ISO∕IEC 20000-1：2018《信息技术服务管理第一部分：服务管理体系要求》之4-“4.4服务管理体系”理解与应用指导材料

“4.4服务管理体系”理解与应用指导材料ISO/IEC20000-1:2018《信息技术服务管理第一部分：服务管理体系要求》之4：“4.4服务管理体系”理解与应用指导材料ISO∕IEC20000-1-2018《信息技术—服务管理第1部分服务管理体系ISO∕IEC20000-1-2018《信息技术—服务管理第1部分服务管理体系》4组织环境4.4服务管理体系组织应按照本标准的要求，建立、实现、保持和持续改进服务管理体系，包括所需的过程及其相互作用。组织环境服务管理体系组织应按照本标准的要求，建立、实现、保持和持续改进服务管理体系，包括所需的过程及其相互作用。建立服务管理体系：组织应依据ISO/IEC20000-1:2018的标准要求，构建服务管理体系框架，确保所有服务管理活动均有章可循；过程及相互作用：明确服务管理体系中的各个过程及其相互作用，确保流程顺畅，信息流通，形成闭环管理；实现与保持：通过制定和实施服务管理计划、政策、流程等，确保服务管理体系得以有效运行并持续保持其有效性；持续改进：组织应定期评估服务管理体系的绩效，识别改进机会，并采取措施不断优化体系，以适应内外部环境和相关方需求的变化；一旦外部和内部因素、相关方的需求和期望和范围服务管理体系得到确定，组织就决定如何将IS0/IEC20000-1的要求作为过程来实施。识别外部和内部因素（见4.1）：组织应全面分析影响其服务管理体系的外部（如市场、政治、经济和环境影响、竞争、法律法规、外部客户需求以及可能影响服务的事件的可能性等）和内部（如政策、资源、能力、人员、技能和知识、组织结构、治理、文化、内部客户需求和财务）因素；相关方需求与期望（见4.2）：明确外部和内部相关方（如客户和客户代表、高层管理人员、管理代表、客户管理人员、人员、组织内的支持职能部门（例如。技术支持、人力资源、设施、法律、招聘、采购）、供方、合作伙伴、监管机构、审计师、贸易和专业协会以及竞争对手）的需求和期望，并将其融入服务管理体系的设计和实施中；范围确定与过程实施（见4.3）：确定服务管理体系的范围，并决定如何将ISO/IEC20000-1的要求转化为具体的过程和活动，确保所有要求均得到有效执行。组织应确定服务管理体系所需的过程及其在整个组织中的应用，且应：确定这些过程所需的输入和期望的输出；过程输入：组织应清晰地识别每个服务管理过程所需的具体输入。输入信息应全面、准确，能够支持服务管理过程的顺利运行和目标的实现。这些输入可能包括但不限于：客户需求：了解并识别客户对服务的需求和期望，确保服务管理体系能够满足这些需求；服务级别协议（SLA）：根据与客户签订的服务级别协议，明确服务的性能、可用性、响应时间等具体指标；资源需求：确定执行服务管理过程所需的人力、技术、信息和财务资源；政策与策略：服务管理方针、目标以及组织整体战略方向对过程输入的影响；法律法规要求：遵循相关的行业法规、国家法律法规以及合同义务。期望输出：组织应为每个服务管理过程设定明确的期望输出。这些输出是衡量过程成效和服务质量的关键指标。期望输出应具有可衡量性，便于组织对服务管理体系的成效进行监视和评价。服务交付结果：确保服务按约定交付，满足客户需求和SLA中的各项要求；绩效指标达成情况：通过量化指标（如服务可用性、事件解决时间、客户满意度等）来衡量服务管理体系的绩效；持续改进的依据：期望输出不仅反映当前服务状况，还应为后续的改进活动提供数据和参考。确定这些过程的顺序和相互作用；确定这些过程的顺序；确立逻辑顺序：组织需要系统地梳理服务管理体系中的各个过程，明确它们之间的逻辑先后顺序。