理直至关闭
8.3.4.2 内部供应商和作为供应商的客户的管理
对于每一个内部供应商或作为供应商的客户,组织应开发,商定和保持一份文档化的协议以定义服务水平目标,其他承诺,活动以及双方之间的接口
根据计划的时间间隔,组织应监视内部供应商或作为供应商的客户的绩效,如果服务水平目标或其他商定的承诺没有实现,组织应确保识别改进的机会
8.4 供应和需求
8.4.1 服务预算与核算
组织应根据财务管理策略和过程对服务和服务组件进行预算和核算
应对成本进行预算以确保有效的财务控制和服务决策
根据计划的时间间隔,组织应根据预算监视和报告实际的成本,评审财务预测和管理成本
注:很多情况下,不是所有组织会对他们的服务计费,本标准中的服务预算和核算不包括收费以确保可应用于所有组织
8.4.2 需求管理
根据计划的时间间隔,组织应:
a,为服务确定当前需求和预测未来需求
b,监视和报告服务的未来和现实需求
注:需求管理服务掌握当前和未来客户服务需求,能力管理与需求管理协同工作以规划和提供足够的能力以满足需求
8.4.3 能力管理
应确定,文档化和维护对人,技术,信息和财务资源的能力要求,在此过程中应考虑服务和绩效要求
组织应对能力进行规划,规划内容包括:
a.基于服务需求的当前和预测的能力
b.对协商的服务水平目标,服务可用性和服务连续性要求的能力的预计影响
c.服务能力变更的时间表和阀值
组织应提供足够的能力以满足协商的能力和绩效要求,组织应监视能力使用,分析能力和绩效数据并识别绩效改进机会
8.5 服务设计,构建与转换
8.5.1 变更管理
8.5.1.1 变更管理方针
应建立和文档化变更管理方针,方针应定义:
a.变更管理控制下的服务组件和其他项
b.定义变更类别和如何对其进行管理,包括紧急变更
c,确定可能对客户和服务产生重大影响的变更的判断标准
8.5.1.2 变更管理启动
变更请求应予以记录和分类,包括增加,移除或转移服务
组织应在下列变更使用在8.5.2中的服务设计和转换:
a,根据变更管理方针确定的对客户或其它有潜在重大影响的新服务
b,依据变更管理方针确定的对客户或其它服务有潜在重大影响的服务的变更
c,依据变更管理方针通过服务设计和转换管理的变更分类
d,服务的下线
e,已存在的服务从客户至顾客或其他方的转移
f.已存在的服务从客户或其它相关方至客户或组织的转移
8.5.2管理范围内的新的或变更的服务的评估,批准,计划和评审,应通过条款8.5.1.3的变更管理活动进行管理
不通过8.5.2进行管理的变更请求应通过8.5.1.3 变更管理活动进行管理
8.5.1.3 变更管理活动
组织和相关方应为请求的优先级和批准做出决定。做决定时应考虑风险,业务收益,可行性和财务影响。还应考虑变更对以下方面的潜在影响:
a,已经存在的服务
b.客户,用户和其他相关方
c.本标准要求的方针,策略和规划
d,能力,服务可用性,服务联系性和信息安全
e.其他变更请求,发布和部署计划
批准的变更应进行准备,验证,如果有可能进行测试,针对已批准变更的计划部署日期和其他部署细节应与相关方进行沟通
对于不成功变更的回退和补救活动应进行规划,如果可能进行测试,不成功的变更应进行调查并采取商定的行动
配置信息应依据CIs变更的部署进行更新
组织应评审变更的有效性,并采取与相关方商定的行动
应按计划的时间间隔,对变更请求记录进行分析以发现趋势,分析得出的结果和结论应进行记录和评审以识别改进的机会
8.5.2 服务设计和转换
8.5.2.1 策划新的或变更的服务
规划应使用8,2,2中确定的新的或变更的服务的要求,并应包含或应用如下内容:
a,设计,构建和转换活动的权力和职责
b.组织或其他方按照他们的时间表执行的活动
c.人,技术,信息和财务资源
d.对其他服务的依赖性
e.新的或变更的服务应进行的测试
f.服务接受标准
g.交付新的或变更的服务预期输出,输出应可测量
h,对服务管理体系,计划的变更,客户,用户和其他相关方的影响
对于撤销的服务,规划还应该包括服务撤销的日期和存档活动,数据,文档化信息和服务组件的处置和转移
对于转移的服务,规划还应包含服务转换的日期和数据,文档化信息,知识和服务组件的转移活动
撤销里面有存档活动,转移里面有知识
受新的或变更服务影响的配置项应通过配置管理进行控制
8.5.2.2 设计
应设计和文档化新的或变更服务以满足8.2.2中确定的服务要求。设计应包括下列相关内容:
a,新的或变更服务交付过程中涉及的各方的权力和职责
b.人,技术,信息和财务资源的变化要求
