ISO20000-信息技术服务管理组织建设实施细则-V2.0

赛宝科技服务ISO20000 IT服务管理业务介绍一、背景：信息，与能源和物质作为人类赖以生存和发展的3大资源之一,已经成为现代社会发展的基础。

信息技术作为信息使用和传播的手段，经过几十年的发展，已经成为现代社会发展的重要驱动因素。

现代信息技术的发展给国家产业发展、企业运营和个人生活方式都带来的巨大的变化。

信息时代使我们面临着前所未有的机遇，新的信息交换方式大量涌现，新的信息服务形式在给人们带来便利和效率的同时，也对信息技术管理本身的带来了前所未有的挑战。

服务容定义不清晰、服务方法不规、服务响应不及时、IT人员流动、变更失控等一系列问题一直在困扰着我们。

如何在享受信息技术给我们带来便利和效率的同时，避免或降低信息技术使用的风险，提高对信息技术的管理能力，已经成为社会各阶层需要面对并解决的问题。

IT服务管理正是在这样一个背景下产生的。

信息技术的发展大概经历了三个阶段：以技术设备投入为主的第一阶段；以单独系统流程建设为主体的第二阶段；现在信息技术已成为一种支撑业务发展的关键服务手段，信息技术经历了从技术主导到服务主导的转变。

随着信息技术的发展和信息使用方式的扩展，使用传统方式管理信息技术已经不能满足要求。

大量实践表明，IT系统生命周期中80%时间处于运行维护周期，100%的效益发生在系统投入使用后的运维期间，但运维期间资源投入却不到整个系统投入的20%，形成了重建设，轻运维的格局。

经过多年的总结和实践，人们普遍认识到只有做好系统运行维护，才能真正发挥系统效益，使用管理体系的方式管理信息系统的运行和维护正是在这样的大背景下产生的。

二、目前IT服务管理面临的主要问题：1、IT系统规模膨胀，管理难度直线上升从局域网到广域网再到无线网络、系统平台多样化并不断升级、软件来源多样、数据类型千差万别,IT系统规模呈爆炸式增长。

系统复杂程度的增加导致管理难度急剧上升。

2、以技术为中心，而不是以业务为中心目前，对信息技术的应用还主要通过设备和系统的投入为主。

ISO20000简介1什么是ISO200001.1 ISO/IEC20000是第一个关于IT服务管理体系的要求的国际标准，它秉承“以客户为导向，以流程为中心”的理念, 并强调按照PDCA（戴明质量环）的方法论持续改进组织所提供的IT 服务。

1.2 ISO/IEC20000帮助识别和管理IT服务的关键过程，可以实现服务运营的输入（Inputs）和生产流程（Process）的标准化，从而最终保证以最低的成本提供质量稳定（Consistent Quality）的IT服务，并保证业务的连续性。

保证提供有效的IT服务满足客户和业务的需求。

1.3 IT服务三要素包括信息系统、支持，以及质量规范。

IT服务以信息系统（IS, Information system）为依托，通过信息系统使信息从人、流程、技术三个维度得到控制和支持，从而满足对于IT服务的质量要求。

1.4 ISO20000共分为两部分➢ISO/IEC20000-1 Information technology-Servicemanagement Part-1:Specification(信息技术服务管理标准规范，认证要求)➢ISO/IEC20000-1 Information technology-Servicemanagement Part-2:Code of practice(信息技术服务管理最佳实践)2ISO20000产生原因和重要意义2.1 遵循相关的服务管理标准（如ISO20000）可以实现服务运营的输入（Inputs）和生产流程（Process）的标准化。

只有将过程标准化了，才能保证最终的服务质量和成本符合预定的标准，才能实现过程控制，从而达到质量控制的目标。

目前，全球的IT服务业正逐渐走向专业化和外包化，如何控制这个IT服务的整体风险(无论是内部还是外部)，提高IT的整体服务水平是一个需要高度重视的问题，而ISO/IEC20000就是解决该问题的一个很好的指南。

ISO20000管理手册新版引言ISO20000是国际化的信息技术服务管理体系（ITSM）标准，旨在帮助组织提供具有高质量、高效率的IT服务。

ISO20000通过定义一系列的要求和规范，帮助组织确保其IT服务的质量和一致性。

本文档是新版ISO20000管理手册，将详细介绍ISO20000的核心要求和管理措施，并为组织实施ISO20000提供指导。

1. 范围本管理手册适用于组织的所有信息技术服务相关领域，包括IT运维、IT支持、IT开发等。

所有的部门和员工都必须遵循本管理手册的规定。

2. 参考文件•ISO/IEC 20000-1:2018 信息技术服务管理体系的要求•ISO/IEC 20000-2:2012 信息技术服务管理体系的指南•公司内部相关政策和流程文件3. 术语和定义在本管理手册中，以下术语和定义适用于ISO20000标准的要求和解释： - IT服务：组织提供给客户的信息技术相关的服务，包括硬件设备、软件应用、网络连接等。

