GB/T 36074.2-2018 信息技术服务 服务管理第2部分：实施指南

ICS35.080

L77

国

=11:.

中华人民和国国家标准

GB/T36074.2-2018

信息技术服务服务管理

第2部分：实施指南

Informationtechnologyservice-Servicemanagement-

Part2:Implementationguide

2018-03-15发布2018-10-01实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

GB/T36074.2-2018

目次

前言……………………......ill

1范围－

2规范性引用文件－

3术语和定义·

4组织环境………………·……2

4.1理解组织及其背景环境……………..……….2

4.2理解相关方的需求和期望………………….2

4.3确定信息技术服务管理体系的范围…·……2

4.4信息技术服务管理体系

5领导作用…·

5.1领导作用与承诺

5.2信息技术服务管理方针

5.3职责与协调沟通……………………4

6策划………………………4

6.1风险和机遇的应对措施……………4

6.2服务目标及其服务管理体系的策划

6.3变更的策划

7支持…·

7.1概述

7.2资金投入

7.3人力资源和人员意识………………7

7.4设备设施

7.5信息资源…….....………………….8

7.6形成文件的信息………………...…………….8

8运行………………………9

8.1运行策划

8.2服务要求的确定……

8.3服务的设计与开发…

8.4服务部署…

8.5服务运营…………...…………·17

8.6服务终止……………18

8.7外部供应的产品和服务的控制·

9绩效评价…………………20

9.1概述…………………20

9.2监视和测量…………………………20

9.3顾客满意调查……....…………·20

9.4内部审核……………21

GB/T36074.2-2018

a)设置财务预算、核算制度，根据服务管理计划及顾客的要求策划资金的投入预算，定期对资金

投入情况进行核算；

b)设置财务审计制度，监管资金的使用过程；

c)设置财务分析制度，在预算、核算报告和财务审计报告的基础上，结合业务特点，分析总结资金

投入的合理性、适度性，必要时调整资金的投入预算。

7.3人力资源和人员意识

7.3.1人力资源

组织应确定井提供所需要的人员，这些人员从事的下作影响信息技术服务管理体系绩效和有效’性，

如高层管理人员、内部审核人员、服务丁．程师等。

组织应识别关键人员，确保关键人员对服务绩效和风险的影响得到控制。

组织应：

a)根据业务流程，设置合理、充足的岗位，并确定岗位职责和任职人员所需的能力。能力至少包

括：知识（受教育程度）、技能（专业技术资格）和经验（相关下作经历）等；

b)制定适合的培训制度，对任职人员进行培训，使其具备与之任职岗位相匹配的能力或达到人员

储备的目的；

c)制定适合的人员储备机制，以保证拥有足够的人员提供持续服务；

d)制定适合的绩效考核制度，对人员的能力、意识、规范性等方面定期进行评价，用于衡量人员与

其任职的岗位要求之间的差距，为岗位调整、人员培训ii、奖惩等提供依据；

c)保留适当的形成文件的信息，包括教育、培训ii、技能、经瑜、绩效等信息，作为人员能力的证据。

7.3.2人员意识

组织应对其控制范固内的人员进行意识教育，确保其知晓：

a)组织的信息技术服务管理方针和目标。可通过会议、绩效考核、企业文化活动等多种方式，确

保员丁．的个人目标与组织的服务管理方计、目标保持一致；

b)对信息技术服务管理体系有效性的贡献，包括改进服务绩效的益处。明确自己在信息技术服