这有助于确保服务从规划、设计、转换、交付到改进的每一个阶段都能按照既定的流程有序进行，避免混乱和重复劳动；使用流程图：使用流程图等可视化工具可以帮助组织直观地展示服务管理过程的顺序，使相关人员能够清晰地理解每个过程的输入、输出以及它们在整体流程中的位置；识别关键里程碑：在梳理过程顺序时，组织还应识别出各个关键里程碑，以确保在每个重要节点上都能进行有效的控制和评估。确定这些过程的顺序和相互作用。明确接口与依赖关系：不同服务管理过程之间往往存在接口和依赖关系。组织应仔细识别这些关系，确保过程之间的顺畅衔接和有效协同。例如，变更管理过程可能需要与服务连续性管理过程进行接口，以确保在变更实施前已充分考虑其对服务连续性的影响；建立信息共享机制：为了促进过程间的信息共享，组织可以建立跨部门的沟通机制和信息系统，确保关键信息能够及时、准确地传递给相关方。这有助于提升整个服务管理体系的响应速度和决策效率；推动协同工作：鼓励不同部门和团队之间的协同工作也是促进过程相互作用的重要手段。通过定期召开跨部门会议、组建联合工作小组等方式，可以加强过程间的沟通和协作，共同解决服务管理中遇到的问题。确定和应用所需的准则和方法（包括监视、测量和相关绩效指标），以确保这些过程的有效运行和控制；确定与应用准则与方法；适用性为核心：组织需根据服务管理体系的具体要求，制定一系列适用的准则和方法。这些准则和方法应覆盖服务管理的各个方面，如服务级别管理、事件管理、问题管理等，确保每项活动都有章可循；灵活性与一致性并重：在制定准则和方法时，组织既要考虑灵活性以适应不同场景和需求，又要确保一致性以保持管理体系的完整性和连贯性；实施与培训：制定完成后，组织需确保这些准则和方法得到有效实施，并对相关人员进行培训，使其充分理解和掌握。建立监视与测量机制；数据收集与分析：监视和测量活动应伴随着数据的收集和分析，以便对过程绩效进行量化评价。这些数据可以为后续的决策和改进提供有力支持；定期评价：组织应建立监视和测量机制，定期对服务管理体系内各个过程的绩效进行评价。这有助于及时发现潜在问题，并采取措施进行纠正；反馈机制：建立有效的反馈机制，确保监视和测量结果能够及时反馈给相关人员，促进其采取必要的改进措施。设定与应用绩效指标。关键绩效指标（KPIs）：组织应设定一系列关键绩效指标（KPIs），以量化评估服务管理体系内各个过程的绩效。这些KPIs应与服务管理体系的目标和战略保持一致，确保其针对性和有效性；量化评价：通过KPIs对过程绩效进行量化评价，可以更加直观地了解各项活动的实际表现。这有助于组织识别强项和弱项，为持续改进提供明确方向；持续改进的依据：KPIs不仅是评估过程绩效的工具，更是组织持续改进的重要依据。通过定期审查和分析KPIs，组织可以发现潜在的改进机会，并制定相应的改进计划。确定这些过程所需的资源并确保其可获得；资源识别；全面性与具体性：组织需要全面识别每个服务管理过程所需的各种资源，包括但不限于人力资源、技术资源、信息资源和财务资源等。识别过程应具体到每项资源的具体需求，如人员数量、技能要求、技术设备、信息系统支持以及预算分配等；动态调整：随着服务管理体系的不断发展和外部环境的变化，组织所需资源也会发生相应变化。因此，资源识别应是一个动态调整的过程，组织需要定期评估资源需求，确保资源分配的合理性和有效性。资源保障。及时性与有效性：在识别出所需资源后，组织应确保这些资源能够及时到位，以满足服务管理体系运行的需求。这包括招聘和培训合格人员、采购必要的技术设备、建立和维护信息系统以及合理分配财务预算等；资源优化配置：在保障资源可获得性的同时，组织还应注重资源的优化配置。通过合理调配和整合现有资源，提高资源利用效率，降低运行成本，实现服务管理体系的高效运行；持续监控与评估：为确保资源的持续有效性，组织应建立资源监控和评估机制。