信息技术服务管理体系要求 应用指南

在当今信息时代，信息技术服务管理体系认证已经成为了企业提高服务质量、保障信息安全和持续改进的重要手段。

在进行信息技术服务管理体系认证时，企业需要遵循一定的审核要求和指南，以确保其管理体系的有效性和可持续性。

本文将从深度和广度两个方面对信息技术服务管理体系认证的审核要求和指南进行全面评估，帮助读者更加深入地理解这一主题。

1. 信息技术服务管理体系认证的重要性信息技术服务管理体系认证是企业为了提高服务质量、保障信息安全和持续改进而进行的重要举措。

通过认证，企业可以建立起科学的管理体系，提高服务水平，增强客户满意度，降低风险，提高竞争力。

信息技术服务管理体系认证不仅是企业发展的需要，也是企业向外界证明其能力和信誉的有效手段。

2. 信息技术服务管理体系认证的审核要求在进行信息技术服务管理体系认证时，企业需要符合一定的审核要求。

企业需要明确其组织结构和职责分工，建立起科学的管理体系。

企业需要进行风险评估和控制，确保信息安全和服务可用性。

企业还需要定期进行内部审核和管理评审，不断改进管理体系。

企业还需要进行符合性评价和监督审计，以确保其管理体系的有效性和持续改进。

在进行信息技术服务管理体系认证时，企业可以参考一定的审核指南，以确保其认证工作的顺利进行。

企业需要了解认证机构的审核程序和要求，做好相关准备工作。

企业需要与认证机构进行有效沟通，明确认证的范围和要求，确保审核工作的准确性和全面性。

企业还需要准备充分的相关文件和记录，以便审核人员对其管理体系进行评估。

企业还需要对审核结果进行及时跟踪和处理，以确保其认证工作的顺利通过。

总结回顾通过本文的评估，我们可以看到信息技术服务管理体系认证的审核要求和指南对企业进行认证工作提出了较高的要求，但这也是保障企业管理体系有效性和可持续性的重要手段。

企业在进行信息技术服务管理体系认证时，需要严格遵循审核要求和指南，做好相关准备工作，与认证机构进行有效沟通，确保认证工作的顺利进行。

信息技术服务服务管理技术要求信息技术服务服务管理技术要求1、引言本文档旨在规定信息技术服务的管理技术要求，以确保服务提供方和服务接收方之间的合作顺畅进行，并确保提供的服务具有高质量和高效性。

2、服务管理原则2.1 服务目标与规划- 确定明确的服务目标和规划，以满足用户需求。

- 定期评估和更新服务目标和规划，以适应不断变化的需求。

2.2 服务流程- 设计和实施适当的服务流程，确保标准化和规范化。

- 追踪和评估服务流程的执行情况，及时调整和改进。

2.3 服务绩效- 设立明确的服务绩效指标，用于衡量和评估服务质量。

- 定期监测和报告服务绩效，确保持续的改进。

2.4 服务风险管理- 分析和评估服务风险，采取相应的风险管理措施。

- 建立应急计划和响应机制，以应对可能的服务故障和中断。

3、服务请求管理3.1 服务请求接收- 建立适当的服务请求接收渠道，确保请求被及时记录和反馈。

- 设立明确的服务请求分类和优先级，以便高效处理。

3.2 服务请求处理- 分配并跟踪服务请求，确保及时解决。

- 提供透明的服务请求处理流程，使用户能够随时了解请求处理状态。

3.3 服务请求关闭- 检查并确认服务请求的解决情况，确保用户满意。

- 完成服务请求后，及时关闭请求并记录相关信息。

4、问题解决管理4.1 问题识别和分类- 快速识别和分类问题，以便优先处理重要和紧急的问题。

- 设立问题识别和分类的标准和流程，确保一致性和准确性。

4.2 问题分析和解决- 进行深入的问题分析，找出根本原因，并提出解决方案。

- 定期评估问题解决效果，以确保问题得到彻底解决。

4.3 问题记录和报告- 记录问题的详细信息，包括识别、分析、解决和关闭过程。

- 定期报告问题解决情况，以便及时通知相关方。

5、变更管理5.1 变更请求- 建立适当的变更请求流程，确保变更请求能够被及时接收和记录。

- 定义变更请求的分类和优先级，以便进行适当的处理。

5.2 变更评估和批准- 进行变更评估，评估变更的风险和影响。

2024年03月信息技术服务管理体系基础考试真题及答案一、单项选择题（每题1.5分，共60分）1.根据ISO/IEC 20000-1:2018标准，服务的生命周期过程不包括（）。

A.持续改进B.策划和设计C.转换和交付D.外包与分担参考答案：D2.ISO/IEC 20000与哪个国际标准有联合实施的指南标准（）。

A.ISO 18001B.ISO 9000C.ISO/IEC 28001D.ISO/IEC 27001参考答案：D3.ISO/IEC 20000系列标准中，以下哪项标准的描述不准确？（ ）A.ISO/IEC 20000-10，定义了服务管理涉及的相关术语B.ISO/IEC 20000-2，提供了支持SMS运行的产品或工具的指南C.ISO/IEC 20000-3，对服务管理体系确定体系范围提供了要求D.ISO/IEC 20000-6，和CC01的作用类似，都可以作为认证机构认可的依据参考答案：C4.关于ISO/IEC 20000-1标准，以下说法错误的是（）。

A.ISO/IEC 20000-1标准要求将其结构应用于组织的服务管理体系，且组织应使用标准中使用的术语B.ISO/IEC 20000-2提供了服务管理体系的应用指南，包括如何满足ISO/IEC 20000-1中规定要求的示例C.ISO/IEC 20000-1标准中的要求与常用的持续改进方法学一致，可以使用适当的服务管理工具来支持SMSD.采用高阶结构使组织能够协调或整合多个管理体系标准。