务业务中所承担的责

任与义务，以及相应的收益与风险；

c)不符合信息技术服务管理要求带来的后果。

7.4设备设施

组织应确定、提供和维护过程运行所需的基础设施。组织应：

a)在法律许可的情况下，确定必要的设备设施，包括：

1)提供服务的士作场地，要考虑到建筑物和本地环境的条件；

2)信息技术相关的计算机硬件（例如：服务器、存储设备、不｜可断电源）、计算机软件（例如：操

作系统、数据库）、服务T具（例如：过程下具、专用丁－具等）、实验设备等；

3)通信系统，要考虑服务本身所需的通信要求（例如：主机和备机之间的互联）以及服务场地

与外部的联系需要（例如：通过互联网发送邮件、通过电话报告异常）；

的相关的信息系统及信息处理设备（例如：信息技术服务管理系统）；

的相关的运输系统（例如：备件从库房运输到服务现场）；

的根据服务要求不同而产生的其他可能需要的设备设施（例如：备份系统>a

b)制定设备设施管理制度，包括：

1)设备设施评价。通过开展差距分析来检查目前的设备设施是再满足当前及未来的业务需

7

GB/T36074.2-2018

求，以识别新的设备设施需求，并对分析中发现的问题制定改进措施；

2)设备设施维护。对设备设施进行分级分类，针对不同级别或类别的设备设施制定不同的

维护和保养机制；

3)设备设施风险管理。组织宜采用合适的方法识别和评价设备设施相关的风阶，必要时结

合业务持续性管理的需求对关键设备设施制定应急预案，并定期进行演练和改进。

7.5信息资源

组织应识别州与服务过程及实驯服务符合性相关的数据信息，通过采取适当的措施或必要的技术

手段（例如：使用监视和测量资源）确保可以获取这些信息；并将这些信息通过适宜的策略转化为组织的

知识资产。

在此过程中，组织应：

a)根据识别的数据来集需求，识别并提供适当的监视和测量资源，以确保结果有效且可靠。监视

和测量资源可包括监视或测量设备、评价方法等，监视和测量所需的资源可能因组织提供的服

务类型不同而有差异；

b)对通过监视和测量资源获取的信息进行全生命周期的管理，包括信息的识圳、采集、存储、分

析、处理等；

c)将那些认为对过程运行及实现服务符合性必要的信息提炼转化为知识；

d)建立统一的知识管理策略，确保知识在适宜的范围内得到保持和共享；

e)采用多种方式获取所需的知识（例如：编辑发布、邮件采集、网页剪裁、建立经验库、知识库和行

库等），必要时导人知识管理信息系统，适时识圳、确定和维护过程运行和实现服务符合

业数据

性所需的各类知识，涉及知识产权保护的宜严格按照同内外知识产权保护法规执行；

£)组织宜采取适当的措施或使用必要的技术手段，保证信息资源满足以下特性：

1)准确性（例如：通过使用自动化了具保证服务过程数据可真实客观地呈现服务过程的关键

节点状况、通过知识入库前的审核环节保证知识库中的知识条目内容准确）；

2)及时性（例如：使用自动告警系统可在故障发生时及时获得告警信息、知识库及时更新且

知识内容可支持当前服务的需求）；

3)安全性（例如：通过权限设置保证信息不可被篡改，使用网络技术保证装载信息的系统不

被恶意破坏）；

的保密性（例如：在符合法律法规和相关方要求的前提下，防止数据信息非授权获取、知识库

中的内容不可涉及组织保密信息等）。

7.6形成文件的信息

7.6.1概述

组织应确定信息技术服务管理体系和本标准要求的形成文件的信息。这些信息应包括：

a)SJ/T11693.1-2017所要求的形成文件的信息（例如：服务管理方制和目标、服务目录等）；

b)组织内部从规章制度层面考虑建立的制度、办法、规定和实施细则，从企业标准化方面考虑建

立的下作标准、管理标准和技术标准，组织发布的与管理体系有关的文件；

c)执行上述各类文件过程中所产生的各类记录、档案，用于对完成的活动或达到的结果提供客观

