ISO∕IEC 20000-1：2018《信息技术服务管理第一部分：服务管理体系要求》之15-“7.5成文信息”理解与应用指导材料

“7.5成文信息”理解与应用指导材料ISO/IEC20000-1:2018《信息技术服务管理第一部分：服务管理体系要求》之15：“7.5成文信息”理解与应用指导材料ISO∕IEC20000-1-2018《信息技术—服务管理第1部分服务管理体系ISO∕IEC20000-1-2018《信息技术—服务管理第1部分服务管理体系》7服务管理体系的支持7.5成文信息7.5.1总则组织的服务管理体系应包括：a）本标准要求的成文信息；b）组织所确定的、为确保服务管理体系有效性所需的成文信息。注：对于不同组织，服务管理体系成文信息的多少与详略程度可以不同，取决于：——组织的规模，以及活动、过程、产品和服务的类型；——过程及其相互作用的复杂程度；——人员的能力。7.5.2创建和更新成文信息在创建和更新成文信息时，组织应确保适当的：a）标识和说明（如标题、日期、作者、索引编号）；b）形式（如语言、软件版本、图表）和载体（如纸质的、电子的）；c）评审和批准，以保持适宜性和充分性。7.5.3成文信息的控制应控制服务管理体系和本标准所要求的成文信息，以确保：a）在需要的场合和时机，均可获得并适用；b）予以妥善保护（如：防止泄密、不当使用或缺失）。为控制成文信息，适用时，组织应进行以下活动：a）分发、访问、检索和使用；b）存储和防护，包括保持可读性；c）更改控制（如版本控制）；d）保留和处置。对于组织所确定的策划和运行服务管理体系所必需的来自外部的成文信息，组织应进行适当识别，并予以控制。应对所保留的、作为符合性证据的成文信息应予以保护，防止非预期的更改。注：对于成文信息的“访问”可能意味着仅允许查阅或者意味着允许查阅和并授权修改。7.5.4服务管理体系成文信息服务管理体系成文信息应包括：a）服务管理体系范围；b）服务管理方针和目标；c）服务管理计划；d）变更管理方针、信息安全方针和服务连续性计划；e）组织服务管理体系的过程；f）服务要求；g）服务目录；h）服务级别协议（SLA)；i）与外部供方签订的合同；j）与内部供方或作为供方的客户签订的协议；k）本标准要求的程序；1）证明符合本标准和组织服务管理体系要求所需的记录。注：7.5.4提供了服务管理体系关键文档清单。本标准有其他特定的要求需要形成文件化信息，形成文件或记录。ISO/IEC20000-2提供了指南。服务管理体系的支持成文信息总则成文信息的必要性和来源；成文信息的必要性：成文信息不仅是ISO/IEC20000-1标准的要求，也是组织确保SMS有效运行不可或缺的一部分；信息的双重来源：组织需要包含的成文信息来自两个方面：直接由ISO/IEC20000-1标准明确规定的；组织根据自身情况，为了确保SMS有效性而额外确定的。组织的服务管理体系应包括：ISO∕IEC20000-1标准要求的成文信息；标准要求的成文信息：这些信息是ISO/IEC20000-1标准中明确规定的必须形成文件的项目，包括但不限于服务管理方针、服务管理计划、变更管理方针、信息安全方针、服务连续性计划等关键文档；符合性证据：确保这些成文信息的存在和更新，是组织证明其符合ISO/IEC20000-1标准要求的重要证据。组织所确定的、为确保服务管理体系有效性所需的成文信息。组织特定成文信息：组织应根据自身的实际情况和需要，确定额外的成文信息。这些信息旨在进一步提升SMS的有效性和效率。灵活性与个性化：这一要求体现了ISO/IEC20000-1标准的灵活性，允许组织根据自身特点进行定制，而不是一刀切地应用标准。建立成文信息清单：组织应首先根据ISO/IEC20000-1标准的要求，列出所有必须形成的成文信息项目。然后，结合自身的实际情况和需求，进一步补充和完善成文信息清单。对于不同组织，服务管理体系成文信息的多少与详略程度的决定因素：对于不同组织，服务管理体系成文信息的多少与详略程度可以不同；成文信息的差异性：本条款明确指出，不同组织在构建其服务管理体系（SMS）时，所需的成文信息的数量和详细程度可以有所不同。