ISO/IEC 20000-1:2018 标准正文

4组织环境 Context of the organization
4.1理解组织及其环境 Understanding the organization and its context
组织应确定与其宗旨和战略相关并且影响其实现服务管理体系预期结果的能力的外部和内部因素。
注：这些因素可能是正面或负面影响的因素，对于组织交付协定服务质量用户，这是很重要的。
4.2理解相关方的需求和期望 Understanding the needs and expectations of interested parties
组织应确定：
a) 服务管理体系及服务的相关方；
b) 相关方的要求。
注：相关方的要求可包括与服务管理体系及服务相关的服务、绩效、法律、法规要求和合同义务。
4.3确定服务管理体系范围 Determining the scope of the service management system
组织应确定服务管理体系的边界及其适用性，以建立其范围。
在确定范围时，组织应考虑：
a ) 4.1 中提及的外部和内部因素；
b ) 4.2 中提及的要求；
c ) 组织交付的服务。
服务管理体系的范围定义应包括范围内的服务以及管理和交付服务的组织名称
服务管理体系的范围应保留成文信息，可获得并得到保持。
注1：ISO/IEC 20000-3 提供服务管理体系范围定义指南。
注2：服务管理体系范围描述那一个服务在范围内，可以是组织交付的全部或者部分服务。
4.4服务管理体系 Service management system
组织应按照本标准的要求，建立、实现、维护和持续改进服务管理体系，包括其所需要过程及相互作用。
5领导 Leadership
55.1领导和承诺 Leadership and commitment
最高管理者应通过以下方面证实其对服务管理体系的领导作用和承诺：
a ) 确保制定服务管理体系的服务方针和服务目标，与战略方向一致；
b ) 确保服务管理计划的创建、实施和维护，以支持服务管理方针，实现服务管理目标和服务要求；
c ) 确保关于服务管理体系和服务的决策授权合理分配；
d ) 确保为组织和确定的客户创造价值；
e) 确保对服务生命周期的相关方进行控制和管理；
f) 确保将服务管理体系要求整合到组织过程中；
g ) 确保服务管理体系及服务所需资源可用；
h ) 沟通有效的服务管理的重要性，实现服务管理目标，交付价值和符合服务管理体系要求；
i )确保服务管理体系达到预期结果；
j ) 指导并支持相关人员为服务管理体系和服务的有效性做出贡献；
k ) 促进服务管理体系和服务持续改进；
1 ) 支持其他相关管理者在其职责范围内发挥领导作用，以证实他们在其责任范围内的领导作用。
5.2方针 Policy
5.2.1制定服务管理方针 Establishing the service management policy
最高管理者应制定服务管理方针，该方针应：
a ) 适应组织的宗旨和环境并支持其战略方向；
b ) 为建立服务管理目标提供框架；
c ) 包括对满足适用的服务管理相关要求的承诺；
d ) 包括对持续改进服务管理体系及服务的承诺。
5.2.2沟通服务管理方针 Communicating the service management policy
服务管理方针应：
a) 可获取并保持成文信息；
b) 在组织内得到沟通；
c ) 适用时，可为相关方获取。
5.3组织的角色，职责和权限Organizational roles, responsibilities and authorities
最高管理层应确保与服务管理体系及服务相关岗位的职责和权限得到分配和沟通。
最高管理层应分配职责和权限，以：
a ) 确保服务管理体系符合本标准的要求；
b ) 向最高管理者报告服务管理体系和服务绩效。
6规划 Planning
66.1应对风险和机遇的措施 Actions to address risks and opportunities
6.1.1当规划服务管理体系时，组织应考虑到4.1中提及的因素和4.2中提及的要求，并确定需要应对的风险和机遇，以：
