IT服务管理手册V1.0

XXX有限公司ISO20000体系文件IT服务管理手册文档信息文档编号：ITSM-01-QM-01文档名称：IT服务管理手册起草人：审核人：批准人：生效日期：发布范围：内部使用版本记录版本号版本日期修改修改章节修改记录

目录TOC\o"1-4"\h\z\u目录 III1 手册批准页 1IT服务管理手册发布书 1IT服务管理者代表任命书 22 编写目的 33 适用范围 34 术语定义 35 IT服务管理体系总要求 35.1 认证范围 35.2 认证标准 45.3 服务方针 45.4 服务目标 45.5 服务管理组织及职责 45.5.1组织架构 45.6 体系说明 45.6.1管理职责 55.6.1.1管理承诺 55.6.1.2IT服务管理政策 55.6.1.3权利、职责和沟通要求 65.6.1.4管理者代表权利与职责 65.6.2治理由其他方运行的流程 65.6.3文件要求 75.6.3.1文件的建立及维护 75.6.3.2文件控制 75.6.3.3记录管理 85.6.4资源管理 85.6.4.1资源提供 85.6.4.2人力资源 85.7 服务管理体系&PDCA 95.7.1IT服务管理体系的计划（Plan） 95.7.1.1将要执行的流程 105.7.1.2各流程之间的接口 105.7.2IT服务管理体系的建立(Do) 115.7.3IT服务管理体系的检查(Check) 125.7.3.1内部审核 125.7.3.2管理评审 135.7.4服务管理体系的改进（Action） 135.7.4.1概述 135.7.4.2改进的管理 146 设计并转换新的或变更的服务 146.1 总则 146.2 策划新的或变更的服务 146.3 设计和开发新的或变更的服务 156.4 转换新的或变更的服务 167 服务交付过程 167.1 服务级别管理 167.2 服务报告管理 177.3 连续性与可用性管理 177.3.1服务的连续性与可用性要求 177.3.2服务的连续性与可用性计划 187.3.3服务连续性与可用性管理 187.4 IT服务预算与核算管理 197.5 容量管理 197.6 信息安全管理 207.6.1信息安全策略 207.6.2信息安全控制措施 207.6.3信息安全的变更和事件 218 关系过程 218.1 业务关系管理 218.2 供应商管理 229 解决过程 239.1 事件和服务请求管理 239.2 问题和知识管理 2410 控制过程&发布过程 2510.1 配置管理 2510.2 变更管理 2710.3 发布和部署管理 2811 手册结论 29手册批准页IT服务管理手册发布书本《IT服务管理手册》是根据GB/T24405.1-2009/ISO/IEC20000：2011和GB/T19011的要求，并结合运维及IT服务部实施IT服务管理。实际制定的IT服务管理手册为运维及IT服务部的服务活动提供了统一的标准和行为准则,是运维及IT服务部的IT服务管理体系纲领性文件。运维及IT服务部全体工作人员必须严格遵照执行,任何部门和人员都不得偏离。

自本手册自生效之日起。拟制：2016年12月21日审核：2016年12月30日批准：2017年1月2日IT服务管理者代表任命书为加强对IT服务管理体系建立、实施和保持的领导，现任命XXX为运维及IT服务部的管理者代表，并赋予运维及IT服务部《IT服务管理手册》中规定的管理者代表与IT服务管理体系有关的相应职责和权限。IT服务管理手册编写目的IT服务管理手册的编写是根据《ISO/IEC20000-1:2011信息技术-服务管理规范》（以下简称“ISO20000”）国际标准要求，为保证XXX有限公司运维及IT服务部运维及IT服务部（以下简称“运维及IT服务部”）服务管理体系合理、标准、高效而制定的纲领性文件。通过手册使组织内的所有角色具备规范的作业依据和活动准则，持续有效地贯彻公司业务方针，并实现公司服务目标的总体策略规定。