ISO IEC20000-1-2018信息技术服务管理服务管理体系管理手册

LOGO ABCDE 科技有限公司信息安全/信息技术服务管理手册（ 依照ISO/IEC27001:2013idtGB/T 22080-2016 &ISO/IEC20000-1:2018标准编制）文 件 编 号：XX/I-TSMS-2019 版 次：A/0 受 控 状态：发 放 编生 效 日 期： 2019年11月1日2019-10-18 发布 2019-11-01 日 生效声明：此《信息安全/信息技术服务管理手册》内容版权为ABCDE 科技有限公司所有，此文件自生效日期起开始执行，由本公司综合部予以受控发行，各持有者应妥善保存及维护。

未经本公司最高管理层批准，任何人均不得以任何方式对本手册内容进行复制、传阅或外泄。

0.1目录0.2信息安全/信息技术服务管理手册修改记录 (3)0.3颁布令 (4)0.4任命书 (5)0.5公司简介 (6)0.6公司简介 (6)1.目的和适用范围 (8)2.引用标准 (9)3.术语和定义 (10)4 公司所处的环境 (8)4.1理解组织及其环境 (8)4.2理解相关方的需求和期望 (8)4.3确定信息安全/信息技术服务管理体系范围 (8)4.4信息安全/信息技术服务管理体系 (9)5.领导 (13)5.1领导和承诺 (13)5.2信息安全/信息技术服务方针 (13)5.3公司岗位、职责和权限 (14)6.规划 (17)6.1 应对风险和机遇的措施 (17)6.2信息安全/信息技术服务目标及其实现的规划 (1)7.支持 (21)7.1资源 (21)7.2能力 (21)7.3意识 (22)7.4沟通 (22)7.5文件化信息 (23)7.6知识 (25)8 运行 (25)8.1运行规划和控制 (25)8.2信息安全风险评估/服务组合 (27)8.3信息安全风险处置/关系和协议 (29)8.4供应与需求 (33)8.5服务设计构建和转换 (36)8.6解决和履行 (38)8.7服务保证 (40)9.绩效评价 (42)9.1监视、测量、分析和评价 (43)9.2内部审核 (44)9.3管理评审 (45)9.4信息技术服务报告 (45)10.改进 (46)附录1：信息安全/信息技术服务管理体系流程图 (48)附录2：公司组织机构图 (49)附录3：公司各部门职责与权限 (50)附录4：信息安全/信息技术服务职能分配表 (53)附录5：信息安全/信息技术服务方针和目标 (55)附录6：信息安全/信息技术服务管理流程图 (57)附录7：工程/信息化网络拓扑图 (59)0.2信息安全/信息技术服务管理手册修改记录0.3颁布令为提高ABCDE科技有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，以及规范我公司IT信息技术服务管理，提供满足顾客要求的信息技术服务，我公司开展贯彻ISO/IEC27001:2013《信息技术一安全技术-信息安全管理体系-要求》和ISO/IEC20000-1:2018《信息技术-服务管理-服务管理体系-要求》国际标准工作，建立、实施和持续改进文件化的管理手册体系，制定了《信息安全/信息技术服务管理手册》。

深圳市XX有限公司管理标准ND-ITSMS-2019IT 服务管理手册版本编号：A/0（本手册依据ISO/IEC20000-1:2018 编制）编制：XXX 时间：2019-07-01审核：XXX 时间：2019-07-01批准：XXX时间：2019-07-012019-07-01 发布2019-07-01 实施深圳市XX有限公司发布序号版本更改处、更改内容更改人/日期审核人/日期批准人/日期目录01 颁布令 (5)02 管理者代表授权书 (6)03 企业概况 (7)1、IT 服务管理手册的批准 (9)2、IT 服务管理手册的发放、更改、作废与销毁 (9)3、IT 服务管理手册的换版 (9)4、IT 服务管理手册的控制 (9)IT 服务管理手册 (10)1、范围 (10)1.1 总则 (10)1.2 应用 (10)2 规范性引用文件 (10)3 术语和定义 (10)3.1 本公司 (10)3.2 可用性 (10)3.3 配置基线 (10)3.4 配置项 (11)3.5 配置管理数据库CMDB (11)3.6 有效性 (11)3.7 事件 (11)3.8 信息技术服务 (11)3.9 信息技术服务事件 (11)3.10 相关方 (11)3.11 内部团体 (11)3.12 已知错误 (11)3.13 问题 (11)3.14 发布 (11)3.15 变更请求 (11)3.16 风险 (11)3.17 服务 (12)3.18 服务组件 (12)3.19 服务连续性 (12)3.20 SLA 服务级别协议 (12)3.21 服务管理 (12)3.22 SMS 服务管理体系 (12)3.23 服务提供方 (12)3.24 服务请求 (12)3.25 服务需求 (12)3.26 供应商 (12)4 组织环境 (13)4.1 理解组织及其环境 (13)4.2 理解相关方的需求和期望 (13)4.3 确定信息技术服务管理体系的范围 (14)4.4 信息技术服务管理体系 (14)5领导 (14)5.1领导和承诺 (14)5.2方针 (14)5.3组织的角色、责任和权限 (15)6策划 (19)6.1应对风险和机会的措施 (19)6.1.1总则 (19)6.1.2组织应确认和成文化： (19)6.1.3组织应策划： (19)6.2信息技术服务目标及其实现规划 (19)6. 3 策划服务管理体系 (20)7支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)7. 6 知识 (23)8 运行 (23)8.1运行规划和控制 (23)8.2服务组合 (24)8. 3 关系与协议 (26)8. 4 供应与需求 (28)8. 5 服务设计、构建与转换 (29)8. 6 解决与完成 (32)8. 7 服务保障 (33)9 绩效评价 (34)9.1监视、测量、分析和评价 (34)9.2 内部审核 (35)9.3 管理评审 (36)9. 4 服务报告 (38)10 改进 (38)10.1 不符合及纠正措施 (38)10.2 持续改进 (38)附录 A IT 服务管理职能关系架构图 (40)附录 B ITSM 职能分配表 (41)01 颁布令为满足顾客有关信息技术服务的相关要求，提高公司信息技术服务管理水平，防止由于信息技术服务的不及时等导致的公司和客户的损失。