a ) 确保服务管理体系可达到预期结果；
b ) 预防或减少不利影响；
c ) 实现服务管理体系和服务的持续改进。
6.1.2组织应确认和文件化：
a ) 有关的风险；
1 ) 组织；
2 ) 不满足服务要求：
3 ) 服务生命周期中的相关方：
b ) 风险对客户的影响和服务管理体系及服务的机遇；
c ) 风险接受标准；
d ) 风险管理的方法。
6.1.3组织应规划：
a ) 应对风险和机遇的措施及优先级；
b ) 如何：
1 ) 将这些措施整合到服务管理体系过程中，并予以实现；
2 ) 评价这些措施的有效性。
注1：应对风险和机遇的措施包括：避免风险，接受增加的风险以追求机遇，通过协定的措施移除风险源，改变风险的后果和可能性，降低风险，和其他方共担风险或通过充分的信息决策接受风险。
注2：ISO/IEC 31000 提供风险管理的原则和通用指南。
6.2服务管理目标及其实现规划 Service management objectives and planning to achieve them
6.2.1制定目标 Establish objectives
组织应在相关职能和层级上制定服务管理目标。
服务管理目标应：
a ) 与服务管理方针保持一致；
b ) 可测量；
c ) 考虑适用的要求；
d ) 予以监控；
e ) 予以沟通；
f ) 适当时更新。
组织应保留有关服务管理目标的成文信息。
6.2.2规划实现目标 Plan to achieve objectives
在规划如实现服务管理目标时，组织应确定：
a ) 要做什么；
b ) 需要什么资源；
c ) 由谁负责；
d ) 什么时候完成；
e ) 如何评价结果。
6.3规划服务管理体系 Plan the service management system
组织应制定、实施和维护服务管理计划。计划应考虑到服务管理方针，服务管理目标，风险与机遇，服务要求和本标准的要求。
服务管理计划应包含或引用以下内容：
a ) 服务清单；
b ) 影响服务管理体系和服务的己知限制；
c ) 有关的方针、标准和法律法规要求、合同的义务；
d ) 服务管理体系和服务的权限、职责；
e) 运行服务管理体系和服务所需要的人员、技术、信息和财务资源；
f ) 服务生命周期中和相关方采取的工作方法；
g ) 支持服务管理体系的技术；
h ) 如何测量、审核、报告和改进服务管理体系和服务的有效性。
其它的计划应与服务管理计划相一致。
7支持 Support
77.1资源 Resources
组织应确定并提供建立、实现、维护和持续改进服务管理体系和运行服务所需的人员、技术、信息和财务资源，以满足服务要求和实现服务管理目标。
7.2能力 Competence
组织应：
a ) 确定在组织控制下工作人员所需要的能力，这些人员从事的工作会影响绩效和服务管理体系及服务的有效性；
b ) 基于适当的教育、培训或经验，确保这些人员是胜任的；
c ) 适用时，采取措施以获得所需的能力，并评价措施的有效性；
d ) 保留适当的成文信息，作为人员能力的证据。
注：适用的措施可包括：例如针对在职人员提供培训、辅导和重新分配；或者聘任、外包胜任的人员。
7.3意识 Awareness
组织应确保在其控制下的工作人员知晓：
a ) 服务管理方针；
b ) 服务管理目标；
c ) 与工作有关的服务：
d ) 其对服务管理体系有效性的贡献，包括改进绩效带来的益处；
e ) 不符合服务管理体系要求带来的后果。
7.4沟通 Communication
组织应确定与服务管理体系和其范围内的服务相关的内部和外部的沟通，包括：
a ) 沟通什么；
b ) 何时沟通；
c ) 与谁沟通；
d ) 如何沟通；
e ) 谁负责沟通。
7.5成文信息 Documented information
7.5.1概述 General
组织的服务管理体系应包括：
a ) 本标准所要求的成文信息：
b ) 组织所确定的、为确保服务管理体系的有效性必要的成文信息。
注：不同组织相关服务管理体系成文信息的详略程度可以是不同的，这是由于：