适用范围适用于XXX有限公司技术中心运维及IT服务部（以下简称“运维及IT服务部”）IT服务管理体系的整体管理规定，运维及IT服务和运营管理过程的参与方，包括研发部门、IT服务管理体系组织架构中的各流程经理、流程角色等。术语定义本文档采用《ITSM标准术语表》中的定义。IT服务管理体系总要求认证范围位于XXX技术中心运维及IT服务部范围内向内部客户提供基础设施运行维护服务、硬件运行维护服务、软件运行维护服务相关的信息技术服务管理活动。认证地点：XXX认证范围：业务管理信息系统运行维护服务认证标准运维及IT服务部的IT服务管理体系建立，完全依循下述国际标准：《ISO/IEC20000-1:2011信息技术-服务管理规范》服务方针运维及IT服务部的服务方针定义为：从业务需求出发，以研发部门为导向，通过完善的服务设计和严谨的服务导入，在长期的技术服务运营中持续的交付价值，构筑透明的、可信赖的业务关系，并通过不断的服务改进，提高研发部门满意度。服务目标运维及IT服务部服务年度目标定义如下：各应用系统服务水平目标达成率超过95%，年度用户满意度80分以上（或等同良好标准）。服务管理组织及职责组织架构运维及IT服务部服务管理组织以及职责具体请参见各相关策略文档中管理角色表。体系说明运维及IT服务部依据《ISO/IEC20000-1:2011信息技术-服务管理规范》国际标准的要求，建立IT服务管理体系，并予以文档化。运维及IT服务部服务管理体系的文件体系由以下部分组成：一级文件：IT服务管理体系的纲领性文件和指南（本《IT服务管理手册》）；二级文件：IT服务管理体系的管理性文件和流程文件；三级文件：IT服务管理体系的实施服务和交付运营的作业指导性文件（操作制度、工作计划及作业指导书等）；四级文件：IT服务管理体系服务交付过程中的记录和报告模板。详细的IT服务管理体系的文件清单，请参见《ISO20000体系文件清单》。管理职责管理承诺运维及IT服务部的管理层将通过以下活动，对其承诺的规划、建立、实施、运行、监控、评审、维护、改善服务管理体系和服务提供证据：建立和沟通服务管理的范围、策略和目标；确保该服务管理计划已建立、实施和维护，以符合服务方针的要求，实现服务管理的目标和履行服务的需求；对履行服务需求的重要性进行沟通交流；对履行法律法规要求和合同义务的重要性进行沟通；确保资源的供应；按照计划的时间间隔实施管理评审；确保服务的风险已经被评估和管理。IT服务管理政策运维及IT服务部确保该服务管理政策：适合运维及IT服务部的业务；包括对满足服务需求的承诺；包括通过持续改进方针对持续改进服务管理体系和服务有效性的承诺；提供建立和评审服务管理目标的框架；传达到运维及IT服务部的每个人，并得到理解；在持续适宜性方面得到评审。权利、职责和沟通要求运维及IT服务部确保：IT服务管理的职责、权限得到定义和维护；文档化的沟通程序被建立和实施。管理者代表权利与职责最高管理者指定运维及IT服务部管理层的一个成员为管理者代表，管理者代表具有以下方面的职责和权限，包括：确保执行识别、文件化和满足服务需求的活动；分配权限和职责，确保根据服务管理的方针和目标设计、实施和提高服务管理的过程；确保服务管理流程与服务管理体系的其它组件进行了整合；确保用于提供服务的资产，包括许可证，其管理符合法律法规要求和合同义务；向最高管理者报告服务管理体系的绩效和改进服务管理体系和服务的机会。治理由其他方运行的流程运维及IT服务部负责识别全部或部分被其他方运行的流程。其他方可以是内部团体，也可以是研发部门方，或供应商如设备维保厂商。运维及IT服务部对上述各方运行流程的治理包括：对由各方运行流程的执行委任职责和权限，并要求遵从服务提供方的统一要求；定义统一的流程以及流程接口；对流程执行绩效进行书面要求，并要求其他方遵从该要求；控制对其他方过程的改进及其优先次序。对于上述由其他方运行的过程，当部分流程由供应商运行时，运维及IT服务部通过《供应商管理流程手册》对其进行管理；当研发部门运行部分流程时，通过《服务级别管理流程手册》及《业务关系管理流程手册》对其进行管理。