ISO20000管理体系在数据中心的实践(二)
ISO20000标准及服务介绍
赛宝科技服务ISO20000 IT服务管理业务介绍一、背景:信息,与能源和物质作为人类赖以生存和发展的3大资源之一,已经成为现代社会发展的基础。
信息技术作为信息使用和传播的手段,经过几十年的发展,已经成为现代社会发展的重要驱动因素。
现代信息技术的发展给国家产业发展、企业运营和个人生活方式都带来的巨大的变化。
信息时代使我们面临着前所未有的机遇,新的信息交换方式大量涌现,新的信息服务形式在给人们带来便利和效率的同时,也对信息技术管理本身的带来了前所未有的挑战。
服务容定义不清晰、服务方法不规、服务响应不及时、IT人员流动、变更失控等一系列问题一直在困扰着我们。
如何在享受信息技术给我们带来便利和效率的同时,避免或降低信息技术使用的风险,提高对信息技术的管理能力,已经成为社会各阶层需要面对并解决的问题。
IT服务管理正是在这样一个背景下产生的。
信息技术的发展大概经历了三个阶段:以技术设备投入为主的第一阶段;以单独系统流程建设为主体的第二阶段;现在信息技术已成为一种支撑业务发展的关键服务手段,信息技术经历了从技术主导到服务主导的转变。
随着信息技术的发展和信息使用方式的扩展,使用传统方式管理信息技术已经不能满足要求。
大量实践表明,IT系统生命周期中80%时间处于运行维护周期,100%的效益发生在系统投入使用后的运维期间,但运维期间资源投入却不到整个系统投入的20%,形成了重建设,轻运维的格局。
经过多年的总结和实践,人们普遍认识到只有做好系统运行维护,才能真正发挥系统效益,使用管理体系的方式管理信息系统的运行和维护正是在这样的大背景下产生的。
二、目前IT服务管理面临的主要问题:1、IT系统规模膨胀,管理难度直线上升从局域网到广域网再到无线网络、系统平台多样化并不断升级、软件来源多样、数据类型千差万别,IT系统规模呈爆炸式增长。
系统复杂程度的增加导致管理难度急剧上升。
2、以技术为中心,而不是以业务为中心目前,对信息技术的应用还主要通过设备和系统的投入为主。
ISO20000学习心得
6
ISO20000标准体系简介
提供标准
提供指南
改进质量
ISO 20000
降低成本
提供指导
控制风险
7
提
纲
一.ISO20000标准体系简介
二.ISO200ቤተ መጻሕፍቲ ባይዱ0标准体系内容
0. ISO20000标准体系框架 1 .范围
2 .术语及定义
3. 管理体系要求 4. 计划和实施服务管理 5. 新的/变更的服务规划和实施
ISO20000标准体系内容
目标:规划服务管理的实施 服务管理规划应该将客户需求转化成实际的服务目标, 为指引整个流程提供导航。
目标:执行服务管理的规划 服务管理规划应当通过以下活动来实施: 4.2 实施服务管理 分配资金和预算 分配角色和职责 协调服务管理流程 员工招聘与培养,以及人员保持的连续性 团队管理,包括服务台团队与运营团队 对各流程的计划、政策、程序以及进行记录和维护 根据计划来报告进度 对服务风险进行识别和管理
6. 服务交付过程组
7. 业务关系过程组 8. 解决过程组 9. 控制过程组 10. 发布过程组
三.ISO20000标准体系证书认证
1. ISO20000标准认证的好处
2.
ISO20000标准认证的过程
8
ISO20000标准体系内容
9
提
纲
一.ISO20000标准体系简介
二.ISO20000标准体系内容
4
ISO20000标准体系简介
5
ISO20000标准体系简介
ITIL(信息技术基础架构库)在全球广为接受,并作为IT服务管理的最佳实践,在此基础上,BSI(英国标 准化协会)推出英国官方标准BS15000。该标准在2005年12月正式成为IT服务管理的国际标准ISO20000。 整个发展历程如下图所示:
ISO20000落地中的运维管理
( 数据输出 , 2) 方便迁移或灾难恢复等
用途 。
正在进行的开发工作
正在进行优化工作 , 完善 已有 的功 能 , 例如 , 在监视界 面上显示报警 的具体类 型 , 而不仅仅 是报警级别 ,方便管理人员 了解
3服务器监控 .
特殊系统报警 自动发 布相关公告 ,例 如停 电 、设备 当机 、服务 中断等。
9 系统 日志 .
