ISO IEC20000-2018信息技术服务管理体系标准及内审员培训教材
ISO20000:2018 信息技术服务管理第一部分服务管理体系要求(附英文原版)
ISO/IEC20000-1第三版2018-09-15IS0/IEC 20000-1: 2018 信息技术服务管理第一部分:服务管理体系要求2018-09-15 发布2018-09-15实施目录前言 (1)引言 (3)1 范围 (4)1.1 总则 (4)1.2 应用 (4)2 规范性引用文件 (5)3 术语和定义 (5)3.1 有关管理体系标准的术语 (5)3.1.1 审核audit (5)3.1.2 能力competence (5)3.1.3 符合(合格)conformity (5)3.1.4 持续改进continual improvement (5)3.1.5 纠正措施corrective action (6)3.1.6 成文信息documented information (6)3.1.7 有效性effectiveness (6)3.1.8 相关方interested party (6)3.1.9 管理体系management system (6)3.1.10 测量measurement (7)3.1.11 监视monitoring (7)3.1.12 不符合nonconformity (7)3.1.13 目标objective (7)3.1.14 组织organization (7)3.1.15 外包outsource, verb (8)3.1.16 绩效performance (8)3.1.17 方针policy (8)3.1.18 过程process (8)3.1.19 要求requirement (9)3.1.20 风险risk (9)3.1.21 最高管理者top management (9)3.2 有关服务管理的术语 (9)3.2.1 资产asset (9)3.2.2 配置项configuration item (10)3.2.3 客户customer (10)3.2.4 外部供应商external supplier (10)3.2.5 事件incident (10)3.2.6 信息安全information security (10)3.2.7 信息安全事件information security incident (10)3.2.8 内部供应商internal supplier (10)3.2.9 已知错误known error (11)3.2.10 问题problem (11)3.2.11 程序procedure (11)3.2.12 记录record (11)3.2.13 发布release, noun (11)3.2.14 变更请求request for change (11)3.2.15 服务service (11)3.. 2.服务可用性service availability (12)3.2.17 服务目录service catalogue (12)3.. 2.服务组件service component (12)3.2.19 服务连续性service continuity (12)3.2.20 服务级别协议service level agreement SLA (12)3.2.21 服务级别目标service level target (12)3.2.22 服务管理 (13)3.2.23 服务管理体系service management system SMS (13)3.2.24 服务提供者service provider (13)3.2.25 服务请求service requirement (13)3.2.26 服务要求service requirement (13)3.2.27 转换transition (13)3.2.28 用户user (13)3.2.29 价值value (13)4 组织环境 (14)4.1 理解组织及其环境 (14)4.2 理解相关方的需求和期望 (14)4.3 确定服务管理体系范围 (14)4.4 服务管理体系 (14)5 领导 (15)5.1 领导和承诺 (15)5.2 方针 (15)5.2.1 制定服务管理方针 (15)5.2.2 沟通服务管理方针 (16)5.3 组织的角色,责任和权限 (16)6 策划 (16)6.1 应对风险和机遇的措施 (17)6.2 服务管理目标及其实现策划 (17)6.2.1 制定目标 (17)6.2.2 策划实现目标 (17)6.3 策划服务管理体系 (17)7 支持 (18)7.1 资源 (18)7.2 能力 (18)7.3 意识 (18)7.4 沟通 (19)7.5 成文信息 (19)7.5.1 总则 (19)7.5.2 创建和更新 (19)7.5.3 成文信息的控制 (20)7.5.4 服务管理系统成文信息 (20)7..知识 (21)ISO/IEC 20000-1:20188 运行 (21)8.1 运行策划和控制 (21)8.2 服务组合 (21)8.2.1 服务交付 (21)8.2.2 策划服务 (21)8.2.3 控制服务生命周期的相关方 (22)8.2.4 服务目录管理 (22)8.2.5 资产管理 (22)8.2.6 配置管理 (22)8.3 关系与协议 (23)8.3.1 总则 (23)8.3.2 业务关系管理 (24)8.3.3 服务级别管理 (24)8.3.4 供应商管理 (24)8.4 供应与需求 (25)8.4.1 服务预算与核算 (25)8.4.2 需求管理 (25)8.4.3 能力管理 (26)8.5 服务设计、构建与转换 (26)8.5.1 变更管理 (26)8.5.2 服务设计与转换 (27)8.5.3 发布与部署管理 (28)8.6 解决与完成 (28)8.6.1 事件管理 (28)8.6.2 服务请求管理 (29)8.6.3 问题管理 (29)8.7 服务保障 (30)8.7.1 服务可用性管理 (30)8.7.2 服务连续性管理 (30)8.7.3 信息安全管理 (31)9 绩效评价 (32)9.1 监视、测量、分析和评价 (32)9.2 内部审核 (32)9.3 管理评审 (33)9.4 服务报告 (33)10 改进 (34)10.1 不符合及纠正措施 (34)10.2 持续改进 (34)前言ISO(国际标准化组织)和IEC(国际电工委员会)形成了世界范围的专业标准化体系。
