ISO20000：2018版標準培訓教材

ISO20000-1:2018版

信息技術服務

管理體系要求2019-12-101牟傳飛--中小企業(yè)管理問題解決專家牟傳飛2019年12月課程注意事項2019-12-102牟傳飛--中小企業(yè)管理問題解決專家目錄第一部份：前言第二部份：ISOIEC20000-2018與舊版的主要變化第三部份：ISOIEC20000-2018標準條款第四部份：總結前言ISO/IEC20000是一個針對管理流程系統(tǒng)的標準，ISO/IEC20000的認證適合IT服務的提供者，可以內部的IT部門，也可以是外部的服務提供商。獲取ISO/IEC20000的認證，意味著提供服務的IT組織，對ISO/IEC20000中定義的這些管理流程，具有足夠好的管理控制力。這里所謂對流程的管理控制力包括：·對流程輸入的了解和控制·對流程輸出的了解、使用和詮釋·制定和執(zhí)行對流程效能的衡量機制·有客觀的證據表明，對流程的功能負責，使之符合ISO20000標準要求·制定流程的改進提高計劃，衡量和回顧改進結果IT服務組織要獲得ISO/IEC20000的認證，必須證明它能夠對標準中涉及的所有5組13個流程都具有以上的管理控制力。ISO/IEC20000系列對流程的最佳實踐進行了總結，可適用于不同規(guī)模、類型和結構的組織，服務管理流程最佳實踐要求并不會因為組織形式不同而被改變。前言企業(yè)建立IT服務管理體系的目標是為了企業(yè)建立起一套行之有效的以客戶為中心的自我完善的體系。在實施認證ISO20000管理體系后，在各個流程中，各個工作崗位上都建立了一個自我完善的循環(huán)，工作的策劃、執(zhí)行、檢查，以及持續(xù)的發(fā)現問題改善問題的體系建立起來，使每個員工都擁有問題意識，自覺的發(fā)現自己工作當中的問題，并通過系統(tǒng)的解決問題的方法，將問題一個一個的解決。IT服務提供商通過實施IT服務管理體系，可以獲取如下收益：·1)保持服務目標與企業(yè)業(yè)務目標一致，有效的支持業(yè)務戰(zhàn)略·2)建立規(guī)范的服務流程，提高信息技術服務和運營效率·3)有效及高效地整合和利用信息、基礎架構、應用及人員等IT資源·4)建立持續(xù)改進的服務管理機制，快速應對市場需求，提供客戶滿意度·5)向國際標桿靠齊，增強市場競爭力，提高組織聲譽，提升投資回報·6)控制IT風險及相關的成本，提高與控制IT服務質量、降低長期的服務成本·7)靈活應對來自客戶、認證機構、內部機構等不同的審核要求，增加投資者信心前言ISO20000與ISO9000的實用范疇不同：ISO20000只針對IT服務管理，在IT服務提供商和政府及企業(yè)的IT部門應用較多；而ISO9000適用各行業(yè)的質量標準，在制造企業(yè)應用得最多?！SO20000與ISO9000的側重點不同：ISO20000與IT服務流程相關，其流程的名稱和控制采用的IT人員容易接受的術語，對IT系統(tǒng)變更的風險進行管理；而ISO9000與質量框架相聯(lián)系?！SO20000關注的內容和ISO9000相比，除IT服務質量外，如還關注財務、信息安全。·ISO20000也可以說是ISO9000在IT服務行業(yè)的具體應用和拓展。前言ISO20000和ITIL的關系·ISO20000作為IT服務管理的國際標準，是從IT服務管理最佳實踐ITIL中發(fā)展而來?！SO20000是13個管理流程，而ITIL是10個管理流程（不含服務臺）?！SO20000新增了業(yè)務關系管理與供應商管理，對應于ITIL中的服務等級管理?！SO20000新增的服務報告，涵蓋在ITIL的每個管理流程之中?！TIL提供最佳實踐指南·ISO/IEC20000提供基于ITSM的度量ISOIEC20000-2018信息技術服務管理體系標準條款1范圍2規(guī)范性引用文件3術語和定義4組織環(huán)境 5領導作用 6策劃 7支持8運行9績效評價10改進 ISOIEC20000-2018與舊版的主要變化a)使用適用于所有管理系統(tǒng)的標準的高階結構（ISO/IEC導則第一部分ISO補充規(guī)定的附件SL）進行重新編排。也引進了新的通用要求，包括組織環(huán)境，策劃實現目標，應對風險和機遇的措施。一些通用要求更新了前一版本的要求，如，保留成文信息，資源，能力和意識。b)考慮服務管理的發(fā)展趨勢，包括服務商品化、內部、外部服務集成者管理多個供應商、確定服務對客戶價值的需求等主題。