ISO 270001 信息安全管理体系标准业务

一、信息安全管理体系标准业务介绍

1、背景介绍

信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失：

·直接损失：丢失订单，减少直接收入，损失生产率；

·间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；

·法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。

所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。

俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。

2、标准发展

目前，在信息安全管理体系方面，ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。

2008年6月，ISO27001同等转换成国内标准GB/T22080-2008，并在2008年11月1日正式实施。

经过多年的发展，信息安全管理体系国际标准已经出版了一系列的标准，其中ISO/IEC27001是可用于认证的标准，其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1：

表1 ISO27000标准族现行状态

批准的新项目29ISO/IEC 27038信息技术–安全技术–数字化修订

详述

3、ISO27001标准内容简介

ISO27001：2005标准包括11大控制领域（见图1）、39个控制目标和133项控制措施，为组织提供全方位的信息安全保障。

4、标准特点

注重体系的完整性，是一套科学的信息安全管理体系

强调对法律法规的符合性

以风险评估为基础，采用PDCA的过程方法

适用于各种类型、不同规模和业务性质的组织

与其他管理体系兼容（例如ISO9000标准等）

二、认证的价值和适用范围

1.ISMS认证的价值有以下几点：

2.1）符合法律法规要求：

3.证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从

而保护企业和相关方的信息系统安全、知识产权、商业秘密等。

4.2）维护企业的声誉、品牌和客户信任：

5.证书的获得，可以向合作伙伴、股东和客户表明组织为保护信息而付出的

努力，令其对组织的信心将得到加强。同样的，证书的获得，有助于确定组织在同行业内的竞争优势，提升其市场地位。事实上，现在很多国际或国内的投标项目已经开始要求ISO27001的符合性了。

6.3）履行信息安全管理责任：

7.证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成

效的努力，表明管理层履行了相关责任。

8.4）增强员工的意识、责任感和相关技能：

9.证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减

少人为原因造成的不必要的损失。

10.5）保持业务持续发展和竞争优势：

11.全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项

信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。

12.6）实现风险管理：

13.有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组

织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。

14.7）减少损失，降低成本：

15.ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信

息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度

16.ISMS认证的适用范围

17.信息安全管理标准正式发布后得到了很多国家的认可，是国际上具有代表

性的信息安全管理体系标准。

18.信息安全管理对每个企业或组织来说都是需要的，所以信息安全管理体系

认证具有普遍的适用性，不受地域、产业类别和公司规模限制。

ISO20000管理体系在数据中心的实践(二)

ISO20000管理体系在数据中心的实践（二） 设计和转换新的或变更的服务一、概述1.新变更服务管理的定义和目标(1)定义顾名思义,新变更服务管理流程是以服务为标的物,对其的新增、变更和移除进行有效管控以最大化组织利益、满足客户当前需求的过程。新服务或变更的服务的实施(包括服务终止),应该进行策划并经过变更管理者的正式审批。在银行业中,服务的生命周期可以分为需求、开发、测试、实施、运维和优化等多个阶段。由于行业特色以及监管要求等若干因素所限,服务的开发与运维阶段可能所属于 两个独立部门,数据中心作为实施与运维服务的组织,并未参与到开发等前置环节之中。因此,基于数据中心的新/变更服务的识别应该后移至实施阶段。(2)目标本流程旨在及时识别组织为客户新增的IT服务或原有IT服务的调整变化,以确保组织与客户之间对服务的能力判定一致,灵活应对客户需求 的变化。确保在成本和质量的约束条件下,管理并交付新服务或变更的服务。在常见的新变更服务中,其往往依托于一个或若干个项目。同时,服务的管理过程与项目管理的要素存在许多共通之处,因此可以采用项目管理的先进方式对服务同步 进行管控。2.建设背景及发展历程(1)建设背景根据ISO20000国际标准要求,建立新变更服务管理流程。(2)发展历程2012年,根据ISO20000国际标准要求,建立新或变更的服务管理流

