ISO IEC20000-1-2018信息技术服务管理体系管理手册及程序文件

文件和记录管理程序样式编号编制审核批准密版级本内部V1.0发布日期信息技术有限责任公司变更履历序版本更改处·更改内容更改人/ 日期审核人/ 日期批准人/ 日期号1 V1.0 新建123目录1.................................................................................................................................................... 简介31.1 目的 (3)1.2 适用范围 (4)1.3 术语表 (4)1.4 引用文件 (4)2 职责 (4)2.1 主管副总经理 (4)2.2 技术服务事业部 (4)2.3 各个小组 (4)3 文件的管理 (5)3.1 范围 (5)3.2 文件的编写 (5)3.3 文件的批准 (6)3.4 文件的发放 (6)3.5 文件的修改 (6)3.6 文件的评审 (6)3.7 文件的存档 (7)3.8 文件的作废 (7)3.9 书面形式文件的管理 (7)3.10 电子形式有效文件的管理 (7)3.11 外来文件、资料的管理 (8)4 记录的管理 (8)4.1 记录的产生 (8)4.2 记录的存档 (8)5............................................................................................................................ 输出的文件和记录91 简介1.1 目的对公司与IT 服务管理体系相关的文件和记录进行管理，确保文件和记录的有效使用。

1.2 适用范围1.1.1 适用于公司内部与IT 服务管理体系相关的所有文件和记录的管理。

1.3 术语表文件描述进行过程活动所规定的途径、方法或要求的内容，用以提供过程活动的指导、规范、沟通或培训的作用。

ISO IEC20000-1-2018信息技术服务管理服务管理体系管理手册文件编号：修订状态：A/0 服务管理体系手册文件版本： A 受控状态：受控发布实施日期：2020- 03 -26 密级：内部公开XXXX有限公司0概述0.1手册管理0.2发布令0.3公司简介0.4管理者代表任命书1 范围1.1 总则1.2 应用2 规范性引用文件3 术语和定义3.1 有关管理系统标准的术语4 组织环境4.1 理解组织及其环境4.2 理解相关方的需求和期望4.3 确定服务管理体系范围4.4 服务管理体系5 领导作者：李柏伦翻版盗卖必追究责任创作日期：20200327 5.1 领导和承诺5.2 方针5.1.1 制定服务管理方针5.1.2 沟通服务管理方针5.3 组织的角色，责任和权限6 策划6.1 应对风险和机遇的措施6.2 服务管理目标及其实现策划6.2.1 制定目标6.2.2 策划实现目标6.3 策划服务管理体系7 支持作者：李柏伦翻版盗卖必追究责任创作日期：20200327 7.1 资源7.2 能力7.3 意识7.4 沟通7.5 成文信息7.5.1 总则7.5.2 创建和更新7.5.3 成文信息的控制7.5.4 服务管理系统成文信息7.6 知识8 运行作者：李柏伦翻版盗卖必追究责任创作日期：20200327 8.1 运行策划和控制8.2 服务组合8.2.1 服务交付8.2.2 策划服务8.2.3 控制服务生命周期的相关方8.2.4 服务目录管理8.2.5 资产管理8.2.6 配置管理8.3 关系与协议8.3.1 总则8.3.2 业务关系管理8.3.3 服务级别管理8.3.4 供应商管理8.4 供应与需求8.4.1 服务预算与核算8.4.2 需求管理8.4.3 能力管理8.5 服务设计、构建与转换8.5.1 变更管理8.5.2 服务设计与转换8.5.3 发布与部署管理8.6 解决与完成8.6.1 事件管理8.6.2 服务请求管理8.6.3 问题管理8.7 服务保障8.7.1 服务可用性管理8.7.2 服务连续性管理8.7.3 信息安全管理9 绩效评价219.1 监视、测量、分析和评价9.2 内部审核9.3 管理评审9.4 服务报告10 改进10.1 不符合及纠正措施10.2 持续改进附件1：程序文件清单附件2：职责分配表附件3：组织架构图作者：李柏伦翻版盗卖必追究责任创作日期：202003270.概述0.1手册管理a）本手册由管理者代表审核、总裁批准发布实施；b）本手册适用于XXXX所有与IT服务业务有关的部门和员工；c）本手册分为“受控”和“不受控”两类；d）“受控”版本是现行有效版本，随XX内外环境的变化而修订。