系统提供 了报警功能 ,分 为一 般报警 和严重报警 , 并显示报警 时间和数量 , 有 并 分类报表显示 ,方便管理人员 了解 网络 在
一
( ) 1 记录人员登录情况 以及修改配置 、
( ) 要监控所有网络设备。 1需
( 有类似pt的图形显示 、 2) r g 数据表统 计和显示功能 。
( 3)有类似 w a em p网络天气 图功 et r a h
f r l
图 1运维监测系统结构
能 , 全网拓扑图与流量监控结合 , 能够 将 并
分区域监 控。 ( 艉 供更加有效的局部实时监控功能 。 4
I T服务 的基础是 I 础设 施的运维 , 校实际情况 的运维监测系统就 成为 了高校 化系统 , T基 包括监控功能 、 资产 管理 、 报修和 I0 0 0 S 2 00管理体 系的实施 ,大大促进 了中 信息化 的必需 品。
国人民大学 网络 与教 育技术 中心管理 工作 的标 准化 、 范化 、 规 专业化 。 同时 中心领导 实施 I0 0 0 标准的过程 中,同步实施 了 S 200
( 需要监控所有 服务器 。 1) ( ) 2 有集成 的图形显示 、 数据 表统计 和
显示 功能。
() 2 提供过期归档数据的查询和展示 。 功能 ,以及初步的统计 、报表 、 警功能 , 报 ( )方便管理和查询 ( 引 、搜索 ) 3 索 。 已经在实践中发挥 作用 。
ISO20000信息技术服务管理规范[24页]
![ISO20000信息技术服务管理规范[24页]](https://img.taocdn.com/s3/m/0a9df46648d7c1c708a145fc.png)
文件编号:ITSM-L1-0001版本号:V1.0受控状态:受控密级:内部公开信息技术服务管理-规范XXXX有限公司编写人:编写日期: 2007.01.16 审核人:审批日期: 2007.01.16 批准人:批准日期: 2007.01.16 发布日期:2007.01.18 生效日期: 2007.01.18目录Ⅰ版本说明 (4)Ⅱ文件说明 (4)Ⅲ前言 (5)1简介 (6)2范围 (7)3术语和定义 (8)3.1 可用性 (8)3.2 基线 (8)3.3 变更记录 (8)3.4配置项(CI) (8)3.5配置管理数据库(CMDB) (8)3.6 文件 (8)3.7 事故(Incident) (8)3.8 问题(Problem) (9)3.9 记录 (9)3.10 发布 (9)3.11 变更请求 (9)3.12 服务台 (9)3.13 服务等级协议 (9)3.14 服务管理 (9)3.15 服务提供商 (9)4管理体系要求 (10)4.1管理职责 (10)4.2 文件要求 (10)4.3 能力、意识和培训 (10)5.1服务管理的策划(Plan) (11)5.2实施服务管理并提供服务(Do) (12)5.3 监视、测量和评审(Check) (12)5.4 持续改进(Act) (13)5.4.1策略 (13)5.4.2改进管理 (13)5.4.3 活动 (13)6新服务或变更服务的策划与实施 (14)7服务交付过程 (15)7.1 服务等级管理 (15)7.2 服务报告 (15)7.3服务连续性及可用性管理 (15)7.4 IT服务的预算及财务管理 (16)7.5容量管理 (16)7.6 信息安全管理 (17)8关系过程 (18)8.1 总则 (18)8.2业务关系管理 (18)8.3 供方管理 (18)9解决过程 (20)9.1背景 (20)9.2事故管理 (20)9.3 问题管理 (20)10控制过程 (21)10.1 配置管理 (21)10.2 变更管理 (21)11.1 发布管理 (23)Ⅰ版本说明版本日期作者备注V1.0 2007/1Ⅱ文件说明本套中文版文件是同行多名朋友利用业余时间自行翻译和整理的。
数据中心运维管理ISO20000体系实践经验交流
发布体系 试运行体系 优化体系
外审
通过外审,获得证书
持续优化
持续优化管理体系, 确保其适宜和有效
4
三、实施步骤
实施主要阶段
1.现状评估与差异分析 2.体系建设 3.推广试运行 4.认证审核与持续改进
5
1.现状评估与差异分析
通过现状调研、对标等工作找出现有管理体系与ISO20000标准的差距。 对现状从管理要求、标准符合度、客户需求满足等角度进行调研
和项目后续工作重点
IT服务管理 体系设计
▪ 设计数据中心IT服务 管理体系
流程和制度设计
▪ 设计ISO20000要求的 流程
▪ 优化和完善现有运维 操作制度
关键角色和职责设计
▪ 补全重要职能缺失, 优化现有组织和角色
▪ 配套角色职责 ▪ 设计流程KPI
知识转移、现场培训贯穿全过程
第三阶段 审核确定与持续优化
具
了解客户需求
差异分析报告 改进措施建议
设计管理体系框 架
管理体系配套各 制度、流程设计
或优化
管理体系评审
体系推广试运行 执行内审与管理评审
申请认证 第一次外审
体系完善
第二次外审 得ISO20000证书
持续优化完善 首次监审
持续优化完善
培训和知识转移
3
二、工作思路
体系建设工作思路
启动
第一阶段 现状、差距及需求评估
9
2.体系建设
建立ISO20000所需的各类文件(1-4级文档体系)
✓ 一级文件用于对IT服务管理体系概览性介绍,是数据中心IT服 务管理体系(SMS)的纲领性文件。
第二阶段 目标及体系架构设计
新形势对数据中心 的要求
ISO20000-2018信息技术服务和信息安全管理体系二合一管理手册(升级版)
××××××有限公司信息安全与信息技术服务管理手册文件编号:MC-ITISM-01(A0)(依据ISO27001: 2013/ISO20000-1: 2018标准编制)编制:审核:批准:××××××有限公司发布修订履历目录0.1 颁布令 (5)0.2 管理者代表授权书 (6)0.3 企业概况 (7)0.4 手册的管理 (8)1 范围 (9)2 规范性引用文件 (9)3 术语和定义 (10)4 组织环境 (11)4.1 理解组织及其环境 (11)4.2 理解相关方的需求和期望 (11)4.3 确定管理体系的范围 (12)4.4 信息安全管理体系 (13)4.5 信息技术服务管理体系 (13)5 领导 (15)5.1 领导和承诺 (15)5.2 方针 (16)5.3 组织角色、职责和权限 (16)6 策划 (17)6.1 应对风险和机会的措施 (17)6.2 管理目标及其实现策划 (19)6.3 策划信息技术服务管理体系 (19)7 支持 (20)7.1 资源 (20)7.2 能力 (20)7.3 意识 (20)7.4 沟通 (21)7.5 文件化信息 (21)8 运行 (23)8.1 运行策划和控制 (23)8.2 信息安全风险评估与信息技术服务组合 (23)8.3 信息安全风险处置与关系、协议管理 (26)8.4 供应与需求 (28)8.5 服务设计、构建与转换 (29)8.6 解决与完成 (32)8.7 服务保障 (34)9 绩效评价 (36)9.1 监视、测量、分析和评价 (36)9.2 内部审核 (37)9.3 管理评审 (38)9.4 信息技术服务报告 (39)10 改进 (39)10.1 不符合及纠正措施 (39)10.2 持续改进 (40)附录A组织机构图 (41)附录B 信息安全与信息技术服务管理职责表 (41)附录C 办公区域平面图 (43)附录D 信息安全与信息技术服务管理职责分配表 (44)附录E 方针和目标 (46)E.1 信息技术服务管理方针和目标 (46)E.2 信息安全管理方针和目标 (47)0.1 颁布令为提高××××××有限公司的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,以及规范我公司IT信息技术服务管理,提供满足顾客要求的信息技术服务,我公司开展贯彻《ISO27001: 2013信息技术-安全技术-信息安全管理体系-要求》和《ISO20000-1: 2018 信息技术-服务管理体系-要求》国际标准的工作,建立、实施和持续改进文件化的信息安全与信息技术服务管理体系,制定了《信息安全与信息技术服务管理手册》(以下简称为“手册”)。