信息技术服务管理体系配置流程配置项管理规定文件编号：SM-030021.分发控制2.文件版本信息3.文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。

文件版本小于1.0时，表示该版本文件为草案，仅可作为参照资料之目的。

1.概述.................................................................. 1..2.配置项的识别和定义...................................................... 1.2.1.配置项的范围...................................................... 1.22 配置项的属性...................................................... 1.2.3.配置项的生命周期.................................................. 1.2.4.配置管理数据库设计要求 (2)3.配置项的控制和维护...................................................... 3.4.配置状态验证和审计..................................................... 3.5.附则.................................................................. 3..1.概述本管理制度对《配置流程管理办法》中有关配置项的管理等相关内容进行详细说明，并用于指导技术部配置数据库CMD的使用和维护。

2.配置项的识别和定义配置流程负责人负责组织相关部门识别配置项的范围，制订配置项的命名和管理规范，确定用于构建、发布、验证、安装、分发、维护、恢复、移除配置项的硬件、软件及相关文档。

ISO IEC20000-1-2018信息技术服务管理体系管理手册及程序文件文件编号：修订状态：A/0服务管理体系手册文件版本： A 受控状态：受控发布实施日期：2020- 03 -26 密级：内部公开XXXX有限公司0概述0.1手册管理0.2发布令0.3公司简介0.4管理者代表任命书1 范围1.1 总则1.2 应用2 规范性引用文件3 术语和定义3.1 有关管理系统标准的术语4 组织环境4.1 理解组织及其环境4.2 理解相关方的需求和期望4.3 确定服务管理体系范围4.4 服务管理体系5 领导原创作者：李柏伦翻版盗卖者必追究责任创作日期：20200326作者：李柏伦翻版必5.1 领导和承诺5.2 方针5.1.1 制定服务管理方针5.1.2 沟通服务管理方针5.3 组织的角色，责任和权限6 策划6.1 应对风险和机遇的措施6.2 服务管理目标及其实现策划6.2.1 制定目标6.2.2 策划实现目标6.3 策划服务管理体系7 支持原创作者：李柏伦翻版盗卖者必追究责任创作日期：20200326作者：李柏伦翻版盗7.1 资源7.2 能力7.3 意识7.4 沟通7.5 成文信息7.5.1 总则7.5.2 创建和更新7.5.3 成文信息的控制7.5.4 服务管理系统成文信息7.6 知识8 运行作者：李柏伦翻版盗卖必追究责任创作日期：20200327 8.1 运行策划和控制8.2 服务组合8.2.1 服务交付8.2.2 策划服务8.2.3 控制服务生命周期的相关方8.2.4 服务目录管理8.2.5 资产管理8.2.6 配置管理8.3 关系与协议8.3.1 总则8.3.2 业务关系管理8.3.3 服务级别管理8.3.4 供应商管理8.4 供应与需求8.4.1 服务预算与核算8.4.2 需求管理8.4.3 能力管理8.5 服务设计、构建与转换8.5.1 变更管理8.5.2 服务设计与转换8.5.3 发布与部署管理8.6 解决与完成8.6.1 事件管理8.6.2 服务请求管理8.6.3 问题管理8.7 服务保障8.7.1 服务可用性管理8.7.2 服务连续性管理8.7.3 信息安全管理9 绩效评价219.1 监视、测量、分析和评价9.2 内部审核9.3 管理评审9.4 服务报告10 改进10.1 不符合及纠正措施10.2 持续改进原创作者：李柏伦翻版盗卖者必追究责任创作日期：20200326附件1：程序文件清单附件2：职责分配表附件3：组织架构图作者：李柏伦翻版盗卖必追究责任创作日期：20200327原创作者：李柏伦翻版盗卖者必追究责任创作日期：202003260.概述0.1手册管理a）本手册由管理者代表审核、总裁批准发布实施；b）本手册适用于XXXX所有与IT服务业务有关的部门和员工；c）本手册分为“受控”和“不受控”两类；d）“受控”版本是现行有效版本，随XX内外环境的变化而修订。

