CNS 20000-1-2007 Information technology - Service management - Part 1 Specification《信息技术－服务管理－第1部：规格》.pdf

《CNS 20000-1-2007 Information technology - Service management - Part 1 Specification《信息技术－服务管理－第1部：规格》.pdf》由会员分享，可在线阅读，更多相关《CNS 20000-1-2007 Information technology - Service management - Part 1 Specification《信息技术－服务管理－第1部：规格》.pdf（17页珍藏版）》请在麦多课文档分享上搜索。

1、 1 印月 96 9 月 本標準非經本局同意得翻印 中華民國國家標準 CNS 總號 號 ICS 03.080.99； 35.020 X6053-120000-1經濟部標準檢驗局印 公布日期 修訂公布日期 96 9 月 14 日 月日 (共 17 頁 )資訊技術服務管理 第 1 部：規格 Information technology Service management Part 1: Specification 目 節次 頁數 1.適用範圍 2 2 用語釋義 3 3.管理系統之要求 4 3.1 管理職責 4 3.2 文件化要求 4 3.3 能力、認知與訓練 5 4. 服務管理規劃與實作 . 5

2、 4.1 規劃服務管理 (規劃 ) 5 4.2 實作服務管理與提供服務 (執行 ) 6 4.3 監視、量測與審查 (檢查 ). 6 4.4 持續改善 (行動 ) 7 4.4.1 政策 7 4.4.2 改善管理 . 7 4.4.3 活動 7 5. 新增或變更之服務的規劃與實作 7 6. 服務交付過程 . 8 6.1 服務等級管理 . 8 6.2 服務報告 8 6.3 服務持續性與可用性管理 8 6.4 IT 服務之預算編列與結算 . 9 6.5 容量管理 9 6.6 資訊安全管理 10 7. 關係過程 .10 7.1 概要 10 7.2 營運關係管理 10 7.3 供應者管理 .11 8. 解決

3、過程 .11 8.1 背景 11 8.2 事故管理 .11 2 CNS 20000-1, X 6053-1 8.3 問題管理 .12 9. 控制過程 .12 9.1 組態管理 .12 9.2 變更管理 .13 10. 發行過程 13 10.1 發行管理過程 13 參考文獻 .15 英中名詞對照表 16 1. 適用範圍 本標準定義服務提供者為其客戶交付品質可接受之管理服務要求。 其可用在 (1) 對外提供服務的行業。 (2) 供應鏈中所有服務提供者需有一致作法的營運。 (3) 對其 IT 服務管理做評效的服務提供者。 (4) 獨立評鑑之基礎。 (5) 需要展現能提供符合客戶要求之服務能力之組織。

4、 (6) 欲透過有效應用監視及改善服務品質之過程，予以改善服務之組織。 圖 1 服務管過程 本標準規定許多緊密關聯之服務管理過程，如圖 1 所示。 過程間的關係視組織內的應用而定，且通常複雜到難以塑模，過程間之關係並未於該圖中顯示。 本標準所包含的目標與控制措施並未窮舉表列，組織可以考慮符合其特殊營運所需之額外目標與控制措施。服務提供者與事業體間的營運關係性質，將決定本標準的要求要如何實作，以達到整體之目標。 作為以過程為基礎的標準，本標準意在產品之評鑑。發展服務管工具、產品及結算營運事故營運控服務等級管 管 3 CNS 20000-1, X 6053-1 系統之組織，可以使用本標準及作業規範

5、者，以協助其發展支援最佳實務服務管之工具、產品及系統。 備考：本標準在促進採 用有效交付管理服務之整合式過程作法以符合營運與客戶要求。對於欲有效運轉之組織，須有效識別及管理無數的鏈接活動。運用資源、並且受到管理，以使輸 入轉變為輸出的活動可被視為一項過程。通常來自於某個過程之輸出，形成另一個過程之輸入。 服務管理 過程之協調整合與實作，提供持續性之控制、更大效率以及持續改善的機會。活動與過程的履行，需要服務台、服務支援、服務交付及運作團隊等的人員，妥善編組與協調。亦需要適當工具，以確保過程具備有效性與效率。 我們假定本標準條文之執行係委由通過適當檢定之合格人員。 本標準並無納入契約所有必要條文