所以，基于ISO/IEC 20000-1的服务管理体系可以与基于ISO 9001的质量管理体系或基于ISO/IEC 27001的信息安全管理体系整合参考答案：A5.云服务商提供IaaS服务，不适于作为服务方配置项的是（ ）。

A.虚拟服务器B.OA应用软件C.物理网络设备D.物理存储设备参考答案：B6.管理体系是（ ）。

A.建立方针和目标并实现这些目标的体系B.应用知识和技能获得预期结果的本领的系统C.可引导识别改进的机会或记录良好实践的系统D.对实际位置、组织单元、活动和过程描述的系统参考答案：A7.根据ISO/IEC 20000-1:2018标准的要求，（ ）不是每个过程都需要定义的部分。

信息技术安全技术信息安全管理体系实施指南摘要本文是以信息技术安全技术为背景，介绍了信息安全管理体系的实施指南。

通过了解信息安全管理体系的重要性和基本原理，指导组织在实施信息安全管理体系时的步骤和方法。

本指南旨在帮助组织建立和维护有效的信息安全管理体系，以确保信息资产的安全性和保密性。

1. 引言信息技术的快速发展和广泛应用给企业和组织带来了许多好处，但同时也带来了信息安全的威胁和挑战。

信息安全管理体系是一种结构化的方法，用于识别和管理组织的信息安全风险，以保护信息资产免受威胁。

本指南旨在为组织提供一套明确的框架，以实施和维护信息安全管理体系。

2. 信息安全管理体系的重要性信息安全管理体系对于组织来说具有重要意义。

首先，它可以帮助组织识别和评估信息安全风险，从而采取适当的措施来降低风险。

其次，它可以帮助组织确保信息资产的机密性、完整性和可用性，保护组织的利益和声誉。

此外，信息安全管理体系还可以帮助组织遵守适用的法律法规和合规要求，减少可能的法律风险和罚款。

3. 信息安全管理体系的基本原理信息安全管理体系的基本原理包括：•领导承诺：组织的高层管理人员应该积极支持和参与信息安全管理体系的实施。

•风险管理：组织应该通过风险评估和治理来识别和控制信息安全风险。

•控制措施：组织应该采取适当的技术和管理控制措施来保护信息资产。

•持续改进：组织应该不断改进信息安全管理体系，以适应变化的威胁和技术环境。

4. 信息安全管理体系的实施步骤实施信息安全管理体系可以按照以下步骤进行：步骤一：制定信息安全政策组织应该制定一份明确的信息安全政策，明确信息安全目标和要求，并得到高层管理的批准和支持。

步骤二：进行风险评估组织应该对信息资产进行风险评估，识别并评估潜在的威胁和弱点，并确定风险的严重性和优先级。

步骤三：制定风险治理方案基于风险评估结果，组织应该制定风险治理方案，确定并实施适当的控制措施来减少风险。

步骤四：制定操作程序和控制措施组织应该制定明确的操作程序和控制措施，指导员工的行为和操作，并保护信息资产的安全。

信息安全管理体系规范与使用指南(DOC 33页)信息安全治理体系——规范与使用指南名目前言0 介绍0.1总则0.2过程方法0.3与其他治理体系的兼容性1 范畴1.1概要1.2应用2 标准参考3 名词与定义4 信息安全治理体系要求4.1总则4.2建立和治理信息安全治理体系4.2.1建立信息安全治理体系4.2.2实施和运作信息安全治理体系4.2.3监控和评审信息安全治理体系4.2..4爱护和改进信息安全治理体系4.3文件化要求4.3.1总则4.3.2文件操纵4.3.3记录操纵5 治理职责5.1治理承诺5.2资源治理5.2.1资源提供5.2.2培训、意识和能力6 信息安全治理体系治理评审6.1总则6.2评审输入6.3评审输出6.4内部信息安全治理体系审核7 信息安全治理体系改进7.1连续改进7.2纠正措施7.3预防措施附件A（有关标准的）操纵目标和操纵措施A．1介绍A．2最佳实践指南A．3安全方针A．4组织安全A．5资产分级和操纵A．6人事安全A．7实体和环境安全A．8通信与运营安全A．9访问操纵A．10系统开发和爱护A．11业务连续性治理A．12符合附件B（情报性的）本标准使用指南B1概况B.1.1PDCA模型B.1.2打算与实施B.1.3检查与改进B.1.4操纵措施小结B.2.1介绍B.2.2信息安全方针B.2.3信息安全治理体系范畴B.2.4风险识别与评估B.2.5风险处理打算B3实施时期B.3.1介绍B.3.2资源、培训和意识B.3.3风险处理B4检查时期B.4.1介绍B.4.2常规检查B.4.3自我方针程序B.4.4从其他处学习B.4.5审核B.4.6治理评审B.4.7虚实分析B5改进时期B.5.1介绍B.1.2不符合项B.5.3纠正和预防措施B.5.4OECD原则和BS 7799 —2附件C（情报）ISO 9001:2000、ISO14001与BS7799-2:2002条款对比0介绍0.1总则本标准的目的是为业务经理和他们的职员提供建立和治理一个有效的信息安全治理体系（ISMS）的模型。

