ISO管理基础手册

浙江慧优科技管理标准WISU-ITSM-A01-IT服务管理手册版本编号：V1.0（本手册和IDTISO/IEC-1:标准相符）编制：翁爱丽审核：马红岩批准：王向阳持有部门：-08-01公布-08-浙江慧优科技企业公布浙江慧优科技IT服务管理手册版本编号：V1.0变更履历序号版本更改处·更改内容更改人/日期审核人/日期同意人/日期浙江慧优科技IT服务管理手册版本编号：V1.0目录章节号题目页码01颁布令02管理者代表授权书03企业概况04信息技术服务方针目标05手册管理IT服务管理手册1.信息技术服务管理范围及应用2.规范性引用3.术语和定义4.服务管理体系总体要求4.1管理责任4.1.1管理承诺4.1.2服务管理策略.4.1.3权力，责任和沟通4.1.4管理者代表4.2治理各利益相关方操作步骤4.3文件管理4.3.1文件建立和维护4.3.2文件控制4.3.3统计控制4.4资源管理4.4.1资源供给4.4.2人力资源4.5建立和改善SMS4.5.1定义范围4.5.2计划SMS（P）4.5.3实施运作SMS（D）4.5.4监控审查SMS（C）4.5.5连续改善SMS（A）5.设计和转化新或变更服务5.1概述5.2新或变更服务计划5.3设计和开发新或变更服务5.4新或变更服务转化6.服务交付过程6.1服务水平管理.6.2服务汇报6.3服务连续性和可用性管理6.3.1服务连续性和可用性需求6.3.2服务连续性和可用性监控和测试6.4服务预算和核实6.5容量管理6.6信息安全管理6.6.1信息安全策略6.6.2信息安全控制方法6.6.3信息安全变更和事件7.关系过程7.1业务关系管理7.2供给商管理8.处理过程8.1事件和服务请求管理8.2问题管理9.控制过程9.1配置管理9.2变更管理9.3公布和布署管理附录A：IT服务管理职能关系架构图附录B：组织架构图附录C：ITSM职能分配表附录D：IT服务管理程序文件清单浙江慧优科技IT服务管理手册版本编号：V1.001颁布令伴随企业全新领域开拓，为满足用户相关信息技术服务相关要求，提升企业信息技术服务管理水平，预防因为信息技术服务不立即等造成企业和用户损失。企业开展落实ISO/IEC0《信息技术服务管理－规范》国际标准工作，建立、实施和连续改善文件化信息技术服务管理体系，制订了浙江慧优科技《IT服务管理手册》。《IT服务管理手册》是企业法规性文件，是指导企业建立并实施信息技术服务管理体系纲领和行动准则，用于落实企业信息技术服务管理方针、目标，实现信息技术服务管理体系有效运行、连续改善，表现企业对社会承诺。《IT服务管理手册》符合相关信息安全法律、法规要求及ISO/IEC0《信息技术服务管理－规范》标准和企业实际情况，现正式同意公布，自8月1全体职员必需严格根据《IT服务管理手册》要求，自觉遵照信息技术服管管理方针，落实实施本手册各项要求，努力实现企业信息技术服务管理方针和目标。浙江慧优科技总经理：二○一浙江慧优科技IT服务管理手册版本编号：V1.002管理者代表授权书为落实实施信息技术服务管理体系，满足ISO/IEC0《信息技术服务管理－规范》标准要求，加强领导，特任命马红岩为我企业信息技术服务管理者代表。授权代表有以下职责和权限：1、根据ISO/IEC0《信息技术服务管理－规范》要求，组织相关资源，识别、建立、实施和保持信息技术服务管理体系，不停改善信息技术服务管理体系，确保其有效性、适宜性和符合性。2、依据服务管理策略和目标，给和权利和责任，以确保服务管理过程设计，提升和改善。3、确保服务管理步骤和SMS其它组件进行了整合。4、确保资产，包含许可证，依据法律法规要求和协议义务，被用于管理交付服务。5、向企业最高管理者汇报信息技术服务管理体系业绩，如：服务方针和服务目标业绩、用户满意度情况、各项服务活动及改善要求和结果等。6、组织ISO/IEC0体系管理评审，主持信息技术服务管理体系内部审核，推进内部审核活动。7、推进企业各部门领导，主动组织全体职员，经过工作实践、教育培训、业务指导等方法不停提升职员对满足用户需求关键性认知程度，和为达成企业服务管理目标所应做出贡献。8、负责和信息技术服务管理体系相关协调和联络工作。本授权书自任命日起生效实施。浙江慧优科技总经理：二○一浙江慧优科技IT服务管理手册版本编号：V1.003企业概况浙江慧优科技（简称“慧优科技”）成立于，注册资金：500万人民币，企业在杭州天堂软件园内。

慧优科技成立将专注于计算机软件设计开发、计算机信息系统集成、信息系统咨询计划、信息技术咨询、基础设施运行维护、硬件运行维护、软件运行维护等工作。依靠领先技术、丰富产品线、强大咨询实施队伍和优异当地化服务。浙江慧优科技是一家专业从事信息平台集成总包和咨询服务企业，业务关键包含IT计划咨询、智能基础设施、高端系统集成、ICT融合、步骤外包、应用开发、维保服务等多类信息平台整合业务，面向中国市场，为行业用户、企业级用户提供全生命周期IT服务。作为一家科技为关键企业，经过开放式创新、卓越运行管理、人力资源发展等战略实施，并含有技术、合作伙伴、行业经验等多方面优势，全方面结构企业关键竞争力，发明用户和社会价值，从而实现并提升技术和信息价值。

慧优致力于成为受社会、用户、职员尊敬企业，并经过组织和过程连续改善，领导力和职员竞争力发展，联盟和开放式创新，使企业成为中国一流智慧信息总包商。技术服务体系由资深工程师、完善技术保障系统及服务资源组成。工程师队伍包含多名Oracle、IBM、Cisco、Symantec等国际著名厂家认证工程师组成，并已经过了UNIX、数据库、安全、统一通信、无线、存放、备份、容灾、管理优化、视音频、机房、建筑智能化、应用软件开发、咨询顾问等多项专业化认证，她们从事多年信息系统集成和服务技术支持，含有丰富系统支持和服务经验。慧优企业现在为用户提供三类专业水准IT服务，并将其确立为自有服务品牌，包含主流系统软硬件咨询、实施、支持、迁移、维保等服务内容，将最大化实现用户IT资源价值。