文件要求文件的建立及维护IT服务管理体系文件遵照ISO/IEC20000标准要求，从组织的实际IT服务管理工作出发，确保对服务管理体系进行有效策划、运行和控制。文件内容和范围涉及：形成IT服务管理方针和目标的文件；形成IT服务管理计划的文件；形成IT服务管理体系文件、记录管理的过程方针和计划的文件；形成服务目录的文件；形成服务级别协议的文件；形成服务管理流程的文件；形成IT服务管理体系文件、记录管理的程序和记录的文件，包括文件管理控制程序、记录管理控制程序；其他对运维及IT服务部的IT服务管理体系和服务交付有指导、借鉴作用的必要文件，包括来源于外部的文件。文件控制IT服务管理体系文档的建立、颁布及修订，需要建立明确的管理措施。对于记录的鉴别、储存、取用、变更、修订、保护、保存期限、处置等事项，并依照《体系文件及记录管理规范》进行管理。文件命名规则、分级等对文件的控制包括如下内容：在发布前创建和批准文件，并统一管理；将新的或变更的文件通知相关方；确保文件的变更和现行修订状态得到识别；对文件版本进行控制，确保文件由各部门使用时可获得适用版本的文件；确保文件清晰、易于识别；确保外来文件得到识别并控制其分发；对废止文件进行标识并单独管理，以避免对废止文件的非故意使用。记录管理建立及维护IT服务管理体系所要求的记录，以提供现有体系是符合要求及有效运作的证据。记录应确保易读、容易辨识及调阅。IT服务管理体系的文档及记录，可以是任何格式或形式的介质（包括：纸质、电子文档及IT服务管理平台中的记录信息）。文档及记录有专人负责维护，存放在固定位置。资源管理资源提供运维及IT服务部确定并提供人力资源，技术资源，信息资源和财务资源，以：设立，实施和维护服务管理体系和服务，不断改进其有效性；确保研发部门需求已得到确定和满足，目的是为了改进研发部门满意度。人力资源运维及IT服务部针对IT服务管理体系相关人员的能力、意识安排有培训、职业发展计划，以确保员工从事IT服务相关工作时，符合能力、技能、经验等要求。所做工作如下：确定人员所需的能力。对于从事IT服务管理的各类人员，鉴别技术能力需求，以此明确人员要求；提供培训或采取其他措施以获得所需的能力；对提升人员能力的效果进行评价，考量所采取措施的有效性并改进；确保人员认识到他们如何为实现服务管理目标和满足服务要求做出贡献；安排适宜课程。为人员建立培训档案，保持教育、培训、技能和经验的适当记录。满足员工的职业发展。服务管理体系&PDCA运维及IT服务部建立了遵循Plan（策划）-Do（实施）-Check（检查）-Act（改进）模式的IT服务管理体系维护机制，并按照该机制实现体系和过程的持续改进。戴明环质量管理方法可以确保IT服务管理体系能够根据实际业务环境的变化实现不断的优化和调整。IT服务管理体系的计划（Plan）运维及IT服务部需要计划自己的服务管理体系（制定计划），制定服务管理计划是可以考虑包含以下的内容：服务管理目标；服务需求；影响服务管理体系的已知限制；方针，标准和法律法规要求和合同义务；权限、职责和流程角色框架；针对计划、服务管理流程和服务的权限和职责；完成服务管理目标所需要的人力、技术、信息和财务资源；在与其它各方合作时采取的步骤，包括设计和转换新的或变更的服务流程；对服务管理流程和服务管理体系的其它组成部分进行整合时接口的步骤。风险管理和接受风险的准则的步骤；用于支持服务管理体系的技术；服务管理体系和服务的成效需要被测量、报告和改进。对于组织中任何针对特定过程生成的计划都应与该服务管理计划保持一致。对服务管理计划和为过程制定的计划按照年度为周期进行评估，适当时进行更新。将要执行的流程运维及IT服务部IT服务管理体系定义和实施的流程包括：服务交付过程：服务级别管理，服务报告，连续性与可用性管理，容量管理，信息安全管理，IT服务预算和核算管理。控制过程：配置管理，变更，发布和部署管理。