c)刪除一些關于“做什么”條款的細節(jié)，允許組織靈活的決定如何滿足要求。d)包括一些新的特點，如增加的關于知識和策劃服務的要求。e)事件管理、服務請求管理、服務連續(xù)性管理、服務可用性管理、服務級別管理、服務目錄管理、能力管理、需求管理等，以前組合的條款被拆分。ISOIEC20000-2018與舊版的主要變化f)“治理其它方運行的過程”更名為“控制服務生命周期的相關方”，并更新了關于服務、服務組件和流程的要求。澄清了如果其它方用于提供或運行服務管理體系范圍內的所有服務、服務組件或流程。組織不能證明符合本標準要求。g)條款3（術語與定義）拆分為管理系統(tǒng)術語和服務管理術語子條款。定義有許多變化，關鍵的變化包括：1)為附件SL，增加一些新術語。如“目標”，“方針”，增加一些服務管理的有關術語，如“資產”，“用戶”。2)術語“服務提供者”已經被“組織“取代以符合附件SL通用文本。3)術語“內部組”已經被“內部供應商”取代，和術語“供應商”已經被“外部供應商”取代。4)“信息安全”的定義已經和ISO/IEC27000保持一致，然后，術語“可用性”已經被“服務可用性”取代，以區(qū)別“信息安全”中使用的術語“可用性”。ISOIEC20000-2018與舊版的主要變化h)最小化保留成文信息的要求，保留關鍵的成文信息，如服務管理計劃。其它成文信息變化包括：1)取消了能力管理計劃文件的要求，用策劃能力要求取代；2)取消了可用性計劃文件的要求，用可用性要求和目標文件取代；3)取消了配置管理數據庫要求，用配置信息要求取代；4)取消了發(fā)布策略要求，用定義發(fā)布類型和頻率的要求取代；5)取消了持續(xù)改進方針的要求，用確立改進機會的評估標準取代。i)更新和重新編號圖2與圖3至圖1與圖2。移除圖1和不是附件SL指定使用的PDCA循環(huán)引用，因為管理體系有多個可以使用的改進方法。j)服務報告條款對對服務報告的詳細要求移動至服務報告可能產生的場合。ISO/IEC20000系列標準的全部標準可以訪問ISO的WEB站點。ISOIEC20000-2018標準條款1范圍1.1總則本標準規(guī)定了組織建立、實現、維護和持續(xù)改進服務管理體系的要求。本標準規(guī)定的要求包括服務的策劃、設計、轉換、交付和改進，以滿足服務要求和交付價值。本標準可被應用于：a)尋求服務，并要求保證其服務要求能得到滿足的客戶；b)要求所有服務提供者在服務生命周期中采用一致性方法的客戶，包括供應鏈上的服務提供方；c)用以證實對服務進行設計、轉換、交付和改進的能力的組織；d)對其服務管理體系和服務進行監(jiān)視、測量和評審的組織；e)通過有效的實施和運行服務管理體系，來改進服務的設計、轉換和交付的組織；f)將本標準要求作為符合性評估的組織或其它方；g)服務管理的咨詢和培訓服務提供者。ISOIEC20000-2018標準條款

本標準的術語“服務”是服務管理體系范圍內的一個或者多個服務。本標準的術語“組織”是服務管理體系范圍內管理和交付服務給客戶的組織。服務管理體系范圍內的“組織”可能是組織的一部分，例如，一個大型公司的一個部門。管理和交付服務給客戶的組織或者組織的一部分也可以稱作服務提供者。術語“服務“和”組織“在本標準中有不同的使用意圖的任何地方，會有明確的區(qū)分。ISOIEC20000-2018標準條款1.2應用本標準規(guī)定的要求是通用的，適用于各種類型、規(guī)?；蚪桓陡鞣N性質服務的的組織。當組織聲稱符合本標準時，不關組織的性質如何，不能排除條款4到條款10中所規(guī)定的任何要求;本標準的要求可以由組織自身提供滿足本標準要求的證明。組織需要自身提供證據證明符合本標準的條款4和條款5，然而，組織可以由其它方提供支持，例如，其它方代表組織實施內部審核或者支持管理體系的準備工作?？蛇x的，當其它方涉及到滿足本標準的條款6至條款10（見8.2.3）的要求時，組織可以提滿足供本標準要求的保持責任的證明。例如，組織證明對提供或運營基礎架構服務組件和運營服務臺，包括事件管理流程的其它方進行控制的證據。如果其它方用于提供或者運行服務管理體系范圍內的所有服務、服務組件或者流程，組織不能證明符合本標準的要求。本標準范圍不包括對產品或工具的規(guī)范。組織可以使用本標準幫助他們開發(fā)用來來支持服務管理體系運行的產品或工具。ISOIEC20000-2018標準條款2規(guī)范性引用文件無規(guī)范引用文件ISOIEC20000-2018標準條款3術語和定義下列的術語和定義適用于本文件。