地址：杭州市西湖区西斗门路3号天堂软件园A幢6楼F室电话09传真编：310012浙江慧优科技IT服务管理手册版本编号：V1.004信息技术服务方针目标为预防因为信息技术服务不立即所造成企业和用户损失，本企业建立了信息技术服务管理体系，制订了信息技术服务方针，确定了信息技术服务目标。本企业信息技术服务管理方针包含内容以下：服务方针：以用户为关注焦点，热情、专业、高效信息安全方针:信息安全，让用户满意信息技术服务目标：用户单位满意率≥85%浙江慧优科技IT服务管理手册版本编号：V1.005手册管理1IT服务管理手册同意管理者代表负责组织编制《IT服务管理手册》，总经理负责同意。2IT服务管理手册发放、更改、作废和销毁a）管理中心负责按《文件控制程序》要求，进行《IT服务管理手册》登记、发放、回收、更改、归档、作废和销毁工作；b）各相关部门根据受控文件管理要求对收到《IT服务管理手册》进行使用和保管；c）管理中心根据要求发放修改后《IT服务管理手册》，并收回失效文件作出标识统一处理，确保有效文件唯一性；d）管理中心保留《IT服务管理手册》修改内容统计。3IT服务管理手册换版当依据ISO/IEC0标准有重大改变、组织结构、内外部环境、生产技术、信息技术服务风险等发生重大改变及《IT服务管理手册》发生需修改部分超出1/3时，应对《IT服务管理手册》进行换版。换版应在管理评审时形成决议，重新实施编、审、批工作。4IT服务管理手册控制a）本《IT服务管理手册》标识分受控文件和非受控文件两种：——受控文件发放范围为企业领导、各相关部门责任人、内审员；——非受控文件指印制成单行本，作为投标书资料或为生产、销售目标等发给受控范围以外其它相关人员。b）《IT服务管理手册》有纸质文件和电子文件，电子版本文件有效格式为PDF文档。本手册由管理中心提出、归口，并负责起草。本手册关键起草人：翁爱丽本手册审核人：马红岩本手册同意人：王向阳浙江慧优科技IT服务管理手册版本编号：V1.0IT服务管理手册1范围1.1总则为了建立、实施、运行、监视、评审、保持和改善文件化信息技术服务管理体系（简称ITSMS），确定信息技术服务方针和目标，对信息技术服务及信息安全进行有效管理，确保全体职员了解并遵照实施信息技术服务管理体系文件、连续改善信息技术服务管理体系有效性，特制订本手册。1.2应用1.2.1覆盖范围本IT服务管理手册要求了浙江慧优科技信息技术服务管理体系要求、管理职责、内部审核、管理评审和信息技术服务管理体系改善等方面内容。适应于……等实施。和适适用于浙江慧优科技***事业部、****部等。1.2.2删减说明本IT服务管理手册采取了ISO/IEC0:标准正文全部内容，无删减。2规范性引用文件下列文件中条款经过本《IT服务管理手册》引用而成为本《IT服务管理手册》条款。凡注日期引用文件，其随即全部修改单或修订版均不适适用于本标准，然而，管理者代表应研究是否可使用这些文件最新版本。凡不注日期引用文件、其最新版本适适用于本IT服务管理手册。ISO/IEC0-1:《信息技术-服务管理体系-要求》ISO/IEC0-2:《信息技术-服务管理实施指南》ISO/IEC0-3:《信息技术-服务管理范围定义和适用性指南》ISO/IEC0-5:《信息技术-服务管理实施策划示例》3术语和定义ISO/IEC0-1:《信息技术-服务管理体系-要求》、ISO/IEC0-2:《信息技术-服务管理实施指南》、ISO/IEC0-3:《信息技术-服务管理范围定义和适用性指南》要求术语和定义适适用于本《IT服务管理手册》。3.1本企业指浙江慧优科技，包含浙江慧优科技所属各部门。BPO事业部二级部门服务部简称服务部。3.2可用性一个服务或服务组件能够在瞬间或在约定时间、约定时限内实施其要求功效。注：可用性通常表示为一个时间百分比或百分比，它是用户实际使用服务及服务组件时间，在这个时间段内服务必需可用。3.3配置基线服务及服务组件生命周期在特定时间内被指定配置信息。注1：配置基线和这些给予变更基线，组成了目前配置信息。注2：改编自ISO/IEC/IEEE24765：。3.4配置项CI元素，需要加以控制，以提供一个服务或多个服务。3.5配置管理数据库CMDB用于在整个生命周期中统计配置项属性和配置项之间关系数据存放。3.6成效实现计划活动程度和计划取得结果。[ISO9000：]3.7事故计划外中止服务、服务质量下降或没有对用户服务造成影响事件。3.8信息安全保持信息保密性、完整性和可取得性注。1：另外，如真实性，负责性，不可抵赖性和可靠性等性能也可包含其中。注2：术语“可用性”并没有被用在这个定义中，因为它在本部分ISO/IEC0中是个界定范围术语，不适适用于本定义。注3：改编自ISO/IEC27000：。3.9信息安全事故单个或一系列意外或突发信息安全事件，可能对业务运行产生重大影响并威胁到信息安全。[ISO/IEC12207：1995]3.10利益相关方在服务提供者推行或完成活动时会产生具体利益个人或团体。比如：用户、业主、管理者、服务提供者组织中人员、供给商、银行、团体或合作人。注1：一个团体能够由一个组织，部分组织或一个以上组织组成。注2：改编自ISO9000：。3.11内部组服务提供者组织一部分，和服务提供者达成协议，参与一个服务或多个服务设计、转化、交付和改善。注：内部组处于服务提供者服务管理体系范围之外。3.12已知错误已找到根本原因问题，或围绕该问题降低或消除对服务影响方法3.13问题一个或多个事件根本原因注：根本原因通常不是在统计问题时就知晓，问题管理步骤为深入调查工作负责。3.14公布将一个或多个新或变更配置项集合布署到真实环境中，作为一个或多个改变结果。3.15变更请求提议将服务，服务组件或服务管理体系进行改变。注：一个服务更改，包含提供一项新服务或去除一项不再需要服务。3.16风险对目标不确定性影响。注1：影响是和预期偏差，预期包含主动和/或消极两个方面。注2：对象可能是不一样方面（如财务、健康和安全、环境保护目标），并能够应用在不一样层面（如战略、组织范围内、项目、产品和工艺）。注3：风险常常经过参考潜在事件和后果或它们组合而被识别。注4：风险往往表现在一个特殊事件（包含环境改变）和发生相关条款可能性相结合后果。[ISO31000：]3.17服务经过帮助用户达成预期结果来为其发明价值方法。