服务策划管理程序信息技术有限责任公司变更履历目录1简介 (4)1.1目的 (4)1.2适用范围 (4)1.3术语表 (4)1.4引用文件 (4)2职责 (4)2.1总经理 (4)2.2管理者代表 (4)2.3技术服务事业部 (5)2.4服务部 (5)2.5项目经理 (5)2.6商务部 (5)2.7销售部门 (5)3流程图 (6)4具体内容 (7)4.1服务售前 (7)4.2合同评审 (7)4.3服务管理策划 (7)4.4服务管理实施 (7)4.5服务管理监控、测量、改进 (8)4.6的文件和记录 (9)1 简介1.1目的针对公司承接IT服务的项目、合同或任务，确定质量目标，制定专门措施，配备相应的资源，对服务实现过程实施控制，确保在约定的成本和质量要求下交付服务。

1.2适用范围适用于本公司承接IT服务的项目、合同或任务实现过程的策划、实施、交付和管理活动控制。

1.3术语表•服务目录（SC）：有关可提供的服务及服务级别概要说明。

•服务级别协议（SLA）：由IT部门和客户之间签订的描述将要提供的一项或多项服务的一份协议。

•验证：确保本公司承接IT服务的项目、合同或任务实现过程、计划或其它可交付成果已经完成，并与设计规格准确、可靠和相符的活动。

•确认：确保本公司承接IT服务的项目、合同或任务实现过程、计划或其它可交付成果满足业务需求的活动，确认也能通过变更初始设计来保证满足业务需求。

1.4引用文件【1】《ISO/IEC 20000-1: 2018》【2】《ISO/IEC 9001-2015》【3】《IT服务管理手册》【4】《项目管理制度》2 职责2.1总经理负责公司IT服务业务发展战略决策。

2.2管理者代表根据公司IT服务战略、政策产业环境、业务状况，向公司总经理提供决策建议，协助公司总经理进行公司IT服务策略方面的管理工作。

2.3技术服务事业部组织服务产品、项目、合同实现策划，批准策划方案及实施计划。

××××××有限公司信息安全与信息技术服务管理手册文件编号：MC-ITISM-01（A0）（依据ISO27001: 2013/ISO20000-1: 2018标准编制）编制：审核：批准：××××××有限公司发布修订履历目录0.1 颁布令 (5)0.2 管理者代表授权书 (6)0.3 企业概况 (7)0.4 手册的管理 (8)1 范围 (9)2 规范性引用文件 (9)3 术语和定义 (10)4 组织环境 (11)4.1 理解组织及其环境 (11)4.2 理解相关方的需求和期望 (11)4.3 确定管理体系的范围 (12)4.4 信息安全管理体系 (13)4.5 信息技术服务管理体系 (13)5 领导 (15)5.1 领导和承诺 (15)5.2 方针 (16)5.3 组织角色、职责和权限 (16)6 策划 (17)6.1 应对风险和机会的措施 (17)6.2 管理目标及其实现策划 (19)6.3 策划信息技术服务管理体系 (19)7 支持 (20)7.1 资源 (20)7.2 能力 (20)7.3 意识 (20)7.4 沟通 (21)7.5 文件化信息 (21)8 运行 (23)8.1 运行策划和控制 (23)8.2 信息安全风险评估与信息技术服务组合 (23)8.3 信息安全风险处置与关系、协议管理 (26)8.4 供应与需求 (28)8.5 服务设计、构建与转换 (29)8.6 解决与完成 (32)8.7 服务保障 (34)9 绩效评价 (36)9.1 监视、测量、分析和评价 (36)9.2 内部审核 (37)9.3 管理评审 (38)9.4 信息技术服务报告 (39)10 改进 (39)10.1 不符合及纠正措施 (39)10.2 持续改进 (40)附录A组织机构图 (41)附录B 信息安全与信息技术服务管理职责表 (41)附录C 办公区域平面图 (43)附录D 信息安全与信息技术服务管理职责分配表 (44)附录E 方针和目标 (46)E.1 信息技术服务管理方针和目标 (46)E.2 信息安全管理方针和目标 (47)0.1 颁布令为提高××××××有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，以及规范我公司IT信息技术服务管理，提供满足顾客要求的信息技术服务，我公司开展贯彻《ISO27001: 2013信息技术-安全技术-信息安全管理体系-要求》和《ISO20000-1: 2018 信息技术-服务管理体系-要求》国际标准的工作，建立、实施和持续改进文件化的信息安全与信息技术服务管理体系，制定了《信息安全与信息技术服务管理手册》（以下简称为“手册”）。

