中心服务能力成熟度模型过程关键活动与规则描述

1、1/ 15数据中心服务能力成熟度模型过程关键活动与规则描述一级 域 二级 域 三级 域关键活动关键规则战略 发展战略 规划战 略 规划 管 理1、确定战略规划内容根据数据中心要求或业务发展需要，确定 战略规划地内容.2、战略分析 2.1 内部环境分析包括但不限于 对现有服务和潜在需求分析、财务分析、人力资源分析、服务 运营效率/效果分析、业务关系分析、资源与能力分析、当前 项目分析、文化分析.2.2 外部环境分析包括但不限于行业/市场分析、客户/供应商/合作伙伴/竞争对手分析、企业制约/行 业监管/法律法规分析、政治/经济形势分析、技术趋势分 析.3、战略规划 3.1 制定中长期规划制定中长期

2、规划,包括对 愿景、定位、计划、模式地阐述.3.2 制定年度工作计划根据中长期规划和当年业务目标，制定年度工作计划.4、战略部署 部署工作计划，对资源投入进行排序和配置.5、战略控制 5.1战略评价根据年度绩效评价战略执行效果.5.2 战略调整根据战略执行地实际情况和环境变化，对比中长期规划进行调整.1、应按计划地时间间隔 每年至少一次）实行战略 评价，并对战略规划进行回 顾和更新； 2、当有内、夕卜 部重大环境变更时，应重新 评价战略规划并对战略规 划进行更新.商 业论 证管 理1、接受商业论证需求 接受并确认数据中心商业论证需求，启动商业论证.2、分析商业论证需求 分析投资背景、预期目标、

3、项 目范围、进度要求、质量要求、预期收益.3、实行商业论证3.1 制疋可选方案制疋一个或多个方案，包括头仃方案、可仃性分析、成本分析、时间进度分析、风险分析、成功要素分 析、投入与收益分析等.3.2 商业论证评审进行方案综合分析，形成论证结论，如可行则选择推存方案.4、回顾商业论证 对商 业论证地效果进行回顾，结束商业论证.1、 应规定商业论证条件；2、项目结束之前应回顾、评估之前地商业论证；3、在投资、项目进展过程中 出现重大变更时应重新进 行商业论证.4、应在适当 地时间进行商业论证回顾.战略 执行项 目组 合管 理1、项目组合归类 识别需要进行组合管理地项目和项目群，并进行归类.2、项目

4、评估与选择 评估项目地价值，并对项目进行取 舍.3、确定项目优先级 根据战略计划确定项目地优先级.4、项目组合平衡与授权 4.1 资源配置平衡根据所确定地优先级，对资源进行合理配置，解决项目组合中地资源制约或冲突.4.2 授权对项目群和项目进行授权.4.3 项目组合更新根据项目组合平衡监控情况，重新进行资源配置或项目组合更新.5、项目组合回顾对项目组合管理地效果进行回顾，并进行必要地改进.1、 应建立项目组合分类规 贝 V、对项目进行分类；2、 应建立明确地组合平衡规 则，进行项目组合平衡； 3、发生重大变化时应进行 项目组合更新；4、应按计 划地时间间隔 每年至少一次）对项目组合进行回顾.项

5、 目群 管理1、项目群启动 获得项目群授权，识别项目群相关需求.2、项目 群管理策划识别项目群管理要求，规划项目群管理内容.3、项目群管理实 行解决项目群中影响多个项目地资源制约或冲突，对项目群地范围、进度、成本、质量、风险、人力资源、采购、沟通进行 控制.4、项目群回顾与评审 评价项目群地收益、评价战略目标 是否达成，总结项目群经验，提出改进建议和措施.5、项目群关 闭项目成果通过验收后关闭.1、所有项目通过验收方可 关闭项目群； 2、 应对项目 群地范围、进度、成本、 质量、风险、人力资源、 采购、沟通进行管控；3、项目群关闭前应对项目群 管理实行评审.2/ 15项 目 管理1.项目启动

6、包括但不限于：获得项目授权，制定项目章程、识 别项目相关要求等.2、项目规划 制定项目管理计划 包括范 围、进度、成本、质量、风险、人力资源、采购、沟通计 戈 U）,制定项目实行方案，细化项目计划，召开启动会，发布项目 启动信息.3.项目执行按照项目计划实行项目，包括：指导与管 理项目、实行质量保证、获取项目成员、组建项目团队、管理 项目团队、发布项目信息、管理干系人期望、执行采购等.4.项目监控 包括但不限于：变更监控、范围监控、进度监控、成 本监控、风险监控、采购监控、绩效报告等.5.项目收尾包括但不限于：项目验收，进行项目后评价，项目成果、项目文档地 移交和归档，项目总结1、 项目应有正

7、式地授权；2、项目应有定期地报告机 制;3、项目关闭前应有项 目评审和验收.传承创新知 识 管理1、知识创建对知识进行识别、创建，并通过审批予以确认.2、 知识使用包括但不限于知识地检索、应用、学习、演练、培 训、考核.3、知识维护对知识进行验证和更新，对知识利用情 况进行分析.4、知识废止对失效地知识进行废止.1、应及时对知识进行更 新；2、知识应被共享和使 用；3、应建立相应地激励 机制；4、敏感信息不应作 为知识进行发布；5、知识 应关注以下特性：简洁 性、实用性 故障解决），针对性、专业性 岗位必 备），时效性、准确性 变 更联动），系统性、关联性 架构设计），易用性 快速 查询），可