注1：服务通常是无形。注2：服务也能够由供给商传输给服务提供者，由一个内部小组或用户饰演供给商角色。3.18服务组件一组服务和其它组服务合并时将提供一套完整服务。如：硬件、软件、工具、应用程序、文件、信息、步骤或支持服务。3.19服务连续性在为达成约定水平而不停提供服务过程中，管理风险和事件能力，这些风险和事件可能对一个或多个服务造成严重影响。3.20SLA服务水平协议服务提供者和用户之间定义服务和服务目标文件协议注。1：服务水平协议，也可在服务提供者和供给商之间建立，一个内部小组或用户饰演供给商角色。注2：服务水平协议能够包含在协议或其它类型书面协议中。3.21服务管理一套功效和步骤，用以指导和控制服务提供者活动和设计、转化、提供和其对服务资源改善，以满足服务要求。3.22SMS服务管理体系指导和控制服务提供者服务管理活动管理体系注。1：管理体系是一个相互关联或相互作用要素，这些要素为建立方针和目标，和实现这些目标而设置。注2：包含全部对SMS服务管理策略、目标、计划、过程、文件和资源设计、转化、提供和改善服务，和满足本部分ISO/IEC0要求要求。注3：改编自ISO9000：中对于“质量管理体系”定义。3.23服务提供者组织或部分组织组员，为用户管理和提供一项服务或多项服务。注：用户能够是来自服务提供者内部或外部。3.24服务请求请求信息、提议、服务接入或预先核准变更。3.25服务要求用户和服务使用者需求，包含服务水平要求和服务提供者需求。3.26供给商一个组织或一个组织一部分，不是服务提供者内部组织，在外部和服务提供者签署协议，参与设计，转换，传输和服务或改善服务或进程一部分。其它术语详见术语表。4服务管理体系总体要求4.1管理责任4.1.1管理承诺高层管理人员应提供证据证实其承诺计划、建立、实施、运行、监控、审查、维护、改善SMS和服务：a)确定建立和交流服务管理范围、策略和目标。b)确保该服务管理计划已建立、实施和维护，以符合策略要求，实现服务管理目标和推行服务要求。c)对推行服务要求关键性进行沟通交流。d)对推行法律法规要求和协议义务关键性进行沟通。e)提供策划、实施、监控、评审和改善IT服务所需要资源,如：指定IT服务管理人员、分配资金和预算。f)根据计划时间间隔进行管理评审。g)管理和控制IT服务提供过程风险。h)按计划组织IT服务管理体系审核，以确保体系适宜性、充足性和有效性。4.1.2服务管理策略高层管理人员应确保该服务管理策略：a)适合服务提供者目标。b)包含一个承诺来推行服务要求。c)包含连续改善SMS成效承诺和包含经过在第4.5.5.1节中介绍连续改善策略服务承诺。d)提供一个建立和检验服务管理目标框架。e)可被服务提供者人员交流和了解。f)能够经起反复推敲。4.1.3权力，责任和沟通 高层管理人员应确保：a)服务管理权力和职责能够得到定义和维护。b)文档化沟通程序已被建立和实施。4.1.4管理者代表企业任命了管理者代表，并授和了对应权利和责任，详见管代任命书。4.2治理各利益相关方操作步骤企业识别了设计和转化新或变更服务步骤、服务交付步骤、信息安全步骤、关系步骤、处理步骤、控制步骤等第5至9章步骤，服务提供者应识别由各利益相关方来运作全部步骤，或部分步骤。各利益相关方能够是一个用户或供给商内部小组。服务提供者应该由其它各方经过以下方法展示管理过程：a)表明问责步骤和权力要求遵守步骤。b)控制过程定义和和其它步骤接口。c)确定步骤表现和和步骤要求合规性。d)控制过程改善计划和优先次序。当一个供给商操作部分步骤时，服务提供者应该经过供给商管理程序对供给商进行管理。当一个内部小组或用户操作部分步骤时，服务提供者应该经过服务水平管理步骤对内部小组或用户进行管理。注：ISO/IECTR0-3提供本部分ISO/IEC0范围定义和应用指南。包含对治理各利益相关方操作步骤深入解释。4.3文件管理4.3.1文件建立和维护企业在开发、经营、服务和日常管理活动中，按ISO/IEC0-1:标准要求，建立、实施、运行、监视和评审、保持和改善文件化信息技术服务管理体系。IT服务管理体系文件分以下多个层次：a)一级文件：服务管理策略和目标文件；（如：IT服务管理手册包含方针、目标）。b)二级文件：文档化服务管理步骤或程序；（如：IT服务管理体系程序文件）。c)三级文件：为本部分ISO/IEC0要求特殊步骤所创建文档化策略和计划、文档化服务目录、文档化SLA、服务管理计划文档，包含：管理规范、操作手册及作业指导书和为确保有效操作SMS和交付服务所需并由服务提供者决定补充外来文件。d)四级文件：IT服务管理体系产出物文件模版（表单、汇报模版等）。4.3.2文件控制本企业编制了《文件控制程序》具体按文件控制程序要求进行控制。一个文档化步骤，包含授权和责任，控制订义需要被建立，需要有：a)在发行前建立和同意文件。b)和各利益相关方就新文件及改动过文件进行讨论。c)必需时对文件进行检验和保持。d)确保文件改动和现行修订状态是经认可。e)确保适用文件相关版本在使用时可取得。f)确保文件易于识别且清楚。g)确保外来文件得以识别且其发行量受到控制。h)若保留作废文件，需预防作废文件被随意使用并对上述文件做好合适标识。4.3.3统计控制本企业编制了《统计控制程序》具体按统计控制程序要求进行控制。统计应保留，并用来证实SMS符合要求和有效运作。一个文件步骤需要建立对控制订义，包含标识、贮存、保护、检索、保留和统计处理方法。统计应清楚，易于识别和检索。4.4资源管理4.4.1资源供给企业最高管理者应确定并提供人力资源，技术资源，信息资源和财务资源，并：a)设置，实施和维护SMS和服务，不停提升其效力。b)经过提供满足服务要求服务，来提升用户满意度。4.4.2人力资源本企业IT服务管理委员会须对全部参与IT服务管理岗位和岗位责任做明确定义。以确保服务工作人员工作应符合服务要求，这些人员应在接收对应教育和培训后，含有对应技能和经验等基础能力。服务人员应该：a)选择有资质人员。b)合适经过提供培训或采取其它方法以取得必需能力资格。c)对采取方法有效性进行评价。d)确保其工作人员全部知道怎样尽力达成服务管理目标并满足服务要求。