ISO20000概述、主要内容、实施步骤
目录一、ISO/IEC20000概述 (1)二、ISO/IEC20000主要内容 (2)三、ISO/IEC20000实施步骤 (4)一、ISO/IEC20000概述目前,全球的IT服务业正逐渐走向专业化和外包化。
随着企业和政府组织的业务运作越来越依赖于IT,越来越多的组织考虑将其IT服务运营外包给专业的IT服务提供商或对内部的IT支持部门提出更明确的服务要求,以确保提高服务质量,降低服务成本,降低因IT服务中断所导致的业务风险。
如何控制IT服务的整体风险(无论是内部还是外部)、提高IT整体服务水平是一个需要高度重视的问题,而ISO/IEC20000就是解决该问题的一个很好的指南。
ISO20000由国际标准化组织(ISO)和国际电工委员会(IEC)于2005年12月发布,是IT服务管理领域的第一个国际标准。
它源自英国国家标准BS 15000。
2001年,英国标准协会(BSI)在国际IT服务管理论坛(it SMF)年会上正式发布了以ITIL为基础的IT服务管理英国国家标准BS15000。
BS15000是世界上第一个针对IT服务管理的国家标准。
它提出了一系列相对独立又彼此关联的服务管理所需要的流程。
2002年BS15000被提交给ISO,申请成为IT服务管理国际标准。
2005年5月,ISO通过快速通道的方式批准了ISO20000的标准决议,并于2005年12月15日正式发布ISO/IEC20000。
ISO/IEC20000适用于IT服务提供商,不限于其所在行业和规模大小,但是,ITGov专家建议小规模企业实施ISO 9000认证更适合。
从ISO/IEC20000的前身BS 15000 第一次出现,该标准的认证就非常迅速,尽管该标准的原型是在英国发展起来的,但是在全球范围内应用非常广泛,目前全球有近200家组织通过了认证,仅在我国就有中兴通讯、中国国际电子商务中心、深圳联友科技等近30家组织通过了认证。
02 ISO20000-2:2012
信息技术---服务管理--P:2012(中英文对照版) 版本:V1.0
目录 1 范围 SCOPE................................................................................................................................17 1.1 总则 GENERAL........................................................................................................................ 17 1.2 应用 APPLICATION ................................................................................................................ 17 2 引用标准 NORMATIVEREFERENCES ........................................................................................ 19 3 术语和定义 TERMSANDDEFINITIONS.................................................................................... 19 4.1 管理职责 MANAGEMENTRESPONSIBILITY .........................................................................20 4.1.1 管理承诺 MANAGEMENTCOMMITMENT ........................................................................20 4.1.2 服务管理方针 SERVICEMANAGEMENTPOLICY...............................................................27 4.1.3 职责、权限和沟通 AUTHORITY,RESPONSIBILITYANDCOMMUNICATION ..................28 4.1.4 管理者代表 MANAGEMENTREPRESENTATIVE .................................................................29 4.2 其他相关方的流程治理 Governance of processes operated by other parties .......................31 4.2.1 其他相关方流程治理指引 Guidance on processes operated by other parties ....................31 4.2.2 其他相关方 OTHERPARTIES............................................................................................. 32 4.2.3 职责和权限的示例 DEMONSTRATIONOFACCOUNTABILITYANDAUTHORITY............32 4.2.4 流程绩效和合规性 PROCESSPERFORMANCEANDCOMPLIANCE ................................33 4.2.5 决定流程的绩效和合规性 DETERMININGPROCESSPERFORMANCEANDCOMPLIANCE ............................................................................................................................... ......................... 34 4.2.6 对 流 程 改 进 的 规 划 和 优 先 级 实 施 控 制 CONTROLLING THE PLANNING AND PRIORITIZATIONOFPROCESSIMPROVEMENTS ............................................................................ 34 4.3 文件管理 DOCUMENTATIONMANAGEMENT.......................................................................34 4.3.1 建立和维护文件 ESTABLISHANDMAINTAINDOCUMENTS ...........................................34 4.3.2 文件控制 CONTROLOFDOCUMENTS..............................................................................35
