GBT24405.2-2010信息技术服务管理实践规则.pdf 26页

'ICS35．080L77a目中华人民共和国国家标准GB／T24405．2—2010／ISo／IEC20000一2：20052010—12一01发布信息技术服务管理第2部分：实践规则Informationtechnology—ServicemaⅡagement—Part2：Codeofpractice(IS0／IEC20000一2：2005，IDT)2011—04一01实施宰瞀髁紫瓣警糌瞥星发布中国国家标准化管理委员会况11 标准分享网www.bzfxw.com免费下载GB／T24405．2—2010／ISO／IEC20000—2：2005目次前言⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯·引言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯··1范围⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·2术语和定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·3管理体系⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．4策划和实施服务管理⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一5策划和实施新服务或变更的服务⋯⋯⋯··⋯⋯⋯⋯⋯⋯⋯⋯6服务交付过程⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯-·7关系过程⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯8解决过程⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯-t9控制过程⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··10发布过程⋯⋯⋯⋯⋯-⋯⋯⋯···⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··参考文献⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯···⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯IⅡ，●●30un¨¨毖 www.bzfxw.comGB／T24405．2—2010／塔o／IEC20000—2：2005刚罱24405在《信息技术服务管理》总标题下，分为如下几部分：——第1部分：规范；——第2部分：实践规则。本部分为GB／T24405的第2部分。本部分等同采用IsO／IEc20000一2：2005《信息技术服务管理第z部分：实践规则》。本部分由国家标准化管理委员会提出。本部分由全国信息技术标准化技术委员会(sAc／Tc28)归口。本部分起草单位：中国电子技术标准化研究所、上海宝信软件股份有限公司、山东省标准化研究院、上海三零卫士信息安全技术有限公司、深圳市诚信信息工程研究院、中国生产力促进中心协会、北京三零盛安信息系统有限公司、深圳市爱思拓信息存储技术有限公司、广州新鼎典信息技术有限公司、山东浪潮齐鲁软件产业股份有限公司、深圳市希尔科技有限公司。本部分主要起草人：韩红强、周平、冯惠、陈在根、丛力群、金桥、程玉宝、艾丽君、杨建军、朱瑞虹、王曙光、曲发川、陈长松、唐尖兵、张建军、曾波、邓超、刘辉、杨晓光、王宝艾、韩硕祥、刘洋、王昱人、张帆、申明星、曹晖、王柏华、王双飞、周楚生、刘燕青、张健、于国华、郝伟、程燕、孙海东。 www.bzfxw.com标准分享网www.bzfxw.com免费下载GB／T24405．2—2010／ISo／IEC20000-2：2005引言作为实践规则，GB／T24405的本部分采用指南和建议的形式。本部分不宜作为规范引用，并宜特别关注以确保符合性声明不会引起误解。本部分宜与GB／T24405的第1部分结合起来使用，第1部分是与此实践规则相关的规范。假定将本部分条款的执行委托给有适当资质和有能力的人员。本标准不声称包括一份合同所有必需的条款。本标准的使用者负责正确地应用标准。对于本标准的符合并不意味着可以免除法律义务。本部分描述了在GB／T24405的第1部分中涵盖的服务管理过程的最佳实践。由于顾客需要愈加先进的设施(以最小的成本)以满足业务要求，服务交付变得越来越重要。同样应意识到，服务和服务管理对于帮助组织产生收入和有成本效益是关键的。24405的第l部分是服务管理的规范，宜与本部分结合起来阅读。本标准能使服务提供方理解如何提高交付给顾客的服务质量，无论内部或外部的顾客。随着对支持服务依赖性的逐渐增长，以及可用技术的多样化，服务提供方能尽力维持高水平的顾客服务。若被动地进行工作，他们花费很少的时间策划、培训、评审、调查和为顾客工作，结果导致投有履行采用结构化的、主动的工作实践。那些同样的服务提供方被要求提高质量、降低成本、灵活性更高、响应顾客更快。有效的服务管理交付更高水准的顾客服务和顾客满意度。本标准描述了过程的最佳实践之间的区别，这些过程不受组织形式或规模、名称和结构的影响。本标准既可以应用于大规模的、也可以应用于小规模的服务提供方，并且，最佳实践服务管理过程的需求不随组织的形式发生变化，组织的形式提供了管理那些过程的框架。Ⅱ www.bzfxw.comGB／T24405．2—2010／Is0／IEc20000—2：2005信息技术服务管理第2部分：实践规则1范围24405的本部分描述了业界一致认可的信息技术(IT)服务管理过程的质量标准。为满足顾客的业务要求，这些服务管理过程在协商一致的资源水平内交付可能的最佳服务。即，服务是专业的、经济的，具有的风险是可理解的和可管理的。用于同一过程以及过程之间和功能组(和职位)之间的术语的多样性，会使得新的管理者对服务管理这个主题感到困惑。错误地理解术语对建立有效的过程可能是一种障碍。依据本标准理解术语有切实和重要的益处。本部分建议服务提供方宜采取通用术语和更一致的方法进行服务管理。标准为改进服务提供了共同的基础，也为服务管理工具的供方提供了使用框架。作为基于过程的标准，本部分的目的并非用于产品评估。然而，组织在开发服务管理工具、产品和系统时，可以使用GB／T24405的第1部分和本部分，以帮助其开发支持服务管理最佳实践的工具、产品和系统。本部分为审核员提供指南，也为服务提供方策划服务改进或依据GB／T24405．1进行审核提供帮助。24405的第1部分规定了～组相关的服务管理过程，如图l所示。图1服务管理过程2术语和定义24405．1中的术语和定义适用于本部分。