e)坚持对教育、培训、技能和经验做合适统计。IT服务管理委员会同时须经过培训或其它宣讲等方法来确保职员了解她们业务活动关键性和相关性，并知晓怎样达成IT服务管理目标。4.5建立和改善SMS4.5.1定义范围本管理手册明确了整个体系覆盖范围，详见第一章范围及定义描述。范围包含为达成IT服务管理目标所需资源（人员、设备和资金等）和所提供IT服务。a)人员：包含人员招聘、培训、资质认证、团体建设等。b)设备：包含和IT服务管理相关软、硬件等。c)资金：包含IT服务管理过程中相关IT服务预算和核实活动等。d)IT服务：包含IT服务目标设定、IT服务计划编制、IT服务新增和改善等。同时本企业服务提供也应考虑影响服务交付其它原因，其中包含。a)本企业提供服务地理位置。b)用户及其位置。c)用于提供服务技术。4.5.2计划SMS（P）本企业IT服务管理团体须遵照Plan-Do-Check-Act模式策划，实施、检验和改善IT服务管理体系，详见图1所表示PDCA模型。图1信息技术服务管理体系模型同时应该建立、实施和维护服务管理计划。计划应考虑到服务管理策略，服务需求和在ISO/IEC0中本部分要求。服务管理计划应包含或引用最少以下内容：a)由本企业来实现服务管理目标。b)服务要求。c)影响SMS已知限制。d)策略，标准和法律法规要求和协议义务。e)权力架构，职责和过程角色。f)权力和责任计划，服务管理步骤和服务。g)人力资源、技术资源、信息资源和财务资源来实现服务管理目标。h)在和其它各方合作时采取步骤，包含设计和转化新或变更服务步骤。i)对服务管理步骤和SMS其它组成部分进行整合时接口步骤。j)风险管理和接收风险准则步骤。k)用于支持SMS技术。l)SMS和服务成效需要被度量、汇报和改善。4.5.2.1策划服务管理a)IT服务管理目标:1)建立符合ISO0国际标准IT服务管理体系,有效整合和利用人员、设备和资金等IT资源。2)建立符合ISO0国际标准服务质量管控（QA）体系，提升IT服务品质，提升对IT用户支技能力。3)建立起“计划-实施-检测—改善”循环，以IT服务管理团体为驱动力使之正常运转并辅以质量检验，连续改善IT服务和IT服务管理水平。b)IT服务管理范围：IT服务管理范围包含为达成IT服务管理目标所需资源（人员、设备和资金等）和所提供IT服务。1)人员：包含人员招聘、培训、资质认证、团体建设等。2)设备：包含和IT服务管理相关软、硬件等。3)资金：包含IT服务管理过程中相关IT服务预算和核实活动等。4)IT服务：包含IT服务目标设定、IT服务计划编制、IT服务新增和改善等。c)IT服务年度计划及服务管理计划：1）每十二个月年初，体系责任人召集IT服务管理团体全部组员共同编制企业《年度IT服务计划》。2）《年度IT服务计划》制订须参考本企业战略策划、年度计划和上年度IT服务改善计划等信息。3）为实现企业年度IT服务计划，依据服务目录，制订《服务管理计划》须汇总金融服务外包（BPO）、柜员循环存取款系统（TCR）等服务年度服务计划信息，计划内容须包含：IT服务范围和目标，IT服务人员、设施、预算等资源需求，IT服务管理组织和IT服务风险管控、IT服务质量管理等内容；特定步骤计划应和服务管理计划相一致。该服务管理计划和特定步骤计划，应根据计划时间间隔进行审核，假如适用，进行更新。d)IT服务管理组织及其职责。本企业IT服务管理团体由体系责任人、IT服务管理委员会、内审组和各过程和人员组成。具体角色职责及定义参见《IT服务管理角色和职责说明》。本企业IT服务管理体系定义和实施过程包含：1）服务提供过程：a)IT服务等级管理。b)IT连续性和可用性管理。c)IT容量管理。d)IT安全管理。e)IT预算和核实管理。2）控制、公布过程：a）IT配置管理；b）IT变更和公布管理。3）处理过程：a）IT事件管理；。b）IT问题管理。4）关系过程：a）IT业务关系管理。b）IT供给商管理。在每个过程过程描述文档中，将对过程范围、目标、角色职责、活动交互、绩效指标及评价方法进具体定义。各过程之间接口。过程之间接口定义和经过接口信息传输将在过程定义文档中进行具体描述，在此对IT服务管理各过程之间接口简明描述详见（各过程描述图）。本企业IT服务管理体系以IT服务等级管理过程为关键，以IT配置管理为基础，将IT服务管理体系中各过程串联起来。IT服务等级管理过程为多个过程提供输入，各过程也将服务等级协议（SLA）要求实施情况估为输出返回到IT服务等级管理过程。IT配置管理过程为IT服务支持过程及部分IT服务交付过程提供全部需要配置项及其属性信息，并接收来自IT变更公布管理对配置信息修改。4.5.3实施运作SMS（D）本企业将依据服务管理计划，经过设计、转化、交付和提升来实施和运行SMS，包含但不限于以下行为：a)IT服务首先须建立起专业IT服务管理团体，将服务角色和职责进行合理分配，经过内部任命或招聘方法确保人员到位。b)为服务实施准备资金并做好预算分配，须有效管理预算实施，以确保服务体系能够按步骤、连续完成实施。c)根据各个过程策划方针、计划、程序和定义实施服务管理和提供服务管理体系；d)对IT服务管理团体进行有效管理，设定相关KPI指标确保过程运行质量，识别并控制IT服务风险。e)依据IT服务汇报管理过程要求，定时出具IT服务管理体系运行相关汇报以对服务管理行为表现进行监控和汇报。4.5.4监控审查SMS（C）4.5.4.1概述本企业建立了内部审核及管理评审控制程序等和SMS有效性和服务效果进行监督和度量。以证实SMS和各项服务能力能够实现服务管理目标并达成服务要求。同时已识别不符合本部分ISO/IEC0要求，包含服务提供者或服务要求确定SMS要求。同时应对内部审核和管理评审结果给予统计，其中包含不符合项，关注和确定行动。应将结果和行动通知各利益相关方。4.5.4.2内部审计本企业编制有《内部审核控制程序》明确了审核计划、实施审核，汇报结果和保留审计档案权力和责任，同时企业在计划时间间隔内进行内部审计，以确保SMS和服务是否：a)推行本ISO/IEC0要求。b)符合服务要求和服务提供者确定SMS要求。c)得到有效地实施和维护。