这种差异性是基于组织的特定情况和需求；灵活适应原则：这一规定体现了ISO/IEC20000-1标准的灵活性，允许组织根据自身条件定制成文信息的程度和范围，而不是强制推行统一标准。考虑组织的规模，以及活动、过程、产品和服务的类型；组织规模的影响：组织的规模大小直接影响其成文信息的数量和复杂性。大型企业可能需要更详尽的成文信息来确保各个部门和流程之间的协调一致；而小型企业则可能更倾向于简洁明了的成文信息，以提高效率并降低成本；活动、过程、产品和服务的多样性：组织提供的活动、过程、产品和服务类型也是决定成文信息详略程度的关键因素。例如，提供高度定制化和复杂服务的组织可能需要更详细的成文信息来指导其运作；而提供标准化和简单服务的组织则可能不需要过于详尽的成文信息。考虑过程及其相互作用的复杂程度；过程的复杂性：组织内部过程的复杂程度直接决定了成文信息的详细程度。当组织拥有众多相互关联且复杂的流程时，需要更详细的成文信息来确保流程之间的顺畅衔接和高效运作；相互作用的考虑：除了单个过程的复杂性外，过程之间的相互作用也是决定成文信息详略程度的重要因素。组织需要充分考虑这些相互作用，并制定相应的成文信息来指导实际运作。考虑人员的能力。人员能力的考虑：人员的能力水平也是决定成文信息详略程度的关键因素。当组织内部人员具备较高的专业素质和技能水平时，可以相对减少成文信息的详细程度；反之，则需要更详尽的成文信息来指导和支持人员的工作；培训与提升：此外，组织还应关注人员能力的培训和提升工作。通过不断提高人员的能力水平，可以逐步减少成文信息的详细程度，从而提高组织的整体运作效率和灵活性。创建和更新成文信息在创建和更新成文信息时，组织应确保适当的：标识和说明（如标题、日期、作者、索引编号）；标题：应简洁明了地概括成文信息的主要内容，便于查阅；日期：记录成文信息的创建或更新日期，有助于追踪信息的变化历史和有效性；作者：明确成文信息的编制者，有助于追责和沟通；索引编号：为成文信息提供唯一的识别码，便于检索和管理。形式（如语言、软件版本、图表）和载体（如纸质的、电子的）；形式（如语言、软件版本、图表）：语言：成文信息应使用易于理解和接受的语言编写，以确保信息的准确传达。对于多语言环境的组织，还应考虑提供多种语言版本的成文信息；软件版本：如果成文信息是以电子形式存在的，组织应明确其所支持的软件版本，以确保信息在不同设备和系统上的兼容性和可访问性；图表：适当使用图表、图形等视觉元素可以帮助读者更快地理解复杂信息，提高信息的可读性和吸引力。载体（如纸质的、电子的）。纸质载体：传统的纸质载体具有易于携带、无需电力支持等优点，适合在特定场合下使用。然而，纸质载体也存在存储空间大、不便于检索等缺点；电子载体：电子载体具有存储容量大、便于检索和分享等优点，适合存储大量信息并在多个用户之间共享。但电子载体也依赖于电力和网络等基础设施的支持。评审和批准，以保持适宜性和充分性。评审环节：目的：评审的主要目的是对成文信息的内容进行全面检查，确保信息的准确性、一致性和完整性；参与者：评审过程应邀请相关领域的专家、利益相关方和内部审核人员参与，以确保评审的全面性和专业性；评审内容：评审应涵盖成文信息的所有方面，包括信息的逻辑结构、数据准确性、语言表述等。批准环节：目的：批准是对评审结果的正式确认，标志着成文信息可以正式发布和使用；批准者：通常由组织内具有相应权限和职责的管理层或指定人员负责批准工作；批准标准：批准标准应基于组织的政策、程序和标准要求，确保成文信息符合组织的整体战略和业务目标。成文信息的控制应控制服务管理体系和本标准所要求的成文信息，以确保：在需要的场合和时机，均可获得并适用；成文信息的控制首要目标是确保这些信息在需要的时候能够被方便地获取并使用：成文信息的可获得性：组织应建立一套有效的机制，确保所有相关人员能够在需要的场合和时机迅速找到所需的成文信息。这要求组织对成文信息进行合理的分类、存储和索引，以便快速检索；成文信息的适用性：除了可获得性外，成文信息还必须具有适用性。这意味着信息必须是准确、完整且最新的，能够满足使用者的实际需求。组织应定期审查和更新成文信息，确保其始终保持与业务和服务管理体系的同步。予以妥善保护（如：防止泄密、不当使用或缺失）。