ISO IEC20000-1-2018信息技术服务管理体系标准及内审员培训教材

ISO/IEC20000-1第三版2018-09-15IS0/IEC 20000-1: 2018 信息技术服务管理第一部分：服务管理体系要求2018-09-15 发布2018-09-15实施目录前言 (1)引言 (3)1 范围 (4)1.1 总则 (4)1.2 应用 (4)2 规范性引用文件 (5)3 术语和定义 (5)3.1 有关管理体系标准的术语 (5)3.1.1 审核audit (5)3.1.2 能力competence (5)3.1.3 符合（合格）conformity (5)3.1.4 持续改进continual improvement (5)3.1.5 纠正措施corrective action (6)3.1.6 成文信息documented information (6)3.1.7 有效性effectiveness (6)3.1.8 相关方interested party (6)3.1.9 管理体系management system (6)3.1.10 测量measurement (7)3.1.11 监视monitoring (7)3.1.12 不符合nonconformity (7)3.1.13 目标objective (7)3.1.14 组织organization (7)3.1.15 外包outsource, verb (8)3.1.16 绩效performance (8)3.1.17 方针policy (8)3.1.18 过程process (8)3.1.19 要求requirement (9)3.1.20 风险risk (9)3.1.21 最高管理者top management (9)3.2 有关服务管理的术语 (9)3.2.1 资产asset (9)3.2.2 配置项configuration item (10)3.2.3 客户customer (10)3.2.4 外部供应商external supplier (10)3.2.5 事件incident (10)3.2.6 信息安全information security (10)3.2.7 信息安全事件information security incident (10)3.2.8 内部供应商internal supplier (10)3.2.9 已知错误known error (11)3.2.10 问题problem (11)3.2.11 程序procedure (11)3.2.12 记录record (11)3.2.13 发布release, noun (11)3.2.14 变更请求request for change (11)3.2.15 服务service (11)3.. 2.服务可用性service availability (12)3.2.17 服务目录service catalogue (12)3.. 2.服务组件service component (12)3.2.19 服务连续性service continuity (12)3.2.20 服务级别协议service level agreement SLA (12)3.2.21 服务级别目标service level target (12)3.2.22 服务管理 (13)3.2.23 服务管理体系service management system SMS (13)3.2.24 服务提供者service provider (13)3.2.25 服务请求service requirement (13)3.2.26 服务要求service requirement (13)3.2.27 转换transition (13)3.2.28 用户user (13)3.2.29 价值value (13)4 组织环境 (14)4.1 理解组织及其环境 (14)4.2 理解相关方的需求和期望 (14)4.3 确定服务管理体系范围 (14)4.4 服务管理体系 (14)5 领导 (15)5.1 领导和承诺 (15)5.2 方针 (15)5.2.1 制定服务管理方针 (15)5.2.2 沟通服务管理方针 (16)5.3 组织的角色，责任和权限 (16)6 策划 (16)6.1 应对风险和机遇的措施 (17)6.2 服务管理目标及其实现策划 (17)6.2.1 制定目标 (17)6.2.2 策划实现目标 (17)6.3 策划服务管理体系 (17)7 支持 (18)7.1 资源 (18)7.2 能力 (18)7.3 意识 (18)7.4 沟通 (19)7.5 成文信息 (19)7.5.1 总则 (19)7.5.2 创建和更新 (19)7.5.3 成文信息的控制 (20)7.5.4 服务管理系统成文信息 (20)7..知识 (21)ISO/IEC 20000-1:20188 运行 (21)8.1 运行策划和控制 (21)8.2 服务组合 (21)8.2.1 服务交付 (21)8.2.2 策划服务 (21)8.2.3 控制服务生命周期的相关方 (22)8.2.4 服务目录管理 (22)8.2.5 资产管理 (22)8.2.6 配置管理 (22)8.3 关系与协议 (23)8.3.1 总则 (23)8.3.2 业务关系管理 (24)8.3.3 服务级别管理 (24)8.3.4 供应商管理 (24)8.4 供应与需求 (25)8.4.1 服务预算与核算 (25)8.4.2 需求管理 (25)8.4.3 能力管理 (26)8.5 服务设计、构建与转换 (26)8.5.1 变更管理 (26)8.5.2 服务设计与转换 (27)8.5.3 发布与部署管理 (28)8.6 解决与完成 (28)8.6.1 事件管理 (28)8.6.2 服务请求管理 (29)8.6.3 问题管理 (29)8.7 服务保障 (30)8.7.1 服务可用性管理 (30)8.7.2 服务连续性管理 (30)8.7.3 信息安全管理 (31)9 绩效评价 (32)9.1 监视、测量、分析和评价 (32)9.2 内部审核 (32)9.3 管理评审 (33)9.4 服务报告 (33)10 改进 (34)10.1 不符合及纠正措施 (34)10.2 持续改进 (34)前言ISO（国际标准化组织）和IEC（国际电工委员会）形成了世界范围的专业标准化体系。