在编制审计方案时应考虑过程和被审计领域地位和关键性，和以往审核结果。应对审计准则，范围，频率和方法进行统计。审计师选择和审核实施应确保其客观性和公正性。审核人员不应审核自己工作。应对不符合项进行通报，并进行排序和责任分配并采取行动。被审计该部分责任人须确保任何纠正和纠正方法，不得无故拖延，立即消除不合格项及其成因。后续活动应包含对所采取方法行为验证和结果汇报。本企业IT服务管理团体须采取方法对IT服务管理体系过程加以监控及测量，包含例行检验（管理评审：偏重于查改变---外部改变：法律法规/用户，内部改变：人员改变/组织机构改变（对企业冲击）、内部审核---偏重于查风险）和日常检验（偏重于查符合/不符合，即合策划检验定时回顾，关注绩效、结果、问题和纠正计划），以确保体系运行和设计相符，并依据检验结果采取纠正和预防方法，确保各过程目标达成。4.5.4.3管理评审本企业编制有《管理评审控制程序》对评审策划及实施作了描述。最高管理者应在计划时间间隔内对SMS和各项服务进复核，以确保其连续适宜性和有效性。复核需要包含对SMS开展必需更改关键性进行评定，包含服务管理策略和目标。对管理评审输入应包含但不限于以下信息：a)用户反馈。b)服务和过程性能和一致性。c)现有和估计人员、技术、信息和财务资源水平。d)目前和估计人员和技术能力。e)风险。f)审计结果和后续行动。g)前期管理复核中得出结果和后续行动。h)预防和纠正方法情况。i)可能影响SMS和各项服务改变。j)改善机会。管理评审统计应给予保留。管理评审统计应最少包含决议和对相关资源行动，提升SMS效益和改善服务。4.5.5连续改善SMS（A）4.5.5.1概述本企业将形成一个对SMS和各项服务连续改善策略。该策略应包含改善机会评价标准。同时本企业已建立《纠正和预防方法控制程序》包含对改善判定、统计、评定、审批、优先级管理、测量和汇报权力和责任。改善机会包含纠正和预防方法，应统计在案。应对已确定不符合原因给予纠正。应采取纠正方法以查明并消除不符合原因，以预防再次发生。应该采取预防方法，以消除潜在不合格原因，以预防发生。a)日常检验：在例行本企业IT内审和IT管理评审之外，本企业IT服务管理团体还须按需开展日常检验来确保IT服务管理体系连续改善。b)相关（事件、问题、变更、信息安全、业务关系、连续性、可用性和能力管理）过程需定时（每个月/季一次）对本过程运行效果进行总结研讨，针对发觉问题，须提出改善方法并实施。c)各过程责任人需须定时（每十二个月一次）对本过程实施效果进行总结研讨，必需时对过程文件进行修订、评审和公布。4.5.5.2管理改善改善机会应被优先考虑。本企业在对连续改善策略改善机会做决定时，应使用评价标准。对同意改善内容加以计划。同时应该管理改善活动，包含但不限于：a)设置改善目标，包含质量、价值、能力、成本、生产力、资源利用率、风险降低等方面。b)确保对同意改善得以实施。c)在需要时修改服务管理策略、计划、过程和步骤。d)对照设定目标检验改善完成情况，对没有实现目标，采取必需行动。e)对改善实施情况给予汇报。f)本企业IT服务管理团体依据IT服务管理体系检验阶段结果，采取改善方法不停改善IT服务管理和服务交付，逐步提升IT服务管理和服务交付效果和效率，内容包含：1)依据IT内审不合格项进行根源分析并加以改善，并依据IT内审结果决定是否需要对部分服务进行调整。2)基于IT管理评审汇报，从满足业务和用户需求出发，进行IT服务管理调整、改善或升级。3)依据体系检验结果进行IT服务管理过程优化和改善，包含过程策略变更、过程接口变更和角色职责变更等，如修订IT服务管理策略、过程、程序和计划等；4)经过IT服务管理委员会会议、定时用户满意度调查和定时用户回访等取得服务相关信息，并对于未能满足服务要求服务进行改善，并记入《服务改善计划》中。5设计和转化新或变更服务5.1概述5.1.1本企业形成对应程序将应用于全部新有可能变更服务，这对服务和用户将产生重大影响。变更由变更管理策略控制，对于新或变更服务评定、审批、调度和审查范围变更应该由变更管理步骤控制。新或变更服务范围配置项影响应由配置管理步骤控制。5.1.2企业IT服务管理委员会应该审查新或变更协议约定服务要求和新或变更服务计划，设计和开发新或变更服务过程中相关要求给计划和设计活动输出。在此基础上，应该接收或拒绝输出。同时应该采取必需行动，以确保发展和新或变更服务能够进行有效转化，采取公认输出。注：一个新服务需求或向服务转变能够来自用户，服务提供者，一个内部组或一个内部供给商，以满足业务需要或改善服务成效。5.1.3营销部门负责和用户沟通，服务部配合，搜集用户对现有SLA满意度水平。分析、整理用户新或变更服务要求，立即反馈用户改善需求。5.1.4当出现新服务或变更服务时，研发部依据《新或变更服务设计管理程序》要求，组织实施服务管理和提供服务策划和实施工作。5.1.5研发部组织对新服务或变更服务策划结果验证、确定，验证经过后按《新或变更服务设计管理程序》实施。5.1.6研发部应汇报新服务或变更服务按计划实施所达成结果，研发部按《公布和布署管理程序》，实施实施公布评审，比较实际结果和期望结果一致性。5.2新或变更服务计划5.2.1企业研发部应确定新或变更服务要求。新或变更服务应该被计划以符合服务要求。新或变更服务计划应由用户和利益相关方认可。5.2.2作为计划输入，研发部应该考虑到提供新或变更服务潜在财务、组织和技术上影响。研发部也应考虑到新或变更服务对SMS潜在影响。5.2.3新或变更服务计划应包含或引用包含但不限于以下内容：a)设计、开发和转化活动权力和责任。b)活动应该由以下各方推行：服务提供者和包含和服务接口其它各方。c)和各利益相关方沟通。d)人员、技术、信息和财务资源。e)计划活动时间表。f)对风险确实定，评定和管理。g)依靠其它服务。h)新或变更服务测试要求。i)服务验收标准。j)用可衡量术语表示提供新或变更服务预期输出。5.2.4对于要被删除服务，研发部应做出服务删除计划。计划应包含删除、归档、处理数据，文件和服务组件转移日期。服务组件能够包含基础设施和和应用程序相关许可证。