IT服务管理
规范
英国标准
BS15000:2000
内容
图 1:服务设计和管理过程
参考书目
附件 A (非正式):信息的其他来源
1 范围
2 引用标准
3 定义
4 总则
5 服务设计和管理
6 关系过程
7 解决方案过程
8 版本管理
Translator:freesoul Page 3 of 3
BS15000:2000
1 范围
本标准规定了服务管理的过程,并作为评估管理的 IT服务的基础。它的使用者可以是:
- 为外包服务寻找竞标的组织;
- 要求供应链中的所有服务提供商采用一致性方法的组织;
- 为基准他们的 IT服务管理的已经存在的提供商;
― 作为正式认证的基础。
图 1展示了不同服务设计和管理过程之间的关系。
图 1:服务设计和管理过程
自动化
服务水平管理
服务报告
容量管理
财务管理
安全管理
可用性和服
务连续性
控制过程
配置管理
变更管理
解决方案
事故管理
问题管理
关系过程
业务关系管理
供方管理
发布过程
版本管理
服 务 设 计 和 管 理 过 程
2 引用标准
下列标准所包含的条文,通过在本标准中引用而构成为本标准的条文。标准的最新版本
适用。
DISC PD 0005 IT服务管理实施指南
3 定义
本标准引用 DISC PD 0005的定义,DISC PD 0005中未给出的定义在下文给出。
可用性
变更管理
变更记录
指控
分类
配置项(CI)
Translator:freesoul Page 4 of 4
BS15000:2000
配置管理
成本
文件
影响
事故
知识基础
已知错误
尺度
问题
记录
发布
变更请求
服务改进计划
服务水平协议
服务水平管理
服务管理
系统
第三方供应商
工作区
Translator:freesoul Page 5 of 5
BS15000:2000
4 总则
建立被管理服务的边界
目的:定义被管理服务的边界
应定义被管理的 IT 服务的范围。应根据组织的性质、组织的位置、资产和技术来定义
边界。
服务管理策划
目的:为实施服务管理活动提供管理指南和资源。
服务管理计划应定义:
a) 组织范围内服务管理的范围;
b) 预期达到的目标;
c) 管理角色和职责的框架,包括第三方供应商的管理;
d) 服务管理活动和活动协调方式的交互界面;
e) 采取的识别、评估和管理风险以达到预定目标的方法;
f) 达到预定目标所需的资源。
服务管理计划应包括关于其实施、保持和授权的信息。跨职能的管理论坛应提供有限顺
序、策划和协调服务管理活动方面的支持。顾客和第三方供应商应制定专人作为其组织的联
络人。
开发的符合本标准的程序也应支持服务管理计划的目标,并且是适宜的。
人员能力
目的:确保服务管理人员是胜任的。
应定义服务管理角色和有效履行职责所需的能力。那些是服务提供商的永久雇员的服务
管理人员应接受结构化的、适合于他们角色的服务管理方面的教育和培训。应保持每个人员
所接受的培训及当前能力的记录。至少每年对个人的发展需求进行评审,以保持能力,需要
时,开发他们。
服务提供商应要求那些不是服务提供商的永久雇员的服务管理人员提供他们资格、技能
和经验和保持他们相关能力的书面证据。
注:这可能包括代理人员、合同人员和顾问。
Translator:freesoul Page 6 of 6
BS15000:2000
应分配管理这些要求的职责。
服务质量
目的:展示持续改进服务质量的证据。
应涉及活动的持续进行计划,以监视并改进服务质量。应为每个服务管理过程规定尺度
和目标,应作为监视服务质量的基础。应采用正式的方法,该方法允许在服务质量方面进行
有意义的比较,包括真实成绩与不同报告阶段相应目标的比较。应保持服务水平目标和结果
以及被设计用来改进服务的任何措施的历史记录。
每年至少应发布一次关于服务质量监督结果的报告,并且顾客应能获得该报告。报告应
识别:
a) 当前报告阶段所达到的服务管理目标和取得的相应结果;
b) 为便于比较,前一报告阶段所达到的服务管理目标和取得的相应结果;
c) 下一报告阶段将要采取的改进措施的目标。
审计证据