1 ) 组织的规模及其活动、过程、产品利服务的类型：
2 ) 过程及其相互作用的复杂性：
3 ) 人员的能力。
7.5.2创建和更新 Creating and updating documented information
创建和更新成文信息时，组织应确保适当的：
a ) 标识和描述(例如标题、日期、作者或索引编号)；
b ) 格式(例如语言、软件版本、图表)和介质(例如纸质、电子) ；
c ) 评审和批准，以保持适宜性和充分性。
7.5.3成文信息的控制 Control of documented information
7.5.3.1服务管理体系及本标准所要求的成文信息应得到控制，以确保：
a ) 在需要的场合和时机，均可获得并适用；
b ) 予以妥善保护(如防止泄密、不当使用、或者缺失等)。
7.5.3.2为控制成文信息，适用时，组织应进行下列活动：
a ) 分发，访问，检索和使用；
b ) 存储和保护，包括保持可读性；
c ) 变更控制(例如版本控制) ；
d ) 保留和处置。
对于组织确定的规划和运行服务管理体系所必需的来自外部的成文信息，应得到适当的识别，并予以控制。
注：对成文信息的“访问”可能意味着仅允许查阅，或意味着允许查阅并授权修改。
7.5.4服务管理系统成文信息 Service management system documented information
服务管理体系的成文信息应包括：
a ) 服务管理体系范围；
b ) 服务管理的方针和目标；
c ) 服务管理计划；
d ) 变更管理方针、信息安全方针和服务连续性计划( 一个或多个) ；
e ) 服务管理体系的过程；
f ) 服务要求；
g ) 服务目录；
h ) 服务水平协议( SLA ) ；
i ) 与外部供应商的合同；
j) 与内部供应商和充当供应商的客户的协议；
k ) 本标准要求的程序；
I )证明符合本标准和服务管理体系要求的记录。
注：条款7.5 .4 提供了服务管理体系的重要成文信息列表。对于成文信息和记录还有其它的要求，ISO/IEC 20000-2 提供了额外的指南。
7.6知识 Knowledge
组织应确定和保持必要的知识，以运行服务管理体系和服务。
这些知识对适用的人员应是相关的、可用的、有用的。
注：知识是与服务管理体系、服务和相关方有关的，使用和共享知识以实现预期结果和运行服务管理体系及服务。
8服务管理体系运行 Operation of the service management system
88.1运行规划和控制 Operational planning and control
组织应规划、实现和控制满足要求所需要的过程，通过下列内容以及实现条款6中确定的措施：
a ) 基于要求，建立过程的准则：
b ) 按照准则实施过程控制；
c ) 组织应保持成文信息达到必要的程度，以确信这些过程按计划得到执行。
组织应控制规划的变更并评审非预期变更的后果，必要时，采取措施减轻不利影响(见8.5.1 )。
组织应确保外包过程受控(见8.2.3 )。
8.2服务组合 Service portfolio
8.2.1规划服务 Plan the services
己存在服务、新服务、服务变更的要求应确认和保留成文信息。
组织应基于组织、客户、用户和相关方的需求确认服务的关键性。组织应确认和管理服务间的依赖关系和复制关系。
考虑己知限制和风险，组织应提议服务变更，以便服务与服务管理方针、服务管理目标和服务要求保持一致。
考虑可用资源，组织应对服务变更进行优先排序和提议新服务、服务变更，以便服务管理目标和业务目标保持一致。
8.2.2控制服务生命周期的相关方
8.2.2.1无论任何相关方涉及到在支持服务生命周期中执行活动，组织应对本标准的要求和交付的服务负责。
组织应确认和应用本标准评估和选择服务生命周期中的其它相关方。其它相关方可以是外部供应商、内部供应商和客户充当的供应商。
其它相关方不应提供和运行服务管理体系范围内所有的服务、服务组件或流程。
组织应确认和文件化下列内容：
a ) 其它相关方提供和运行的服务；
b ) 其它相关方提供和运行的服务组件；