ISO和IEC在下列地址維護適用的術語和定義數據庫：—IEC電子維護百科：/—ISO在線瀏覽平臺：/obp3.1有關管理系統(tǒng)標準的術語3.2有關服務管理的術語ISOIEC20000-2018標準條款4組織環(huán)境4.1理解組織及其環(huán)境組織應確定與其宗旨和戰(zhàn)略相關并且影響其實現服務管理體系預期結果能力的外部和內部因素。注釋：這些因素可能是正面或者負面影響的因素，對于組織交付協(xié)定服務質量給用戶，這些是重要的。4.2理解相關方的需求和期望組織應確定：a)服務管理體系及服務的相關方；b)相關方的要求。注：相關方的要求可包括與服務管理體系及服務有關的服務、績效、法律、法規(guī)要求和合同義務。ISOIEC20000-2018標準條款4.3確定服務管理體系范圍組織應確定服務管理體系的邊界及其適用性，以建立其范圍。在確定范圍時，組織應考慮：a)4.1中提及的外部和內部因素；b)4.2中提及的要求；c)組織交付的服務。服務管理體系的范圍定義應包括范圍內的服務以及管理和交付服務的組織名稱服務管理體系的范圍應保留成文信息，可獲得并得到保持。注1：ISO/IEC20000-3提供服務管理體系范圍定義指南。注2：服務管理體系范圍描述那一個服務在范圍內，可以是組織交付的全部或者部分服務。ISOIEC20000-2018標準條款4.4服務管理體系組織應按照本標準的要求，建立、實現、維護和持續(xù)改進服務管理體系，包括其所需要過程及其相互作用。ISOIEC20000-2018標準條款5領導5.1領導和承諾最高管理層應通過以下方面，證實其對服務管理體系的領導作用和承諾：a)確保制定服務管理體系的服務方針和服務目標，與戰(zhàn)略方向一致；b)確保服務管理計劃的創(chuàng)建、實施和維護，以支持服務管理方針，實現服務管理目標和服務要求；c)確保關于服務管理體系和服務的決策授權合理分配；d)確保為組織和確定的客戶創(chuàng)造價值；e)確保對服務生命周期的相關方進行控制和管理；ISOIEC20000-2018標準條款5領導5.1領導和承諾最高管理層應通過以下方面，證實其對服務管理體系的領導作用和承諾：f)確保將服務管理體系要求整合到組織過程中；g)確保服務管理體系及服務所需資源可用；h)溝通有效的服務管理的重要性，實現服務管理目標，交付價值和符合服務管理體系要求；i)確保服務管理體系達到預期結果；j)指導并支持相關人員為服務管理體系和服務的有效性做出貢獻；k)促進服務管理體系和服務持續(xù)改進；支持其他相關管理者在其職責范圍內發(fā)揮領導作用，以證實他們在其責任范圍內的領導作用。ISOIEC20000-2018標準條款5.2方針5.1.1制定服務管理方針最高管理層應制定服務管理方針，該方針應：a)適應組織的宗旨和環(huán)境并支持其戰(zhàn)略方向；b)為建立服務管理目標提供框架；c)包括對滿足適用的服務管理相關要求的承諾；d)包括對持續(xù)改進服務管理體系及服務的承諾。5.1.2溝通服務管理方針服務管理方針應：e)可獲取并保持成文信息；f)在組織內得到溝通；g)適用時，可為相關方獲取。ISOIEC20000-2018標準條款5.3組織的角色，責任和權限最高管理層應確保與服務管理體系及服務相關崗位的責任和權限得到分配和溝通。最高管理層應分配責任和權限，以：a)確保服務管理體系符合本標準的要求；b)向最高管理者報告服務管理體系和服務績效。ISOIEC20000-2018標準條款6策劃6.1應對風險和機遇的措施6.1.1當策劃服務管理體系時，組織應考慮到4.1中提及的因素和4.2中提及的要求，并確定需要應對的風險和機遇，以：a)確保服務管理體系可達到預期結果；b)預防或減少不利影響；c)實現服務管理體系和服務的持續(xù)改進。ISOIEC20000-2018標準條款6.1.2組織應確認和成文化：a)有關的風險：1)組織；2)不滿足服務要求；3)服務生命周期中的相關方；b)風險對客戶的影響和服務管理體系及服務的機遇；c)風險接受標準；d)風險管理的方法。ISOIEC20000-2018標準條款6.1.3組織應策劃：a)應對風險和機遇的措施及優(yōu)先級b)如何：1)將這些措施整合到服務管理體系過程中，并予以實現；2)評價這些措施的有效性。注1：應對風險和機遇的措施包括：避免風險，面對或增加風險以追求機遇，通過協(xié)定的措施移除風險源源，改變風險的后果和可能性，降低風險，和其它方共擔風險或通過充分的信息決策接受風險。注2：ISO/IEC31000提供風險管理的原則和通用指南。ISOIEC20000-2018標準條款6.2服務管理目標及其實現策劃6.2.1制定目標組織應在相關職能和層級上制定服務管理目標。