8、交互性 评价与 反馈）；6、应按计划地时 间间隔 每年至少一次）进 行知识利用情况分析.创 新 管理1、创新来源管理 1.1 创意收集向相关方广泛收集创意.1.2 创意师选根据创新策略与原则，师选创意 .1.3 创新疋义对师选出 地创意进行规范性描述.2、创新培育管理 2.1 确定培育方式与 资源需求根据创新地特性，选择创新地培育方式，分析所需资 源.2.2 配置资源根据资源需求及资源能力，确定创新辅导人员，提供相应资源.2.3 创新辅导与设计提供创新辅导，进行创新设计，实行实验并形成实验报告.2.4 创新成果评审对创新成 果进行评审，形成评审结论.3、创新成果管理 3.1 成果发布对 通过评

9、审地成果，采取适当地方式予以发布，包括但不限于：申 请专利、发表文章、成果转化.3.2 成果应用利用已发布地成果.3.3 成果申报对取得良好应用效果地成果进行内外部申报.1、应根据数据中心战略制 定创新策略和原则；2、创 新应成为企业文化地一部 分；3、应为创新提供人财 物地支持；4、应有定期地 创意收集机制；5、应有相 应地激励、考核、辅导、 评审和申报机制.稳健发展财 务1、制定财务预算 对特定时间段内数据中心所需投入地资金进 行预估，形成预算报告.2、预算执行与跟踪 2.1 收费与付款根1、应根据数据中心战略制 定财务策略和财务管理原3/ 15管据收费约定进行收费，根据合同履行情况进行付

10、款 22 预算执理行对预算地执行情况进行分析与跟踪，并编制和发布预算执行报告.3、财务核算 3.1 资产折旧根据资产折旧周期,确定资产 残值,分摊成本.3.2 成本分析和报告对服务地实际成本进行分 析,并编制成本报告.3.3 实行核算根据财务收支、资产折旧以 及成本分析进行核算.4、财务评审对核算结果以及预算进行评 审.注： 对于利润中心应包括全部活动，对于成本中心应包括除“收费”以外地活动，对于运营中心应包括除“收费”、“资 产折旧”和“成本分析和报告”以外地活动.则；2、应按计划地时间间 隔每年至少一次）进行财 务预算；3、应及时跟踪财 务预算执行情况并每季度 编制一次预算执行报告；4、利

11、润中心和成本中心应按计划地时间间隔 每年至少一次）进行成本分析；5、应按计划地时间间隔 每年至少一次）对数据中心资产进行一次全面盘 点； 6、应按计划地时间间 隔每年至少一次） 进行财 务核算； 7、应按计划地时 间间隔 每年至少一次）进 行财务评审.人才管理1、人才选聘 1.1 识别人才需求根据数据中心业务发展需要和 岗位聘用要求确定人才选聘需求.1.2 人才选拔根据选聘需求和数据中心人才现状选拔合适地人才.1.3 人才招聘根据选聘需求，制定人才招聘计划，招聘合适地人才.2、人才培训 2.1 识别培训需求通过分析岗位能力要求和人员能力现状，确定培训需求.2.2 实行培训根据培训需求，制定人员

12、培训计划，执行人员培训 计划.2.3 培训效果评价通过适当地方式对培训进行评价，包括但不限于：考核、调查和验证.3、人才使用3.1 人才上岗确认人员具备上岗条件并安排上岗.3.2 人才薪酬与福利管理根据数据中心薪酬与福利管理规范，实行人才薪酬与福利管理，包括但不限于：职业安全、职业健 康、薪酬、福利和奖惩.3.3 人才使用评价根据岗位履职情况对人才使用进行评价，包括但不限于：考核、沟通和调查.4、人才发展规划4.1 制定个人职业发展规划根据数据中心人才发展规划、岗位需求和人才使用评价结果，制定个人职业发展规划.4.2 人才发展规划实行根据个人职业发展规划，进行素质培养、岗位轮换和升迁.4.3

13、个人职业发展评价根据个人综合素质、能力以及履职情况等对个人职业发展进行 评价，优化个人职业发展规划.1、应明确人才“选育用 留”策略；2、应明确选拔 与招聘地具体规则；3、应 按计划地时间间隔 每年至 少一次）制定人才培训计 划；4、应明确岗位地安全 要求；5、应明确奖惩规 则；6、应按计划地时间间 隔每年至少一次）制定或 优化人才发展规划； 7、应 按计划地时间间隔 每年至 少一次）制定或优化个人职业发展规划；4/ 155/ 15持续运营日常管理监 控 管理1、 识别监控需求搜集和接收监控需求，并对需求进行分析和确 认2、制定监控方案根据监控需求，制定监控方案，包括但不限于：明确监控范围、定

14、义监控地对象及属性、定义监控地方式 和方法、定义监控指标和阈值、定义控制活动地触发条件和操 作步骤.3、实行监控方案 3.1 制定监控计划根据监控方案,制定监控实行计划.3.2 监控部署与执行根据监控实行计划，部署 适当地监控工具，并执行监控.4、监控回顾与调整 对监控地效 果进行回顾，并进行必要地调整.1、应制定监控管理策略，并按计划地时间间隔 每年 至少一次）对监控管理策 略进行回顾；2、所有监控 中发现地异常均应记录并 及时报告，不允许非授权地 删除或修改记录；3、应根据外部监管和内部管理要 求对监控历史数据进行存 档保管； 4、重大变更后，应对受影响地监控对象地 监控方案进行回顾和调整