XXXXXXXX科技有限公司IT服务管理手册（本手册与IDT ISO/IEC 20000-1:2018标准相符）[ZBX-A-01]Ver 1.0文件编号：ZBX-ITMS-A-01版本：1.0编制（林XX）：审核（饶XX）：批准（郑XX）：发布日期：2019年7月6日实施日期：2019年7月6日变更履历目录01 颁布令为满足与顾客有关信息技术服务的相关要求，提高公司信息技术服务管理水平，防止因信息技术服务的不及时和不到位等原因导致的公司和客户的损失。

公司开展贯彻ISO/IEC 20000-1 《信息技术服务管理第一部分:要求》国际标准,建立、实施和持续改进文件化的信息技术服务管理体系，制定了本公司《IT服务管理手册》。

《IT 服务管理手册》是公司规范IT服务管理体系的指导性文件，指导公司建立并实施信息技术服务管理体系的纲领和行动准则，用于贯彻公司的信息技术服务管理方针、目标，实现信息技术服务管理体系有效运行、持续改进，也体现公司对社会的承诺。

《IT 服务管理手册》符合相关信息技术服务法律、法规要求及ISO/IEC 20000-1《信息技术服务管理第一部分:要求》标准和企业实际情况，经评审后，现予以批准发布，自2019-07-06起实施。

公司全体员工必须遵照执行。

公司全体员工必须严格按照《IT 服务管理手册》的要求，自觉遵循信息技术服管管理方针，贯彻实施本手册的各项要求，努力实现公司信息技术服务管理方针和目标。

总经理（郑XX）：2019年7月6日02 管理者代表授权书为贯彻执行信息技术服务管理体系，满足ISO/IEC 20000-1 《信息技术服务管理第一部分:规范》标准的要求，加强领导，特任命饶XX 为我公司信息技术服务管理者代表。

授权代表有如下职责和权限：1、按照ISO/IEC 20000-1 《信息技术服务管理第一部分:要求》标准的要求，公司相关资源，识别、建立、实施和保持信息技术服务管理体系，不断改进信息技术服务管理体系，确保其有效性、适宜性和符合性。

ISO/IEC 20000-1国际服务管理体系新版发布ISO/IEC 20000-1:2018信息技术- 服务管理- 第1部分：服务管理体系新版要求已于2018年9月发布。

为帮助组织响应不断增长的服务需求和适应不断变化的服务交付环境，ISO/IEC 20000-1:2011现已转版并由ISO/IEC 20000-1:2018取代。

ISO/IEC 20000-1:2018转版时间已通过ISO/IEC 20000-1:2011认证的组织将有两年的时间过渡到ISO/IEC20000-1:2018。

2020年9月15日之后，ISO/IEC 20000-1:2011证书将不再有效。

自2011年以来，ISO/IEC 20000-1首次进行修订，以帮助组织更好地响应不断增长的服务需求和适应不断变化的服务交付环境。

修订后的标准更注重从战略角度出发，为公司及其客户提供优化的服务。

该标准规定了组织建立、实施、维护和持续改进服务管理体系的要求。

规定的要求包括规划、设计、转换、交付和改进服务，以满足服务要求和交付价值。

与ISO/IEC 20000-1：2018取代的2011版本相比，本次修订的主要变化包括：1）考虑到了关键服务管理趋势2）更加注重服务的策划以促进绩效提升3）更加注重领导力和战略，以确保为用户和客户提供更优的表现4）标准采用了高阶结构，与所有其它新的管理体系标准保持一致新的变化还包括对服务策划的要求，包括知识管理，资产管理，需求管理以及服务交付。