IT服务管理体系国际标准ISO20000标准介绍
IT服务管理体系国际标准ISO20000标准
ISO/IEC20000是一个关于IT服务管理体系的要求的国际标准,它帮助识别和管理IT服务的关键过程,保证提供有效的IT服务满足客户和业务的需求。
ISO20000,共分为两部分:
ISO/IEC 20000-1 Information technology-Service management Part-1:Specification(信息技术服务管理标准规范,认证要求)
ISO/IEC 20000-1 Information technology-Service management Part-2:Code of practice(信息技术服务管理最佳实践) 在ISO20000中的信息安全管理部份,以ISO27002/ISO27001为参考规范。
在企业组织ISO20000的实施范围不大于 ISO27001/ISO27002 实施的范围的情况下,若该组织/企业已通过ISO27001认证,则该企业组织的ISO20000中信息安全管理部份也将符合标准。
ISO20000标准包括了5大过程,13个管理面,150多个核心控制点,如下:
(1)服务交付过程
> 服务等级管理
> 服务报告
> 能力管理
> 服务持续性与可用性管理
> 信息安全管理
> IT 服务预算编制与会计核算(2)控制过程
> 配置管理
> 变更管理
(3)发布过程
> 发布管理
(4)解决过程
> 事故管理
> 问题管理
(5)业务过程
> 业务关系管理
> 供应商管理。
ISO20000体系文件-IT服务管理(ITSM)-二级-公司信息中心变更管理策略
ISO20000体系文件-IT服务管理(ITSM)-公司信息中心变更管理策略修订记录目录1 文档介绍 (4)2 概述 (4)3 范围 (5)4 定义 (5)4.1 紧急变更 (5)4.2 标准变更 (5)4.3 常规变更 (5)5 变更处理策略 (5)5.1 标准变更 (6)5.2 紧急变更 (6)5.3 变更实施、实施后评审及改进 (6)6 流程接口 (7)6.1 配置管理 (7)7 持续改进 (8)1 文档介绍变更管理策略作为变更管理的指导性文档,阐述了变更管理的角色和职责,定义了变更管理的范围和基本概念。
变更管理策略每年需要进行定期回顾,并在需要的时候进行不定期的回顾。
如有需要,变更管理策略将进行修改。
变更管理策略的修改必须得到变更主管的同意。
2 概述变更是指对于被管理的IT系统中某对象所进行的修改。
变更管理是对变更从提出、审议、批准到实施、完成的整个过程的管理,其目标是确保使用规范的方法和过程实现快速、有效的变更过程,减少变更带来的突发事件,促进日常工作的正常进行。
变更管理主要包括的任务:●发起和记录变更请求●评估变更的影响,费用,利益和风险●获得变更的有效批准●管理变更的实施●监控和报告变更的完成●关闭变更请求实施变更后,必须监视受影响的组件,以便确保它们能达到预期目的,而且能够满足或超过用户满意度。
如果实施的变更对IT 环境或用户造成不利影响,则必须通知变更管理员并采取适当的措施,包括恢复备份,取消变更。
3 范围变更管理范围覆盖那些为提供用户申请而需要管理的IT组件,主要包括各种硬件设施及策略更新,覆盖XX公司信息中心的信息基础设施和公共应用服务。
具体变更参见《变更分类》。
4 定义4.1 紧急变更紧急变更指的是如果不进行变更,会立即或正在严重影响业务运行、导致严重影响服务等级或者带来重大社会影响的变更,紧急变更的实施往往无法获得足够的相关人员的参与和充分的测试,因此针对紧急变更需要采取特别的紧急处理流程。
ISO20000体系文件-IT服务管理(ITSM)-二级-公司信息中心信息安全管理策略
ISO20000体系文件-IT服务管理(ITSM)-公司信息中心信息安全管理策略修订记录目录1 文档介绍 (4)1.1 文档简介 (4)1.2 文档目标 (4)2 概述 (4)3 信息安全管理基本原则 (4)4 公司层面相应法规和业务需求 (5)5 信息安全管理体系策略 (6)5.1 生命周期管理策略 (6)5.2 安全管理组织和管理层策略 (8)5.2.1目的 (8)5.2.2范围 (8)5.2.3策略 (8)5.3 安全资源管理策略 (9)5.4 安全突发事件管理策略 (9)5.5 安全管理流程持续改进策略 (10)1 文档介绍1.1 文档简介本文档描述了XX公司信息中心在信息安全管理上所必须遵循的策略,包括信息安全管理的目标和范围,管理基本原则,XX公司的相应策略和法规,并对信息安全管理的生命周期所包含的基本概念和流程进行定义,为信息安全管理的计划、流程及相关活动明确其所应遵循的方向和目标,以及相应活动的执行频率、资源和时间限制等原则性规定。
1.2 文档目标本文档是XX公司信息中心实施信息安全管理的蓝本和指导思想,能够为管理层提供管理的方向和行动指南,本文档建议查阅者是与信息安全管理相关的所有技术与管理人员。
通过实施本文档,可以保证IT服务管理使用标准的方法和步骤有效而迅速的处理各种与安全相关的问题,识别并跟踪组织内任何安全授权访问。
最终在所有的服务活动中有效地管理信息安全。
2 概述信息安全管理是信息安全的根本原则和总体目标,主要内容是阐述XX公司对信息中心信息安全工作的总体要求和目标展望,作为信息中心既要负责公司本部等9个单位的信息安全管理,又要为全省信息安全工作提供支持。
其信息安全管理的目标是:●注重信息安全建设的规范化,构建信息安全防护体系;●在保障业务系统正常运行和处理性能的基础上,开展信息安全保障工作;●提高员工整体的信息安全意识,提高信息系统技术维护人员的安全技能水平和规范操作意识;●培养出一批专业的信息安全管理和技术人员,为信息中心信息化的健康、持续发展提供储备力量。
iso20000体系介绍及认证讲解
ITIL V3 (2007>)
关注于服务
► 2007: (May) ITIL V3 从IT服务 的五个生命周期角度进 行整合和描述.
ISO20000 IT服务管理体系简介
--什么是ISO20000
ISO20000是国际标准组织基于IT服务管理最佳实践提出的一套IT服务管理标准。 它从服务的视角出发,将IT服务归纳为13个管理流程,并结合ISO体系的PDCA循 环,形成一套IT服务管理的标准要求。ISO20000标准体系是基于ITIL最佳实践 与BS15000英标体系进行构建的,并于2005年12月由ISO组织发布的第一部具有 国际权威性的IT服务管理体系标准。
专业资格
►国际注册信息系统审计师(CISA) ►注册信息系统安全专家 (CISSP) ►注册内部审计师 (CIA) ►ITIL V3 Foundation 认证
中钞信达体系认证项目
► 明确目标:拿证 or 落地 ► 有的放矢:审核员的关注点 ► 端正态度:与审核老师的沟通 ► 心态放好: ISO20000 与 ISO27001 认证的通过情况 ► 项目进度说明
► 确保事件像处理紧急变更一样进行处理 ► 快速地诊断事件发生的潜在原因 ► 在事件发生后尽快地恢复正常的服务运作 ► 以上三项都是
主标题
练习题
► 下列哪项活动属于事件管理的职责?
► 变更在基础架构中的应用 ► 检测事件产生的原因 ► 识别事件背后的潜在问题 ► 事件的排除
主标题
练习题
► “已知错误(Known Error)”与“问题”在 ISO20000中的不同之处表现在哪些方面?