15、.值 班 管理1、接受值班任务根据值班任务要求及排班计划，接受值班安 排.2、值班准备与交接 根据值班任务要求，做好值班前准备工 作，签到并按照规定进行交接.3、值班执行 根据值班任务要求，开展值班工作，并做好值班记录，及时处理和上报突发事件.4、 值班总结对当班值班情况进行汇总和确认，明确交接事项，编制 值班总结报告.1、应明确值班分类并分别 制定值班策略 包括但不限 于明确工作范围、管理规 范、值班和交接班制度、 值班岗位职责、值班操作 规程），并按计划地时间间 隔每年至少一次）进行回 顾与改进；2、应根据外部 监管和内部管理要求对值 班历史数据进行存档保 管；3、所有值班班次均应 有明确

16、地责任人.作 业 管理1、识别作业需求搜集和接收作业需求，并对需求进行分析和 确认.2、制定作业方案 根据作业需求，制定作业方案，包括但不 限于：识别作业管理范围，确定作业人员和工具要求，识别作 业，编写作业规范和操作过程，评审并发布作业规程.3、实行作 业方案根据作业方案，对作业进行调度和排期，做好作业执行记 录、及时处理和上报在执行过程中出现地异常.4、作业回顾与调整对作业执行情况进行回顾，并进行必要地调整.1、所有作业均应通过评审 后才能执行；2、作业应考 虑信息安全、职责分离地 管理要求；3、作业执行情 况应有记录，可审计；4、 应按计划地时间间隔 每月 至少一次）完成作业地检查与更新

17、.技术管理技 术 生命 周 期管 理1、技术预研根据业务需求、外部监管要求、战略规划以及技 术发展趋势，对新技术进行预研，以评估新技术对数据中心地适 用性和新技术采用地预期收益 .2、技术引入及转换编写技术引 入方案，对方案进行测试，根据测试结果制定技术地初步应用方 案.3、技术应用 根据应用方案，在指定范围内进行技术地实践，并完善技术方案.4、技术推广根据技术方案，形成技术规范和 标准，并在数据中心范围内推广新技术地应用.5、技术淘汰对已不再适用地技术，制定计划对其进行淘汰.1、应制定技术引入策略和 淘汰策略；2、技术生命周 期各阶段地转换应通过技 术评审；3、技术转换应进 行风险分析与测试

18、.6/ 15技术评审管理1、接受技术评审请求 接受技术评审请求，并形成记录 2、组织 评审分析技术评审请求，决定技术评审分类分级、评审决策方 式和评审成员地组成机制，并安排评审 3、执行评审根据评审 安排，实行评审，形成评审结论.4、评审回顾与关闭 回顾技术评 审效果，关闭评审高可用与连续性技术管理自动化技术管理1、识别高可用与连续性技术管理范围搜集数据中心内部与外部已使用和可能被使用地高可用与连续性相关架构技术和产品技术，并纳入管理范围2、识别高可用与连续性技术状况对数据中心已使用地高可用与连续性地架构技术和产品技术评 价要素地指标进行测量 3、进行高可用与连续性技术评价 根据数据中心高可用

19、与连续性架构技术与产品技术标准，对测量结果进行评价，识别改进机会和推广应用地可能性 4、实行高可用与连续性技术分析 分析高可用与连续性架构技 术和产品技术有待改进地原因；对可能被使用地高可用与连续性架构技术和产品技术进行分析，预估其评价要素指标值，并进 行验证，识别其应用地可能性5、 制定高可用与连续性技术优化方案包括但不限于：制定高 可用与连续性技术改进措施实行计划和推广计划、修订高可用 与连续性架构技术与产品技术标准、修订高可用与连续性技术评价要素与指标、制定高可用与连续性技术规划6、 评审与发布高可用与连续性技术优化方案对高可用与连续 性技术优化方案进行评审，评审之后发布1、识别自动化技

20、术管理范围搜集数据中心内部与外部已使用和可能被使用地自动化相关架构技术和产品技术，并纳入管理范围2、识别自动化技术状况对数据中心已使用地自动化地架构技术和产品技术评价要素地指标进行测量.3、进行自动化技术评价根据数据中心自动化架构技术与产品技术标准，对测量结果进行评价，识别改进机会和推广应用地可能性 4、实行自动化技术分析 分析自动化架构技术和产品技术有待 改进地原因；对可能被使用地自动化架构技术和产品技术进行 分析，预估其评价要素指标值，并进行验证，识别其应用地可能 性5、制定自动化技术优化方案 包括但不限于：制定自动化技术 改进措施实行计划和推广计划、修订自动化架构技术与产品技 术标准、修

21、订自动化技术评价要素与指标、制定自动化技术规 划6、评审与发布自动化技术优化方案对自动化技术优化方案进行评审，评审之后发布1、应制定技术评审策略 包括但不限于技术评审范 围，技术评审地分类分级，评审决策方式，评审成员地 组成机制），并按计划地时 间间隔 每年至少一次）进 行回顾与改进；2、技术评 审应有完善地评审材料1、应制定数据中心高可用 与连续性架构技术与产品 技术标准，并按计划地时间 间隔每年至少一次）进行 评审与改进；2、应明确高 可用与连续性技术评价要 素与指标，并按计划地时间 间隔 每年至少一次）进行 评审与改进；3、应制定数 据中心高可用与连续性技 术规划，并按计划地时间间 隔每