定期对资源使用情况进行审查和分析，及时发现并解决资源短缺或浪费问题，确保服务管理体系的顺畅运行。分配这些过程的职责和权限；分配职责；明确责任主体：为了确保服务管理体系内的每个过程都能得到有效执行，组织必须明确每个过程的责任主体。应具体到个人或团队，确保每项任务都有明确的负责人；避免责任真空：在分配职责时，组织应特别注意避免出现责任真空的情况。即任何一项任务都不应处于无人负责的状态，以免导致工作延误或失误；职责清晰界定：除了明确责任主体外，组织还应清晰界定每个人的具体职责范围。这有助于减少工作中的混淆和冲突，提高工作效率。授予权限；根据职责授予权限：在明确职责分配的基础上，组织应根据每个责任主体的具体职责授予其必要的权限。这些权限应确保相关人员能够顺利开展工作并有效履行职责；权限适度原则：在授予权限时，组织应遵循适度原则。既要确保相关人员有足够的权限来完成工作任务，又要避免权限过大导致滥用或误用风险；权限变更管理：随着服务管理体系的发展和组织结构的调整，相关人员的职责和权限也可能发生变化。因此，组织应建立权限变更管理机制，确保权限的及时调整和更新。按照“6.1应对风险和机遇的措施”的要求应对风险和机遇；风险识别：组织应定期识别和评估可能影响服务管理体系实现其预期结果的风险和机遇。这一过程需要组织具备高度的警觉性和前瞻性，确保能够及时发现和识别潜在的风险和机遇；风险分析和评价：对于已识别的风险和机遇，组织需进行深入的分析和评价。分析的内容包括但不限于风险的可能性、影响程度以及潜在机遇的价值和可实现性。通过这一过程，组织可以更清晰地了解风险和机遇的性质和程度，为后续应对措施的制定提供依据；风险和机遇应对：针对已识别的风险和机遇，组织应制定并实施相应的应对措施。对于风险，应对措施应旨在预防、减轻或避免其不利影响；对于机遇，应对措施则应旨在捕捉和利用，以促进服务管理体系的持续改进和发展。具体应对措施包括：规避风险：通过采取措施避免风险的发生，例如制定严格的安全管理制度，防止信息泄露和损坏；接受风险：在评估风险的可接受性后，组织可以选择接受某些风险，但应确保这些风险在可控范围内，并制定相应的应急计划；降低风险：通过采取措施降低风险的发生概率或影响程度，例如加强员工培训，提高服务质量和效率；分担风险：与合作伙伴或其他相关方共同分担风险，通过合作和协调降低风险对组织的影响；利用机遇：对于潜在的机遇，组织应制定具体的行动计划，充分利用这些机遇提升服务管理体系的效能和竞争力。确保稳定性和适应性：应对措施的制定和实施应确保服务管理体系的稳定性和适应性。稳定性要求组织能够应对各种不确定性和变化，确保服务管理体系的连续性和可靠性；适应性则要求组织能够灵活调整和改进服务管理体系，以适应不断变化的业务需求和市场环境；整合风险管理框架：服务管理体系内的风险管理应与组织的风险管理框架紧密结合，以确保风险的一致定义和处理。这意味着组织应将服务管理体系的风险管理纳入其整体风险管理战略中，实现风险管理的全面性和系统性。评价这些过程，实施所需的变更，以确保实现这些过程的预期结果。过程评价：组织应定期对服务管理体系中的各个过程进行评价，这是确保服务管理体系持续改进和有效运行的关键环节。评价的目的是识别过程中存在的问题、不足之处以及潜在的改进机会。评价方法：过程评价可以通过多种方式进行，包括但不限于内部审核、管理评审、客户满意度调查等。这些方法各有侧重，能够从不同角度全面审视服务管理体系的运行状况。内部审核：由具备资质的审核员对服务管理体系进行客观、独立的评价，以确认其是否符合ISO/IEC20000-1的要求。管理评审：由最高管理者定期主持，对服务管理体系的适宜性、充分性和有效性进行全面审查，以确保其与组织的战略方向和业务目标保持一致。