ISO20000-2018新版服务管理手册
XXXXXXXX科技有限公司IT服务管理手册(本手册与IDT ISO/IEC 20000-1:2018标准相符)[ZBX-A-01]Ver 1.0文件编号:ZBX-ITMS-A-01版本:1.0编制(林XX):审核(饶XX):批准(郑XX):发布日期:2019年7月6日实施日期:2019年7月6日变更履历目录01 颁布令为满足与顾客有关信息技术服务的相关要求,提高公司信息技术服务管理水平,防止因信息技术服务的不及时和不到位等原因导致的公司和客户的损失。
公司开展贯彻ISO/IEC 20000-1 《信息技术服务管理第一部分:要求》国际标准,建立、实施和持续改进文件化的信息技术服务管理体系,制定了本公司《IT服务管理手册》。
《IT 服务管理手册》是公司规范IT服务管理体系的指导性文件,指导公司建立并实施信息技术服务管理体系的纲领和行动准则,用于贯彻公司的信息技术服务管理方针、目标,实现信息技术服务管理体系有效运行、持续改进,也体现公司对社会的承诺。
《IT 服务管理手册》符合相关信息技术服务法律、法规要求及ISO/IEC 20000-1《信息技术服务管理第一部分:要求》标准和企业实际情况,经评审后,现予以批准发布,自2019-07-06起实施。
公司全体员工必须遵照执行。
公司全体员工必须严格按照《IT 服务管理手册》的要求,自觉遵循信息技术服管管理方针,贯彻实施本手册的各项要求,努力实现公司信息技术服务管理方针和目标。
总经理(郑XX):2019年7月6日02 管理者代表授权书为贯彻执行信息技术服务管理体系,满足ISO/IEC 20000-1 《信息技术服务管理第一部分:规范》标准的要求,加强领导,特任命饶XX 为我公司信息技术服务管理者代表。
授权代表有如下职责和权限:1、按照ISO/IEC 20000-1 《信息技术服务管理第一部分:要求》标准的要求,公司相关资源,识别、建立、实施和保持信息技术服务管理体系,不断改进信息技术服务管理体系,确保其有效性、适宜性和符合性。
ISO IEC20000-1-2018信息技术服务管理服务管理体系管理手册
ISO IEC20000-1-2018信息技术服务管理服务管理体系管理手册文件编号:修订状态:A/0 服务管理体系手册文件版本: A 受控状态:受控发布实施日期:2020- 03 -26 密级:内部公开XXXX有限公司0概述0.1手册管理0.2发布令0.3公司简介0.4管理者代表任命书1 范围1.1 总则1.2 应用2 规范性引用文件3 术语和定义3.1 有关管理系统标准的术语4 组织环境4.1 理解组织及其环境4.2 理解相关方的需求和期望4.3 确定服务管理体系范围4.4 服务管理体系5 领导作者:李柏伦翻版盗卖必追究责任创作日期:20200327 5.1 领导和承诺5.2 方针5.1.1 制定服务管理方针5.1.2 沟通服务管理方针5.3 组织的角色,责任和权限6 策划6.1 应对风险和机遇的措施6.2 服务管理目标及其实现策划6.2.1 制定目标6.2.2 策划实现目标6.3 策划服务管理体系7 支持作者:李柏伦翻版盗卖必追究责任创作日期:20200327 7.1 资源7.2 能力7.3 意识7.4 沟通7.5 成文信息7.5.1 总则7.5.2 创建和更新7.5.3 成文信息的控制7.5.4 服务管理系统成文信息7.6 知识8 运行作者:李柏伦翻版盗卖必追究责任创作日期:20200327 8.1 运行策划和控制8.2 服务组合8.2.1 服务交付8.2.2 策划服务8.2.3 控制服务生命周期的相关方8.2.4 服务目录管理8.2.5 资产管理8.2.6 配置管理8.3 关系与协议8.3.1 总则8.3.2 业务关系管理8.3.3 服务级别管理8.3.4 供应商管理8.4 供应与需求8.4.1 服务预算与核算8.4.2 需求管理8.4.3 能力管理8.5 服务设计、构建与转换8.5.1 变更管理8.5.2 服务设计与转换8.5.3 发布与部署管理8.6 解决与完成8.6.1 事件管理8.6.2 服务请求管理8.6.3 问题管理8.7 服务保障8.7.1 服务可用性管理8.7.2 服务连续性管理8.7.3 信息安全管理9 绩效评价219.1 监视、测量、分析和评价9.2 内部审核9.3 管理评审9.4 服务报告10 改进10.1 不符合及纠正措施10.2 持续改进附件1:程序文件清单附件2:职责分配表附件3:组织架构图作者:李柏伦翻版盗卖必追究责任创作日期:202003270.概述0.1手册管理a)本手册由管理者代表审核、总裁批准发布实施;b)本手册适用于XXXX所有与IT服务业务有关的部门和员工;c)本手册分为“受控”和“不受控”两类;d)“受控”版本是现行有效版本,随XX内外环境的变化而修订。
ISO20000-2018内部审核全套资料(2019年最新版)
审核组成员任命书编号:DK-QMS-P03-R01根据公司质量手册规定,拟于2019年2月10 H-11日对公司进行《信息安全&信息技术服务管理》管理体系内部审核。
现任命_XXX_为审核组长,_XXX_为审核组成员,并做以下工作:1.于2019年2月10日前提出此次审核计划上报管理者代表审批(审核组长);2.于2019年2月25日前向管理者代表提交审核报告(审核组长)。
