ISO+20000-1-2011

国际标准 ISO/IEC 20000-1 第二版 2011-04-15 Information technology — Service management— Part 1: Service management system Requirements 信息技术-服务管理-第一部分： 服务管理体系要求 参考编号 ISO/IEC 20000-1:2011(E) © ISO/IEC 2011 ii 本标准由 IT治理网（www.itzl.org）翻译，原标准版权属 ISO所有，译文仅供学习参考，请勿用于商业用途。 英文版版权信息 © ISO/IEC 2011 ISO/IEC 20000-1:2011(中文) 翻译：IT治理网（www.itzl.org） 本标准由 IT治理网（www.itzl.org）翻译，原标准版权属 ISO所有，译文仅供学习参考，请勿用于商业用途。 i 版本记录： 版本号 版本日期 修改说明 0.80 2011-4-28 创建文档并约定翻译要素。 0.90 2011-5-9 完成整体文档翻译。 0.95 2011-5-14 根据一次评审结果对内容进行确认调整。 0.99 2011-5-22 根据相关资料及中文报批稿统一相关词汇。 1.0 2011-6-3 正式版本。 声明： 本文档为 IT治理网（www.itzl.org）翻译版，原标准版权属 ISO所有，本文档仅供培训、 学习和研究使用，不得用于任何商业用途。 因时间仓促，加之水平有限，疏漏之处再所难免，恳请读者提出宝贵意见，以便再版时 进行修改。 翻译小组成员 联系方式 翟耀纲 zhaiyaogang@itzl.org 杨延康 yangyankang@itzl.org 樊炳荣 fanbingrong@itzl.org 何亮 hl@itzl.org 感谢在此期间以下评审人员的参与： 评审人员 联系方式 霍松龄 huosongling@chinagoldgroup.com 李俊 lijun@chinagoldgroup.com 王猛 wangmeng@nxmy.com 如有任何问题请反馈至：research@itzl.org。 ISO/IEC 20000-1:2011(中文) 翻译：IT治理网（www.itzl.org） ii 本标准由 IT治理网（www.itzl.org）翻译，原标准版权属 ISO所有，译文仅供学习参考，请勿用于商业用途。 目录 前言 .................................................................................................................................................. v 引言 ................................................................................................................................................. vi 1范围 ............................................................................................................................................... 1 1.1总则 .................................................................................................................................... 1 1.2应用 .................................................................................................................................... 2 2标准参考文献 ................................................................................................................................ 3 3术语和定义 .................................................................................................................................... 3 3.1可用性 availability ...................................................................................................... 3 3.2配置基线 configuration baseline .............................................................................. 3 3.3配置项 configuration item（CI） .............................................................................. 3 3.4配置管理数据库 configuration management database（CMDB） ............................ 3 3.5持续改进 continual improvement ................................................................................ 3 3.6纠正措施 corrective action ........................................................................................ 3 3.7客户 customer .................................................................................................................. 3 3.8文件 document .................................................................................................................. 4 3.9有效性 effectiveness .................................................................................................... 4 3.10事件 incident ................................................................................................................ 4 3.11信息安全 information security ................................................................................ 4 3.12信息安全事件 information security incident ...................................................... 4 3.13相关方 interested party ............................................................................................ 4 3.14内部团体 internal group ............................................................................................ 4 3.15已知错误 known error .................................................................................................. 