ISO20000-2018信息技术服务管理体系全套体系文件模板汇编(管理手册+程序文件)

ISO20000-2018信息技术服务管理-服务管理体系全套体系文件模板汇编（1份手册+26份程序文件）
文件清单
序号文件名称文件编号
1 信息安全与信息技术服务管理手册MC-ITISMS-M-01
2 事件管理程序MC-ITSMS-P-01
3 问题管理程序MC-ITSMS-P-02
4 变更管理程序MC-ITSMS-P-03
5 配置管理程序MC-ITSMS-P-04
6 发布管理程序MC-ITSMS-P-05
7 客户投诉处理程序MC-ITSMS-P-06
8 客户满意度调查程序MC-ITSMS-P-07
9 可用性管理程序MC-ITSMS-P-08
10 持续性管理程序MC-ITSMS-P-09
11 能力管理程序MC-ITSMS-P-10
12 内部审核程序MC-ITSMS-P-11
13 管理评审程序MC-ITSMS-P-12
14 服务改进管理程序MC-ITSMS-P-13
15 服务级别管理程序MC-ITSMS-P-14
16 服务报告管理程序MC-ITSMS-P-15
17 服务策划与实施管理程序MC-ITSMS-P-16
18 供应商管理程序MC-ITSMS-P-17
19 服务预算及核算管理程序MC-ITSMS-P-18
20 客户关系管理程序MC-ITSMS-P-19
21 信息安全管理程序MC-ITSMS-P-20
22 文件控制程序MC-ITSMS-P-21
23 记录控制程序MC-ITSMS-P-22
24 人力资源管理程序MC-ITSMS-P-23
25 组织环境与相关方要求管理程序MC-ITSMS-P-24
26 风险和机遇的应对控制程序MC-ITSMS-P-25
27 不符合与纠正措施管理程序MC-ITSMS-P-26
•管理手册整合了ISO27001信息安全管理体系的内容，对于仅有ISO20000-2018信息技术服务管理体系的认证审核不受影响；
•各程序文件位置已添加书签，方便查看；
•管理手册全文可预览。

信息安全与信息技术服务管理手册
文件编号：MC-ITISMS-M-01
版本：A0
（依据ISO27001: 2013/ISO20000-1: 2018标准编制）
编制：
审核：
批准：
××××××有限公司发布
修订履历
目录
0.1 颁布令 (5)
0.2 管理者代表授权书 (6)
0.3 企业概况 (7)
0.4 手册的管理 (8)
1 范围 (9)
2 规范性引用文件 (9)
3 术语和定义 (10)
4 组织环境 (11)
4.1 理解组织及其环境 (11)
4.2 理解相关方的需求和期望 (11)
4.3 确定管理体系的范围 (12)
4.4 信息安全管理体系 (13)
4.5 信息技术服务管理体系 (13)
5 领导 (15)
5.1 领导和承诺 (15)
5.2 方针 (16)
5.3 组织角色、职责和权限 (16)
6 策划 (17)
6.1 应对风险和机会的措施 (17)
6.2 管理目标及其实现策划 (19)
6.3 策划信息技术服务管理体系 (19)
7 支持 (20)
7.1 资源 (20)
7.2 能力 (20)
7.3 意识 (20)
7.4 沟通 (21)
7.5 文件化信息 (21)
8 运行 (23)
8.1 运行策划和控制 (23)
8.2 信息安全风险评估与信息技术服务组合 (23)
8.3 信息安全风险处置与关系、协议管理 (26)
8.4 供应与需求 (28)
8.5 服务设计、构建与转换 (29)
8.6 解决与完成 (32)
8.7 服务保障 (34)
9 绩效评价 (36)
9.1 监视、测量、分析和评价 (36)
9.2 内部审核 (36)
9.3 管理评审 (37)
9.4 信息技术服务报告 (39)
10 改进 (39)
10.1 不符合及纠正措施 (39)
10.2 持续改进 (40)
附录A组织机构图 (41)
附录B 信息安全与信息技术服务管理职责表 (41)
附录C 办公区域平面图 (43)
附录D 信息安全与信息技术服务管理职责分配表 (44)
附录E 方针和目标 (46)
E.1 信息技术服务管理方针和目标 (46)
E.2 信息安全管理方针和目标 (47)
0.1 颁布令
为提高××××××有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，以及规范我公司IT信息技术服务管理，提供满足顾客要求的信息技术服务，我公司开展贯彻《ISO27001: 2013信息技术-安全技术-信息安全管理体系-要求》和《ISO20000-1: 2018 信息技术-服务管理体系-要求》国际标准的工作，建立、实施和持续改进文件化的信息安全与信息技术服务管理体系，制定了《信息安全与信息技术服务管理手册》（以下简称为“手册”）。