管理者代表:XXX2019年1月4日DK-QMS-P04(A)-R012019年度内部审核计划为验证本公司各部门的信息安全管理活动是否符合IS027001:2013《信息技术-安全技术-信息安全管理体系要求》《IS020000-1: 2018信息技术-服务管理体系-要求》标准、相关法律法规的要求和《信息安全&信息技术服务管理》要求以及《信息安全&信息技术服务管理》体系的有效性,根据《信息安全&信息技术服务管理》和《内部审核管理程序》的要求,安排进行2019年度内部审核和管理评审,内部审核工作进行一次,管理评审工作进行一次,具体时间计划如下:一、2019年2月10日至11 0,进行公司第一次《信息安全&信息技术服务》管理体系内部审核。
二、2019年2月初,进行公司第一次信息安全管理评审。
内部审核的范围应覆盖信息安全管理体系所有部门和活动,根据实际情况,由管理者代表提出,总经理批准可增加审核频次。
编制:XXX批准:XXX2019年2月4日《信息安全&信息技术服务》管理体系内审实施计划第1页共2页第2页共2页审核通知书编号:NS-JL-03 审核的目的:评价公司的《信息安全&信息技术服务》管理体系是否符合标准要求,是否覆盖所有的部门,运行是否有效。
审核准则:IS027001:2013 标准;《信息安全&信息技术服务管理手册》和相关法律法规等。
审核日期2019年2月10日——2019年2月11日受审核部门管理层、综合部、市场部、技术部审核组审核组长:谢XX组员:王XX编制:XXX 批准:XXX 日期:2019年1月31日DK-QMS-P04(A)-R04内审检查表DK-QMS-P04(A)-R04内审检查表DK-QMS-P04(A)-R04内审检查表DK-QMS-P04(A)-R04内审检查表DK-QMS-P04(A)-R06内部审核报告签署:贺XX 2019年2月11日内审不合格报告单DK-QMS-P04(A)-R05内审不合格报告单受审核部门技术部审核日期2019 年 2 月10 H-11 日不合格事实描述:配置项的访问控制权限不清晰。
ISO IEC20000-1-2018信息技术服务管理体系管理手册及程序文件
ISO IEC20000-1-2018信息技术服务管理体系管理手册及程序文件文件编号:修订状态:A/0服务管理体系手册文件版本: A 受控状态:受控发布实施日期:2020- 03 -26 密级:内部公开XXXX有限公司0概述0.1手册管理0.2发布令0.3公司简介0.4管理者代表任命书1 范围1.1 总则1.2 应用2 规范性引用文件3 术语和定义3.1 有关管理系统标准的术语4 组织环境4.1 理解组织及其环境4.2 理解相关方的需求和期望4.3 确定服务管理体系范围4.4 服务管理体系5 领导原创作者:李柏伦翻版盗卖者必追究责任创作日期:20200326作者:李柏伦翻版必5.1 领导和承诺5.2 方针5.1.1 制定服务管理方针5.1.2 沟通服务管理方针5.3 组织的角色,责任和权限6 策划6.1 应对风险和机遇的措施6.2 服务管理目标及其实现策划6.2.1 制定目标6.2.2 策划实现目标6.3 策划服务管理体系7 支持原创作者:李柏伦翻版盗卖者必追究责任创作日期:20200326作者:李柏伦翻版盗7.1 资源7.2 能力7.3 意识7.4 沟通7.5 成文信息7.5.1 总则7.5.2 创建和更新7.5.3 成文信息的控制7.5.4 服务管理系统成文信息7.6 知识8 运行作者:李柏伦翻版盗卖必追究责任创作日期:20200327 8.1 运行策划和控制8.2 服务组合8.2.1 服务交付8.2.2 策划服务8.2.3 控制服务生命周期的相关方8.2.4 服务目录管理8.2.5 资产管理8.2.6 配置管理8.3 关系与协议8.3.1 总则8.3.2 业务关系管理8.3.3 服务级别管理8.3.4 供应商管理8.4 供应与需求8.4.1 服务预算与核算8.4.2 需求管理8.4.3 能力管理8.5 服务设计、构建与转换8.5.1 变更管理8.5.2 服务设计与转换8.5.3 发布与部署管理8.6 解决与完成8.6.1 事件管理8.6.2 服务请求管理8.6.3 问题管理8.7 服务保障8.7.1 服务可用性管理8.7.2 服务连续性管理8.7.3 信息安全管理9 绩效评价219.1 监视、测量、分析和评价9.2 内部审核9.3 管理评审9.4 服务报告10 改进10.1 不符合及纠正措施10.2 持续改进原创作者:李柏伦翻版盗卖者必追究责任创作日期:20200326附件1:程序文件清单附件2:职责分配表附件3:组织架构图作者:李柏伦翻版盗卖必追究责任创作日期:20200327原创作者:李柏伦翻版盗卖者必追究责任创作日期:202003260.概述0.1手册管理a)本手册由管理者代表审核、总裁批准发布实施;b)本手册适用于XXXX所有与IT服务业务有关的部门和员工;c)本手册分为“受控”和“不受控”两类;d)“受控”版本是现行有效版本,随XX内外环境的变化而修订。
ISO20000-2018新版服务管理手册
XXXXXXXX科技有限公司IT服务管理手册(本手册与IDT ISO/IEC 20000-1:2018标准相符)[ZBX-A-01]Ver 1.0文件编号:ZBX-ITMS-A-01版本:1.0编制(林XX):审核(饶XX):批准(郑XX):发布日期:2019年7月6日实施日期:2019年7月6日变更履历目录01 颁布令为满足与顾客有关信息技术服务的相关要求,提高公司信息技术服务管理水平,防止因信息技术服务的不及时和不到位等原因导致的公司和客户的损失。
公司开展贯彻ISO/IEC 20000-1 《信息技术服务管理第一部分:要求》国际标准,建立、实施和持续改进文件化的信息技术服务管理体系,制定了本公司《IT服务管理手册》。
《IT 服务管理手册》是公司规范IT服务管理体系的指导性文件,指导公司建立并实施信息技术服务管理体系的纲领和行动准则,用于贯彻公司的信息技术服务管理方针、目标,实现信息技术服务管理体系有效运行、持续改进,也体现公司对社会的承诺。
《IT 服务管理手册》符合相关信息技术服务法律、法规要求及ISO/IEC 20000-1《信息技术服务管理第一部分:要求》标准和企业实际情况,经评审后,现予以批准发布,自2019-07-06起实施。