信息技术服务管理体系容量流程管理办法文件编号：SM-020081.分发控制读者文档权限说明2.文件版本信息版本号修订变更描述日期审核批准V1.0 编写组全文3.文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。

文件版本小于1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。

目录1.概述 (1)1.1.目标 (1)1.2.范围 (1)1.2.1.流程适用范围 (1)1.2.2.流程管理范围 (1)2.角色和职责 (1)2.1.容量管理流程负责人 (1)2.2.容量经理 (2)2.3.容量管理员 (2)3.输入 (2)4.输出 (2)5.流程描述 (3)6.关键绩效指标（KPI） (4)7.流程质量控制 (4)8.与其它流程的接口 (5)9.术语定义 (6)10.附则 (6)1.概述1.1.目标1)使用恰当的资源，在恰当的时间，以恰当的成本提供恰当的服务；2)确保组织机构在任何时间拥有足够的能力以满足当前和未来业务的需求。

1.2.范围1.2.1.流程适用范围本流程适用于公司（以下简称“公司”）相关各部门。

1.2.2.流程管理范围范围内：IT系统服务器、网络、存储设备以及环境设施的容量管理；范围外：桌面系统的容量管理。

2.角色和职责容量管理流程涉及的角色包括：容量管理流程负责人、容量经理、容量管理员等。

容量管理流程负责人和容量经理可以由同一人担任。

各角色职责如下：2.1.容量管理流程负责人容量管理流程负责人从宏观上对流程运行情况进行监控，确保容量管理流程在各部门间被正确的执行。

当流程不能够适应公司实际情况时，流程负责人必须启动分析研究，找到解决方案并进行改进，实现流程的稳定运行和可持续提高。

具体职责包括：1)确定容量管理流程的衡量指标；2)确保容量管理流程能够取得管理层的参与和支持；3)确保容量管理流程符合公司实际状况和公司 IT发展战略；4)总体上管理和监控流程，建立容量管理流程实施、评估和持续优化机制；5)确保容量管理流程有效、正确地执行，当流程不能够适应公司的情况时，必须及时进行分析、找出缺陷、进行改进，从而实现可持续提高；6)保持与其他流程负责人的定期沟通。

信息技术服务管理体系配置流程配置项管理规定文件编号：SM-030021.分发控制2.文件版本信息3.文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。

文件版本小于1.0时，表示该版本文件为草案，仅可作为参照资料之目的。

1.概述.................................................................. 1..2.配置项的识别和定义...................................................... 1.2.1.配置项的范围...................................................... 1.22 配置项的属性...................................................... 1.2.3.配置项的生命周期.................................................. 1.2.4.配置管理数据库设计要求 (2)3.配置项的控制和维护...................................................... 3.4.配置状态验证和审计..................................................... 3.5.附则.................................................................. 3..1.概述本管理制度对《配置流程管理办法》中有关配置项的管理等相关内容进行详细说明，并用于指导技术部配置数据库CMD的使用和维护。

2.配置项的识别和定义配置流程负责人负责组织相关部门识别配置项的范围，制订配置项的命名和管理规范，确定用于构建、发布、验证、安装、分发、维护、恢复、移除配置项的硬件、软件及相关文档。

服务策划管理程序信息技术有限责任公司变更履历目录1简介 (4)1.1目的 (4)1.2适用范围 (4)1.3术语表 (4)1.4引用文件 (4)2职责 (4)2.1总经理 (4)2.2管理者代表 (4)2.3技术服务事业部 (5)2.4服务部 (5)2.5项目经理 (5)2.6商务部 (5)2.7销售部门 (5)3流程图 (6)4具体内容 (7)4.1服务售前 (7)4.2合同评审 (7)4.3服务管理策划 (7)4.4服务管理实施 (7)4.5服务管理监控、测量、改进 (8)4.6的文件和记录 (9)1 简介1.1目的针对公司承接IT服务的项目、合同或任务，确定质量目标，制定专门措施，配备相应的资源，对服务实现过程实施控制，确保在约定的成本和质量要求下交付服务。