4 3.16不合格 nonconformity .................................................................................................. 5 3.17组织 organization ........................................................................................................ 5 3.18纠正措施 corrective action ...................................................................................... 5 3.19问题 problem .................................................................................................................. 5 3.20程序 procedure .............................................................................................................. 5 3.21过程 process .................................................................................................................. 5 3.22记录 record .................................................................................................................... 5 3.23发布 release .................................................................................................................. 5 3.24变更请求 request for change .................................................................................... 6 3.25风险 risk ........................................................................................................................ 6 3.26服务 Service .................................................................................................................. 6 3.27服务组件 service component ...................................................................................... 6 3.28服务的连续性 service continuity ............................................................................ 6 3.29服务级别（SLA） service level agreement .................................................... 6 3.30服务管理 service management .................................................................................... 6 3.31服务管理体系（SMS）service management system .................................................. 6 3.32服务提供方 service provider .................................................................................... 7 3.33服务请求 service request .......................................................................................... 7 3.34服务需求 service requirement .................................................................................. 7 ISO/IEC 20000-1:2011(中文) 翻译：IT治理网（www.itzl.org） 本标准由 IT治理网（www.itzl.org）翻译，原标准版权属 ISO所有，译文仅供学习参考，请勿用于商业用途。 iii 3.35供应商 supplier ............................................................................................................ 7 3.36最高管理者 top management ........................................................................................ 7 3.37转换 transition ............................................................................................................ 7 4服务管理体系总要求 .................................................................................................................... 7 4.1管理职责 ............................................................................................................................ 7 4.1.1管理承诺 .................................................................................................................. 7 4.1.2服务管理方针 .......................................................................................................... 8 4.1.3权限、职责和沟通 .................................................................................................. 8 4.1.4管理者代表 .............................................................................................................. 8 4.2其他方运行过程的治理 .................................................................................................... 8 4.3文件管理 ............................................................................................................................ 