- IT服务管理：对IT服务提供过程进行规划、实施、监控和持续改进的过程。

- IT服务管理系统：组织为实现ISO20000要求而建立的管理体系。

- IT服务提供者：为客户提供IT服务的组织或部门。

4. 管理体系概述IT服务管理系统实施ISO20000标准要求，通过以下主要步骤进行管理：4.1. 规划与设计•确定IT服务管理的策略、目标和计划。

•建立对IT服务管理的组织结构、职责和权限。

•定义IT服务的范围、要求和级别。

4.2. 实施与运营•确保IT服务的可用性、可靠性和安全性。

•配置和管理IT基础设施和服务。

•监控和分析IT服务的性能和运营情况。

4.3. 绩效评估与改进•对IT服务管理系统进行内部审核和评估，发现问题和改进机会。

•设定关键绩效指标(KPIs)，跟踪并报告IT服务的绩效。

•定期进行管理评审，持续改进IT服务管理系统。

5. 具体要求和措施本章节将详细介绍ISO20000标准的具体要求和组织可以采取的措施。

ISO20000技术服务方案1.1IT 服务管理项目实施背景1.1.1什么是IT 服务管理IT服务管理作为一个新兴的领域受到人们日益广泛的关注，在其发展过程中也出现了多种定义。

世界IT领域的权威研究机构加特纳认为，IT服务管理是一套通过服务级别协议（SLA）来保证IT服务质量的协同流程，它融合了系统管理、网络管理、系统开发管理等管理活动以及变更管理、资产管理、问题管理等许多流程的理论和实践。

IT服务管理领域的国际权威组织IT服务管理论坛（itSMF）则认为，IT服务管理是一种以流程为导向、以客户为中心的方法，它通过整合IT服务与企业业务，提高了企业的IT 服务提供和服务支持的能力和水平。

经过多年的发展和研讨，IT服务管理国际标准ISO20000对IT服务管理提供了简洁明了地定义，即IT服务管理就是“管理服务以满足业务要求”，这个概念直接明确了IT服务管理的目标是必须满足业务的要求，而服务管理的内容则落在其定义的十三个过程及其管理的管理。

同时ISO20000鼓励在交付被管理的服务时采用综合的过程方法，以满足业务和顾客要求。

1.1.2为什么要实施基于ISO20000 标准的IT服务管理随着市场竞争的加剧和电子商务在世界范围内的兴起，现在的企业必须持续不断地和快速地对其业务进行管理和变革。

这些企业的业务很大一部分越来越依赖于其IT系统来提供使客户满意的服务，正因为如此，一个稳健而又灵活的IT解决方案对这些企业而言是至关重要的。

这类解决方案首先当然应当满足企业的业务需求，但同样重要的是这些方案本身应该是易于管理的，否则他们对业务的支持得不到保障。

因此，为提高服务管理的效率和效果所做的投资并不是可有可无的，相反，它为业务的成功运作提供了坚实可靠的基础。

为了实现高质量的服务管理，我们可以借鉴使用经过实践证明确实行之有效的服务管理“最佳实践”。

这些实践在英国商务部开发的ITIL系列指南和英国率先开发的国家标准BS15000实施基础上，最终形成了ISO20000国际标准。

目录一、ISO/IEC20000概述 (1)二、ISO/IEC20000主要内容 (2)三、ISO/IEC20000实施步骤 (4)一、ISO/IEC20000概述目前，全球的IT服务业正逐渐走向专业化和外包化。

随着企业和政府组织的业务运作越来越依赖于IT，越来越多的组织考虑将其IT服务运营外包给专业的IT服务提供商或对内部的IT支持部门提出更明确的服务要求，以确保提高服务质量，降低服务成本，降低因IT服务中断所导致的业务风险。