1.2适用范围适用于本公司承接IT服务的项目、合同或任务实现过程的策划、实施、交付和管理活动控制。

1.3术语表•服务目录（SC）：有关可提供的服务及服务级别概要说明。

•服务级别协议（SLA）：由IT部门和客户之间签订的描述将要提供的一项或多项服务的一份协议。

•验证：确保本公司承接IT服务的项目、合同或任务实现过程、计划或其它可交付成果已经完成，并与设计规格准确、可靠和相符的活动。

•确认：确保本公司承接IT服务的项目、合同或任务实现过程、计划或其它可交付成果满足业务需求的活动，确认也能通过变更初始设计来保证满足业务需求。

1.4引用文件【1】《ISO/IEC 20000-1: 2018》【2】《ISO/IEC 9001-2015》【3】《IT服务管理手册》【4】《项目管理制度》2 职责2.1总经理负责公司IT服务业务发展战略决策。

2.2管理者代表根据公司IT服务战略、政策产业环境、业务状况，向公司总经理提供决策建议，协助公司总经理进行公司IT服务策略方面的管理工作。

2.3技术服务事业部组织服务产品、项目、合同实现策划，批准策划方案及实施计划。

**********科技股份有限公司信息技术服务手册ISMS-A**********有限公司ISO/IEC20000-1:2018服务管理体系ITSMS-A编制：审核：批准：日期：2019年5月5日目录01、颁布令----------------------------------------------------------------------------------602、管理者代表----------------------------------------------------------------------------603、企业概况-------------------------------------------------------------------------------704、信息技术服务方针-------------------------------------------------------------------905、手册的管理----------------------------------------------------------------------------101、适用范围-------------------------------------------------------------------------------102、规范性引用--------------------------------------------------------------------------------113、术语和定义--------------------------------------------------------------------------------114、组织背景-----------------------------------------------------------------------------13 4.1、组织现状及背景-----------------------------------------------------------------134.2、理解相关方的需求和期望-----------------------------------------------------144.3、确定服务管理体系的范围---------------------------------------------------------154.4、服务管理体系--------------------------------------------------------------------------165、领导力----------------------------------------------------------------------------------205.1、领导力和承诺-----------------------------------------------------------------205.2、方针-----------------------------------------------------------------------------215.3、角色、责任和承诺--------------------------------------------------------------216、计划--------------------------------------------------------------------------------------216.1、应对风险和机遇的措施--------------------------------------------------------226.2、服务管理实现的目标和计------------------------------------------------------246.3、策划服务管理体系--------------------------------------------------------------337、支持--------------------------------------------------------------------------------------357.1、资源--------------------------------------------------------------------------------357.2、能力--------------------------------------------------------------------------------357.3、意识--------------------------------------------------------------------------------367.4、沟通--------------------------------------------------------------------------------367.5、文件化信息-----------------------------------------------------------------------377.5.1、总则--------------------------------------------------------------------------377.5.2、创建和更新-----------------------------------------------------------------387.5.3、文件化信息的控制--------------------------------------------------------397.5.4、服务管理体系文档信息--------------------------------------------------397.6、知识------------------------------------------------------------------------------- 398、运行---------------------------------------------------------------------------------------408.1、运行策划及控制------------------------------------------------------------------408.2、服务组合---------------------------------------------------------------------------408.3、关系与协议------------------------------------------------------------------------438.4、供给与需求------------------------------------------------------------------------468.5、服务设计、开发和转换---------------------------------------------------------488.6、解决与实现------------------------------------------------------------------------528.7、服务保证---------------------------------------------------------------------------539、绩效评价--------------------------------------------------------------------------------559.1、监控、度量、分析和评价-----------------------------------------------------559.2、内部审核--------------------------------------------------------------------------569.3、管理评审--------------------------------------------------------------------------569.4、服务报告--------------------------------------------------------------------------5710、改进-------------------------------------------------------------------------------------5710.1、不符合及纠正措施-------------------------------------------------------------5710.2、持续改进-------------------------------------------------------------------------58附录：1、组织结构图-------------------------------------------------------------592、职能分配表-------------------------------------------------------------60手册修订记录0.1、颁布令为提高我公司的管理水平和服务水平，适应客户对公司运行服务高标准的需要和信息服务管理的需要，确保公司在稳定提供满足客户要求的服务及实现公司经济效益的最大化的同时满足适用法律法规要求，保障公司生产经营活动的正常进行，防止由于信息安全事件导致公司客户和业主及相关方的损失，我公司导入贯彻ISO/IEC20000-1:2018《服务管理体系要求》标准工作，建立、实施和持续改进文件化的信息服务管理体系，编制**********科技股份有限公司的《信息技术服务手册》。