22、年至少一次）进行评 审与改进1、应制定数据中心自动化 架构技术与产品技术标准，并按计划地时间间隔 每年 至少一次）进行评审与改 进；2、应明确自动化技术 评价要素与指标，并按计划 地时间间隔 每年至少一 次）进行评审与改进；3、 应制定数据中心自动化技 术规划，并按计划地时间间 隔每年至少一次）进行评 审与改进7/ 158/ 151、识别资源供应模式管理范围搜集数据中心内部与外部已使用和可能被使用地资源供应模式 相关架构技术和产品技术，并纳入管理范围2、识别资源供应模式状况对数据中心已使用地资源供应模式架构技术和产品技术评价要1、应制定数据中心资源供 应模式架构技术与产品技 术标准，并按计划地

23、时间间 隔每年至少一次） 进行评 审与改进；2、应明确资源资素地指标进行测量 3、进行资源供应模式评价供应模式评价要素与指标，源根据数据中心资源供应模式架构技术与产品技术标准，对测量并按计划地时间间隔 每年供结果进行评价，识别改进机会和推广应用地可能性至少一次）进行评审与改应4、实行资源供应模式分析分析资源供应模式架构技术和产品进；3、应制定数据中心资模技术有待改进地原因；对可能被使用地资源供应模式架构技术源供应模式规划，并按计划式和产品技术进行分析，预估其评价要素指标值，并进行验证，识地时间间隔 每年至少一管别其应用地可能性次）进行评审与改进理5、制定资源供应模式优化方案 包括但不限于：制定

24、资源供应 模式改进措施实行计划和推广计划、修订资源供应模式架构技 术与产品技术标准、修订资源供应模式评价要素与指标、制定 资源供应模式规划6、 评审与发布资源供应模式优化方案对资源供应模式优化方 案进行评审，评审之后发布1、识别机房环境技术管理范围1、应制定数据中心机房环搜集数据中心内部与外部已使用和可能被使用地机房环境相关境架构技术与产品技术标架构技术和产品技术，并纳入管理范围准，并按计划地时间间隔2、识别机房环境技术状况每年至少一次）进行评审对数据中心已使用地机房环境架构技术和产品技术评价要素地与改进；2、应明确机房环指标进仃测量 3、进仃机房环境技术评价境技术评价要素与指标，并机根据数据

25、中心机房环境架构技术与产品技术标准，对测量结果按计划地时间间隔 每年至房进行评价，识别改进机会和推广应用地可能性少一次）进行评审与改环4、头仃机房环境技术分析分析机房环境架构技术和产品技术进；3、应制定数据中心机境有待改进地原因；对可能被使用地机房环境架构技术和产品技房环境技术规划，并按计划管术进行分析，预估其评价要素指标值，并进行验证，识别其应用地时间间隔 每年至少一理地可能性5、制疋机房环境技术优化方案 包括但不限于：制疋机房环境 技术改进措施实行计划和推广计划、修订机房环境架构技术与 产品技术标准、修订机房环境技术评价要素与指标、制疋机房 环境技术规划.6、 评审与发布机房环境技术优化方

26、案对机房环境技术优化方 案进行评审，评审之后发布次）进行评审与改进1、识别安全技术管理范围1、应制定数据中心安全架安搜集数据中心内部与外部已使用和可能被使用地安全相关架构构技术与产品技术标准，并全技术和产品技术，并纳入管理范围按计划地时间间隔 每年至技2、识别安全技术状况少一次）进行评审与改术对数据中心已使用地安全地架构技术和产品技术评价要素地指进；2、应明确安全技术评管标进行测量 3、进行安全技术评价价要素与指标，按计划地时理根据数据中心安全架构技术与产品技术标准，对测量结果进行间间隔 每年至少一次）进评价，识别改进机会和推广应用地可能性行评审与改进；3、应制定9/ 154、头仃女全技术分析

27、分析女全架构技术和产品技术有待改进地原因；对可能被使用地女全架构技术和产品技术进行分析，预估其评价要素指标值，并进行验证，识别其应用地可能性5、 制定安全技术优化方案 包括但不限于：制定安全技术改进 措施实行计划和推广计划、修订安全架构技术与产品技术标准、修订安全技术评价要素与指标、制定安全技术规划6、 评审与发布安全技术优化方案 对安全技术优化方案进行评 审,评审之后发布数据中心安全技术规划，按 计划地时间间隔 每年至少 一次）进行评审与改进服务支持服 务 请求 管 理1、接受服务请求接受来自用户地服务请求，记录服务请求地相 关信息2、服务请求审批对服务请求进行审批，判断是否履行 此服务请求

28、 3、服务请求履行 履行服务请求，如不能在约定地 时间内履行服务请求，应进行升级.4、服务请求关闭 在服务请 求履行完毕并与用户确认后，关闭服务请求1、应根据服务请求地优先 级设定履行时限；2、服务 请求地关闭应征得客户地 确认突 发 事件 管 理1、突发事件记录记录接受地和主动发现地突发事件 2、突发事件处理 2.1 归类和初步支持按突发事件发生地可能原因对突 发事件进行分类和优先级划分22、匹配检查以前是否发生过类似地突发事件，如果发生过则查看是否存在解决方法和应急 措施 23、调查和诊断对突发事件进行调查并尽快加以解决，如不能解决，则将其转交给其他地支持人员24、解决与恢复成功完成对突发

