英国标准IT服务管理规范内容1 范围本标准规定了服务管理的过程，并作为评估管理的IT服务的基础。

它的使用者可以是：－为外包服务寻找竞标的组织；－要求供应链中的所有服务提供商采用一致性方法的组织；－为基准他们的IT服务管理的已经存在的提供商；―作为正式认证的基础。

图1展示了不同服务设计和管理过程之间的关系。

2 引用标准下列标准所包含的条文，通过在本标准中引用而构成为本标准的条文。

标准的最新版本适用。

DISC PD 0005 IT服务管理实施指南3 定义本标准引用DISC PD 0005的定义，DISC PD 0005中未给出的定义在下文给出。

3.1 可用性3.2 变更管理3.3 变更记录3.4 指控3.5 分类3.6 配置项（CI）3.7 配置管理3.8 成本3.9 文件3.10 影响3.11 事故3.12 知识基础3.13 已知错误3.14 尺度3.15 问题3.16 记录3.17 发布3.18 变更请求3.19 服务改进计划3.20 服务水平协议3.21 服务水平管理3.22 服务管理3.23 系统3.24 第三方供应商3.25 工作区4 总则4.1 建立被管理服务的边界目的：定义被管理服务的边界应定义被管理的IT服务的范围。

应根据组织的性质、组织的位置、资产和技术来定义边界。

4.2 服务管理策划目的：为实施服务管理活动提供管理指南和资源。

服务管理计划应定义：a) 组织范围内服务管理的范围；b) 预期达到的目标；c) 管理角色和职责的框架，包括第三方供应商的管理；d) 服务管理活动和活动协调方式的交互界面；e) 采取的识别、评估和管理风险以达到预定目标的方法；f) 达到预定目标所需的资源。

服务管理计划应包括关于其实施、保持和授权的信息。

跨职能的管理论坛应提供有限顺序、策划和协调服务管理活动方面的支持。

顾客和第三方供应商应制定专人作为其组织的联络人。

开发的符合本标准的程序也应支持服务管理计划的目标，并且是适宜的。

4.3 人员能力目的：确保服务管理人员是胜任的。

应定义服务管理角色和有效履行职责所需的能力。

那些是服务提供商的永久雇员的服务管理人员应接受结构化的、适合于他们角色的服务管理方面的教育和培训。

应保持每个人员所接受的培训及当前能力的记录。

至少每年对个人的发展需求进行评审，以保持能力，需要时，开发他们。

服务提供商应要求那些不是服务提供商的永久雇员的服务管理人员提供他们资格、技能和经验和保持他们相关能力的书面证据。

注：这可能包括代理人员、合同人员和顾问。

应分配管理这些要求的职责。

4.4服务质量目的：展示持续改进服务质量的证据。

应涉及活动的持续进行计划，以监视并改进服务质量。

应为每个服务管理过程规定尺度和目标，应作为监视服务质量的基础。

应采用正式的方法，该方法允许在服务质量方面进行有意义的比较，包括真实成绩与不同报告阶段相应目标的比较。

应保持服务水平目标和结果以及被设计用来改进服务的任何措施的历史记录。

每年至少应发布一次关于服务质量监督结果的报告，并且顾客应能获得该报告。

报告应识别：a) 当前报告阶段所达到的服务管理目标和取得的相应结果；b) 为便于比较，前一报告阶段所达到的服务管理目标和取得的相应结果；c) 下一报告阶段将要采取的改进措施的目标。

4.5 审计证据目的：提供服务管理运行的证据。

应建立文件化的服务管理策略和计划。

应建立文件创建和保持的程序和职责，以：a) 易于识别和可用；b) 签署日期和指定人员的授权；c) 清晰可读；d) 保持版本控制，并且在所有实施服务管理活动的区域都可获得；e) 当文件作废或基于法律或知识保存目的需保留文档时，可快速收回。

