信息技术服务-外包-第1-部分：服务交付.doc

信息技术服务 外包 1ICS 35.080L77中华人民共和国国家标准GB/T .12000信息技术服务 外包 第1 部分：服务交付保障通用要求Information Technology Service Outsourcing Part1: Service DeliveryAssurance General Specification（征求意见稿 2010-02-10）200-发布200-实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布GB/T .1200/ISO/IEC 20000-1:2005目 次目 次 . I前 言 . III引 言 . IV信息技术服务外包 第 1 部分：服务交付保障通用要求 . 11 范围 . 12 规范性应用文件 . 13 术语和定义 . 13.1 服务外包 Service Outsourcing . 13.2 服务发包方 Client . 13.3 服务提供方 Service Provider . 13.4 分包方 Subcontractor . 13.5 合作伙伴 Partner . 13.6 服务目录 Service Catalogue . 13.7 服务级别协议Service Level Agreement . 14 本部分框架 . 15 服务外包管理体系 . 26 服务外包战略管理 . 36.1 业务规划和部署 . 36.2 服务目录管理 . 36.3 能力和可用性管理 . 37 服务实现过程 . 47.1 服务设计与部署 . 47.2 服务交付 . 47.3 服务移交 . 57.4 事件管理 . 67.5 问题管理 . 68 服务保障过程 . 68.1 业务管理 . 68.1.1 协议管理 . 68.1.2 服务级别管理 . 78.1.3 关系管理 . 78.1.4 沟通管理 . 78.1.5 配置管理 . 88.1.6 质量保证 . 88.2. 资源管理 . 88.2.1 人员管理 . 88.2.2 知识管理 . 98.2.3 技术管理 . 98.2.4 财务管理 . 98.2.5 基础设施管理 . 108.3. 威胁管理 . 108.3.1 安全管理 . 10GB/T 11457II8.3.2 知识产权管理 . 108.3.3 合规性管理 . 108.3.4 风险管理 . 11附录A （规范性附录） 附录名称 . 1参考文献 . 2GB/T 200III前 言GB/T .1信息技术服务外包 第1部分：服务交付保障通用要求对信息技术的服务提供方提出了保障服务交付的一般性要求。信息技术的服务提供方还可根据具体的需求选择遵循以下标准：GB/T XXXXX.2信息技术服务外包 第2部分：数据（信息）保护规范GB/T XXXXX.3信息技术服务外包 第3部分：呼叫中心运营规范GB/T XXXXX.4信息技术服务外包 第4部分：交付中心规范GB/T XXXXX.5信息技术服务外包 第5部分：非结构化数据采集及分析规范本部分由工业和信息化部提出。本部分由全国信息技术标准化技术委员会归口。本部分起草单位：本部分主要起草人：GB/T .1200IV引 言随着经济全球化的不断深化，基于信息技术的服务外包得到了迅速的发展，中国已成为全球重要的服务外包承接国，国内的服务外包产业也存在着巨大的市场潜力。服务外包的相关标准旨在规范和引导中国服务外包企业行为，为服务发包方和服务提供方之间建立标准化的沟通语言，提高中国国内服务提供方的服务水平和服务承接能力，培育优质、有竞争力的服务提供方，促进形成合理、公平、有序竞争的市场秩序，推动中国服务外包产业的健康快速发展。