ISO20000：2018技术服务风险表

1、北京志翔能源技术有限公司管理标准（秘级：公开）ZXNY-ITSMS-FX-2019国网吉林计量中心 2019 年用电信息采集系统适应性升级改造（状态评价失准更换及标设升级一电能表状态评价与更换项目扩展）服务招标框架）建设项目信息技术服务管理风险一览表版本编号：A/0编制：张宇审核：黄启东批准：焦志清持有部门：研发部2019 年12月19 日发布2019 年12 月19日起实施北京志翔能源技术有限公司发布 一、识别管理风险的重要性管理服务风险分析是对 IT 服务的重要性、关联性进行分析，当风险发生 时，为了使业务活动 能够持续运作，明确服务级别业务所依赖的重要组件，并针 对各类风险制定相应的处理

2、方案。管理服务风险分析帮助确定在关键 IT 服务不可用的悄况下，各部门的业 务处理中断所造成的 后果。为管理层提供了可靠的数据反映潜在的影响和可能 的损失，为设定优先级并选择适合的服务 策略奠定了基础。业务影响分析是选择合适服务级别的第一步。它为管理层提供了清晰的、 充分的以及准确的 信息，从而能够对企业的服务级别策略做出正确的决策。风险分析是对影响关键业务连续性的威胁发生的可能性以及一旦发生后 造成的影响进行评 估，从而识别高级别的风险。管理层根据这些信息以决定： 从服务级别的角度判断各个业务系统的重要性； 依据不同的服务级别，决定至关重要的业务功能或应用系统必须在多长 时间内服务级别运行；

3、哪种是能够满足服务级别时间要求的最可行的服务级别策略； 需要什么资源才能将至关重要的应用系统服务级别到最基本的运行； 哪些因素必须预先考虑，才能满足服务级别时间的要求； 这些信息以及相应的决策构成了连续性策略的基础。二、信息技术服务管理风险一览表，详见下述列表。信息技术服务管理风险一览表序号风险点应对服务策略有效性责任部门责任人1管理体系未建立或未能实 观可持续发展n服务管理手册4.5有效管理层焦志淸2部门职责和权限不淸晰信息安全服务手册4.1.1和1.1.3,从总体和各部门分别明确 了职责和权限有效行政部孟丽媛3未能制泄信息安全方针、 服务方针和变更方针(IT服务管理手册4.1.2有效管理层

4、焦志淸4未能制定屋化的服务目标 或服务目标与实际不符内部审核程序和管理评审 程序，建立持续改进的架构有效管理层焦志淸5文件和记录与实际脱节文件和记录管理程序明确了 管理的要求、行政管理程序 为落地提供了有效保障有效行政部孟丽媛6资源提供不匹配内部审核程序和管理评审 程序，建立持续改进的架构有效管理层焦志淸7服务目录与实际不符合服务策划管理程序有效市场部刘洋8设计或转换服务要求不明确服务策划管理程序有效研发部张宇9服务等级不明确、管理 混乱服务级别管理规泄有效研发部张宇10业务连续性和可用性存在 漏洞，不能有效保障连续 性和可用性服务连续性和可用性管理规 泄有效研发部张宇11财务预算和核算存在较大 出入服务预算及核算管理规左有效财务部杨一凡12系统运行数据未进行风险 分析，安全措施及风险应 对措施未明确；配置管理规左发布部署管 理规定有效研发部张宇13信息安全管理意识薄弱，管理措施不到位信息安全管理程序有效行政部孟丽媛14业务关系管理不到位，致 使客户与供应链衔接脱 节，不能有效、及时、保 质保量的服务客户业务关系管理程序、供应 商管理程序有效市场部刘洋15异常解决不及时，问题处 理不到位事件管