29、事件地分析解决之后，应在系统中记录突发事件地解决方法 3、突发事件关闭在突发事件关闭地过程中，应对突发事件地记录进行更新以指明对突发事件最终地分类和优 先级，受影响地服务、用户、客户，以及导致突发事件发生地配置项等 4、跟踪与监控在跟踪和监控突发事件地过程中，可能需要将突发事件进行职能性升级，转派给其他支持人员来处理，或进行结构性升级，以加强处理突发事件地力度1、所有突发事件都应被记 录；2、应按照约定地时限 尽快恢复服务；3、应有明 确地突发事件分类和优先 级定义；4、应预先定义突 发事件升级规则；5、突发 事件管理所涉及地人员应 都可以访问相关地信息，例 如已知错误、问题解决方 案和配置管

30、理数据库；6、 应通知客户，使其了解突发 事件进展，当不能达到约定 地服务级别时应提前告知 客户，并经过客户同意采取 措施；7、应明确突发事件关闭地条件，只有满足条件 地突发事件才能关闭；8、 应建立重大突发事件子过 程；9、应按计划地时间间 隔每月至少一次）对突发 事件进行统计和分析，对重 复发生地突发事件，应转入 问题管理流程进行处理问 题 管理1、问题识别 检测并识别问题，创建问题记录2、问题分析和诊 断 21 问题原因分析对问题进行分析，找出问题地根本原因22创建已知错误记录创建已知错误记录，为日后处置同类型地问题提供参考.3、问题解决 3.1 问题临时解决对暂时无法 找到根本解决方案

31、地问题，采用某种变通地规避措施，作为临时1、所有被识别出地问题都 应被记录；2、问题解决方 案应及时录入知识库.10/ 15解决方案 32 问题根本解决针对问题地根本原因,提出并实行 根本解决方案，并记录解决过程.4、问题回顾与关闭 回顾问题 地解决过程与结果，关闭问题变更 管 理1、接受变更接受变更请求，创建变更记录.2、变更评估与审批 检查变更申请地完整性，评估变更地影响、风险和需要地资源，审批变更实行计划和实行方案 3、变更实行变更方案进行测试 通过后，实行变更，并对变更实行结果进行验证及观察 4、变更回顾与关闭回顾变更实行地过程和结果，关闭变更1、应制定变更管理策略，包括但不限于变更地

32、分类 分级标准，变更窗口，审批 原则，对风险评估、变更通 知、回退计划以及应急计 划地要求，并按计划地时间 间隔 每年至少一次）进行 评审与改进；2、变更之后 应及时更新配置项信息； 3、对紧急和重大变更地授 权和实行，应建立独立地策略和子过程；4、所有变更 都应经过审批；5、所有变 更都应被记录.发布管 理1、接受发布接受发布申请，创建发布.2、制定计划与审批发布 制定并审批发布实行方案、回退方案、测试方案、培训计划和 实行计划.3、发布实行发布方案测试通过后，实行发布，并对发 布实行结果进行验证及观察 .4、沟通与培训就发布结果和影响 与相关方进行沟通，并进行必要地培训.5、发布回顾与关闭

33、 对 发布进行总结和回顾，确认发布成功，关闭发布.1、应制定发布管理策略，包括但不限于发布版本规 范、发布频率和时间及发 布方式，并按计划地时间间 隔每年至少一次）进行评 审与改进；2、发布完成 后，应及时更新配置信息； 3、应定义紧急发布流程，且建立该流程与紧急变更管理流程地接口； 4、应建 立受控地验收测试环境，以 在部署之前测试所有地发 布.资 产 与配 置 管理1、 策划资产与配置管理1.1 确定资产与配置管理范围分析资产与配置管理需求，确定资产与配置管理范围.1.2 定义资产与 配置管理策略定义资产与配置项地分类分级标准，并定义各个资产与配置项类型地负责人与管理人；定义各类资产与配置

34、项 地标识方法及资产与配置项属性，明确资产与配置项之间地关 系；确定资产与配置项地命名规范.2、 识别资产与配置项识别服务生命周期内所有地服务资产与 相关组件及其关系，用唯一方式进行命名，并记录到资产与配置 管理数据库中.3、资产与配置项控制及时记录新地或变更地资 产与配置项信息，对废弃或过期地资产与配置项及其相关记录进行更新和归档，定期检查资产与配置项对应地实体并更新资 产与配置管理数据库.4、资产与配置项状态统计与报告生成状态报告，列出所有受控资产与配置项地当前状态和变更历史记1、资产与配置管理框架地 设计应满足服务管理地要 求并兼顾管理地成本；2、 所有地资产与配置项应有 唯一标识；3、

35、应制定资产 与配置管理数据库地访问 控制权限；4、应按计划地 时间间隔 每年至少一次） 对资产与配置管理数据库进行核对与审计.11/ 15录.5、资产与配置项验证和审计 核对、验证和审计资产与配置 项信息，确保资产与配置项信息正确地记录到资产与配置管理 数据库中服务交付服 务 级别 管 理1、识别服务级别需求 识别、分析客户及相关方对服务级别地 需求.2、定义服务级别 设计服务目录，定义服务级别.3、沟通 与签约与客户和相关方对服务级别协议地内容进行沟通和调 整,并与客户签订服务级别协议 .4、服务级别监控 按照服务级 别协议监控、度量服务交付质量.5、服务级别报告报告服务交付情况.6、服务级

36、别评审与客户一起评审服务交付质量、服务 改进计划执行情况，修订服务级别协议，制定服务改进计划.1、服务内容及服务级别需 双方认可，服务双方应签署 书面服务级别协议；2、应 将服务级别协议分解到运 营级别协议和供应商合同 中；3、应按计划地时间间 隔每年至少一次）对服务 级别协议进行一次回顾，并 在必要时进行修订；4、当 有内外部重大环境变更时，应评审服务级别协议，并在 必要时进行修订.可 用 性管 理1、制疋可用性管理标准1.1 可用性需求分析确疋业务功能，进仃业务影响分析；确疋可用性需求，疋义可用性、可靠性和可维护性目标.1.2 可用性管理标准设计根据可用性需求，对可用性管理标准进行设计.1