本部分着重描述与服务外包相关的要求，从服务外包的战略管理、服务实现和服务交付保障三方面对服务提供方提出了行为要求，也为服务发包方评价、选择服务提供方提供了参考依据。GB/T -2001信息技术服务 外包 第1 部分：服务交付保障通用要求1 范围本部分规定了信息技术服务外包中保障服务交付的通用要求，适用于：a) 提供信息技术服务或计划提供信息技术服务的组织。b) 评价、选择信息技术服务提供方的服务发包方。c) 评价、认定信息技术服务提供方能力水平的第三方。2 规范性应用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。3 术语和定义3.1 服务外包 Service Outsourcing服务外包是指组织将原本由自身完成的，非核心的全部或部分业务剥离出来，委托给其他组织完成，以降低成本，提高效率，优化产业链，提升组织的核心竞争力的商业行为和管理模式。3.2 服务发包方 Client指信息技术服务的需方，在本部分中，服务发包方也称为客户。3.3 服务提供方 Service Provider指信息技术服务的供方，在本部分中，服务提供方也称为组织。3.4 分包方 Subcontractor指承接分包服务的服务提供方。3.5 合作伙伴 Partner指与服务提供方以合作关系共同完成服务的其它服务提供方。3.6 服务目录 Service Catalogue服务提供方提供的标准服务的列表。3.7 服务级别协议Service Level Agreement服务提供方与服务发包方之间签署的描述服务和约定服务级别的协议。4 本部分框架2ActDo图 1 服务外包标准框架本部分包含了战略管理、服务实现和服务交付保障三方面内容。从战略管理方面对组织的业务规划和部署、服务目录管理、能力和可用性管理提出了要求；从服务实现方面对组织实现服务交付提出了要求；从服务交付保障方面对组织保障服务交付的业务管理、资源管理和威胁管理提出了要求。组织应根据上述要求建立、实施、监控和评估服务外包管理体系，并进行持续改进，以更好满足客户需求。5 服务外包管理体系目的：建立和实施组织服务外包管理体系，为客户提供标准化的服务，并对服务过程进行持续的改善，以促进服务质量的提升。要求：a) 服务外包管理体系定义1) 组织应根据本部分的通用要求建立并维护组织的标准服务过程。2) 组织应建立并维护对标准服务过程的裁剪准则和指南。b) 服务外包管理体系实施1) 组织应根据建立的标准服务过程实施相关活动。2) 组织应对执行标准服务过程的人员进行相应的培训、咨询和指导。c) 服务外包管理体系监控和评估1) 组织应监督标准服务过程的实施，确保正确、持续地执行过程。2) 组织应定期评估服务标准过程的执行情况。GB/T -20033) 组织应评估服务管理体系满足客户要求的程度。4) 组织可将服务管理体系与行业标杆进行比较，识别差距。d) 服务外包管理体系改善1) 组织应根据监控和评估的结果识别改善需求。2) 组织应根据识别的改善需求，进行改善的策划，制定改善方案。3) 组织应实施改善方案并跟踪方案的实施情况，对改善的效果进行评价。4) 组织应考虑对分包方提出改善要求。5) 组织可与客户、合作伙伴共同展开相关领域的改善工作。6 服务外包战略管理6.1 业务规划和部署目的：对服务外包业务的发展进行战略规划，建立组织的商业目标，以指导组织服务外包业务的经营、管理。要求：a) 组织应根据自身和客户的发展需求、市场和国家政策等，进行战略规划，建立商业目标。b) 组织应就服务外包战略规划制定具体的实施方案，可采用绩效管理等实施手段。c) 组织应对实施方案进行评审，以确保实施方案的可行性。d) 组织应部署实施方案以达成组织的商业目标。