6、之意圖；使用者負有本標準正確應用之責任。 對本標準之遵循，並未被授予免除法定義務之權力。 2. 用語釋義 就本文件之目的，應用到下列之用語與定義。 2.1 可用性 (availability) 在所述瞬間或在所述期間內，組件或服務履行其所需功能的能力。 備考： 可用性通常係以該服務在協議之服務期間內，確實可被事業體所使用時間之比率加以表示。 2.2 基準 (baseline) 在某個時點上服務狀態或個別組態項目之快照 (參考第 2.4 節 )。 2.3 變更紀錄 (change record) 包含有那一個組態項目 (參考第 2.4 節 )受到影響，以及該組態項目是如何遭到經過授權而變更影響之

7、細節紀錄。 2.4 組態項目 (CI)(configuration item(CI) 納於或將納於組態管理控制下之基礎建設組件或項目。 備考： 組態項目可能在複雜度、規模大小及型式有很大的差異，其範圍從包含有硬體、軟體及文件完整系統，至單一模組或非主要的硬體組件。 2.5 組態管理資料庫 (CMDB)(configuration management database(CMDB) 含有每一個組態項目相關細節以及組態項目間重要關係細節之資料庫。 2.6 文件 (document) 資訊及其支援的媒體 備考 1. 在本標準中，紀錄 (參照第 2.9 節 )與文件之區分在於其功能為活動之實證而非意圖

8、實證之事實。 2. 文件之舉例包括政策說明書、規劃、程序、服務等級協議書及契約。 2.7 事故 (incident) 任何不屬於服務標準運作一部分、會造成或可能造成該服務品質中斷或 降低事件。 備考：可能包括要求 .我該怎麼辦？之類問題之電話。 4 CNS 20000-1, X 6053-1 2.8 問題 (problem) 造成一個以上事故的未知原因 2.9 紀錄 (record) 陳述所達成之結果、或提供活動已執行之實證的文件 備考 1. 在本標準中，紀錄與文件的區分在於其功能為活動之實證而非意圖之實證 2. 紀錄之舉例包括稽核報告、變更要求、事故報告、個人訓練紀錄及送給客戶之發票。 2.

9、10 發行版本 (release) 新增和 /或變更、且經過測試並導入實際環境之組態項目的集體。 2.11 變更要求 (request for change) 用以記錄對服務或基礎建設內，任何組態項目變更之要求的細節、表格或螢幕畫面。 2.12 服務台 (service desk) 面對客戶的支援小組，執行高比例之總支援工作。 2.13 服務等級協定 (SLA)(service level agreement(SLA) 服務提供者與客戶之間以書面之協議，記錄了服務與議訂服務等級。 2.14 服務管理 (service management) 服務管理，以符合營運要求。 2.15 服務提供者 (

10、service provider) 致力於達成本標準之組織。 3. 管理系統之要求 目標：在提供一包含政策及致使所有 IT 服務有效管理與實作之框架的管理系統。 3.1 管理職責 透過領導地位與行動，最高 /執行管理階層，應提供在組織營運及客戶要求的全景內，發展、實作、及改善其服務管理能力之承諾實證。 管理階層應 (1) 建立服務管理政策、目標及規劃。 (2) 傳播符合服務管理目標及持續改善需要之重要性。 (3) 確保客戶之要求在改進客戶滿意度的目標下被獲確定並相符。 (4) 指派一位管理階層的成員，負責所有服務的協調與管理。 (5) 確定及提供用以規劃、實作、監視、審查與改善服務交付與管理的