程。2013年,完善新或变更的服务管理流程,并将其更名为新变更服务管理流程。2014年至今,根据实际运行经验,优化完善流程部分细节。二、流程及运作1.角色和职责角色包括新变更服务流程负责人、服务上线经理、服务下线经理、服务级别经理、服务技术经理和服务牵头部门。具体职责如下:新变更服务流程负责人由生产调度中心(项目管理牵头)指定人员担任,责本管理领域规章制度的设计、推广、监督和改进,负责回顾新变更服务。服务上线经理由生产调度中心指定人员担任,负责根据新系统部署方案识别新服务,请示确定新服务的牵头部门,并负责协调组织新服务上线。服务下线经理由生产调度中心指定人员担任,负责协调组织服务下线。服务级别经理由服务管理部指定人员担任,负责维护服务目录中的服务信息。也就是服务级别管理的角色。服务技术经理由技术管理部(技术牵头部门)指定人员担任,负责编制待投产系统部署方案,负责技术审核服务下线处置方案。服务牵头部门由各技术部门(各服务运维部门)担任,负责识别新服务上线、服务下线及服务变更的要求。2.新变更服务管理流程的流程环节和关键活动介绍(流程的触发、输入和输出)新变更服务管理流程包括的主要活动(1)新服务上线·识别新服务服务上线经理应通过待投产新系统清单或待投产系统部署方案识别新服务。·识别新服务要求对于识别出的新服务,服务上线经理应与软件开发中心项目管理部确认该服务的服务牵头部

ISO20000 IT服务管理体系标准理解与实施

ISO20000 IT服务管理体系标准理解与实施 ISO20000 IT服务管理体系标准理解与实施下载报名表内训调查表 【课程描述】 随着IT专业人士对ITIL最佳实践的广泛认可和IT服务理念的不断深入， IT服务管理体系ISO20000标准的实施和认证已成为组织进行IT治理和IT服务管理的重要手段和方法。而作为IT服务管理体系实施的重要驱动力和手段，内部审核不仅是ISO20000-1:2005标准的基本要求，同时也是驱动体系有效执行、了解体系差距的重要手段。作为既是体系检查员，又是体系辅导者双重角色的内部审核人员，其能力和表现对体系价值的实现和推广起着关键的作用。 本课程目的就是通过大量的案例练习，对内审员进行全面系统的培训，使内审员了解标准的要求和精髓，理解审核的目的和作用，掌握流程审核的技巧和方法，从而在内审工作中实现由符合性检查到增值性流程审核的价值。 【课程帮助】 如果你想对本课程有更深入的了解，请参考 >>> 德信诚ISO20000管理资料手册 【课程对象】 IT服务管理人员，欲将20000导入组织的人员，在20000实施过程中承担内部审核工作的人员，有志于从事IT服务管理工作的人员。 【课程大纲】 第一部分：IT服务管理发展的历程 1、IT服务基本概念和原则：质量、服务、管理体系和PDCA 2、ISO20000标准简介 3、ISO20000标准与ITIL、ISO27001、CMMI、ISO1550 4、COBIT、MOF、ISO9000、6Sigma的关系 4、IT服务管理体系ISO20000标准的架构 第二部分：IT服务管理体系ISO20000-1:2005标准条款（结合案例） - 管理体系要求（条款3） - 策划和实施服务管理（条款4） - 策划和实施新的或变更的服务（条款5） - 解决流程（条款8） - 控制流程（条款9） - 发布流程（条款10） - 服务交付流程（条款6） - 关系流程（条款7）

ISO20000管理手册

浙江慧优科技有限公司 IT 服务管理手册 版本编号：V1.0 变更履历

浙江慧优科技有限公司 IT 服务管理手册 版本编号：V1.0 目录

浙江慧优科技有限公司 IT 服务管理手册 版本编号：V1.0 01 颁布令 随着公司全新领域的开拓，为满足顾客有关信息技术服务的相关要求，提高公司信息技术服务管理水平，防止由于信息技术服务的不及时等导致的公司和客户的损失。公司开展贯彻ISO/IEC 20000 《信息技术服务管理－规范》国际标准工作，建立、实施和持续改进文件化的信息技术服务管理体系，制定了浙江慧优科技有限公司《IT服务管理手册》。 《IT 服务管理手册》是企业的法规性文件，是指导企业建立并实施信息技术服务管理体系的纲领和行动准则，用于贯彻企业的信息技术服务管理方针、目标，实现信息技术服务管理体系有效运行、持续改进，体现企业对社会的承诺。 《IT 服务管理手册》符合有关信息安全法律、法规要求及ISO/IEC 20000 《信息技术服务管理－规范》标准和企业实际情况，现正式批准发布，自2012年8月15日起实施。企业全体员工必须遵照执行。 全体员工必须严格按照《IT 服务管理手册》的要求，自觉遵循信息技术服管管理方针，贯彻实施本手册的各项要求，努力实现公司信息技术服务管理方针和目标。 浙江慧优科技有限公司 总经理： 二○一二年八月一日

