系统规划与管理师——第十一章标准化知识与IT服务相关标准

本章对标准化基础知识、IT服务管理国际标准、IT服务管理国家标准和行业标准等内容进行详细介绍。目的在于使系统规划与管理师对IT服务各标准的具体要求及其相互关系有所领悟和理解，为系统规划与管理师在进行IT资源配置、IT服务项目管理与实施以及人员绩效考核等工作提供参考和依据，也可为系统规划与管理师的职业发展、从业要求和具体工作起到规范与指导作用。

标准化知识

标准相关慨念

标准是为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准共同使用和重复使用的一种规范性文件（引自GBT20000.1-2002,定义2.3.2），是标准化活动的核心产物。标准是研究制定法律、技术法规、政策和规划的依据，是企业从事生产经营活动、消费者选择产品和服务的主要依据。自1906年世界上最早的标准化组织一国际电工委员会(EC)成立以来，经过100多年的发展，标准化已成为全球政治和经济活动的主要组成部分，甚至是技术发达国家和跨国企业的发展战略。

标准化是指“为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动”（引自GB/T20000.1-2001,定义2.1.1）。标准化是一项活动，这种活动的结果是制定条款，制定条款的目的是在一定范围内获得最佳秩序，所制定的条款的特点是共同使用和重复使用，针对的对象是现实问题或潜在问题。再结合标准的定义可以得出：多项条款的组合构成了规范性文件，如果这些规范性文件符合了相应的程序，经过了公认机构的批准，就成为标准或特定文件（例如国家标准化指导性技术文件)。所以，标准是标准化活动的主要成果之一。

“标准化”活动是人类社会中每天都在进行的诸多活动中的一种，它涉及上述文件(主要是标准)的编写过程、征求意见过程、审查发布过程和使用过程等。标准化活动的主要作用是：为了预期目的改进产品、过程或服务的适用性，防止贸易壁垒并促进技术合作。

标准体系是一种由标准组成的系统，为了实现系统的目标而必须具备一整套具有内在联系的、科学的有机整体。标准体系内部各标准按照一定的结构进行逻辑组合，而不是杂乱无序的堆积，它是一个概念系统，是由人为组织制定的标准形成的人工系统。

标准体系结构

标准体系结构是指标准系统内各标准内在有机联系的表现方式。形成标准体系的主要方式有层次和并列两种，层次是指一种方向性的等级顺序，彼此存在着制约关系和隶属关系：并列是指同一层次内各类或各标准之间存在的方式和秩序，TSS标准体系通过并列方式列出各类和各项标准。

标准体系表

标准体系要用一定的形式表现出来，即标准体系表。信息技术服务标准体系表是将信息技术服务范围内的标准，按照一定结构形式排列起来的图表，反映了信息技术服务标准体系的全貌，表明了标准之间的层次和并列关系。

标准的分类

标准的种类繁多，根据不同的目的或原则可以划分出不同的类别。

按照适用范围划分

制定标准的重要基础是在一定的范围内充分反映各相关方的利益，并对不同意见进行协调与协商，从而取得一致。其中“一定的范围”和“各相关方”的范围可大可小，可以是全球的，也可以是某个区域或某个国家层次的，还可以是某个国家内行业部门（或协会)、地方或企业层次的。显而易见，不同层次标准化活动的协商一致程度是不同的，所制定标准的适用范围也是不同的。依据制定标准的参与者所涉及的范围，也就是标准的适用范围，可将标准分为：国际标准、国家标准、行业标准、地方标准、企业标准等

(1)国际标准(International Standard)

国际标准是指“国际标准化组织(ISO)、国际电工委员会(IEC)和国际电信联盟(ITU)以及ISO确认并公布的其他组织”制定的标准（引自GB/T20000.2-2009,定义3.1）。
ISO确认并公布的其他国际组织主要包括：国际计量局(BPM)、国际原子能机构(IAEA)、国际海事组织(IMO)、联合国教科文组织(UNESCO)、世界卫生组织(WHO)等49个国际标准化机构。

(2)国家标准(National Standard)

国家标准是指“由国家标准机构通过并公开发布的标准”（引自GBT20000.1-2002,定义2.3.2.1.3）.

对我国而言，国家标准是指由国务院标准化行政主管部门组织制定，并对全国国民经济和技术发展有重大意义，需要在全国范围内统一的标准。
国家标准由全国专业标准化技术委员会负责起草、审查，并由国务院标准化行政主管部门统一审批、编号和发布。

(3)行业标准(Branch Standard)

行业标准是指在国家的某个行业通过并公开发布的标准。
对我国而言，行业标准是对没有国家标准而又需要在全国某个行业范围内统一的技术要求所制定的标准。

行业标准的发布部门须由国务院标准化行政主管部门审查确定。凡批准可以发布行业标准的行业，由国务院标准化行政主管部门公布行业标准代号、行业标准的归口部门及其所管理的行业标准范围。

(4)地方标准(Provincial Standard)

地方标准是指“在国家的某个地区通过并公开发布的标准”（引自GBT20000.1-2002,定义2.3.2.1.4）
对我国而言，地方标准是针对没有国家标准和行业标准，而又需要在省、自治区、直辖市范围内统一的技术要求所制定的标准。
地方标准由省、自治区、直辖市标准化行政主管部门统一编制计划、组织制定、审批、编号和发布。
地方标准发布后，省、自治区、直辖市标准化行政主管部门应分别向国务院标准化行政主管部门和有关行政主管部门备案。

(5)企业标准(Company Standard)。企业标准是指针对企业范围内需要协调、统一的技术要求、管理要求和工作要求所制定的标准。企业标准是企业组织生产、经营活动的依据。企业标准虽然只在某企业适用，但在地域上可能会影响多个国家。