ISO IEC20000-1-2018信息技术服务管理第一部分服务管理体系要求信息技术服务管理第一部分服务管理体系要求（ISO/IEC 20000-1:2018）2018-09-15 发布2018-09-15 实施目录前言 (i)引言 (iii)信息技术服务管理第一部分服务管理体系要求 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1有关管理系统标准的术语 (2)3.1.1 审计审核 (2)3.1.2能力 competence (2)3.1.3符合（合格） conformity (2)3.1.4持续改进 continual improvement (2)3.1.5纠正措施 corrective action (2)3.1.6成文信息 documented information (2)3.1.7有效性effectiveness (2)3.1.8相关方interested party (3)3.1.9管理体系 management system (3)3.1.10测量measurement (3)3.1.11监视 monitoring (3)3.1.12不符合nonconformity (3)3.1.13目标 objective (3)3.1.14组织organization (3)3.1.15外包 outsource, verb (4)3.1.16绩效performance (4)3.1.17方针 policy (4)3.1.18过程 process (4)3.1.19要求requirement (4)3.1.20风险 risk (4)3.1.21最高管理者 top management (5)3.2有关服务管理的术语 (5)3.2.1资产 asset (5)3.2.2配置项configuration item (5)3.2.3客户 customer (5)3.2.4外部供应商 external supplier (5)3.2.5事件 incident (5)3.2.6信息安全 information security (5)3.2.7信息安全事件 information security incident (6)3.2.8内部供应商internal supplier (6)3.2.9已知错误 known error (6)3.2.10问题 problem (6)3.2.11程序 procedure (6)3.2.12记录 record, noun (6)3.2.13发布 release, noun (6)3.2.14变更请求 request for change (6)3.2.15服务 service (6)3.2.16服务可用性service availability (7)3.2.17服务目录 service catalogue (7)3.2.18服务组件 service component (7)3.2.19服务连续性service continuity (7)3.2.20服务级别协议 service level agreement SLA (7)3.2.21服务级别目标 service level target (7)3.2.22服务管理 service management (7)3.2.23服务管理体系 service management system SMS (7)3.2.24服务提供者service provider (7)3.2.25服务请求 service request (8)3.2.26服务要求 service requirement (8)3.2.27转换 transition (8)3.2.28用户 user (8)3.2.29价值 value (8)4 组织环境 (8)4.1理解组织及其环境 (8)4.2理解相关方的需求和期望 (8)4.3确定服务管理体系范围 (8)4.4服务管理体系 (9)5 领导 (9)5.1领导和承诺 (9)5.2 方针 (9)5.1.1制定服务管理方针 (9)5.1.2沟通服务管理方针 (9)5.3 组织的角色，责任和权限 (9)6 策划 (10)6.1应对风险和机遇的措施 (10)6.2服务管理目标及其实现策划 (10)6.2.1 制定目标 (10)6.2.2 策划实现目标 (10)6.3策划服务管理体系 (11)7 支持 (11)7.1 资源 (11)7.2 能力 (11)7.3 意识 (11)7.4 沟通 (12)7.5 成文信息 (12)7.5.1 总则 (12)7.5.2创建和更新 (12)7.5.3成文信息的控制 (12)7.5.4服务管理系统成文信息 (12)7.6 知识 (13)8 运行 (13)8.1 运行策划和控制 (13)8.2 服务组合 (13)8.2.1 服务交付 (13)8.2.2 策划服务 (13)8.2.3控制服务生命周期的相关方 (14)8.2.4服务目录管理 (14)8.2.5 资产管理 (14)8.2.6 配置管理 (14)8.3关系与协议 (15)8.3.1 总则 (15)8.3.2业务关系管理 (15)8.3.3服务级别管理 (15)8.3.4供应商管理 (16)8.4供应与需求 (16)8.4.1服务预算与核算 (16)8.4.2 需求管理 (16)8.4.3 能力管理 (17)8.5服务设计、构建与转换 (17)8.5.1 变更管理 (17)8.5.2服务设计与转换 (18)8.5.3发布与部署管理 (18)8.6解决与完成 (19)8.6.1 事件管理 (19)8.6.2 服务请求管理 (19)8.6.3 问题管理 (19)8.7 服务保障 (20)8.7.1服务可用性管理 (20)8.7.2服务连续性管理 (20)8.7.3信息安全管理 (20)9 绩效评价 (21)9.1 监视、测量、分析和评价 (21)9.2 内部审核 (21)9.3 管理评审 (22)9.4 服务报告 (22)10 改进 (22)10.1不符合及纠正措施 (22)10.2 持续改进 (23)前言ISO（国际标准化组织）和IEC（国际电工委员会）形成了世界范围的专业标准化体系。