ISO IEC20000-1-2018信息技术服务管理服务管理体系管理手册文件编号：修订状态：A/0 服务管理体系手册文件版本： A 受控状态：受控发布实施日期：2020- 03 -26 密级：内部公开XXXX有限公司0概述0.1手册管理0.2发布令0.3公司简介0.4管理者代表任命书1 范围1.1 总则1.2 应用2 规范性引用文件3 术语和定义3.1 有关管理系统标准的术语4 组织环境4.1 理解组织及其环境4.2 理解相关方的需求和期望4.3 确定服务管理体系范围4.4 服务管理体系5 领导作者：李柏伦翻版盗卖必追究责任创作日期：20200327 5.1 领导和承诺5.2 方针5.1.1 制定服务管理方针5.1.2 沟通服务管理方针5.3 组织的角色，责任和权限6 策划6.1 应对风险和机遇的措施6.2 服务管理目标及其实现策划6.2.1 制定目标6.2.2 策划实现目标6.3 策划服务管理体系7 支持作者：李柏伦翻版盗卖必追究责任创作日期：20200327 7.1 资源7.2 能力7.3 意识7.4 沟通7.5 成文信息7.5.1 总则7.5.2 创建和更新7.5.3 成文信息的控制7.5.4 服务管理系统成文信息7.6 知识8 运行作者：李柏伦翻版盗卖必追究责任创作日期：20200327 8.1 运行策划和控制8.2 服务组合8.2.1 服务交付8.2.2 策划服务8.2.3 控制服务生命周期的相关方8.2.4 服务目录管理8.2.5 资产管理8.2.6 配置管理8.3 关系与协议8.3.1 总则8.3.2 业务关系管理8.3.3 服务级别管理8.3.4 供应商管理8.4 供应与需求8.4.1 服务预算与核算8.4.2 需求管理8.4.3 能力管理8.5 服务设计、构建与转换8.5.1 变更管理8.5.2 服务设计与转换8.5.3 发布与部署管理8.6 解决与完成8.6.1 事件管理8.6.2 服务请求管理8.6.3 问题管理8.7 服务保障8.7.1 服务可用性管理8.7.2 服务连续性管理8.7.3 信息安全管理9 绩效评价219.1 监视、测量、分析和评价9.2 内部审核9.3 管理评审9.4 服务报告10 改进10.1 不符合及纠正措施10.2 持续改进附件1：程序文件清单附件2：职责分配表附件3：组织架构图作者：李柏伦翻版盗卖必追究责任创作日期：202003270.概述0.1手册管理a）本手册由管理者代表审核、总裁批准发布实施；b）本手册适用于XXXX所有与IT服务业务有关的部门和员工；c）本手册分为“受控”和“不受控”两类；d）“受控”版本是现行有效版本，随XX内外环境的变化而修订。

××××××有限公司信息安全与信息技术服务管理手册文件编号：MC-ITISM-01（A0）（依据ISO27001: 2013/ISO20000-1: 2018标准编制）编制：审核：批准：××××××有限公司发布修订履历目录0.1 颁布令 (5)0.2 管理者代表授权书 (6)0.3 企业概况 (7)0.4 手册的管理 (8)1 范围 (9)2 规范性引用文件 (9)3 术语和定义 (10)4 组织环境 (11)4.1 理解组织及其环境 (11)4.2 理解相关方的需求和期望 (11)4.3 确定管理体系的范围 (12)4.4 信息安全管理体系 (13)4.5 信息技术服务管理体系 (13)5 领导 (15)5.1 领导和承诺 (15)5.2 方针 (16)5.3 组织角色、职责和权限 (16)6 策划 (17)6.1 应对风险和机会的措施 (17)6.2 管理目标及其实现策划 (19)6.3 策划信息技术服务管理体系 (19)7 支持 (20)7.1 资源 (20)7.2 能力 (20)7.3 意识 (20)7.4 沟通 (21)7.5 文件化信息 (21)8 运行 (23)8.1 运行策划和控制 (23)8.2 信息安全风险评估与信息技术服务组合 (23)8.3 信息安全风险处置与关系、协议管理 (26)8.4 供应与需求 (28)8.5 服务设计、构建与转换 (29)8.6 解决与完成 (32)8.7 服务保障 (34)9 绩效评价 (36)9.1 监视、测量、分析和评价 (36)9.2 内部审核 (37)9.3 管理评审 (38)9.4 信息技术服务报告 (39)10 改进 (39)10.1 不符合及纠正措施 (39)10.2 持续改进 (40)附录A组织机构图 (41)附录B 信息安全与信息技术服务管理职责表 (41)附录C 办公区域平面图 (43)附录D 信息安全与信息技术服务管理职责分配表 (44)附录E 方针和目标 (46)E.1 信息技术服务管理方针和目标 (46)E.2 信息安全管理方针和目标 (47)0.1 颁布令为提高××××××有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，以及规范我公司IT信息技术服务管理，提供满足顾客要求的信息技术服务，我公司开展贯彻《ISO27001: 2013信息技术-安全技术-信息安全管理体系-要求》和《ISO20000-1: 2018 信息技术-服务管理体系-要求》国际标准的工作，建立、实施和持续改进文件化的信息安全与信息技术服务管理体系，制定了《信息安全与信息技术服务管理手册》（以下简称为“手册”）。