证据的文件。

形成文件的信息宜与组织的规模、活动类型、过程、产品和服务、过程及其相互作用的复杂程度、人

员的能力相适应。

8

GB/T36074.2-2018

7.6.2创建和更新

创建和I更新形成文件的信息时，组织应确保合适的：

a)标识和描述（例如：标题、日期、作者、索引编号等）。宜制定统一的标识和描述方式，以便于识

别和检索；

b)格式（例如：语言、软件版本、罔示）和媒体（例如：纸质、磁媒体）。不同信息可采用不同的格式

和｜存储媒体；

c)评审和批准。适当的评审和批准有助于确保文件的适宜性和充分性。

7.6.3形成文件的信息的管理

7.6.3.1控制形成文件的信息

对形成文件的信息可采取的控制措施包括但不限于：

a)对形成文件的信息进行全生命周期的管理，可以适当形式提供；

b)确保这些形成文件的信息可为相关区域、部门、过程所有者获取；

c)根据形成文件的信息的所用方法，考虑控制的级别，对形成文件的信息进行适当的控制，控制

包括可用性、分发和保护（例如：防止信息丢失、不当使用和非预期的修改）；

d)当服务由外部提供时，考虑将相关形成文件的信息以适合于使用的形式提供给外部相关方（例

如：外部服务提供商的服务级别协议或在过程界面以电子格式下载的过程参数信息）；

e)作为形成文件信息系统的一部分，确保制定了必要的控制措施以确保信息不被丢失，防止不当

使用和非预期的修改，控制措施可包括电子系统只读访问、规定不同级别的访问权限、u令保

护和用户名登录等，控制级别可因访问人员和地点而异（例如：外部组织与内部部门相比，可能

需要更多的访问控制和非预期的修改限制）。

7.6.3.2形成文件的信息的管理活动

组织对形成文件的信息进行管理时应关注以下活动：

a)控制形成文件的信息，包括分发、访问、获取和使用、存储和保护、变更控制、保留和处置；

b)在建立了控制形成文件的信息分发和访问的体系后，考虑如何存储、维护及随着时间推移在必

要时处置信息；

c)考虑如何维护、存储以及在必要时检索历史的形成文件的信息，以便将来使用；

d)考虑版本控制（例如：修订状态和作废状态），确保识别当前有效的形成文件的信’息和作废的文

件的信息。考虑到组织需要从作废的文件的信息中识别信息，作废的文件的信息的存储非常

关键，这些信息应通过恰当形式得以维护，以确保得到保护，形成文件的信息的保留时间在某

些领域可能有法律要求，其他情况下可由组织根据产品和服务的寿命确定。

组织所确定的策划和运行信息技术服务管理体系所需的外来文件应确保得到识别和控制，外来文

件包括：相关法律法规，国家、行业、地方、企业标准，顾客要求等。

8运行

8.1运行策划

8.1.1概述

运行策划应按照GB/T292642012的要求策划服务业务范围与内容，保持与管理体系策划的一

致性。组织应：

9

GB/T36074.2-2018

a)JA确定服务的目标和要求开始，识别服务的生命周期及各阶段的管理要点与资源需求；

b)策划各类服务的内容并形成服务目录；

c)建立服务组织结构，明确服务所需的人员、技术、过程和资源；

d)形成服务管理计划，并保障服务管理计划的执行；

e)策划与服务业务相适应的绩效评价体系；

f)在识圳和处置服务管理计划执行的风险后，对运行策划的输出进行评审。

8.1.2确定服务目标和要求

组织应确定服务要实现的功能和效能希望达到预期的程度。包含明确的和隐含的要求，明确的要

求包括协议的要求、需方业务的要求，隐含的要求包括法律法规的要求、需方的期望等。

a)服务目标和要求的内容宜包括但不限于：

1)质量的预期；

2)服务的范围；

3)资源和能力的要求；

的使用中的服务，包括服务级别要求；

5)设计新的或变更的服务的质量原则；

的服务对业务关键性的优先级排序；

7)服务的可用性与连续性要求；