9 4.3.1建立和维护文件 ...................................................................................................... 9 4.3.2 文件控制 ................................................................................................................. 9 4.3.3记录控制 .................................................................................................................. 9 4.4资源管理 ............................................................................................................................ 9 4.4.1资源提供 .................................................................................................................. 9 4.4.2人力资源 ................................................................................................................ 10 4.5建立和改进服务管理体系 .............................................................................................. 10 4.5.1定义范围 ................................................................................................................ 10 4.5.2策划服务管理体系（策划） ................................................................................ 10 4.5.3实施和运行服务管理体系（实施） .................................................................... 10 4.5.4监视和评审服务管理体系（检查） .................................................................... 11 4.5.5维护和改进服务管理体系（处置） .................................................................... 12 5设计和转换新的或变更的服务 .................................................................................................. 12 5.1总要求 .............................................................................................................................. 12 5.2 策划新的或变更的服务 ................................................................................................. 13 5.3 设计和开发新的或变更的服务 ..................................................................................... 13 5.4转换新的或变更的服务 .................................................................................................. 14 6服务交付过程 .............................................................................................................................. 14 6.1服务级别管理 .................................................................................................................. 14 6.2服务 .......................................................................................................................... 14 6.3服务的连续性和可用性管理 .......................................................................................... 15 6.3.1服务的连续性和可用性要求 ................................................................................ 15 6.3.2服务的连续性和可用性计划 ................................................................................ 15 6.3.3服务的连续性和可用性的监视和测试 ................................................................ 15 6.4服务的预算和核算 .......................................................................................................... 15 6.5能力管理 .......................................................................................................................... 16 6.6信息安全 .......................................................................................................................... 16 6.6.1信息安全方针 ........................................................................................................ 16 6.6.2信息安全控制措施 ................................................................................................ 16 6.6.3信息安全的变更和事件 ........................................................................................ 17 7.关系过程...................................................................................................................................... 17 7.1业务关系管理 .................................................................................................................. 