11、資源，例如召募適當的成員、管理成員的更換。 (6) 管理對服務管理組織及服務的風險。 (7) 於預定的期間，舉行服務管理的審查以確保持續的適用性、充分性與有效性。 3.2 文件化要求 服務提供者應提供文件與紀錄，以 確保服務管理的有效規劃、運作及控制。此等文件與紀錄應包括 (1) 文件化之服務管理政策與規劃。 5 CNS 20000-1, X 6053-1 (2) 文件化之服務等級協議。 (3) 本標準所要求之文件化之過程與程序。 (4) 本標準所要求之紀錄。 各種型式文件與紀錄之產生、審查 、核准、維護、捨棄處理及控制等的程序與職責應予建立。 備考：文件格式或媒體型式並無限定。 3.3 能力

12、、認知與訓練 所有服務管理角色與職責應予以定 義，並與有效執行此等角色與職責所需能力一起予以維護。 成員能力及訓練，應予以審查與管理，以使成員有效地履行其角色。 最高管理階層應確保員工認知其活 動之關聯性與重要性以及如何對服務管理目標之達成做出貢獻。 4. 服務管理規劃與實作 備考： 習知之 規劃 -執行 -檢查 -行動 (Plan-Do-Check-Act, PDCA)方法論，可被應用到所有過程上。 PDCA 可描述如下 (1) 規劃：建立交付與客戶要求及組織政策一致之結果，所需的目標與過程。 (2) 執行：實作過程。 (3) 檢查：根據政策、目標與要求監視及量測各項過程與服務，並且回報結果

13、。 (4) 行動：採取行動以持續改善過程績效。 圖 2 服務理過程之規劃 -執行 -檢查 -行動方法論 圖 2 所示模型，在描述第 4 至第 10 章所呈現之過程與過程連結關係。 營運要 營運 新增 / 新增 / 運 營規劃要 6 CNS 20000-1, X 6053-1 4.1 規劃服務管理 (規劃 ) 目標：規劃服務管理之實作與交付。 服務管理應予以規劃。規劃內至少應定義 (1) 服務提供者的服務管理範圍。 (2) 將由服務管理所達成之目標與要求。 (3) 將要執行之各項過程。 (4) 管理階層角色與職責框架，包括資深負責人、過程擁有者與供應者之管理單位。 (5) 服務管理過程間之介面，

14、以及將用於活動協調之方式。 (6) 對於議題與已定義目標達成之風險，識別、評估及管理上，將採取之作法。 (7) 與產生或修改服務之專案介接的作法。 (8) 達成已定義目標所需之資源、設施與預算。 (9) 適於支援各項過程之工具。 (10) 服務品質管理、稽核與改善之作法。 在規劃審查、授權、溝通、實作與維護上應有明確之管理方向及文件化之職責。 所產生的任何過程特定規劃，應與本服務管理規劃相容。 4.2 實作服務管理與提供服務 (執行 ) 目標：實作服務管理目標與規劃。 服務提供者應實作服務管理規劃，以管理及交付各項服務，包括 (1) 資金與預算之分配。 (2) 角色與職責之分配。 (3) 為每

15、項過程或一組過程之政策、規劃、程序與定義，製作文件及維護。 (4) 服務之風險的識別與管理。 (5) 團隊管理，例如適任成員之召募與發展以及管理成員之持續任職。 (6) 設施與預算之管理。 (7) 團隊管理，包括服務台與運作小組。 (8) 根據規劃報告進度。 (9) 服務管理過程之協調。 4.3 監視、量測與審查 (檢查 ) 目標：對達成中之服務管理目標及規劃實施監視、量測與審查。 服務提供者應 採用 適合方法，對服務管理過程監視並在適用情況下， 進 量測。此等方法應展現過程達成預劃結果之能力。 管理階層應於所規劃期間，施行審查，以判斷服務管理之要求是否 (1) 符合服務管理規劃及本標準要求。

16、 (2) 被有效地實作及維護。 應規劃稽核規劃 (programme)，應考慮過程之狀態、重要性及要稽核範圍 (areas)，及先前稽核結果。稽核準則、範圍 、頻率及方法應於程序中定義。稽核員之遴選以及稽核實行，應確保稽核過程 之客觀性與公正性。稽核員不應稽核本身之工作。 7 CNS 20000-1, X 6053-1 服務管理審查、評鑑與稽核的目標 ，應與此類稽核與審查所見事實，以及任何所識別出之補救措施記錄在一起。 任何重大而未遵循或關切事項區域，應與相關各方溝通。 4.4 持續改善 (行動 ) 目標：改善服務交付與管理之有效性與效率。 4.4.1 政策 應頒布服務改善政策。任何未遵循標準