如何控制IT服务的整体风险(无论是内部还是外部)、提高IT整体服务水平是一个需要高度重视的问题，而ISO/IEC20000就是解决该问题的一个很好的指南。

ISO20000由国际标准化组织(ISO)和国际电工委员会(IEC)于2005年12月发布，是IT服务管理领域的第一个国际标准。

它源自英国国家标准BS 15000。

2001年，英国标准协会(BSI)在国际IT服务管理论坛(it SMF)年会上正式发布了以ITIL为基础的IT服务管理英国国家标准BS15000。

BS15000是世界上第一个针对IT服务管理的国家标准。

它提出了一系列相对独立又彼此关联的服务管理所需要的流程。

2002年BS15000被提交给ISO，申请成为IT服务管理国际标准。

2005年5月，ISO通过快速通道的方式批准了ISO20000的标准决议，并于2005年12月15日正式发布ISO/IEC20000。

ISO/IEC20000适用于IT服务提供商，不限于其所在行业和规模大小，但是，ITGov专家建议小规模企业实施ISO 9000认证更适合。

从ISO/IEC20000的前身BS 15000 第一次出现，该标准的认证就非常迅速，尽管该标准的原型是在英国发展起来的，但是在全球范围内应用非常广泛，目前全球有近200家组织通过了认证，仅在我国就有中兴通讯、中国国际电子商务中心、深圳联友科技等近30家组织通过了认证。

iso20000信息安全管理体系摘要：1.ISO20000 信息安全管理体系的概念和背景2.ISO20000 信息安全管理体系的主要内容3.ISO20000 信息安全管理体系的构建和实施4.ISO20000 信息安全管理体系的作用和意义5.ISO20000 信息安全管理体系的国际标准认证正文：一、ISO20000 信息安全管理体系的概念和背景ISO20000 信息安全管理体系是一种国际通用的信息安全管理标准，由英国标准协会（BSI）首先提出，后来被国际标准化组织（ISO）采纳并发布。

ISO20000 信息安全管理体系主要用于规范组织在信息安全方面的管理活动，帮助组织建立、实施、运行、监视、评审和改进信息安全管理，以确保信息的机密性、完整性和可用性。

二、ISO20000 信息安全管理体系的主要内容ISO20000 信息安全管理体系主要包括以下方面：1.信息安全政策：组织应制定和实施信息安全政策，明确信息安全的目标、范围、责任和程序。

2.信息安全目标：组织应制定信息安全目标，确保信息安全的持续改进和有效性。

3.信息安全风险评估：组织应进行信息安全风险评估，识别和分析信息安全的威胁和漏洞，制定相应的风险应对措施。

4.信息安全管理措施：组织应制定和实施信息安全管理措施，包括访问控制、身份认证、加密、备份和恢复、安全培训等。

5.信息安全监控和审核：组织应建立信息安全监控和审核机制，确保信息安全管理措施的有效性和适用性。

三、ISO20000 信息安全管理体系的构建和实施1.构建ISO20000 信息安全管理体系：组织应建立专门的信息安全管理团队，负责制定和实施信息安全政策、目标、风险评估和管理措施等。

2.培训和宣传：组织应进行信息安全培训和宣传，提高员工的信息安全意识和能力。

3.文件化和记录：组织应将信息安全管理活动记录在文件中，确保信息安全管理的可追溯性和持续改进。

4.内部审核和外部评审：组织应定期进行内部审核和外部评审，确保信息安全管理体系的有效性和符合性。

IT服务管理中的ISO20000标准解析随着信息技术在企业中的应用和重要性的不断提高，IT服务管理也成为了企业中不可或缺的一部分。

为了更好地规范和管理IT服务，国际标准化组织（ISO）制定了ISO20000标准，该标准涉及了IT服务管理的方方面面，成为了IT服务管理体系的国际标准。

本文将对ISO20000标准进行详细解析。

一、ISO20000标准简介ISO20000标准，也称为信息技术服务管理（ITSM）标准，是一个IT服务管理体系的国际标准。

该标准由国际标准化组织（ISO）制定，其主要目的是提供一个可供IT服务提供商评估和证明其IT服务管理体系的标准体系，同时还可以帮助企业提高其IT服务管理水平，规范和优化IT服务管理流程。

ISO20000标准包括两个部分：ISO/IEC 20000-1和ISO/IEC 20000-2。

其中，ISO/IEC 20000-1用于评估IT服务管理体系的符合性和成熟度，而ISO/IEC 20000-2则是指南性文件，用于指导企业在实现IT服务管理体系时所需要的过程和实践。

二、ISO20000标准的意义1. 可提高IT服务质量ISO20000标准要求IT服务提供商建立和实施一套完整的IT服务管理流程，包括服务策略、服务设计、服务转移和服务交付等各个环节。