目 录1. 前言2. ISO IEC20000-2018与旧版的主要变化3. ISO IEC20000-2018标准条款目 录1. 前言2. ISO IEC20000-2018与旧版的主要变化3. ISO IEC20000-2018标准条款ISO/IEC 20000是一个针对管理流程系统的标准，ISO/IEC 20000的认证适合IT服务的提供者，可以内部的IT部门，也可以是外部的服务提供商。

获取ISO/IEC 20000的认证，意味着提供服务的IT组织，对ISO/IEC 20000中定义的这些管理流程，具有足够好的管理控制力。

这里所谓对流程的管理控制力包括：·对流程输入的了解和控制·对流程输出的了解、使用和诠释·制定和执行对流程效能的衡量机制·有客观的证据表明，对流程的功能负责，使之符合ISO 20000标准要求·制定流程的改进提高计划，衡量和回顾改进结果IT服务组织要获得ISO/IEC 20000的认证，必须证明它能够对标准中涉及的所有5组13个流程都具有以上的管理控制力。

ISO/IEC 20000系列对流程的最佳实践进行了总结，可适用于不同规模、类型和结构的组织，服务管理流程最佳实践要求并不会因为组织形式不同而被改变。

企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心的自我完善的体系。

在实施认证ISO20000管理体系后，在各个流程中，各个工作岗位上都建立了一个自我完善的循环，工作的策划、执行、检查，以及持续的发现问题改善问题的体系建立起来，使每个员工都拥有问题意识，自觉的发现自己工作当中的问题，并通过系统的解决问题的方法，将问题一个一个的解决。

IT服务提供商通过实施IT服务管理体系，可以获取如下收益：·保持服务目标与企业业务目标一致，有效的支持业务战略·建立规范的服务流程，提高信息技术服务和运营效率·有效及高效地整合和利用信息、基础架构、应用及人员等IT资源·建立持续改进的服务管理机制，快速应对市场需求，提供客户满意度·向国际标杆靠齐，增强市场竞争力，提高组织声誉，提升投资回报·控制IT风险及相关的成本，提高与控制IT服务质量、降低长期的服务成本·灵活应对来自客户、认证机构、内部机构等不同的审核要求，增加投资者信心ISO20000 与 ISO9000 的实用范畴不同： ISO20000 只针对 IT 服务管理，在 IT 服务提供商和政府及企业的IT部门应用较多；而 ISO9000 适用各行业的质量标准，在制造企业应用得最多。