17、或服務管理規劃事項， 應予以補救。服務改善管理角色與職責應予明確定義。 4.4.2 改善管理 所有服務改善建議，應予以評估 、記錄、排定優先次序並授權。應運用規劃以管理此活動。 服務提供者應訂妥在持續性基礎 上，識別、量測、報告與管理改善活動過程。此過程應包括 (1) 對能由過程擁有者以經常性人員資源實作的個別過程，例如履行個別矯正與預防措施之改善事項。 (2) 跨組織或跨一個以上過程之改善事項。 4.4.3 活動 服務提供者應履行各項活動如下列之規定。 (1) 蒐集及分析資料，以為服務提供者管理與交付服務的能力及服務管理過程訂定基準及設定標竿。 (2) 識別、規劃及實作改善事項。 (3) 諮

18、詢所有參與各方。 (4) 設定改善在品質、成本及資源利用上之標的。 (5) 考慮來自所有服務管理過程關於改善事項之相關輸入。 (6) 對服務改善事項量測、報告及溝通。 (7) 視需要修訂服務管理政策、過程、程序與規劃。 (8) 確保所有經核准措施均被交付，並且達到其預定目標。 5. 規劃與實作新增或經變更之服務 目標：確保新增服務與服務之變更，將依協議之成本與服務品質交付與管理。 新增或變更之服務建議書應考慮來自於服務交付及管理的結果所造成之成本、組織、技術及商務上等衝擊。 新增或變更之服務的實作，包括服務的結案，均應透過正式的變更管理，予以規劃及核准。 規劃與實作應包括充分的資金與資源，以對

19、服務交付與管理進行所需變更。 此等規劃應包括 (1) 實作、運作與維護新增或變更之服務 的角色與職責，包含將由客戶及供應者所履行的活動。 (2) 對現有服務管理框架與服務變更。 8 CNS 20000-1, X 6053-1 (3) 對相關各方溝通。 (4) 要校準事業要求變更的新生或經變更之契約與協議。 (5) 人力與召募要求。 (6) 技能與訓練要求，例如使用者、技術支援。 (7) 將用於連接新增或變更之服務的過程 、量測、方法與工具，例如容量管理、財務管理。 (8) 預算與時間尺度。 (9) 服務驗收準則。 (10) 來自新增服務運作、以可量測術語所表達之預期產出。 新增或變更之服務，在

20、實作到實際環境前，應被服務提供者所接受。 服務提供者應在新增或變更之服務實作後，根據規劃，就達成之成果做報告。將實際成果與規劃做比較的實作後審查，應透過變更管理過程來履行。 6. 服務交付過程 6.1 服務等級管理 目標：定義、協議、記錄及管理服務之等級。 將提供的全部服務及其相對的服務等級標 的及工作負荷特性，應被各方所同意，並做紀錄。 所提供的每項服務，應予定義、獲 得同意並且文件化於一個或一個以上的服務等級協議 (SLA)中。 SLA，連同支援性服務協議、供應者契約及相應程序，應由所有相關各方所同意，並且做紀錄。 SLA 應置於變更管理過程的控制之下。 SLA 應定期由各方審查來維護，以

21、確保其最新並且隨時間依然維持有效。 服務等級應依據標的予以監視與報 告，以顯示現況與趨勢的資訊。不符合的理由應予以回報及審查。本過程中所 識別的改善措施，應予以記錄，並對服務改善規劃提供輸入。 6.2 服務報告 目標：為通知性決策與有效的溝通，產生獲得同意、即時、可靠、 準確之報告。 每項服務報告應有清楚之描述，包括其識別資訊、目的、對象及資料來源細節。 服務報告應予產生以符合已識別之需要以及客戶的要求。服務報告應包括 (1) 相對於服務等級標的的績效。 (2) 未遵循事項與議題，例如，違反 SLA、安全 (breech)。 (3) 工作負荷特性，例如份量、資源利用。 (4) 在重大事件後的績