浙江慧优科技有限公司 IT 服务管理手册 版本编号：V1.0 02 管理者代表授权书 为贯彻执行信息技术服务管理体系，满足ISO/IEC 20000 《信息技术服务管理－规范》标准的要求，加强领导，特任命马红岩为我公司信息技术服务管理者代表。授权代表有如下职责和权限： 1、按照ISO/IEC 20000 《信息技术服务管理－规范》的要求，组织相关资源，识别、建立、实施和保持信息技术服务管理体系，不断改进信息技术服务管理体系，确保其有效性、适宜性和符合性。 2、根据服务管理的策略和目标，给与权利和责任，以保证服务管理过程的设计，提升和改进。 3、确保服务管理流程与SMS 的其它组件进行了整合。 4、确保资产，包括许可证，根据法律法规要求和合同义务，被用于管理交付服务。 5、向公司最高管理者报告信息技术服务管理体系的业绩，如：服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 6、组织ISO/IEC 20000 体系的管理评审，主持信息技术服务管理体系内部审核，推动内部审核活动。 7、推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度，以及为达到公司服务管理目标所应做出的贡献。 8、负责与信息技术服务管理体系有关的协调和联络工作。 本授权书自任命日起生效执行。 浙江慧优科技有限公司

ISO27001信息安全管理体系及ISO20000IT服务管理体系

ISO27001信息安全管理体系及ISO 20000 IT服 务管理体系 ISO27001介绍 ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织（ISO）转化为正式的国际标准，于2005年10月15日发布为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。对现代企业来说，将以往被认为是成本中心的IT部门转变成积极的增值服务提供者，是一种挑战，也是机遇，而推动这一机遇成为现实的. ISO20000介绍 ISO 20000是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT 服务管理体系(ITSM)已成为各种组织，特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO 20000让IT管理者有一个参考框架用来管理IT服务，完善的IT管理水平也能通过认证的方式表现出来。 有效融合ISO27001、ISO20000等IT控制和最佳实践，进行必要的体系整合，从而全面提升客户整体IT治理的水平。 获取认证应具备的条件 应具备相应的资质，（如营业执照、组织机构代码、相关的国家行政审批资质或行业资质），具备相关设施和资源，能正常开展经营活动。能提供三个月以上的经营活动记录。 取得认证的程序 通常把取得认证的程序分为两个阶段， 认证咨询阶段：合同签订后，我公司会派出咨询老师到企业进行调研，确定企业的认证意图，帮助企业确定组织机构和职责权限划分，体系的覆盖范围，编制和完善认证所需要的体系文件，对企业人员相关进行的培训，并指导企业按体系文件的要求运行，并帮企业进行认证的申请。认证审核阶段：由认证机构派出的审核员，到企业按照认证标准及企业体系文件规定对企业申请认证范围的活动的进行检查，重点是核实企业的情况及编制认证文件和记录，检查结束上报认证机构颁发证书。 取得认证的效益 ISO27001 1、通过定义、评估和控制风险，确保经营的持续性和能力 2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任 3、通过遵守国际标准提高企业竞争能力，提升企业形象 4、明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失

ISO20000体系文件清单管理细则最新版本

信息技术服务管理体系 文件清单管理细则 文件编号：SA-03004 [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属公司所有，受到有关产权及版权法保护。任何个人、机构未经公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。]

1.分发控制 读者文档权限说明公司内部员工只读 2.文件版本信息 版本号修订变更描述日期审核批准 V1.0 编写组全文20100726 芮芳华刘文中 3.文件版本信息说明 文件版本信息，记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。

目录 1概述 (1) 1.1目的 ----------------------------------------------------------------------------------------- 1 1.2范围 ----------------------------------------------------------------------------------------- 1 2职责与权限 (1) 2.1 实施运维部负责人---------------------------------------------- 错误！未定义书签。 2.2办公室 ------------------------------------------------------------- 错误！未定义书签。3体系文件清单 (1) 3.1I T体系运行类（SA） ----------------------------------------- 错误！未定义书签。 3.2I T组织人员类（SO） ----------------------------------------- 错误！未定义书签。 3.3I T运维管理类（SM）----------------------------------------- 错误！未定义书签。 3.4I T交付管理类（SD） ----------------------------------------- 错误！未定义书签。 4 (2)