解决过程：事件和服务请求管理，问题管理。关系过程：业务关系管理，供应商管理。IT服务管理体系通过1,2级文档确定整个流程的主要框架、活动、基本要素等，对所有项目的流程活动进行指导，通过3,4级文档对各流程分别进行策略、代码等的定制。在每个流程的流程描述文档中，将对流程的范围、目标、角色职责、活动交互、绩效指标及评价方法进行详细的定义。各流程之间的接口流程之间的接口定义和通过接口的信息传递将在流程定义文档中进行详细的描述，在此对IT服务管理各流程之间的接口简要描述如下：IT服务管理体系以服务级别管理流程为核心，以配置管理为基础，将IT服务管理体系中的各个流程串联起来。服务级别管理流程为多个流程提供输入，各流程也将服务级别协议（SLA）要求的执行情况作为输出返回到IT服务级别管理流程。配置管理流程为IT服务支持流程及部分IT服务交付流程提供所有需要的配置项及其属性信息，并接受来自IT变更发布管理对配置信息的修改。IT服务管理体系的建立(Do)运维及IT服务部根据服务管理体系的计划进行体系的构建和运行工作，以达到服务交付的目的，内容包括：资金和预算的管理和分配；权限，职责和过程的角色分配；人员，技术和信息资源的管理；识别、评估并管理服务的风险；服务管理流程的管理；对服务管理行为的绩效进行监控和报告。服务内容详见《服务目录》，具体实施过程参见体系各流程的管理手册。IT服务管理体系的检查(Check)运维及IT服务部通过内部审核和管理评审对服务管理体系的流程加以监控及测量，以确保体系的运行情况符合服务计划和预期，当发现不符合时，应采取纠正与预防措施，以确保各流程能达到预计的结果。所有内部审核和管理评审的目标应被文档化。内部审核和管理评审应证实服务管理体系和服务用以实现服务管理目标和满足服务需求的能力。不满足IT服务管理体系的不符合项应被识别。内部审核运维及IT服务部定期进行内部审核，以确保IT服务管理体系是否：符合ISO/IEC20000的要求；满足服务需求和运维及IT服务部确定的IT服务管理体系要求；得到有效地实施和维护。需要建立一个文件化的流程，包括计划、实施审核，报告结果和维护审核记录的权限和职责。内部审核规范详见《内部审核管理规范》。审核方案应加以规划。这应考虑过程和拟审核领域的状态和重要性，以及以往审核的结果。审计准则，范围，频率和方法应文件化。内部审核的计划方案详见《ISO20000内部审核计划》。审核员的选择和审核的实施应确保其客观性和公正性。审核人员不应审核自己的工作。不符合项应被沟通，进行优先级排序，改进活动应分配到责任人。负责该审核领域的管理者确保任何改进行为和改进活动无延误地被执行以消除不符合项和其原因。后续活动包括对所采取行为的验证和其结果的报告。管理评审管理者代表在计划的时间间隔内对IT服务管理体系进行评审，以确保其持续的适用性和有效性。评审应包括评价服务体系改进的机会和变更的需要，包括服务管理的方针和目标。对管理评审的输入包括但不限于以下信息：研发部门的反馈；服务和过程的执行情况和有效性；当前的和未来的人员、技术、信息和财务资源的水平；当前和未来的人员和技术能力；风险；审核的结果和后续行动；前期管理评审中得出的结果和后续行动；预防和纠正措施的进展情况；可能影响SMS和各项服务的变更；改进的机会。管理评审的记录应予以维护。管理评审的记录至少包括相关资源、服务管理体系有效性的改进和服务改进的决策和行动。管理评审规范详见《管理评审手册》。服务管理体系的改进（Action）概述运维及IT服务部已建立对服务管理体系和各项服务持续改进的策略。该策略包括改善机会的评价标准。有一个文件化的程序，包括对改进的识别、记录、评估、审批、优先级管理、测量和报告的权限和职责。纠正和预防措施已被文件化。应对已确定的不符合的原因予以纠正。应采取纠正措施以查明并消除不符合的原因，以防止再次发生。应当采取预防措施，以消除潜在不合格的原因，以防止发生。改进的管理改进机会需要划分优先级。当决策改进机会时，需要对批准的改进内容加以规划。