同时增加了一些已经在其它标准导入的新的通用要求，包括组织情境和管理风险和机会的措施。

新版标准更加注重管理活动和质量保证，大幅减少了对过程和规程的设计和实施的要求。

一个包括了多服务供应商环境的服务提供生态系统更加强调高质量服务的管理，而不是试图统一所有参与方的过程。

此标准可被用于：✅1）组织展示其服务规划，设计，转换，交付和改进能力✅2）组织监督，测量和审查服务管理体系及所提供的服务✅3）组织通过有效实施和运营服务管理体系来改进服务的规划、设计、转换、交付和改进✅4）组织或其他相关方根据此标准中规定的要求进行符合性评估✅5）在服务管理方面提供培训✅6）当客户寻求服务，并要求保证服务的质量✅7）当客户要求所有服务提供商（包括供应链中的服务提供商）采用一致的服务生命周期方法虽然ISO/IEC 20000-1通常主要用于IT服务，但该标准越来越多地适用于IT之外引入服务管理的企业，常见领域包括设施管理和业务流程外包。

**********科技股份有限公司信息技术服务手册ISMS-A**********有限公司ISO/IEC20000-1:2018服务管理体系ITSMS-A编制：审核：批准：日期：2019年5月5日目录01、颁布令----------------------------------------------------------------------------------602、管理者代表----------------------------------------------------------------------------603、企业概况-------------------------------------------------------------------------------704、信息技术服务方针-------------------------------------------------------------------905、手册的管理----------------------------------------------------------------------------101、适用范围-------------------------------------------------------------------------------102、规范性引用--------------------------------------------------------------------------------113、术语和定义--------------------------------------------------------------------------------114、组织背景-----------------------------------------------------------------------------13 4.1、组织现状及背景-----------------------------------------------------------------134.2、理解相关方的需求和期望-----------------------------------------------------144.3、确定服务管理体系的范围---------------------------------------------------------154.4、服务管理体系--------------------------------------------------------------------------165、领导力----------------------------------------------------------------------------------205.1、领导力和承诺-----------------------------------------------------------------205.2、方针-----------------------------------------------------------------------------215.3、角色、责任和承诺--------------------------------------------------------------216、计划--------------------------------------------------------------------------------------216.1、应对风险和机遇的措施--------------------------------------------------------226.2、服务管理实现的目标和计------------------------------------------------------246.3、策划服务管理体系--------------------------------------------------------------337、支持--------------------------------------------------------------------------------------357.1、资源--------------------------------------------------------------------------------357.2、能力--------------------------------------------------------------------------------357.3、意识--------------------------------------------------------------------------------367.4、沟通--------------------------------------------------------------------------------367.5、文件化信息-----------------------------------------------------------------------377.5.1、总则--------------------------------------------------------------------------377.5.2、创建和更新-----------------------------------------------------------------387.5.3、文件化信息的控制--------------------------------------------------------397.5.4、服务管理体系文档信息--------------------------------------------------397.6、知识------------------------------------------------------------------------------- 398、运行---------------------------------------------------------------------------------------408.1、运行策划及控制------------------------------------------------------------------408.2、服务组合---------------------------------------------------------------------------408.3、关系与协议------------------------------------------------------------------------438.4、供给与需求------------------------------------------------------------------------468.5、服务设计、开发和转换---------------------------------------------------------488.6、解决与实现------------------------------------------------------------------------528.7、服务保证---------------------------------------------------------------------------539、绩效评价--------------------------------------------------------------------------------559.1、监控、度量、分析和评价-----------------------------------------------------559.2、内部审核--------------------------------------------------------------------------569.3、管理评审--------------------------------------------------------------------------569.4、服务报告--------------------------------------------------------------------------5710、改进-------------------------------------------------------------------------------------5710.1、不符合及纠正措施-------------------------------------------------------------5710.2、持续改进-------------------------------------------------------------------------58附录：1、组织结构图-------------------------------------------------------------592、职能分配表-------------------------------------------------------------60手册修订记录0.1、颁布令为提高我公司的管理水平和服务水平，适应客户对公司运行服务高标准的需要和信息服务管理的需要，确保公司在稳定提供满足客户要求的服务及实现公司经济效益的最大化的同时满足适用法律法规要求，保障公司生产经营活动的正常进行，防止由于信息安全事件导致公司客户和业主及相关方的损失，我公司导入贯彻ISO/IEC20000-1:2018《服务管理体系要求》标准工作，建立、实施和持续改进文件化的信息服务管理体系，编制**********科技股份有限公司的《信息技术服务手册》。