c ) 其它相关方运行的服务管理体系范围内的流程或部分流程。
组织应集成组织自身或其它相关方提供和运行的服务管理体系范围内的服务、服务组件和流程。以满足服务要求。组织应进行协调包括服务生命周期中，规划、设计、转换、交付和改进活动的其它相关方。
8.2.2.2组织应对其它相关方定义和应用下列控制措施：
a ) 测量和评估过程绩效；
b ) 测量和评估服务、服务组件满足服务要求的有效性。
注：ISO/IEC 20000-3 提供了服务生命周期中控制其它相关方的指南。
8.2.3服务目录管理 Service catalogue management
组织应创建和维护一个或多个服务服务目录。服务目录应包括描述服务的组织、客户、用户和其它相关方的信息、它们预期的结果和服务间的依赖关系。
组织应对客户、用户和其它相关方提供合适的访问(部分)服务目录的渠道。
8.2.4资产管理 Asset management
组织应确保管理用于交付服务的资产以满足服务要求和条款6.3 c ) 规定的义务。
注：ISO55001 和ISO/IEC 19770-1 确定了支持实施、运营资产和IT 资产管理的要求。
注：另外，资产作为配置项时，参考配置管理。
8.2.5配置管理 Configuration management
配置项的类型应定义，服务应分类为配置项。
配置信息应记录到适合服务关键性和类型的详细程度，访问配置信息应受控。每个配置项的配置信息应包括：
a ) 唯一性标识；
b ) 配置项类型；
c ) 配置项描述；
d ) 与其它配置项的关系；
e ) 状态。
配置项应受控，配置项的变更应可追溯和可审计的，以维护配置信息的完整性。配置项的变更发布后，配置项应更新。
适用时，配置信息应对其它服务管理活动可用。
8.2.6服务交付 Service Delivery
组织应运行服务管理体系，确保协作活动和资源，组织应执行交付服务所需要的活动。
注：服务组合通常管理服务生命周期中的所有服务，包括提议的、开发中的、服务目录中的在线服务和即将停止的服务。服务组合管理确保服务提供者有正确的服务构成。服务组合管理活动包括服务规划，控制服务生命周期的相关方、服务目录管理、资产管理和配置管理。
8.3关系与协议 Relationship and agreement
8.3.1概述 General
组织使用供应商以：
a ) 提供和运行服务；
b ) 提供和运行服务组件；
c ) 运行服务管理体系范围内的流程或部分流程。
图-2 表示了用途、协议和业务关系管理、服务级别管理、供应商管理的关系。

注：ISO/IEC 20000-3 包括潜在场景和范围的供应链关系的示例。
注：本标准的供应商管理不包括供应商的采购过程。
8.3.2业务关系管理 Business relationship management
服务的客户、用户和相关方应予以识别，并保留成文信息。
组织应指定一个或多个专人负责管理客户关系和维护客户满意度。
组织应与确定客户和相关方沟通的安排，沟通应促进对不断进化的服务运行的业务环境的理解，应使组织能够响应新的或变更的服务的要求。
组织应与客户按规划的时间间隔评审服务绩效趋势和结果。
组织应按照规划的时间间隔，基于对服务的客户进行抽样，调查客户满意度。应对结果进行分析和评审以识别改进机会。
服务投诉应予以记录、管理直至关闭和报告。当服务投诉通过正常渠道得不到解决，应升级处王里。
8.3.3服务水平管理 Service level management
组织应与客户约定交付的服务。
对于所交付的每项服务，组织应基于服务要求与客户协商确定一个或多个服务水平协议。SLA) 。
服务水平协议应包括服务级别目标，工作量和例外情况。
组织应按照规划的时间间隔监控、评审和汇报：
a ) 服务级别目标的绩效；
b ) 与服务级别目标的工作量比较，实际和周期性的工作量的变更。
服务级别目标未满足时，组织应识别改进机会。
注：组织和客户交付服务的协议可以以多种形式存在，如成文的协议，会议中的口头协定，电子邮件形式的协议或同意服务许可协议的形式。
8.3.4供应商管理 Supplier management