的信息安全要求；

的已知的限制，例如人力，技术，信息和l金融资源的限制；

10)对服务交付的测量、审计、报告和改善的要求。

b)服务的目标和要求应：

1)被记录、监控、l:i!I顾和管理，以确保其与新的或变更的服务以及现有服务的持续一致性；

2)基于组织战略；

3)分析需方的信息技术服务需求、市场的发展情况、同类产品、相关标准和法律法规等信息；

的识别服务的定位、对象、环境、价值等以及组织的交付能力和资源情况；

5)作为f言息技术服务管理体系的输入。

8.1.3识别服务的生命周期

组织应识别由规划设计、部署实施、服务运营、持续改进和监督管理五个阶段组成的服务生命周期。

组织应：

a)建主贯穿服务生命周期活动中所遵循的基本原则，例如：与目标和要求保持一致的方法（后评

估、阶段性校验）、评估与决策的侧重依据（戚本优先、客户满意度优先）、处理冲突与差异的指

导思想等；

b)在信息技术服务生命周期的各个阶段设定面向需方的服务目标。

8.1.4形成服务目录

组织应考虑服务业务的目标、需方的要求、最高管理者的要求、组织内部环境、外部环境等因素，以

确定组织提供的服务类型、服务内容、服务级别等，并参照GB/T29264-2012的要求形成组织级服务

目录。

服务目录宜：

a)与组织服务业务相对应；

b)定义服务内容，包括服务项名称、服务项的目标、服务项内容的构成、服务方式等；

GB/T36074.2-2018

c)制定制度，对服务目录进行维护，并保持更新；

d)用于与需方确定服务级别协议的依据；

e)能被相关方请问和获取；

f)包含服务编码、服务类别、服务名称、服务内容、服务目标、服务级别、安全处理等内容。

8.1.5建立服务的组织结构

组织结构建立或优化，应考虑服务的要求、部门设置及职能规划，并表明组织各部分支持关系、空间

位置、聚散状态、以及各要素之间相互关系。

a)供方设计组织结构中的不同岗位时，宜考虑：

1)组织的业务特点；

2)服务目录的内容；

3)业务流程；

的服务的目标和要求；

5)服务方针；

的组织内部环境。

b)服务的组织结构中的岗位类型至少包括：

1)管理岗；

2)技术支持岗；

3)操作岗。

c)组织宜明确岗位分了、职责和权限定义。岗位职责宜考虑：

1)任职人员的知识、技能和经验等方面的要求；

2)规定岗位间的关联关系和协同要求；

3)形成岗位职责说明书。

8.1.6形成服务管理计划

组织应根据业务目标、服务要求等从人员、过程、技术和资源方面策划服务管理计划。

a)计划内容宜包括：

1)服务管理计划的介绍；

2)服务提供者组织功能的描述；

3)活动的优先级；

的预期成果与业务目标的一致性；

5)绩效评估；

的服务目标；

7)项目管理计划；

的任务和资源；

的实施改善的预计收益的达成；

10)实施计划的时间限制；

11)风险和风险缓解方案。

b)服务管理计划应：

1)促进服务管理体系中所有行动方案保持协调一致；

2)确保服务目标和要求的实现；

3)确保服务管理目标的实现；

4)可由一个单一的计划或一个整合的方案构成；

11

GB/T36074.2-2018

5)确保资源和能力的使用效果和效率最大化；

的作为一个强有力的机制，以确保端到端的可视与控制，同时也能避免相互冲突的行动方案

被批准或实施；

7)与所有相关方进行沟通；

的确保各方对行动方案的范围、任务、时限和分配的责任有共同的理解；

9)识别、评估和管理服务管理计划的风阶；

10)持续修订，以适应业务需求、需方要求、优先级和服务提供者的不断变化。

8.1.7建立绩效评价体系和服务保障机制

根据服务管理计划的内容，明确考核机制和阶段性绩效指标，建立绩效评价体系，组织应：

a)建立完善的监督管理体系；

b)制定合理的服务测量指标及