按照标准涉及的对象类型划分

标准涉及的对象类型不同，反映到标准的文本上体现为其技术内容及表现形式的不同。

(l)术语标准(Terminology Standard)

术语标准是指“与术语有关的标准，通常带有定义，有时还附有注、图、示例等”（引自GB/T20000.1-2001,定义2.5.2）术语标准是按照专业范围划分的，包含了某领域内某个专业的许多术语。术语标准的主要技术要素为术语条目，通常由条目编号、术语和定义几个部门内容组成，包含术语和相应定义的术语标准，其名称为《XXX词汇》，如果仅有术语没有定义，则名称为《XXX术语集》。

(2)符号标准(Symbol Standard)

符号标准是指与符号相关的标准。符号是“表达一定事物或概念，具有简化特征的视觉形象”（引自GB/T15565.1-2008,定义2.3）。通常分为文字符号和图形符号。文字符号又可分为字母符号、数字符号、汉字符号或它们组合而成的符号：图形符号又可分为产品技术文件用、设备用、标志用图形符号。

(3)试验标准(Testing Standard)

试验标准是指“与试验方法有关的标准，有时附有与测试有关的其他条款，例如抽样、统计方法的应用、试验步骤”（引自GB/T20000.1-2001,定义2.5.3)试验标准是规定试验过程的标准。试验标准规定了标准化的试验方法。

(4)产品标准(Product Standard)

产品标准是指“规定产品应满足的要求以确保其适用性的标准”（引自GB/T20000.1-2001,定义2.5.4）。按照IS0对标准化对象的划分，产品标准是相对于过程标准和服务标准而言的一大类标准，与产品有关的标准都可以划入这一类别。产品标准可分为不同类别的标准，例如尺寸标准、材料标准等。

(5)过程标准(Process Standard)

过程标准是指“规定过程应满足的要求以确保其适用性的标准”（引自GBT20000.1-2001,定义2.5.5）。

按照IS0对标准对象的划分，过程标准是相对于产品标准和服务标准而言的一大类标准，与过程有关的标准都可以划入这一类别。

(6)服务标准(Service Standard)

服务标准是指“规定服务应满足的要求以确保其适用性的标准”（引自GB/T20000.1-2001,定义2.5.6）。
按照IS0对标准化对象的划分，服务标准是相对于产品标准和过程标准而言的一大类标准，与服务相关的标准都可以划入这一类别。

(7)接口标准(Interface Standard)

接口标准是指“规定产品或系统在其互连部位与兼容性有关的要求的标准”(GB/T20000.1-2001,定义2.5.7)。
从上述定义可看出，接口标准针对的是一个产品与其他产品连接使用时，其相互连接的界面的标准化问题。

按照标准的要求程度划分

(I)规范(Specification)。规范是指“规定产品、过程或服务需要满足的要求的文件”（引自GB/T1.1-2009,定义3.1）。几乎所有的标准化对象都可以成为“规范”的对象，无论是产品、过程还是服务，或者是其他更加具体的标准化对象。

(2)规程(Code of Practice)。规程是指“为设备、构建或产品的设计、制造、安装、维护或使用而推荐惯例或程序的文件”（引自GBT20000.1-2002,定义2.3.5）。规程所针对的标准化对象是设备、构件或产品。

(3)指南(Guideline)。指南是指“给出某主题的一般性、原则性、方向性的信息、指导或建议的文件”（引自GB/T1.1-2009,定义3.3）。指南的标准化对象较广泛，但具体到每一个特定的指南，其标准化对象则集中到某一主题的特定方面，这些特定方面是有共性的，即一般性、原则性或方向性的内容。

国家标准制定阶段和流程

国家标准的制定有一套正常程序，分为预阶段、立项阶段、起草阶段、征求意见阶段、审查阶段、批准阶段、出版阶段、复审阶段以及废止阶段。

1.阶段划分

2.标准制定流程图

IT服务国际标准

IS0/EC20000系列标准

2000年11月，英国标准协会(BSI)发布了以ITIL为核心的国家标准BS15000:随后，2005年5月，国际标准组织(IS0)快速通道的方式批准通过了IS0/IEC20000的标准决议，并于12月15日正式发布了ISO/IEC20000标准。

ISO/IEC20000标准对于企业或组织的T服务管理有重要的指导作用，ISO/EC20000具体规定了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程以及过程建立的相关要求，帮助识别和管理信息技术服务的关键过程，保证提供有效的信息技术服务以满足客户和业务的需求。它着重于通过“信息技术服务标准化”来管理信息技术问题，即将信息技术问题归类，识别问题的内在联系，然后依据服务级别协议进行计划、管理和监控，并强调与客户的沟通

在我国，目前已经以等同采用的方式，正式发布了两项ISO/IEC20000标准，分别是：
·GB/T24405.1信息技术服务管理第1部分：规范。
·GB/T24405.2信息技术服务管理第2部分：实践导则。

IS0/EC27000系列标准

ISO27000系列标准是信息安全管理体系系列标准，包括：
·IS027000原理与术语。
·IS027001信息安全管理体系要求。
·IS027002信息技术安全技术信息安全管理实践规范。
·IS027003信息安全管理体系实施指南。
·IS027004信息安全管理体系指标与测量。
·IS027005信息安全管理体系风险管理。
·ISO27006信息安全管理体系认证机构的认可要求ISMS。
·IS027007信息技术-安全技术信息安全管理体系审核员指南。

