广东东莞广州深圳惠州ISO20000信息技术服务管理体系认证办理咨询
深圳ISO20000,ISO20000认证,东莞ISO20000认证,佛山ISO20000认证,广州ISO20000认证
6.1.2风险评估
相关部门负责组织制定《风险识别与评价管理程序》,建立识别适用于信息技术服务管理体系和已经识别的业务安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。风险评估依据《风险识别与评价管理程序》进行,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
1)识别风险
在已确定的信息技术服务管理体系范围内,本公司按《风险识别与评价管理程序》识别与信息服务有关的风险,并确定每个风险的负责人。
a)包括来自1)组织,2)不满足服务要求,3)服务生命周期中的相关方;
b)风险对客户的影响和服务管理体系及服务的机遇;
2)分析和评价风险
本公司按《风险识别与评价管理程序》规定,分析风险发生的可能性和可能导致的潜在后果,并计算风险等级。根据风险接受准则,判断风险为可接受或需要处理。
6.1.3风险处置
公司应规划:
d)应对风险和机会的措施;
e)如何
i.整合和实施这些措施并将其纳入信息技术服务管理体系过程;
ii.评价这些措施的有效性。
组织相关部门根据风险评估的结果,对风险进行处置,确定风险控制措施。对于风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
a)控制风险,采用适当的内部控制措施;
b)接受风险(不可能将所有风险降低为零,但可控制到可接受范围内);
c)避免风险(如物理隔离);
d)转移风险(如将风险转移给保险者、供方、分包商)。
6.2目标和实现规划
6.2.1建立目标
公司在相关职能和层次上建立了与IT服务管理方针保持一致的IT服务管理目标,并在全公司发布,服务管理目标应:
a)与服务管理方针一致;
b)可测量;
c)考虑适用的要求;
d)得到监视;
e)得到沟通;
f)适当时更新;
g)组织应保留有关服务管理目标的文档化信息。
6.2.1规划以实现目标
在规划如何达到服务管理目标时,组织应确定:
a)要做什么;
b)需要什么资源;
c)由谁负责;
d)什么时候完成;
e)如何评价结果。
参见附录B(规范性附录)《IT服务方针目标》。
6.3策划服务管理体系
公司IT服务*高管理者应综合考虑服务管理方针,服务管理目标,风险与机遇,客户服务及ISO的要求,建立、实施和维护服务管理计划,服务管理计划应包含或引用以下内容:
a)服务清单;
b)影响服务管理体系和服务的已知限制;
c)有关的方针,标准和法律法规要求、合同的义务;
d)服务管理体系和服务的权限、职责;
e)运行服务管理体系和服务所需要的人员、技术、信息和财务资源;
f)服务生命周期中和相关方采取的工作方法;
g)支持服务管理体系的技术
h)如何测量、审核、报告和改进服务管理体系和服务的有效性。
其它的计划的制定应与服务管理计划相一致。公司的所有IT服务员工都要严格遵守并理解公司的信息技术服务管理框架,确保正确地、清晰地理解客户需求,有效地满足客户需求和提高客户满意度,实现对客户服务需求的承诺。
广东东莞广州深圳惠州ISO20000信息技术服务管理体系认证办理咨询