购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

2.5 ISO/IEC 20000 标准

2.5.1 标准体系结构及组成

ISO/IEC 20000:2005“信息技术-服务管理”包括两部分内容,这些内容将为服务提供者了解如何提高交付给其客户的服务质量提供帮助。

(1)第一部分:管理规范(Specification)——IT服务管理标准,对IT服务管理提出要求,并且与那些负责初始化、实施或维持IT服务管理的人员相关。

(2)第二部分:实施准则(Code of Practice)——实践指导,为审计人员提供行业一致认同的指南,并且为服务提供者实施服务改进计划或通过ISO/IEC 20000-1:2005 审核提供指导。

ISO/IEC 20000 的体系结构如图 2-32 所示。

图2-32 ISO/IEC 20000 的体系结构

建议采用PDCA方法。PDCA描述如下:

(1)计划(Plan):建立符合顾客要求和组织策略的交付结果所需的目标和过程。

(2)实施(Do):实施这些过程。

(3)检查(Check):根据策略、目标和要求监视和测量这些过程,并报告结果。

(4)改进(Act):采取措施持续改进过程绩效。

最高/执行管理者应通过领导并采取措施,对其开发、实施并改进服务管理能力以开展组织业务并满足顾客要求的承诺提供证据。公司应提供文件和记录,以确保IT服务管理的有效策划、运行和控制。应定义并保持所有服务管理者的角色和职责,以及有效履行这些角色和职责所需的能力。

IT服务部门新的或服务变更的方案应考虑由服务交付和管理所导致的成本、组织的、技术的和商业上的影响。新的或变更的服务的实施(包括服务终止),应进行策划并经过正式变更管理的批准。

2.5.2 服务交付过程

1.服务级别管理

服务级别管理(Service Level Management,SLM)是对IT服务的供应进行谈判、定义、评价、管理以及以可接受的成本改进IT服务的质量流程。所有这些活动要求在一个业务需求和技术都在快速变化的环境中进行。服务级别管理试图在服务质量的供应与需求、客户关系和IT服务成本之间找到某个合适的平衡点。对于服务提供者和客户来说,认识到服务是一个供应和接收的过程,这一点是很重要的。服务级别管理包括对下列文档的设计、协商和维护:

(1)服务级别协议(Service Level Agreements,SLA)。

(2)运营级别协议(Operational Level Agreements,OLA)。

(3)支持合同(Underpinning Contracts,UC)。

(4)服务质量计划(Service Quality Plans,SQP)。

服务级别管理流程活动包括:

(1)客户服务需求的识别。

(2)根据客户需求定义组织内部的和外部的服务内容。

(3)与客户订约,包括服务级别协议的协商、草拟、修订和终止。

(4)服务级别协议履行的监控。

(5)报告服务级别协议的达成情况。

(6)对服务级别的报告进行评审。

2.服务报告

为确保有效沟通和制定服务决策需要编制可靠的、准确的并达成一致的服务报告。服务报告应该清晰阐明其标识、目的、目标读者以及数据来源,服务报告还应该满足确定的需求和顾客要求。

3.服务持续性及可用性管理

大多数组织需要依靠高效的IT服务来促进其业务的发展。但是如果发生火灾、大规模断电、硬件瘫痪、自然灾害等,可能中断IT服务并且影响组织的正常业务运营,最终导致业务损失。因此,对于组织来说,制定IT服务持续性管理计划,以避免灾难给业务正常运营带来影响是必要的。

IT服务持续性管理流程负责预防灾难、增强IT基础构架的弹性和容错能力的流程;确保组织在发生灾难后具有足够的技术、财务和管理资源来保证IT服务的持续性运作,帮助组织在发生灾难之后尽快恢复IT服务和确保业务的持续运营。

IT基础设施是任何IT服务组织的关键组成部分。一个可靠的、持续运行的IT基础设施能确保向客户提供所需的持续、可用的服务。对组织而言,业务的可靠将带来收入的增加。

可用性管理流程确保IT服务提供者按照既定的IT服务级别、按成本效益原则向客户提供持续、易用的IT服务。其目标为:

(1)提供符合预定可用性级别且成本合理的IT服务,以帮助企业实现其业务目标。

(2)确保已经取得的可用性级别能够得以评价和计量,以及在必要时进行持续改进。

持续性及可用性管理流程包括:

(1)业务影响分析、风险评估。

(2)确定可用性与持续性需求。

(3)维护管理与恢复方案设计。

(4)开发可用性计划与持续性计划。

(5)计划的测试。

(6)计划的培训、实施。

(7)计划的评价、变更和保证。

4.IT服务的预算及核算管理

IT组织向用户提供的所有服务都有成本,因而跟踪记录IT服务的成本是必需的。

开发IT服务的预算及核算管理的目的就是要构建对IT基础架构的管理,从而促进高效和经济地使用IT资源;激起客户的成本意识,从而促进其根据组织的业务目标合理地使用IT资源。

IT服务的预算及核算管理流程帮助组织跟踪记录服务成本,并提供满足客户需要的最符合成本效益原则的服务,是负责对IT服务运营过程中所涉及的所有资源进行货币化管理的流程,包括预算和会计核算子流程。IT服务的预算及核算管理的流程目标为:

(1)对支持IT服务运营的IT资产和资源进行成本效益管理。

(2)便于企业内部采取商业化的形式进行IT服务运作。

(3)全面核算IT服务运作的成本,为IT投资决策提供财务信息。

(4)促进IT资源的高效和经济地使用。

(5)激起IT服务用户的成本意识,促使用户根据其业务目标合理地使用IT资源。

流程活动包括:

(1)制定IT服务的预算及核算管理的程序与策略。

(2)执行IT服务的预算。

(3)预算支出的跟踪。

(4)对IT服务进行财务核算。

(5)报告IT服务的预算与核算情况。

5.能力管理

IT管理层必须权衡引进新IT资源的计划和这些新资源为组织带来的收益,同时需要监控当前已有的IT资源,以保证它们得到合理的利用。能力管理流程是指在成本和业务需求的双重约束下,通过配置合理的服务能力,使组织的IT资源发挥最大效能的服务管理流程。能力管理的流程目标为:

(1)分析当前的业务需要和预测将来的业务需求,并确保这些需求在制定能力计划时间得到充分的考虑。

(2)确保当前的IT资源能够发挥最大的效能,提供最佳的服务品质。

(3)确保组织的IT投资按计划进行,避免不必要的资源浪费。

能力管理流程活动包括:

(1)业务能力、服务能力及资源能力的分析。

(2)制定能力计划。

(3)能力计划的测试。

(4)能力管理的实施、选型与需求管理。

(5)能力监控、分析与调整。

(6)能力报告。

6.信息安全管理

信息安全管理是顺应信息安全的需要而产生的,其主要目标是确保信息的安全性,以及致力于确保服务的安全性在任何时候都能达到与客户约定的级别。安全性在IT服务中被视为可用性管理的一部分。安全管理已经成为现代IT服务管理中一个重要的问题。信息安全管理的目标为:

(1)满足服务级别协议中的安全性需求以及合同、法律和外部政策等外部要求。

(2)提供一个独立于外部需求的基本的信息系统安全基线。

(3)确保有效的信息安全措施在战略层、战术层和运营层三个层面都得到贯彻。

信息安全管理流程的活动包括:

(1)控制:信息安全的组织与管理框架。

(2)计划:根据服务级别协议的信息安全要求,制定安全计划及满足要求的安全策略及程序。

(3)实施:实施信息安全计划、安全措施及运作程序。

(4)评估:对信息安全计划及措施的实施结果进行评价。

(5)维护:根据组织策略及IT基础架构的变化对信息安全计划进行相应的调整。

(6)报告:报告信息安全事件的发生及处理情况。

2.5.3 关系过程

1.业务关系管理

基于对顾客及其业务驱动的了解,形成并保持服务提供商与顾客之间的良好关系。包括建立客户服务级别协议变更、合同评审、合同变更、客户分歧、客户投诉、客户满意度调查的相关处理程序。

2.供方管理

确保供方提供高质量的连续的服务。建立与供方的合同管理、服务级别管理、合同评审、供应商选择与评价的相关处理程序。

2.5.4 解决过程

1.事件管理

事件管理是负责记录、归类和安排专家处理事件并监督整个处理过程直至事件得到解决和终止的流程。事件管理的目标为:

(1)在给用户和公司正常的业务活动带来最小影响的情况下,尽快地返回到SLA中定义的正常服务级别。

(2)保留事件的有效记录,以便能够权衡并改进处理流程,给其他的服务管理流程提供合适的信息,以及正确报告进展情况。

事件管理流程的活动包括:

(1)事件的接收和记录。

(2)事件的归类和初步支持。

(3)事件的匹配。

(4)事件的调查和诊断。

(5)事件的解决与恢复。

(6)事件的终止。

(7)事件解决过程的跟踪与监控。

2.问题管理

问题管理是指通过调查和分析IT基础架构的薄弱环节,查明事件产生的潜在原因并制定解决事件的方案和防止事件再次发生的措施,将由于问题和事件对业务的负面影响降低到最低的服务管理流程。调查基础架构和所有可用信息,包括事件数据库,来确定引起事件的真正的潜在原因以及提供的服务中可能存在的故障。问题管理的目标为:

(1)将由IT基础架构中的错误引起的事件和问题对业务的影响降低到最低限度。

(2)查明事件或问题产生的根本原因,制定解决方案和防止IT事件再次发生的预防措施。

(3)实施主动问题管理,在事件发生之前发现和解决可能导致事件产生的问题。

问题管理流程的活动包括:

(1)问题控制:对问题进行记录、调查、分类、分配、分析、诊断并找出导致问题发生的根本原因的控制过程,并把一个已知原因的问题转化为一个错误。

(2)错误控制:对错误进行记录、调查、分类、分配、分析、诊断并找出最终解决方案的控制过程。

(3)主动问题管理:根据对IT基础架构进行的分析,找到可能出现问题的薄弱环节,在事件发生前发现和解决有关问题和已知错误,以尽量减少问题和已知错误对业务的影响。

2.5.5 控制过程

1.配置管理

IT组织需要维护其IT基础架构的准确信息以便为客户和用户提供高效和高质量的IT服务。配置管理流程通过提供IT基础架构设施各个组件的详细信息来为组织提供帮助。配置管理流程是识别和确认系统的配置项,记录和报告配置项状态和变更请求,检验配置项的正确性和完整性,提供IT基础设施之间关系的信息等活动构成的服务管理流程。

通过配置管理数据库为业务和其他服务管理流程提供精确的信息。包括IT基础设施中各IT组件的数量、位置、版本和经济价值等信息。而这些组件被用来提供和管理IT服务。

每个组织都需要记录和维护IT基础设施的信息。这些信息对于组织有效地提供服务非常重要。配置管理通过以下方式提供帮助:

(1)提供可靠的和最新的IT基础设施信息。

(2)管理IT服务的经济价值(客户需求、服务质量和成本)。

(3)提供精确的信息和文档为其他流程提供支持。

配置管理流程的目标为:

(1)计量组织和服务中所使用的所有IT资产和配置项的价值。

(2)为其他服务管理流程提供有关IT基础架构配置的准确信息。

(3)为事件管理、问题管理、变更管理和发布管理的运作提供支持。

(4)核实有关IT基础架构的配置记录的正确性并纠正发现的错误。

配置管理流程的活动包括:

(1)规划:确定该流程的战略、策略、目标、范围、工具、资源、接口等。

(2)识别:定义和维护IT基础架构的物理组件和有关文档的命名规范和版本号,以及定义和维护这些组件之间的相互关系和相关属性。

(3)配置项的控制:控制组织接收到的所有IT组件并需确保这些组件被记录在系统中。确保配置项只有在已经过批准并被包括在产品目录中以后才被记录。对配置项特征进行的变更只有在经过变更管理批准后才能做出。

(4)状态记录:记录配置项的状态更新信息。

(5)检验和审计:核实配置管理数据库中记录的信息是否和实际运行环境一致。

(6)报告:利用定期的管理报告来评估配置管理流程的效率和效果。对配置管理活动应进行定期评估。

2.变更管理

信息技术和商业环境的动态变化、变更无处不在,组织为了持续运营,需要适应和有效管理变更。变更可能是对问题和外部强制性要求(如法律)等的被动反应,也可能是主动寻求提高服务改善的需求,或新系统上线的必然结果。变更管理确保以一种受控的方式对变更进行评估、批准、实施和评审,帮助组织高效地处理所有变更,最小化变更的不利影响,从而改善业务的运营。

变更管理为在最短的中断时间内完成基础构架或服务的任一方面的变更而对其进行控制的服务管理流程。变更管理的目标为:

(1)使用标准方法和过程迅速而有效地实施变更。

(2)最小化因实施变更所带来的风险及对服务质量的影响。

(3)改进组织的日常业务运营。

(4)跟踪组织的所有变更。

变更管理流程的活动包括:

(1)记录:记录变更的相关信息。

(2)审查:对变更进行分析,从业务和技术上进行可行性及风险控制。

(3)归类:对变更事项进行分类。

(4)规划和批准:起草变更计划,并对计划进行批准。

(5)协调:协调相关资源进行变更的实施。

(6)评价:对变更结果进行评估和验证。

2.5.6 发布过程

在分布式的复杂环境中,IT系统的变更是经常性的。发布管理是用项目规划的方法来实施这些变更。同时,发布管理还须遵守规范的发布和测试流程,以保证在实施新版本的过程中保持现有IT系统的稳定。

发布管理是从全局着眼关注IT服务中的变更,目的是确保发布相关的各个方面(技术和非技术)能够被考虑到。发布管理的工作重点是通过应用正规的工作流程及测试来保证生产环境和服务不被破坏。对经测试后导入实际应用的新增或修改后的配置项进行分发和宣传的管理流程,以前称为软件控制与发布。发布管理的目标为:

(1)计划和协调软、硬件组件的发布。

(2)设计和实施有效的程序来分发和安装IT系统的变更。

(3)确保只有正确的、被授权的和经过测试的软硬件版本才能导入实际运作环境。

(4)结合变更管理,准确发布的确切内容和首次发布计划。

(5)确认所有最终软件库中软件正本的复制是安全、可靠的,并且在配置管理数据库中得到了更新。

发布管理流程的活动包括:

(1)发布政策制定和发布规划:制定发布策略和发布计划日程。

(2)发布设计、构建和配置:对发布进行设计及环境的构建与资源配置。

(3)测试和发布验收:对发布单元进行测试,并进行发布单元的测试验收。

(4)上线计划:制定正式运行的计划。

(5)沟通、准备和培训:进行用户的培训及业务指导。

(6)分发和安装:把发布的单元进行分发和安装。 QAM6pLFdTfdHfKN3M18CnQpVanMBYXF2TYxJpjoWnSHxqiog/e1p9fVoZLMnrzEC

点击中间区域
呼出菜单
上一章
目录
下一章
×