c.适当的教育,培训和经验的要求
d.用于支持服务的新的或变更的SLAs,合同和其他文档化协议
e.SMS的变更,包括新的或变更的策略,规划,过程,程序,措施和知识
f.对其他服务的影响
g.更新服务目标(一个或多个)
8.5.2.3 建立和转换
应建立和测试新的或变更的服务以确认满足服务要求,符合设计文档并满足商定的服务接受标准。如果服务接受标准不满足,组织和相关方应针对必要的活动和部署做出决定
发布和部署管理流程应被用于部署已批准的新的或变更的服务到运行环境中
转换活动完成后,组织应向相关方报告预期结果的实现情况
8.5.3 发布和部署管理
组织应定义发布的类型,包括紧急发布,其频率和如何进行管理
组织应对新的或变更的服务或服务组件部署到运行环境中进行规划,规划应与变更管理保持协调,并包含对相关的变更请求,已知错误或通过该发布进行管理的问题的引用。规划应包括每一个变更部署的日期,交付物和部署的方式
发布应被确认满足文档化的可接受标准并在部署前得到批准,如果可接受标准不被满足,组织和相关方应对财务的必要行动和部署做出决定
在发布和部署到实际运行环境之前,应建立受影响的配置项的基线
发布应部署到实际运行环境中,以保持服务或服务组件的完整性
发布的成功或失败应进行监视和分析。测量应包括发布部署后一段时期与发布相关的事件,分析结果和结论应进行记录和评审,以识别改进的机会
关于发布的成功和失败的信息和未来发布日期应对其他服务管理活动适当可用
8.6 解决与完成
8.6.1 事件管理
事件应被:
a.记录和分类
b.在考虑了影响和紧急程度的情况下进行分级
c.需要时进行升级
d,解决
e.关闭
事件记录应根据采取的行动进行更新
组织应确定指标以识别重大事件,应根据文档化程度对重大事件进行分类和管理。重大事件应通知最高管理者。组织应为每一个重大事件的管理分配职责。事件解决后,应对重大事件进行报告和评审以识别改进机会
8.6.2 服务请求管理
服务请求应:
a,记录和分类
b.确定优先级
c.响应和处置
d.关闭
服务请求记录应根据采取的行动进行更新
服务请求响应和处置的说明文件应对参与服务请求响应和处置的人员可用
8.6.3 问题管理
组织应分析事件的数据和趋势,以识别问题。组织应进行根本原因分析和确定潜在的行动,以预防事件的发生和再发生
问题应被:
a.记录和分类
b,确定优先级
c.需要时进行升级
d.可能时进行解决
e.关闭
问题应根据采取的行动进行更新。解决问题需要的变更应根据变更管理方针进行管理
如果根本原因已得到识别,但是问题不能永久的解决,组织应确定行动去减少或消除问题对服务的影响。已知错误应被记录,关于已知错误和问题解决的最新信息应对其他服务管理活动适当可用
根据计划的时间间隔,问题解决的有效性应进行监视,评审和报告
8.7 服务保障
8.7.1 服务可用性管理
根据计划的时间间隔,应对服务可用性相关的风险进行评估和文档化。组织应确定服务可用性要求和目标。商定要求时应考虑相关的业务要求,服务要求,SLAs和风险
服务可用性的要求和目标应保持文档化信息
应对服务可用性进行监视,记录其结果并与目标进行比较,计划外不可用应进行调查并采取必要的行动
注:6.1中的风险识别可以为服务可用性,服务连续性和信息安全风险提供输入
8.7.2 服务连续性管理
按照计划的时间间隔,服务连续性的风险应进行评估并文档化。组织应确定服务连续性要求,商定的要求应考虑相关业务要求,服务要求,SLAs和风险
组织应创建,实施和保持一个或多个服务连续性计划。服务连续性计划应包含下列内容或相关内容的索引:
a.启动服务连续性的条件和责任
b.服务重大损失情况下执行的程序
c.服务连续性计划启用时的服务可用性目标
d.服务恢复要求
e,恢复到正常工作环境的方法
当访问正常的服务地点受阻时,应能访问到服务连续性计划和联系人名单
按照计划的时间间隔,服务连续性计划应进行测试以满足服务连续性要求。服务连续性计划应在服务环境重大变更后进行重新测试。测试的结果应进行记录。每次测试结束后和服务连续性计划启用后应对其进行评审。如果发现缺陷,组织应采取必要的措施。
服务连续性计划启用后组织应报告起因,影响和恢复情况
8.7.3 信息安全管理
8.7.3.1 信息安全方针
具有适当授权的管理者应批准一个与组织相关的信息安全方针,方针应文档化并考虑服务要求和6.3c的义务
信息安全方针应在是当时可用,组织应与适当的相关方沟通满足信息安全方针的重要性以及方针对SMS的适宜性,适当人员包括:
a,组织
b.客户和用户