上线前审阅、上线发布、上线后审阅 发布记录:流程涉及人员、发布计划、
关联的变更、状态、关键节点时间
ISO20000管理体系在数据中心的实践(一)
ISO20000管理体系在数据中心的实践(一)今天的主要内容是从运营管理总纲、文件管理及培训管理三个方面来分析ISO20000管理体系在数据中心的实践。
运营管理总纲一、概述1.总纲的定位《运营管理体系总纲》是数据中心IT运营管理体系(整合了ISO20000、ISO27001等多个管理体系的整合管理体系)的纲领性文件。
该文件中明确了管理体系的目标、方针、管理范围、相关方职责、体系的策划、体系的实施与运行、体系的监督与评审、体系的维护与改进、管理评审、管理承诺、服务架构、组织架构、流程架构、文件架构等。
2.建设背景及发展历程建设背景:总纲文件应根据ISO20000、ISO27001国际标准及数据中心服务能力成熟度模型国家标准等要求建立并完善。
二、持续改进1.近三年的持续改进简述(1)2012年,根据ISO20000国际标准要求,建立总纲文件。
(2)2013年,根据ISO27001国际标准要求,补充修订总纲文件。
(3)2015年至今,根据实际运行经验,优化完善总纲文件。
2.遇到的问题风险和处置措施风险:无。
处置措施:无。
3.未来展望根据组织发展,将新要求及时纳入总纲要求之中。
文件管理一、概述1.文件管理的定义和目标文件管理是指对文件进行使用、分类、检索、存储、传输和销毁的管理。
文件管理的目标是通过对文件的分类、存储,达到快速检索出所需要的信息,确保数据中心的各项生产运维活动所需信息的提供,并对生产运维活动中所产生的有价值的信息的复用,以提高工作效率、规范运维操作及经验的传承。
为规范数据中心各类文件管理,对数据中心文件采用分类、分级的管理方式。
根据文件的编制单位/部门,把数据中心的文件分为内部文件和外来文件:内部文件是指数据中心编制的、对数据中心运营管理产生影响的文件;外来文件是指非数据中心编制的、会对数据中心运营管理产生影响的规定或要求,包括但不限于法律法规、国家标准、行业标准、监管要求及A银行其他组织发布的文件,也包含公文。
ISO20000概述、主要内容、实施步骤
目录一、ISO/IEC20000概述 (1)二、ISO/IEC20000主要内容 (2)三、ISO/IEC20000实施步骤 (4)一、ISO/IEC20000概述目前,全球的IT服务业正逐渐走向专业化和外包化。
随着企业和政府组织的业务运作越来越依赖于IT,越来越多的组织考虑将其IT服务运营外包给专业的IT服务提供商或对内部的IT支持部门提出更明确的服务要求,以确保提高服务质量,降低服务成本,降低因IT服务中断所导致的业务风险。
如何控制IT 服务的整体风险(无论是内部还是外部)、提高IT整体服务水平是一个需要高度重视的问题,而ISO/IEC20000就是解决该问题的一个很好的指南。
ISO20000由国际标准化组织(ISO)和国际电工委员会(IEC)于2005年12月发布,是IT服务管理领域的第一个国际标准。
它源自英国国家标准BS 15000。
2001年,英国标准协会(BSI)在国际IT服务管理论坛(it SMF)年会上正式发布了以ITIL为基础的IT服务管理英国国家标准BS15000。
BS15000是世界上第一个针对IT服务管理的国家标准。
它提出了一系列相对独立又彼此关联的服务管理所需要的流程。
2002年BS15000被提交给ISO,申请成为IT服务管理国际标准。
2005年5月,ISO通过快速通道的方式批准了ISO20000的标准决议,并于2005年12月15日正式发布ISO/IEC20000。
ISO/IEC20000适用于IT服务提供商,不限于其所在行业和规模大小,但是,ITGov专家建议小规模企业实施ISO 9000认证更适合。
从ISO/IEC20000的前身BS 15000 第一次出现,该标准的认证就非常迅速,尽管该标准的原型是在英国发展起来的,但是在全球范围内应用非常广泛,目前全球有近200家组织通过了认证,仅在我国就有中兴通讯、中国国际电子商务中心、深圳联友科技等近30家组织通过了认证。
ISO20000实例文件-可用性和连续性管理规范-模板2
6相关政策
在客观环境变化时,进行该计划的修正后并进行测试。
进行计划修订时,该变更要走变更管理流程,同时做好测试记录。
重大变更后,应当对变更组件所影响的服务进行基于“连续性、可用性”的评价。
对不可用情况的发生,应当跟踪并查明原因(纳入事件/问题管理流程进行处理也可以)。
服务连续性计划、联系人名单、CMDB,应当采用相应的保护措施,适当进行异地备份。
4.1.4IT服务可用性监测
按照服务级别协议约定的监测机制进行可用性数据的记录和统计。连续性、可用性的保证应当同SLA承诺的要求相一致。
5衡量指标
序号
衡量指标
指标计算说明
1
IT服务连续性计划之外的服务数量
不包含在IT服务连续性计划和IT服务连续性风险控制表之内的任何服务都是有风险的。
2
IT服务连续性计划完成延误天数
是一个业务风险的度量,以天数计算。
3
服务停止的分钟数
停工期,在合同规定时间内服务不可用时长(分钟)。
4
事件响应时长(分钟)
事故探明之后,最初的修复行动开始之前的时间。可以是一套数值表,也可以取平均值。
5
事件恢复时长(分钟)
工程师受理事件到事件解决所耗费的时间。
6
MTTR(事件平均恢复时长)(分钟)
与事件、故障相关的停机/故障/修复时间,指对于用户来说系统的不可用时间。可以是一套数值表,也可以取平均值。
平均恢复时间=发现故障时间+响应时间+恢复时间。
7
事件解决时长(分钟)
甲方或乙方服务台完成事件记录到事件解决所耗费的时间,即发现事故之后直到恢复完成的时间。
解决时间=响应时间+恢复时间