手册是企业的纲领性文件，是指导企业建立并实施信息安全与信息技术服务管理体系的纲领和行动准则，用于贯彻企业的信息安全与信息技术服务管理方针、目标，实现信息安全和信息技术服务管理体系有效运行、持续改进，体现企业对社会的承诺。

手册符合有关信息安全法律、法规要求及《ISO27001:2013 信息技术-安全技术-信息安全管理体系-要求》、《ISO20000-1: 2018 信息技术-服务管理体系-要求》标准和企业实际情况，现正式批准发布，自2020年02月01日起实施，企业全体员工必须遵照执行。

全体员工必须严格按照手册的要求，自觉遵循信息安全和信息技术服务管理方针，贯彻实施本手册的各项要求，努力实现公司信息安全与信息技术服务管方针和目标。

总经理：***
2020年02月01日
0.2 管理者代表授权书
为贯彻执行信息安全与信息技术服务管理体系，满足《ISO27001: 2013 信息技术-安全技术-信息安全管理体系-要求》、《ISO20000-1: 2018 信息技术-服务管理体系-要求》标准的要求，加强领导，特任命 *** 为我公司信息安全与信息技术服务管理者代表。

授权者代表有如下职责和权限：
1.确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全和信息技术服务管理体系；
2.负责与信息安全与信息技术服务体系有关的协调和联络工作；
3.确保在整个组织内提高信息安全风险的意识；
4.审核风险评估报告、风险处理计划；
5.负责组织编写和批准发布程序文件，负责年度培训计划、支持性文件的审批。

6.主持信息安全与信息技术服务理体系内部审核，任命审核组长，批准内审工作报告；
7.向总经理报告信息安全与信息技术服务管理体系的运行情况和所有改进要求，包括内外部审核情况。

本授权书自任命日起生效执行。

总经理：***
2020年02月01日
0.3 企业概况
××××××有限公司（以下简称为“公司”）成立于199×年4月，是一家集IT产品软硬件销售、提供技术服务、系统集成的计算机公司，目前公司技术力量雄厚，硬件设备、设施充足。

大专学历以上专业技术人员占90%，公司注册资本5000万元人民币。

公司以*****大学软件学院为依托，凭借其雄厚的技术优势，以市场为导向，以软件产品的开发带动硬件产品的销售，成为一家专业的计算机公司。

现已开发使用的软件产品有：继电保护管理系统、IT服务管理系统、广州电信定纲定编管理系统、采购管理系统、在线学习考试系统、计重收费业务培训系统、实验室管理系统等。

在硬件方面，公司代理了HP（惠普）、IBM、联想、清华同方等计算机产品，为CISCO、3COM、实达、IBDN、AVAYA等厂商的系统集成伙伴，承接校园网络、企业内部网，为用户提供新技术咨询，系统论证，方案设计、分析，网络安全评估，技术培训，系统工程维护。

公司主要大客户有：***********等。

公司现已成为*****电脑设备采购唯一指定供应商、******指定设备维护点、*******有限公司设备现场维护及供应商。

经过多年的发展,公司已形成完善的企业架构，公司始终坚持“创新求生存、服务创效益、信誉促发展”的管理方针，在IT产业日新月异的今天，将以更成熟，更优质的服务为客户提供最佳的解决方案。

公司名称：
企业法人：
地址：
电话：
0.4 手册的管理
1.《信息安全与信息技术服务管理手册》的批准
管理者代表负责组织手册的编制，总经理负责手册的批准。

2.手册的发放、更改、作废与销毁
a）综合部负责按《文件管理程序》的要求，进行手册的登记、发放、回收、更改、归档、作废与销毁工作；
b）相关部门按照受控文件的管理要求对收到的手册进行使用和保管；
c）综合部按照规定发放修改后的手册，并收回失效的文件做出标识统一处理，确保有效文件的唯一性；
d）综合部保留手册修改内容的记录。

3.手册的换版
当存在以下情况时，需对手册进行修订和换版：
a）依据的《ISO27001: 2013 信息技术-安全技术-信息安全管理体系-要求》和《ISO20000-1: 2018 信息技术-服务管理体系-要求》标准有重大变化；
b）组织的结构发生变化；
c）内外部环境、生产技术、信息安全风险等发生重大改变；
换版应在管理评审时形成决议，重新实施编、审、批工作。