其中ISO/IEC27001是标准族的主标准，其前身为英国的BS7799标准，各类组织可以按照ISO/IEC27001的要求建立自己的信息安全管理体系(ISMS)。ISO/IEC27001标准规定了在组织背景下建立、实施、维护和持续改进信息安全管理体系，还包括信息安全风险评估和处置要求，可裁剪以适用于组织等。该标准的要求是通用的，适用于所有的组织，不考虑类型、规模和特征。

ISO/IEC27002可作为组织基于ISO/IEC27001实现信息安全管理体系(ISMS)过程中选择控制时的参考，或作为组织在实现通用信息安全控制时的指南。ISO/IEC27002共包括35个主要安全类别以及114项控制。

ISO9000系列标准

ISO9000系列标准是质量管理体系标准，是由国际标准化组织(ISO)TC176制定并颁布的国际标准。ISO9000系列标准自1987年推出第一版以来，已成为IS0迄今为止应用最广泛、最成功的标准。ISO9000系列标准为各类组织建立了一个质量管理的通用框架和语言，也为组织赢得顾客对其生产合格产品的基本信任明确了途径，为全球经济合作效率的提升起到了基础作用。

ISO9000系列标准包括以下三个核心标准：

(1)ISO9000/GB/T19000《质量管理体系基础和术语》为正确理解和实施质量管理体系标准提供必要的基础。

在制定ISO9000系列标准过程中考虑到了ISO9000详细描述的质量管理原则。这些原则本身并不等同于要求，但构成了质量管理体系所规定要求的基础，并定义了应用于质量管理体系的术语、定义和概念。

(2)ISO9001/GB/T19001《质量管理体系要求》规定的要求旨在为组织的产品和服务提供信任，从而增强顾客满意。

正确实施本标准也能为组织带来其他预期利益，例如：改进内部沟通，更好地理解和控制组织的过程。

(3)ISO9004/GB/T19004《追求组织的持续成功质量管理方法》为组织选择超出本标准要求的质量管理方法提供指南，关注能够改进组织整体绩效的更加广泛的议题。

ISO9004包括自我评价方法指南，以便阻止能够对其质量管理体系的成熟度进行评价。

IS0/EC38500标准

2008年4月，IS0/IEC正式发布IT治理标准IS0/IEC38500:2008,它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段，而且也标志着信息化正式进入IT治理时代。

这一标准将促使国内外一直争论不休的IT治理理论得到统一，也促使我国在引导信息化科学方面发挥重要作用。

ISO/IEC38500:2008可以用于任何规模的组织，包括公/私有性质的公司，政府机构以及非营利组织。这一标准提供了一个IT治理的框架，以协助组织高层管理者理解并履行他们对于其组织IT使用的既定职责，实现IT治理的有效性、可用性及效率。

ISO/IEC38500提出了IT治理的EDM模型，它略微不同于管理者典型使用的PDCA模型。在这一模型中，管理者依据业务压力、监管责任、利益相关者期望及业务需求来监督(Monitor)并评估(Evaluate.)组织的IT使用，而后指导(Direct)实施政策方针以弥补差距。

ISO/IEC38500给出了IT治理的基本、原则性的建议，定义了组织开展IT治理的6个基本原则，并结合EDM模型的应用，形成了T治理的相关任务和要求。近年来，ISO/IEC SC40工作组也在推进ISO38500标准的改版和修订，ISO/IEC38501、ISO/IEC38502等系列标准的研究也在稳步推进中。

IS022301

IS022301由社会安全技术委员会ISO/TC223制定，规定了建立和管理一个有效的业务连续性管理体系(BCMS)的要求。
一个BCMS强调以下方面的重要性包括：
(1)理解组织的需求和建立业务连续性管理方针和目标的必要性。
(2)实施和运行控制措施和测量来管理组织管理中断事件的整体能力。
(3)监视和评审BCM体系的绩效和有效性。
(4)基于客观测量的持续改进。

一个BCMS像任何其他管理系统一样，包括如下关键部分：
(1)一个方针。
(2)有明确职责的人。
(3)同下列内容相关的管理过程：
·方针。
·策划。
·实施和运行。
·绩效评估。
·管理评审。
·改进。

(4)提供审核证据的文件化信息。
(5)任何同组织相关的业务连续性管理过程。
业务连续性有助于构建更有弹性的社会。更广泛的社区和对组织产生影响的环境以及其他的组织都有可能需要涉及到恢复的过程中。
本标准采用了“规划(PIan)一实施(Do)一检查(Check)一处置(Act)”(PDCA)模型来规划、建立、实施、运行、监视、评审、保持和持续改进组织的BCMS的有效性。

说明了BCMS是如何把利益相关方连续管理的要求作为输入，通过必要的措施和过程，产生满足这些要求的连续结果的。

PDCA模型的具体解释

ITIL

ITIL(Information Technology Infrastructure Library,IT基础架构库)从复杂的IT管理活动中梳理出各组织所共有的最佳实践（如事件管理、问题管理、变更管理、配置管理、服务水平管理、可用性管理等)，然后将这些流程规范化、标准化，明确定义各个流程的目标、范围、职能和责任、成本和效益、规划和实施过程、主要活动、主要角色、关键成功因素、绩效评价指标以及其他流程的相互关系等。

自从1980年至今，ITIL经历了4个主要的版本：

Version1(1986-1999年)

原始版，主要基于职能型的实践，开发了40多卷图书。ITILv1由10位顶级IT管理专家共同编写，后来这10位专家将其传播到全球，特别是传播到欧洲各国。荷兰政府将TLv1作为政府信息技术服务采购的强制标准，之后TLv1在欧洲得到广泛应用。

Version2(1999-2006年)