问题管理程序1目的服务管理流程的根本目的是消除或减少系统运行环境和客户服务过程中事件发生的数量和严重程度，防止相同事件的再次发生，从而为企业建立一个稳定的系统运行环境，提高客户服务的可用性。

1)分析并确定事件的根本原因，找到最终解决方案，以防止此类事件再次发生；2)确保问题分派了正确支持人员，提高解决率；3)根据问题优先级合理分派IT资源；4)对事件记录做趋势性分析，主动提供预防性措施。

2过程定义服务管理指负责解决客户服务过程中遇到的所有问题的流程。

服务管理包括问题处理和问题控制，目标在于将由于IT基础架构的错误而导致的问题和事件对业务产生的负面影响降到最低，以及防止与这些错误有关的事件再次发生。

为了实现这个目标，服务管理调查分析事件的根本原因然后采取相关行动改进和纠正错误。

问题的主要来源有三个：1)从事件生成：当故障发生时，通过事件采取临时措施、替代方案的方式暂时解决事件，却没有了解事件的深入根源。

此时可从事件管理流程生成问题并与之相关联。

2)在售后服务中提出：在售后服务过程中发现的存在问题。

3)趋势分析后提出：通过对历史数据、统计报表等进行分析后得出的需要进行根本原因分析的结论，也可创建问题。

问题分类：硬件设备、软件系统、服务器。

问题分级：高、中、低。

问题状态：未解决、已解决。

2.1范围服务管理流程的范围是对信息系统集成项目和软件运维项目及相关的基础设施所发生的问题进行管理，以采取主动性预防措施来降低事件数量。

不包括：处于开发或测试环境的应用系统和基础设施。

2.2过程负责人服务管理负责人2.3主要输入2.4主要输出2.5职责权限服务管理负责人主要具有以下职责：1)定义并维护服务管理流程文件及所需要的记录模板；2)管理服务管理流程的实施；3)确保服务管理流程目标的实现；4)识别服务管理过程中存在的问题并提出改进措施；5)定期向IT服务管理小组汇报实施过程中存在的问题。

问题负责人主要具有以下职责：1)接受服务管理负责人分派的问题；2)分析和诊断问题，确定根本原因；3)测试和确定解决方案；4)提交变更请求并监控变更实施；5)协助事件支持人员进行重大或紧急事件的处理；2.6过程重要控制点问题解决后，必须进行回顾和评审，并形成会议纪要。

服务级别管理程序1目的服务级别管理确保用户需要的服务得到持续的维护和改进。

这主要是通过针对服务提供商的运作绩效进行协商、监控和报告，以及在服务提供商及其用户之间建立有效的业务关系来实现的。

有效的服务级别管理可以改进用户业务运作的绩效并因此而提高用户满意度。

由于服务提供商更加清楚他们被期望提供什么和他们可以提供什么，因此可以更好地计划、预算和管理他们所提供的服务。

本程序的目的是：1)整合提供服务所需的各种要素；2)生成清晰地描述服务项目中各种要素的文档；3)以一种用户能够理解并涉及到的术语对所要提供的服务进行描述；4)整合战略和业务需求；5)以一种可控的方式改进服务提供。