e) 组织应跟踪实施方案的执行情况，评估是否能够达成商业目标。f) 组织根据自身和客户的运营状况、市场及其他外部因素的变化，适时修改商业目标。g) 组织可根据管理的需要，将商业目标分解到业务单元，建立业务单元的商业目标。6.2 服务目录管理目的：建立和维护组织能够提供的服务信息。要求：a) 组织应根据客户需求、市场信息以及组织自身的能力定义能够提供的服务，建立服务目录。服务目录一般包括：服务名称、服务指标、服务等级、服务时间、安全方案等。b) 组织应在服务目录中考虑不同客户、不同应用领域的服务需求。c) 组织应建立服务目录裁剪的准则。d) 组织应确保服务目录的持续有效，在客户需求、市场条件和自身能力发生变化时，应对服务目录进行更新。6.3 能力和可用性管理目的：在合适的成本前提下，确保组织具备提供服务所需要的能力和可用性。要求：a) 根据服务需求、资源使用状况和组织的过程能力，建立和维护组织提供服务的能力和可用性管理的4策略。b) 组织应分析、评估当前及未来的能力和可用性，确认是否满足组织服务需求。c) 组织应根据分析的结果，策划和实施组织的能力和可用性管理活动，保证组织战略目标的实现。d) 组织应参照服务需求对服务的能力和可用性进行监督、度量、分析和控制。e) 组织应建立和维护过程能力基准，制定过程能力目标，并对过程能力基准及过程能力目标的达成情况进行分析，根据分析的结果采取必要的行动。7 服务实现过程7.1 服务设计与部署目的：依据客户需求和服务外包协议进行服务设计并有效部署，确保组织与客户对需求理解的一致，以交付满足客户需求的服务。要求：a) 服务需求沟通1) 组织应保证服务设计和部署团队理解服务需求。2) 组织应记录与客户进行服务需求沟通的结果。b) 设计和部署计划1) 组织应建立设计和部署计划以管理服务设计和部署。2) 组织应以计划为基础，跟踪和检查服务设计和部署。c) 服务规格说明1) 组织应根据服务需求制定服务规格说明，内容可包括：提供的服务、服务级别、服务接口等。2) 组织应将服务规格说明作为设计、部署和服务交付的基础。3) 组织应以客户能理解的方式提供服务规格说明，以及最终用户如何获取服务。4) 组织应基于自身和客户需求的改变而不断修改服务规格说明。d) 服务设计1) 组织应依据服务规格说明进行服务设计，将客户需求转化为交付的服务。2) 组织应在服务规格说明发生变更后，更新服务设计及部署。3) 组织应收集、分析客户对设计的反馈，识别和解决服务设计中的问题。4) 组织应在服务被部署前，实施设计验证，识别和解决服务设计中的问题。设计验证时可考虑以下方式：评审、审计、分析、仿真、测试和演示等。5) 组织可邀请客户参与设计验证。e) 服务部署1) 组织应根据服务设计部署服务，确保服务设计的所有方面都进行了部署。2) 组织应依据服务设计，配置人员、相关基础设施及其它资源，以满足服务交付的要求。7.2 服务交付目的：交付服务，达到服务设计要求，实现对客户的承诺。要求：a) 服务交付策划1) 组织应将任务分配到合适的人员，并提供资源。GB/T -20052) 组织应对服务交付活动进行策划，建立并适时更新服务交付计划。3) 组织可按多个层级对服务交付进行策划和跟踪。b) 客户培训1) 组织应为客户和最终用户提供培训以支持有效的服务部署和使用所交付的服务。2) 组织向客户和最终用户提供的培训可作为服务的一部分在协议中说明。c) 服务交付1) 组织应根据服务交付计划和服务设计交付服务。2) 组织应跟踪服务交付的进展，在发生偏离时采取纠正措施。d) 服务承诺验证1) 组织应使用评价指标来评估服务承诺是否达成。2) 组织应在无法达成对客户的服务承诺时，采取应对措施。e) 服务变更1) 组织应与客户协商，建立正式的服务变更过程。