3管理体系目标：提供一个管理体系，包括方针和框架，以有效管理和实施所有IT服务。3．1管理职责确保采用和保持最佳实践过程的管理任务，是任何服务提供方满足GB／T24405．1要求的基础。 www.bzfxw.com标准分享网www.bzfxw.com免费下载GB／T24405．2—2010／Iso／1哐C20000-2：2005为确保承诺，宜确定一名高层责任人负责服务管理策划。该高层责任人宜负责服务管理计划的全面交付。高层责任人的职责宜包括为基于服务改进活动的持续工作或项目提供资源。具有足够权限来制定方针并执行其决定的决策层宜支持这一高层责任人。3．2文件要求高层责任人宜确保证据对于服务管理方针、计划、规程以及与这些相关活动的审核是可用的。服务管理策划和操作的大多数证据宜以文件的形式存在，它们可以是适合于其目的任何类型、格式或媒体的文件。下列文件一般被认为是适合作为服务管理策划的证据：a)方针和计划；b)服务文件；c)规程；d)过程；e)过程控制记录。宜有建立和管理文件的过程，以帮助确保所描述的特性得以满足。宜保护文件以免遭到损坏，例如由恶劣环境条件和计算机灾难导致的损坏。3．3能力、意识和培训3．3．1概述从事服务管理工作的人员，在适当的教育、培训、技能和经验的基础上，宜是有能力的。服务提供方宜：a)决定服务管理中每一个角色必需的能力；b)确保人员知道在广阔的业务环境中所从事活动的相关性和重要性，以及他们如何为达到质量目标做出贡献；c)保持适当的教育、培训、技能和经验的记录；d)提供培训或采取其他措施以满足需求；e)评价所采取措施的有效性。3．3．2职业发展服务提供方宜发展和加强其工作人员的专业能力。在为此而采取的措施中，服务提供方宜专注于以下方面：a)招聘：目的是对照职位描述或简介、服务管理目标和总体服务质量目标，检查应聘者的详细资料(包括他们的专业资质)有效性并判别应聘者的优缺点及潜能。b)计划：目的是为新的或扩展服务(也包括缩短服务)安排人员、使用新的技术、分配服务管理人员到开发项目组、连续策划以及填补因预期的员工更替引起的空缺。c)培训和发展：目的是将训练和发展需求作为一个训练和发展计划，并提供及时有效的交付。员工宜在服务管理的相关领域得到培训(例如，通过培训、自学、指导或职业培训)，并且他们的团队工作和领导技能都宜得到提高。每位员工都宜保有一份按照时间顺序的培训记录和提供的培训的描述。3．3．3要考虑采取的方法为了使员工团队的能力达到一个合适的水平，服务提供方宜使短期聘用员工与长期聘用员工适度结合。服务提供方还宜使具有要求技能的新员工与现有再培训员工适度结合。注：在支持人员数目和技能的重大变更期间及之后，当服务提供方策划如何提供服务时，短期和固定新员工的适度平衡是尤为重要的。在建立最合适方法的组合时需要考虑的因素：2 www.bzfxw.comGB／T24405．2—2010／IS0／IEC20000_2：2005a)新的或已改变的能力的短期或长期特性；b)技能和能力的变化率；c)基于服务管理和服务改进计划，预期工作量的高峰和低谷以及要求的技能组合；d)相称能力职员的可利用性；e)人员流动率；f)培训计划。对于全体成员来说，服务提供方宜至少每年评审每个员工的业绩并采取相应的措施。4策划和实施服务管理4．1策划服务管理(策划)目标：策划服务管理的实施和交付。4．1．1服务管理的范围服务管理的范围宜定义为服务管理计划的一部分。例如，它可定义为：a)组织；b)位置；c)服务。管理宜将范围定义为管理职责的一部分(并且作为服务管理计划的一部分)。宜依据24405．1检查范围的适宜性。注：操作变更的策划在9．2中描述。4．1．2策划方法多重的服务管理计划可以代替一个大的计划或方案。这种情况下，基本的服务管理过程宜相互保持一致。也宜能证实，如何将每个策划要求与相应的角色、职责和规程联系起来进行管理。服务管理策划宜成为过程的一部分，用于将顾客要求和高层管理者的意图转化为服务，并为指导服务的进展提供一份路线图。服务管理计划宜包括：a)服务管理(或一部分服务管理)的实施；b)服务管理过程的交付；c)服务管理过程的变更；d)服务管理过程的改进；e)新服务(相对于在协商一致的服务管理范围内影响过程的程度而言)。4．1．3要考虑的事项服务管理计划宜顾及服务管理过程和由下列事件引起的服务变更：a)服务改进；b)服务变更；c)基础设施标准化；d)法律的变更；e)法规的变更，例如地方税率变更；f)部门规章的发布或废止；g)合并和采购。4．1．4计划的范围和内容服务管理计划宜定义：a)服务提供方的服务管理范围；3 www.bzfxw.com标准分享网www.bzfxw.com免费下载GB／T24405．2—2010／Iso／IEc20000·2：2005b)服务管理要实现的目标和要求；c)为实现定义的目标必需的资源、设施和预算；d)管理角色和职责的框架，包括高层责任人、过程责任人和供方的管理；e)各个服务管理过程之间的接口以及协调各活动和(或)过程的方式；f)识别、评估和管理与实现定义目标相关的事项和风险所采取的方法；g)按照日期排定的资源时间表，表中宜列出所可用的资金、技术和资源；h)变更计划和计划中定义的服务的方法；i)服务提供方将如何证实持续质量控制(例如中期审核)；j)将执行的过程；k)支持过程的适当工具。4．2实施服务管理和提供服务(实施)目标：实施服务管理目标和计划。如果最初的服务不满足GB／T24405．1所列出的实施要求，就不能实现能够满足本标准要求的服务管理过程的最佳实践。一经实施，服务和服务管理过程宜予以保持。评审宜按照4．3进行。注：适合于策划和最初实施的员工可能并不适合于后续的运行。4．3监视、测量和评审(检查)目标：监视、测量和评审正在实现的服务管理目标和计划。服务提供方宜策划和实施对服务、服务管理过程以及相关体系的监视、测量、分析和评审。宜监视、测量和评审的事项包括：a)已定义服务目标的实现情况；b)顾客满意度；c)资源利用率；d)趋势；e)严重不符合项。分析结果宜为服务改进计划提供输入。除了有关测量和分析的服务管理活动，高层管理者还可能需要利用内部审核和其他检查。在决定内部审核和检查的频率时，过程的风险级、运行频率及其以往的历史问题都是宜考虑的因素。内部审核和检查宜经过策划并执行和记录。4．4持续改进(处置)目标：改进服务交付和管理的有效性和效率。4．4．1方针服务提供方宜认识到总是有潜力使得服务交付更有效和高效。宜发布关于服务质量和改进的方针。所有与服务管理和服务改进活动有关的人员宜理解服务质量方针以及各自对于实现方针框架下的目标的贡献。特别是，所有与服务管理有关的服务提供方的员工宜详细理解服务质量方针在服务管理过程中的含义。对于影响服务质量和顾客要求的事务，宜在服务提供方自己的管理结构中、顾客和服务提供方的供方之间建立有效的联系。4．4．2服务改进的策划服务提供方宜从自身和顾客的观点，采用系统和协调的方法进行服务改进，以满足方针的要求。4 www.bzfxw.comGB／T24405。