2过程定义2.1范围本程序适用于运维服务所覆盖的所有部门。

本程序适用的服务活动一般只包括在服务提供过程中发生的服务提供方与其他相关主体之间就服务质量所进行的协调活动；主要包括三个协议所调整和规范的各方主体的行为及活动。

三个协议是：1)服务级别协议（SLA）2)运营级别协议(OLA)3)支持合同(UC)2.2过程负责人服务级别管理负责人2.3主要输入2.4主要输出2.5职责权限服务级别管理负责人：1)制作和更新服务目录；2)为客服部门定义和维持一个有效的服务级别管理流程，包括：a.确定服务级别结构；b.提出外部供应商服务支持请求；c.更新现有的服务改进方案；d.与有关方面协商谈判，参与合同评审，并负责签订和维护SLA、OLA和UC；e.评审系统集成部的客户服务质量，并在必要的时候采取改进措施服务级别负责人：执行SLA、OLA、UC的制定或修订工作。

用户代表：1)提出服务建议和需求。

外部服务商:1)为满足服务级别提供相应服务支持2)定期提供服务报告系统集成部：1)供应商管理；2)草拟和签订UC；3)负责供应商支持合同询价、采购、合同管理等；4)有关签订SLA、OLA、UC过程的组织、协调；5)SLA、OLA、UC合同等归档、保管。

2.6过程重要控制点制定或完善服务级别协议：SLA、OLA、UC的制定和完善。

ISO/IEC20000-1-2018信息技术服务管理第1部分-服务管理体系新版要求2018-09-15 发布2018-09-15 实施目录前言 (i)引言 (iii)信息技术服务管理第一部分服务管理体系要求 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1有关管理系统标准的术语 (2)3.1.1 审计审核 (2)3.1.2能力 competence (2)3.1.3符合（合格） conformity (2)3.1.4持续改进 continual improvement (2)3.1.5纠正措施 corrective action (2)3.1.6成文信息 documented information (2)3.1.7有效性effectiveness (2)3.1.8相关方interested party (3)3.1.9管理体系 management system (3)3.1.10测量measurement (3)3.1.11监视 monitoring (3)3.1.12不符合nonconformity (3)3.1.13目标 objective (3)3.1.14组织organization (3)3.1.15外包 outsource, verb (4)3.1.16绩效performance (4)3.1.17方针 policy (4)3.1.18过程 process (4)3.1.19要求requirement (4)3.1.20风险 risk (4)3.1.21最高管理者 top management (5)3.2有关服务管理的术语 (5)3.2.1资产 asset (5)3.2.2配置项configuration item (5)3.2.3客户 customer (5)3.2.4外部供应商 external supplier (5)3.2.5事件 incident (5)3.2.6信息安全 information security (5)3.2.7信息安全事件 information security incident (6)3.2.8内部供应商internal supplier (6)3.2.9已知错误 known error (6)3.2.10问题 problem (6)3.2.11程序 procedure (6)3.2.12记录 record, noun (6)3.2.13发布 release, noun (6)3.2.14变更请求 request for change (6)3.2.15服务 service (6)3.2.16服务可用性service availability (7)3.2.17服务目录 service catalogue (7)3.2.18服务组件 service component (7)3.2.19服务连续性service continuity (7)3.2.20服务级别协议 service level agreement SLA (7)3.2.21服务级别目标 service level target (7)3.2.22服务管理 service management (7)3.2.23服务管理体系 service management system SMS (7)3.2.24服务提供者service provider (7)3.2.25服务请求 service request (8)3.2.26服务要求 service requirement (8)3.2.27转换 transition (8)3.2.28用户 user (8)3.2.29价值 value (8)4 组织环境 (8)4.1理解组织及其环境 (8)4.2理解相关方的需求和期望 (8)4.3确定服务管理体系范围 (8)4.4服务管理体系 (9)5 领导 (9)5.1领导和承诺 (9)5.2 方针 (9)5.1.1制定服务管理方针 (9)5.1.2沟通服务管理方针 (9)5.3 组织的角色，责任和权限 (9)6 策划 (10)6.1应对风险和机遇的措施 (10)6.2服务管理目标及其实现策划 (10)6.2.1 制定目标 (10)6.2.2策划实现目标 (10)6.3策划服务管理体系 (11)7 支持 (11)7.1 资源 (11)7.2 能力 (11)7.3 意识 (11)7.4 沟通 (12)7.5 成文信息 (12)7.5.1 总则 (12)7.5.2创建和更新 (12)7.5.3成文信息的控制 (12)7.5.4服务管理系统成文信息 (12)7.6 知识 (13)8 运行 (13)8.1 运行策划和控制 (13)8.2 服务组合 (13)8.2.1 服务交付 (13)8.2.2 策划服务 (13)8.2.3控制服务生命周期的相关方 (14)8.2.4服务目录管理 (14)8.2.5 资产管理 (14)8.2.6 配置管理 (14)8.3关系与协议 (15)8.3.1 总则 (15)8.3.2业务关系管理 (15)8.3.3服务级别管理 (15)8.3.4供应商管理 (16)8.4供应与需求 (16)8.4.1 服务预算与核算 (16)8.4.2 需求管理 (16)8.4.3 能力管理 (17)8.5服务设计、构建与转换 (17)8.5.1 变更管理 (17)8.5.2服务设计与转换 (18)8.5.3发布与部署管理 (18)8.6解决与完成 (19)8.6.1 事件管理 (19)8.6.2服务请求管理 (19)8.6.3 问题管理 (19)8.7 服务保障 (20)8.7.1服务可用性管理 (20)8.7.2服务连续性管理 (20)8.7.3信息安全管理 (20)9 绩效评价 (21)9.1 监视、测量、分析和评价 (21)9.2 内部审核 (21)9.3 管理评审 (22)9.4 服务报告 (22)10 改进 (22)10.1不符合及纠正措施 (22)10.2 持续改进 (23)前言ISO（国际标准化组织）和IEC（国际电工委员会）形成了世界范围的专业标准化体系。