服務管理目標應：a)與服務管理方針保持一致；b)可測量；c)考慮適用的要求；d)予以監(jiān)視e)予以溝通；f)適當時更新。組織應保留有關服務管理目標的成文信息。ISOIEC20000-2018標準條款6.2.2策劃實現目標在策劃如實現服務管理目標時，組織應確定：a)要做什么；b)需要什么資源；c)由誰負責；d)什么時候完成；e)如何評價結果。ISOIEC20000-2018標準條款6.3策劃服務管理體系組織應制定、實施和維護服務管理計劃。計劃應考慮到服務管理方針，服務管理目標，風險與機遇，服務要求和本標準的要求。服務管理計劃應包含或引用以下內容：a)服務清單b)影響服務管理體系和服務的已知限制；c)有關的方針，標準和法律法規(guī)要求、合同的義務；d)服務管理體系和服務的權限、職責；e)運行服務管理體系和服務所需要的人員、技術、信息和財務資源；f)服務生命周期中和相關方采取的工作方法；g)支持服務管理體系的技術h)如何測量、審核、報告和改進服務管理體系和服務的有效性。其它的計劃應與服務管理計劃相一致。ISOIEC20000-2018標準條款7支持7.1資源組織應確定并提供建立、實現、維護和持續(xù)改進服務管理體系和運行服務所需的人員、技術、信息和財務資源，以滿足服務要求和實現服務管理目標。ISOIEC20000-2018標準條款7.2能力組織應：a)確定在組織控制下工作人員所需要的能力，這些人員從事的工作會影響績效和服務管理體系及服務的有效性；b)基于適當的教育、培訓或經驗，確保這些人員是勝任的；c)適用時，采取措施以獲得所需的能力，并評價措施的有效性；d)保留適當的成文信息，作為人員能力的證據。注：適用的措施可包括，例如針對在職人員提供培訓、輔導或重新分配；或者聘任、外包勝任的人員。ISOIEC20000-2018標準條款7.3意識組織應確保在其控制下的工作人員知曉：a)服務管理方針；b)服務管理目標；c)與工作有關的服務；d)其對服務管理體系有效性的貢獻，包括改進績效帶來的益處；e)不符合服務管理體系要求帶來的后果。ISOIEC20000-2018標準條款7.4溝通組織應確定與服務管理體系和其范圍內的服務相關的內部和外部的溝通，包括：a)溝通什么；b)何時溝通；c)與誰溝通；d)如何溝通；e)誰負責溝通。ISOIEC20000-2018標準條款7.5成文信息7.5.1總則組織的服務管理體系應包括：a)本標準所要求的成文信息；b)組織所確定的、為確保服務管理體系的有效性必要的成文信息。注：不同組織有關服務管理體系成文信息的詳略程度可以是不同的，這是由于：1)組織的規(guī)模及其活動、過程、產品和服務的類型；2)過程及其相互作用的復雜性；3)人員的能力。ISOIEC20000-2018標準條款7.5.2創(chuàng)建和更新創(chuàng)建和更新成文信息時，組織應確保適當的：a)標識和描述（例如標題、日期、作者或索引編號）；b)格式（例如語言、軟件版本、圖表）和介質（例如紙質的、電子的）；c)評審和批準，以保持適宜性和充分性。ISOIEC20000-2018標準條款7.5.3成文信息的控制服務管理體系及本標準所要求的成文信息應得到控制，以確保：a)在需要的場合和時機，均可獲得并適用；予以妥善保護（如防止泄密、不當使用、或者缺失等）。ISOIEC20000-2018標準條款為控制成文信息，適用時，組織應進行下列活動：a)分發(fā)，訪問，檢索和使用；b)存儲和保護，包括保持可讀性；c)變更控制（例如版本控制）；d)保留和處置。對于組織確定的策劃和運行服務管理體系所必需的來自外部的成文信息，應得到適當的識別，并予以控制。注：對成文信息的“訪問”可能意味著僅允許查閱，或者意味著允許查閱并授權修改。ISOIEC20000-2018標準條款7.5.4服務管理系統(tǒng)成文信息服務管理體系的成文信息應包括：a)服務管理體系范圍；b)服務管理的方針和目標；c)服務管理計劃；d)變更管理方針、信息安全方針和服務連續(xù)性計劃（一個或多個）；e)服務管理體系的過程；f)服務要求；g)服務目錄；h)服務級別協(xié)議（SLA）；ISOIEC20000-2018標準條款7.5.4服務管理系統(tǒng)成文信息服務管理體系的成文信息應包括：i)與外部供應商的合同；j)與內部供應商和充當供應商的客戶的協(xié)議；k)本標準要求的程序；l)證明符合本標準和服務管理體系要求的記錄。注：條款7.5.4提供了服務管理體系的重要成文信息列表。對于成文信息和記錄還有其它的要求，ISO/IEC20000-2提供了額外的指南。