c.外部供应商,内部供应商和其它相关方
8.7.3.2 信息安全控制
在计划的时间间隔,SMS和服务的信息安全风险应进行评估和文档化。信息安全控制应得到确定,实施和运行以支持信息安全方针和处置识别的信息安全风险,关于信息安全控制的决定应文档化
组织应协商并实施信息安全控制以处置与外部组织相关的信息安全风险
组织应监视和评审信息安全控制措施的有效性并采取必要的措施
8.7.3.3 信息安全事件
信息安全事件应:
a,记录和分类
b.依据信息安全风险确定优先级
c.必要时进行升级
d.解决
e,关闭
组织应通过类型,数量和对服务管理体系,服务和相关方的影响分析信息安全事件。应对信息安全事件进行报告和评审,以识别改进的机会
注:ISO/IEC27013提供ISO/IEC27000和ISO/IEC20000-1的整合指南
9.绩效评价
9.1 监视,测量,分析和评价
组织应确定:
a.需要被监视和测量的内容,包括服务管理过程和控制
b.适用的监视,测量,分析和评价的方法,以确保得到有效的结果
c.何时应执行监视和测量
d.何时应分析和评价监视和测量的结果
组织应保留适当的文档化信息作为监视和测量结果的证据
组织应根据服务目标评价SMS的绩效和SMS的有效性,组织应依据服务要求评估服务的有效性
9.2 内部审核
9.2.1 组织应按计划的时间间隔进行内部审核,以提供信息,确定服务管理体系:
a.是否符合
1).组织自身对服务管理体系的要求
2).本标准的要求
b.是否得到有效实现和维护
9.2.2 组织应:
a.规划,建立,实现和维护审核方案(一个或多个),包括审核频次,方法,责任,规划要求和报告。审核方案应考虑:
1)相关过程的重要性
2)影响组织的变更
3)以往审核的结果
b.定义每次审核的审核准则和范围
c.选择审核员并实施审核,确保审核过程的客观性和公正性
d.确保将审核结果报告至相关管理层
e,保留文档化信息作为审核方案和审核结果的证据
9.3 管理评审
最高管理层应按计划的时间间隔评审组织的服务管理体系,以确保其持续的适宜性,充分性和有效性
管理评审应考虑:
a.以往管理评审提出的措施的状态
b.与服务管理体系相关的外部和内部事项的变化
c,有关信息服务管理体系绩效的反馈,包括以下方面的趋势:
1)不符合和纠正措施
2)监视和测量结果
3)审核结果
d.持续改进的机会
e.客户及其他相关方的反馈
f.服务管理方针和本标准要求的其他策略的遵守情况和适宜性
g.服务管理目标的实现
i.交付服务涉及的其他方的绩效
j.当前和未来的人,技术,信息和资金资源的水平,以及任何技术资源的能力
k.风险评估的结果及处置风险和机会的活动的有效性
l.影响服务管理体系和服务的变更
管理评审的输出应包括与持续改进机会相关的决定以及变更服务管理体系的任何需求。组织应保留文档化信息作为管理评审结果的证据
9.4 服务报告
服务应确定服务报告的要求和目的
应使用来自SMS活动和服务交付的信息生成SMS和服务的绩效和有效性报告。服务报告应包括趋势分析
组织应基于服务报告中的结果做出决策并采取行动,商定的行动应与相关方进行沟通
注:本标准相关章节对报告提及了具体的要求
10.改进
10.1 不符合及纠正措施
10.1.1 当发生不符合时,组织应:
a.对不符合做出反应,适用时:
1)采取措施,以控制并予以纠正
2)处理后果
b.通过以下活动,评价采取消除不符合原因的措施的需求,以防止不符合再发生,或在其他地方发生:
1)评审不符合
2)确定不符合的原因
3)确定类型的不符合是否存在,或可能发生
c.实现任何需要的措施
d.评审任何所采取的纠正措施的有效性
e.必要时,对服务管理体系进行变更
纠正措施应与所遇到的不符合的影响相适合
10.1.2 组织应保留文档化信息作为以下方面的证据:
a.不符合的性质及所财务的任何后续措施
b.任何纠正措施的后果
10.2 持续改进
组织应持续改进服务管理体系和服务的适宜性,充分性和有效性
组织应确定评价指标以应用于该技的机会的批准进行决策。评价标准应包括改进和服务管理目标的保持一致
改进机会应保持文档化信息。组织应对批准的改进活动进行管理,包括:
a.设置一项或多项改进目标,包括质量,价值,能力,成本,生产率,资源复用率和风险减缓
b.确保改进得到分级,计划和实施
c.必要时,对服务管理体系进行变更
d.依据目标对实施的改进进行测量,如果目标没有达到,实施必要的行动
e.对实施的改进进行报告
注:改进可以包括被动和主动的措施,例如:纠正,纠正措施,预防措施,提升,创新和重组