ITILv2版，主要基于流程型的实践，共有10本图书，包含7个体系，分别是服务支持、服务提供、实施服务管理规划、应用管理、安全管理、基础架构管理及TL的业务前景。ITIL v2在全球得到广泛应用的转折点是4大ITSM软件厂商将其作为其ITSM软件的强制标准。

ITILv2框架图。

Version3(2004-2007年)

基于服务生命周期的ITILv3整合了v1和v2的精华，与时俱进地融入了IT服务管理领域当前的最佳实践。5本生命周期图书形成了ITILv3的核心，它主要强调ITIL最佳实践的执行支持，以及在改善过程中需要注意的细节。

Version(2011-2011年)

ITIL持续改进是为了加强服务管理办法中的逻辑组织和业务一致性。ITIL的2011年版本使用5个主要书面指导文件，分别论述了IT服务的服务战略、服务设计、服务转换、服务运营和服务的持续改进。涉及4个职能：服务台、运营管理、应用管理、技术管理：以及26个流程：事件管理、事故管理、请求实施、问题管理、资产与配置管理、变更管理、发布与部署管理、服务级别管理、连续性管理、可用性管理、能力管理、IT服务财务管理、信息安全管理、服务报告、业务关系管理、供应商管理、知识管理、服务目录管理、战略制定、需求管理、服务组合管理、评估、服务验证与测试、转换规划与支持、访问管理

COBIT

成立于1969年的美国信息系统审计与控制协会(ISACA),于1996推出了用于“IT审计”的知识体系COBIT(Control Objectives for Information and related Technology信息系统和技术控制目标)，COBIT包含34个信息技术过程控制，并归集为4个控制域：IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring)。

COBIT目前已成为国际上公认的IT管理与控制框架，已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效地利用信息资源，有效地管理与信息相关的风险。

该框架的意义在于：COBIT实现了企业目标与IT治理目标之间的桥梁作用。

COBIT考虑了企业自身的战略规划，

对业务环境和企业总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，并由此确定IT准则。

IT为企业战略提供了基于技术的解决方案，为满足业务战略需求提供了技术与工具。

在IT准则的指导下，利用控制目标模型，分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。在IT管理的同时，引入审计指南，从而保证IT资源管理的安全性、可靠性和有效性。

COBIT实现可跟踪的业绩衡量

通过平衡记分卡可以在财务（企业资源管理）、客户（客户关系管理）、过程（内部网，工作流工具）、学习（知识管理）等方面维持平衡，评价企业目标的实现情况以及IT绩效，并调整业务目标和IT战略，进行持续的IT管理。

COBIT采用成熟度模型

可以定位自己企业的IT管理目前在业界所处的位置，以及未来努力的方向，通俗地说就是给IT管理“打分”。

IT服务国家标准及行业标准

ITSS标准体系

ITSS(Information Technology Service Standards,.ITSS)是一套成体系和综合配套的信息技术服务标准库，全面规范了信息技术服务产品及其组成要素，用于指导实施标准化和可信赖的信息技术服务。

ITSS的来源

ITSS是在工业和信息化部、国家标准化管理委员会的联合指导研制的，是我国IT服务行业最佳实践的总结和提升，也是我国从事T服务研发、供应、推广和应用等各类组织自主创新成果的固化。

组成要素

IT服务由人员(People)、过程(Process)、技术(Technology)和资源(Resource)组成，简称“PPTR”。其中：
(1)人员：指提供IT服务所需的人员及其知识、经验和技能要求。
(2)过程：指提供IT服务时，合理利用必要的资源，将输入转化为输出的一组相互关联和结构化的活动。
(3)技术：指交付满足质量要求的IT服务应使用的技术或应具备的技术能力。
(4)资源：指提供T服务所依存和产生的有形及无形资产。

生命周期

IT服务生命周期由规划设计(Planning&Design)、部署实施(Implementing)、服务运营(Operation)、持续改进(Improvement)和监督管理(Supervision)5个阶段组成，简称“PIOIS”。

(1)规划设计

从客户业务战略出发，以需求为中心，参照ITSS对IT服务进行全面系统的战略规划和设计，为IT服务的部署实施做好准备，以确保提供满足客户需求的IT服务。

(2)部署实施

在规划设计基础上，依据ITSS建立管理体系、部署专用工具及服务解决方案。

(3)服务运营

根据IT服务部署情况，依据ITSS,采用过程方法，全面管理基础设施、服务流程、人员和业务连续性，实现业务运营与IT服务运营的全面融合。

(4)持续改进

根据IT服务运营的实际情况，定期评审T服务满足业务运营的情况，以及IT服务本身存在的缺陷，提出改进策略和方案，并对IT服务进行重新规划设计和部署实施，以提高IT服务质量。

(5)监督管理

本阶段主要依据ITSS对IT服务质量进行评价，并对IT服务供方的服务过程、交付结果实施监督和绩效评估。

ITSS标准体系4.0

ITSS是依据上述原理制定的一系列标准，是一套完整的信息技术服务标准体系，包含了信息技术服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应遵循的标准，涉及咨询设计、集成实施、运行维护、服务管控、服务运营和服务外包等业务领域。

信息技术服务标准(ITS$)体系的提出主要从产业发展、服务管控、业务形态、实现方式、服务安全、内容特征和行业应用等7个方面考虑，分为基础标准、服务管控标准、服务业务标准、服务外包标准、服务安全标准、服务对象特征和行业应用标准