2—2010／lSo／IEC20000—2：2005在实施改进服务计划之前，宜记录服务的质量和级别作为实际改进可与之比较的基线。实际改进宜与预期的改进进行比较，以评估变更的有效性。注1：服务改进要求可以来自于所有过程。服务提供方宜鼓励员工和顾客为改进服务提出建议。注2：这可以通过建议方案、质量环、用户组和联络会议来实现。服务改进目标宜是可测量的、与业务目标相关联并在计划中形成文件。宜对服务改进进行积极地管理，宜按正式协商一致的目标监视服务改进的进展。5策划和实施新服务或变更的服务目标：确保新服务和对服务的变更，按各方协商一致的成本和服务质量交付和管理。5．1需考虑的主题策划新的或变更的服务宜评审如下方面：a)预算；b)员工资源；c)现有的服务级别；d)服务级别协议(sLAs)和其他目标或服务承诺；e)现有的服务管理过程、规程和文件；f)服务管理范围，包括以前的范围之外的服务管理过程的实施。5．2变更记录所有服务变更宜反映在变更管理记录中。这包括如下计划：a)员工招聘或再培训；b)位置变更；c)用户培训；d)变更的交流；c)支撑技术特性的变更；f)服务的正式关闭。6服务交付过程6．1服务级别管理目标：定义、协商、记录并管理服务级别。6．1．1服务目录服务目录宜定义所有的服务。服务目录可以从SLA中得到引用，并且，宜用来支持对于sLA自身来说易变的要素。宜维护服务目录并保持更新。注：服务目录可以包括一般信息，例如：a)服务名称；b)目标，例如，打印机响应或安装的时间，经过重大失效后重新安装一个服务的时间；c)联系点；d)服务时间和例外情况；e)安全约定。服务目录是确定顾客期望的关键文件，宜易于被顾客和支持人员得到和广泛应用。6．1．2服务级别协议(SLAs)宜在服务级别协议(SLA)中正式地记录服务。sLA宜被顾客方高层代表和服务提供方代表正式5 www.bzfxw.com标准分享网www.bzfxw.com免费下载GB／T24405．2—2010／Is0／IEc20000—2：2005批准。与其描述的服务一样，服务级别协议也遵从变更管理。顾客的业务需求和预算宜作为SLA内容、结构和目标定义的决定因素。目标宜依据交付服务进行测量，并从顾客的视角进行定义。sLA应仅包括目标的适当子集，以集中关注服务最重要的方面。注1：目标太多会引起混淆，导致过多的管理费用。至少在sLA中或可以从sLA直接引出的内容宜包括：a)简短的服务描述；b)有效期和(或)sLA变更控制机制；c)授权细节；d)交流(包括报告)的简短描述；e)得到授权处理紧急事件、参与事件和问题纠正、恢复或临时措施的人员的详细联系信息；f)服务时间，例如9：oo～17：oo，例外时间(例如，周末、公共节假日)，关键业务时期和上班时间之外的时间；g)计划的和协商一致的中断，包括给出的通知，每一阶段的次数；h)顾客职责，例如，安全保密；i)服务提供方的责任和义务，例如安全保密；j)影响和优先级指南；k)服务升级和通知过程；1)投诉规程；m)服务目标；n)工作量极限(最高和最低)，例如，支持协商一致的用户数目或工作量、系统吞吐量的服务的能力；o)高级别财务管理详绑信息，例如计费规则；p)在服务中断事件中所采取的行动；q)常规事务规程；r)术语表；s)支持及相关的服务；t)sLA给定条款中的任何例外。注2：易变的信息或对于许多sLA来说通用的信息(例如联系细节)可以从sLA引用得到，而不影响服务级别管理sLM的过程，只要引用的文件也在变更管理过程的控制之下。注3：核算与预算的连续性计划和细节通常可以从sLA引用得到。注4：术语表通常保留在一个地方，对于所有的文件都是通用的，包括服务目录。6．1．3服务级别管理(sLM)过程重大的业务变更，例如，业务增长、业务重组和合并以及变更顾客需求，可以要求调整、重新定义、甚至是临时中断服务级别。sLM过程宜灵活适应这些变更。sLM过程宜确保服务提供方在整个服务交付的策划、实施和进行管理的过程中，始终保持对顾客的关注。服务提供方宜得到足够的信息来使他们理解顾客的业务驱动和需求。sLM过程宜管理和协调服务级别的贡献者，包括：a)服务需求协议和期望的服务工作量特性；b)服务目标协议；c)所达到的服务级别和工作量的测量和报告，以及对未满足协商一致的目标的解释(参见6．2)；d)启动纠正措施；e)改进服务的计划的输入。6 www.bzfxw.comGB／T24405．2—2010／ISo／IEC20000—2：2005该过程宜鼓励服务提供方和顾客采取主动的态度，确保他们对于服务有共同的职责。顾客满意度是服务级别管理中一个重要的部分，但是对其进行的测量宜看作一种主观测量，然而对sLA中的服务目标的测量宜是客观测量。sLM过程宜与业务关系和供方管理过程紧密协同工作。6．1．4支持服务的协议已交付的服务所依靠的支持服务宜形成文件，并征得每一个供方同意，这包括提供部分服务提供方服务的内部组。6．2服务报告目标：为依据可靠信息做出决策和有效沟通，编制协商一致的、及时的、可靠的、准确的报告。注：所有服务管理过程的戚功都依籁于使用服务报告中所提供的信息。6．2．1策略服务报告的需求宜由顾客和内部管理层协商一致并记录。服务监视和报告包括服务的所有可测量方面，提供目前的和历史的分析。如果有多个供方、主供方和分包方，报告宜反映各供方之间的关系。例如，主供方宜报告他们提供的所有服务，包括作为顾客服务的一部分来管理的分包方提供的任何服务。6．2．2服务报告的目的和质量检查服务报告宜及时、清晰、可靠且简明。服务报告宜适合于接受报告者的要求，具有足够的准确性，可以用于做决定的支持工具。表现形式宜有助于理解报告，例如使用图表，以使报告易于领会。宜产生如下几种类型的报告：a)显示发生了什么事情的响应式报告；b)主动式报告，可以为重大事件提出警告，因此能够预先采取预防措施(例如，即将发生的违反sLA的报告)；c)显示已计划活动的预定报告。6．2．3服务报告服务提供方宜为顾客和管理者做报告，报告宜包括以下内容：a)服务级别目标的绩效，例如损耗报告、业绩；b)不符合标准的项；c)工作量特性和容量信息，例如事件、问题、变更和任务、分类、位置、顾客、季节趋势、优先级的混合、请求帮助的数量；d)重大事件之后的执行报告，例如变更和发布；e)每阶段(例如，天、周、月、周期)的趋势信息；f)包括来自每一过程的信息的报告，例如，事件的数量和最频繁被提问的问题，基础设施的不可靠部件，密集的任务的资源或成本；g)未来工作重点和计划的工作量的报告。6．3服务连续性和可用性管理目标：确保向顾客承诺的协商一致的服务连续性和可用性在任何情况下都能得到满足。注：发生重大的服务失效或灾难的可能原因包括：拒绝服务、攻击、重大病毒的爆发、未经允许的访同或自然灾难。6．3．1概述宜在顾客业务优先级、服务级别协议和风险评估的基础上确定服务连续性和可用性需求。服务提供方宜维持足够的服务能力与可行计划，这些计划是为确保在从正常运行到重大的服务失误的所有情况下，协商一致的需求都得到满足。