ISO20000-2018信息技术服务和信息安全管理体系二合一管理手册(升级版)
××××××有限公司信息安全与信息技术服务管理手册文件编号:MC-ITISM-01(A0)(依据ISO27001: 2013/ISO20000-1: 2018标准编制)编制:审核:批准:××××××有限公司发布修订履历目录0.1 颁布令 (5)0.2 管理者代表授权书 (6)0.3 企业概况 (7)0.4 手册的管理 (8)1 范围 (9)2 规范性引用文件 (9)3 术语和定义 (10)4 组织环境 (11)4.1 理解组织及其环境 (11)4.2 理解相关方的需求和期望 (11)4.3 确定管理体系的范围 (12)4.4 信息安全管理体系 (13)4.5 信息技术服务管理体系 (13)5 领导 (15)5.1 领导和承诺 (15)5.2 方针 (16)5.3 组织角色、职责和权限 (16)6 策划 (17)6.1 应对风险和机会的措施 (17)6.2 管理目标及其实现策划 (19)6.3 策划信息技术服务管理体系 (19)7 支持 (20)7.1 资源 (20)7.2 能力 (20)7.3 意识 (20)7.4 沟通 (21)7.5 文件化信息 (21)8 运行 (23)8.1 运行策划和控制 (23)8.2 信息安全风险评估与信息技术服务组合 (23)8.3 信息安全风险处置与关系、协议管理 (26)8.4 供应与需求 (28)8.5 服务设计、构建与转换 (29)8.6 解决与完成 (32)8.7 服务保障 (34)9 绩效评价 (36)9.1 监视、测量、分析和评价 (36)9.2 内部审核 (37)9.3 管理评审 (38)9.4 信息技术服务报告 (39)10 改进 (39)10.1 不符合及纠正措施 (39)10.2 持续改进 (40)附录A组织机构图 (41)附录B 信息安全与信息技术服务管理职责表 (41)附录C 办公区域平面图 (43)附录D 信息安全与信息技术服务管理职责分配表 (44)附录E 方针和目标 (46)E.1 信息技术服务管理方针和目标 (46)E.2 信息安全管理方针和目标 (47)0.1 颁布令为提高××××××有限公司的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,以及规范我公司IT信息技术服务管理,提供满足顾客要求的信息技术服务,我公司开展贯彻《ISO27001: 2013信息技术-安全技术-信息安全管理体系-要求》和《ISO20000-1: 2018 信息技术-服务管理体系-要求》国际标准的工作,建立、实施和持续改进文件化的信息安全与信息技术服务管理体系,制定了《信息安全与信息技术服务管理手册》(以下简称为“手册”)。
ISO20000标准及服务介绍
赛宝科技服务ISO20000 IT服务管理业务介绍一、背景:信息,与能源和物质作为人类赖以生存和发展的3大资源之一,已经成为现代社会发展的基础。
信息技术作为信息使用和传播的手段,经过几十年的发展,已经成为现代社会发展的重要驱动因素。
现代信息技术的发展给国家产业发展、企业运营和个人生活方式都带来的巨大的变化。
信息时代使我们面临着前所未有的机遇,新的信息交换方式大量涌现,新的信息服务形式在给人们带来便利和效率的同时,也对信息技术管理本身的带来了前所未有的挑战。
服务容定义不清晰、服务方法不规、服务响应不及时、IT人员流动、变更失控等一系列问题一直在困扰着我们。
如何在享受信息技术给我们带来便利和效率的同时,避免或降低信息技术使用的风险,提高对信息技术的管理能力,已经成为社会各阶层需要面对并解决的问题。
IT服务管理正是在这样一个背景下产生的。
信息技术的发展大概经历了三个阶段:以技术设备投入为主的第一阶段;以单独系统流程建设为主体的第二阶段;现在信息技术已成为一种支撑业务发展的关键服务手段,信息技术经历了从技术主导到服务主导的转变。
随着信息技术的发展和信息使用方式的扩展,使用传统方式管理信息技术已经不能满足要求。
大量实践表明,IT系统生命周期中80%时间处于运行维护周期,100%的效益发生在系统投入使用后的运维期间,但运维期间资源投入却不到整个系统投入的20%,形成了重建设,轻运维的格局。
经过多年的总结和实践,人们普遍认识到只有做好系统运行维护,才能真正发挥系统效益,使用管理体系的方式管理信息系统的运行和维护正是在这样的大背景下产生的。
二、目前IT服务管理面临的主要问题:1、IT系统规模膨胀,管理难度直线上升从局域网到广域网再到无线网络、系统平台多样化并不断升级、软件来源多样、数据类型千差万别,IT系统规模呈爆炸式增长。
系统复杂程度的增加导致管理难度急剧上升。
2、以技术为中心,而不是以业务为中心目前,对信息技术的应用还主要通过设备和系统的投入为主。
ISO20000管理体系在数据中心的实践(二)
ISO20000 管理体系在数据中心的实践(二)设计和转换新的或变更的服务一、概述 1.新变更服务管理的定义和目标(1)定义顾名思义,新变更服务管理流程是以服务为标的物,对其的新增、变更和移除进行有效管控以最大化组织利益、满足客户当前需求的过程。
新服务或变更的服务的实施(包括服务终止),应该进行策划并经过变更管理者的正式审批。
在银行业中,服务的生命周期可以分为需求、开发、测试、实施、运维和优化等多个阶段。
由于行业特色以及监管要求等若干因素所限,服务的开发与运维阶段可能所属于两个独立部门,数据中心作为实施与运维服务的组织,并未参与到开发等前置环节之中。
因此,基于数据中心的新/变更服务的识别应该后移至实施阶段。
(2) 目标本流程旨在及时识别组织为客户新增的IT 服务或原有IT 服务的调整变化,以确保组织与客户之间对服务的能力判定一致,灵活应对客户需求的变化。