8.3.4.1管理外部供应商
组织应指定一个或多个专人负责管理与外部供应商的关系、合同和绩效。
组织和外部供应商应协商形成成文的合同。合同中应包含或引用以下内容：
a ) 外部供应商提供或者运行的服务范围、服务组件、流程或部分流程：
b ) 外部供应商需要满足的要求；
c ) 服务等级目标或其它合同义务；
d ) 组织外部供应商的职责与权限。
组织应评估外部供应商的服务等级目标或若其它合同义务与客户的服务等级目标保持一致，和管理己识别的风险。
组织应按照规划的时间间隔监控外部供应商的绩效。服务等级目标和其他合同义务未满足的场合，组织应确保识别改进机会。
组织应按照规划的时间间隔依据当前的服务要求评审合同。变更授权前，合同的变更对服务管理体系和服务的影响应予以评估。
组织和外部供应商的争议应予以记录、管理直至关闭。
8.3.4.2管理内部供应商和充当供应商的客户
对于每一个内部供应商和充当供应商的客户，组织应开发、协商和维护成文的协议，以定义服务等级目标、其它承诺、活动和相互间的接口。
组织应按照规划的时间间隔监控内部供应商和充当供应商的客户的绩效。服务等级目标和其它约定的承诺未满足的情况，组织应确保识别改进机会。
8.4供应与需求 Supply and demand
8.4.1服务预算与核算 Budgeting and accounting for services
组织应在保持与财务管理方针和流程一致的情况下进行单个服务或一组服务的预算和核算。
应对服务成本进行预算，使提供的服务能有效地进行财务控制和决策。
按照规划的时间间隔，组织应依据预算来监控和报告实际成本，审核财务预测并管理成本。
注：很多情况下，不是所有组织会对服务进行计费。服务的预算和核算过程不包括计费，以确保适用于所有组织。
8.4.2需求管理 Demand management
按照规划的时间间隔，组织应：
a ) 确定服务当前需求和预测未来需求；
b ) 监控和评审需求与服务使用情况。
注：需求管理负责理解客户当前和未来的需求。能力管理与需求管理配合，规划和提供充足的能力以满足需求。
8.4.3容量管理 Capacity management
考虑服务和性能要求，人员、技术、信息和财务资源的能力要求应予以确定、保留成文信息和维护。组织应对能为进行规划，包括：
a ) 基于服务需求，当前和预测的能力；
b ) 对约定的服务等级目标、服务可用性、服务连续性要求的预期影响；
c ) 能力变更的时间跨度和阀值。
组织应提供充分的容量满足商定的容量和性能要求。组织应监控能力的使用，分析能力和性能数据和识别改进机会。
8.5服务设计、构建与转换 Service design, build and transition
8.5.1变更管理 Change management
8.5.1.1变更管理方针
变更管理方针应予以制定和保留成文信息，以定义：
a ) 在变更管理控制下的服务组件和其它事项；
b ) 变更类别，包拈紧急变更，以及如何进行管理；
c ) 对客户或服务有潜在重大影响变更的确定标准。
8.5. 1. 2 变更管理启动变更请求，包括增加、移除或转移服务，应予以记录和分类。
组织应在下列情况使用8.5.2 条款的服务设计和转换流程：
a ) 由变更管理方针确定的，对客户或其它服务有潜在重大影响的新服务；
b ) 由变更管理方针确定的，对客户或其它服务有潜在重大影响的服务变更；
c ) 依据变更管理方针，通过服务设计和转换管理的变更类别；
d ) 移除服务；
e ) 转移己存在的服务至客户或其他方；
f ) 从客户或其他方转移己存在的服务至组织；
评估、授权、调度和评审条款8.5.2范围内的新服务或变更的服务应通过条款8.5.1.3的“变更管理活动”进行管理。
不在条款8.5.2范围内的变更请求应通过条款8.5.1.3的“变更管理活动”进行管理。
8.5. 1. 3 变更管理活动
组织和相关方应就变更请求的授权和优先级做出决策。决策应考虑风险、业务收益、可行性和财务影响。决策也应考虑变更的潜在影响：
a ) 己存在服务；
b ) 客户、用户和其它相关方；
c ) 本标准要来的方针和计划；