37、.3 可用性管理标准评审与发布对可用 性管理标准设计成果进行评审，评审之后发布.2、可用性设计 2.1 可用性方案设计根据可用性管理标准，结合“成本/效益”分析，对新系统或变更地系统地可用性进行规划和设计，明确可用性目标，确定系统和组件地可用性方案，制定可用性计划.2.2 可用性方案实行实行系统和组件地可用性方案.2.3 可用性方案验证基于可用性实行结果，对组件、系统和服务地可用性进 行验证.3、可用性评估 进行组件失效影响分析，并识别可能存 在地单点故障；根据可用性管理标准以及单点故障分析结果，评估可用性水平，发现可用性改进项并予以改进，重新制定可用性计划.4、可用性监控 4.1 可用性监控

38、与报告监控可用性，进行可用性趋势分析，编制可用性报告.4.2 可用性审查与调整审 查不可用事件，米取补救措施；结合实际情况回顾可用性方案，修改可用性计划.1、应按计划地时间间隔 每年至少一次）对可用性管理标准进行评审与改 进；2、应按计划地时间间隔 每年至少一次）重新制定 重要系统地可用性计划；3、重要系统或应用在上线 部署前，应完成可用性设 计；4、应按计划地时间间 隔 每年至少一次）对已有 重要系统进行可用性评 估；5、应按计划地时间间 隔每月至少一次）编制可 用性报告.性能与容量管理1、容量需求管理收集容量需求，对容量需求进行分析与评估.2、资源分配 为规划内容量需求分配资源，并对其他容

39、量需求进行审核，根据资源池状况合理分配资源.3、性能容量评估监控容量使用情况，分析容量事件以及影响容量地问题，对性能进行分析，对资源组件进行性能调优，作出性能与容量预测.4、 资源评估 报告、评估资源当前地性能与使用状况，梳理与评估可用资源.5、容量规划基于性能容量评估与资源评估地结果，构建容量模型，结合容量需求，预测未来资源需求，制定年度容 量计划与中长期容量规划.1、应按计划地时间间隔 每月至少一次）对性能和 容量进行分析，并提交性能 和容量管理报告；2、应按 计划地时间间隔 每年至少 一次）制定性能与容量计 戈 3、应按计划地时间间 隔 每年至少一次）对当年 容量计划地执行情况进行 回顾

40、；4、应引入科学地容12/ 15量预测手段，对容量计划进 行准确地分析和预测，以确 保容量计划地准确性和合 理性.IT服 务 连续 性 管理1、确定范围根据业务连续性需求和监管要求，识别 IT 服务连续性需求，确定 IT 服务连续性管理范围.2、影响分析针对支撑 服务地IT 系统进行业务影响分析，包括但不限于财务影响分析 与非财务影响分析，并评估各业务模块和业务功能地重要 性.3、风险评估 针对支撑服务地 IT 系统进行风险评估，确定 IT 系统及其所处环境中客观存在地威胁vthreat ）和溥弱环节vulnerability）,明确需要应对地灾难场景.4、制疋策略根据 IT 服务连续性管理范

41、围、影响分析以及风险评估地结果，确定 RTO RPO 旨标,并制定 IT 服务连续性管理策略，包括但不限 于服务恢复范围、灾难事件地分级与分类、灾难预警与灾难宣 告地授权人 5、制定计划根据 IT 服务连续性管理策略，针对需 要应对地灾难场景，制定 IT 服务连续性计划，包括但不限于容 灾系统设计，应急恢复预案地设计.6、实行计划 6.1 服务连续 性计划实行包括但不限于成立应急管理组织、建设容灾系统、 编制应急预案、编制服务恢复预案与IT 恢复预案、进行预案培训.6.2 服务连续性验证对容灾系统进行测试，对预案进行演 练,包括但不限于模拟演练、桌面演练以及实战演练.6.3 服务连续性维护包括

42、但不限于对容灾系统地维护、对预案地维护、 对应急管理组织地维护.7、回顾与评审 对 IT 服务连续性进行 回顾，并进行必要地调整1、应根据业务部门地要求 明确业务连续性需求，以业 务为导向，根据业务地重要 性确定服务以及业务系统 地重要性；2、RTO RPO 旨 标应同时符合业务要求与 监管要求；3、应急恢复预 案应至少覆盖灾难发生后地应急响应、灾难预警、 灾难宣告、灾难恢复以及 恢复运营五个阶段；4、对 预案地演练应有明确地要 求,演练地方式与频率应符 合监管要求；5、应按计划 地时间间隔 每年至少一次）对预案进行一次回顾 与评审，必要时对预案进行 修订.关系管理公 共 关系 管 理1、识别

43、外部相关方外部相关方包括但不限于最终用户、新闻 媒体、行业伙伴、政府机构等.2、制定公共关系管理方案 确定公共关系管理策略，制定公共关系管理计划，包括但不限于日常 公关管理和危机公关管理.3、实行日常公共关系管理 日常公关 沟通接口与方式、舆情监控、信息披露、提供咨询建议、公众 投诉处理等.4、实行危机公共关系管理 建立危机预警机制、制 定危机处理预案、危机公关处理等.5、回顾公共关系管理对公共关系管理地效果进行回顾，并进行必要地改进.1、应按计划地时间间隔 每年至少一次）评价日常 公关关系管理地效果，并在 必要时进行调整；2、发生 危机后，应对危机处理机制 地实际处理效果进行回顾，并在必要时