ISOIEC 20000-1_2011《信息技术 Part1 服务管理体系 要求》中英文对照

信息技术----服务管理--- Part1: 服务管理体系要求 ISO/IEC 200000-1 Second edition 2011-04-15 INTERNATIONAL STANDARD Reference number ISO/IEC 200000-1:2011(E)

前言Foreword (6) 介绍Introduction (8) 1范围Scope (11) 1.1总则General (11) 1.2应用Application (11) 2引用标准Normative references (13) 3术语和定义Terms and definitions (13) 4服务管理体系总要求Service management system general requirements (18) 4.1管理职责Management responsibility (18) 4.1.1管理承诺Management commitment (18) 4.1.2服务管理政策Service management policy (18) 4.1.3权利、职责和沟通Authority, responsibility and communication (18) 4.1.4管理者代表Management representative (18) 4.2对其他相关方所运营过程的管控Governance of processes operated by other parties (18) 4.3文件管理Documentation management (19) 4.3.1建立和维护文件Establish and maintain documents (19) 4.3.2文件的控制Control of documents (19) 4.3.3记录的控制Control of records (20) 4.4资源管理Resource management (20) 4.4.1资源的提供Provision of resources (20) 4.4.2人力资源Human resources (20) 4.5建立和改进SMS Establish and improve the SMS (20)

iso20000管理体系标准

ISO 20000，即"信息技术服务管理体系标准"，是面向组织机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系（ITSMS）的模型。 自ISO/IEC 20000-1:2011上次审查和修订该标准至今已有8年。新版标准已于2018年9月15日发布，转换期为标准发布后的3年。 转换期截止后，依据ISO/IEC 20000-1:2011版标准的认证证书将作废或撤销，这也就意味着已获证企业需要在2021年9月15日之前完成转版审核。 v为什么需要通过ISO20000认证? 在当今全球信息化快速发展下，IT业界也由当初的以技术为主导的粗放型规模扩张阶段，转向如今的依靠科学管理实现效率提升和风险、成本控制的精细化管理阶段。伴随着企业IT 规模的扩大和IT 成熟度的提高，各类企业的成本管理、效率管理意识普遍增强。这时，向IT 管理要效益，要求更高的IT 服务水平，更强的运营管理能力迫在眉睫。对IT 内部运营组织来说，IT 部门在企业的生产、管理环节发挥着重要作用。例如在银行、电信、政府、物流仓储，以及

其他生产型企业当中，IT 运营管理成为核心业务运作依托的根本手段，也成为企业成本控制和效率提升的关键部分。在这种情形下，提升组织内部的IT 服务水平和建立基于流程的高效率运作机制，可以为企业业务部门提供性价比更高的IT 服务支持，从而确保业务的高效运转，缩减运营成本、提高业务盈利能力。 ISO20000可以帮助企业实现： 1. 建立IT保障部门一整套行之有效的持续改善机制和内控机制； 2. 就服务品质和服务承诺与客户及供应商达成一致，建立和客户及供应商统一的沟通平台，达到相关利益方均满意的IT服务管理目标； 3. 提高IT服务的可用性，可靠性和安全性，为业务用户提供高品质的服务； 4. 持续优化服务流程，提升服务水准，提高业务满意度； 5. 从总体上提高企业IT投资报酬率，提升企业的综合市场服务能力。 企业如需进行认证，可咨询中鉴联合信用评级有限公司。 【中鉴联合信用评级有限公司】业务范围包括：AAA企业信用等级证书3a、ISO9001质量管理体系认证、ISO14001环境管理体系认证、ISO45001职业安全管理体系认证，能源管理体系认证、诚信管理体系认证、售后服务体系认证、ISO/TS16949认证等认证咨询服务，ISO 20000信息技术服务管理体系认证中鉴公司成立15年来，服务于上千家企业涉及行业有房地产、建筑施工、生产