d ) 能力、服务可用性、服务连续性和信息安全；
e ) 其它变更请求、发布和部署计划。
授权的变更应予以准备、确认，可行的情况下，进行测试。授权变更的建议发布日期和其它细节应和相关方沟通。
回退或补救不成功变更的活动应予以规划，可行的情况下，进行测试。不成功的变更应予以调查和采取约定的措施。
组织应评审变更的有效性，与相关方采取约定的措施。
应按照规划的时间间隔分析变更请求记录以识别趋势。分析所得的结果和结论应予以记录和评审以识别改进机会。
8.5.2服务设计与转换 Service design and transition
8.5.2.1 规划新的或变更的服务
规划应使用条款8.2.2 确定的新的或者变更的服务的要求，应包括或引用下列内容：
a ) 设计、构建和转换活动的权限和职责；
b ) 组织以及其他相关方拟执行的活动，包括时间跨度；
c ) 人员、技术、信息和财务资源；
d ) 与其它服务的依赖关系；
e ) 新的服务或变更的服务需要的测试；
f) 服务验收标准；
g ) 以可测量的术语表述的交付新的或变更的服务的预期结果；
h ) 对服务管理体系、其它服务、计划的变更、客户、用户和其它相关方的影响。
针对将要被移除的服务，组织应进行服务移除的规划。规划额外应包括移除归档、数据的废弃与转移、文档信息以及服务组件。
受新的或变更的服务影响的配置项应通过配置管理控制。
8.5.2.2 设计新的或变更的服务应予以设计和保留成文信息以满足条款8.2.2 确定的服务要求。设计应包括下列内容：
a ) 交付新的或变更的服务时的各方权限和职责；
b ) 对人员、技术、信息和财务资源变更的要求；
c ) 对适当的教育、培训和经验的要求；
d ) 支持服务的新的或变更的服务等级协议、合同和其他形成文件的协议；
e ) 变更对服务管理体系的影响，包括新的或变更的方针、计划、过程、程序、测量或知识；
f ) 对其它服务的影响；
g ) 更新服务目录(一个成多个)。
8.5.2.3 构建与转换新的或变更的服务应被构建和测试，以验证其能否满足服务要求，设计文件的要求，以及约定的验收标准。如果不符合服务验收标准，组织和相关方应就必要的措施和部署进行决策。
发布和部署管理应被用于部署己批准的新的或变更的服务到实际运行环境中。
转换活动完成后，组织应向相关方报告所实现的结果，并与预期结果进行对比。
8.5.3发布与部署管理 Release and deployment management
组织应定义发布类型，包括紧急发布，发布频率和如何管理。
组织应与对新的或变更的服务和服务组件部署到实际运行环境进行规划。规划应与变更管理过程协调一致，并包含对相关的变更请求、己知错误和通过该发布所关闭问题的引用。规划应包括每个发布的部署日期、交付物和部署方法。
组织应依据成文的验收准则对发布进行验证，并在部署前被授权。如果未能满足验收准则，组织相关方应就采取必要的措施和部署进行决策。
发布部署到实际运行环境前，应建立受影响的配置项的基线。
发布应部署到实际运行环境中，以使服务和服务组件的完整性得到保持。
应监控和分析发布的成功或失败。测量内容应包括发布在部署之后至随后的发布中的事件。分析的结果和结论应予以记录和评审以识别改进机会。
适用时，发布成功成者失败、未来发布日期的信息应对其它服务管理活动可用。
8.6解决与完成 Resolution and fulfilment
8.6.1事件管理 Incident management
事件应：
a ) 记录和分类；
b ) 考虑影响和紧急性，进行优先排序；
c ) 需要时升级；
d ) 解决；
e ) 关闭。
事件记录应根据采取的措施进行更新。
组织应确定识别重大事件的标准。重大事件依据成文的程序进行分类和管理。重大事件的信息应通知最高管理者。组织应分配管理重大事件的责任人。事件解决后，重大事件应予以汇报和评审，以识别改进机会。
8.6.2服务请求管理 Service request management
服务请求应：
a ) 记录和分类；
b ) 优先排序；
c ) 完成；
d ) 关闭。
服务请求应根据采取的措施进行更新。
服务请求完成的指南应对服务请求完成的有关人员可用。