5.2.5研发部应该对那些致力于新或变更服务组件条款各方加以识别判定。应该评定其能力以满足服务需求。评价结果应该给予统计并采取必需行动。5.3设计和开发新或变更服务5.3.1研发部负责对新或变更服务进行设计和文档化时应最少包含以下内容：a)交付新或变更服务时权力和责任。b)提供新或变更服务时服务提供者、用户和其它各方需实施活动。c)新或变更人力资源需求，包含对合适教育、培训、技能和经验要求。d)交付新或变更服务时财政资源需求。e)新或变更技术来支持提供新或变更服务。f)新或改变计划和策略，要求符合本部分ISO/IEC0。g)新或变更协议和其它文件改变协议，以配合服务变更要求。h)对SMS变更。i)新或变更服务水平协议。j)对服务目录进行更新。k)在交付新或变更服务过程中使用程序、方法和信息。5.3.2研发部应该确保设计使新或变更服务满足服务要求。5.3.3新或更改服务，应该根据文件化设计制订。5.4新或变更服务转化5.4.1研发部应该组织对新或变更服务进行测试，以验证它们是否符合服务要求和设计文件。新或更改服务应由营销部和相关方面事先约定验收标准。假如服务不符合验收标准，研发部和相关各方应该做出必需决定和布署行动。5.4.2公布和布署管理过程应用于布署已同意新或变更服务到真实环境。5.4.3伴随转化活动完成，服务提供者应该立即向相关方面汇报相关对预期结果取得成效。6服务交付过程6.1服务水平管理6.1.1服务部负责和相关部门沟通，制订企业《服务目录》。服务目录应定义全部服务，并包含服务名称、服务目标或标准、联络接口、服务提供时间和例外、安全方面考虑和安排。6.1.2《服务目录》是企业所提供服务内容汇总，企业和用户签署SLA时应参考《服务目录》。6.1.3企业应该依据目前服务能力对《服务目录》进行更新和维护。6.1.4依据企业战略策划、资源要求及用户需求，服务部在和营销中心和其它相关部门沟通、确定SLA时，应考虑：可接收连续损失服务最大周期、可接收降级服务最大周期，服务恢复时，可接收降级服务等级。6.1.5营销部代表用户，和服务部签署《服务等级协议》应明确：服务要求和期望服务工作量特征协议、服务目标协议、服务等级实现、工作量测量和汇报，和服务目标不能完成分析和说明。6.1.6服务部应依据和用户签署SLA和《供给商管理程序》要求，组织签署和供给商之间支持协议（或协议），并应由相关方定时评审。6.1.7当出现关键业务变更时，营销部应立即和研发部部沟通，按原过程重新组织相关部门，调整、修订《服务等级协议》，并作为服务改善计划输入。6.2服务汇报6.2.1服务部应就向用户提交服务汇报内容、汇报周期和用户协商并达成一致。6.2.2服务部拟制内部服务汇报，对计划间隔内用户服务情况、问题趋势、服务数据、SLA目标实现等进行汇总、统计和分析，组织召开月度服务质量分析会议，形成会议纪要后发放。6.2.2.1服务汇报关键包含内容：实施服务等级目标绩效，违反SLA、安全管理要求等不符合项和结论、工作量特征，如能力、资源利用、汇报关键事件、变更、定时趋势信息、用户满意度分析。6.2.2.2服务汇报应立即、清楚、可靠和简明，便于分析、决议和有效沟通。6.2.3当出现相关IT服务系统配置项变更时，服务部应按《变更管理程序》要求实施。6.3服务连续性和可用性管理6.3.1服务连续性和可用性需求6.3.1.1服务部应该评定和统计服务连续性和服务可用性风险。并确定并和用户和相关各方就服务连续性和可用性要求达成一致。同时应对业务计划适用性、服务要求、SLA和风险给予考虑。和用户纸定服务连续性和可用性要求致少包含：a)取得服务权利。b)服务响应时间。c)点对点服务可用性。6.3.1.2服务部应根据《服务连续性和可用性管理程序》要求，拟制服务《连续性和可用性计划》，依据用户业务优先级、服务等级协议和评定风险，按设计工作量计划维护有效服务能力，并和《服务等级协议》目标保持一致。应考虑：a)IT服务连续性和可用性计划考虑可用性要求和目标和对服务和系统组成关系。b)应清楚分配调用IT服务连续性和可用性计划责任，并清楚计划对每个目标采取方法责任。c)备份服务恢复所需数据、文件、软件、任何设备和必需职员，在重大服务失败或灾难时，保持快速有效。d)在远程安全地点，全部IT服务连续性和可用性文件应存放和维护最少一份，和其它必需设备保留在一起。e)当不能正常进入服务位置时，可取得服务连续性计划，联络人名单和CMDB；f)针对服务连续性计划和可行性计划改变需求，服务部应组织相关部门评定其影响。6.3.2服务连续性和可用性监控和测试6.3.2.1定时开展IT服务连续性计划测试。使职员了解调用、实施计划角色和职责，并能访问IT服务连续性文件。6.3.2.2服务部每十二个月末组织对服务《连续性和可用性计划》进行评审，并依据业务需求改变立即调整计划内容和目标，确保从一般到重大服务失效任何环境下全部能满足和用户协商要求。6.3.2.3当业务环境发生重大改变时，服务部应重新组织评审、修订服务《连续性和可用性计划》。并经过能力管理和配置管理活动，评价全部服务组成有效性，预知可能、潜在问题，并采取预防方法。6.3.2.4对服务《连续性和可用性计划》中内容和目标变更，服务部应立即组织相关部门按《变更管理程序》要求进行评定、验证和确定，确保变更效果及满足SLA要求。6.3.2.5服务部应定时对可用性信息进行测量和统计，应对计划之外不可用性进行被调查、评定，并采取合适纠正或预防方法。可用性活动包含：a)监控和统计服务可用性、服务正确历史数据。b)和SLA中定义需求相比较，以识别不符合SLA有效目标事项。c)统计不符合项，并组织评审。d)考虑、评定供给商影响。e)估计未来可用性。6.4服务预算和核实6.4.1服务预算和核实过程和其它财务管理步骤之间应有接口。6.4.2应该有以下内容策略和书面步骤：a)应对支出进行预算，方便开展有效财务控制和为决议制订提供服务。b)服务提供者应该监测和汇报预算支出，审查财务预算，从而管理成本。注：很多服务提供者对服务费进行记账。对预算编制和核实范围服务过程中不包含赊账。6.4.3服务部应依据国家相关法律法规和财务政策，和企业业务策略（包含产品策略、销售策略、服务策略等），组织拟制、审核本部门总体性和阶段性IT服务费用预算及成本标准。