公司全体员工必须遵照执行。
公司全体员工必须严格按照《IT 服务管理手册》的要求,自觉遵循信息技术服管管理方针,贯彻实施本手册的各项要求,努力实现公司信息技术服务管理方针和目标。
总经理(郑XX):2019年7月6日02 管理者代表授权书为贯彻执行信息技术服务管理体系,满足ISO/IEC 20000-1 《信息技术服务管理第一部分:规范》标准的要求,加强领导,特任命饶XX 为我公司信息技术服务管理者代表。
授权代表有如下职责和权限:1、按照ISO/IEC 20000-1 《信息技术服务管理第一部分:要求》标准的要求,公司相关资源,识别、建立、实施和保持信息技术服务管理体系,不断改进信息技术服务管理体系,确保其有效性、适宜性和符合性。
ISO IEC20000-1-2018信息技术服务管理体系标准及内审员培训教材
目 录1. 前言2. ISO IEC20000-2018与旧版的主要变化3. ISO IEC20000-2018标准条款目 录1. 前言2. ISO IEC20000-2018与旧版的主要变化3. ISO IEC20000-2018标准条款ISO/IEC 20000是一个针对管理流程系统的标准,ISO/IEC 20000的认证适合IT服务的提供者,可以内部的IT部门,也可以是外部的服务提供商。
获取ISO/IEC 20000的认证,意味着提供服务的IT组织,对ISO/IEC 20000中定义的这些管理流程,具有足够好的管理控制力。
这里所谓对流程的管理控制力包括:·对流程输入的了解和控制·对流程输出的了解、使用和诠释·制定和执行对流程效能的衡量机制·有客观的证据表明,对流程的功能负责,使之符合ISO 20000标准要求·制定流程的改进提高计划,衡量和回顾改进结果IT服务组织要获得ISO/IEC 20000的认证,必须证明它能够对标准中涉及的所有5组13个流程都具有以上的管理控制力。
ISO/IEC 20000系列对流程的最佳实践进行了总结,可适用于不同规模、类型和结构的组织,服务管理流程最佳实践要求并不会因为组织形式不同而被改变。
企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心的自我完善的体系。
在实施认证ISO20000管理体系后,在各个流程中,各个工作岗位上都建立了一个自我完善的循环,工作的策划、执行、检查,以及持续的发现问题改善问题的体系建立起来,使每个员工都拥有问题意识,自觉的发现自己工作当中的问题,并通过系统的解决问题的方法,将问题一个一个的解决。
IT服务提供商通过实施IT服务管理体系,可以获取如下收益:·保持服务目标与企业业务目标一致,有效的支持业务战略·建立规范的服务流程,提高信息技术服务和运营效率·有效及高效地整合和利用信息、基础架构、应用及人员等IT资源·建立持续改进的服务管理机制,快速应对市场需求,提供客户满意度·向国际标杆靠齐,增强市场竞争力,提高组织声誉,提升投资回报·控制IT风险及相关的成本,提高与控制IT服务质量、降低长期的服务成本·灵活应对来自客户、认证机构、内部机构等不同的审核要求,增加投资者信心ISO20000 与 ISO9000 的实用范畴不同: ISO20000 只针对 IT 服务管理,在 IT 服务提供商和政府及企业的IT部门应用较多;而 ISO9000 适用各行业的质量标准,在制造企业应用得最多。
ISO IEC20000-2018信息技术服务管理体系标准及内审员培训教材
·建 立 规 范 的 服 务 流 程 , 提 高 信 息 技 术 服 务 和 运 营 效 率
·有效及高效地整合和利用信息、基础架构、应用及人员等 IT资源
·建 立 持 续 改 进 的 服 务 管 理 机 制 , 快 速 应 对 市 场 需 求 , 提 供 客 户 满 意 度
前言
ISO20000和ITIL的关系 ·ISO20000 作为 IT 服务管理的国际标准,是从 IT 服务管理最佳实践 ITIL 中发展而来。 ·ISO20000 是13个管理流程,而 ITIL 是10个管理流程(不含服务台)。 ·ISO20000 新增了业务关系管理与供应商管理,对应于 ITIL 中的服务等级管理。 ·ISO20000 新增的服务报告,涵盖在 ITIL 的每个管理流程之中。 ·ITIL 提供最佳实践指南 ·ISO/IEC20000 提供基于 ITSM 的度量
ISO IEC20000-2018标准条款
1.2应用
本标准规定的要求是通用的,适用于各种类型、规模或交付各种性质服务的的组织。当组织声称符合本 标准时,不关组织的性质如何,不能排除条款4到条款10中所规定的任何要求;
本标准的要求可以由组织自身提供满足本标准要求的证明。
组织需要自身提供证据证明符合本标准的条款4和条款5,然而,组织可以由其它方提供支持,例如, 其它方代表组织实施内部审核或者支持管理体系的准备工作。
ISO IEC20000-2018标准条款
4.3确定服务管理体系范围 组织应确定服务管理体系的边界及其适用性,以建立其范围。在确定范围时,组织应考虑: a)4.1 中提及的外部和内部因素; b)4.2 中提及的要求; c)组织交付的服务。 服务管理体系的范围定义应包括范围内的服务以及管理和交付服务的组织名称 服务管理体系的范围应保留成文信息,可获得并得到保持。 注1: ISO/IEC 20000-3提供服务管理体系范围定义指南。 注2: 服务管理体系范围描述那一个服务在范围内,可以是组织交付的全部或者部分服务。
ISO内审员培训教材2018版
27
质量体系内部审核
审核过程
内审计划 内审检查表 上次内审结果 资料准备 外审结果 管理评审改进措施 顾客反馈意见 质量监督报告等 其它信息
评审准则 质量体系文件 相关法律、法规、 合同等
依据
内部质量 审核
人员
结果
内审记录 内审报告 不合格项报告 纠正措施
质量负责人 审核员
图1 内部质量审核过程
质量体系内部审核
♪ 减少失误和重复修正;
♪ 为建立其它管理体系打下坚实基础;
♪ 技术和经验不会因员工的流失而损失.