服务提供方宜策划已知的数据或顾客数景的增加或减少、预期的工作量的高峰值和低谷值，以及任何其他已知的将来变更。需求宜包括访问权限和响应次数以及系统组成的端对端的可用性。7 www.bzfxw.com标准分享网www.bzfxw.com免费下载GB／T24405．2—2们0／IsO／IEC20000—2：2005服务可用性和服务连续性管理宜以确保保持协商一致的服务级别为目的。这些需求将对行动、效果和分配用来实现需求的服务可用性的资源产生重大影响。确保需要的可用性得到保持的过程宜包括那些在顾客或其他服务提供方控制之下的服务交付的元素。6．3．2可用性监视和活动可用性管理宜：a)监视和记录服务的可用性；b)维护准确的历史数据；c)与sLAs中定义的需求比较，以识别对于协商一致的可用性目标的不符合项；d)记录和评审不符合项；e)预期将来的可用性；f)宜尽可能预测潜在的问题，并采取预防措施。宜确保服务所有部件的可用性，记录纠正措施并采取行动。6．3．3服务连续性策略服务提供方宜开发和保持策略，该策略定义了满足服务连续性职责的通用方法。策略宜包括风险评估，并考虑一致认同的服务时间和关键的业务期问。服务提供方宜同意每一个顾客群体和服务：a)可接受的最长丧失服务持续时间；b)可接受的服务降级最长时间；c)在服务恢复期内可以接受的降级服务的级别。宜在一致认同的时间间隔内评审连续性策略，至少每年一次；策略的任何变更宜得到正式的一致认同。6．3．4服务连续性策划与测试服务提供方宜确保：a)连续性计划考虑服务和系统部件的依赖关系；b)记录和保持服务连续性计划和其他支持服务连续性所需的文件；c)清晰分配调用连续性计划的职责，计划清晰分配针对每一个目标采取行动的职责；d)数据、文档和软件的备份，以及服务恢复所必需的任何设备和员工在重大服务失效和灾难后迅速可以使用；e)在一个安全的远程地点，存储并保持至少一份所有服务连续性文档的备份，连同任何能使其可用的必要设备；f)员工理解他们在调用和(或)执行计划时的角色；并能访问服务连续性文档。服务连续性计划及相关文件(例如合同)宜与变更管理过程和合同管理过程相关联。宜在系统和服务的变更被批准前以及重要的新的和修改的顾客需求得到同意前，评估对服务连续性计划和相关的文件(例如合同)的可能的影响。宜进行足够次数的测试，以确保连续性计划在面对系统、过程、人员和业务需要的变更时是有效的和可以保持的。测试宜基于一组协定一致的目标，由顾客和服务提供方共同参与。宜记录和评审测试的失效，并输入服务改进计划。6．4IT服务的预算与核算目标：服务供应成本的预算和核算。6．4．1概述本条包括IT服务的预算和核算。实际上，许多服务提供方会参与这些服务的计费。然而，既然计费是可选活动，本标准并不包括它。建议服务提供方在使用计费的地方，对所做的机制进行全面定义，并让所有相关方理解。8 GB／T24405．2—2010／ISo／IEC20000_2：2005财务决策的许多职责将在服务管理范围之外，要提供什么财务信息、以什么形式、采取什么频度等要求都可以从外部规定。本条的规定聚焦于为满足标准要求而宜遵循的实践。然而，当要求对于一些方针和规程会产生影响时，宜考虑更广泛的要求。所有使用的核算实践都宜与服务提供方组织整体的会计工作实践坍调一致。6．4．2簧略宜有关于服务的财务管理策略。策略宜定义预算和核算实现的目标。策略也宜定义执行预算和核算的细节，考虑如下：a)拟核算的成本类型；b)日常管理成本的分配，例如统一费用、固定的佣金或基于可变成分的规模；c)顾客业务的粒度，例如，以业务单位作为一个单位、细分到部门或按照位置区分；d)管理处置预算变更的准则，例如，将要升级到高级管理的变更的规模；e)与服务级别管理的联系。预算和核算过程中的投资级别，宜基于顾客、服务提供方和供方对于策略中定义的财务细节的需要。注：在商务环境中操作的服务提供方对于其财务管理有可能需要投人相当多的时间和工作量。相反地，对于那些简单判定成本就足够的服务提供方来说，其财务管理就可以简单的多。所有的服务提供方都宜执行预算和核算，无论他们财务管理的其他策略如何。6．4．3预算预算宜考虑在预算期间已策划的服务变更，以及当预算需求超过可利用的资金时，资金短缺管理的计划。预算可以考虑诸如季节的变化、针对服务成本和费用的短期策划的变更等因素。针对预算的成本追踪宜尽早提供偏离预算的警告。宜建立管理偏离预算所涉及事务的过程。预算和成本追踪宜支持策划服务操作和变更，以便服务级别在全年内可以维持。6．4．4核算核算过程宜用于在协商一致的时间以协商一致的详细程度追踪成本。服务提供的决策宜基于成本的有效性比较。成本模型宜可证明提供服务的成本。核算宜证实支出过高、过低或保持平衡}宜使读者能理解低服务级别和服务丧失的成本。6．5能力管理目标：确保服务提供方在所有时间内具有足够能力来满足当前及将来商定的顾客的业务要求。宜根据业务需要什么从而能够交付给顾客，来理解目前和预期的对于服务的业务需求。业务预测和工作量估计宜转化为特别的需求，并形成文件。工作量或环境的变化结果宜可以预测；在一个适当的级别上，宜获取并分析当前和以前的部件与资源利用率的数据，以支持过程。能力管理宜聚焦于所有的绩效和能力问题。过程宜通过规定服务的规模和形式，为开发新的或变更的服务提供直接支持。宜在考虑服务变更率、服务量、变更管理报告中的信息和顾客业务的基础上，以适当的频率制定记录了基础设施实际性能和预期需求的能力计划。宜至少每年制定一次能力计划。宜记录为满足业务需求所做的成本选择，以及为确保达到sLA中定义的协商一致的服务级别目标所推荐的解决方案。宜很好地理解技术基础设施及其目前的和已规划的能力。6．6信息安全管理目标：在所有服务活动中有效地管理信息安全。9 标准分享网www.bzfxw.com免费下载GB／T24405．2—2010／ISo／IEC20000—2：20056．6．1概述信息安全是设计用以识别、控制和保护信息，以及用于与信息的储存、传输和处理有关的设备的体系方针和规程的结果。担任专业信息安全专家角色的服务提供方的人员宜熟悉GB／T22081—2008《信息技术安全技术信息安全管理实用规则》。6．6．2信息资产的标识和分类服务提供方宜：a)保持服务交付所必要的信息资产的详细目录(例如，计算机、通信设施、环境设备、文档和其他信息)；b)依据资产对于服务的关键程度及其所需的保护级别对资产进行分类，并任命一位责任人负责提供资产的保护；c)资产的保护职责宜由资产责任人负责，尽管他们可以委派日常的安全管理职责。6．6．3安全风险评估实践安全风险评估宜：a)以协商一致的时间间隔执行；b)进行记录；c)在变更(业务需求、过程和配置的变更)期间维持；d)帮助理解什么能影响受管理的服务；e)通知关于操作控制类型的决定。6．6．4信息资产风险信息资产风险的评估宜参考：a)风险类型(例如软件故障，操作错误，通信失效)；b)可能性；c)潜在的业务影响；d)过去的经验。6．6．