ITSS体系框架内容如下所述：
(1)基础标准旨在阐述信息技术服务的业务分类和服务原理、服务质量评价方法、服务人员能力要求、服务定额规范等。

(2)服务管控标准是指通过对信息技术服务的治理、管理和监理活动，以确保信息技术服务的管控经济有效。阐述治理的要求、实施、指标、审计以及对数据的治理：阐述服务管理的方法、实现以及技术规范：阐述信息技术服务各个环节和层面的监理规范等。

(3)服务业务标准按业务类型分为面向IT的服务标准（咨询设计，集成实施和运行维护)和IT驱动的服务标准（云服务运营、数据服务、互联网服务），按标准编写目的分为通用要求、服务规范和实施指南等类型，其中通用要求是对各业务类型基本能力要素的要求，服务规范是对服务内容和行为的规范，实施指南是对服务的落地指导。

(4)服务外包标准是信息技术服务采用外包方式时的通用要求及规范。

(5)服务安全标准重点规定事前如何预防、事中如何控制、事后如何审计服务安全以及整个过程如何持续改进，并提出组织的服务安全治理规范，以确保服务安全可控。

(6)服务对象特征按照对象类型分为数据中心和终端。数据中心围绕数据中心的建设、运营和外部服务内容和行为进行规范；终端主要定义终端分类指南等。

(7)行业应用标准包含各行业进行定制化应用落地的实施指南和结合行业特点的相关标准。ITSS体系是动态发展的，与信息技术服务相关的技术和产业发展紧密相关，同时也与标准化工作的目标和定位紧密相关。

GB/T29264-2012

《信息技术服务分类与代码》(GBT29264-2012)规定了信息技术服务的分类与代码。本标准的研究成果已应用于工业和信息化部《软件产业统计制度（修订版）》及GBT4754-2011《国民经济行业分类》。

标准主要内容

按照本标准内容，信息技术服务的具体分类

本标准适用于信息技术服务的分类、管理和编目：也适用于信息技术服务的信息管理、信息交换及统一核算，供科研、规划、统计等工作使用，作为各类信息技术服务信息系统进行信息交换的准则。

GB/T28827.1-2012

《信息技术服务运行维护第1部分：通用要求》GBT28827.1-2012为运行维护服务组织提供了一个运行维护服务能力模型，规定了运行维护服务组织在人员、资源、技术和过程方面应具备的条件和能力。

标准主要内容

运行维护服务是供方依据需方提出的服务级别要求，采用相关的方法、手段、技术、制度、过程和文档等，针对运行维护服务对象（应用系统、基础环境、网络平台、硬件平台、软件平台、数据等)提供的综合服务。为确保提供的运行维护服务符合与需方约定的质量要求，供方应具备实施运行维护服务的基本条件和能力。本标准提出了通用运维服务能力模型、关键要素、指标、管理原则等内容。

通用运行维护服务能力模型

要素

模型给出运行维护服务能力的四个关键要素：人员、资源、技术和过程，每个要素通过关键指标反映运行维护服务的条件和能力。这四个要素间的相互关系为：在供方范围内，人员利用资源和运用技术，按照既定的过程为需方提供信息技术运行维护服务。

关键指标

关键指标是运行维护服务所涉及到的核心能力参数，在本部分中主要体现在人员、资源、技术、过程四个方面，并应用于供方的运行维护服务能力评价。

管理原则

在运行维护服务提供过程中，供方通过策划、实施、检查和改进实现运行维护服务能力的持续提升。

本标准适用于：
(1)计划提供运行维护服务的组织建立运行维护服务能力体系。
(2)运行维护服务供方评估自身条件和能力。
(3)要求供应链中所有运行维护服务供方具备一致的条件和能力的组织。
(4)运行维护服务需方评价和选择运行维护服务供方。
(5)第三方评价和认定运行维护服务组织能力。

GB/T28827.2-2012

《信息技术服务运行维护第2部分：交付规范》GB/T28827.2-2012给出了运维服务供需双方从服务级别协议签署到结束的过程中，对交付管理的策划、实施、检查和改进方面提供的原则框架，以及对交付内容、交付方式、交付成果给出的指导建议。本标准除了为运维服务需方和供方提供参考依据外，还可以为运维服务质量的评估、审计人员提供指南。

标准主要内容

供方根据对服务级别协议需求的理解，通过交付过程的策划、实施、检查和改进四个关键环节的管理，以现场或远程交付方式为手段，向需方提供满足服务级别协议的交付内容和交付成果。

运维服务交付规范的框架

(1)交付管理，供需双方通过对服务交付的策划、实施、检查和改进以保障服务级别协议的达成。

(2)交付内容，供方根据服务级别协议要求，向需方提供的例行操作服务、响应支持服务、优化改善服务和咨询评估服务。

(3)交付方式，供方根据服务级别协议要求，采用现场支持和远程支持方式向需方提供服务。

(4)交付成果，供方根据服务级别协议要求，向需方提供的无形和有形的交付成果。

本标准适用于：
(1)使需方和供方对运维服务交付标准达成一致。
(2)为需方和供方提供运维服务交付的最佳实践和质量评估依据。

GBT28827.3-2012

《信息技术服务运行维护第3部分：应急响应规范》GB/T28827.3-2012规定了应急响应的基本过程和管理方法，包括应急准备、监测与预警、应急处置和总结改进等内容。

标准主要内容

本标准将运行维护服务中应急响应过程划分为四个主要阶段：应急准备、监测与预警、应急处置和总结改进。
应急响应各阶段的工作内容如下。

(1)应急准备阶段的工作包括：组建应急响应组织，确定应急响应制度，系统性识别运行维护服务对象及运行维护活动中可能出现的风险，定义应急事件级别，制定预案，开展培训和演练。