信息技术----服务管理--- Part1: 服务管理体系要求ISO/IEC 20000-1Second edition2011-04-15INTERNATIONALSTANDARD Reference numberISO/IEC 20000-1:2011(E)ISO/IEC 20000-1：2011 (中英文对照版) 版本：V1.0 前言Foreword (6)介绍Introduction (8)1范围Scope (11)1.1总则General (11)1.2应用Application (11)2引用标准Normative references (13)3术语和定义Terms and definitions (13)4服务管理体系总要求Service management system general requirements (18)4.1管理职责Management responsibility (18)4.1.1管理承诺Management commitment (18)4.1.2服务管理政策Service management policy (18)4.1.3权利、职责和沟通Authority, responsibility and communication (18)4.1.4管理者代表Management representative (18)4.2对其他相关方所运营过程的管控Governance of processes operated by other parties (18)4.3文件管理Documentation management (19)4.3.1建立和维护文件Establish and maintain documents (19)4.3.2文件的控制Control of documents (19)4.3.3记录的控制Control of records (20)4.4资源管理Resource management (20)4.4.1资源的提供Provision of resources (20)4.4.2人力资源Human resources (20)4.5建立和改进SMS Establish and improve the SMS (20)ISO/IEC 20000-1：2011 (中英文对照版) 版本：V1.04.5.1定义范围Define scope (20)4.5.2规划SMS Plan the SMS（Plan） (21)4.5.3实施和执行SMS Implement and operate the SMS（D O） (21)4.5.4监控和回顾SMS Monitor and review the SMS（Check） (22)4.5.4.1总要求General (22)4.5.4.2内部审核Internal audit (22)4.5.4.3管理评审Management review (22)4.5.5维护和改进SMS Maintain and improve the SMS（A CT） (23)4.5.5.1总要求General (23)4.5.5.2管理改进Management of improvements (23)5设计并转换新的或变更的服务Design and transition of new or changed services (24)5.1总要求General (24)5.2规划新的或变更的服务Plan new or changed services (24)5.3设计和开发新的或变更的服务Design and development of new or changed services (25)5.4新的或变更的服务的转换Transition of new or changed services (26)6服务交付过程Service delivery processes (26)6.1服务级别管理Service level management (26)6.2服务报告Service reporting (26)6.3服务连续性和可用性管理Service continuity and availability management (27)6.3.1服务连续性和可用性需求Service continuity and availability requirements .. 276.3.2服务连续性和可用性计划Service continuity and availability plans (27)6.3.3服务连续性和可用性的监控与测试Service continuity and availabilityISO/IEC 20000-1：2011 (中英文对照版) 版本：V1.0 monitoring and testing (28)6.4服务的预算与核算Budgeting and accounting for services (28)6.5容量管理Capacity management (29)6.6信息安全管理Information security management (29)6.6.1信息安全方针Information security policy (29)6.6.2信息安全控制Information security controls (29)6.6.3信息安全的变更和事件Information security changes and incidents (30)7关系过程Relationship process (30)7.1业务关系管理Business relationship management (30)7.2供应商管理Supplier management (31)8解决过程Resolution processes (32)8.1事件和服务请求管理Incident and service request management (32)8.2问题管理Problem management (33)9控制过程Control processes (34)9.1配置管理Configuration management (34)9.2变更管理Change management (35)9.3发布与部署管理Release and deployment management (36)ISO/IEC 20000-1：2011 (中英文对照版) 版本：V1.01即将出版（对ISO/IEC20000-2的技术修订）。

信息技术服务管理体系认证审核要求与指南信息技术服务管理体系认证是指对一个组织的信息技术服务管理体系(ITSMS)进行审核和认证，以确保其符合相关国家或国际标准。

以下是信息技术服务管理体系认证审核的要求与指南：1. 确定适用的标准：根据组织的需求和要求，确定适用的信息技术服务管理体系标准，例如ISO/IEC 20000-1。

2. 制定审核计划：编制一份详细的审核计划，确定审核的时间、地点、人员和范围。

考虑涵盖组织所有关键流程和程序。

3. 审核人员选择：选择具有相关经验和资格的审核人员来执行审核。

他们应该熟悉信息技术服务管理和相关标准要求。

4. 进行初步评估：在正式审核之前，进行初步评估以了解组织是否已准备好接受正式审核。

初步评估可以帮助组织发现存在的问题并进行纠正。

5. 进行现场审核：在现场审核期间，审核人员将与组织的员工进行面对面的访谈和问询，以了解组织的实际运营情况。

他们将检查文件和记录，并观察流程的实施。

6. 编写审核报告：根据现场审核的结果，审核人员将编写审核报告，详细描述组织的ITSMS 是否符合要求，并提出改进建议和不符合项。

7. 进行纠正措施：一旦审核报告中出现不符合项，组织应该立即采取纠正措施，解决问题并确保类似问题不再发生。

这些纠正措施应该得到适当的跟踪和记录。

8. 完成认证过程：在纠正措施得到实施并得到认可后，组织可以申请认证机构认证。

认证机构将评估审核报告和纠正措施的实施情况，并决定是否授予认证。

9. 进行监视和复审：一旦获得认证，组织应继续进行监视和复审，确保ITSMS的持续改进和符合要求。

总之，信息技术服务管理体系认证的审核要求和指南是一个严谨而系统的过程，需要组织的积极参与和合作。

只有在整个过程中不断改进和持续改进，才能获得和保持认证的有效性。

信息安全管理体系规X与使用指南BS 7799-2：2002中安质环认证中心质量总监周韵笙（译）附录B（信息性）本标准的使用指南B.1 总论B.1.1 PDCA模式建立和管理一个ISMS需采用与建立和管理其它管理体系相同的方法。