这些服务管理流程、规范和实践可以极大地提高IT服务提供商的服务质量，降低故障率，增加客户满意度，提升企业在市场中的竞争力。

2. 可优化IT服务管理流程ISO20000标准要求IT服务提供商建立和实施一套IT服务管理体系，包括IT服务管理流程的规范、实践和度量等。

这有助于IT 服务提供商优化其服务管理流程，提高服务的效率和效果，降低成本，增加资产管理的准确性和透明度。

3. 可强化安全管理ISO20000标准还要求IT服务提供商建立和实施一套完整的IT 安全管理制度，包括信息安全策略、紧急事件管理、业务连续性等各个环节。

这些制度可以帮助IT服务提供商强化其安全管理，保护客户信息的机密性、完整性和可用性，降低安全风险和避免安全事件引起的惨痛后果。

ISO20000信息技术服务管理措施1.引言随着信息技术的快速发展和广泛应用，各行各业对于信息系统和技术服务的需求越来越高。

为了保证信息技术服务的质量和可持续发展，国际标准化组织（IS O）制定了I SO/I EC20000标准，旨在帮助组织建立和实施有效的信息技术服务管理体系（IT SM S）。

本文将介绍I SO/I EC20000标准所要求的信息技术服务管理措施，旨在帮助组织提升信息技术服务的质量和效率。

2.建立ITS MS2.1确定服务管理的范围和目标在建立I TS MS之前，组织需要明确自己的服务管理范围和目标。

这包括确定服务的类型、覆盖的业务范围以及希望达到的服务质量水平等。

通过明确范围和目标，组织可以有针对性地制定管理措施。

2.2建立服务流程和流程指南根据服务管理的范围和目标，组织需要建立适合的服务管理流程和相应的流程指南。

服务流程应包括服务请求管理、变更管理、问题管理、事件管理等。

流程指南则详细描述了每个服务流程的操作步骤和要求，以保证流程的执行一致性和高效性。

2.3建立服务级别协议（S L A）服务级别协议是组织与客户之间就服务提供的各方面约定所达成的协议。

建立服务级别协议可以明确双方的责任和权益，同时也是组织向客户承诺提供优质服务的重要方式。

S LA应包括服务的可用性、响应时间、故障处理时间等关键指标。

3.实施ITS MS3.1风险管理在实施I TS MS过程中，风险管理是不可忽视的一环。

组织需要评估和识别可能对服务管理造成影响的风险，并制定相应的风险应对策略。

例如，组织可以建立备份和恢复机制来保证信息系统的可靠性和可用性。

3.2人员培训和意识提升为了保证IT SM S的有效实施，组织需要进行人员培训和意识提升工作。

培训内容应涵盖I SO/I EC20000标准的要求、服务流程和操作规范等。

通过提高人员的专业技能和服务意识，组织可以提升信息技术服务的质量和客户满意度。

3.3性能和度量评估为了监控和评估I TSM S的绩效，组织需要建立相应的性能和度量评估机制。

iso20000信息技术服务管理文件体系的构建ISO/IEC20000信息技术服务管理标准所要求建立的ITSMS是一个文件化的体系，iso20000认证第一阶段就是进行文件审核，文件是否完整、足够、有效，都关乎审核的成败，所以，在整个iso20000认证项目实施过程中，逐步建立并完善文件体系非常重要。

组织应该建立专门的文件编写小组，负责构建ITSMS 文件体系。

体系文件的编写应符合下列原则：
1、符合性：满足ISO/IEC20000的基本要求，同时还应符合组织的实际业务运作；
2、可读性：用词不宜过于难懂，应语句通顺，表达清楚，简洁明了；
3、逻辑性：在内容安排及说明文字中，要符合逻辑规律，不能前后矛盾或说法不一；
4、一致性：应遵照统一的格式要求来编写，而不能各行其是，百花齐放；
5、系统性：除了借鉴iso9000的四级文件体系外，各层次文件应结构合理、接口清楚、引用有效、紧密相连；
6、可操作性：必须符合组织的客观实际，具有可操作性；
7、相容性：各种质量体系有关的文件，应保持良好的相容性，即要协调一致不产生矛盾；
8、可维护性：应随着业务环境的变化，定期对管理体系进行修订，高级文件不宜修改频繁，操作性文件如修改应注意其版本。

ISO/IEC20000信息技术服务管理标准要求的ITSMS文件体系应该是一个层次化的体系，参考iso9001质量管理体系标准中的文件管理体系要求，通常是由四个层次构成，如下图：。

ISO 20000，即"信息技术服务管理体系标准"，是面向组织机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系（ITSMS）的模型。

自ISO/IEC 20000-1:2011上次审查和修订该标准至今已有8年。

新版标准已于2018年9月15日发布，转换期为标准发布后的3年。

转换期截止后，依据ISO/IEC 20000-1:2011版标准的认证证书将作废或撤销，这也就意味着已获证企业需要在2021年9月15日之前完成转版审核。

v为什么需要通过ISO20000认证?在当今全球信息化快速发展下，IT业界也由当初的以技术为主导的粗放型规模扩张阶段，转向如今的依靠科学管理实现效率提升和风险、成本控制的精细化管理阶段。