5信息的安全和可用性评估风险时，宜关心：a)敏感信息对于未授权方的泄漏；b)不准确、不完整和无效的(例如，欺诈性的)信息；c)信息不能被使用(例如，因为电力故障)；d)提供服务所必要设施的物理损害和破坏。宜考虑信息安全方针目标、满足顾客特别安全需求(例如可用性级别)的需要以及适用的法律法规需求。6．6．6控制措施除了其他正当的控制措施和包含在本部分中的建议(例如服务连续性)，服务提供方宜操作下列控制措施，作为好的信息安全管理实践：a)高层管理者宜定义信息安全方针，就此与员工和顾客沟通，并执行以确保其有效实施；b)信息安全管理角色和职责宜予以定义并分配岗位；c)管理代表组(角色可由高层责任人承担)宜j|篁视和保持信息安全方针的有效性；d)负有重要的安全角色的员工宜接受信息安全培训；e)所有的员工宜了解信息安全方针；f)宜有可用的专家帮助风险评估和控制措旋的实施；g)变更宜不影响控制措施的有效操作；】0 GB／T24405．2—2010／Iso／IEc20000—2：2005h)宜按照事件管理规程报告信息安全事件，并进行初始响应。6．6．7文件和记录宜定期分析记录，提供以下管理信息：a)信息安全方针的有效性；b)信息安全事件显现趋势；c)服务改进计划的输入；d)用于信息、资产和系统访问的控制措施。信息安全管理系统宜可靠地记入文件。7关系过程7．1概述关系过程描述供方管理和业务关系管理的两个相关方面。本标准描述了服务提供方的角色，它在逻辑上承担了介于向服务提供方交付货物或服务的供方和接受服务的顾客之间的角色。供方和顾客可能是服务提供方组织内部或外部的。外部的关系可以通过合同确立。内部关系可以通过服务或内部非强制的用于操作级的协议而建立。图2显示了这些关系的简化表示。供方业务关系，)(、，1flfIJI、，、，图2关系过程如图2所示，服务提供方填补了供应链中的一个角色，服务提供方接收来自供方的服务或货物并向顾客交付增值的服务，供应链中的每一步均宜增加价值。为便于理解，本章中术语“服务提供方”总是用于描述本标准中提到的参与被描述过程的组织，而不考虑组织在供应链中的角色或方向。实际上，关系并非如此简单，而是包含多个角色。同一个角色既可是供方，也可是顾客。这些角色之间具有直接的业务联系，就像通过服务提供方一样。关系过程宜确保所有相关方：a)理解和满足业务要求；b)理解能力和约束；c)理解职责和义务。关系过程还宜确保顾客满意度级别是适当的，并且，将来的业务要求得到沟通和理解。宜定义业务关系和供方关系的范围、角色和职责，并协商一致。这包括对利益相关方、联系、以及沟通渠道和频度的识别。7．2业务关系管理目标：基于对顾客及其业务驱动的理解，建立并保持服务提供方与顾客之间的良好关系。11 标准分享网www.bzfxw.com免费下载GB／T24405．2—2010／Iso／IEC20000—2：20057．2．1服务评审在重大的变更之前或之后，服务提供方和顾客宜每年至少进行一次服务评审。评审宜考虑过去的执行情况，讨论目前和计划的业务要求，并建议服务范围和sLAs的任何变更。可以邀请其他利益相关方，例如分包商、顾客、用户组和其他代表团体参加评审会议。服务提供方和顾客也宜对临时的评审规程达成一致意见，以讨论进展、业绩和问题。这些会议宜预定日期并通知相关的利益相关方。服务提供方宜策划和记录所有的正式会议，问题记录以及后续的协商一致的措施。服务提供方宜与其顾客建立联系，以便他们了解业务要求和重大变更，并且能够准备响应这个要求。7．2．2服务投诉服务提供方和顾客宜针对正式的投诉规程达成一致意见，以便于明确投诉的组成以及如何处理投诉。服务提供方宜针对处理的问题，执行采取合适措施的过程。过程宜对正式的投诉确定服务提供方的联系信息。服务提供方宜记录、调查、处置、报告和正式关闭所有的服务投诉。对未解决的投诉宜定期进行评审，如果在与顾客约定的最后期限内没有解决，宜升级到更高一级管理层。服务提供方宜定期分析投诉记录以识别趋势，并将分析向顾客报告。分析的结果宜适当地用于向服务改进计划提供信息。7．2．3顾客满意度测量宜测量顾客满意度，使得服务提供方能够将服务绩效与顾客满意度目标以及以前的调查相比较。宜设计调查的范围和复杂度，使得顾客易于响应，且不需要花费额外的时间就可以准确地完成调查。宜调查满意度水平的重大变化，并且了解原因。仅宜依据可比较的满意度问答并通过可比较的采样方法来制定变化趋势并进行比较。顾客满意度调查的结果和结论宜与顾客进行讨论。宜对行动计划取得一致意见，并输入到服务改进和进展计划，并且报告给顾客。关于对服务的赞扬宜形成文件，并报告给服务交付团队。7．3供方管理目标；管理供方，确保提供无缝的和高质量的服务。7．3．1引言供方管理规程宜确保：a)供方理解他们对服务提供方的义务；b)在协商一致的服务级别和范围内，满足合理和协商一致的需求；c)管理变更；d)记录所有相关方之间的业务事务；e)能观察所有供方绩效信息并遵照行事。7．3．2合同管理服务提供方宜任命一名管理者负责与供方的合同和协议。当有若干员工参加到此项任务中，宜有一个通用的过程，以确保对供方执行情况的信息进行观测和采取行动。在负责与每一供方的关系的服务提供方中，宜有定义好的联系。所有供方合同宜包含评审时间表，以评估获取服务的业务目标是否保持正确。宜有清晰定义的过程用于管理每一份合同。合同的修改过程也宜清晰定义。对此规程的任何变更宜正式地通知所有受到影响的供方。宜在各自组织中(供方和服务提供方)保存联络点的清单。如果合同包括罚款和奖金，宜清晰陈述】2 GB／T24405．2—2010／Iso／IEc20000-2：2005依据并符合报告的要求。7．3．3服务定义每一个服务和供方，服务提供方宜保持：a)服务、角色和职责的定义；b)服务范围；c)合同管理过程，授权级别和合同退出计划；d)相关的支付条款；e)协商一致的达到绩效的报告参数和记录。7．3．4管理多个供方宜调查清楚，是服务提供方与所有供方直接交易，还是一个主供方负责管理各个分包方。主供方宜记录所有分包方的姓名、职责及所有分包方之间的关系，如果需要，这可以被服务提供方使用。服务提供方宜获取证据，证明主供方在适当时按照GB／T24405．1的要求指导，正式地管理各个分包方。7．3．5合同争议管理服务提供方和供方都宜建立管理争议的过程，宜定义此过程或在合同中描述。如果争议不能通过正常的途径解决，宜有升级处理的途径可用。过程宜确保争议得到记录、调查、解决和正式处理完毕。7．3．6合同终止合同管理过程宜包括合同终止的规定一无论是按期终止还是提前终止。它还宜规定服务向其他组织的转移。8解决过程8．1背景尽管事件管理和问题管理密切相关，但它们分别是2个单独的过程。事件处理用户服务的恢复，而问题关心事件起因的识别和消除。8．1．1设置优先权解决的目标宜基于优先级。优先级宜基于影响和紧急程度。影响宜基于对于顾客业务实际或潜在破坏的规模。紧急程度宜基于检测出问题或事件的时间和影响顾客业务的时间。事件或问题解决的进度安排宜至少考虑下列因素：a)优先级；b)可利用的技能；c)资源的竞争需求；d)提供解决方法的工作量或成本；e)通过解决方法花费的时间。