确保在成本和质量的约束条件下,管理并交付新服务或变更的服务。
在常见的新变更服务中,其往往依托于一个或若干个项目。
同时,服务的管理过程与项目管理的要素存在许多共通之处,因此可以采用项目管理的先进方式对服务同步进行管控。
2.建设背景及发展历程(1)建设背景根据ISO20000 国际标准要求,建立新变更服务管理流程。
(2)发展历程2012 年,根据ISO20000 国际标准要求,建立新或变更的服务管理流程。
2013 年,完善新或变更的服务管理流程,并将其更名为新变更服务管理流程。
2014 年至今,根据实际运行经验,优化完善流程部分细节。
二、流程及运作 1.角色和职责角色包括新变更服务流程负责人、服务上线经理、服务下线经理、服务级别经理、服务技术经理和服务牵头部门。
具体职责如下: 新变更服务流程负责人由生产调度中心(项目管理牵头)指定人员担任,责本管理领域规章制度的设计、推广、监督和改进负责回顾新变更服务。
服务上线经理由生产调度中心指定人员担任,负责根据新系统部署方案识别新服务,请示确定新服务的牵头部门,并负责协调组织新服务上线。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISO20000管理体系在数据中心的实践(二)设计和转换新的或变更的服务一、概述1.新变更服务管理的定义和目标(1)定义顾名思义,新变更服务管理流程是以服务为标的物,对其的新增、变更和移除进行有效管控以最大化组织利益、满足客户当前需求的过程。
新服务或变更的服务的实施(包括服务终止),应该进行策划并经过变更管理者的正式审批。
在银行业中,服务的生命周期可以分为需求、开发、测试、实施、运维和优化等多个阶段。
由于行业特色以及监管要求等若干因素所限,服务的开发与运维阶段可能所属于两个独立部门,数据中心作为实施与运维服务的组织,并未参与到开发等前置环节之中。
因此,基于数据中心的新/变更服务的识别应该后移至实施阶段。
(2)目标本流程旨在及时识别组织为客户新增的IT服务或原有IT服务的调整变化,以确保组织与客户之间对服务的能力判定一致,灵活应对客户需求的变化。
确保在成本和质量的约束条件下,管理并交付新服务或变更的服务。
在常见的新变更服务中,其往往依托于一个或若干个项目。
同时,服务的管理过程与项目管理的要素存在许多共通之处,因此可以采用项目管理的先进方式对服务同步进行管控。
2.建设背景及发展历程(1)建设背景根据ISO20000国际标准要求,建立新变更服务管理流程。
(2)发展历程2012年,根据ISO20000国际标准要求,建立新或变更的服务管理流程。
2013年,完善新或变更的服务管理流程,并将其更名为新变更服务管理流程。
2014年至今,根据实际运行经验,优化完善流程部分细节。
二、流程及运作1.角色和职责角色包括新变更服务流程负责人、服务上线经理、服务下线经理、服务级别经理、服务技术经理和服务牵头部门。
具体职责如下:新变更服务流程负责人由生产调度中心(项目管理牵头)指定人员担任,责本管理领域规章制度的设计、推广、监督和改进,负责回顾新变更服务。
服务上线经理由生产调度中心指定人员担任,负责根据新系统部署方案识别新服务,请示确定新服务的牵头部门,并负责协调组织新服务上线。
服务下线经理由生产调度中心指定人员担任,负责协调组织服务下线。
服务级别经理由服务管理部指定人员担任,负责维护服务目录中的服务信息。
也就是服务级别管理的角色。
服务技术经理由技术管理部(技术牵头部门)指定人员担任,负责编制待投产系统部署方案,负责技术审核服务下线处置方案。
服务牵头部门由各技术部门(各服务运维部门)担任,负责识别新服务上线、服务下线及服务变更的要求。
2.新变更服务管理流程的流程环节和关键活动介绍(流程的触发、输入和输出)新变更服务管理流程包括的主要活动(1)新服务上线·识别新服务服务上线经理应通过待投产新系统清单或待投产系统部署方案识别新服务。
·识别新服务要求对于识别出的新服务,服务上线经理应与软件开发中心项目管理部确认该服务的服务牵头部门,确认后由服务上线经理通知服务牵头部门。
·计划新服务为满足服务要求,服务牵头部门应通过变更管理流程完成计划新服务,计划的内容应至少包括相关活动和角色职责、资源需求、时间安排、预期结果和接收准则等,可在变更方案中体现上述信息。
·新服务测试服务牵头部门应遵循变更管理流程要求,测试新服务,确保新服务的正常实施。
·新服务投产服务牵头部门应通过变更管理流程完成对新变更服务投产准备和投产上线。
·新服务验证服务需求方应通过变更管理流程验证新服务的上线是否成功。
·回顾新服务服务上线经理每年对新服务进行回顾,并在执行报告中体现回顾内容。
(2)服务下线·服务下线申请及受理各业务部门可根据业务需求提交相关信息系统的下线申请(含数据保留期限意见);各服务牵头部门可根据信息系统运行情况提交相关信息系统的下线申请。
生产调度中心负责受理服务下线申请并指派服务下线经理,组织业务部门及技术部门识别服务下线要求。
·服务下线可行性评审服务下线经理组织服务所属业务部门、服务牵头部门及相关技术部门等相关方进行服务下线可行性评审,公示可行性评审结果。
·下线处置方案编制、测试、审核和公示针对将要下线的服务应通过制定服务下线处置方案明确下线审核、关联关系梳理、下线实施和相关资源回收管理等相关活动安排。
服务下线经理负责组织服务下线处置方案编制,内容应至少包括相关活动和角色职责、资源需求、时间安排和预期结果等。
服务牵头部门及相关技术部门对于具备测试条件的下线处置方案应进行测试,确保服务下线能达到的预期结果。
服务技术经理技术审核服务下线处置方案,服务下线经理公示服务下线处置方案。
·下线实施服务牵头部门及相关技术部门应通过变更管理流程完成对服务下线的准备和实施。