目的:提供服务管理运行的证据。
应建立文件化的服务管理策略和计划。
应建立文件创建和保持的程序和职责,以:
a) 易于识别和可用;
b) 签署日期和指定人员的授权;
c) 清晰可读;
d) 保持版本控制,并且在所有实施服务管理活动的区域都可获得;
e) 当文件作废或基于法律或知识保存目的需保留文档时,可快速收回。
记录应:
1) 易于识别和可用;
2) 签署日期以及根据相关程序文件的授权;
3) 清晰可读;
4) 实施保护以防止损坏、老化或丢失;
5) 保留充分长的时间以满足本规范的要求;
注:其他业务要求可能要求更长的保存阶段。
Translator:freesoul Page 7 of 7
BS15000:2000
6) 当不再需要时,安全处置。
展示符合性
目的:展示服务管理目标的实施。
基于本标准的要求,每年至少应对服务管理目标进行一次审计。审计应由胜任人员实施。
该人员不应涉及被审计服务的实施或开发,也不应涉及其操作或保持。
除了这些独立性审计之外,管理者应在其职责范围内定期对服务管理活动的运行进行评
审,以监视与服务管理策略和程序的符合性。
5 服务开发和管理
服务等级管理
目的:定义、达成一致、记录并管理服务等级。
应在不同方面之间就将提供的服务的全部范围以及相应的服务等级目标达成一致并予
以记录。应在不同方面之间就服务等级协议、支持性的操作服务等级目标和外保合同和相应
的程序达成协议并予以记录。
应通过所有方面的定期评审来保持服务等级协议,以确保他们的最新和有效。服务等级
协议应提交变更管理,如 所规定。
不符合服务等级的原因应用文件化的形式预计记录和评审,并作为服务改进计划的输
入。
可用性管理
目的:可用性管理是用于解释服务等级协议所包含的内容并将其整合到可用性目标中。
应根据业务过程和对这些服务的服务要求来定义、策略、记录并传递可用性。
应将服务协议的要求用于策划可用性。
应定期依据可用性目标来监视真实的业绩。监视的结果应作为服务改进计划的输入。应
记录任何纠正措施的细节。
服务连续性
目的:当发生服务失败或灾难时,可以向顾客承诺的义务。
应基于顾客的业务优先顺序来识别服务的连续性要求。应开发正式的计划和支持合同,
Translator:freesoul Page 8 of 8
BS15000:2000
以确保当发生影响服务提供商和/或顾客和/或相关第三方的延迟的服务失败或灾难时,可以
满足这些要求。
注 1: 服务失败或灾难可能超出供应商的控制,例如,基础设施失效、自然灾害。
应保持服务连续性计划的更新,以确保他们反映了向顾客传递服务方式的变化以及顾客
要求的变化。
注 2: 服务提供商的业务条件应鼓励顾客至少每年一次来测试他们的服务的连续性计划,确保他们是
可用的并且持续满足顾客的业务需求。这可以实施并提供给顾客,通过花费合理的时间和资源,包括专家
的建议。
服务报告
目的:产生及时、可靠、简练和有意义的报告以决支持策。
应清晰描述每份服务报告的身份和目的以及每份报告的由来日期。
应编制服务报告以满足所有决策者的需要。
注:例如,服务报告可能包括:
a) 服务等级监视和报告;
b) 问题及变更管理;
c) 配置管理;
d) 财务报告。
财务管理
目的:控制并说明服务提供的成本,适用时,还包括服务恢复的成本。
应形成清晰的定义并说明服务如何授权、预算和收费的策略和程序。
应用年度预算的方式预测详细的成本,以保证有效的财务控制和作出决策。服务提供商
应在每个财务控制阶段监视发生的相应的成本并记录要采取的措施。
应在相应的服务等级协议中记录,服务提供商和顾客之间达成的关于财务信息报告的任
何协议,包括报告的频率和格式。应在开发工作开始之前,计算服务变更的成本并被批准。
容量管理
目的:确保组织在任何时候都有足够的资源以开展他们的业务工作量。
Translator:freesoul Page 9 of 9
BS15000:2000
应定义监视服务容量和调整系统性能的方法和程序。容量管理计划应包括:
a) 容量预报和协议的响应时间;
b) 关于服务升级的时间度量或门槛的协议,也就是说,当用户的数量达到预定的门槛