17 7.2供应商管理 ...................................................................................................................... 17 ISO/IEC 20000-1:2011(中文) 翻译：IT治理网（www.itzl.org） iv 本标准由 IT治理网（www.itzl.org）翻译，原标准版权属 ISO所有，译文仅供学习参考，请勿用于商业用途。 8解决过程...................................................................................................................................... 18 8.1事件和服务请求管理 ...................................................................................................... 18 8.2问题管理 .......................................................................................................................... 19 9控制过程...................................................................................................................................... 19 9.1配置管理 .......................................................................................................................... 19 9.2变更管理 .......................................................................................................................... 20 9.3发布和部署管理 .............................................................................................................. 20 参考文献......................................................................................................................................... 22 图示 图 1 PDCA方法论在服务管理的应用 ............................................................................................ vi 图 2服务管理体系 ........................................................................................................................... 1 图 3供应链关系示例 ..................................................................................................................... 17 ISO/IEC 20000-1:2011(中文) 翻译：IT治理网（www.itzl.org） 本标准由 IT治理网（www.itzl.org）翻译，原标准版权属 ISO所有，译文仅供学习参考，请勿用于商业用途。 v 前言 ISO（国际标准化组织）和 IEC（国际电工协会）组建了世界性的标准化的专业体系。 ISO和 IEC的成员单位如对某特定项目感兴趣，可加入由 ISO和 IEC组织的技术委员会，以 参与相关技术工作。ISO和 IEC在双方感兴趣的领域设立联合委员会。与 ISO保持联系的各 国际组织（官方的或非官方的）也可参加有关工作。ISO与 IEC在电工技术标准领域建立了 联合技术委员会 ISO/IEC JTC 1。 国际标准是根据 ISO/IEC导则第 2部分的规则起草。 联合技术委员会的主要任务是制定国际标准。由技术委员会通过的国际标准草案提交各 成员团体投票表决。国际标准草案需取得至少 75%参加表决成员团体的同意，才能作为国际 标准正式发布。 本文件中的某些内容有可能涉及一些专利权问题，对此应引起注意，ISO/IEC不负责识 别任何这样的专利权问题。 ISO/IEC 20000-1 由 ISO/IEC JTC 1/SC 7 信息技术联合技术委员会软件和系统工程分 会制定。第二版替代第一版标准（ISO/IEC 20000-1:2005），以及对其进行的技术性修订。 主要的不同点如下： --更接近 ISO 9001； --更接近 ISO/IEC 27001； --术语的变化，以同国际惯例接轨； --更多定义的增加，部分定义的更新和两个定义的删除； --术语“服务管理体系（SMS）”的引入； --整合了 ISO/IEC 20000-1:2005的条款 3和条款 4，使管理体系要求集中于一个条款； --其他方运行过程的治理要求的澄清； --对服务管理体系（SMS）的范围进行定义等要求的澄清； --澄清 PDCA方法论适用于服务管理体系（SMS），包括服务管理过程及服务； --设计和转换新的或变更的服务新要求的引入。 ISO/IEC 20000标准族由下列名为“信息技术-服务管理”标准构成，包括： --第 1部分：要求 --第 2部分：应用服务管理体系指南 --第 3部分（技术报告）：ISO/IEC 20000-1范围定义和适用性指南 --第 4部分（技术报告）：过程参考模型 --第 5部分（技术报告）：实施 ISO/IEC 20000-1计划的模型 服务管理的一个过程评估模型将在不久的将来推出，作为第 8部分的一个章节。 ISO/IEC 20000-1:2011(中文) 翻译：IT治理网（www.itzl.org） vi 本标准由 IT治理网（www.itzl.org）翻译，原标准版权属 ISO所有，译文仅供学习参考，请勿用于商业用途。 引言 ISO/IEC 20000的本部分要求包括设计、转换、交付和改进服务，以满足服务需求并向 客户和服务提供方提供价值。ISO/IEC 20000的本部分要求服务提供方在计划、建立、实施、 运行、监控、回顾、维护和改进服务管理体系（SMS）时，采用整体的过程方法。 服务管理体系(SMS)协调一致的整合与实施可提供实时的控制以及更有效和更高效率的 持续改进机会。ISO/IEC 20000的本部分定义运行的过程要求要很好地组织和协调人员。要 求采用适宜的工具以确保过程是有效的和有效率的。 最有效的服务提供方在服务的生命周期中的所有阶段，从战略到设计、转换和运行，包 括持续改进都要考虑对服务管理体系（SMS）的影响。 ISO/IEC 20000的本部分要求已知的“策划-实施-检查-处置”（PDCA）方法论应用于服 务管理体系（SMS）和服务的所有部分。本部分采用的 PDCA方法论，可以简单描述为： P-策划：建立书面和协定的服务管理体系（SMS）。服务管理体系包括满足服务需求的方 针、目标、计划和过程； D-实施：实施和运行服务管理体系（SMS），以设计、转换、交付和改进服务； C-检查：根据方针、目标、计划和服务需求，对服务管理体系（SMS）进行监视、测量 和回顾，并报告结果； A-处置：采取措施，以持续改进服务管理体系（SMS）和服务的绩效。 当用于服务管理体系（SMS）时，以下内容是整合过程方法和 PDCA方法论最重要的方面： a） 理解和满足服务需求以使客户满意； b） 建立服务管理的方针和目标； c） 基于为客户增加价值的服务管理体系（SMS）设计和提供服务； d） 监视、测量和回顾服务管理体系（SMS）和服务； e） 基于目标测量以持续改进服务管理体系（SMS）和服务。 图1说明了PDCA方法论可以应用到服务管理体系（SMS），包括定义条款5-9的服务管理 过程和服务。PDCA方法论的元素都是成功实施服务管理体系的关键部分。ISO/IEC 20000本 部分的改进过程也基于PDCA方法论。 图 1 PDCA方法论在服务管理的应用 ISO/IEC 20000-1:2011(中文) 翻译：IT治理网（www.itzl.org） 本标准由 IT治理网（www.itzl.org）翻译，原标准版权属 ISO所有，译文仅供学习参考，请勿用于商业用途。 