信息技术服务管理手册北京XXXX科技有限公司该文档的最新版本保存在文件服务器上，在使用该文档前使用者有责任从文件服务器中获取最新版本。

该文档的打印版本仅用来参考。

文档信息文档的保存主控文档（masterdocument）存放在文件服务器上。

文档修订信息文档的审批文档的分发该文档的主控版本存放于文件服务器上，该文档的打印版本仅用作参考并且不在控制范围内。

该文档的使用者有责任确保使用的是最新版本。

目录01 信息技术服务管理手册发布令 (1)02 管理者代表授权书 (1)03 企业概况 (2)04 IT服务管理方针目标 (1)05 手册的管理 (2)1 目的和适用范围 (3)1.1 目的 (3)1.2 适用范围 (3)1.3 服务管理工具 (4)2 引用标准、文件 (4)2.1 引用标准 (4)2.2 引用文件 (4)3 定义和术语 (4)3.1 术语 (4)3.2 缩写 (4)4 组织环境 (5)4.1 理解组织及其环境 (5)4.2 理解相关方的需求和期望 (5)4.3 确定信息技术服务管理体系的范围 (5)4.4 信息技术服务管理体系 (6)5领导 (6)5.1领导和承诺 (6)5.2方针 (7)5.3组织的角色、责任和权限 (7)5.3.1总经理 (8)5.3.2管理者代表 (8)5.3.3 综合部 (9)5.3.4 销售部 (9)5.3.5项目工程部 (10)5.3.6 项目工程部 (10)6策划 (11)6.1应对风险和机遇的措施 (11)6.1.1总则 (11)6.1.2信息技术服务风险评估 (11)6.1.3信息技术服务风险处置 (11)6.2信息技术服务目标及其实现规划 (12)6.3信息技术服务管理策划 (12)6.3.1服务管理计划 (12)6.3.2策划服务管理（P） (13)6.3.3实施运作ITSMS（D） (14)6.3.4监控审查ITSMS（C） (14)6.3.5持续改进ITSMS（A） (15)7支持 (15)7.1资源 (15)7.2能力 (15)7.3意识 (15)7.4沟通 (16)7.5文件化信息 (16)7.5.1 总则 (16)7.5.2 创建和更新 (17)7.5.3 文件化信息的控制 (17)7.5.4服务管理系统成文信息 (17)7.6知识 (18)8 运行 (18)8.1运行规划和控制 (18)8.2服务组合 (19)8.2.1服务交付 (19)8.2.2策划服务 (19)8.2.3控制服务生命周期的相关方 (21)8.2.4服务目录管理 (21)8.2.6配置管理 (21)8.3关系与协议 (23)8.3.1 总则 (23)8.3.2 业务关系管理 (23)8.3.3 服务级别管理 (24)8.3.4供应商管理 (24)8.4供应与需求 (25)8.4.1服务预算与核算 (25)8.4.2需求管理 (26)8.4.3能力管理 (27)8.5服务设计、构建与转换 (27)8.5.1变更管理 (27)8.5.2服务设计与转换 (28)8.5.3发布与部署管理 (30)8.6解决与完成 (31)8.6.1事件与服务请求管理 (31)8.6.2问题管理 (31)8.7服务保障 (32)8.7.1服务连续性和可用性需求管理 (32)8.7.2服务连续性和可用性的监控和测试管理 (33)8.7.3信息安全管理 (33)9 绩效评价 (35)9.1监视、测量、分析和评价 (35)9.2 内部审核 (35)9.2.1 总则 (35)9.2.3 内审实施 (36)9.3 管理评审 (36)9.3.1 总则 (36)9.3.2 管理评审的输入 (36)9.3.3 管理评审的输出 (37)9.4服务报告 (37)10 改进 (37)10.1 不符合及纠正措施 (37)10.2 持续改进 (38)附录A：IT服务管理组织结构图 (39)附录B：IT服务管理职责权限明细表 (40)附录C：IT服务管理程序文件清单 (43)。

ISO IEC20000-2018信息技术服务管理体系全套文件管理手册及程序文件文件编号：修订状态：A/0服务管理体系手册文件版本： A 受控状态：发布实施日期：2019- 09 -28 密级：内部公开XXXX有限公司目录0. 概述 (4)0.1 手册管理 (4)0.2 发布令 (5)0.3 公司简介 (5)0.4 管理者代表任命书 (5)0.5 引用标准 (6)1. 目的及适用范围 (7)1.1 目的 (7)1.2 IT服务管理方针 (7)1.3 IT服务管理目标 (7)1.4 范围 (7)1.5 IT服务相关职责 (7)2.术语和定义 (10)3. 管理体系要求 (10)3.1 管理职责 (10)3.2 其他方运行过程的治理 (11)3.3 文件管理 (11)3.4 资源管理 (11)4. 服务管理的策划与实施 (12)4.1 服务管理的策划（计划） (12)4.2 实施服务管理并提供服务（实施） (13)4.3 监视、测量和评审（检查） (14)4.4 持续改进（改进） (14)4.4.1 策略 (14)4.4.2 管理改进 (14)4.4.3 改进活动 (15)5. 设计和转换新的或变更的服务 (15)6. 服务交付过程 (16)6.1 服务等级管理 (16)6.2 服务报告 (16)6.3 服务连续性及可用性管理 (16)6.4 IT服务的预算及核算管理 (17)6.5 能力管理 (17)6.6 信息安全管理 (17)7. 关系过程 (19)7.1 业务关系管理 (19)7.2 供应商管理 (19)8. 解决过程 (20)8.1 事件和服务请求管理 (20)8.2 问题管理 (20)9. 控制过程 (21)9.1 配置管理 (21)9.2 变更管理 (21)9.3 发布和部署管理 (22)附件1：程序文件清单 (23)附件2：职责分配表 (1)0.概述0.1手册管理a）本手册由管理者代表审核、总裁批准发布实施；b）本手册适用于XXXX所有与IT服务业务有关的部门和员工；c）本手册分为“受控”和“不受控”两类；d）“受控”版本是现行有效版本，随XX内外环境的变化而修订。