6
推行ISO9000会为员工带来什么 ?
为员工创造良好的工作和生活环境; 提升了员工的素质; 提高了员工的工作效率; 加强了员工之间的沟通; 增加了员工的收入.
7
员工怎样做才能满足ISO9000的要求 ? 熟记公司的质量方针和目标; 按文件规定的要求执行; 对自己的岗位技术熟练掌握; 养成遵守公司规章制度的好习惯; 生产线上的材料做好名称和状态标识; 经常检查自己的工作,发现问题及时纠 正; 不断创新,向各级管理者提出自己的改 进建议.
目的、范围 部门 (一) 内审 策划 体系文件 年度计划 体系文件、 内审分工、 要素职能分配 表
外在效益:
促进市场竞争力和提升企业形象; 增强客户的信心; 增强持续改善和追求客户满意; 提升企业内部管理; 加强了与客户及供应商的沟通; 减少客户对企业的审查.
5
为什么要实施ISO9000标准 ?
内在效益:
♪ 提高运作效率和生产力; ♪ 规范质量管理; ♪ 激励员工士气;
• ●自我改进的机制 可以使体系得到持续改进管理者可根据内审情况
做出改进和完善质量管理体系目标的决策。 • ● 重要的管理手段 管理者可以通过内审了解质量管理体系的活动
ISO IEC20000-2018信息技术服务管理体系全套文件管理手册及程序文件
ISO IEC20000-2018信息技术服务管理体系全套文件管理手册及程序文件文件编号:修订状态:A/0服务管理体系手册文件版本: A 受控状态:发布实施日期:2019- 09 -28 密级:内部公开XXXX有限公司目录0. 概述 (4)0.1 手册管理 (4)0.2 发布令 (5)0.3 公司简介 (5)0.4 管理者代表任命书 (5)0.5 引用标准 (6)1. 目的及适用范围 (7)1.1 目的 (7)1.2 IT服务管理方针 (7)1.3 IT服务管理目标 (7)1.4 范围 (7)1.5 IT服务相关职责 (7)2.术语和定义 (10)3. 管理体系要求 (10)3.1 管理职责 (10)3.2 其他方运行过程的治理 (11)3.3 文件管理 (11)3.4 资源管理 (11)4. 服务管理的策划与实施 (12)4.1 服务管理的策划(计划) (12)4.2 实施服务管理并提供服务(实施) (13)4.3 监视、测量和评审(检查) (14)4.4 持续改进(改进) (14)4.4.1 策略 (14)4.4.2 管理改进 (14)4.4.3 改进活动 (15)5. 设计和转换新的或变更的服务 (15)6. 服务交付过程 (16)6.1 服务等级管理 (16)6.2 服务报告 (16)6.3 服务连续性及可用性管理 (16)6.4 IT服务的预算及核算管理 (17)6.5 能力管理 (17)6.6 信息安全管理 (17)7. 关系过程 (19)7.1 业务关系管理 (19)7.2 供应商管理 (19)8. 解决过程 (20)8.1 事件和服务请求管理 (20)8.2 问题管理 (20)9. 控制过程 (21)9.1 配置管理 (21)9.2 变更管理 (21)9.3 发布和部署管理 (22)附件1:程序文件清单 (23)附件2:职责分配表 (1)0.概述0.1手册管理a)本手册由管理者代表审核、总裁批准发布实施;b)本手册适用于XXXX所有与IT服务业务有关的部门和员工;c)本手册分为“受控”和“不受控”两类;d)“受控”版本是现行有效版本,随XX内外环境的变化而修订。
ISO IEC20000-1-2018信息技术服务管理第1部分-服务管理体系新版要求
ISO/IEC20000-1-2018信息技术服务管理第1部分-服务管理体系新版要求2018-09-15 发布2018-09-15 实施目录前言 (i)引言 (iii)信息技术服务管理第一部分服务管理体系要求 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1有关管理系统标准的术语 (2)3.1.1 审计审核 (2)3.1.2能力 competence (2)3.1.3符合(合格) conformity (2)3.1.4持续改进 continual improvement (2)3.1.5纠正措施 corrective action (2)3.1.6成文信息 documented information (2)3.1.7有效性effectiveness (2)3.1.8相关方interested party (3)3.1.9管理体系 management system (3)3.1.10测量measurement (3)3.1.11监视 monitoring (3)3.1.12不符合nonconformity (3)3.1.13目标 objective (3)3.1.14组织organization (3)3.1.15外包 outsource, verb (4)3.1.16绩效performance (4)3.1.17方针 policy (4)3.1.18过程 process (4)3.1.19要求requirement (4)3.1.20风险 risk (4)3.1.21最高管理者 top management (5)3.2有关服务管理的术语 (5)3.2.1资产 asset (5)3.2.2配置项configuration item (5)3.2.3客户 customer (5)3.2.4外部供应商 external supplier (5)3.2.5事件 incident (5)3.2.6信息安全 information security (5)3.2.7信息安全事件 information security incident (6)3.2.8内部供应商internal supplier (6)3.2.9已知错误 known error (6)3.2.10问题 problem (6)23.2.11程序 procedure (6)3.2.12记录 record, noun (6)3.2.13发布 release, noun (6)3.2.14变更请求 request for change (6)3.2.15服务 service (6)3.2.16服务可用性service availability (7)3.2.17服务目录 service catalogue (7)3.2.18服务组件 service component (7)3.2.19服务连续性service continuity (7)3.2.20服务级别协议 service level agreement SLA (7)3.2.21服务级别目标 service level target (7)3.2.22服务管理 service management (7)3.2.23服务管理体系 service management system SMS (7)3.2.24服务提供者service provider (7)3.2.25服务请求 service request (8)3.2.26服务要求 service requirement (8)3.2.27转换 transition (8)3.2.28用户 user (8)3.2.29价值 value (8)4 组织环境 (8)4.1理解组织及其环境 (8)4.2理解相关方的需求和期望 (8)4.3确定服务管理体系范围 (8)4.4服务管理体系 (9)5 领导 (9)5.1领导和承诺 (9)5.2 方针 (9)5.1.1制定服务管理方针 (9)5.1.2沟通服务管理方针 (9)5.3 组织的角色,责任和权限 (9)6 策划 (10)6.1应对风险和机遇的措施 (10)6.2服务管理目标及其实现策划 (10)6.2.1 制定目标 (10)6.2.2策划实现目标 (10)6.3策划服务管理体系 (11)7 支持 (11)7.1 资源 (11)7.2 能力 (11)7.3 意识 (11)7.4 沟通 (12)7.5 成文信息 (12)7.5.1 总则 (12)7.5.2创建和更新 (12)。
ISO20000-2018信息技术服务和信息安全管理体系二合一管理手册(升级版)
××××××有限公司信息安全与信息技术服务管理手册文件编号:MC-ITISM-01(A0)(依据ISO27001: 2013/ISO20000-1: 2018标准编制)编制:审核:批准:××××××有限公司发布修订履历目录0.1 颁布令 (5)0.2 管理者代表授权书 (6)0.3 企业概况 (7)0.4 手册的管理 (8)1 范围 (9)2 规范性引用文件 (9)3 术语和定义 (10)4 组织环境 (11)4.1 理解组织及其环境 (11)4.2 理解相关方的需求和期望 (11)4.3 确定管理体系的范围 (12)4.4 信息安全管理体系 (13)4.5 信息技术服务管理体系 (13)5 领导 (15)5.1 领导和承诺 (15)5.2 方针 (16)5.3 组织角色、职责和权限 (16)6 策划 (17)6.1 应对风险和机会的措施 (17)6.2 管理目标及其实现策划 (19)6.3 策划信息技术服务管理体系 (19)7 支持 (20)7.1 资源 (20)7.2 能力 (20)7.3 意识 (20)7.4 沟通 (21)7.5 文件化信息 (21)8 运行 (23)8.1 运行策划和控制 (23)8.2 信息安全风险评估与信息技术服务组合 (23)8.3 信息安全风险处置与关系、协议管理 (26)8.4 供应与需求 (28)8.5 服务设计、构建与转换 (29)8.6 解决与完成 (32)8.7 服务保障 (34)9 绩效评价 (36)9.1 监视、测量、分析和评价 (36)9.2 内部审核 (37)9.3 管理评审 (38)9.4 信息技术服务报告 (39)10 改进 (39)10.1 不符合及纠正措施 (39)10.2 持续改进 (40)附录A组织机构图 (41)附录B 信息安全与信息技术服务管理职责表 (41)附录C 办公区域平面图 (43)附录D 信息安全与信息技术服务管理职责分配表 (44)附录E 方针和目标 (46)E.1 信息技术服务管理方针和目标 (46)E.2 信息安全管理方针和目标 (47)0.1 颁布令为提高××××××有限公司的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,以及规范我公司IT信息技术服务管理,提供满足顾客要求的信息技术服务,我公司开展贯彻《ISO27001: 2013信息技术-安全技术-信息安全管理体系-要求》和《ISO20000-1: 2018 信息技术-服务管理体系-要求》国际标准的工作,建立、实施和持续改进文件化的信息安全与信息技术服务管理体系,制定了《信息安全与信息技术服务管理手册》(以下简称为“手册”)。
最新的ISO IEC20000-1-2018信息技术服务管理体系管理手册和程序文件