2) 组织应确保客户同意对服务及服务水平的变更。3) 组织应保证服务变更过程可控。4) 组织应对服务变更的结果进行验证。5) 组织应得到客户对服务变更结果的确认。7.3 服务移交目的：有效管理服务的移交，满足客户对业务连续性的要求，提高客户满意度。要求：a) 资源转入1) 组织应识别需要转入的资源，可包括服务相关的文档、软件、硬件、许可、设备、知识、技能等。2) 组织应配合客户完成资源转入，并进行跟踪和管理。3) 组织应制定转入资源的接收标准。4) 组织应依据接收标准对转入的资源进行验证。5) 组织应与客户明确转入资源在服务结束时的处置方案。b) 人员转入1) 组织应建立满足服务交付所需要的人员能力构成。2) 组织应识别并转入必要的人员，并确保其具备相关能力。3) 组织应在发生人员未转入或者被转入的人员不具有所需能力的情况下，开发所必需的能力。c) 服务连续性1) 组织应与客户协商其对服务连续性的要求。2) 组织应基于服务连续性的要求和服务移交风险，采取合适的移交方式。3) 组织可在协议中明确服务连续性的要求和移交方式。d) 资源转出1) 组织应根据资源转入时确定的资源处置方案实施资源转出。2) 组织应对资源转出进行跟踪和管理。3) 组织应配合客户对资源转出进行验证。e) 人员转出1) 组织应确保人员的平稳转出，满足客户对服务连续性的要求。62) 组织应识别人员构成或者人员能力的问题，并采取措施以支持组织业务的持续发展。f) 知识转出1) 组织应在服务结束时转出客户或其指定的服务提供商所需要的知识。2) 组织应识别是否对转出的知识拥有知识产权，并采取适当的行动。如在协议中与客户已明确对知识产权的转出要求，则按协议执行。7.4 事件管理目的：确保及时解决服务过程中发生的事件，尽快恢复服务或响应服务请求。要求：a) 组织应确定事件管理的机制，制定事件处理程序，对事件进行分级。b) 组织应实施事件处理方案，并跟踪方案的实施直至事件的解决。c) 组织应与客户沟通事件处理的进度和状态。d) 组织应分析事件发生的原因，并采取措施避免事件的再次发生。7.5 问题管理目的：主动识别问题，分析问题的原因，并采取纠正和预防措施，预防问题的重复发生，将问题对服务的影响降到最低。要求：a) 组织应识别服务交付过程中发生的问题。b) 组织应在问题发生时及时实施纠正方案，监视、评审并报告方案实施情况，以保证方案实施的有效性。c) 组织应分析已知问题的根本原因，制定预防措施，避免问题的重复发生或者把问题的影响降到最低。d) 组织应采取预防措施减少潜在的问题。e) 当完全避免问题的措施的成本过高时，组织可采用把问题的影响降到最低的措施。f) 在问题、纠正和预防措施涉及到客户、分包方或合作伙伴时，应与相关方进行沟通。8 服务保障过程8.1 业务管理8.1.1 协议管理目的：明确服务范围和水平，确定双方的权利和责任，避免或减少协议实施过程中的争议。要求：a) 组织应建立谈判准则，确保达成的协议能满足组织和客户的业务目标。b) 组织应策划和跟踪谈判，确定需要达成协议的关键点，确保在谈判中解决所有的重要问题。c) 组织应建立报价准则，确保以一致的方式确定服务价格。d) 组织应依据报价准则确定服务价格，估计服务成本，并验证定价是否合适。e) 组织应收集和分析客户需求、市场信息，以更好地了解客户的需求，并识别谈判的主要问题。GB/T -2007f) 组织应在对客户作出承诺之前，确认组织现有条件是否能够满足客户的需求，现有条件可包括：人员、知识、资产、技术、安全、知识产权等方面，应特别注意能否满足客户对信息安全的要求。g) 组织应基于客户需求起草和签订协议，可包括服务范围、服务水平、付费方式、组织和客户的角色和职责、知识产权归属及处理方式等。