ISO/IEC20000-1-2018信息技术服务管理第1部分-服务管理体系新版要求2018-09-15 发布2018-09-15 实施目录前言 (i)引言 (iii)信息技术服务管理第一部分服务管理体系要求 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1有关管理系统标准的术语 (2)3.1.1 审计审核 (2)3.1.2能力 competence (2)3.1.3符合（合格） conformity (2)3.1.4持续改进 continual improvement (2)3.1.5纠正措施 corrective action (2)3.1.6成文信息 documented information (2)3.1.7有效性effectiveness (2)3.1.8相关方interested party (3)3.1.9管理体系 management system (3)3.1.10测量measurement (3)3.1.11监视 monitoring (3)3.1.12不符合nonconformity (3)3.1.13目标 objective (3)3.1.14组织organization (3)3.1.15外包 outsource, verb (4)3.1.16绩效performance (4)3.1.17方针 policy (4)3.1.18过程 process (4)3.1.19要求requirement (4)3.1.20风险 risk (4)3.1.21最高管理者 top management (5)3.2有关服务管理的术语 (5)3.2.1资产 asset (5)3.2.2配置项configuration item (5)3.2.3客户 customer (5)3.2.4外部供应商 external supplier (5)3.2.5事件 incident (5)3.2.6信息安全 information security (5)3.2.7信息安全事件 information security incident (6)3.2.8内部供应商internal supplier (6)3.2.9已知错误 known error (6)3.2.10问题 problem (6)23.2.11程序 procedure (6)3.2.12记录 record, noun (6)3.2.13发布 release, noun (6)3.2.14变更请求 request for change (6)3.2.15服务 service (6)3.2.16服务可用性service availability (7)3.2.17服务目录 service catalogue (7)3.2.18服务组件 service component (7)3.2.19服务连续性service continuity (7)3.2.20服务级别协议 service level agreement SLA (7)3.2.21服务级别目标 service level target (7)3.2.22服务管理 service management (7)3.2.23服务管理体系 service management system SMS (7)3.2.24服务提供者service provider (7)3.2.25服务请求 service request (8)3.2.26服务要求 service requirement (8)3.2.27转换 transition (8)3.2.28用户 user (8)3.2.29价值 value (8)4 组织环境 (8)4.1理解组织及其环境 (8)4.2理解相关方的需求和期望 (8)4.3确定服务管理体系范围 (8)4.4服务管理体系 (9)5 领导 (9)5.1领导和承诺 (9)5.2 方针 (9)5.1.1制定服务管理方针 (9)5.1.2沟通服务管理方针 (9)5.3 组织的角色，责任和权限 (9)6 策划 (10)6.1应对风险和机遇的措施 (10)6.2服务管理目标及其实现策划 (10)6.2.1 制定目标 (10)6.2.2策划实现目标 (10)6.3策划服务管理体系 (11)7 支持 (11)7.1 资源 (11)7.2 能力 (11)7.3 意识 (11)7.4 沟通 (12)7.5 成文信息 (12)7.5.1 总则 (12)7.5.2创建和更新 (12)。