信息安全管理程序息技术有限责任公司变更履历目录1.1目的 (2)1.2适用范围 (2)1.3术语表 (2)1.4引用文件 (2)2.职责 (2)2.1技术服务事业部 (2)2.2服务部 (3)3.具体内容 (5)3.1组织制订信息安全策略 (5)3.2分析客户安全需求 (5)3.3制定信息安全管理计划 (5)3.4运行监控 (5)3.5实施信息安全评估 (6)4.输出的文件和记录 (6)简介1.1目的满足SLA中的安全性需求以及合同、法律和外部政策等的要求。

1.2适用范围适用于公司提供IT服务的部门，以及与信息安全和风险防范有关的活动的管理。

1.3术语表可用性：需要时，被授权的使用者能够访问和使用相关资产。

保密性：信息不被未授权的个人、实体、流程访问或泄漏。

完整性：保护资产的准确和完整。

信息安全：保护信息的保密性、完整性、可用性及其他属性。

信息安全事件：识别系统、服务或网络状态发生的事件其违背了信息安全策略，或使安全措施失效，或以前未知的与安全相关的情况。

信息安全事故：单个或一系列的意外信息安全事件可能严重影响业务运作并威胁信息安全。

风险：特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性。

风险评估：对信息和信息处理设施的威胁、影响和脆弱性及三者发生的可能性评估。

1.4引用文件【1】ISO/IEC 20000-1：2018【2】《IT服务管理手册》2.职责2.1技术服务事业部负责制订信息安全策略和方针，组织建立、改进信息安全管理体系。

2.2服务部负责组织建立信息安全管理制度和方法，计划、实施信息安全要求，监控、报告和响应信息安全事件。

负责协助处理信息安全事件，制订信息安全解决方案，组织评价变更对信息安全的影响，参与信息安全管理的改进。

流程图3.具体内容3.1组织制订信息安全策略3.1.1 服务部根据IT服务工作的特点收集相应的信息安全需求。

3.1.2 根据公司的业务需求，在技术服务事业部的安排下，管理者代表组织服务部、销售部门、研发部门根据服务级别协议（SLA）的要求，对信息安全的要求进行讨论，制订公司《信息安全管理规范》，经管理者代表批准后发放相关部门。