记录应：1) 易于识别和可用；2) 签署日期以及根据相关程序文件的授权；3) 清晰可读；4) 实施保护以防止损坏、老化或丢失；5) 保留充分长的时间以满足本规范的要求；注：其他业务要求可能要求更长的保存阶段。

6) 当不再需要时，安全处置。

4.6 展示符合性目的：展示服务管理目标的实施。

基于本标准的要求，每年至少应对服务管理目标进行一次审计。

审计应由胜任人员实施。

该人员不应涉及被审计服务的实施或开发，也不应涉及其操作或保持。

除了这些独立性审计之外，管理者应在其职责范围内定期对服务管理活动的运行进行评审，以监视与服务管理策略和程序的符合性。

5 服务开发和管理5.1 服务等级管理目的：定义、达成一致、记录并管理服务等级。

应在不同方面之间就将提供的服务的全部范围以及相应的服务等级目标达成一致并予以记录。

应在不同方面之间就服务等级协议、支持性的操作服务等级目标和外保合同和相应的程序达成协议并予以记录。

应通过所有方面的定期评审来保持服务等级协议，以确保他们的最新和有效。

服务等级协议应提交变更管理，如8.2所规定。

不符合服务等级的原因应用文件化的形式预计记录和评审，并作为服务改进计划的输入。

5.2 可用性管理目的：可用性管理是用于解释服务等级协议所包含的内容并将其整合到可用性目标中。

应根据业务过程和对这些服务的服务要求来定义、策略、记录并传递可用性。

应将服务协议的要求用于策划可用性。

应定期依据可用性目标来监视真实的业绩。

监视的结果应作为服务改进计划的输入。

应记录任何纠正措施的细节。

5.3 服务连续性目的：当发生服务失败或灾难时，可以向顾客承诺的义务。

应基于顾客的业务优先顺序来识别服务的连续性要求。

应开发正式的计划和支持合同，以确保当发生影响服务提供商和/或顾客和/或相关第三方的延迟的服务失败或灾难时，可以满足这些要求。

注1：服务失败或灾难可能超出供应商的控制，例如，基础设施失效、自然灾害。

应保持服务连续性计划的更新，以确保他们反映了向顾客传递服务方式的变化以及顾客要求的变化。

注2：服务提供商的业务条件应鼓励顾客至少每年一次来测试他们的服务的连续性计划，确保他们是可用的并且持续满足顾客的业务需求。

这可以实施并提供给顾客，通过花费合理的时间和资源，包括专家的建议。

5.4 服务报告目的：产生及时、可靠、简练和有意义的报告以决支持策。

应清晰描述每份服务报告的身份和目的以及每份报告的由来日期。

应编制服务报告以满足所有决策者的需要。

注：例如，服务报告可能包括：a) 服务等级监视和报告；b) 问题及变更管理；c) 配置管理；d) 财务报告。

5.5 财务管理目的：控制并说明服务提供的成本，适用时，还包括服务恢复的成本。

应形成清晰的定义并说明服务如何授权、预算和收费的策略和程序。

应用年度预算的方式预测详细的成本，以保证有效的财务控制和作出决策。

服务提供商应在每个财务控制阶段监视发生的相应的成本并记录要采取的措施。

应在相应的服务等级协议中记录，服务提供商和顾客之间达成的关于财务信息报告的任何协议，包括报告的频率和格式。

应在开发工作开始之前，计算服务变更的成本并被批准。

5.6 容量管理目的：确保组织在任何时候都有足够的资源以开展他们的业务工作量。

应定义监视服务容量和调整系统性能的方法和程序。

容量管理计划应包括：a) 容量预报和协议的响应时间；b) 关于服务升级的时间度量或门槛的协议，也就是说，当用户的数量达到预定的门槛时进行升级；c) 评价期望的服务升级、新技术和方法的影响；d) 预报外部变更的影响，也就是说，更多的用户，立法机构；e) 达到和监视服务容量的程序、工具和方法；f) 使得预报性的趋势分析成为可能的数据和过程。