ISO IEC20000-1-2018信息技术服务管理第一部分服务管理体系要求信息技术服务管理第一部分服务管理体系要求（ISO/IEC 20000-1:2018）2018-09-15 发布2018-09-15 实施目录前言 (i)引言 (iii)信息技术服务管理第一部分服务管理体系要求 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1有关管理系统标准的术语 (2)3.1.1 审计审核 (2)3.1.2能力 competence (2)3.1.3符合（合格） conformity (2)3.1.4持续改进 continual improvement (2)3.1.5纠正措施 corrective action (2)3.1.6成文信息 documented information (2)3.1.7有效性effectiveness (2)3.1.8相关方interested party (3)3.1.9管理体系 management system (3)3.1.10测量measurement (3)3.1.11监视 monitoring (3)3.1.12不符合nonconformity (3)3.1.13目标 objective (3)3.1.14组织organization (3)3.1.15外包 outsource, verb (4)3.1.16绩效performance (4)3.1.17方针 policy (4)3.1.18过程 process (4)3.1.19要求requirement (4)3.1.20风险 risk (4)3.1.21最高管理者 top management (5)3.2有关服务管理的术语 (5)3.2.1资产 asset (5)3.2.2配置项configuration item (5)3.2.3客户 customer (5)3.2.4外部供应商 external supplier (5)3.2.5事件 incident (5)3.2.6信息安全 information security (5)3.2.7信息安全事件 information security incident (6)3.2.8内部供应商internal supplier (6)3.2.9已知错误 known error (6)3.2.10问题 problem (6)3.2.11程序 procedure (6)3.2.12记录 record, noun (6)3.2.13发布 release, noun (6)3.2.14变更请求 request for change (6)3.2.15服务 service (6)3.2.16服务可用性service availability (7)3.2.17服务目录 service catalogue (7)3.2.18服务组件 service component (7)3.2.19服务连续性service continuity (7)3.2.20服务级别协议 service level agreement SLA (7)3.2.21服务级别目标 service level target (7)3.2.22服务管理 service management (7)3.2.23服务管理体系 service management system SMS (7)3.2.24服务提供者service provider (7)3.2.25服务请求 service request (8)3.2.26服务要求 service requirement (8)3.2.27转换 transition (8)3.2.28用户 user (8)3.2.29价值 value (8)4 组织环境 (8)4.1理解组织及其环境 (8)4.2理解相关方的需求和期望 (8)4.3确定服务管理体系范围 (8)4.4服务管理体系 (9)5 领导 (9)5.1领导和承诺 (9)5.2 方针 (9)5.1.1制定服务管理方针 (9)5.1.2沟通服务管理方针 (9)5.3 组织的角色，责任和权限 (9)6 策划 (10)6.1应对风险和机遇的措施 (10)6.2服务管理目标及其实现策划 (10)6.2.1 制定目标 (10)6.2.2 策划实现目标 (10)6.3策划服务管理体系 (11)7 支持 (11)7.1 资源 (11)7.2 能力 (11)7.3 意识 (11)7.4 沟通 (12)7.5 成文信息 (12)7.5.1 总则 (12)7.5.2创建和更新 (12)7.5.3成文信息的控制 (12)7.5.4服务管理系统成文信息 (12)7.6 知识 (13)8 运行 (13)8.1 运行策划和控制 (13)8.2 服务组合 (13)8.2.1 服务交付 (13)8.2.2 策划服务 (13)8.2.3控制服务生命周期的相关方 (14)8.2.4服务目录管理 (14)8.2.5 资产管理 (14)8.2.6 配置管理 (14)8.3关系与协议 (15)8.3.1 总则 (15)8.3.2业务关系管理 (15)8.3.3服务级别管理 (15)8.3.4供应商管理 (16)8.4供应与需求 (16)8.4.1服务预算与核算 (16)8.4.2 需求管理 (16)8.4.3 能力管理 (17)8.5服务设计、构建与转换 (17)8.5.1 变更管理 (17)8.5.2服务设计与转换 (18)8.5.3发布与部署管理 (18)8.6解决与完成 (19)8.6.1 事件管理 (19)8.6.2 服务请求管理 (19)8.6.3 问题管理 (19)8.7 服务保障 (20)8.7.1服务可用性管理 (20)8.7.2服务连续性管理 (20)8.7.3信息安全管理 (20)9 绩效评价 (21)9.1 监视、测量、分析和评价 (21)9.2 内部审核 (21)9.3 管理评审 (22)9.4 服务报告 (22)10 改进 (22)10.1不符合及纠正措施 (22)10.2 持续改进 (23)前言ISO（国际标准化组织）和IEC（国际电工委员会）形成了世界范围的专业标准化体系。

目 录1. 前言2. ISO IEC20000-2018与旧版的主要变化3. ISO IEC20000-2018标准条款目 录1. 前言2. ISO IEC20000-2018与旧版的主要变化3. ISO IEC20000-2018标准条款ISO/IEC 20000是一个针对管理流程系统的标准，ISO/IEC 20000的认证适合IT服务的提供者，可以内部的IT部门，也可以是外部的服务提供商。