此处所述的过程模式遵循一个连续的活动循环：策划、实施、检查和处理。

这可称之为一个有效验的循环，因为它的目的是确保你的组织的最佳做法是形成文件的，强化的并随时得到改进的。

B.1.2策划和实施持续改进的过程常需初次投资，包括：把做法形成文件，把风险管理的方法正规化，确定评审与分配资源的方法等。

这些活动用来启动循环。

它们不需在评审阶段积极开展之前全部就完成。

策划阶段用来确保ISMS的内容与X围已正确建立，信息安全风险已经评价，适当处理这些风险的计划已经编制，实施阶段则用来实施策划阶段已定决策与已识别的解决方案。

B.1.3 检查和处置检查和处置评审阶段是对已识别和实施的安全解决方案进行加强、修改和改进。

评审可在任何时间和频度下进行，取决于对所考虑的情况是否是最适合的。

在有些系统中，它们可以建入计算机化的过程中以便立刻操作和反应。

其它的过程只需在有安全故障时，对受保护的信息财产进行改变或增加时，以与威胁和脆弱性发生改变时才作出反应。

最后需要进行每年或其它周期性的评审或审核，以确保整个管理体系正在实现其目标。

B.1.4 控制总结组织可能发现有一个控制总结（SOC）是有得的，SOC与组织的ISMS有关，而且是适用的。

这可以改善业务关系，例如通过提供一个适当的SOC（控制总结）而进行电子外包。

SOC可以饮食敏感信息，因此当使SOC内外部都可使用时，应以适合于接收者的方式小心对待。

注：SOC不是SOA的替代（见4.2.1h）。

SOA对于认证来说是强制性要求。

B.2 策划（Plan）阶段B.2.1 引言PDCA循环中的策划活动是为确保ISMS的内容和X围已正确建立，所有信息安全风险均已识别并评定，对这些风险的适当处理的计划已经编制而设计的。

信息技术服务管理体系标准信息技术服务管理是指对信息技术服务进行规划、交付、支持和改进的一系列活动，其目的是为了满足客户需求并持续改进服务质量。

信息技术服务管理体系标准是指为了规范和提高信息技术服务管理水平而制定的一系列标准和规范。

本文将介绍信息技术服务管理体系标准的相关内容，以便于企业和组织更好地理解和应用这些标准。

首先，信息技术服务管理体系标准的核心是ISO/IEC 20000系列标准，该系列标准是国际上公认的信息技术服务管理最佳实践。

ISO/IEC 20000系列标准包括了ISO/IEC 20000-1（信息技术服务管理体系要求）、ISO/IEC 20000-2（信息技术服务管理体系指南）、ISO/IEC 20000-3（信息技术服务管理体系范围定义和应用指南）等。

这些标准对信息技术服务管理的各个方面进行了规范，包括服务交付、服务支持、服务改进等，对于企业和组织实施信息技术服务管理具有重要指导作用。

其次，信息技术服务管理体系标准的实施需要企业和组织进行全面的规划和组织。

在实施信息技术服务管理体系标准之前，企业和组织需要明确自身的服务管理目标和需求，充分了解ISO/IEC 20000系列标准的要求，并结合自身实际情况进行合理的规划和设计。

同时，企业和组织需要建立和完善相关的管理制度和流程，确保信息技术服务的规范交付和持续改进。

另外，信息技术服务管理体系标准的实施需要企业和组织进行持续的监控和改进。

企业和组织应当建立有效的内部审核机制，定期对信息技术服务管理体系的实施情况进行评估和审核，发现问题并及时进行改进。

同时，企业和组织还应当关注ISO/IEC 20000系列标准的最新发展和变化，及时对信息技术服务管理体系进行更新和调整，确保其与国际最佳实践保持一致。

最后，信息技术服务管理体系标准的实施对于企业和组织来说是一个持续改进的过程。

企业和组织在实施信息技术服务管理体系标准的过程中，需要不断总结经验，发现问题，改进服务质量，提高客户满意度，不断提升自身的信息技术服务管理水平。

信息技术----服务管理---Part1: 服务管理体系要求 ISO/IEC 20000-1Second edition 2011-04-15 INTERNATIONALSTANDARD Reference numberISO/IEC 20000-1:2011(E)ISO/IEC 20000-1：2011 (中英文对照版) 版本：V1.0 前言Foreword (6)介绍Introduction (8)1范围Scope (11)1.1总则General (11)1.2应用Application (11)2引用标准Normative references (13)3术语和定义Terms and definitions (13)4服务管理体系总要求Service management system general requirements (18)4.1管理职责Management responsibility (18)4.1.1管理承诺Management commitment (18)4.1.2服务管理政策Service management policy (18)4.1.3权利、职责和沟通Authority, responsibility and communication (18)4.1.4管理者代表Management representative (18)4.2对其他相关方所运营过程的管控Governance of processes operated by other parties (18)4.3文件管理Documentation management (19)4.3.1建立和维护文件Establish and maintain documents (19)4.3.2文件的控制Control of documents (19)4.3.3记录的控制Control of records (20)4.4资源管理Resource management (20)4.4.1资源的提供Provision of resources (20)4.4.2人力资源Human resources (20)4.5建立和改进SMS Establish and improve the SMS (20)©ISO/IEC 2011-All rights reservedISO/IEC 20000-1：2011 (中英文对照版) 版本：V1.04.5.1定义范围Define scope (20)4.5.2规划SMS Plan the SMS（Plan） (21)4.5.3实施和执行SMS Implement and operate the SMS（D O） (21)4.5.4监控和回顾SMS Monitor and review the SMS（Check） (22)4.5.4.1总要求General (22)4.5.4.2内部审核Internal audit (22)4.5.4.3管理评审Management review (22)4.5.5维护和改进SMS Maintain and improve the SMS（A CT） (23)4.5.5.1总要求General (23)4.5.5.2管理改进Management of improvements (23)5设计并转换新的或变更的服务Design and transition of new or changed services (24)5.1总要求General (24)5.2规划新的或变更的服务Plan new or changed services (24)5.3设计和开发新的或变更的服务Design and development of new or changed services (25)5.4新的或变更的服务的转换Transition of new or changed services (26)6服务交付过程Service delivery processes (26)6.1服务级别管理Service level management (26)6.2服务报告Service reporting (26)6.3服务连续性和可用性管理Service continuity and availability management (27)6.3.1服务连续性和可用性需求Service continuity and availability requirements .. 276.3.2服务连续性和可用性计划Service continuity and availability plans (27)6.3.3服务连续性和可用性的监控与测试Service continuity and availability©ISO/IEC 2011-All rights reservedISO/IEC 20000-1：2011 (中英文对照版) 版本：V1.0 monitoring and testing (28)6.4服务的预算与核算Budgeting and accounting for services (28)6.5容量管理Capacity management (29)6.6信息安全管理Information security management (29)6.6.1信息安全方针Information security policy (29)6.6.2信息安全控制Information security controls (29)6.6.3信息安全的变更和事件Information security changes and incidents (30)7关系过程Relationship process (30)7.1业务关系管理Business relationship management (30)7.2供应商管理Supplier management (31)8解决过程Resolution processes (32)8.1事件和服务请求管理Incident and service request management (32)8.2问题管理Problem management (33)9控制过程Control processes (34)9.1配置管理Configuration management (34)9.2变更管理Change management (35)9.3发布与部署管理Release and deployment management (36)©ISO/IEC 2011-All rights reservedISO/IEC 20000-1：2011 (中英文对照版) 版本：V1.0©ISO/IEC 2011-All rights reservedISO/IEC 20000-1：2011 (中英文对照版) 版本：V1.01即将出版（对ISO/IEC20000-2的技术修订）。