最新的ISO IEC20000-1-2018信息技术服务管理体系管理手册和程序文件文件编号:修订状态:A/0服务管理体系手册文件版本:A受控状态:受控发布实施日期:2020-03-26密级:内部公开XXXX有限公司0概述0.1手册管理0.2发布令0.3公司简介0.4管理者代表任命书1范围1.1总则1.2应用2规范性引用文件3术语和定义3.1有关管理系统标准的术语4组织环境4.1理解组织及其环境4.2理解相关方的需求和期望4.3确定服务管理体系范围4.4服务管理体系5领导作者:李柏伦翻版必5.1领导和承诺5.2方针5.1.1制定服务管理方针5.1.2沟通服务管理方针5.3组织的角色,责任和权限6策划6.1应对风险和机遇的措施6.2服务管理目标及其实现策划6.2.1制定目标6.2.2策划实现目标6.3策划服务管理体系7支持作者:李柏伦翻版盗7.1资源7.2能力7.3意识7.4沟通7.5成文信息7.5.1总则7.5.2创建和更新7.5.3成文信息的控制7.5.4服务管理系统成文信息7.6知识8运行8.1运行策划和控制8.2服务组合8.2.1服务交付8.2.2策划服务8.2.3控制服务生命周期的相关方8.2.4服务目录管理8.2.5资产管理8.2.6配置管理8.3关系与协议8.3.1总则8.3.2业务关系管理8.3.3服务级别管理8.3.4供应商管理8.4供应与需求8.4.1服务预算与核算8.4.2需求管理8.4.3能力管理8.5服务设计、构建与转换8.5.1变更管理8.5.2服务设计与转换8.5.3发布与部署管理8.6解决与完成8.6.1事件管理8.6.2服务请求管理8.6.3问题管理8.7服务保障8.7.1服务可用性管理8.7.2服务连续性管理8.7.3信息安全管理9绩效评价219.1监视、测量、分析和评价9.2内部审核9.3管理评审9.4服务报告10改进10.1不符合及纠正措施10.2持续改进附件1:程序文件清单附件2:职责分配表附件3:组织架构图程序文件清单1《组织经营环境分析及相关方管理控制程序》2《风险和机遇的应对控制程序》3《服务管理体系策划控制程序》4《人力资源控制程序》5《信息沟通控制程序》6《成文信息控制程序》7《组织知识控制程序》8《运行策划及过程控制程序》9《服务交付控制程序》10《策划服务控制程序》11《业务连续性制程序》12《相关方控制程序》13《服务目录管理控制程序》14《配置管理控制程序》15《供应商管理控制程序》16《业务关系管理控制程序》17《服务级别管理控制程序》18《供应与需求管理控制程序》19《服务设计、构建与转换控制程序》20《变更控制程序》21《服务事件解决与完成控制程序》22《服务保障及信息安全控制程序》23《监视、测量、分析及评价控制程序》24《顾客满意度控制程序》25《内部审核控制程序》26《管理评审控制程序》27《服务报告控制程序》28《不符合及纠正措施控制程序》29《持续改进控制程序》30《记录控制程序》0.概述0.1手册管理a)本手册由管理者代表审核、总裁批准发布实施;b)本手册适用于XXXX所有与IT服务业务有关的部门和员工;c)本手册分为“受控”和“不受控”两类;d)“受控”版本是现行有效版本,随XX内外环境的变化而修订。
ISO20000-2018内部审核全套资料(2019年最新版)
审核组成员任命书编号:DK-QMS-P03-R01根据公司质量手册规定,拟于2019年2月10 H-11日对公司进行《信息安全&信息技术服务管理》管理体系内部审核。
现任命_XXX_为审核组长,_XXX_为审核组成员,并做以下工作:1.于2019年2月10日前提出此次审核计划上报管理者代表审批(审核组长);2.于2019年2月25日前向管理者代表提交审核报告(审核组长)。
管理者代表:XXX2019年1月4日DK-QMS-P04(A)-R012019年度内部审核计划为验证本公司各部门的信息安全管理活动是否符合IS027001:2013《信息技术-安全技术-信息安全管理体系要求》《IS020000-1: 2018信息技术-服务管理体系-要求》标准、相关法律法规的要求和《信息安全&信息技术服务管理》要求以及《信息安全&信息技术服务管理》体系的有效性,根据《信息安全&信息技术服务管理》和《内部审核管理程序》的要求,安排进行2019年度内部审核和管理评审,内部审核工作进行一次,管理评审工作进行一次,具体时间计划如下:一、2019年2月10日至11 0,进行公司第一次《信息安全&信息技术服务》管理体系内部审核。
二、2019年2月初,进行公司第一次信息安全管理评审。
内部审核的范围应覆盖信息安全管理体系所有部门和活动,根据实际情况,由管理者代表提出,总经理批准可增加审核频次。
编制:XXX批准:XXX2019年2月4日《信息安全&信息技术服务》管理体系内审实施计划第1页共2页第2页共2页审核通知书编号:NS-JL-03 审核的目的:评价公司的《信息安全&信息技术服务》管理体系是否符合标准要求,是否覆盖所有的部门,运行是否有效。
审核准则:IS027001:2013 标准;《信息安全&信息技术服务管理手册》和相关法律法规等。
审核日期2019年2月10日——2019年2月11日受审核部门管理层、综合部、市场部、技术部审核组审核组长:谢XX组员:王XX编制:XXX 批准:XXX 日期:2019年1月31日DK-QMS-P04(A)-R04内审检查表DK-QMS-P04(A)-R04内审检查表DK-QMS-P04(A)-R04内审检查表。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
c)删除一些关于“做什么”条款的细节,允许组织灵活的决定如何满足要 求。
d)包括一些新的特点,如增加的关于知识和策划服务的要求。
e)事件管理、服务请求管理、服务连续性管理、服务可用性管理、服务级 别管理、服务目录管理、能力管理、需求管理等,以前组合的条款被拆分。
·ISO20还关注财务、信息 安全。
·ISO20000 也可以说是 ISO9000 在IT服务行业的具体应用和拓展。
前言
ISO20000和ITIL的关系 ·ISO20000 作为 IT 服务管理的国际标准,是从 IT 服务管理最佳实践 ITIL 中发 展而来。 ·ISO20000 是13个管理流程,而 ITIL 是10个管理流程(不含服务台)。 ·ISO20000 新增了业务关系管理与供应商管理,对应于 ITIL 中的服务等级管理。 ·ISO20000 新增的服务报告,涵盖在 ITIL 的每个管理流程之中。 ·ITIL 提供最佳实践指南 ·ISO/IEC20000 提供基于 ITSM 的度量