22、效報告，例如重大的事件與變更。 (5) 趨勢資訊。 (6) 滿意度分析。 管理階層之決定與矯正措施，應把 服務報告中所見事實列入考量並且應與相關各方溝通。 9 CNS 20000-1, X 6053-1 6.3 服務持續性與可用性管理 目標：確保對客戶的 協議 之服務持續性與可用性承諾，在 任何狀況下都能被滿足。 可用性與服務持續性要求，應依營運規劃、 SLA 及風險評鑑識別。要求應包括存取權限及回應時間，系統組件之端對端 (end to end)可用性。 可用性與服務持續性規劃應予以發 展，並至少每年審查一次，以確保要求在從服務正常到重大損失之各種環境下 ，均能符合協議。此等規劃應予以維護，

23、以確保其反映出營運所要求之協議變更。 可用性與服務持續性規劃在每次對營運環境做重大變更時應重新測試。 變更管理過程應對可用性與服務持續性規劃之任何變更的衝擊做評估。 可用性應予以量測及記錄。非規劃性的不可用，應予以調查並採取適當的措施。 備考：只要可能，潛在的議題宜予預測，並採取預防措施。 服務持續性規劃、連絡人名單及組 態管理資料庫，應在正常工作存取受到阻礙時可用。服務持續續性規劃應包括返回正常工作。 服務持續性規劃應根據營運需要予以測試。 所有的持續性測試應予以記錄，未通過的測試，應納入行動規劃中。 6.4 IT 服務之預算編列與結算 目標：為服務供應之成本編列預算及結算。 備考： 本節涵

24、蓋 IT 服務之預算編列與結算。在實務上，許多服務提供者會參與此類服務之記帳。由於記帳是一項選擇性活動，所以未涵蓋在本標準中。建議服務提供者在運用記帳時，記帳機制應全面性定義，並且被各方所理解。所有使用到之結算實務，宜向服務提供者組織之更廣泛會計實務調整。 應有明確的政策與過程，以便規劃下列事項 (1) 編列預算，以及結算包括 IT 資產、共用資源、經常費、 外部所提供的服務、人員、保險費及使用授權費等的所有組件。 (2) 分攤間接成本及分配直接成本給各項服務。 (3) 有效的財務控制與授權。 成本應以充分詳細的方式編列預算以實現有效的財務控制及決策。 服務提供者應根據預算監視及報告成本、審查

25、財務預報並酌予管理成本。 對於服務的變更應透過變更管理過程，予以計算成本及核定。 6.5 容量管理 目標：為確保服務提供者，應有配 合客戶營運需要之現行與未來協議要求之充分容量。 容量管理應產生與維護一份容量規劃。 容量管理應 闡明 營運需要，並包括 (1) 目前及預測之容量與績效要求。 (2) 已識別之服務升級的時幅、臨限及成本。 (3) 預期服務升級之效果的評估、變更要求、容量上新技術與技巧。 10 CNS 20000-1, X 6053-1 (4) 預測外部變更之衝擊，例如法令規定。 (5) 實現預測分析資料與過程。 應識別方法、程序與技巧，以監視服務容量、調校服務績效及提供充分的容量。

26、 6.6 資訊安全管理 目標：在所有服務活動內，有效管理資訊安全。 備考： CNS 17799 資訊技術安全技術資訊安全管理之作業規範 ，提供資訊安全管理上之指引。 具有適當權力之管理階層，應核准 資訊安全政策，該政策應適時與所有相關人員及客戶溝通。 適當之安全控制措施應運作，應符合下列之規定。 (1) 實作資訊安全政策的要求。 (2) 管理和存取服務或系統相關風險。 安全控制措施應予以文件化。該文 件應描述與控制措施作業相關的風險、以及控制措施作業運作與維護的方式。 控制措施作業變更的衝擊，在變更實作前應予以評估。 涉及外部組織存取資訊系統與服務 安排，應以定義所有必要之安全要求之正式協議為