(2)监测与预警阶段的工作包括：进行日常监测，及时发现应急事件并有效预警，进行核实和评估，以规定的策略和程序启动预案，并保持对应急事件的跟踪。

(3)应急处置阶段的工作包括：采取必要的应急调度手段，基于预案开展故障排查与诊断，对故障进行有效、快速的处理与恢复，及时通报应急事件，提供持续性服务保障，进行结果评价，关闭事件。

(4)总结改进阶段的工作包括：对应急事件发生原因、处理过程和结果进行总结分析，持续改进应急工作，完善信息系统。

在应急管理工作中，应将信息系统所支撑业务的数据采集、使用和管理纳入应急响应过程中。在应急准备阶段，结合业务领域突发事件级别和运维活动中的应急事件级别，制定总体应急预案，开展培训和演练。在监测与预警阶段，从运行维护对象和数据两个角度开展监测预警。在应急处置阶段，根据业务数据变化情况采取相应措施。在总结改进阶段，也应该对业务数据采集、使用和管理体系进行完善。

在上述四个阶段中，每个阶段都包括若干重点任务，这些任务覆盖了日常工作、故障响应和重点时段保障等不同类型的活动。描述了不同类型活动与重点任务的基本对应关系。

本标准适用于：
(1)指导在经济建设、社会管理、公共服务以及生产经营等领域重要信息系统运行维护服务中的应急响应实施和管理。
(2)组织为满足应急响应实施需要而开展的信息系统完善和升级改造工作。

SJ/T11564.4-2015

《信息技术服务运行维护第4部分：数据中心规范》SJ/T11564.4-2015通过例行操作、响应支持、优化改善、调研评估四种服务类型对数据中心运维对象提供服务，以保证数据中心连续、稳定、高效及安全的运行。

标准主要内容

本标准定义了数据中心运维服务对象与服务类型、运维服务策略、运维服务内容及服务报告，为数据中心运维服务提供标准支撑。

服务对象与类型

服务对象与类型的关系

服务对象：根据数据中心的特点，数据中心的服务对象分为机房基础设施、网络及网络设备、服务器及存储、软件、数据五类。
交付内容：包括例行操作、响应支持、优化改善和咨询评估四类服务作业过程。

运维服务基本目标

本标准定义的运维服务基本目标包括以下四方面：
(1)及时：供方应采取适当的手段确保提供满足SLA时间指标要求的运维服务。
(2)规范：供方应建立适当的服务管理过程、服务活动指导文件或实施规则，以保证服务过程的规范运作。
(3)安全：服务的供、需双方应采取各种安全手段或措施，有效控制数据中心运维服务的各个环节，保护数据中心运维服务中的物理安全、网络安全、系统安全、应用安全和数据安全。
(4)可用：供方应采取适当措施，确保按服务协议提供长期、持续的优质服务，保持服务对象符合SLA的可用性要求。

运维服务内容

本标准定义的运维服务内容包括机房基础设施、网络及网络设备、服务器及存储、数据库、中间件、数据、应用软件。

(1)基本活动

包括例行操作、响应支持、优化改善和咨询评估。
·例行操作包括：监控、预防性检查、常规作业。
·响应支持：事件驱动响应、服务请求响应。

·优化改善：适应性改进、增强型改进、预防性改进。
·咨询评估：包含空调、供配电设备等的建议。

(2)运维服务报告

运维服务实施中，供方应按要求进行服务报告编制、提交。服务报告通常分为常规报告、事件报告和专题报告三类。
本标准适用于：
(1)供方设计和交付数据中心运行维护服务产品。
(2)供方或需方设计和开发数据中心运行维护系统。
(3)需方管理供方的数据中心运行维护服务交付内容。

SJ/T11445.2-2012

在服务外包行业，数据保护已成为离岸外包的贸易壁垒。欧盟已制定了相关法律保护欧洲经济共同体内数据的合法、有序流动，并对向欧盟以外的国家传输数据，制定了严苛的规则，如与美国的“安全港协议”；日本则以法律与行业自律相互救济的方式保护数据，并采用P-MARK认证机制保证企业相应管理体系的充分、有效。

我国要大力发展服务外包产业，需要制定一套符合国际标准的数据保护标准。《信息技术服务外包第2部分：数据（信息）保护规范》SJT11445.2-2012提出了数据保护的整体框架和规则，规定了个人信息保护、商业数据保护相关术语和定义、数据保护原则、数据主体权利、数据管理者的权利和义务、数据保护体系的建立和实施等基本规则和要求。

标准主要内容

1.数据保护原则

本标准应遵循目的明确、权利限制、数据质量、使用限制、安全保障以及责任等相关原则。

2.数据主体权利

数据主体应享有数据的知情权、支配权以及疑义和反对的权利。

3.数据管理者责任和义务

数据管理者应保障和维护数据主体的权益，收集目的明确，并负有告知、质量保证、安全和保密等相关责任和义务。

4.数据保护体系

包括数据保护方针、管理机制、保护机制、安全机制、过程改进机制等。

(1)数据保护方针指数据管理者应基于实际情况，依据国家相关法规、标准的原则和措施，以简洁、明确的语言闸述、公示，以指导数据保护工作。

(2)管理机制指数据管理者应制定实施数据保护体系应遵循的规章和制度，包括基本规章和适用于各从属机构、部门特点的管理细则，并切实执行。

(3)安全机制指包括风险管理、物理环境管理、工作环境管理、网络行为管理、信息安全管理、存储管理、使用管理、备份和恢复、人员管理、备案管理。

(4)过程改进机制包括监察内审、持续改进。

本标准适用于信息技术服务外包组织中数据（个人信息、商业数据）的保护，为个人信息保护、商业数据保护提供基本的规则和要求，以构建数据保护体系。本标准还可为服务外包企业建立数据保护机制提供可供参考的依据，提高其数据保护能力和数据安全规范管理水平和质量，最大程度降低因偶然的或者恶意的原因，遭到破坏、篡改、泄露、窃取。