ISO20000容量管理程序

容量管理程序 1 简介 1.1目的 负责确保IT 处理、存储和网络以最经济和及时的方式与发展中的业务需求相匹配。 1.2适用范围 适用于公司通过对IT服务容量的规划、改进和管理，提供满足容量需求的IT服务活动。 1.3术语表 容量： 按需要的服务级别和成本，交付一致同意的性能所需的一种本领。 容量管理： 负责确保IT 处理、存储和网络以最经济和及时的方式与发展中的业务需求相匹配。 容量数据库： 用于存储容量管理流程中所采集的业务容量数据、服务容量数据、技术容量数据、财务数据的数据库，用以进行趋势分析、预测及规划。 1.4引用文件 【1】《ISO/IEC 20000》 【2】《IT服务管理手册》 2 职责 2.1项目组 2.1.1 负责组织完成服务规划，参与容量计划的评审和改进。 2.1.2 负责组织拟制容量管理计划，维护容量数据库，并组织服务容量的实施和评估。 2.1.3 负责执行、监控生产系统的运作，采集容量数据，参与容量计划的评审和改进。

ISO20000 IT服务管理体系标准理解与实施 ISO20000 IT服务管理体系标准理解与实施下载报名表内训调查表 【课程描述】 随着IT专业人士对ITIL最佳实践的广泛认可和IT服务理念的不断深入， IT服务管理体系ISO20000标准的实施和认证已成为组织进行IT治理和IT服务管理的重要手段和方法。而作为IT服务管理体系实施的重要驱动力和手段，内部审核不仅是ISO20000-1:2005标准的基本要求，同时也是驱动体系有效执行、了解体系差距的重要手段。作为既是体系检查员，又是体系辅导者双重角色的内部审核人员，其能力和表现对体系价值的实现和推广起着关键的作用。 本课程目的就是通过大量的案例练习，对内审员进行全面系统的培训，使内审员了解标准的要求和精髓，理解审核的目的和作用，掌握流程审核的技巧和方法，从而在内审工作中实现由符合性检查到增值性流程审核的价值。 【课程帮助】 如果你想对本课程有更深入的了解，请参考 >>> 德信诚ISO20000管理资料手册 【课程对象】 IT服务管理人员，欲将20000导入组织的人员，在20000实施过程中承担内部审核工作的人员，有志于从事IT服务管理工作的人员。 【课程大纲】 第一部分：IT服务管理发展的历程 1、IT服务基本概念和原则：质量、服务、管理体系和PDCA 2、ISO20000标准简介 3、ISO20000标准与ITIL、ISO27001、CMMI、ISO1550 4、COBIT、MOF、ISO9000、6Sigma的关系 4、IT服务管理体系ISO20000标准的架构 第二部分：IT服务管理体系ISO20000-1:2005标准条款（结合案例） - 管理体系要求（条款3） - 策划和实施服务管理（条款4） - 策划和实施新的或变更的服务（条款5） - 解决流程（条款8） - 控制流程（条款9） - 发布流程（条款10） - 服务交付流程（条款6）

iso20000--IT管理手册

IT服务管理手册 XXXX有限责任公司

变更履历

目录 1.管理手册说明 (5) 1.1公司简介 (5) 1.2IT服务管理范围 (6) 1.3术语和定义 (6) 1.4IT服务管理手册的管理 (6) 2.管理体系要求 (7) 2.1管理职责 (7) 2.2文件要求 (9) 2.3能力、意识和培训 (10) 3.服务管理规划和实施 (11) 3.1计划服务管理 (11) 3.2实施IT服务 (12) 3.3监视、测量和评审 (12) 3.4持续改进 (12) 4.新服务或变更服务的策划与实施 (13) 4.1制订新服务或变更服务计划 (13) 5.服务交付过程 (13) 5.1服务级别管理 (13) 5.2服务报告 (14) 5.3可用性和IT服务持续性管理 (15) 5.4IT服务的预算及财务管理 (16) 5.5容量管理 (16) 5.6信息安全管理 (17) 6.关系过程 (18) 6.1总则 (18) 6.2业务关系管理 (18) 6.3供应商管理 (18) 7.解决方案流程 (19) 7.1背景 (19) 7.2事件管理 (20) 7.3问题管理 (21) 8.控制流程 (21) 8.1配置管理 (21) 8.2变更管理 (22)

9.发布过程 (23) 9.1发布管理 (23) 10.输出的文件 (24) 附录一：公司组织架构 (26) 附录二：各部门主要工作职责 (27) 1公司管理事务部分 (27) 2财务部分 (28) 3公司市场及销售管理部分 (28) 4公司技术管理部分 (29) 附录三：公司IT服务管理体系关系图 (34)