ISOIEC20000-2018標準條款7.6 知識組織應確定和保持必要的知識，以運行服務管體系和服務。這些知識對適用的人員應是相關的、可用的、有用的。注：知識是與服務管理體系、服務和相關方有關的，使用和共享知識以實現預期結果和運行服務管理體系及服務。ISOIEC20000-2018標準條款8運行8.1運行策劃和控制組織應策劃、實現和控制滿足要求所需要的過程，通過下列內容以及實現條款6中確定的措施：a)基于要求，建立過程的準則；b)按照準則實施過程控制；c)組織應保持成文信息達到必要的程度，以確信這些過程按計劃得到執(zhí)行。組織應控制策劃的變更并評審非預期變更的后果，必要時，采取措施減輕不利影響（見8.5.1）。組織應確保外包過程受控(見8.2.3)。ISOIEC20000-2018標準條款8.2服務組合8.2.1服務交付組織應運行服務管理體系，確保協(xié)作活動和資源。組織應執(zhí)行交付服務所需要的活動。注：服務組合通常管理服務生命周期中的所有服務，包括提議的、開發(fā)中的、服務目錄中的在線服務和即將停止的服務。服務組合管理確保服務提供者有正確的服務構成。服務組合管理活動包括服務策劃、控制服務生命周期的相關方、服務目錄管理、資產管理和配置管理。ISOIEC20000-2018標準條款8.2.2策劃服務已存在服務、新服務、服務變更的要求應確認和保留成文信息。組織應基于組織、客戶、用戶和相關方的需求確認服務的關鍵性。組織應確認和管理服務間的依賴關系和復制關系?？紤]已知限制和風險，組織應提議服務變更，以便服務與服務管理方針、服務管理目標和服務要求保持一致?？紤]可用資源，組織應對服務變更進行優(yōu)先排序和提議新服務、服務變更，以便服務管理目標和業(yè)務目標保持一致。ISOIEC20000-2018標準條款8.2.3控制服務生命周期的相關方無論任何相關方涉及到在支持服務生命周期中執(zhí)行活動，組織應對本標準的要求和交付的服務負責。組織應確認和應用本標準評估和選擇服務生命周期中的其它相關方。其它相關方可以是外部供應商、內部供應商和客戶充當的供應商。其它相關方不應提供和運行服務管理體系范圍內所有的服務、服務組件或流程。組織應確認和成文化下列內容：a)其它相關方提供和運行的服務；b)其它相關方提供和運行的服務組件；c)其它相關方運行的服務管理體系范圍內的流程或部分流程。組織應集成組織自身或其它相關方提供和運行的服務管理體系范圍內的服務、服務組件和流程。以滿足服務要求。組織應進行協(xié)調包括服務生命周期中，策劃、設計、轉換、交付和改進活動的其它相關方。ISOIEC20000-2018標準條款組織應對其它相關方定義和應用下列控制措施：a)測量和評估過程績效；b)測量和評估服務、服務組件滿足服務要求的有效性。注：ISO/IEC20000-3提供了服務生命周期中控制其它相關方的指南。ISOIEC20000-2018標準條款8.2.4服務目錄管理組織應創(chuàng)建和維護一個或多個服務目錄。服務目錄應包括描述服務的組織、客戶、用戶和其它相關方的信息、它們預期的結果和服務間依賴關系。組織應對客戶、用戶和其它相關方提供合適的訪問（部分）服務目錄的渠道。ISOIEC20000-2018標準條款8.2.5資產管理組織應確保管理用于交付服務的資產以滿足服務要求和條款6.3c）規(guī)定的義務。注：ISO55001和ISO/IEC19770-1確定了支持實施、運營資產和IT資產管理的要求。注：另外，資產作為配置項時，參考配置管理。ISOIEC20000-2018標準條款8.2.6配置管理配置項的類型應定義。服務應分類為配置項。配置信息應記錄到適合服務關鍵性和類型的詳細程度。訪問配置信息應受控。每個配置項的配置信息應包括：a)唯一性標識；b)配置項類型；c)配置項描述；d)與其它配置項的關系；e)狀態(tài)。配置項應受控。配置項的變更應可追溯和可審計，以維護配置信息的完整性。配置項的變更發(fā)布后，配置項應更新。適用時，配置信息應對其它服務管理活動可用。ISOIEC20000-2018標準條款8.3關系與協(xié)議8.3.1總則組織使用供應商以：a)提供和運行服務；b)提供和運行服務組件；c)運行服務管理體系范圍內的流程或部分流程。圖-2表示了用途、協(xié)議和業(yè)務關系管理、服務級別管理、供應商管理的關系。ISOIEC20000-2018標準條款8.3關系與協(xié)議注：ISO/IEC20000-3包括潛在場景和范圍的供應鏈關系的示例。注：本標準的供應商管理不包括供應商的采購過程。