运维及IT服务部需要建立管理改进的活动，至少应该包括：设定改进目标，包括质量、价值、能力、成本、生产力、资源利用率、风险降低等方面；确保对批准的改进得以实施；在需要时修改服务管理策略、计划、流程和程序；基于设定的目标，测量已实施的改进活动，若未达到目标，采取必要的行动；报告被实施的改进活动。设计并转换新的或变更的服务总则运维及IT服务部通过《设计并转换新的或变更的服务管理过程》对可能对服务或研发部门产生重大影响的全部新服务和变更的服务进行管理。策划新的或变更的服务运维及IT服务部会定期识别新的或变更的服务的服务要求，策划新的或变更的服务以满足这些服务要求。在服务策划中保持同研发部门、相关方的沟通并形成约定。在策划时，充分考虑新的或变更的服务对财务、组织和技术方面，以及管理体系的潜在影响。策划新的或变更的服务考虑的方面包括：设计、开发和转换活动的权限和职责；相关方要执行的活动，包括连接各方接口的活动；同相关方的沟通；人员、技术、信息和财务资源；策划活动的时间跨度；识别、评估和管理风险；依赖的其他服务；新的或变更的服务所需的测试；服务验收准则；以可测量术语表示的交付新的或变更的服务所产生的预期结果。对服务的移除也需进行策划和记录，并反映在服务目录中。策划内容包括：移除日期，数据的归档、销毁或转移，文件和服务组件。在策划活动中运维及IT服务部还需识别那些有助于为新的或变更的服务提供服务组件的其他方，比如供方厂商、开发部门等。评价他们满足服务要求的能力并采用必要的措施。设计和开发新的或变更的服务运维及IT服务部对于设计出的新的或变更的服务形成文件，确保设计能够使新的或变更的服务满足服务要求。新的或变更的服务按照设计文件进行开发。内容包括：为交付新的或变更的服务所需的权限和职责；为交付新的或变更的服务，由运维及IT服务部、研发部门和其他方执行的活动；新的或变更的人力资源要求，包括适当的教育、培训、技巧和经验要求；为交付新的或变更的服务的财务资源要求；支持服务管理体系的新的或变更的技术；新的或变更的服务管理计划和方针；同服务要求变更相一致的新的或变更的合同以及其他形成文件的协议；对服务管理体系的变更；新的或变更的服务级别协议；对服务目录的更新；用于运行新的或变更的服务的程序、测量指标和信息。转换新的或变更的服务在服务转换过程中，应对新的或变更的服务进行测试以验证他们满足服务要求和设计文件。新的或变更的服务根据服务验收准则进行验证，该准则事先由运维及IT服务部和相关方约定。通过《变更发布管理流程手册》将已批准的新的或变更的服务部署到生产环境中。转换活动完成后，发布执行人员将发布结果对比预期结果后，向管理者代表报告最终结果。服务交付过程服务级别管理在运维及IT服务部实施服务级别管理，需要：定义运维及IT服务部的服务目录，并进行维护，保持更新；就服务的范围、服务级别目标及工作量等与相关方达成协议，并予以记录；对每个研发部门所提供的服务，需定义、协商和记录成一个或多个服务级别协议（SLAs）；服务水平目标（SLO）、供应商合同（UC）、运营支持协议（OLA）及相关程序等都必须与内外部服务提供商达成一致；SLO需要定期应进行评审和更新，确保有效运行；基于SLO，监控与报告服务级别状况，显示当前与未来的发展趋势信息；报告和评审不合格项的原因、改进措施，予以记录，并输入服务改进计划。SLO的改变可通过变更管理进行控制，详细的服务级别管理请参照《服务级别管理流程手册》。服务报告管理服务报告管理需要遵循如下总体策略：服务报告需包括提供给研发部门和内部管理层的不同报告；运维及IT服务部需要与研发部门和管理层协商，就报告的种类、数量、信息内容、频度达成一致，每一份服务报告应清楚定义报告的目的、读者、来源；服务报告的内容需要与研发部门和内部管理层协商确定，能够提供趋势分析，并在条件成熟时提供绩效考核数据。服务报告至少应包括：针对服务级别目标的绩效；出现的不符合项和问题，例如违反服务级别协议、以及安全违规事项；工作量特征，例如容量和资源使用情况；重大事件发生后的相关报告，例如重大事件或变更报告；趋势信息；满意度分析。