伴随着企业IT 规模的扩大和IT 成熟度的提高，各类企业的成本管理、效率管理意识普遍增强。

这时，向IT 管理要效益，要求更高的IT 服务水平，更强的运营管理能力迫在眉睫。

对IT 内部运营组织来说，IT 部门在企业的生产、管理环节发挥着重要作用。

例如在银行、电信、政府、物流仓储，以及其他生产型企业当中，IT 运营管理成为核心业务运作依托的根本手段，也成为企业成本控制和效率提升的关键部分。

在这种情形下，提升组织内部的IT 服务水平和建立基于流程的高效率运作机制，可以为企业业务部门提供性价比更高的IT 服务支持，从而确保业务的高效运转，缩减运营成本、提高业务盈利能力。

ISO20000可以帮助企业实现：1. 建立IT保障部门一整套行之有效的持续改善机制和内控机制；2. 就服务品质和服务承诺与客户及供应商达成一致，建立和客户及供应商统一的沟通平台，达到相关利益方均满意的IT服务管理目标；3. 提高IT服务的可用性，可靠性和安全性，为业务用户提供高品质的服务；4. 持续优化服务流程，提升服务水准，提高业务满意度；5. 从总体上提高企业IT投资报酬率，提升企业的综合市场服务能力。

信息技术服务管理体系组织建设实施细则文件编号：SO-03001[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属公司所有，受到有关产权及版权法保护。

任何个人、机构未经公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

]1.分发控制2.文件版本信息3.文件版本信息说明文件版本信息，记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。

文件版本小于1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。

目录第一章总则 (1)第二章职责与权限 (1)第三章规定 (2)第一节流程经理工作内容和职责 --------------------------------------------- 2第二节信息技术服务管理组织建设------------------------------------------- 8第四章附则 (9)第五章附件 .............................................................. 错误!未定义书签。

附件1：信息技术服务管理组织架构图. (10)1 总则1.1 目的根据《信息技术服务管理组织架构管理规定》，本实施细则对公司信息技术服务管理组织机构的岗位设立、职责分工以及能力要求提出明确要求。

1.2 范围本文件适用于公司各部门与信息技术服务管理组织机构建设相关的管理活动。

2 职责与权限2.1 管理者代表：负责批准并正式发布本办法规定；批准建立相关组织，任命相关角色。

2.2 办公室：负责本细则的编写和修订，报管理者代表审批。

2.3 各部门负责人：负责信息技术服务管理体系的日常管理工作和监督工作；负责体系各流程运行质量的整体管理和持续改进工作；根据本规定要求，确定相关信息技术服务管理组织、机构人选，并推动本部门信息技术服务管理工作的开展落实。

目录一、ISO/IEC20000概述 (1)二、ISO/IEC20000主要内容 (2)三、ISO/IEC20000实施步骤 (4)一、ISO/IEC20000概述目前，全球的IT服务业正逐渐走向专业化和外包化。

随着企业和政府组织的业务运作越来越依赖于IT，越来越多的组织考虑将其IT服务运营外包给专业的IT服务提供商或对内部的IT支持部门提出更明确的服务要求，以确保提高服务质量，降低服务成本，降低因IT服务中断所导致的业务风险。

如何控制IT 服务的整体风险(无论是内部还是外部)、提高IT整体服务水平是一个需要高度重视的问题，而ISO/IEC20000就是解决该问题的一个很好的指南。

ISO20000由国际标准化组织(ISO)和国际电工委员会(IEC)于2005年12月发布，是IT服务管理领域的第一个国际标准。

它源自英国国家标准BS 15000。

2001年，英国标准协会(BSI)在国际IT服务管理论坛(it SMF)年会上正式发布了以ITIL为基础的IT服务管理英国国家标准BS15000。

BS15000是世界上第一个针对IT服务管理的国家标准。

它提出了一系列相对独立又彼此关联的服务管理所需要的流程。

2002年BS15000被提交给ISO，申请成为IT服务管理国际标准。

2005年5月，ISO通过快速通道的方式批准了ISO20000的标准决议，并于2005年12月15日正式发布ISO/IEC20000。

ISO/IEC20000适用于IT服务提供商，不限于其所在行业和规模大小，但是，ITGov专家建议小规模企业实施ISO 9000认证更适合。

从ISO/IEC20000的前身BS 15000 第一次出现，该标准的认证就非常迅速，尽管该标准的原型是在英国发展起来的，但是在全球范围内应用非常广泛，目前全球有近200家组织通过了认证，仅在我国就有中兴通讯、中国国际电子商务中心、深圳联友科技等近30家组织通过了认证。

iso20000信息技术服务管理体系落地实施iso20000 信息技术服务管理体系落地实施是否科学有效，取决于能否做好六个环环相扣的连续过程，即：理念导入与宣贯。