vii ISO/IEC 20000本部分允许服务提供方在组织中将服务管理体系（SMS）和其他管理体系 整合为一体。采用整合的过程方法和PDCA方法论可以使服务提供方能协调或完全整合多个管 理体系标准。例如，服务管理体系可以与基于ISO 9001的体系和基于ISO/IEC 27001 的信息体系整合。 ISO/IEC 20000的目的是独立的特定的指南。服务提供方可以结合使用其他普遍接受的 指南和自身的经验。 国际标准的使用者对标准的正确应用负责。国际标准并非旨在包括所有法律法规和服务 提供方签署义务的要求。对国际标准的遵守并不意味着免除遵守法律法规的义务。 我们鼓励使用者分享对ISO/IEC 20000-1的观点以及对ISO/IEC 20000标准族其他标准修 改的优先顺序的意见，进而促进IT服务管理标准的研究。请点击以下链接参加在线调查： ISO/IEC 20000-1在线调查 ISO/IEC 20000-1:2011(中文) 翻译：IT治理网（www.itzl.org） 本标准由 IT治理网（www.itzl.org）翻译，原标准版权属 ISO所有，译文仅供学习参考，请勿用于商业用途。 1 信息技术 服务管理 第一部分：服务管理体系要求 1范围 1.1总则 ISO/IEC 20000的本部分是服务管理体系（SMS）标准。它为服务提供方定义了策划、建 立、实施、运行、监视、回顾、维护和提高服务管理体系的要求。该要求包括服务的设计、 转换、交付和改进，以满足服务需求。ISO/IEC 20000的本部分可被用于： a） 从服务提供方寻求服务并要保证其服务需求被满足的组织； b） 要求对所有供应商，包括供应链，采用一致性方法的组织； c） 目的在于展示其服务的设计、转换、交付和改进能力满足服务需求的服务提供方； d） 监视、测量和评审其服务管理过程和服务的服务提供方； e） 通过有效的实施和运行服务管理体系（SMS）改进服务的设计、转换和交付的服务 提供方； f） 作为评估服务者的服务管理体系（SMS）满足 ISO/IEC 20000本部分的准则的评估 师或审核员。 图2说明了服务管理体系（SMS），包括服务管理过程。不同的服务提供方可采用不同的 方式处理服务管理过程和过程之间的相关性。供应商和客户之间的实质关系将影响服务管理 过程如何实施。 图 2服务管理体系 ISO/IEC 20000-1:2011(中文) 翻译：IT治理网（www.itzl.org） 2 本标准由 IT治理网（www.itzl.org）翻译，原标准版权属 ISO所有，译文仅供学习参考，请勿用于商业用途。 1.2应用 ISO/IEC 20000的本部分是通用的，无论供应商的类型、规模和服务交付的特性，都可 被采用。无论服务提供方组织有任何特性，宣称符合ISO/IEC 20000本部分的服务提供方对 条款4-9的任何裁剪都是不可接受的。 ISO/IEC 20000的本部分条款4的符合性仅限于服务提供方展示其自身证据，以说明满足 条款4的所有要求。服务提供方不能将其他方运行过程治理作为条款4的证据。 服务提供方可以展示自身证据，以证明符合条款5-9的符合性的要求。另外，服务提供 方也可以展示满足大多数要求的自身证据和不直接操作的、其他方管理运行全部或部分过程 产生的证据。 ISO/IEC 20000的本部分排除特定的产品或工具。然而，组织可以使用ISO/IEC 20000 的本部分开发支持服务管理体系（SMS）运行的产品和工具。 注：ISO/IEC 20000-3提供ISO/IEC 20000的本部分范围定义和适用性的指南。这包括更 明确的关于其他方管理运行的过程的解释。 ISO/IEC 20000-1:2011(中文) 翻译：IT治理网（www.itzl.org） 本标准由 IT治理网（www.itzl.org）翻译，原标准版权属 ISO所有，译文仅供学习参考，请勿用于商业用途。 3 2标准参考文献 以下引用的文献对本文件的应用是不可缺少的。凡是注日期的引用文件，仅引用的版本 适用。凡是不注日期的引用文件，其最新版本（包括所有的修订）适用于本标准。 本条款中没有引用标准参考文献。本条款仅为确保条款的顺序与 ISO/IEC 20000-2：信 息技术-信息管理-第 2部分：实施服务管理体系指南保持一致。 3术语和定义 下列术语和定义适用于ISO/IEC 20000-1:2011的本部分。 3.1可用性 availability 在协定的中断或规定时间段内，服务组件或服务执行要求功能的能力。 注：可用性通常用客户使用的实际可用服务或服务组件的时间与约定服务时间的比率或 百分比表示。 3.2配置基线 configuration baseline 在服务或服务组件生命周期过程中特定时间段正式指定的配置信息。 注1：配置基线，附加这些基线批准的变更单，构成现行的配置信息。 注2：采纳自ISO/IEC/IEEE 24765:2010。 3.3配置项 configuration item（CI） 为交付单个或多个服务需求控制的所有要素。 3.4配置管理数据库 configuration management database（CMDB） 存储用来记录每个配置项的特性和配置项之间关系的数据。 3.5持续改进 continual improvement 增强满足服务需求的能力的循环活动。 注：改编自ISO 9000:2005。 3.6纠正措施 corrective action 为消除已发现的不合格或其他不期望情况的原因所采取的措施。 注：改编自ISO 9000:2005。 3.7客户 customer 接受单个或多个服务的组织或组织的一部分。 注1：客户可以是组织内部的或外部的。 注2：改编自ISO 9000:2005。 ISO/IEC 20000-1:2011(中文) 翻译：IT治理网（www.itzl.org） 4 本标准由 IT治理网（www.itzl.org）翻译，原标准版权属 ISO所有，译文仅供学习参考，请勿用于商业用途。 3.8文件 document 信息及其承载媒介。 [ISO 9000:2005] 例如：方针、计划、过程描述、程序、服务级别协议、合同文本。 注 1：“documentation”可以是任何类型的媒介。 注 2：在 ISO/IEC 20000中的文件，除了记录，其陈述的意图都要得以实现。 3.9有效性 effectiveness 完成计划的活动并得到计划结果的程度。 [ISO 9000:2005] 3.10事件 incident 非计划的服务中断、服务质量的降低或尚未对客户服务造成影响的事情。 3.11信息安全 information security 保护信息的机密性、完整性和可访问性。 注1：另外，也可以涉及其他一些特性，如真实性、可追责性、不可抵赖性和可靠性。 注2：在本定义中未使用术语“可用性”，因为在ISO/IEC 20000的本部分定义该术语是 不适合的。 注3：改编自ISO27000:2009。 3.12信息安全事件 information security incident 单个或一系列不需要的或非预期的、有明显的可能性危害业务运行和威胁信息安全的事 情。 [ISO/IEC 27000:2009] 3.13相关方 interested party 与服务提供方行为或行动的业绩或成就有利益关系的个人或团体。 示例：客户、所有者、员工、管理方、服务提供方组织内的人员、供应商银行、工会或 合作伙伴。 注1：一个团体可由一个组织或其一部分组织或多个组织构成。 注2：改编自ISO 9000:2005 3.14内部团体 internal group 服务提供方组织内部的一部分，与服务提供方有书面的协定，协助单个服务或多个服务 的设计、转换、交付和改进。 注：内部团体在服务提供方服务管理体系（SMS）的范围之外。 3.15已知错误 known error 寻找到根本原因或找到减少或降低对服务冲击的规避方法的问题。 ISO/IEC 20000-1:2011(中文) 翻译：IT治理网（www.itzl.org） 本标准由 IT治理网（www.itzl.org）翻译，原标准版权属 ISO所有，译文仅供学习参考，请勿用于商业用途。 5 3.16不合格 nonconformity 未满足的要求。 [ISO 9000:2005] 3.17组织 organization 一组职责、权限和相互关系得到安排的人员和设施。 示例：公司、集团、商业、企事业单位、研究机构、慈善机构、代理商、社团或上述组 织的部分或组合。 注1：安排通常是有序的。 注2：组织可以是公有的或私有的。 [ISO 9000:2005] 3.18纠正措施 corrective action 为避免或消除不合格的起因，或减少不合格或其他不期望情况复发的可能性所采取的措 施。 注：改编自ISO 9000:2005。