ISO20000-1 2011信息技术服务管理体系要求

信息技术----服务管理--- Part1: 服务管理体系要求 ISO/IEC 20000-1 Second edition 2011-04-15 INTERNATIONAL STANDARD Reference number ISO/IEC 20000-1:2011(E)

ISO/IEC 20000-1：2011 (中英文对照版) 版本：V1.0 前言Foreword (6) 介绍Introduction (8) 1范围Scope (11) 1.1总则General (11) 1.2应用Application (11) 2引用标准Normative references (13) 3术语和定义Terms and definitions (13) 4服务管理体系总要求Service management system general requirements (18) 4.1管理职责Management responsibility (18) 4.1.1管理承诺Management commitment (18) 4.1.2服务管理政策Service management policy (18) 4.1.3权利、职责和沟通Authority, responsibility and communication (18) 4.1.4管理者代表Management representative (18) 4.2对其他相关方所运营过程的管控Governance of processes operated by other parties (18) 4.3文件管理Documentation management (19) 4.3.1建立和维护文件Establish and maintain documents (19) 4.3.2文件的控制Control of documents (19) 4.3.3记录的控制Control of records (20) 4.4资源管理Resource management (20) 4.4.1资源的提供Provision of resources (20) 4.4.2人力资源Human resources (20) 4.5建立和改进SMS Establish and improve the SMS (20)

ISO20000管理体系要求

ISO20000管理体系要求 ISO 20000-1:2005 IT服务管理（ITSM）规范是关于IT服务的标准，提出了用户实施IT管理的基本基线，对用户如何解决客户化和专业化问题提出了明确的要求。 ISO 20000-1:2005主要表现为前端客户需求管理和后端流程管理。 在前端，ITSM要解决如何明确客户需求，明确了解客户的业务需求和对IT服务的需求，核心就是对IT服务的级别的明确和管理。在签订了服务等级协议 后，ITSM要解决一个增值化角度。 ITSM的后端思路，就是通过流程化、规范化和最佳实践，来处理IT的事件处理、变更管理、配置管理、发布管理、确保性能和客户服务，用流程方法来跟踪完成，保证效率和服务水平。 把前端和后端两点贯穿起来，这个流程就是如何客户化和专业化的过程。 ITSM目标是提供管理体系（也叫质量管理体系），包括方针和框架，以有效管理和实施所有的IT服务。 ISO 20000-1:2005该条款包括（按照流程编号标明）1管理职责 2文件要求 3能力、意识和培训 4服务管理的策划与实施 对服务管理的实施和交付进行策划和实施，整合了ISO管理体系标准基于流程导向的方法（PDCA）。 4.1 服务管理的策划（规划Plan） 4.2 实施服务管理并提供服务（执行Do） 4.3 监视、测量和评审（检查Check）

4.4 持续改进（行动Act）。 5新服务或变更服务的策划与实施 采用项目管理的方法进行新项目和变更项目的规划和实施。 6ISO20000管理流程 ISO20000-2:2005标准包括了5大过程及13个管理面，如下（序号按照流程编号标明）： 6 服务交付过程 是与客户交互的主要界面，也是后台服务的依据。 6.1 服务等级管理 服务等级管理的目标是通过协调IT 用户和提供者双方的观点，实现特 定的、一致的、可测量的服务水平，以为客户节省成本、提高用户生产率。 6.2 服务报告 强调与客户的沟通和服务结果与客户要求的符合性之间的一致性。 6.3 能力管理（也有叫容量管理） 使组织在危机出现时管理资源并提前预测需要的额外的能力。它描述了 计划、实施和运行该过程必需的规程。 6.4 服务持续性与可用性管理 连续性管理在尽量少的中断客户业务情况下，提供IT服务，并在IT 系 统出现问题时，以可控的方式恢复 可用性管理的目标是优化IT 基础设施的性能，它的服务和支持的组织。 可用性管理导致成本节省的、持续的服务可用性水平，这种服务可用性确 保业务满足其目标。 6.5 信息安全管理 信息安全管理在所有服务活动中有效地管理信息安全。

SAISO20000管理体系术语定义

文件密级：内部使用 信息技术服务管理体系 术语定义 文件编号：SA-03001 [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属公司所有，受到有关产权及版权法保护。任何个人、机构未经公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。]