ISO/IEC20000-1-2018信息技术服务管理第1部分-服务管理体系新版要求2018-09-15 发布2018-09-15 实施目录前言 (i)引言 (iii)信息技术服务管理第一部分服务管理体系要求 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1有关管理系统标准的术语 (2)3.1.1 审计审核 (2)3.1.2能力 competence (2)3.1.3符合（合格） conformity (2)3.1.4持续改进 continual improvement (2)3.1.5纠正措施 corrective action (2)3.1.6成文信息 documented information (2)3.1.7有效性effectiveness (2)3.1.8相关方interested party (3)3.1.9管理体系 management system (3)3.1.10测量measurement (3)3.1.11监视 monitoring (3)3.1.12不符合nonconformity (3)3.1.13目标 objective (3)3.1.14组织organization (3)3.1.15外包 outsource, verb (4)3.1.16绩效performance (4)3.1.17方针 policy (4)3.1.18过程 process (4)3.1.19要求requirement (4)3.1.20风险 risk (4)3.1.21最高管理者 top management (5)3.2有关服务管理的术语 (5)3.2.1资产 asset (5)3.2.2配置项configuration item (5)3.2.3客户 customer (5)3.2.4外部供应商 external supplier (5)3.2.5事件 incident (5)3.2.6信息安全 information security (5)3.2.7信息安全事件 information security incident (6)3.2.8内部供应商internal supplier (6)3.2.9已知错误 known error (6)3.2.10问题 problem (6)3.2.11程序 procedure (6)3.2.12记录 record, noun (6)3.2.13发布 release, noun (6)3.2.14变更请求 request for change (6)3.2.15服务 service (6)3.2.16服务可用性service availability (7)3.2.17服务目录 service catalogue (7)3.2.18服务组件 service component (7)3.2.19服务连续性service continuity (7)3.2.20服务级别协议 service level agreement SLA (7)3.2.21服务级别目标 service level target (7)3.2.22服务管理 service management (7)3.2.23服务管理体系 service management system SMS (7)3.2.24服务提供者service provider (7)3.2.25服务请求 service request (8)3.2.26服务要求 service requirement (8)3.2.27转换 transition (8)3.2.28用户 user (8)3.2.29价值 value (8)4 组织环境 (8)4.1理解组织及其环境 (8)4.2理解相关方的需求和期望 (8)4.3确定服务管理体系范围 (8)4.4服务管理体系 (9)5 领导 (9)5.1领导和承诺 (9)5.2 方针 (9)5.1.1制定服务管理方针 (9)5.1.2沟通服务管理方针 (9)5.3 组织的角色，责任和权限 (9)6 策划 (10)6.1应对风险和机遇的措施 (10)6.2服务管理目标及其实现策划 (10)6.2.1 制定目标 (10)6.2.2策划实现目标 (10)6.3策划服务管理体系 (11)7 支持 (11)7.1 资源 (11)7.2 能力 (11)7.3 意识 (11)7.4 沟通 (12)7.5 成文信息 (12)7.5.1 总则 (12)7.5.2创建和更新 (12)7.5.3成文信息的控制 (12)7.5.4服务管理系统成文信息 (12)7.6 知识 (13)8 运行 (13)8.1 运行策划和控制 (13)8.2 服务组合 (13)8.2.1 服务交付 (13)8.2.2 策划服务 (13)8.2.3控制服务生命周期的相关方 (14)8.2.4服务目录管理 (14)8.2.5 资产管理 (14)8.2.6 配置管理 (14)8.3关系与协议 (15)8.3.1 总则 (15)8.3.2业务关系管理 (15)8.3.3服务级别管理 (15)8.3.4供应商管理 (16)8.4供应与需求 (16)8.4.1 服务预算与核算 (16)8.4.2 需求管理 (16)8.4.3 能力管理 (17)8.5服务设计、构建与转换 (17)8.5.1 变更管理 (17)8.5.2服务设计与转换 (18)8.5.3发布与部署管理 (18)8.6解决与完成 (19)8.6.1 事件管理 (19)8.6.2服务请求管理 (19)8.6.3 问题管理 (19)8.7 服务保障 (20)8.7.1服务可用性管理 (20)8.7.2服务连续性管理 (20)8.7.3信息安全管理 (20)9 绩效评价 (21)9.1 监视、测量、分析和评价 (21)9.2 内部审核 (21)9.3 管理评审 (22)9.4 服务报告 (22)10 改进 (22)10.1不符合及纠正措施 (22)10.2 持续改进 (23)前言ISO（国际标准化组织）和IEC（国际电工委员会）形成了世界范围的专业标准化体系。