成文信息的安全需求：组织应对其服务管理体系和ISO/IEC20000-1标准所要求的成文信息进行妥善保护。这是确保组织信息安全和业务连续性的重要环节；防止泄密：成文信息中可能包含敏感或机密信息，如客户数据、服务策略、技术细节等。组织应采取措施，如访问控制、加密传输、安全存储等，确保这些信息不被未经授权的第三方获取；防止不当使用：组织应确保成文信息不被未经授权的人员不当使用。这要求组织对信息的使用权限进行严格管理，确保只有经过授权的人员才能访问和使用相关信息；防止缺失：成文信息的缺失可能会给组织带来严重的后果，如服务中断、合规性问题等。因此，组织应建立备份和恢复机制，确保在发生意外情况时能够迅速恢复成文信息的完整性和可用性。为控制成文信息，适用时，组织应进行以下活动：分发、访问、检索和使用；分发管理；定义与目的：分发是确保成文信息准确传达至目标受众的关键步骤；组织需明确分发对象、渠道和时机，确保信息的及时性和准确性；实施要点：分发过程中应记录分发记录，以便追踪和审核；分发方式可包括电子邮件、内部网站、纸质文档等，根据信息的敏感性和受众需求选择合适的分发方式。访问控制；定义与目的：访问控制旨在保护成文信息的安全性，防止未经授权的人员获取或修改信息；实施要点：对于“访问”的定义，组织需根据信息的敏感性和重要性进行细化；例如，某些信息可能仅允许特定人员查阅，而其他信息则允许查阅并进行必要的修改；这要求组织建立明确的访问权限管理制度，采用身份验证、角色分配等技术和管理手段来实施访问控制；注意事项：在设置访问权限时，应充分考虑信息的实际需求和使用场景，避免权限设置过于严格或宽松，影响信息的有效使用或安全性。检索便捷性；定义与目的：检索便捷性是指用户能够迅速、准确地找到所需成文信息的能力；这有助于提高工作效率，减少因信息查找困难而造成的延误；实施要点：组织应建立统一的成文信息分类体系和索引机制，便于用户进行检索；同时，提供高效的检索工具和平台（如内部搜索引擎、知识库等），支持多种检索方式（如关键词、主题、日期等），提高检索效率和准确性。使用合规性。定义与目的：使用合规性是指用户在使用成文信息时遵守相关规定和程序，确保信息的正确、合法和有效使用；实施要点：组织应制定成文信息使用规定和指南，明确信息使用的目的、范围、方式和限制。同时，加强对用户的教育和培训，提高他们的信息意识和合规意识。在使用过程中，用户应严格按照规定使用信息，不得擅自修改、泄露或滥用信息。存储和防护，包括保持可读性；存储管理；定义与目的：存储管理涉及将成文信息以适当的方式保存起来，确保信息的长期保存和可追溯性；实施要点：组织应选择合适的存储介质（如纸质文档、电子存储设备等），并制定存储策略，明确存储位置、存储期限和存储条件。同时，应建立存储介质的定期检查和维护机制，确保存储介质的完整性和可靠性。防护措施；定义与目的：防护措施旨在防止成文信息在存储过程中受到损坏、丢失或未经授权的访问；实施要点：组织应采取物理防护措施（如防火、防水、防盗等）和技术防护措施（如加密、访问控制等）来确保成文信息的安全性。对于电子存储介质，还应关注数据的备份和恢复策略，以防止数据丢失或损坏。保持可读性。定义与目的：保持可读性是指确保存储的成文信息在未来能够被准确、清晰地阅读和理解；实施要点：组织应关注存储介质的兼容性和稳定性，确保在未来仍能读取存储的信息。对于电子文档，应定期更新阅读软件或格式转换器，以兼容新的操作系统或软件版本。同时，对于纸质文档，应存储在干燥、通风的环境中，避免受潮、霉变或虫蛀等影响可读性的因素。更改控制（如版本控制）；更改控制的必要性：成文信息在服务管理体系中扮演着至关重要的角色，其准确性和时效性直接影响到服务的质量和管理的有效性。因此，对成文信息的更改必须实施严格的控制，以防止未经授权的更改或错误的更改导致的不良后果。版本控制的具体实施；定义与目的：版本控制是一种记录文件历史更改记录的管理技术，目的是保留文件在不同时间点的状态，以便追踪更改历史和恢复特定版本的文件；实施要点：组织应建立明确的版本控制流程，规定成文信息的更改申请、审批、记录、发布等步骤。在更改成文信息时，必须创建新的版本，并保留旧版本的备份。