8.6.3问题管理 Problem management
组织应分析事件数据和趋势，以识别问题。组织应进行根本原因分析和确定潜在的措施，以阻止事件的重复发生。
问题应：
a ) 记录和分类；
b ) 优先排序；
c) 需要时升级；
d ) 可能时进行解决；
e ) 关闭。
问题记录应根据采取的措施进行更新，问题解决的变更应依据变更管理方针进行管理。
根本原因己经识别，但问题没有永久解决时，组织应确认降低和消除问题对服务影响的措施，己知错误应予以记录。适用时，己知错误的最新信息和问题解决方案应对其它服务管理活动可用。
按照规划的时间间隔，问题解决方案的有效性应予以监控、评审和报告。
8.7服务保障 Service assurance
8.7.1服务可用性管理 Service availability management
按规划的时间间隔，与服务可用性有关的风险应予以评估和保留成文信息。组织应确定服务可用性要求和目标。协定的要求应考虑相关的业务要求、服务要求、SLA 和风险。
服务可用性的要求和目标应保留成文信息并维护。
服务可用性应予以监控、记录结果和目标作比较。非计划的不可用应予以调查和采取必要的措施。
注：条款6.1识别的风险为服务可用性、连续性和信息安全提供输入。
8.7.2服务连续性管理 Service continuity management
按规划的时间间隔，与服务连续性有关的风险应予以评估并保留成文信息。组织应确定服务连续性要求。协定的要求应考虑相关的业务要求、服务要求、SLA 和风险。
组织应建立、实施和维护一个或多个业务连续性计划。业务连续性计划应包括或引用下列内容：
a ) 激活服务连续性计划的标准和职责；
b ) 在重大服务中断时实施的程序；
c ) 激活服务连续性计划时的可用性目标；
d ) 服务恢复要求；
e ) 返回正常工作条件的程序。
正常服务位置访问被阻止时，服务连续性计划和联系人清单应有可访问的渠道。
按规划的时间间隔，服务连续性计划应按照服务要求进行测试。服务环境有重大变更后，服务连续性计划应重新测试。测试的结果应予以记录。每次测试后和服务连续计划激活后，发现有缺陷或不足时，组织应采取必要的措施。
服务连续性计划己经激活时，组织应报告原因、影响和恢复活动。
8.7.3信息安全管理 Information security management
8.7.3.1 信息安全策略
授权的管理者应同意组织的信息安全策略。信息安全策略应保留成文信息并考虑服务要求及6.3c要求的义务。
适用时，信息安全策略应可用和可获取，组织应沟通符合信息安全策略的重要性和应用策略于服务管理体系和服务的下列人员：
a ) 组织；
b ) 客户和用户；
c ) 外部供应商、内部供应商和其它相关方。
8.7.3.2 信息安全控制措施
按规划的时间间隔，与服务管理体系和服务有关的信息安全风险应予以评估并保留成文信息。
信息安全控制措施应确认、实施和运行，以支持信息安全策略和应对识别的信息安全风险。信息安全控制措施的决策应保留成文信息。
组织应同意和实施信息安全控制措施以应对与外部组织有关的信息安全风险。
组织应监控和评审信息安全控制措施的有效性，必要时，采取措施。
8.7.3.3 信息安全事件
信息安全事件应：
a ) 记录和分类；
b ) 考虑信息安全风险，进行优先排序；
c ) 必要时进行升级；
d ) 解决；
e ) 关闭。
组织应基于类型、数量、对服务管理体系和相关方的影响分析信息安全事件，信息安全事件应报告和评审，以发现改进机会。
注：ISO/IEC 27001 系列标准提供了支持实施和运行信息安全管理体系的要求与指南。ISO/IEC 27003 提供了集成实施ISO/IEC 27001 和ISO/IEC 20000-1 (本标准)的指南。
9绩效评价 Performance evaluation
99.1监控、测量、分析和评价 Monitoring, measurement, analysis and evaluation
组织应确定：
a ) 服务管理体系和服务需要监控和测量什么；
b ) 需要用什么方法进行监控、策略、分析和评价，以确保结果有效；