运维及IT服务部需要对服务体系中的所有报告进行管理，以保证信息的及时、可靠、准确，从而有效支持决策。连续性与可用性管理服务的连续性与可用性要求运维及IT服务部定期组织评估服务连续性与可用性状况并形成文件，同研发部门和相关方识别和约定服务连续性与可用性要求。在其中需考虑适用的业务计划、服务要求、服务级别协议和风险。约定的服务连续性与可用性要求包括：服务访问权限；服务响应时间；服务的端到端的可用性。服务的连续性与可用性计划运维及IT服务部结合业务需求组织创建、实施和保持服务连续性计划和可用性计划。服务连续性计划包括：服务重大损失情况下要执行的程序；计划启动时的可用性目标；恢复要求；返回正常工作状态的方法；可用性要求和目标。运维及IT服务部建立了服务连续性的保障措施，确保当正常服务的访问被阻止时，服务连续性计划、联系人清单和配置管理数据库可以正常访问，以快速恢复服务和业务。在变更管理流程中进行变更审批时，应充分考虑变更请求对于服务连续性计划和服务可用性计划产生的影响。服务连续性与可用性管理维护部负责监视服务的可用性，对监控结果进行记录并与约定的目标比较，对计划之外的不可用进行调查并采取必要的措施。服务连续性计划定期被测试。同时，需要结合可用性要求测试可用性计划。当服务运行环境发生重大变更时，以及自然灾害等外部环境变化较大时，运维及IT服务部也组织测试服务连续性与可用性计划。运维及IT服务部对每次服务连续性计划的测试或启动后都对其结果实施评审。对其中发现的不足采取必要的措施并报告。详细的可用性与连续性管理规定请参阅《服务连续性与可用性管理流程手册》。IT服务预算与核算管理服务的预算和核算管理流程与运维及IT服务部财务管理流程之间应有明确的接口。服务的预算与核算管理流程包括以下内容：a)服务组件的预算和核算应至少包括；1)资产-包括用于提供服务的许可证；2)共享资源；3)管理费用；4)资本和运营开支；5)外部提供的服务；6)人员；7)设施；b)为服务分摊间接成本和分配直接成本，为每一项服务计算总成本；c)有效的财务控制和审批。预算与核算管理流程对支出进行预算，使提供的服务能有效地进行财务控制和业务决策。运维及IT服务部依据预算来监控和报告成本，审核财务预测并管理成本支出。预算与核算管理流程向变更管理流程提供信息，以支持对变更请求的成本管控。预算与核算细则的进一步说明，参见《预算与核算管理流程手册》。容量管理容量管理的目标是确保运维及IT服务部一直保持有效的能力去满足当前和未来的研发部门业务需求。运维及IT服务部与研发部门和相关方识别和协商确定容量和性能需求。运维及IT服务部已创建、实施和维护一个容量计划，该计划考虑人员、技术、信息和财务等资源。容量计划的变更应由变更管理流程进行控制。容量计划考虑的内容包括：当前及预测的服务需求；协商确定的容量和性能需求对可用性、服务连续性和服务级别的预期影响；服务容量升级的时间跨度、阀值和成本；法律、法规、合同或组织变化的潜在影响；新技术和新工艺的潜在影响；使其能够进行预测性分析的方式方法，或者其引用。运维及IT服务部对容量使用情况进行监控、分析容量数据并调整性能。运维及IT服务部提供了充足的容量以满足协商确定的容量和性能需求。关于容量管理的详细程序参见《容量管理流程手册》。信息安全管理信息安全策略考虑服务的需求和法律法规要求和合同义务，运维及IT服务部需依照XX集团信息安全策略。有关信息安全的保障工作包括：运维及IT服务部与研发部门和供应商相关人员沟通信息安全策略，以及遵守该策略的重要性；确保建立信息安全管理目标；明确管理信息安全风险所采取的方法和接受风险的准则；确保定期执行信息安全风险评估；确保执行信息安全内部审计；确保对审核结果进行评审以识别改进的机会。信息安全控制措施运维及IT服务部需实施和运行物理的、管理的和技术的信息安全控制措施进行以便：保证信息资产的保密性，完整性和可访问性；满足信息安全策略的要求；实现信息安全管理目标；管理信息安全的相关风险。