一、服务等级管理
目标:定义、协商、记录并能管理服务等级。
所有方面应协商并记录:所提供的服务、相应的服务等级目标以及工作量特性。
应在一个或多个服务等级协议中书面规定所约定的服务。
所有相关方应协商并记录服务等级协议、支持性服务约定、供方合同和相应的程序。
服务等级协议应处于变更管理过程的控制之下。
应通过所有相关方定期评审的方式来保持服务等级协议,以确保服务等级协议的更新和持续有效。
应根据目标来监视并报告服务等级,报告中应展示当前的信息以及发展趋势。应报告并评审不符合的原因。应记录这一过程中所确定的改进措施,并作为服务改进计划的输入。
二、服务报告
目的:为有效沟通和制定决策而及时编制的可靠的、准确的并达成一致的报告。
每一份服务报告应清晰阐明其标识、目的、目标读者以及数据来源。
应编制服务报告以满足确定的需求和顾客要求。服务报告应包括:
1、与服务水平目标相比较的业绩;
2、 不符合及问题,即违反服务等级协议及安全违规;
3、工作量特征,即容量和资源使用率;
4、重大事故后的业绩报告,即重大事件或变更;
5、趋势信息;
6、 满意度分析。
应考虑服务报告的发现并据此确定管理决策和纠正措施,并与相关方沟通。
三、服务连续性及可用性管理
目的:确保在所有情况下都可以实现向顾客承诺的服务连续性和可用性。
应基于业务计划、服务等级协议和风险评估来确定可用性及服务连续性要求。要求应包括访问权限、响应时间以及系统组件端对端的可用性。
应开发可用性及服务连续性计划,并每年至少评审一次,以确保从正常情况到主要服务失效的所有情况下都可以满足要求。应保持这些计划以确保他们反映约定的、业务所需的变更。
当业务环境发生重大变更时,应重新测试可用性及服务连续性计划。
变更管理过程应评估变更对可用性及服务连续性计划的影响。
应测量并记录可用性。应调查计划之外的不可用并采取适当的措施。
注:可行时,应预测潜在的问题并采取预防措施。
当正常的办公访问被阻止时,应确保服务连续性计划、合同列表和配置管理数据库的可用性。服务连续性计划应包括返回正常工作状态的内容。
应依据业务需求对服务连续性计划进行测试。
应记录所有的连续性测试,应在改进措施计划中简述测试失效的情况。
四、IT服务的预算及财务管理
目的:制定预算并解释服务提供成本。
注:本节涵盖了IT服务的预算及财务管理。实际上,许多服务提供商都将涉及到对此类服务的收费。然而,因为收费是一个可选的活动,并未被本标准所涵盖。如果服务提供商进行收费,,建议应充分规定进行该活动的机制,并被所有方面理解。使用的所有财务实践应与组织更为广泛的财务实践保持一致。
应为下列活动建立清晰的策略和程序:
1、应为所有的组件(包括IT资产、共享资源、企业的一般管理费用、外部提供的服务、人员、保险和许可)制定预算并进行财务管理;
2、 分配服务的间接费用和直接成本;
3、有效的财务控制和授权。
应制定详细的成本预算,以确保有效的财务控制和决策制定。
服务提供商应依据预算来监视并报告成本情况,评审财务预算并相应地进行成本管理。应计算服务变更的成本,并经过变更管理过程的批准。
五、容量管理
目的:确保服务提供商在任何时候都有足够的容量以满足与顾客约定的、顾客当前和未来的业务需求。
实施容量管理,应编制并保持容量计划。
容量管理应阐述业务需求并包括下列内容:
1、 当前和预测的容量和绩效要求;
2、识别服务升级的时间表、限度和成本;
3、评价预期的服务升级、变更请求、关于容量的新技术和方法的影响;
4、预测外部变更的影响,如立法机构;
5、预测分析所需的数据和过程。
应确定监视服务容量、协调服务业绩和提供充足容量所需的方法、程序和技术。
六、信息安全管理
目的:在所有服务活动中有效管理信息安全。
注:ISO/IEC17799《信息技术一安全技术一信息安全管理指南》提供了关于信息安全管理的指南。经过适当授权的管理者应批准信息安全策略,并传达给所有相关人员,适用时与顾客沟
应实施适当的安全控制以:
1、实施信息安全策略的要求;
2、管理与服务或系统访问有关的风险。
控制措施应形成文件,阐述相关的风险以及控制措施的运营和保持方式。
在实施变更前,应评估控制措施变更的影响。
有些组织可以访问信息系统和服务。有关这些组织的安排应基于正式的协议,协议中应规定全部所需的安全要求。
应按照事故管理程
www.cxdguangli.com序的规定记录安全事故,并尽快报告。应实施程序,以确保可以调查所有的安全事故并采取管理措施。
应采取机制,以量化并监视安全事故和失效的类型、程度和影响。应记录该过程所确定的改进措施,并作为服务改进计划的输入。