最新的ISO IEC20000-1-2018信息技术服务管理体系管理手册和程序文件文件编号：修订状态：A/0服务管理体系手册文件版本：A受控状态：受控发布实施日期：2020-03-26密级：内部公开XXXX有限公司0概述0.1手册管理0.2发布令0.3公司简介0.4管理者代表任命书1范围1.1总则1.2应用2规范性引用文件3术语和定义3.1有关管理系统标准的术语4组织环境4.1理解组织及其环境4.2理解相关方的需求和期望4.3确定服务管理体系范围4.4服务管理体系5领导作者：李柏伦翻版必5.1领导和承诺5.2方针5.1.1制定服务管理方针5.1.2沟通服务管理方针5.3组织的角色，责任和权限6策划6.1应对风险和机遇的措施6.2服务管理目标及其实现策划6.2.1制定目标6.2.2策划实现目标6.3策划服务管理体系7支持作者：李柏伦翻版盗7.1资源7.2能力7.3意识7.4沟通7.5成文信息7.5.1总则7.5.2创建和更新7.5.3成文信息的控制7.5.4服务管理系统成文信息7.6知识8运行8.1运行策划和控制8.2服务组合8.2.1服务交付8.2.2策划服务8.2.3控制服务生命周期的相关方8.2.4服务目录管理8.2.5资产管理8.2.6配置管理8.3关系与协议8.3.1总则8.3.2业务关系管理8.3.3服务级别管理8.3.4供应商管理8.4供应与需求8.4.1服务预算与核算8.4.2需求管理8.4.3能力管理8.5服务设计、构建与转换8.5.1变更管理8.5.2服务设计与转换8.5.3发布与部署管理8.6解决与完成8.6.1事件管理8.6.2服务请求管理8.6.3问题管理8.7服务保障8.7.1服务可用性管理8.7.2服务连续性管理8.7.3信息安全管理9绩效评价219.1监视、测量、分析和评价9.2内部审核9.3管理评审9.4服务报告10改进10.1不符合及纠正措施10.2持续改进附件1：程序文件清单附件2：职责分配表附件3：组织架构图程序文件清单1《组织经营环境分析及相关方管理控制程序》2《风险和机遇的应对控制程序》3《服务管理体系策划控制程序》4《人力资源控制程序》5《信息沟通控制程序》6《成文信息控制程序》7《组织知识控制程序》8《运行策划及过程控制程序》9《服务交付控制程序》10《策划服务控制程序》11《业务连续性制程序》12《相关方控制程序》13《服务目录管理控制程序》14《配置管理控制程序》15《供应商管理控制程序》16《业务关系管理控制程序》17《服务级别管理控制程序》18《供应与需求管理控制程序》19《服务设计、构建与转换控制程序》20《变更控制程序》21《服务事件解决与完成控制程序》22《服务保障及信息安全控制程序》23《监视、测量、分析及评价控制程序》24《顾客满意度控制程序》25《内部审核控制程序》26《管理评审控制程序》27《服务报告控制程序》28《不符合及纠正措施控制程序》29《持续改进控制程序》30《记录控制程序》0.概述0.1手册管理a）本手册由管理者代表审核、总裁批准发布实施；b）本手册适用于XXXX所有与IT服务业务有关的部门和员工；c）本手册分为“受控”和“不受控”两类；d）“受控”版本是现行有效版本，随XX内外环境的变化而修订。

审核组成员任命书编号：DK-QMS-P03-R01根据公司质量手册规定，拟于2019年2月10 H-11日对公司进行《信息安全&信息技术服务管理》管理体系内部审核。

现任命_XXX_为审核组长，_XXX_为审核组成员，并做以下工作:1.于2019年2月10日前提出此次审核计划上报管理者代表审批（审核组长）；2.于2019年2月25日前向管理者代表提交审核报告（审核组长）。

管理者代表：XXX2019年1月4日DK-QMS-P04(A)-R012019年度内部审核计划为验证本公司各部门的信息安全管理活动是否符合IS027001：2013《信息技术-安全技术-信息安全管理体系要求》《IS020000-1： 2018信息技术-服务管理体系-要求》标准、相关法律法规的要求和《信息安全&信息技术服务管理》要求以及《信息安全&信息技术服务管理》体系的有效性，根据《信息安全&信息技术服务管理》和《内部审核管理程序》的要求，安排进行2019年度内部审核和管理评审，内部审核工作进行一次，管理评审工作进行一次，具体时间计划如下：一、2019年2月10日至11 0,进行公司第一次《信息安全&信息技术服务》管理体系内部审核。