27、基礎。 安全事故應儘快根據事故管理程序 予以回報及記錄。應訂定程序以確保所有的安全事故，都受到調查，並且採取管理措施。 應有機制以實現安全事故及功能障 礙之型式、份量及衝擊的量化與監視。本過程期間所識別的改善行動，應予以記錄，並且對服務改善規劃提供輸入。 7. 關係過程 7.1 概要 關係管理在描述供應者管理及營運關係管理的兩個相關層面。 7.2 營運關係管理 目標：為了在服務提供者及客戶間 ，基於對客戶及其營運驅動因子之理解，建立及維護良好關係。 服務提供者應識別及記錄服務的利害關係者及客戶。 服務提供者及客戶應至少每年參加一次服 務審查會，以討論對於服務範圍、SLA、契約 (若有 )或營運

28、需要之任何變更，並且應在協議時間之間隔內，舉行期中會議，以討論績效、成就、議題及行動規劃等。此等會議應予以文件化。 服務中之其他利害關係者，亦可受邀參與該會議。 對於契約 (若有 )與 SLA 的變更，應適時在此等會議後提出。這些變更應受到變更管理過程之限制。 服務提供者應時時注意營運需要與重大的變更，以便對這些需要之回應 予以準備。 應存在訴怨過程。正式服務訴怨的定義，應與客戶協議。所有的正式服 務訴怨，應由供應者做成記錄、調查、 處理、報告及正式地結案。 訴 怨 未能透過正常管道解決， 應讓客戶可 向上反映 (escalation)。 11 CNS 20000-1, X 6053-1 服務

29、提供者應有一或多位具名者，負責管 理客戶的滿意度及整個營運關係過程。應存在一獲得及處理定期來自 客戶滿意度量測之回饋的過程。此過程期間所識別之改善措施應予記錄，並且輸入至服務改善規劃中。 7.3 供應者管理 目標：管理供應者，以確保綿密、具有品質之服務提供。 備考 1. 本標準範圍未涵蓋供應者採購作業。 2. 供應者可能被服務提供者所使用，以提供某些部分的服務。需要展現對此等供應者管理過程符合性者就是服務提供者。其間複雜關係可能呈現如做為案例子如下圖所示 圖 3 服務提供者與供應者間關係之案例 服務提供者應有文件化的供應者管 理過程，並且應為每一個供應者指名一位負責契約經理。 將由供應者所提供

30、服務要求、範圍、水準和溝通過程，應記載於 SLA 或其他文件中，並獲得所有各方同意。 和供應者間之 SLA，應與營運單位的 SLA 一致。 由各方所使用過程間之介面，應予文件化並經過同意。 主供應者與下包供應者間之角色與 關係，應予明確地文件化。主供應者應能展示其過程，以確保下包供應者滿足契約之要求。 應備有至少每年一次對契約或正式 協議做重大審查之過程，以確保營運需要及契約義務仍被滿足。 若契約及 SLA 有變更，應適時於此等審查之後或視需要於其他時間提出。任何變更應受到變更管理過程之限制。 應存在處理契約爭議之過程。 應備有處理服務依期望終止、服務提早終止或服務轉移給其他方之過程。 相對服

31、務等級標的之績效應予以監 視與審查。此過程期間所識別之改善措施，應予以記錄，並輸入至服務改善規劃中。 8. 解決過程 8.1 背景 事故與問題管理雖然密切關聯，但卻為分離過程。 8.2 事故管理 營運 (可能是內部或外部的 ) 12 CNS 20000-1, X 6053-1 目標：為儘速回復協議之服務給營運單位或對服務要求做出回應。 所有的事件應予以記錄。 程序應予以採用，以管理事故的衝擊。 程序應定義所有事故的記錄、優先 次序訂定、營運衝擊、分類、更新、向上反映、解決及正式結案。 客戶應持續被告知其回報之事故或 服務要求之進度，同時如果其服務等級無法被滿足要事先被告警，並 同意採取 某個措