注：优先级的使用贯穿整个服务管理，但主要用于事件和问题管理。8．1。2临肘措施适当时，问题管理宜开发和维护临时措施以使事件管理能够帮助工作人员的用户恢复服务。只有在成功地采取纠正变更，或错误不再适用时，例如服务不再使用时，已知的错误才可以关闭。问题管理有权使用受问题影响的业务区域的信息。临时措施的信息存贮在知识库，其适用范围和有效性宜予以存储和保持。8．2事件管理目标：尽快恢复协商一致的服务或响应服务请求。13 标准分享网www.bzfxw.com免费下载GB／T24405．2—2们0／Iso／IEc20000·2：20058．2．1概述注l：事件的管理过程可以通过服务台交付，服务台担任与用户的日常联系。注2：事件管理宜：a)是主动式过程或响应式过程，对能影响或潜在影响服务的事件进行响应；b)关注顾客服务的恢复，而不是确定发生事件的原因。事件管理过程宜包括：1)电话接听、录音、优先级分配、分类；2)一线解决方案或推荐方案；3)安全问题的考虑；4)事件追踪和生存周期管理；5)事件验证和关闭；6)一线人员与顾客联络；7)升级。事件报告可以通过电话、语音邮件、访问、信件、传真或电子邮件，用户也可以通过访问事件记录系统或自动监视软件直接记录。所有事件宜以一种使相关的信息可被检索和分析的方式记录。解决事件的进展(或缺少进展)宜与实际或潜在受到影响的各方进行沟通。所有行动措施宜记人事件记录。事件管理人员宜访问最新的知识库，知识库包含有技术专家、以前发生的事件、相关的问题和已知的错误，临时措施和帮助业务服务恢复的检查表等各方面的信息。只要可能，宜使顾客得到连续业务的方法，即使仅能够使用降级的服务，例如，关掉有问题的特性。目的是尽量减少对顾客业务活动的影响。当原因一直未确诊但临时措施已建立时，宜记录细节，以供在持续的问题确诊期间和相同事件复发时使用。仅当最初的用户被给予机会确认事件已解决，服务已恢复时，事件才能最终关闭。8．2．2重大事件宜清晰说明重大事件的组成，以及谁能够调用事件或问题过程的常规运行的变更。在任何时间，对所有的重大事件宜有一名明确定义的负责的管理者。被任命为重大事件的管理者宜得到个人的权力级别，以能够胜任协调和控制解决的各个方面的角色。这宜包括有效的升级、以及与解决过程中所有方面及受到重大事件影响的顾客沟通的职责。注：授权的级别可以是临时的，仅在重大事件发生期间应用。重大事件的过程宜包括评审，该评审的结果将通报给服务改进计划。8．3问题管理目标：通过对服务事件原因的主动式识别、分析和管理，直至问题关闭，以使对业务的破坏最小化。8．3．1问题管理的范围问题管理过程宜调查事件的潜在原因。问题管理宜依据业务需求，主动地防止事件或已知的错误的重现或重复。8．3．2问题管理的启动宜对事件分类，以帮助确定问题的原因。分类可以参考现存的问题和变更。注：在最初登记时，事件的分类会受到其他因素的影响，包括服务、受影响的业务区域和显示出的征兆。8．3．3己知错误当问题管理调查已识别出事件的根本原因和解决事件的方法，宜将问题作为已知错误进行分类。除了怀疑是有故障的配置项，所有已知的错误宜按照目前的和潜在的受影响的服务来记录。被纳入实际运行环境的服务中的已知错误的信息宜传送给服务管理，并与任何临时措施一同记入14 GB／T24405．2—2010／ISo／IEC20000-2：2005知识库。在成功解决之前，已知的错误不宜关闭。注：顾客或服务提供方可决定解决问题的花费是否太昂贵或对业务无收益。如果是这种情况，宜清楚地记录。然而，已知错误记录宜保持开放状态，因为随之发生的事件可能仍会发生，并且，可能需要临时措藤和(或)需要再评估解奂问题的决定。8．3．4问题的解决当判定了根本原因，并作出解决问题的决定后，宜通过变更管理过程来解决问题。8．3．5沟通宜与受影响的相关方或要求支持受影响服务的相关方沟通l临时措施、问题的永久修复或进展的信息。8．3．6追踪和升级宜追踪所有问题的进展。所有的问题宜升级至适当的相关方。过程宜覆盖：a)在每一个问题的生存周期内，宜记录负责解决问题的身份的变更；b)识别违背服务级别目标的事件；c)向顾客和同行通报信息，以便他们能够采取适当的措施将未解决问题的影响最小化；d)定义升级点；e)记录使用的资源和采取的措施。8．3．7事件和问题记录关闭记录关闭规程宜包括检查，以确保：a)准确记载解决问题的详细信息；b)为方便分析，而对原因进行分类；c)如果适当，顾客和支持员工明白问题的解决；d)顾客同意问题解决已经实现；e)如果问题解决没有实现或不可能实现，宣通知顾客。8．3．8问题评审当调查证实未解决的、不同寻常或影响严重的问题时，宜进行问题评审。其目的是寻求过程的改进，防止事件或错误的再次发生。典型的问题评审是：a)按照服务级别评审单个事件的级别和问题状态；b)管理评审，着重急需解决措施的问题；c)管理评审，决定和分析趋势，对其他过程提供输人，例如用户的教育和培训。8．3．9评审的主题评审宜包括识别：a)趋势，例如，重复发生的问题和事件，已知的错误等；b)特定的分类或位置中重复发生的问题；c)由于资源、培训或文件引起的缺陷；d)不符合项，例如违反标准、方针和法规；e)已计划发布中的已知错误；f)参与解决事件和问题的人力资源的约定；g)已解决的事件或问题的重复发生。宜记录服务或问题管理过程的改进，并写入计划中，以用于改进服务。信息宜添加到问题管理知识库。15 标准分享网www.bzfxw.com免费下载GB／T24405．2—2010／ISO／IEc20000_2：2005所有相关的文件宜更新，例如用户指南和系统文件。8．3．10问题预防主动式问题管理宜导致事件和问题的减少。它宜包括涉及帮助分析的信息，例如：a)资产和配置；b)变更管理；c)公布的已知错误，从供方得到的临时措施的信息；d)相似问题的历史信息。问题预防的范围宜包含从单个事件(例如带有系统的特别特征的重复难点)的预防到战略决策的预防。战略决策可能需要大量的经费支持，例如投资建设更好的网络。在战略决策层面，主动问题管理与可用性管理应结合起来。问题预防也包括传递给顾客的信息，这意味着顾客将来不需要寻求帮助，例如预防由于用户缺乏知识或培训所引起的事件。9控制过程9．1配置管理目标：定义和控制服务与基础设施的部件，并保持准确的配置信息。9．1．1配置管理的策划和实施配置管理宜与变更管理和发布管理一起策划和实施，以确保服务提供方能够有效管理其IT资产和配置。当新的和更新的服务和系统被发布和分发时，正确的配置信息宜用以支持变更的策划和控制。其结果宜是一个高教的系统，在适当的时候，此系统整合了服务提供方的配置信息过程以及顾客与供方的配置信息过程。宜说明所有重要的资产和配置，并宜有负责的管理者，他能确保保持适当的保护和控制措施，例如变更在实施之前被授权。实施控制措施的职责可以被委派，但是责任仍由负责的管理者承担。宜提供给负责的管理者必要的信息以便履行其职责，例如，被授权进行变更的人员可以要求关于开支成本、风险、变更产生的影响和实施资源的信息。