二、2019年2月初，进行公司第一次信息安全管理评审。

内部审核的范围应覆盖信息安全管理体系所有部门和活动，根据实际情况，由管理者代表提出，总经理批准可增加审核频次。

编制：XXX批准：XXX2019年2月4日《信息安全&信息技术服务》管理体系内审实施计划第1页共2页第2页共2页审核通知书编号：NS-JL-03 审核的目的：评价公司的《信息安全&信息技术服务》管理体系是否符合标准要求，是否覆盖所有的部门，运行是否有效。

审核准则：IS027001：2013 标准；《信息安全&信息技术服务管理手册》和相关法律法规等。

审核日期2019年2月10日——2019年2月11日受审核部门管理层、综合部、市场部、技术部审核组审核组长：谢XX组员：王XX编制：XXX 批准：XXX 日期：2019年1月31日DK-QMS-P04(A)-R04内审检查表DK-QMS-P04(A)-R04内审检查表DK-QMS-P04(A)-R04内审检查表DK-QMS-P04(A)-R04内审检查表DK-QMS-P04(A)-R06内部审核报告签署：贺XX 2019年2月11日内审不合格报告单DK-QMS-P04(A)-R05内审不合格报告单受审核部门技术部审核日期2019 年 2 月10 H-11 日不合格事实描述:配置项的访问控制权限不清晰。

审核组成员任命书编号：DK-QMS-P03-R01根据公司质量手册规定，拟于2019年2月10 H-11日对公司进行《信息安全&信息技术服务管理》管理体系内部审核。

现任命_XXX_为审核组长，_XXX_为审核组成员，并做以下工作:1.于2019年2月10日前提出此次审核计划上报管理者代表审批（审核组长）；2.于2019年2月25日前向管理者代表提交审核报告（审核组长）。

管理者代表：XXX2019年1月4日DK-QMS-P04(A)-R012019年度内部审核计划为验证本公司各部门的信息安全管理活动是否符合IS027001：2013《信息技术-安全技术-信息安全管理体系要求》《IS020000-1： 2018信息技术-服务管理体系-要求》标准、相关法律法规的要求和《信息安全&信息技术服务管理》要求以及《信息安全&信息技术服务管理》体系的有效性，根据《信息安全&信息技术服务管理》和《内部审核管理程序》的要求，安排进行2019年度内部审核和管理评审，内部审核工作进行一次，管理评审工作进行一次，具体时间计划如下：一、2019年2月10日至11 0,进行公司第一次《信息安全&信息技术服务》管理体系内部审核。

二、2019年2月初，进行公司第一次信息安全管理评审。

内部审核的范围应覆盖信息安全管理体系所有部门和活动，根据实际情况，由管理者代表提出，总经理批准可增加审核频次。

编制：XXX批准：XXX2019年2月4日《信息安全&信息技术服务》管理体系内审实施计划第1页共2页第2页共2页审核通知书编号：NS-JL-03 审核的目的：评价公司的《信息安全&信息技术服务》管理体系是否符合标准要求，是否覆盖所有的部门，运行是否有效。

审核准则：IS027001：2013 标准；《信息安全&信息技术服务管理手册》和相关法律法规等。

审核日期2019年2月10日——2019年2月11日受审核部门管理层、综合部、市场部、技术部审核组审核组长：谢XX组员：王XX编制：XXX 批准：XXX 日期：2019年1月31日DK-QMS-P04(A)-R04内审检查表DK-QMS-P04(A)-R04内审检查表DK-QMS-P04(A)-R04内审检查表。

ISO19011 标准（审核员分行业：背景要求）审核员特质1、开放的思想2、外交能力3、观察力4、理解力5、多才多艺6、不屈不挠7、坚定8、自信高质量的概念是：高于客户期望值ISO/IEC 20000-1 为审核活动提供了一个标准（强制标准，审核员用）ISO/IEC 20000-2 实践规则（实施参考）ITIL是最佳实践的解释比ISO/IEC 20000-2 更详细。

认证范围针对内部和外部的服务提供商认证（本身）不适用于提供最佳实践建议的组织对服务管理工具类的产品进行认证是不可能的咨询组织的作用是为独立审核的准备提供建议解决流程事件、服务请求和问题管理服务台提供单一的联系点服务的支持和维护解决方案的目标应该包含在服务级别协议里，应该基于优先级(影响和紧迫性) 影响应该基于破坏业务的规模紧迫性应该基于业务受影响的时间知识库应在工作有效性的基础上进行维护服务交付流程–服务级别、服务连续性和可用性、容量、财务、信息安全管理–以客户和业务为中心–长期流程，需制定计划–服务和服务级别的持续改进–注意ISO/IEC20000在流程名称上有‘服务报告’和其他细小的差别关系流程(1)关系流程应该确保所有相关方都：理解和满足业务需要理解能力和限制理解职责和义务▪ 流程应该确保客户满意度水平是适当的，未来的业务需求要得到充分的沟通和理解。