ISO IEC20000-2018信息技术服务管理体系标准条款
1 范围 2 规范性引用文件 3 术语和定义 4 组织环境 5 领导作用 6 策划 7 支持 8 运行 9 绩效评价 10 改进
ISO IEC20000-2018与旧版的主要变化
a)使用适用于所有管理系统的标准的高阶结构(ISO/IEC 导则 第一部分 ISO补充规定的附件SL)进行重新编排。也引进了新的通用要求,包括组 织环境,策划实现目标,应对风险和机遇的措施。一些通用要求更新了前 一版本的要求,如,保留成文信息,资源,能力和意识。
ISO IEC20000-2018与旧版的主要变化
h)最小化保留成文信息的要求,保留关键的成文信息,如服务管理计划。其它成 文信息变化包括: 1)取消了能力管理计划文件的要求,用策划能力要求取代; 2)取消了可用性计划文件的要求,用可用性要求和目标文件取代; 3)取消了配置管理数据库要求,用配置信息要求取代; 4)取消了发布策略要求,用定义发布类型和频率的要求取代; 5)取消了持续改进方针的要求,用确立改进机会的评估标准取代。 i)更新和重新编号图2与图3至图1与图2。移除图1和不是附件 SL 指定使用的 PDCA循环引用,因为管理体系有多个可以使用的改进方法。 j)服务报告条款对对服务报告的详细要求移动至服务报告可能产生的场合。 ISO/IEC 20000系列标准的全部标准可以访问ISO的WEB站点。
ISO IEC20000-2018与旧版的主要变化
f)“治理其它方运行的过程”更名为“控制服务生命周期的相关方”,并更新了关 于服务、服务组件和流程的要求。澄清了如果其它方用于提供或运行服务管理体 系范围内的所有服务、服务组件或流程。组织不能证明符合本标准要求。
g)条款3(术语与定义)拆分为管理系统术语和服务管理术语子条款。定义有许多 变化,关键的变化包括:
前言
企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心 的自我完善的体系。在实施认证ISO20000管理体系后,在各个流程中,各个工 作岗位上都建立了一个自我完善的循环,工作的策划、执行、检查,以及持续的 发现问题改善问题的体系建立起来,使每个员工都拥有问题意识,自觉的发现自 己工作当中的问题,并通过系统的解决问题的方法,将问题一个一个的解决。IT 服务提供商通过实施IT服务管理体系,可以获取如下收益: ·保 持 服 务 目 标 与 企 业 业 务 目 标 一 致 , 有 效 的 支 持 业 务 战 略 ·建 立 规 范 的 服 务 流 程 , 提 高 信 息 技 术 服 务 和 运 营 效 率 ·有效及高效地整合和利用信息、基础架构、应用及人员等 IT资源 ·建 立 持 续 改 进 的 服 务 管 理 机 制 , 快 速 应 对 市 场 需 求 , 提 供 客 户 满 意 度 ·向 国 际 标 杆 靠 齐 , 增 强 市 场 竞 争 力 , 提 高 组 织 声 誉 , 提 升 投 资 回 报 ·控制IT风险及相关的成本,提高与控制 IT服务质量、降低长期的服务成本 ·灵 活 应 对 来 自 客 户 、 认 证 机 构 、 内 部 机 构 等 不 同 的 审 核 要 求 , 增 加 投 资 者 信 心
1)为附件SL,增加一些新术语。如“目标”,“方针”,增加一些服务管理的有 关术语,如“资产”,“用户”。
2)术语“服务提供者”已经被“组织“取代以符合附件 SL 通用文本。
3)术语“内部组”已经被“内部供应商”取代,和术语“供应商”已经被“外部 供应商”取代。
4)“信息安全”的定义已经和ISO/IEC 27000保持一致,然后,术语“可用性” 已经被“服务可用性”取代,以区别“信息安全”中使用的术语“可用性”。
前言
ISO20000 与 ISO9000 的实用范畴不同: ISO20000 只针对 IT 服务管理,在 IT 服务提供商和政府及企业的IT部门应用较多;而 ISO9000 适用各行业的质量 标准,在制造企业应用得最多。
·ISO20000 与 ISO9000 的侧重点不同: ISO20000 与 IT 服务流程相关,其流 程的名称和控制采用的IT 人员容易接受的术语,对 IT 系统变更的风险进行管理; 而 ISO9000 与质量框架相联系。
ISO IEC20000-2018 信息技术服务管理体系 标准及内审员培训教材
前言
ISO/IEC 20000是一个针对管理流程系统的标准,ISO/IEC 20000的认证适合IT 服务的提供者,可以内部的IT部门,也可以是外部的服务提供商。获取ISO/IEC 20000的认证,意味着提供服务的IT组织,对ISO/IEC 20000中定义的这些管理 流程,具有足够好的管理控制力。这里所谓对流程的管理控制力包括: ·对 流 程 输 入 的 了 解 和 控 制
·对 流 程 输 出 的 了 解 、 使 用 和 诠 释 ·制 定 和 执 行 对 流 程 效 能 的 衡 量 机 制 ·有客观的证据表明,对流程的功能负责,使之符合 ISO 20000标准要求
·制 定 流 程 的 改 进 提 高 计 划 , 衡 量 和 回 顾 改 进 结 果 IT服务组织要获得ISO/IEC 20000的认证,必须证明它能够对标准中涉及的所有 5组13个流程都具有以上的管理控制力。ISO/IEC 20000系列对流程的最佳实践 进行了总结,可适用于不同规模、类型和结构的组织,服务管理流程最佳实践要 求并不会因为组织形式不同而被改变。