获取ISO/IEC 20000的认证，意味着提供服务的IT组织，对ISO/IEC 20000中定义的这些管理流程，具有足够好的管理控制力。

这里所谓对流程的管理控制力包括：·对流程输入的了解和控制·对流程输出的了解、使用和诠释·制定和执行对流程效能的衡量机制·有客观的证据表明，对流程的功能负责，使之符合ISO 20000标准要求·制定流程的改进提高计划，衡量和回顾改进结果IT服务组织要获得ISO/IEC 20000的认证，必须证明它能够对标准中涉及的所有5组13个流程都具有以上的管理控制力。

ISO/IEC 20000系列对流程的最佳实践进行了总结，可适用于不同规模、类型和结构的组织，服务管理流程最佳实践要求并不会因为组织形式不同而被改变。

企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心的自我完善的体系。

在实施认证ISO20000管理体系后，在各个流程中，各个工作岗位上都建立了一个自我完善的循环，工作的策划、执行、检查，以及持续的发现问题改善问题的体系建立起来，使每个员工都拥有问题意识，自觉的发现自己工作当中的问题，并通过系统的解决问题的方法，将问题一个一个的解决。

IT服务提供商通过实施IT服务管理体系，可以获取如下收益：·保持服务目标与企业业务目标一致，有效的支持业务战略·建立规范的服务流程，提高信息技术服务和运营效率·有效及高效地整合和利用信息、基础架构、应用及人员等IT资源·建立持续改进的服务管理机制，快速应对市场需求，提供客户满意度·向国际标杆靠齐，增强市场竞争力，提高组织声誉，提升投资回报·控制IT风险及相关的成本，提高与控制IT服务质量、降低长期的服务成本·灵活应对来自客户、认证机构、内部机构等不同的审核要求，增加投资者信心ISO20000 与 ISO9000 的实用范畴不同： ISO20000 只针对 IT 服务管理，在 IT 服务提供商和政府及企业的IT部门应用较多；而 ISO9000 适用各行业的质量标准，在制造企业应用得最多。

ISO IEC20000-2018信息技术服务管理体系全套文件管理手册及程序文件文件编号：修订状态：A/0服务管理体系手册文件版本： A 受控状态：发布实施日期：2019- 09 -28 密级：内部公开XXXX有限公司目录0. 概述 (4)0.1 手册管理 (4)0.2 发布令 (5)0.3 公司简介 (5)0.4 管理者代表任命书 (5)0.5 引用标准 (6)1. 目的及适用范围 (7)1.1 目的 (7)1.2 IT服务管理方针 (7)1.3 IT服务管理目标 (7)1.4 范围 (7)1.5 IT服务相关职责 (7)2.术语和定义 (10)3. 管理体系要求 (10)3.1 管理职责 (10)3.2 其他方运行过程的治理 (11)3.3 文件管理 (11)3.4 资源管理 (11)4. 服务管理的策划与实施 (12)4.1 服务管理的策划（计划） (12)4.2 实施服务管理并提供服务（实施） (13)4.3 监视、测量和评审（检查） (14)4.4 持续改进（改进） (14)4.4.1 策略 (14)4.4.2 管理改进 (14)4.4.3 改进活动 (15)5. 设计和转换新的或变更的服务 (15)6. 服务交付过程 (16)6.1 服务等级管理 (16)6.2 服务报告 (16)6.3 服务连续性及可用性管理 (16)6.4 IT服务的预算及核算管理 (17)6.5 能力管理 (17)6.6 信息安全管理 (17)7. 关系过程 (19)7.1 业务关系管理 (19)7.2 供应商管理 (19)8. 解决过程 (20)8.1 事件和服务请求管理 (20)8.2 问题管理 (20)9. 控制过程 (21)9.1 配置管理 (21)9.2 变更管理 (21)9.3 发布和部署管理 (22)附件1：程序文件清单 (23)附件2：职责分配表 (1)0.概述0.1手册管理a）本手册由管理者代表审核、总裁批准发布实施；b）本手册适用于XXXX所有与IT服务业务有关的部门和员工；c）本手册分为“受控”和“不受控”两类；d）“受控”版本是现行有效版本，随XX内外环境的变化而修订。