现状评估，流程设计，工具实施，上线推广，持续改进。

在实施iso20000 过程中出现的问题，概括而言，就是重点做好“四全三落地，五化一加强” ，并通过先有后优、持续改进，不断推动iso20000信息服务管理体系波浪式前进，螺旋式上升。

一、“四全”1）瞻前顾后，全面规划。

iso20000信息技术服务管理体系不但是被用户广泛认可的、完整有效的体系框架和做事方式，也是信息化价值交付过程。

必须从实际出发，厘清现状，将与IT 服务相关的全部活动进行统一决策与规划，合理配置IT 服务管理资源，向前延伸至业务系统建设之初，向后充分考虑未来若干年业务发展。

2）精心组织，全员参与。

iso20000 信息技术服务管理体系的落地实践和不断优化注定是一个相对漫长的过程，组织内部所有成员均应纳入体系，不能因为参与程度和认识上的差距．成为体系落地实践的“孤岛” 。

中心按照目标管理的要求．成立了iso20000 信息技术服务管理体系领导小组．并抽调精干人员组成工作组，自上而下，层层落实，精心组织，全员参与，协力同心，自觉贯彻3）关注细节，全程控制。

过程质量决定结果质量。

在IT服务管理体系落地实践过程中，中心通过建立各个参与要素（人、流程、技术）的管理制度和相应工作流程，关注实施细节，从服务开始到结束每一环节要求记录过程文档。

虽在一定程度上增加了工作量，但增强了过程管理的清晰度，细化了过程控制的颗粒度，有利于完善员工考核，规范运维费用，降低服务成本，提高服务质量。

4）填平补齐，全面提升。

包含三个层面的内容：一是IT 服务管理体系的5大关键过程和13 个管理流程．在落地实践中很难齐头并进．要针对不足尽量填平补齐，避免短板：二是IT 服务人员个人的技术水平与IT 服务团队的整体能力之间要避免短板；三是要实现对用户端到端的服务，在服务理念、服务级别、服务评价等也有一个与用户共同成长的过程。

ISO20000体系文件-IT服务管理（ITSM）-公司信息中心信息安全管理策略修订记录目录1 文档介绍 (4)1.1 文档简介 (4)1.2 文档目标 (4)2 概述 (4)3 信息安全管理基本原则 (4)4 公司层面相应法规和业务需求 (5)5 信息安全管理体系策略 (6)5.1 生命周期管理策略 (6)5.2 安全管理组织和管理层策略 (8)5.2.1目的 (8)5.2.2范围 (8)5.2.3策略 (8)5.3 安全资源管理策略 (9)5.4 安全突发事件管理策略 (9)5.5 安全管理流程持续改进策略 (10)1 文档介绍1.1 文档简介本文档描述了XX公司信息中心在信息安全管理上所必须遵循的策略，包括信息安全管理的目标和范围，管理基本原则，XX公司的相应策略和法规，并对信息安全管理的生命周期所包含的基本概念和流程进行定义，为信息安全管理的计划、流程及相关活动明确其所应遵循的方向和目标，以及相应活动的执行频率、资源和时间限制等原则性规定。

1.2 文档目标本文档是XX公司信息中心实施信息安全管理的蓝本和指导思想，能够为管理层提供管理的方向和行动指南，本文档建议查阅者是与信息安全管理相关的所有技术与管理人员。

通过实施本文档，可以保证IT服务管理使用标准的方法和步骤有效而迅速的处理各种与安全相关的问题，识别并跟踪组织内任何安全授权访问。

最终在所有的服务活动中有效地管理信息安全。

2 概述信息安全管理是信息安全的根本原则和总体目标，主要内容是阐述XX公司对信息中心信息安全工作的总体要求和目标展望，作为信息中心既要负责公司本部等9个单位的信息安全管理，又要为全省信息安全工作提供支持。

其信息安全管理的目标是：●注重信息安全建设的规范化，构建信息安全防护体系；●在保障业务系统正常运行和处理性能的基础上，开展信息安全保障工作；●提高员工整体的信息安全意识，提高信息系统技术维护人员的安全技能水平和规范操作意识；●培养出一批专业的信息安全管理和技术人员，为信息中心信息化的健康、持续发展提供储备力量。