c ) 何时实施监控和测量；
d ) 何时对监控和测量结果进行分析和评价。
组织应保留适当的成文信息，以作为结果的证据。
组织应对服务管理目标评估服务管理管理体系的绩效和有效性。组织应对服务要求评估服务的有效性。
9.2内部审核 Internal audit
9.2.1组织应按规划的时间间隔进行内部审核，以提供服务管理体系的下列信息：
a ) 是否符合：
1 ) 组织自身对服务管理体系的要求；
2 ) 本标准的要求。
b ) 是否得到有效实现和维护。
9.2.2组织应：
a ) 规划、建立、实现和维护审核方案(一个或多个) ，包括审核频次、方法、责任、规划要求和报告。应考虑下列内容：
1 ) 关注流程的重要性；
2 ) 变更对组织的影响；
3 ) 以前审核的结果。
b ) 规定每次审核的审核准则和范围；
c ) 选择审核员并实施审核，以确保审核过程的客观公正；
d ) 确保将审核结果报告至相关管理层；
e ) 保留成文信息作为实施审核方案以及审核结果的证据。
9.3管理评审 Management review
最高管理层应按规划的时间间隔评审组织的服务管理体系和服务，以确保其持续的适宜性、充分性和有效性。
管理评审应考虑：
a ) 以往管理评审提出的措施的实施情况；
b ) 与服务管理体系相关的外部和内部因素的变化；
c ) 有关信息服务管理体系绩效，包括以下方面的趋势：
1 ) 不符合和纠正措施；
2 ) 监控和测量结果；
3 ) 审核结果。
d ) 持续改进的机遇；
e ) 客户及其他相关方反馈；
f ) 本标准要求的服务管理方针和其他要求的遵守性、适宜性；
g ) 实现服务管理目标；
h ) 服务绩效；
i ) 服务生命周期中其它相关方的绩效；
j ) 当前和预测的人员、技术、信息和财务资源级别和人、技术资源的能力；
k ) 风险评估的结果、应对风险和机遇措施的有效性；
1 ) 影响服务管理体系和服务的变更；
管理评审的输出应包括与持续改进机会相关的决定以及变更服务管理体系和服务的任何需求。
组织应保留成文信息作为管理评审结果的证据。
9.4服务报告 Service reporting
组织应确定服务报告的要求和用途。
关于服务管理体系和服务绩效、有效性的服务报告应使用服务管理体系和服务交付活动产生的信息。服务报告应包括趋势。
组织应基于服务报告的发现决策和采取措施，己协定的措施应和其他相关方沟通。
注：需要的报告在本标准的相关条款要求，也可以生成额外的报告。
10改进 Improvement
1010.1不符合及纠正措施 Nonconformity and corrective action
10.1.1当发生不符合时，组织应：
a ) 对不符合做出反应，适用时：
1 ) 采取措施，以控制并予以纠正；
2 ) 处置后果。
b ) 通过以下活动，评价是否需要采取措施，以消除产生不符合的原因，避免其再次发生或在其他场合发生：
1 ) 评审不符合；
2 ) 确定不符合的原因；
3 ) 确定类似的不符合是否存在，或可能发生；
c ) 实现任何需要的措施；
d ) 评审任何所采取的纠正措施的有效性；
e ) 必要时，对服务管理体系进行变更。
纠正措施应与所产生的不符合的影响相适合。
10.1.2组织应保留成文信息作为以下方面的证据：
a ) 不符合的性质及所采取的任何后续措施；
b ) 任何纠正措施的结果。
10.2持续改进 Continual improvement
组织应持续改进服务管理体系和服务的适宜性、充分性和有效性。
授权决策时，组织应确定适用于改进机会的评估标准。评估标准应包括和组织服务管理目标保持一致。
改进机会应保留成文信息。组织应对确认的改进机会进行管理，包括下列活动：
a ) 在质量、价值、能力、成本、成果、资源利用率和风险降低等方面设置一个或多个改进目标；
b ) 确保改进活动进行优先排序、规划和实施；
c ) 必要时，对服务管理体系进行变更；
d ) 针对设定的目标，测量实施的改进，目标未满足的场合，采取必要的措施；
e ) 汇报实施的改进。
注：改进可以包括被动和主动的措施，例如纠正、纠正措施、预防措施、增强、革新和重组。