SJ/T11565.1-2015

本标准提出了信息技术咨询服务模型、关键要素以及提供信息技术咨询服务的各类组织在这些要素方面应具备的条件和能力。本部分旨在为信息技术咨询服务供方提供评价自身能力的依据：为信息技术咨询服务需方提供评价供方的依据：为第三方提供评价信息技术咨询服务供方能力的依据。

咨询关键要素

流程、人员、方法、资源作为咨询的关键要素在咨询服务模型中进行体现，每个要素通过关键指标反映应具备的条件和能力。模型的各组成要素反映了供方基于资源、组织人员、利用方法，按照一定的流程为需方提供咨询服务。要素可用于评价或选择咨询服务供方。

(1)人员：提供咨询服务的专业人员，包括人员管理、岗位、技能、知识等。
(2)过程：提供系统建设咨询所需建立的服务过程，包括前期准备、项目启动、管理诊断、规划设计、集成实施、成果确认及交付等。
(3)方法：在提供咨询服务过程中运用的咨询架构和方法，包括咨询规划方法、参考架构模型、咨询评价方法等。
(4)资源：支持咨询规划和实施所必需的资源，包括知识库、标准库等。

本标准适用于：
(1)计划提供信息技术咨询服务的组织，建立能力体系。
(2)信息技术咨询服务供方评价自身能力。
(3)信息技术咨询服务需方评价供方。
(4)第三方评价信息技术咨询服务供方能力。

SJfT11435-2016

《信息技术服务服务管理技术要求》SJ/T11435-2016给出通用的ITSM工具功能及技术要求，提出满足客户业务需求的IT服务管理所需的TSM工具的基本功能、高级功能等。主要提出包括对服务台、事件管理、问题管理、配置管理、变更管理、发布管理、服务级别管理、可用性管理、能力管理、连续性管理等具体的功能要求，并包含ITSM工具的体系结构、功能要求、接口要求、技术要求等规范，重点对客户所需的ITSM各流程的基本功能、高级功能、可选功能要求进行说明。

标准主要内容

管理信息流

信息技术服务管理的对象是信息技术服务，实施管理的目的是确保提供符合服务级别协议的服务。信息技术服务管理需要保障相关管理信息流能够在管理对象与管理主体之间有效流动，令管理主体能够获得对象的相关信息，做出响应，确保服务级别协议的达成。在管理主体与管理对象之间的管理信息流可被分为支持流与管控流两种，

信息技术服务管理的核心技术包括监控管理技术、过程管理技术和决策支撑技术。提出这些技术要求的目标是确保信息技术服务管理中的管理信息流能够：
(1)不同层次间存在互相支撑的信息流动。
(2)正确的信息流动到正确的层次。
(3)通过管理信息流能够让所有层次相互协调，协同工作。
管理信息流框架图能够说明管理信息如何流动，能够确保所有层次协同工作。

总体框架

信息技术服务管理技术要求总体框架说明了在信息技术服务管理中涉及要素之间的关系：

(1)管理主体通过管理过程对管理对象实施管理。
(2)管理过程包括监控管理、过程管理和决策支撑。
(3)管理主体包括需方与供方。
(4)管理对象包括资源对象、人员对象和过程对象。

信息技术服务管理主体包括需方和供方。信息技术服务管理对象包括资源对象、人员对象和过程对象。资源对象包括T基础设施和应用系统，人员对象是指服务的执行人员，过程对象是指事件、问题、变更、配置和发布管理过程。管理行为包括监控管理、过程管理和决策支撑。

信息技术服务管理宜从监控管理、过程管理和决策支撑三个层面构建信息技术服务管理技术要求。

(1)监控管理：监控管理面向管理对象和过程管理，目的是明确信息技术服务管理目标，并向上层过程管理传递管理对象相关状态信息，是信息技术服务管理的基础。其技术要求包括管理对象信息的采集、存储和传输。

(2)过程管理：过程管理负责服务过程的控制和执行，是信息技术服务管理的核心。其技术要求包括过程控制活动、关键指标的获取、过程间的信息交互和过程流转。

(3)决策支撑：决策支撑面向过程管理和管理主体，通过对过程管理的关键指标和交互信息进行统计分析，归结出相关评价数据，提供给管理主体完成决策：对过程管理提供指导，实现信息技术服务的持续改进，是信息技术服务管理的目标体现。其技术要求包括通过服务运营水平和服务运营要素的分析获得关键管理指标，帮助服务管理形成质量评价与财务评价，产生过程改进决策。

信息接口技术要求

从标准实施的角度出发，接口仅涉及数据集成接口，对不同层次间的集成数据提出了要求，没有要求具体的实现方法。接口包括两个层次：
(1)监控管理与过程管理之间的信息交互。
(2)过程管理向决策支撑的信息传递。
监控管理与过程管理间接口对三种接口作了规范：双向配置接口、从监控到过程的单向告警和性能接口。

过程管理与决策支撑之间对十种接口作了规范：事件信息传递接口、问题信息传递接口、变更信息传递接口、发布信息传递接口、服务级别信息传递接口、可用性信息传递接口、能力信息传递接口、持续性信息传递接口、业务关系信息传递接口和服务台信息传递接口。