5.7 信息安全管理目的：在服务管理活动中有效管理信息安全。

注：BS7799-1提供了关于信息安全管理的指南。

实施本规范的要求可能不能完全满足依据BS7799-2获得认证所需的要求。

负有执行职责的管理者应批准信息安全策略。

应发布信息安全策略并与服务管理人员和顾客进行沟通。

一个管理组织应保持信息安全策略，协调它的实施并提供关于信息安全风险评估和控制措施实施的专家建议。

应实施控制以：a) 实施信息安全策略的要求；b) 管理与第三方访问服务或系统相关的风险；c) 满足已经与顾客达成一致的安全要求。

控制措施应形成文件，以描述与他们相关的风险以及他们的运作和保持的方式。

应在实施变更前，评估关于控制的变更的影响。

包含第三方访问信息系统和服务的安排应基于规定了所有需要的安全要求的正式的协议或合同。

一旦发现安全事故，应尽可能快的通过管理渠道向协议的联系人员报告。

应记录、调查所有的安全事故并采取管理措施。

应量化并监视安全事故和失效的类型、程度和成本，并将结果作为服务改进计划的输入。

6 关系过程目的：基于对顾客及其业务驱动的了解，形成并保持服务提供商与顾客之间的良好的关系。

6.1 业务关系管理服务提供商和顾客应依据服务等级协议和业务需求每年至少进行一次联合的业绩评审，并按达成的时间间隔召开中间会议来讨论进展、成绩、问题和今后的计划。

应记录在服务评审过程中识别的措施，并将其引入服务改进计划。

应记录、调查、反应并正式关闭所有的服务抱怨。

当不能通过正常渠道反馈抱怨时，顾客应获得一个单独的有更高管理者参与的程序。

应建立过程以从定期的顾客满意度调查反馈中获取信息并作出反应。

6.2 供应商管理目的：确保服务提供商提供无缝的、确保质量的服务。

应评审与供应商的合同与协议：a) 确保提供的服务持续满足业务要求；b) 当服务要求发生重大变化时；c) 至少每年进行一次。

应建立程序文件，以规定以下方面的内容：a) 监视服务提供者的业绩；b) 按协议的时间间隔实施服务评审，至少每年一次；c) 将讨论的进展、成绩、问题和今后的计划；d) 包含合同的争论；e) 如果发生变化，合同和服务等级的修订。

提供商提供的范围、服务等级和交互过程应形成文件并在双方之间达成一致。

主要承包商提供的服务应展示确保分包供应商满足合同要求的过程。

7 解决方案过程7.1 事故管理目的：通过在整个生命周期内管理事故以减少服务降级。

应采用程序以最小化服务事故的影响。

程序应规定所有事故的记录、区分优先顺序、分类、更新、调整、解决方案和正式关闭。

应按预定的时间间隔向顾客汇报他们报告的安全事故的进展情况。

当不能达到协议的服务等级时应告知顾客。

7.2 问题管理目的：在识别和管理安全事故潜在原因的同时，最小化或预防对顾客的破坏。

应定期分析事故记录，以检测频繁发生的事故和趋势。

通过对这些记录进行分析得出的结果和结论应予以记录。

应识别潜在的问题，以预防他们的发生。

应建立程序以识别、最小化或避免服务问题的影响。

程序应规定在达成协议的时间范围内所有问题的记录、区分优先顺序、分类、更新、调整、解决和关闭。

应监视、评审并报告纠正问题区域的有效性。

所有涉及到问题管理的人员应有责任确保问题信息和相关信息的可用和更新。

应将所有已识别的知名的错误、工作区和解决方案添加到知识库中。

8 控制过程8.1 配置管理目的：说明并控制服务或基础设施的组件并保护信息系统和环境的完整性。