信息技术---服务管理--- Part2: 服务管理体系应用指南ISO/IEC 20000-2Second edition2012-02-15INTERNATIONALSTANDARD Reference numberISO/IEC 20000-2:2012(E)© ISO/IEC 2012目 录1 范围S COPE (11)1.1 总则G ENERAL (11)1.2 应用 A PPLICATION (11)2 引用标准N ORMATIVE REFERENCES (13)3 术语和定义T ERMS AND DEFINITIONS (13)4.1 管理职责 M ANAGEMENT RESPONSIBILITY (14)4.1.1 管理承诺 M ANAGEMENT COMMITMENT (14)4.1.2 服务管理方针S ERVICE MANAGEMENT POLICY (21)4.1.3 职责、权限和沟通 A UTHORITY, RESPONSIBILITY AND COMMUNICATION (22)4.1.4 管理者代表M ANAGEMENT REPRESENTATIVE (23)4.2 其他相关方的流程治理Governance of processes operated by other parties (25)4.2.1 其他相关方流程治理指引Guidance on processes operated by other parties (25)4.2.2 其他相关方 O THER PARTIES (26)4.2.3 职责和权限的示例 D EMONSTRATION OF ACCOUNTABILITY AND AUTHORITY (26)4.2.4 流程绩效和合规性 P ROCESS PERFORMANCE AND COMPLIANCE (27)4.2.5 确定流程的绩效和合规性 D ETERMINING PROCESS PERFORMANCE AND COMPLIANCE (28)4.2.6 对流程改进的规划和优先级实施控制 C ONTROLLING THE PLANNING AND PRIORITIZATION OF PROCESS IMPROVEMENTS (28)4.3 文件管理D OCUMENTATION MANAGEMENT (28)4.3.1 建立和维护文件 E STABLISH AND MAINTAIN DOCUMENTS (28)4.3.2 文件控制 C ONTROL OF DOCUMENTS (29)4.3.2 记录控制 C ONTROL OF RECORDS (30)4.4 资源管理R ESOURCE MANAGEMENT (31)4.4.1 资源的提供P ROVISION OF RESOURCES (31)4.4.2人力资源 H UMAN RESOURCES (32)4.5 建立和改进SMS E STABLISH AND IMPROVE THE SMS (34)4.5.1 定义范围 D EFINE SCOPE (34)4.5.2 SMS的计划 P LAN THE SMS (P LAN) (34)4.5.3 SMS的实施和运维 I MPLEMENT AND OPERATE THE SMS（D O） (36)4.5.4 SMS的监视和评审 M ONITOR AND REVIEW THE SMS（CHECK） (37)4.5.5 SMS的维护与改进 M AINTAIN AND I MPROVE THE SMS (A CT) (39)前言ForewordISO（国际标准化组织）和IEC（国际电工协会）构成国际标准化的专业体系。

信息技术服务服务管理通用要求信息技术服务是指通过使用计算机、网络和通信技术，为组织和个人提供各种信息技术服务的行业。

在信息技术服务过程中，人们会接触到各种服务管理，这些服务管理的通用要求包括以下几个方面。

第一，服务品质。

对于信息技术服务来说，品质是最重要的要求之一。

为了确保服务品质，需要建立完善的质量管理体系，并制定相应的服务质量标准。

同时，服务提供方需要拥有专业的技术团队和设备，提供高质量的服务。

第二，响应速度。

服务管理的另一个重要要求是对用户的需求能够及时响应。

在信息技术服务过程中，用户可能面临各种问题和困扰，需要服务提供方能够快速解决并给予反馈。

因此，服务管理方需要建立起高效的响应机制，及时处理用户的请求。

第三，安全保障。

信息技术服务涉及到大量的用户数据和敏感信息，因此安全保障是服务管理的重要方面。

服务提供方需要确保用户数据的保密性、完整性和可用性，同时制定相应的安全策略和技术手段，防止信息泄露和攻击。

第四，持续改进。

服务管理中的另一个通用要求是持续改进。

随着科技的不断进步和用户需求的变化，服务提供方需要不断地进行改进和创新，提高服务的品质和效率。

通过对用户的反馈进行分析和总结，及时优化服务流程和技术。

第五，用户体验。

在信息技术服务过程中，用户的体验是至关重要的。

良好的用户体验可以增强用户的满意度和忠诚度。

因此，服务提供方需要注重用户的感受，设计用户友好的界面和操作方式，简化操作流程，提供个性化的服务。

第六，培训和支持。

在信息技术服务过程中，用户往往需要掌握一定的技能和知识。

因此，服务提供方需要提供相应的培训和支持，帮助用户理解和使用技术工具。

通过培训和支持，提高用户的技术水平，增强其对服务的依赖性。

第七，合规要求。

在信息技术服务过程中，服务提供方需要遵守各种法规和规范，确保服务的合法性和合规性。

例如，保护用户隐私，遵守数据保护法规，不进行非法的网络活动等。

同时，服务提供方需要建立相应的风险管理体系，做好风险评估和防范工作。

中国认证认可协会（CCAA）全国统一考试信息技术服务管理体系（ITSMS）基础知识试卷2017年6一、单项选择题（从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。