信息技术服务管理体系术语定义 1.分发控制 读者文档权限说明公司内部员工只读 2.文件版本信息 版本号修订变更描述日期审核批准 V1.0 编写组全文20100726 陈明楷刘文中 3.文件版本信息说明 文件版本信息，记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。

目录 1 总则 (1) 2 职责与权限 (1) 3 规定 (1) 3.1内部用语 ---------------------------------------------------------------------------------- 1 3.2信息技术服务术语---------------------------------------------------------------------- 1 4 附则 (3)

1 总则 1.1 目的 本文件旨在对信息技术服务管理体系中所涉及的术语进行统一规范和定义。 1.2 范围 本文件适用于公司信息技术服务管理体系所涉及到的体系文件。 2 职责与权限 2.1 管理者代表：负责本文件的审批； 2.2 技术部：负责拟制和更新本文件，建立、维护和发布公司范围内统一的信息技术服务管理体系术语、定义与缩写。 3 规定 3.1 内部用语 各部门：指公司内纳入到信息技术服务管理体系运行范围内的各职能部门。 开发系统：指在开发环境下运行并正在提供服务的系统，包括但不限于企业业务系统。 办公系统：包括协同办公系统、办公自动化系统、公文传输系统、电子邮件系统等。 其它系统：包括机房环境监控系统、视频监控系统等。 3.2 信息技术服务术语 资产：任何对组织有价值的东西。 可用性：根据授权实体的要求可访问和可利用的特性。 风险：指遭受损坏并给企业带来负面影响的潜在可能性。 风险分析：系统地利用信息来识别风险来源和估计风险。 风险评估：风险分析和风险评价的整个过程。 风险评价：将估计的风险与给定的风险准则加以比较，以确定风险严重性的过程。风险处理：选择并且执行措施来改变风险的过程。 注：在本标准中，术语“控制措施”被用作“措施”的同义词。

ISO20000标准

ISO20000 简介
背景介绍 IT 组织从产生到发展的很长一段时期，一直是以搞好技术，做好技术支持配角为特征 的。随着逐年 IT 的投入，建设了大量的软硬件系统，对客户要求的提高，对故障发生的恐 惧，对投入成本逐年增加的不安，都促使现在的组织要采取措施规范 IT 服务的管理。 在产品生产过程中，需要遵循一定的质量控制标准（如 ISO9000 系列标准），可以确保产 品的质量保持较高的水准（如较高的产品合格率），同时也可以降低产品制造成本。而对于 服务提供（运营）过程来说，遵循相关的服务管理标准（如 ISO20000）可以实现服务运营 的输入（Inputs）和生产流程（Process）的标准化。只有将过程标准化了，才能保证最终 的服务质量和成本符合预定的标准，才能实现过程控制，从而达到质量控制的目标。 如何控制这个 IT 服务的整体风险(无论是内部还是外部)，提高 IT 的整体服务水平是一 个需要高度重视的问题，而 ISO/IEC20000 就是解决该问题的一个很好的指南。 什么是 ISO 20000？ ISO 20000 是由英国标准 BS 15000 演变而来的，是全球认可的信息技术服务管理标 准， 符合英国商务部（OGC）在 ITIL（IT 基础设施库）中定义的流程方法。ISO 20000 标 准着重于通过“IT 服务标准化”来管理 IT 问题，即将 IT 问题归类，识别问题的内在联系，然 后依据服务水准协议进行计划、推行和监控，并强调与客户的沟通。ISO 20000 的设计旨在 使任何公司的内部或外包的 IT 基础设施保持一致，以使员工和客户受益。该标准基于 13 个关键流程，这些流程涉及服务报告、IT 服务预算和会计、信息安全、供应商、事件和变 更管理等方面，用以保证有效实现 IT 服务整体管理的最终目标。 ISO20000 的特点： ISO/IEC 20000-2:2005 为审核人员提供行业一致认同的指南，并且为服务提供者规划 服务改善或通过 ISO/IEC 20000-1:2005 审核提供指导。 ISO/IEC 20000-2:2005 基于已被 替代的 BS 15000-2 的。 实践准则描述了在 BS 15000-1 中服务管理流程的最佳实践。 为以最小成本满足业务需 求，客户对使用先进设施会不断提出要求，服务提供就越发显得重要了。人们已经意识到服 务和服务管理对于帮助组织开源节流的重要性。