32、施。 所有參與事故管理成員應能存取相 關資訊，例如已知錯誤、問題解決方案以及組態管理資料庫 (CMDB)。 重大事故應依據過程予以分類及管理。 8.3 問題管理 目標：應以事件成因的主動識別與 分析以及管理問題至結案為止，使營運的中斷減至最低。 所有已識別的問題應予以記錄。 應採用對事故及問題識別、將其衝 擊減至最低或規避其衝擊之程序。此程序應對所有問題的記錄、分類、更新、向上反映、解決與結案加以定義。 應採取預防措施，以降低潛在之問題，例如事故數量與型式之後續趨勢分析。 為矯正問題根本成因之必要變更，應傳遞給變更管理過程。 問題解決應就有效性予以監視、審查、及報告。 問題管理應負有確保已知錯

33、誤之最新資訊及矯正後之問題對事故管理可用之責任。 本過程期間所識別的改善措施，應予以記錄並輸入至服務改善規劃中。 9. 控制過程 9.1 組態管理 目標：定義及控制服務與基礎建設之組件，並維護正確的組態資訊。 變更及組態管理規劃應有整合式作法。 服務提供者應定義對財務資產結算過程之介面。 備考：財務資產結算不在本節範圍內。 應有何種項目應定義為組態項目及其構成組件之政策。 記錄每個項目的資訊應予定義，並應納入關係及有效行使服務管理所需文件。 組態管理應提供服務與基礎建設可 識別組件版本，識別、控制與追蹤的機制。應確保控制程度足以符合營運需要、失效風險及服務關鍵性。 組態管理應就對服務與基礎建設

34、組 態所提出之變更之衝擊，提供資訊給變更管理過程。對組態項目之變更，應適 度地可以追蹤及稽核，例如軟體及硬體之變更與移動。 組態控制程序應確保系統、服務與服務組件的完整性受到維護。 適當之組態項目的基準，應在發行至實際環境前予以訂定。 數位組態項目的原稿 (master copies)應在安全的實體或電子式館中受到控制，並且參照到組態紀錄中，例如軟體、測試產品、支援文件。 13 CNS 20000-1, X 6053-1 所有組態項目應能被獨一無二地識別，並記錄在 CMDB 中，對其更新的存取，應受到嚴格地控制。 CMDB 應予主動管理與 查證 ，以確保其可靠性及準確性。組態項目之狀況、其版本

35、、位置、 相關的變更與問題以及相關文件，應讓需要者可加以檢視。 組態稽核程序應包括記錄缺失、提出矯正措施以及報告成果。 9.2 變更管理 目標：確保所有變更，在受到控制的方式下，受到 評鑑 、核准、實作及審查。 服務與基礎建設變更應有明確定義及文件化之範圍。 所有變更要求應予以記錄及分類， 例如急迫、緊急、重大、次要。變更要求應就其風險、衝擊及事業利益予以 評鑑 。 變更管理過程應納入在變更不成的狀況下，變更撤銷或補救方式。 變更應予核准，然後再登記 (checked)，並應在受到控制的方式下實作。 所有變更在實作後，應就成功與任何採取之行動予以審查。 緊急變更之授權及實作控制，應有政策及程序

36、。 排定變更實作日期應作為變更發行排程基 礎。含有經核准實作之所有變更細節，與所提議實作日期時程，應予以維護，並對相關各方進行溝通。 變更紀錄應定期予以分析，以察覺 升高中之變更等級、經常發生之型式、逐漸浮現之趨勢及其他相關資訊。變更分析結果及所獲得結論應予以記錄。 從變更管理所識別的改善措施，應予以記錄，並輸入至服務改善之規劃中。 10. 發過程 10.1 發行管理過程 目標：對發行至實際環境之發行版本中，一或多個以上變更之交付、 分發及追蹤。 備考：發行管理過程宜和組態與變更管理過程整合在一起。 說明發行頻率與型式的發行政策，應予以文件化並獲得同意。 服務提供者應與服務、系統、軟體與硬體發