ISOIEC20000-2018標準條款8.3.2業(yè)務關系管理服務的客戶，用戶和相關方應予以識別，并保留成文信息。組織應指定一個或多個專人負責管理客戶關系和維護客戶滿意度。組織應與確定客戶和相關方溝通的安排。溝通應促進對不斷進化的服務運行的業(yè)務環(huán)境的理解，應使組織能夠響應新的或變更的服務的要求。組織應與客戶按策劃的時間間隔評審審服務績效趨勢和結果。組織應按照策劃的時間間隔，基于對服務的客戶進行抽樣，調查客戶滿意度。應對結果進行分析和評審以識別改進機會。服務投訴應予以記錄、管理直至關閉和報告。當服務投訴通過正常渠道得不到解決，應升級處理。ISOIEC20000-2018標準條款8.3.3服務級別管理組織應與客戶約定交付的服務。對于所交付的每項服務，組織應基于服務要求與客戶協(xié)商確定一個或多個服務級別協(xié)議（SLAs）。服務級別協(xié)議應包括服務級別目標，工作量和例外情況。組織應按照策劃的時間間隔監(jiān)控、評審和匯報：a)服務級別目標的績效；b)與服務級別目標的工作量比較，實際和周期性的工作量的變更。服務級別目標未滿足時，組織應識別改進機會。注：組織和客戶交付服務的協(xié)議可以以多種形式存在，如成文的協(xié)議，會議中的口頭協(xié)定，email形式的協(xié)議或同意服務許可協(xié)議的形式。ISOIEC20000-2018標準條款8.3.4供應商管理管理外部供應商組織應指定一個或多個專人負責管理與外部供應商的關系、合同和績效。組織和外部供應商應協(xié)商形成成文的合同。合同中應包含或引用以下內容：a)外部供應商提供或者運行的服務范圍、服務組件、流程或部分流程；b)外部供應商需要滿足的要求；c)服務等級目標或其它合同義務；d)組織與外部供應商的職責與權限。ISOIEC20000-2018標準條款8.3.4供應商管理組織應評估外部供應商的服務等級目標或者其它合同義務與客戶的服務等級目標保持一致，和管理已識別的風險。組織應按照策劃的時間間隔監(jiān)視外部供應商的績效。服務等級目標和其他合同義務未滿足的場合，組織應確保識別改進機會。組織應按照策劃的時間間隔依據當前的服務要求評審合同。變更授權前，合同的變更對服務管理體系和服務的影響應予以評估。組織和外部供應商的爭議應予以記錄、管理直至關閉。ISOIEC20000-2018標準條款管理內部供應商和充當供應商的客戶對于每一個內部供應商和充當供應商的客戶，組織應開發(fā)、協(xié)商和維護成文的協(xié)議，以定義服務等級目標，其它承諾，活動和相互間的接口。組織應按照策劃的時間間隔監(jiān)視內部供應商和充當供應商的客戶的績效。服務等級目標和其它約定的承諾未滿足的場合，組織應確保識別改進機會。ISOIEC20000-2018標準條款8.4供應與需求8.4.1服務預算與核算組織應在保持與財務管理方針和流程一致的情況下進行服務或一組服務的預算和核算。應對服務成本進行預算，使提供的服務能有效地進行財務控制和決策。按照策劃的時間間隔，組織應依據預算來監(jiān)視和報告實際成本，審核財務預測并管理成本。注：許多，但不是所有組織會對服務進行計費。服務的預算和核算過程不包括計費，以確保適用于所有組織。ISOIEC20000-2018標準條款8.4.2需求管理按照策劃的時間間隔，組織應：a)確定服務當前需求和預測未來需求；b)監(jiān)視和評審需求與服務使用情況。注：需求管理負責理解客戶當前和未來的需求。能力管理與需求管理配合，策劃和提供充足的能力以滿足需求。ISOIEC20000-2018標準條款8.4.3能力管理考慮服務和性能要求，人員、技術、信息和財務資源的能力要求應予以確定、保留成文信息和維護。組織應對能力進行策劃，包括：a)基于服務需求，當前和預測的能力；b)對約定的服務等級目標、服務可用性、服務連續(xù)性要求的預期影響；c)能力變更的時間跨度和閥值。組織應提供充分的容量滿足商定的容量和性能要求。組織應監(jiān)視能力的使用、分析能力和性能數據和識別改進機會。ISOIEC20000-2018標準條款8.5服務設計、構建與轉換8.5.1變更管理變更管理方針變更管理方針應予以制定和保留成文信息，以定義：a)在變更管理控制下的服務組件和其它事項；b)變更類別，包括緊急變更，以及如何進行管理；對客戶或服務有潛在重大影響變更的確定標準。ISOIEC20000-2018標準條款變更管理啟動變更請求，包括增加、移除或轉移服務，應予以記錄和分類。