·服务下线验证服务所属业务部门或服务牵头部门应通过变更管理流程验证服务的下线是否成功。
·回顾服务下线服务下线经理每年回顾服务下线,并在执行报告中体现回顾信息。
(3)服务变更·各部门可根据信息系统运行情况通过数据中心IT运维流程管理平台提交服务信息变更申请,服务信息变更申请须经本部门负责人审批。
服务管理部负责受理信息服务变更申请并指派服务级别经理。
·服务级别经理组织对申请变更的服务信息评估审核。
·服务信息变更申请审批通过后,服务级别经理修改服务目录中相关服务信息。
(4)流程触发在项目需求阶段无法有效识别是否应作为一个独立服务,因此需要数据中心技术牵头部门在对每个项目的实施方案加以评估的过程中发现新增服务,在实施部署方案中加以明确,从而使服务上线经理能够及时准确地识别新增服务。
对于现有服务的变更,一般分为现有服务的调整以及现有服务的终止两类情况。
服务牵头部门发现当前服务信息与已记录在服务目录中的服务信息不一致时,应告知服务级别经理,从而触发服务的调整。
数据中心各部门以及客户(各业务部门)可以依据当前服务的使用状况或者针对服务的未来规划向服务下线经理提出服务终止的申请。
输入包括待投产新系统清单、待投产系统部署方案、系统下线申请和服务信息更新申请等。
(5)输出包括的内容更新服务信息后的服务目录,新变更服务管理流程执行报告。
3.新变更服务管理流程与其他流程的接口或集成本流程的主要接口为服务级别管理流程。
新变更服务管理流程是服务级别管理流程所管理的服务目录中服务信息的新增、修订和删除的主要来源。
4.新变更服务管理流程的运作机制新变更服务管理流程由本流程负责人负责该流程的策划、监督、执行及改进。
在执行过程中由服务上线经理、服务下线经理以及服务级别经理负责新增服务、服务终止以及服务变更。
5.新变更服务管理流程管理工具的介绍目前服务上线部分,将新服务识别后的新服务要求和计划新服务动作通过工具(数据中心IT运维流程管理平台新变更服务模块)进行管理,采集信息更加准确且各角色之间工作流更加清晰明确。
当服务上线经理识别到新服务后,在工具中创建相应服务。
同时将任务分派给技术经理以及服务牵头部门,由其负责补充相关服务信息。
在服务信息均已明确后,再通过工具经过流程负责人审核输出至服务级别管理流程的工具。
服务下线同样通过工具,将服务下线的申请受理及后续的主线流程工具化管理。
服务变更流程暂时嵌套在服务级别管理流程工具之中。
服务牵头部门针对服务目录中的服务可以提出信息变更申请,经各方确认后通过审批才能实现调整。
三、绩效管理1.指标设置无。
2.考核无。
3.新变更服务管理流程的文化建设新变更服务管理流程的建立,提供了一条清晰有效的维护服务目录的路径,使得数据中心服务目录的调整均有规可依。
四、持续改进1.近三年的持续改进简述由于服务牵头部门由归属数据中心调整为软件中心派驻数据中心工作,因此确定服务牵头部门的方式由原来的请示数据中心总经理室调整为与软件中心进行部门间的沟通确认。
2.遇到的问题风险和处置措施(1)风险:新服务的定位在具体实施前有可能发生调整。
处置:随时与技术管理部保持沟通,在服务上线前反复确认。
(2)风险:服务变更的来源可能为非服务牵头部门。
处置:在确认服务变更之前,必须与技术管理部、服务牵头部门确认。
各方均无异议后方可进行调整,如技术管理部与服务牵头部门意见不一致,以协调方式为主,建议采纳技术管理部门的意见。
3.未来展望伴随着银行业务模式的快速发展,新服务上线,原有服务变更、终止的频率将显著提升。
合理有效的新变更服务管理流程可以在保证准确性的同时,第一时间响应服务的变化,提升客户满意度。
服务级别管理一、概述1.服务级别管理的定义和目标(1)定义服务级别管理是指对一个组织的服务质量(QoS)的关键绩效指标(KPI)的监视和管理,是定义、协商、订约、检测和评审提供给客户的服务的质量水准的流程。
有关所提供的服务和这些服务的质量水准都被记录在服务级别协议中。
服务级别协议规定了服务双方各自的责任、权利和义务,是IT服务成功运作的重要保障。
(2)目标服务级别管理的目标:按照业务需要及成本考虑,与客户协商一致,明确职责和IT服务内容,实现责权相匹配;界定服务标准,实现服务可量化;通过相互承诺和约束,提升服务感知,规范和提高IT运维服务水平。
2.建设背景及发展历程(1)建设背景:根据SO20000ISO27001国际标准要求,建立服务级别管理流程。
(2)发展历程·2012年,根据ISO20000国际标准要求,建立服务级别管理流程。
·2013年,根据ISO27001国际标准要求,完善服务级别管理流程。
·2014年至今,根据实际运行经验,优化完善流程部分细节,例如修订服务目录和服务级别协议的工作流程等。
二、流程及运作1.角色和职责角色包括服务级别管理流程负责人、服务级别经理、服务信息提供人和服务指标管理员。
(1)服务级别管理流程负责人的主要职责是本管理领域制度的设计、推广、监督、回顾和改进,服务目录和服务级别协议的审核。
(2)服务级别经理的主要职责是规划设计服务目录框架、更新发布服务目录、组织进行服务信息核准、组织相关部门评估确认服务级别协议内容、组织签署和发布服务级别协议、监督并向客户报告服务执行情况。
(3)服务信息提供人的主要职责是保障服务目录信息及时准确。
(4)服务指标管理员的主要职责是指标设计与评估、监督和向数据中心报告所负责指标的达成情况。
2.服务级别管理流程的流程环节和关键活动介绍(流程的触发、输入和输出)(1)服务级别管理包括服务目录管理和服务级别协议管理。
服务目录管理包括服务目录的架构设计和服务信息的维护、发布;服务级别协议管理包括服务协议的编制、协商和签署,服务指标的评估和监控,服务报告的编写和发布。
(2)流程触发:由新变更流程和服务信息变化触发,包括新服务上线、服务下线和服务信息变更等。