37、行之營運單位一起做規劃。如何推出發行版本的規劃，應由相關各方，例如客戶、使用者、運作與支援成員同意並且授權。 過程應納入發行不成時應撤銷或補救之方式。 規劃應記錄發行日期與交付項目，並參照到相關之變更要求、已知之錯誤及問題上。發行管理過程應傳遞適合資訊給事件管理過程。 變更要求應就其對發行規劃的衝擊進行評估。發行管理程序應包括組態資訊與變更紀錄的更新與變更。緊急發行應依據事先定義與緊急變更管理過程介接之過程予以管理。 受到控制之驗收測試環境，應在分發之前予以建立，以建置 (build)及測試所有的發行項目。 發行與分發應予以設計及實作，以使硬體與軟體的完整性，在安裝、搬運、包裝及交付期間，得以

38、受到維護。 發行成敗應予量測。量測應包括與發行項目在發行後該時期內之相關事件。分 14 CNS 20000-1, X 6053-1 析應包括營運、 IT 運作與支援人力資源之衝擊的評估，並且應提供輸入給服務改善規劃。 相對應國際標準： ISO 20000-1： 2005 Information technology Service management Part 1: Specification 15 CNS 20000-1, X 6053-1 參考文獻 1 ISO/IEC 20000-2 資訊技術服務管理第 2 部：作業規範 2 CNS 17799 資訊技術安全技術資訊安全管理之作業規範 3

39、 CNS 14837 資訊技術軟體生命週期過程 4 CNS 14950 資訊技術 CNS 14837(軟體生命週期過程 )之指導 5 CNS 14974 軟體工程 CNS 14837 在專案管理上之應用指導 6 CNS 15008 系統工程系統生命週期過程 7 ISO/IEC TR 19760, System engineering A guide for the application of ISO/IEC 15288 (System life cycle processes) 8 ISO/IEC 15504-1, Information technology Process assessm

40、ent Part 1: Concepts and vocapulary 9 ISO/IEC 15504-2, Information technology Process assessment Part 2: Performing an assessment 10 ISO/IEC 15504-3, Information technology Process assessment Part 3: Guidance on performing an assessment 11 ISO/IEC 15504-4, Information technology Process assessment P

41、art 4: Guidance on use for process improvement and process capability determination 12 ISO/IEC 15504-5, Information technology Process assessment Part 5: An exemplar Process Assessment Model 13 CNS 14238 品質管理系統形態管理指導綱要 14 CNS 12680 品質管理系統基本原理與詞彙 15CNS 12681 品質管理系統要求 16 ISO/IEC 90003, Software engine

42、ering Guidelines for the application of ISO 9001:2000 to computer software 16 CNS 20000-1, X 6053-1 英中名詞對照表 - A - accounting 結算；會計 availability 可用性 awareness 認知 - B - benchmark 評效 benchmarking 設定評效 best practice 最佳實務 - C - capacity 容量 checklist 核對表列 code of practices 作業規範 competence 能力 complaints pr

43、ocess 訴怨過程 configuration items 組態項目 configuration management database（ CMDB） 組態管理資料庫 configuration management 組態管理 configuration 組態 continuity 持續性 customer satisfaction 客戶滿意度 - D documentation 文件化 - E - effort 工夫 end-to-end service 端對端服務 escalation 向上反映 - I - implementation 實作 infrastructure 基礎建設 -

44、L - license 使用授權 17 CNS 20000-1, X 6053-1 - N - need 需要 - P - performance 績效 Plan-Do-Check-Act 規劃 -執行 -檢查 -行動 - Q - - R - requirement 要求 release 發行 roll-out 推出 - S - satisfaction 滿意度 shall 應 should 宜 scale 大小；尺度 service desk 服務台 Service Level Agreement 服務等級協議 Service Level Management 服務等級管理 snapshot 快照 stakeholder 利害關係者 survey 調查 supplier 供應者 - T - task 任務 technique 技巧 third party 第三方 time-scales 時間尺度 - V - volume 份量；量 - W - workaround 迂迴處理；磋商解決 - X - - Y - - Z -