每题1分，共80分，不在指定位置答题不得分）1、ISO/IEC 20000-2011所采用的过程方法是（）（A）PDCA方法（B）SMART方法（C）SWOT方法（D）PPTR方法2、在ISO/IEC 20000-2011中可用性是指（）（A）随时可以获得服务（B）在规定的时刻或规定的时间段内，部件或服务咨询要求功能的能力（C）服务以来的信息系统可用（D）以上都不对3、下列选项中哪像不属于ITSMS策划的内容（）（A）管理设施和预算（B）定义服务提供方服务管理的范围（C）识别需要执行的过程（D）识别、评估和管理实现既定目标的问题和风险的方法4、下列哪种表达最准确地说明了容量管理的目的？（）（A）将成本和性能水平降低到最低（B）确保总是有充分的可用能力以满足全体客户的要求（C）确保业务需求是可负担且可实现的（D）为满足约定的系统性能对资源进行监视和管理5、如何控制服务等级协议（SLA）的更新？（）（A）它们在变更管理的控制之下（B）它们由高级管理代表控制的（C）它们只能在年度监督审计时进行更新，因此升级是可以检查更新是否（D）SLA所需的任何更新开始时将馈入服务改进计划6.问题管理应负责确保有关()和已改正问题的更新A.问题的处理过程;B.变更过程C.未解决问题D.已知错误7.通过买卖双方提供一个在线交易平台,使卖方上网可以负责拍卖,而买方可以自行选择商品进行竞价的电子商务模式是()A.消费者与企业(C2B)B.消费者与消费者(C2C)C.企业与消费者(B2C)D.企业与政府(B2G)8 .依据ISO/IEC 20000-1:2011供方管理活动包括:A.协商以确保供方的SLAs与服务提供方组织的SLAS密切结合协商一致’B.建立准则,对供方实施评价,选择和再评价;C.建立合格供方名录并予以维护和更新;D.每年面向供方进行招标和评议.9 关于互联网信息服务的提供,以下说法正确的是?()A.从事经营性的互联网信息服务应得到主管部门的许可B.从事非经营性互联网信息服务应得到主管部门的许可C.从事经营性的互联网信息服务应得到主管部门的备案D.从事经营性互联网信息服务按其项目类别分别执行许可制度或备案制度10 安装更新软件，负责在安状前进行验收测试的过程是()A.发布管理;B服务连续性管理,C,信息安全管理,D变更管理11 下面关于内部团队描述错误的是(D)A.内部团队是服务提供方的一部分B.内部服务团队在服务管理体系范围之外C.内部团队可能执行服务提供方服务管理体系的部分流程D.内部团队是与服务提供方在一个法人组织下,但独立于服务提供方12.信息技术服务管理体系的要求类标准是()A.GB/T 22080-2008/ISO/IEC 27001:2005B.ISO/IEC 20000-1:2011C.ISO/IEC 20000-2:2005D.ISO/IECTR2000-313.下列描述不正确的是?()A.ISO/IEC 20000由要求,实用规则等多个部分组成B.ISO/IEC20000-2可作为独立评估的依据C.ISO/IEC 20000-1:2011规定了服务提供方按可接受的质量向其顾客交付管理服务的要求.D.ISO/IEC 2000-2 描述了ISO/IEC 20000-1:2011范围内服务管理过程的最佳实践.14.经测试且被引入实际运行环境新配置项和(或)变更的配置项的集合是()发布的术语A.SLAB.OLAC.CMDBD.以上都不是15 文件是指()A.包括受影响的配置项及其如何被授权的变理所影响的详细信息的记录B.阐明所取得的强果或提供所完成活动的证据的文件;C.为进行某项活动或过程所规定的途径D.信息及其承载介质16.关于认证人员执业要求,以下说法正确的是:A.注册审核员只能在一个认证机构和一个咨询机构执行;B.注册审核员和认证决定人员只能在一个认证机构执业;C.注册审核员只能在一个认证机构执业,非注册的认证决定人员不受此限制D.在咨询机构任专职咨询师的人员,只能在认证机构任兼职认证决定人员.17 （）哪个流程最多用了需求管理所提供的数据。