組織應在下列情況使用8.5.2條款的服務設計和轉換流程：a)由變更管理方針確定的，對客戶或其它服務有潛在重大影響的新服務；b)由變更管理方針確定的，對客戶或其它服務有潛在重大影響的服務變更；c)依據變更管理方針，通過服務設計和轉換管理的變更類別；d)移除服務；e)轉移已存在的服務至客戶或其它方；f)從客戶或其它方轉移已存在的服務至組織；評估、授權、調度和評審條款8.5.2范圍內的新服務或變更的服務應通過條款的“變更管理活動”進行管理。不在條款8.5.2范圍內的變更請求應通過條款的“變更管理活動”進行管理。ISOIEC20000-2018標準條款變更管理活動組織和相關方應就變更請求的授權和優(yōu)先級做出決策。決策應考慮風險、業(yè)務收益、可行性和財務影響。決策也應考慮變更的潛在影響：a)已存在服務；b)客戶、用戶和其它相關方；c)本標準要求的方針和計劃；d)能力、服務可用性、服務連續(xù)性和信息安全；e)其它變更請求、發(fā)布和部署計劃。ISOIEC20000-2018標準條款變更管理活動授權的變更應予以準備、確認，可行的情況下，進行測試。授權變更的建議發(fā)布日期和其它細節(jié)應和相關方溝通?；赝嘶蜓a救不成功變更的活動應予以策劃，可行的情況下，進行測試。不成功的變更應予以調查和采取約定的措施。組織應評審變更的有效性，與相關方采取約定的措施。應按照策劃的時間間隔分析變更請求記錄以識別趨勢。分析所得的結果和結論應予以記錄和評審以識別改進機會。ISOIEC20000-2018標準條款8.5.2服務設計與轉換策劃新的或變更的服務策劃應使用條款8.2.2確定的新的或者變更的服務的要求，應包括或引用下列內容：a)設計、構建和轉換活動的權限和職責；b)組織以及其他相關方擬執(zhí)行的活動，包括時間跨度；c)人員、技術、信息和財務資源；d)與其它服務的依賴關系；e)新的服務或變更的服務需要的測試；f)服務驗收標準；g)以可測量的術語表述的交付新的或變更的服務的預期結果。h)對服務管理體系、其它服務、計劃的變更、客戶、用戶和其它相關方的影響。針對將要被移除的服務，組織應進行服務移除的策劃。策劃額外應包括移除歸檔、數據的廢棄與轉移、文檔信息以及服務組件。受新的或變更的服務影響的配置項應通過配置管理控制。ISOIEC20000-2018標準條款設計新的或者變更的服務應予以設計和保留成文信息以滿足條款8.2.2確定的服務要求。設計應包括下列內容：a)交付新的或變更的服務時的各方權限和職責；b)對人員、技術、信息和財務資源變更的要求；c)對適當的教育、培訓和經驗的要求；d)支持服務的新的或變更的服務等級協(xié)議、合同和其他形成文件的協(xié)議；e)變更對服務管理體系的影響，包括新的或變更的方針、計劃、過程、程序、測量或知識；f)對其它服務的影響；g)更新服務目錄（一個或多個）。ISOIEC20000-2018標準條款構建與轉換新的或變更的服務應被構建和測試，以驗證其能否滿足服務要求，設計文件的要求，以及約定的驗收標準。如果不符合服務驗收標準，組織和相關方應就必要的措施和部署進行決策。發(fā)布和部署管理應被用于部署已批準的新的或變更的服務到實際運行環(huán)境中。轉換活動完成后，組織應向相關方報告所實現的結果，并與預期結果進行對比。ISOIEC20000-2018標準條款8.5.3 發(fā)布與部署管理組織應定義發(fā)布類型，包括緊急發(fā)布，發(fā)布頻率和如何管理。組織應與對新的或變更的服務和服務組件部署到實際運行環(huán)境進行策劃。策劃應與變更管理過程協(xié)調一致，并包含對相關的變更請求、已知錯誤和通過該發(fā)布所關閉問題的引用。策劃應包括每個發(fā)布的部署日期、交付物和部署方法。組織應應依據成文的驗收準則對發(fā)布進行驗證，并在部署前被授權。如果未能滿足驗收準則，組織和相關方應就采取必要的措施和部署進行決策。發(fā)布部署到實際運行環(huán)境前，應建立受影響的配置項的基線。發(fā)布應部署到實際運行環(huán)境中，以使服務和服務組件的完整性得到保持。應監(jiān)視和分析發(fā)布的成功或失敗。測量內容應包括發(fā)布在部署之后至隨后的發(fā)布間的的事件。分析的結果和結論應予以記錄和評審以識別改進機會。適用時，發(fā)布成功或者失敗、未來發(fā)布日期的信息應對其它服務管理活動可用。ISOIEC20000-2018標準條款8.6解決與完成8.6.1事件管理事件應：a)記錄和分類；b)考慮影響和緊急性，進行優(yōu)先排序；c)需要時升級；d)解決；e)關閉。事件記錄應根據采取的措施進行更新。組織應確定識別重大事件的標準。重大事件依據成文的程序進行分類和管理。