ISO/IEC 20000-1:2011 服务管理标准 - 信息安全与能力规划

"ISO/IEC 20000-1第二版是关于信息技术服务管理的国际标准，它定义了服务管理体系的要求，旨在帮助组织有效地管理其IT服务。此标准于2011年发布，由IT治理网提供中文翻译，仅供学习和研究使用。" 在ISO/IEC 20000-1中，6.5章节讨论的是能力管理，这是IT服务提供方必须关注的一个关键领域。服务提供方需要与客户和相关方共同确定并协议能力和服务性能的需求。为了满足这些需求，服务提供方需要制定、实施和维护一个全面的能力计划，这个计划应考虑人员、技术、信息和财务资源。计划的变更应遵循变更管理流程。能力计划应包括当前和预期的服务需求、对可用性、服务连续性和服务水平协议的预期影响、服务能力升级的时间表、阈值和成本、法律变更的影响、新技术和新技巧的影响，以及进行预期分析的程序。 此外，服务提供方还需要监控能力的使用情况，分析能力数据，并据此调整性能。确保提供足够能力以满足协定的能力和性能要求是至关重要的。这涉及到持续的监测、分析和改进，以确保服务的稳定性和效率。 6.6章节则专注于信息安全。首先，6.6.1条款指出，具有相应权限的管理者应批准信息安全方针，该方针应考虑到服务需求、法规要求和合同义务。管理者需传达方针，设定信息安全管理目标，定义风险管理方法，确保定期进行风险评估，执行内部审计，并审查审计结果以识别改进机会。 6.6.2条款规定，服务提供方需要实施物理、管理和技术上的信息安全控制措施。这些措施旨在保护信息资产的机密性、完整性和可访问性，符合信息安全方针，实现信息安全目标，并管理信息安全风险。控制措施的描述应包括对应风险的评估，以及控制的运行和维护机制。 ISO/IEC 20000-1强调了在IT服务管理中，能力规划和信息安全是不可或缺的部分，它们对于提供高质量、安全可靠的IT服务至关重要。服务提供方需确保有系统地管理和改进这两个方面，以满足客户期望和业务需求。