信息技术服务管理体系标准信息技术服务管理体系标准（ITSM）是一种管理方法，旨在帮助组织提供高质量的信息技术服务。

ITSM标准包括一系列最佳实践，旨在确保组织能够有效地管理其IT服务，以满足客户的需求和期望。

本文将介绍ITSM标准的重要性、实施步骤以及如何评估ITSM标准的实施效果。

ITSM标准的重要性ITSM标准的实施可以帮助组织提高IT服务的质量和效率。

通过ITSM标准，组织可以确保其IT服务符合客户的需求和期望，并且能够及时响应客户的需求。

此外，ITSM标准还可以帮助组织降低IT服务的成本，提高IT服务的可靠性和可用性，从而提高组织的业务效率和竞争力。

ITSM标准的实施步骤ITSM标准的实施需要以下步骤：1. 确定ITSM标准的实施目标和范围。

组织需要明确ITSM标准的实施目标和范围，以便确定实施计划和资源需求。

2. 制定ITSM标准的实施计划。

组织需要制定ITSM标准的实施计划，包括实施时间表、资源需求和实施阶段。

3. 实施ITSM标准。

组织需要按照实施计划逐步实施ITSM标准，包括IT服务管理流程的设计、实施和监控。

4. 培训和沟通。

组织需要对员工进行ITSM标准的培训和沟通，以确保员工理解和遵守ITSM标准。

5. 持续改进。

组织需要持续监控和改进ITSM标准，以确保其符合组织的需求和客户的期望。

如何评估ITSM标准的实施效果评估ITSM标准的实施效果可以帮助组织确定ITSM标准的实施效果和改进方向。

以下是评估ITSM标准的实施效果的步骤：1. 确定评估指标。

组织需要确定评估ITSM标准的实施效果的指标，包括IT服务质量、IT服务效率、IT服务成本等。

2. 收集数据。

组织需要收集与评估指标相关的数据，包括客户满意度调查、IT服务质量指标、IT服务效率指标等。

3. 分析数据。

组织需要对收集的数据进行分析，以确定ITSM标准的实施效果和改进方向。

4. 制定改进计划。

组织需要根据评估结果制定ITSM标准的改进计划，包括改进措施、实施时间表和资源需求。

iso27001体系标准ISO20000信息技术服务管理体系介绍及咨询说明一、ISO/IEC__信息技术服务管理体系标准的起源和发展:1.1自20世纪80年代开始，信息技术（IT）发展对组织业务产生了很大影响。

个人PC、局领网（LAN）、服务器技术以及互联网技术的应用使组织能够以更快地速度向市场提供产品和服务。

随着信息技术的不断应用，组织的业务越来越依赖信息技术，特别是信息技术应用的可靠性，20世纪80年代，英国政府认为提供给他们的IT服务质量不能满足其业务要求，于是便指定中央计算机通信局CCTA(Central Computer and munications Agency,现在为英国贸工部OGC,Office ofGovernment Commerce)开发一套规范化的、可进行财务计量的IT资源使用方法以指导英国公共行政机构高效和经济地使用IT资源，这个项目最终促成信息技术基础设施库（Information Technology Infrastructure Library,ITIL）的产生，ITIL归纳了IT服务产业内的最佳实践，这便是ISO__IT 服务管理标准的前身。

尽管ITIL最初是为英国政府部门开发的，但很快在英国企业得到广发引用，20世纪90年代初期，ITIL被介绍到欧洲的许多国家并在这些国家应用，到90年代中期ITIL已经成为欧洲IT管理领域事实上的标准，90年代后期ITIL又被引入美国、南非以及澳大利亚等国。

1.2鉴于ITIL被广泛应用，英国标准协会在ITIL最佳实践基础上，于2000年11月发布了BS__IT服务管理标准（英国国家标准）。

该标准主要在ITIL基础上开发而成，并于2002年11月进行了修订。

1.3在BS__IT服务管理标准在业界使用的基础上，国际标准化组织于2005年12月15颁布了ISO__IT服务管理标准，成为在IT服务管理领域第一份IT服务管理标准。

为顺应上述的趋势，国标标准化组织开始建立ISO__标准。

信息服务管理手册版号第A版第0次修改页码第 17页共 43 页
等。

同时本公司的服务提供也应考虑影响服务交付的其它因素，其中包括：
a) 本公司提供服务的地理位置；
b) 客户及其位置；
c) 用于提供服务的技术。

4.5.2 策划 ITSMS（P）
本公司信息服务管理团队须遵循 Plan-Do-Check-Act 模式策划，实施、检查和改进信息服务管理体系，详见图 1 所示的 PDCA 模型。

图1 信息技术服务管理体系模型
同时应当建立、实施和维护服务管理计划。

计划应考虑到服务管理方针，服务需求和在ISO / IEC 20000-1中本部分的要求。

服务管理计划应包含或引用至少以下内容：
a) 由本公司来实现的服务管理目标；
b) 服务要求；
c) 影响ITSMS的已知限制；
d) 方针，标准和法律法规要求和合同义务；
e) 权力架构，职责和过程角色；。

iso信息技术服务管理体系ISO信息技术服务管理体系（ISO/IEC 20000）是一项国际标准，旨在帮助组织建立和管理高质量的信息技术服务。

下面我将从不同角度详细介绍ISO/IEC 20000。

1. 定义：ISO/IEC 20000是由国际标准化组织（ISO）和国际电工委员会（IEC）共同制定的一项标准，用于规范和认证组织的信息技术服务管理体系。

2. 目标：ISO/IEC 20000的主要目标是确保组织提供的信息技术服务满足客户需求，并持续改进服务质量。

它帮助组织建立适当的流程、实施最佳实践，并提供了衡量和监控服务管理绩效的方法。

3. 结构：ISO/IEC 20000标准包含两个主要部分：ISO/IEC 20000-1和ISO/IEC 20000-2。

ISO/IEC 20000-1是核心标准，规定了建立、实施和改进信息技术服务管理体系的要求。

ISO/IEC 20000-2是指南标准，提供了实施ISO/IEC 20000的详细指导和解释。

4. 基本要素：ISO/IEC 20000要求组织建立一套适应其规模和需求的服务管理流程，并确保这些流程与ISO/IEC 20000的要求相符。

它涵盖了服务策略、服务设计、服务过渡、服务运营和持续改进等方面。

5. 好处：实施ISO/IEC 20000带来多重好处。

首先，它帮助组织提高服务质量和客户满意度，通过确保服务交付符合客户期望，增强了组织的竞争力。

其次，ISO/IEC 20000提供了一种持续改进的框架，帮助组织不断提升服务管理的效率和效果。

此外，通过认证ISO/IEC 20000，组织可以证明其信息技术服务管理体系符合国际标准，增强了信誉和可信度。

总之，ISO/IEC 20000是一项重要的国际标准，旨在帮助组织建立和管理高质量的信息技术服务。

它提供了一套规范和指导，帮助组织实施最佳实践，提升服务质量和客户满意度。

通过认证ISO/IEC 20000，组织可以获得多重好处，包括提高竞争力、持续改进和增强信誉。