6.4.3.1服务组件预算和核实应最少包含；a)资产-包含用于提供服务许可证。b)共享资源。c)管理费用。d)资本和运行开支。e)外部提供服务；f)人员，设施。g)将间接成本和直接成本分配给各项服务，为每个服务提供一个整体成本。h)有效财务控制和审批。6.4.4服务部依据企业业务发展战略、企业现有SLA要求，及本部门业务特点，按部门工作计划内容，组织拟制本部门阶段性费用预算计划，经财务部汇总、报批后实施。6.4.5在预算期间出现服务变更引发预算改变，相关部门应按变更管理步骤要求实施预算变更申请。6.4.6在对《服务等级协议》进行评审时，服务部应依据企业策略，评定实现服务目标和需求成本，并依据确定服务等级协议跟踪成本改变。6.4.7服务部应依据预算跟踪财务改变，并对超出预算要求改变，提前向相关部门提出预警信号。6.5容量管理6.5.1服务部负责现有IT服务系统能力水平策划，依据《容量管理程序》要求，制订《容量计划》，应在计划中描述业务需求，应包含：a)现行和估计服务需求。b)协议要求对可用性，服务连续性和服务等级预期影响。c)升级服务容量时间范围、阀值和成本。d)法律、法规、协议或组织变更潜在影响。e)新技术，新工艺潜在影响。f)能够进行估计分析程序，或它们引用。g)人员能力、技术可行性、信息和为达成SLA所要求服务等级目标和业务需求所应含有条件。6.5.2服务部应该和用户和相关方面确定并认同容量和性能要求,当出现临时新增或变更服务引发容量计划需要进行变更时应经过变更管理过程来控制。6.5.3服务部应该监测容量使用，分析容量数据并优化性能。该服务提供者应提供足够能力以完成协议容量和性能要求。6.6信息安全管理6.6.1信息安全策略6.6.1.1本企业制订有《信息安全管理程序》，描述相关风险控制，及运行和维护控制方法。6.6.1.2考虑到服务要求和法律法规要求和协议义务，指派有对应安全责任人以管理审批信息安全策略。安全责任人应含有以下方面职责：a)和服务提供者、用户和供给商相关人员沟通信息安全策略，和遵守该策略关键性。b)确保信息安全管理目标完成。c)明确管理信息安全风险所采取方法和接收风险准则。d)确保信息安全风险评定是在计划时间间隔进行。e)确保信息安全内审进行。f)确保对审核结果进行评审，以确定改善机会。6.6.2信息安全控制方法6.6.2.1依据企业业务及SLA要求，服务部组织制订信息安全管理策略、目标，并负责识别、分类信息安全资产，并对信息安全资产实施和操作物理、管理和技术信息安全控制方法进行方便：a)确保信息资产保密性，完整性和可用性。b)满足信息安全策略要求。c)实现信息安全管理目标。d)管理信息安全相关风险。6.6.2.2对这些信息安全控制应作统计，并说明和控制相关操作和维护风险。包含:a)提供服务所需要信息安全资产目录。b)依据信息安全资产对服务关键性和所要求保护等级对信息安全资产进行分类，并指派对应安全责任人。c)对信息安全资产实施安全风险评定，并应考虑以下原因。d)特征（比如软件漏洞、运行错误、通信失败）。e)发生可能性。f)潜在业务影响。g)信息安全政策目标，满足用户特定安全需要和所采取法规条例。h)历史经验。6.6.2.3服务部应该复审信息安全控制有效性,采取必需行动并对所采取行动进行汇报。6.6.2.4服务部应该含有识别那些需要访问，使用或管理信息和服务外部组织,并对这些外部组织进行归档，协商并实施信息安全控制。6.6.3信息安全变更和事件6.6.3.1在服务变更实施之前，服务部应组织相关部门根据《变更管理程序》要求评定对信息安全影响,同时每三个月对信息进行汇总、分析，评审并识改善机会，拟制《信息安全评定汇报》。6.6.3.2关键包含：a)信息安全策略有效性。b)信息安全事件趋势。c)改善服务计划。d)信息、资产和系统访问控制。6.6.3.3以确定：a)新或变更信息安全风险。b)对现有信息安全策略和控制潜在影响。6.6.3.4信息安全事件应使用事件管理步骤管理，其优先级信息安全风险相适应。7关系过程7.1业务关系管理7.1.1营销部应该建立目录包含全部用户、用户和各利益相关方，并对于每一个用户应该指定专员负责管理用户关系管理和用户满意度。7.1.2营销部根据《业务关系管理程序》要求，牵头并定时组织销售部门，开展服务管理评价活动，讨论、汇报服务范围、SLA、协议或业务需求改变，及性能、成绩、结果和方法计划，形成会议纪要。7.1.3当服务目标、服务需求、支持协议、业务等发生新增、变更或撤销时，研发部应按《新或变更服务设计管理程序》要求，提出并评定服务范围和SLA改善方案，由服务部组织实施。7.1.4营销部和用户建立有效互动、沟通关系，方便立即了解用户需求或重大变更，并依据需求进行响应。依据《业务关系管理程序》，定义、搜集、分析用户满意度数据和信息，监控用户满意度趋势。7.1.5营销部依据《业务关系管理程序》中用户投诉管理过程，负责搜集、统计、分析用户投诉统计，识别投诉发展趋势和存在问题，确保服务连续性目标实现。同时联络用户在计划时间间隔复审服务表现。7.2供给商管理7.2.1服务部按《供给商管理程序》要求，指定专员管理和供给商关系、协议和绩效。并对供给商提供IT服务过程进行管理，完善供给商管理制度和采购规范，建立和维护企业《合格IT供给商名单》,并确保：a)供给商了解其对本企业负担责任。b)服务要求满足协议约定服务等级和范围。c)管理变更。d)统计和相关各相关方业务交流。e)了解全部供给商业绩并采取对应改善方法。7.2.2服务部负责组织相关部门对供给商提供服务所满足需求、范围、服务等级、接口和沟经过程等进行评审并达成一致，按企业正式授权，组织签署和供给商之间支持协议或供货协议。关键包含以下内容：a)供给商提供服务范围。b)服务、步骤和各方之间依靠关系。c)供给商必需满足要求。d)服务目标。e)供给商在和其它各方在服务管理过程中接口。f)在SMS中供给商全部行为。g)工作量特点。h)协议例外情况，和将怎样处理这些情况。i)服务提供者和供给商权力和责任。j)由供给商提供汇报和信息。k)收费依据。l)估计终止或提前终止协议，及将服务转让给第三方时行为和责任。