客户满意度调查：通过收集和分析客户对服务的反馈意见，了解服务管理体系的实际效果和客户需求，为改进服务提供依据。识别问题与改进机会：在评价过程中，组织应重点关注过程输出的符合性、过程的效率以及客户和其他相关方的满意度等方面，识别存在的问题和改进机会。这些问题可能涉及流程设计、资源分配、人员能力等多个方面。变更实施。制定变更措施：根据过程评价的结果，组织应制定并实施必要的变更措施。这些变更措施应针对识别出的问题和改进机会，旨在优化过程绩效，确保实现预期结果。变更内容：变更可能涉及流程调整、资源重新配置、人员培训等多个方面。例如，针对流程中的瓶颈环节，组织可以优化流程设计，简化操作步骤；针对资源不足的问题，组织可以增加资源投入或调整资源分配方案；针对人员能力不足的问题，组织可以组织培训活动，提升员工技能水平。变更管理：变更实施应遵循组织的变更管理流程，确保变更的策划、实施、监控和评审等各个环节得到有效控制。在变更过程中，组织应充分考虑变更对服务管理体系和现有服务的影响，确保变更的顺利实施和有效过渡。改进过程和服务管理体系。持续改进机制：建立持续改进的机制，鼓励全员参与，通过PDCA（计划－执行－检查－行动）循环不断优化服务管理体系；创新与学习：关注行业动态和技术发展趋势，积极引入新的管理理念和方法，提升服务管理体系的先进性和有效性；知识管理：加强知识管理，记录和分享服务管理过程中的最佳实践和经验教训，提升组织整体的服务管理能力和水平。在必要的范围和程度上，组织应：保持成文信息以支持过程运行；成文信息的必要性：组织应确保服务管理体系运行过程中所需的成文信息得到妥善保持。这些成文信息可能包括方针、程序文件、工作文件（作业指导书）、工作记录等，它们对于指导过程执行、确保一致性以及可追溯性至关重要；信息的完整性与准确性：保持的成文信息应完整、准确，能够清晰反映过程的要求和期望结果，为服务管理体系的有效运行提供有力支持；信息的易获取性：成文信息应易于获取，以便组织内部人员能够随时查阅和使用，提高工作效率和准确性。保留成文信息以确信其过程按策划进行。成文信息的保留：组织应保留足够的成文信息作为证据，以确信服务管理体系中的各个过程已经按照策划进行。这些保留的信息是验证过程合规性、评价过程绩效以及进行持续改进的重要依据；保留期限：组织应根据实际需求和相关法规要求，明确成文信息的保留期限。对于不再需要的信息，应按照规定的程序进行适当处置；信息的评审与更新：定期对保留的成文信息进行评审，确保其仍然适用且有效。随着服务管理体系的改进和外部环境的变化，组织应及时更新成文信息，以反映最新的管理要求和业务实践。ISO/IEC20000-12018强制性要求的成文信息清单ISO/IEC20000-12018中的强制性要求的服务管理方针变更管理方针信息安全方针策划服务管理体系服务连续性策划组织的SMS过程（SMS中的每个过程都必须在过程文档中进行描述）重大事件程序发生重大服务损失时应执行的程序和恢复正常工作条件的程序－这两个程序都在服务连续性计划内由其他方提供或运行的服务和服务组件由其他方运行的组织中的服务管理体系过程或部分过程服务生命周期中其他相关方的相关控制定义服务的客户、用户和其他相关方服务投诉组织与外部供应商之间的争议与外部供应商的合同与内部供应商的书面协议与作为供应商的客户签订的书面协议与以下相关的风险：1.组织2.不合格服务要求3.服务生命周期中其他各方的参与服务管理体系和服务的风险和机遇对客户的影响风险接受准则风险管理应采取的方法服务可用性风险服务连续性风险服务管理体系和服务的信息安全风险服务管理体系的范围服务管理目标能力证明由组织确定的对SMS有效性必要的成文信息组织为策划和运行SMS所需的外部来源的成文信息证明符合标准和组织要求的