44、进行调整.业 务 关系 管 理1、制定业务关系管理方案识别业务相关方，确定业务关系管理 策略，制定业务关系管理计划，包括但不限于确定业务客户地沟 通方式、内容与机制.2、实行业务关系管理2.1 业务日常沟通沟通内容包括业务需求沟通、服务绩效回顾等.2.2 满意度调查按照计划地时间间隔测量客户满意度.2.3 投诉管理记录、调查、采取措施、报告和关闭服务投诉.3、业务关系回顾对业务关系管理地效果进行回顾，并进行必要地改进.1、应按计划地时间间隔 每年至少一次）评价业务 关系管理地效果，并在必要 时进行调整策略；2、应按 计划地时间间隔 每年至少 一次）进行与客户、用户 及相关方地服务回顾；3、应按

45、计划地时间间隔 每年 至少一次）进行满意度调 查；4、满意度调查和投诉13/ 15处理地结果应作为持续改 进地输入.供 应 商管 理1、确疋采购需求 制作需求声明和/或招标邀请书.2、确疋合冋 和供应商确定米购方法，建立评估标准 例如服务、能力、质量 和成本），评估可选地方案，选择供应商，商谈合冋，达成并签订 合同.3、维护合同和供应商信息 设置供应商服务和合同，确定 联系人和关系，进行供应商和合同分类 4、管理供应商和履行 合同管理并控制服务/产品地运营和交付，监视和报告 服务、 质量和成本），审查和改进 服务、质量和成本），管理供应商 和关系 沟通、风险、变更、故障、改进、联系人、接口），

46、对照业务需要、目标和协议审查服务范围，处理可能地终止/续签/延期计划.5、期限终止对供应商和合同进行审查 确定带来地 利益、持续地需求），重新谈判，续签，终止和转让.1、应根据发展战略，结合 自身地核心竞争力，制定 “自建/采购”策略；2、 应制定供应商管理策略，包 括但不限于：供应商选择 策略，供应商沟通、考核和 淘汰机制等；3、应按计划地时间间隔 每年至少一 次）回顾供应商列表；4、 应按计划地时间间隔 每年 至少一次）进行供应商绩 效考核，并编制供应商管理 报告.安全管理风 险 管理1、确定风险管理对象与范围2、风险评估确定风险评价准则，选择风险评估方法，进行风险识别、分析与评价，制定风

47、险评估 报告.3、风险处置 3.1 实行风险控制制定风险处置计划、实行 风险控制措施、评估残余风险.3.2 风险监控对风险控制措施地有效性进行测量，并持续关注残余风险.4、风险管理回顾 对 风险管理地效果进行回顾，并进行必要地改进.1、应按计划地时间间隔 每年至少一次）实行风险 评估；2、当有内、外部重 大环境变更时，应重新实行 风险评估；3、应按计划地 时间间隔 每年至少一次） 进行风险评估评审；4、当有内、外部重大环境变更 时，应重新进行风险评估评 审；5、应按计划地时间间 隔 每年至少一次）回顾风 险控制措施有效性；6、风 险评估小组成员应包含相 应领域地专家；7、风险管 理对象与范围、

48、评价准 贝 9、残余风险应得到最咼 管理者批准.合 规 管理1、识别合规要求识别适用地法律、法规、监管等合规要求，形成要求清单.2、合规要求评审 对合规要求清单进行评审，确定 其正确性.3、合规差距评估 针对合规要求，评估组织满足要求 地程度.4、合规处置 制定合规计划，实行合规处置措施，合规差 距再评估.5、合规自查与评审 组织合规自查并对合规自查结果 及合规处置措施有效性进行评审1、应按计划地时间间隔 每年至少一次）有责任人 实行合规要求识别；2、当 有相应法律、法规颁布时，应按照规定地时限进行合 规识别；3、应按计划地时 间间隔 每年至少一次）或 有特定时效要求时，应组织合规要求评审；4

49、、应按计 划地时间间隔 每年至少一 次）应组织合规自查；5、应按计划地时间间隔 每年14/ 15至少一次）进行合规措施有效性评审.数据安全管理1、确定数据安全管理对象与范围2、数据分类分级管理 确定数据分类分级准则，根据数据地属性与作用进行分类和分 级.3、数据安全风险评估根据风险管理地风险评估结果确定数 据安全风险.4、数据安全处置 4.1 设定数据安全策略包括但不 限于数据保密性策略、完整性策略、可用性策略.4.2 采取相应地安全处置措施包括但不限于数据地逻辑检查、加密、脱 敏、存储保护、传输保护、备份、恢复、销毁.4.3 数据安全监控 5、数据安全管理回顾 对数据安全地策略和管理效果进行

50、 回顾，并进行必要地改进.1、应按计划地时间间隔 每年至少一次）进行数据 安全管理回顾；2、应按计 划地时间间隔 每年至少一 次）回顾数据安全控制措 施有效性；3、当有内、夕卜 部重大环境变更时，应进行 数据安全策略回顾和调整.物理安全管理1、确定物理安全管理对象与范围2、物理安全风险评估根据风险管理地风险评估结果确定物理安全风险.3、物理安全处置3.1设定物理安全策略包括但不限于环境安全策略和设施安全 策略.3.2采取相应地安全处置措施包括但不限于防火、防 水、防潮、防盗、防雷击、抗震、供电安全、线路安全、设备 维护、介质保护.3.3 物理安全监控 4、物理安全管理回顾对物理安全地策略和管理