信息技术服务管理体系iso20000认证信息技术服务管理体系ISO 20000认证引言：信息技术的发展已经深入到了社会的方方面面，无论是个人的生活，还是企业的发展，都离不开信息技术的支持。

因此，信息技术服务的质量和管理也变得尤为重要。

ISO 20000认证是对信息技术服务管理体系进行评估和认证的国际标准，对于提高信息技术服务的质量和效率具有重要意义。

本文将从ISO 20000认证的背景、意义、运作方式和改进方法等方面进行阐述，以帮助读者更全面地了解和掌握ISO 20000认证。

一、背景：随着信息技术的快速发展，越来越多的企业和机构意识到了信息技术服务管理的重要性。

而ITIL（Information Technology Infrastructure Library）是一套被广泛采用的信息技术服务管理框架，它提供了一套详细的规范和最佳实践，帮助企业实施高效的信息技术服务管理。

ISO（International Organization for Standardization）和IEC（International Electrotechnical Commission）在2005年将ITIL纳入到了ISO 20000中，并成为了国际标准。

二、意义：1. 提高信息技术服务的质量：ISO 20000认证通过对信息技术服务管理体系的评估和认证，可以确保企业的服务流程符合国际标准和最佳实践，从而提供更加高效、可靠和一致的信息技术服务。

2. 提升用户满意度：ISO 20000认证要求企业建立服务目标、监控和改善服务质量，通过良好的信息技术服务管理体系，能够提供更加符合用户需求的服务，提升用户满意度。

3. 增加企业竞争力：ISO 20000认证是一个全球公认的信息技术服务管理体系认证标准，取得认证可以提升企业的知名度和信誉度，从而提高企业在市场中的竞争力。

三、运作方式：1. 控制和监管：ISO 20000认证要求企业建立一套符合标准要求的信息技术服务管理体系，并进行全面的控制和监管。

ISO20000介绍ISO20000是第一部针对信息技术服务管理（IT Service Management）领域的国际标准，它于2005年12月15日发布。

作为认证组织的IT运营和服务管理水平的国际标准，ISO20000具体规定了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程以及过程建立的相关要求，帮助识别和管理IT服务的关键过程，保证提供有效的IT服务以满足客户和业务的需求。

它着重于通过“IT服务标准化”来管理IT问题，即将IT问题归类，识别问题的内在联系，然后依据服务级别协议进行计划、管理和监控，并强调与客户的沟通。

ISO/IEC20000是一个关于IT服务管理体系的要求的国际标准，它帮助识别和管理IT服务的关键过程，保证提供有效的IT服务满足客户和业务的需求。

ISO20000，共分为两部分 :ISO/IEC 20000-1 Information technology-Service management Part-1:Specification(信息技术服务管理标准规范，认证要求)ISO/IEC 20000-1 Information technology-Service management Part-2:Code of practice(信息技术服务管理最佳实践)在ISO20000中的信息安全管理部份，以ISO27002/ISO27001为参考规范。

在企业组织ISO20000的实施范围不大于ISO27001/ISO27002 实施的范围的情况下，若该组织/企业已通过ISO27001认证，则该企业组织的ISO20000中信息安全管理部份也将符合标准。

ISO20000标准包括了5大过程及13个管理面，如下：服务交付过程服务等级管理服务报告能力管理服务持续性与可用性管理信息安全管理IT 服务预算编制与会计核算控制过程配置管理变更管理发布过程发布管理解决过程事故管理问题管理业务过程业务关系管理供应商管理实施ISO20000效益得以获得业界普遍认同的国际证书ISO20000认证；就服务质量和服务承诺与业务及供货商达成一致，建立和业务及供货商统一的沟通平台；达到相关利益方均满意的IT服务管理目标；提高IT服务的可用性、可靠性和安全性，为业务用户提供高质量的服务；持续优化服务流程，提升服务水平，提高业务满意度；提高项目的可提供性并确保如期交付；从总体上提高组织/企业IT投资的报酬率，提升组织/企业的综合竞争力；建立IT部门一整套行之有效的持续改善机制和内控机制；明晰IT管理成本和组织/企业业务战略和IT战略目标的结合点，完善现有IT服务结构和资源配置，使各项IT资源的运用符合公司业务战略和IT战略目标；通过建立优化、透明的管理流程和权责的定义，监控管理流程、进行绩效评价；降低IT运营的管理成本和风险；易于整合服务管理流程和其它管理系统，如：信息安全管理体系 ISMS 、质量管理体系ISO9000等；将现有管理体系和业务流程整合，规范IT部门服务水平，规范工作流程，降低由人员变动导致的风险；提高IT部门相关员工的专业素质，提高员工的服务能力和工作效率；提升IT部门整体运作及部门间沟通的能力。