ISO/IEC20000-1-2018信息技术服务管理第1部分-服务管理体系新版要求2018-09-15 发布2018-09-15 实施目录前言 (i)引言 (iii)信息技术服务管理第一部分服务管理体系要求 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1有关管理系统标准的术语 (2)3.1.1 审计审核 (2)3.1.2能力 competence (2)3.1.3符合（合格） conformity (2)3.1.4持续改进 continual improvement (2)3.1.5纠正措施 corrective action (2)3.1.6成文信息 documented information (2)3.1.7有效性effectiveness (2)3.1.8相关方interested party (3)3.1.9管理体系 management system (3)3.1.10测量measurement (3)3.1.11监视 monitoring (3)3.1.12不符合nonconformity (3)3.1.13目标 objective (3)3.1.14组织organization (3)3.1.15外包 outsource, verb (4)3.1.16绩效performance (4)3.1.17方针 policy (4)3.1.18过程 process (4)3.1.19要求requirement (4)3.1.20风险 risk (4)3.1.21最高管理者 top management (5)3.2有关服务管理的术语 (5)3.2.1资产 asset (5)3.2.2配置项configuration item (5)3.2.3客户 customer (5)3.2.4外部供应商 external supplier (5)3.2.5事件 incident (5)3.2.6信息安全 information security (5)3.2.7信息安全事件 information security incident (6)3.2.8内部供应商internal supplier (6)3.2.9已知错误 known error (6)3.2.10问题 problem (6)23.2.11程序 procedure (6)3.2.12记录 record, noun (6)3.2.13发布 release, noun (6)3.2.14变更请求 request for change (6)3.2.15服务 service (6)3.2.16服务可用性service availability (7)3.2.17服务目录 service catalogue (7)3.2.18服务组件 service component (7)3.2.19服务连续性service continuity (7)3.2.20服务级别协议 service level agreement SLA (7)3.2.21服务级别目标 service level target (7)3.2.22服务管理 service management (7)3.2.23服务管理体系 service management system SMS (7)3.2.24服务提供者service provider (7)3.2.25服务请求 service request (8)3.2.26服务要求 service requirement (8)3.2.27转换 transition (8)3.2.28用户 user (8)3.2.29价值 value (8)4 组织环境 (8)4.1理解组织及其环境 (8)4.2理解相关方的需求和期望 (8)4.3确定服务管理体系范围 (8)4.4服务管理体系 (9)5 领导 (9)5.1领导和承诺 (9)5.2 方针 (9)5.1.1制定服务管理方针 (9)5.1.2沟通服务管理方针 (9)5.3 组织的角色，责任和权限 (9)6 策划 (10)6.1应对风险和机遇的措施 (10)6.2服务管理目标及其实现策划 (10)6.2.1 制定目标 (10)6.2.2策划实现目标 (10)6.3策划服务管理体系 (11)7 支持 (11)7.1 资源 (11)7.2 能力 (11)7.3 意识 (11)7.4 沟通 (12)7.5 成文信息 (12)7.5.1 总则 (12)7.5.2创建和更新 (12)。

服务策划管理程序信息技术有限责任公司变更履历目录1简介 (4)1.1目的 (4)1.2适用范围 (4)1.3术语表 (4)1.4引用文件 (4)2职责 (4)2.1总经理 (4)2.2管理者代表 (4)2.3技术服务事业部 (5)2.4服务部 (5)2.5项目经理 (5)2.6商务部 (5)2.7销售部门 (5)3流程图 (6)4具体内容 (7)4.1服务售前 (7)4.2合同评审 (7)4.3服务管理策划 (7)4.4服务管理实施 (7)4.5服务管理监控、测量、改进 (8)5输出的文件和记录 (9)1简介1.1目的针对公司承接IT服务的项目、合同或任务，确定质量目标，制定专门措施，配备相应的资源，对服务实现过程实施控制，确保在约定的成本和质量要求下交付服务。

1.2适用范围适用于本公司承接IT服务的项目、合同或任务实现过程的策划、实施、交付和管理活动控制。

1.3术语表●服务目录（SC）：有关可提供的服务及服务级别概要说明。

●服务级别协议（SLA）：由IT部门和客户之间签订的描述将要提供的一项或多项服务的一份协议。

●验证：确保本公司承接IT服务的项目、合同或任务实现过程、计划或其它可交付成果已经完成，并与设计规格准确、可靠和相符的活动。

●确认：确保本公司承接IT服务的项目、合同或任务实现过程、计划或其它可交付成果满足业务需求的活动，确认也能通过变更初始设计来保证满足业务需求。

1.4引用文件【1】《ISO/IEC 20000-1: 2018》【2】《ISO/IEC 9001-2015》【3】《IT服务管理手册》【4】《项目管理制度》2职责2.1总经理负责公司IT服务业务发展战略决策。

2.2管理者代表根据公司IT服务战略、政策产业环境、业务状况，向公司总经理提供决策建议，协助公司总经理进行公司IT服务策略方面的管理工作。

2.3技术服务事业部组织服务产品、项目、合同实现策划，批准策划方案及实施计划。

年度IT服务业务发展目标和任务分配，批准编制及实施计划。