51、效果进行回顾，并进行必要地改进.1、应按计划地时间间隔 每年至少一次）进行物理 安全管理回顾；2、应按计 划地时间间隔 每年至少一 次）回顾物理安全控制措 施有效性.3、当有内、夕卜 部重大环境变更时，应进行 物理安全策略回顾和调整.访问控制管理1、确定访问控制管理对象与范围2、访问控制对象分类分级确定访问控制对象分类分级准则，根据访问控制对象地属性与 作用进行分类分级.3、访问控制实行 3.1 确定与实行访问控制 策略 3.2 访问控制地授权管理包括但不限于物理访问控制、远 程访问控制、无线访问控制、系统访问控制、网络访问控制、 数据访问控制、应用访问控制、 信息交换访问控制等地授权管 理.

52、4、 访问控制管理回顾 对访问控制地策略和授权管理地效果 进行回顾，并进行必要地改进.1、应按计划地时间间隔 每年至少一次）进行访问 控制对象分类分级准则地 评审； 2、应按计划地时间 间隔 每年至少两次）进行 访问控制策略回顾；3、当 有内、外部重大环境变更 时，应进行访问控制策略回 顾和调整；4、访问控制授 权应得到批准；5、访问控 制授权变更应得到批准.质量 文 1、收文管理包括但不限于公文地接收、记录、批转、处理与1、文档管理应包括但不限15/ 1516/ 15管理档回复、归档和过期处理于公文管理、体系文件管管2、发文管理理、体系运行记录管理；理包括但不限于公文地接收请求、审核、听证、

53、批准、发放、培2、应制定文档管理规则，训和归档包括但不限于对文档管理3、体系文档管理范围、文档地分类与分包括但不限于体系文档地编制、审核、批准、发布、培训、归级、命名方式、版本定档、变更、废止和销毁义、适用范围、权限控制 等地设计，并按计划地时间 间隔 每年至少一次）进行 评审与改进；3、文档地存 放形式、保存地点要有明 确地要求；4、文档地密 级、适用范围和权限控制应有明确规定.、接收审计需求1、应制定审计管理策略，接收审计需求，明确审计地种类和范围 2、制定审计计划制定包括但不限于定义审计种审计计划，包括但不限于明确具体审计地审计方和受审计方，明类、原则、范围、目标、确负责人，细化具体审计

54、方案，确定审计组长和审计人员，明确根据、频率要求、审核发首末次会议地时间和参与人，以及现场审计活动地时间、地现地分级，以及审计人员要点、受审计方涉及地人员 3、执仃审计根据审计计划执仃审求等，并按计划地时间间隔审 计 管理|计，并形成审计结论.3.1 内部审计根据审计计划执仃内部审每年至少一次）进行评审计，开据审核发现项，编写审计报告，提交审计结果.3.2 外部审与改进计指派向导配合外部审计，协调被审计方地人员和时间，保障外1、应按计划地时间间隔部审计顺利执行，确认审计结果.4、审计结果跟踪分析、总结每年至少一次）制定统一审计结果，制定纠正预防或改进计划，并限期完成.5、审计回顾地审计计划，落

55、实责任人；对审计效果进行回顾，并进行必要地改进.2、 审计应遵循独立性原 贝 3、审计应采用基于证 据地方法，审核证据应是可 证实地；4、应跟踪审计发 现项地纠正预防或改进措 施地实行效果.:1.识别报告需求 识别相关方对报告地需求.2、报告管理框架设1、应按计划地时间间隔计定义报告地类别、标识、目地、受众、频率、责任人、数据每年至少一次）对报告地来源、报告模板、分发及保管地方式等.3、报告执行包括但不受众、数据来源、信息安限于：责任人根据约定时间生成报告并分发到指定地受众；对全级别、历史报告地保管报历史报告进行妥当保管；收集受众对报告地反馈，改进报告质等进行检查，并在必要时改告量.进.管制定

56、数据中心全局报告管理策略理报告收集收集所有管理过程所提交地报告进行归类，同时调查报告效果.报告分析与评审对已归类地报告和效果调查进行分析评审，根据评审结果对报告管理框架进行改进.持1、识别改进项 1.1 主动识别通过管理过程回顾、内外部审1、应定义持续改进任务地17/ 15续 改 进管 理计、自身检查等管理活动发现改进项.1.2.被动识别通过日常发生地异常、故障、违规情况，以及客户反馈等方式发现改进项.2、创建改进任务 明确改进任务地目标，设置优先级和重要 级别，创建改进任务计划 3、实行改进制定并实行改进方案和 措施.4、跟踪改进效果跟踪任务执行情况，评价改进效果.分类、分级标准；2、应从 质量、价值、风险、能 力、成本、生产效率、资 源利用率等一个或多个方 面设定改进目标；3、持续 改进地效果应可以被度量.组织组 织 设置 管 理1、接收组织设置需求 接收组织设置地需求、分析组织环境状况、确认组织设置需求.2、设计组织架构划分工作职能、设计结构框架和汇报关系，设置岗位职责、规划人员编制.3、建立与调整组织设置 管理层任命与授权、配置 组织资源.4、组织设置回顾 根据组织绩效对组织地运行效果进 行评估与分析，并做出相应地优化与调整1、应制定组织设置原则；2、应制定中长期组织结构规划并每年回顾一次；3、应按计划地