4.手册的控制
a）本手册标识分受控文件和非受控文件两种：
——受控文件发放范围为公司领导、各相关部门的负责人、内审员（除综合部存档外，其他相关人员均以电子版形式发放）；
——非受控文件指印制成单行本，作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。

b）手册有书面文件和电子文件，电子版本文件的有效格式为Word文档保护格式。

1 范围
从组织环境的角度考虑，为建立、实施、运行、监视、评审、保持和改进文件化的信息安全与信息技术服务管理体系，确定信息安全与信息技术服务方针和目标，对信息安全与信息技术服务进行有效管理，确保全体员工理解并遵照执行信息安全与信息技术服务管理体系文件、持续改进信息安全与信息技术服务管理体系的有效性，特制定本手册。

本手册从组织环境的角度规定了××××××有限公司信息安全与信息技术服务理体系要求、管理职责、内部审核、管理评审和信息安全和信息技术服务管理体系改进等方面内容。

本手册适用于××××××有限公司业务活动所涉及的与软件的研发和系统集成服务相关的信息安全管理活动。

及××××××有限公司为客户提供计算机信息系统集成，应用软件开发及相关运维服务相关的信息技术服务管理活动。

本手册采用了《ISO27001: 2013 信息技术-安全技术-信息安全管理体系-要求》和《ISO20000-1: 2018 信息技术-服务管理体系-要求》标准正文的全部内容。

2 规范性引用文件
下列文件中的条款通过引用而成为本手册的条款。

凡是标注日期的引用文件，其随后所有的修改单或修订版均适用于本标准，然而，相关部门应研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。

ISO/IEC 20000-1: 2018 《信息技术-服务管理体系-要求》
ISO/IEC 20000-5: 2018 《信息技术-服务管理实施策划示例》
ISO/IEC 20000-2: 2019 《信息技术-服务管理实施指南》
ISO/IEC 20000-3: 2012 《信息技术-服务管理范围定义和适用性指南》
ISO/IEC 27001: 2013 《信息技术-安全技术-信息安全管理体系-要求》
ISO/IEC 27000《信息技术-安全技术-信息安全管理体系-概述和词汇》
ISO/IEC 27002: 2013《信息技术-安全技术-信息安全管理实用规则》
3 术语和定义
ISO/IEC 27000《信息技术-安全技术-信息安全和信息技术服务管理体系-概述和词汇》、ISO/IEC 20000-1: 2018信息技术-服务管理体系-要求》、ISO20000-2：2005《信息技术服务管理实施指南》、ISO/IEC 20000-5:2018《信息技术-服务管理实施策划示例》中规定的术语和定义适用于本手册外，以下定义同样适用。

3.1 信息系统
信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统，是一个由人、计算机及其他外围设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。

3.2 计算机病毒
指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

3.3 信息安全事件
指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。

3.4 相关方
关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。

主要为：政府、上级部门、供方、用户等。

4 组织环境
4.1 理解组织及其环境
公司应确定与其目标相关并影响其实现信息安全和信息技术服务管理体系预期结果的能力的外部和内部问题。

4.1.1 内部问题
a)公司推行信息安全和信息技术服务管理体系的时间不长，内部制度的建
立还有很大提升空间；
b)内部人员对信息安全和信息技术服务体系的理解还需要提升；
c)人才储备不够；
d)人员成本控制较高。

4.1.2 组织外部问题
a)来自其他品牌的竞争；
b)法律法规的变化；
c)客户方对项目要求高、工期紧。

4.2 理解相关方的需求和期望
公司信息安全风险评估小组应定期识别和确定与信息安全和信息技术服务管理体系有关的相关方。

这些相关方包括与本公司信息安全和信息技术服务绩效有利益关系的组织和个人，主要为：
a)政府机构；
b)上级部门**技术研究所；
c)供方；
d)客户等。

政府机构和上级部门的要求详见《法律法规清单》，客户和供方的要求包含在合同要求中。

4.3 确定管理体系的范围
本公司根据组织环境、内外部面临的问题、相关方的需求和期望、组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性定义了信息安全与信息技术服务管理体系的边界和适用性，本公司信息安全与信息技术服务管理体系的范围如下：
4.3.1 信息安全范围：
与计算机信息系统集成，应用软件开发及相关运维服务相关的信息安全管理活动。

4.3.2 信息技术服务范围：
为客户提供计算机信息系统集成，应用软件开发及相关运维服务相关的信息技术服务管理活动。

与4.3.1、4.3.2范围活动相关的信息系统、各部门（包括市场部，技术部，综合部）的所有员工，活动、产品包含的全部信息资产（不在体系覆盖范围内的相关部门，以公司内部相关方形式出现）。