重大事件的信息應通知最高管理者。組織應分配管理重大事件的責任人。事件解決后，重大事件應予以匯報和評審，以識別改進機會。ISOIEC20000-2018標準條款8.6.2服務請求管理服務請求應：a)記錄和分類；b)優(yōu)先排序；c)完成；d)關閉。服務請求應根據采取的措施進行更新。服務請求完成的指南應對服務請求完成的有關人員可用。ISOIEC20000-2018標準條款8.6.3問題管理組織應分析事件數據和趨勢，以識別問題。組織應進行根本原因分析和確定潛在的措施，以阻止事件的出現或者再現。問題應：a)記錄和分類；b)優(yōu)先排序；c)需要時升級；d)可能時進行解決；e)關閉。問題記錄應根據采取的措施進行更新。問題解決的變更應依據變更管理方針進行管理。根本原因已經識別，但問題沒有永久解決時，組織應確認降低和消除問題對服務影響的措施。已知錯誤應予以記錄。適用時，已知錯誤的最新信息和問題解決方案應對其它服務管理活動可用。按照策劃的時間間隔，問題解決方案的有效性應予以監(jiān)視、評審和報告。ISOIEC20000-2018標準條款8.7服務保障8.7.1服務可用性管理按策劃的時間間隔，與服務可用性有關的風險應予以評估和保留成文信息。組織應確定服務可用性要求和目標。協(xié)定的要求應考慮相關的業(yè)務要求、服務要求、SLA和風險。服務可用性的要求和目標應保留成文信息并維護。服務可用性應予以監(jiān)控、記錄結果和與目標作比較。非計劃的不可用應予以調查和采取必要的措施。注：條款6.1識別的風險為服務可用性、連續(xù)性和信息安全提供輸入。ISOIEC20000-2018標準條款8.7.2服務連續(xù)性管理按策劃的時間間隔，與服務連續(xù)性有關的風險應予以評估和保留成文信息。組織應確定服務連續(xù)性要求。協(xié)定的要求應考慮相關的業(yè)務要求、服務要求、SLA和風險。組織應建立、實施和維護一個或者多個業(yè)務連續(xù)性計劃。業(yè)務連續(xù)性計劃應包括或引用下列內容：a)激活服務連續(xù)性計劃的標準和職責；b)在重大服務中斷時實施的程序；c)激活服務連續(xù)性計劃時的可用性目標；d)服務恢復要求；e)返回正常工作條件的程序；正常服務位置訪問被阻止時，服務連續(xù)性計劃和聯(lián)系人清單應有可訪問的渠道。按策劃的時間間隔，服務連續(xù)性計劃應按照服務要求進行測試。服務環(huán)境有重大變更后，服務連續(xù)性計劃應重新測試。測試的結果應予以記錄。每次測試后和服務連續(xù)計劃激活后，發(fā)現有缺陷或不足時，組織應采取必要的措施。服務連續(xù)性計劃已經激活時，組織應報告原因，影響和恢復活動。ISOIEC20000-2018標準條款8.7.3信息安全管理8.7.3.1信息安全策略合適授權的管理者應同意組織的信息安全策略。信息安全策略應保留成文信息和考慮服務要求及6.3c）要求的義務。適用時，信息安全策略應可用和可獲取，組織應溝通符合信息安全策略的重要性和應用策略于服務管理體系和服務的下列人員：a)組織；b)客戶和用戶；c)外部供應商、內部供應商和其它相關方。ISOIEC20000-2018標準條款信息安全控制措施按策劃的時間間隔，與服務管理體系和服務有關的信息安全風險應予以評估和保留成文信息。信息安全控制措施應確認、實施和運行，以支持信息安全策略和應對識別的信息安全風險。信息安全控制措施的決策應保留成文信息。組織應同意和實施信息安全控制措施以應對與外部組織有關的信息安全風險。組織應監(jiān)控和評審信息安全控制措施的有效性，必要時，采取措施。ISOIEC20000-2018標準條款信息安全事件信息安全事件應：a)記錄和分類；b)考慮信息安全風險，進行優(yōu)先排序；c)需要時，升級；d)解決；e)關閉。組織應基于類型、數量、對服務管理體系和相關方的影響分析信息安全事件。信息安全事件應報告和評審，以發(fā)現改進機會。注：ISO/IEC27001系列標準提供了支持實施和運行信息安全管理體系的要求與指南。ISO/IEC27013提供了集成實施ISO/IEC27001和ISO/IEC20000-1（本標準）的指南。ISOIEC20000-2018標準條款9績效評價9.1監(jiān)視、測量、分析和評價組織應確定：a)服務管理體系和服務需要監(jiān)視和測量什么；b)需要用什么方法進行監(jiān)視、策略、分析和評價，以確保結果有效。c)何時實施監(jiān)視和測量；d)何時對監(jiān)視和測量結果進行分析和評價。組織應保留適當的成文信息，以作為結果的證據。組織應對服務