h) 组织应在商业条件发生变更时，分析变更的影响，确定是否需要修订协议。i) 组织应按照与客户商定的过程来修订协议。8.1.2 服务级别管理目的：定义、协商、记录并管理服务等级。要求：a) 组织应获得相关方对服务、服务等级指标及工作量特性的承诺。b) 组织应将交付的每一项服务进行定义，得到相关方同意并写入一份或多份服务等级协议（SLAs）文件中。c) 组织应对 SLAs 的变更过程进行控制和管理。d) 组织应通过相关方定期对 SLAs 评审，并对SLAs 进行维护，以确保SLAs 的时效性。e) 组织应对反映服务水平的指标进行跟踪和报告，报告中应表现出当前状况和趋势的信息。f) 组织应对跟踪过程中发现的不符合项的原因进行报告和评审，并对不符合项进行跟踪直到关闭。8.1.3 关系管理目的：管理组织与客户和分包方之间的关系，以满足客户需求，了解市场，并保持和发展应对市场变化和需求变化的能力。要求：a) 组织应管理与客户的沟通，以了解客户的需求和期望。b) 组织应基于客户的需求，评价和选择分包方和合作伙伴。c) 组织应评估分包方和合作伙伴的能力，确定偏差，并采取纠正措施。d) 组织应在服务交付跟踪中，包含对分包方和合作伙伴服务交付的跟踪。e) 组织应关注文化融合，消除与客户、分包方和合作伙伴之间的文化差异对服务交付的影响。f) 组织应发展和管理与现有、潜在客户之间的关系，应对市场和需求变化，明确组织定位。g) 组织应发展和管理与分包方、合作伙伴之间的关系，扩展组织能力，以应对市场和客户需求的变化。h) 组织应识别自身和客户的改善机会，帮助客户达成其商业目标。8.1.4 沟通管理目的：确保信息及时、准确、适当地传递给相关方，持续改善组织沟通能力。要求：a) 组织应基于服务外包业务需求确定与客户、分包方、合作伙伴的沟通需求。b) 组织应基于沟通需求，实施基础设施建设。如视音频会议室、IP 电话。c) 组织应确定与客户、分包方、合作伙伴进行沟通的人员的角色和职责。8d) 组织应基于沟通需求，识别、分析和培养人员沟通能力。e) 组织应确保沟通活动中，信息被及时、准确、适当地传递给相关方。f) 组织应与客户、分包方、合作伙伴明确各自进行的沟通的人员、方式和时机。g) 组织应管理与客户、分包方、合作伙伴的沟通内容和沟通质量，并实施持续改善。8.1.5 配置管理目的：保证服务相关的软硬件、工作成果物的完整性和持续有效性，支持其它服务外包相关活动。要求：a) 组织应明确配置管理范围，可包括自身、客户、分包方和合作伙伴的相关内容。b) 组织应明确客户对于配置管理的策略和要求，按照双方达成一致的方案去执行。c) 组织应确定对分包方的配置管理的策略和要求。d) 组织应分级别控制来自或提交给客户、分包方、合作伙伴的相关内容。e) 组织应特别关注来源于客户、分包方以及合作伙伴的变更请求，明确变更管理流程，保证变更的可追溯性，变更实施后要及时通知相关方。8.1.6 质量保证目的：提供过程、成果物和服务的适当的可视性，以支持组织交付高质量的服务。要求：a) 组织应对照适用的标准客观的评价所执行的过程、成果物和服务。b) 组织应识别、记录和反馈不符合问题，并跟踪问题解决的过程，直至关闭。c) 组织可从客户的反馈中识别不符合问题。d) 组织可对分包方的质量保证提出要求。8.2. 资源管理8.2.1 人员管理目的：管理和激励组织的人员，为服务交付提供人力资源保障。要求：a) 组织应根据组织目标和客户要求定义人员的角色、职责、权利及能力要求，并和员工沟通，使其能够完成工作。b) 组织应根据员工能力状况分配角色和职责，并定期审查。c) 组织应定期评估人员能力状况，维护人员的能力信息。d) 组织应根据组织目标和人员能力状况等确定能力发展需求，并定期策划和实施能力发展活动，来提升人员能力水平，发展活动可包括：培训、研讨会等。