每个版本都应标注版本号、更改日期、更改内容、更改者等信息，以便于追溯和审核；实践应用：在实际操作中，组织可以利用文档管理系统或版本控制工具来实现自动化的版本控制。这些系统或工具能够自动记录文件的更改历史，并提供版本比较、回滚等功能，极大地提高了版本控制的效率和准确性。更改控制的实施原则。审批原则：所有成文信息的更改必须经过适当的审批程序，确保更改的合理性和必要性。审批人员应根据文件的重要性和影响范围，评估更改的风险和后果，并作出是否批准更改的决策；记录原则：所有成文信息的更改都必须详细记录，包括更改的原因、内容、时间、执行者等信息。这些记录是审核和追溯的重要依据，有助于组织了解文件的历史状态，及时发现并纠正错误；一致性原则：在更改成文信息时，必须确保所有相关文件的一致性。例如，在更新服务级别协议时，必须同时更新相关的服务目录、服务设计文档等，以保持整个服务管理体系的协调性和一致性。保留和处置；保留成文信息的重要性：成文信息作为服务管理体系运行和持续改进的证据，具有重要的法律和商业价值。因此，组织需要确保这些信息在一定期限内得到妥善保留，以便在需要时能够随时检索和使用；保留期限的确定：保留期限应根据成文信息的性质、用途以及相关法律法规和合同要求来确定。例如，服务级别协议、服务目录等关键文档可能需要长期保留，以便随时查阅和审核；而一些临时性的通知或报告，则可能只需要保留一段时间后即可处置；保留方式的选择：成文信息的保留方式应根据信息的类型、数量以及存储介质的特性来选择。对于纸质文档，应存放在干燥、通风、防火、防盗的环境中；对于电子文档，则应存储在可靠的存储介质上，并定期备份以防数据丢失；成文信息的合规处置：当成文信息的保留期限到期或不再需要时，组织应按照相关法律法规和合同要求进行合规处置。处置方式可能包括销毁、归档或移交给其他相关方等。无论采取何种处置方式，都应确保信息的安全性和保密性，防止信息泄露或被非法利用。对于组织所确定的策划和运行服务管理体系所必需的来自外部的成文信息，组织应进行适当识别，并予以控制。外部成文信息的重要性：在服务管理体系的策划和运行过程中，组织经常需要依赖来自外部的各种成文信息。这些信息对于确保服务管理体系的合规性、有效性和持续改进至关重要；外部成文信息通常包括但不限于以下几类：法律法规和标准；国家法律法规：涉及信息技术服务、数据保护、隐私安全、信息安全等方面的法律法规，如GDPR（欧盟通用数据保护条例）、中国网络安全法等；行业标准：特定行业或领域内的服务管理标准、最佳实践指南等，如ISO/IEC20000系列标准、ITIL（信息技术基础架构库）框架等。监管要求和指导文件：来自政府监管机构、行业协会等发布的指导文件、公告、通知等，这些文件可能包含对服务管理体系的特定要求或建议；供应商提供的信息；技术手册和指南：供应商提供的产品技术手册、使用指南、维护手册等，这些文件对于确保服务组件或服务的正常运行至关重要；服务级别协议（SLA）：与供应商签订的服务级别协议，明确规定了服务的质量、响应时间、故障处理等方面的要求。合同和协议：与客户、合作伙伴等签订的合同和协议，这些文件详细规定了服务的内容、范围、价格、交付方式、双方的权利和义务等关键条款；第三方认证和审核要求：涉及服务管理体系认证、信息安全认证等第三方审核和认证要求的相关文件，这些文件可能包含特定的审核标准、流程和方法；市场情报和行业动态：来自行业报告、市场分析、竞争对手情报等方面的信息，这些信息有助于组织了解市场动态、行业趋势和竞争对手的策略，以便更好地策划和运行服务管理体系；外部培训和教育资料：组织员工参加外部培训或教育活动所获得的资料，如培训手册、课程讲义、证书等，这些资料有助于提升员工的专业能力和服务水平。适当识别的必要性：组织需要建立有效的机制来识别和收集这些外部成文信息。识别过程应确保信息的全面性和准确性，避免遗漏关键信息或引入错误信息。这通常要求组织定期审查相关法律法规、行业标准的变化，并与供应商保持沟通，及时了解其提供的最新技术手册或指南；控制外部成文信息的措施。一旦识别出外部成文信息，组织应采取适当的控制措施来确保其有效性和可用性。