信息安全控制措施需文件化，同时需描述控制措施相关的风险，以及控制措施的运行和维护。运维及IT服务部需对信息安全控制的有效性进行评估。同时，采取必要的改进措施，并报告所采取的措施。运维及IT服务部需识别具有访问、使用或管理运维及IT服务部信息或服务需要的外部组织。运维及IT服务部需记录、协商和实施对外部组织的信息安全控制。信息安全的变更和事件需对变更请求进行评估，以确定：新的或变更的服务的信息安全风险；对现有的信息安全策略和控制的潜在影响。信息安全事件通过事件管理程序进行管理，并对信息安全风险进行适当的优先级排序。运维及IT服务部需分析安全事件的类型、数量和影响。同时，信息安全事件需被报告和检查，以识别改进的机会。有关信息安全管理的详细规定请参见《信息安全管理流程手册》。关系过程关系过程包括两个方面：业务关系管理和供应商管理。业务关系管理在理解研发部门及其业务的基础上，与研发部门之间建立和维护良好的关系。实施业务关系管理。业务关系管理的内容包括：确定和记录服务的研发部门，用户和各利益相关方。对于每一个研发部门，指定专人负责管理研发部门关系管理和研发部门满意度。运维及IT服务部需与研发部门建立沟通机制。沟通的机制需事先了解业务环境对服务运行和新的或变更的服务需求。这种信息能够使运维及IT服务部应对这些需求。运维及IT服务部与研发部门在计划的时间间隔评审服务的绩效。文件化的服务需求的变更通过变更管理流程来加以控制。对SLO的变更与服务级别管理流程相协调。与研发部门商定投诉的定义。用书面的程序来管理研发部门服务的投诉。运维及IT服务部需对投诉进行记录、调查、并采取行动、报告和关闭服务投诉。一旦服务投诉无法通过正常渠道解决，需向研发部门提供升级渠道。按照计划的时间间隔，基于对服务的研发部门和用户进行有代表性的抽样，调查研发部门满意度。对结果进行分析和评审以识别改进机会。业务关系管理细则请参见《业务关系管理流程手册》。供应商管理供应商管理的目的是为了管理运维及IT服务部与供应商之间的关系，并确保供应商在服务提供过程中能够达到其与运维及IT服务部约定的服务质量。运维及IT服务部的供应商管理需：对于每个供应商，运维及IT服务部，应当有一个指定的专人负责管理与供应商的关系、合同和绩效。运维及IT服务部和供应商应达成书面合同。合同中应包含或包括以下内容：供应商提供的服务范围；服务、流程和各方之间的依赖关系；供应商必须满足的要求；服务目标；供应商在与其它各方在服务管理过程中的接口；在IT服务管理体系中供应商的所有行为；工作量特征；合同的例外情况，以及将如何处理这些情况；运维及IT服务部和供应商的权利和职责；由供应商提供的报告和信息；收费的依据；预计终止或提前终止合同，及将服务转让给第三方时的行为和责任。运维及IT服务部需与供应商就服务级别达成一致，以支持和保证运维及IT服务部和研发部门之间的服务级别协议。运维及IT服务部需保证总包供应商和分包供应商的职责明确，关系清晰，并形成书面文件。运维及IT服务部需核实主供应商为满足合同义务而对其分包商进行管理。运维及IT服务部需按照计划的时间间隔监控供应商的绩效。绩效需依据服务目标和其他合同义务进行测量。结果需被记录和评审以识别不符合的原因和改进机会。评审确保该合同反映了当前的要求。合同变更由变更管理流程来控制。用一个书面的程序来管理运维及IT服务部和供应商之间的合同纠纷。供应商管理细则请参见《供应商管理流程手册》。解决过程运维及IT服务部定义的解决过程分为事件和服务请求管理和问题管理两个流程。事件和服务请求管理事件和服务请求管理的目标是尽快恢复承诺的服务或响应研发部门的服务请求。运维及IT服务部事件和服务请求管理流程包括如下定义：a)记录；b)分配优先级；c)分类；d)记录更新；e)升级；f)解决；g)关闭。事件和服务请求管理流程负责管理从记录到完成的事件和服务请求，事件和服务请求应按照程序管理。通过紧急度与影响度判定事件的优先级。