基础设施和(或)服务宜具有最新的配置管理计划，计划可以是独立的，或作为其他计划文档的组成部分。它们宜包括或描述：a)范围、目标、方针、标准角色和职责；b)配置管理过程，定义服务和基础设施的配置项、控制配置的变更、记录和报告配置项的状态、验证配置项的完备性和正确性；c)对于可说明性、可追踪性和可审核性的需求，例如，为了安全的、法律的、法规的或业务的目的；d)配置控制(访问、保护、版本、建立、发布控制)；e)为识别、记录和管理在两个或更多组织的公共边界的配置项以及信息的接口控制过程，例如，系统界面、发布；f)策划和配备资源以使得资产和配置得到控制并维护配置管理系统，例如，培训；g)对执行配置管理的供方和分包方的管理。注：宜实施适当级别的自动化操作，以确保过程不会变得低效率，出错误，或完全不能使用。9．1．2配置的标识对所有的配置项宜通过描述它们功能和物理特性的属性唯一地予以标识和定义。信息宜是相关的和可审核的。宜使用适当的标记，或其他标识方法，并将这些记录在配置管理数据库中。】6 GB／T24405．2—2010／IsO／IEc20000—2：2005宜使用建立的选择准则来标识被管理的配置项，宜包括：a)信息系统和软件(包括第三方软件)的所有的发行和发布，以及相关的系统文档，例如需求规格说明、设计、测试报告，发布文档；b)每一种适用环境的配置基线或建立声明、标准硬件的建立和发布；c)主要的硬拷贝和电子库，例如最后确定的软件库；d)使用的配置管理包或工具；e)许可证；D安全部件，例如，防火墙；g)因财务资产管理或业务原因需要追踪的物理资产，例如安全磁介质、设备；h)服务的相关文档，例如，SLAs，规程；i)服务支持设施，例如计算机房的电源；j)配置项间的相互关系和依赖。注：其他可以被视为配置项的包括：a)其他文档；b)其他资产；c)其他设施，例如站点；d)业务单元；e)人员。宜识别配置项间适当的相互联系和依赖，以提供控制的必要级别。当需要可追踪性时，过程宜确保配置项在整个生命周期内可以从需求文档追踪到发布记录，例如通过使用可追踪矩阵。9．1．3配置控制过程宜确保，仅仅是得到授权且可确认的配置项，才可验收并从接收到处理进行记录。没有相应的控制文档，例如已被批准的变更请求、更新的发布信息，就不宜添加、修改、替换或移除(撤销)配置项。为保护系统、服务和基础设施的完整性，配置项宜保存在如下的适当和安全的环境中：a)保护项目不遭受未授权访问、变更或破坏，例如病毒；b)为灾难恢复提供一种手段；c)允许对受控原版，例如软件的拷贝进行受控检索。9．1．4配置状态说明和报告宜保持当前准确的配置记录，以反映配置项状态、位置和版本的变更。状态说明宜提供与生存周期中每一个配置项有关的当前和历史数据的信息。状态说明宜能够追踪配置项在各种状态下的变更，例如已下定单的、已接收的、在验收测试中的、运行中的、处于变更中的、撤销的和已处置的等。配置信息宜保持最新，并可用于策划、决策和管理已定义配置的变更。根据需要，用户、顾客、供方和合作伙伴宜可得到配置信息，协助他们做计划和决定。例如，外部服务提供方可以让顾客和其他相关方得到配置信息，以支持其他的端对端服务的服务管理过程。配置管理报告宜可被所有相关方利用。报告宜覆盖配置项的标识和状态，配置项的版本和相关的文档。报告宜覆盖：a)最新的配置项版本；b)配置项目的位置和软件原版的位置；c)相互依赖；17 标准分享网www.bzfxw.com免费下载GB／T24405．2—2010／Iso／皿c20000—2：2005d)版本的历史；e)构成如下内容的配置项的状态：1)服务配置或系统；2)变更、基线、建立或发布；3)版本或分支版本。9．1．5配置验证和审核对配置的验证和审核过程，包括物理的和功能的，宜做好计划安排并执行核查，确保合适的过程及资源，以使得：a)保护组织的物理配置和知识资产；b)确保服务提供方控制其配置、原拷贝和许可证；c)提供对配置信息准确、可控和可见的信心；d)确保变更、发布、系统或环境符合合同或特别的要求，确保配置记录准确。宜在重大的变更之前和之后，灾难之后以及任意间隔，周期性地进行配置审核。宜记录、评估不足和不符合，据此启动并执行纠正措施，并反馈给相关方，并用于改进服务的计划。注：通常有两种配置审核：a)功能的配置审核：通过正式的检查，以验证配置项达到了配置文档中规定的性能和功能特性；b)物理的配置审核：通过正式的检查配置项中“已建立或已生成”的配置，以验证其符合产品配置文档。9．2变更管理目标：以受控的方式，确保所有变更得到评估、批准、实施和评审。9．2．1策划和实施变更管理过程和规程宜确保：a)变更有明确定义并文档化的范围；b)只批准提供业务利益的变更，例如，商业的、法律的、法规的、法定的；c)变更宜基于优先权和风险来安排时间表；d)在变更实施期间可以验证配置变更；e)实施变更的时刻得到监视，需要时得到改进；f)变更管理过程宜证明变更如何：1)提出、记录和分类(涉及关于导致变更的文档)；2)评估服务、顾客和发布计划的变更的影响，紧急程度，成本和风险；3)如果变更不成功，引发的倒退返回及补救；4)文档化，例如变更请求是与受影响的配置项以及更新的实施和发布计划相联系；5)根据变更的类型、规模和风险，由变更的权力机构批准或拒绝；6)由负责部件变更的团体内的已任命的责任人实施；7)进行测试、验证和结束；8)关闭和评审；9)安排进度、监视和报告；10)适当时，与事件、同题、其他变更和配置项记录联系起来。变更的状态和计划的实施日期应用于作为变更和发布时间安排的基础。受变更影响的人宜可得到进度信息。在正常的服务时段因实施变更而可能出现运转中断，在实施前，宜征得受影响方的同意。9．2．2变更请求的关闭和评审在实旌后，宜对所有的变更进行评审，检查其成功或失效，并记录任何改进。对重大的变更，采取实施后评审，以核查：18 GB／T24405．2—2010／璐o／IEc20000—2：2005a)变更满足目标；b)顾客对结果满意；c)没有出现不期望的负面影响。宜记录任何不符合项并采取措施。评审变更管理过程中发现的任何弱项或不足宜反馈到改进服务的计划中。9．2．3紧急变更有时需要紧急变更，宜尽可能遵循变更过程，但一些细节可以事后记录。当紧急过程绕过其他变更管理需求时，变更宜尽可能地符合这些需求。紧急变更宜被实施者判断是恰当的，变更完成后宜进行评审以核实其确实是紧急情况。9．2．4变更管理的报告、分析和措施宜定期分析变更记录以发现变更级别的增长、经常复发的类型、显示的趋势和其他相关的信息。从变更分析中得到的结果和结论宜记录，并据此执行措施。10发布过程10．1发布管理目标：在实际运行环境中，交付、分发并追踪一个或多个变更。10．1．1概述发布管理宜协调服务提供方、众多供方以及业务的活动，以策划和在分布的环境中交付某个发布。好的策划和管理对于打包和成功地分配某个发布是至关重要的，并且，对于管理业务和IT相关的影响和风险也是至关重要的。受影响的信息系统、基本设施、服务和文档的发布，宜根据业务进行策划。