4.3.3 组织范围：
本公司信息安全与信息技术服务管理体系适用的组织范围，见<附录A 组织机构图>。

4.3.4 物理范围
中国**省**市*********
本公司信息安全与信息技术服务管理体系的物理范围安全边界详见<附录 C 办公区域平面图>。

4.4 信息安全管理体系
本公司在日常经营管理活动中，按ISO/IEC 27001: 2013《信息技术-安全技术-信息安全管理体系-要求》规定，建立、实施、保持和持续改进信息安全管理体系。

信息安全管理体系使用的过程基于图1所示的PDCA模型。

图1 信息安全管理体系模型
4.5 信息技术服务管理体系
本公司IT服务管理团队按照 ISO20000-1：2018标准的要求，遵循 PDCA 模式策划、实施、检查和改进IT服务管理体系。

信息技术服务管理体系使用的过程基于图2所示的PDCA模型。

图2 信息技术服务管理体系模型
4.5.1 策划（P）
IT负责人负责组织策划ITSMS的实施和发布，同时建立、实施和维护服务管理计划。

服务管理策划/计划应包含或引用至少以下内容：
a)由本公司IT服务部门来实现的服务管理目标；
b)服务要求；
c)影响服务管理体系的已知限制；
d)策略、标准和法律法规要求和合同义务；
e)权限、职责和流程角色框架；
f)针对计划、服务管理流程和服务的权限和职责；
g)完成服务管理目标所需要的人力、技术、信息和财务资源；
h)在与其它各方合作时采取的步骤，包括设计和转化新的或的服务流程；
i)对服务管理流程和服务管理体系的其它组成部分进行整合时接口的步骤。

j)风险管理和接受风险的准则的步骤；
k)用于支持服务管理体系的技术；
l)服务管理体系和服务的成效需要被测量、报告和改进。

特定流程的计划应与服务管理计划相一致。

该服务管理计划和特定流程的计划，应按照计划的时间间隔进行评估，如果适用，进行更新。

4.5.2 实施（D）
本公司根据服务管理计划，通过策划、转化、交付和提高来实施和运行服务管理体系，包含但不限于以下行为：
a)为服务实施准备资金并做好预算分配，有效管理预算执行，以确保服务
管理体系能够按步骤、持续的完成实施；
b)建立专业的IT服务团队，合理分配服务角色和职责，通过任命或招聘的
方式确保人员到位；
c)对IT服务管理团队，技术和信息资源进行有效的管理；
d)设定相关KPI指标确保过程运行质量，识别、评估并控制IT服务的风险；
e)按照各个服务管理流程的方针、计划、程序和定义实施服务管理；
f)根据IT服务报告管理过程要求，定期出具IT服务管理体系运行相关报
告以对服务管理行为的绩效进行监控和报告。

4.5.3 监视、测量和评审（C）
公司建立内部审核及管理评审控制程序等以及ITSMS的有效性和服务效果进行监督和度量。

以证实ITSMS和各项服务的能力可以实现服务管理目标并达到服务的要求。

同时已识别不符合本部分的ISO/IEC 20000-1:2018的要求，包括服务提供者或服务要求确定ITSMS的要求。

对内部审核和管理评审的结果予以记录，其中包括不符合项，关注以及确定的行动。

并将结果和行动通知各利益相关方。

4.5.4 改进（A）
各部门通过实施过程以识别、测量、报告，并进行持续改进活动，包括：
a)过程所有者可使用日常的活动来实施单个过程的改进，即实施单个的纠
正和预防措施；
b)跨组织或涉及多个过程的改进。

5 领导
5.1 领导和承诺
高层管理者应通过以下方式展示其关于信息安全与信息技术服务管理体系的领导力和承诺：
a)确保制定信息安全和信息技术服务管理体系的方针和目标，与战略方向
一致；
b)确保将信息安全与信息技术服务管理体系要求整合到组织的业务过程中；
c)确保信息安全与信息技术服务管理体系所需资源可用；
d)确保对信息技术服务生命周期的相关方进行控制和管理；
e)传达信息安全与信息技术服务管理有效实施、符合信息安全与信息技术
服务管理体系要求的重要性；
f)确保信息安全与信息技术服务管理体系实现其预期结果；
g)指挥并支持人员为信息安全与信息技术服务管理体系的有效实施做出贡献；
h)确保为组织和确定的客户创造价值；
i)沟通有效的信息技术服务管理的重要性，实现信息技术服务管理目标，交付
价值和符合信息技术服务管理体系的要求；
j)促进持续改进；
k)支持其他相关角色在其职责范围内展示他们的领导力。