时进行升级;
c) 评价期望的服务升级、新技术和方法的影响;
d) 预报外部变更的影响,也就是说,更多的用户,立法机构;
e) 达到和监视服务容量的程序、工具和方法;
f) 使得预报性的趋势分析成为可能的数据和过程。
信息安全管理
目的:在服务管理活动中有效管理信息安全。
注:BS7799-1 提供了关于信息安全管理的指南。实施本规范的要求可能不能完全满足依据 BS7799-2
获得认证所需的要求。
负有执行职责的管理者应批准信息安全策略。应发布信息安全策略并与服务管理人员和
顾客进行沟通。
一个管理组织应保持信息安全策略,协调它的实施并提供关于信息安全风险评估和控制
措施实施的专家建议。应实施控制以:
a) 实施信息安全策略的要求;
b) 管理与第三方访问服务或系统相关的风险;
c) 满足已经与顾客达成一致的安全要求。
控制措施应形成文件,以描述与他们相关的风险以及他们的运作和保持的方式。应在实
施变更前,评估关于控制的变更的影响。
包含第三方访问信息系统和服务的安排应基于规定了所有需要的安全要求的正式的协
议或合同。
一旦发现安全事故,应尽可能快的通过管理渠道向协议的联系人员报告。应记录、调查
所有的安全事故并采取管理措施。应量化并监视安全事故和失效的类型、程度和成本,并将
结果作为服务改进计划的输入。
6 关系过程
目的:基于对顾客及其业务驱动的了解,形成并保持服务提供商与顾客之间的良好的关系。
Translator:freesoul Page 10 of 10
BS15000:2000
业务关系管理
服务提供商和顾客应依据服务等级协议和业务需求每年至少进行一次联合的业绩评审,
并按达成的时间间隔召开中间会议来讨论进展、成绩、问题和今后的计划。。
应记录在服务评审过程中识别的措施,并将其引入服务改进计划。
应记录、调查、反应并正式关闭所有的服务抱怨。当不能通过正常渠道反馈抱怨时,顾
客应获得一个单独的有更高管理者参与的程序。
应建立过程以从定期的顾客满意度调查反馈中获取信息并作出反应。
供应商管理
目的:确保服务提供商提供无缝的、确保质量的服务。
应评审与供应商的合同与协议:
a) 确保提供的服务持续满足业务要求;
b) 当服务要求发生重大变化时;
c) 至少每年进行一次。
应建立程序文件,以规定以下方面的内容:
a) 监视服务提供者的业绩;
b) 按协议的时间间隔实施服务评审,至少每年一次;
c) 将讨论的进展、成绩、问题和今后的计划;
d) 包含合同的争论;
e) 如果发生变化,合同和服务等级的修订。
提供商提供的范围、服务等级和交互过程应形成文件并在双方之间达成一致。
主要承包商提供的服务应展示确保分包供应商满足合同要求的过程。
7 解决方案过程
事故管理
目的:通过在整个生命周期内管理事故以减少服务降级。
应采用程序以最小化服务事故的影响。程序应规定所有事故的记录、区分优先顺序、分
Translator:freesoul Page 11 of 11
BS15000:2000
类、更新、调整、解决方案和正式关闭。
应按预定的时间间隔向顾客汇报他们报告的安全事故的进展情况。当不能达到协议的服
务等级时应告知顾客。
问题管理
目的:在识别和管理安全事故潜在原因的同时,最小化或预防对顾客的破坏。
应定期分析事故记录,以检测频繁发生的事故和趋势。通过对这些记录进行分析得出的
结果和结论应予以记录。应识别潜在的问题,以预防他们的发生。
应建立程序以识别、最小化或避免服务问题的影响。程序应规定在达成协议的时间范围
内所有问题的记录、区分优先顺序、分类、更新、调整、解决和关闭。
应监视、评审并报告纠正问题区域的有效性。
所有涉及到问题管理的人员应有责任确保问题信息和相关信息的可用和更新。
应将所有已识别的知名的错误、工作区和解决方案添加到知识库中。
8 控制过程
配置管理
目的:说明并控制服务或基础设施的组件并保护信息系统和环境的完整性。
注:财务资产清单不在本标准之内。
应对变更、配置和版本管理进行策划,以阐述:
a) 配置项定义;
b) 变更和配置管理的范围和目标;