关系流程(2)▪ 应该确定和商定业务供应商关系的范围、角色和职责，包括:–识别利益相关方–联系人–沟通渠道和频率需考虑的角色?▪ 高管层 / 管理代表▪ 服务提供方▪ 供应商▪ 组织 / 内部小组▪ 客户 / 作为供应商的客户▪ 利益相关方▪ 内审员▪ 业务关系经理▪ 供应商经理▪ 服务经理▪ 流程负责人▪ 职能经理 (如：变革经理)业务关系管理是纯粹的客户感受服务管理体系要求▪ 一组强制性要求（13个流程）（必须） ▪ 内容目录引言1. 范围2. 标准化参考3. 术语与定义4. 服务管理体系总要求5. 新的或变更的服务的设计和转换6. 服务交付流程7. 关系流程8. 解决流程9. 控制流程计划P、执行D、检查C、处理A(戴明环) (4)▪ 计划：建立服务管理体系、形成文件并达成一致，体系包括满足服务要求必需的政策、目标、计划和流程▪ 执行：实施和运行服务管理体系▪ 检查：对照政策、目标、计划和要求对服务管理体系进行监督、衡量和评审，并报告结果▪ 处理：采取措施持续改进服务管理体系和服务的绩效监督和评审服务管理体系(检查) (4.5.4)▪ 服务提供方应使用合适的方法来监督和衡量服务管理体系和服务，包括内审和管理评审，这两者都:–把目标形成文档–证实服务管理体系和服务能够达成服务管理目标并满足要求的能力–识别出针对标准本部分要求、服务管理体系要求和服务需求的不符合项–应记录内审和管理评审的结果和处理措施并与相关方沟通监督和评审服务管理体系(检查) (4.5.4)应进行内审以确定服务管理体系和服务是否得到了有效实施和维护并且满足了相应的要求，包括:–程序文档，审核规划，以及确定的标准、范围、频率和方法–审核员的选择和行为应确保客观性和公正性(一定不能审自己的工作)–对不符合项进行沟通并划分优先级，对处理措施的责任进行分派–纠正措施不应该耽搁，应对采取的措施进行验证，并报告结果初始认证审计：DR(文件审计) +IV 初访IA 初审（做完DR-IV不能少于1个月,不超过3个月）PA 年审RA 重新认证审核管理评审：高管层应按照规划的间隔评审服务管理体系和服务的适应性和有效性，确定改进的机会。

ISO/IEC 20000-1:2018新旧版变化ISO/IEC 20000-1:2018《信息技术服务管理第1部分：服务管理体系要求》已于2018年9月15日发布，距2011版正式发布已有7年。

修订后的标准更注重从战略角度出发，为组织及其客户提供优化的服务。

帮助组织响应不断增长的服务需求和适应不断变化的服务交付环境。

同时，根据我国认证认可规则，新版本标准发布后3年为转换期，即2021年9月之后，ISO/IEC 20000-1:2011证书将不再有效，已获证企业需要在此之前完成转版审核。

新版本ISO/IEC 20000-1:2018的变化方向是：采用高阶结构（High level stracture,HLS），与其他新版ISO管理体系标准（如ISO 9001:2015和ISO/IEC 27001:2013）采用的通用核心文本及定义相一致。

总体变化如下：1.思路变化与ISO/IEC20000-1：2011相比，本次修订的主要技术变化如下：（1）考虑到了关键服务管理趋势；（2）更加注重服务的策划以促进绩效提升；（3）更加注重领导力和战略，以确保为用户和客户提供更优的服务表现；（4）标准采用了高阶结构，与所有其他新的管理体系标准保持一致。

当然，新版本的变化还包括对服务策划和服务交付的要求，同时增加了知识管理、资产管理、需求管理。

因为采用高阶结构，所以也增加了通用要求，包括组织情境、管理风险和机会的措施。

新版标准更加注重管理活动和质量保证，大幅减少对过程和规程的设计和实施的要求。

包括多服务供应商服务环境下提供的生态系统，更加强调高质量服务管理，而非试图统一所有参与方的过程。

删除专注于提供服务的细节，并允许组织自由地满足要求。

2.架构变化ISO/IEC 20000-1:2018标准基于所有ISO管理体系标准的高阶结构（来自ISO/IEC Directives Part1的综合补充附件AnnexSL）进行了结构重组。