这包括：验证信息的真实性：通过官方渠道验证信息的真实性和有效性，确保所依据的外部成文信息是准确无误的；建立外部成文信息清单：全面梳理和识别组织所需的外部成文信息，建立详细的清单，明确列出各类信息的来源、版本、有效期和关键条款等信息；及时更新：跟踪外部成文信息的更新情况，确保组织所使用的信息是最新的。对于法律法规和行业标准的变化，组织应及时评估其对服务管理体系的影响，并采取相应的调整措施；存储与访问：建立适当的存储和访问机制，确保外部成文信息在组织内部易于检索和使用。同时，应注意信息的安全性和保密性，防止未经授权的访问和泄露；分发与沟通：将外部成文信息及时分发给组织内部的相关人员，并确保他们充分理解这些信息的要求和含义。应对所保留的、作为符合性证据的成文信息应予以保护，防止非预期的更改。符合性证据的重要性：在服务管理体系的运行过程中，组织会生成大量的成文信息，其中部分信息被用作符合ISO/IEC20000-1要求的证据。这些证据对于证明组织的合规性、展示服务管理体系的有效性至关重要；保护成文信息的必要性：为确保这些符合性证据的完整性和可信度，组织必须采取措施防止其被非预期地更改。非预期的更改可能导致证据失效，从而影响组织对合规性的证明；防止非预期更改的措施。访问控制：限制对符合性证据的访问权限，仅允许授权人员访问和修改这些信息。通过实施严格的访问控制策略，可以降低非授权访问和更改的风险；版本控制：对成文信息进行版本管理，记录每次更改的详细信息，包括更改时间、更改内容、更改者等。这样可以在需要时追溯信息的更改历史，验证其完整性和可信度；审核追踪：建立审核追踪机制，记录对符合性证据的所有访问和更改操作。这有助于组织及时发现和处理任何未经授权的更改行为；备份与恢复：定期备份符合性证据，并确保备份数据的安全性和可用性。在发生意外情况导致原始数据丢失或损坏时，可以通过备份数据快速恢复，保障证据的完整性和可信度。服务管理体系成文信息服务管理体系成文信息应包括：服务管理体系范围：明确界定服务管理体系的边界和适用性，包括哪些服务和组织部分被纳入管理范围，是理解和实施服务管理体系的首要步骤；服务管理方针和目标：服务管理方针为组织提供了服务管理的总体方向和意图，而服务管理目标则是具体、可测量的结果，两者共同指导服务管理体系的运行；服务管理计划：服务管理计划详细描述了如何实施服务管理方针、实现服务管理目标，以及满足服务要求的具体措施和资源安排；变更管理方针、信息安全方针和服务连续性计划：这些特定领域的方针和计划是服务管理体系的重要组成部分，分别针对变更管理、信息安全和服务连续性提出了具体的管理要求和措施；组织服务管理体系的过程：服务管理体系由多个相互关联和相互作用的过程组成，这些过程的成文描述有助于确保过程的标准化和规范化；服务要求：服务要求是组织提供服务的基准，明确规定了客户对服务的期望和需求，是服务设计和交付的重要依据；服务目录：服务目录是组织提供服务的清单和描述，有助于客户了解组织的服务范围和具体内容；服务级别协议（SLA)：SLA是组织与客户之间就服务质量和性能达成的正式协议，它规定了服务的具体指标和要求，是评估服务性能的重要标准；与外部供方签订的合同：与外部供方签订的合同明确了双方的权利和义务，是确保外部供方按照组织要求提供服务的重要法律文件；与内部供方或作为供方的客户签订的协议：与内部供方或作为供方的客户签订的协议同样重要，它们有助于明确内部部门或客户在服务管理体系中的角色和责任；本标准要求的程序：ISO/IEC20000-1标准要求组织制定一系列程序来支持服务管理体系的运行，这些程序的成文描述是确保过程一致性和可追溯性的关键；证明符合本标准和组织服务管理体系要求所需的记录：记录是证明组织符合ISO/IEC20000-1标准和组织自身服务管理体系要求的重要证据，它们提供了过程实施、绩效监控和持续改进的客观数据。ISO/IEC20000-12018强制性要求的成文信息清单ISO/IEC20000-12018中的强制性要求的服务管理方针变更管理方针信息安全方针策划服务管理体系服务连续性策划组织的SMS过程（SMS中的每个过程都必须在过程文档中进行描述）重大事件程序发生重大服务损失时应执行的程序和恢复正常工作条件的程序－这两个程序都在服务连续性计划内由其他方提供或