本标准适用于：
(1)为供方提供一个参考依据来指导其信息技术服务管理，并为需方提供依据来选择和评价供方的服务管理能力和水平。
(2)为供方提供一个实施指南来指导其信息技术服务管理。
(3)指导供方开发信息技术服务管理工具、需方选择信息技术服务管理工具、第三方机构测试信息技术服务管理工具。

SJ/T11623-2016

《信息技术服务从业人员能力规范》SJ/T11623-2016是信息技术服务职业能力管理的基本准则，是科学化、规范化、专业化的职业能力管理标准。

该标准是以职业活动为导向、以职业技能为核心，依据相关的国际、国内标准、法规，参照国际、国内通行的职业能力标准，构建信息技术服务行业职业技能标准体系。

标准架构

该标准是泛指信息技术服务业的职业能力标准。信息技术服务业的职业种类因工作类型的不同，纷繁复杂，各具不同的工作性质。但是，各个不同的职业种类，具有一些相同的共性，职业技能的规范化、科学化、专业化和标准化，应制定统一的规则。

该标准规范了信息技术服务从业人员职业能力的共性，制定了各个不同职业种类应遵循的同一的规则和依据，保证了信息服务业职业技能要求的关联性和持续性，并分别根据各个职业种类不同的特点、市场需求和职业发展情况，定义了相应的知识、技能和经验等应遵循的准则。

能力模型

该标准依据信息技术服务行业发展的要求，将信息技术服务从业人员能力划分为知识、技能和经验三个维度，

其中，知识包括：基础知识、专业知识和相关知识，技能包括基本技能、专业技能和行为技能。

职业种类

职业种类是制定该标准的基础。职业种类具有工作性质的同一性，然而，信息技术服务业职业种类纷繁复杂，在发展过程中不断分化、融合。职业种类划分并没有权威的、统一的标准，国内信息技术服务业的发展，具有鲜明的中国特色。职业种类的划分，应该既符合中国的职业特点，又与国际发展相接轨，标准结合了GB/T29264-2012《信息技术服务分类与代码》中相应信息技术服务业务的划分，将职业种类分为9个大类

职业等级

人社厅发[2012]72号《国家职业技能标准编制技术规程》将职业资格分为5个等级，规程更多地从技术工人的能力水平出发，考虑了技工层面的职业等级划分，而该标准根据我国信息技术服务行业特点、市场需求、职业种类的不同，以及知识、技能和经验的不同要求，将职业资格划分为6个等级，更加突出了信息技术服务从业人员高技术、高创新性的特点，强调了高级技术从业人员（高级架构设计、高级项目经理等）对于信息技术服务行业的重要性和引领作用。基于职业能力标准，通过客观公正、科学规范的评价和鉴定从业人员的能力水平，并授予合格者相应的职业资格等级。该标准职业等级划分

能力评价

能力评价是组织及第三方机构对信息技术服务从业人员职业能力水平的考核活动。该标准根据职业特点，确定了职业能力评价的内容为知识、技能和经验的测量和评价，并根据不同职业种类及职业特点，分别采用考试（包括知识考试、技能考试）、履历鉴定和面试等考核方法，评估和判断职业能力水平。

人员培养

该标准围绕信息技术服务从业人员的职业能力要求明确了培养内容、方式及阶段，并根据不同职业能力发展阶段提出了从业人员能力培养地图，为组织或处于不同阶段的人员提供了能力培养的路径和指导。

方法学的实践推广

该标准围绕信息技术服务从业人员的职业能力需要，提出了职业种类、能力标准、能力评价方法和能力培养模式等方法学，同时以附录等方式对方法学在组织内的落地实施予以指导，使组织能够更加有效地依据本标准构建体系、实施评价和发展能力。

ITSS运维能力成熟度模型

ITSS运维服务能力成熟度模型的建立，参考了信息技术服务领域有关成熟度的各类模型，它是反映运维服务能力水平的框架。该模型按照运维服务组织能力建设和管理的发展历程，定义了逐步进化的四个等级，自低向高分别为基本级、拓展级、改进（协同）级和提升（量化）级。

每个能力成熟度等级都由能力管理和能力四要素（人员、过程、技术和资源)组成，随着能力成熟度等级自低向高的提升，对这五方面的实施程度也规定了逐步提高的管理要求

成熟度等级的设定表明，运维服务能力水平的提升是通过渐进的方式实现的，较高的成熟度等级涵盖了低等级的全部要求，成熟度等级不可跨级，即较高的成熟度等级必然以低成熟度等级为基础。

运维服务能力成熟度的基本级和拓展级以GB/T28827.1一2012《信息技术服务运行维护第1部分：通用要求》为基础提出成熟度要求。运维服务组织通过改进服务能力管理水平，达到基本级和拓展级要求，表明该组织的运维服务能力管理已达到基础成熟度水平。运维服务能力成熟度的改进（协同）级和提升（量化）级，模型以GBT28827.1一2012

《信息技术服务运行维护第1部分：通用要求》为基础并融合运维系列标准扩展了能力管理要素。运维服务组织基于业务发展的需要达到改进（协同）级和提升（量化）级，表明其运维服务能力管理已达到较高的成熟度水平。运维服务能力成熟度模型在实践中为运维服务组织持续深化服务能力建设，提供了路线图和方法论。

ITSS运行维护服务能力成熟度模型作为我国自主研发的管理理论和最佳实践集合，针对IT服务的能力管理、人员、过程、资源和技术等方面进行了规范和引导。该模型于2015年2月正式发布，同时中国电子工业标准化技术协会信息技术服务分会发文，从2015年3月1日起，开展ITSS.1一2015《信息技术服务运行维护服务能力成熟度模型》的应用工作，以及针对运维服务供方开展的符合性评估工作。