l)定期对信息安全与信息技术服务管理体系进行内审和管理评审，以确保体系的适宜性、充分性和有效性；
5.2 方针
高层管理者应建立信息安全与信息技术服务方针。

(见信息安全与信息技术服务方针目标文件)。

5.3 组织角色、职责和权限
本公司总经理为信息安全与信息技术服务管理体系的最高责任者。

总经理指定了信息安全与信息技术服务管理者代表。

无论信息安全与信息技术服务管理者代表在其他方面的职责如何，对信息安全负有以下职责：
a)建立并实施信息安全与信息技术服务管理体系必要的程序并维持其有效
运行；
b)对信息安全与信息技术服务管理体系的运行绩效向总经理报告；
c)对各部门的信息安全与信息技术服务管理体系的运行情况在公司内部进
行通告。

各部门负责人为本部门信息安全与信息技术服务管理责任者，全体员工都应按信息安全与信息技术服务管理体系的要求自觉履行信息安全义务。

各部门、人
员有关信息安全与信息技术服务职责分配见<附录 D 信息安全与信息技术服务管理职责分配表>。

6 策划
6.1 应对风险和机会的措施
6.1.1 当策划信息安全和信息技术服务管理体系时，要考虑公司面临的内外部问题、相关方的要求和期望，确定需要应对的风险和机会。

a)确保信息安全和信息技术服务管理体系能实现其预期效果；
b)防止或减少意外的影响；
c)实现持续改进。

6.1.2 公司应策划以下方面的文件化信息：
a)有关的风险：
1)组织；
2)不满足信息安全和信息技术服务要求；
3)信息技术服务生命周期中的相关方。

b)风险对客户的影响和信息安全、服务管理体系及其机遇；
c)风险接受标准；
d)风险管理的方法。

6.1.3 公司应策划
a)应对风险和机遇的措施及优先级；
b)如何
1)将这些措施整合到信息安全和信息技术服务管理体系过程中，并予
以实现；
2)评价这些措施的有效性。

6.1.4 信息安全风险评估
相关部门负责组织制定《信息安全风险识别与评价管理程序》，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。

信息安全风险评估依据《信息安全风险识别与评价管理程序》进行，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。

a)识别风险
在已确定的信息安全和信息技术服务管理体系范围内，本公司按《信息安全风险识别与评价管理程序》识别与信息保密性、完整性和可用性损失有关的风险，并确定每个风险的负责人。

b)分析和评价风险
本公司按《信息安全风险识别与评价管理程序》规定，分析风险发生的可能性和可能导致的潜在后果，并计算风险等级。

根据风险接受准则，判断风险为可接受或需要处理。

6.1.5 信息安全风险处置
组织相关部门根据风险评估的结果，对风险进行处置，确定风险控制措施。

对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：
a)控制风险，采用适当的内部控制措施；
b)接受风险（不可能将所有风险降低为零，但可控制到可接受范围内）；
c)避免风险（如物理隔离）；
d)转移风险（如将风险转移给保险者、供方、分包商）。

控制措施的选择原则来源于 ISO27001: 2013《信息技术-安全技术-信息安全管理体系-要求》附录A。

本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。

对风险处置计划要得到风险负责人的批准，风险处置后的剩余风险，也要得到风险责任人的批准。

相关部门负责组织编制《信息安全适用性声明》（SOA）。

该声明包括以下方面的内容：
a)所选择控制目标与控制措施的概要描述，以及选择的原因；
b)对ISO27001: 2013 附录A中未选用的控制目标及控制措施理由的说明。

6.2 管理目标及其实现策划
6.2.1 信息安全目标和实现规划
公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标，并在全公司发布，参见信息安全方针目标文件。

6.2.2 信息技术服务管理目标及其实现策划
公司IT服务最高管理者应确保对信息技术服务管理的策划：
a)制定适宜的IT服务管理目标，以明确公司IT服务管理的宗旨；
b)包括构建信息技术服务管理框架，确保正确地、清晰地理解客户需求，
有效地满足客户需求和提高客户满意度，实现对客户服务需求的承诺；
c)包括持续改进SMS（服务管理体系）成效的承诺和包括通过在第4.5节
中介绍的持续改策略的服务承诺；
d)提供一个建立和检查服务管理目标的框架；
e)公司的所有IT服务员工都要严格遵守并理解公司的IT服务方针、程序
和制度。

建立服务持续性管理过程，对服务持续适宜性进行评审。

6.3 策划信息技术服务管理体系
公司应制定、实施和维护信息技术服务管理计划。

计划应考虑到服务管理方针，服务管理目标，风险与机遇。

服务要求和ISO20000-1：2018标准的要求。

服务管理计划应包含或引用以下内容：。