运维及IT服务部确保事件和服务请求管理流程相关的人员能够访问和使用相关信息。相关信息应包括服务请求管理流程、已知错误（KnownError）、问题解决方案和配置管理数据库（配置管理维护表(CMDB)）。来自变更发布管理流程的有关发布是否成功以及计划的发布日期等信息需用于事件和服务请求管理流程。运维及IT服务部需保持通知研发部门他们所报告的事件或服务请求的处理进展情况。如果服务的目标未达成，运维及IT服务部需通知研发部门和利益相关方，并按程序升级。运维及IT服务部需记录与研发部门就重大事故的定义达成一致。重大事故需按照书面程序予以分类和管理。重大事故向高层管理人员汇报。高层管理人员确保有指定的专人对重大事故进行管理。当约定的服务已经恢复，应对重大事件进行评审以识别改进的机会。事件管理的细则请参照《事件和服务请求管理流程手册》。问题和知识管理问题和知识管理的目的是主动的识别和分析事件的原因，并采取预防措施，减少事件重发、频发的数量，以降低事件和问题对业务的影响，同时规范公司针对IT运维服务过程中产生的任何知识进行管理的流程，运维及IT服务部问题管理流程包括：一个文件化的流程，以识别问题，尽量减少或避免事件和问题的影响，对于问题管理流程定义了以下内容：a)识别问题；b)记录问题；c)优先级分配；d)分类；e)更新记录；f)升级；g)解决；h)关闭。事件和问题的数据和趋势应被分析，以识别根本原因（rootcauses）和潜在的预防措施。需要对某一CI进行变更的问题应提交变更请求予以解决。当已识别问题的根本原因，但还未被永久解决时，运维及IT服务部需识别降低或消除问题对服务影响的行动。已知错误应被记录。需对该问题解决的有效性进行监测，评审和报告。已知错误和问题解决方案的最新更新信息需提供给事件和服务请求管理流程。一个文件化的流程，以识别知识，规范管理IT运维中产生的知识，对于知识题管理流程定义了以下内容：a)识别知识；b)记录知识；c)知识评审；d)更新知识库；e)关闭。详细的问题和知识管理程序请参见《问题和知识管理流程手册》。控制过程&发布过程运维及IT服务部定义的控制过程&发布过程包括：配置管理、变更发布管理（涵盖了变更管理、发布和部署管理）。配置管理配置管理的目的是定义并控制服务和基础设施组件，确保正确的配置信息，从而为服务管理活动提供有效支持。运维及IT服务部配置管理必须遵循下列策略：需要对每个类型的配置项进行文档化的定义。每个配置项记录的信息确保得到有效控制的，内容至少包括：a)配置项的描述；b)配置项和其它配置项之间的关系；c)配置项和服务组件之间的关系；d)状态；e)版本；f)位置；g)相关的变更请求；h)相关的问题和已知错误。CI需被唯一识别并记录到配置管理维护表(CMDB)中，并管理配置管理维护表(CMDB)，包括对数据更新的访问控制，以确保其可靠性和准确性。需建立文件化的程序来记录、控制和跟踪CI的版本。基于服务需求和CI相关的风险的考虑，控制的程度应能维护服务和服务组件的完整性。运维及IT服务部需按照计划的时间间隔审核存储在配置管理维护表(CMDB)中的记录。当发现缺陷时，必须采取必要的行动并报告所采取的行动。配置管理维护表(CMDB)里的信息需提供给变更管理流程，以支持对变更请求的评估。配置项的变化应可追溯和审计，确保配置项和配置管理维护表(CMDB)数据的完整性。受影响的配置项的基线应在将发布部署到实际运行环境之前确定。配置管理维护表(CMDB)中被记录的配置项的原始拷贝需存储在安全的物理库或电子库中，被配置记录所引用。原始拷贝至少应包括文件、许可证信息、软件。关于配置管理的细则请参见《配置管理流程手册》。变更管理变更管理的目的是为了保证所有变更的行为是合法、受控的，变更管理需要在效率和风险之间取得平衡，为此运维及IT服务部定义如下的变更管理策略：a)变更管理控制配置管理维护表(CMDB)中所有CI的变更；b)由变更的发起人根据变更的影响程度判断变更的级别。服务的撤销需归类为对服务有潜在的重大影响的