ISO2000:2011 信息技术服务管理手册XXXX有限责任公司变更履历目录1.管理手册说明 (5)1.1公司简介 (5)1.2IT服务管理范围 (6)1.3术语和定义 (6)1.4IT服务管理手册的管理 (6)2.管理体系要求 (7)2.1管理职责 (7)2.2文件要求 (9)2.3能力、意识和培训 (10)3.服务管理规划和实施 (11)3.1计划服务管理 (11)3.2实施IT服务 (11)3.3监视、测量和评审 (12)3.4持续改进 (12)4.新服务或变更服务的策划与实施 (13)4.1制订新服务或变更服务计划 (13)5.服务交付过程 (13)5.1服务级别管理 (13)5.2服务报告 (14)5.3可用性和IT服务持续性管理 (14)5.4IT服务的预算及财务管理 (15)5.5容量管理 (16)5.6信息安全管理 (17)6.关系过程 (17)6.1总则 (17)6.2业务关系管理 (18)6.3供应商管理 (18)7.解决方案流程 (19)7.1背景 (19)7.2事件管理 (20)7.3问题管理 (20)8.控制流程 (21)8.1配置管理 (21)8.2变更管理 (22)9.发布过程 (23)9.1发布管理 (23)10.输出的文件 (24)附录一：公司组织架构 (25)附录二：各部门主要工作职责 (26)1公司管理事务部分 (26)2财务部分 (27)3公司市场及销售管理部分 (27)4公司技术管理部分 (28)附录三：公司IT服务管理体系关系图 (33)发布令XXXX有限责任公司按照ISO/IEC 20000《信息技术服务管理－规范》的要求以及本公司的业务特点，建立与本公司IT服务业务相一致的IT服务管理体系，编制本《IT服务管理手册》。

本手册是公司实施IT服务管理，开展持续改进IT服务质量，不断提高客户满意度活动的纲领性文件，是全体员工必须遵守的原则性规范。

为满足不断变化的客户需求及公司IT服务业务的持续、稳定增长，秉承“共创、共赢、共享”的发展理念，在“客户至上、全员参与、创新高效、系统管理、追求卓越”的方针指导下，公司将遵照ISO/IEC 20000的要求，提高公司整体的IT 服务质量管理水平、业务能力，以及全体员工的工作技能和服务质量意识。

文件编号：ITSM-L1-0001版本号：V1.0受控状态：受控密级：内部公开信息技术服务管理－规范XXXX有限公司编写人：编写日期： 2007.01.16 审核人：审批日期： 2007.01.16 批准人：批准日期： 2007.01.16 发布日期：2007.01.18 生效日期： 2007.01.18目录Ⅰ版本说明 (4)Ⅱ文件说明 (4)Ⅲ前言 (5)1简介 (6)2范围 (7)3术语和定义 (8)3.1 可用性 (8)3.2 基线 (8)3.3 变更记录 (8)3.4配置项（CI） (8)3.5配置管理数据库（CMDB） (8)3.6 文件 (8)3.7 事故（Incident） (8)3.8 问题（Problem） (9)3.9 记录 (9)3.10 发布 (9)3.11 变更请求 (9)3.12 服务台 (9)3.13 服务等级协议 (9)3.14 服务管理 (9)3.15 服务提供商 (9)4管理体系要求 (10)4.1管理职责 (10)4.2 文件要求 (10)4.3 能力、意识和培训 (10)5.1服务管理的策划（Plan） (11)5.2实施服务管理并提供服务（Do） (12)5.3 监视、测量和评审（Check） (12)5.4 持续改进（Act） (13)5.4.1策略 (13)5.4.2改进管理 (13)5.4.3 活动 (13)6新服务或变更服务的策划与实施 (14)7服务交付过程 (15)7.1 服务等级管理 (15)7.2 服务报告 (15)7.3服务连续性及可用性管理 (15)7.4 IT服务的预算及财务管理 (16)7.5容量管理 (16)7.6 信息安全管理 (17)8关系过程 (18)8.1 总则 (18)8.2业务关系管理 (18)8.3 供方管理 (18)9解决过程 (20)9.1背景 (20)9.2事故管理 (20)9.3 问题管理 (20)10控制过程 (21)10.1 配置管理 (21)10.2 变更管理 (21)11.1 发布管理 (23)Ⅰ版本说明版本日期作者备注V1.0 2007/1Ⅱ文件说明本套中文版文件是同行多名朋友利用业余时间自行翻译和整理的。