所有对文档的相关更新宜包括在发布中，例如，业务过程、支持文档和服务级别协议。宜评估实现已授权变更所要求的所有新的或已变更的配置项的影响。服务提供方宜确保发布的技术和非技术方面的内容都得到统筹考虑。发布项宜进行可追踪的、安全的修改。只有通过适当的测试和被批准的发布，才宜在实际的环境中验收。10．1．2发布策略宜有一项发布策略，其内容包括：a)发布的频率和类型；b)发布管理的角色和职责；c)验收测试和生产环境的发布的授权；d)对所有发布来说，各发布唯一的标识和描述；e)发布中分组变更的方法；f)自动建立、安装和发布分发过程的方法，以有助于发布是可重复的和有效率的；g)发布的验证和验收。10．1．3发布和试运行的策划服务提供方宜与机构一起工作，以确保即将发布的配置项彼此之间以及与目标环境中的配置项相协调。发布的策划宜确保，影响信息系统、基本设施、服务和文档的变更是协商一致的、经授权的、已安排的、经协调的和可追踪的。对发布和试运行宜分阶段地策划，因为在开始的时候可能不知道试运行的细节。对发布和试运行的策划宜典型地包括：a)可交付的发布日期和描述’b)通过发布关闭或解决的相关变更、问题和已知错误，以及在发布测试期间已经被识别的已知19 标准分享网www.bzfxw.com免费下载GB／T24405．2—2010／ISo／IEC20000—2：2005错误；在所有的业务和地理单元中实施发布的相关过程；如果发布不成功，终止或补救的方式；验证和验收过程；沟通、准备、文档和对顾客及支持员工的培训；后勤和货物的采购、存储、调度、连接、验收和处理等过程；确保保持服务级别所必需的支持资源；识别从属关系、相关变更和相关风险，这些风险可能影响发布向验收测试和生产环境的平滑转换；发布结束；对重大升级所必需的生产环境审核的进度安排，以确保在发布安装期间实际环境处在期望的状态。10．1．4开发或获取软件来自内部团队、系统建立者、系统集成者或其他组织的信息系统和软件的发布，在接收时宜进行验证。整个过程宜在配置管理计划中形成文件。10．1．5设计、建立和配置发布宜对发布和分发进行设计并实施，以做到：a)符合服务提供方系统的体系结构、服务管理和基础设施标准；b)确保在建立、安装、处理、打包和交付期间的完整性得到维持；c)在建立和发布过程中，使用软件库和相关的知识库来管理和控制各部件；d)清晰地识别风险，必要时能够采取补救措施；e)在安装前能够验证目标平台满足先决条件；f)当达到发布目的时，能够验证发布是完整的。过程的输出宜包括发布注释、安装指导，被安装的与配置基准相关的软件和硬件。发布的输出宜移交给负责测试的团体。建立、安装、发布和分配过程可自动化处理，以便减少错误，确保过程可重复而且新的发布可迅速试运行。10．1．6发布验证和验收最终结果宜停止于整个发布包依据需求全部完成。验证和验收过程宜包括：a)验证受控的验收测试环境满足目标生产环境的需求；b)确保发布由配置管理的版本创建，并确保在验收测试环境中使用计划的产品过程进行安装；c)验证适当的测试级别已经被完成，例如功能和非功能测试、业务验收测试、以及建立、发布、分发和安装规程的测试；d)确保发布的测试使业务顾客和服务提供方的成员满意；e)确保适当的发布权力机构来终止各阶段的验收测试；f)在安装前验证目标平台满足硬件和软件的先决条件；g)当达到发布目的地时，验证发布是完整的。10．1．7文档适当的文档宜在完成后可以使用，并按照发布的配置项，在配置管理下存储。文档宜包括：a)如服务级别协议的支持文档；b)如系统概述、安装和支持规程、诊断帮助、操作和管理指导的支持文档；20oD0D曲DDp” GB／T24405．2—2010／Iso／IEc20000_2：2005c)建立、发布、安装和分发过程；d)应急和回退计划；e)服务管理、支持员工和顾客的培训进度表；f)发布的配置基线包括相关的配置项，例如系统文档，测试环境，测试文档，建立和发展工具的各版本；g)相关的变更、问题和已知的错误；h)发布授权的证据，与验证和验收相关的证据。宜通过配置管理和问题管理，在送往实际环境以前，识别和记录不完全符合规定需求的系统或服务。已知错误的信息宜与事件管理沟通。如果发布被拒绝、拖延或取消，宜通知变更管理。10．1．8试运行、分发和安装宜评审试运行计划，并添加必要的详细信息以确保所有必须的活动都得到执行。以期望的状态将发布安全地交付到目的地很重要。试运行、分发和安装过程宜确保以下内容：a)所有的硬件和软件存储区域是安全的；b)具备货物存储、调度、接收和处理的适当的规程；c)策划并完成对安装、环境、电力和设施的检查；d)向机构和服务提供方人员通报新的发布；e)撤销多余的产品、服务和许可证。软件通过网络分发后，当其到达目的地时，检查发布完成并可操作是很关键的。成功安装之后，宜更新资产和配置管理记录以及软硬件的位置和责任人。可以使用安装顾客验收和满意度调查表记录成功或失效。顾客调查得到的任何结果，宜反馈到业务关系管理中。10．1．9发布和试运行之后在试运行后随即产生的与发布有关的事件数量，宜测量和分析，以评估它们对于业务、运行和支持员工资源的影响。变更管理过程宜包括实施后的评审。宜将建议反馈到服务改进计划中。 标准分享网www.bzfxw.com免费下载GB／T24405．2—2010／ISo／IEc20000_2：2005参考文献85662007信息技术软件生存周期过程(IsO／IEc12207：1995、IsO／IEc12207：1995／Amdl：2002、ISO／IEC12207：1995／Amd2：2004，MOD)GB／z18493—2001信息技术软件生存周期过程指南(idtIsO／IEcTR15271：1998)19000一2008质量管理体系基础和术语(IsO9000：2005，IDT)19001—2008质量管理体系要求(IsO900l：2008，IDT)19017—2008质量管理体系技术状态管理指南(IsO10007：2003，IDT)220812008信息技术安全技术信息安全管理实用规则(Is0／IEc27002：2005，IDT)GB／Z20156—2006软件工程软件生存周期过程用于项目管理的指南(Is0／IEcTR16326：1999，MOD)IsO／IEc15288系统工程系统生存周期过程IsO／IECTR19760系统工程Iso／IEc15288(系统生存周期过程)应用指南ISO／IEC15504—1信息技术过程评估第1部分：概念和词汇ISO／IEC15504—2信息技术过程评估第2部分：执行评估ISO／IEC15504—3信息技术过程评估第3部分：执行评估的指南IsO／IEc15504—4信息技术过程评估第4部分：过程改进和过程能力确定的使用指南IsO／IEc15504—5信息技术过程评估第5部分：过程评估模型的范例IsO／IEc20000—l：2005信息技术服务管理第1部分：规范19003—2008软件工程190012000应用于计算机软件的指南'