c) 变更、配置和版本管理活动的整合;
d) 在控制配置、变更和发布的过程中涉及到的各方面的组织、角色和职责;
e) 用于识别、配置变更、版本控制、状态说明、配置验证和配置项审计的程序。
所有的配置项目应具有唯一的可识别性,并再清单中记录那些需要严格控制更新访问的
配置项。应有效地管理清单并定期验证以确保其可靠性。所有相关方应了解资产、配置项、
他们地版本和相关文档的变化状态。
应管理配置项的变更以及硬件和软件的变动,并确保其可追溯性和可审计性。变更控制
持续应确保系统的完整性,保持服务和数据并保护其免受损害。
Translator:freesoul Page 12 of 12
BS15000:2000
软件的主拷贝、测试的产品和文档应控制在安全的物理和电子图书馆中,并查阅配置记
录。
配置审计程序应包括记录不足、评估风险、报告输出和发起纠正措施的方法。应记录并
依照纠正措施行事,并作为服务管理和服务改进计划的输入。
软件许可证结构、公司和多许可证计划应形成清晰的文件并于适当的人员和顾客沟通。
变更管理
目的:确保以一种受控的方式对业务要求、基础设施或服务的变更进行评估、批准和实施。
应采用程序以确保以一种受控的方式实施基础设施和服务的变更。他们应规定业务、基
础设施和服务的变更采用的方式,应:
a) 评估他们对服务、业务、顾客、基础设施和版本计划的影响;
b) 检查和测试,以确保接受的质量;
c) 实施授权;
d) 于相关的事故、问题、其他变更和配置项记录的联系;
e) 当实施过程中发生问题时的恢复。
计划的变更实施日期应是显而易见的,并且作为变更和版本计划的基础。
应定期分析变更的记录以检测变更的增加等级,频繁的、重复发生的类型,显现的趋势
以及其他相关信息。应记录并响应变更分析的结果和结论。
应形成正式的程序文件以控制紧急变更的实施。应详细记录所有紧急变更的细节,用于
管理评审。当紧急程序允许绕过其他变更管理要求实施变更时,变更应尽可能地符合这些要
求。
应规定在主要变更实施后进行评审地策略和程序文件。这些应要求:
1) 记录变更的任何不满意的方面(例如,与计划的相比实际的成本、可用性和功能性);
2) 记录在变更过程中的任何弱点或不足。
实施新的或变化的服务
目的:策划实施新的或变化的服务,并展示取得的结果。
应策划实施新的或变化的服务,并通过变更管理过程(见 )批准。计划应识别:
a) 实施、运行和保持服务的角色和职责,包括顾客和第三方供应商开展的活动;
Translator:freesoul Page 13 of 13
BS15000:2000
b) 已存在的服务管理框架的变更;
c) 人力资源和招聘的要求;
d) 技能和培训要求;
e) 用来与变化的服务连接的方法和工具;
f) 预算和时间范围;
g) 新服务运行的用可测量的词汇表达的期望的结果。
服务提供商应报告与计划相比所取得的成果。这些成果是尽可能地遵循其实施计划的新
服务取得的。相关的顾客应可获得报告,适用时,应将结果作为服务改进计划的输入。
9 版本管理
目的:策划版本的内容和发布以确保任何变更的配置项是正确的、可追溯的、安全的和授权
的。
服务提供商应策划软件和硬件版本的版本。计划应记录发布日期、交付日期,并包括有
个的变更、已知的错误和问题。
所有的相关方应就如何将版本发布给每个地区和用户的计划达成协议并签署。
在发布过程中,软件图书馆和知识库应被用于管理和控制软件。应涉及和实施软件的发
布和分发,以确保在安装、传递、包装和运输的过程中保持硬件和软件的完整性。应采用程
序以:
a) 在安装之前,验证目标平台满足硬件和软件的先决条件;
b) 当达到目的地时,验证软件的版本是完整的;
c) 确保只接受并发布运行那些适宜的经过测试的硬件和软件;
注:将通过变更管理过程进行授权。
d) 使冗余的产品、服务和许可证退役。
应测量并分析紧随软件发布之后的那个阶段的事故数量,并评估他们对业务、IT操作和
支持人员的资源的影响。推荐措施应作为服务改进计划的输入。
Translator:freesoul Page 14 of 14