7.2.3服务部负责拟制企业《合格IT供给商名单》，并负责《合格IT供给商名单》维护和管理。7.2.4当企业和供给商支持协议或供货协议需要修订或变更时，服务部应重新组织相关部门进行协议评审，在评审中应讨论和明确对本企业SLA影响和变更，并根据《变更管理程序》要求实施。7.2.5服务部按《供给商管理程序》要求，对企业合格供给商进行年度评审，监督、统计供给商对本企业SLA落实情况，将评定结果立即反馈给相关供给商，并组织进行相关调整和改善。7.2.6服务部应组织管理和供给商之间协议冲突，并在支持协议或供货协议中明确。假如争议无法经过正常路径处理时，应交由更高等级处理路径。7.2.7服务部应确保全部协议冲突被统计、调查、处理并正式关闭。8处理过程8.1事件和服务请求管理8.1.1服务部服务台根据事件定义文件及《事件管理程序》要求，依据事件影响和紧急程度确定事件处理优先等级，并基于优先等级确定处理事件目标。其中应包含：a)接收请求、统计、优先级分配、分类。b)一线事件处理或转移。c)考虑安全事件。d)事件跟踪和生命周期管理。e)一线用户联络。f)事件升级。g)事件处理、验证和关闭。8.1.2事件汇报方法包含电话、造访、传真或电子邮件，全部事件应在服务台正式统计，并可检索和分析。8.1.3服务部对升级事件提供处理方案，帮助服务台关闭事件。8.1.4服务部负责对升级技术问题提供处理事件技术支持，帮助服务台处理未知错误。8.1.5服务部组织建立事件知识库，以确保服务台人员可访问常常更新知识库。知识库中包含技术教授、以前事件、相关问题、已知错误、配置管理数据库（CMDB）、检验清单等有利于恢复服务多种信息。8.1.6对重大事件处理，服务部按相关要求实施。8.1.7服务部应在证实事件已经处理而且服务已经恢复时候，事件才能最终关闭。8.2问题管理8.2.1服务部依据《问题管理程序》对问题原因预先识别、分析、管理直至关闭，以降低对业务影响。对问题过程应确定以下方面内容:a)确定问题。b)统计问题。c)优先次序分配。d)分类。e)更新统计。f)升级。g)处理。h)关闭。8.2.2服务部依据日常检验、测试、事故数量和类型趋势分析等纠正方法，识别潜在问题、确定其根本原因和其潜在预防方法。全部被识别问题全部应该得到统计。8.2.3在问题得四处理后，服务部将相关信息应加入问题知识库，服务部同时应升级全部相关文件，如用户指南和系统文件。应对该问题处理有效性进行监测，复审和汇报。8.2.4统计对服务或问题管理过程改善，并作为服务改善计划输入,同时最新已知错误和问题处理方案应提供给事件管理和服务请求管理步骤。9控制过程9.1配置管理9.1.1服务部应依据《配置管理程序》要求，评定全部和IT服务相关关键资产和配置项，识别、定义、维护IT服务和基础设施组件，明确配置项之间关系、属性和作用，定义命名规范、版本号，制订和实施《配置项分类定义表》，以确保有效管理IT资产和配置。9.1.2每个配置项全部有唯一标识，并统计在CMDB中,同时每个配置项统计信息统计应包含:a)配置项说明。b)配置项和其它配置项之间关系。c)配置项和服务组件之间关系。d)状态。e)版本。f)位置。g)相关更改请求。h)相关问题和已知错误。9.1.3被管理配置项关键包含：信息系统和软件（包含第三方软件）公布、相关系统文档、比如要求规范、设计、测试汇报、公布文档、每个应用环境配置基线、或描述应用环境、标准硬件组成和公布、备份和电子资料库、如最终软件库（DSL）、配置管理包或工具、许可证、安全组件、如防火墙、服务相关文档、比如服务等级协议、活动程序、务支持设施、比如机房电源。9.1.4综合管理部依据配置项之间关系、属性、状态类别、关键程度和优先级，确定配置管理数据库范围、分解层数、具体程度，完成配置管理数据库构建。9.1.5综合管理部制订《配置管理计划》，并每十二个月末进行更新。关键包含：配置管理范围、目标、策略、标准角色和责任、配置管理过程定义服务和基础设施中配置项，配置控制变更，统计和汇报配置项情况，证实配置项完整性和正确性责任、可检索、可审计要求，如出于安全、法律、规章或业务目标、配置控制（访问、保护、版本、开发、公布控制）、交互控制过程，及信息接口和公布、资源管理策划和建立，方便使资产和配置受控，并维持配置管理系统，如培训活动、和配置相关供给商管理要求和活动。9.1.6综合管理部在配置管理过程中应监控配置项整个生命周期，确保只有被授权且可识别配置项才被接收，并统计从接收到销毁全过程；没有被认可变更请求，不能添加、修改、替换或删除配置项。9.1.7综合管理部应保留有效配置统计，以反应配置项状态、位置和版本改变，并经过多种状态监控配置项变更，比如订购、接收、测试、使用、变更、拆卸、取消。配置项更新信息应作为配置管理计划和变更管理输入。9.1.8为保护系统、服务和基础设施完整性和安全性，配置项信息应被保留在一个安全环境。应：保护其不受未授权访问、变更或破坏、提供灾难后恢复方法、对受控软件、测试产品和支持文档等备份恢复进行限制。9.1.9配置评审程序应包含缺点统计、实施纠正方法和汇报结果。9.1.10综合管理部应定时填写《配置项管理统计》，包含：配置项最新版本、配置项位置和软件关键版本位置、相互依靠关系、版本历史。在任何时候全部可查对配置项以下内容：服务配置项或系统、变更、基准线、开发或公布、版本或变量。9.1.11综合管理部应定时组织相关部门实施配置认可和审核活动，并检验是否有充足资源以支持：保护物理配置和企业知识资本、确保企业控制其配置、原件和许可证、确保配置信息是正确、可控、可见。9.1.12综合管理部应确保变更、公布、系统或环境符合其协议约定或事先约定要求且配置统计是正确。9.1.13在审核中出现缺点或不符合项应被统计、评定和改善。9.2变更管理9.2.1综合管理部依据企业业务需要或用户需求，制订《变更计划》。应考虑：清楚定义变更范围、在变更管理控制下配置项、使业务增值变更才能被认可，比如商业、法律、规章、法令、依据优先级和风险为变更安排时间、在变更实施中验证配置项变更、需要时监控并改善变更实施时间。9.2.2综合管理部在组织开展变更时，还应