ISO/IEC20000-1-2018信息技术服务管理第1部分-服务管理体系新版要求2018-09-15 发布2018-09-15 实施目录前言 (i)引言 (iii)信息技术服务管理第一部分服务管理体系要求 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1有关管理系统标准的术语 (2)3.1.1 审计审核 (2)3.1.2能力 competence (2)3.1.3符合（合格） conformity (2)3.1.4持续改进 continual improvement (2)3.1.5纠正措施 corrective action (2)3.1.6成文信息 documented information (2)3.1.7有效性effectiveness (2)3.1.8相关方interested party (3)3.1.9管理体系 management system (3)3.1.10测量measurement (3)3.1.11监视 monitoring (3)3.1.12不符合nonconformity (3)3.1.13目标 objective (3)3.1.14组织organization (3)3.1.15外包 outsource, verb (4)3.1.16绩效performance (4)3.1.17方针 policy (4)3.1.18过程 process (4)3.1.19要求requirement (4)3.1.20风险 risk (4)3.1.21最高管理者 top management (5)3.2有关服务管理的术语 (5)3.2.1资产 asset (5)3.2.2配置项configuration item (5)3.2.3客户 customer (5)3.2.4外部供应商 external supplier (5)3.2.5事件 incident (5)3.2.6信息安全 information security (5)3.2.7信息安全事件 information security incident (6)3.2.8内部供应商internal supplier (6)3.2.9已知错误 known error (6)3.2.10问题 problem (6)23.2.11程序 procedure (6)3.2.12记录 record, noun (6)3.2.13发布 release, noun (6)3.2.14变更请求 request for change (6)3.2.15服务 service (6)3.2.16服务可用性service availability (7)3.2.17服务目录 service catalogue (7)3.2.18服务组件 service component (7)3.2.19服务连续性service continuity (7)3.2.20服务级别协议 service level agreement SLA (7)3.2.21服务级别目标 service level target (7)3.2.22服务管理 service management (7)3.2.23服务管理体系 service management system SMS (7)3.2.24服务提供者service provider (7)3.2.25服务请求 service request (8)3.2.26服务要求 service requirement (8)3.2.27转换 transition (8)3.2.28用户 user (8)3.2.29价值 value (8)4 组织环境 (8)4.1理解组织及其环境 (8)4.2理解相关方的需求和期望 (8)4.3确定服务管理体系范围 (8)4.4服务管理体系 (9)5 领导 (9)5.1领导和承诺 (9)5.2 方针 (9)5.1.1制定服务管理方针 (9)5.1.2沟通服务管理方针 (9)5.3 组织的角色，责任和权限 (9)6 策划 (10)6.1应对风险和机遇的措施 (10)6.2服务管理目标及其实现策划 (10)6.2.1 制定目标 (10)6.2.2策划实现目标 (10)6.3策划服务管理体系 (11)7 支持 (11)7.1 资源 (11)7.2 能力 (11)7.3 意识 (11)7.4 沟通 (12)7.5 成文信息 (12)7.5.1 总则 (12)7.5.2创建和更新 (12)。

××××××有限公司信息安全与信息技术服务管理手册文件编号：MC-ITISM-01（A0）（依据ISO27001: 2013/ISO20000-1: 2018标准编制）编制：审核：批准：××××××有限公司发布修订履历目录0.1 颁布令 (5)0.2 管理者代表授权书 (6)0.3 企业概况 (7)0.4 手册的管理 (8)1 范围 (9)2 规范性引用文件 (9)3 术语和定义 (10)4 组织环境 (11)4.1 理解组织及其环境 (11)4.2 理解相关方的需求和期望 (11)4.3 确定管理体系的范围 (12)4.4 信息安全管理体系 (13)4.5 信息技术服务管理体系 (13)5 领导 (15)5.1 领导和承诺 (15)5.2 方针 (16)5.3 组织角色、职责和权限 (16)6 策划 (17)6.1 应对风险和机会的措施 (17)6.2 管理目标及其实现策划 (19)6.3 策划信息技术服务管理体系 (19)7 支持 (20)7.1 资源 (20)7.2 能力 (20)7.3 意识 (20)7.4 沟通 (21)7.5 文件化信息 (21)8 运行 (23)8.1 运行策划和控制 (23)8.2 信息安全风险评估与信息技术服务组合 (23)8.3 信息安全风险处置与关系、协议管理 (26)8.4 供应与需求 (28)8.5 服务设计、构建与转换 (29)8.6 解决与完成 (32)8.7 服务保障 (34)9 绩效评价 (36)9.1 监视、测量、分析和评价 (36)9.2 内部审核 (37)9.3 管理评审 (38)9.4 信息技术服务报告 (39)10 改进 (39)10.1 不符合及纠正措施 (39)10.2 持续改进 (40)附录A组织机构图 (41)附录B 信息安全与信息技术服务管理职责表 (41)附录C 办公区域平面图 (43)附录D 信息安全与信息技术服务管理职责分配表 (44)附录E 方针和目标 (46)E.1 信息技术服务管理方针和目标 (46)E.2 信息安全管理方针和目标 (47)0.1 颁布令为提高××××××有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，以及规范我公司IT信息技术服务管理，提供满足顾客要求的信息技术服务，我公司开展贯彻《ISO27001: 2013信息技术-安全技术-信息安全管理体系-要求》和《ISO20000-1: 2018 信息技术-服务管理体系-要求》国际标准的工作，建立、实施和持续改进文件化的信息安全与信息技术服务管理体系，制定了《信息安全与信息技术服务管理手册》（以下简称为“手册”）。