e) 组织应进行绩效管理，实施人员的绩效反馈。f) 组织应规划员工职业发展通道，为员工提供职业发展机会。g) 组织应建立奖励机制，表彰和奖励对组织目标达成有贡献的人员。GB/T -2009h) 组织应建立和维护能够使员工高效工作的环境，包括物理工作环境和其它资源。i) 组织应鼓励创新，建立创新激励机制。j) 组织应鼓励相关人员和团队参与决策过程。8.2.2 知识管理目的：通过对知识资产的开发、积累、更新和使用，节约组织服务时间和成本，提升人员能力，提高服务效率和质量。要求：a) 组织应建立知识管理的策略。b) 组织应对知识进行识别、收集、整理和开发。c) 组织应对知识资产进行分类，便于对其进行有效管理和使用。d) 组织应对知识资产进行验证和维护，对知识资产的变更进行有效控制。e) 组织应促进知识在组织范围内的有效使用和共享。f) 组织应关注与客户、分包方及合作伙伴之间的知识共享和使用。g) 组织应确保知识管理过程中符合信息安全和知识产权保护的相关要求。h) 组织可建立知识管理的激励机制，以形成知识分享、学习和使用的文化氛围。8.2.3 技术管理目的：为支持服务交付、减小技术风险、提高技术核心竞争力，对技术的有效性和充分性进行管理。要求：a) 组织应基于商业目标、客户需求等获取和部署能满足服务交付的技术。b) 组织应确认部署后的技术符合组织的技术需求。c) 组织应进行技术基础架构的建设，并取得受影响方的认同。技术基础架构中的组件可来自：客户、分包方、合作伙伴。d) 组织应维护、优化技术基础架构。e) 组织应识别自身、客户、分包方和合作伙伴的技术许可需求，协调客户或第三方以获得相关技术许可，并监控技术许可的使用和移交。f) 组织应为提高服务交付能力而寻求引入新技术，新技术的引入应得到相关方的认可。g) 组织应评估新技术部署后对服务水平和服务交付能力的影响。8.2.4 财务管理目的：控制组织服务交付成本，提高组织收益。要求：a) 组织应确定服务的财务管理范围和目标。b) 组织应估计服务交付成本，制定预算，对成本和预算进行跟踪和监控。c) 组织应管理服务相关资产，建立资产清单，跟踪资产价值。d) 组织应进行服务交付的财务审计。10e) 组织应对分包进行财务管理。f) 组织应识别降低成本或提高收益的机会，并采取改进措施。g) 组织可根据不同的协议类型和收费方式，采取不同的财务管理方式。8.2.5 基础设施管理目的：管理和维护组织提供服务所需要的基础设施，为服务交付提供保障。要求：a) 组织应根据服务外包业务的规划和设计，确定服务基础设施需求。b) 组织应根据服务基础设施需求进行基础设施建设。c) 组织应管理基础设施，记录其状态和使用情况，并对其进行维护，以满足服务交付的需要。8.3. 威胁管理8.3.1 安全管理目的：满足相关方的安全需求，规避安全风险，增强客户对组织的信任。要求：a) 组织应识别来自相关方及法律法规的安全要求，包括人员、技术、工作环境和资产等方面。b) 组织应建立安全管理策略，指定人员负责安全管理。c) 组织应识别安全风险，并进行安全风险控制。d) 组织应识别需要保护的资产，建立清单，指定责任人。e) 组织应提供满足安全要求的工作环境，并对其进行持续维护。f) 组织应依据“最小化原则”进行访问控制管理。g) 组织应建立事件处理流程，响应突发的安全事件，使灾难对服务交付的影响最小化，以满足业务连续性要求。8.3.2 知识产权管理目的：保护客户和组织的知识产权，规避来自第三方的知识产权风险。要求：a) 组织应识别、管理来自客户的知识产权，防止不当使用和泄露。b) 组织应识别、评审和管理来自第三方的知识产权，特别是软件著作权和专利权，规避知识产权风险。c) 组织应